Rangkuman Audit Teknologi Informasi

 

TUGAS

Rangkuman

Disusun untuk memenuhi Tugas

Audit Teknologi Sistem Informasi








 

                                    Aditya Calvin Bima

                       10120042

                         4KA21

 

 

 

UNIVERSITAS GUNADARMA

2024

 

 

 

 

 

 

 

·       Definisi Kontrol dan audit sistem informasi

Audit sistem informasi atau Information System Audit disebut juga EDP Audit (Electronc Data Processing Audit) atau computer audit merupakan suatu proses dikumpulkannya data dan dievakuasinya bukti untuk menetapkan apakah suatu sistem aplikasi komputerisasi sudah diterapkan dan menerapkan sistem pengendalian internal yang sudah sepadan, seluruh aktiva dilindungi dengan baik atau disalahgunakan dan juga terjamin integritas data, keandalan dan juga efektifitas dan efisiensi penyelenggaraan informasi berbasis komputer.

Audit sistem informasi merupakan gabungan dari berbagai macam ilmu, antara lain traditional audit, manajemen sistem informasi, sistem informasi akuntansi, ilmu komputer, dan behavioral science. Menurut Ron Weber (2010) audit sistem informasi adalah proses pengumpulan dan penilaian bukti–bukti untuk menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya secara efisien. Beberapa aspek yang diperiksa pada audit sistem informasi seperti efektifitas, efisiensi, availability system, reliability, confidentiality, dan integrity, aspek security, audit atas proses, modifikasi program, audit atas sumber data, dan data file. (https://accounting.binus.ac.id/2019/06/10)

 

·       Motivasi dan kebutuhan terhadap kontrol dan audit sistem informasi

 

1.     Pencegahan terhadap biaya organisasi bila terjadi data yang hilang

Kehilangan data dapat terjadi karena ketidakmampuan pengendalian terhadap pemakaian komputer. Kelalaian dengan tidak menyediakan backup yang memadai terhadap file data, sehingga kehilangan file dapat terjadi karena program komputer yang rusak, adanya sabotase, atau kerusakan normal yang membuat file tersebut tidak dapat diperbaiki sehingga akhirnya membuat kelanjutan operasional organisasi menjadi terganggu.

2.     Pengambilan keputusan yang salah akibat informasi yang salah

Kualitas sebuah keputusan sangat tergantung kepada kualitas informasi yang disajikan untuk pengambilan keputusan tersebut. Tingkat akurasi dan pentingnya sebuah data atau informasi tergantung kepada jenis keputusan yang akan diambil. Jika top manajer akan mengambil keputusan yang bersifat strategik, mungkin akan dapat ditoleransi berkaitan dengan sifat keputusan yang berjangka panjang. Tetapi kadangkala informasi yang menyesatkan akan berdampak kepada pengambilan keputusan yang menyesatkan pula.

 

 

3.     Penyalahgunaan computer untuk kebutuhan diluar organisasi

Beberapa jenis tindak kejahatan dan penyalah-gunaan komputer antara lain adalah virus, hacking, akses langsung yang tak legal (misalnya masuk ke ruang komputer tanpa ijin atau menggunakan sebuah terminal komputer dan dapat berakibat kerusakan fisik atau mengambil data atau program komputer tanpa ijin) dan atau penyalahgunaan akses untuk kepentingan pribadi (seseorang yang mempunyai kewenangan menggunakan komputer tetapi untuk tujuan-tujuan yang tidak semestinya).

4.     Adanya nilai dari yang berharga dari perangkat keras komputer, perangkat lunak dan personel

Disamping data, hardware dan software serta personel komputer juga merupakan sumber daya yang kritikal bagi suatu organisasi, walaupun investasi hardware perusahaan sudah dilindungi oleh asuransi, tetapi kehilangan hardware baik terjadi karena kesengajaan maupun ketidaksengajaan dapat mengakibatkan gangguan. Jika software rusak akan mengganggu jalannya operasional dan bila software dicuri maka informasi yang rahasia dapat dijual kepada kompetitor. Personel adalah sumber daya yang paling berharga, mereka harus dididik dengan baik agar menjadi tenaga handal dibidang komputer yang profesional.

5.     Biaya yang tinggi untuk kerusakan komputer

Saat ini pemakaian komputer sudah sangat meluas dan dilakukan juga terhadap fungsi kritis pada kehidupan kita. Kesalahan yang terjadi pada komputer memberikan implikasi yang luar biasa, sebagai contoh data error mengakibatkan jatuhnya pesawat di Antartika yang menyebabkan 257 orang meninggal atau seseorang divonis masuk penjara karena kesalahan data di komputer.

6.     Kerahasiaan data atau informasi yang dimiliki perusahaan

Informasi di dalam sebuah organisasi bisnis sangat beragam, mulai data karyawan, pelanggan, transaksi dan lainya adalah amat riskan bila tidak dijaga dengan benar. Seseorang dapat saja memanfaatkan informasi untuk disalahgunakan. Sebagai contoh bila data pelanggan yang rahasia, dapat digunakan oleh pesaing untuk memperoleh manfaat dalam persaingan.

7.     Pengontrolan pengembangan / evolusi komputer

Perkembangan Teknologi computer harus diantisipasi oleh organisasi agar dalam persaingan usaha dapat selalu diantisipasi dan kebutuhan untuk pengolahan data yang tepat dan cepat dengan teknologi yang berkesesuaian juga dapat dilakukan, jika perkembangan teknologi ini tidak diansipasi, kemungkinan gagal atau kalah bersaing menjadi lebih besar.

(https://dosen.perbanas.id/dasar-kebutuhan-pelaksanaan-audit-sistem-informasi-bagi-organisasi/)

 

 

·       Fondasi audit sistem informasi

Fondasi Audit sistem informasi merupakan suatu proses pengumpulan data dan evaluasi

bukti untuk menetapkan apakah suatu sistem aplikasi komputer sudah diterapkan

dan menerapkan sistem pengendalian internal yang sudah sepadan, apakah

seluruh aktiva dilindungi dengan baik atau disalah gunakan dan juga terjamin

integritas data, keandalan dan juga efektivitas serta efisiensi penyelenggaraan

informasi berbasis komputer.

(https://pustaka.ut.ac.id/lib/wp-content/uploads/pdfmk/MSIM4305-M1.pdf)

 

 

·       Jenis audit : audit internal, audit system informasi, audit  kecurangan (fraud), eksternal audit/ audit keuagan, audit internal

a)     Audit internal

Audit internal adalah aktivitas pemberian jaminan dan konsultasi yang independen dan obyektif yang dirancang untuk menambah nilai dan meningkatkan operasi organisasi. Ini membantu organisasi mencapai tujuannya dengan menerapkan pendekatan yang sistematis dan disiplin untuk mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendalian, dan proses tata kelola. (https://g.co/kgs/rvTGVEd)

b)     Audit sistem informasi

Audit sistem informasi adalah proses pengumpulan dan penilaian bukti – bukti untuk menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya secara efisien. (https://osf.io/ngqxh/download)

c)     Audit kecurangan

Audit kecurangan adalah proses di mana auditor mencari bukti kecurangan dalam laporan keuangan suatu perusahaan atau dalam operasionalnya (https://repository.penerbiteureka.com/publications/563051/audit-kecurangan-dan-forensik)

d)     Audit eksternal

Audit eksternal merupakan sebuah aktivitas yang harus dilakukan oleh kantor akuntan publik bersertifikat. (https://usahasosial.com/id/learn/manfaat-jasa-auditor-external/)

e)     Audit keuangan

Audit keuangan adalah proses dari auditor untuk memeriksa laporan keuangan agar laporan tersebut bersifat objektif.

(https://www.ocbc.id/id/article/2021/05/27/audit-keuangan-adalah)

 

·       Ruang lingkup audit sistem informasi

Ruang lingkup Audit Sistem Informasi (SI) sebagai audit operasional terhadap fungsi sistem informasi (IT governance), audit objective-nya adalah melakukan assessment terhadap efektifitas, efisiensi, dan ekonomis tidaknya pengelolaan sistem informasi  suatu organisasi. Audit SI dimaksudkan untuk memberikan informasi kepada manajemen puncak agar manajemen mempunyai “a clear assessment” terhadap sistem informasi yang diimplementasikan pada organisasi tersebut. Misalnya, bahwa application software yang ada telah dianalisis dan didesain dengan baik, telah diimplementasikan dengan security features yang memadai. (https://osf.io/gn7u2/download)

·       Jenis-jenis kontrol dan audit sistem informasi

Ada banyak jenis audit sistem informasi, masing-masing memiliki fokus dan tujuannya sendiri sendiri. Beberapa jenis audit sistem informasi yang umum, meliputi:

1.     Audit Kepatuhan (Compliance Audit): Audit ini melakukan penilaian tentang kontrol sistem informasi pada sebuah organisasi, sesuai dengan undang-undang, peraturan, dan standar yang berlaku dan telah ditetapkan maupun disepakati bersama.

2.     Audit Keamanan (Security Audit): Audit ini menilai keamanan sistem informasi pada suatu organisasi yang meliputi akses (access), penggunaan (using), pengungkapan (disclosure), gangguan (disruption), modifikasi (modification), atau penghancuran (destruction) yang tidak sah.

3.     Audit Operasional (Operational Audit): Audit ini dilakukan untuk menilai efisiensi dan efektivitas operasi sistem informasi pada suatu organisasi.

4.     Audit Pengembangan Sistem (System Development Audit): Audit ini dilakukan untuk menilai pengembangan sistem informasi baru atau yang dimodifikasi sehingga memberikan kepastian bahwa sistem tersebut sesuai dengan persyaratan yang berlaku dan diterapkan dengan cara yang aman dan efisien.

5.     Audit Forensik (Forensic Audit): Audit ini dilakukan sebagai tanggapan atas insiden keamanan yang dicurigai atau diketahui. Tujuan dari audit forensik ini adalah untuk mengumpulkan bukti bukti dalam penyelidikan suatu insiden dan untuk mengidentifikasi akar penyebabnya. (https://sis.binus.ac.id/2023/10/24/apa-jenis-dan-karir-didalam-bidang-audit-sistem-informasi/)

 

·       Tujuan kontrol dan audit sistem informasi

Tujuan audit sistem informasi, yaitu : Mengamankan asset ● Menjaga integritas data ● Menjaga efektivitas sistem ● Mencapai efisiensi sumberdaya. mencakup: perangkat keras (hardware), perangkat lunak (software), manusia (people), file data, dokumentasi sistem, dan peralatan pendukung lainnya. (https://staffnew.uny.ac.id/upload/132254846/pendidikan/audit%20SIM.pdf)

·       Pengantar proses audit

Ada tiga pendekatan yang sistematis untuk melakukan audit menurut Goodman dan Lawles:

1.     Teknologi proses inovasi audit

Menentukan sebuah resiko dalam membangun proyek-proyek baik baru maupun lama, menilai seberapa besar pengalaman perusahaan dalam memasarkan produk dan menilai teknologi yang dipakai oleh perusahaan.

2.     Perbandingan audit Inovatif

Kemampuan analisis tentang inovatis perusahaan yang diaudit dibandingkan dengan pesaingnya. Hal ini melakukan pemeriksaan pada fasilitas penelitian dan pengembangan perusahaan.

3.     Audit Teknologi Posisi

Melakukan pemeriksanaan tentang teknologi bisnis yang perlu dibenahi.

(https://sis.binus.ac.id/2019/06/03/proses-audit/)

·       Analisis risiko

1. Risiko bawaan (inherent risk)

Risiko bawaan adalah kerentanan suatu asersi terhadap salah saji material dengan asumsi tidak ada kebijakan dan prosedur struktur pengendalian intern yang terkait. Risiko bawaan selalu ada dan tidak pernah mencapai angka nol. Risiko bawaan tidak dapat dirubah oleh penerapan prosedur audit yang paling baik sekalipun. Risiko bawaan bervariasi untuk setiap asersi.

2. Risiko pengendalian (control risk)

Risiko pengendalian adalah risiko bahwa suatu salah saji material, yang dapat terjadi dalam suatu asersi, tidak dapat dideteksi ataupun dicegah secara tepat pada waktunya oleh berbagai kebijakan dan prosedur struktur pengendalian intern perusahaan.

3. Risiko deteksi (detection risk)

Risiko deteksi merupakan risiko bahwa auditor tidak dapat mendeteksi salah saji material yang terdapat dalam suatu asersi. Risiko deteksi tergantung atas penerapan auditor terhadap risiko audit, risiko bawaan dan risiko pengendalian. Semakin besar risiko audit, semakin besar pula risiko deteksi. Sebaliknya semakin besar risiko bawaan ataupu risiko pengendalian, semakin kecil risiko deteksi. (https://osf.io/r5zfh/download)

·       Definisi kontrol internal dan kontrol eksternal pada sistem informasi

a)     Internal Audit

Audit Internal atau Internal Audit memiliki peranan penting dalam keberjalanan perusahaan. Pada era modern ini perkembangan Manajemen organisasi khususnya di perusahaan sangat memerlukan peran audit internal. Audit internal digunakan untuk mendukung keberjalanan manajemen perusahaan sebagai fungsi controlling yang menjamin perusahaan berjalan sesuai dengan perencanaan dan mengarah kepada tujuan. Biasanya audit internal dilakukan oleh unit yang berada di dalam perusahaan yang memang ditugaskan untuk melakukan audit terhadap perusahaan yang bersangkutan.

b)      Eksternal Audit

Audit eksternal dilaksanakan oleh auditor eksternal yang berasal dari luar perusahaan (Kantor Akuntan Publik). Auditor Eksternal dianggap sebagai pihak yang independen. Tujuan Eksternal audit adalah memberikan masukan terkait kewajaran laporan finansial yang disusun manajemen perusahaan Isi dari external audit report yaitu pendapat tentang kewajaran financial report. Selain laporan tersebut juga disetai management letter yang berisi tentang kelemahan pengendalian internal dan saran perbaikannya yang akan dilaporkan kepada manajemen perusahaan. Standar  yang digunakan pada audit eksternal adalah Standar Profesional Akuntan Publik dari Ikatan Akuntan Indonesia. (https://osf.io/gn7u2/download)

·       Cara melakukan audit sistem informasi

Tahapan Audit Sistem Informasi

Tahapan audit menurut Gallegos. Dalam bukunya “Audit and Control of Information System” yang mencakup beberapa aktivitas yaitu perencanaan, pemeriksaan lapangan, pelaporan dan tindak lanjut. Berikut dibawah tahapan dari audit sistem informasi, adalah sebagai berikut:

1. Perencanaan (Planning)

Tahap perencanaan ini yang akan dilakukan adalah menentukan ruang lingkup (scope), objek yang akan diaudit, standard evaluasi dari hasil audit dan komunikasi dengan managen pada organisasi yang bersangkutan dengan menganalisa visi, misi, sasaran dan tujuan objek yang diteliti serta strategi, kebijakan-kebijakan yang terkait dengan pengolahan investigasi. Tahapan pertama dalam audit bagi auditor eksternal yang berarti menyelidiki dari awal atau melanjutkan yang ada unutk menentukan apakah pemeriksaan tersebut dapat diterima, penempatan staf audit yang sesuai melaukan pengecekan informasi latar belakang klien, mengerti kewajiban utama dari klien dan mengidentifikasi area resiko

2. Pemeriksaan Lapangan (Field Work)

Tahap ini yang akan dilakukan adalah pengumpulan informasi yang dilakukan dengan cara mengumpulkan data dengan pihak-pihak yang terkait. Hal ini dapat dilakukan dengan menerapan berbagai metode pengumpulan data yaitu: wawancara, quesioner ataupun melakukan survey ke lokasi penelitian.

3. Pelaporan (Reporting)

Audit Sistem Informasi – Setelah proses pengumpulan data, maka akan didapat data yang akan diproses untuk dihitung berdasarkan perhitungan maturity level. Pada tahap ini yang akan dilakukan memberikan informasi berupa hasil-hasil dari audit. Perhitungan maturity level dilakukan mengacu pada hasil wawancara, survey dan rekapitulasi hasil penyebaran quesioner. Berdasarkan hasil maturity level yang mencerminkan kinerja saat ini (current maturity level) dan kinerja standard atau ideal yang diharapkan akan menjadi acuan untuk selanjutnya dilakukan analisis kesenjangan (gap). Hal tersebut dimaksudkan untuk mengetahui kesenjangan (gap) serta mengetahui apa yang menyebabkan adanya gap tersebut.

4. Tindak Lanjut (Follow Up)

Tahap ini yang dilakukan adalah memberikan laporan hasil audit berupa rekomendasi tindakan perbaikan kepada pihak managemen objek yang diteliti, untuk selanjutnya wewenang perbaikan menjadi tanggung jawab managemen objek yang diteliti apakah akan diterapkan atau hanya menjadi acuhan untuk perbaikan dimasa yang akan datang.

5. Pengujian atas Control (Tests of Controls)

Tahap ini dimulai dengan pemfokusan pada pengendalian menegemen, apabila hasil yang ada tidak sesuai dengan harapan, maka pengendalian manegemen tidak berjalan sebagai mana mestinya. Apabila auditor menemukan kesalahan yang serius pada pengendalian manegemen, maka mereka akan mengemukakan opini atau mengambil keputusan dalam pengujian transaksi dan saldo untuk hasilnya.

6. Pengujian atas Transaksi (Tests of Transaction)

Pengujian yang termasuk adalah pengecekan jurnal yang masuk dari dokumen utama, menguji nilai kekayaan dan ketepatan komputasi. Komputer sangat berguna dalam pengujian ini dan auditor dapat mengunakan software audit yang umum untuk mengecek apakah pembayaran bunya dari bank telak dikalkulasi secara tepat.

7. Pengujian atas Keseimbangan atau Hasill Keseluruhan (Tests of Balances or Overall Results)

Auditor melakukan pengujian ini agar bukti penting dalam penilaian akhir kehilangan atau pencatatan yang keliru yang menyebabkan fungsi sistem informasi gagal dalam memelihara data secara keseluruhan dan mencapai sistem yang efekti dan efesien. Dengan kata lain, dalam tahap ini mementingkan pengamatan asset dan integritas data yang obyektif. (https://sis.binus.ac.id/2021/06/15/audit-sistem-informasi-2/)

 

Komentar

Posting Komentar

Postingan populer dari blog ini

  Memahami Standart dan Panduan Untuk Audit Sistem Informasi   Audit adalah proses sistematis yang dilakukan oleh seorang auditor independen untuk mengevaluasi dan memverifikasi informasi atau kegiatan dalam organisasi dengan tujuan untuk memberikan keyakinan yang wajar terkait dengan keandalan, kepatuhan, dan efektivitas sistem yang sedang diaudit. Audit dapat dilakukan dalam berbagai konteks, termasuk audit keuangan, audit operasional, audit sistem informasi, dan audit kepatuhan. Tujuan utama dari audit adalah untuk memberikan keyakinan yang wajar terkait dengan kebenaran, keandalan, dan kepatuhan terhadap standar, prosedur, peraturan, dan kebijakan yang berlaku. Proses audit melibatkan pengumpulan bukti, evaluasi risiko, pengujian kontrol, identifikasi temuan, dan penyusunan laporan audit. Secara umum, proses audit melibatkan langkah-langkah berikut: ·        Perencanaan Audit: Auditor merencanakan audit dengan mengidentifikasi tujuan...
Baca selengkapnya

Aspek-aspek dalam application control framework

1.     Boundary Control (Kontrol Batas): Aspek ini berkaitan dengan menentukan dan mengendalikan batasan dalam aplikasi. Tujuannya adalah untuk mencegah akses atau manipulasi yang tidak sah terhadap data atau fungsi aplikasi. Kontrol batas melibatkan identifikasi dan validasi input yang diterima oleh aplikasi, serta pengendalian akses ke fitur atau modul tertentu. Misalnya, aplikasi dapat memvalidasi tipe data input, memeriksa batasan nilai, atau memverifikasi integritas data sebelum memprosesnya.   2.      Input Control (Kontrol Input): Aspek ini fokus pada validasi dan pengamanan terhadap input yang diterima oleh aplikasi. Tujuannya adalah untuk mencegah serangan keamanan seperti SQL injection, Cross-Site Scripting (XSS), atau deserialisasi yang tidak aman. Kontrol input melibatkan validasi input untuk memastikan bahwa data yang dimasukkan sesuai dengan format yang diharapkan, serta pembersihan atau penyaringan input untuk menghilangka...
Baca selengkapnya