Audit Sistem Informasi
Audit Sistem Informasi
Pengertian Audit Sistem Informasi
Menurut Ron Weber (1999,10). “Audit
sistem informasi adalah proses pengumpulan dan penilaian bukti – bukti untuk
menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas
data, dapat mendorong pencapaian tujuan organisasi secara efektif dan
menggunakan sumberdaya secara efisien”.
1. Tujuan Audit Sistem Informasi
Tujuan Audit Sistem Informasi dapat dikelompokkan ke
dalam dua aspek utama dari ketatakelolaan IT, yaitu :
A.
Conformance (Kesesuaian) –
Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan
atas aspek kesesuaian yaitu: Confidentiality (Kerahasiaan),
Integrity (Integritas), Availability (Ketersediaan)
dan Compliance (Kepatuhan).
B.
Performance (Kinerja) – Pada
kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh
kesimpulan atas aspek kinerja, yaitu : Effectiveness (Efektifitas),
Efficiency (Efisiensi), Reliability (Kehandalan).
Tujuan audit
sistem informasi menurut Ron Weber
tujuan audit yaitu :
1.
Mengamankan
aset, aset (activa) yang berhubungan dengan instalasi sistem
informasi mencakup: perangkat keras (hardware), perangkat
lunak (software), manusia (people), file data,
dokumentasi sistem, dan peralatan pendukung lainnya. Sama halnya dengan
aktiva – aktiva yang lain, maka aktiva ini juga perlu dilindungi dengan
memasang pengendalian internal. Perangkat keras dapat rusak karena unsur
kejahatan atau sebab-sebab lain. Perangkat lunak dan isi file data dapat
dicuri. Peralatan pendukung dapat digunakan untuk tujuan yang tidak diotorisasi.
2.
Menjaga
integritas data, integritas
data merupakan konsep dasar audit sistem informasi. Integritas data berarti
data memiliki atribut: kelengkapan, baik dan dipercaya, kemurnian, dan
ketelitian. Tanpa menjaga integritas data, organisasi tidak dapat
memperlihatkan potret dirinya dengan benar atau kejadian yang ada tidak
terungkap seperti apa adanya. Akibatnya, keputusan maupun langkah-langkah
penting di organisasi salah sasaran karena tidak didukung dengan data yang
benar. Meskipun demikian, perlu juga disadari bahwa menjaga integritas data
tidak terlepas dari pengorbanan biaya. Oleh karena itu, upaya untuk menjaga
integritas data, dengan konsekuensi akan ada biaya prosedur pengendalian yang
dikeluarkan harus sepadan dengan manfaat yang diharapkan.
3.
Menjaga
efektivitas sistem, sistem
informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai
tujuannya. Untuk menilai efektivitas sistem, perlu upaya untuk mengetahui
kebutuhan pengguna sistem tersebut (user). Selanjutnya,
untuk menilai apakah sistem menghasilkan laporan atau informasi yang bermanfaat
bagi user (misalnya pengambil keputusan), auditor perlu mengetahui
karakteristik user berikut proses pengambilan keputusannya. Biasanya audit
efektivitas sistem dilakukan setelah suatu sistem berjalan beberapa waktu.
Manajemen dapat meminta auditor untuk melakukan post audit guna menentukan
sejauh mana sistem telah mencapai tujuan yang telah ditetapkan. Evaluasi ini
akan memberikan masukan bagi pengambil keputusan apakah kinerja sistem layak
dipertahankan; harus ditingkatkan atau perlu dimodifikasi; atau sistem sudah
usang, sehingga harus ditinggalkan dan dicari penggantinya Audit efektivitas sistem dapat juga dilaksanakan pada
tahap perencanaan sistem (system design). Hal
ini dapat terjadi jika desainer sistem mengalami kesulitan untuk mengetahui
kebutuhan user, karena user sulit mengungkapkan atau mendeskripsikan
kebutuhannya. Jika sistem bersifat komplek dan besar biaya penerapannya,
manajemen dapat mengambil sikap agar sistem dievaluasi terlebih dahulu oleh
pihak yang independen untuk mengetahui apakah rancangan sistem sudah sesuai
dengan kebutuhan user. Melihat kondisi seperti ini, auditor perlu
mempertimbangkan untuk melakukan evaluasi sistem dengan berfokus pada kebutuhan
dan kepentingan manajemen.
4.
Mencapai
efisiensi sumberdaya, suatu
sistem sebagai fasilitas pemrosesan informasi dikatakan efisien jika ia
menggunakan sumberdaya seminimal mungkin untuk menghasilkan output yang
dibutuhkan. Pada kenyataannya, sistem informasi menggunakan berbagai
sumberdaya, seperti mesin, dan segala perlengkapannya, perangkat lunak, sarana
komunikasi dan tenaga kerja yang mengoperasikan sistem tersebut. Sumberdaya
seperti ini biasanya sangat terbatas adanya. Oleh karena itu, beberapa kandidat
sistem (system alternatif) harus berkompetisi untuk
memberdayakan sumberdaya yang ada tersebut.
Adapun
tujuan yang lain adalah :
1.
Untuk
memeriksa kecukupan dari pengendalian lingkungan, keamanan fisik, keamanan
logikal serta keamanan operasi sistem informasi yang dirancang untuk melindungi
piranti keras, piranti lunak dan data terhadap akses yang tidak sah,
kecelakaan, perubahan yang tidak dikehendaki.
2.
Untuk
memastikan bahwa sistem informasi yang dihasilkan benar-benar sesuai dengan
kebutuhan sehingga bisa membantu organisasi untuk mencapai tujuan strategis.
Pada
dasarnya, Audit Sistem Informasi dibedakan menjadi dua kategori, yaitu:
1.
Pengendalian
Aplikasi (Application Control)
Tujuan pengendalian aplikasi dimaksudkan
untuk memastikan bahwa data di-input secara benar ke dalam aplikasi, diproses
secara benar, dan terdapat pengendalian yang memadai atas output yang dihasilkan.
Dalam audit terhadap aplikasi, biasanya, pemeriksaan atas pengendalian umum
juga dilakukan mengingat pengendalian umum memiliki kontribusi terhadap
efektifitas atas pengendalian-pengendalian aplikasi.
2.
Pengendalian
Umum (General Control)
Tujuan pengendalian umum lebih menjamin
integritas data yang terdapat di dalam sistem komputer dan sekaligus meyakinkan
integritas program atau aplikasi yang digunakan untuk melakukan pemrosesan
data.
PENGENDALIAN
UMUM
Pengendalian umum pada perusahaan dilakukan
terhadap aspek fisikal maupun logikal. Aspek fisikal dilakukan terhadap
aset-aset fisik perusahaan, sedangkan aspek logikal terhadap sistem informasi
di level manajemen (misal: sistem operasi). Pengendalian umum sendiri
digolongkan menjadi beberapa, diantaranya:
a)
Pengendalian organisasi dan otorisasi.
Yang
dimaksud dengan pengendalian organisasi adalah secara umum terdapat pemisahan
tugas dan jabatan antara pengguna sistem (operasi) dan administrator sistem
(operasi). Dan juga dapat dilihat bahwa pengguna hanya dapat mengakses sistem
apabila memang telah diotorisasi oleh administrator.
b)
Pengendalian operasi.
Operasi
sistem informasi dalam perusahaan juga perlu pengendalian untuk memastikan
sistem informasi tersebut dapat beroperasi dengan baik selayaknya sesuai yang
diharapkan.
c)
Pengendalian perubahan.
Perubahan-perubahan
yang dilakukan terhadap sistem informasi harus dikendalikan, termasuk
pengendalian versi dari sistem informasi tersebut, catatan perubahan versi,
serta manajemen perubahan atas diimplementasikannya sebuah sistem informasi.
d)
Pengendalian akses fisikal dan logikal.
Pengendalian
akses fisikal berkaitan dengan akses secara fisik terhadap fasilitas-fasilitas
sistem informasi suatu perusahaan, sedangkan akses logikal berkaitan dengan
pengelolaan akses terhadap sistem operasi sistem tersebut (misal: windows).
PENGENDALIAN
APLIKASI
Pengendalian aplikasi adalah
prosedur-prosedur pengendalian yang didisain oleh manajemen organisasi untuk
meminimalkan resiko terhadap aplikasi yang diterapkan perusahaan agar proses
bisnisnya dapat berjalan dengan baik.
Macam
Aplikasi
Aplikasi berwujud perangkat lunak, yang dapat
dibagi menjadi dua tipe dalam perusahaan untuk kepentingan audit PDE:
1.
Perangkat lunak berdiri sendiri
Terdapat pada organisasi yang belum
menerapkan SIA dan sistem ERP, sehingga masih banyak aplikasi yang berdiri
sendiri pada masing-masing unitnya. Contoh: aplikasi (software) MYOB
pada fungsi akuntansi dan keuangan.
2.
Perangkat lunak di server
Tedapat pada organisasi yang telah menerapkan
SIA dan sistem ERP. Aplikasi terinstall pada server sehingga tipe struktur
sistemnya memakai sistem client-server . Client hanya
dipakai sebagai antar-muka (interface) untuk mengakses aplikasi
pada server.
Macam Pengendalian
Aplikasi
1.
Pengendalian Organisasi dan Akses Aplikasi
Pada pengendalian organisasi, hampir sama
dengan pengendalian umum organisasi, namun lebih terfokus pada aplikasi yang
diterapkan perusahaan. Siapa pemilik aplikasi, tugas administrator, pengguna,
hingga pengembangan aplikasi tersebut.
Untuk
pengendalian akses, terpusat hanya pada pengendalian logika saja untuk
menghindari akses tidak terotorisasi. Selain itu juga terdapat
pengendalian role based menu dibalik pengendalian akses
logika, dimana hanya pengguna tertentu saja yang mampu mengakses menu yang
telah ditunjuk oleh administrator. Hal ini berkaitan erat dengan kebijakan TI
dan prosedur perusahaan berkaitan dengan nama pengguna dan sandi nya.
2.
Pengendalian Input
Pengendalian input memastikan data-data yang
dimasukkan ke dalam sistem telah tervalidasi, akurat, dan terverifikasi.
3.
Pengendalian Proses
Pengendalian proses biasanya terbagi menjadi
dua tahapan, yaitu (1) tahapan transaksi, dimana proses terjadi pada berkas-berkas
transaksi baik yang sementara maupun yang permanen dan (2) tahapan database,
proses yang dilakukan pada berkas-berkas master.
4.
Pengendalian Output
Pada pengendalian ini dilakukan beberapa
pengecekan baik secara otomatis maupun manual (kasat mata) jika output yang
dihasilkan juga kasat mata.
5.
Pengendalian Berkas Master
Pada pengendalian ini harus terjadi
integritas referensial pada data, sehingga tidak akan diketemukan
anomali-anomali, seperti:
a)
Anomaly
penambahan
b)
Anomaly
penghapusan
c)
Anomaly
pemuktahiran/pembaruan
Hubungan
Pengendalian Umum dan Aplikasi
Hubungan antara pengendalian umum dan
aplikasi bersifat pervasif. Artinya apabila pengendalian umum terbukti jelek,
maka pengendalian aplikasinya diasumsikan jelek juga, sedangkan bila
pengendalian umum terbukti baik, maka diasumsikan pengendalian aplikasinya juga
baik.
Referensi :
Komentar
Posting Komentar