Catatan Kuliah: Audit Sistem Informasi

Pengantar Audit Sistem Informasi

oleh: Stanley Karouw, MTI

stanley.karouw@unsrat.ac.id; stanleydsk@gmail.com

Fakultas Teknik – Program Studi Teknik Infomatika

Universitas Sam Ratulangi - Manado

Acuan Materi Kuliah Audit Sistem Informasi bisa diunduh disini dan disini.

Abstract

It is an imperative that information system must be able to: ensure organization efficiency, protect organization’s assets and ultimately help organization to reach their goals effectively. Therefore an audit for information system is needed to be conducted. Understanding the areas, methodology and “the know how” to conducting auditing information system are the main competency that an auditor information system should have. Generally, there would be 6 objective areas that should be considered by an information system auditor: security equipment for protecting computer stuffs, program, communication, and data from unauthorized access, modification  or destruction; program development and obtaining that is specific and general authorized by management; program modification that is authorized and  approved by management; processing of transaction, report files, and other computer notes that is accurated and completed.  These paper presented an introduction for auditing information system.

Kata kunci : audit, sistem, informasi, pengendalian

1. Pendahuluan

            Kegunaan sistem informasi dalam mendukung proses bisnis organisasi semakin nyata dan meluas. Sistem informasi membuat proses bisnis suatu organisasi menjadi lebih efisien dan efektif dalam mencapai tujuan. Sistem informasi bahkan menjadi key-enabler (kunci pemungkin) proses bisnis organisasi dalam memberikan manfaat bagi stakeholders. Maka dari itu, semakin banyak organisasi, baik yang berorientasi profit maupun yang tidak, mengandalkan sistem informasi untuk berbagai tujuan. Di lain pihak, seiring makin meluasnya implementasi sistem informasi maka kesadaran akan perlunya dilakukan review atas pengembangan suatu sistem informasi semakin meningkat. Kesadaran ini muncul karena munculnya berbagai kasus yang terkait dengan gagalnya sistem informasi, sehingga memberikan akibat yang sangat mempengaruhi kinerja organisasi.

            Terdapat beberapa resiko yang mungkin ditimbulkan sebagai akibat dari gagalnya pengembangan suatu sistem informasi, antara lain: 

1.  Sistem informasi yang dikembangkan tidak sesuai dengan kebutuhan organisasi.

2. Melonjaknya biaya pengembangan sistem informasi karena adanya “scope creep” (atau pengembangan berlebihan) yang tanpa terkendali.

3. Sistem informasi yang dikembangkan tidak dapat meningkatkan kinerja organisasi

            Mengingat adanya beberapa resiko tersebut diatas yang dapat memberikan dampak terhadap kelangsungan organisasi maka setiap organisasi harus melakukan review dan evaluasi terdapat pengembangan sistem informasi yang dilakukan. Review dan evaluasi ini dilakukan oleh internal organisasi ataupun pihak eksternal organisasi yang berkompeten dan diminta oleh organisai. Kegiatan review dan evaluasi ini biasanya dilakukan oleh Auditor Sistem Informasi.

2. Audit Sistem Informasi

            Pada dasarnya, kegiatan audit sistem informasi merupakan pengumpulan, pengorganisasian dan pelaporan1 evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien. Audit Sistem Informasi sendiri merupakan gabungan dari berbagai macam ilmu, antara lain: Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science. 

            Audit Sistem Informasi dapat dibedakan menjadi dua kategori, yaitu Pengendalian Aplikasi (Application Control) dan Pengendalian Umum (General Control). Tujuan pengendalian umum lebih menjamin integritas data yang terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas program atau aplikasi yang digunakan untuk melakukan pemrosesan data. Sementara, tujuan pengendalian aplikasi dimaksudkan untuk memastikan bahwa data di-input secara benar ke dalam aplikasi, diproses secara benar, dan terdapat pengendalian yang memadai atas output yang dihasilkan.  Dalam audit terhadap aplikasi, biasanya, pemeriksaan atas pengendalian umum juga dilakukan mengingat pengendalian umum memiliki kontribusi terhadap efektifitas atas pengendalian-pengendalian aplikasi. 

3. Tujuan Audit Sistem Informasi

            Tujuan audit sistem informasi adalah untuk meninjau dan mengevaluasi pengendalian internal yang melindungi sistem tersebut. Ketika melakukan audit sistem informasi, seorang auditor harus memastikan tujuan-tujuan ini terpenuhi:

1. Perlengkapan keamanan melindungi perlengkapan komputer, program, komunikasi, dan data dari akses yang tidak sah, modifikasi atau penghancuran.

2.  Pengembangan dan perolehan program dilaksanakan sesuai dengan otorisasi khusus dan umum dari pihak manajemen

3.  Modifikasi program dilaksanakan dengan otorisasi dan persetujuan dari pihak manajemen

4.  Pemrosesan transaksi, file laporan dan catatan komputer lainnya telah akurat dan lengkap.

5.  Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang tepat diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah ditetapkan.

6.  File data komputer telah akurat, lengkap dan dijaga kerahasiaannya.

            Tujuan audit tersebut diatas berkaitan dengan komponen dari sistem informasi. Keterkaitan antara tujuan audit dan komponen sistem informasi dapat dilihat pada Gambar 1. 

4. Waktu Pelaksanaan Audit

      Pada prakteknya, untuk menjamin proses pengembangan suatu sistem informasi yang signifikan, maka biasanya dilakukan audit, baik itu sebelum atau pada saat implementasi (pre-implementation system), maupun setelah sistem “live” (post-implementation system). Audit juga sering dilakukan setelah adanya events (suatu kejadian tertentu) yang dianggap bisa berpengaruh pada jalannya sistem informasi ataupun setelah terjadi suatu incidents (kejadian yang mengakibatkan gangguan pada sistem informasi); hal mana, dalam praktek di Indonesia, lebih terkesan, dilakukan audit setelah adanya incidents.

        Manfaat audit Pre-Implementation System: 

1.  Organisasi dapat mengetahui apakah sistem informasi yang akan dikembangkan sudah sesuai dengan kebutuhan organisasi. 

2.  Mengukur apakah user (termasuk stakeholders) dapat beradaptasi dengan sistem informasi tersebut. 

3.  Memperkirakan manfaat yang diperoleh dari adanya sistem informasi tersebut. 

      Manfaat audit Post-Implementation System: 

1.  Organisasi mendapatkan review menyeluruh dari impelmentasi sistem informasi. 

2.  Organisasi mendapatkan solusi untuk penyempurnaan sistem informasi. 

3.  Mendapatkan justifikasi sistem informasi yang telah diimplementasikan.  

4.  Memberikan jaminan (atau reasonable assurance) kepada stakeholders bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan. 

5.   Membantu memastikan bahwa jejak pemeriksaan (audit trails) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwenang untuk melakukan pemeriksaan.

5. Spesialis Audit Sistem Informasi

            Untuk menjamin keakuratan pelaksanaan kegiatan audit sistem informasi, maka kegiatan audit sistem informasi biasanya dilakukan oleh seorang spesialis audit sistem informasi. Spesialis audit sistem informasi bertugas untuk mereview dan mengaudit seluruh (atau sebagian) area pada sistem informasi berkaitan dengan standard sesuai dengan organisasi; dan menjamin terpenuhi standar tertentu yang digunakan organisasi seperti misalnya standar profesional, hukum, aturan, kebijaksanaan organisasi, metodologi, pelaksanaan, integritas juga efektifitas biaya, kehandalan dan efisiensi.  

            Adapun fungsi dari spesialis audit sistem informasi adalah sebagai berikut:

1. Membuat perencanaan dan menjamin pelaksanaan audit sesuai dengan aturan dan metodologi dengan standar tertentu yang disepakati. 

2. Melakukan (dan/atau memimpin) pelaksanaan audit pada suatu area sistem informasi. Seperti misalnya: sistem aplikasi, sistem perangkat keras, kebijaksanaan dan prosedur sekuriti, integritas DBMS, perangkat lunak sistem, prosedur komunikasi/jaringan komputer, operasi komputer).

3. Membuat Laporan lengkap terkait pelaksanaan audit yang berisi penilaian dan terutama anjuran tindak lanjut terkait area sistem informasi yang diaudit.

Hasil yang diharapkan dari kegiatan audit sistem informasi yang dilakukan oleh seorang spesialis audit sistem informasi adalah sebagai berikut:

1.   Laporan dokumentasi yang berisi review dan evaluasi terkait area tertentu yang diaudit.

2.   Solusi berupa penilaian dan anjuran tindakan tindak lanjut terkait implementasi sistem informasi.

            

Untuk dapat melaksanakan tugasnya dengan baik, seorang spesialis audit sistem informasi harus memiliki pengetahuan dan ketrampilan sebagai berikut:

1. Pengetahuan mengenai audit, metodologi, standar, alat dan aturan terkait pelaksanaan audit sistem informasi.
2. Memiliki pengetahuan mengenai sistem informasi misalnya siklus pengembangan sistem informasi, ataupun perkembangan teknologi jaringan sistem informasi.
3. Memiliki pemahaman yang komprehensif menangani hal-hal teknik terkait sistem informasi seperi aplikasi, protokol komunikasi data dan jaringan serta manajemen sistem informasi.
4. Memiliki pemahaman yang baik mengenai kebijakan, program dan budaya organisasi serta hal lainnya yang terkait manajemen dan operasional organisasi.
5. Memiliki ketrampilan interpersonal yang baik.

            Selain wawasan, pengetahuan dan ketrampilan diatas seorang spesialis audit sistem informasi juga dituntut memenuhi syarat akreditasi pribadi terkait suatu sistem sertifikasi kualitas yang diakui secara internasional. Salah satu sertifikasi profesional sebagai standar pencapaian prestasi dalam bidang audit, kontrol, dan keamanan sistem informasi yang telah diterima secara internasional adalah CISA® (Certified Information Systems Auditor) yang dikeluarkan oleh ISACA (Information Systems Audit and Control Association). 

6. Penutup

            Audit sistem informasi dilakukan untuk menjamin agar sistem informasi dapat melindungi aset milik organisasi dan terutama membantu pencapaian tujuan organisasi secara efektif.