Postingan Populer

Kamis, 16 Januari 2020

Audit Teknologi Sistem Informasi


PAPER
AUDIT TEKNOLOGI SISTEM INFORMASI


Nama: Fransiskus Eko Utomo
Kelas: 4KA07
NPM: 12116916


FAKULTAS ILMU KOMPUTER DAN TEKNOLOGI INFORMASI
JURUSAN SISTEM INFORMASI
UNIVERSITAS GUNADARMA



Audit adalah sebuah pemeriksaan yang sistematis dan objektif terhadap satu atau lebih aspek dari suatu organisasi yang membandingkan apa yang dilakukan organisasi dengan serangkaian kriteria atau persyaratan yang ditetapkan. Audit teknologi informasi memeriksa proses, aset TI, dan kontrol pada berbagai tingkatan dalam suatu organisasi untuk menentukan sejauh mana organisasi mematuhi standar atau persyaratan yang berlaku. Secara virtual, semua organisasi menggunakan TI untuk mendukung operasi mereka dan pencapaian misi dan tujuan bisnis mereka. Ini memberi organisasi kepentingan pribadi untuk memastikan bahwa penggunaan TI mereka efektif, bahwa sistem dan proses TI beroperasi sebagaimana dimaksud, dan bahwa aset TI dan sumber daya lainnya dialokasikan secara efisien dan dilindungi secara tepat. Audit TI membantu organisasi memahami, menilai, dan meningkatkan penggunaan kontrol mereka untuk melindungi TI, mengukur dan memperbaiki kinerja, serta mencapai tujuan dan hasil yang diharapkan. Audit TI terdiri dari penggunaan metodologi audit formal untuk memeriksa proses, kemampuan, dan aset yang ditentukan TI dan perannya dalam memungkinkan proses bisnis organisasi. Audit TI juga membahas komponen atau kemampuan TI yang mendukung domain lain yang dapat diaudit, seperti manajemen keuangan dan akuntansi, kinerja operasional, jaminan kualitas, dan tata kelola, manajemen risiko, dan kepatuhan (GRC).
          Penggunaan audit TI semakin umum di banyak organisasi, untuk memvalidasi penggunaan kontrol yang efektif untuk melindungi aset dan informasi TI atau sebagai elemen dari program GRC. Audit TI adalah disiplin khusus tidak hanya dalam dirinya sendiri, dengan standar yang sesuai, metodologi, dan sertifikasi profesional dan persyaratan pengalaman, tetapi juga bersinggungan secara signifikan dengan praktik manajemen dan operasional TI lainnya. Subjek tumpang tindih antara audit TI dan jaringan pemantauan, administrasi sistem, manajemen layanan, dukungan teknis, dan keamanan informasi menjadikan pengetahuan tentang kebijakan, praktik, dan standar audit TI penting untuk personel TI dan manajer operasi TI dan area bisnis yang didukung TI. Banyak organisasi menjalani berbagai audit TI, dilakukan oleh auditor internal dan eksternal, dan masing-masing sering disertai dengan prosedur, metode, dan kriteria yang berbeda.

Apa itu Audit TI?

Audit sering dianggap sebagai pemeriksaan, inspeksi, atau peninjauan independen. Sementara istilah ini berlaku untuk evaluasi banyak mata pelajaran yang berbeda, penggunaan yang paling sering adalah sehubungan dengan memeriksa laporan atau akun keuangan organisasi. Berbeda dengan definisi kamus konvensional dan sumber yang berfokus pada konotasi akuntansi audit, definisi yang digunakan oleh badan standar audit lingkup luas dan dalam konteks audit TI tidak membatasi atau menganggap subjek yang menjadi dasar audit. Misalnya, pedoman Organisasi Internasional untuk Standarisasi (ISO) tentang audit menggunakan istilah audit yang berarti "proses yang sistematis, independen dan terdokumentasi untuk memperoleh bukti audit dan mengevaluasinya secara objektif untuk menentukan sejauh mana kriteria audit dipenuhi" dan Glosarium Perpustakaan Teknologi Informasi (ITIL) mendefinisikan audit sebagai “inspeksi dan verifikasi formal untuk memeriksa apakah suatu standar atau serangkaian pedoman diikuti atau tidak, apakah catatan itu akurat, atau bahwa target efisiensi dan efektifitas terpenuhi.” Interpretasi umum seperti itu cocok untuk audit TI, yang terdiri dari berbagai standar, persyaratan, dan kriteria audit lainnya yang sesuai dengan proses, sistem, teknologi, atau seluruh organisasi yang menjadi subjek audit TI.
Definisi yang dikutip di atas juga menekankan karakteristik yang membedakan audit dari jenis evaluasi atau penilaian lain dengan mengacu pada kriteria eksplisit yang memberikan dasar untuk perbandingan antara apa yang diharapkan atau dibutuhkan dalam suatu organisasi dan apa yang sebenarnya diamati atau ditunjukkan melalui bukti. Kata-kata seperti penilaian, evaluasi, dan tinjauan sering digunakan secara sinonim dengan istilah audit dan meskipun memang benar bahwa audit adalah jenis evaluasi, beberapa karakteristik audit yang membedakannya dari konsep yang tersirat oleh penggunaan istilah yang lebih umum. Audit selalu memiliki dasar atau standar referensi yang dapat dibandingkan dengan subjek audit. Audit tidak dimaksudkan untuk memeriksa penggunaan praktik terbaik atau (dengan kemungkinan pengecualian audit operasional) untuk melihat apakah ada peluang untuk meningkatkan atau mengoptimalkan proses atau karakteristik operasional.
Sebagai gantinya, ada standar yang ditetapkan yang memberikan dasar untuk perbandingan yang ditetapkan sebelum memulai audit. Auditor membandingkan subjek audit — proses, sistem, komponen, perangkat lunak, atau organisasi secara keseluruhan — secara eksplisit dengan standar yang telah ditentukan sebelumnya untuk menentukan apakah subjek memenuhi kriteria. Penentuan audit cenderung lebih biner daripada hasil jenis penilaian atau evaluasi lainnya, dalam arti bahwa item yang diberikan memenuhi atau gagal memenuhi persyaratan yang berlaku - auditor sering mengartikulasikan temuan audit dalam hal kesesuaian kontrol atau ketidaksesuaian dengan kriteria.


Audit internal dan eksternal

Kontrol internal audit adalah disiplin dalam dirinya sendiri, memiliki banyak kesamaan dengan audit TI eksternal tetapi dalam banyak hal memperluas lebih lanjut dalam hal keahlian teknis, pengetahuan operasional, dan tingkat detail yang diperlukan untuk secara efektif melakukan audit TI internal. Auditor internal sering bekerja sebagai karyawan dari organisasi yang diaudit, yang dari waktu ke waktu menghasilkan pemahaman tentang organisasi yang menentukan lingkungan TI, kontrol, sistem informasi, dan karakteristik operasional yang sulit jika tidak mungkin untuk ditiru oleh auditor eksternal. Meskipun keterampilan mereka sering tumpang tindih dengan operasi TI dan personil keamanan informasi, manajer proyek teknis, dan petugas kepatuhan, kebutuhan akan independensi berarti bahwa auditor TI internal di sebagian besar organisasi tidak memiliki tugas pekerjaan operasional selain tanggung jawab audit mereka.
            Audit TI eksternal, berdasarkan definisi, dilakukan oleh auditor dan entitas di luar organisasi yang akan diaudit. Bergantung pada ukuran organisasi dan ruang lingkup dan kompleksitas audit TI, audit eksternal dapat dilakukan oleh auditor tunggal atau tim. Secara umum, hubungan antara organisasi dan auditor eksternal biasanya dibentuk dan dikelola pada tingkat entitas — yaitu, organisasi menggunakan layanan firma luar atau organisasi profesional yang melakukan jenis audit TI yang diperlukan.

Kontrol internal

            Audit TI eksternal dan internal memiliki fokus yang sama: kontrol internal dilaksanakan dan dipelihara oleh organisasi yang diaudit. Kontrol adalah elemen sentral dari manajemen TI, didefinisikan dan dirujuk melalui standar, pedoman, metodologi, dan kerangka kerja yang menangani proses bisnis; pengiriman layanan dan pengelolaan; desain, implementasi, dan operasi sistem informasi; informasi keamanan; dan tata kelola TI. Sumber utama tata kelola TI dan pedoman audit TI membedakan antara kontrol internal dan kontrol internal. COSO menentang kontrol internal sebagai proses “yang dirancang untuk memberikan jaminan yang wajar mengenai pencapaian tujuan” termasuk efektivitas dan efisiensi operasional, pelaporan yang dapat diandalkan, dan kepatuhan hukum dan peraturan. Dalam konteks ini, kontrol adalah “kebijakan atau prosedur yang merupakan bagian dari kontrol internal”, hasil dari kebijakan dan prosedur yang dirancang untuk melakukan kontrol.
Kontrol organisasi dipilih dan diterapkan sekali dengan penerapan di seluruh perusahaan. Kontrol tingkat entitas penting sebagai area fokus untuk audit internal dan eksternal karena mereka memberikan dasar untuk bagaimana organisasi mengelola fungsi yang didukung kontrol. Kontrol tingkat entitas juga dimasukkan dengan merujuk ke banyak jenis audit yang dilakukan pada tingkat organisasi lainnya, seperti unit bisnis, program dan proyek, dan aset teknologi semuanya memanfaatkan berbagai jenis kontrol tingkat entitas.
 

Jenis-jenis audit TSI

a.  Audit Laporan Keuangan (Financial Statement Audit)
Adalah audit yang dilakukan untuk mengetahui tingkat kewajaran laporan keuangan yang disajikan oleh perusahaan (apakah sesuai dengan standar akuntansi keuangan serta tidak menyalahi uji materialitas). Apabila sistem akuntansi organisasi yang diaudit merupakan sistem akuntansi berbasis komputer, maka dilakukan audit terhadap sistem informasi akuntansi apakah proses/mekanisme sistem dan program komputer telah sesuai, pengendalian umum sistem memadai dan data telah substantif.

b. Audit Operasional (Operational Audit)

     1.  Post implementation Audit (Audit setelah implementasi)
          Auditor memeriksa apakah sistem-sistem aplikasi komputer yang telah diimplementasikan pada suatu organisasi/perusahaan telah sesuai dengan kebutuhan penggunanya (efektif) dan telah dijalankan dengan sumber daya optimal (efisien). Auditor mengevaluasi apakah sistem aplikasi tertentu dapat terus dilanjutkan karena sudah berjalan baik dan sesuai dengan kebutuhan usernya atau perlu dimodifikasi dan bahkan perlu dihentikan.
Pelaksanaan audit ini dilakukan oleh auditor dengan menerapkan pengalamannya dalam pengembangan sistem aplikasi, sehingga auditor dapat mengevaluasi apakah sistem yang sudah diimplementasikan perlu dimutakhirkan atau diperbaiki atau bahkan dihentikan apabila sudah tidak sesuai kebutuhan atau mengandung kesalahan.

     2. Concurrent audit (audit secara bersama)
         Auditor menjadi anggota dalam tim pengembangan sistem (system development team). Mereka membantu tim untuk meningkatkan kualitas pengembangan sistem yang dibangun oleh para sistem analis, designer dan programmer dan akan diimplementasikan. Dalam hal ini auditor mewakili pimpinan proyek dan manajemen sebagai quality assurance.

     3. Concurrent Audits (audit secara bersama-sama)
         Auditor mengevaluasi kinerja unit fngsional atau fungsi sistem informasi (pusat/instalasi komputer) apakah telah dikelola dengan baik, apakah kontrol dalam pengembangan sistem secara keseluruhan sudah dilakukan dengan baik, apakah sistem komputer telah dikelola dan dioperasikan dengan baik.
Dalam mengaudit sistem komputerisasi yang ada, audit ini dilakukan dengan mengevaluasi pengendalian umum dari sistem-sistem komputerisasi yang sudah diimplementasikan pada perusahaan tersebut secara keseluruhan.
Saat melakuan pengujian-pengujian digunakan bukti untuk menarik kesimpulan dan memberikan rekomendasi kepada manajemen tentang hal-hal yang berhubungan dengan efektifitas, efisiensi, dan ekonomisnya sistem.


DAFTAR PUSTAKA

1. Gantz, Stephen. 2013. The Basics of IT Audit Purposes, Processes and Practical Information, 1st Edition, Syngress, Elsevier.
2.  Sumber 2

0 komentar:

Posting Komentar

Tambahkan Komentar Kamu