Disusun Oleh : Dr. Lily Wulandari

AUDIT TEKNOLOGI SISTEM INFORMASI

Dasar-Dasar Audit TI

Latar Belakang• Ketergantungan pada teknologi informasi (TI) adalah

karakteristik yang umum di hampir semua organisasi modern.

• Ketergantungan ini menjadi ciri organisasi sektor publik dan swasta, terlepas dari misi, industri, lokasi geografis, atau jenis organisasi.

• TI sangat penting untuk keberhasilan organisasi, efisiensi operasi, daya saing, dan bahkan kelangsungan hidup, membuat kebutuhan organisasi untuk memastikan penggunaan TI yang benar dan efektif menjadi penting.

Latar Belakang• Dalam konteks ini, penting agar sumber daya dialokasikan

secara efisien, agar TI berfungsi pada tingkat kinerja dan kualitas yang memadai untuk mendukung bisnis secara efektif, dan bahwa aset informasi dijamin secara memadai sesuai dengan toleransi risiko organisasi.

• Aset tersebut juga harus diatur secara efektif, artinya aset tersebut beroperasi sebagaimana mestinya, berfungsi dengan benar, dan berfungsi dengan cara yang sesuai dengan regulasi dan standar yang berlaku.

• Audit TI dapat membantu organisasi mencapai semua tujuan ini.

Latar Belakang

GAMBAR 1.1Audit TI memiliki banyak kesamaan dengan jenis audit lainnya dan tumpang tindihdalam banyak hal dengan praktik audit keuangan, operasional, dan kualitas.

Apa itu Audit TI?• Audit adalah pemeriksaan yang sistematis dan

objektif terhadap satu atau lebih aspek dari suatu organisasi yang membandingkan apa yang dilakukan organisasi dengan serangkaian kriteria atau persyaratan yang ditetapkan.

• Audit teknologi informasi (TI) memeriksa proses, aset TI, dan kontrol di berbagai tingkatan dalam suatu organisasi untuk menentukan sejauh mana organisasi mematuhi standar atau persyaratan yang berlaku.

Apa itu Audit TI?• Audit TI membantu organisasi memahami, menilai,

dan meningkatkan penggunaan kontrol mereka untuk melindungi TI, mengukur dan memperbaiki kinerja, serta mencapai tujuan dan hasil yang diharapkan.

• Audit TI terdiri dari penggunaan metodologi audit formal untuk memeriksa proses, kemampuan, dan aset khusus TI dan perannya dalam memungkinkan proses bisnis organisasi.

Apa itu Audit TI?

Menurut pendapat Ron Weber (1999) “Audit sistem informasi adalah proses

mengumpulkan dan mengevalusi bukti untuk menentukan kemampuan sistem komputer

dalam melindungi aset, merawat integritas data, mencapai tujuan organisasi dan menggunakan

sumber daya dengan efisien”.

Apa itu Audit TI?• Pedoman International Organization for Standardization

(ISO) tentang audit menggunakan istilah audit yang berarti "proses yang sistematis, independen, dan terdokumentasi untuk memperoleh bukti audit dan mengevaluasinya secara objektif untuk menentukan sejauh mana kriteria audit dipenuhi"

• Information Technology Infrastructure Library (ITIL) mendefinisikan audit sebagai "inspeksi dan verifikasi formal untuk memeriksa apakah standar atau serangkaian pedoman sedang diikuti, bahwa catatan akurat, atau bahwa target efisiensi dan efektivitas dipenuhi. ”

Apa itu Audit TI?• Definisi yang dikutip di atas juga menekankan

karakteristik yang membedakan audit dari jenis evaluasi atau penilaian lain dengan mengacu pada kriteria eksplisit yang menjadi dasar perbandingan antara apa yang diharapkan atau dibutuhkan dalam suatu organisasi dan apa yang sebenarnya diamati atau ditunjukkan melalui bukti

• Terdapat suatu standar yang ditetapkan sebagai dasar perbandingan yang ditetapkan sebelum memulai audit

Apa itu Audit TI?

• Penentuan audit cenderung lebih biner daripada hasil dari jenis penilaian atau evaluasi lain, dalam arti bahwa item tertentu memenuhi atau gagal memenuhi persyaratan yang berlaku.

• Auditor sering mengartikulasikan temuan audit dalam hal kesesuaian atau ketidaksesuaian kontrol dengan kriteria

Apa itu Audit TI?• Audit TI membandingkan proses, praktik, kapabilitas, atau

kontrol organisasi yang sebenarnya dengan baseline yang telah ditentukan sebelumnya.

• Untuk audit eksternal, baseline audit biasanya didefinisikan dalam aturan atau persyaratan hukum atau regulasi yang terkait dengan maksud dan tujuan audit eksternal.

• Untuk audit internal, organisasi sering memiliki fleksibilitas untuk menentukan baseline mereka sendiri atau untuk mengadopsi standar, kerangka kerja, atau persyaratan yang ditentukan oleh organisasi lain

Pengendalian Internal• Committee of Sponsoring Organizations of the

Treadway Commission (COSO) mendefinisikan pengendalian internal sebagai proses "yang dirancang untuk memberikan jaminan yang wajar mengenai pencapaian tujuan" termasuk efektivitas dan efisiensi operasional, pelaporan yang andal, dan kepatuhan hukum dan peraturan.

• Dalam konteks ini, pengendalian adalah “kebijakan atau prosedur yang merupakan bagian dari pengendalian internal,” hasil dari kebijakan dan prosedur yang dirancang untuk mempengaruhi pengendalian.

Pengendalian Internal• IT Governance Institute menawarkan definisi yang

konsisten dengan COSO: "kebijakan, rencana dan prosedur, serta struktur organisasi yang dirancang untuk memberikan jaminan yang wajar bahwa tujuan bisnis akan tercapai dan peristiwa yang tidak diinginkan akan dicegah atau dideteksi dan diperbaiki."

Pengendalian Internal

• Kategori berbasis tujuan mencakup pengendalian preventif, detektif, dan korektif, di mana organisasi menggunakan kontrol preventif untuk mencoba mencegah terjadinya peristiwa yang tidak diinginkan, kontrol detektif untuk mengetahui kapan hal tersebut telah terjadi, dan kontrol korektif untuk merespons atau memulihkan setelah peristiwa yang tidak diinginkan terjadi .

Pengendalian Internal

• Pengendalian Preventif adalah suatu langkah pencegahan yang diambil sebelum keadaan darurat, kehilangan, atau masalah terjadi. Ini termasuk penggunaan alarm dan kunci, pemisahan tugas (untuk mencegah perekam uang tunai dari kas dan mengendalikan persediaan personil dari pengendalian persediaan) ditambah kebijakan-kebijakan otorisasi khusus dan umum lainnya.

Pengendalian Internal

• Pengendalian Detektif adalah sesuatu yang dirancang untuk menemukan kesalahan atau penyimpangan setelah mereka terjadi (misalnya: departemen memeriksa tagihan telepon untuk panggilan pribadi).

Pengendalian Internal

• Pengendalian Korektif adalah program yang dibuat khusus untuk memperbaiki kesalahan pada data yang mungkin timbul akibat gangguan pada jaringan, komputer ataupun kesalahan user.

• Secara umum, fungsi dari kontrol adalah untuk menekan kerugian yang mungkin timbul akibat kejadian yang tidak diharapkan yang mungkin terjadi pada sebuah sistem.

Pengendalian Internal• Pengendalian selanjutnya dipisahkan menurut fungsinya

menjadi jenis kontrol administratif, teknis, dan fisik, seperti yang diilustrasikan pada Gambar 1.2.

GAMBAR 1.2Fokus utama audit TI internal dan eksternal pada pengendalian internal, dibedakanberdasarkan tujuan dan jenisnya; metode audit yang berbeda diterapkan saatmengevaluasi berbagai jenis pengendalian.

Pengendalian Internal• Pengendalian administratif mencakup kebijakan, prosedur, dan

rencana organisasi yang menetapkan apa yang organisasi ingin lakukan untuk menjaga integritas operasi, informasi, dan aset lainnya.

• Pengendalian teknis adalah mekanisme — termasuk teknologi, prosedur operasional, dan sumber daya — yang diterapkan dan dipelihara oleh organisasi untuk mencapai tujuan pengendaliannya.

• Pengendalian fisik terdiri dari ketentuan yang dimiliki organisasi untuk memelihara, menjaga ketersediaan, dan membatasi atau memantau akses ke fasilitas, area penyimpanan, peralatan, dan aset informasi.

Pengendalian Internal

Tabel 1.1 memberikan contoh pengendalian internal untuk setiap kombinasi jenis dan tujuan pengendalian.

Apa yang Harus DiAudit?• Audit TI dapat mengevaluasi seluruh organisasi, unit

bisnis individu, fungsi misi dan proses bisnis, layanan, sistem, infrastruktur, atau komponen teknologi.

• Audit TI selalu membahas satu atau lebih bidang subjek terkait teknologi, termasuk kontrol yang terkait dengan berikut ini:

Apa yang Harus DiAudit?

GAMBAR 1.3Baik dilakukan dari perspektif teknis, operasional, proses bisnis, atau organisasi secara luas,audit TI biasanya mempertimbangkan kontrol internal yang terkait dengan berbagaikomponen TI atau lapisan arsitektur dan proses umum yang mendukung teknologi diseluruh lapisan.

Karakteristik Audit TI

Karakteristik ini mencakup kebutuhan auditor untuk mahir dalam melakukan jenis audit yang mereka lakukan; kepatuhan oleh auditor dan organisasi yang mereka wakili terhadap etika dan kode etik profesional; dan desakan independensi auditor

Karakteristik Audit TI

• Bergantung pada kompleksitas dan karakteristik tertentu dari pengendalian TI atau lingkungan operasi yang menjalani audit, auditor mungkin memerlukan pengetahuan atau keahlian khusus agar dapat memeriksa dengan benar dan efektif pengendalian yang termasuk dalam ruang lingkup audit TI.

Karakteristik Audit TI

• Kode etik, praktik, dan perilaku etis, seperti keahlian, umum di semua domain audit, menekankan prinsip dan tujuan seperti integritas, objektivitas, kompetensi, kerahasiaan, dan kepatuhan terhadap standar dan pedoman yang sesuai.

• Independensi auditor — prinsip yang berlaku baik untuk audit internal maupun eksternal

Karakteristik Audit TI

Auditor — berarti bahwa individu yang melakukan audit dan organisasi yang mereka wakili tidak memiliki kepentingan finansial dan bebas dari konflik kepentingan terkait organisasi yang mereka audit agar tetap objektif dan tidak memihak.

Mengapa Diaudit?• Alasan audit eksternal seringkali lebih jelas dan lebih mudah

dipahami karena perusahaan dan organisasi publik di banyak industri tunduk pada persyaratan hukum dan peraturan, yang kepatuhannya sering ditentukan melalui audit.

• Organisasi yang mencari atau telah mencapai berbagai sertifikasi untuk proses atau kualitas layanan, atau pelaksanaan pengendalian dan efektivitas biasanya harus menjalani audit sertifikasi oleh auditor independen.

• Audit TI sering kali memberikan informasi yang membantu organisasi mengelola risiko, memastikan alokasi sumber daya terkait TI yang efisien, dan mencapai TI dan tujuan bisnis lainnya.

Mengapa DiAudit?Alasan yang digunakan untuk membenarkan audit TI internal mungkin lebih bervariasi di seluruh organisasi, tetapi meliputi:• mengevaluasi efektivitas pengendalian yang diterapkan;

• memastikan kepatuhan terhadap kebijakan, proses, dan prosedur internal;

• memeriksa kesesuaian dengan tata kelola TI atau kerangka kerja dan standar kontrol;

• menganalisis kerentanan dan pengaturan konfigurasi untuk mendukung pemantauan berkelanjutan;

Mengapa DiAudit?Alasan yang digunakan untuk membenarkan audit TI internal mungkin lebih bervariasi di seluruh organisasi, tetapi meliputi: (Lanjutan)

• mengidentifikasi kelemahan dan kekurangan sebagai bagian dari manajemen risiko awal atau berkelanjutan;

• mengukur kinerja terhadap tolok ukur kualitas atau perjanjian tingkat layanan;

• memverifikasi dan memvalidasi rekayasa sistem atau praktik manajemen proyek TI; dan

• menilai sendiri organisasi terhadap standar atau kriteria yang akan digunakan dalam audit eksternal yang diantisipasi.

Siapa Yang DiAudit?• Tabel 1.2 mencantumkan sumber signifikan dari

persyaratan audit TI eksternal untuk berbagai jenis organisasi. Lebih dari satu kategori atau atribut mungkin berlaku untuk organisasi tertentu, dalam hal ini organisasi tersebut kemungkinan besar tunduk pada beberapa peraturan dan persyaratan audit TI.

• Organisasi yang menerapkan model tata kelola formal, risiko, dan kepatuhan (governance, risk, and compliance GRC) atau standar jaminan kualitas juga membutuhkan kemampuan audit TI yang efektif.

Siapa Yang DiAudit?

Siapa Yang DiAudit

Berdasarkan pelaku dalam lingkungan Sistem Informasi, maka dibagi menjadi:• Management • IT Manager • IT Specialist (network, database, system

analyst, programmer, dll.) • User

Yang Melakukan Audit

• Internal Audit (first party audit) – Dilakukan oleh atau atas nama perusahaan sendiri

– Biasanya untuk management review atau tujuan internal perusahaan

• Lembaga independen di luar perusahaan – Second party audit

• Dilakukan oleh pihak yang memiliki kepentingan thd perusahaan

– Third party audit • Dilakukan oleh pihak independen dari luar perusahaan. Misalnya

untuk sertifikasi (ISO 9001, BS7799 dll).

Siapa yang Melakukan Audit TI?

Jenis organisasi dan individu yang melakukan audit TI meliputi:• Auditor internal, terdiri dari karyawan organisasi yang

melakukan audit TI internal atau kontraktor, konsultan, atau spesialis outsourcing yang dipekerjakan oleh organisasi untuk melaksanakan audit internal;

• Auditor TI yang bekerja sebagai kontraktor independen atau sebagai karyawan perusahaan layanan profesional yang menyediakan layanan audit TI eksternal atau internal;

Siapa yang Melakukan Audit TI?Jenis organisasi dan individu yang melakukan audit TI meliputi: (lanjutan)• Organisasi sertifikasi yang berwenang untuk mengevaluasi

praktik dan kontrol organisasi dan memberikan sertifikasi kepada organisasi yang proses internal, sistem, layanan, atau lingkungan operasionalnya mematuhi standar yang berlaku atau kriteria sertifikasi lainnya;

• Organisasi dengan kewenangan untuk mengawasi penerapan kontrol yang diperlukan atau menegakkan peraturan, seperti Kantor Akuntabilitas Pemerintah (GAO), SEC, Federal Deposit Insurance Corporation (FDIC), dan Kantor Departemen Kesehatan dan Layanan Kemanusiaan (HHS) untuk Hak Sipil (OCR) dalam pemerintah federal AS; dan

Siapa yang Melakukan Audit TI?

Jenis organisasi dan individu yang melakukan audit TI meliputi: (lanjutan)• Inspektur jenderal, eksekutif audit, atau pejabat setara yang

diberi wewenang untuk memberikan tinjauan independen terhadap banyak aspek organisasi tempat mereka bekerja, termasuk kepatuhan terhadap kebijakan organisasi, penyediaan keamanan yang memadai, alokasi sumber daya yang efektif, dan standar perawatan lainnya.

Gambar 1.4 menggambarkan jenis audit dengan spesifisitas yang meningkat

Siapa yang Melakukan Audit TI?

GAMBAR 1.4Cakupan aktivitas audit TI berkisar dari seluruh organisasi hingga subkumpulanpengendalian internal yang didefinisikan secara lebih sempit, termasuk yang diterapkanuntuk sistem informasi tertentu atau untuk mencapai tujuan tertentu seperti keamananinformasi.

Auditor Eksternal• Audit TI eksternal, menurut definisi, dilakukan oleh auditor

dan entitas di luar organisasi yang diaudit. Bergantung pada ukuran organisasi dan ruang lingkup serta kompleksitas audit TI, audit eksternal dapat dilakukan oleh satu auditor atau tim.

• Berdasarkan aturan yang mewajibkan perusahaan yang mengaudit perusahaan ini terdaftar atau dilisensikan dengan badan pengawas pemerintah, seperti Public Company Accounting Oversight Board (PCAOB) di Amerika Serikat dan anggota European Group of Auditors’ Oversight Bodies (EGAOB) di negara-negara Uni Eropa.

Auditor Eksternal

• Audit atas perusahaan tersebut dilakukan hanya oleh perusahaan yang memenuhi syarat (dan personel yang berkualitas yang bekerja untuk mereka)

• Sertifikasi profesional memberikan satu indikator kualifikasi auditor, terutama jika sertifikasi tertentu sesuai dengan jenis audit eksternal yang dilakukan.

Auditor Internal• Auditor internal sering bekerja sebagai karyawan dari

organisasi yang mereka audit, yang dari waktu ke waktu menghasilkan pemahaman tentang lingkungan TI khusus organisasi, kontrol, sistem informasi, dan karakteristik operasional yang sulit

• Fungsi audit TI internal sering kali diatur sedemikian rupa sehingga memfasilitasi objektivitas dan integritas, termasuk struktur manajemen dan akuntabilitas yang melapor langsung kepada dewan direksi organisasi

Auditor Internal

• Auditor TI internal juga membutuhkan keterampilan dan karakteristik nonteknis yang sesuai, termasuk integritas pribadi dan profesional serta standar etika.

• Tidak ada jalur pengembangan karir “standar” tunggal untuk auditor TI; sebaliknya, auditor TI yang sukses dapat berasal dari berbagai latar belakang dan mengikuti banyak jalur karier yang berbeda, seperti yang diilustrasikan pada Gambar 1.5.

Auditor InternalTidak peduli di mana auditor TI masa depan memulai, kemajuan karier individu dan pengembangan pengetahuan, keterampilan, dan kemampuan yang diperlukan biasanya menggabungkan:

• Pendidikan formal dalam satu atau lebih mata pelajaran yang berlaku, berpotensi termasuk penyelesaian program gelar atau sertifikat di lembaga pendidikan tinggi;

• Pelatihan di tempat kerja atau tugas yang diberikan yang memberikan eksposur ke proyek dan operasi TI, proses bisnis yang didukung oleh sumber daya TI, inisiatif kepatuhan, atau aktivitas terkait audit;

Auditor InternalTidak peduli di mana auditor TI masa depan memulai, kemajuan karier individu dan pengembangan pengetahuan, keterampilan, dan kemampuan yang diperlukan biasanya menggabungkan: (lanjutan)

• Pelatihan profesional dan pengembangan keterampilan yang disediakan atau diarahkan sendiri oleh pemberi kerja, melanjutkan pendidikan profesional, atau belajar untuk mendapatkan sertifikasi yang relevan atau kualifikasi profesional lainnya; dan

• Memperoleh pengalaman kerja secara langsung atau tidak langsung yang melibatkan manajemen risiko, tata kelola TI, manajemen kualitas, jaminan informasi, pengembangan atau adopsi standar, atau penilaian kontrol.

Auditor Internal

• Gambar 1.5 menyoroti tiga kategori materi yang berbeda namun saling terkait dari latar belakang profesional yang sering memberikan dasar yang baik untuk mengembangkan auditor TI.

Auditor Internal

GAMBAR 1.5Individu melakukan perjalanan melalui banyak jalur karir yang berbeda untukmengembangkan keterampilan dan keahlian yang dibutuhkan untuk audit TI, yang berasaldari keuangan dan akuntansi tradisional, bisnis dan hukum, atau latar belakang TI.

Jenis Audit TI

• System Audit Audit terhadap sistem terdokumentasi untuk memastikan sudah memenuhi standar nasional atau internasional

• Product / Service Audit Untuk menguji suatu produk atau layanan telah sesuai seperti spesifikasi yang telah ditentukan dan cocok digunakan

• Compliance Audit Untuk menguji efektifitas implementasi dari kebijakan, prosedur, kontrol dan unsur hukum yang lain.

Yang Dilakukan Dalam Audit

• Persiapan • Review Dokumen • Persiapan kegiatan on-site audit • Melakukan kegiatan on-site audit • Persiapan, persetujuan dan distribusi laporan

audit • Follow up audit

Output Kegiatan Audit

Hasil akhir adalah berupa laporan yang berisi: • Ruang Lingkup audit.

• Mekanisme Audit.

• Temuan-temuan.

• Ketidaksesuaian (sifat ketidaksesuaian, bukti-bukti pendukung, syarat yang tidak dipenuhi, lokasi, tingkat ketidaksesuaian).

• Kesimpulan (tingkat kesesuaian dengan kriteria audit, efektifitas implementasi, pemeliharaan dan pengembangan sistem manajemen, rekomendasi).

Terima kasih

Tugas

• Sebutkan dan jelaskan minimal 5 lembaga-lembaga yang melakukan audit Sistem Informasi di Indonesia

• Sebutkan dan jelaskan minimal 5 jenis-jenis ISO terkait Sistem Informasi atau Teknologi Informasi yang dikenal di Indonesia

04/28/11