1. Pengertian
da Tujuan Audit Teknologi Sistem Informasi
Audit (pemeriksaan) yaitu evaluasi
terhadap suatu organisasi, sistem, proses, atau produk. Audit dilaksanakan
auditor sebagai pihak khusus yang bertujuan melakukan verifikasi terselesaikan
dan berjalan sesuai dengan standar, regulasi, dan praktik yang telah disetujui.
“Audit sistem informasi adalah proses
pengumpulan dan penilaian bukti – bukti untuk menentukan apakah sistem komputer
dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian
tujuan organisasi secara efektif dan menggunakan sumberdaya secara efisien”.
Ron Weber (1999,10)
“Auditing adalah suatu proses sistematik
untuk menghimpun dan mengevaluasi bukti secara objektif mengenai asersi tentang
berbagai tindakan atau kejaidan ekonomi untuk menentukan tingkat kesesuaian
antara asersi tersebut”. ASOBAC atau A Statement of Basic Auditing Concepts
Audit TSI (Teknologi Sistem Informasi)
terbentuk karena adanya tuntutan zaman dan berkembangnya teknologi informasi
yang dimana mempengaruhi kegiatan bisnis perusahaan. Audit teknologi system
informasi berarti mengevaluasi sebuah system computer yang digunakan telah
membantu pencapaian tujuan perusahaan secara efektif, serta menggunakan sumber
daya secara efisien.
Ø
Tujuan
Audit
Tujuan Audit Sistem Informasi dapat
dikelompokkan ke dalam dua aspek utama dari ketatakelolaan IT, yaitu :
-
Conformance
(Kesesuaian) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk
memperoleh kesimpulan atas aspek kesesuaian, yaitu : Confidentiality
(Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan)
danCompliance (Kepatuhan).
-
Performance
(Kinerja) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk
memperoleh kesimpulan atas aspek kinerja, yaitu : Effectiveness(Efektifitas),
Efficiency (Efisiensi), Reliability (Kehandalan).
Tujuan audit sistem informasi menurut
Ron Weber, yaitu :
-
Mengamankan
Asset. Asset perlu dilindungi dengan memasang pengendalian internal. Perangkat
keras dapat rusak karena unsur kejahatan atau sebab-sebab lain. Perangkat lunak
dan isi file data dapat dicuri. Peralatan pendukung dapat digunakan untuk
tujuan yang tidak diotorisasi.
-
Menjaga
integritas data. Integritas data merupakan konsep dasar audit sistem informasi.
Integritas data berarti data memiliki atribut: kelengkapan, baik dan dipercaya,
kemurnian, dan ketelitian. Upaya untuk menjaga integritas data, dengan
konsekuensi akan ada biaya prosedur pengendalian yang dikeluarkan harus sepadan
dengan manfaat yang diharapkan.
-
Menjaga
efektivitas sistem. Sistem informasi dikatakan efektif hanya jika sistem
tersebut dapat mencapai tujuannya. Untuk menilai efektivitas sistem, perlu
upaya untuk mengetahui kebutuhan pengguna sistem tersebut (user). Melihat
kondisi seperti ini, auditor perlu mempertimbangkan untuk melakukan evaluasi
sistem dengan berfokus pada kebutuhan dan kepentingan manajemen.
-
Mencapai
efisiensi sumberdaya. Suatu sistem sebagai fasilitas pemrosesan informasi
dikatakan efisien jika ia menggunakan sumberdaya seminimal mungkin untuk
menghasilkan output yang dibutuhkan. Sumberdaya tersebut ada batasannya.
Ø
Standar
Umum:
Audit harus dilaksanakan oleh seorang
atau lebih yang bisa memiliki keahlian dan pelatihan teknis yang cukup sebagai
seorang auditor dan bukan hanya akuntan . Dalam semua hal yang berhubungan
dengan ikatan, seorang auditor harus bisa bersikap profesional dan juga harus
bersikap objektif tanpa memihak dan juga tanpa ada kecurigaan kerja sama. Dalam
pelaksanaan audit dan penyusunan laporannya, auditor wajib menggunakan
kemahiran profesionalnya dengan cermat dan juga seksama.
Ø
Standar
Kerja Lapangan:
Pekerjaan harus dilaksanakan dengan
sebaik-baiknya dan jika menggunakan asisten maka harus disupervisi dengan
semestinya. Perungkapan informatif dalam laporan keuangan haruslah dipandang
memadai, kecuali dinyatakan lain dalam laporan auditor. Ketika laporan auditor
diserahkan harus memuat pernyataan yang menandakan atau berpendapat mengenai
laporan keuangan secara kesuluruhan. Jika pendapat secara keseluruhan tidak
dapat ditulis maka anda bisa menyatakannya. Ketika ada penyusunan laporan yang
tidak konsisten atau bermasalah, maka laporan auditor haruslah menunjukannya
agar diperbaiki dan diperjelas.
Audit Teknologi Sistem Informasi (TSI)
Yang Perlu Diperhatikan Untuk Melakukan
Audit Teknologi Sistem Informasi (TSI)
1.Perlengkapan
keamanan melindungi perlengkapan komputer, program, komunikasi, dan data dari
akses yang tidak sah, modifikasi atau penghancuran.
2. Pengembangan
dan perolehan program dilaksanakan sesuai dengan otorisasi khusus dan umum dari
pihak manajemen
3.
Modifikasi
program dilaksanakan dengan otorisasi dan persetujuan dari pihak manajemen
4. Pemrosesan
transaksi, file laporan dan catatan komputer lainnya telah akurat dan lengkap.
5. Data
sumber yang tidak akurat atau yang tidak memiliki otorisasi yang tepat
diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah
ditetapkan.
6.
File
data komputer telah akurat, lengkap dan dijaga kerahasiaannya.
2. Konsep
Audit TSI
1.
Perencanaan
(Planning)
Menentukan ruang lingkup, objek yang
akan diaudit, standard evaluasi dari hasil audit dan komunikasi dengan managen
pada organisasi yang bersangkutan dengan menganalisa visi, misi, sasaran dan
tujuan objek yang diteliti serta strategi, kebijakan-kebijakan yang terkait
dengan pengolahan investigasi. Aktivitas utamanya, yaitu:
§
Penetapan
ruang lingkup dan tujuan audit
§
Pengorganisasian
tim audit
§
Pemahaman
mengenai operasi bisnis klien
§
Kaji
ulang hasil audit sebelumnya
§
Penyiapan
program audit
2.
Pemeriksaan
Lapangan (Field Work)
Pengumpulan informasi yang dilakukan
dengan cara mengumpulkan data dengan pihak-pihak yang terkait. Hal ini dapat
dilakukan dengan menerapan berbagai metode pengumpulan data yaitu: wawancara,
quesioner ataupun melakukan survey ke lokasi penelitian.
3.
Pelaporan
(Reporting)
Setelah proses pengumpulan data, maka
akan didapat data yang akan diproses untuk dihitung berdasarkan perhitungan
maturity level (tingkat kinerja). Perhitungan maturity level mengacu pada hasil
wawancara, survey dan rekapitulasi hasil penyebaran quesioner. Berdasarkan
hasil maturity level yang mencerminkan kinerja saat ini (current maturity
level) dan kinerja standard atau ideal yang diharapkan akan menjadi acuan untuk
selanjutnya dilakukan analisis kesenjangan (gap).
4.
Tindak
Lanjut (Follow Up)
Memberikan laporan hasil audit berupa
rekomendasi tindakan perbaikan kepada pihak managemen objek yang diteliti,
untuk selanjutnya wewenang perbaikan menjadi tanggung jawab managemen objek
yang diteliti apakah akan diterapkan atau hanya menjadi acuhan untuk perbaikan
dimasa yang akan datang.
3. Alat
Audit
Berikut beberapa software yang dapat
dijadikan alat bantu dalam pelaksanaan audit teknologi informasi:
a.
ACL
(Audit Command Language)
b.
Picalo
c.
Powertech
Compliance Assessment Powertech
d.
Nipper
e.
Nessus
f.
Metasploit
g.
NMAP
h.
Wireshark
4. Proses
Audit TSI
Proses Audit dalam konteks teknologi
informasi adalah memeriksa apakah sistem informasi berjalan semestinya. Tujuh
langkah proses audit sistem informasi yaitu:
a.
Implementasikan
sebuah strategi audit berbasis manajemen resiko serta control practice yang
dapat disepakati oleh semua pihak
b.
Tetapkan
langkah-langkah audit yang rinci
c.
Gunakan
fakta atau bahan bukti yang cukup, handal, relevan, serta bermanfaa
d.
Buat
laporan beserta kesimpulan berdasarkan fakta yang dikumpulkan
e.
Telaah
apakah tujuan audit tercapai
f.
Sampaikan
laporan kepada pihak yang berkepentingan
g. Pastikan
bahwa organisasi mengimplementasikan managemen resiko serta control practice.
Beberapa
metodologi audit yaitu:
a.
Audit
subject (Penentuan Subjek)
b.
Audit
objective (Penentuan tujuan)
c.
Audit
Scope (Penentuan sistem dan bagian audit)
d.
Preaudit
planning (Perencanaan awal)
e.
Audit
procedures and Steps for data gathering (Prosedur dan identifikasi sumber daya)
f.
Evaluasi
hasil pengujian dan pemeriksaan
g.
Audit
report preparation (Persiapan laporan)
Berikut struktur isi laporan audit secara
umumnya (tidak baku):
1)
Pendahuluan
2)
Kesimpulan
umum auditor
3)
Hasil
audit
4)
Rekomendasi
5)
Exit
interview (Penutup)
5. Teknik
Audit TSI
Teknik audit adalah cara-cara yang
ditempuh auditor untuk memperoleh pembuktian dalam membandingkan keadaan yang
sebenarnya dengan keadaan yang seharusnya. Beberapa pendekatan yang dapat
dilakukan apabila auditor tersebut memilih melakukan pengujian aplikasi adalah:
Ø
Test
Data
Ø
Integrated
Test Facility(ITF)
Ø
Parallel
Simulation(PS)
Ø
Process
Tracing Software.
Ø
Embedded
Audit Modules.
Ø
Parallel
Simulation(PS)
Ø
Embadded
Audit Module(EAM)
Ø Mapping
Ø Job Accounting
Data Analysis
Ø
Perangkat
Lunak Audit
6. Regulasi
Audit TSI
Dengan dominannya penggunaan komputer dalam membantu kegiatan
operasional diberbagai perusahaan, maka diperlukan standar-standar kontrol
sebagai alat pengendali internal untuk menjamin bahwa data elektronik yang
diproses adalah benar. Beberapa jenis standar kontrol yaitu:
Ø
COSO
(Comitte Of Sponsoring Organizationof the treadway commission’s)
Ø
COBIT
(Control Objectives for Information and Related Technology)
Ø
SARBOX
(Sarbanes-Oxley Act)
Ø
ISO
17799
Ø
BASEL
II
7. Standard
dan Kerangka Kerja
Standar Audit SI tidak lepas dari
standar professional seorang auditor SI. Standar professional adalah ukuran
mutu pelaksanaan kegiatan profesi yang menjadi pedoman bagi para anggota
profesi dalam menjalankan tanggungjawab profesinya.
Standar profesional adalah batasan
kemampuan (knowledge, technical skill and professional attitude) minimal yang
harus dikuasai oleh seseorang individu untuk dapat melakukan kegiatan profesionalnya
pada masyarakat secara mandiri yang aturan-aturannya dibuat oleh organisasi
profesi yang bersangkutan. Beberapa diantaranya adalah:
§
ISACA
: IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance
and Control Professionals
§
IIA
: International Professional Practices Framework / IPPF
§
IASII
: Standar Audit Sistem Informasi
§
BI
: Standar Pelaksanaan Fungsi Audit Intern Bank / SPFAIB
§
BPPT
: Framework, Kode Etik & Standar, Pedoman Umum Audit Teknologi
8. Manajemen
RESIKO
Didalam TSI, hal-hal yang perlu
diperhatikan salah satunya adalah penilaian resiko. Konsep resiko dalam hal ini
meliputi ancaman, kelemahan dan dampak dari penilaian resiko. Ancaman yang
sering terjadi salah satunya adalah adanya kompleksitas dari TSI itu sendiri.
Berbagai macam elemen dan variasi yang terdapat dalam TSI mewarnai perkembangan
TSI kedepannya. Keamanan dan pengendalian TSI dewasa ini menjadi kelemahan
dalam penilaian resiko.
Dalam hal ini, kedua hal tersebut
menjadi suatu hal yang patut disorot dan diperhatikan agar dapat berkembang
menjadi semakin baik. Memang hal ini bukan suatu hal yang mudah untuk dapat
dilakukan, namun dengan melakukannya secara bersama-sama, saling menjaga,
merawat dan memeliharanya, niscaya kelemahan ini dapat dikurangi bahkan
dihilangkan. Adapun dampaknya adalah aset yang ada dapat terlindungi.
Ø
Tipe-tipe
resiko terdiri dari:
- + Resiko
pengembangan
- + Resiko
Kesalahan
- + Resiko
Terhentinya Bisnis
- + Resiko
Pengungkapan Informasi
- + Resiko
Penggelapan
Ø
Proses
penilaian resiko dapat dilakukan melalui tahap-tahap berikut ini:
- + Identifikasi
objek (asset) yang akan dilindungi
- + Penentuan
ancaman yang dihadapi
- + Menetapkan
peluang kejadian
- + Menghitung
besarnya dampak dan kelemahan sistem
- + Menilai
alat-alat pengamanan yang ada
- + Rekomendasi
dan implementasi
Proses pemeriksaan Teknologi Sistem
Informasi (TSI), dilakukan melalui tahap-tahap sebagai berikut:
· + Identifikasi
spesifikasi sistem
· + Penilaian
kompleksitas TSI
· + Penilaian
resiko pra pemeriksaan
· + Pemeriksaan
around the computer
· + Pemeriksaan
through the computer
· + Pemeriksaan
keuangan
DAFTAR
PUSTAKA
> https://indraoktamara.wordpress.com/2018/01/05/audit-tsi/amp/
> https://dosenakuntansi.com/pengertian-audit
> http://davisrockers89.blogspot.com/2013/01/audit-teknologi-sistem-informasi-tsi.html
> https://www.slideshare.net/mobile/AdamNugraha4/laporan-audit-tsi-84958061
> http://mtryirawan.blogspot.com/2017/10/makalah-audit-teknologi-sistem_42.html
j LAMPIRAN TUGAS
>Paper : https://drive.google.com/file/d/1lbWvYuAF5VsoHOLzNCVPFmugouFSckM7/view?usp=sharing
> PPT : https://drive.google.com/file/d/1iE9UYj4XFHUqys_g0P8jS4KBEmeaCv3j/view?usp=sharing