Minggu, 28 Oktober 2018

TUGAS 1 AUDIT - AUDIT TEKNOLOGI SISTEM INFORMASI


   1.    Pengertian da Tujuan Audit Teknologi Sistem Informasi
Audit (pemeriksaan) yaitu evaluasi terhadap suatu organisasi, sistem, proses, atau produk. Audit dilaksanakan auditor sebagai pihak khusus yang bertujuan melakukan verifikasi terselesaikan dan berjalan sesuai dengan standar, regulasi, dan praktik yang telah disetujui.
“Audit sistem informasi adalah proses pengumpulan dan penilaian bukti – bukti untuk menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya secara efisien”. Ron Weber (1999,10)
“Auditing adalah suatu proses sistematik untuk menghimpun dan mengevaluasi bukti secara objektif mengenai asersi tentang berbagai tindakan atau kejaidan ekonomi untuk menentukan tingkat kesesuaian antara asersi tersebut”. ASOBAC atau A Statement of Basic Auditing Concepts
Audit TSI (Teknologi Sistem Informasi) terbentuk karena adanya tuntutan zaman dan berkembangnya teknologi informasi yang dimana mempengaruhi kegiatan bisnis perusahaan. Audit teknologi system informasi berarti mengevaluasi sebuah system computer yang digunakan telah membantu pencapaian tujuan perusahaan secara efektif, serta menggunakan sumber daya secara efisien.

  Ø  Tujuan Audit
Tujuan Audit Sistem Informasi dapat dikelompokkan ke dalam dua aspek utama dari ketatakelolaan IT, yaitu :
-          Conformance (Kesesuaian) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu : Confidentiality (Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan) danCompliance (Kepatuhan).
-          Performance (Kinerja) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu : Effectiveness(Efektifitas), Efficiency (Efisiensi), Reliability (Kehandalan).
Tujuan audit sistem informasi menurut Ron Weber, yaitu :
-          Mengamankan Asset. Asset perlu dilindungi dengan memasang pengendalian internal. Perangkat keras dapat rusak karena unsur kejahatan atau sebab-sebab lain. Perangkat lunak dan isi file data dapat dicuri. Peralatan pendukung dapat digunakan untuk tujuan yang tidak diotorisasi.
-          Menjaga integritas data. Integritas data merupakan konsep dasar audit sistem informasi. Integritas data berarti data memiliki atribut: kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian. Upaya untuk menjaga integritas data, dengan konsekuensi akan ada biaya prosedur pengendalian yang dikeluarkan harus sepadan dengan manfaat yang diharapkan.
-          Menjaga efektivitas sistem. Sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya. Untuk menilai efektivitas sistem, perlu upaya untuk mengetahui kebutuhan pengguna sistem tersebut (user). Melihat kondisi seperti ini, auditor perlu mempertimbangkan untuk melakukan evaluasi sistem dengan berfokus pada kebutuhan dan kepentingan manajemen.
-          Mencapai efisiensi sumberdaya. Suatu sistem sebagai fasilitas pemrosesan informasi dikatakan efisien jika ia menggunakan sumberdaya seminimal mungkin untuk menghasilkan output yang dibutuhkan. Sumberdaya tersebut ada batasannya.

  Ø  Standar Umum:
Audit harus dilaksanakan oleh seorang atau lebih yang bisa memiliki keahlian dan pelatihan teknis yang cukup sebagai seorang auditor dan bukan hanya akuntan . Dalam semua hal yang berhubungan dengan ikatan, seorang auditor harus bisa bersikap profesional dan juga harus bersikap objektif tanpa memihak dan juga tanpa ada kecurigaan kerja sama. Dalam pelaksanaan audit dan penyusunan laporannya, auditor wajib menggunakan kemahiran profesionalnya dengan cermat dan juga seksama. 

  Ø  Standar Kerja Lapangan:
Pekerjaan harus dilaksanakan dengan sebaik-baiknya dan jika menggunakan asisten maka harus disupervisi dengan semestinya. Perungkapan informatif dalam laporan keuangan haruslah dipandang memadai, kecuali dinyatakan lain dalam laporan auditor. Ketika laporan auditor diserahkan harus memuat pernyataan yang menandakan atau berpendapat mengenai laporan keuangan secara kesuluruhan. Jika pendapat secara keseluruhan tidak dapat ditulis maka anda bisa menyatakannya. Ketika ada penyusunan laporan yang tidak konsisten atau bermasalah, maka laporan auditor haruslah menunjukannya agar diperbaiki dan diperjelas.

Audit Teknologi Sistem Informasi (TSI)
Yang Perlu Diperhatikan Untuk Melakukan Audit Teknologi Sistem Informasi (TSI)
  1.Perlengkapan keamanan melindungi perlengkapan komputer, program, komunikasi, dan data dari akses yang tidak sah, modifikasi atau penghancuran.
   2.  Pengembangan dan perolehan program dilaksanakan sesuai dengan otorisasi khusus dan umum dari pihak manajemen
   3.    Modifikasi program dilaksanakan dengan otorisasi dan persetujuan dari pihak manajemen
   4.  Pemrosesan transaksi, file laporan dan catatan komputer lainnya telah akurat dan lengkap.
   5.  Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang tepat diidentifikasi  dan ditangani sesuai dengan kebijakan manajerial yang telah ditetapkan.
   6.    File data komputer telah akurat, lengkap dan dijaga kerahasiaannya.
           
   2.    Konsep Audit TSI
   1.    Perencanaan (Planning)
Menentukan ruang lingkup, objek yang akan diaudit, standard evaluasi dari hasil audit dan komunikasi dengan managen pada organisasi yang bersangkutan dengan menganalisa visi, misi, sasaran dan tujuan objek yang diteliti serta strategi, kebijakan-kebijakan yang terkait dengan pengolahan investigasi. Aktivitas utamanya, yaitu:
§  Penetapan ruang lingkup dan tujuan audit
§  Pengorganisasian tim audit
§  Pemahaman mengenai operasi bisnis klien
§  Kaji ulang hasil audit sebelumnya
§  Penyiapan program audit

   2.    Pemeriksaan Lapangan (Field Work)
Pengumpulan informasi yang dilakukan dengan cara mengumpulkan data dengan pihak-pihak yang terkait. Hal ini dapat dilakukan dengan menerapan berbagai metode pengumpulan data yaitu: wawancara, quesioner ataupun melakukan survey ke lokasi penelitian.

   3.    Pelaporan (Reporting)
Setelah proses pengumpulan data, maka akan didapat data yang akan diproses untuk dihitung berdasarkan perhitungan maturity level (tingkat kinerja). Perhitungan maturity level mengacu pada hasil wawancara, survey dan rekapitulasi hasil penyebaran quesioner. Berdasarkan hasil maturity level yang mencerminkan kinerja saat ini (current maturity level) dan kinerja standard atau ideal yang diharapkan akan menjadi acuan untuk selanjutnya dilakukan analisis kesenjangan (gap).

   4.    Tindak Lanjut (Follow Up)
Memberikan laporan hasil audit berupa rekomendasi tindakan perbaikan kepada pihak managemen objek yang diteliti, untuk selanjutnya wewenang perbaikan menjadi tanggung jawab managemen objek yang diteliti apakah akan diterapkan atau hanya menjadi acuhan untuk perbaikan dimasa yang akan datang.



   3.    Alat Audit
Berikut beberapa software yang dapat dijadikan alat bantu dalam pelaksanaan audit teknologi informasi:
a.   ACL (Audit Command Language)
b.   Picalo
c.   Powertech Compliance Assessment Powertech
d.   Nipper
e.   Nessus
f.    Metasploit
g.   NMAP
h.   Wireshark

   4.    Proses Audit TSI

Proses Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem informasi berjalan semestinya. Tujuh langkah proses audit sistem informasi yaitu:
   a.    Implementasikan sebuah strategi audit berbasis manajemen resiko serta control practice yang dapat disepakati oleh semua pihak
   b.    Tetapkan langkah-langkah audit yang rinci
   c.     Gunakan fakta atau bahan bukti yang cukup, handal, relevan, serta bermanfaa
   d.    Buat laporan beserta kesimpulan berdasarkan fakta yang dikumpulkan
   e.    Telaah apakah tujuan audit tercapai
   f.      Sampaikan laporan kepada pihak yang berkepentingan
 g. Pastikan bahwa organisasi mengimplementasikan managemen resiko serta control practice. 

Beberapa metodologi audit yaitu:
   a.    Audit subject (Penentuan Subjek)
   b.    Audit objective (Penentuan tujuan)
   c.     Audit Scope (Penentuan sistem dan bagian audit)
   d.    Preaudit planning (Perencanaan awal)
   e.    Audit procedures and Steps for data gathering (Prosedur dan identifikasi sumber daya)
   f.      Evaluasi hasil pengujian dan pemeriksaan
   g.    Audit report preparation (Persiapan laporan)


Berikut struktur isi laporan audit secara umumnya (tidak baku):
   1)    Pendahuluan
   2)    Kesimpulan umum auditor
   3)    Hasil audit
   4)    Rekomendasi
   5)    Exit interview (Penutup)

   5.    Teknik Audit TSI
Teknik audit adalah cara-cara yang ditempuh auditor untuk memperoleh pembuktian dalam membandingkan keadaan yang sebenarnya dengan keadaan yang seharusnya. Beberapa pendekatan yang dapat dilakukan apabila auditor tersebut memilih melakukan pengujian aplikasi adalah:
  Ø  Test Data
  Ø  Integrated Test Facility(ITF)
  Ø  Parallel Simulation(PS)
  Ø  Process Tracing Software.
  Ø  Embedded Audit Modules.
  Ø  Parallel Simulation(PS)
  Ø  Embadded Audit Module(EAM)
     Ø Mapping
     Ø Job Accounting Data Analysis
  Ø  Perangkat Lunak Audit

   6.    Regulasi Audit TSI
Dengan dominannya  penggunaan komputer dalam membantu kegiatan operasional diberbagai perusahaan, maka diperlukan standar-standar kontrol sebagai alat pengendali internal untuk menjamin bahwa data elektronik yang diproses adalah benar. Beberapa jenis standar kontrol yaitu:
  Ø  COSO (Comitte Of Sponsoring Organizationof the treadway commission’s) 
  Ø  COBIT (Control Objectives for Information and Related Technology)
  Ø  SARBOX (Sarbanes-Oxley Act)
  Ø  ISO 17799
  Ø  BASEL II

   7.    Standard dan Kerangka Kerja
Standar Audit SI tidak lepas dari standar professional seorang auditor SI. Standar professional adalah ukuran mutu pelaksanaan kegiatan profesi yang menjadi pedoman bagi para anggota profesi dalam menjalankan tanggungjawab profesinya.
Standar profesional adalah batasan kemampuan (knowledge, technical skill and professional attitude) minimal yang harus dikuasai oleh seseorang individu untuk dapat melakukan kegiatan profesionalnya pada masyarakat secara mandiri yang aturan-aturannya dibuat oleh organisasi profesi yang bersangkutan. Beberapa diantaranya adalah:
  §  ISACA : IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and  Control Professionals
  §  IIA : International Professional Practices Framework / IPPF
  §  IASII : Standar Audit Sistem Informasi
  §  BI : Standar Pelaksanaan Fungsi Audit Intern Bank / SPFAIB
  §  BPPT : Framework, Kode Etik & Standar, Pedoman Umum Audit Teknologi


   8.    Manajemen RESIKO
Didalam TSI, hal-hal yang perlu diperhatikan salah satunya adalah penilaian resiko. Konsep resiko dalam hal ini meliputi ancaman, kelemahan dan dampak dari penilaian resiko. Ancaman yang sering terjadi salah satunya adalah adanya kompleksitas dari TSI itu sendiri. Berbagai macam elemen dan variasi yang terdapat dalam TSI mewarnai perkembangan TSI kedepannya. Keamanan dan pengendalian TSI dewasa ini menjadi kelemahan dalam penilaian resiko.
Dalam hal ini, kedua hal tersebut menjadi suatu hal yang patut disorot dan diperhatikan agar dapat berkembang menjadi semakin baik. Memang hal ini bukan suatu hal yang mudah untuk dapat dilakukan, namun dengan melakukannya secara bersama-sama, saling menjaga, merawat dan memeliharanya, niscaya kelemahan ini dapat dikurangi bahkan dihilangkan. Adapun dampaknya adalah aset yang ada dapat terlindungi.

Ø  Tipe-tipe resiko terdiri dari:
-         + Resiko pengembangan
-         + Resiko Kesalahan
-         + Resiko Terhentinya Bisnis
-         + Resiko Pengungkapan Informasi
-         + Resiko Penggelapan

Ø  Proses penilaian resiko dapat dilakukan melalui tahap-tahap berikut ini:
-         +  Identifikasi objek (asset) yang akan dilindungi
-         + Penentuan ancaman yang dihadapi
-         + Menetapkan peluang kejadian
-         + Menghitung besarnya dampak dan kelemahan sistem
-         + Menilai alat-alat pengamanan yang ada
-         + Rekomendasi dan implementasi

    Proses pemeriksaan Teknologi Sistem Informasi (TSI), dilakukan melalui tahap-tahap sebagai berikut:
·         + Identifikasi spesifikasi sistem
·         + Penilaian kompleksitas TSI
·         + Penilaian resiko pra pemeriksaan
·         + Pemeriksaan around the computer
·         + Pemeriksaan through the computer
·         + Pemeriksaan keuangan

    DAFTAR PUSTAKA
    > https://indraoktamara.wordpress.com/2018/01/05/audit-tsi/amp/
    > https://dosenakuntansi.com/pengertian-audit
    > http://davisrockers89.blogspot.com/2013/01/audit-teknologi-sistem-informasi-tsi.html
    > https://www.slideshare.net/mobile/AdamNugraha4/laporan-audit-tsi-84958061
    > http://mtryirawan.blogspot.com/2017/10/makalah-audit-teknologi-sistem_42.html

j   LAMPIRAN TUGAS
    >Paper   : https://drive.google.com/file/d/1lbWvYuAF5VsoHOLzNCVPFmugouFSckM7/view?usp=sharing
     >  PPT       : https://drive.google.com/file/d/1iE9UYj4XFHUqys_g0P8jS4KBEmeaCv3j/view?usp=sharing