Perbandingan Standar Audit Sistem Informasi
A. Konsep Dasar Kontrol dan Audit Sistem Informasi
Audit sistem informasi berbasis kendali
merupakan suatu sistem yang mencegah, mendeteksi atau memperbaiki
kejadian yang tidak dibenarkan (unlawfulevents) seperti: unautorized (tidak
nyambung), innacurrete(kurang baik), incomplete(tidak komplet/tidak sesuai),
redundant(mubazir), ineffective, ineffeicient event.tujuanya yaitu untuk
mengurangi kesalahan yang mungkin terjadi dari kejadian yang dibenarkan.
Berdasarkan standar manajemen yang
dikeluarkan oleh Internasional Standar Organization (ISO) yaitu
ISO 9001-2000, penilaian kondisi sistem mutu mempunyai 4 skala yaitu:
- P
(Poor) yaitu sistem mutu praktis belum terbentuk. Disarankan untuk
meninjau ulang keseluruhan proses.
- W
(Weak) yaitu masih banyak elemen sistem manajemen mutu yang tidak sesuai
standar.
- F (Fair)
yaitu beberapa elemen sistem telah sesuai standar tetapi masih ada yang
belum sesuai bahkan tidak ada sama sekali.
- S
(Strong) yaitu Sebagian besar persyaratan ISO 9001-2000 telah dapat
dipenuhi oleh sistem.
B. Prinsip – prinsip Dasar Proses Audit SI
- Audit
dititik beratkan pada objek audit yang mempunyai peluang untuk diperbaiki.
- Prasyarat
Penilaian terhadap kegiatan objek audit.
- Pengungkapan
dalam laporan adanya temuan-temuan yang bersifat positif.
- Identifikasi
individu yang bertanggung jawab terhadap kekurangan-kekurangan yang
terjadi.
- Penentuan
tindakan terhadap petugas yang seharusnya bertanggung jawab.
- Pelanggaran
hukum.
- Penyelidikan
dan pencegahan kecurangan.
C. Standar dan Panduan Audit SI
Panduan yang dipergunakan dalam Audit Sistem Informasi di
Indonesia adalah Standar Atestasi, dan aturan-aturan yang dikeluarkan oleh
organisasi profesi akuntansi (IAI di Indonesia, AICPA di USA, atau CICA untuk
Kanada), maupun yang lebih khusus lagi, yaitu dari ISACA atau IIA. Model
referensi sistem pengendalian intern (internal controls model/framework)
lazimnya adalah COBIT. Audit objectives dalam audit terhadap
IT governance (menurut COBIT adalah:
effectiveness, confidentiality, data integrity, availability, efficiency, dan
realibility). Karena yang diperiksa adalah tata-kelola Teknologi Informasi (IT
governance), maka yang diperiksa antara lain adalah Teknologi Informasi itu
sendiri. Karena itu istilah audit arround the computer dan audit
through the computer tidak relevan lagi di sini.
Standar Audit SI ada 3, yaitu :
- ISACA
ISACA adalah suatu organisasi profesi internasional di
bidang tata kelola teknologi informasi yang didirikan di Amerika Serikat pada
tahun 1967. Awalnya dikenal dengan nama lengkap Information Systems Audit and
Control Association, saat ini ISACA hanya menggunakan akronimnya untuk
merefleksikan cakupan luasnya di bidang tata kelola teknologi informasi.
ISACA didirikan oleh individu yang mengenali kebutuhan untuk
sumber informasi terpusat dan bimbingan dalam bidang tumbuh kontrol audit untuk
sistem komputer. Hari ini, ISACA memiliki lebih dari 115.000 konstituen di
seluruh dunia dan telah memiliki kurang lebih 70.000 anggota yang tersebar di
140 negara. Anggota ISACA terdiri dari antara lain auditor sistem informasi,
konsultan, pengajar, profesional keamanan sistem informasi, pembuat
perundangan, CIO, serta auditor internal. Jaringan ISACA terdiri dari sekitar
170 cabang yang berada di lebih dari 60 negara, termasuk di Indonesia.
- Sifat
khusus audit sistem informasi, keterampilan dan pengetahuan yang
diperlukan untukmelakukan audit SI memerlukan standar yang berlaku secara
global
- ISACA
berperan untuk memberikan informasi untuk mendukung kebutuhan pengetahuan
- Dalam
famework ISACA terkait, audit sistem informasi terdapat Standards,
Guidelines and procedures
- Standar
yang ditetapkan oleh ISACA harus diikuti oleh auditor.
- Guidelines
memberikan bantuan tentang bagaimana auditor dapat menerapkan standar
dalam berbagai penugasan audit.
- Prosedur
memberikan contoh langkah-langkah auditor dapat mengikuti penugasan audit
tertentu sehingga dapat menerapkan standar.
- Namun, IS auditor harus menggunakan pertimbangan profesional ketika menggunakan pedoman dan prosedur.
- COBIT
The Comitte of Sponsoring Organizations of the treadway
commission’s (COSO) dibentuk pada tahun 1985 sebagai alinasi dari 5 (lima)
organisasi professional. Organisasi tersebut terdiri dari American Accounting
Association, American Instititue of Certified Public Accountants, Financial
Executives International, Instititute of Management Accountants, dan The
Institute of Internal Auditors. Koalisi ini didirikan untuk menyatukan
pandangan dalam komunitas bisnis berkaitan dengan isu-isu seputar pelaporan
keuangan yang mengandung fraud.
Secara garis besar, COSO menghadirkan suatu kerangka kerja
yang integral terkait dengan definisi pengendalian intern,
komponen-komponennya, dan kriteria pengendalian intern yang dapat dievaluasi.
Pengendalian internal terdiri dari 5 komponen yang saling berhubungan.
Komponen-komponen tersebut memberikan kerangka kerja yang efektif untuk
menjelaskan dan menganalisa sistem pengendalian internal yang diimplementasikan
dalam suatu organisasi. Komponen-komponen tersebut, adalah sebagai berikut:
- Lingkungan
pengendalian
- Penilaian
resiko
- Aktifitas
pengendalian
- Informasi
dan komunikasi
- Pemantauan
- ISO
1799
Menghadirkan sebuah standar untuk sistem manajemen keamanan
informasi yang meliputi dokumen kebijakan keamanan informasi, alokasi keamanan
informasi tanggung jawab menyediakan semua pemakai dengan pendidikan dan
pelatihan di dalam keamanan informasi, mengembangkan suatu sistem untuk laporan
peristiwa keamanan, memperkenalkan virus kendali, mengembangkan suatu rencana
kesinambungan bisnis, mengikuti kebutuhan untuk pelindungan data, dan
menetapkan prosedur untuk mentaati kebijakan keamanan..
Aspek Management Control Framework
- Planning
and Organization
- Acquisition
and Implementation
- Delivery
and Support
- Monitoring
Application control framework
Boundary controls
A. Cryptographic control
- Transposition
ciphers: menggunakan permutasi urutan karakter dari sederet string
- Subtitution
ciphers: mengganti karakter dengan karakter lain sesuai aturan tertentu
- Product
ciphers: kombinasi transposition dan subtitution ciphers
B. Access control
- Acccess
controls yang digunakan dan kemungkinan masalahnya
- Ukuran
proteksi yang ditekankan pada mekanisme access controls
- Apakah
organisasi menggunakan access controls yang disediakan dalam paket
perangkat lunak
C. Personal Identification Numbers (PIN)
- Generasi
PIN
- Penerbitan
dan penyampaian PIN kepada pengguna
- Validasi
PIN
- Transmisi
PIN di seluruh jalur komunikasi
- Pemrosesan
PIN
- Penyimpanan
PIN
- Perubahan
PIN
- Penggantian
PIN
- Penghentian
PIN
D. Digital signature
pengujian sistem manajemen yang digunakan untuk mengelola tanda tangan digital, penggunaan dan penyebarannyaE. Plastic cards
- Pengajuan
kartu
- Persiapan
kartu
- Penerbitan
kartu
- Penggunaan
kartu
- Pengembalian/ penghancuran kartu
Kontrol Internal, Ruang Lingkup Kontrol internal & Sistem Kontrol Internal
- Pengendalian
intern (internal control) adalah untuk membantu manajemen dengan tujuan
tercapainya mekanisme kerja yang lebih efisien dan efektif. Struktur
pengendalian intern sebagai suatu tipe pengawasan diperlukan karena adanya
keharusan untuk mendelegasikan wewenang dan tanggung jawab dalam suatu
organisasi.
- Ruang
lingkup audit sistem informasi dibatasi pada pengendalian internal,
sementara ruang lingkup audit operasional lebih luas, melintasi seluruh
aspek manajemen sistem informasi.
Prosedur pengumpulan buktinya ?
- Mengamati
fungsi – fungsi dan kegiatan operasional.
- Memeriksa
rencana dan laporan keuangan serta operasional
- Menguji
akurasi informasi operasional
- Menguji
pengendalian
- Control
is a system that prevents, detects, or corects unlawful events
1. A system : komponen-komponen yang saling berkaitan
untuk
mencapai tujuan bersama
Evaluasi terhadap kontrol harus mempertimbangkan
keterkaitannya dari perspektif sistem (= IS / organization
perspective)
2. Focus on unlawful events (=kejadian tdk sah/tdk benar).
Unlawful events : unauthorized, inaccurate, incomplete,
redundant, ineffective, or inefficient input enters the system
3. Controls are used to prevents, detects, or corects unlawful
events.
Untuk mengurangi kerugian yang mungkin terjadi karena
kemunculan unlawful events dalam sistem.
A. Control Objectives, Control Risk
- Control
objectives ialah sekumpulan best practices (framework) untukmanajemen IT,
berupa sekumpulan ukuran, indikator, proses dan best practives untuk
memaksimalkan manfaat penggunaan IT, dan melakukan tata kelola serta
kontrol IT dalam perusahaan
- Control
Risk audit sistem informasi tidak dapat mendeteksi kelemahan kendali
B. Management Control Framework & Application Control Framework
Management control adalah melindungi terhadap akses tidak sah atau kerusakan data & memadai backup data. Adapun control tersebut meliputi kontrol terhadap:- access
– encryption, user authorization tables, inference controls and biometric
devices are a few examples
- backup
– grandfather-father-son and direct access backup; recovery procedures
Application control adalah sistem pengendalian intern
komputer yang berkaitan dengan pekerjaan atau kegiatan tertentu yang telah
ditentukan.
Tujuan pengendalian aplikasi :
- Input
data akurat, lengkap, terotorisasi dan benar
- Data
diproses sebagaimana mestinya dalam periode waktu yang tepat
- Data
disimpan secara tepat dan lengkap
- Output
yang dihasilkan akurat dan lengkap
- Adanya catatan mengenai pemrosesan data dari input sampai menjadi output
C. Corporate IT Governance
IT Governance adalah tanggung jawab dewan direksi dan manajemen eksekutif dan merupakan bagian integral dari tata kelola perusahaan. IT governance terdiri dari kepemimpinan dan organisasi struktur dan proses yang memastikan bahwa organisasi IT ini menopang dalam arti luas strategi dan tujuan organisasi.
Komentar
Posting Komentar