Audit
Sistem Informasi
Pengertian
Ron Weber (1999,10)
mengemukakan bahwa audit sistem informasi adalah :
” Information systems auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently”.
” Information systems auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently”.
“Audit sistem informasi
adalah proses pengumpulan dan penilaian bukti – bukti untuk menentukan apakah
sistem komputer dapat mengamankan aset, memelihara integritas data, dapat
mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya
secara efisien”.
Tujuan
Audit Sistem Informasi
Tujuan Audit Sistem
Informasi dapat dikelompokkan ke dalam dua aspek utama dari ketatakelolaan IT,
yaitu :
a. Conformance (Kesesuaian) –
Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh
kesimpulan atas aspek kesesuaian, yaitu: Confidentiality (Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan) dan Compliance (Kepatuhan).
b. Performance (Kinerja) –
Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu: Effectiveness (Efektifitas), Efficiency (Efisiensi), Reliability (Kehandalan).
Tujuan
audit sistem informasi menurut Ron Weber tujuan audit yaitu :
1. Mengamankan asset
2. Menjaga integritas data
3. Menjaga efektivitas
sistem
4. Mencapai efisiensi
sumberdaya.
Keempat
tujuan tersebut dapat dijelaskan sebagai berikut :
1.
Mengamankan aset, aset (activa) yang
berhubungan dengan instalasi sistem informasi mencakup: perangkat keras (hardware),
perangkat lunak (software), manusia (people), file data, dokumentasi sistem,
dan peralatan pendukung lainnya.
Sama halnya dengan aktiva –
aktiva yang lain, maka aktiva ini juga perlu dilindungi dengan memasang
pengendalian internal. Perangkat keras dapat rusak karena unsur kejahatan atau
sebab-sebab lain. Perangkat lunak dan isi file data dapat dicuri. Peralatan
pendukung dapat digunakan untuk tujuan yang tidak diotorisasi.
2.
Menjaga integritas data, integritas data merupakan
konsep dasar audit sistem informasi. Integritas data berarti data memiliki
atribut: kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian. Tanpa
menjaga integritas data, organisasi tidak dapat memperlihatkan potret dirinya
dengan benar atau kejadian yang ada tidak terungkap seperti apa adanya.
Akibatnya, keputusan maupun langkah-langkah penting di organisasi salah sasaran
karena tidak didukung dengan data yang benar. Meskipun demikian, perlu juga
disadari bahwa menjaga integritas data tidak terlepas dari pengorbanan biaya.
Oleh karena itu, upaya untuk menjaga integritas data, dengan konsekuensi akan
ada biaya prosedur pengendalian yang dikeluarkan harus sepadan dengan manfaat
yang diharapkan.
3.
Menjaga efektivitas sistem, sistem informasi
dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya. Untuk
menilai efektivitas sistem, perlu upaya untuk mengetahui kebutuhan pengguna
sistem tersebut (user). Selanjutnya, untuk menilai apakah sistem menghasilkan
laporan atau informasi yang bermanfaat bagi user (misalnya pengambil
keputusan), auditor perlu mengetahui karakteristik user berikut proses
pengambilan keputusannya. Biasanya audit efektivitas sistem dilakukan setelah
suatu sistem berjalan beberapa waktu. Manajemen dapat meminta auditor untuk
melakukan post audit guna menentukan sejauh mana sistem telah mencapai tujuan
yang telah ditetapkan. Evaluasi ini akan memberikan masukan bagi pengambil
keputusan apakah kinerja sistem layak dipertahankan; harus ditingkatkan atau
perlu dimodifikasi; atau sistem sudah usang, sehingga harus ditinggalkan dan
dicari penggantinya
Audit efektivitas sistem dapat
juga dilaksanakan pada tahap perencanaan sistem (system design). Hal ini dapat
terjadi jika desainer sistem mengalami kesulitan untuk mengetahui kebutuhan
user, karena user sulit mengungkapkan atau mendeskripsikan kebutuhannya. Jika
sistem bersifat komplek dan besar biaya penerapannya, manajemen dapat mengambil
sikap agar sistem dievaluasi terlebih dahulu oleh pihak yang independen untuk
mengetahui apakah rancangan sistem sudah sesuai dengan kebutuhan user. Melihat
kondisi seperti ini, auditor perlu mempertimbangkan untuk melakukan evaluasi
sistem dengan berfokus pada kebutuhan dan kepentingan manajemen.
4.
Mencapai efisiensi sumberdaya, suatu sistem
sebagai fasilitas pemrosesan informasi dikatakan efisien jika ia menggunakan
sumberdaya seminimal mungkin untuk menghasilkan output yang dibutuhkan. Pada
kenyataannya, sistem informasi menggunakan berbagai sumberdaya, seperti mesin,
dan segala perlengkapannya, perangkat lunak, sarana komunikasi dan tenaga kerja
yang mengoperasikan sistem tersebut. Sumberdaya seperti ini biasanya sangat
terbatas adanya. Oleh karena itu, beberapa kandidat sistem (system alternatif)
harus berkompetisi untuk memberdayakan sumberdaya yang ada tersebut.
Adapun tujuan yang lain
adalah :
-
Untuk memeriksa kecukupan dari pengendalian
lingkungan, keamanan fisik, keamanan logikal serta keamanan operasi sistem
informasi yang dirancang untuk melindungi piranti keras, piranti lunak dan data
terhadap akses yang tidak sah, kecelakaan, perubahan yang tidak dikehendaki.
-
Untuk memastikan bahwa sistem informasi yang
dihasilkan benar-benar sesuai dengan kebutuhan sehingga bisa membantu
organisasi untuk mencapai tujuan strategis.
Tujuan audit sistem
informasi adalah untuk meninjau dan mengevaluasi pengendalian internal yang
melindungi sistem tersebut. Ketika melaksanakan audit sistem informasi, para
auditor harus memastikan tujuan-tujuan berikut ini dipenuhi:
1.
Perlengkapan keamanan melindungi perlengkapan
komputer, program, komunikasi, dan data dari akses yang tidak sah, modifikasi,
atau penghancuran.
2.
Pengembangan dan perolehan program
dilaksanakan sesuai dengan otorisasi khusus dan umum dari pihak manajemen.
3.
Modifikasi program dilaksanakan dengan
otorisasi dan persetujuan pihak manajemen.
4.
Pemrosesan transaksi, file, laporan, dan
catatan komputer lainnya telah akurat dan lengkap.
5.
Data sumber yang tidak akurat. atau yang
tidak memiliki otorisasi yang tepat diidentifikasi dan ditangani sesuai dengan
kebijakan manajerial yang telah ditetapkan.
6.
File data komputer telah akurat, lengkap, dan
dijaga kerahasiaannya.
Alasan dilakukannya Audit Sistem Informasi Ron Webber, Dekan Fakultas Teknologi Informasi, monash University, dalam salah satu bukunya Information System Controls and Audit (Prentice-Hall, 2000) menyatakan beberapa alasan penting mengapa Audit Sistem Informasi perlu dilakukan, antara lain:
·
Kerugian akibat kehilangan data.
·
Kesalahan dalam pengambilan keputusan.
·
Resiko kebocoran data.
·
Penyalahgunaan komputer.
·
Kerugian akibat kesalahan proses perhitungan.
·
Tingginya nilai investasi perangkat keras dan
perangkat lunak komputer.
Manfaat Audit Sistem Informasi
Manfaat pada saat
Implementasi (Pre-Implementation Review)
1.
Institusi dapat mengetahui apakah sistem yang
telah dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria.
2.
Mengetahui apakah pemakai telah siap
menggunakan sistem tersebut.
3.
Mengetahui apakah outcome sesuai dengan
harapan manajemen.
Manfaat setelah sistem live
(Post-Implementation Review)
1.
Institusi mendapat masukan atas risiko-risiko
yang masih yang masih ada dan saran untuk penanganannya.
2.
Masukan-masukan tersebut dimasukkan dalam
agenda penyempurnaan sistem, perencanaan strategis, dan anggaran pada periode
berikutnya.
3.
Bahan untuk perencanaan strategis dan rencana
anggaran di masa mendatang.
4.
Memberikan reasonable assurance bahwa sistem
informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan.
5.
Membantu memastikan bahwa jejak pemeriksaan
(audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor
maupun pihak lain yang berwewenang melakukan pemeriksaan.
6.
Membantu dalam penilaian apakah initial
proposed values telah terealisasi dan saran tindak lanjutnya.
Jenis Audit Sistem Informasi
Ø Sistem
dan aplikasi.
Audit yang berfungsi untuk
memeriksa apakah sistem dan aplikasi sesuai dengan kebutuhan organisasi,
berdayaguna, dan memiliki kontrol yang cukup baik untuk menjamin keabsahan,
kehandalan, tepat waktu, dan keamanan pada input, proses, output pada semua
tingkat kegiatan sistem.
Ø Fasilitas
pemrosesan informasi.
Audit yang berfungsi untuk
memeriksa apakah fasilitas pemrosesan terkendali untuk menjamin ketepatan
waktu, ketelitian, dan pemrosesan aplikasi yang efisien dalam keadaan normal
dan buruk.
Ø Pengembangan
sistem.
Audit yang berfungsi untuk
memeriksa apakah sistem yang dikembangkan mencakup kebutuhan obyektif
organisasi.
Ø Arsitektur
perusahaan dan manajemen TI.
Audit yang berfungsi untuk
memeriksa apakah manajemen TI dapat mengembangkan struktur organisasi dan
prosedur yang menjamin kontrol dan lingkungan yang berdaya guna untuk
pemrosesan informasi.
Ø Client/Server,
telekomunikasi, intranet, dan ekstranet.
Suatu audit yang berfungsi
untuk memeriksa apakah kontrol-kontrol berfungsi pada client, server, dan
jaringan yang menghubungkan client dan server.
Sumber : http://2lucianasi2011.blogspot.com/
Tidak ada komentar:
Posting Komentar