Archive for November 2017
Audit Sistem Informasi
By : Febbriyana awalludin bagenPengertian Audit Sistem Informasi
“Audit
sistem informasi adalah proses pengumpulan dan penilaian bukti – bukti untuk
menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas
data, dapat mendorong pencapaian tujuan organisasi secara efektif dan
menggunakan sumberdaya secara efisien”. Ron Weber (1999,10) mengemukakan bahwa
audit sistem informasi adalah :
” Information systems auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently”.
” Information systems auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently”.
Tujuan audit sistem informasi menurut Ron Weber tujuan audit
yaitu :
1. Mengamankan asset
2. Menjaga integritas data
3. Menjaga efektivitas sistem
4. Mencapai efisiensi sumberdaya.
Keempat tujuan tersebut dapat dijelaskan sebagai berikut :
1.
Mengamankan aset, aset (activa) yang berhubungan dengan instalasi sistem
informasi mencakup: perangkat keras (hardware), perangkat
lunak (software), manusia (people), file data,
dokumentasi sistem, dan peralatan pendukung lainnya.
Sama halnya dengan aktiva – aktiva yang lain, maka aktiva ini
juga perlu dilindungi dengan memasang pengendalian internal. Perangkat keras
dapat rusak karena unsur kejahatan atau sebab-sebab lain. Perangkat lunak dan
isi file data dapat dicuri. Peralatan pendukung dapat digunakan untuk tujuan
yang tidak diotorisasi.
2. Menjaga integritas data, integritas data
merupakan konsep dasar audit sistem informasi. Integritas data berarti data
memiliki atribut: kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian.
Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan potret
dirinya dengan benar atau kejadian yang ada tidak terungkap seperti apa adanya.
Akibatnya, keputusan maupun langkah-langkah penting di organisasi salah sasaran
karena tidak didukung dengan data yang benar. Meskipun demikian, perlu juga
disadari bahwa menjaga integritas data tidak terlepas dari pengorbanan biaya.
Oleh karena itu, upaya untuk menjaga integritas data, dengan konsekuensi akan
ada biaya prosedur pengendalian yang dikeluarkan harus sepadan dengan manfaat
yang diharapkan.
3. Menjaga efektivitas sistem, sistem informasi
dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya. Untuk
menilai efektivitas sistem, perlu upaya untuk mengetahui kebutuhan pengguna
sistem tersebut (user). Selanjutnya, untuk menilai
apakah sistem menghasilkan laporan atau informasi yang bermanfaat bagi user
(misalnya pengambil keputusan), auditor perlu mengetahui karakteristik user
berikut proses pengambilan keputusannya. Biasanya audit efektivitas sistem
dilakukan setelah suatu sistem berjalan beberapa waktu. Manajemen dapat meminta
auditor untuk melakukan post audit guna menentukan sejauh mana sistem telah
mencapai tujuan yang telah ditetapkan. Evaluasi ini akan memberikan masukan
bagi pengambil keputusan apakah kinerja sistem layak dipertahankan; harus
ditingkatkan atau perlu dimodifikasi; atau sistem sudah usang, sehingga harus
ditinggalkan dan dicari penggantinya Audit
efektivitas sistem dapat juga dilaksanakan pada tahap perencanaan
sistem (system design). Hal ini dapat terjadi jika desainer
sistem mengalami kesulitan untuk mengetahui kebutuhan user, karena user sulit
mengungkapkan atau mendeskripsikan kebutuhannya. Jika sistem bersifat komplek
dan besar biaya penerapannya, manajemen dapat mengambil sikap agar sistem
dievaluasi terlebih dahulu oleh pihak yang independen untuk mengetahui apakah
rancangan sistem sudah sesuai dengan kebutuhan user. Melihat kondisi seperti
ini, auditor perlu mempertimbangkan untuk melakukan evaluasi sistem dengan
berfokus pada kebutuhan dan kepentingan manajemen.
4.
Mencapai efisiensi sumberdaya, suatu sistem sebagai
fasilitas pemrosesan informasi dikatakan efisien jika ia menggunakan sumberdaya
seminimal mungkin untuk menghasilkan output yang dibutuhkan. Pada kenyataannya,
sistem informasi menggunakan berbagai sumberdaya, seperti mesin, dan segala
perlengkapannya, perangkat lunak, sarana komunikasi dan tenaga kerja yang
mengoperasikan sistem tersebut. Sumberdaya seperti ini biasanya sangat terbatas
adanya. Oleh karena itu, beberapa kandidat sistem (system alternatif)
harus berkompetisi untuk memberdayakan sumberdaya yang ada tersebut.
Audit
Sistem Informasi merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan
apakah sistem komputer yang digunakan telah dapat melindungi aset milik
organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan
organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara
efisien (Weber, 2000).
Pada dasarnya, Audit Sistem Informasi dibedakan menjadi dua kategori, yaitu
1.
Pengendalian
Aplikasi (Application Control)
Tujuan
pengendalian aplikasi dimaksudkan untuk memastikan bahwa data di-input secara
benar ke dalam aplikasi, diproses secara benar, dan terdapat pengendalian yang
memadai atas output yang dihasilkan. Dalam audit terhadap aplikasi, biasanya,
pemeriksaan atas pengendalian umum juga dilakukan mengingat pengendalian umum
memiliki kontribusi terhadap efektifitas atas pengendalian-pengendalian
aplikasi.
2.
Pengendalian
Umum (General Control)
Tujuan
pengendalian umum lebih menjamin integritas data yang terdapat di dalam sistem
komputer dan sekaligus meyakinkan integritas program atau aplikasi yang
digunakan untuk melakukan pemrosesan data.
PENGENDALIAN UMUM
Pengendalian umum pada perusahaan dilakukan terhadap aspek fisikal maupun
logikal. Aspek fisikal dilakukan terhadap aset-aset fisik perusahaan, sedangkan
aspek logikal terhadap sistem informasi di level manajemen (misal: sistem
operasi). Pengendalian umum sendiri digolongkan menjadi beberapa, diantaranya:
a
Pengendalian
organisasi dan otorisasi.
Yang dimaksud dengan pengendalian organisasi adalah secara umum terdapat
pemisahan tugas dan jabatan antara pengguna sistem (operasi) dan administrator
sistem (operasi). Dan juga dapat dilihat bahwa pengguna hanya dapat mengakses
sistem apabila memang telah diotorisasi oleh administrator.
b
Pengendalian
operasi.
Operasi sistem informasi dalam perusahaan juga perlu
pengendalian untuk memastikan sistem informasi tersebut dapat beroperasi dengan
baik selayaknya sesuai yang diharapkan.
c
Pengendalian
perubahan.
Perubahan-perubahan yang dilakukan terhadap sistem informasi harus
dikendalikan, termasuk
pengendalian versi dari sistem informasi tersebut, catatan perubahan versi, serta manajemen
perubahan atas diimplementasikannya sebuah sistem informasi.
Pengendalian
akses fisikal dan logikal.
Pengendalian akses fisikal berkaitan dengan akses
secara fisik terhadap fasilitas-fasilitas sistem informasi suatu perusahaan,
sedangkan akses logikal berkaitan dengan pengelolaan akses terhadap sistem
operasi sistem tersebut (misal: windows).
PENGENDALIAN APLIKASI
Pengendalian aplikasi adalah prosedur-prosedur pengendalian yang didisain
oleh manajemen organisasi untuk meminimalkan resiko terhadap aplikasi yang diterapkan
perusahaan agar proses bisnisnya dapat berjalan dengan baik.
Macam Aplikasi
Aplikasi berwujud perangkat lunak, yang dapat dibagi menjadi dua tipe dalam
perusahaan untuk kepentingan audit PDE:
·
Perangkat lunak berdiri sendiri
Terdapat
pada organisasi yang belum menerapkan SIA dan sistem ERP, sehingga masih banyak
aplikasi yang berdiri sendiri pada masing-masing unitnya. Contoh: aplikasi (software) MYOB pada fungsi
akuntansi dan keuangan.
·
Perangkat lunak di server
Tedapat
pada organisasi yang telah menerapkan SIA dan sistem ERP. Aplikasi terinstall
pada server sehingga tipe struktur sistemnya memakai sistem client-server .
Client hanya dipakai sebagai antar-muka (interface) untuk
mengakses aplikasi pada server.
Macam Pengendalian Aplikasi
a.
Pengendalian
Organisasi dan Akses Aplikasi
Pada pengendalian organisasi, hampir
sama dengan pengendalian umum organisasi, namun lebih terfokus pada aplikasi
yang diterapkan perusahaan. Siapa pemilik aplikasi, tugas administrator,
pengguna, hingga pengembangan aplikasi tersebut.
Untuk pengendalian akses, terpusat hanya
pada pengendalian logika saja untuk menghindari akses tidak terotorisasi.
Selain itu juga terdapat pengendalian role based menu dibalik
pengendalian akses logika, dimana hanya pengguna tertentu saja yang mampu
mengakses menu yang telah ditunjuk oleh administrator. Hal ini berkaitan erat
dengan kebijakan TI dan prosedur perusahaan berkaitan dengan nama pengguna dan
sandi nya.
b.
Pengendalian Input
Pengendalian input memastikan data-data
yang dimasukkan ke dalam sistem telah tervalidasi, akurat, dan terverifikasi.
c.
Pengendalian
Proses
Pengendalian
proses biasanya terbagi menjadi dua tahapan, yaitu (1) tahapan transaksi,
dimana proses terjadi pada berkas-berkas transaksi baik yang sementara maupun
yang permanen dan (2) tahapan database, proses yang dilakukan pada
berkas-berkas master.
d.
Pengendalian Output
Pada pengendalian ini dilakukan beberapa
pengecekan baik secara otomatis maupun manual (kasat mata) jika output yang
dihasilkan juga kasat mata.
e.
Pengendalian Berkas Master
Pada pengendalian ini harus terjadi
integritas referensial pada data, sehingga tidak akan diketemukan
anomali-anomali, seperti:
ü Anomaly
penambahan
ü Anomaly
penghapusan
ü Anomaly
pemuktahiran/pembaruan
Hubungan Pengendalian Umum dan Aplikasi
Hubungan antara pengendalian umum dan aplikasi bersifat pervasif. Artinya
apabila pengendalian umum terbukti jelek, maka pengendalian aplikasinya
diasumsikan jelek juga, sedangkan bila pengendalian umum terbukti baik, maka
diasumsikan pengendalian aplikasinya juga baik.
Fungsi
Internal Auditor
• seorang Auditor TI Sebaiknya mampu melakukan
pekerjaan‐pekerjaan sebagai berikut:
– Mengevaluasi Pengendalian atas aplikasi‐aplikasi
tertentu, yang mencakup analisis terhadap risiko dan pengendalian atas aplikasi‐aplikasi
seperti e--‐business, system perencanaan sumber daya perusahaan.
– Memberikan Asersi (assurance) Atas proses‐proses tertentu, seperti audit
dengan prosedur‐prosedur tertentu yang disepakati bersama dengan auditee
mengenai lingkup asersi.
– Memberikan Asersi atas aktifitas pengolahan
data pihak keAga dengan tujuan untuk memberikan bagi pihak lain yang memerlukan
informasi mengenai aktifitas pengendalian data yang dilakukan oleh pihak keAga tersebut.
– Pengujian penetrasi, yaitu upaya untuk mengakses
sumber daya informasi guna menemukan kelemahan-kelemahan yang ada dalam pengolahan
data tersebut.
– Memberikan Dukungan atas pekerjaan audit keuangan
yang mencakup evaluasi atas risiko dan pengendalian TI Yang dapat mempengaruhi kehandalan
system pelaporan keuangan.
– Mencari Kecurangan yang
berbasis TI, Yaitu menginvesAgasi catatan-catatan computer dalam invesAgasi
kecurangan.
Tag :
Audit Sistem Informasi,
