MAKALAH AUDIT MANAJEMEN TENTANG AUDIT SISTEM INFORMASI

AUDIT SISTEM INFORMASI/ TEKNOLOGI INFORMASI

Tugas Ini  Disusun Guna untuk Memenuhi Salah Satu Tugas pada Mata Kuliah

“Audit Manajemen”

Dosen Pengampu : Agus Susilo, MM, Ak, CA, QIA.

Disusun oleh:

Kelompok 2

ENY WULANDARI                                                ( 1562012 )

IDA MUHLIDA                                            ( 1562025 )

ARIS SAFIROTUL FANANI                     ( 1562047 )

SITI NOR AINI                                            ( 1562098 )

DICKY FATAH PRATAMA S.                 ( 1562153 )

AKUNTANSI KS 1/ 2015

PROGRAM STUDI AKUNTANSI

SEKOLAH TINGGI ILMU EKONOMI (STIE)

PGRI DEWANTARA JOMBANG

TAHUN 2018

KATA PENGANTAR

Puji syukur kami panjatkan kehadirat Allah SWT atas rahmat dan karunia-Nya kami dapat menyelesaikan makalah ini dengan baik dan tepat pada waktunya. Makalah yang berjudul “Audit Sistem Informasi/ Teknologi Informasi” ini membahas mengenai pengertian dan penjelasan dari masing - masing topik yang kami bahas.

Dalam penulisan makalah ini kami banyak mendapat bantuan dari berbagai referensi buku dan website. Oleh karena itu, kami ingin mengucapkan terima kasih kepada semua pihak yang turut memudahkan dalam penulisan makalah ini.

Kami sadar bahwa dalam makalah ini masih jauh dari kesempurnaan, Hal itu di karenakan keterbatasan kemampuan dan pengetahuan kami. Oleh karena itu, kami sangat mengharapkan kritik dan saran yang bersifat membangun dari para pembaca. Semoga makalah ini dapat bermanfaat bagi kita.

Akhir kata, kami memohon maaf apabila dalam penulisan makalah ini terdapat banyak kesalahan.

                                                                                                      Jombang, 31 Maret 2018

Kelompok Penyusun

DAFTAR ISI

HALAMAN SAMPUL....................................................................................................      1

KATA PENGANTAR ....................................................................................................       2

DAFTAR ISI ....................................................................................................................       3

BAB I     PENDAHULUAN ...........................................................................................       4

               1.1   Latar Belakang ............................................................................................       4       

               1.2    Rumusan Masalah ......................................................................................       4

               1.3    Tujuan ........................................................................................................       4

BAB II    PEMBAHASAN ..............................................................................................       5

               2.1   Tata Kelola Teknologi Informasi (TI) .........................................................       5

                       2.1.1   Pengertian Tata Kelola TI ................................................................       6

                       2.1.2   Kerangka Kerja Tata Kelola TI  .......................................................       7

                       2.1.3   Peran Audit dalam Tata Kelola TI  ..................................................       7

                       2.1.4   Tujuan Audit Sistem Informasi  ......................................................       7

               2.2   Audit Sistem Informasi (SI)/ Teknologi Informasi (TI) .............................       8  

                       2.2.1   Pengertian Audit SI/ TI  ..................................................................                9

                       2.2.2   Pendekatan Audit SI/ TI Berbasis Resiko  ......................................     11

                       2.2.3   Metodologi Audit SI/ TI .................................................................    13

               2.3   Analisis Kondisi Eksisting ..........................................................................    14

                       2.3.1   Teknik Pengumpulan Data  ..............................................................    15

                       2.3.2   Proses Identifikasi Data  ..................................................................    16

               2.4   Penetuan Tingkat Resiko ............................................................................    17

                       2.4.1   Penilaian Resiko  ..............................................................................    17

                       2.4.2   Analisis Resiko  ...............................................................................    17

               2.5   Pelaksanaan Audit SI/ TI ............................................................................    18

                       2.5.1   Penentuan Ruang Lingkup dan Tujuan Audit SI/ TI  .....................    19

                       2.5.2   Pengumpulan Bukti  ........................................................................    19

                       2.5.3   Pelaksanaan Uji Kepatutan  .............................................................    20

                       2.5.4   Penentuan Tingkat Kedewasaan  .....................................................    21

               2.6   Penentuan Rekomendasi .............................................................................    21

                       2.6.1   Penentuan Hasil Audit SI/ TI  .........................................................    22

                       2.6.2   Penyusunan Laporan Hasil Audit SI/ TI  ........................................    22

                       2.6.3   Audit Untuk Perbaikan Berkelanjutan  ...........................................    23

               2.7   Contoh Hadil Laporan Audit SI/TI ............................................................    24

BAB III   PENUTUP                                                                                                            29

                3.1  Kesimpulan .................................................................................................    29

                3.2  Saran ...........................................................................................................    29

DAFTAR PUSTAKA .....................................................................................................    30  

BAB I

PENDAHULUAN

1.1  Latar Belakang

Kemajuan teknologi informasi adalah sesuatu yang tidak dapat dihindari dalam kehidupan ini, karena kemajuan teknologi akan sejalan dengan perkembangan ilmu pengetahuan. Teknologi informasi adalah istilah umum yang menjelaskan bahwa teknologi yang membantu kita dalam membuat, mengubah, menyimpan, mengomunikasikan dan/atau memberikan informasi. Teknologi informasi (Information Technology) bisa disingkat TI, IT atau Infotech.

Kemajuan TI telah mengubah cara perusahaan dalam mengumpulkan data, memproses, dan melaporkan informasi keuangan. Oleh karena itu, auditor akan menemukan suatu keadaan dimana data tersimpan lebih banyak dalam media elektronik dibanding media kertas. Auditor harus menentukan bagaimana perusahaan menggunakan IT sistem-nya dalam mengelompokkan, mencatat, memproses, dan melaporkan transaksi dalam laporan keuangan.

Penggunaan TI dapat meningkatkan pengendalian internal dengan menambahkan prosedur pengendalian baru yang dilakukan oleh komputer dan dengan mengganti pengendalian yang biasanya dilakukan secara manual yang rentan terhadap kesalahan manusia.  Disaat yang sama, TI dapat menimbulkan risiko-risiko baru, yang dapat diatasi klien dengan menggunakan pengendalian khusus terhadap sistem TI.

1.2  Rumusan Masalah

Berdasarkan latar belakang tersebut di atas, maka dapat di ambil rumusan masalah yaitu sebagai berikut :

1.    Bagaimana Tata Kelola TI ?

2.    Bagaimana Audit SI/TI ?

3.    Bagaimana Metodologi Audit SI/TI ?

4.    Bagaimana Contoh Hasil Laporan Audit SI/TI ?

1.3`Tujuan

Tujuan pembuatan makalah audit sistem informasi yaitu sebagai berikut :

1.    Agar pembaca dapat mengetahui tata kelola teknologi informasi..

2.    Agar pembaca dapat mengetahui audit sistem informasi atau teknologi informasi.

3.    Agar pembaca dapat mengetahui metodologi audit sistem informasi atau teknologi informasi.

4.    Agar pembaca dapat mengetahui contoh hasil audit sistem informasi atau teknologi informasi.

BAB II

PEMBAHASAN

2.1  Tata Kelola Teknologi Informasi (TI)

Teknologi Informasi yang sejak lama dianggap sebagai pendorong dan pendukung strategi perusahaan, saat ini dianggap sebagai bagian terintegrasi dari strategi bisnis. Para pemimpin perusahaan sepakat bahwa keselarasan antara tujuan bisnis dan TI merupakan faktor sukses kritis (Critical Success Factor) di perusahaan. Keberadaan tata kelola TI Membantu pemenuhan faktor tersebut dengan secara efektif dan efisien mengembangkan pengaplikasian teknologi dan pemenuhan kebutuhan akan informasi yang dapat diandalkan dan terjamin. Karena keberadaan TI yang kritis, pengelolaan TI seharusnya mendapatkan perhatian yang saling berkesinambungan antara pemangku kepentingan (stakeholder) dengan operasional yang terlibat langsung dalam eksekusi proses TI di lapangan.

2.1.1    Pengertian Tata Kelola TI

Tata kelola TI memiliki definisi inklusif yang mencakup Sistem Informasi (SI), teknologi dan komunikasi, bisnis dan hukum serta isu-isu lain yang melibatkan hampir seluruh pemangku kepentingan (stakeholder), baik direktur, manajemen eksekutif, pemilik proses, supplier, pengguna TI bahkan pengaudit SI/ TI. Pembentukan dan penyusunan tata kelola tersebut merupakan tanggung jawab dari jajaran direksi dan manajemen eksekutif.

Panduan tersebut merupakan bagian terintegrasi dari tata kelola perusahaan yang terdiri dari kepemimpinan dan struktur organisasi serta proses yang memastikan bahwa pengelolaan TI akan menopang dan memperluas strategi dan tujuan perusahaan.

Pada dasarnya, tata kelola TI berkaitan dengan dua permasalahan utama yaitu :

a)    TI akan memberikan nilai terhadap bisnis yang didorong oleh penyelarasan TI dengan bisnis,

b)   Resiko yang terkait dengan TI akan ditangani dengan penentuan penanggung jawab permasalahan tersebut dalam perusahaan.

Dengan demikian penyelarasan bisnis dan TI yang mengarahkan pada pemenuhan nilai bisnis adalah elemen kunci dari tata kelola TI.

Adapun fokus utama dari area tata kelola TI (IT Governance) dapat dibagi menjadi lima area yaitu :

1)   Penyelarasan Strategi (Strategic Alignment), memfokuskan kepastian terhadap keterkaitan antara strategi bisnis dan TI serta penyelarasan antara operasional TI dengan bisnis.

2)   Penyampaian Nilai (Value Delivery), mencakup hal-hal yang terkait dengan penyampaian nilai yang memastikan bahwa TI memenuhi manfaat yang dijanjikan dengan memfokuskan pada pengoptimalan biaya dan pembuktian nilai hakiki akan keberadaan TI.

3)   Pengelolaan Sumber Daya (Resource Management), berkaitan dengan pengoptimalan investasi yang dilakukan dan pengelolaan secara tepat dari Sumber Daya Manusia (SDM), isu kunci area ini berhubungan dengan pengoptimalan pengetahuan dan infrastruktur.

4)   Pengelolaan Resiko (Risk Management), membutuhkan kepekaan akan resiko oleh manajemen senior, pemahaman yang jelas akan perhatian perusahaan terhadap keberadaan resiko, pemahaman kebutuhan akan kepatutan, transparansi akan resiko yang signifikan terhadap proses bisnis perusahaan dan tanggung jawab pengelolaan resiko ke dalam organisasi itu sendiri.

5)   Pengukuran Kinerja (Performance Measurement), penelusuran dan pengawasan implementasi dari strategi, pemenuhan proyek yang berjalan, penggunaan sumber daya, kinerja proses dan penyampaian layanan dengan menggunakan kerangka kerja seperti Balance Scorecard yang menerjemahkan strategi ke dalam tindakan untuk mencapai tujuan terukur dibandingkan dengan akuntansi konvensional.

2.1.2    Kerangka Kerja Tata Kelola TI

a)    COBIT

Control Objective for Information & Related Technology (COBIT) adalah sekumpulan dokumentasi best practice untuk IT Governance yang dapat membantu auditor, pengguna (user), dan manajemen untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT (Sasongko, 2009).

b)   ITIL

Information Technology Infrastructure Library (ITIL) adalah suatu rangkaian konsep dan teknik pengelolaan infrastruktur, pengembangan, serta Pengoperasian teknologi informasi. ITIL memberikan deskripsi detail tentang beberapa praktik TI dengan daftar cek, tugas, serta prosedur menyeluruh yang dapat disesuaikan dengan segala jenis organisasi TI.

c)    ISO

International Organization for Standardization (ISO) adalah badan standar dunia yang dibentuk untuk meningkatkan perdagangan internasional yang berkaitan dengan perubahan barang dan jasa. ISO bertujuan untuk mengharmonisasi standar-standar nasional di masing-masing negara menjadi satu standar internasional yang sama. ISO digunakan sebagai: (Rabbit & Bergh, 1994).

ISO 27001:2005 merupakan standar dokumen Sistem Manajemen Keamanan Informasi (SMKI) yang memberikan gambaran tentang apa yang seharusnya dilakukan dalam usaha implementasi konsep sistem informasi di perusahaan [5]. Kontrol keamanan berdasarkan ISO 27001:2005 terbagi menjadi 11 klausul kontrol keamanan (security control), 39 obyektif kontrol (control objectives) dan 133 kontrol keamanan

2.1.3    Peran Audit Dalam Tata Kelola TI

Teknologi Informasi (TI) saat ini menjadi bagian yang tak terpisahkan dalam perusahaan, bukan lagi menjadi fungsi terpisah yang tidak terintegrasi dengan bisnis. Bagaimana TI diaplikasikan dalam perusahaan akan mempengaruhi seberapa jauh perusahaan akan mencapai visi, misi ataupun tujuan strategisnya. Karena itulah, perusahaan perlu melakukan mengevaluasi pengelolaan TI  tersebut yang menjadi kian penting sebagai bagian dari tata kelola perusahaan secara keseluruhan.

Audit memainkan peranan penting dalam pengimplementasian tata kelola TI di perusahaan. Besarnya resiko yang kemungkinan muncul akibat penerapan TI di suatu perusahaan, membuat Audit SI/ TI semakin penting untuk dilakukan. (Weber, 2000) menyatakan beberapa alasan penting mengapa audit SI/ TI perlu dilakukan antara lain :

a.    Kerugian akibat kehilangan data,

b.    Kesalahan dalam pengambilan keputusan,

c.    Resiko kebocoran data,

d.   Penyalahgunaan komputer,

e.    Kerugian akibat kesalahan Proses Perhitungan,

f.     Tingginya nilai investasi perangkat keras dan perangkat lunak.

2.1.4    Tujuan Audit Sistem Informasi

1. Mengamankan Asset
Aset (aktiva) yang berhubungan dengan instalasi sistem informasi mencakup: perangkat keras (hardware), perangkat lunak (software), manusia (people), file data, dokumentasi sistem, dan peralatan pendukung lainnya.
2. Menjaga Integritas Data
Integritas data berarti data memiliki atribut:
kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian. Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan potret dirinya dengan benar atau kejadian yang ada tidak terungkap seperti apa adanya.
Keputusan maupun langkah-langkah penting di organisasi salah sasaran karena tidak didukung dengan data yang benar. Oleh karena itu, upaya untuk menjaga integritas data, dengan konsekuensi akan ada biaya prosedur pengendalian yang dikeluarkan harus sepadan dengan manfaat yang diharapkan.
3. Menjaga Efektifitas Sistem
Sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya.
perlu upaya untuk mengetahui kebutuhan pengguna sistem tersebut (user), apakah sistem menghasilkan laporan atau informasi yang bermanfaat bagi user. Auditor perlu mengetahui karakteristik user berikut proses pengambilan keputusannya.
Biasanya audit efektivitas sistem dilakukan setelah suatu sistem berjalan beberapa waktu.
Manajemen dapat meminta auditor untuk melakukan post audit guna menentukan sejauh mana sistem telah mencapai tujuan.
4. Efisiensi
Dikatakan efisien jika ia menggunakan sumberdaya seminimal mungkin untuk menghasilkan output yang dibutuhkan. Pada kenyataannya, sistem informasi menggunakan berbagai sumberdaya, seperti mesin, dan segala perlengkapannya, perangkat lunak, sarana komunikasi dan tenaga kerja yang mengoperasikan sistem tersebut.

2.2  Audit Sistem Informasi (SI)/ Teknologi Informasi (TI)

Penggunaan istilah audit telah banyak dipakai diberbanyak disiplin ilmu mulai dari keuangan, pemerintahan hingga Teknologi Informasi (TI). Aktivitas yang berlangsung pada dasarnya serupa, yakni: penemuan ketidakpatutan proses yang ada terhadap standar pengelolaan aktivitas terkait. Agar dapat sukses mengimplementasikan hal tersebut, maka aktivitas audit seharusnya terencana dengan baik untuk memberikan hasil yang optimal sesuai dengan kondisi bisnis masing-masing perusahaan. Adapun hasil dari audit dapat berupa rekomendasi yang dapat digunakan pihak manajemen dalam meningkatkan efektifitas pengelolaan aktivitas dan perbaikan berkelanjutan dari proses TI, contohnya rekomendasi dari hasil audit SI/ TI, hingga keputusan ketidaksesuaian proses yang berlangsung dengan standar yang ditetapkan seperti dalam audit keuangan.

 Dalam bidang SI/ TI, aktivitas audit dilakukan demi memberikan gambaran proses TI yang berlangsung di perusahaan masa kini kemudian mengamati, menganalisis dan menyesuaikan gambaran tersebut dengan ketetapan, standar, regulasi dan hukum yang berlaku. Penyesuaian tersebut menghasilkan rekomendasi proses yang perlu mendapatkan perhatian pihak manajemen agar dapat diperbaiki dan disempurnakan sehingga TI dapat memberikan dukungan yang optimal terhadap bisnis. Setiap tahapan dalam aktivitas tersebut memerlukan pemahaman yang menyeluruh akan proses bisnis, struktur organisasi maupun hukum dan regulasi yang berlaku di perusahaan. Selain itu diperlukan pengetahuan dan wawasan yang luas dari pengaudit SI/ TI mengenai metodologi pelaksanaan audit maupun praktek audit yang baik pada umumnya untuk mendapatkan hasil rekomendasi yang paling merepresentasikan kebutuhan perbaikan proses yang diperlukan perusahaan. Pengetahuan bagaimana audit SI/ TI dilaksanakan tersebut juga merupakan hal yang perlu diketahui bagi pihak manajemen agar dapat dipahami urgensi pengelolaan proses TI yang terarah dalam tata kelola sekaligus mampu mendorong implementasi yang lebih efektif. Lebih jauh lagi, dengan menekankan pada pentingnya keberadaan TI dalam mendukung bisnis dan memastikan pengelolaannya secara efektif dalam kerangka tata kelola TI, maka pengelolaan tersebut akan berpontensi menghasilkan outcame TI yang lebih tinggi.

2.2.1    Pengertian Audit SI/ TI

Sebelum memahami lebih jauh mengenai audit SI/ TI, perlu dipahami mengenai pengertian Sistem Informasi (SI) dan Teknologi Informasi (TI) itu sendiri. (Alter, 1996) mendefinisikan Sistem Informasi sebagai sebuah sistem yang menggunakan TI untuk menangkap, mentransmisikan, menyimpan, mendapatkan, memanipulasi atau menampilkan informasi yang dibutuhkan oleh satu atau lebih proses bisnis. Agar dapat berdaya guna, maka SI seharusnya merupakan rangkaian prosedur formal yang melakukan pengelompokkan data, pemrosesan dan pendistribusian kepada pengguna (Hall, 2001).

Sedangkan pengertian Teknologi Informasi lebih ke arah hal-hal yang terkait dengan teknologi komputer (computing technology) dan teknologi komunikasi (communication technology) yang digunakan untuk memproses dan menyebarkan informasi, baik itu yang bersifat finansial maupun non finansial (Bodnar & Hopwood, 2004). Dengan demikian, dapat dikatakan bahwa TI merupakan segala cara atau alat yang terintegrasi yang digunakan untuk menjaring data, mengolah dan mengirimkan atau menyajikan secara elektronik menjadi informasi dalam berbagai format yang bermanfaat bagi penggunanya.

                   Kepastian Praktek Pengelolaan SI/ TI melalui Aktivitas Audit

Untuk memastikan pengelolaan keduanya, baik SI maupun TI, apakah telah sesuai dengan ketetapan dan standar yang berlaku maka perlu dilakukan aktivitas audit sehingga perbaikan dapat dilakukan dengan lebih terarah dalam kerangka perbaikan berkelanjutan. Audit SI dilakukan dengan lebih memfokuskan kepada sistem yang melingkupi proses TI apakah sesuai dengan standar maupun ketepatan yang berlaku sehingga penekannya lebih pada uji kepatutan (compliance test) terhadap prosedur yang dijadikan acuan dalam pelaksanaan serta terhadapp pihak-pihak yang terlibat dalam eksekusi proses terkait. Sedangkan audit Ti lebih detail melakukan uji secara substantif (substantive test) terhadap aplikasi dan infrastruktur yang mendukung sistem sehingga penekanannya lebih kepada pengujian integritas proses yang berlangsung. Aspek validitas juga dipertimbangkan terutama yang terkait dengan transaksi keuangan maupun aspek keakurasian dari persediaan barang dalam inventori.

Untuk memudahkan pemahaman yang lebih global, maka pembahasan mengarah pada Audit SI/ TI yang merupakan aktivitas pengumpulan dan pengevaluasian bukti untuk penentuan apakah proses TI yang berlangsung dalam perusahaan telah dikelola sesuai dengan standar dan dilengkapi dengan objektif kontrol untuk mengawasi penggunaannya serta apakah telah memenuhi tujuan bisnis secara efektif. Dengan demikian, Audit SI/ TI dapat menekankan pada penggunaan keterpaduan antara uji kepatutan maupun uji secara substantif yang komposisi/ banyaknya digunakan secara seimbang sesuai dengan kondisi proses yang di audit. Ron Weber mendefinisikan audit SI/ TI sebagai proses pengumpulan dan pengevaluasian bukti (evidence) untuk menentukan apakah sistem informasi dapat melindungi aset, teknologi informasi yang ada telah memelihara integritas data sehingga keduanya dapat diarahkan kepada pencapaian tujuan bisnis secara efektif dengan menggunakan sumber daya secara efektif (Sayana, The IS Audit Process, 2002).

                   Tinjauan Penting dalam Audit SI/ TI

Adapun elemen utama dari aktivitas peninjauan yang dilakukan dalam Audit SI/ TI dapat diklasifikasikan ke dalam tinjauan penting berikut:

·      Tinjauan terkait dengan fisik dan lingkungan, yakni: hal-hal yang terkait dengan keamanan fisik, suplai sumber daya, temperatur, kontrol kelembaban dan faktor lingkungan lain.

·      Tinjauan administrasi sistem, yaitu mencakup tinjauan keamanan sistem operasi, sistem manajemen database, seluruh prosedur administrasi sistem dan pelaksanaannya.

·      Tinjauan perangkat lunak, yaitu mencakup kontrol akses dan otorisasi ke dalam sistem, validasi dan penanganan kesalahan termasuk pengecualian dalam sistem serta aliran proses bisnis dalam perangkat lunak serta kontrol secara manual dan prosedur penggunaannya.

·      Tinjauan keamanan jaringan, yaitu mencakup jaringan internal dan eksternal yang terhubung dengan sistem, batasan tingkat keamanan, tinjauan terhadap firewall, daftar kontrol akses router, port scanning serta pendeteksian akan gangguan maupun ancaman terhadap sistem.

·      Tinjauan kontinuitas bisnis, dengan memastikan ketersediaan prosedur backup dan penyimpanan, dokumentasi dari prosedur tersebut serta dokumentasi pemulihan bencana/ kontinuitas bisnis yang dimiliki.

·      Tinjauan integritas data, betujuan untuk memastikan ketelitian data yang beroperasi sehingga dilakukan verifikasi kecukupan kontrol dan dampak dari kurangnya kontrol yang ditetapkan.

Keseluruhan tinjauan tersebut perlu dilakukan oleh pengaudit SI/ TI untuk menyediakan gambaran yang lebih jelas kepada manajemen terkait dengan kondisi eksisting proses bisnis yang terkait dengan TI.

Selain itu, terdapat sejumlah kemungkinan tinjauan khusus di dalam audit SI/ TI itu sendiri, sebagai contoh adalah Audit Forensik. Audit Forensik merupakan audit yang mengkhususkan dalam penemuan, penyingkapan dan tindakan lanjutan terhadap penipuan dan tindakan kriminal. Investigasi Forensik komputer salah satunya, melakukan penyingkapan terhadap penyalahgunaan sumber daya TI.

 2.2.2   Pendekatan Audit SI/ TI Berbasis Resiko

Semakin banyak perusahaan yang menggunakan pendekatan audit berbasis resiko yang dapat diadaptasi untuk mengembangkan dan meningkatkan kelangsungan proses audit. Resiko yang dimaksud adalah kemungkinan tindakan atau kejadian yang akan menimbulkan efek yang merugikan bagi perusahaan dan secara spesifik berakibat pada keberlangsungan proses bisnis yang berlangung di perusahaan. Proses bisnis tersebut dapat terkait dengan aspek finansial, regulasi atau operasional maupun teknologi (ISACA, CISA Review Manual, 2006).

Pendekatan audit SI/ TI berbasis resiko digunakan untuk menilai resiko dari proses bisnis yang berlangsung di perusahaan dan yang terpenting dapat membantu pengaudit SI/ TI dalam memutuskan metode pengujian yang digunakan dalam pelaksanaan audit nantinya, apakah dengan melakukan uji kepatutan atau uji secara substantif. Hal yang membedakan keduanya adalah uji kepatutan lebih fokus terhadap pengujian kepatutan proses yang berlangsung di perusahaan terhadap prosedur yang dimiliki sedangkan uji secara substantif merupakan aktivitas pengumpulan bukti untuk mengevaluasi integritas transaksi individu, data atau informasi yang berkaitan dengan dengan proses bisnis.

Uji kepatutan akan menentukan apakah kontrol telah diaplikasikan dalam tata cara yang sesuai dengan kebijakan dan prosedur manajemen. Tujuan utamanya adalah penyediaan kepastian bahwa kontrol khusus telah berjalan sesuai dengan pemeriksaan pendahuluan sebelumnya. Lebih jauh lagi dapat digunakan untuk menguji keberadaan dan efektifitas proses yang ditetapkan. Sedangkan uji secara substantif mendukung integritas proses aktual yang memberikan bukti keabsahan dan integritas keseimbangan pernyataan keuangan dan transaksi pendukungnya. Pengujian tersebut juga digunakan untuk tingkat keakurasian catatan yang ada dengan beberapa perhitungan statistik terkait yang dilakukan .

Adapun secara umum pendekatan Audit SI/ TI berbasis resiko akan mencakup serangkaian aktivitas berikut:

1)   Pengumpulan informasi terkait dengan kondisi bisnis perusahaan yang mencakup: pengetahuan bisnis dan industri, hasil audit sebelumnya, kondisi finansial perusahaan, penilaian resiko dari proses bisnis serta kebijakan, hukum dan regulasi yang berlaku.

2)   Pemahaman terhadap kontrol internal, termasuk prosedur dan lingkungan kontrol.

3)   Pelaksanaan uji kepatutan yang menguji kepatutan terhadap kebijakan dan prosedur, termasuk pemisahan tanggung jawab dalam penyelenggaraan proses bisnis.

4)   Pelaksanaan uji secara substantif dengan memperhatikan lebih detail kepada aspek analitis, termasuk pengujian pada keseimbangan kondisi finansial perusahaan.

5)   Penentuan kesimpulan hasil audit dengan menyusun rekomendasi dalam laporan audit.

Namun demikian, meski aktivitas audit SI/ TI yang dilakukan berbasis resiko, aktivitas tersebut tidak terlepas dari potensi resiko kesalahan yang mungkin terjadi dalam pelaksanaan aktivitas audit itu sendiri. Kemungkinan potensi resiko kesalahan dari laporan informasi/ finansial yang kurang lengkap dan tidak terdeteksi selama pelaksanaan audit merupakan pengertian dari Audit Risk. Resiko kesalahan tersebut dapat dikelompokkan menjadi: inherent risk, control risk dan detection risk. Pengelompokkan tersebut bukan dimaksudkan untuk kerumitan dalam menentukan jenis resiko yang ada, namun digunakan sebagai pertimbangan dalam menentukan tindakan  antisipasi agar resiko kesalahan tersebut tidak muncul selama proses audit dilaksanakan. Pengaudit SI/ TI perlu memperhatikan proses bisnis yang akan di audit dan mengklasifikasikannya ke dalam pengelompokkan resiko kesalahan audit tersebut untuk memudahkan dalam memfokskan pengujian yang akan dilakukan nantinya. Selain itu dengan mengetahui kemungkinan resiko kesalahan tersebut, bisa digunakan untuk pengalokasian Sumber Daya Manusia (SDM) yang kompeten dan ahli di bidang yang sesuai dengan proses terkait.

Adapun pemaparan lebih lanjut mengenai pengelompokkan resiko kesalahan tersebut akan dipaparkan lebih lanjut sebagaimana berikut:

·      Resiko Bawaan (Inherent Risk), merupakan resiko kesalahan audit yang merupakan aktivitas bawaan dari proses bisnis. Resiko kesalahan tersebut bersifat independen dan akan semakin tinggi jikan compensating control tidak tersedia. Contoh resiko kesalahan jenis ini adalah proses bisnis yang melibatkan perhitungan yang komplek cenderung lebih dekat dengan kesaahan perhitungan yang menyebabkan tingkat inherent resiko-nya tinggi.

·      Resiko Kontrol (Control Risk), merupakan resiko kesalahan yang tidak terdeteksi oleh kontrol internal itu sendiri selama proses audit berangsung. Contoh resiko kesalahan pencocokan hasil manual dari log (catatan komputer)dengan tinjauan manual dapat dikategorikan dalam resiko yang tinggi (bigh) karena aktivitas peninjauan manual membutuhkan penyelidikan yang terkadang sering salah dan kurang tepat. Resiko kontrol tersebut menjadi rendah (low) jika prosedur validasi tersebut dilakukan secara terkomputerisasi.

·      Resiko Pendeteksian (Detection Risk), resiko kesalahan yang pengaudit SI/ TI menggunakan prosedur pengujian yang tidak cukup atau pengambilan kesimpulan yang tidak sesuai dengan proses aktual yang ada padahal seharusnya tersedia pendeteksian tersebut baru dapat dilakukan setelah kesalahan terhadap proses bisnis terjadi.

       2.2.3    Metodologi Audit SI/ TI

Perencanaan yang memadai adalah kebutuhan utama demi mewujudkan pelaksanaan Audit SI/ TI yang efektif. Perencanaan tersebut seharusnya terhimpun dalam metodologi yang terarah, step by step sehingga memudahkan dalam pengimplementasiannya. Pengaudit biasanya terdiri dari sekelompok pengaudit SI/ TI gabungan antara internal perusahaan dengan pihak ketiga. Pengaudit SI/ TI seharusnya menilai resiko secara keseluruhan dari area yang akan di audit kemudian mengembangkan perencanaan audit berikut tujuan dan prosedur-prosedur terkait dengan eksekusi dari rencana tersebut.

Dalam pelaksanaan audit SI/ TI, diperlukan pengumpulan bukti oleh pengaudit, kemudian mengevaluasi kekuatan dan kelemahan dari kontrol terkait dengan pengimplementasian proses TI berdasarkan dari bukti yang dikumpulkan kemudian menyusun laporan kepada pihak manajemen. Umumnya Audit SI/ TI dilakukan dengan menggnakan pendekatan resiko, dan berorientasi terhadap proses.

Secara garis besar, metodologi dalam Audit SI/ TI akan terdiri atas beberapa tahapan antara lain:

a)    Analisis kondisi eksisting, yang merupakan aktivitas dalam memahami kondisi saat ini dari perusahaan yang di audit termasuk hukum dan regulasi yang berpengaruh terhadap operasional proses bisnis.

b)   Penentuan tingkat resiko, dengan mengklasifikasikan proses bisnis yang tingkat resikonya tinggi (proses bisnis utama) maupun proses bisnis pendukung. Hasil penentuan tingkat resiko tersebut kemudian dijadikaan sebagai bahan dalam penyusunan ruang lingkup pelaksanaan audit yang diarahkan kepada proses bisnis yang disukung oleh TI.

c)    Pelaksanaan audit SI/ TI, dengan mengacu kerangka kerja yang akan didahului dengan proses penentuan ruang lingkup dan tujuan audit (scope dan objective) berdasarkan hasil penentuan tingkat resiko pada tahapan sebelumnya.

d)   Penentuan rekomendasi, beserta laporan dari hasil audit yang dilakukan.

2.3  Analisis Kondisi Eksisting

Sebelum Audit Sistem Informasi (SI)/ Teknologi Informasi (TI) dilakukan, pengaudit selayaknya melakukan tinjauan terhadap kondisi eksisting yang ada di perusahaan. Tujuan utamanya adalah mendapatkan seluruh proses bisnis utama dan pendukung yang berlangsung di perusahaan sekaligus mendapatkan informasi lain yang terkait dengan proses bisnis tersebut, contohnya informasi mengenai aktivitas bisnis yang telah didukung TI serta hukum, regulasi, ketetapan maupun standar pengelolaan proses bisnis terkait.

Dengan demikian, kesuksesan dalam pelaksanaan audit bergantung pada kemampuan pengaudit dalam memahami kondisi saat ini terkait dengan aktivitas bisnis perusahaan. Untuk dapat memahami kondisi saat ini, maka perlu dilakukan pencarian data terkait yang relevan.

Berdasarkan hal tersebut, maka fokus awal dari Audit SI/ TI adalah pencarian data. Pada tahapan analisis kondisi eksisting, pelaksanaan audit untuk pengujian kepatutan belum dilakukan. Yang dimaksud adalah data yang dicari hanya dikumpulkan dengan memfokuskan pada pencarian data proses bisnis, baik yang dilakukan TI maupun tidak dan mencakup detail pelaksanaan aktivitas dalam bentuk prosedur, alur kerja, deskripsi pekerjaan hingga struktur organisasi bisnis. Permasalahan umum dalam Audit SI/ TI adalah bahwa pihak manajemen tidak mengidentifikasi secara efektif dan mengklasifikasikan seluruh elemen data sehingga memungkinkan terjadi kesalahan asumsi karena ketidaklengkapan data oleh pengaudit.

Adapun hal-hal yang perlu diperhatikan dalam pengauditan SI/ TI di tiap aktivitas antara lain :

a.    Pencarian data yang relevan,

b.    Pengumpulan data yang relevan,

c.    Klasifikasi data yang relevan,

d.   Pengontrolan data yang relevan.

            Dalam tahapan ini, teknik pengumpulan data tersebut dapat digunakan pada aktivitas pencarian dan pengumpulan data yang relevan. Sedangkan bagaimana data diidentifikasi merupakan representasi dari aktivitas pengklasifikasian dan pengontrolan data yang relevan.

2.3.1    Teknik Pengumpulan Data

Adapun teknik-teknik dalam pengumpulan data dalam pengidentifikasian kondisi eksisting, antara lain :

1)   Wawancara, peoses yang dilakukan untuk mengetahui proses bisnis yang ada di perusahaan. Tahap pertama dalam proses wawancara adalah mengenali pihak-pihak yang bertanggung jawab terhadap setiap proses yang berlangsung di perusahaan.

2)   Survei menggunakan kuisioner, proses ini memiliki kelemahan yaitu komunikasi yang terbatas, yang artinya tidak adanya pertukaran informasi yang terjadi secara tatap muka antara pengaudit SI/ TI dan pihak yang disurvei. Untuk alasan inilah keputusan untuk menggunakan metode ini seharusnya memiliki nilai alik (feedback) yang sepadan yang mampu mentolelir kemampuannya.

3)   Peninjauan terhadap dokumen, merupakan salah satu cara paling populer untuk mengumpulkan informasi tentang situasi sistem yang ada.

4)   Observasi, merupakan suatu teknik pengumpulan data yang sangat efektif . Teknik ini dapat digunakan untuk beberapa tujuan, seperti pemrosesan dan pengkonfirmasian hasil-hasil dari wawancara identifikasi dari dokumen-dokumen yang perlu dikumpulkan untuk analisis lebih lanjut, menjelaskan apa yang telah dilakukan pada lingkungan sistem yang ada dan bagaimana hal ini dapat selesai, dan fungsi-fungsi lain yang sejenis

       2.3.2    Proses Identifikasi Data

Setelah data dikumpulkan, maka langkah selanjutnya adalah pengidentifikasian dan pengelompokan data untuk memudahkan dalam penggunaan nantinya. Proses identifikasi data tersebut antara lain :

·      Pengidentifikasian proses bisnis, data mengenai proses bisnis dapat diidentifikasi dari visi, misi, tujuan, program hingga aktivitas yang terhimpun dalam strategi bisnis serta proses yang berlangsung dalam aktivitas bisnis. Data yang terkumpul kemudian diidentifikasikan sebagai proses bisnis yang berlangsung di perusahaan dan perlu diklasifikasikan berdasarkan tingkat dukungannya dalam mendukung kelangsungan bisnis. Proses bisnis dapat diklasifikasikan ke dalam proses bisnis utama dan proses bisnis pendukung beserta sub proses yang mendukungnya.

·      Pengidentifikasian SI/ TI yang mendukung proses bisnis, pada tahap ini dilakukan pengidentifikasian SI/ TI yang mendukung tiap proses bisnis yang telah diidentifikasikan sebelumnya. Dari hasi identifikasi tersebut dapat diketahui proses bisnis yang telah didukung TI sehingga nantinya dapat di analisis seberapa jauh pengelolaan dukungan tersebut sehingga dapat diperbaiki untuk memberikan dukungan yang optimal.

·      Pengidentifikasian hukum, regulasi dan kebijakan, tiap perusahaan apapun skala atau sektor bisnisnya, seharusnya penting untuk patut terhadap hukum, regulasi dan kebijakan yang terkaitdengan pengelolaan proses bisnisnya, termasuk patut terhadap standar-standar pengelolaan proses TI. Dua hal yang menjadi perhatian utama adalah peraturan-peraturan eksternal (hukum, reguasi, perjanjian kontrak) yang berhubungan dengan audit SI/ TI dan peraturan internal perusahaan (standar, panduan, prosedur, struktur organisasi). Data tersebut akan mempengaruhi penentuan scope dan objective atau ruang lingkup dan tujuan dari dari pelaksanaan audit nantinya.

2.4  Penentuan Tingkat Resiko

Pengelolaan resiko bisnis adalah komponen penting di setiap perusahaan karena akan berpengaruh terhadap pencapaian tujuan bisnis organisasi itu sendiri. Namun dalam prakteknya, urgensi pengelolaan resiko tersebut terkadang belum dipahami dengan benar oleh pemangku kepentingan (stakeholder) perusahaan. Tanpa pemahaman yang jelas mengenai resiko yang berdampak terhadap bisnis, stakeholder tidak memiliki kerangka referensi untuk prioritas dan pengelolaan resiko tersebut. Bila dikaitkan dengan audit SI/TI, penentuan resiko dapat digunakan untuk menentukan batasan pelaksanaan audit yang dilakukan dengan memprioritaskan kepada proses bisnis yang tingkat resikonya tinggi.

Pada dasarnya, identifikasi resiko dilakukan untuk pencarian resiko dan kerentanan dari pelaksanaan proses yang berdampak pada bisnis sehingga dengan aktivitas audit dapat diketahui kontrol yang belum dipenuhi untuk pengelolaan proses yang baik sehingga dapat mengurangi kemungkinan terjadinya resiko. Yang dimaksud dengan resiko disini adalah ancaman atau kerentanan dari proses maupun aset (fisik dan informasi), dampak dari keduanya serta kemungkinan dari ancaman (kombinasi dari kemungkinan dan frekuensi kejadian).

Penilaian resiko (risk assessment) perlu diidentifikasi terlebih dahulu ditiap proses bisnis yang telah diidentifikasikan dalam tahapan analisis kondisi eksisting, kemudian dilakukan analisis resikonya (risk analysis) sehingga menghasilkan proses bisnis dengan tingkat resiko yang tinggi (high). Hasil tersebut selanjutnya dapat digunakan dalam penentuan ruang lingkup dan tujuan audit (scope dan objective) yang merupakan bagian dari tahapan pelaksanaan audit SI/TI.

2.4.1    Penilaian Resiko

Yang dimaksud dari pengukuran penilaian resiko (risk assessment) adalah proses yang digunakan untuk mengidentifikasi dan mengevaluasi resiko serta efek potensial yang terkait dengan proses bisnis. Beberapa metode dapat digunakan untuk melaksanakan penilaian resiko. Salah satu pendekatan yang dapat digunakan adalah penentuan skor yang dapat dipakai untuk memprioritaskan tingkat kepentingan proses bisnis dengan mempertimbangkan aspek-aspek yang mencakup kompleksitas teknik, isi sistem serta pengubahan proses yang terjadi. Aspek-aspek tersebut dapat dibobotkan maupun diklasifikasikan dalam tingkat tertentu. Bentuk lain dalam penilaian tersebut adalah berdasarkan pendapat. Penentuan tersebut dapat melibatkan keputusan pribadi berdasarkan arahan manajemen ekskutif, prespektif historis dan kondisi bisnis.

       2.4.2    Analisis Resiko

         Hasil risk assessment kemudian di analisis probabilitas kemungkinan kejadian proses dan tingkatan dampak yang ditimbulkan terhadap proses bisnis terkait. Kedua analisis tersebut direpresentasikan secara kualitatif dengan ukuran low, medium dan high dan dilakukan terhadap seluruh proses bisnis yang ada diperusahaan. Aktivitas analisis resiko (risk analysis) tersebut dilakukan dengan harapan agar area audit yang ditentukan dari hasil analisis nantinya melingkupi proses-proses kritis yang ada di perusahaan.

Dalam audit SI/ TI, analisis resiko pada dasarnya dilakukan untuk pemilihan proses bisnis terkait dengan TI yang tingkat resikonya tinggi (high). Dengan diketahuinya proses bisnis yang tingkat resikonya tinggi diharapkan memudahkan dalam perbaikan dan peningkatan proses pengelolaan TI yang terkait dengan proses bisnis tersebut.

Dengan demikian, langkah-langkah yang dilakukan dalam tahapan analisis resiko secara umum akan mencakup :

1)   Penentuan proses bisnis dengan tingkat resiko tinggi

Data utama yang dibutuhkan dalam aktivitas ini adalah seluruh proses bisnis baik utama dan pendukung serta dampak kemungkinan resiko dari hasil risk assessment yang telah dipaparkan sebelumnya. Secara umum langkah-langkah yang perlu dilakukan pengaudit SI/ TI dalam proses penentuan proses bisnis dengan tingkat resiko tinggi adalah sebagai berikut :

·      Menghitung level probabilitas kejadian resiko bisnis dan dampak yang ditimbulkan untuk setiap proses bisnis.

·      Menghitung tingkatan resiko dengan mengkonjungsikan (AND/OR) antara tingkatan probabilitas kejadian resiko dan tingkatan dampak yang ditimbulkan.

·      Melakukan pemilihan proses bisnis dengan tingkat resiko tinggi (high).

·      Melakukan pemilihan terhadap proses bisnis yang telah didukung oleh TI dari proses bisnis yang tingkat resikonya tinggi. Sedangkan proses bisnis yang tidak didukung oleh TI namun dari hasil penilaian resiko ternyata tingkat resikonya tinggi (high), tetap dikumpulkan dan dijadikan sebagai catatan yang akan dibutuhkan dalam penyusunan rekomendasi audit SI/ TI nantinya.

2)   Penentuan proses TI dengan tingkat resiko tinggi

Secara umum langkah-langkah yang perlu dilakukan pengaudit SJ/ TI dalam proses penentuan proses TI dengan tingkat resiko tinggi antara lain :

·      Melakukan pemetaan proses bisnis dengan tingkat resiko tinggi (high) yang terkait dengan TI terhadap tujuan bisnis dalam kerangka keterkaitan tujuan bisnis, tujuan TI dan proses TI.

·      Melakukan penilaian tujuan bisnis yang merepresentasikan proses bisnis tersebut.

·      Melakukan pemetaan tujuan bisnis yang dilakukan sebelumnya terhadap tujuan TI yang relevan.

·      Melakukan pemetaan tujuan TI yang telah dipilih sebelumnya terhadap proses TI yang relevan sehingga didapatkan proses TI dengan tingkat resiko tinggi (high).

·      Melakukan eliminasi proses TI dengan tingkat kepentingan tinggi (high) tersebut untuk mengetahui proses-proses yang perlu diprioritaskan dalam pelaksanaan audit.

Output akhir dan aktivitas tingkat penentuan tingkat resiko adalah proses TI dengan tingkat kepentingan high. Hasil tersebut dapat langsung digunakan sebagai scope dari hasil pelaksanaan audit, namun lebih disarankan tetap menyesuaikan dengan preferensi pihak manajemen terhadap pilihan fokus area audit yang akan dilakukan pada proses TI diperusahaan.

2.5  Pelaksanaan Audit SI/ TI

Tujuan dilaksanakannya audit adalah pemberian dukungan terhadap pemenuhan kontrol internal yang ada untuk meminimalkan resiko yang berdampak terhadap bisnis. Hal tersebut termasuk memastikan kepatutan terhadap hukum dan regulasi yang berlaku sekaligus kebutuhan internal akan kerahasiaan, integritas, reabilitas dan ketersediaan informasi. nantinya hasil audit diharapkan dapat dijadikan sebagai referensi proses yang perlu diperbaiki secara berkelanjutan untuk memenuhi ontrol internal agar dapat memberikan dukungan yang optimal terhadap bisnis sekaligus mengurangi resiko yang mingkin timbul.

Audit SI/ TI akan dilaksanakan dengan menggunakan prosedur uji kepatutan (compliance test), yakni menyesuaikan keadaan eksisting dengan standar pengelolaan proses TI yang didefinisikan dalam kerangka kerja tersebut.

2.5.1    Penentuan Ruang Lingkup dan Tujuan Audit SI/TI

Penentuan ruang lingkup dan tujuan (scope dan objective) dari audit SI/ TI dilakukan dengan mengacu pada hasil analisis resiko yang dilakukan pada tahapan sebelumnya. Ruang lingkup (scope) merupakan area yang akan diaudit yang mencakup sistem secara spesifik, fungsi atau unit organisasi yang dimasukkan dalam tinjauan nantinya. Penentuan area tersebut menjadi kritis karena menentukan fokus dari proses audit yang diterjemahkan ke dalam tujuan audit.

Secara garis besar tujuan audit adalahmelakukan penilaian terhadap governance, efectiveness, efficiency, accountability, conformance, dan asset safeguards. Dengann demikian uji kepatutan yang dilakukan nantinyaakan memfokuskan pada pemenuhan kriteria-kriteria tersebut dengan mengacu pada standar pengelolaan proses TI yang dipilih.

2.5.2    Pengumpulan Bukti

Bukti (evidence) merupakan informasi apapun yang digunakan oleh pengaudit SI/TI untuk menentukan apakah data yang diaudit sesuai dengan kriteria atau tujuan audit. ketika merencanakan aktivitas audit, perlu didefinisikan tipe dari bukti yang akan dikumpulkan dari bagaimana hal tersebut memenuhi tujuan audit. Beberapa teknik yang dapat dilakukan dalam mengumpulkan bukti antara lain :

Ø Peninjauan terhadap struktur organisasi TI

Ø Pembagian terhadap kebijakan dan prosedur yang terkait dengan TI

Ø Peninjauan terhadap standar yang terkait dengan TI

Ø Peninjauan dokumentasi yang terkait dengan pengelolaan SI/ TI

Ø Wawancara kepada personel yang tepat

Ø Pengobservasian proses dan kinerja karyawan

Pelaksanaan audit SI/ TI pada dasarnya melakukan pencarian bukti/ evidence dari proses TI yang ada diperusahaan dengan menyesuaikan standar proses TI yang didefinisikan dalam kerangka kerja. Bukti tersebut akan digunakan untuk melaksanakan uji kepatutan sehingga didapatkan temuan (findings) sebagai kepatutan terhadap standar yang berlaku. Selanjutnya bukti dan temuan yang didapatkan akan dijadikan sebagai bahan pertimbangan dalam penentuan tingkat kedewasaan pengelolaan proses TI di perusahaan.

       2.5.3    Pelaksanaan Uji Kepatutan

Uji kepatutan (compliance test) dilakukan dengan menguji kepatutan proses TI dengan melihat kepatutan proses yang berlangsung terhadap standar dan regulasi yang berlaku. Kepatutan proses tersebut dapat diketahui dari hasil pengumpulan bukti (evidence) seperti yang telah dipaparkan sebelumnya. Pelaksanaan uji kepatutan akan menghasilkan temuan (findings) yang nantinya digunakan sebagai bahan penyusunan rekomendasi dalam laporan audit. Adapun langkah-langkah yang dilakukan dalam uji tersebut antara lain :

1)   Tahapan pengidentifikasian objek yang di audit

Tujuan dari langkah ini agar pengaudit mengenal lebih jauh terkait dengan hal-hal yang harus dipenuhi dalam objektif kontrol yang membawa kepada penugasan kepada pihak-pihak yang bertanggung jawab.

Output dari aktivitas dalam tahapan ini adalah bahwa pengaudit seharusnya sudah melakukan identifikasi, dokumentasi dan verifikasi terhadap hal-hal berikut :

Ø Siapa yang melaksanakan pekerjaan yang direpresentasikan oleh objektif kontrol,

Ø Dimana pekerjaan tersebut dilakukan,

Ø Kapan pekerjaan tersebut dilaksanakan,

Ø Berdasar input apa pekerjaan tersebut dilaksanakan,

Ø Apa output yang diharapkan dari pekerjaan tersebut, dan

Ø Apa saja prosedur tertulis yang digunakan untuk pekerjaan tersebut.

2)   Tahapan evaluasi audit

Tujuan dari tahapan ini adalah untuk mendapatkan prosedur tertulis dan memperkirakan jika prosedur yang sudah ada telah menghasilkan struktur kontrol yang efektif. Kontrol yang efektif adalah yang efektif secara biaya dan menyediakan jaminan layak bahwa proses TI telah berjalan dengan adanya bukti (evidance) serta objektif kontrol telah diterapkan sesuai dengan stndar pengelolaan proses yang relevan.

Output dari tahapan evaluasi ini adalah bahwa pengaudit SI/TI seharusnya mampu :

Ø Mengevalusai hukum, rehulasi dan kriteria organisasi sebagai bahan yang dapat digunakan untuk penilaian/ evaluasi kepatutan prosedur,

Ø Mengevaluasi compensating control yang digunakan untuk memperkuat prosedur yang lemah,

Ø Menyimpulkan temuan (findings) berdasarkan penilaian kepatutan yang dilakukan terhadap prosedut tertulis maupun standar pengelolaan proses TI yang berlangsung, compensating control yang mendukung proses maupun pemisahan tanggung jawab akan pengelolaan proses terkait.

       2.5.4    Penentuan Tingkat Kedewasaan

Perlu dipahami bahwa istilah tingkat kedewasaan yang dimaksud merupakan representasi kedewasaan proses TI yang berlangsung di perusahaan (dalam bentuk nilai/ angka). Adapun level kedewasaan dimaksudkan sebagai pengelompokan dari level nol atau non-exixtent (belum tersedia) hingga level lima atau optimised (teroptimasi). Nilai tingkat kedewasaan akan menunjukkan level kedewasaan proses TI dengan pengidentifikasian secara menyeluruh terhadap setiap level.

Penentuan tingkat kedewasaan pada dasarnya merupakan dari pengujian kepatutan terhadap aktivitas yang seharusnya ada/ dilakukan di tiap proses TI berdasarkan kerangka kerja sesuai tingkatan levelnya. Pernyataan-pernyataan tersebut merupakan rincian untuk mengetahui tingkat kedewasaan proses TI di tiap level kedewasaan akan terdapat daftar pernyataan yang dapat dijadikan avuan untuk menilai sejauh mana proses yang berlangsung dalam organisasi/ perusahaan telah memenuhi pernyataan tersebut.

Selanjutnya untuk mendapatkan tingkat kedewasaan proses TI, maka perlu ditentukan tingkat kontribusi dari tiap level dalam proses tersebut. Kontribusi tiap level memberikan gambaran seberapa besar pengaruh kepatutan pada tiap level terhadap kedewasaan proses TI tersebut secara keseluruhan. Kontribusi tersebut kemudian dikalikan dengan tingkat kepatutan pada tiap level kedewasaan yang relevan yang menghasilkan nilai dari tiap level kedewasaan. Tingkat kedewasaan dari suatu proses TI merupakan total dari nilai dari tiap level kedewasaan yang didapatkan dari hasil perkalian tersebut.

2.6  Penentuan Rekomendasi

Sebelum hasil audit dikomunikasikan, pengaudit SI/ TI perlu berdiskusi untuk mendapatkan kesepahaman terhadap hasil temuan (findings) dan mengembangkan rekomendasi untuk memperbaiki hasil tersebut. Jika terjadi ketidaksepakatan, pengaudit SI/TI seharusnya menguraikan signifikansi temuan serta resiko dan efek jika fokus perbaikan proses yang berkaitan dengan resiko tersebut tidak dilakukan. Jika kesepakatan telah ditemukan, selanjutnya hasill tersebut dikomunikasikan kepada berbagai level manajemen dan komite audit yang terdiri dari pihak-pihak yang tidak bekerja langsung kepada perusahaan, untuk memberikan pendapat independen terhadap temuan.

2.6.1    Penentuan Hasil Audit

Penentuan hasil audit dilakukan dengan mengevaluasi hasil audit yang didapatkan untuk mengembangkan opini audit. Opini-opini berdasarkan hasil temuan (findings) tersebut nantinya disusun dalam rekomendasi hasil audit. Secara umum, pengaudit SI/TI akan meninjau temuan yang didapatkan selama proses audit untuk menentukan operasional yang ada telah dikontrol secara efektif. Disamping itu, kelemahan dan kekurangan control dari proses yang berlangsung juga seharusnya dinilai dan kemudian menentukan apakah telah memenuhi objektif kontrol yang ditentukan dalam proses perencanaan audit.

Dengan demikian, hasil audit SI/TI akan berupa: temuan (findings) berdasarkan uji kepatutan yang dilaksanakan, tingkat kedewasaan tiap proses TI yang diaudit, kesimpulan dari uji kepatutan dan rekomendasi yang mengarah kepada perbaikan proses yang mengacu pada peningkatan level kedewasaan. Hasil audit tersebut ditentukan oleh pengaudit SI/TI yang kemudian dikomunikasikan kepada pihakmanajemen dan jajaran direksi yang berkepentingan untuk mendapatkan kesepakatan mengenai hasil audit. Setelah diperoleh kesepakatan maka langkah selanjutnya adalah menyusun hasil audit ke dalam laporan hasil audit.

2.6.2    Penyusunan Laporan Hasil Audit SI/TI

Laporan audit merupakan hasil akhir dari pekerjaan audit SI/TI yang berisikan temuan dan rekomendasi kepada manajemen. Format dari laporan tersebut akan bervariasi disetiap organisasi sehingga tidak ada format baku dalam penyusunannya. Secara umum laporan audit akan berisikan struktur pembahasan berikut:

ü Pendahuluan, termasuk pernyataan tujuan dan area yang akan diaudit, periode cakupan audit serta pernyataan umum dari sifat dasar dan cakupan prosedur audit yang diuji selama proses audit.

ü Batasan terhadap pelaksanaan audit SI/TI.

ü Syarat atau kualifikasi pengaruh SI/TI yang sesuai dengan ketentuan atau standar pengaudit. Hal tersebut akan mungkin menetapkan bahwa control atau prosedur yang ditemukan sudah cukup atau masih kurang memenuhi standar. Keseimbangan laporan audit seharusnya mendukung kesimpulan dan bukti secara keseluruhan yang terkumpul seharusnya menyediakan dukungan pada level yang lebih tinggi.

ü Pernyataan panduan audit SI/TI yang diikuti selama aktivitas audit dilaksanakan.

ü Detail temuan audit dan rekomendasi serta keputusan apakah memasukkan atau tidak memasukkan temuan ke dalam laporan audit. Hal tersebut tergantung pada panduan yang disediakan oleh manajemen tingkat yang lebih tinggi.

ü Keanekaragaman temuan yang beberapa diantaranya bersifat penting.

ü Kesimpulan keseluruhan dari pengaudit SI/TI dan pendapat dari kecukupan control dan prosedur yang diuji selama audit.

Laporan yang dibuat seharusnya seimbang yang mendeskrepsikan tidak hanya isu negative dari temuan, namun juga pernyataan konstrukrif yang positif berkaitan dengan peningkatan proses dan kontrol atau jika kontrol yang efektif sudah tersedia. Pernyataan konstruktif tersebut dibentuk dalam rekomendasi-rekomendasi berdasarkan hasil audit dengan tujuan untuk perbaikan proses yang berkelanjutan. Selanjutnya pihak manajemen mengevaluasi sebagai tanggapan dari temuan dengan memberikan pernyataan korektif yang perlu dilakukan termasuk waktu untuk pengkoreksian.

Dalam laporan tersebut juga dipertimbangkan waktu pengimplementasian dari rekomendasi yang diberikan. Hal yang perlu diperhatikan ketika implementasi rekomendasi adalah perlu dipertimbangkan berbagai batasan-batasan yang terlibat, contohnya: batasan staf, anggaran yang tersedia mungkin akan menghambat proses implementasi. Selain itu, penentuan komitmen dari pihak yang diaudit mengenai waktu pengimplementasian rekomendasi hasil audit dan prosedut pelaksanaannya penting untuk didefinisikan. Dengan demikian, dokumentasi laporan audit SI/TI seharusnya berisikan:

·      Perencanaan dan persiapan audit SI/TI yang mencakup ruang lingkup dan tujuan (scope dan objective),

·      Kondisi system informasi,

·      Program audit SI/TI yang berlaku,

·      Langkah audit SI/TI yang dilakukan dan bukti (evidence) audit SI/TI yang dikumpulkan,

·      Temuan audit (findings) dan tingkat kedewasaan proses TI,

·      Kesimpulan dari hasil temuan,

·      Laporan-laporan lain yang terkait sebagai hasil dari pekerjaan audit SI/TI,\Tinjauan pengawas berupa rekomendasi untuk perbaikan berkelanjutan.

2.6.3    Audit Untuk Perbaikan Berkelanjutan

Disamping untuk perbaikan proses, audit SI/TI juga diperlukan untuk penyediaan rekomendasi panduan praktek bagi manajemen senior dalam peningkatan kualitas dan efektivitas dari inisiatif penataan TI yang diimplementasikan. Biasanya peningkatan kualitas tersebut dilakukan melalui perbaikan berkelanjutan (continuous improvement) yang dilakukan dalam kerangka kerja yang audit SI/TI yang terara. Oleh karena itu dalam penyusunan rekomendasi, pengaudit SI/TI seharusnya menggambarkan area perbaikan yang perlu dilakukan perusahaan berdasarkan uji kepatutan dan tingkat kedewasaan saat pelaksanaan audit.

2.7  Contoh Hasil Laporan Audit Sistem Informasi

Perancangan Audit Keamanan Informasi Berdasarkan Standar ISO 27001:2005

(Studi Kasus: Pt Adira Dinamika Multi Finance)

2.7.1    PT Adira Dinamika Multi Finance

PT Adira Dinamika Multi Finance (Adira Finance) merupakan perusahaan terbesar yang bergerak di bidang pembiayaan berbagai merk otomotif (motor/mobil) di Indonesia sejak tahun 1990. Pada Maret 2004, Adira Finance melakukan penawaran saham dengan pengalihan 75% kepemilikan ke PT Bank Danamon Indonesia Tbk (Bank Danamon) yang merupakan salah satu bank swasta nasional terbesar oleh Temasek Group dari Singapura. Berkat dukungan Bank Danamon, Adira Finance mengembangkan usaha dengan menciptakan keunggulan kompetitif yang dapat menghasilkan nilai yang tinggi bagi konsumen maupun pemegang saham.

2.7.2    Metodologi Penelitian

Berikut ini langkah-langkah pelaksanaan audit keamanan sistem informasi yang meliputi:

1) Mengidentifikasi Proses Bisnis dan IT

2) Menentukan Ruang Lingkup dan Tujuan Audit Sistem Informasi

3) Mengumpulkan Data

4) Melaksanakan Audit Kepatutan

5) Menentukan maturity level

6) Menentukan hasil audit keamanan sistem informasi

7) Menyusun laporan hasil audit keamanan sistem informasi

2.7.3    Implementasi Dan Hasil

1)   Identifikasi Proses Bisnis dan IT

Dalam perencanaan proses audit, auditor harus memahami proses proses bisnis dan IT perusahaan yang mau diaudit. Pemahaman yang harus dilakukan yaitu mempelajari dokumen-dokumen yang terkait dengan perusahaan seperti profil perusahaan, visi dan misi perusahaan, struktur organisasi perusahaan, proses bisnis dan TI perusahaan. Pihak auditor juga harus tahu apakah sebelumnya perusahaan telah melaksanakan proses audit.

2)   Penentuan Ruang Lingkup dan Tujuan Audit Sistem Informasi

Ruang lingkup yang dilakukan dengan melakukan observasi, wawancara dan kuesioner. Hasil dari penentuan berupa wawancara dengan pihak PT Adira Dinamika Multi Finance yang dimana masih ada kurangnya keamanan terhadap aset, informasi, akses aplikasi. Penerapan hasil ruang lingkup menggunakan standar ISO 27001:2005 dan klausul-klausul yang digunakan pada standar ISO 27001:2005.

Tabel 1 Pemetaan Klausul ISO 27001:2005

3)   Melaksanakan Audit Kepatutan

Melaksanakan audit kepatutan menghasilkan berupa dokumen wawancara, bukti audit, temuan audit dan nilai kematangan pada kontrol keamanan. Setelah didapatkan semua bukti yang ada, kemudian dianalisis dan dievaluasi pada nilai tingkat kemampuan tiap kontrol keamanan.

4)   Menentukan Maturity Level

Setelah menentukan nilai yang sudah ditetapkan, langkah berikutnya yaitu maturity level. Kerangka kerja perhitungan maturity level dilakukan secara bertahap. Contoh perhitungan maturity level dapat dilihat pada Tabel 2. Untuk contoh hasil maturity level dapat dilihat pada Tabel 3. Untuk contoh representasi hasil ke dalam diagram radar, dapat dilihat pada Gambar 1.

Tabel 2 Contoh Kerangka Kerja Perhitungan Maturity Level

                                                                                                      

Tabel 3 Contoh Hasil Maturity Level Klausul 11 Kontrol Akses

5)   Menentukan Hasil Audit Sistem Informasi

Hasil audit keamanan berupa temuan dan rekomendasi untuk perusahaan, yang berasal dari hasil wawancara, dari sebelumnya evaluasi dan analisis. Laporan hasil audit berupa rekomendasi yang digunakan sebagai saran untuk perbaikan kontrol keamanan. Apabila perhitungan sudah selesai semua, didapatkan nilai dari maturity level dari rata-rata semua nilai klausul. Setelah semua perhitungan selesai, maka didapatkan nilai maturity level dari rata-rata nilai keseluruhan klausul, yang dapat dilihat pada Tabel 4.

Tabel 4 Hasil Maturity Level Semua Klausul

Didapatkan representasi hasil maturity level seluruh klausul pada Gambar 2.

6)   Menyusun Laporan Hasil Audit

Setelah melakukan analisis dan evaluasi dari audit pada perusahaan leasing, maka didapatkan beberapa kondisi yang sudah sesuai dengan kontrol ISO 27001:2005 yaitu melakukan pemeriksaan data profil perusahaan, kebijakan, standar, prosedur, melakukan observasi standar prosedur operasi dan hasil wawancara. Kondisi yang diperbaiki yaitu:

1) Penjadwalan kontrol aset belum dilakukan secara berkala.

2) Tidak ada penanggung jawab khusus dalam perlindungan aset.

3) Tidak ada panduan mekanisme kontrol.

4) Tidak ada pengontrolan dan pencatatan terhadap perubahan.

5) Mengkaji ulang hak akses tidak dilakukan secara berkala.

Beberapa kondisi dari standar ISO 27001:2005 yaitu:

1) Ada aturan tentang tanggung jawab keamanan informasi.

2) Ada parameter pengukuran keamanan.

3) Ada dokumentasi prosedur operasi.

4) Ada dokumentasi terhadap kontrol akses.

5) Ada kebutuhan keamanan sistem baru.

BAB III

PENUTUP

3.1  Kesimpulan

Berdasarkan hasil audit dihasilkan kesimpulan:

1) Perencanaan audit menghasilkan identifikasi ruang lingkup dalam menerapkan manajemen resiko. Langkah audit keamanan informasi dilakukan pembuatan pernyataan, penentuan nilai bobot, dan penentuan nilai kematangan.

2) Pelaksanaan audit didapatkan dari hasil wawancara dalam menentukan dokumen yang diperlukan.

3) Penyalahgunaan username dan password.

4) Kurang adanya sumber daya manusia yang mengelola.

5) Tidak ada pencatatan mengenai insiden kelemahan keamanan informasi.

3.2  Saran

Beberapa saran yang diberikan yaitu:

1) PT Adira Dinamika Multi Finance dapat melakukan audit dalam runtun rentang waktu 6 bulan sampai 12 bulan agar keamanan informasi tetap terkontrol.

2) Audit keamanan informasi belum menggunakan semua kontrol keamanan, sehingga diharapkan semua sistem PT Adira Dinamika Multi Finance berjalan sesuai dengan proses bisnis yang ada, sesuai dengan Sistem Manajemen Keamanan Informasi (SMKI).

3) Audit keamanan informasi menggunakan ISO 27001:2005 dan penilaian maturity level belum memiliki metode penilaian dan diharapkan pengembangan selanjutnya menggunakan yang lain sebagai bahan perbandingan.

DAFTAR PUSTAKA

Sarno, R. (2009). Audit Sistem & Teknologi Informasi. Surabaya: ITS Press.

http://sharingmahasiswa.blogspot.co.id/2014/04/macam-maca-audit-sistem-informasi.html

http://silamzan.blogspot.co.id/2013/01/audit-sistem-informasi_3421.html

https://www.researchgate.net/publication/282915068_PERANCANGAN_AUDIT_KEAMANAN_INFORMASI_BERDASARKAN_STANDAR_ISO_270012005_STUDI_KASUS_PT_ADIRA_DINAMIKA_MULTI_FINANCE