Tahapan Audit Sistem Informasi

Tahapan Audit Sistem Informasi

Audit Sistem Informasi dapat dilakukan dengan berbagai macam tahap-tahap. Tahap-tahap audit terdiri dari 5 tahap sebagai berikut : 

1. Tahap pemeriksaan pendahuluan  
2. Tahap pemeriksaan rinci.  
3. Tahap pengujian kesesuaian.  
4. Tahap pengujian kebenaran bukti.
5. Tahap penilaian secara umum atas hasil pengujian.

Tahap Pemeriksaan Pendahuluan.

Sebelum auditor menentukan sifat dan luas pengujian yang harus dilakukan, auditor harus memahami bisnis auditi (kebijakan, struktur organisasi, dan praktik yang dilakukan). Setelah itu, analisis risiko audit merupakan bagian yang sangat penting. Ini meliputi review atas pengendalian intern. Dalam tahap ini, auditor juga mengidentifikasi aplikasi yang penting dan berusaha untuk memahami pengendalian terhadap transaksi yang diproses oleh aplikasi tersebut. pada tahap ini pula auditor dapat memutuskan apakah audit dapat diteruskan atau mengundurkan diri dari penugasan audit.   

Tahap Pemeriksaan Rinci.

Pada tahap ini auditnya berupaya mendapatkan informasi lebih mendalam untuk memahami pengendalian yang diterapkan dalam sistem komputer klien. Auditor harus dapat memperkirakan bahwa hasil audit pada akhirnya harus dapat dijadikan sebagai dasar untuk menilai apakah struktur pengendalian intern yang diterapkan dapat dipercaya atau tidak. Kuat atau tidaknya pengendalian tersebut akan menjadi dasar bagi auditor dalam menentukan langkah selanjutnya.

 Tahap Pengujian Kesesuaian.

Dalam tahap ini, dilakukan pemeriksaan secara terinci saldo akun dan transaksi. Informasi yang digunakan berada dalam file data yang biasanya harus diambil menggunakan software CAATTs. Pendekatan basis data menggunakan CAATTs dan pengujian substantif untuk memeriksa integritas data. Dengan kata lain, CAATTs digunakan untuk mengambil data untuk mengetahui integritas dan keandalan data itu sendiri. .

Tahap Pengujian Kebenaran Bukti.

Tujuan pada tahap pengujian kebenaran bukti adalah untuk mendapatkan bukti yang cukup kompeten,. Pada tahap ini, pengujian yang dilakukan adalah (Davis at.all. 1981) : 

1. Mengidentifikasi kesalahan dalam pemrosesan data  
2. Menilai kualitas data  
3. Mengidentifikasi ketidakkonsistenan data  Membandingkan data dengan perhitungan fisik
4.   Konfirmasi data dengan sumber-sumber dari luar perusahaan.

Tahap Penilaian Secara Umum atas Hasil Pengujian. 

Pada tahap ini auditor diharapkan telah dapat memberikan penilaian apakah bukti yang diperoleh dapat atau tidak mendukung informasi yang diaudit. Hasil penilaian tersebut akan menjadi dasar bagi auditor untuk menyiapkan pendapatanya dalam laporan auditan. Auditor harus mengintegrasikan hasil proses dalam pendekatan audit yang diterapkan audit yang diterapkan. Audit meliputi struktur pengendalian intern yang diterapkan perusahaan, yang mencakup :

 (1) pengendalian umum, 

(2) pengendalian aplikasi, 

yang terdiri dari : 

(a) pengendalian secara manual,

 (b) pengendalian terhadap output sistem informasi, dan

 (c) pengendalian yang sudah diprogram.

Read More

The IS Audit Process

Risk Analysis

•Risk analysis helps to identify risks and vulnerabilities to be able to determine controls needed to mitigate those risks

What is a Risk?

Elements of Risks

•Threats to, and vulnerabilities of, process and/or assets

•Impact on assets based on threats and vulnerabilities

•Probability of threats (combination of the likehood and frequency of occurrence)

IS Auditor’s Focus on Risk

•Confidentiality, Availability, Integrity of sensitive and critical information

•Underlying information system and process that generate, store and manipulate information

How You Deal With Risk

Internal Control

•Policies

•Procedures

•Practices

•Organizational Structures

Auditing

•The independent examination of records and other information in order to form an opinion on the integrity of a system of controls and recommend control improvements to limit risks

Audit Classification

•Financial Audits

•Operational Audits

•Integrated Audits

•Administrative Audits

•IS Audits

•Specialized Audits

•Forensic Audits

IS Auditing

•Process of collecting and evaluating evidence determine whether the computer system safeguards assets, maintains data integrity, achieve organizational goals effectively and uses resources efficiently.

IS Audit Process

Performing IS Audit

•The flow diagram could perhaps have been drawn more realistically like this:

Read More

PENGELOLAAN SISTEM TEKNOLOGI INFORMASI

PENGELOLAAN SISTEM TEKNOLOGI INFORMASI

PENGELOLAAN INFORMASI

 

PERAN INFORMASI

•Informasi sebagai bahan baku (raw material)

•Informasi sebagai kapital

AKSES INFORMASI

•Informasi tidak boleh hanya informasi yang diinginkan saja tetapi juga harus akurat dan konsisten

•Contoh:

–Buku tanpa label harga, harga salah atau ada 2 harga yang berbeda akan

menghalangi proses pembelian.

KEAMANAN INFORMASI

•Tujuannya memproteksi informasi dari kehilangan dan kerusakan

•Informasi dapat hilang atau rusak karena kesalahan yang tidak sengaja atau

 memang sengaja

•Biaya untuk mengganti informasi tsb cukup tinggi

PRIVASI INFORMASI

berhubungan dengan proteksi informasi

pribadi atas pegawai, nasabah atau

individu lain

PENGELOLAAN TI

•Kontrol atas komponen-komponen TI

•Ergonomic

•Disaster Recovery

DISASTER RECOVERY

PENGELOLAAN SDM

•Pengelolaan Knowledge Worker

–Culture Shock

–Etika

•Pengelolaan SDM TI

–Mengelola Kultur Organisasi/Tim TI

–Mengelola SDM TI

Pengelolaan SDM TI

•Kultur Organisasi/Tim TI

–Memahami Kultur Organisasi

–Matching Peran SDM

•Mengelola SDM TI

–Berbagi Visi

–Koordinasi

–Channeling SDM

–Fokus Pada Kebutuhan Proyek dan SDM

RANGKUMAN

•Sistem TI yang efektif mencakup pengelolaan informasi, komponen TI dan

knowledge worker

•Sumber daya manusia merupakan komponen terpenting dari perusahaan

Read More

Makalah Audit Sistem Informasi

BAB I PENDAHULUAN

1.1.   Latar Belakang

Kebutuhan akan pengambilan sebuah keputusan yang cepat dan akurat, persaingan yang ketat, serta pertumbuhan dunia usaha menuntut dukungan penggunaan tekhnologi mutakhir yang kuat dan handal. Dalam konteks ini keberhasilan organisasi akan sangat dipengaruhi oleh kemampuan dalam memanpaatkan teknologi informasi secara optimal. Sukses auditor internal sangat tergantung kepada kemampuan menyumbang nilai terhadap organisasi melalui pemanfaatan tekhnologi informasi secara efektif.

1.2.   Rumusan Masalah

Rumusan masalah dalam makalah sehingga pemakalah dapat menulis dan menyelesaikan makalah ini yaitu:

1.      apa yang dimaksud denganAudit sistem informasi?

2.      Apa tujuan dari audit sistem informasi?

3.      Bagaimana konsep pelaksanaan audit sistem informasi baik itu dalam berbasis risiko, kendali dan komputer?

1.3.   Tujuan Makalah

Tujuan dari pembuatan makalah ini yaitu:

1.      Menyelesaikan tugas makalah Sistem Informasi

2.      Agar Mahasiswa  dapat  memahami  dan mengerti  apa yang dimaksud dengan audit sistem informasi.

3.      Agar Mahasiswa  dapat  memahami  dan mengerti  apa tujuan audit sistem informasi

4.      Agar Mahasiswa  dapat  memahami  dan mengerti bagaimana konteks pelaksanaan dari audit sistem informasi.

1.4.   Manfaat Penulisan

Penulisan makalah Sistem Informasi tentang Konsep audit sistem informasi ini manfaatnya yaitu agar kita dapat mengenal, memahami, mengerti materi tentang audit sistem informasi serta dapat menambah pengetahuan kita.

1.5.   Sistematika Penulisan

Sistemetika penulisan ini adalah sebagai berikut :

BAB I    : PENDAHULUAN

Dalam bab ini penulis menjelaskan tentang latar belakang dalam penulisan, serta sistematika penulisan.

BAB II  : PEMBAHASAN

Dalam bab ini penulis mengemukakan tentang pengertian dan tujuan audit sistem informasi serta proses audit sistem informasi yang terdiri dari audit sistem informasi berbasis risiko, audit sistem informasi berbasis kendali, audit sistem informasi berbasis komputer.

BAB III : PENUTUP

Dalam bab ini penulis memberikan kesimpulan dan saran serta meminta suatu keritikan jika ada suatu kesalahan dalam penulisan.

BAB II PEMBAHASAN

KONSEP AUDIT SISTEM INFORMASI

2.1.        Terminologi Audit Sistem Informasi

Audit Sistem Informasi adalah proses pengumpulan dan pengevaluasian bukti-bukti untuk membuktikan dan menentukan apakah sistem aplikasi komputerisasi yang digunakan telah menetapkan dan menerapkan sistem pengendalian intern yang memadai, apakah aset organisasi sudah dilindungi dengan baik dan tidak disalah gunakan, apakah  mampu menjaga integritas data, kehandalan serta efektifitas dan efisiensi penyelenggaraan sistem informasi berbasis komputer.

Jenis-jenis audit sistem informasi:

a)      Audit laporan keuangan (financial Statement Audit)

b)      Audit Operasional (Operational audit)

1)      Audit terhadap aflikasi komputer

2)      General audit

Yaitu evaluasi kinerja unit fungsional atau fungsi sistem informasi apakah sudah dikelola dengan baik.

2.2.        Tujuan Audit Sistem Informasi

Tujuan Audit Sistem Informasi menurut Ron Weber yaitu:

a)      Meningkatkan keamanan aset-aset perusahaan.

b)      Meningkatkan data dan menjaga integritasi data.

c)      Meningkatkan efektifitas sistem

d)     Meningkatkan efisiensi sistem

e)      Ekonomis

Dua aspek utama tujuan audit sistem informasi yaitu:

a)      Conformance (Kesesuaian)

Yaitu audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian seperti kerahasiaan, Integritas, Ketersediaan, Kepatuhan.

b)      Performance (Kinerja)

Yaitu audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kenerja seperti Efektifitas, Efisiensi, Kehandalan.

            Tujuan audit sistem informasi secara teknis yaitu:

a)      Evaluasi atas kesesuaian antara rencana strategis dengan rencana tahunan organisasi,rencana tahunan dan rencana proyek.

b)      Evaluasi atas kelayakan struktur organisasi yaitu termasuk pemisahan fungsi dan kelayakan pelimpahan wewennang dan otoritas.

c)      Evaluasi atas pengelolahan personil yaitu termasuk perencanaan kebutuhan, rekrutmen dan seleksi, pelatihan dan pendidikan, promosi,mutasi, serta terminasi personil.

d)     Evaluasi atas pengembangan yaitu termasuk analisis kebutuhan, perancangan, pengembangan, pengujian, implementasi, migrasi, pelatihan dan dokumentasi, serta manajemen perubahan.

e)      Evaluasi atas kegiatan operasional yaitu termasuk pengelolaan keamanan dan kenerja pengelolaan pusat data, pengelolaan keamanan dan kenerja jaringan data, pengelolaan masalah dan insiden serta dukungan pengguna.

f)       Evaluasi atas kontinuitas layanan yaitu termasuk pengelolaan backup dan recovery, pengelolaan prosedure darurat, pengelolaan rencana pemulihan layanan, serta pengujian rencana kontijensi operasional.

g)      Evaluasi atas kualitas pengendalian aplikasi yaitu termasuk pengendalian input, pengendalian proses dan pengendalian output.

h)      Evaluasi atas kualitas data/informasi yaitu termasuk  pengujian atas kelengkapan dan akurasi data yang dimasukkan, diproses, dan dihasilkan oleh sistem informasi.

2.3.        Proses Audit Sistem Informasi

Proses Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem informasi berjalan semestinya. Tujuh langkah proses audit sistem informasi yaitu:

a)      Implementasikan sebuah strategi audit berbasis manajemen resiko serta control practice yang dapat disepakati oleh semua pihak

b)      Tetapkan langkah-langkah audit yang rinci

c)      Gunakan fakta atau bahan bukti yang cukup, handal, relevan, serta bermanfaat

d)     Buat laporan beserta kesimpulan berdasarkan fakta yang dikumpulkan

e)      Telaah apakah tujuan audit tercapai

f)       Sampaikan laporan kepada pihak yang berkepentingan

g)      Pastikan bahwa organisasi mengimplementasikan managemen resiko serta control practice.

Perencanaan sebelum menjalankan proses audit dengan metodologi audit yaitu:

a)      Audit subject

b)      Audit objective

c)      Audit Scope

d)     Preaudit planning

e)      Audit procedures and Steps for data gathering

f)       Evaluasi hasil pengujian dan pemeriksaan

g)      Audit report preparation

Berikut struktur isi laporan audit secara umumnya(tidak baku):

a)      Pendahuluan

b)      Kesimpulan umum auditor

c)      Hasil audit

d)     Rekomendasi

e)      Exit interview

2.3.1.  Audit Sistem Informasi Berbasis Resiko

Proses dalam pelaksanaan audit sistem informasi berbasis resiko sesuai standar audit yaitu:

a)      Tahap survey pendahuluan,auditor akan berusaha untuk memperolehgambaran umum dari lingkunganyang akan diaudit.

b)      Pemahaman yang lebih mendalam dari seluruh sumber daya yang termasuk di dalam lingkup audit.

c)      Pemahaman sistem pengendalian intern seperti struktus organisasi, kebijakan, prosedur, standar, dan alat bantu kendali lainya.

d)     Mengidentifikasi berbagai resiko yang mungkin timbul di lingkungan audit serta kelayakan rancangan pengendalian intern yang telah ada.

e)      Melakukan pengujian dan pelaksanaan kendali-kendali, jika tidak layak maka auditor akan melakukan pengujian terinci secara mendalam terhadap resiko.

f)       Menyusun laporan audit yang memuat kesimpulan audit, serta tanggapan dari pihak yang diaudit atas rekomendasi yang disampaikan oleh auditor dalam rangka peningkatan pengendalian intern.

Aspek-aspek penilaian resiko dalam proses audit sistem informasi berbasis resiko yaitu:

a)      Tujuan

Yaitu biasanya tercermin dalam misi atau nilai entitas/terdapat dalam rencana perusahaan. Kategori tujuan yaitu:

1.      Tujuan operasi

2.      Tujuan pelaporan keuangan

3.      Tujuan kepatuhan

b)      Identifikasi dan analisa resiko

Yaitu mencakup resiko dalam pencapaian tujuan seperti:

1.      Resiko tingkat entitas

2.      Resiko tingkat aktifitas

3.      Manajemen perubahan

2.3.2.     Audit Sistem Informasi Berbasis Kendali

Proses dalam pelaksanaan audit sistem informasi berbasis kendali sesuai standar audit yaitu:

a)      Mengumpulkan bukti-bukti yang memadai melalui berbagai teknik seperti survei, interview, observasi, review.

b)      Jika bukti –bukti berupa bukti elektronis (data bentuk file suftcopy) maka auditor menerapkan sistem teknik audit berbantuan komputer yang disebut CAAT(Computer Aided Auditing Technique) yang bertujuan untuk menganalisa data seperti penjualan, pembelian, transaksi, dan lain-lain)

c)      Sesuai standar auditing ISACA (information System Audit And Control Association)Auditor juga harus menyusun laporan yang mencakup tujuan pemeriksaansifat dan kedalaman pemeriksaan.

d)     Laporan juga harus menyebutkan organisasi yang diperiksa, pihak pengguna laporan yang dituju, dan batasan-batasan distrubusi laporan.

e)      Laporan juga harus memasukkan temuan,kesimpulan, rekomendasi, sebagaimana layaknya laporan audit.

Audit sistem informasi berbasis kendali merupakan  suatu sistem yang mencegah, mendeteksi atau memperbaiki kejadian yang tidak dibenarkan (unlawfulevents) seperti: unautorized (tidak nyambung), innacurrete(kurang baik), incomplete(tidak komplet/tidak sesuai), redundant(mubazir), ineffective, ineffeicient event.tujuanya yaitu untuk mengurangi kesalahan yang mungkin terjadi dari kejadian yang dibenarkan.

Berdasarkan standar manajemen yang dikeluarkan  olehInternasional Standar Organization (ISO) yaitu ISO 9001-2000, penilaian kondisi sistem mutu mempunyai 4 skala yaitu:

a)      P (Poor) yaitu sistem mutu praktis belum terbentuk. Disarankan untuk meninjau ulang keseluruhan proses.

b)      W (Weak) yaitu masih banyak elemen sistem manajemen mutu yang tidak sesuai standar.

c)      F (Fair) yaitu beberapa elemen sistem telah sesuai standar tetapi masih ada yang belum sesuai bahkan tidak ada sama sekali.

d)     S (Strong) yaitu Sebagian besar persyaratan ISO 9001-2000 telah dapat dipenuhi oleh sistem.

2.3.3.      Audit Sistem Informasi Berbasis Komputer

Dengan dominannya  penggunaan komputer dalam membantu kegiatan operasional diberbagai perusahaan, maka diperlukan standar-standar kontrol sebagai alat pengendali internal untuk menjamin bahwa data elektronik yang diproses adalah benar. Beberapa jenis standar kontrol yaitu:

a)      COSO (Comitte Of Sponsoring Organizationof the treadway commission’s)

Yaitu dibentuk pada tahun 1985 dengan tujuan untuk menyatukan pandangan dalam komunitas bisnis berkaitan dengan isu-isu seputar pelaporan keuangan yang mengandung fraud (penggelapan).Tahun 1992, COSO menyusun dan MenerbitkanInternal Control Integrated Framework yang berisi rumusan definisi pengendalian intern, pedoman penilaian, serta perbaikan terhadap sistem pengendalian intern.Tahun 2004, COSO mengembangkan Internal Control Integrated Framework dengan menambah cakupan tentang manajemen  dan strategi resiko yang disebut ERM (Enterprise Risk Manajement).

Pencapaian tujuan pengendalian intern yang didefenisikan COSO:

1.      Efektifitas dan efisiensi aktivitas operasi

2.      Kehandalan pelaporan keuangan

3.      Ketaatan terhadap hukum dan peraturan yang berlaku

4.      Pengamanan aset entitas.

b)      COBIT (Control Objectives for Information and Related Technology)

Yaitu alat pengendalian untuk informasi dan tekhnology terkait dan merupakan standar terbuka yang dikembangkan oleh ISACA melalui ITGI (Information and Technology Governance Institute)pada tahun 1992. Tujuan dari COBIT yaitu untuk mengembangkan , melakukan riset dan mempublikasikan suatu standar teknologi informasi yang diterima umum dan selalu up to date untuk digunakan dalam kegiatan bisnis sehari-hari.

c)      SARBOX (Sarbanes-Oxley Act)

Yaitu merupakan peraturan yang ditandatangani Presiden George W.Bush tanggal 30 juli 2012 untuk mereformasi dunia pasarmodal Amerika Serikat. Tujuan SARBOX yaitu:

1.      Meningkatkan akuntabilitas manajemen dengan memastikan bahwa manajemen akuntan dan pengacara memiliki tanggung jawab atas informasi keuangan yang menjadi tanggung jawab mereka.

2.      Meningkatkan pengungkapan dengan berusaha untuk menyatakan bahwa beberapa kejadian kunci dan transaksi luar biasa tidak mendapatkan pengawasan hanya karena tidak disyaratkan untuk diungkap di publik.

3.      Meningkatkan pengawasan rutin yang lebih intensif oleh SEC.

4.      Meningkatkan akuntabilitas akuntan.

d)     ISO 17799

Yaitu standar untuk sistem manajemen keamanan informasi meliputi dokomen kebijakan keamanan informasi, alokasi keamanan informasi tanggung-jawab,menyediakan semua para pemakai dengan pendidikan dan pelatihan didalam keamanan informasi, mengembangkan suatu sistem untuk pelaporan peristiwa keamanan, memperkenalkan virus kendali, mengembangkan suatu rencana kesinambungan bisnis, mengendalikan pengkopian perangkat lunak kepemilikan, surat pengantar arsip organisatoris, mengikuti kebutuhan perlindungan data, dan menetapkan prosedure untuk mentaati kebijakan keamanan.

e)      BASEL II

BASEL II dibentuk yaitu sebagai penerapan kerangka pengukuran bagi risiko kredit, sistem ini mensyaratkan Bank-bank untuk memisahkan eksposurnya ke dalam kelas yang lebih luas, yang menggambarkan kesamaan tipe debitur(hutang).

BAB III

PENUTUP

3.1.        Kesimpulan

Dari penulisan makalah ini dapat disimpulkan bahwa Audit Sistem Informasi adalah proses pengumpulan dan pengevaluasian bukti-bukti untuk membuktikan dan menentukan apakah sistem aplikasi komputerisasi yang digunakan telah menetapkan dan menerapkan sistem pengendalian intern yang memadai, apakah aset organisasi sudah dilindungi dengan baik dan tidak disalah gunakan, apakah  mampu menjaga integritas data, kehandalan serta efektifitas dan efisiensi penyelenggaraan sistem informasi berbasis komputer.

 Konteks dalam proses audit sistem informasi ini terbagi menjadi 3 yaitu audit sistem informasi berbasis risiko, audit sistem informasi berbasis kendali, audit sistem informasi berbasis komputer.

3.2.      Kritik dan Saran

Penulis hanya bisa memberi saran kepada pembaca bahwasahnya konsep audit sistem informasi yaitu terdiri dari tujuan audit sampai dengan proses audit sistem informasi itu sendiri baik itu berbasis risiko, berbasis kendali serta berbasis komputer.

Di dalam makalah ini mungkin masih banyak suatu kekurangan dan kesalahan oleh karena itu penulispun meminta agar kiranya pembaca juga memberikan keritikan dan sarannya agar kiranya makalah ini bisa menjadi lebih sempurna lagi.

Read More