Académique Documents
Professionnel Documents
Culture Documents
PENDAHULUAN
1.1 Latar Belakang
Seiring dengan perkembangan zaman banyak perusahan yang mengandalkan sistem
informasi sebagai pendukung jalannya operasional perusahaan. Saat ini sistem informasi
dioperasikan oleh hampir seluruh sumber daya manusia suatu perusahaan sehingga tidak dapat
dipisahkan dengan operasi dan kehidupan perusahaan. Sistem informasi merupakan sumber
daya strategis dalam suatu perusahaan, untuk mendukung pencapaian visi dan misi perusahaan,
maka pengolaan informasi merupakan kunci dari tercapainya visi dan misi perusahaan tersebut.
Semakin berkembangnya teknologi informasi akan semakin banyak ancaman-ancaman
yang akan terjadi dari dalam maupun luar perusahaan. Misalnya pada pemrosesan komputer.
Akan sangat mengkhawatirkan bila terjadi kesalahan dalam pemrosesan di dalam komputer.
Kerugian mulai dari tidak dipercayainya perhitungan matematis sampai kepada ketergantungan
kehidupan manusia. Ancaman-ancaman tersebut tentunya ada penyebabnya beberapa
diantaranya yaitu karena adanya tekanan dari dalam ataupun luar perusahaan, peluang dan
rasionalisasi.
Untuk mencegah ancaman-ancaman tersebut perusahaan membuat pengendalianpengendalian internal dan untuk memeriksa pengendalain tersebut telah mencapai tujuan atau
belum, maka diperlukanlah audit sistem informasi dalam suatu perusahaan atau organisasi.
1.2 Rumusan Masalah
1. Bagaimana pengertian audit sistem informasi ?
2. Bagaimana manfaat dan tujuan utama audit sistem informasi?
3. Bagaimana pentingnya audit sistem informasi bagi manajemen ?
1.3 Tujuan
1. Untuk mengetahui Bagaimana Pengertian dari Audit Sistem Informasi.
2. Mengetahui Bagaimana Manfaat dan tujuan Audit Sistem Informasi bagi manajemen.
3. Mengetahui Bagaimana Proses Dari Audit Sistem Informasi.
BAB II
PEMBAHASAN
dengan audit pemrosesan data elektronik, dan sekarang audit teknologi informasi secara umum
merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam
perusahaan itu. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak
dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara
efektif dan integratif dalam mencapai target organisasinya.
Ada beberapa aspek yang diperiksa pada audit sistem informasi:
Mengamankan aset
aset (activa) yang berhubungan dengan instalasi sistem informasi mencakup: perangkat keras
(hardware), perangkat lunak (software), manusia (people), file data, dokumentasi sistem, dan
peralatan pendukung lainnya. Sama halnya dengan aktiva aktiva yang lain, maka aktiva ini
juga perlu dilindungi dengan memasang pengendalian internal. Perangkat keras dapat rusak
karena unsur kejahatan atau sebab-sebab lain. Perangkat lunak dan isi file data dapat dicuri.
prosedur pengendalian yang dikeluarkan harus sepadan dengan manfaat yang diharapkan.
Menjaga efektivitas sistem
Sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya. Untuk
menilai efektivitas sistem, perlu upaya untuk mengetahui kebutuhan pengguna sistem tersebut
(user). Selanjutnya, untuk menilai apakah sistem menghasilkan laporan atau informasi yang
3
bermanfaat bagi user (misalnya pengambil keputusan), auditor perlu mengetahui karakteristik
user berikut proses pengambilan keputusannya. Biasanya audit efektivitas sistem dilakukan
setelah suatu sistem berjalan beberapa waktu. Manajemen dapat meminta auditor untuk
melakukan post audit guna menentukan sejauh mana sistem telah mencapai tujuan yang telah
ditetapkan. Evaluasi ini akan memberikan masukan bagi pengambil keputusan apakah kinerja
sistem layak dipertahankan; harus ditingkatkan atau perlu dimodifikasi; atau sistem sudah
usang, sehingga harus ditinggalkan dan dicari penggantinya Audit efektivitas sistem dapat juga
dilaksanakan pada tahap perencanaan sistem (system design). Hal ini dapat terjadi jika desainer
sistem mengalami kesulitan untuk mengetahui kebutuhan user, karena user sulit
mengungkapkan atau mendeskripsikan kebutuhannya. Jika sistem bersifat komplek dan besar
biaya penerapannya, manajemen dapat mengambil sikap agar sistem dievaluasi terlebih dahulu
oleh pihak yang independen untuk mengetahui apakah rancangan sistem sudah sesuai dengan
kebutuhan user. Melihat kondisi seperti ini, auditor perlu mempertimbangkan untuk melakukan
d
Dapat dikatakan bahwa sistem informasi audit akan dapat memberikan banyak manfaat,
antara lain :
1. Untuk meningkatkan perlindungan atas aset lembaga pemerintahan yang merupakan kekayaan
negara atau dengan kata lain aset milik publik.
2. Untuk meningkatkan integritas dan ketersediaan sistem dan data yang digunakan oleh lembaga
pemerintahan baik dalam kegiatan internal lembaga maupun dalam memberikan layanan publik.
3. Untuk meningkatkan penyediaan informasi yang relevann dan handal bagi para pemimpin
lembaga pemerintahan dalam mengambil keputusan dalam menjalankan layanan publik.
4. Untuk meningkatkan peranan dalam pencapaian tujuan lembaga pemerintahan dengan efektif,
baik itu untuk terkait dengan kebutuhan internal lembaga tersebut, maupun dengan layanan
publik yang diberikan lembaga tersebut.
5. Untuk meningkatkan efisiensi penggunanaan sumber daya serta efisiensi secara organisasional
dan prosedual dilembaga pemerintahan. Dengan kata lain, Audit Sistem Informasi merupakan
suatu komponen dan proses yang penting bagi lembaga pemerintahan dalam upaya untuk
memberikan jaminan yang memadai kepada publik atas pemanfaat yang telah dilaksanakan
oleh lembaga pemerintahan.
Adapun tugas- tugas dari auditor internal dalam mengaudit sistem informasi yaitu :
Memastikan sisi-sisi penerapan IT memiliki kontrol yang diperlukan
Memastikan kontrol tersebut diterapkan dengan baik sesuai yang diharapkan
Untuk melakukan tugas- tugas diatas, seorang auditor internal harus melakukan proses-
proses awal terlebih dahulu, seperti : Persiapan, Review Dokumen, Persiapan kegiatan on-site
audit, Melakukan kegiatan on-site audit serta Persiapan, persetujuan dan distribusi laporan
audit, dan juga Follow up audit. Sehingga Output atau hasil dari kegiatan Audit atas sistem
informasi berupa laporan yang berisi :
-
tingkat ketidaksesuaian)
Kesimpulan (tingkat kesesuaian
dengan
kriteria
audit,
efektifitas
implementasi,
mencatat
Generic knowledge : pengetahuan mengenai prinsip2 audit, prosedur dan teknik, sistem
BS 7799 adalah suatu rangkaian standar yang diterbitkan oleh British Standards (BSI)
yang sampai saat ini terdiri dari tiga bagian yang secara umum menjabarkan spesifikasi untuk
manajemen keamanan informasi.
BS 7799-1 pertama kali diterbitkan sebagai BS 7799 oleh BSI pada tahun 1995 dan
setelah melalui beberapa revisi diadopsi oleh ISO sebagai ISO/IEC 17799 "Information
Technology - Code of practice for information security management" pada tahun 2000. ISO/IEC
8
17799 terakhir direvisi pada Juni 2005 dan diganti namanya menjadi ISO/IEC 27002 pada
Juli2007.
Bagian kedua, BS 7799-2 pertama kali diterbitkan oleh BSI pada tahun 1999 dengan
nama "Information Security Management Systems - Specification with guidance for use." BS
7799-2 terfokus pada cara implementasi ISMS (Information Security Management System,
sistem manajemen keamanan informasi). BS 7799-2 diadopsi oleh ISO pada November 2005
sebagai ISO/IEC 27001.
BS 7799-3 diterbitkan pada tahun 2005 dan mencakup analisis dan manajemen risiko.
Standar ini sejalan dengan ISO/IEC 27001.
B. Control Objectives for Information and related Technology (CobiT)
COBIT (Control Objectives for Information and Related Technology) adalah
sekumpulan dokumentasi best practices untuk IT Governance yang dapat membantu auditor,
pengguna (user), dan manajemen, untuk menjembatani gap antara risiko bisnis, kebutuhan
control dan masalah-masalah teknis IT.
Tujuan Cobit
Diharapkan dapat membantu menemukan berbagai kebutuhan manajemen yang
Landasan Cobit
bisnis
Setiap proses merujuk sumberdaya TI, dan persyaratan2 kualitas, fiduciary/kepercayaan,
dan keamanan dari informasi.
C. ISO TR 13335
ISO 13335 merupakan standar manajemen umum IT Security. Standar ini terdiri dari :
- ISO/IEC TR 13335-1 konsep- konsep dan model
- ISO/IEC TR 13335-2 perencanaan dan manajemen
- ISO/IEC TR 13335-3 penilaian risiko
- ISO/IEC TR 13335-4 control selection
- ISO/IEC TR 13335-5 network security
D. IT Baseline Protection Manual
The IT Baseline Protection Manual presents a set of recommended standard security
measures or "safeguards", as they are referred to in the manual, for typical IT systems. The aim
of these IT baseline protection recommendations is to achieve a security level for IT systems
that is reasonable and adequate to satisfy normal protection requirements and can also serve as
the basis for IT systems and applications requiring a high degree of protection. This is achieved
through the appropriate application of organisational, personnel, infrastructural and technical
standard security safeguards.
To facilitate structuring and processing of the highly heterogeneous area of IT, including
the operational environment, the IT Baseline Protection Manual is structured in a modular
fashion. The individual modules reflect typical areas in which IT assets are employed, for
example client/server networks, buildings, communications and application components Every
module begins with a description of the typical threats which may be expected in the given area
together with their assumed probability of occurrence. This "threat scenario" provides the basis
for generating a specific package of measures from the areas of infrastructure, personnel,
organisation, hardware, software, communications and contingency planning. The threat
scenarios are presented in order to create awareness, and are not required any further for the
creation of a security concept which affords IT baseline protection. It is not necessary for users
to perform the analysis work mentioned above, which requires considerable effort, in order to
attain the security level that is needed for an average protection requirement. On the contrary, it
is sufficient to identify the modules which are relevant to the IT system or IT assets under
consideration and to implement all the safeguards recommended in those modules in a
consistent manner.
10
published
in
May 1990
in France, Germany,
the Netherlands,
and
the United
Kingdom based on existing work in their respective countries. Following extensive international
review, Version 1.2 was subsequently published in June 1991 by the Commission of the
European Communities for operational use within evaluation and certification schemes. Since
the launch of the ITSEC in 1990, a number of other European countries have agreed to
recognize the validity of ITSEC evaluations.
F. ISO 9000
ISO 9000 adalah kumpulan standar untuk sistem manajemen mutu (SMM). ISO 9000
yang dirumuskan oleh TC 176 ISO, yaitu organisasi internasional di bidang standardisasi. ISO
9000 pertama kali dikeluarkan pada tahun 1987 olehInternational Organization for
Standardization Technical Committee (ISO/TC) 176. ISO/TC inilah yang bertanggungjawab
untuk standar-standar sistem manajemen mutu. ISO/TC 176 menetapkan siklus peninjauan
ulang setiap lima tahun, guna menjamin bahwa standar-standar ISO 9000 akan menjadi up to
date dan relevan untuk organisasi. Revisi terhadap standar ISO 9000 telah dilakukan pada tahun
1994 dan tahun 2000. ISO 9000 berisi :
adanya satu set prosedur yang mencakup semua proses penting dalam bisnis;
adanya pengawasan dalam proses pembuatan untuk memastikan bahwa sistem
Sertifikasi terhadap salah satu ISO 9000 standar tidak menjamin kualitas dari barang dan
jasa yang dihasilkan. Sertifikasi hanya menyatakan bahwa bisnis proses yang berkualitas dan
konsisten dilaksanakan di perusahaan atau organisasi tersebut.
Manfaat ISO 9000
1. Aspek Konsistensi Pelaksanaan dan Pengawasan
- Memberikan pendekatan praktik yang sistematis untuk manajemen mutu
11
Mempengaruhi/menentukan secara jelas tanggung jawab dan wewenang dari personil kunci
yang mempengaruhi mutu
Mendokumentasikan prosedur secara baik dalam menjalankan operasi dan proses bisnis
penyedia jasa atau pabrik/industri
Menerapkan sistem dokumentasi yang efektif melalui mekanisme audit mutu internal dan
tinjauan manajemen yang kontinu
Dapat memberikan pelatihan yang sistematik kepada staf melalui prosedur dan instruksi
yang baik
Mengantisipasi tuntutan konsumen atas mutu produk dan tingkat persaingan bersama
Sebagai fondasi/ dasar yang mantap untuk pengembangan mutu selanjutnya menuju
manajemen mutu terpadu
suatu informasi. Dalam mendukung aktivitas sebuah organisasi, informasi menjadi bagian yang
sangat penting baik untuk perkembangan organisasi maupun membaca persaingan pasar. Dalam
hal proses data menjadi suatu informasi merupakan sebuah kegiatan dalam organisasi yang
bersifat repetitif sehingga harus dilaksanakan secara sistematis dan otomatis.
Dengan demikian, sangat diperlukan adanya pengelolaan yang baik dalam sistem yang
mendukung proses pengolahan data tersebut. Dalam sebuah organisasi tata kelola sistem
dilakukan dengan melakukan audit. Menurut Juliandarini (2013) Audit sistem informasi
(Information Systems (IS) audit atau Information technology (IT) audit) adalah bentuk
pengawasan dan pengendalian dari infrastruktur sistem informasi secara menyeluruh.Menurut
Romney (2004) audit sistem informasi merupakan tinjauan pengendalian umum dan aplikasi
untuk
menilai
pemenuhan
kebijakan
dan
prosedur
pengendalian
internal
serta
13
Meningkatkan laba
Mengurangi kesalahan
Meningkatkan motivasi personil
Meningkatkan kemampuan bersaing
Baik:
14
pekerjaan
dalam
pemenuhan
sistem
informasi
namun
juga
terhadap
Unfreezing
Tahap unfreezing mungkin merupakan salah satu tahap yang paling penting dalam
memahami model perubahan sistem informatika hingga saat ini dan auditor internal
harus paham hal tersebut. Tahap ini membahas tentang persiapan untuk berubah. Atau
suatu kesadaran dan pemahaman bahwa perubahan mulai diperlukan, serta bersiap-siap
untuk mulai menjauh dari zona kenyamanan yang ada saat ini. Tahap pertama ini sering
disebut sebagai tahap persiapan diri baik secara individual maupun tim kerja, sebelum
suatu perubahan dilakukan, atau menciptakan situasi yang kondusif bagi terjadinya
suatu perubahan. Semakin kita merasa bahwa suatu perubahan mendesak diperlukan,
maka kita akan semakin termotivasi untuk secepatnya membuat perubahan. Lambat
atau cepatnya proses pencairan menuju perubahan ini akan bergantung pada sejauhmana
perimbangan kekuatan antara orang yang pro pada dan kontra terhadap perubahan
sistem audit informasi dengan ide perubahan.
Refreezing
Sebagaimana tersirat dalam pengertian freezing atau refreezing maka tahap ini
adalah tentang membangun stabilitas kembali setelah perubahan dibuat. Demikian pula
halnya bahwa perubahan yang telah terjadi mulai diterima sebagai norma baru.
Demikian pula selanjutnya setiap orang akan membentuk hubungan baru dan menjadi
nyaman dengan rutinitas mereka, yang kesemuanya berjalan dalam waktu. Namun
dalam dunia saat ini, perubahan baru berikutnya bisa terjadi dalam beberapa minggu
atau kurang, sehingga adanya fase pembekuan mulai menuai kritik, mengingat tidak
adanya cukup waktu untuk memulihkan keadaan pada kondisi rutinitas yang nyaman.
Sehingga adanya tahap pembekuan dianggap tidak sesuai dengan pemikiran modern
tentang adanya perubahan yang terus menerus, dan kadang-kadang terjadi dalam proses
yang kacau sehingga fleksibilitas yang besar sangat dituntut. Dengan kata lain,
pemikiran populer saat ini mulai mempertanyakan tentang konsep pembekuan.
Sebaliknya, kita harus berpikir dan menyikapi tahap akhir ini secara lebih fleksibel,
16
seperti kita memikirkan adonan milkshake atau es krim yang lembut dengan rasa
favorit saat ini, bukan lagi berfikir tentang es balok yang beku dan kaku. Dengan pola
pikir yang fleksibel ini akan lebih memudahkan kita dalam melakukan langkah
unfreezing berikutnya. Namun demikian jauh hari Kurt Lewin telah menulis, bahwa
sebuah perubahan menuju tingkat yang lebih tinggi seringkali berumur pendek, dan
biasanya kinerja tim kerja akan segera kembali ke tingkat sebelumnya. Kurt Lewin juga
mengingatkan bahwa perubahan yang dilakukan perlu diperkuat, guna memastikan
bahwa perubahan yang diinginkan dapat diterima dan dipertahankan di masa depan.
Kurt Lewin pun berpendapat agar pembekuan yang dilakukan dapat mendukung
perubahan lebih lanjut dan perlu dipastikan bahwa perubahan tersebut tidak menguap
begitu saja. Model ADKAR adalah model yang lebih modern tentang perubahan yang
secara eksplisit menganjurkan tentang langkah penguatan sebagai salah satu fase yang
perlu dilakukan. Disamping itu suatu pembekuan perlu dikunci sebagai langkah
terakhir. Selama ini kita selalu berfikir, bahwa bicara mengenai perubahan merupakan
sebuah perjalanan yang memiliki awal, tengah, dan akhir. Namun ada baiknya sekarang
kita berpikir dan menerima kenyataan bahwa perjalanan tersebut tidak memiliki akhir.
Perlu beristirahat dan berhenti sejenak masih dimungkinkan! Namun perlu disadari
bahwa saat ini kita tengah menempuh suatu perjalanan perubahan yang tiada akhir.
Karenanya perlu berhati-hati dalam berpikir seolah proses perubahan memiliki akhir
yang pasti, dan nampaknya model manajemen perubahan dari Kurt Lewin seolah-olah
menyarankan hal demikian. Namun,
membingkai suatu proses perubahan yang lebih mudah dimengerti. Tentu saja setiap
tahap dapat diperluas untuk membantu pemahaman yang lebih baik tentang proses
perubahan. Memahami
analisis medan
kekuatan, tentunya akan menambah wawasan dan membantu kita agar lebih memahami
tentang bagaimana kita berurusan dengan suatu perubahan.
-
Moving
Merupakan tahap pergeseran dari sistem informasi lama dengan sistem informasi
baru dalam perusahaan. Tahap ini meruapakan pengaplikasian tahap unfreezing atau
17
persiapan dalam melakukan perubahan, peran auditor internal disini adalah memastikan
bahwa konsep sistem informasi yabg dibuat perusahaan berjalan dengan baik. Dan
manajemen sebagai eksekutor harus dinilai kinerjanya dalam moving sistem informasi.
4. Peran Pengguna
Dalam pengoperasian sistem informasi jelas yang menjadi aspek terpenting adalah siapa
yang menggunakan sistem informasi tersebut baik manajemen maupun pihak luar yang
membutuhkan. dalam audit internal peran pengguna yang bertanggung jawab langsung
dengan sistem informasi perusahaan diharuskan terbuka dan memberikan informasi yang
diperlukan oleh auditor internal, proses keterbukaan informasi ini yang menjadi aspek penting
dalam keberhasilan implementasi audit sistem informasi dalam hal standart dan masalah apa
yang dihadapi perusahaan saat ini.
5. Motivated and trained user
Beberapa dekade yang lalu, organisasi biasanya terfokus pada kepribadian yang masih
mengerjekan pekerjaannya menggunakan sistem informasi tradisional dalam pengumpulan
data yang dibutuhkan maupun dalam memproses data tersebut, karyawan cenderung lebih
nyaman dalam penggunaan sistem informasi tradisonal dan tidak mau meninggalkan hal
tersebut, biasanya masalah ini disebabkan oleh pemikiran karyawan yang beranggapan bahwa
sistem informasi yang baru akan menghabiskan waktu mereka untuk beradaptasi dan
membutuhkan tenaga baru untuk mengeksekusi hal tersebut. Oleh karena itu motivasi
manajemen sangat dibutuhkan untuk meluruskan pemikiran pengguna sistem informasi
bahwa sistem informasi yang baru lebih praktis dan lebih efisien dalam penggunaan waktu
dan tentu pelatihan pengguna sangat dibutuhkan untuk meyakinkan karyawan bahwa sistem
informasi yang baru sangat di rekomendasikan auditor internal.
6. Tingkat kompleksitas dan resiko
Tingkat kompleksitas dan resiko sistem informasi dalam perusahaan artinya bahwa
seberapa banyak keseluruhan tingkat masalah yang ada dalam perusahaan yang kemudian
18
akan berpengaruh dalam risiko yang ditimbulkan karena bagaimanapun juga pengambilan
keputusan pasti akan menimbulkan risiko yang sama, high risk high return.
2.13 UKURAN KESUSKESAN AUDIT SISTEM INFORMASI
Tingkat Kegunaan Sistem , artinya manfaat yang dapat diserap oleh pengguna sistem
dapat diukur melalui target yang ingin dicapai dalam perencanaan perusahaan.
Kualitas Informasi,artinya output dari bagian informasi dapat dipertanggung jawabkan
kebenaran melalui kualitas informasi tersebut, ketika informasi yang dihasilkan tidak
benar maka informasi ini dikatakan buruk, dan sebaliknya.
19
BAB III
KESIMPULAN
Audit sistem informasi adalah proses pengumpulan dan penilaian bukti - bukti untuk
menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas data,
dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya
secara efisien. Ada beberapa tahapan untuk melakukan audit sistem informasi, yaitu :
- Tahap pemeriksaan pendahuluan
- Tahap pemeriksaan rinci.
- Tahap pengujian kesesuaian.
- Tahap pengujian kebenaran bukti.
- Tahap penilaian secara umum atas hasil pengujian.
Audit sistem informasi mempunyai peraturan atau standar dalam mengaudit sistem
informasi manajemen, seperti ISO / IEC 17799 and BS7799, Control Objectives for
Information and related Technology (CobiT) , ISO TR 13335, IT Baseline Protection Manual,
ITSEC / Common Criteria dan ISO 9000.
20
DAFTAR PUSTAKA
https://id.wikipedia.org/wiki/BS_7799
https://id.wikipedia.org/wiki/ISO_9000
Ikatan Akuntan Publik. 2001. Standar Profesional Akuntan Publik. Salemba Empat: Jakarta.
ITSEC (June 1991). "Information Technology Security Evaluation Criteria (ITSEC): Preliminary
Harmonised Criteria"(PDF). Document COM(90) 314, Version 1.2. Commission of the
European Communities. Retrieved 2006-06-02.
Juliandarini. Handayaningsih, Sri. Audit Sistem Informasi pada Digilib Universitas XYZ
Menggunakan Kerangka Kerja COBIT 4.0. Jurnal Sarjana Teknik Informatika. Volume 1
Nomor 1, Juni 2013. Pp. 276-286. e-ISSN: 2338-5197
Jump up^ Jim Woodcock, Susan Stepney, David Cooper, John Clark, and Jeremy Jacob, The
certification of the Mondex electronic purse to ITSEC Level E6, Formal Aspects of Computing,
Volume 20, Number 1, pages 519, January 2008.
Romney, Marshall B., Steinbart, Paul John. (2004). Accounting Information Systems. 9th edition.
Ron Weber .1999. Information System Control and Audit. Prentice-Hall, Inc: New Jersey.
Susan Stepney, David Cooper, and Jim Woodcock, An Electronic Purse: Specification, Refinement,
and Proof. Technical Monograph PRG-126, Programming Research Group, Oxford University,
UK, 2000.
Sugian O, Syahu, Kamus Manajemen (mutu), Jakarta: PT. Gramedia Pustaka Utama, 2006.
Weber, Ron. (1999). Information Systems Control and Audit. Prentice-Hall, Inc., New Jersey.
21
22