Audit Si
Audit Si
Jika selama ini kita hanya mengenal kata audit selalu identik dengan audit
keuangan, maka kini muncul profesi baru di bidang IT yaitu audit sistem
informasi (SI). Apa itu audit SI dan bagaimana gambaran profesi dibidang ini
dapat dijelaskan sebagai berikut :
Pengertian Auditing
Auditing adalah proses pengumpulan dan pengevaluasian bahan bukti
tentang informasi yang dapat diukur mengenai suatu entitas ekonomi yang
dilakukan seorang yang kompeten dan independen untuk dapat menentukan
dan melaporkan kesesuaian informasi dimaksud dengan kriteria-kriteria yang
telah ditetapkan 1)
Pengertian Audit Sistem Informasi
Ron Weber (1999,10) mengemukakan bahwa Audit Sistem Informasi adalah :
Information systems auditing is the process of collecting and evaluating
evidence to determine whether a computer system safeguards assets,
maintains data integrity, allows organizational goals to be achieved
effectively, and uses resources efficiently 2).
(Audit Sistem Informasi adalah proses pengumpulan dan penilaian bukti bukti untuk menentukan apakah sistem komputer dapat mengamankan aset,
memelihara integritas data, dapat mendorong pencapaian tujuan organisasi
secara efektif dan menggunakan sumber daya secara efisien).
Dampak fungsi audit sistem informasi pada suatu organisasi
Obyek Perlindungan Aset (Asset Safeguarding Objectives)
- Aset SI di dalam organisasi adalah H/W, S/W, Fasilitas, User
(Knowledge), file data, dokumentasi sistem, dan persediaan
barang.
- Sebaiknya semua aset harus dilindungi oleh sistem
pengendalian internal.
oleh Solikin WS
6/27/2011
Page 1 of
I S A u d it in g
O r g a n iz a t io n s
Im p ro v e d
S a f e g u a r d in g
o f A s s e ts
Im p ro v e d
D a ta In te g rity
Im p ro v e d
S y s te m
E ffe c tiv e n e s s
Im p ro v e d
S y s te m
E f f ic ie n c y
Gbr. 1.1 Dampak fungsi audit sistem informasi pada suatu organisasi
Obyek Integritas Data (Data Integrity Objectives)
- Integritas data adalah merupakan konsep dasar di dalam audit
SI. Data terdiri dari atribut-atribut yang harus berisi : lengkap
(completeness), dapat dipercaya (soundness), bersih (purity), and
benar (veracity).
- Jika integritas data tidak dipelihara, maka organisasi tidak akan
mendapatkan representasi data yang benar untuk suatu aktifitas,
akibatnya organisasi tidak dapat berkompetisi.
Obyek Efektivitas Sistem (System Effectiveness Objectives)
- Audit efektivitas sering dilakukan setelah sistem berjalan untuk
beberapa waktu. Manajemen membutuhkan hasil audit efektivitas
untuk mengambil keputusan apakah sistem terus dijalankan atau
dihentikan sementara untuk proses modifikasi.
Obyek Efisiensi Sistem (System Efficiency Objectives)
- Efisiensi SI dilakukan dengan cara menggunakan sumber daya
yang minimum untuk menyelesaikan suatu tujuan obyek
(pekerjaan). Variasi sumber daya terdiri dari
mesin, waktu,
peripheral, S/W sistem, dan pekerja.
oleh Solikin WS
6/27/2011
Page 2 of
O rg a n iz a tio n a l
C o s ts o f d a t a lo s t
C ost of
in c o r r e c t
d e c is io n
m a k in g
C ost of
c o m p u te r
abuse
V a lu e o f
H /W ,S /W a n d
P e rs o n n e l
H ig h c o s t o f
c o m p u te r
e rro r
M a in t e n a n c e
o f p riv a c y
C o n t r o lle d
e v o lu t io n o f
c o m p u te r u s e
O R G A N IZ A T IO N S
C o n tro l a n d A u d it o f c o m p u te rb a s e d in fo rm a tio n s y s te m s
oleh Solikin WS
6/27/2011
Page 3 of
H a c k in g
Il l e g a l
p h y s ic a l
access
V iru s e s
A buse of
p ri v i l a g e s
oleh Solikin WS
6/27/2011
Page 4 of
C o n se
q u en ces of
A b u se
D e s t r u c t io n o f T h e f t o f
a s s e ts
a s s e ts
M o d if ic a t io n o f
D is c r u p t io n o f U n a u t h o r iz e d
P r iv a c y v io la t io n s
a s s e ts
o p e r a t io n s
u s e o f a s s e ts
P h y s ic a l h a r m
to p e rs o n n e l
oleh Solikin WS
6/27/2011
Page 5 of
(c)
oleh Solikin WS
6/27/2011
Page 6 of
oleh Solikin WS
6/27/2011
Page 7 of
oleh Solikin WS
6/27/2011
Page 8 of
oleh Solikin WS
6/27/2011
Page 9 of
oleh Solikin WS
6/27/2011
Page 10 of
K u m p u la n
d a n A ra h a n
IT G o vern a n ce
Gambar 1.5
Pengaruh IT
perusahaan [3]
Governance
terhadap
pengaturan
M e m b u tu h k a n
In fo rm a s i d a ri
A k tiv ita s T I
Gambar 1.6
oleh Solikin WS
6/27/2011
Page 11 of
T u ju a n
A k tiv ita s
P eru sah aan
P e n g e n d a lia n
Sum berdaya
M enggunakan
L aporan
Gambar 1.7
o T I d is e s u a ik a n d e n g a n
b is n is , k e u n tu n g a n
m a k s im a l d a n p e lu a n g p e lu a n g b in s is
o S u m b e r d a y a d ig u n a k a n
d e n g a n b e rta n g g u n g
ja w a b
P e n g e n d a lia n
P e re n c a n a a n d a n o rg a n is a s i
PLA N
D O
C H EC K
C O R R EC T
A k u is is i d a n I m p le m e n ta s i
P en y am p aian d an D u k u n g an
P en g aw asan
Pengaturan
Resiko
Keamanan
Dapat
dipercaya
Pemenuhan
o R e s ik o d i a tu r s e c a ra
m em adai
Memperoleh Keuntungan
Meningkatkan
efektivitas
Menurunkan
biaya atau
efisiensi
L ap oran
Gambar 1.8
oleh Solikin WS
6/27/2011
Page 12 of
oleh Solikin WS
6/27/2011
Page 13 of
Gambar 1.9
Hubungan sumber
layanan [3]
TI
untuk
penyampaian
oleh Solikin WS
6/27/2011
Page 14 of
PR O SE S
B IS N IS
A p a y a n g d ib u tu h k a n
A p a y a n g d ip e r o le h
-
IN F O R M A S I
E fe k tif
E fisie n
K e ra h a sia a n
In te g rita s
K e te rse d ia a n
Pem enuhan
K e te ra n d a la n
SU M BER
DAYA TI
-
Gambar
1.10
D a ta
S iste m A p lik a si
T e k n o lo g i
F a silita s
S u m b e r D a y a M a n u s ia
Kerangka kerja COBIT, terdiri dari tujuan pengendalian tingkat tinggi dan
struktur klasifikasi keseluruhan. Terdapat tiga tingkat (level) usaha
pengaturan TI yang menyangkut manajemen sumberdaya TI. Mulai dari
bawah, yaitu kegiatan dan tugas (activities and tasks) yang diperlukan untuk
mencapai hasil yang dapat diukur. Dalam Aktivitas terdapat konsep siklus
hidup yang di dalamnya terdapat kebutuhan pengendalian khusus. Kemudian
satu lapis di atasnya terdapat proses yang merupakan gabungan dari
kegiatan dan tugas (activities and tasks) dengan keuntungan atau perubahan
(pengendalian) alami. Pada tingkat yang lebih tinggi, proses biasanya
dikelompokan bersama kedalam domain.
Pengelompokan ini sering disebut sebagai tanggung jawab domain dalam
struktur organisasi dan yang sejalan dengan siklus manajemen atau siklus
hidup yang dapat diterapkan pada proses TI.
oleh Solikin WS
6/27/2011
Page 15 of
D o m a in s
P ro cesses
A c t iv it ie s /
T a sk
Gambar 1.11
Selanjutnya, konsep kerangka kerja dapat dilihat dari tiga sudut pandang,
yaitu (1) kriteria informasi (information criteria), (2) sumberdaya TI (IT
resources), dan (3) proses TI (IT processes).
Ketiga sudut pandang tersebut digambarkan dalam kubus COBIT sebagai
berikut :
Gambar
1.12
oleh Solikin WS
6/27/2011
Page 16 of
(a) PO, domain ini mencakup level strategis dan taktis, dan konsennya pada
identifikasi cara TI yang dapat menambah pencapaian terbaik tujuantujuan bisnis.
(b)
AI,
untuk merealisasikan strategi TI,
solusi TI yang perlu
diidentifikasikan, dikembangkan atau diperlukan, juga diimplementasikan
dan diintegrasikan dalam proses bisnis.
(c) DS, domain ini menyangkut penyampaian aktual dari layanan yang
diperlukan, dengan menyusun operasi tradisional terhadap keamanan
dan aspek kontinuitas sampai pada pelatihan, domain ini termasuk
proses data aktual melalui sistem aplikasi, yang sering diklasifikasikan
dalam pengendalian aplikasi.
(d) M, semua proses TI perlu dinilai secara teratur atas suatu waktu untuk
kualitas dan pemenuhan kebutuhan pengendalian. Domain ini
mengarahkan kesalahan manajemen pada proses pengendalian
organisasi dan penjaminan independen yang disediakan oleh audit
internal dan eksternal atau diperolah dari sumber alternatif.
Proses-proses TI ini dapat diterapkan pada tingkatan yang berbeda dalam
organisasi, misalnya tingkat perusahaan, tingkat fungsi dan lain-lain.
Jelas bahwa semua ukuran pengendalian perlu memenuhi kebutuhan bisnis
yang berbeda untuk informasi pada tingkat yang sama.
a) Pertama adalah tingkat tujuan pengendalian yang diterapkan secara
langsung mempengaruhi kriteria informasi terkait.
b) Kedua adalah tingkat tujuan pengendalian yang ditetapkan hanya
memenuhi tujuan pengendalian atau secara tidak langsung kriteria
informasi terkait.
c) Blank dapat diterapkan namun kebutuhannya lebih memenuhi kriteria lain
dalam proses ini atau yang lainnya.
Agar organisasi mencapai tujuannya, pengaturan TI harus dilaksanakan oleh
organisasi untuk menjamin sumberdaya TI yang dijalankan oleh seperangkat
proses TI.
6.6 COBIT dan Pedoman Audit
Pedoman audit menyediakan alat yang saling melengkapi untuk
memungkinkan aplikasi yang mudah dari kerangka kerja COBIT dan tujuantujuan pengendalian dalam audit dan kegiatan penilaian.
Maksud pedoman audit adalah untuk menyediakan struktur yang sederhana
untuk mengaudit dan menilai pengendalian berdasarkan pada praktek audit
yang diterima secara umum yang sesuai dengan skema COBIT keseluruhan.
Pedoman audit ini menyediakan petunjuk untuk mempersiapkan perencanaan
audit yang diintegrasikan dengan kerangka kerja COBIT dan tujuan
pengendalian rinci, yang dapat dikembangkan kedalam program audit
khusus.
Pedoman audit COBIT memungkinkan auditor mereview proses khusus TI
terhadap tujuan pengendalian yang direkomendasikan, untuk membantu
Orasi-ilmiah wisuda II STMIK STIKOM Bali
27
oleh Solikin WS
6/27/2011
Page 17 of
oleh Solikin WS
6/27/2011
Page 18 of
B a la n c e d B u s in e s s
S coreca rd
T e k n o lo g i In fo rm a s i
P en y ebab
(E n a b le r s )
T u ju a n
u k u ra n
(h a s il/k e lu a ra n )
Gambar 1.15
u k u ra n
(k in e rja )
oleh Solikin WS
6/27/2011
Page 19 of
Initial
Repeatable
Defined
Managed
Optimised
Existent
0
ARTI SIMBOL
ARTI RANGKING
0 Non-Existent
1 Initial
2 Repeatable
3 Defined
4 Managed
5 Optimised
Strategi Perusahaan
Gambar 1.16
Model Maturity
[4]
oleh Solikin WS
6/27/2011
Page 20 of
TI
perbandingan
Level 0
Level 1
Level 2
Level 3
oleh Solikin WS
6/27/2011
Page 21 of
Level 4
Level 5
6.9 Pengendalian
6.9.1 Definisi Pengendalian
Ron Weber (1999,35) mengemukakan Pengendalian (control) adalah sebuah
sistem yang digunakan untuk mencegah (prevents), mendeteksi (detects),
atau mengkoreksi kejadian yang tidak dibenarkan (unlawful events).
Tiga aspek kata kunci definisi pengendalian, yaitu :
1.
Pengendalian adalah sebuah sistem (a control is a system)
Dengan kata lain, terdiri dari sekumpulan komponen yang saling berelasi
yang berfungsi secara bersama-sama untuk menyelesaikan suatu maksud
atau tujuan.
2.
Kejadian yang tidak dibenarkan (unlawful events)
Ketidakabsahan
kegiatan dapat muncul jika tidak ada otorisasi
(unauthorized), tidak akurat (inaccurate), tidak lengkap (incomplete),
redundansi (redundant), tidak efektif (ineffective) atau tidak efisien
(inefficient) pemasukan data kedalam sistem.
3.
Ketiga, pemeriksaan digunakan untuk mencegah (prevent),
mendeteksi (detect), atau mengkoreksi (correct) kejadian yang tidak
dibenarkan (unlawful events).
6.9.2 Pendekatan Pengendalian
Dua pendekatan pengendalian yaitu :
1. Pengendalian manajemen (management control), terdiri dari Top
Management Controls, Systems Development Management Controls,
Programming Management Controls, Data Resource Management
Controls, Security Management Controls, Operations Management
Controls, dan Quality Assurance Management Controls
2. Pengendalian aplikasi (application control), terdiri dari, Boundary Controls,
Input Controls, Communication Controls, Processing Controls, Database
Controls, dan Output Controls.
oleh Solikin WS
6/27/2011
Page 22 of
Gambar
1.17
oleh Solikin WS
6/27/2011
Page 23 of
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
oleh Solikin WS
6/27/2011
Page 24 of
16. AI5 Instalasi dan pengakuan sistem (Install and Accredit Systems)
17. AI6 Mengatur Perubahan (Manage Changes)
DELIVERY AND SUPPORT (DS)
18. DS1 Menetapkan dan mengatur tingkatan pelayanan (Define and
Manage Service Levels)
19. DS2 Mengelola layanan pihak ke tiga (Manage Third-Party Services)
20. DS3 Mengelola kapasitas dan kinerja (Manage Performance and
Capacity)
21. DS4 Menjamin layanan berkelanjutan (Ensure Continuous Service)
22. DS5 Menjamin keamanan sistem (Ensure Systems Security)
23. DS6 Mengidentifikasikan dan mengalokasikan biaya (Identify and
Allocate Costs)
24. DS7 Mendidik dan melatih user (Educate and Train Users)
25. DS8 Membantu dan memberikan masukan kepada pelanggan (Assist
and Advise Customers)
26. DS9 Mengelola konfigurasi (Manage the Configuration)
27. DS10 Mengelola kegiatan dan permasalahan (Manage Problems and
Incidents)
28. DS11 Mengelola Data (Manage Data)
29. DS12 Mengelola Fasilitas (Manage Facilities)
30. DS13 Mengelola Operasi (Manage Operations)
MONITORING (M)
31. M1 Mengawasi proses (Monitor the Processes)
32. M2 Menilai kecukupan pengendalian internal (Assess Internal Control
Adequacy)
33. M3 Memperoleh jaminan independen (Obtain Independent Assurance)
34. M4 Menyediakan Audit Independen (Provide for Independent Audit)
oleh Solikin WS
6/27/2011
Page 25 of
oleh Solikin WS
6/27/2011
Page 26 of
Daftar Pustaka
1. Alvin A, Arens, James K.Loebbecke, Auditing, Edisi Indonesia, Jakarta,
2003.
2. Weber, Ron (1999), Information Systems Control and Audit, The
University of Queensland, Prentice Hall.
3. Information System Audit and Control Association (ISACA) (2003), IS
Standards, Guidelines and Procedures for Auditing and Control
Professionals, http://www.isaca.org., 14 Juli 2003.
4. IT Governance Institute (2000), Executive Summary, COBIT 3rd Edition,
http://www.isaca.org, 14 Juli 2003..
5. IT Governance Institute (2000), Audit Guidelines, COBIT 3rd Edition,
http://www.isaca.org, 14 Juli 2003..
6. IT Governance Institute (2000), Management Guidelines, COBIT 3rd
Edition, http://www.isaca.org., 14 Juli 2003.
7. IT Governance Institute (2000), Implemetation Tool Set, COBIT 3rd
Edition, http://www.isaca.org., 14 Juli 2003.
8. Yayasan Pendidikan Internal Audit (2002), Institut Pendidikan dan
Pelatihan Audit dan Manajemen, Audit Sistem Informasi II, Jakarta.
oleh Solikin WS
6/27/2011
Page 27 of