AUDIT SISTEM INFORMASI

 

1.) Tabel Perbandingan +/- Standar Audit SI

 

AUDIT SI	KELEBIHAN	KEKURANGAN
ITIL (Information Technology Infrastructure Library)	1.) Memberi deskripsi rinci sejumlah praktik penting TI dan menyediakan daftar komprehensif tugas dan prosedur. 2.) Bukan merupakan standard yang memberikan prescription tetapi lebih kepada merekomendasikan, oleh karena itu implementasi antara satu organisasi dengan organisasi lain dapat dipastikan terdapat perbedaan. Dengan demikian kita tidak bisa membandingkan / melakukan benchmark secara pasti.	1.) buku-buku ITIL sulit terjangkau bagi pengguna non komersial, ITIL bersifat holistic yang mencakup semua kerangka kerja untuk tatakelola TI, pelaksanaan pedoman dalam buku ITIL memerlukan pelatihan khusus dan biaya pelatihan atau sertifikasi ITIL terlalu tinggi.
COBIT	1.) Rahasia. 2.) Integritas. 3.) Dapat memberi proteksi terhadap informasi yg sensitif dari akses orang tidak bertanggung jawab.	1.) Cobit hanya berfokus pada kendali dan pengukuran. 2.) Cobit hanya memberikan panduan kendali dan tidak memberikan panduan implementasi operasional.
ISO/IEC 38500	1.) Menjamin akuntabilitas diberikan untuk semua Resiko IT dan aktivitasnya 2.) Memberikan panduan kepada advisor perusahaan. 3.) Memberikan prinsip panduan bagi direksi organisasi (termasuk pemilik, anggota dewan, direktur, mitra, eksekutif senior, atau yang sejenisnya) mengenai penggunaan Teknologi Informasi (TI) yang efektif, efisien, dan dapat diterima di dalam organisasi mereka.	1.) Tidak cocok digunakan sebagai IT management framework.

 

 

 

 

 

 

 

 

 

2.)

 

A. Konsep dasar kontrol dan audit sistem informasi(SI)

untuk mengetahui apakah pengelolaan sistem dan tteknologi informasi telah mencapai tujuan strategisnya, seperti meningkatkan perlindungan terhadap aset-aset(Asset Saveguard), menjaga integritas data(Data Integrity), meningkatkan efektifitas sistem(Effectivity), dan meningkatkan efisiensi sistem(Efficiency).

 

 

B. Prinsip-prinsip dasar proses audit SI

Ada 5 prinsip audit SI, yaitu : 

- Ethical conduct : Berdasar pada profesionalisme, kejujuran, integritas, kerahasiaan, dan kebijaksanaan.

- Fair Presentation : Kewajiban melaporkan secara jujur dan akurat.

- Due professional care : Implementasi dari kesungguhan dan pertimbangan yang diberikan.

- Independence

- Evidence-base approach.

Adapun proses-proses meng-audit, seperti :

- Perencanaan Audit(Planning The Audite)

- Pengujian Pengendalian(Test of Controls)

- Pengujian Transaksi(Test of Transaction)

- Pengujian Keseimbangan atau Keseluruhan Hasil(Tests of Balances or Overal Result)

- Penyelesaian/ Pengakhiran Audit(Completion of The Audit)

 

C. Standar dan panduan audit SI

Standar Audit SI tidak lepas dari standar professional seorang auditor SI, yaitu ukuran mutu pelaksanaan kegiatan profesi yang menjadi pedoman bagi para anggota profesi dalam menjalankan tanggung jawab profesinya.

 

3.)

A.

=> Kontrol Internal

Proses yang dipengaruhi oleh sumber daya manusia dan sistem teknologi informasi yang dirancang untuk membantu organisasi mencapai suatu tujuan tertentu atau suatu cara untuk mengarahkan, mengawasi, dan mengukur sumber daya suatu organisasi.

=> Ruang Lingkup Kontrol Internal

 

Menilai keefektifan sistem pengendalian intern, pengevaluasian terhadap kelengkapan dan keefektifan sistem pengendalian internal yang dimiliki organisasi, serta kualitas pelaksanaan tanggung jawab yang diberikan.

 

=> Sistem Kontrol Internal

 

Suatu sistem atau sosial yang dilakukan perusahaan yang terdiri dari struktur organisasi, metode, dan ukuran-ukuran untuk menjaga dan mengarahkan jalan perusahaan agar bergerak sesuai dengan tujuan dan prgram perusahaan dan mendorong efisiensi serta dipatuhinya kebijakan manajemen.

 

B.

 

=> Control Objectives

 

Efektivitas proses departemen dalam mendukung desain dan persetujuan kerangka pengendalian program berbasis risiko dan mengatur dan mendukung pengumpulan dan penggunaan laporan penerima.

 

=> Control Risks

 

Risiko pengendalian(control risks) adalah salah satu material yang tidak dapat dicegah ataupun dideteksi secara tepat pada waktunya oleh berbagai kebijakan dan prosedur struktur pengendalian intern perusahaan.  

 

C.

 

=> Management Control Framework

 

Mengumpulkan dan menggunakan informasi untuk mengevaluasi kinerja berbagai sumber daya organisasi secara keseluruhan.

 

=> Application Control Framework

 

Sistem pengendalian intern komputer yang berkaitan dengan pekerjaan dan kegiatan tertentu yang telah ditentukan. Berkaitan dengan ruang lingkup proses  bisnis individu atau sistem aplikasi.

 

D.

 

=> Corporate IT governance

 

Kumpulan kebijakan, proses atau aktifitas dan prosedur untuk mendukung pengoperasian TI agar hasilnya sejalan dengan strategi bisnis.

 

4.)

 

Aspek Management Control Framework :

 

- Defining, creating, redefining, retiring data (dengan wawancara, observasi)

- Membuat database tersedia untuk semua user

- Menginformasikan dan melayani user

- Memelihara integritas data

- Monitoring operations

 

Application control framework :

 

Boundary controls

 

A.

 

=> Cryptographic control

 

Transposition ciphers : menggunakan permutasi urutan karakter dari sederet string

Subtitution ciphers: mengganti karakter dengan karakter lain sesuai aturan tertentu

Product ciphers: kombinasi transposition dan subtitution ciphers

 

B.

 

=> Access control

 

Acccess controls yang digunakan dan kemungkinan masalahnya

Ukuran proteksi yang ditekankan pada mekanisme access controls

Apakah organisasi menggunakan access controls yang disediakan dalam paket perangkat lunak

 

C.

 

=> Personal Identification Numbers (PIN)

 

Generasi PIN

Penerbitan dan penyampaian PIN kepada pengguna

Validasi PIN

Transmisi PIN di seluruh jalur komunikasi

Pemrosesan PIN

Penyimpanan PIN

Perubahan PIN

Penggantian PIN

Penghentian PIN

 

D.

 

=> Digital signature

 

pengujian sistem manajemen yang digunakan untuk mengelola tanda tangan digital, penggunaan dan penyebarannya

 

E.

 

=> Plastic cards

 

Pengajuan kartu

Persiapan kartu

Penerbitan kartu

Penggunaan kartu

Pengembalian/ penghancuran kartu

 

 

Lembaga-lembaga Audit Sistem Informasi di Indonesia

 

Berikut ini adalah beberapa lembaga Audit Sistem Informasi di Indonesia :

1. Ikatan Audit Sistem Informasi Indonesia (IASII).

Ikatan Audit Sistem Informasi Indonesia (IASII) didirikan pada 20 Mei 2014. Lembaga ini dibentuk oleh beberapa praktisi dari berbagai universitas dan organisasi lainnya dibidang sistem informasi. Lembaga ini memiliki tujuan yaitu untuk menghindari penyimpangan dalam penggunaan sistem informasi yang semakin pesat di Indonesia. IASII bekerja sama dengan beberapa lembaga lain seperti Ikatan Akuntan Indonesia (IAI), Information System Audit and Control Association-Chapter Indonesia (ISACA), Institute of Internal Auditor, Forum Komunikasi Satuan Pengawas Intern.

2. Information System Audit and Control Association (ISACA).

ISACA adalah suatu organisasi profesi internasional di bidang tata kelola teknologi informasi yang didirikan di Amerika Serikat pada tahun 1967. Awalnya dikenal dengan nama lengkap Information Systems Audit and Control Association, saat ini ISACA hanya menggunakan akronimnya untuk merefleksikan cakupan luasnya di bidang tata kelola teknologi informasi.

ISACA telah memiliki kurang lebih 70.000 anggota yang tersebar di 140 negara. Anggota ISACA terdiri dari antara lain auditor sistem informasi, konsultan, pengajar, profesional keamanan sistem informasi, pembuat perundangan, CIO, serta auditor internal. JaringanISACA terdiri dari sekitar 170 cabang yang berada di lebih dari 60 negara, salah satunya ialah di Indonesia. ISACA sendiri telah membuat standar untuk audit sistem informasi di seluruh dunia.

3. BPK RI

Didirikan tahun 1946 yang bertugas untuk melakukan audit yang berkaitan dengan pengelolaan keuangan negara dan tanggung jawab yang dilakukan oleh pemerintah pusat, pemerintah daerah, lembaga negara lain seperti Bank Indonesia, BUMN, BUMD, Dewan Pelayanan Publik, dan lembaga lain yang mengelola keuangan negara. BPK RI menyerahkan hasil audit kepada DPR, DPD, dan DPRD sesua dengan kewnangan masing-masing.

4. Keuangan BPKP (Badan Pengawasan dan Pembangunan).

BPKP didirikan tahun 2006. BPKP bertugas mengendalikan keuangan dan pengawasan pembangunan nasional serta meningkatkan pendapatan negara dan meningkatkan efisiensi dan efektivitas pengeluaran anggaran pemerintah nasional dan regional. Tugas lain BPKP adalah mengevaluasi penerapan sistem pengendalian internal untuk mendeteksi dan menghalangi korupsi, serta menginvestigasi penyelewengan keuangan.

5. LPAI

Lembaga Pengembangan Auditor Internal adalah lembaga yang concern terhadap pengembangan SDM bidang audit internal. Sebagai salah satu divisi training dari Proesdeem Indonesia lembaga konsultan manajemen yang sejak 1995 memfokuskan kegiatannya pada pelatihan manajemen — LPÄI menyelenggarakan pelatihan internal audit dan fraud audit secara lengkap, terprogram-berkesinambungan, serta kurikulum berkualitas. Pelatihan yang diselenggarakan oleh LPAI senantiasa dievaluasi dan diupdate — mengacu pada perkembangan pengetahuan dan praktek bisnis paling mutakhir — dimana benchmarknya adalah lembaga-lembaga internal audit dan fraud audit yang sudah dikenal baik reputasinya di dunia.

Selain itu program pelatihan yang diselenggarakan oleh LPAI didukung oleh tenaga instruktur berpengalaman, baik sebagai instruktur maupun sebagai auditor ataupun praktisi manajemen lainnya serta memiliki background pendidikan S2 dan Ph.D. dari dalam dan luar negeri. Sebagian besar instruktur LPAI adalah praktisi audit yang memiliki sertifikat keahlian atau profesi seperti CIA, CFE, CISA, dan sebagainya.

 

Standar dan panduan untuk audit sistem informasi

Berikut adalah beberapa dari Standard dan Paduan Sistem Informasi yang biasa digunakan:

 

           1.       ISACA

 

        ISACA adalah suatu organisasi profesi internasional di bidang tata kelola teknologi informasi yang didirikan di Amerika Serikat pada tahun 1967. Awalnya dikenal dengan nama lengkap Information Systems Audit and Control Association, saat ini ISACA hanya menggunakan akronimnya untuk merefleksikan cakupan luasnya di bidang tata kelola teknologi informasi.

        ISACA didirikan oleh individu yang mengenali kebutuhan untuk sumber informasi terpusat dan bimbingan dalam bidang tumbuh kontrol audit untuk sistem komputer. Hari ini, ISACA memiliki lebih dari 115.000 konstituen di seluruh dunia dan telah memiliki kurang lebih 70.000 anggota yang tersebar di 140 negara. Anggota ISACA terdiri dari antara lain auditor sistem informasi, konsultan, pengajar, profesional keamanan sistem informasi, pembuat perundangan, CIO, serta auditor internal. Jaringan ISACA terdiri dari sekitar 170 cabang yang berada di lebih dari 60 negara, termasuk di Indonesia.

• Sifat khusus audit sistem informasi, keterampilan dan pengetahuan yang diperlukan untuk melakukan audit SI memerlukan standar yang berlaku secara global

• ISACA berperan untuk memberikan informasi untuk mendukung kebutuhan pengetahuan

• Dalam famework ISACA terkait, audit sistem informasi terdapat Standards, Guidelines and procedures

• Standar yang ditetapkan oleh ISACA harus diikuti oleh auditor.

• Guidelines memberikan bantuan tentang bagaimana auditor dapat menerapkan standar dalam berbagai penugasan audit.

• Prosedur memberikan contoh langkah-langkah auditor dapat mengikuti penugasan audit tertentu sehingga dapat menerapkan standar.

• Namun, IS auditor harus menggunakan pertimbangan profesional ketika menggunakan pedoman dan prosedur.

2. IIA COSO

 

The Comitte of Sponsoring Organizations of the treadway commission’s (COSO) dibentuk pada tahun 1985 sebagai alinasi dari 5 (lima) organisasi professional. Organisasi tersebut terdiri dari American Accounting Association, American Instititue of Certified Public Accountants, Financial Executives International, Instititute of Management Accountants, dan The Institute of Internal Auditors. Koalisi ini didirikan untuk menyatukan pandangan dalam komunitas bisnis berkaitan dengan isu-isu seputar pelaporan keuangan yang mengandung fraud.

Secara garis besar, COSO menghadirkan suatu kerangka kerja yang integral terkait dengan definisi pengendalian intern, komponen-komponennya, dan kriteria pengendalian intern yang dapat dievaluasi. Pengendalian internal terdiri dari 5 komponen yang saling berhubungan. Komponen-komponen tersebut memberikan kerangka kerja yang efektif untuk menjelaskan dan menganalisa sistem pengendalian internal yang diimplementasikan dalam suatu organisasi. Komponen-komponen tersebut, adalah sebagai berikut:

 

1)       Lingkungan pengendalian

                Lingkungan pengendalian menetapkan nada organisasi, mempengaruhi kesadaran kontrol dari orang-orangnya. Ini adalah fondasi untuk semua komponen kontrol internal lainnya, menyediakan disiplin dan struktur. Faktor lingkungan pengendalian termasuk integritas, nilai-nilai etika, gaya operasi manajemen, pendelegasian sistem otoritas, serta proses untuk mengelola dan mengembangkan orang dalam organisasi.

 

2)      Penilaian resiko

                Setiap entitas menghadapi berbagai risiko dari sumber eksternal dan internal yang harus dinilai. Prasyarat untuk penilaian risiko adalah pembentukan tujuan dan dengan demikian penilaian risiko adalah identifikasi dan analisis risiko yang relevan dengan pencapaian tujuan yang ditetapkan. Penilaian risiko merupakan prasyarat untuk menentukan bagaimana risiko harus dikelola.

 

3)      Aktifitas pengendalian

                Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu memastikan arahan manajemen dilaksanakan. Mereka membantu memastikan bahwa tindakan yang diperlukan diambil untuk mengatasi risiko yang dapat menghambat pencapaian tujuan entitas. Aktivitas kontrol terjadi di seluruh organisasi, di semua level dan di semua fungsi. Mereka termasuk berbagai kegiatan yang beragam seperti persetujuan, otorisasi, verifikasi, rekonsiliasi, tinjauan kinerja operasi, keamanan aset dan pemisahan tugas.

 

4)       Informasi dan komunikasi

                Sistem informasi memainkan peran kunci dalam sistem pengendalian internal karena mereka menghasilkan laporan, termasuk informasi operasional, keuangan dan kepatuhan, yang memungkinkan untuk menjalankan dan mengendalikan bisnis. Dalam arti yang lebih luas, komunikasi yang efektif harus memastikan arus informasi turun, melintasi, dan naik ke organisasi. Misalnya, prosedur formal ada bagi orang untuk melaporkan dugaan penipuan. Komunikasi yang efektif juga harus dipastikan dengan pihak eksternal, seperti pelanggan, pemasok, regulator dan pemegang saham tentang posisi kebijakan terkait.

 

5)      Pemantauan

                Sistem kontrol internal perlu dipantau — suatu proses yang menilai kualitas kinerja sistem dari waktu ke waktu. Ini dicapai melalui kegiatan pemantauan yang sedang berlangsung atau evaluasi terpisah. Kekurangan kontrol internal yang dideteksi melalui kegiatan pemantauan ini harus dilaporkan di bagian hulu dan tindakan korektif harus diambil untuk memastikan perbaikan berkelanjutan dari sistem.

 

3. ISO 1799

 

    ISO/IEC 17799:2005 menetapkan pedoman dan prinsip-prinsip umum untuk memulai, menerapkan, mempertahankan, dan meningkatkan manajemen keamanan informasi dalam sebuah organisasi. Tujuan yang diuraikan menyediakan panduan umum pada umumnya diterima tujuan manajemen keamanan informasi.

ISO/IEC 17799:2005 berisi praktek-praktek terbaik tujuan pengendalian dan kontrol dalam bidang manajemen keamanan informasi:

• kebijakan keamanan;
• organisasi keamanan informasi;
• manajemen aset;
• keamanan sumber daya manusia;
• keamanan fisik dan lingkungan;
• komunikasi dan manajemen operasi;
• kontrol akses;
• informasi sistem akuisisi, pengembangan, dan pemeliharaan;
• manajemen insiden keamanan informasi;
• manajemen kontinuitas bisnis;
• kepatuhan.