Basic Concepts of Information System Auditing 1

Chapter I

Basic Concepts
of Information
System Auditing
Rafael Rodríguez de Cora

INTRODUCTION

The challenge of Information System Auditing, as it is known nowadays,

is a consequence of amost important current trend, namely the change from
an Industrial to an Information Society.

Weare involved inprofoundchangesof all kinds leadingus into the 21st

century. Organizations depend on the economical, industrial and social
environment in which they develop, so, if technological tendencies, economical
environments and indus- tries change, they have to adapt fast to the
newcircumstances in order to survive.

Such a fast change is affecting the whole world and its understanding is
fundamental for all kinds of organizations, especially in relation to Information
Systems and Related Tech- nologies. Forbetter orworst, thewholeSociety
ismoreandmore dependent on information and communication systems.

On the other hand, the development of information tech- nologies in the

last twenty years has been constant and impres- sive. Thepast fiveyears
canbeconsideredasa true technological revolution in depth and impact.
Nowadays the majority of organizations consider that information and its
associated tech-

Copyright © 2000, Idea Group Publishing.

2 Rodriguez de Cora

nologi mewakili aset terpenting mereka. Persyaratan kualitas, kontrol dan

keamanan yang diterapkan untuk aset perusahaan lain juga diperlukan untuk
sistem dan teknologi informasi. Manajemen harus menetapkan sistem
pengendalian internal yang memadai, dan sistem tersebut harus mendukung
proses bisnis dan sumber daya dengan benar.

Perencanaan, pengendalian, keamanan dan pengurangan biaya yang

terlibat dalam Sistem Informasi saat ini penting untuk strategi organisasi.

Secara umum, situasi Sistem Informasi saat ini sering ditandai dengan
kurangnya asimilasi teknologi baru, penggunaan informasi dan sumber daya
teknologi yang buruk, ketidakpuasan umum pengguna, aplikasi usang, dan
kurangnya Perencanaan. Aplikasi di masa lalu belum terintegrasi tetapi
dirancang sebagai solusi parsial, dan telah berfungsi sebagai pulau otomatis
atau manual yang independen. Proses manual sulit dikendalikan dan mahal
pemeliharaannya. Akhirnya dewasa ini kurangnya standar dan metode, dan
kurangnya pelatihan dan budaya umum mengenai keseluruhan aspek
Pengendalian dan Keamanan Informasi.

Mengambil inisiatif dalam menangani masalah ini, Organisasi

profesional ISACA (Asosiasi Sistem Informasi dan Kontrol) menerbitkan,
mengikuti Yayasannya pada bulan Desember 1995, CobiT (Tujuan Kontrol
untuk Informasi dan Teknologi Terkait), sebagai hasilnya empat tahun
penelitian intensif oleh tim ahli internasional yang luas.

Di masa lalu, Audit Sistem Informasi telah digunakan sebagai pelengkap

teknis untuk Audit Keuangan. Karena tumbuhnya dampak Teknologi Informasi
dan Terkait dalam organisasi, masalah ini menjadi semakin penting dan hanya
dapat dilihat dan dijalankan sebagai disiplin independen. Metode dan
prosedur untuk Audit Sistem Informasi layak dipertimbangkan oleh organisasi
dan perusahaan dari berbagai ukuran.

Sebagai hasil dari persaingan global saat ini, organisasi harus

merestrukturisasi operasi mereka menuju lingkungan yang lebih kompetitif dan
teknologi, dan akibatnya mereka harus memanfaatkan penggunaan Sistem dan
Teknologi Informasi yang aman dan terkendali untuk mempertahankan dan
meningkatkan pasar mereka.
 Konsep Dasar Auditing Sistem Informasi 3

posisi. Fakta ini seharusnya merangsang pelajar dan profesional serta

meningkatkan kesadaran masyarakat secara umum akan pentingnya profesi
kunci ini untuk abad ke-21.

LATAR BELAKANG

Evolusi Teknologi Informasi telah terjadi berkat pemanfaatan yang lebih

baik atau terburuk yang dilakukan oleh pengguna di satu sisi, dan sedikit
banyak didorong oleh kebutuhan komersial produsen dan kemajuan teknologi,
di sisi lain.

Industri Teknologi Informasi, dimulai dari perangkat awal pertama, dan telah
melalui beberapa tahap dari tahun enam puluhan hingga saat ini. (Gambar 1)

Tahapan yang paling signifikan adalah sebagai berikut:

• Perangkat elektromekanis - Unit Record - (Satu perangkat
untuk setiap fungsi administratif, seperti pengurutan, penghitungan, pengarsipan,
pencetakan, dll.)
• Satu Komputer untuk banyak orang - Mainframe - (Komputer Pusat Besar)

• OneComputer untuk beberapa- Minikomputer - (Komputer

Departemen)
• OneComputer untuk satu pengguna - Pengguna tunggal PC - (Komputer Pribadi)

• Berbagai pengguna berbagi sumber daya - LAN - (Departmen-

tal Komunikasi. Jaringan Area Lokal)
• AvarietyofKomputer untuk berbagai macam pengguna - LEMAH
- (Komputasi Jaringan. Jaringan Area Luas)
• Integrasi Informasi dan Komunikasi- Dunia
Wide (Global Intercommunication. Informasi Jalan Tol)

Akibatnya, tahapan ini telah menghasilkan desain, kreasi, dan

pemanfaatan berbagai jenis Sistem Informasi, yang juga berkembang seiring
waktu:
• Sistem Batch • Sistem Klien / Server
• Sistem Interaktif • Komputasi Jaringan
• Otomasi Kantor
4 Rodriguez de Cora

Gambar 1: Evolusi Informasi

Tahun sembilan puluhan dicirikan oleh apa yang disebut "Komputasi Jaringan" di
mana pengguna dapat memiliki akses ke semua jenis komputer melalui jaringan
komunikasi global, seperti yang ditunjukkan di bawah ini pada Gambar 2:

Gambar 2: Lingkungan Komputasi Jaringan

 Konsep Dasar Auditing Sistem Informasi 5

Tantangan dan Strategi untuk Kompleksitas

Lingkungan baru ini meningkatkan kompleksitas dalam semua jenis

hubungan. Kompleksitas sistem dan teknologi, dan kecenderungan baru yang
disebutkan, berarti peningkatan kompleksitas dalam pertukaran produk dan
layanan, yang mengarah pada peningkatan kompleksitas dalam infrastruktur
perusahaan dan semua jenis hubungan.

Peningkatan kompleksitas ini berdampak pada proses pengambilan

keputusan umum, dan juga dalam proses pengambilan keputusan desain Sistem
Informasi, untuk mendukung kebutuhan bisnis baru dalam akuisisi, pemanfaatan
dan pengendalian teknologi baru.

Keterkaitan faktor-faktor tersebut berarti bahwa strategi harus dianalisis dan

dirancang secara terintegrasi, seperti yang ditunjukkan pada Gambar 3 di bawah ini:

Gambar 3: Perencanaan Strategis Sistem Informasi

EKONOMIS ORGANISASI

STRATEGI STRATEGI

(PEREKONOMIAN GLOBAL

INTEGRASI

PERUBAHAN

PENGELOLAAN

INFORMASI
STRATEGI
SISTEM
HR
STRATEGI
6 Rodriguez de Cora

KONSEP AUDIT UMUM

Definisi dan jenis Auditing

Secara umum, ketika berbicara tentang audit, kita berbicara tentang alat
kontrol, yang melibatkan metodologi untuk menetapkan kriteria, sehingga kita dapat
mengukur keefektifan, efisiensi dan kemungkinan penyimpangan dari tujuan yang
ditetapkan dari sistem tertentu.

Lingkungan atau aplikasi mendefinisikan jenis atau fungsi audit (menurut

fungsi menurut sistem), sehingga kita dapat membedakan:

• Audit Keuangan
• Audit Produksi
• Audit Sumber Daya Manusia
• Audit Lingkungan
• Dll
The type of auditing that is best known applied by organi- zations and
established as compulsory by law is the Financial Auditing. According to its
definition it concerns the “Indepen- dent investigationof the financial situationof
an entity, with the intention of expressing an opinion about the financial status
in compliance with norms and established procedures and gener- ally
accepted accounting principles “.

Sincean independent opinion is required, there is aneed for the function

of auditing to be performed by external personnel. The people in charge of the
External Auditing function in orga- nizations must have strict codes of conduct
and professional ethics, and they should have an impartial relationship with
the audited entity.

Theopinionon the financial statementsof the company is based on:

• Reviewing and evaluating the Financial Control System.

• Performing specific Audit Tests

Information System Auditing

The new developments in Information and Related Tech- nologies have

had an enormous impact and influence on the
 Basic Concepts of Information System Auditing 7

generation of Financial Statements, administrative systems and procedures,

and accounting.
As soon as data and management procedures are handled by
automated systems, Information Systems Auditing comes into place. This
includes new methodologies and control tech- niques, pertinent to an
automated environment.
Dalam cara yang mirip dengan Audit Keuangan, Audit Sistem Informasi
memerlukan pendapat tentang Sistem Informasi dan data yang mereka
proses. Data tersebut harus akurat, lengkap dan resmi. Kesalahan harus
dideteksi dan diperbaiki tepat waktu dan harus ada prosedur yang terencana
dan akurat untuk menjamin kelangsungan operasi.

Audit Sistem Informasi, yang dulunya merupakan pelengkap Audit

Keuangan, kini telah eksis dan dapat dikatakan sebagai disiplin profesional.

Ketika kita mengubah dari manual ke lingkungan otomatis, kita harus

memperhitungkan beberapa perbedaan penting dari sudut pandang kendali:

Perubahan sifat dalam Sistem Otomatis

MANUAL OTOMATIS
Murah Mahal
Fleksibel Tidak fleksibel

Kesalahan Tak Terduga Kesalahan Sistematis

Lebih banyak pembagian fungsi Back-up Lebih sedikit pembagian fungsi

lebih mudah Lebih sulit atau

expensive back-up
Errors cause minor impact Less Errors cause major impact More
need of information need of information

Changes in auditing procedures.

• Evaluation of automated controls.

• Evaluation of effective and efficient use of automated systems and
resources.
8 Rodriguez de Cora

• Impact on the scope and procedures of the following main

circumstances:

- Basic accounting controls in computer programs.

- Integration of accounting systems through initial data input and
databases.

- Use of computer capacity for decision making.

- Automatic transaction initiation.
- Loss of visible Audit Trails.
- Use of real-time processing.
- Concentration of functions and responsibilities in the Information
Service Department.

- Accessibility of electromagnetic data and files.

Audit perspective for automated systems:

• Orientation on systems.
• Orientation on data.

Tujuan Audit Sistem Informasi

Tujuan umum Audit Sistem Informasi adalah sebagai berikut:

• Validasi aspek organisasi dan administrasi fungsi Layanan Informasi.

• Validasi kontrol siklus hidup pengembangan sistem.

• Validasi kontrol akses ke instalasi, terminal, perpustakaan, dll.

• Otomatisasi kegiatan Audit Internal.

• Pelatihan Internal.
• Melatih anggota Departemen Fungsi Layanan Informasi

• Kolaborasi dengan Auditor Eksternal

Ada alasan bagus mengapa Manajemen harus menjadi prima-

sangat tertarik dengan Auditing. Pertama-tama, pengendalian Sistem Informasi
harus dilakukan untuk mencegah:
• Waktu dan biaya pengembangan yang berlebihan.
• Tujuan yang tidak realistis atau tidak mungkin untuk dipenuhi.
 Konsep Dasar Auditing Sistem Informasi 9

• Sistem yang kaku saat mulai beroperasi.

• Ketidakpatuhan dengan manfaat nilai tambah.
• Metode dan sistem yang mahal.

Kurangnya kendali melibatkan banyak risiko. Banyak Sistem gagal

karena beberapa alasan berikut:
• Kurangnya kapasitas teknis manajemen
• Kurangnya dukungan manajemen dalam pengembangan Sistem.
• Kurang berpengalamannya karyawan atau kurangnya pelatihan.
• Harapan yang tidak realistis dengan orientasi yang salah.

Rencana Audit Sistem Informasi

Untuk mendekati Sistem Informasi, Rencana harus dikembangkan, mirip dengan

yang digunakan dalam Audit Keuangan. Beberapa tugas yang terlibat adalah sebagai
berikut:
• Definisi Ruang Lingkup dan Tujuan.
• Analisis dan pemahaman tentang prosedur standar.
• Evaluasi sistem dan pengendalian internal.
• Prosedur Audit dan dokumentasi bukti.
• Analisis fakta yang ditemukan.
• Pembentukan opini atas kontrol.
• Penyajian laporan dan rekomendasi.

Salah satu hal yang paling sulit untuk ditentukan adalah tujuan dan ruang
lingkup Audit. Sebagai panduan, seseorang dapat memperhitungkan variabel berikut
untuk menentukan cakupan tersebut:
• Perluasan dan ruang lingkup Audit Keuangan yang sedang berlangsung.
• Durasi dan sifat tinjauan, Audit Internal atau Eksternal.

• Dimensi instalasi dan tingkat kerumitan.

• Tingkat sentralisasi atau distribusi sistem dan integrasi Database

• Adanya prosedur dan norma untuk lingkungan pengembangan dan

produksi.
10 Rodriguez de Cora

Sistem Informasi Ideal

Ada banyak tujuan yang dapat mengarah pada pelaksanaan Audit

Sistem Informasi. Bagaimanapun, meskipun ruang lingkup dipertimbangkan,
kita harus mencari tujuan umum utama berikut, ketika kita mempertimbangkan
Layanan dan Infrastruktur tempat Sistem Informasi dikembangkan:

• Layanan harus beroperasi sebagai departemen otonom, bergantung

pada Manajemen Umum.

• Mengoptimalkan penggunaan sumber daya teknis dan menyediakan layanan

otomatis dengan biaya minimum.

• Ini mengantisipasi kebutuhan masa depan pengguna tanpa memperkenalkan

produk eksperimental atau tidak cukup teruji.

• Ini beroperasi sesuai dengan standar dan prosedur yang telah

ditetapkan, yang menjamin proses yang andal dan distribusi hasil
yang memadai.

• Pengguna dilibatkan dalam desain dan perencanaan aplikasi.

• Metode penetapan biaya, berdasarkan pemanfaatan aktual, dipertahankan untuk

mengukur pemanfaatan sumber daya informasi oleh pengguna.

Teknik Audit

Teknik Audit terdiri dari berbagai jenis tetapi dapat dikelompokkan dalam
dua jenis bukti:
• Tes Kepatuhan: They verify the correct execution or registration of an
operation or process through its repeti- tion or observation. (Test data,
logic reviews, and sample of a file).

• Substantive Tests: They make analytic review of real data, to test its
quality, by using certain audit software or packages. (C.A.A.T.).

Beingmorespecific thantheonesmentionedabove, someof

the most general audit techniques and tests are as follows:
• Interviews (management, staff, operators, users).
• Observation “on location” of the work environment.
• Audit Guidelines and Control Objectives (checklists to
 Basic Concepts of Information System Auditing 11

review controls).
• Organizational structure, flow charts (of manual and automated
operations), file interrelations.

• System documentation and descriptions of the users’ environment

(standard software, hardware, terminals, etc.)

• Hierarki organisasi dan pemisahan tugas

• Penggunaan perangkat lunak Audit khusus
• Pengambilan sampel statistik
• Melakukan jenis tes khusus lainnya untuk mendapatkan bukti

MASA LALU DAN MASA DEPAN

DALAM AUDIT SISTEM INFORMASI

Untuk alasan teknis, Sistem Informasi Audit telah melalui beberapa fase
yang terkadang membingungkan, semakin memperbesar jarak dengan Audit
Keuangan, dan mengintegrasikan dirinya dalam Sistem Informasi yang
kompleks dan canggih saat ini.Tanpa batas waktu yang dibatasi dengan jelas,
kita dapat mendefinisikan fase berikut:

Mengaudit di sekitar komputer:

Pada tahap pertama, ketika ada lebih banyak sistem manual daripada
sistem otomatis, Auditor Keuangan memperlakukan komputer sebagai "kotak
hitam" dan hanya meninjau kontrol input dan output, data dan prosedur, tanpa
menganalisis proses internal, yang memerlukan teknis pengetahuan.

What was done, in practice, was just to review manually what the
computer produced, since this was fairly easy to do as it concerned almost
only batch processes.

Auditing the computer:

A second phase came into beingwhen the concentration of Data and
Processes that were inside the computer becamemore significant,
andFinancialAuditorshadtorelyuponInformation Technology Specialists to
assure that the controls in an auto- mated environment and within the machine
were sufficiently reliable and allowed a reasonable guarantee of Information
12 Rodriguez de Cora

Processing from an Auditor’s point of view.

Auditing through the computer:

Fase ketiga tiba ketika Sistem Informasi menjadi objek tersendiri, karena
kepentingannya, dan melampaui Audit Keuangan, menawarkan pasar
konsultasi independen untuk memverifikasi efisiensi dan penggunaan global
dari Sistem Informasi organisasi.

Mengaudit dengan komputer:

Dalam fase ini, Auditor mulai menggunakan komputer pada gilirannya
untuk tugas audit khas seperti persiapan proyek, pengambilan sampel statistik,
laporan, dan aktivitas lainnya. Auditor beralih ke pakar Teknologi Informasi
yang merupakan spesialis di lingkungan klien atau ke spesialis internal mereka
sendiri untuk melakukan tes, sampel statistik atau program ekstraksi data
(Teknik Audit Berbantuan Komputer).

Mengaudit di dalam komputer:

Pakai sekarang fase keempat, yang dimulai beberapa tahun lalu,
dimana banyak sistem perangkat keras dan perangkat lunak menggabungkan
prosedur kontrol dan keamanan, yang biasanya terjadi
dikompensasi secara manual, atau dengan prosedur dan kontrol alternatif.

Dalam konteks ini, kami dapat mengutip beberapa teknologi canggih, yang
memerlukan, untuk desain mereka sendiri dan untuk kebijakan industri dan pasar,
penggabungan kontrol atau mekanisme keamanan:
• Perangkat keras
- Prosesor atau cluster paralel
- Sistem dengan catu daya internal yang tidak terputus
- Sistem Toleransi Kesalahan

• Sistem operasi
- Keamanan dan mekanisme akses di berbagai tingkatan
- Tingkat keamanan C2 dan Sistem UNIX V ("Buku Oranye- DOD")

- Subsistem atau rutinitas Audit bawaan

 Konsep Dasar Auditing Sistem Informasi 13

• Database
- Pencadangan On-line
- Mirroring
- Komit dua fase
- Bahasa Generasi Keempat (4GL)
- Keamanan dan mekanisme akses di berbagai tingkatan
- Generator Transaksi untuk tujuan Audit

• Komunikasi
- Perpindahan pesan
- Enkripsi
- Tembok Api
- Dll

KONSEP KONTROL

The acceleratedchange in technologyalsoaffects thenature

andmechanisms of controls. Control technologies are changing in two different
ways. On the one hand as mentioned before, basicmanual andautomated
controls are nowpart of the design of modern hardware and software systems.
On the other hand, new control technology, which did not exist before, is
available now.Auditstandardsandobjectivesdonotvarybetweenmanual

and automated systems. But the scope, the emphasis on every type of control,
and the methods and procedures do vary sub- stantially with every kind and
level of the system automation.
ISACF (Information Systems Audit and Control Foundation) merilis pada tahun
1996 sebuah produk yang disebut CobiT: "Objektif Kontrol untuk Informasi dan
Teknologi terkait", untuk mendefinisikan metodologi pengendalian yang dapat
diterapkan. Pada tahun 1998 versi kedua dari CobiT dirilis, yang sekarang telah
tersedia.

Tujuan Pengendalian

Tanggung jawab manajemen adalah untuk melindungi aset organisasi.

Saat ini bagi banyak organisasi, informasi dan teknologi pendukungnya
dianggap sebagai aset terpenting.
14 Rodriguez de Cora

Secara umum, tujuan pengendalian utama dianggap sebagai berikut:

• Pengamanan aset
• Menjamin keakuratan, keandalan, dan otorisasi data
• Efisiensi operasi
• Kepatuhan dengan kebijakan dan prosedur organisasi

Kurangnya kendali secara umum dapat berarti risiko-risiko berikut:

• Keputusan yang salah
• Penipuan
• Gangguan bisnis
• Excessive costs
• Competitive disadvantages
• Illegal situations

IT Control Objective is defined as a statement of the result or purpose

which is desired to be achieved by implementing control procedures
inaparticular ITactivity: Inorder toprovide
the information that the organization needs to achieve its objectives, IT
resources need to be managed by a set of naturally grouped processes.

(ISACA, 1998)

Control Environment

Controls canbe groupedaccording to the following three environments:

A B

USERS D.P.

a) Accounting Controls - Procedures, etc.

b) Processing Controls - Data completeness and reliability
c) Environmental Controls - (All others)
 Basic Concepts of Information System Auditing 15

Saat menganalisis sistem pengendalian internal, bagian manual dan

otomatis tidak boleh dipisahkan. Ini harus selalu berorientasi pada jaminan
kontrol sistem sebagai keseluruhan. Ini berarti bahwa menganalisis dan
memperoleh pemahaman tentang Sistem Informasi harus dilakukan dalam
konteks Siklus Hidup Sistem secara keseluruhan. Di sisi lain, kesimpulan yang
dicapai tentang kontrol yang memadai atau defisiensi harus fokus pada mode
global. Ini berarti bahwa kita dapat menemukan bahwa satu jenis kontrol
mungkin kurang, tetapi dapat dikompensasikan dengan jenis kontrol lain atau
prosedur umum.

Lingkup Kontrol

Ruang Lingkup Kontrol menentukan sumber daya mana yang diterapkan pada
saat tertentu dalam Audit, seperti fasilitas, sistem, atau data tertentu. Secara khusus,
CobiT mendefinisikan sumber daya berikut:

Data: External and internal data objects, structured and non-structured

data, graphics, sound, etc.
Application Systems: That is, the sum of manual and programmed
procedures.
Technology: Hardware, operating systems, database management
systems, networking, multimedia, etc.
Facilities: Resources to house and support, Information Systems.

People: Including staff skills, awareness and productiv- ity to plan,

organize, acquire, deliver, support andmoni- tor Information Systems
and Services.
(ISACA, 1998)

IT Domains & Processes

TheCobiT framework consists ofControlObjectives andan overall

structure for their classification. CobiT considers the management of IT
resources, on three levels of IT efforts:
ActivitiesandTasks, whichareneededinorder toachieve
a measurable result.
Processes, which are defined as a series of joined activi- ties or tasks
with natural (i.e. control) breaks, one layer
16 Rodriguez de Cora

up.
Domains, which are groups of processes naturally grouped together.

(ISACA, 1998)

Each of these categories in their turn establishes and in- cludes a

number of controls, control objectives and methodol- ogy to perform the Audit
more specifically. CobiT identifies the following four Domains:

Planning and Organisation

This domain covers strategy and tactics for Information Systems and is
concernedwith theway IT can best contribute to the achievement of the
business objectives. The implementation of the strategic vision needs to be
planned, communicated and managed, and a proper organization and
technological infra- structure must be provided.

Acquisition and Implementation

Solusi TI perlu diidentifikasi, dikembangkan atau diperoleh serta
diimplementasikan dan diintegrasikan ke dalam proses bisnis. Selain itu, domain
ini mencakup perubahan dan pemeliharaan sistem yang ada.

Pengiriman dan Dukungan

Penyampaian layanan yang dibutuhkan secara aktual juga menjadi perhatian. Untuk
memberikan layanan, proses dukungan yang diperlukan harus disiapkan. Domain ini
mencakup pemrosesan data yang sebenarnya oleh sistem aplikasi, sering kali
diklasifikasikan di bawah kendali aplikasi.

Pemantauan
Semua proses TI perlu secara teratur dinilai dari waktu ke waktu oleh audit
internal dan eksternal, sesuai dengan kualitas dan kepatuhannya terhadap
persyaratan kontrol.
(ISACA, 1998)
 Konsep Dasar Auditing Sistem Informasi 17

PERKEMBANGAN FUNGSI AUDIT

Perencanaan dan Ruang Lingkup

Biasanya, Program Audit terdiri dari fase-fase berikut

atau langkah-langkah:

• Evaluasi awal dari Audit untuk menentukan tujuan dan ruang lingkup.

• Investigasi norma, prosedur dan kontrol yang harus dipatuhi

tujuan dan untuk mengidentifikasi potensi risiko yang ada.

• Programelaborationanddetailedworkschedule, termasuk-
ing logistik yang diperlukan
dan formalitas.
• Pemilihan dan definisi tim serta sumber daya lain untuk melaksanakan
program.

• Definisi pengujian audit untuk dilakukan dan alat yang digunakan:

- Daftar periksa
- Tes
- Verifikasi "in-situ"
- Dll
• Kinerja pekerjaan Audit melalui pengetahuan dan analisis informasi,
pengumpulan bukti, serta pengujian dan verifikasi kepatuhan.

• Pemeriksaan pengendalian dan penilaian risiko yang ada, mengungkap

kekurangan dan mendokumentasikan temuan.

• Memverifikasi hasil dan tujuan yang diusulkan.

• Penyusunan opini Audit dan penjabaran laporan Audit termasuk
rekomendasi.

• Review dan pengajuan kertas kerja.

Tim Kerja Audit

Dalam Tim Kerja Audit, orang-orang dengan level yang berbeda biasanya
menggunakan kertas kerja:
• Manajer: Bertanggung jawab atas Audit dan kendali mutu, untuk menjamin
bahwa pekerjaan telah selesai dan telah dilakukan sesuai dengan standar
dan prosedur, dan kesimpulan didokumentasikan dengan baik.
18 Rodriguez de Cora

• Senior / Team leader: Bertanggung jawab atas kertas kerja, ruang

lingkup Audit dan supervisi tim kerja

• Staf: Bertanggung jawab atas kinerja Audit dan dokumentasi pekerjaan

yang telah dilakukan.

Tugas beresiko

Risiko terhadap Sistem Informasi biasanya dipahami sebagai potensi atau

keadaan nyata, yang dapat menyebabkan hilangnya nilai aset organisasi. Secara
khusus risiko yang mempengaruhi data, adalah sebagai berikut:

• Kesalahan manipulasi.
• Penipuan yang Disengaja.

• Sabotase.
• Penyaringan informasi rahasia.
• Bencana alam.
• Kecelakaan lingkungan umum.

Risiko ini dapat memiliki konsekuensi langsung, sebagai berikut:

• Kerusakan data, mempengaruhi keandalannya.
• Gangguan proses, membatasi ketersediaan data.
• Penghancuran data, mengakibatkan kurangnya integritas.
• Pengungkapan atau pengurangan data, yang mengakibatkan hilangnya privasi atau
kerahasiaan.

Bagaimanapun, masalah ini menyebabkan kerugian ekonomi, yang bisa

sangat serius, mempengaruhi citra, atau bahkan menciptakan dasar situasi ilegal
dalam organisasi.
Penyebab yang menyebabkan kurangnya keamanan bisa jadi tidak disengaja atau disengaja.

Saat menerapkan pengendalian untuk meminimalkan risiko, harus

diperhatikan bahwa biaya penerapan ini harus selalu lebih murah dan lebih
efektif daripada risiko potensial.

Riskevaluationandquantificationshouldalways takeplace,
although total securitydoes not exist. There is always a trade-off between the
cost of risk and the cost of control.
 Basic Concepts of Information System Auditing 19

Audit Work Papers and Audit Administration

For the administration of the Audit, the Audit Teammust use a standard
set of work papers. To carry out the Audit and serve as a support of opinions
and evidence, the Auditors must prepare the following set of documents:

• Proposal or Presentation of the Audit.

- Progress Reports.
- Work Papers. “Permanent File”.
- Other Work Papers.
- Preliminary Reports.
- Final Audit Report (opinion).

• Proposal: Generallyspeaking theproposal toa customer, or the

preceding Audit presentation to an organization should have the
following structure:
- Introduction.
- Scope and conditions.
- Work Team.
- Rencana dan Jadwal Audit
- Persyaratan atau Kebutuhan Khusus.
- Biaya (dan pengeluaran)

• Laporan perkembangan
Setidaknya satu atau lebih laporan kemajuan berkala harus dibuat selama pekerjaan
Audit: Mereka mengidentifikasi masalah atau insiden masa lalu atau masa depan, mengusulkan
solusi. Mereka juga berguna dalam melaporkan penyimpangan ruang lingkup dan kemungkinan
perubahan dalam perencanaan dan anggaran.

“File Permanen”
"File permanen" berisi informasi yang menarik bagi auditor tentang suatu
sistem atau area tertentu. Informasi yang diperoleh dan tanggal audit perlu
diperbarui dalam audit sistem selanjutnya.

File permanen harus dirancang di tempat yang berisi

dokumentasi dasar tentang sistem atau area yang ditinjau.
20 Rodriguez de Cora

• Makalah Kerja Lainnya

- Program Audit.
- Daftar masalah yang menunggu keputusan.

- Rekomendasi dan tindak lanjut tentang titik-titik lemah.

- Administrasi.
- Penugasan dan kendali sumber daya.
- Laporan waktu dan pengeluaran.
- Manajemen faktur.
- Rapat.
- Pendahuluan.
- Berkala.
- Final.

• Laporan Pendahuluan
Draf laporan, yang akan didiskusikan dengan klien untuk kemungkinan
komentar dan observasi.

• Laporan Opini Akhir

Laporan Audit Akhir, yang akan dikirim ke Direksi pelanggan atau
organisasi yang meminta Audit. Harus jelas dan konsisten, melanjutkan hasil
Audit.

Ini harus berisi rekomendasi khusus yang dihasilkan dari Audit, dan
menjelaskan dampak dari kurangnya kontrol yang terdeteksi. Isi kertas kerja
sangat mendasar karena digunakan untuk mendukung opini.

Aspek-aspek yang harus diperhatikan adalah sebagai berikut:

• Informasi Lengkap.
• Informasi Yang Tepat.
• Informasi yang relevan
• Format standar dan struktur seragam.
 Konsep Dasar Auditing Sistem Informasi 21

ASPEK ORGANISASI

Organisasi

Audit Sistem Informasi dapat dilakukan dengan:

• Departemen Organisasi dan Metode.
• Departemen kendali mutu.
• Layanan Audit Internal.
• Perusahaan Audit Eksternal.

Jika dilakukan secara internal, Fungsi Audit Sistem Informasi harus

berada di bawah Fungsi Audit Internal, dan independen dari Fungsi Layanan
Informasi, yang merupakan salah satu tujuan Audit.

Ada dua jenis Auditor Sistem Informasi:

• Spesialis TI yang mendukung Auditing.
• Auditor dengan keahlian TI.

Ukuran dan struktur organisasi dari Fungsi Audit Sistem Informasi akan
bergantung pada ukuran organisasi dan untuk pertimbangan teknis atau
kebijakan dapat dipisahkan secara fungsional dari Departemen Audit
Keuangan dan Operasional.

Rencana Pendidikan

Auditor IS harus memiliki pemahaman umum tentang Auditing, baik

mengenai aplikasi yang akan ditinjau dan lingkungan yang diaudit.

Penting juga untuk memiliki pemahaman tentang Teknologi Informasi,

lingkungan teknologi, dan bisnis perusahaan yang diaudit. Auditor dapat
dilatih dan dididik dengan empat cara berbeda dan saling melengkapi:

• Sarana akademis
Daftar perguruan tinggi dan universitas yang menawarkan kursus dan gelar
dalam kontrolISsekarang tersedia. Informasi ini juga akan digunakan untuk
menyebarkan informasi tentang ISACA, bertukar pikiran dengan siswa dan guru yang
tertarik untuk mempelajari lebih lanjut.
22 Rodriguez de Cora

tentang profesi audit IS, mendorong Standar ISACA dan Kode Etik, dan
menyediakan forum untuk ide dan saran dari komunitas akademis.

• Pengalaman profesional
Pelatihan dan pengalaman ISAudit yang diperoleh "di tempat kerja" telah
menjadi keterlibatan dasar dalam profesi mayoritas Auditor IS saat ini.

IniProfesional biasanya dilatih oleh audit-

perusahaan ing atau lembaga keuangan dan asuransi besar, baik sebagai Konsultan
Eksternal atau spesialis IS Internal.

• Asosiasi profesional
Beberapa asosiasi profesional ada di seluruh dunia di bidang Audit, Kontrol,
dan Keamanan IS. Mereka menetapkan dan mengesahkan standar kompetensi,
menerapkan etika profesional dan norma perilaku, serta menyelenggarakan
kursus dan seminar.
Salah satu yang paling penting adalah ISACA, yang menganggap dirinya
sebagai asosiasi profesional untuk Tata Kelola TI, Audit, Kontrol, dan Keamanan.

• Seminar Khusus
Beberapa kursus dan seminar khusus terus ditawarkan yang terdiri dari mata
pelajaran teknologi dan bidang terkait Audit, untuk mempromosikan kebijakan
pendidikan berkelanjutan ISACA. Ini adalah bagian dari program sertifikasi untuk
Auditor IS yang disebut CISA - (Certified Information Systems Auditor).

• Manfaat menjadi CISA

Semakin banyak organisasi yang merekomendasikan agar karyawan
mendapatkan sertifikasi. Penunjukan CIS meyakinkan pemberi kerja tidak hanya
bahwa staf mereka dapat menerapkan audit sistem informasi mutakhir, praktik dan
teknik keamanan dan pengendalian, tetapi juga bahwa keterampilan ini
dipertahankan. Untuk alasan ini, banyak perusahaan membutuhkan pencapaian
penunjukan CISA sebagai faktor kuat untuk pekerjaan dan / atau promosi lanjutan
 Konsep Dasar Auditing Sistem Informasi 23

Norma perilaku

Because of the nature of its activities, the Auditor is subject to rigid

professional ethics and restricted to adhere to profes- sional standards.
Professional ethics and chiefly independence are the fundamentals of conduct
in Audit practice.
As a result, in recent timesmultinational audit firms, which had other
activities, were obliged to separate these activities, so that they did not have
other influences, or interests concerning the auditee.

In this sense, there are several publicized standards, which Auditors

must follow up. They cover several areas of profes- sional practice in
relationwith the followingprofessional ethics:
• Supporting the establishment of and compliance with standards,
procedures, and controls for Information Sys- tems

• ComplyingwithInformationSystemAuditingstandards
seperti yang diadopsi oleh Information Systems and Control Association
(ISACA)
• Melayani untuk kepentingan pemberi kerja, pemegang saham, klien, dan
masyarakat umum dengan cara yang rajin, setia, dan jujur dan tidak
secara sengaja menjadi pihak dalam aktivitas ilegal atau tidak pantas.

• Menjaga kerahasiaan informasi yang diperoleh selama menjalankan

tugasnya. Informasi tidak boleh digunakan untuk keuntungan pribadi
atau dirilis ke pihak yang tidak pantas.

• Melaksanakan tugasnya secara independen dan obyektif serta menghindari

aktivitas yang mengancam, atau mungkin tampak mengancam,
independensi mereka.

• Mempertahankan kompetensi bidang audit dan sistem informasi yang

saling terkait melalui partisipasi dalam kegiatan pengembangan
keprofesian.

• Menggunakan kehati-hatian untuk mendapatkan dan mendokumentasikan materi faktual yang

memadai yang menjadi dasar kesimpulan dan rekomendasi.

• Memberi tahu pihak yang tepat tentang hasil pekerjaan audit yang
dilakukan.

• Mendukung pendidikan manajemen, klien, dan

24 Rodriguez de Cora

masyarakat umum untuk meningkatkan pemahaman mereka tentang audit

dan sistem informasi
• Mempertahankan standar perilaku dan karakter yang tinggi baik dalam aktivitas
profesional maupun pribadi.

REFERENSI
Alonso Rivas, G. (1988). Auditoría Informática. Ed. Díaz de Santos.

ColecciónManualesyDesarrollodeSistemas. (1993) Metodología de

planificación. “Métrica Versión 2”. Ed. PETA.
(Buku Pegangan) (1992) "Pemrosesan Data Elektronik". Ed. Dewan Pemeriksaan
Lembaga Keuangan Federal.
Yayasan Audit dan Pengendalian Sistem Informasi, (1998) "CobiT '" Ed.
Yayasan Sistem Informasi dan Pengendalian. ISACA, (1998) "Review
Manual Informasi Teknis" Ed. Sistem Informasi dan Asosiasi Pengendalian.

McClure, Carma. (1992) “Perangkat lunak case la automatización del”. Ed. Rama.

Plans, J. (1984) La Calidad Informática. Ed. Deusto. RaoVallabhaneni, S.

(1998) "CISAExaminationTextbooks". Ed. Publikasi Profesional SRV.

Weber, R. (1988) "EDPAuditing". Landasan dan Praktek Konseptual. Ed.

McGraw Hill.

SITUS WEB
http://www.isaca.org
http://www.theiia.org
http://www.securityforum.org
http://www.itauditor.org
http://www.sans.org