D

AUDIT SISTEM INFORMASI

Pada hakekatnya audit informasi(sebagai audit tersendiri ) dan bukan merupakan bagian dari audit laporan keuangan) juga perlu dilakukan untuk memeriksa tingkat kematangan atau kesiapan suatu organisasi dalam melakukan pengelolaan teknologi informasi (IT governance).Tingkat kesiapan (level of maturity) dapat dilihat dari tata - kelola teknologi informasi ( information technology governance ), tingkat kepedulian (awareness) seluruh stakeholder (semua pihak terkait ) tentang posisi sekarang dan arah yang diinginkan di masa depan di bidang teknologi informasi pada suatu organisasi. Jadi implementasi teknologi informasi hendaknya direncanakan ( dengan IT plan ) bukan asal- asalan. Kebutuhan audit system informasi ( berbasis teknologi informasi ) adalah mencakup dua hal : 1. Audit system informasi yang dilaksanakan dalam rangka audit laporan keuangan ( general financial audit ). Audit system informasi atau sering disebut audit teknologi informasi (TI ),ialah pemeriksaan terhadap aspek aspek TI pada system informasi akuntansi. 2. Audit system informasi yang dilakukan dalam kaitannya dengan information technology (IT) Governance. Audit SI dalam rangka IT Governance sebenarnya merupakan audit operasional (secara khusus ) tarhadap manajemen ( pengelolaan) sumber daya informasi atau audit terhadap kehandalan system informasi berbasis teknologi informasi, mengenai aspek aspek : efektivitas ( effectiveness ), efisiensi ( efficiency, dan ekonomis tidaknya unit fungsional system informasi pada suatu organisasi ), data integrity , dan security.

Pada umumnya ruang lingkup pemeriksaan dilakukan secara menyeluruh terhadap perencanaan TI ( IT Plan ) dan pengelolaan TI pada suatu organisasi , tetapi ada kalanya juga dalam lingkup terbatas : a. General Information review Audit terhadap system informasi secara umum pada suatu organisasi tertentu b. Quality assurance pada system development Didalam audit ini, auditor bukan anggota dari tim pengembangan system,tetapi membantu tim untuk meningkatkan kualitas dari system yang mereka rancang dan implementasikan .Auditor mewakili pimpinan proyek dan manajemen (top management) c. Postimplementation audit Pelaksanaan audit ini dilakukan oleh auditor dengan menerapkan pengalamannya dalam pengembangan system aplikasi serta mengevaluasi system yang sudah diimplementasikan, apakah system tersebut perlu dimutakhirkan atau diperbaiki , atau bahkan dihentikan karena sudah tidak sesuai atau mengandung kesalahan.

Audit IT Governance dilaksanakan bukan karena kewajiban hukum, melainkan lebih merupakan kegiatan untuk memberikan keyakinan tambahan ( self confidence ) bagi top management bahwa perencanaan dan pengelolaan TI di organisasinya sudah benar. Jadi lebih merupakan wujud kesadaran mutu pimpinan dan pertanggungjawabannya kepada stockholder/ stakeholder . Dengan demikian audit didorong oleh kesadaran mutu dan kenyataan adanya faktor- faktor yang mendorong perlunya sumberdaya informasi dikelola dengan baik karena perannya yang sangat penting dan mahal.

Faktor faktor yang mendorong pentingnya control dan audit SI (Weber, 1999,p.6) antara lain untuk : 1. Mendeteksi agar computer tidak dikelola secara kurang terarah , tidak ada visi,misi, perencanaan Teknologi informasi (IT Plan ,information technology plan ),pucuk pimpinan organisasi kurang peduli, tidak ada pelatihan dan pola karier personil yang baik, dan sebagainya. 2.Mendeteksi resiko kehilangan data. 3. Mendeteksi resiko pengambilan keputusan yang salah akibat informasi hasil proses system komputerisasi salah / lambat / tidak lengkap. 4. Menjaga asset perusahaan, khususnya asset system informasi ,karena nilai hardware,software dan personil yang lazimnya tinggi. 5. Mendeteksi resiko error komputer. 6. Mendeteksi resiko penyalahgunaan computer (fraud). 7. Menjaga kerahasiaan , maksudnya ialah bahwa system informasi berbasis technology informasi (apalagi yang di desain dengan jaringan public), hendaknya mempunya kemampuan untuk memproteksi data , aman, terjaga privacy para penggunanya,dan sebagainya. 8. Meningkatkan pengendalian evolusi penggunaan computer, yaitu jangan sampai suatu organisasi/ perusahaan melakukan komputerisasi secara tidak terkendali sehingga terjadi pemborosan pemborosan atau tingkat keamanan yang kurang memadai.

Pengembangan system audit berupaya mengurangi penyalahgunaan computer karena penyalahgunaan computer merupakan biaya terbesar dari biaya biaya lain. Penyalahgunaan computer dapat berupa : Hacking yaitu kegiatan orang yang memasuki system computer secara tidak sah / tidak memiliki otorisasi dan merusak system maupunn

data,yang tujuan utamanya sesungguhnya bukan motif keuntungan (bukan untuk mencari keuntungan keuangan,melainkan mungkin motif teknis.) Cracker yaitu kegiatan orang yang memasuki system computer secara tidak sah / tidak memiliki wewenang dan merusak system / data dengan moivasi keuntungan ( ekonomis ). Virus yaitu program yang mampu masuk kedalam system tanpa diketahui dan di gunakan untuk merusak system maupun file / data(infected file ) Worm, yaitu program independen yang mampu masuk kedalam system tanpa diketahui dan digunakan untuk merusak software system computer maupun data. Setelah masuk ke system computer , Worm bekerja tanpa harus dengan interaksi pemakai. Contoh worm adalah : Blue fantacy,Town Crier , Vampire, Pesin, Kangen,RontokBro, dan sebagainya. Bentuk masalahnya bukan adanya infected file,melainkan adanya cacing yang bekerja merusak system computer. Bug, yaitu program yang belum sempurna atau masih ada celah- celah kesalahan / kurang lengkapnya logika pemrograman karena kesalahan si pemrogram itu sendiri. Trojan Hourse, adalah suatu program independen yang nampaknya seperti bermanfaat,tetapi ternyata di dalamnya mengandung titipan program yang dapat merusak file. Akses fisik atau akses remote secara tidak sah yaitu orang yang secara illegal menggunakan akses melalui jaringan secara fisik ke computer (hardware computer ) Penyalahgunaan hak yaitu orang yang memiliki akses ke suatu data tertentu tetapi memanfaatkan data tersebut untuk kepentingan lain yang illegal.

Berkaitan dengan skala level of maturity, menurut ISACA, pada dasarnya tingkat kematangan dari IT governance atau pengelolaan TI dapat dibedakan dalam beberapa tingkat :

Non- exxistence Tahap yang paling awal, masih pemula ( belum mapan ) . Proses manajeman tidak ada sama sekali, komputerisasi dilaksanakan secara alamiah, tidak diimplementasikan berdasarkan suatu metodologi yang tepat . misalnya perusahaan menggunakan compute tetapi hanya untuk pengetikan atau pembuatan tabel tabel laporan yang belum terarah dan dilakukan secara amatiran. Artinya sudah menggunakan computer,tetapi belum menjalankan system berbasis komputerisasi.

Initial

Repeatable

Defined

Sudah mulai ada kegiatan penyusunan system komputerisasi yang lebih terorganisir/ terarah, tetapi perencanaan ,perancangan, dan proses masih bersifat ad hoc dan tidak terorganisir dengan baik. Proses perencanaan , perancangan,dan implementasi system berbasis computer telah menemukan pola yang lebih terarah, berjalan dengan pola yang sama (mulai mengenal metodologi pengembangan system, system development methodology) Seluruh proses telah didokumentasikan dan telah di komunikasikan dan dilaksanakan berdasarkan metoda

Managed

Optimized

pengembangan system komputerisasi yang baik. Proses komputerisasi telah dapat di monitor dan terukur dengan baik,manajemen proyek pengembangan system komputerisasi sudah dijalankan dengan lebih terorganisir. Best practices telah diikuti dan diotomatisasi pada system berdasarkan proses yang terencana, terorganisir dan menggunakan metodologi yang tepat.

Adapun penilaian atas kecukupan IT governance atau ukuran sudah baik atau belumnya komputerisasi pada suatu perusahaan mencakup : 1. Strategic alignment antara IT dengan business processes. Maksudnya adalah apakah komputerisasi yang dilaksanakan sudah nyambung (sudah sesuai ) dengan kegiatan perusahaan ,proses bisnis dan kebutuhan yang dirasakan perusahaan . 2. Value delivery , concentrating on optimizing expenses and proving the value of IT. Maksudnya adalah bahwa komputerisasi bukan hanya sekedar untuk memenuhi kebutuhan, melainkan juga sudah dimaksudkan untuk memberikan nilai tambah ,misalnya : penghematan biaya ,meningkatkan kinerja ,memperkuat kemampuan persaingan. 3. Risks management yang mencakup safeguarding of IT assets, disaster recovery dan continuity of operations. Manajemen risiko (penaksiran resiko, penyusunan pengendalian intern) dan jaminan kelangsungan operasi komputerisasi untuk mendukung operasi perusahaan telah dikelola dengan baik,jangan

sampai layanan terhenti karena gangguan komputerisasinya. Misalnya jangan sampai BCA tidak bisa melayani nasabah dengan baik ,karena komputerisasi layanan front office dan ATM sering rusak (computer down ) 4. Resources management, optimizing knowledge and IT infrastructures. Pengelolaan sumberdaya ( termasuk perkembangan pengetahuan serta infrastruktur ) di dayagunakan secara efisien.

STANDAR YANG DI GUNAKAN DALAM AUDIT SI

Dalam melaksanakan pemeriksaan auditor harus tunduk kepada kode etik , standar, dan pedoman yang berlaku ,yang dikeluarkan oleh : Standar atestasi dan standar pemeriksaan akuntan public (SPAP), IAI. ISACA standards, guidelines, and procedures (secara teknis audit IT Governance mengacu kepada guidelines dan procedures yang diatur dalam CObit (Control objectives for information and related Technology) yang dikeluarkan IT Governance Institute ( WWW.itgi.org), mencakup antara lain : - CObit executive summary - CObit framework - CObit Control Objectives - CObit Control practices - CObit Management Guidelines - CObit Security Baseline