Memahami Standart dan Panduan Untuk Audit Sistem Informasi

 

Audit adalah proses sistematis yang dilakukan oleh seorang auditor independen untuk mengevaluasi dan memverifikasi informasi atau kegiatan dalam organisasi dengan tujuan untuk memberikan keyakinan yang wajar terkait dengan keandalan, kepatuhan, dan efektivitas sistem yang sedang diaudit. Audit dapat dilakukan dalam berbagai konteks, termasuk audit keuangan, audit operasional, audit sistem informasi, dan audit kepatuhan.

Tujuan utama dari audit adalah untuk memberikan keyakinan yang wajar terkait dengan kebenaran, keandalan, dan kepatuhan terhadap standar, prosedur, peraturan, dan kebijakan yang berlaku. Proses audit melibatkan pengumpulan bukti, evaluasi risiko, pengujian kontrol, identifikasi temuan, dan penyusunan laporan audit.

Secara umum, proses audit melibatkan langkah-langkah berikut:

·       Perencanaan Audit: Auditor merencanakan audit dengan mengidentifikasi tujuan audit, mengumpulkan informasi tentang entitas yang akan diaudit, menentukan ruang lingkup audit, dan merancang pendekatan audit yang sesuai.

·       Pengumpulan Bukti: Auditor mengumpulkan bukti audit melalui wawancara, pengujian dokumen, pengamatan, dan pengujian substansif lainnya. Bukti-bukti ini digunakan untuk mendukung kesimpulan dan temuan audit.

·       Evaluasi Risiko: Auditor mengevaluasi risiko yang terkait dengan entitas yang diaudit, termasuk risiko keuangan, operasional, dan kepatuhan. Evaluasi risiko membantu auditor dalam menentukan fokus dan tingkat pengujian yang tepat.

·       Pengujian Kontrol: Auditor melakukan pengujian terhadap kontrol internal yang ada dalam sistem yang diaudit untuk menilai efektivitas dan keandalannya. Pengujian ini bertujuan untuk memastikan bahwa kontrol internal memadai dan dapat mendukung pencapaian tujuan organisasi.

·       Identifikasi Temuan: Auditor mengidentifikasi temuan atau ketidaksesuaian yang ditemukan selama proses audit. Temuan ini dapat berupa kelemahan dalam kontrol internal, pelanggaran kebijakan, atau ketidakpatuhan terhadap standar yang berlaku.

 

·       Laporan Audit: Auditor menyusun laporan audit yang berisi hasil temuan, kesimpulan, dan rekomendasi. Laporan ini disampaikan kepada pihak yang berkepentingan, seperti manajemen organisasi atau pemegang saham, sebagai hasil dari proses audit.

Sumber : American Institute of Certified Public Accountants (AICPA). (2019). Audit. https://www.aicpa.org/interestareas/audit.html

 

Audit Sistem Informasi

Audit sistem informasi adalah proses evaluasi yang sistematis dan independen terhadap sistem informasi suatu organisasi. Tujuannya adalah untuk menilai keandalan, keamanan, kepatuhan, dan efektivitas sistem informasi tersebut. Audit sistem informasi melibatkan pemeriksaan terhadap infrastruktur TI, kebijakan dan prosedur, pengendalian keamanan, pengelolaan risiko, serta kepatuhan terhadap regulasi dan standar yang berlaku.

Proses audit sistem informasi meliputi langkah-langkah berikut:

·       Perencanaan Audit: Auditor sistem informasi merencanakan audit dengan mengidentifikasi tujuan audit, menentukan lingkup audit, melibatkan pemangku kepentingan yang relevan, dan merancang pendekatan audit yang sesuai.

·       Pengumpulan Informasi: Auditor mengumpulkan informasi tentang sistem informasi yang akan diaudit, termasuk infrastruktur TI, kebijakan dan prosedur, pengendalian keamanan, dan manajemen risiko. Informasi ini dapat diperoleh melalui wawancara, review dokumen, dan pengamatan langsung.

·       Evaluasi Pengendalian: Auditor melakukan evaluasi terhadap pengendalian keamanan dan manajemen risiko yang ada dalam sistem informasi. Ini melibatkan penilaian terhadap keefektifan pengendalian, kepatuhan terhadap standar dan regulasi, serta identifikasi potensi kerentanan atau kelemahan yang dapat dieksploitasi.

·       Pengujian Substansif: Auditor melakukan pengujian substansif untuk mengevaluasi keandalan dan kebenaran data yang diproses oleh sistem informasi. Ini mungkin melibatkan pengujian terhadap integritas data, validitas transaksi, keakuratan pengolahan, dan pemulihan data.

·       Identifikasi Temuan dan Rekomendasi: Auditor mengidentifikasi temuan audit, termasuk kelemahan pengendalian, kerentanan keamanan, atau ketidaksesuaian dengan standar dan regulasi. Auditor juga memberikan rekomendasi untuk perbaikan dan peningkatan sistem informasi yang diaudit.

·       Pelaporan Audit: Auditor menyusun laporan audit yang berisi temuan, kesimpulan, dan rekomendasi. Laporan ini disampaikan kepada manajemen organisasi sebagai hasil dari audit sistem informasi.

Sumber : ISACA. (2014). IT Audit and Assurance - IS Audit Basics. https://www.isaca.org/education/online-learning/is-audit-basics/pages/default.aspx

 

ISACA IS Audit Standards and Guidelines – COBIT 5

ISACA (Information Systems Audit and Control Association) adalah sebuah organisasi profesional global yang berfokus pada audit, pengendalian, dan keamanan sistem informasi. ISACA telah mengembangkan serangkaian standar audit sistem informasi yang dikenal sebagai IS Audit Standards.

IS Audit Standards ISACA adalah seperangkat prinsip dan rekomendasi yang dirancang untuk memandu praktisi audit sistem informasi dalam melaksanakan audit yang efektif dan memastikan kepatuhan terhadap standar profesional yang relevan. Standar ini membantu memastikan bahwa audit sistem informasi dilakukan secara konsisten, transparan, dan memenuhi harapan stakeholder. Standar audit ISACA mencakup berbagai aspek audit sistem informasi, termasuk perencanaan audit, pelaksanaan audit, evaluasi risiko dan kendali, dokumentasi audit, dan pelaporan hasil. Mereka memberikan panduan tentang metode dan teknik yang dapat digunakan untuk mengidentifikasi, mengevaluasi, dan melaporkan temuan audit.

Standar audit ISACA didasarkan pada prinsip-prinsip umum audit, seperti independensi, objektivitas, integritas, kompetensi, dan kerahasiaan. Prinsip-prinsip ini membentuk fondasi profesionalisme dalam audit sistem informasi.

Referensi: ISACA. (2016). IS Audit and Assurance Standards, Guidelines, and Procedures. https://www.isaca.org/standards/guidelines-and-procedures

Dalam konteks COBIT 5, ISACA menyediakan standar dan pedoman audit yang terkait dengan kerangka kerja COBIT. Standar audit ISACA bertujuan untuk memastikan bahwa audit sistem informasi dilakukan secara konsisten dan memenuhi standar profesional yang tinggi. Pedoman audit ISACA memberikan panduan praktis dan contoh-contoh yang dapat digunakan oleh auditor dalam penerapan COBIT 5 dalam lingkungan audit. Standar dan pedoman audit ISACA mengacu pada prinsip-prinsip umum audit, termasuk independensi, objektivitas, integritas, kerahasiaan, kompetensi, dan kerangka kerja kerja yang sistematis. Mereka juga menguraikan praktik terbaik untuk mengidentifikasi, mengevaluasi, dan melaporkan temuan audit serta memberikan rekomendasi pengendalian yang sesuai.

COBIT 5 adalah versi terbaru dari kerangka kerja COBIT yang diperkenalkan oleh ISACA pada tahun 2012. COBIT 5 menyediakan panduan yang komprehensif untuk mengelola dan mengaudit sistem informasi yang efektif. Kerangka kerja ini berfokus pada kebutuhan bisnis, risiko, dan kendali dalam konteks pengelolaan sistem informasi.

Secara lebih rinci, COBIT 5 terdiri dari lima prinsip utama yang membentuk landasan kerangka kerja ini:

·       Memenuhi Kepentingan Stakeholder: COBIT 5 membantu organisasi dalam memahami dan memenuhi kebutuhan stakeholder yang berhubungan dengan sistem informasi.

·       Meliputi Keseluruhan Organisasi: COBIT 5 mengakui pentingnya pengelolaan sistem informasi dalam seluruh organisasi dan memastikan adanya integrasi yang baik antara fungsi-fungsi yang berbeda.

·       Menggunakan Pendekatan Terpadu: COBIT 5 menekankan pentingnya pendekatan terpadu dalam pengelolaan sistem informasi dengan menggabungkan kerangka kerja, proses, dan pengendalian yang ada.

·       Mengelola End-to-End: COBIT 5 membantu organisasi dalam memahami dan mengelola seluruh siklus hidup sistem informasi, mulai dari perencanaan hingga penghapusan.

·       Memperhatikan Aspek Holistik: COBIT 5 mengakui interaksi yang kompleks antara orang, proses, struktur, dan teknologi dalam pengelolaan sistem informasi.

Referensi : ISACA. (2012). COBIT 5 for Assurance. https://www.isaca.org/-/media/isaca/home/documents/cobit/cobit-5/cobit-assurance-english.pdf

ISACA. (2016). IS Audit and Assurance Standards, Guidelines, and Procedures. https://www.isaca.org/standards/guidelines-and-procedures

 

COBIT 5

COBIT 5 (Control Objectives for Information and Related Technology) adalah sebuah kerangka kerja yang dikembangkan oleh ISACA (Information Systems Audit and Control Association) untuk mengelola dan mengendalikan sistem informasi dalam suatu organisasi. COBIT 5 membantu organisasi dalam mencapai tujuan bisnisnya dengan mengintegrasikan tata kelola TI, manajemen risiko, dan praktik pengendalian yang efektif.

COBIT 5 memiliki lima prinsip dasar yang membentuk dasar kerangka kerjanya:

·       Memenuhi Stakeholder Needs: COBIT 5 fokus pada memenuhi kebutuhan dan harapan stakeholder yang beragam, termasuk pemangku kepentingan internal dan eksternal organisasi.

·       Mengcover Seluruh Organisasi: COBIT 5 merangkul seluruh organisasi dan mengintegrasikan tata kelola TI ke dalam konteks bisnis yang lebih luas.

·       Menggunakan Pendekatan Terpadu: COBIT 5 mengintegrasikan berbagai standar, kerangka kerja, dan praktik terbaik yang relevan untuk memberikan panduan yang komprehensif dalam mengelola sistem informasi.

·       Memisahkan Tata Kelola dari Manajemen: COBIT 5 memisahkan tata kelola TI dari fungsi operasional dan manajemen harian, sehingga memberikan panduan yang jelas untuk peran dan tanggung jawab dalam mengelola sistem informasi.

·       Berfokus pada Hasil Bisnis: COBIT 5 menekankan pentingnya mencapai hasil bisnis yang diinginkan melalui penggunaan teknologi informasi yang efektif dan efisien.

COBIT 5 juga terdiri dari lima domain utama yang mencakup seluruh siklus hidup pengelolaan sistem informasi, yaitu:

·       Evaluasi dan Pengukuran (Evaluate, Direct, and Monitor)

·       Perencanaan dan Organisasi (Align, Plan, and Organize)

·       Memperoleh, Membangun, dan Mengimplementasikan (Build, Acquire, and Implement)

·       Memberikan, Mendukung, dan Mempertahankan (Deliver, Service, and Support)

·       Memastikan, Mengamankan, dan Memastikan Keberlanjutan (Monitor, Evaluate, and Assess)

Referensi : ISACA. (2012). COBIT 5 Framework. https://www.isaca.org/~/media/isaca/practical-insights/cobit/co-bit-5-for-information-security/standards/cobit-5-framework-product-page.ashx

 

ITIL Audit Standards

ITIL (Information Technology Infrastructure Library) audit adalah proses evaluasi yang dilakukan untuk menilai kepatuhan, efektivitas, dan efisiensi implementasi praktik ITIL dalam manajemen layanan TI suatu organisasi. Audit ini bertujuan untuk memastikan bahwa praktik ITIL yang diterapkan sesuai dengan standar terbaik dan memberikan nilai bisnis yang diharapkan. Dalam audit ITIL, dilakukan peninjauan menyeluruh terhadap berbagai aspek yang terkait dengan penerapan ITIL, termasuk perencanaan, implementasi, dan pengelolaan layanan TI.

Proses audit ITIL melibatkan langkah-langkah berikut:

·       Penetapan Ruang Lingkup Audit: Langkah pertama adalah menentukan ruang lingkup audit ITIL, yaitu area atau proses mana yang akan dievaluasi. Misalnya, audit dapat fokus pada manajemen perubahan, manajemen insiden, pengelolaan konfigurasi, atau proses lain yang terkait dengan ITIL.

·       Pengumpulan Informasi dan Dokumentasi: Audit ITIL memerlukan pengumpulan informasi dan dokumentasi terkait dengan implementasi ITIL dalam organisasi. Ini termasuk kebijakan, prosedur, panduan, dan dokumentasi lain yang terkait dengan praktik ITIL yang telah diadopsi.

·       Evaluasi Kepatuhan: Langkah selanjutnya adalah mengevaluasi kepatuhan terhadap praktik ITIL yang telah ditetapkan. Auditor akan membandingkan praktik yang diimplementasikan dengan praktik yang direkomendasikan dalam ITIL. Hal ini bertujuan untuk menentukan sejauh mana organisasi telah mematuhi standar dan pedoman yang ditetapkan.

·       Evaluasi Efektivitas dan Efisiensi: Selain kepatuhan, audit ITIL juga mengevaluasi efektivitas dan efisiensi implementasi praktik ITIL. Ini melibatkan penilaian terhadap hasil yang dicapai, kualitas layanan yang diberikan, dan penggunaan sumber daya yang efisien dalam konteks ITIL.

·       Identifikasi Kelemahan dan Rekomendasi Perbaikan: Auditor akan mengidentifikasi kelemahan atau area yang perlu diperbaiki dalam implementasi ITIL. Rekomendasi perbaikan akan diberikan kepada organisasi untuk membantu mereka meningkatkan kualitas dan kinerja layanan TI.

Referensi : AXELOS. (2019). ITIL 4 Foundation: ITIL 4 Edition. TSO (The Stationery Office).

ISACA. (2012). COBIT 5 Framework. https://www.isaca.org/~/media/isaca/practical-insights/cobit/co-bit-5-for-information-security/standards/cobit-5-framework-product-page.ashx

ITIL (Information Technology Infrastructure Library) Audit Standards mengacu pada praktik audit yang berkaitan dengan pengimplementasian dan penggunaan ITIL dalam manajemen layanan TI. Namun, penting untuk dicatat bahwa ITIL sendiri bukanlah standar audit, melainkan sebuah kerangka kerja yang menggambarkan praktik terbaik dalam manajemen layanan TI. Dalam konteks audit ITIL, ada beberapa standar dan kerangka kerja yang dapat digunakan sebagai referensi. Berikut adalah penjelasan komprehensif tentang ITIL Audit Standards:

ITIL Audit Standards adalah serangkaian pedoman dan praktik yang digunakan dalam proses audit untuk mengevaluasi dan mengukur kepatuhan, efektivitas, dan efisiensi implementasi ITIL dalam manajemen layanan TI. Audit ini bertujuan untuk memastikan bahwa organisasi telah menerapkan praktik ITIL dengan benar sesuai dengan standar terbaik dan mendukung pencapaian tujuan bisnis.

Dalam rangka melakukan audit ITIL, beberapa komponen dan aspek yang dapat dievaluasi meliputi:

·       Desain dan Implementasi Proses ITIL: Audit ini mencakup evaluasi terhadap desain dan implementasi proses manajemen layanan ITIL, seperti manajemen permintaan, manajemen perubahan, manajemen insiden, manajemen konfigurasi, manajemen level layanan, dan lainnya. Tujuannya adalah untuk memastikan bahwa proses-proses ini diimplementasikan dengan benar, sesuai dengan praktik ITIL, dan sesuai dengan kebutuhan organisasi.

·       Manajemen Layanan dan Pemenuhan SLA: Audit ini melibatkan penilaian terhadap kemampuan organisasi dalam mengelola layanan TI sesuai dengan praktik ITIL. Ini termasuk penilaian terhadap penyusunan dan pelaksanaan Service Level Agreement (SLA), pengukuran dan pelaporan kinerja layanan, manajemen kapasitas, dan manajemen keuangan layanan.

·       Manajemen Perubahan dan Konfigurasi: Audit ini mencakup evaluasi terhadap proses manajemen perubahan dan konfigurasi dalam konteks ITIL. Ini meliputi penilaian terhadap kebijakan, prosedur, dan kontrol yang diterapkan untuk mengelola perubahan dan konfigurasi sistem TI dengan benar, termasuk identifikasi, evaluasi, persetujuan, dan dokumentasi perubahan.

·       Manajemen Pengetahuan dan Pemeliharaan Aset: Audit ini melibatkan penilaian terhadap praktik manajemen pengetahuan dan pemeliharaan aset dalam konteks ITIL. Ini mencakup evaluasi terhadap kebijakan, prosedur, dan sistem yang digunakan untuk mengumpulkan, menyimpan, berbagi, dan memanfaatkan pengetahuan dan informasi yang terkait dengan layanan TI.

·       Manajemen Keamanan Informasi: Audit ini melibatkan penilaian terhadap kebijakan, prosedur, dan kontrol yang diterapkan dalam konteks keamanan informasi sesuai dengan praktik ITIL. Ini mencakup evaluasi terhadap manajemen akses, perlindungan data, pengendalian keamanan, pemantauan keamanan, dan manajemen insiden keamanan.

 

Konsep Dasar Kontrol dan Audit Sistem Informasi

Konsep dasar kontrol dan audit sistem informasi berkaitan dengan upaya untuk memastikan bahwa sistem informasi yang digunakan dalam suatu organisasi beroperasi dengan efektif, efisien, dan aman. Kontrol sistem informasi merujuk pada langkah-langkah yang diambil untuk melindungi integritas, kerahasiaan, dan ketersediaan informasi serta menjaga kinerja dan keandalan sistem. Sementara itu, audit sistem informasi adalah proses evaluasi independen terhadap kontrol sistem informasi untuk memastikan kepatuhan, keamanan, dan kinerja yang optimal.

 

Berikut adalah penjelasan rinci tentang konsep dasar kontrol dan audit sistem informasi:

1.     Kontrol Sistem Informasi:

·       Kontrol sistem informasi mencakup kebijakan, prosedur, dan mekanisme yang dirancang untuk melindungi dan mengelola sistem informasi organisasi. Tujuannya adalah untuk memastikan integritas data, kerahasiaan informasi, ketersediaan sistem, dan keandalan operasional. Ada beberapa kategori kontrol sistem informasi yang umumnya diterapkan:

·       Kontrol Keamanan: Melibatkan langkah-langkah yang diambil untuk melindungi sistem dan data dari ancaman keamanan, seperti akses yang tidak sah, serangan malware, atau kebocoran informasi. Ini termasuk pengaturan akses pengguna, enkripsi data, pemantauan keamanan, dan tindakan pencegahan lainnya.

·       Kontrol Integritas: Menjamin keutuhan data dan informasi dalam sistem. Ini meliputi verifikasi dan validasi data, penggunaan tanda tangan digital, kontrol versi, dan tindakan lainnya untuk memastikan bahwa data tidak rusak atau dimanipulasi.

·       Kontrol Ketersediaan: Menjamin ketersediaan sistem informasi yang diperlukan oleh organisasi. Ini termasuk langkah-langkah untuk menghindari gangguan sistem, pemulihan bencana, cadangan data, dan penjadwalan pemeliharaan.

·       Kontrol Proses Bisnis: Melibatkan pengaturan dan monitoring proses bisnis yang melibatkan sistem informasi. Tujuannya adalah meningkatkan efisiensi operasional, mengurangi risiko kesalahan, dan memastikan kepatuhan terhadap kebijakan dan peraturan.

2.     Audit Sistem Informasi:

·       Audit sistem informasi adalah proses evaluasi independen yang dilakukan oleh pihak eksternal atau internal untuk mengevaluasi efektivitas dan kepatuhan kontrol sistem informasi. Audit ini bertujuan untuk memastikan bahwa sistem informasi beroperasi sesuai dengan standar, kebijakan, dan peraturan yang berlaku. Beberapa jenis audit sistem informasi yang umum meliputi:

·       Audit Keamanan: Melibatkan penilaian terhadap keamanan sistem informasi, termasuk identifikasi celah keamanan, penilaian risiko, dan efektivitas kontrol keamanan yang diterapkan.

·       Audit Kepatuhan: Mengevaluasi kepatuhan organisasi terhadap standar, peraturan, dan kebijakan yang berlaku. Ini dapat mencakup audit kepatuhan terhadap peraturan privasi data (seperti GDPR atau HIPAA), standar keamanan (seperti ISO 27001), atau peraturan industri tertentu.

·       Audit Kinerja: Mengevaluasi kinerja sistem informasi dalam mencapai tujuan bisnis dan operasional. Ini meliputi penilaian terhadap efisiensi, efektivitas, dan produktivitas sistem informasi.

·       Audit Pengembangan dan Implementasi Sistem: Melibatkan peninjauan terhadap proses pengembangan dan implementasi sistem informasi, memastikan bahwa praktik terbaik diikuti dan proyek dilaksanakan secara tepat.

AICPA. (2017). Trust Services Criteria. https://www.aicpa.org/interestareas/frc/assuranceadvisoryservices/aicpait--audit-assurance-program/trust-services-criteria-andstandards.html

 

Prinsip – Prinsip Dasar Proses Audit Sistem Informasi

Prinsip-prinsip dasar dalam proses audit sistem informasi adalah pedoman yang digunakan oleh auditor untuk melakukan audit yang efektif dan menyeluruh terhadap sistem informasi suatu organisasi. Prinsip-prinsip ini membantu memastikan bahwa audit sistem informasi dilakukan dengan standar yang tinggi, obyektif, dan relevan. Berikut adalah penjelasan rinci tentang prinsip-prinsip dasar tersebut:

·       Independensi : Prinsip independensi menekankan bahwa auditor sistem informasi harus bebas dari pengaruh atau kepentingan yang dapat mempengaruhi objektivitas dan integritas audit. Auditor harus memiliki otonomi dalam menjalankan tugasnya, terlepas dari tekanan atau campur tangan dari pihak lain yang dapat mengganggu hasil audit.

·       Integritas : Integritas adalah prinsip yang menuntut bahwa auditor sistem informasi harus memiliki integritas pribadi dan profesional yang tinggi. Auditor harus jujur, adil, dan konsisten dalam pendekatan mereka terhadap audit. Mereka harus menjaga kerahasiaan informasi yang diperoleh selama proses audit dan menghindari konflik kepentingan.

·       Kompetensi dan Profesionalisme : Prinsip ini menekankan bahwa auditor sistem informasi harus memiliki pengetahuan, keterampilan, dan pengalaman yang memadai dalam melakukan audit sistem informasi. Mereka harus terus mengembangkan kompetensi mereka sesuai dengan perkembangan teknologi dan kebutuhan bisnis. Selain itu, auditor harus beroperasi sesuai dengan standar etika dan pedoman profesional yang berlaku.

·       Pendekatan Berbasis Risiko : Prinsip ini menekankan bahwa auditor sistem informasi harus menggunakan pendekatan berbasis risiko dalam perencanaan dan pelaksanaan audit. Auditor harus memahami dan mengevaluasi risiko yang terkait dengan sistem informasi, serta menyesuaikan strategi audit mereka berdasarkan risiko yang diidentifikasi. Ini memungkinkan auditor untuk fokus pada area yang paling penting dan rentan terhadap risiko.

·       Kewajaran : Prinsip ini menuntut bahwa auditor sistem informasi harus melaksanakan audit dengan kewajaran. Audit harus dilakukan secara obyektif, berdasarkan bukti yang memadai, dan menggunakan metode dan teknik yang tepat. Auditor harus menghindari prasangka, diskriminasi, atau penilaian yang tidak adil dalam melakukan audit.

·       Komunikasi dan Pelaporan : Prinsip ini menekankan pentingnya komunikasi yang efektif antara auditor dan klien. Auditor harus berkomunikasi secara jelas dan tepat mengenai temuan, rekomendasi, dan hasil audit kepada manajemen dan pemangku kepentingan lainnya. Laporan audit harus jelas, terperinci, dan memberikan informasi yang bermanfaat untuk pengambilan keputusan.

AICPA. (2017). Trust Services Criteria. https://www.aicpa.org/interestareas/frc/assuranceadvisoryservices/aicpait--audit-assurance-program/trust-services-criteria-andstandards.html

 

 

 

 

 

Standar dan Panduan Audit Sistem Informasi

Standar dan panduan audit sistem informasi adalah kerangka kerja yang digunakan oleh auditor untuk melakukan audit sistem informasi dengan konsistensi dan keberlanjutan. Standar audit memberikan pedoman umum tentang prinsip-prinsip, tujuan, dan tindakan yang harus dilakukan dalam audit sistem informasi, sementara panduan audit memberikan arahan lebih rinci tentang metode, teknik, dan praktik terbaik yang dapat digunakan dalam pelaksanaan audit. Berikut adalah penjelasan rinci tentang standar dan panduan audit sistem informasi:

1.     Standar Audit:

Standar audit sistem informasi adalah kerangka kerja yang mengatur praktik audit sistem informasi. Dalam konteks ini, beberapa standar yang relevan adalah:

·       ISACA's IT Assurance Framework (ITAF): ITAF adalah kerangka kerja yang dikembangkan oleh ISACA (Information Systems Audit and Control Association) untuk membimbing auditor dalam melaksanakan audit sistem informasi. ITAF mencakup standar etika, standar audit umum, standar audit spesifik, serta pedoman dan praktik terbaik.

·       AICPA's Generally Accepted Auditing Standards (GAAS): GAAS adalah standar yang dikeluarkan oleh American Institute of Certified Public Accountants (AICPA) yang mengatur praktik audit secara umum. Meskipun tidak secara khusus berkaitan dengan audit sistem informasi, beberapa prinsip dalam GAAS dapat diterapkan dalam konteks audit sistem informasi.

·       International Standards on Auditing (ISA): ISA adalah standar yang dikeluarkan oleh International Federation of Accountants (IFAC) yang berlaku secara internasional. Standar ini mencakup prinsip-prinsip dan prosedur auditor yang berlaku untuk berbagai jenis audit, termasuk audit sistem informasi.

 

2.     Panduan Audit:

Panduan audit sistem informasi adalah dokumen yang memberikan arahan lebih rinci tentang metode, teknik, dan praktik terbaik yang dapat digunakan dalam pelaksanaan audit sistem informasi. Beberapa panduan audit yang relevan adalah:

·       COBIT (Control Objectives for Information and Related Technologies): COBIT adalah kerangka kerja yang dikembangkan oleh ISACA yang menyediakan panduan komprehensif untuk mengelola dan mengaudit sistem informasi. COBIT mencakup proses manajemen TI, kontrol, dan tujuan strategis yang dapat digunakan sebagai panduan dalam audit sistem informasi.

·       NIST SP 800-53: Panduan Keamanan dan Privasi dalam Sistem Informasi dan Jaringan adalah serangkaian pedoman yang diterbitkan oleh National Institute of Standards and Technology (NIST) di Amerika Serikat. Panduan ini berfokus pada keamanan informasi dan menyediakan kerangka kerja kontrol keamanan yang dapat digunakan dalam audit sistem informasi.

·       PCAOB Auditing Standard No. 5 (AS5): AS5 adalah standar audit yang dikeluarkan oleh Public Company Accounting Oversight Board (PCAOB) di Amerika Serikat. Standar ini berfokus pada audit kontrol internal dalam lingkungan perusahaan publik, termasuk audit kontrol sistem informasi.

National Institute of Standards and Technology. (2021). Special Publications (SPs). https://www.nist.gov/publications

Public Company Accounting Oversight Board. (2007). Auditing Standard No. 5: An Audit of Internal Control Over Financial Reporting That Is Integrated with an Audit of Financial Statements. https://pcaobus.org/Standards/Auditing/Pages/Auditing_Standard_5.aspx

 

Ruang Lingkup Kontrol Internal

Ruang Lingkup Kontrol Internal (Internal Control Scope) mengacu pada batasan dan cakupan kontrol internal yang ada dalam suatu organisasi. Ini mencakup semua kebijakan, prosedur, praktik, dan struktur yang digunakan oleh organisasi untuk mengamankan aset, menjaga integritas data, mempertahankan kepatuhan terhadap peraturan dan kebijakan, serta mencapai tujuan organisasi secara efektif dan efisien. Berikut adalah penjelasan rinci tentang Ruang Lingkup Kontrol Internal:

 

1.     Tujuan Ruang Lingkup Kontrol Internal:

Ruang Lingkup Kontrol Internal bertujuan untuk mencakup seluruh area yang relevan dalam organisasi yang mempengaruhi keandalan operasional, pelaporan keuangan, kepatuhan terhadap peraturan, dan perlindungan terhadap aset organisasi. Hal ini melibatkan identifikasi dan penerapan kontrol internal yang memadai dalam berbagai fungsi dan proses organisasi.

2.     Komponen Ruang Lingkup Kontrol Internal:

Ruang Lingkup Kontrol Internal mencakup beberapa komponen utama, yaitu:

·       Lingkungan Pengendalian: Ini mencakup budaya organisasi, nilai-nilai, etika, dan sikap manajemen terhadap kontrol internal. Lingkungan pengendalian yang kuat mendukung efektivitas pengendalian internal.

·       Penilaian Risiko: Organisasi harus mengidentifikasi, mengevaluasi, dan mengelola risiko yang terkait dengan pencapaian tujuan. Penilaian risiko membantu menentukan fokus dan prioritas kontrol internal yang harus diterapkan.

·       Aktivitas Pengendalian: Ini adalah tindakan konkret yang dilakukan dalam organisasi untuk mencegah, mendeteksi, dan mengurangi risiko. Ini meliputi kebijakan, prosedur, pengawasan, verifikasi, rekonsiliasi, dan tindakan lain yang dirancang untuk menjaga integritas dan efisiensi operasional.

·       Informasi dan Komunikasi: Komunikasi yang tepat dan informasi yang akurat harus ada dalam organisasi. Informasi yang relevan dan tepat waktu membantu manajemen dalam mengambil keputusan yang tepat, sementara komunikasi yang efektif memastikan pemahaman yang baik tentang tugas dan tanggung jawab terkait kontrol internal.

·       Pemantauan: Pemantauan terus-menerus dan evaluasi kontrol internal diperlukan untuk memastikan bahwa mereka berjalan sesuai dengan yang diharapkan. Proses pemantauan melibatkan peninjauan, pengujian, audit internal, dan tindakan perbaikan yang diperlukan untuk memperbaiki kelemahan yang ditemukan.

3.     Pentingnya Ruang Lingkup Kontrol Internal:

Ruang Lingkup Kontrol Internal penting karena ia membantu organisasi dalam mencapai tujuan mereka dengan cara yang terstruktur dan terkendali. Kontrol internal yang efektif membantu melindungi aset organisasi dari penyalahgunaan, kehilangan, atau pencurian. Selain itu, kontrol internal yang baik juga membantu mencegah kesalahan dalam pelaporan keuangan dan memastikan kepatuhan terhadap peraturan dan kebijakan yang berlaku.

Committee of Sponsoring Organizations of the Treadway Commission (COSO). (2013). Internal Control - Integrated Framework. https://www.coso.org/Pages/default.aspx

American Institute of Certified Public Accountants (AICPA). (2017). Trust Services Criteria. https://www.aicpa.org/interestareas/frc/assuranceadvisoryservices/aicpait--audit-assurance-program/trust-services-criteria-andstandards.html

 

 

 

 

 

 

Komentar

Posting Komentar

Postingan populer dari blog ini

Rangkuman Audit Teknologi Informasi

Gambar
  TUGAS Rangkuman Disusun untuk memenuhi Tugas Audit Teknologi Sistem Informasi                                       Aditya Calvin Bima                         10120042                           4KA21       UNIVERSITAS GUNADARMA 2024               ·        Definisi Kontrol dan audit sistem informasi Audit sistem informasi atau Information System Audit disebut juga EDP Audit (Electronc Data Processing Audit) atau computer audit merupakan suatu proses dikumpulkannya data dan dievakuasinya bukti untuk menetapkan apakah suatu sistem aplikasi komputerisasi sudah diterapkan dan menerapkan sistem pengendalian internal yang sudah sepadan, seluruh ak...
Baca selengkapnya

Aspek-aspek dalam application control framework

1.     Boundary Control (Kontrol Batas): Aspek ini berkaitan dengan menentukan dan mengendalikan batasan dalam aplikasi. Tujuannya adalah untuk mencegah akses atau manipulasi yang tidak sah terhadap data atau fungsi aplikasi. Kontrol batas melibatkan identifikasi dan validasi input yang diterima oleh aplikasi, serta pengendalian akses ke fitur atau modul tertentu. Misalnya, aplikasi dapat memvalidasi tipe data input, memeriksa batasan nilai, atau memverifikasi integritas data sebelum memprosesnya.   2.      Input Control (Kontrol Input): Aspek ini fokus pada validasi dan pengamanan terhadap input yang diterima oleh aplikasi. Tujuannya adalah untuk mencegah serangan keamanan seperti SQL injection, Cross-Site Scripting (XSS), atau deserialisasi yang tidak aman. Kontrol input melibatkan validasi input untuk memastikan bahwa data yang dimasukkan sesuai dengan format yang diharapkan, serta pembersihan atau penyaringan input untuk menghilangka...
Baca selengkapnya