STANDAR AUDIT SI

 1. Tabel Kelebihan dan kekurangan Audit SI

Audit SI

Kelebihan

Kekurangan

Cobit

·      Rahasia

·      Integritas

·      Dapat memberi proteksi terhadap informasi yg sensitif dari akses orang tidak bertanggung jawab

·     Cobit hanya berfokus pada kendali dan pengukuran

·     Cobit hanya memberikan panduan kendali dan tidak memberikan panduan implementasi operasional

 

ITIL (Information Technology Infrastructure Library)

·      Memberi deskripsi rinci sejumlah praktik penting TI dan menyediakan daftar komprehensif tugas dan prosedur

·      bukan merupakan standard yang memberikan prescription tetapi lebih kepada merekomendasikan, oleh karena itu implementasi antara satu organisasi dengan organisasi lain dapat dipastikan terdapat perbedaan. Dengan demikian kita tidak bisa membandingkan / melakukan benchmark secara pasti.

 

·     buku-buku ITIL sulit terjangkau bagi pengguna non komersial, ITIL bersifat holistic yang mencakup semua kerangka kerja untuk tatakelola TI, pelaksanaan pedoman dalam buku ITIL memerlukan pelatihan khusus dan biaya pelatihan atau sertifikasi ITIL terlalu tinggi.

ISO/IEC 38500

·      Menjamin akuntabilitas diberikan untuk semua Resiko IT dan aktivitasnya

·      Memberikan panduan kepada advisor perusahaan.

·      Memberikan prinsip panduan bagi direksi organisasi (termasuk pemilik, anggota dewan, direktur, mitra, eksekutif senior, atau yang sejenisnya) mengenai penggunaan Teknologi Informasi (TI) yang efektif, efisien, dan dapat diterima di dalam organisasi mereka.

 

2A. Konsep Dasar Kontrol dan Audit Sistem Informasi

        Audit sistem informasi berbasis kendali merupakan  suatu sistem yang mencegah, mendeteksi atau memperbaiki kejadian yang tidak dibenarkan (unlawfulevents) seperti: unautorized (tidak nyambung), innacurrete(kurang baik), incomplete(tidak komplet/tidak sesuai), redundant(mubazir), ineffective, ineffeicient event.tujuanya yaitu untuk mengurangi kesalahan yang mungkin terjadi dari kejadian yang dibenarkan.

        Berdasarkan standar manajemen yang dikeluarkan  oleh Internasional Standar Organization (ISO) yaitu ISO 9001-2000, penilaian kondisi sistem mutu mempunyai 4 skala yaitu:

  • P (Poor) yaitu sistem mutu praktis belum terbentuk. Disarankan untuk meninjau ulang keseluruhan proses.
  • W (Weak) yaitu masih banyak elemen sistem manajemen mutu yang tidak sesuai standar.
  • F (Fair) yaitu beberapa elemen sistem telah sesuai standar tetapi masih ada yang belum sesuai bahkan tidak ada sama sekali.
  • S (Strong) yaitu Sebagian besar persyaratan ISO 9001-2000 telah dapat dipenuhi oleh sistem.
2B. Prinsip – prinsip Dasar Proses Audit SI

  1. Audit dititik beratkan pada objek audit yang mempunyai peluang untuk diperbaiki.
  2. Prasyarat Penilaian terhadap kegiatan objek audit.
  3. Pengungkapan dalam laporan adanya temuan-temuan yang bersifat positif.
  4. Identifikasi individu yang bertanggung jawab terhadap kekurangan-kekurangan yang terjadi.
  5. Penentuan tindakan terhadap petugas yang seharusnya bertanggung jawab.
  6. Pelanggaran hukum.
  7. Penyelidikan dan pencegahan kecurangan.
2C. Standar dan Panduan Audit SI

    Panduan yang dipergunakan dalam Audit Sistem Informasi di Indonesia adalah Standar Atestasi, dan aturan-aturan yang dikeluarkan oleh organisasi profesi akuntansi (IAI di Indonesia, AICPA di USA, atau CICA untuk Kanada), maupun yang lebih khusus lagi, yaitu dari ISACA atau IIA. Model referensi sistem pengendalian intern (internal controls model/framework) lazimnya adalah COBIT. Audit objectives dalam audit terhadap

    IT governance (menurut COBIT adalah: effectiveness, confidentiality, data integrity, availability, efficiency, dan realibility). Karena yang diperiksa adalah tata-kelola Teknologi Informasi (IT governance), maka yang diperiksa antara lain adalah Teknologi Informasi itu sendiri. Karena itu istilah audit arround the computer dan audit through the computer tidak relevan lagi di sini.

Standar Audit SI ada 3, yaitu :

  • ISACA

ISACA adalah suatu organisasi profesi internasional di bidang tata kelola teknologi informasi yang didirikan di Amerika Serikat pada tahun 1967. Awalnya dikenal dengan nama lengkap Information Systems Audit and Control Association, saat ini ISACA hanya menggunakan akronimnya untuk merefleksikan cakupan luasnya di bidang tata kelola teknologi informasi.

ISACA didirikan oleh individu yang mengenali kebutuhan untuk sumber informasi terpusat dan bimbingan dalam bidang tumbuh kontrol audit untuk sistem komputer. Hari ini, ISACA memiliki lebih dari 115.000 konstituen di seluruh dunia dan telah memiliki kurang lebih 70.000 anggota yang tersebar di 140 negara. Anggota ISACA terdiri dari antara lain auditor sistem informasi, konsultan, pengajar, profesional keamanan sistem informasi, pembuat perundangan, CIO, serta auditor internal. Jaringan ISACA terdiri dari sekitar 170 cabang yang berada di lebih dari 60 negara, termasuk di Indonesia.

Sifat khusus audit sistem informasi, keterampilan dan pengetahuan yang diperlukan untukmelakukan audit SI memerlukan standar yang berlaku secara global

ISACA berperan untuk memberikan informasi untuk mendukung kebutuhan pengetahuan

Dalam famework ISACA terkait, audit sistem informasi terdapat Standards, Guidelines and procedures

Standar yang ditetapkan oleh ISACA harus diikuti oleh auditor.

Guidelines memberikan bantuan tentang bagaimana auditor dapat menerapkan standar dalam berbagai penugasan audit.

Prosedur memberikan contoh langkah-langkah auditor dapat mengikuti penugasan audit tertentu sehingga dapat menerapkan standar.

Namun, IS auditor harus menggunakan pertimbangan profesional ketika menggunakan pedoman dan prosedur.

  •  COBIT

The Comitte of Sponsoring Organizations of the treadway commission’s (COSO) dibentuk pada tahun 1985 sebagai alinasi dari 5 (lima) organisasi professional. Organisasi tersebut terdiri dari American Accounting Association, American Instititue of Certified Public Accountants, Financial Executives International, Instititute of Management Accountants, dan The Institute of Internal Auditors. Koalisi ini didirikan untuk menyatukan pandangan dalam komunitas bisnis berkaitan dengan isu-isu seputar pelaporan keuangan yang mengandung fraud.

Secara garis besar, COSO menghadirkan suatu kerangka kerja yang integral terkait dengan definisi pengendalian intern, komponen-komponennya, dan kriteria pengendalian intern yang dapat dievaluasi. Pengendalian internal terdiri dari 5 komponen yang saling berhubungan. Komponen-komponen tersebut memberikan kerangka kerja yang efektif untuk menjelaskan dan menganalisa sistem pengendalian internal yang diimplementasikan dalam suatu organisasi. Komponen-komponen tersebut, adalah sebagai berikut:

  1. Lingkungan pengendalian
  2. Penilaian resiko
  3. Aktifitas pengendalian
  4. Informasi dan komunikasi
  5. Pemantauan 

  • ISO 1799

Menghadirkan sebuah standar untuk sistem manajemen keamanan informasi yang meliputi dokumen kebijakan keamanan informasi, alokasi keamanan informasi tanggung jawab menyediakan semua pemakai dengan pendidikan dan pelatihan di dalam keamanan informasi, mengembangkan suatu sistem untuk laporan peristiwa keamanan, memperkenalkan virus kendali, mengembangkan suatu rencana kesinambungan bisnis, mengikuti kebutuhan untuk pelindungan data, dan menetapkan prosedur untuk mentaati kebijakan keamanan.

 3A. KONTROL INTERNAL

        Melalui Statement of Auditing Standar (SAS), AICPA mendefinisikan Internal Control sama dengan definisi COSO, yaitu suatu proses yang dipengaruhi oleh aktivitas Dewan Komisaris, Manajemen dan Pegawai, yang dirancang untuk memberikan keyakinan yang wajar atas (a) keandalan pelaporan keuangan, (b) efektivitas dan efisiensi operasi, dan (c) ketaatan terhadap hukum dan peraturan yang berlaku. Berbeda dengan definisi pertama yang hanya mengaitkan pengendalian hanya dengan perencanaan, metode dan pengukuran, pada definisi berikutnya terkait dengan “proses yang dipengaruhi oleh aktivitas seluruh komponen organisasi”. Definisi ini mengandung makna yang lebih luas dari definisi sebelumnya.

        Dalam teori akuntansi dan organisasi, pengendalian intern atau internal control didefinisikan sebagai suatu proses, yang dipengaruhi oleh sumber daya manusia dan sistem teknologi informasi, yang dirancang untuk membantu organisasi mencapai suatu tujuan atau objektif tertentu. Pengendalian intern merupakan suatu cara untuk mengarahkan, mengawasi, dan mengukur sumber daya suatu organisasi. Ia berperan penting untuk mencegah dan mendeteksi penggelapan (fraud) dan melindungi sumber daya organisasi baik yang berwujud (seperti mesin dan lahan) maupun tidak (seperti reputasi atau hak kekayaan intelektual seperti merek dagang).

        Untuk menjaga agar sistem internal control ini benar-benar dapat dilaksanakan, maka sangat diperlukan adanya internal auditor atau bagian pemeriksaan intern. Fungsi pemeriksaan ini merupakan upaya tindakan pencegahan, penemuan penyimpangan-penyimpangan melalui pembinaan dan pemantauan internal control secara berkesinambungan. Bagian ini harus membuat suatu program yang sistematis dengan mengadakan observasi langsung, pemeriksaan dan penilaian atas pelaksanaan kebijakan pimpinan serta pengawasan sistem informasi akuntansi dan keuangan lainnya.

        RUANG LINGKUP KONTROL INTERNAL

Ruang lingkup menurut Guy (2002:410), ruang lingkup audit internal meliputi pemeriksaan dan evaluasi yang memadai serta efektifitas sistem pengendalian internal organisasi dan kualitas kinerja dalam melaksanakan tanggungjawab yang dibebankan.

Ruang lingkup audit internal menurut The Institute of Internal auditors (IIA) yang dikutip oleh Boynton et al (2001:983) “The scope of audit internal should encompass of the adequacy and effectiveness the organizations system of performance in carrying out assigned responsibilities; (1) reability and integrying of information; (2) compliance with policies, plans, procedures, laws, regulations and contacts; (3) safeguarding of assets; (4) economical and efficient use of resources; (5) accomplishment of established objectives and goals for operations programs”. (Ruang lingkup audit internal harus mencakup kecukupan dan efektivitas sistem kinerja organisasi dalam melaksanakan tanggung jawab yang ditugaskan; (1) keandalan dan menyokong informasi; (2) sesuai dengan kebijakan, rencana, prosedur, hukum, peraturan dan kontak; (3) pengamanan aktiva; (4) penggunaan sumber daya yang ekonomis dan efisien; (5) tercapainya target yang ditetapkan dan tujuan program operasi).

Menurut Hiro Tugiman (2001:17), lingkup pekerjaan pemeriksaan internal harus meliputi pengujian dan evaluasi terhadap kecukupan serta efektivitas sistem pengendalian internal yang dimiliki organisasi dan kualitas pelaksanaan tanggung jawab yang diberikan.

        SISTEM KONTROL INTERNAL

Suatu sistem atau sosial yang dilakukan perusahaan yang terdiri dari struktur organisasi, metode, dan ukuran-ukuran untuk menjaga dan mengarahkan jalan perusahaan agar bergerak sesuai dengan tujuan dan prgram perusahaan dan mendorong efisiensi serta dipatuhinya kebijakan manajemen.

 3B. CONTROL OBJECTIVES

        Sekumpulan dokumentasi best practice untuk IT Governance yang dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT (Sasongko, 2009).

        COBIT mendukung tata kelola TI dengan menyediakan kerangka kerja untuk mengatur keselarasan TI dengan bisnis. Selain itu, kerangka kerja juga memastikan bahwa TI memungkinkan bisnis, memaksimalkan keuntungan, resiko TI dikelola secara tepat, dan sumber daya TI digunakan secara bertanggung jawab (Tanuwijaya dan Sarno, 2010).

        COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara dibangun chapter yang dapat mengelola para profesional tersebut.

        CONTROL RISK

Risk control adalah metode pengendalian risiko yang tidak melibatkan uang/dana. Metode ini terdiri dari 3 tahapan, yaitu sebelum, pada saat, dan sesudah terjadi kontak dengan kerugian. Di sini kejadian-kejadian yang mengakibatkan kerugian keuangan diupayakan untuk dikurangi kemungkinan terjadinya dan besarnya kerugian keuangan yang terjadi diminimalkan.

Ada 5 cara (metode) dalam pengendalian risiko:

1. Risk Avoidance (Penghindaran Risiko)

Dengan metode ini, risiko dihindari dengan cara meninggalkan atau tidak pernah melakukan kegiatan apa pun yang memiliki risiko. Hal ini dilakukan dengan mempertimbangkan potensi keuntungan dan kerugian yang dapat diakibatkan oleh suatu aktifitas. Contohnya: Tidak bepergian ke tempat rawan bencana seperti Jepang dan tidak melakukan olahraga berbahaya jika tidak ingin cidera.

2. Segregation (Pemisahan Risiko) and Diversification (Pembagian Risiko)

Segregation dilakukan dengan memisahkan orang-orang atau benda-benda yang dapat menjadi penyebab kerugian. Diversifikasi dilakukan dengan memperbanyak aset atau aktifitas pada lokasi yang berbeda. Contohnya: Menempatkan uang pada beberapa sarana investasi yang berbeda daripada menempatkan ssemuanya dalam satu sarana investasi. Selain itu, dapat juga memilih untuk bepergian dengan kendaraan terpisah daripada semua keluarga inti berada dalam satu kendaraan.

3. Loss Prevention (Pencegahan Kerugian)

Metode ini dilakukan untuk mencegah dampak kerugian. Contohnya, dengan meningkatkan langkah-langkah keamanan untuk mengurangi kemungkinan kebakaran dengan memasang alarm kebakaran. Selain itu, bisa juga dengan melakukan langkah-langkah pengurangan risiko sakit dengan hidup sehat dan mencegah dampak kecelakaan bermotor dengan mengenakan helm saat mengendarai motor.

4. Loss Reduction (Pengurangan Kerugian)

Metode ini dilakukan dengan mengurangi dampak kerugian atau pun kerusakan yang dihasilkan oleh suatu risiko. Contohnya, dengan menggunakan sabuk pengaman untuk mengurangi kemungkinan terjadinya cidera dalam kecelakaan lalu lintas dan mengurangi dampak kebakaran dengan pemadam kebakaran otomatis.

5. Non-insurance Transfer (Pemindahan Non-asuransi)

Dengan metode ini, risiko dialihkan tanpa menggunakan asuransi. Contohnya, dengan mendirikan sebuah peusahaan bisnis untuk mengalihkan risiko menanggung kerugian dan mengambil kontrak sewa yang lebih panjang untuk menghindari harga sewa yang meningkat.


3C. MANAGEMENT CONTROL FRAMEWORK

Mengumpulkan dan menggunakan informasi untuk mengevaluasi kinerja berbagai sumber daya organisasi secara keseluruhan.

APPLICATION CONTROL FRAMEWORK

Sistem pengendalian intern komputer yang berkaitan dengan pekerjaan dan kegiatan tertentu yang telah ditentukan. Berkaitan dengan ruang lingkup proses bisnis individu atau sistem aplikasi. 


3D. CORPORATE IT GOVERNANCE

Kumpulan kebijakan, proses atau aktifitas dan prosedur untuk mendukung pengoperasian TI agar hasilnya sejalan dengan strategi bisnis.


4. ASPEK PADA MANAGEMENT CONTROL FRAMEWORK DAN CONTOHNYA 

Dalam Management Control Framework memiliki beberapa aspek, yaitu: 

  1. Top management controls 
  2. System development management controls 
  3. Programming management controls 
  4. Data resources management controls 
  5. Security management controls 
  6. Operations management controls 
  7. Quality assurance management controls 

Contoh dari Management Control Framework adalah Saat seorang staf diberi kabar pemberhentian, top management dan supervisor harus diberi tahu dan sepakat tentang alasan pemberhentian. Saat pemberhentian, pastikan bahwa: 

  • Kunci dan kartu identitas ditarik 
  • Password staf dibatalkan; 
  • Distribution lists diubah 
  • Laporan, buku, dokumentasi, dll diserahkan 
  • Seluruh fasilitas dikembalikan Jika pemberhentian dilakukan dengan baik-baik, staf dapat diminta untuk memberikan pelatihan bagi staf pengganti. 
  • Jika perlu, lakukan wawancara kepada staf yang keluar. 

Komentar

Posting Komentar

Postingan populer dari blog ini

REVIEW ARTIFICIAL INTELLIGENCE DALAM MENGUKUR PRESENTASE TINGKAT KEMIRIPAN (PLAGIATRISME)

Gambar
REVIEW ARTIFICIAL INTELLIGENCE DALAM MENGUKUR PRESENTASE TINGKAT KEMIRIPAN (PLAGIARISME) SANI ROSA SISTEM INFORMASI - FAKULTAS ILMU KOMPUTER - GUNADARMA SANITAURUS21@GMAIL.COM KIMIKIMIKIMIK@BLOGSPOT.COM ABSTRAK Berkembangnya teknologi informasi dan komunikasi yang semakin pesat menyebabkan pencarian data dan informasi semakin mudah dan cepat. Namun perkebangan teknologi informasi ini justru menimbulkan berbagai macam dampak negatif, salah satunya plagiarisme. Plagiatrisme atau yang sering di sebut dengan tindakan plagiat adalah penjiplakan atau pengambilan karangan, pendapat, dan sebagainya dari orang lain dan menjadikannya seolah karangan dan pendapat sendiri. Seperti mahasiswa yang sedang membuat penulisan ilmiah skripsi, terjadi tindakan plagiat dalam menyalin data ( copy and paste ). Adanya persamaan judul penulisan ilmiah skripsi antar mahasiswa membuat mahasiswa melakukan penyalinan data atau teks, sehingga memicu terjadinya penulisan ilmiah yang sama...
Baca selengkapnya

Apa itu LSP? Kenapa LSP dibentuk oleh pemerintah?

  Lembaga Sertifikasi Profesi (LSP) adalah lembaga pelaksanaan kegiatan sertifikasi profesi yang memperoleh lisensi dari Badan Nasional Sertifikasi Profesi (BNSP). Lisensi diberikan melalui proses akreditasi oleh BNSP yang menyatakan bahwa LSP bersangkutan telah memenuhi syarat untuk melakukan kegiatan sertifikasi profesi. Sebagai organisasi tingkat nasional yang berkedudukan di wilayah Republik Indonesia, LSP dapat membuka cabang yang berkedudukan di kota lain.
Baca selengkapnya

Penerapan Enterprise Resource Planning (ERP) untuk Sistem Informasi

Gambar
 RANCANG BANGUN ENTERPRISE RESOURCE PLANNING (MODUL KEUANGAN, LOGISTIK, & SUMBER DAYA MANUSIA) PADA SENTRA INDUSTRI KAOS DI BANDUNG JAWA BARAT SINTYA SUKARTA, LUSI MELIAN, RAUF FAUZAN  Program Studi Sistem Informasi, Fakultas Teknik dan Ilmu Komputer Universitas Komputer Indonesia  Industri kaos merupakan salah satu UKM unggulan di Kota Bandung. Sebagian besar dari UKM yang bergerak dalam industri kaos saat ini belum menjalankan proses bisnisnya dengan baik dan belum memanfaatkan teknologi informasi terintegrasi dalam menjalankan usahanya. Pemanfaatan teknologi informasi ini dapat membantu UKM industri kaos dalam menjalankan proses bisnisnya, sehingga dapat meningkatkan produktivitas. Penelitian ini dilakukan untuk membangun Enterprise Resource Planning (ERP) pada UKM industri kaos di Kota Bandung, dengan membangun modul keuangan, logistik, dan sumber daya manusia. Adapun metode penelitian menggunakan metode System Development Life Cycle (SDLC). Pemanfaatan E...
Baca selengkapnya