Pengantar Audit Sistem Informasi
oleh: Stanley Karouw, MTI
stanley.karouw@unsrat.ac.id; stanleydsk@gmail.com
Fakultas Teknik – Program Studi Teknik Infomatika
Universitas Sam Ratulangi - Manado
Abstract
It
is an imperative that information system must be able to: ensure
organization efficiency, protect organization’s assets and ultimately
help organization to reach their goals effectively. Therefore an audit
for information system is needed to be conducted. Understanding the
areas, methodology and “the know how” to conducting auditing information
system are the main competency that an auditor information system
should have. Generally, there would be 6 objective areas that should be
considered by an information system auditor: security equipment for
protecting computer stuffs, program, communication, and data from
unauthorized access, modification or destruction; program development
and obtaining that is specific and general authorized by management;
program modification that is authorized and approved by management;
processing of transaction, report files, and other computer notes that
is accurated and completed. These paper presented an introduction for
auditing information system.
Kata kunci : audit, sistem, informasi, pengendalian
1. Pendahuluan
Kegunaan sistem informasi dalam mendukung proses bisnis organisasi
semakin nyata dan meluas. Sistem informasi membuat proses bisnis suatu
organisasi menjadi lebih efisien dan efektif dalam mencapai tujuan.
Sistem informasi bahkan menjadi key-enabler (kunci pemungkin) proses
bisnis organisasi dalam memberikan manfaat bagi stakeholders. Maka dari
itu, semakin banyak organisasi, baik yang berorientasi profit maupun
yang tidak, mengandalkan sistem informasi untuk berbagai tujuan. Di lain
pihak, seiring makin meluasnya implementasi sistem informasi maka
kesadaran akan perlunya dilakukan review atas pengembangan suatu sistem
informasi semakin meningkat. Kesadaran ini muncul karena munculnya
berbagai kasus yang terkait dengan gagalnya sistem informasi, sehingga
memberikan akibat yang sangat mempengaruhi kinerja organisasi.
Terdapat beberapa resiko yang mungkin ditimbulkan sebagai akibat dari
gagalnya pengembangan suatu sistem informasi, antara lain:
1. Sistem informasi yang dikembangkan tidak sesuai dengan kebutuhan organisasi.
2. Melonjaknya biaya pengembangan sistem informasi karena adanya “scope creep” (atau pengembangan berlebihan) yang tanpa terkendali.
3. Sistem informasi yang dikembangkan tidak dapat meningkatkan kinerja organisasi
Mengingat adanya beberapa resiko tersebut diatas yang dapat memberikan
dampak terhadap kelangsungan organisasi maka setiap organisasi harus
melakukan review dan evaluasi terdapat pengembangan sistem informasi
yang dilakukan. Review dan evaluasi ini dilakukan oleh internal
organisasi ataupun pihak eksternal organisasi yang berkompeten dan
diminta oleh organisai. Kegiatan review dan evaluasi ini biasanya
dilakukan oleh Auditor Sistem Informasi.
2. Audit Sistem Informasi
Pada dasarnya, kegiatan audit sistem informasi merupakan pengumpulan,
pengorganisasian dan pelaporan1 evaluasi bukti-bukti untuk menentukan
apakah sistem komputer yang digunakan telah dapat melindungi aset milik
organisasi, mampu menjaga integritas data, dapat membantu pencapaian
tujuan organisasi secara efektif, serta menggunakan sumber daya yang
dimiliki secara efisien. Audit Sistem Informasi sendiri merupakan
gabungan dari berbagai macam ilmu, antara lain: Traditional Audit,
Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer,
dan Behavioral Science.
Audit Sistem Informasi dapat dibedakan menjadi dua kategori, yaitu Pengendalian Aplikasi (Application Control) dan Pengendalian Umum (General Control).
Tujuan pengendalian umum lebih menjamin integritas data yang terdapat
di dalam sistem komputer dan sekaligus meyakinkan integritas program
atau aplikasi yang digunakan untuk melakukan pemrosesan data. Sementara,
tujuan pengendalian aplikasi dimaksudkan untuk memastikan bahwa data
di-input secara benar ke dalam aplikasi, diproses secara benar, dan
terdapat pengendalian yang memadai atas output yang dihasilkan. Dalam
audit terhadap aplikasi, biasanya, pemeriksaan atas pengendalian umum
juga dilakukan mengingat pengendalian umum memiliki kontribusi terhadap
efektifitas atas pengendalian-pengendalian aplikasi.
3. Tujuan Audit Sistem Informasi
Tujuan audit sistem informasi adalah untuk meninjau dan mengevaluasi
pengendalian internal yang melindungi sistem tersebut. Ketika melakukan
audit sistem informasi, seorang auditor harus memastikan tujuan-tujuan
ini terpenuhi:
1. Perlengkapan keamanan melindungi perlengkapan
komputer, program, komunikasi, dan data dari akses yang tidak sah,
modifikasi atau penghancuran.
2. Pengembangan dan perolehan program dilaksanakan sesuai dengan otorisasi khusus dan umum dari pihak manajemen
3. Modifikasi program dilaksanakan dengan otorisasi dan persetujuan dari pihak manajemen
4. Pemrosesan transaksi, file laporan dan catatan komputer lainnya telah akurat dan lengkap.
5.
Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang
tepat diidentifikasi dan ditangani sesuai dengan kebijakan manajerial
yang telah ditetapkan.
6. File data komputer telah akurat, lengkap dan dijaga kerahasiaannya.
Tujuan audit tersebut diatas berkaitan dengan komponen dari sistem
informasi. Keterkaitan antara tujuan audit dan komponen sistem informasi
dapat dilihat pada Gambar 1.
4. Waktu Pelaksanaan Audit
Pada prakteknya, untuk menjamin proses pengembangan suatu sistem
informasi yang signifikan, maka biasanya dilakukan audit, baik itu
sebelum atau pada saat implementasi (pre-implementation system), maupun setelah sistem “live” (post-implementation system). Audit juga sering dilakukan setelah adanya events (suatu kejadian tertentu) yang dianggap bisa berpengaruh pada jalannya sistem informasi ataupun setelah terjadi suatu incidents
(kejadian yang mengakibatkan gangguan pada sistem informasi); hal mana,
dalam praktek di Indonesia, lebih terkesan, dilakukan audit setelah
adanya incidents.
Manfaat audit Pre-Implementation System:
1. Organisasi dapat mengetahui apakah sistem informasi yang akan dikembangkan sudah sesuai dengan kebutuhan organisasi.
2. Mengukur apakah user (termasuk stakeholders) dapat beradaptasi dengan sistem informasi tersebut.
3. Memperkirakan manfaat yang diperoleh dari adanya sistem informasi tersebut.
Manfaat audit Post-Implementation System:
1. Organisasi mendapatkan review menyeluruh dari impelmentasi sistem informasi.
2. Organisasi mendapatkan solusi untuk penyempurnaan sistem informasi.
3. Mendapatkan justifikasi sistem informasi yang telah diimplementasikan.
4. Memberikan jaminan (atau reasonable assurance) kepada stakeholders bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan.
5. Membantu memastikan bahwa jejak pemeriksaan (audit trails) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwenang untuk melakukan pemeriksaan.
5. Spesialis Audit Sistem Informasi
Untuk menjamin keakuratan pelaksanaan kegiatan audit sistem informasi,
maka kegiatan audit sistem informasi biasanya dilakukan oleh seorang
spesialis audit sistem informasi. Spesialis audit sistem informasi
bertugas untuk mereview dan mengaudit seluruh (atau sebagian) area pada
sistem informasi berkaitan dengan standard sesuai dengan organisasi; dan
menjamin terpenuhi standar tertentu yang digunakan organisasi seperti
misalnya standar profesional, hukum, aturan, kebijaksanaan organisasi,
metodologi, pelaksanaan, integritas juga efektifitas biaya, kehandalan
dan efisiensi.
Adapun fungsi dari spesialis audit sistem informasi adalah sebagai berikut:
1. Membuat perencanaan dan menjamin pelaksanaan audit sesuai dengan aturan dan metodologi dengan standar tertentu yang disepakati.
2. Melakukan
(dan/atau memimpin) pelaksanaan audit pada suatu area sistem informasi.
Seperti misalnya: sistem aplikasi, sistem perangkat keras,
kebijaksanaan dan prosedur sekuriti, integritas DBMS, perangkat lunak
sistem, prosedur komunikasi/jaringan komputer, operasi komputer).
3. Membuat
Laporan lengkap terkait pelaksanaan audit yang berisi penilaian dan
terutama anjuran tindak lanjut terkait area sistem informasi yang
diaudit.
Hasil yang diharapkan dari kegiatan
audit sistem informasi yang dilakukan oleh seorang spesialis audit
sistem informasi adalah sebagai berikut:
1. Laporan dokumentasi yang berisi review dan evaluasi terkait area tertentu yang diaudit.
2. Solusi berupa penilaian dan anjuran tindakan tindak lanjut terkait implementasi sistem informasi.
Untuk dapat melaksanakan tugasnya dengan baik, seorang spesialis audit
sistem informasi harus memiliki pengetahuan dan ketrampilan sebagai
berikut:
- Pengetahuan mengenai audit, metodologi, standar, alat dan aturan terkait pelaksanaan audit sistem informasi.
- Memiliki pengetahuan mengenai sistem informasi misalnya siklus pengembangan sistem informasi, ataupun perkembangan teknologi jaringan sistem informasi.
- Memiliki pemahaman yang komprehensif menangani hal-hal teknik terkait sistem informasi seperi aplikasi, protokol komunikasi data dan jaringan serta manajemen sistem informasi.
- Memiliki pemahaman yang baik mengenai kebijakan, program dan budaya organisasi serta hal lainnya yang terkait manajemen dan operasional organisasi.
- Memiliki ketrampilan interpersonal yang baik.
Selain wawasan, pengetahuan dan ketrampilan diatas seorang spesialis
audit sistem informasi juga dituntut memenuhi syarat akreditasi pribadi
terkait suatu sistem sertifikasi kualitas yang diakui secara
internasional. Salah satu sertifikasi profesional sebagai standar
pencapaian prestasi dalam bidang audit, kontrol, dan keamanan sistem
informasi yang telah diterima secara internasional adalah CISA®
(Certified Information Systems Auditor) yang dikeluarkan oleh ISACA (Information Systems Audit and Control Association).
6. Penutup
Audit sistem informasi dilakukan untuk menjamin agar sistem informasi
dapat melindungi aset milik organisasi dan terutama membantu pencapaian
tujuan organisasi secara efektif.
Berikan review mengenai:
BalasHapus1. Metodologi Audit menurut ISACA!
2. 6 Objectives Area Audit Sistem Informasi!
Review dimasukkan dengan ditulis diatas Kertas Bergaris, dengan mencantumkan identitas mahasiswa!