Konsep Dasar Kontrol dan Standar Panduan Audit SI
A.
KONSEP
DASAR KONTROL AUDIT SISTEM INFORMASI
Audit
sistem informasi adalah proses pengumpulan dan penilaian bukti – bukti untuk
menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas
data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan
sumberdaya secara efisien”.
Audit sistem informasi dilakukan untuk dapat menilai:
a.
apakah sistem komputerisasi suatu
organisasi/perusahaan dapat mendukung pengamanan aset.
b.
apakah sistem komputerisasi dapat mendukung
pencapaian tujuan organisasi/perusahaan.
c.
apakah sistem komputerisasi
tersebut efektif, efisien dan data integrity terjamin.
B.
STANDARD
DAN PANDUAN AUDIT SISTEM INFORMASI
Standard
Audit
Standar
Audit SI tidak lepas dari standar professional seorang auditor SI. Standar
professional adalah ukuran mutu pelaksanaan kegiatan profesi yang menjadi
pedoman bagi para anggota profesi dalam menjalankan tanggungjawab profesinya.
Standar profesional adalah batasan kemampuan (knowledge, technical skill and
professional attitude) minimal yang harus dikuasai oleh seseorang individu
untuk dapat melakukan kegiatan profesionalnya pada masyarakat secara mandiri
yang aturan-aturannya dibuat oleh organisasi profesi yang bersangkutan.
Panduan Audit
Panduan
yang dipergunakan dalam Audit Sistem Informasi di Indonesia adalah Standar
Atestasi, dan aturan-aturan yang dikeluarkan oleh organisasi profesi akuntansi
(IAI di Indonesia, AICPA di USA, atau CICA untuk Kanada), maupun yang lebih
khusus lagi, yaitu dari ISACA atau IIA. Model referensi sistem pengendalian
intern (internal controls model/framework) lazi mnya adalah
COBIT. Audit objectives dalam audit terhadap IT governance (menurut COBIT
adalah: effectiveness, confidentiality, data integrity, availability,
efficiency, dan realibility) karena yang di periksa adalah tata-kelola
Teknologi Informasi (IT governance), maka yang diperiksa antara lain adalah
Teknologi Informasi itu sendiri. Karena itu istilah audit arround the computer
dan audit through the computer tidak relevan lagi di sini.
Berikut
adalah beberapa dari Standard dan Paduan Sistem Informasi yang biasa digunakan:
1. ISACA
ISACA
adalah suatu organisasi profesi internasional di bidang tata kelola teknologi
informasi yang didirikan di Amerika Serikat pada tahun 1967. Awalnya dikenal
dengan nama lengkap Information Systems Audit and Control Association, saat ini
ISACA hanya menggunakan akronimnya untuk merefleksikan cakupan luasnya di
bidang tata kelola teknologi informasi.
ISACA
didirikan oleh individu yang mengenali kebutuhan untuk sumber informasi
terpusat dan bimbingan dalam bidang tumbuh kontrol audit untuk sistem komputer.
Hari ini, ISACA memiliki lebih dari 115.000 konstituen di seluruh dunia dan
telah memiliki kurang lebih 70.000 anggota yang tersebar di 140 negara. Anggota
ISACA terdiri dari antara lain auditor sistem informasi, konsultan, pengajar,
profesional keamanan sistem informasi, pembuat perundangan, CIO, serta auditor
internal. Jaringan ISACA terdiri dari sekitar 170 cabang yang berada di lebih
dari 60 negara, termasuk di Indonesia.
·
Sifat khusus audit sistem informasi,
keterampilan dan pengetahuan yang diperlukan untuk melakukan audit SI
memerlukan standar yang berlaku secara global.
·
ISACA berperan untuk memberikan
informasi untuk mendukung kebutuhan pengetahuan
·
Dalam famework ISACA terkait, audit
sistem informasi terdapat Standards, Guidelines and procedures
·
Standar yang ditetapkan oleh ISACA harus
diikuti oleh auditor.
·
Guidelines memberikan bantuan tentang
bagaimana auditor dapat menerapkan standar dalam berbagai penugasan audit.
·
Prosedur memberikan contoh
langkah-langkah auditor dapat mengikuti penugasan audit tertentu sehingga dapat
menerapkan standar.
·
Namun, IS auditor harus menggunakan
pertimbangan profesional ketika menggunakan pedoman dan prosedur.
2.
IIA COSO
The
Comitte of Sponsoring Organizations of the treadway commission’s (COSO)
dibentuk pada tahun 1985 sebagai alinasi dari 5 (lima) organisasi professional.
Organisasi tersebut terdiri dari American Accounting Association, American
Instititue of Certified Public Accountants, Financial Executives International,
Instititute of Management Accountants, dan The Institute of Internal Auditors.
Koalisi ini didirikan untuk menyatukan pandangan dalam komunitas bisnis
berkaitan dengan isu-isu seputar pelaporan keuangan yang mengandung fraud.
Secara
garis besar, COSO menghadirkan suatu kerangka kerja yang integral terkait
dengan definisi pengendalian intern, komponen-komponennya, dan kriteria
pengendalian intern yang dapat dievaluasi. Pengendalian internal terdiri dari 5
komponen yang saling berhubungan. Komponen-komponen tersebut memberikan
kerangka kerja yang efektif untuk menjelaskan dan menganalisa sistem
pengendalian internal yang diimplementasikan dalam suatu organisasi.
Komponen-komponen tersebut, adalah sebagai berikut:
1) Lingkungan
pengendalian
Lingkungan
pengendalian menetapkan nada organisasi, mempengaruhi kesadaran kontrol dari
orang-orangnya. Ini adalah fondasi untuk semua komponen kontrol internal
lainnya, menyediakan disiplin dan struktur. Faktor lingkungan pengendalian
termasuk integritas, nilai-nilai etika, gaya operasi manajemen, pendelegasian
sistem otoritas, serta proses untuk mengelola dan mengembangkan orang dalam
organisasi.
2) Penilaian
resiko
Setiap
entitas menghadapi berbagai risiko dari sumber eksternal dan internal yang
harus dinilai. Prasyarat untuk penilaian risiko adalah pembentukan tujuan dan
dengan demikian penilaian risiko adalah identifikasi dan analisis risiko yang
relevan dengan pencapaian tujuan yang ditetapkan. Penilaian risiko merupakan
prasyarat untuk menentukan bagaimana risiko harus dikelola.
3) Aktifitas
pengendalian
Aktivitas
pengendalian adalah kebijakan dan prosedur yang membantu memastikan arahan
manajemen dilaksanakan. Mereka membantu memastikan bahwa tindakan yang
diperlukan diambil untuk mengatasi risiko yang dapat menghambat pencapaian
tujuan entitas. Aktivitas kontrol terjadi di seluruh organisasi, di semua level
dan di semua fungsi. Mereka termasuk berbagai kegiatan yang beragam seperti
persetujuan, otorisasi, verifikasi, rekonsiliasi, tinjauan kinerja operasi, keamanan
aset dan pemisahan tugas.
4) Informasi
dan komunikasi
Sistem
informasi memainkan peran kunci dalam sistem pengendalian internal karena
mereka menghasilkan laporan, termasuk informasi operasional, keuangan dan
kepatuhan, yang memungkinkan untuk menjalankan dan mengendalikan bisnis. Dalam
arti yang lebih luas, komunikasi yang efektif harus memastikan arus informasi
turun, melintasi, dan naik ke organisasi. Misalnya, prosedur formal ada bagi
orang untuk melaporkan dugaan penipuan. Komunikasi yang efektif juga harus
dipastikan dengan pihak eksternal, seperti pelanggan, pemasok, regulator dan
pemegang saham tentang posisi kebijakan terkait.
5) Pemantauan
Sistem
kontrol internal perlu dipantau — suatu proses yang menilai kualitas kinerja
sistem dari waktu ke waktu. Ini dicapai melalui kegiatan pemantauan yang sedang
berlangsung atau evaluasi terpisah. Kekurangan kontrol internal yang dideteksi
melalui kegiatan pemantauan ini harus dilaporkan di bagian hulu dan tindakan
korektif harus diambil untuk memastikan perbaikan berkelanjutan dari sistem.
3.
ISO 179
ISO/IEC
17799:2005 menetapkan pedoman dan prinsip-prinsip umum untuk memulai,
menerapkan, mempertahankan, dan meningkatkan manajemen keamanan informasi dalam
sebuah organisasi. Tujuan yang diuraikan menyediakan panduan umum pada umumnya
diterima tujuan manajemen keamanan informasi.
ISO/IEC
17799:2005 berisi praktek-praktek terbaik tujuan pengendalian dan kontrol dalam
bidang manajemen keamanan informasi:
·
kebijakan keamanan;
·
organisasi keamanan informasi;
·
manajemen aset;
·
keamanan sumber daya manusia;
·
keamanan fisik dan lingkungan;
·
komunikasi dan manajemen operasi;
·
kontrol akses;
·
informasi sistem akuisisi, pengembangan,
dan pemeliharaan;
·
manajemen insiden keamanan informasi;
·
manajemen kontinuitas bisnis;
·
kepatuhan.
sumber :
Komentar
Posting Komentar