Audit Sistem Informasi

Apa itu Audit Sistem Informasi / Teknologi Informasi

Audit pada dasarnya adalah proses sistematis dan objektif dalam memperoleh dan mengevaluasi bukti-

bukti tindakan ekonomi, guna memberikan asersi dan menilai seberapa jauh tindakan ekonomi sudah

sesuai dengan kriteria berlaku, dan mengkomunikasikan hasilnya kepada pihak terkait.

Secara umum dikenal tiga jenis audit; Audit keuangan, audit operasional dan audit sistem informasi

(teknologi informasi). Audit TI merupakan proses pengumpulan dan evaluasi bukti-bukti untuk

menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi,

mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta

menggunakan sumber daya yang dimiliki secara efisien. Audit SI/TI relatif baru ditemukan dibanding
audit

keuangan, seiring dengan meningkatnya penggunan TI untuk mensupport aktifitas bisnis.

Ada beberapa aspek yang diperiksa pada audit sistem teknologi informasi: Audit secara keseluruhan

menyangkut efektifitas, efisiensi, availability system, reliability, confidentiality, dan integrity, serta aspek

security. Selanjutnya adalah audit atas proses, modifikasi program, audit atas sumber data, dan data file.

Audit TI sendiri merupakan gabungan dari berbagai macam ilmu, antara lain: Traditional Audit,

Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science.

Tahapan-tahapan dalam audit TI pada prinsipnya sama dengan audit pada umumnya. Meliputi tahapan

Audit Sistem Informasi

Apa itu Audit Sistem Informasi / Teknologi Informasi

Audit pada dasarnya adalah proses sistematis dan objektif dalam memperoleh dan mengevaluasi bukti-

bukti tindakan ekonomi, guna memberikan asersi dan menilai seberapa jauh tindakan ekonomi sudah

sesuai dengan kriteria berlaku, dan mengkomunikasikan hasilnya kepada pihak terkait.

Secara umum dikenal tiga jenis audit; Audit keuangan, audit operasional dan audit sistem informasi

(teknologi informasi). Audit TI merupakan proses pengumpulan dan evaluasi bukti-bukti untuk
menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi,

mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta

menggunakan sumber daya yang dimiliki secara efisien. Audit SI/TI relatif baru ditemukan dibanding
audit

keuangan, seiring dengan meningkatnya penggunan TI untuk mensupport aktifitas bisnis.

Ada beberapa aspek yang diperiksa pada audit sistem teknologi informasi: Audit secara keseluruhan

menyangkut efektifitas, efisiensi, availability system, reliability, confidentiality, dan integrity, serta aspek

security. Selanjutnya adalah audit atas proses, modifikasi program, audit atas sumber data, dan data file.

Audit TI sendiri merupakan gabungan dari berbagai macam ilmu, antara lain: Traditional Audit,

Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science.

Tahapan-tahapan dalam audit TI pada prinsipnya sama dengan audit pada umumnya. Meliputi tahapan

perencanaan, yang menghasilkan suatu program audit yang didesain sedemikian rupa, sehingga

pelaksanaannya akan berjalan efektif dan efisien, dan dilakukan oleh orang-orang yang kompeten, serta

dapat diselesaikan dalam waktu sesuai yang disepakati. Pada tahap perencanaan ini penting sekali

menilai aspek internal kontrol, yang mana dapat memberikan masukan terhadap aspek resiko, yang pada

akhirnya akan menentukan luasnya pemeriksaan yang akan terlihat pada audit program. Selanjutnya

adalah pengumpulan bukti (evidence), pendokumentasian bukti tersebut dan mendiskusikan dengan

auditee tentang temuan apabila jika ditemukan masalah yang memerlukan tindakan perbaikan dari

auditee. Terakhir adalah membuat laporan audit.

Dalam pelaksanaannya, auditor TI mengumpulkan bukti-bukti yang memadai melalui berbagai teknik

termasuk survei, interview, observasi dan review dokumentasi (termasuk review source-code bila

diperlukan). Bisa jadi bukti-bukti audit yang diambil oleh auditor mencakup bukti elektronis (data dalam

bentuk file softcopy). Dalam proses pengumpulan bukti ini ada beberapa cara yang sering dipakai yaitu,
audit around computer, audit trought computer dan audit with computer. Jika tingkat pemakaian TI
tinggi

maka audit yang dominan digunakan adalah audit with computer atau yang biasa disebut dengan teknik

audit berbantuan computer atau menggunakan CAAT (Computer Aided Auditing Technique). Teknik ini

digunakan untuk menganalisa data, misalnya saja data transaksi penjualan, pembelian, transaksi

aktivitas persediaan, aktivitas nasabah, dan lain-lain. Tentunya untuk aspek sekuriti adakalanya auditor

dituntut mempunyai keahlian teknis yang cukup memadai untuk menguji keamanan sistem

Standar yang digunakan dalam mengaudit teknologi informasi adalah standar yang diterbitkan oleh

ISACA yaitu ISACA IS Auditing Standard. Selain itu ISACA juga menerbitkan IS Auditing Guidance dan

IS Auditing Procedure. Standar adalah sesuatu yang harus dipenuhi oleh IS Auditor. Guidelines

memberikan penjelasan bagaimana auditor dapat memenuhi standar dalam berbagai penugasan audit,

dan prosedur memberikan contoh langkah-langkah yang perlu dilalui auditor dalam penugasan audit

tertentu sehingga sesuai dengan standar. Bagaimanapun IS auditor harus bisa menggunakan judgement

profesional ketika menggunakan guidance dan procedure.

Standar yang aplicable untuk audit TI adalah terdiri dari 11 standar yaitu; S1. Audit charter, S2. Audit

Independent, S3. Profesional Ethic and standard, S4.Profesional competence, S5. Planning, S6.

Performance of Audit Work, S7. Reporting. S8.Follow-Up Activity, F9. Irregularities and Irregular Act, S10.

IT Governance dan S11. Use of Risk Assestment in Audit Planning. IS Auditing Guideline terdiri dari 32

guidance dalam mengaudit TI yang mengcover petunjuk mengaudit area-area penting. IS Audit

Procedure terdiri dari 9 prosedur yang menunjukan langkah-langkah yang dilakukan auditor dalam

penugasan audit yang spesifik seperti prosedur melakukan bagaimana melakukan risk assestment,

mengetes intrution detection system, menganalisis firewall dan sebagainya. Jika dibandingkan dengan

audit keuangan, maka standar dari Isaca ini adalah setara dengan Standar Profesional Akuntan Publik

(SPAP) yaitu menyangkut tata cara bagaimana audit dilakukan. Sedangkan bagaimana kondisi apa yang
diaudit diberikan penilaian berdasarkan standar tersendiri yaitu Cobit.

COBIT (Control Objective for Information Related Tecnology)

COBIT (Control Objective for Information Related Tecnology) adalah kerangka tata kelola TI (IT

governance) yang ditujukan kepada manajemen, staf pelayanan TI, control departemen, fungsi audit dan

lebih penting lagi bagi pemilik proses bisnis (business process owners), untuk memastikan

confidenciality, integrity and availability data serta informasi sensitif dan kritikal. COBIT didesign terdiri

dari 34 high level control objectives yang menggambarkan proses TI yang terdiri dari 4 domain yaitu:
Plan

and Organise, Acquire and Implement, Deliver and Support dan Monitor and Evaluate. Dengan

melakukan kontrol terhadap ke 34 objektif tersebut, organisasi dapat memperoleh keyakinan akan

kelayakan tata kelola dan kontrol yang diperlukan untuk lingkungan TI. Untuk mendukung IT process

tersebut tersedia lagi sekitar 215 tujuan control yang lebih detil untuk menjamin kelengkapan dan

efektifitas implementasi. Saat ini sudah terbit Cobit 4.1

The COBIT Framework juga memasukkan hal berikut Maturity Models

Untuk memetakan status

maturity proses-proses TI (dalam skala 0

5) dibandingkan dengan the best in the class in the Industry

dan juga International best practices. Critical Success Factors (CSFs)

Arahan implementasi bagi

manajemen agar dapat melakukan kontrol atas proses TI. Key Goal Indicators (KGIs)

Kinerja proses-

proses TI sehubungan dengan kebutuhan bisnis dan Key Performance Indicators (KPIs)

proses-proses TI sehubungan dengan process goals

COBIT dikembangkan sebagai suatu generally applicable and accepted standard for good Information

Technology (IT) security and control practices . Istilah

generally applicable and accepted digunakan

secara eksplisit dalam pengertian yang sama seperti Generally Accepted Accounting Principles (GAAP).

Suatu perencanaan audit TI dapat dimulai dengan menentukan area-area yang relevan dan berisiko

paling tinggi, melalui analisa atas ke-34 proses tersebut. Sementara untuk kebutuhan penugasan

tertentu, misalnya audit atas proyek TI, dapat dimulai dengan memilih proses yang relevan dari proses-

proses tersebut.

Hasil Audit? Siapa yang Melakukan Audit?

Auditor Sistem Informasi pada dasarnya melakukan penilaian (assurance) tentang kesiapan sistem

berdasarkan kriteria tertentu. Kemudian berdasarkan pengujian Auditor akan memberikan rekomendasi

perbaikan yang diperlukan. Adakalanya judgement diperlukan berdasarkan kriteria yang disepakati

bersama. Penanggung jawab sistem yang diaudit tetap berada pada pengelola sistem, bukan di tangan

auditor. Atas rekomendasi yang diberikan tentunya diharapkan ada tindak lanjut perbaikan bagi

Siapakah sebaiknya yang melakukan audit sistem informasi? Audit sistem informasi dapat dilakukan

sebagai bagian dari pengendalian internal yang dilakukan oleh fungsi TI. Tapi jika dibutuhkan opini publik

tentang kesiapan sistem tersebut, audit dapat dilakukan dengan mengundang pihak ketiga (auditor

independent) untuk melakukannya. Di AS hasil audit sistem informasi terhadap bank harus
dipublikasikan

kepada publik. Dengan demikian pengguna jasa, nasabah mengetahui kondisi layanan sistem informasi

pada bank tersebut. Jika sebuah hasil audit TI perlu dipublikasikan, tentunya perlu perangkat hukum

yang mengatur tata cara pelaporan tersebut

GET FILE