Audit Teknologi Sistem Informasi
1.
Perbandingan kelebihan dan kekurangan audit Sistem Informasi
|
Audit Sistem Informasi |
Kelebihan |
Kekurangan |
|
COBIT |
· Rahasia · Integritas · Dapat memberi proteksi terhadap
informasi yang sensitive dari akses orang tidak bertanggung jawab
|
· COBIT hanya berfokus pada kendali dan
pengukuran · COBIT hanya memberikan panduan kendali
dan tidak memberikan panduan implementasi operasional
|
|
ITIL (Information Technologi Infrastructure Library)
|
· Memberi deskripsi rinci sejumlah
praktik penting TI dan menyediakan daftar komprehensif tugas dan prosedur · Bukan merupakan standar yang
memberikan prescription tetapi lebih kepada merekomendasikan oleh karena itu
implementasi antara satu organisasi dengan organisasi lain dapat dipastikan
terdapat perbedaan. Dengan demikian kita tidak bisa membandingkan melakukan
benchmark secara pasti.
|
· Buku-buku yang membahas ITIL sulit
terjangkau bagi pengguna non-komersial · ITIL bersifat holistic yang mencakup
semua kerangka kerja untuk tatakelola TI · Pelaksanaan pedoman dalam buku ITIL
memerlukan pelatihan khusus · Biaya pelatihan atau sertifikasi ITIL
terlalu tinggi
|
|
ISO/IEC
38500 |
· Menjamin akuntabilitas diberikan
untuksemua resiko IT dan aktivitasnya · Memberikan panduan kepada advisor
perusahaan |
· Tidak cocok digunakan
sebagai IT management framework |
2. Jelaskan:
a. Konsep dasar control dan audit sistem
informasi (SI)
Audit sistem
informasi adalah proses pengumpulan dan penilaian bukti – bukti untuk
menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas
data, dapat mendorong pencapaian tujuan organisasi secara efektif dan
menggunakan sumberdaya secara efisien”.
Audit sistem informasi dilakukan untuk
dapat menilai:
o
Apakah
sistem komputerisasi suatu organisasi/perusahaan dapat mendukung pengamanan
asset?
o
Apakah
sistem komputerisasi dapat mendukung pencapaian tujuan organisasi/perusahaan?
o
Apakah sistem komputerisasi tersebut efektif, efisien dan data
integrity terjamin?
b. Prinsip-prinsip dasar proses audit SI
o
Audit
dititik beratkan pada objek audit yang mempunyai peluang untuk diperbaiki.
o
Prasyarat
Penilaian terhadap kegiatan objek audit.
o
Pengungkapan
dalam laporan adanya temuan-temuan yang bersifat positif.
o
Identifikasi
individu yang bertanggung jawab terhadap kekurangan-kekurangan yang terjadi.
o
Penentuan
tindakan terhadap petugas yang seharusnya bertanggung jawab.
o
Pelanggaran
hukum.
o
Penyelidikan
dan pencegahan kecurangan.
c. Standar dan panduan audit SI
Standar Audit SI
tidak lepas dari standar professional seorang auditor SI, yaitu ukuran
mutu pelaksanaan kegiatan profesi yang
menjadi pedoman bagi para anggota profesi dalam menjalankan tanggung jawab
profesinya.
Standar Audit SI ada 3, yaitu :
1. Standar Audit ISACA
ISACA berperan untuk memberikan
informasi untuk mendukung kebutuhan pengetahuan. Dalam framework ISACA terkait,
audit SI terdapat Standards, Guidelines dan Procedure.
§ Standards yang ditetapkan oleh ISACA
harus diikuti oleh auditor.
§ Guidelines memberikan bantuan tentang
bagaimana auditor dapat menerapkan standar dalam berbagai penugasan audit.
§ Procedure memberikan contoh langkah-langkah
auditor dapat mengikuti penugasan audit tertentu sehingga dapat menerapkan
standar.
2. Standar Audit IAA
Ada empat tujuan standar yang
disebutkan, yaitu untuk:
§ Memandu kepatuhan terhadap elemen wajib
dari kerangkan kerja praktik profesional audit internel yang berlaku secara
internasional.
§ Memberikan suatu kerangka kerja dalam
melaksanakan dan meningkatkan nilai tambah audit internal secara luas.
§ Menetapkan dasar untuk mengevaluasi
kinerja audit internal.
§ Mendorong peningkatan proses dan
operasional organisasi.
3. Standar audit COSO
Secara garis besar,
COSO (The Comitte of Sponsoring Organizations of the Treadway Commission's)
menghadirkan suatu kerangka kerja yang integral terkait dengan definisi
pengendalian intern, komponen-komponennyam dan kriteria pengendalian intern
yang dapat dievaluasi. Pengendalian internal terdiri dari 5 komponen yang
saling berhubungan, antara lain:
§ Lingkungan pengendalian
§ Penilaian risiko
§ Aktifitas pengendalian
§ Informasi dan komunikasi
§ Pemantauan
Komponen-komponen
tersebut memberikan kerangka kerja yang efektif untuk menjelaskan dan
menganalisa sistem pengendalian internal yang diimplementasikan dalam suatu
organisasi.
3. Jelaskan:
a. Kontrol internal, ruang lingkup control
internal, dan sistem control internal
1. Kontrol Internal
AICPA
mendefinisikan Internal Control sama dengan definisi COSO, yaitu suatu proses
yang dipengaruhi oleh aktivitas Dewan Komisaris, Manajemen dan Pegawai, yang
dirancang untuk memberikan keyakinan yang wajar atas
§ keandalan pelaporan keuangan,
§ efektivitas dan efisiensi operasi,
§ ketaatan terhadap hukum dan peraturan
yang berlaku
Dalam teori
akuntansi dan organisasi, pengendalian intern atau internal control
didefinisikan sebagai suatu proses, yang dipengaruhi oleh sumber daya manusia
dan sistem teknologi informasi, yang dirancang untuk membantu organisasi
mencapai suatu tujuan atau objektif tertentu. Untuk menjaga agar
sistem internal control ini benar-benar dapat dilaksanakan, maka sangat
diperlukan adanya internal auditor atau bagian pemeriksaan
intern. Fungsi pemeriksaan ini merupakan upaya tindakan pencegahan,
penemuan penyimpangan-penyimpangan melalui pembinaan dan pemantauan internal
control secara berkesinambungan. Bagian ini harus membuat suatu
program yang sistematis dengan mengadakan observasi langsung, pemeriksaan dan
penilaian atas pelaksanaan kebijakan pimpinan serta pengawasan sistem informasi
akuntansi dan keuangan lainnya.
2. Ruang Lingkup Internal
Ruang lingkup
menurut Guy (2002:410), ruang lingkup audit internal meliputi pemeriksaan dan
evaluasi yang memadai serta efektifitas sistem pengendalian internal organisasi
dan kualitas kinerja dalam melaksanakan tanggungjawab yang dibebankan.
3. Sistem Kontrol Internal
Suatu sistem atau
sosial yang dilakukan perusahaan yang terdiri dari struktur organisasi, metode,
dan ukuran-ukuran untuk menjaga dan mengarahkan jalan perusahaan agar bergerak
sesuai dengan tujuan dan prgram perusahaan dan mendorong efisiensi serta
dipatuhinya kebijakan manajemen.
b. Control objectives, Control Risks
1. Control Objectives
Sekumpulan
dokumentasi best practice untuk IT Governance yang dapat membantu auditor,
pengguna (user), dan manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan
kontrol dan masalah-masalah teknis IT (Sasongko, 2009).
COBIT mendukung
tata kelola TI dengan menyediakan kerangka kerja untuk mengatur keselarasan TI
dengan bisnis. Selain itu, kerangka kerja juga memastikan bahwa TI memungkinkan
bisnis, memaksimalkan keuntungan, resiko TI dikelola secara tepat, dan sumber
daya TI digunakan secara bertanggung jawab (Tanuwijaya dan Sarno, 2010).
2. Control Risks
Risk control adalah
metode pengendalian risiko yang tidak melibatkan uang/dana. Metode ini terdiri dari
3 tahapan, yaitu sebelum, pada saat, dan sesudah terjadi kontak dengan
kerugian. Di sini kejadian-kejadian yang mengakibatkan kerugian keuangan
diupayakan untuk dikurangi kemungkinan terjadinya dan besarnya
kerugian keuangan yang terjadi diminimalkan.
Ada 5 cara (metode) dalam
pengendalian risiko:
§ Risk Avoidance (Penghindaran Risiko)
§ Segregation (Pemisahan Risiko) and
Diversification (Pembagian Risiko)
§ Loss Prevention (Pencegahan Kerugian)
§ Loss Reduction (Pengurangan Kerugian)
§ Non-insurance Transfer (Pemindahan
Non-asuransi)
c. Management control framework dan
Application control framework
1. Management Control Framework
Mengumpulkan dan
menggunakan informasi untuk mengevaluasi kinerja berbagai sumber daya
organisasi secara keseluruhan.
2. Application Control Framework
Sistem pengendalian
intern komputer yang berkaitan dengan pekerjaan dan kegiatan tertentu yang
telah ditentukan. Berkaitan dengan ruang lingkup proses bisnis
individu atau sistem aplikasi.
d. Corporate IT Governance
Kumpulan kebijakan,
proses atau aktifitas dan prosedur untuk mendukung pengoperasian TI agar
hasilnya sejalan dengan strategi bisnis.
4. Jelaskan
aspek pada management control framework dan contohnya
·
Defining,
creating, redefining, retiring data (dengan
wawancara, observasi)
·
Membuat
database tersedia untuk semua user
·
Menginformasikan
dan melayani user
·
Memelihara
integritas data
·
Monitoring
operations
Contoh :
Kontrol dapat
dilakukan dengan menetapkan kebijakan dan standar untuk setiap aktivitas yang
berkaitan dengan fungsi SI.
Sumber :
https://helloshintya.blogspot.com/2020/10/audit-sistem-informasi.html
