UNIVERSITAS GUNADARMA
FAKULTAS ILMU KOMPUTER &
TEKNOLOGI INFORMASI
AUDIT TEKNOLOGI SISTEM INFORMASI
Disusun Oleh:
Adam Riyadi Nugraha (10114172)
Kelas 4KA09
KATA PENGANTAR
Dengan menyebut nama
Allah SWT. yang Maha Pengasih lagi Maha Penyayang, kami panjatkan puja dan puji
syukur atas kehadirat-Nya, yang telah melimpahkan rahmat, hidayah dan
inayah-Nya kepada kami, sehingga kami dapat menyelesaikan laporan Audit Teknologi
Sistem Informasi.
Adapun laporan Audit
Teknologi Sistem ini telah kami usahakan semaksimal mungkin dan tentunya dengan
bantuan berbagai pihak, sehingga dapat memperlancar pembuatan laporan ini.
Untuk itu kami tidak lupa menyampaikan banyak terima kasih kepada semua pihak
yang telah membantu kami dalam pembuatan laporan ini.
Namun tidak lepas dari
semua itu, kami menyadari sepenuhnya bahwa ada kekurangan baik dari segi
penyusunan bahasanya maupun segi lainnya. Oleh karena itu dengan lapang dada
dan tangan terbuka kami membuka selebar-lebarnya bagi pembaca yang ingin
memberikan kritik dan saran kepada kami sehingga kami dapat memperbaiki laporan
Audit Teknologi Audit Sistem Informasi lebih baik lagi.
Penyusun mengharapkan
semoga laporan tentang
Audit Teknologi Audit Sistem Informasi ini berguna sehingga
dapat memberikan inspirasi terhadap pembaca.
Penyusun,
Oktober
2017
BAB I PENDAHULUAN
1.
Latar Belakang
Penelitian
Audit Teknologi
Informasi merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem
informasi dalam suatu perusahaan maupun organisasi. Pemanfaatan Teknologi
Informasi sebagai pendukung pencapaian tujuan dan sasaran organisasi harus di
imbangi dengan ke efektifan dan efisiensi pengelolaannya. Maka dari itu, Audit
Teknologi Sistem Informasi sangatlah diperlukan untuk menjaga keamanan sistem
informasi sebagai aset organisasi, untuk mempertahankan integritas informasi
yang di simpan dan di olah dan tentu saja meningkatkan ke efektifan penggunaan
teknologi informasi serta mendukung efisiensi dalam organisasi.
2.
Tujuan
Penelitian
Adapun
tujuan dilakukan penelitian ini adalah :
1. Mampu memahami dari pengertian Audit,
Proses Audit, Teknik Audit, Standard dan Kerangka Kerja Audit serta Manajemen
Resiko.
2. Mampu menjelaskan konsep Audit
Teknologi Sistem Informasi.
3. Mampu menjelaskan metode dan alat Audit
Teknologi Sistem Informasi.
4. Mampu menjelaskan Regulasi Audit
Teknologi Sistem Informasi.
BAB II PEMBAHASAN
1.
Audit
1.1.
Pengertian
Audit
Audit atau pemeriksaan
dalam arti luas bermakna evaluasi terhadap suatu organisasi, sistem, proses
atau produk. Audit dilaksanakan oleh pihak yang kompeten, objektif, dan tidak
memihak yang disebut sebagai auditor. Tujuannya adalah untuk melakukan
verifikasi bahwa subjek dari audit telah diselesaikan atau berjalan sesuai
dengan standar, regulasi dan praktik yang telah disetujui dan diterima.
1.2.
Proses Audit
Untuk mengetahui lebih
lanjut seperti apa proses audit untuk audit informal, tentunya ini harus dibuat
secara sederhana dan langsung. Berikut langkah-langkah dasar proses audit untuk
audit informal :
1) Bagian audit harus menyetujui waktu dan
ruang lingkup informal dengan me-review orang-orang yang akan diaudit.
2) Auditor yang akan melakukan review
harus membuat daftar periksa dasar dari area yang akan diperiksa.
3) Auditor menjalankan langkah-langkah
tersebut, lalu menyimpan catatan sesuai kebutuhan namun tidak membuat lembar
kerja untuk di review.
4) Pada akhir proyek, auditor mengumpulkan
semua masalah dari review.
5) Auditor mengadakan rapat debriefing
dengan orang-orang yang akan di audit untuk mendiskusikan isu dan konsultasikan
tentang seberapa serius isu dan potensinya yang berarti untuk mengatasinya.
6) Auditor mendokumentasikan daftar akhir
masalah, beserta pemikiran yang relevan
untuk menyelesaikannya, dalam sebuah memo. Memo ini tidak perlu disertakan
tanggal dan bisa termasuk peringatan yang disebutkan sebelumnya (misalnya, ini bukan
audit formal, kami tidak akan melacak masalah, dan sebagainya). Memo itu juga
harus menunjukkan kesediaan auditor untuk terus berkonsultasi dengan tim karena menangani item ini.
untuk menyelesaikannya, dalam sebuah memo. Memo ini tidak perlu disertakan
tanggal dan bisa termasuk peringatan yang disebutkan sebelumnya (misalnya, ini bukan
audit formal, kami tidak akan melacak masalah, dan sebagainya). Memo itu juga
harus menunjukkan kesediaan auditor untuk terus berkonsultasi dengan tim karena menangani item ini.
7) Auditor mengeluarkan memo dan arsipnya
secara elektronik untuk referensi di kemudian hari.
Berikut
merupakan phase dalam audit :
1. Perencanaan
2. Kerja lapangan dan dokumentasi
3. Terbitkan penemuan dan validasi
4. Solusi pengembangan
5. Melaporkan penyusunan dan penerbitan
6. Pelacakan masalah
2. Kerja lapangan dan dokumentasi
3. Terbitkan penemuan dan validasi
4. Solusi pengembangan
5. Melaporkan penyusunan dan penerbitan
6. Pelacakan masalah
1.3. Teknik Audit
Sebelum
menjalankan proses audit, tentu saja proses audit harus direncanakan terlebih
dahulu. Audit planning (perencanaan audit) harus secara jelas
menerangkan tujuan audit, kewenangan auditor, adanya persetujuan managemen
tinggi, dan metode audit. Metodologi audit:
- Audit subject. Menentukan apa
yang akan diaudit.
- Audit objective. Menentukan
tujuan dari audit.
- Audit Scope. Menentukan
sistem, fungsi, dan bagian dari organisasi yang secara spesifik/khusus
akan diaudit.
- Preaudit
Planning.
Mengidentifikasi sumber daya dan SDM yang dibutuhkan, menentukan
dokumen-dokumen apa yang diperlukan untuk menunjang audit, menentukan
lokasi audit.
- Audit procedures
and steps for data gathering. Menentukan cara melakukan audit
untuk memeriksa dan menguji kendali, menentukan siapa yang akan
diwawancara.
- Evaluasi hasil
pengujian dan pemeriksaan. Spesifik pada tiap organisasi.
- Prosedur
komunikasi dengan pihak manajemen. Spesifik pada tiap organisasi.
- Audit Report
Preparation.
Menentukan bagaimana cara memeriksa hasil audit, yaitu evaluasi kesahihan
dari dokumen-dokumen, prosedur, dan kebijakan dari organisasi yang
diaudit.
1.4. Standard dan
Kerangka Kerja Audit
Standar Auditing
adalah sepuluh standar yang ditetapkan dan disahkan oleh Institut Akuntan
Publik Indonesia (IAPI), yang terdiri dari standar umum, standar pekerjaan
lapangan, dan standar pelaporan beserta interpretasinya. Standar auditing
merupakan pedoman audit atas laporan keuangan historis. Standar auditing
terdiri atas sepuluh standar dan dirinci dalam bentuk Standar Perikatan Audit
(SPA). Dengan demikian SPA merupakan penjabaran lebih lanjut masing-masing
standar yang tercantum di dalam standar auditing.
·
Standar
Perikatan Audit (SPA)
SPA merupakan
penjabaran lebih lanjut dari masing-masing standar yang tercantum di dalam
standar auditing. SPA berisi ketentuan-ketentuan dan pedoman utama yang harus
diikuti oleh Akuntan Publik dalam melaksanakan penugasan audit. Kepatuhan
terhadap SPA yang diterbitkan oleh IAPI ini bersifat wajib bagi seluruh anggota
IAPI. Termasuk di dalam SPA adalah Interpretasi Standar Perikatan Audit (ISPA),
yang merupakan interpretasi resmi yang dikeluarkan oleh IAPI terhadap
ketentuan-ketentuan yang diterbitkan oleh IAPI dalam SPA. Dengan demikian, ISPA
memberikan jawaban atas pernyataan atau keraguan dalam penafsiran ketentuan-ketentuan
yang dimuat dalam SPA sehingga merupakan perlausan lebih lanjut berbagai
ketentuan dalam SPA.
·
Standar umum
Audit harus
dilaksanakan oleh seorang atau lebih yang memiliki keahlian dan pelatihan
teknis yang cukup sebagai auditor. Dalam semua hal yang berhubungan dengan
perikatan, independensi dalam sikap mental harus dipertahankan oleh auditor.
Dalam pelaksanaan audit dan penyusunan laporannya, auditor wajib menggunakan
kemahiran profesionalnya dengan cermat dan saksama.
·
Standar
pekerjaan lapangan
Pekerjaan harus
direncanakan sebaik-baiknya dan jika digunakan asisten harus disupervisi dengan
semestinya. Pemahaman memadai atas pengendalian intern harus diperoleh unutk
merencanakan audit dan menentukan sifat, saat, dan lingkup pengujian yang akan
dilakukan. Bukti audit kompeten yang cukup harus diperoleh melalui inspeksi,
pengamatan, permintaan keterangan, dan konfirmasi sebagai dasar memadai untuk
menyatakan pendapat atas laporan keuangan yang diaudit.
·
Standar
pelaporan
Laporan auditor harus
menyatakan apakah laporan keuangan telah disusun sesuai dengan prinsip
akuntansi yang berlaku umum di Indonesia. Laporan auditor harus menunjukkan
atau menyatakan, jika ada, ketidakkonsistenan penerapan prinsip akuntansi dalam
penyusunan laporan keuangan periode berjalan dibandingkan dengan penerapan
prinsip akuntansi tersebut dalam periode sebelumnya. Pengungkapan informatif
dalam laporan keuangan harus dipandang memadai, kecuali dinyatakan lain dalam
laporan auditor. Laporan auditor harus memuat suatu pernyataan pendapat
mengenai laporan keuangan secara keseluruhan atau suatu asersi bahwa pernyataan
demikian tidak dapat diberikan. Jika pendapat secara keseluruhan tidak dapat
diberikan, maka alasannya harus dinyatakan. Dalam hal nama auditor dikaitkan
dengan laporan keuangan, maka laporan auditor harus memuat petunjuk yang jelas
mengenai sifat pekerjaan audit yang dilaksanakan, jika ada, dan tingkat
tanggung jawab yang dipikul oleh auditor.
1.5. Manajemen Resiko
Manajemen risiko
adalah suatu pendekatan terstruktur/metodologi dalam mengelola ketidakpastian
yang berkaitan dengan ancaman; suatu rangkaian aktivitas manusia termasuk:
Penilaian risiko, pengembangan strategi untuk mengelolanya dan mitigasi risiko
dengan menggunakan pemberdayaan/pengelolaan sumberdaya. Strategi yang dapat
diambil antara lain adalah memindahkan risiko kepada pihak lain, menghindari
risiko, mengurangi efek negatif risiko, dan menampung sebagian atau semua
konsekuensi risiko tertentu. Manajemen risiko tradisional terfokus pada
risiko-risiko yang timbul oleh penyebab fisik atau legal (seperti bencana alam
atau kebakaran, kematian, serta tuntutan hukum. Manajemen risiko keuangan, di
sisi lain, terfokus pada risiko yang dapat dikelola dengan menggunakan
instrumen-instrumen keuangan.
Sasaran dari
pelaksanaan manajemen risiko adalah untuk mengurangi risiko yang berbeda-beda
yang berkaitan dengan bidang yang telah dipilih pada tingkat yang dapat
diterima oleh masyarakat. Hal ini dapat berupa berbagai jenis ancaman yang
disebabkan oleh lingkungan, teknologi, manusia, organisasi dan politik. Di sisi
lain pelaksanaan manajemen risiko melibatkan segala cara yang tersedia bagi
manusia, khususnya, bagi entitas manajemen risiko (manusia, staff, dan
organisasi).
2.
Konsep Audit Teknologi Sistem
Informasi
Pencapaian
konsep audit itu adalah
·
Bagian audit
internal.
·
Untuk
mempromosikan kontrol internal.
· Untuk membantu perusahaan mengembangkan
solusi hemat biaya untuk menangani masalah.
Singkatnya,
misi departemen audit internal ada dua:
·
Memberikan
jaminan independen kepada komite audit (dan senior manajemen) bahwa
pengendalian internal berada di tempat di perusahaan dan berfungsi secara
efektif.
·
Untuk
memperbaiki keadaan pengendalian internal di perusahaan dengan mempromosikan pengendalian internal
dan dengan membantu perusahaan mengidentifikasi kelemahan pengendalian dan mengembangkan
solusi hemat biaya untuk mengatasi kelemahan tersebut.
3.
Metode dan Alat
Audit Teknologi Sistem Informasi
Metode audit
1: Audit Planning
a. Tanggung Jawab:
Piagam Audit harus mendefinisikan misi, tujuan, sasaran dan sasaran Audit
Sistem Informasi. Pada tahap ini kami juga mendefinisikan Key Performance Indicators
dan proses Evaluasi Audit.
b. Kewenangan:
Piagam Audit harus secara jelas menyebutkan Otoritas yang ditugaskan ke Auditor
Sistem Informasi sehubungan dengan pekerjaan Penilaian Resiko yang akan
dilakukan, hak untuk mengakses informasi Klien, ruang lingkup atau batasan
lingkup, fungsi Klien kepada diaudit dan ekspektasi audit.
c. Akuntabilitas:
Piagam Audit harus secara jelas mendefinisikan garis pelaporan, penilaian,
penilaian kepatuhan dan tindakan yang disepakati.
d. Sejumlah alat,
seperti berikut ini, khusus untuk membantu auditor berjalan audit pada database.
2: Risk Assessment and
Business Process Analysis
Proses kuantifikasi risiko disebut Risk Assessment.
Penilaian Resiko berguna dalam pengambilan keputusan seperti :
a.
Fungsi area / bisnis yang
diaudit
b.
Sifat, luas dan waktu
prosedur audit
c.
Jumlah sumber daya yang
akan dialokasikan untuk audit
3: Performance of Audit Work
Dalam pelaksanaan Audit Standar Sistem Informasi mengharuskan
kami untuk memberikan pengawasan, mengumpulkan bukti audit dan
mendokumentasikan pekerjaan audit kami. Kami mencapai tujuan ini melalui :a.
Membentuk Proses Pengkajian Internal
di mana karya satu orang ditinjau oleh orang lain, sebaiknya orang yang lebih
senior.
Alat Audit
Tujuan
dari panduan ini adalah untuk membantu perusahaan dalam mempersiapkan laporan
audit yang dapat dipahami dan didukung dengan baik yang sesuai dengan
persyaratan Standar Audit dan Jaminan Sistem Informasi (IS) dan Pedoman Audit
dan Assurance IS yang diterbitkan oleh ISACA. Panduan ini juga dirancang untuk
membantu memastikan bahwa ringkasan hasil audit dan hasil audit dipresentasikan
dengan jelas dan bahwa laporan audit IS menyajikan hasil kerja yang dilakukan
secara jelas, ringkas dan lengkap.
Panduan
ini berlaku untuk audit Sistem Informasi (IS) yang dilakukan oleh auditor
internal, eksternal atau pemerintah, walaupun penekanan yang diberikan pada isi
laporan dapat bervariasi, tergantung pada jenis keterlibatan audit dan oleh
siapa tindakan tersebut dilakukan. Bimbingan juga diberikan pada organisasi
laporan, penulisan, review dan editing, dan presentasi.
4.
Regulasi Audit Teknologi
Sistem Informasi
Sifat global
bisnis dan teknologi mendorong kebutuhan akan standar dan regulasi
yang mengatur bagaimana perusahaan dapat bekerja sama dan bagaimana suatu informasi dapat dibagi. Dampak regulasi terhadap audit TI berkembang seiring beradaptasinya bisnis dengan kompleksitasnya yang mematuhi beberapa otoritas. International Association of Internal Auditors (IIA) dan International Information.
yang mengatur bagaimana perusahaan dapat bekerja sama dan bagaimana suatu informasi dapat dibagi. Dampak regulasi terhadap audit TI berkembang seiring beradaptasinya bisnis dengan kompleksitasnya yang mematuhi beberapa otoritas. International Association of Internal Auditors (IIA) dan International Information.
Systems Audit
and Control Association (ISACA) menerbitkan panduan untuk membantu anggota kelompok
audit internal dan eksternal ini dalam membangun kontrol bersama dan proses
audit. Teknologi dapat mempengaruhi setiap bagian bisnis. Baik itu tujuan,
pengendalian dan efisien yang terbaik serta teknologi yang menawarkan
keunggulan kompetitif.
Sarbanes-Oxley (SOX)
Act of 2002 (secara formal dikenal sebagai Perusahaan Publik Akuntansi Reform
and Investor Protection Act) merupakan tanggapan dari pemerintah A.S. Tujuannya
adalah untuk meningkatkan tanggung jawab perusahaan, meningkatkan pengungkapan
keuangan, serta menghalangi penipuan perusahaan dan akuntansi. Dengan demikian,
kontrol yang diperlukan untuk kepatuhan terhadap Fokus SOX terletak pada
kontrol kunci penting untuk memastikan kerahasiaan, integritas, dan
ketersediaan dari data keuangan. Secara umum, kontrol TI berikut harus
didokumentasikan dan dievaluasi se-efektif mungkin untuk memenuhi persyaratan
SOX :
1) Access control
Administrasi keamanan
harus memiliki proses yang terdokumentasi dan akurat untuk memantau dan
memberlakukan kebijakan keamanan yang dictated oleh manajemen.
2) Change control
Untuk memastikan
akurasi, kelengkapan, dan integritas pelaporan keuangan, perusahaan harus
memiliki proses pengendalian perubahan yang terdokumentasi dan efektif yang
mencakup perubahan pada aplikasi keuangan, semua aplikasi antarmuka, sistem
operasi yang mengendalikan server desktop dan host, maupun sistem manajemen
database, dan jaringan.
Proses
perubahan yang diberikan sebagai berikut:
• Poin untuk tinjauan manajemen
• Otorisasi
• Migrasi perubahan komponen
• Perubahan jadwal
• Pelaporan manajemen
• Perubahan komunikasi pada komunitas pengguna
• Poin untuk tinjauan manajemen
• Otorisasi
• Migrasi perubahan komponen
• Perubahan jadwal
• Pelaporan manajemen
• Perubahan komunikasi pada komunitas pengguna
3) Data management
Manajemen data
mencakup pengelolaan data logis dan fisik serta identifikasi dan perlindungan
data penting, terutama data yang berkaitan dengan pemrosesan dan pelaporan
keuangan.
4) IT operations
Kontrol operasi TI
melampaui pengelolaan perangkat keras dan pusat data yang jelas. Sehubungan
dengan memperoleh lingkungan TI, ada kontrol atas definisi, akuisisi,
instalasi, konfigurasi, integrasi, dan pemeliharaan infrastruktur TI.
5) Network operations
Audit operasi jaringan
dan manajemen masalah mencakup tinjauan masuk menunjuk ke wide area network
(WAN) atau local area network (LAN). Konfigurasi firewall eksternal yang tepat,
router, dan modem sangat penting untuk menghindari akses yang tidak sah dan
modifikasi potensial dari aplikasi dan data keuangan perusahaan.
6) Asset management
Audit
pengelolaan aset sebagian besar berkaitan dengan otorisasi, pengeluaran
keuangan, serta depresiasi dan pelaporan yang tepat.
BAB III KESIMPULAN
3.1
Kesimpulan
Audit Sistem Informasi merupakan
suatu kegiatan pemeriksaan yang dilakukan oleh seorang audit internal
perusahaan dalam pengumpulan bukti-bukti dan pengevaluasian pengendalian
perusahaan untuk mencapai tujuan perusahaan dan sesuai dengan kriteria yang
ditentukan.
Audit sistem informasi
dibutuhkan dalam suatu organisasi perusahaan untuk mengetahui apakah suatu
pengendalian dalam sistem informasi di sebuah organisasi tersebut tujuannya
sudah tercapai atau belum. Audit internal dalam melakukan audit sistem informasi
diperlukan prosedur pengendalian dan lalu di ujikan,untuk pencapaian tujuan
pengendalian tersebut.
3.2 Saran
Audit sistem informasi sangat
penting bagi perusahaan karena dengan adanya audit sistem informasi disebuah
perusahaan, maka perusahaan tersebut akan mengetahui tercapainya tujuan
prosedur pengendalian internal perusahaan atau tidak. Oleh karena itu, sangat
dianjurkan pada perusahaan untuk melakukan audit sistem informasi
diperusahaannya.
DAFTAR PUSTAKA
Devi Fitrianah & Yudho Giri
Sucahyo. 2008. “Audit Sistem Informasi/Teknologi Informasi dengan Kerangka
Kerja Cobit untuk Evaluasi Manajemen Teknologi Informasi di Universitas XYZ”
dalam Jurnal Sistem Informasi Vol 4, No 1. Depok : Universitas
Indonesia.
Anonym. “Audit”,
https://id.wikipedia.org/wiki/Audit.
Anonym. “Standard Auditing”, https://id.wikipedia.org/wiki/Standar_Auditing.
Anonym. “Manajemen Risiko”, https://id.wikipedia.org/wiki/Manajemen_risiko.
Davis, Chris. 2011. IT Auditing :
Using Controls to Protect Information Assets. United States : The
McGraw-Hill Companies.
Tidak ada komentar:
Posting Komentar