Audit teknologi sistem informasi
adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi
informasi secara menyeluruh. Audit teknologi informasi ini dapat berjalan
bersama-sama dengan audit finansial dan audit internal atau dengan kegiatan
pengawasan dan evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal
dengan audit pemrosesan data elektronik, lalu sekarang audit teknologi
informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua
kegiatan sistem informasi dalam perusahaan tersebut. Istilah lain dari audit
teknologi sistem informasi adalah audit komputer yang banyak dipakai untuk
menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara
efektif dan integratif dalam mencapai target organisasinya. Audit sistem
informasi dibutuhkan dalam suatu organisasi perusahaan untuk mengetahui apakah
suatu pengendalian dalam sistem informasi di sebuah organisasi tersebut
tujuannya sudah tercapai atau belum. Semua aset (aktiva) dilindungi dengan baik
atau tidak disalahgunakan serta terjaminnya integritas data, keandalan, serta
efektifitas dan efisiensi penyelenggaraan sistem informasi berbasis komputer.
Tujuan Audit Teknologi Sistem Informasi yaitu :
1.
Mengamankan Asset
Asset (aktiva) yang berhubungan
dengan instalasi sistem informasi mencakup: perangkat keras, perangkat lunak,
fasilitas, manusia, file data, dokumentasi sistem, dan peralatan pendukung
lainnya. Sama halnya dengan aktiva lainnya maka aktiva ini juga perlu
dilindungi dengan memasang pengendalian internal. Perangkat keras bisa rusak
karena unsur kejahatan ataupun sebab-sebab lain, perangkat lunak dan isi file
data dapat dicuri. Peralatan pendukung dapat dihancurkan atau digunakan untuk tujuan
yang tidak diotorisasi karena konsentrasi aktiva tersebut berada pada lokasi
pusat sistem informasi, maka pengamanannya pun menjadi perhatian dan tujuan
yang sangat penting.
2.
Menjaga Integritas Data
Integritas data merupakan konsep
dasar audit sistem informasi. Integritas data berarti data memiliki atribut kelengkapan,
baik dan dipercaya, kemurnian, dan ketelitian. Tanpa menjaga integritas data,
organisasi tidak dapat memperlihatkan potret dirinya dengan benar atau kejadian
yang ada tidak terungkap seperti apa adanya. Keputusan maupun langkah-langkah
penting di organisasi dapat menjadi salah sasaran karena tidak didukung dengan
data yang benar. Oleh karena itu, upaya untuk menjaga integritas data, dengan
konsekuensi akan ada biaya prosedur pengendalian yang dikeluarkan harus sepadan
dengan manfaat yang diharapkan.
3.
Menjaga Efektifitas Sistem
Sistem informasi dikatakan
efektif hanya jika sistem tersebut dapat mencapai tujuannya. Perlu upaya untuk
mengetahui kebutuhan pengguna sistem tersebut (user), apakah sistem
menghasilkan laporan atau informasi yang bermanfaat bagi user. Untuk menilai
efektivitas sistem, auditor sistem informasi harus tahu mengenai kebutuhan
pengguna sistem atau pihak-pihak pembuat keputusan yang terkait dengan layanan
sistem tersebut. Selanjutnya, untuk menilai apakah sistem menghasilkan laporan
atau informasi yang bermanfaat bagi penggunanya, auditor perlu mengetahui karakteristik
user berikut proses pengambilan keputusannya. Auditor perlu mengetahui
karakteristik user berikut proses pengambilan keputusannya. Biasanya audit
efektivitas sistem dilakukan setelah suatu sistem berjalan beberapa waktu. Manajemen
dapat meminta auditor untuk melakukan post audit guna menentukan sejauh mana
sistem telah mencapai tujuan.
4.
Efisiensi
Dikatakan efisien jika ia
menggunakan sumber daya seminimal mungkin untuk menghasilkan output yang
dibutuhkan. Efisiensi sistem pengolahan data menjadi penting apabila tidak ada
lagi kapasitas sistem yang menganggur. Pada kenyataannya, sistem informasi
menggunakan berbagai sumber daya seperti mesin dan segala perlengkapannya
berupa perangkat lunak, sarana komunikasi, dan tenaga kerja yang mengoperasikan
sistem tersebut.
Tujuan audit sistem
informasi adalah untuk meninjau dan mengevaluasi pengendalian internal yang
melindungi sistem tersebut. Tujuan audit ini berkaitan dengan komponen dari
sistem informasi, dimana tujuan tersebut yaitu :
- Perlengkapan keamanan melindungi perlengkapan komputer, program, komunikasi, dan data dari akses yang tidak sah, modifikasi atau penghancuran
- Pengembangan dan perolehan program dilaksanakan sesuai dengan otorisasi khusus dan umum dari pihak manajemen
- Modifikasi program dilaksanakan dengan otorisasi dan persetujuan dari pihak manajemen
- Pemrosesan transaksi, file laporan dan catatan komputer lainnya telah akurat dan lengkap
- Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang tepat diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah ditetapkan
- File data komputer telah akurat, lengkap dan dijaga kerahasiaannya
Tahap-tahap Audit Sistem Informasi
Audit Sistem
Informasi dapat dilakukan dengan berbagai macam tahap. Tahap-tahap audit
terdiri dari 5 tahap yaitu sebagai berikut :
1. Tahap pemeriksaan pendahuluan
2. Tahap pemeriksaan rinci.
3. Tahap pengujian kesesuaian.
4. Tahap pengujian kebenaran
bukti.
5. Tahap penilaian secara umum atas
hasil pengujian.
Jenis audit berdasarkan kelompok atau pelaksana
audit, audit dibagi 4 jenis yaitu :
- Auditor Ekstern Auditor ekstern/ independent; auditor yang bekerja di kantor akuntan publik yang statusnya diluar struktur perusahaan yang mereka audit. Umumnya auditorekstern menghasilkan laporan atas financial audit.
- Auditor Intern Auditor intern bekerja untuk perusahaan yang mereka audit. Laporan audit manajemen umumnya berguna bagi manajemen perusahaan yang diaudit. Oleh karena itu tugas internal auditor biasanya adalah audit manajemen yang termasuk jenis compliance audit.
- Auditor Pajak Auditor pajak bertugas melakukan pemeriksaan ketaatan wajib pajak yang diaudit terhadap undang-undang perpajakan yang berlaku.
- Auditor Pemerintah Tugas auditor pemerintah adalah menilai kewajaran informasi keuangan yang disusun oleh instansi pemerintahan. Disamping itu audit juga dilakukan untuk menilai efisiensi, efektifitas dan ekonomisasi operasi program dan penggunaan barang milik pemerintah.
RUANG LINGKUP
Ruang lingkup Audit Teknologi Sistem
Informasi sebagai audit operasional terhadap fungsi sistem informasi, audit
objektifnya adalah melakukan assessment terhadap efektifitas, efisiensi, dan
ekonomis tidaknya pengelolaan sistem informasi suatu organisasi. Audit
Teknologi Sistem Informasi dimaksudkan untuk memberikan informasi kepada
manajemen puncak agar manajemen mempunyai “a clear assessment” terhadap sistem
informasi yang di implementasikan pada organisasi tersebut. Perlu dipahami
bahwa audit SI tidak harus selalu merupakan penugasan lengkap mencakup seluruh
aspek. Penugasan audit SI mungkin mencakup semua, tetapi bisa dengan beberapa
variasi, atau beberapa aspek saja: suatu audit mungkin hanya menitik beratkan
fokus pada satu aspek saja, atau beberapa aspek yang penting sesuai kebutuhan
organisasi tersebut.
TOOLS-TOOLS YANG DIGUNAKAN
Tool-tool yang dapat digunakan
untuk membantu pelaksanaan Audit Teknologi Sistem Informasi. Tidak dapat
dipungkiri, penggunaan tool-tool tersebut memang sangat membantu auditor
teknologi informasi dalam menjalankan profesinya baik dari sisi kecepatan
maupun akurasinya.
Berikut beberapa
software yang dapat dijadikan alat bantu dalam pelaksanaan audit teknologi sistem
informasi :
a. ACL (Audit Command
Language)
ACL merupakan sebuah
software CAAT (Computer Assisted Audit Techniques) yang sudah sangat populer
untuk melakukan analisa terhadap data dari berbagai macam sumber dan membantu
auditor dalam melakukan pemeriksaan di lingkungan sistem informasi berbasis
komputer atau pemrosesan data elektronik.
b. Picalo
Picalo merupakan
sebuah software CAAT (Computer Assisted Audit Techniques) seperti halnya ACL
yang dapat digunakan untuk menganalisa data dari berbagai macam sumber. Picalo
bekerja dengan menggunakan GUI Front End dan memiliki banyak fitur untuk ETL
sebagai proses utama dalam mengekstrak dan membuka data.
c. Powertech
Compliance Assessment
Powertech Compliance
Assessment merupakan automated audit tool yang dapat dipergunakan untuk
mengaudit dan mem-benchmark user access to data, public authority to libraries,
user security, system security, system auditing, dan administrator rights
(special authority) sebuah serverAS/400.
d. Nipper
Nipper (Jaringan
Infrastruktur Parser) adalah alat berbasis open source untuk membantu
profesional TI dalam mengaudit, mem-benchmark konfigurasi sebuah router, dan
mengelola jaringan komputer dan perangkat jaringan infrastruktur.
e. Nessus
Nessus merupakan
sebuah vulnerability assessment software yaitu sebuah software yang digunakan
untuk mengecek tingkat vulnerabilitas suatu sistem dalam ruang lingkup keamanan
yang digunakan dalam sebuah perusahaan.
f. Metasploit
Metasploit Framework
merupakan sebuah penetration testing tool yaitu sebuah software yang digunakan
untuk mencari celah keamanan.
g. NMAP
NMAP merupakan open
source utility untuk melakukan security auditing. NMAP atau Network Mapper
adalah software untuk mengeksplorasi jaringan, banyak administrator sistem, dan
jaringan yang menggunakan aplikasi ini menemukan banyak fungsi dalam inventori
jaringan, mengatur jadwal peningkatan service, dan memonitor host atau waktu
pelayanan.
h. Wireshark
Wireshark merupakan
aplikasi analisa netwrok protokol paling digunakan di dunia. Wireshark bisa
mengcapture data dan secara interaktif menelusuri lalu lintas yang berjalan
pada jaringan komputer, dengan berstandart de facto dibanyak industri dan
lembaga pendidikan.
Menurut Weber (1999) terdapat beberapa alasan
mendasar mengapa organisasi perlu melakukan audit sebagai evaluasi dan
pengendalian terhadap sistem yang digunakan oleh organisasi :
1. Pencegahan
terhadap biaya organisasi untuk data yang hilang
Kehilangan data dapat terjadi
karena ketidakmampuan pengendalian terhadap pemakaian komputer. Kelalaian
dengan tidak menyediakan backup yang memadai terhadap file data, sehingga
kehilangan file dapat terjadi karena program komputer yang rusak, adanya
sabotase, atau kerusakan normal yang membuat file tersebut tidak dapat
diperbaiki sehingga akhirnya membuat kelanjutan operasional organisasi menjadi
terganggu.
2. Pengambilan
keputusan yang tidak sesuai
Membuat keputusan yang
berkualitas tergantung pada kualitas data yang akurat dan kualitas dari proses
pengambilan keputusan itu sendiri. Pentingnya data yang akurat bergantung
kepada jenis keputusan yang akan dibuat oleh orang – orang yang berkepentingan
di suatu organisasi.
3. Penyalahgunaan
komputer
Penyalahgunaan komputer
memberikan pengaruh kuat terhadap pengembangan EDP audit maka untuk dapat
memahami EDP audit diperlukan pemahaman yang baik terhadap beberapa kasus
penyalahgunaan komputer yang pernah terjadi.
4. Nilai dari
perangkat keras komputer, perangkat lunak dan personel
Di samping data, hardware dan software serta personel komputer juga merupakan sumber daya yang kritikal bagi suatu organisasi, walaupun investasi hardware perusahaan sudah dilindungi oleh asuransi, tetapi kehilangan hardware baik terjadi karena kesengajaan maupun ketidaksengajaan dapat mengakibatkan gangguan. Jika software rusak akan mengganggu jalannya operasional dan bila software dicuri maka informasi yang rahasia dapat dijual kepada kompetitor. Personel adalah sumber daya yang paling berharga, mereka harus dididik dengan baik agar menjadi tenaga handal dibidang komputer yang profesional.
Di samping data, hardware dan software serta personel komputer juga merupakan sumber daya yang kritikal bagi suatu organisasi, walaupun investasi hardware perusahaan sudah dilindungi oleh asuransi, tetapi kehilangan hardware baik terjadi karena kesengajaan maupun ketidaksengajaan dapat mengakibatkan gangguan. Jika software rusak akan mengganggu jalannya operasional dan bila software dicuri maka informasi yang rahasia dapat dijual kepada kompetitor. Personel adalah sumber daya yang paling berharga, mereka harus dididik dengan baik agar menjadi tenaga handal dibidang komputer yang profesional.
5. Biaya yang tinggi
untuk kerusakan komputer
Saat ini pemakaian komputer
sudah sangat meluas dan dilakukan juga terhadap fungsi kritis pada kehidupan
kita. Kesalahan yang terjadi pada komputer memberikan implikasi yang luar
biasa, sebagai contoh data error mengakibatkan jatuhnya pesawat di Antartika
yang menyebabkan 257 orang meninggal atau seseorang divonis masuk penjara
karena kesalahan data di komputer.
6. Kerahasiaan
Banyak data tentang diri pribadi yang saat ini dapat diperoleh dengan cepat, dengan adanya komputerisasi kependudukan maka data mengenai seseorang dapat segera diketahui termasuk hal – hal pribadi.
Banyak data tentang diri pribadi yang saat ini dapat diperoleh dengan cepat, dengan adanya komputerisasi kependudukan maka data mengenai seseorang dapat segera diketahui termasuk hal – hal pribadi.
7. Pengontrolan penggunaan
komputer
Teknologi adalah hal yang alami,
tidak ada teknologi yang baik atau buruk. Pengguna teknologi tersebut yang
dapat menentukan apakah teknologi itu akan menjadi baik atau malah menimbulkan
gangguan. Banyak keputusan yang harus diambil untuk mengetahui apakah komputer
digunakan untuk suatu hal yang baik atau buruk.
PENDEKATAN AUDIT TEKNOLOGI SISTEM INFORMASI
Menurut Wilkinson (2006),
terdapat tiga pendekatan auditing pada sistem berbasis komputer/teknologi
informasi yaitu :
1. Audit di Sekitar Komputer (Auditing Around The Computer)
1. Audit di Sekitar Komputer (Auditing Around The Computer)
Audit terhadap penyelenggaraan
sistem informasi komputer tanpa menggunakan kemampuan peralatan itu sendiri,
pemrosesan dalam komputer dianggap benar, apa yang ada dalam komputer dianggap
sebagai “black box” sehingga audit hanya dilakukan di sekitar box tersebut.
Pendekatan ini memfokuskan pada input dan output yaitu dimana penggunaan
komputer pada tahap proses diabaikan. Audit ini dilakukan dengan cara mengecek
prosedur interal yang ada di perusahaan dengan kejadian yang nyata terjadi di
lapangan.
2. Audit Melalui Komputer (Auditing Through The Computer)
Audit ini dilakukan melalui komputer, dimana auditor mengajukan data ke komputer untuk di proses. Kemudian hasilnya akan dianalisis oleh proses yang dapat dipercayai dan mempunyai ketepatan dengan program komputer yaitu dimana pada tahap proses penggunaan komputer telah aktif.
3. Audit Dengan Komputer (Auditing With Computer)
Audit ini dilakukan dengan menggunakan komputer dan software untuk mengotomatisasi prosedur pelaksanaan audit. Pendekatan ini dapat menggunakan beberapa komputer assisted audit techniques, misalnya Systems Control Audit Review File (SCRAF) atau snapshot (pemotretan cepat). Audit yang menggunakan komputer sebagai alat bantu auditor dalam melakukan audit yaitu dimana input, proses, dan output telah menggunakan komputer.
2. Audit Melalui Komputer (Auditing Through The Computer)
Audit ini dilakukan melalui komputer, dimana auditor mengajukan data ke komputer untuk di proses. Kemudian hasilnya akan dianalisis oleh proses yang dapat dipercayai dan mempunyai ketepatan dengan program komputer yaitu dimana pada tahap proses penggunaan komputer telah aktif.
3. Audit Dengan Komputer (Auditing With Computer)
Audit ini dilakukan dengan menggunakan komputer dan software untuk mengotomatisasi prosedur pelaksanaan audit. Pendekatan ini dapat menggunakan beberapa komputer assisted audit techniques, misalnya Systems Control Audit Review File (SCRAF) atau snapshot (pemotretan cepat). Audit yang menggunakan komputer sebagai alat bantu auditor dalam melakukan audit yaitu dimana input, proses, dan output telah menggunakan komputer.
Faktor-faktor yang mendorong pentingnya kontrol dan audit teknologi
sistem informasi (Weber, 1999, p.6) yaitu antara lain :
a)
Mendeteksi agar komputer tidak dikelola secara kurang terarah
b)
Mendeteksi resiko pengambilan keputusan yang salah akibat informasi hasil
proses sistem komputerisasi
salah atau tidak lengkap
c) Menjaga aset perusahaan karena nilai hardware, software, dan personil lazimnya yang tinggi
c) Menjaga aset perusahaan karena nilai hardware, software, dan personil lazimnya yang tinggi
d)
Mendeteksi resiko error komputer
e) Mendeteksi resiko penyalahgunaan komputer
e) Mendeteksi resiko penyalahgunaan komputer
f)
Menjaga kerahasiaan
g)
Meningkatkan pengendalian evolusi penggunaan komputer
Tahapan Pada Audit Teknologi Sistem Informasi
a) Subjek Audit
Tentukan identifkasi unit/lokasi yang di audit
Tentukan identifkasi unit/lokasi yang di audit
b) Sasaran audit
Tentukan sistem secara spesifik, fungsi, atau unit orgainisasi yang akan diperiksa
Tentukan sistem secara spesifik, fungsi, atau unit orgainisasi yang akan diperiksa
- Pengujian tingkat keamanan
- Pengelolaan sistem keamanan
- Disasater recovery
- Tingkat pendidikan personil atas pengamanan
c) Jangkauan audit
Identifikasi sistem secara spesifik, fungsi, atau unit organisasi untuk dimasukkan lingkup pemeriksaan
Identifikasi sistem secara spesifik, fungsi, atau unit organisasi untuk dimasukkan lingkup pemeriksaan
d) Rencana pre-audit
- Identifikasi kebutuhan keahlian teknik dan sumber daya yang diperlukan untuk audit
- Identifikasi sumber bukti untuk tes atau review seperti fungsi flowchart, kebijakan, standard prosedur, dan kertas kerja audit sebelumnya
e) Prosedur audit dan langkah-langkah
pengumpulan bukti audit
- Identifikasi dan pilih pendekatan audit untuk memeriksa dan menguji pengendalian internal
- Identifikasi daftar individu untuk interview
- Identifikasi dan menghasilkan kebijakan yang berhubungan dengan bagian, standar, dan pedoman untuk interview
- Mengembangkan instrumen audit dan metodologi pengujian dan pemeriksaan kontrol internal
f) Prosedur untuk evaluasi
- Organisasikan sesuai kondisi dan situasi
- Identifikasi prosedur evaluasi atas tes efektifitas dan efisiensi sistem, evaluasi kekuatan dari dokumen, kebijakan, dan prosedur yang di audit
g) Laporan hasil audit
Siapkan laporan yang objektif, konsteuktif (bersifat membangun), dan menampung penjelasan audit
Siapkan laporan yang objektif, konsteuktif (bersifat membangun), dan menampung penjelasan audit
Metodologi Audit Teknologi Sistem Informasi
Dalam pelaksanaanya, auditor TI
mengumpulkan bukti-bukti yang memadai melalui berbagai teknik termasuk survey,
wawancara, observasi, dan review dokumentasi. Satu hal yang unik, bukti-bukti
audit yang diambil oleh auditor biasanya mencakup pula bukti elektronis.
Biasanya auditor TI menerapkan teknik audit berbantu komputer. Teknik ini digunakan
untuk menganalisa data misalnya data transaksi penjualan, pembelian, transaksi
aktivitas persediaan,maupun aktivitas nasabah.
Pendekatan Umum Pada Audit Teknologi Sistem Informasi
Hampir
semua pendekatan untuk sebuah audit teknologi sistem informasi mengikuti
beberapa variasi dari sebuah struktur tiga tahap.
- Tahap pertama terdiri atas kajian ulang awal dan evaluasi wilayah yang akan di audit dan persiapan rencana audit yang bertujuan menetukan serangkaian tindakan yang akan dilakukan audit dan meliputi keputusan-keputusan yang berkaitann dengan wilayah wilayah tertentu yang akan diinvestigasi, penggunaan tenaga kerja audit, teknologi audit yang akan digunakan, dan pengembangan anggaran waktu dan atau biaya audit itu sendiri
- Tahap kedua adalah kaji ulang dan evaluasi terperinci. Dalam tahap audit ini, upaya diarahkan pada penemuan fakta dalam bidang atau wilayah yang dipilih untuk di audit
- Tahap ketiga dalam audit adalah pengujian. Tahap pengujian sebuah audit menghasilkan bukti kepatuhan terhadap prosedur yang telah ditetapkan. Uji kepatuhan dilakukan untuk menyediakan jaminan kepastian bahwa ada pengendalian internal dan dilakukan sesuai dengan yang telah dituliskan dalam dokumentasi sistem
SUMBER :
