MAKALAH AUDIT MANAJEMEN TENTANG AUDIT SISTEM INFORMASI
AUDIT
SISTEM INFORMASI/ TEKNOLOGI INFORMASI
Tugas Ini Disusun Guna untuk Memenuhi Salah Satu Tugas
pada Mata Kuliah
“Audit Manajemen”
Dosen Pengampu : Agus Susilo, MM, Ak, CA, QIA.
Disusun
oleh:
Kelompok
2
ENY WULANDARI (
1562012 )
IDA MUHLIDA (
1562025 )
ARIS SAFIROTUL FANANI ( 1562047 )
SITI NOR AINI (
1562098 )
DICKY FATAH PRATAMA S. ( 1562153 )
AKUNTANSI KS 1/ 2015
PROGRAM STUDI
AKUNTANSI
SEKOLAH TINGGI ILMU EKONOMI (STIE)
PGRI DEWANTARA JOMBANG
TAHUN 2018
KATA PENGANTAR
Puji syukur kami
panjatkan kehadirat Allah SWT atas rahmat dan karunia-Nya kami dapat
menyelesaikan makalah ini dengan baik dan tepat pada waktunya. Makalah yang
berjudul “Audit Sistem Informasi/
Teknologi Informasi” ini membahas mengenai pengertian dan penjelasan dari
masing - masing topik yang kami bahas.
Dalam penulisan makalah
ini kami banyak mendapat bantuan dari berbagai referensi buku dan website. Oleh
karena itu, kami ingin mengucapkan terima kasih kepada semua pihak yang turut
memudahkan dalam penulisan makalah ini.
Kami sadar bahwa dalam
makalah ini masih jauh dari kesempurnaan, Hal itu di karenakan keterbatasan
kemampuan dan pengetahuan kami. Oleh karena itu, kami sangat mengharapkan
kritik dan saran yang bersifat membangun dari para pembaca. Semoga makalah ini
dapat bermanfaat bagi kita.
Akhir kata, kami
memohon maaf apabila dalam penulisan makalah ini terdapat banyak kesalahan.
Jombang,
31 Maret 2018
Kelompok
Penyusun
DAFTAR ISI
HALAMAN SAMPUL....................................................................................................
1
KATA
PENGANTAR .................................................................................................... 2
DAFTAR ISI .................................................................................................................... 3
BAB I
PENDAHULUAN ........................................................................................... 4
1.1 Latar Belakang ............................................................................................ 4
1.2 Rumusan Masalah ...................................................................................... 4
1.3 Tujuan ........................................................................................................ 4
BAB II PEMBAHASAN .............................................................................................. 5
2.1 Tata Kelola Teknologi Informasi (TI) ......................................................... 5
2.1.1 Pengertian Tata Kelola TI ................................................................ 6
2.1.2
Kerangka Kerja Tata Kelola TI ....................................................... 7
2.1.3
Peran Audit dalam Tata Kelola TI .................................................. 7
2.1.4
Tujuan Audit Sistem Informasi ...................................................... 7
2.2
Audit Sistem Informasi (SI)/ Teknologi Informasi (TI) ............................. 8
2.2.1
Pengertian Audit SI/ TI .................................................................. 9
2.2.2
Pendekatan Audit SI/ TI Berbasis Resiko
...................................... 11
2.2.3
Metodologi Audit SI/ TI ................................................................. 13
2.3 Analisis Kondisi Eksisting .......................................................................... 14
2.3.1
Teknik Pengumpulan Data .............................................................. 15
2.3.2
Proses Identifikasi Data .................................................................. 16
2.4 Penetuan Tingkat Resiko ............................................................................ 17
2.4.1
Penilaian Resiko .............................................................................. 17
2.4.2
Analisis Resiko ............................................................................... 17
2.5 Pelaksanaan Audit SI/ TI ............................................................................ 18
2.5.1
Penentuan Ruang Lingkup dan Tujuan Audit SI/ TI ..................... 19
2.5.2
Pengumpulan Bukti ........................................................................ 19
2.5.3
Pelaksanaan Uji Kepatutan ............................................................. 20
2.5.4
Penentuan Tingkat Kedewasaan ..................................................... 21
2.6 Penentuan Rekomendasi ............................................................................. 21
2.6.1 Penentuan Hasil Audit SI/ TI ......................................................... 22
2.6.2
Penyusunan Laporan Hasil Audit SI/ TI
........................................ 22
2.6.3
Audit Untuk Perbaikan Berkelanjutan
........................................... 23
2.7 Contoh Hadil Laporan Audit SI/TI ............................................................ 24
BAB III PENUTUP 29
3.1 Kesimpulan ................................................................................................. 29
3.2 Saran ........................................................................................................... 29
DAFTAR
PUSTAKA ..................................................................................................... 30
BAB I
PENDAHULUAN
1.1 Latar Belakang
Kemajuan teknologi informasi adalah sesuatu yang tidak
dapat dihindari dalam kehidupan ini, karena kemajuan teknologi akan sejalan
dengan perkembangan ilmu pengetahuan. Teknologi informasi adalah istilah umum
yang menjelaskan bahwa teknologi yang membantu kita dalam membuat, mengubah,
menyimpan, mengomunikasikan dan/atau memberikan informasi. Teknologi informasi
(Information Technology) bisa disingkat TI, IT atau Infotech.
Kemajuan TI telah mengubah cara perusahaan dalam
mengumpulkan data, memproses, dan melaporkan informasi keuangan. Oleh karena
itu, auditor akan menemukan suatu keadaan dimana data tersimpan lebih banyak
dalam media elektronik dibanding media kertas. Auditor harus menentukan
bagaimana perusahaan menggunakan IT sistem-nya dalam mengelompokkan, mencatat,
memproses, dan melaporkan transaksi dalam laporan keuangan.
Penggunaan TI dapat meningkatkan pengendalian internal
dengan menambahkan prosedur pengendalian baru yang dilakukan oleh komputer dan
dengan mengganti pengendalian yang biasanya dilakukan secara manual yang rentan
terhadap kesalahan manusia. Disaat yang
sama, TI dapat menimbulkan risiko-risiko baru, yang dapat diatasi klien dengan
menggunakan pengendalian khusus terhadap sistem TI.
1.2 Rumusan Masalah
Berdasarkan latar belakang tersebut
di atas, maka dapat di ambil rumusan masalah yaitu sebagai berikut :
1. Bagaimana
Tata Kelola TI ?
2. Bagaimana
Audit SI/TI ?
3. Bagaimana
Metodologi Audit SI/TI ?
4. Bagaimana
Contoh Hasil Laporan Audit SI/TI ?
1.3`Tujuan
Tujuan pembuatan makalah audit
sistem informasi yaitu sebagai berikut :
1. Agar
pembaca dapat mengetahui tata kelola teknologi informasi..
2. Agar
pembaca dapat mengetahui audit sistem informasi atau teknologi informasi.
3. Agar
pembaca dapat mengetahui metodologi audit sistem informasi atau teknologi
informasi.
4. Agar
pembaca dapat mengetahui contoh hasil audit sistem informasi atau teknologi
informasi.
BAB II
PEMBAHASAN
2.1 Tata
Kelola Teknologi Informasi (TI)
Teknologi Informasi yang sejak lama
dianggap sebagai pendorong dan pendukung strategi perusahaan, saat ini dianggap
sebagai bagian terintegrasi dari strategi bisnis. Para pemimpin perusahaan
sepakat bahwa keselarasan antara tujuan bisnis dan TI merupakan faktor sukses
kritis (Critical Success Factor) di perusahaan. Keberadaan tata kelola
TI Membantu pemenuhan faktor tersebut dengan secara efektif dan efisien
mengembangkan pengaplikasian teknologi dan pemenuhan kebutuhan akan informasi
yang dapat diandalkan dan terjamin. Karena keberadaan TI yang kritis,
pengelolaan TI seharusnya mendapatkan perhatian yang saling berkesinambungan
antara pemangku kepentingan (stakeholder) dengan operasional yang
terlibat langsung dalam eksekusi proses TI di lapangan.
2.1.1 Pengertian
Tata Kelola TI
Tata kelola TI memiliki definisi
inklusif yang mencakup Sistem Informasi (SI), teknologi dan komunikasi, bisnis
dan hukum serta isu-isu lain yang melibatkan hampir seluruh pemangku
kepentingan (stakeholder), baik direktur, manajemen eksekutif, pemilik
proses, supplier, pengguna TI bahkan pengaudit SI/ TI. Pembentukan dan
penyusunan tata kelola tersebut merupakan tanggung jawab dari jajaran direksi
dan manajemen eksekutif.
Panduan tersebut merupakan bagian
terintegrasi dari tata kelola perusahaan yang terdiri dari kepemimpinan dan
struktur organisasi serta proses yang memastikan bahwa pengelolaan TI akan
menopang dan memperluas strategi dan tujuan perusahaan.
Pada dasarnya, tata kelola TI
berkaitan dengan dua permasalahan utama yaitu :
a)
TI akan
memberikan nilai terhadap bisnis yang didorong oleh penyelarasan TI dengan
bisnis,
b)
Resiko yang
terkait dengan TI akan ditangani dengan penentuan penanggung jawab permasalahan
tersebut dalam perusahaan.
Dengan demikian penyelarasan bisnis dan TI yang
mengarahkan pada pemenuhan nilai bisnis adalah elemen kunci dari tata kelola
TI.
Adapun fokus utama dari area tata
kelola TI (IT Governance) dapat dibagi menjadi lima area yaitu :
1)
Penyelarasan
Strategi (Strategic Alignment), memfokuskan kepastian terhadap
keterkaitan antara strategi bisnis dan TI serta penyelarasan antara operasional
TI dengan bisnis.
2)
Penyampaian
Nilai (Value Delivery), mencakup hal-hal yang terkait dengan penyampaian
nilai yang memastikan bahwa TI memenuhi manfaat yang dijanjikan dengan
memfokuskan pada pengoptimalan biaya dan pembuktian nilai hakiki akan
keberadaan TI.
3)
Pengelolaan
Sumber Daya (Resource Management), berkaitan dengan pengoptimalan
investasi yang dilakukan dan pengelolaan secara tepat dari Sumber Daya Manusia
(SDM), isu kunci area ini berhubungan dengan pengoptimalan pengetahuan dan
infrastruktur.
4)
Pengelolaan
Resiko (Risk Management), membutuhkan kepekaan akan resiko oleh
manajemen senior, pemahaman yang jelas akan perhatian perusahaan terhadap
keberadaan resiko, pemahaman kebutuhan akan kepatutan, transparansi akan resiko
yang signifikan terhadap proses bisnis perusahaan dan tanggung jawab
pengelolaan resiko ke dalam organisasi itu sendiri.
5)
Pengukuran
Kinerja (Performance Measurement), penelusuran dan pengawasan
implementasi dari strategi, pemenuhan proyek yang berjalan, penggunaan sumber
daya, kinerja proses dan penyampaian layanan dengan menggunakan kerangka kerja
seperti Balance Scorecard yang menerjemahkan strategi ke dalam tindakan
untuk mencapai tujuan terukur dibandingkan dengan akuntansi konvensional.
2.1.2 Kerangka
Kerja Tata Kelola TI
a)
COBIT
Control Objective for Information & Related
Technology (COBIT) adalah sekumpulan dokumentasi best practice untuk IT
Governance yang dapat membantu auditor, pengguna (user), dan manajemen untuk
menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah
teknis IT (Sasongko, 2009).
b)
ITIL
Information Technology Infrastructure Library (ITIL)
adalah suatu rangkaian konsep dan teknik pengelolaan infrastruktur,
pengembangan, serta Pengoperasian teknologi informasi. ITIL memberikan
deskripsi detail tentang beberapa praktik TI dengan daftar cek, tugas, serta
prosedur menyeluruh yang dapat disesuaikan dengan segala jenis organisasi TI.
c)
ISO
International Organization for Standardization (ISO)
adalah badan standar dunia yang dibentuk untuk meningkatkan perdagangan
internasional yang berkaitan dengan perubahan barang dan jasa. ISO bertujuan
untuk mengharmonisasi standar-standar nasional di masing-masing negara menjadi
satu standar internasional yang sama. ISO digunakan sebagai: (Rabbit &
Bergh, 1994).
ISO 27001:2005
merupakan standar dokumen Sistem Manajemen Keamanan Informasi (SMKI) yang memberikan
gambaran tentang apa yang seharusnya dilakukan dalam usaha implementasi konsep
sistem informasi di perusahaan [5]. Kontrol keamanan berdasarkan ISO 27001:2005
terbagi menjadi 11 klausul kontrol keamanan (security control), 39
obyektif kontrol (control objectives) dan 133 kontrol keamanan
2.1.3 Peran
Audit Dalam Tata Kelola TI
Teknologi Informasi (TI) saat ini menjadi bagian
yang tak terpisahkan dalam perusahaan, bukan lagi menjadi fungsi terpisah yang
tidak terintegrasi dengan bisnis. Bagaimana TI diaplikasikan dalam perusahaan
akan mempengaruhi seberapa jauh perusahaan akan mencapai visi, misi ataupun
tujuan strategisnya. Karena itulah, perusahaan perlu melakukan mengevaluasi
pengelolaan TI tersebut yang menjadi
kian penting sebagai bagian dari tata kelola perusahaan secara keseluruhan.
Audit memainkan peranan penting dalam
pengimplementasian tata kelola TI di perusahaan. Besarnya resiko yang
kemungkinan muncul akibat penerapan TI di suatu perusahaan, membuat Audit SI/
TI semakin penting untuk dilakukan. (Weber, 2000) menyatakan beberapa alasan
penting mengapa audit SI/ TI perlu dilakukan antara lain :
a.
Kerugian akibat
kehilangan data,
b.
Kesalahan dalam
pengambilan keputusan,
c.
Resiko kebocoran
data,
d.
Penyalahgunaan
komputer,
e.
Kerugian akibat
kesalahan Proses Perhitungan,
f.
Tingginya nilai
investasi perangkat keras dan perangkat lunak.
2.1.4 Tujuan
Audit Sistem Informasi
1. Mengamankan Asset
Aset (aktiva) yang berhubungan dengan instalasi sistem informasi mencakup: perangkat keras (hardware), perangkat lunak (software), manusia (people), file data, dokumentasi sistem, dan peralatan pendukung lainnya.
2. Menjaga Integritas Data
Integritas data berarti data memiliki atribut:
kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian. Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan potret dirinya dengan benar atau kejadian yang ada tidak terungkap seperti apa adanya.
Keputusan maupun langkah-langkah penting di organisasi salah sasaran karena tidak didukung dengan data yang benar. Oleh karena itu, upaya untuk menjaga integritas data, dengan konsekuensi akan ada biaya prosedur pengendalian yang dikeluarkan harus sepadan dengan manfaat yang diharapkan.
3. Menjaga Efektifitas Sistem
Sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya.
perlu upaya untuk mengetahui kebutuhan pengguna sistem tersebut (user), apakah sistem menghasilkan laporan atau informasi yang bermanfaat bagi user. Auditor perlu mengetahui karakteristik user berikut proses pengambilan keputusannya.
Biasanya audit efektivitas sistem dilakukan setelah suatu sistem berjalan beberapa waktu.
Manajemen dapat meminta auditor untuk melakukan post audit guna menentukan sejauh mana sistem telah mencapai tujuan.
4. Efisiensi
Dikatakan efisien jika ia menggunakan sumberdaya seminimal mungkin untuk menghasilkan output yang dibutuhkan. Pada kenyataannya, sistem informasi menggunakan berbagai sumberdaya, seperti mesin, dan segala perlengkapannya, perangkat lunak, sarana komunikasi dan tenaga kerja yang mengoperasikan sistem tersebut.
Aset (aktiva) yang berhubungan dengan instalasi sistem informasi mencakup: perangkat keras (hardware), perangkat lunak (software), manusia (people), file data, dokumentasi sistem, dan peralatan pendukung lainnya.
2. Menjaga Integritas Data
Integritas data berarti data memiliki atribut:
kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian. Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan potret dirinya dengan benar atau kejadian yang ada tidak terungkap seperti apa adanya.
Keputusan maupun langkah-langkah penting di organisasi salah sasaran karena tidak didukung dengan data yang benar. Oleh karena itu, upaya untuk menjaga integritas data, dengan konsekuensi akan ada biaya prosedur pengendalian yang dikeluarkan harus sepadan dengan manfaat yang diharapkan.
3. Menjaga Efektifitas Sistem
Sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya.
perlu upaya untuk mengetahui kebutuhan pengguna sistem tersebut (user), apakah sistem menghasilkan laporan atau informasi yang bermanfaat bagi user. Auditor perlu mengetahui karakteristik user berikut proses pengambilan keputusannya.
Biasanya audit efektivitas sistem dilakukan setelah suatu sistem berjalan beberapa waktu.
Manajemen dapat meminta auditor untuk melakukan post audit guna menentukan sejauh mana sistem telah mencapai tujuan.
4. Efisiensi
Dikatakan efisien jika ia menggunakan sumberdaya seminimal mungkin untuk menghasilkan output yang dibutuhkan. Pada kenyataannya, sistem informasi menggunakan berbagai sumberdaya, seperti mesin, dan segala perlengkapannya, perangkat lunak, sarana komunikasi dan tenaga kerja yang mengoperasikan sistem tersebut.
2.2 Audit Sistem
Informasi (SI)/ Teknologi Informasi (TI)
Penggunaan
istilah audit telah banyak dipakai diberbanyak disiplin ilmu mulai dari
keuangan, pemerintahan hingga Teknologi Informasi (TI). Aktivitas yang
berlangsung pada dasarnya serupa, yakni: penemuan ketidakpatutan proses yang
ada terhadap standar pengelolaan aktivitas terkait. Agar dapat sukses
mengimplementasikan hal tersebut, maka aktivitas audit seharusnya terencana
dengan baik untuk memberikan hasil yang optimal sesuai dengan kondisi bisnis
masing-masing perusahaan. Adapun hasil dari audit dapat berupa rekomendasi yang
dapat digunakan pihak manajemen dalam meningkatkan efektifitas pengelolaan
aktivitas dan perbaikan berkelanjutan dari proses TI, contohnya rekomendasi
dari hasil audit SI/ TI, hingga keputusan ketidaksesuaian proses yang
berlangsung dengan standar yang ditetapkan seperti dalam audit keuangan.
Dalam bidang SI/ TI, aktivitas audit dilakukan
demi memberikan gambaran proses TI yang berlangsung di perusahaan masa kini
kemudian mengamati, menganalisis dan menyesuaikan gambaran tersebut dengan
ketetapan, standar, regulasi dan hukum yang berlaku. Penyesuaian tersebut
menghasilkan rekomendasi proses yang perlu mendapatkan perhatian pihak
manajemen agar dapat diperbaiki dan disempurnakan sehingga TI dapat memberikan
dukungan yang optimal terhadap bisnis. Setiap tahapan dalam aktivitas tersebut
memerlukan pemahaman yang menyeluruh akan proses bisnis, struktur organisasi
maupun hukum dan regulasi yang berlaku di perusahaan. Selain itu diperlukan
pengetahuan dan wawasan yang luas dari pengaudit SI/ TI mengenai metodologi
pelaksanaan audit maupun praktek audit yang baik pada umumnya untuk mendapatkan
hasil rekomendasi yang paling merepresentasikan kebutuhan perbaikan proses yang
diperlukan perusahaan. Pengetahuan bagaimana audit SI/ TI dilaksanakan tersebut
juga merupakan hal yang perlu diketahui bagi pihak manajemen agar dapat
dipahami urgensi pengelolaan proses TI yang terarah dalam tata kelola sekaligus
mampu mendorong implementasi yang lebih efektif. Lebih jauh lagi, dengan
menekankan pada pentingnya keberadaan TI dalam mendukung bisnis dan memastikan
pengelolaannya secara efektif dalam kerangka tata kelola TI, maka pengelolaan
tersebut akan berpontensi menghasilkan outcame TI yang lebih tinggi.
2.2.1 Pengertian Audit SI/ TI
Sebelum
memahami lebih jauh mengenai audit SI/ TI, perlu dipahami mengenai pengertian Sistem
Informasi (SI) dan Teknologi Informasi (TI) itu sendiri. (Alter, 1996)
mendefinisikan Sistem Informasi sebagai sebuah sistem yang menggunakan TI untuk
menangkap, mentransmisikan, menyimpan, mendapatkan, memanipulasi atau
menampilkan informasi yang dibutuhkan oleh satu atau lebih proses bisnis. Agar
dapat berdaya guna, maka SI seharusnya merupakan rangkaian prosedur formal yang
melakukan pengelompokkan data, pemrosesan dan pendistribusian kepada pengguna
(Hall, 2001).
Sedangkan
pengertian Teknologi Informasi lebih ke arah hal-hal yang terkait dengan
teknologi komputer (computing technology) dan teknologi komunikasi (communication
technology) yang digunakan untuk memproses dan menyebarkan informasi, baik
itu yang bersifat finansial maupun non finansial (Bodnar & Hopwood, 2004).
Dengan demikian, dapat dikatakan bahwa TI merupakan segala cara atau alat yang
terintegrasi yang digunakan untuk menjaring data, mengolah dan mengirimkan atau
menyajikan secara elektronik menjadi informasi dalam berbagai format yang
bermanfaat bagi penggunanya.
Kepastian Praktek
Pengelolaan SI/ TI melalui Aktivitas Audit
Untuk
memastikan pengelolaan keduanya, baik SI maupun TI, apakah telah sesuai dengan
ketetapan dan standar yang berlaku maka perlu dilakukan aktivitas audit
sehingga perbaikan dapat dilakukan dengan lebih terarah dalam kerangka
perbaikan berkelanjutan. Audit SI dilakukan dengan lebih memfokuskan kepada
sistem yang melingkupi proses TI apakah sesuai dengan standar maupun ketepatan
yang berlaku sehingga penekannya lebih pada uji kepatutan (compliance test)
terhadap prosedur yang dijadikan acuan dalam pelaksanaan serta terhadapp
pihak-pihak yang terlibat dalam eksekusi proses terkait. Sedangkan audit Ti
lebih detail melakukan uji secara substantif (substantive test) terhadap
aplikasi dan infrastruktur yang mendukung sistem sehingga penekanannya lebih
kepada pengujian integritas proses yang berlangsung. Aspek validitas juga
dipertimbangkan terutama yang terkait dengan transaksi keuangan maupun aspek
keakurasian dari persediaan barang dalam inventori.
Untuk
memudahkan pemahaman yang lebih global, maka pembahasan mengarah pada Audit SI/
TI yang merupakan aktivitas pengumpulan dan pengevaluasian bukti untuk
penentuan apakah proses TI yang berlangsung dalam perusahaan telah dikelola
sesuai dengan standar dan dilengkapi dengan objektif kontrol untuk mengawasi
penggunaannya serta apakah telah memenuhi tujuan bisnis secara efektif. Dengan
demikian, Audit SI/ TI dapat menekankan pada penggunaan keterpaduan antara uji
kepatutan maupun uji secara substantif yang komposisi/ banyaknya digunakan
secara seimbang sesuai dengan kondisi proses yang di audit. Ron Weber
mendefinisikan audit SI/ TI sebagai proses pengumpulan dan pengevaluasian bukti
(evidence) untuk menentukan apakah sistem informasi dapat melindungi
aset, teknologi informasi yang ada telah memelihara integritas data sehingga
keduanya dapat diarahkan kepada pencapaian tujuan bisnis secara efektif dengan
menggunakan sumber daya secara efektif (Sayana, The IS Audit Process,
2002).
Tinjauan Penting dalam
Audit SI/ TI
Adapun
elemen utama dari aktivitas peninjauan yang dilakukan dalam Audit SI/ TI dapat
diklasifikasikan ke dalam tinjauan penting berikut:
·
Tinjauan terkait dengan fisik dan lingkungan, yakni: hal-hal yang terkait dengan keamanan fisik,
suplai sumber daya, temperatur, kontrol kelembaban dan faktor lingkungan lain.
·
Tinjauan administrasi sistem, yaitu mencakup tinjauan keamanan sistem operasi, sistem manajemen
database, seluruh prosedur administrasi sistem dan pelaksanaannya.
·
Tinjauan perangkat lunak, yaitu mencakup kontrol akses dan otorisasi ke dalam sistem, validasi
dan penanganan kesalahan termasuk pengecualian dalam sistem serta aliran proses
bisnis dalam perangkat lunak serta kontrol secara manual dan prosedur
penggunaannya.
·
Tinjauan keamanan jaringan, yaitu mencakup jaringan internal dan eksternal yang terhubung dengan
sistem, batasan tingkat keamanan, tinjauan terhadap firewall, daftar
kontrol akses router, port scanning serta pendeteksian akan gangguan
maupun ancaman terhadap sistem.
·
Tinjauan kontinuitas bisnis, dengan memastikan ketersediaan prosedur backup dan penyimpanan,
dokumentasi dari prosedur tersebut serta dokumentasi pemulihan bencana/
kontinuitas bisnis yang dimiliki.
·
Tinjauan integritas data, betujuan untuk memastikan ketelitian data yang beroperasi sehingga
dilakukan verifikasi kecukupan kontrol dan dampak dari kurangnya kontrol yang
ditetapkan.
Keseluruhan
tinjauan tersebut perlu dilakukan oleh pengaudit SI/ TI untuk menyediakan
gambaran yang lebih jelas kepada manajemen terkait dengan kondisi eksisting
proses bisnis yang terkait dengan TI.
Selain
itu, terdapat sejumlah kemungkinan tinjauan khusus di dalam audit SI/ TI itu
sendiri, sebagai contoh adalah Audit Forensik. Audit Forensik merupakan audit
yang mengkhususkan dalam penemuan, penyingkapan dan tindakan lanjutan terhadap
penipuan dan tindakan kriminal. Investigasi Forensik komputer salah satunya,
melakukan penyingkapan terhadap penyalahgunaan sumber daya TI.
2.2.2 Pendekatan Audit SI/ TI Berbasis Resiko
Semakin
banyak perusahaan yang menggunakan pendekatan audit berbasis resiko yang dapat
diadaptasi untuk mengembangkan dan meningkatkan kelangsungan proses audit.
Resiko yang dimaksud adalah kemungkinan tindakan atau kejadian yang akan
menimbulkan efek yang merugikan bagi perusahaan dan secara spesifik berakibat
pada keberlangsungan proses bisnis yang berlangung di perusahaan. Proses bisnis
tersebut dapat terkait dengan aspek finansial, regulasi atau operasional maupun
teknologi (ISACA, CISA Review Manual, 2006).
Pendekatan
audit SI/ TI berbasis resiko digunakan untuk menilai resiko dari proses bisnis
yang berlangsung di perusahaan dan yang terpenting dapat membantu pengaudit SI/
TI dalam memutuskan metode pengujian yang digunakan dalam pelaksanaan audit
nantinya, apakah dengan melakukan uji kepatutan atau uji secara substantif. Hal
yang membedakan keduanya adalah uji kepatutan lebih fokus terhadap pengujian
kepatutan proses yang berlangsung di perusahaan terhadap prosedur yang dimiliki
sedangkan uji secara substantif merupakan aktivitas pengumpulan bukti untuk
mengevaluasi integritas transaksi individu, data atau informasi yang berkaitan
dengan dengan proses bisnis.
Uji
kepatutan akan menentukan apakah kontrol telah diaplikasikan dalam tata cara
yang sesuai dengan kebijakan dan prosedur manajemen. Tujuan utamanya adalah
penyediaan kepastian bahwa kontrol khusus telah berjalan sesuai dengan
pemeriksaan pendahuluan sebelumnya. Lebih jauh lagi dapat digunakan untuk
menguji keberadaan dan efektifitas proses yang ditetapkan. Sedangkan uji secara
substantif mendukung integritas proses aktual yang memberikan bukti keabsahan
dan integritas keseimbangan pernyataan keuangan dan transaksi pendukungnya.
Pengujian tersebut juga digunakan untuk tingkat keakurasian catatan yang ada
dengan beberapa perhitungan statistik terkait yang dilakukan .
Adapun
secara umum pendekatan Audit SI/ TI berbasis resiko akan mencakup serangkaian
aktivitas berikut:
1) Pengumpulan informasi terkait dengan kondisi bisnis
perusahaan yang mencakup: pengetahuan bisnis dan industri, hasil audit
sebelumnya, kondisi finansial perusahaan, penilaian resiko dari proses bisnis
serta kebijakan, hukum dan regulasi yang berlaku.
2) Pemahaman terhadap kontrol internal, termasuk
prosedur dan lingkungan kontrol.
3) Pelaksanaan uji kepatutan yang menguji kepatutan
terhadap kebijakan dan prosedur, termasuk pemisahan tanggung jawab dalam
penyelenggaraan proses bisnis.
4) Pelaksanaan uji secara substantif dengan
memperhatikan lebih detail kepada aspek analitis, termasuk pengujian pada
keseimbangan kondisi finansial perusahaan.
5) Penentuan kesimpulan hasil audit dengan menyusun
rekomendasi dalam laporan audit.
Namun
demikian, meski aktivitas audit SI/ TI yang dilakukan berbasis resiko,
aktivitas tersebut tidak terlepas dari potensi resiko kesalahan yang mungkin
terjadi dalam pelaksanaan aktivitas audit itu sendiri. Kemungkinan potensi
resiko kesalahan dari laporan informasi/ finansial yang kurang lengkap dan
tidak terdeteksi selama pelaksanaan audit merupakan pengertian dari Audit
Risk. Resiko kesalahan tersebut dapat dikelompokkan menjadi: inherent
risk, control risk dan detection risk. Pengelompokkan tersebut bukan
dimaksudkan untuk kerumitan dalam menentukan jenis resiko yang ada, namun
digunakan sebagai pertimbangan dalam menentukan tindakan antisipasi agar resiko kesalahan tersebut
tidak muncul selama proses audit dilaksanakan. Pengaudit SI/ TI perlu memperhatikan
proses bisnis yang akan di audit dan mengklasifikasikannya ke dalam
pengelompokkan resiko kesalahan audit tersebut untuk memudahkan dalam
memfokskan pengujian yang akan dilakukan nantinya. Selain itu dengan mengetahui
kemungkinan resiko kesalahan tersebut, bisa digunakan untuk pengalokasian
Sumber Daya Manusia (SDM) yang kompeten dan ahli di bidang yang sesuai dengan
proses terkait.
Adapun
pemaparan lebih lanjut mengenai pengelompokkan resiko kesalahan tersebut akan
dipaparkan lebih lanjut sebagaimana berikut:
·
Resiko
Bawaan (Inherent Risk),
merupakan resiko kesalahan audit yang merupakan aktivitas bawaan dari proses
bisnis. Resiko kesalahan tersebut bersifat independen dan akan semakin tinggi
jikan compensating control tidak tersedia. Contoh resiko kesalahan jenis
ini adalah proses bisnis yang melibatkan perhitungan yang komplek cenderung
lebih dekat dengan kesaahan perhitungan yang menyebabkan tingkat inherent
resiko-nya tinggi.
·
Resiko
Kontrol (Control Risk), merupakan
resiko kesalahan yang tidak terdeteksi oleh kontrol internal itu sendiri selama
proses audit berangsung. Contoh resiko kesalahan pencocokan hasil manual dari log
(catatan komputer)dengan tinjauan manual dapat dikategorikan dalam resiko
yang tinggi (bigh) karena aktivitas peninjauan manual membutuhkan
penyelidikan yang terkadang sering salah dan kurang tepat. Resiko kontrol
tersebut menjadi rendah (low) jika prosedur validasi tersebut dilakukan
secara terkomputerisasi.
·
Resiko
Pendeteksian (Detection Risk), resiko kesalahan yang pengaudit SI/ TI menggunakan prosedur pengujian
yang tidak cukup atau pengambilan kesimpulan yang tidak sesuai dengan proses
aktual yang ada padahal seharusnya tersedia pendeteksian tersebut baru dapat
dilakukan setelah kesalahan terhadap proses bisnis terjadi.
2.2.3 Metodologi
Audit SI/ TI
Perencanaan
yang memadai adalah kebutuhan utama demi mewujudkan pelaksanaan Audit SI/ TI
yang efektif. Perencanaan tersebut seharusnya terhimpun dalam metodologi yang
terarah, step by step sehingga memudahkan dalam pengimplementasiannya.
Pengaudit biasanya terdiri dari sekelompok pengaudit SI/ TI gabungan antara
internal perusahaan dengan pihak ketiga. Pengaudit SI/ TI seharusnya menilai
resiko secara keseluruhan dari area yang akan di audit kemudian mengembangkan
perencanaan audit berikut tujuan dan prosedur-prosedur terkait dengan eksekusi
dari rencana tersebut.
Dalam
pelaksanaan audit SI/ TI, diperlukan pengumpulan bukti oleh pengaudit, kemudian
mengevaluasi kekuatan dan kelemahan dari kontrol terkait dengan
pengimplementasian proses TI berdasarkan dari bukti yang dikumpulkan kemudian
menyusun laporan kepada pihak manajemen. Umumnya Audit SI/ TI dilakukan dengan
menggnakan pendekatan resiko, dan berorientasi terhadap proses.
Secara
garis besar, metodologi dalam Audit SI/ TI akan terdiri atas beberapa tahapan
antara lain:
a) Analisis kondisi
eksisting, yang merupakan aktivitas
dalam memahami kondisi saat ini dari perusahaan yang di audit termasuk hukum
dan regulasi yang berpengaruh terhadap operasional proses bisnis.
b) Penentuan tingkat
resiko, dengan
mengklasifikasikan proses bisnis yang tingkat resikonya tinggi (proses bisnis
utama) maupun proses bisnis pendukung. Hasil penentuan tingkat resiko tersebut
kemudian dijadikaan sebagai bahan dalam penyusunan ruang lingkup pelaksanaan audit
yang diarahkan kepada proses bisnis yang disukung oleh TI.
c) Pelaksanaan
audit SI/ TI, dengan
mengacu kerangka kerja yang akan didahului dengan proses penentuan ruang
lingkup dan tujuan audit (scope dan objective) berdasarkan hasil
penentuan tingkat resiko pada tahapan sebelumnya.
d) Penentuan
rekomendasi, beserta
laporan dari hasil audit yang dilakukan.
2.3 Analisis Kondisi Eksisting
Sebelum Audit Sistem Informasi (SI)/ Teknologi Informasi (TI) dilakukan,
pengaudit selayaknya melakukan tinjauan terhadap kondisi eksisting yang ada di
perusahaan. Tujuan utamanya adalah mendapatkan seluruh proses bisnis utama dan
pendukung yang berlangsung di perusahaan sekaligus mendapatkan informasi lain
yang terkait dengan proses bisnis tersebut, contohnya informasi mengenai
aktivitas bisnis yang telah didukung TI serta hukum, regulasi, ketetapan maupun
standar pengelolaan proses bisnis terkait.
Dengan demikian, kesuksesan dalam pelaksanaan audit bergantung pada
kemampuan pengaudit dalam memahami kondisi saat ini terkait dengan aktivitas
bisnis perusahaan. Untuk dapat memahami kondisi saat ini, maka perlu dilakukan
pencarian data terkait yang relevan.
Berdasarkan hal tersebut, maka fokus awal dari Audit SI/ TI adalah
pencarian data. Pada tahapan analisis kondisi eksisting, pelaksanaan audit
untuk pengujian kepatutan belum dilakukan. Yang dimaksud adalah data yang
dicari hanya dikumpulkan dengan memfokuskan pada pencarian data proses bisnis,
baik yang dilakukan TI maupun tidak dan mencakup detail pelaksanaan aktivitas
dalam bentuk prosedur, alur kerja, deskripsi pekerjaan hingga struktur
organisasi bisnis. Permasalahan umum dalam Audit SI/ TI adalah bahwa pihak
manajemen tidak mengidentifikasi secara efektif dan mengklasifikasikan seluruh
elemen data sehingga memungkinkan terjadi kesalahan asumsi karena
ketidaklengkapan data oleh pengaudit.
Adapun hal-hal yang perlu diperhatikan dalam pengauditan SI/ TI di tiap
aktivitas antara lain :
a. Pencarian data yang relevan,
b. Pengumpulan data yang relevan,
c. Klasifikasi data yang relevan,
d. Pengontrolan data yang relevan.
Dalam tahapan ini, teknik
pengumpulan data tersebut dapat digunakan pada aktivitas pencarian dan
pengumpulan data yang relevan. Sedangkan bagaimana data diidentifikasi
merupakan representasi dari aktivitas pengklasifikasian dan pengontrolan data
yang relevan.
2.3.1 Teknik Pengumpulan Data
Adapun
teknik-teknik dalam pengumpulan data dalam pengidentifikasian kondisi
eksisting, antara lain :
1) Wawancara, peoses yang dilakukan untuk mengetahui proses
bisnis yang ada di perusahaan. Tahap pertama dalam proses wawancara adalah
mengenali pihak-pihak yang bertanggung jawab terhadap setiap proses yang
berlangsung di perusahaan.
2) Survei menggunakan
kuisioner, proses ini memiliki
kelemahan yaitu komunikasi yang terbatas, yang artinya tidak adanya pertukaran
informasi yang terjadi secara tatap muka antara pengaudit SI/ TI dan pihak yang
disurvei. Untuk alasan inilah keputusan untuk menggunakan metode ini seharusnya
memiliki nilai alik (feedback) yang sepadan yang mampu mentolelir
kemampuannya.
3) Peninjauan terhadap
dokumen, merupakan salah satu
cara paling populer untuk mengumpulkan informasi tentang situasi sistem yang
ada.
4) Observasi, merupakan suatu teknik pengumpulan data yang
sangat efektif . Teknik ini dapat digunakan untuk beberapa tujuan, seperti
pemrosesan dan pengkonfirmasian hasil-hasil dari wawancara identifikasi dari
dokumen-dokumen yang perlu dikumpulkan untuk analisis lebih lanjut, menjelaskan
apa yang telah dilakukan pada lingkungan sistem yang ada dan bagaimana hal ini
dapat selesai, dan fungsi-fungsi lain yang sejenis
2.3.2 Proses Identifikasi Data
Setelah
data dikumpulkan, maka langkah selanjutnya adalah pengidentifikasian dan
pengelompokan data untuk memudahkan dalam penggunaan nantinya. Proses
identifikasi data tersebut antara lain :
·
Pengidentifikasian
proses bisnis, data
mengenai proses bisnis dapat diidentifikasi dari visi, misi, tujuan, program
hingga aktivitas yang terhimpun dalam strategi bisnis serta proses yang
berlangsung dalam aktivitas bisnis. Data yang terkumpul kemudian
diidentifikasikan sebagai proses bisnis yang berlangsung di perusahaan dan
perlu diklasifikasikan berdasarkan tingkat dukungannya dalam mendukung
kelangsungan bisnis. Proses bisnis dapat diklasifikasikan ke dalam proses
bisnis utama dan proses bisnis pendukung beserta sub proses yang mendukungnya.
·
Pengidentifikasian
SI/ TI yang mendukung proses bisnis, pada tahap ini dilakukan pengidentifikasian SI/ TI yang mendukung tiap
proses bisnis yang telah diidentifikasikan sebelumnya. Dari hasi identifikasi
tersebut dapat diketahui proses bisnis yang telah didukung TI sehingga nantinya
dapat di analisis seberapa jauh pengelolaan dukungan tersebut sehingga dapat
diperbaiki untuk memberikan dukungan yang optimal.
·
Pengidentifikasian
hukum, regulasi dan kebijakan, tiap perusahaan apapun skala atau sektor bisnisnya, seharusnya penting
untuk patut terhadap hukum, regulasi dan kebijakan yang terkaitdengan
pengelolaan proses bisnisnya, termasuk patut terhadap standar-standar
pengelolaan proses TI. Dua hal yang menjadi perhatian utama adalah
peraturan-peraturan eksternal (hukum, reguasi, perjanjian kontrak) yang
berhubungan dengan audit SI/ TI dan peraturan internal perusahaan (standar,
panduan, prosedur, struktur organisasi). Data tersebut akan mempengaruhi
penentuan scope dan objective atau ruang lingkup dan tujuan dari
dari pelaksanaan audit nantinya.
2.4 Penentuan Tingkat Resiko
Pengelolaan resiko bisnis adalah komponen penting di setiap perusahaan
karena akan berpengaruh terhadap pencapaian tujuan bisnis organisasi itu sendiri.
Namun dalam prakteknya, urgensi pengelolaan resiko tersebut terkadang belum
dipahami dengan benar oleh pemangku kepentingan (stakeholder)
perusahaan. Tanpa pemahaman yang jelas mengenai resiko yang berdampak terhadap
bisnis, stakeholder tidak memiliki kerangka referensi untuk prioritas
dan pengelolaan resiko tersebut. Bila dikaitkan dengan audit SI/TI, penentuan
resiko dapat digunakan untuk menentukan batasan pelaksanaan audit yang
dilakukan dengan memprioritaskan kepada proses bisnis yang tingkat resikonya
tinggi.
Pada dasarnya, identifikasi resiko dilakukan untuk pencarian resiko dan
kerentanan dari pelaksanaan proses yang berdampak pada bisnis sehingga dengan
aktivitas audit dapat diketahui kontrol yang belum dipenuhi untuk pengelolaan
proses yang baik sehingga dapat mengurangi kemungkinan terjadinya resiko. Yang
dimaksud dengan resiko disini adalah ancaman atau kerentanan dari proses maupun
aset (fisik dan informasi), dampak dari keduanya serta kemungkinan dari ancaman
(kombinasi dari kemungkinan dan frekuensi kejadian).
Penilaian resiko (risk assessment) perlu diidentifikasi terlebih
dahulu ditiap proses bisnis yang telah diidentifikasikan dalam tahapan analisis
kondisi eksisting, kemudian dilakukan analisis resikonya (risk analysis)
sehingga menghasilkan proses bisnis dengan tingkat resiko yang tinggi (high).
Hasil tersebut selanjutnya dapat digunakan dalam penentuan ruang lingkup dan
tujuan audit (scope dan objective) yang merupakan bagian dari
tahapan pelaksanaan audit SI/TI.
2.4.1 Penilaian Resiko
Yang
dimaksud dari pengukuran penilaian resiko (risk assessment) adalah
proses yang digunakan untuk mengidentifikasi dan mengevaluasi resiko serta efek
potensial yang terkait dengan proses bisnis. Beberapa metode dapat digunakan
untuk melaksanakan penilaian resiko. Salah satu pendekatan yang dapat digunakan
adalah penentuan skor yang dapat dipakai untuk memprioritaskan tingkat
kepentingan proses bisnis dengan mempertimbangkan aspek-aspek yang mencakup
kompleksitas teknik, isi sistem serta pengubahan proses yang terjadi.
Aspek-aspek tersebut dapat dibobotkan maupun diklasifikasikan dalam tingkat
tertentu. Bentuk lain dalam penilaian tersebut adalah berdasarkan pendapat.
Penentuan tersebut dapat melibatkan keputusan pribadi berdasarkan arahan
manajemen ekskutif, prespektif historis dan kondisi bisnis.
2.4.2 Analisis Resiko
Hasil risk assessment kemudian
di analisis probabilitas kemungkinan kejadian proses dan tingkatan dampak yang
ditimbulkan terhadap proses bisnis terkait. Kedua analisis tersebut direpresentasikan
secara kualitatif dengan ukuran low, medium dan high dan
dilakukan terhadap seluruh proses bisnis yang ada diperusahaan. Aktivitas
analisis resiko (risk analysis) tersebut dilakukan dengan harapan agar
area audit yang ditentukan dari hasil analisis nantinya melingkupi
proses-proses kritis yang ada di perusahaan.
Dalam audit SI/ TI, analisis resiko pada dasarnya dilakukan untuk
pemilihan proses bisnis terkait dengan TI yang tingkat resikonya tinggi (high).
Dengan diketahuinya proses bisnis yang tingkat resikonya tinggi diharapkan
memudahkan dalam perbaikan dan peningkatan proses pengelolaan TI yang terkait
dengan proses bisnis tersebut.
Dengan demikian, langkah-langkah yang dilakukan dalam tahapan analisis
resiko secara umum akan mencakup :
1) Penentuan
proses bisnis dengan tingkat resiko tinggi
Data utama yang dibutuhkan dalam aktivitas ini adalah seluruh proses
bisnis baik utama dan pendukung serta dampak kemungkinan resiko dari hasil risk
assessment yang telah dipaparkan sebelumnya. Secara umum langkah-langkah
yang perlu dilakukan pengaudit SI/ TI dalam proses penentuan proses bisnis
dengan tingkat resiko tinggi adalah sebagai berikut :
·
Menghitung level probabilitas kejadian resiko bisnis dan dampak yang
ditimbulkan untuk setiap proses bisnis.
·
Menghitung tingkatan resiko dengan mengkonjungsikan (AND/OR) antara
tingkatan probabilitas kejadian resiko dan tingkatan dampak yang ditimbulkan.
·
Melakukan pemilihan proses bisnis dengan tingkat resiko tinggi (high).
·
Melakukan pemilihan terhadap proses bisnis yang telah didukung oleh TI
dari proses bisnis yang tingkat resikonya tinggi. Sedangkan proses bisnis yang
tidak didukung oleh TI namun dari hasil penilaian resiko ternyata tingkat
resikonya tinggi (high), tetap dikumpulkan dan dijadikan sebagai catatan
yang akan dibutuhkan dalam penyusunan rekomendasi audit SI/ TI nantinya.
2) Penentuan
proses TI dengan tingkat resiko tinggi
Secara umum langkah-langkah yang perlu dilakukan pengaudit SJ/ TI dalam
proses penentuan proses TI dengan tingkat resiko tinggi antara lain :
·
Melakukan pemetaan proses bisnis dengan tingkat resiko tinggi (high)
yang terkait dengan TI terhadap tujuan bisnis dalam kerangka keterkaitan tujuan
bisnis, tujuan TI dan proses TI.
·
Melakukan penilaian tujuan bisnis yang merepresentasikan proses bisnis tersebut.
·
Melakukan pemetaan tujuan bisnis yang dilakukan sebelumnya terhadap
tujuan TI yang relevan.
·
Melakukan pemetaan tujuan TI yang telah dipilih sebelumnya terhadap
proses TI yang relevan sehingga didapatkan proses TI dengan tingkat resiko
tinggi (high).
·
Melakukan eliminasi proses TI dengan tingkat kepentingan tinggi (high)
tersebut untuk mengetahui proses-proses yang perlu diprioritaskan dalam
pelaksanaan audit.
Output akhir dan aktivitas tingkat penentuan tingkat resiko adalah proses
TI dengan tingkat kepentingan high. Hasil tersebut dapat langsung
digunakan sebagai scope dari hasil pelaksanaan audit, namun lebih
disarankan tetap menyesuaikan dengan preferensi pihak manajemen terhadap
pilihan fokus area audit yang akan dilakukan pada proses TI diperusahaan.
2.5 Pelaksanaan Audit SI/ TI
Tujuan dilaksanakannya audit adalah pemberian dukungan terhadap pemenuhan
kontrol internal yang ada untuk meminimalkan resiko yang berdampak terhadap
bisnis. Hal tersebut termasuk memastikan kepatutan terhadap hukum dan regulasi
yang berlaku sekaligus kebutuhan internal akan kerahasiaan, integritas,
reabilitas dan ketersediaan informasi. nantinya hasil audit diharapkan dapat
dijadikan sebagai referensi proses yang perlu diperbaiki secara berkelanjutan
untuk memenuhi ontrol internal agar dapat memberikan dukungan yang optimal
terhadap bisnis sekaligus mengurangi resiko yang mingkin timbul.
Audit SI/ TI akan dilaksanakan dengan menggunakan prosedur uji kepatutan
(compliance test), yakni menyesuaikan keadaan eksisting dengan standar
pengelolaan proses TI yang didefinisikan dalam kerangka kerja tersebut.
2.5.1 Penentuan Ruang Lingkup dan Tujuan Audit
SI/TI
Penentuan ruang lingkup dan tujuan (scope dan objective)
dari audit SI/ TI dilakukan dengan mengacu pada hasil analisis resiko yang
dilakukan pada tahapan sebelumnya. Ruang lingkup (scope) merupakan area
yang akan diaudit yang mencakup sistem secara spesifik, fungsi atau unit
organisasi yang dimasukkan dalam tinjauan nantinya. Penentuan area tersebut
menjadi kritis karena menentukan fokus dari proses audit yang diterjemahkan ke
dalam tujuan audit.
Secara garis besar tujuan audit adalahmelakukan penilaian terhadap governance,
efectiveness, efficiency, accountability, conformance, dan asset
safeguards. Dengann demikian uji kepatutan yang dilakukan nantinyaakan
memfokuskan pada pemenuhan kriteria-kriteria tersebut dengan mengacu pada
standar pengelolaan proses TI yang dipilih.
2.5.2 Pengumpulan Bukti
Bukti (evidence) merupakan informasi apapun yang digunakan oleh
pengaudit SI/TI untuk menentukan apakah data yang diaudit sesuai dengan
kriteria atau tujuan audit. ketika merencanakan aktivitas audit, perlu
didefinisikan tipe dari bukti yang akan dikumpulkan dari bagaimana hal tersebut
memenuhi tujuan audit. Beberapa teknik yang dapat dilakukan dalam mengumpulkan
bukti antara lain :
Ø Peninjauan terhadap struktur organisasi TI
Ø Pembagian terhadap kebijakan dan prosedur yang
terkait dengan TI
Ø Peninjauan terhadap standar yang terkait dengan TI
Ø Peninjauan dokumentasi yang terkait dengan pengelolaan
SI/ TI
Ø Wawancara kepada personel yang tepat
Ø Pengobservasian proses dan kinerja karyawan
Pelaksanaan audit SI/ TI pada dasarnya melakukan pencarian bukti/ evidence
dari proses TI yang ada diperusahaan dengan menyesuaikan standar proses TI yang
didefinisikan dalam kerangka kerja. Bukti tersebut akan digunakan untuk
melaksanakan uji kepatutan sehingga didapatkan temuan (findings) sebagai
kepatutan terhadap standar yang berlaku. Selanjutnya bukti dan temuan yang
didapatkan akan dijadikan sebagai bahan pertimbangan dalam penentuan tingkat
kedewasaan pengelolaan proses TI di perusahaan.
2.5.3 Pelaksanaan Uji Kepatutan
Uji kepatutan (compliance test) dilakukan dengan menguji kepatutan
proses TI dengan melihat kepatutan proses yang berlangsung terhadap standar dan
regulasi yang berlaku. Kepatutan proses tersebut dapat diketahui dari hasil
pengumpulan bukti (evidence) seperti yang telah dipaparkan sebelumnya.
Pelaksanaan uji kepatutan akan menghasilkan temuan (findings) yang
nantinya digunakan sebagai bahan penyusunan rekomendasi dalam laporan audit.
Adapun langkah-langkah yang dilakukan dalam uji tersebut antara lain :
1) Tahapan
pengidentifikasian objek yang di audit
Tujuan dari langkah ini agar pengaudit mengenal lebih jauh terkait dengan
hal-hal yang harus dipenuhi dalam objektif kontrol yang membawa kepada
penugasan kepada pihak-pihak yang bertanggung jawab.
Output dari aktivitas dalam tahapan ini adalah bahwa pengaudit seharusnya
sudah melakukan identifikasi, dokumentasi dan verifikasi terhadap hal-hal
berikut :
Ø Siapa yang melaksanakan pekerjaan yang
direpresentasikan oleh objektif kontrol,
Ø Dimana pekerjaan tersebut dilakukan,
Ø Kapan pekerjaan tersebut dilaksanakan,
Ø Berdasar input apa pekerjaan tersebut dilaksanakan,
Ø Apa output yang diharapkan dari pekerjaan tersebut,
dan
Ø Apa saja prosedur tertulis yang digunakan untuk
pekerjaan tersebut.
2) Tahapan
evaluasi audit
Tujuan dari tahapan ini adalah untuk mendapatkan prosedur tertulis dan
memperkirakan jika prosedur yang sudah ada telah menghasilkan struktur kontrol
yang efektif. Kontrol yang efektif adalah yang efektif secara biaya dan
menyediakan jaminan layak bahwa proses TI telah berjalan dengan adanya bukti (evidance)
serta objektif kontrol telah diterapkan sesuai dengan stndar pengelolaan proses
yang relevan.
Output dari tahapan evaluasi ini adalah bahwa pengaudit SI/TI seharusnya
mampu :
Ø Mengevalusai hukum, rehulasi dan kriteria organisasi
sebagai bahan yang dapat digunakan untuk penilaian/ evaluasi kepatutan
prosedur,
Ø Mengevaluasi compensating control yang
digunakan untuk memperkuat prosedur yang lemah,
Ø Menyimpulkan temuan (findings) berdasarkan
penilaian kepatutan yang dilakukan terhadap prosedut tertulis maupun standar
pengelolaan proses TI yang berlangsung, compensating control yang
mendukung proses maupun pemisahan tanggung jawab akan pengelolaan proses
terkait.
2.5.4 Penentuan Tingkat Kedewasaan
Perlu dipahami bahwa istilah tingkat kedewasaan yang dimaksud merupakan
representasi kedewasaan proses TI yang berlangsung di perusahaan (dalam bentuk
nilai/ angka). Adapun level kedewasaan dimaksudkan sebagai pengelompokan dari
level nol atau non-exixtent (belum tersedia) hingga level lima atau optimised
(teroptimasi). Nilai tingkat kedewasaan akan menunjukkan level kedewasaan
proses TI dengan pengidentifikasian secara menyeluruh terhadap setiap level.
Penentuan tingkat kedewasaan pada dasarnya merupakan dari pengujian
kepatutan terhadap aktivitas yang seharusnya ada/ dilakukan di tiap proses TI
berdasarkan kerangka kerja sesuai tingkatan levelnya. Pernyataan-pernyataan tersebut
merupakan rincian untuk mengetahui tingkat kedewasaan proses TI di tiap level
kedewasaan akan terdapat daftar pernyataan yang dapat dijadikan avuan untuk
menilai sejauh mana proses yang berlangsung dalam organisasi/ perusahaan telah
memenuhi pernyataan tersebut.
Selanjutnya untuk mendapatkan tingkat kedewasaan proses TI, maka perlu
ditentukan tingkat kontribusi dari tiap level dalam proses tersebut. Kontribusi
tiap level memberikan gambaran seberapa besar pengaruh kepatutan pada tiap
level terhadap kedewasaan proses TI tersebut secara keseluruhan. Kontribusi
tersebut kemudian dikalikan dengan tingkat kepatutan pada tiap level kedewasaan
yang relevan yang menghasilkan nilai dari tiap level kedewasaan. Tingkat
kedewasaan dari suatu proses TI merupakan total dari nilai dari tiap level
kedewasaan yang didapatkan dari hasil perkalian tersebut.
2.6 Penentuan
Rekomendasi
Sebelum hasil audit dikomunikasikan, pengaudit
SI/ TI perlu berdiskusi untuk mendapatkan kesepahaman terhadap hasil temuan (findings) dan mengembangkan rekomendasi
untuk memperbaiki hasil tersebut. Jika terjadi ketidaksepakatan, pengaudit
SI/TI seharusnya menguraikan signifikansi temuan serta resiko dan efek jika
fokus perbaikan proses yang berkaitan dengan resiko tersebut tidak dilakukan. Jika
kesepakatan telah ditemukan, selanjutnya hasill tersebut dikomunikasikan kepada
berbagai level manajemen dan komite audit yang terdiri dari pihak-pihak yang
tidak bekerja langsung kepada perusahaan, untuk memberikan pendapat independen
terhadap temuan.
2.6.1 Penentuan
Hasil Audit
Penentuan hasil audit dilakukan dengan
mengevaluasi hasil audit yang didapatkan untuk mengembangkan opini audit.
Opini-opini berdasarkan hasil temuan (findings)
tersebut nantinya disusun dalam rekomendasi hasil audit. Secara umum, pengaudit
SI/TI akan meninjau temuan yang didapatkan selama proses audit untuk menentukan
operasional yang ada telah dikontrol secara efektif. Disamping itu, kelemahan
dan kekurangan control dari proses yang berlangsung juga seharusnya dinilai dan
kemudian menentukan apakah telah memenuhi objektif kontrol yang ditentukan
dalam proses perencanaan audit.
Dengan demikian, hasil audit SI/TI akan
berupa: temuan (findings) berdasarkan
uji kepatutan yang dilaksanakan, tingkat kedewasaan tiap proses TI yang diaudit,
kesimpulan dari uji kepatutan dan rekomendasi yang mengarah kepada perbaikan
proses yang mengacu pada peningkatan level kedewasaan. Hasil audit tersebut
ditentukan oleh pengaudit SI/TI yang kemudian dikomunikasikan kepada
pihakmanajemen dan jajaran direksi yang berkepentingan untuk mendapatkan
kesepakatan mengenai hasil audit. Setelah diperoleh kesepakatan maka langkah
selanjutnya adalah menyusun hasil audit ke dalam laporan hasil audit.
2.6.2 Penyusunan
Laporan Hasil Audit SI/TI
Laporan audit merupakan hasil akhir dari pekerjaan
audit SI/TI yang berisikan temuan dan rekomendasi kepada manajemen. Format dari
laporan tersebut akan bervariasi disetiap organisasi sehingga tidak ada format
baku dalam penyusunannya. Secara umum laporan audit akan berisikan struktur
pembahasan berikut:
ü Pendahuluan, termasuk pernyataan tujuan dan area yang akan diaudit,
periode cakupan audit serta pernyataan umum dari sifat dasar dan cakupan
prosedur audit yang diuji selama proses audit.
ü Batasan terhadap pelaksanaan audit SI/TI.
ü Syarat atau kualifikasi pengaruh SI/TI yang sesuai dengan ketentuan atau
standar pengaudit. Hal tersebut akan mungkin menetapkan bahwa control atau
prosedur yang ditemukan sudah cukup atau masih kurang memenuhi standar.
Keseimbangan laporan audit seharusnya mendukung kesimpulan dan bukti secara
keseluruhan yang terkumpul seharusnya menyediakan dukungan pada level yang
lebih tinggi.
ü Pernyataan panduan audit SI/TI yang diikuti selama aktivitas audit
dilaksanakan.
ü Detail temuan audit dan rekomendasi serta keputusan apakah memasukkan
atau tidak memasukkan temuan ke dalam laporan audit. Hal tersebut tergantung
pada panduan yang disediakan oleh manajemen tingkat yang lebih tinggi.
ü Keanekaragaman temuan yang beberapa diantaranya bersifat penting.
ü Kesimpulan keseluruhan dari pengaudit SI/TI dan pendapat dari kecukupan
control dan prosedur yang diuji selama audit.
Laporan yang dibuat seharusnya seimbang yang
mendeskrepsikan tidak hanya isu negative dari temuan, namun juga pernyataan
konstrukrif yang positif berkaitan dengan peningkatan proses dan kontrol atau
jika kontrol yang efektif sudah tersedia. Pernyataan konstruktif tersebut
dibentuk dalam rekomendasi-rekomendasi berdasarkan hasil audit dengan tujuan
untuk perbaikan proses yang berkelanjutan. Selanjutnya pihak manajemen
mengevaluasi sebagai tanggapan dari temuan dengan memberikan pernyataan
korektif yang perlu dilakukan termasuk waktu untuk pengkoreksian.
Dalam laporan tersebut juga dipertimbangkan waktu
pengimplementasian dari rekomendasi yang diberikan. Hal yang perlu diperhatikan
ketika implementasi rekomendasi adalah perlu dipertimbangkan berbagai
batasan-batasan yang terlibat, contohnya: batasan staf, anggaran yang tersedia
mungkin akan menghambat proses implementasi. Selain itu, penentuan komitmen
dari pihak yang diaudit mengenai waktu pengimplementasian rekomendasi hasil
audit dan prosedut pelaksanaannya penting untuk didefinisikan. Dengan demikian,
dokumentasi laporan audit SI/TI seharusnya berisikan:
· Perencanaan dan persiapan audit SI/TI yang mencakup ruang lingkup dan
tujuan (scope dan objective),
· Kondisi system informasi,
· Program audit SI/TI yang berlaku,
· Langkah audit SI/TI yang dilakukan dan bukti (evidence) audit SI/TI yang dikumpulkan,
· Temuan audit (findings) dan
tingkat kedewasaan proses TI,
· Kesimpulan dari hasil temuan,
· Laporan-laporan lain yang terkait sebagai hasil dari pekerjaan audit
SI/TI,\Tinjauan pengawas berupa rekomendasi untuk perbaikan berkelanjutan.
2.6.3 Audit Untuk
Perbaikan Berkelanjutan
Disamping untuk perbaikan proses, audit SI/TI juga
diperlukan untuk penyediaan rekomendasi panduan praktek bagi manajemen senior
dalam peningkatan kualitas dan efektivitas dari inisiatif penataan TI yang
diimplementasikan. Biasanya peningkatan kualitas tersebut dilakukan melalui
perbaikan berkelanjutan (continuous
improvement) yang dilakukan dalam kerangka kerja yang audit SI/TI yang
terara. Oleh karena itu dalam penyusunan rekomendasi, pengaudit SI/TI
seharusnya menggambarkan area perbaikan yang perlu dilakukan perusahaan
berdasarkan uji kepatutan dan tingkat kedewasaan saat pelaksanaan audit.
2.7 Contoh Hasil Laporan Audit Sistem Informasi
Perancangan Audit Keamanan Informasi Berdasarkan Standar
ISO 27001:2005
(Studi Kasus: Pt Adira Dinamika Multi Finance)
2.7.1 PT Adira
Dinamika Multi Finance
PT Adira Dinamika Multi Finance (Adira Finance)
merupakan perusahaan terbesar yang bergerak di bidang pembiayaan berbagai merk
otomotif (motor/mobil) di Indonesia sejak tahun 1990. Pada Maret 2004, Adira Finance
melakukan penawaran saham dengan pengalihan 75% kepemilikan ke PT Bank Danamon
Indonesia Tbk (Bank Danamon) yang merupakan salah satu bank swasta nasional
terbesar oleh Temasek Group dari Singapura. Berkat dukungan Bank Danamon, Adira
Finance mengembangkan usaha dengan menciptakan keunggulan kompetitif yang dapat
menghasilkan nilai yang tinggi bagi konsumen maupun pemegang saham.
2.7.2 Metodologi
Penelitian
Berikut ini langkah-langkah pelaksanaan audit keamanan sistem informasi
yang meliputi:
1) Mengidentifikasi Proses Bisnis dan IT
2) Menentukan Ruang Lingkup dan Tujuan Audit Sistem Informasi
3) Mengumpulkan Data
4) Melaksanakan Audit Kepatutan
5) Menentukan maturity level
6) Menentukan hasil audit keamanan sistem informasi
7) Menyusun laporan hasil audit keamanan sistem informasi
2.7.3 Implementasi
Dan Hasil
1)
Identifikasi Proses Bisnis dan IT
Dalam perencanaan proses audit, auditor harus memahami
proses proses bisnis dan IT perusahaan yang mau diaudit. Pemahaman yang harus
dilakukan yaitu mempelajari dokumen-dokumen yang terkait dengan perusahaan seperti
profil perusahaan, visi dan misi perusahaan, struktur organisasi perusahaan,
proses bisnis dan TI perusahaan. Pihak auditor juga harus tahu apakah
sebelumnya perusahaan telah melaksanakan proses audit.
2)
Penentuan Ruang Lingkup dan Tujuan Audit Sistem Informasi
Ruang lingkup yang dilakukan dengan melakukan
observasi, wawancara dan kuesioner. Hasil dari penentuan berupa wawancara
dengan pihak PT Adira Dinamika Multi Finance yang dimana masih ada kurangnya
keamanan terhadap aset, informasi, akses aplikasi. Penerapan hasil ruang
lingkup menggunakan standar ISO 27001:2005 dan klausul-klausul yang digunakan
pada standar ISO 27001:2005.
Tabel 1 Pemetaan Klausul ISO 27001:2005
3)
Melaksanakan Audit Kepatutan
Melaksanakan audit kepatutan menghasilkan berupa dokumen
wawancara, bukti audit, temuan audit dan nilai kematangan pada kontrol
keamanan. Setelah didapatkan semua bukti yang ada, kemudian dianalisis dan
dievaluasi pada nilai tingkat kemampuan tiap kontrol keamanan.
4)
Menentukan Maturity Level
Setelah menentukan nilai yang sudah ditetapkan,
langkah berikutnya yaitu maturity level. Kerangka kerja perhitungan maturity
level dilakukan secara bertahap. Contoh perhitungan maturity level dapat
dilihat pada Tabel 2. Untuk contoh hasil maturity level dapat dilihat
pada Tabel 3. Untuk contoh representasi hasil ke dalam diagram radar, dapat
dilihat pada Gambar 1.
Tabel 2 Contoh Kerangka Kerja Perhitungan Maturity
Level
Tabel 3 Contoh Hasil Maturity Level Klausul 11
Kontrol Akses
5)
Menentukan Hasil Audit Sistem Informasi
Hasil audit keamanan berupa temuan dan rekomendasi
untuk perusahaan, yang berasal dari hasil wawancara, dari sebelumnya evaluasi
dan analisis. Laporan hasil audit berupa rekomendasi yang digunakan sebagai
saran untuk perbaikan kontrol keamanan. Apabila perhitungan sudah selesai
semua, didapatkan nilai dari maturity level dari rata-rata semua nilai
klausul. Setelah semua perhitungan selesai, maka didapatkan nilai maturity
level dari rata-rata nilai keseluruhan klausul, yang dapat dilihat pada
Tabel 4.
Tabel 4 Hasil Maturity Level Semua Klausul
Didapatkan representasi hasil maturity level seluruh
klausul pada Gambar 2.
6)
Menyusun Laporan Hasil Audit
Setelah melakukan analisis dan evaluasi dari audit pada perusahaan leasing,
maka didapatkan beberapa kondisi yang sudah sesuai dengan kontrol ISO
27001:2005 yaitu melakukan pemeriksaan data profil perusahaan, kebijakan,
standar, prosedur, melakukan observasi standar prosedur operasi dan hasil
wawancara. Kondisi yang diperbaiki yaitu:
1) Penjadwalan kontrol aset belum dilakukan secara berkala.
2) Tidak ada penanggung jawab khusus dalam perlindungan aset.
3) Tidak ada panduan mekanisme kontrol.
4) Tidak ada pengontrolan dan pencatatan terhadap perubahan.
5) Mengkaji ulang hak akses tidak dilakukan secara berkala.
Beberapa kondisi dari standar ISO 27001:2005 yaitu:
1) Ada aturan tentang tanggung jawab keamanan informasi.
2) Ada parameter pengukuran keamanan.
3) Ada dokumentasi prosedur operasi.
4) Ada dokumentasi terhadap kontrol akses.
5) Ada kebutuhan keamanan sistem baru.
BAB III
PENUTUP
3.1 Kesimpulan
Berdasarkan hasil audit dihasilkan kesimpulan:
1) Perencanaan audit menghasilkan identifikasi ruang lingkup dalam
menerapkan manajemen resiko. Langkah audit keamanan informasi dilakukan
pembuatan pernyataan, penentuan nilai bobot, dan penentuan nilai kematangan.
2) Pelaksanaan audit didapatkan dari hasil wawancara dalam menentukan
dokumen yang diperlukan.
3) Penyalahgunaan username dan password.
4) Kurang adanya sumber daya manusia yang mengelola.
5) Tidak ada pencatatan mengenai insiden kelemahan keamanan informasi.
3.2 Saran
Beberapa saran yang diberikan yaitu:
1) PT Adira Dinamika Multi Finance dapat melakukan audit dalam runtun rentang
waktu 6 bulan sampai 12 bulan agar keamanan informasi tetap terkontrol.
2) Audit keamanan informasi belum menggunakan semua kontrol keamanan,
sehingga diharapkan semua sistem PT Adira Dinamika Multi Finance berjalan
sesuai dengan proses bisnis yang ada, sesuai dengan Sistem Manajemen Keamanan
Informasi (SMKI).
3) Audit keamanan informasi menggunakan ISO 27001:2005 dan penilaian maturity
level belum memiliki metode penilaian dan diharapkan pengembangan
selanjutnya menggunakan yang lain sebagai bahan perbandingan.
DAFTAR PUSTAKA
Sarno,
R. (2009). Audit Sistem & Teknologi Informasi. Surabaya: ITS Press.
Komentar
Posting Komentar