Audit Sistem Informasi 1 Lakukan pemeriksaan pada sistem informasi

Jika selama ini kita hanya mengenal kata audit selalu identik dengan audit keuangan, maka kini muncul profesi baru di bidang IT yaitu audit sistem informasi (SI). Audit SI adalah proses pengumpulan dan pengevaluasian bahan bukti tentang informasi yang dapat diukur mengenai suatu entitas ekonomi yang dilakukan oleh seseorang yang kompeten dan independen untuk menentukan dan melaporkan kesesuaian informasi tersebut dengan kriteria-kriteria yang telah ditetapkan.

Audit Sistem Informasi adalah proses pengumpulan dan penilaian bukti untuk menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas data, mendorong pencapaian tujuan organisasi secara efektif, dan menggunakan sumber daya secara efisien.

Dampak fungsi audit sistem informasi pada suatu organisasi meliputi perlindungan aset, integritas data, efektivitas sistem, dan efisiensi sistem. Aset sistem informasi di dalam organisasi harus dilindungi dengan baik, integritas data harus terjaga agar organisasi dapat mendapatkan representasi data yang benar, manajemen memerlukan hasil audit efektivitas untuk mengambil keputusan terkait sistem yang berjalan, dan efisiensi sistem dilakukan dengan menggunakan sumber daya minimum untuk mencapai tujuan obyek.

Faktor-faktor yang mempengaruhi organisasi sehingga perlu melakukan audit dan pengendalian terhadap SI termasuk biaya organisasi akibat kehilangan data, biaya pengambilan keputusan yang salah, dan biaya penyalahgunaan komputer. Data yang akurat sangat penting untuk keberlangsungan operasional organisasi dan membuat keputusan yang berkualitas. Penyalahgunaan komputer seperti hacking, virus, akses fisik ilegal, dan penyalahgunaan hak istimewa juga dapat menyebabkan kerugian pada perusahaan. Menurut sebuah survey, sebagian besar penyalahgunaan komputer disebabkan oleh pegawai internal.

Dampak dari penyalahgunaan komputer dapat sangat merugikan, mulai dari perusakan aset, pencurian data, modifikasi informasi, pelanggaran privasi, gangguan operasional, penggunaan aset tanpa izin, hingga bahaya fisik bagi karyawan. Komputer menjadi salah satu aset berharga bagi organisasi dengan nilai investasi yang tinggi. Kesalahan dalam penggunaan komputer juga bisa mengakibatkan kerugian besar, seperti kasus 257 orang meninggal di Antartika akibat kesalahan sistem komputer.

Pentingnya menjaga privasi data juga menjadi hal yang krusial, terutama dalam pengumpulan data pribadi seperti data pajak, kredit, medis, pendidikan, dan lainnya. Evolusi penggunaan komputer juga menimbulkan konflik, di mana komputer bisa digunakan untuk kegiatan yang bermanfaat namun juga bisa disalahgunakan untuk hal yang negatif.

Pendekatan audit sistem informasi mengalami perkembangan seiring dengan kemajuan teknologi komputer. Auditor menggunakan komputer sebagai alat bantu dalam melakukan audit, baik untuk mengambil contoh transaksi, memproses data, maupun menganalisis keakuratan program komputer. Terdapat tiga pendekatan audit sistem informasi, yaitu auditing around the computer, auditing with the computer, dan auditing throught the computer.

Tahapan audit sistem informasi meliputi perencanaan, pengujian kendali, pengujian transaksi, pengujian keseimbangan, dan penyelesaian audit. Auditor harus memilih pendekatan yang tepat sesuai dengan kebutuhan audit dan memastikan semua langkah audit dilakukan dengan seksama untuk mendapatkan hasil yang akurat.

Perencanaan adalah kegiatan yang dilakukan untuk merencanakan pelaksanaan audit, Penelitian Lapangan adalah evaluasi dan pemeriksaan sistem yang dilakukan di lapangan, Pelaporan adalah proses untuk melaporkan hasil-hasil dari penelitian lapangan, dan Tindak Lanjut adalah langkah-langkah yang diambil oleh manajemen setelah menerima laporan hasil pemeriksaan. Pengumpulan Fakta melibatkan beberapa alat dan teknik yang bisa digunakan, seperti:

1. Penggunaan Audit Software: membahas berbagai jenis software audit yang digunakan dalam industri.
2. Tinjauan Kode, Data Uji, dan Perbandingan Kode: mengidentifikasi kesalahan dalam program dengan melihat kode program, data uji, dan perbandingan kode.
3. Teknik Pemeriksaan Bersamaan: membahas teknik pemeriksaan yang dilakukan secara bersamaan.
4. Wawancara, Kuesioner, dan Flowchart Pengendalian: menggunakan wawancara, kuesioner, dan flowchart pengendalian untuk mengumpulkan informasi.

Model Audit COBIT

COBIT edisi keempat adalah pedoman terbaru untuk pengendalian informasi dan teknologi. COBIT didasarkan pada tujuan pengendalian ISACF dan telah diperkaya dengan teknik internasional yang ada. Institut IT Governance memainkan peran penting dalam pengembangan COBIT dengan fokus pada Tata Kelola TI. COBIT merupakan standar yang dapat diterima dan diterapkan luas dalam organisasi, sebagaimana prinsip-prinsip GAAP dalam akuntansi.

COBIT merupakan standar terbuka yang digunakan untuk mengendalikan teknologi informasi, yang dikembangkan oleh Institut IT Governance. Diperkenalkan pada tahun 1996, COBIT adalah alat yang digunakan untuk mengatur pengelolaan teknologi informasi. COBIT telah menjadi standar yang baik dalam praktek pengendalian dan keamanan TI, memberikan kerangka kerja bagi pengelola, pengguna, auditor sistem informasi, dan pelaksana keamanan. COBIT memungkinkan perusahaan untuk mengimplementasikan pengaturan TI dengan efektif di seluruh organisasi.

COBIT mencakup berbagai komponen, seperti Executive Summary, Framework, Control Objectives, Audit Guidelines, Implementation Tool Set, dan Management Guidelines. COBIT bertujuan untuk melakukan riset, mengembangkan, dan mempublikasikan makalah-makalah mengenai pengendalian TI, serta mengupdate kontrol objektif yang diterima secara umum, bersama dengan panduan audit yang mendukung penerapan framework dan kontrol objektif. Visi dari COBIT adalah menjadi satu-satunya model dalam pengelolaan dan pengendalian teknologi informasi.

Kerangka kerja COBIT menekankan betapa pentingnya pengendalian dan keamanan Teknologi Informasi (TI) bagi kesuksesan organisasi. Manajemen harus melakukan investasi yang bijaksana dalam pengendalian dan keamanan TI serta menjaga keseimbangan antara risiko dan investasi pengendalian yang tidak terduga. Diperlukan kerangka kerja yang jelas untuk memastikan praktik pengendalian dan keamanan TI yang efektif.

Di era bisnis yang penuh persaingan, organisasi harus memanfaatkan keunggulan TI untuk meningkatkan daya saingnya. Perubahan dalam cara operasional perusahaan seperti restrukturisasi, outsourcing, dan penekanan pada efisiensi biaya berdampak pada pengendalian operasional organisasi.

Tata kelola TI membantu perusahaan dalam menggabungkan proses TI dengan tujuan perusahaan. Tata kelola TI memungkinkan perusahaan untuk mendapatkan keunggulan kompetitif melalui informasi, keuntungan maksimal, dan dampak strategis TI. Perencanaan strategis perusahaan dan aktivitas TI saling terkait untuk mencapai tujuan bisnis.

Siklus pengaturan perusahaan dan TI mencakup praktik terbaik, arahan organisasi, kegiatan perusahaan, pengukuran kinerja, dan pelaporan hasil. Manajemen harus mengidentifikasi kegiatan yang krusial dan mengevaluasi kesiapan organisasi terhadap standar internasional. Panduan Manajemen COBIT memberikan petunjuk untuk mengenali Faktor Kesuksesan Kritis (CSF), Indikator Tujuan Utama (KGI), Indikator Kinerja Utama (KPI), dan model kematangan untuk pengaturan TI.

Pengendalian secara umum, merujuk pada kebijakan, prosedur, praktik, dan struktur organisasi yang dirancang untuk memastikan bahwa tujuan bisnis tercapai dan kejadian yang tidak diinginkan dapat dicegah, dideteksi, dan diperbaiki.

Tujuan pengendalian TI, mengacu pada hasil yang diinginkan atau tujuan yang ingin dicapai melalui implementasi prosedur pengendalian dalam aktivitas TI.

Pengaturan TI, adalah struktur hubungan dan proses yang digunakan untuk mengarahkan dan mengendalikan perusahaan agar mencapai tujuannya dengan menambahkan nilai dan mengelola risiko terhadap nilai kembali dari TI dan prosesnya.

Untuk memenuhi kebutuhan organisasi dengan baik, informasi harus memenuhi kriteria tertentu. COBIT telah menetapkan kriteria tersebut dengan fokus pada kebutuhan informasi dalam sebuah organisasi. COBIT menggabungkan prinsip-prinsip penyusunan informasi berdasarkan model yang ada ke dalam tiga kategori utama: kualitas, tanggung jawab fidusier, dan keamanan.

Berdasarkan kriteria di atas, terdapat tujuh kategori yang saling terkait dan digunakan sebagai kriteria untuk mengevaluasi sumber daya teknologi informasi yang dapat memenuhi kebutuhan informasi organisasi. Kriteria tersebut termasuk efektivitas, efisiensi, kerahasiaan, integritas, ketersediaan, pemenuhan, dan keterandalan informasi.

Sumber daya TI yang diidentifikasi dalam COBIT meliputi data, sistem aplikasi, teknologi, fasilitas, dan sumber daya manusia. Semua sumber daya ini diperlukan untuk menyediakan layanan informasi yang efektif dan efisien dalam proses bisnis.

Proses bisnis memerlukan informasi yang berkualitas, efisien, aman, terjamin kerahasiaannya, memiliki integritas data, mematuhi peraturan, dan handal. Semua ini harus dipenuhi oleh sumber daya TI yang mencakup data, sistem aplikasi, teknologi, fasilitas, dan sumber daya manusia.

Kerangka kerja COBIT, terdiri dari tujuan pengendalian tingkat tinggi dan struktur klasifikasi keseluruhan. Terdapat tiga tingkat usaha pengaturan TI yang melibatkan manajemen sumberdaya TI. Dimulai dari bawah, terdapat kegiatan dan tugas yang diperlukan untuk mencapai hasil yang dapat diukur. Dalam kegiatan tersebut terdapat konsep siklus hidup yang mencakup kebutuhan pengendalian khusus. Di atasnya, terdapat proses yang merupakan gabungan dari kegiatan dan tugas dengan keuntungan atau perubahan alami. Pada tingkat yang lebih tinggi, proses biasanya dikelompokkan ke dalam domain.

Pengelompokan domain ini mencakup level strategis dan taktis, serta fokus pada identifikasi cara TI yang dapat meningkatkan pencapaian terbaik tujuan bisnis. Untuk merealisasikan strategi TI, solusi TI perlu diidentifikasi, dikembangkan, dan diimplementasikan dalam proses bisnis. Domain lainnya menyangkut penyampaian layanan yang diperlukan, dengan fokus pada keamanan dan kontinuitas operasional. Semua proses TI perlu dinilai secara teratur untuk kualitas dan pemenuhan kebutuhan pengendalian.

Kubus COBIT menggambarkan tiga sudut pandang dalam kerangka kerja, yaitu kriteria informasi, sumberdaya TI, dan proses TI. Pedoman audit COBIT memungkinkan auditor untuk mereview proses TI terhadap tujuan pengendalian yang direkomendasikan. Kebutuhan proses bisnis mencakup investigasi, analisis, dan definisi proses bisnis, platform dan sistem informasi yang mendukungnya, peran dan tanggung jawab TI, serta risiko bisnis dan strategi yang terkait. Identifikasi kebutuhan informasi yang relevan dengan proses bisnis juga penting untuk menetapkan bidang audit yang benar.

Berdasarkan informasi yang diperoleh, kita dapat memilih proses COBIT yang relevan serta sumber daya yang dapat digunakan. Selain itu, strategi audit harus diterapkan berdasarkan rencana audit yang terperinci, baik melalui pendekatan berbasis pengendalian maupun pendekatan substantif.

Institut IT Governance telah melakukan riset utama dengan melibatkan akademisi, analis, dan ahli industri untuk menghasilkan pedoman manajemen COBIT. Pedoman tersebut mencakup model maturity, CSF, KGI, dan KPI, yang memberikan alat bagi manajemen untuk mengevaluasi dan mengukur lingkungan TI organisasi dalam 34 proses TI yang diidentifikasi oleh COBIT.

Perubahan besar dalam TI dan jaringan menekankan pentingnya informasi elektronik dan sistem TI dalam mendukung proses bisnis yang kritis. Untuk mencapai kesuksesan, perusahaan perlu meningkatkan pengaturan dalam menghadapi teknologi yang kompleks. Dengan meningkatnya risiko kesalahan sistem informasi dan penyalahgunaan elektronik, lingkungan organisasi memerlukan pengendalian yang teliti terhadap informasi. Manajemen TI saat ini dipahami sebagai bagian inti dari pengaturan perusahaan.

Pengaturan TI, yang merupakan bagian dari pengaturan perusahaan, memiliki peran penting dalam mencapai tujuan organisasi dengan menambah nilai melalui penyeimbangan risiko terhadap nilai kembali dari TI dan prosesnya. Pengaturan TI juga membantu meningkatkan efisiensi dan efektivitas proses perusahaan dengan menyediakan struktur terkait proses TI, sumber daya TI, dan informasi untuk strategi dan tujuan perusahaan.

Untuk memenuhi kebutuhan penetapan dan pemantauan keamanan TI yang sesuai, definisi dari benchmarking praktek pengendalian TI, indikator kinerja proses TI, dan CSF diperlukan. Pedoman manajemen COBIT konsisten dengan kerangka kerja COBIT, tujuan pengendalian, dan pedoman audit. Prinsip balance business scorecard digunakan untuk fokus pada manajemen kinerja, menetapkan KGI, mengidentifikasi dan mengukur hasil proses, serta menilai pelaksanaan proses melalui ukuran yang memungkinkan.

Hubungan antara tujuan bisnis dan ukurannya dengan TI dan tujuan serta ukurannya sangat penting, dan dapat digambarkan dengan jelas.

Hubungan antara tujuan dan ukuran bisnis dengan tujuan dan ukuran TI sangat penting dalam memantau kinerja organisasi secara keseluruhan. Ukuran ini membantu manajemen dalam mengetahui apa yang menjadi perhatian utama mereka dan di mana fokus perlu diberikan, baik dari segi bisnis maupun TI.

Pada Balanced Business Scorecard, Key Goal Indicator digunakan sebagai gambaran hasil proses bisnis yang harus dicapai. Sedangkan pada Balanced Business Scorecard TI, Key Goal Indicator digunakan untuk mengukur hasil TI yang disampaikan dengan kriteria yang benar, seperti efektivitas, efisiensi, kerahasiaan, integritas, ketersediaan, pemenuhan, dan keterandalan.

Selain itu, model maturity digunakan untuk mengendalikan proses TI dan menilai tingkat kematangan organisasi dari non-existent hingga optimised. Setiap proses TI dalam COBIT memiliki tujuan pengendalian yang harus dipantau secara teratur, baik melalui Critical Success Factors (CSF), Key Goal Indicators (KGI), maupun Key Performance Indicators (KPI).

Dengan pendekatan ini, organisasi dapat mengidentifikasi masalah terpenting, memantau pencapaian tujuan proses, dan menilai kinerja proses TI secara menyeluruh. Melalui model maturity dan kerangka kerja COBIT, organisasi dapat meningkatkan efisiensi, efektivitas, dan kualitas layanan TI yang disediakan.

Pengendalian adalah suatu sistem yang digunakan untuk mencegah, mendeteksi, atau mengoreksi kejadian yang tidak dibenarkan (unlawful events) seperti yang dijelaskan oleh Ron Weber. Pengendalian terdiri dari dua pendekatan utama, yaitu pengendalian manajemen dan pengendalian aplikasi.

Pengendalian manajemen mencakup beberapa kontrol seperti Top Management Controls, Systems Development Management Controls, Programming Management Controls, Data Resource Management Controls, Security Management Controls, Operations Management Controls, dan Quality Assurance Management Controls. Sedangkan pengendalian aplikasi terdiri dari Boundary Controls, Input Controls, Communication Controls, Processing Controls, Database Controls, dan Output Controls.

Pengendalian internal, dalam konteks COBIT, didefinisikan sebagai serangkaian kebijakan, prosedur, praktek, dan struktur organisasi yang dirancang untuk menyiapkan keyakinan bahwa tujuan perusahaan akan tercapai dan hal-hal yang tidak dikehendaki akan terdeteksi atau dikoreksi. Tujuan dari pengendalian internal meliputi memeriksa ketelitian data, meningkatkan efektivitas dan efisiensi operasi, mencegah penyimpangan hukum, dan mengamankan aset perusahaan.

Proses pengendalian sistem informasi dibagi menjadi empat domain utama, yaitu Perencanaan dan Pengorganisasian, Akuisisi dan Implementasi, Penyampaian dan Dukungan, serta Pemantauan. Keempat domain tersebut mencakup 34 faktor risiko yang harus dievaluasi untuk memastikan keselamatan dan kehandalan sistem informasi.

Dengan demikian, pengendalian internal merupakan bagian yang penting dalam menjaga keamanan dan kinerja sistem informasi suatu perusahaan. Dengan adanya pengendalian yang baik, perusahaan dapat mencapai tujuan mereka secara efektif dan efisien serta menghindari potensi kerugian dan penyimpangan.