Pengetahuan dasar Audit Sistem Informasi

Audit SI

Apa itu Audit Sistem Informasi / Teknologi Informasi

• Audit adalah :proses sistematis dan objektif dalam memperoleh dan mengevaluasi bukti-bukti tindakan ekonomi, guna memberikan asersi dan menilai seberapa jauh tindakan ekonomi sudah sesuai dengan kriteria berlaku, dan mengkomunikasikan hasilnya kepada pihak terkait.

tiga jenis audit

• Audit keuangan, • audit operasional, • audit sistem informasi (teknologi informasi)

Audit TI

• merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien.

• Audit SI/TI relatif baru ditemukan dibanding audit keuangan, seiring dengan meningkatnya penggunan TI untuk mensupport aktifitas bisnis.

aspek yang diperiksa pada audit sistem teknologi informasi

• Audit secara keseluruhan menyangkut efektifitas, efisiensi, availability system, reliability, confidentiality, dan integrity, serta aspek security.

• Selanjutnya adalah audit atas proses, modifikasi program, audit atas sumber data, dan data file.

• Audit TI sendiri merupakan gabungan dari berbagai macam ilmu, antara lain: Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science.

Tahapan-tahapan dalam audit TI• tahapan perencanaan, yang menghasilkan suatu program

audit yang didesain sedemikian rupa, sehingga pelaksanaannya akan berjalan efektif dan efisien, dan dilakukan oleh orang-orang yang kompeten, serta dapat diselesaikan dalam waktu sesuai yang disepakati. Pada tahap perencanaan ini penting sekali menilai aspek internal kontrol, yang mana dapat memberikan masukan terhadap aspek resiko, yang pada akhirnya akan menentukan luasnya pemeriksaan yang akan terlihat pada audit program.

• pengumpulan bukti (evidence), pendokumentasian bukti tersebut dan mendiskusikan dengan auditee tentang temuan apabila jika ditemukan masalah yang memerlukan tindakan perbaikan dari auditee.

• membuat laporan audit.

Pelaksanaan Audit• auditor TI mengumpulkan bukti-bukti yang memadai melalui berbagai

teknik termasuk survei, interview, observasi dan review dokumentasi (termasuk review source-code bila diperlukan).

• Bisa jadi bukti-bukti audit yang diambil oleh auditor mencakup bukti elektronis (data dalam bentuk file softcopy). Dalam proses pengumpulan bukti ini ada beberapa cara yang sering dipakai yaitu, audit around computer, audit trought computer dan audit with computer.

• Jika tingkat pemakaian TI tinggi maka audit yang dominan digunakan adalah audit with computer atau yang biasa disebut dengan teknik audit berbantuan computer atau menggunakan CAAT (Computer Aided Auditing Technique).

• Teknik CAAT digunakan untuk menganalisa data, misalnya saja data transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain. Tentunya untuk aspek sekuriti adakalanya auditor dituntut mempunyai keahlian teknis yang cukup memadai untuk menguji keamanan sistem.

Standar Audit Teknologi Informasi• Adalah standar yang diterbitkan oleh ISACA yaitu ISACA IS

Auditing Standard. • Selain itu ISACA juga menerbitkan IS Auditing Guidance dan

IS Auditing Procedure. • Standar adalah sesuatu yang harus dipenuhi oleh IS

Auditor. • Guidelines memberikan penjelasan bagaimana auditor

dapat memenuhi standar dalam berbagai penugasan audit. • Prosedur memberikan contoh langkah-langkah yang perlu

dilalui auditor dalam penugasan audit tertentu sehingga sesuai dengan standar.

• IS auditor harus bisa menggunakan judgement profesional ketika menggunakan guidance dan procedure.

Standar yang aplicable untuk audit TI

adalah terdiri dari 11 standar yaitu; • S1. Audit charter, • S2. Audit Independent, • S3. Profesional Ethic and standard, • S4.Profesional competence, • S5. Planning, • S6. Performance of Audit Work, • S7. Reporting. • S8.Follow-Up Activity, • F9. Irregularities and Irregular Act, • S10. IT Governance dan • S11. Use of Risk Assestment in Audit Planning.

• IS Auditing Guideline terdiri dari 32 guidance dalam mengaudit TI yang mengcover petunjuk mengaudit area-area penting.

• IS Audit Procedure terdiri dari 9 prosedur yang menunjukan langkah-langkah yang dilakukan auditor dalam penugasan audit yang spesifik seperti prosedur melakukan bagaimana melakukan risk assestment, mengetes intrution detection system, menganalisis firewall dan sebagainya.

• Jika dibandingkan dengan audit keuangan, maka standar dari Isaca ini adalah setara dengan Standar Profesional Akuntan Publik (SPAP) yaitu menyangkut tata cara bagaimana audit dilakukan.

• Sedangkan bagaimana kondisi apa yang diaudit diberikan penilaian berdasarkan standar tersendiri yaitu Cobit.

Hasil Audit?

• Auditor Sistem Informasi pada dasarnya melakukan penilaian (assurance) tentang kesiapan sistem berdasarkan kriteria tertentu.

• Kemudian berdasarkan pengujian Auditor akan memberikan rekomendasi perbaikan yang diperlukan.

• Adakalanya judgement diperlukan berdasarkan kriteria yang disepakati bersama.

• Penanggung jawab sistem yang diaudit tetap berada pada pengelola sistem, bukan di tangan auditor.

• Atas rekomendasi yang diberikan tentunya diharapkan ada tindak lanjut perbaikan bagi manajemen.

Hasil Audit?

• Di AS hasil audit sistem informasi terhadap bank harus dipublikasikan kepada publik. Dengan demikian pengguna jasa, nasabah mengetahui kondisi layanan sistem informasi pada bank tersebut. Jika sebuah hasil audit TI perlu dipublikasikan, tentunya perlu perangkat hukum yang mengatur tata cara pelaporan tersebut.

Siapa yang Melakukan Audit?

• Siapakah sebaiknya yang melakukan audit sistem informasi? – Audit sistem informasi dapat dilakukan sebagai

bagian dari pengendalian internal yang dilakukan oleh fungsi TI.

– Tapi jika dibutuhkan opini publik tentang kesiapan sistem tersebut, audit dapat dilakukan dengan mengundang pihak ketiga (auditor independent) untuk melakukannya.

Mengapa Audit Sistem Informasi diperlukan?

Audit SI

6 Alasan Mengapa Audit TI Diperlukan

1. Kerugian akibat kehilangan data 2. Kesalahan dalam pengambilan keputusan 3. Risiko kebocoran data 4. Penyalahgunaan Komputer 5. Kerugian akibat kesalahan proses

perhitungan 6. Tingginya nilai investasi perangkat keras dan

perangkat lunak komputer

1. Kerugian akibat kehilangan data • data telah menjadi salah satu aset terpenting bagi suatu

perusahaan. • Bayangkan, jika Anda pimpinan perusahaan yang sebagian besar

penjualan yang Anda raih dilakukan dengan cara kredit dimana para pembeli akan membayar tagihannya di kemudian hari. Untuk mencatat penjualan, Anda menggunakan bantuan TI.

• Akibat terjadinya gangguan virus atau terjadi kebakaran pada ruangan komputer yang Anda miliki, misalnya, maka seluruh data tagihan tersebut hilang.

• Kehilangan data tersebut mungkin saja akan mengakibatkan perusahaan Anda tidak dapat melakukan penagihan kepada para pelanggan.

• Atau, kalaupun masih dapat dilakukan, waktu yang dibutuhkan menjadi sangat lama karena Anda harus melakukan verifikasi manual atas dokumen penjualan yang Anda miliki.

2. Kesalahan dalam pengambilan keputusan

• Banyak kalangan usaha yang saat ini telah menggunakan bantuan Decision Support System (DSS) untuk mengambil keputusan-keputusan penting.

• Dalam bidang kedokteran, misalnya, keputusan dokter untuk melakukan tindakan operasi dapat saja ditentukan dengan menggunakan bantuan perangkat lunak tersebut.

• Dapat dibayangkan risiko yang mungkin dapat ditimbulkan apabila sang dokter salah memasukkan data pasien ke sistem TI yang digunakan. Taruhannya bukan lagi material, melainkan nyawa seseorang.

3. Risiko kebocoran data• Data bagi sebagian besar sektor usaha merupakan sumber daya

yang tidak ternilai harganya. Informasi mengenai pelanggan, misalnya, bisa jadi merupakan kekuatan daya saing suatu perusahaan. Bayangkan, Anda seorang direktur suatu perusahaan telekomunikasi yang memiliki 5 juta pelanggan. Tanpa Anda sadari, satu persatu pelanggan perusahaan Anda telah beralih ke perusahaan pesaing.

• Setelah melalui proses audit, akhirnya diketahui bahwa data pelanggan perusahaan Anda telah jatuh ke tangan perusahaan pesaing. Berdasarkan data tersebut, perusahaan pesaing kemudian menawarkan jasa yang sama dengan jasa yang Anda tawarkan ke pelanggan yang sama, tetapi dengan biaya yang sedikit lebih rendah. Kebocoran data ini tidak saja berdampak terhadap kehilangan sejumlah pelanggan, akan tetapi lebih jauh lagi bisa mengganggu kelangsungan hidup perusahaan Anda.

4. Penyalahgunaan Komputer (1)• Alasan lain perlunya dilakukan audit TI adalah tingginya

tingkat penyalahgunaan komputer. • Pihak-pihak yang dapat melakukan kejahatan komputer

dikenal dengan nama hackers dan crackers. • Hackers merupakan orang yang dengan sengaja memasuki

suatu sistem teknologi informasi secara tidak sah. Biasanya mereka melakukan aktivitas hacking untuk kebanggaan diri sendiri atau kelompoknnya, tanpa bermaksud merusak atau mengambil keuntungan atas tindakannya itu.

• Sedang, Crackers di sisi lain melakukan aktivitasnya dengan tujuan mengambil keuntungan sebanyak-banyaknya dari tindakannya tersebut, misalnya mengubah atau merusak atau, bahkan, menghancurkan sistem komputer.

4. Penyalahgunaan Komputer (2)• Kejahatan komputer juga bisa dilakukan oleh karyawan

yang merasa tidak puas dengan kebijakan perusahaan, baik yang saat ini masih aktif bekerja di perusahaan yang bersangkutan maupun yang telah keluar. Sayangnya, tidak semua perusahaan siap mengantisipasi adanya risiko-risiko tersebut.

• Survei yang dilakukan oleh Ernst & Young (Global Information Security Survey 2003) menemukan bahwa 34% dari total perusahaan yang ada saat ini tidak memiliki mekanisme yang memadai untuk mendeteksi kemungkinanan adanya serangan terhadap sistem mereka. Lebih dari 33%, bahkan menyatakan bahwa mereka tidak memiliki kemampuan yang cukup untuk menindaklanjuti ancaman-ancaman yang mungkin timbul.

5. Kerugian akibat kesalahan proses perhitungan

• TI digunakan untuk melakukan perhitungan yang rumit. • Salah satu alasan digunakannya TI adalah kemampuannya

untuk mengolah data secara cepat dan akurat (misalnya, penghitungan bunga bank).

• Penggunaan TI untuk mendukung proses penghitungan bunga bukannya tanpa risiko kesalahan.

• Risiko ini akan semakin besar, misalnya ketika bank tersebut baru saja berganti sistem dari sistem yang sebelumnya mereka gunakan. Tanpa adanya mekanisme pengembangan sistem yang memadai, mungkin saja terjadi kesalahan penghitungan atau, bahkan, fraud. Kesalahan yang ditimbulkan oleh sistem baru ini akan sulit terdeteksi tanpa adanya audit terhadap sistem tersebut.

6. Tingginya nilai investasi perangkat keras dan perangkat lunak komputer• Investasi yang dikeluarkan untuk suatu proyek TI seringkali sangat

besar. Bahkan, dari penelitian yang pernah dilakukan (Willcocks, 1991), tercatat bahwa 20% pengeluaran TI terbuang secara percuma, 30-40% proyek TI tidak mendatangkan keuntungan. Selan itu, sulit mengukur manfaat yang dapat diberikan TI.

• Untuk Indonesia , alokasi anggaran untuk investasi di bidang TI relatif tidak lebih besar dibandingkan di luar negeri. Di Indonesia besarnya alokasi anggaran berkisar 5-10%, sementara di luar negeri bisa mencapai 30% dari total anggaran belanja perusahaan. Namun, bila dilihat dari nilai absolut besarnya Rupiah yang dikeluarkan, jumlahnya sangat besar. Perusahaan-perusahaan besar nasional, seperti Garuda Indonesia, Telkom, dan Pertamina semuanya, saat ini, sudah menerapkan sistem ERP (Enterprise Resource Planning) dan bahkan berbagai aplikasi lainnya yang melibatkan investasi yang signifikan.

Pentingnya Audit Sistem Informasi E-Government

Audit SI

Pendahuluan• Kita seringkali sulit untuk dapat menjawab beberapa

pertanyaan ini : • 1. Apakah aset Teknologi Informasi & Komunikasi (TIK) yang

kita miliki sudah dilindungi dengan layak dari risiko kerusakan, kehilangan, kesalahan atau penyalahgunaan ?

• 2. Apakah informasi yang diolah melalui TIK tersebut sudah dapat kita yakini integritasnya (kelengkapan dan akurasi) ?

• 3. Apakah solusi TIK yang kita kembangkan sudah dapat mencapai tujuannya dan membantu pencapaian tujuan lembaga kita dengan efektif ?

• 4. Apakah sumber daya TIK yang kita miliki sudah dimanfaatkan dengan efisien dan bertanggung jawab ?

Definisi Audit Sistem Informasi

• suatu proses pengumpulan dan pengevalusian bukti-bukti yang dilakukan oleh pihak yang independen dan kompeten untuk mengetahui apakah suatu sistem informasi dan sumber daya terkait, secara memadai telah dapat : – melindungi aset,– menjaga integritas dan ketersediaan sistem dan data,– menyediakan informasi yang relevan dan handal,– mencapai tujuan organisasi dengan efektif,– menggunakan sumber daya dengan efisien,

Proses Audit Sistem Informasi (1)

• Survei pendahuluan– memperoleh gambaran umum dari lingkungan TIK

yang akan diaudit.• pahami seluruh sumber daya TIK– infrastruktur, aplikasi, informasi, personil – yang

termasuk ke dalam lingkup audit• Pahami sistem pengendalian intern TIK– struktur organisasi, kebijakan, prosedur, standar,

parameter, dan alat bantu kendali lainnya.

Proses Audit Sistem Informasi (2)

• lakukan analisis risiko pendahuluan– Jika layak: melakukan pengujian dari pelaksanaan

kendali-kendali tersebut– Jika tidak layak: lakukan pengujian terinci

terhadap risiko TIK secara mendalam (dengan jumlah sampel yang cukup besar).

Proses Audit Sistem Informasi (3)

• lakukan pengujian pengendalian intern TIK – Untuk memperoleh bukti yang memadai bahwa

pengendalian intern TIK telah dilaksanakan sesuai rancangannya • maka selanjutnya auditor akan melakukan pengujian terinci

atas risiko TIK secara terbatas (dengan jumlah sampel yang terbatas).

– jika hasil pengujian pengendalian intern TIK menunjukkan bahwa pelaksanaan pengendalian intern TIK tidak sesuai dengan rancangannya • maka auditor akan melakukan pengujian terinci risiko TIK

secara mendalam.

Proses Audit Sistem Informasi (4)

• Susun laporan audit sistem informasi yang memuat kesimpulan audit beserta tanggapan dari pihak yang diaudit atas rekomendasi yang disampaikan oleh auditor dalam rangka peningkatan pengendalian intern TIK– Berdasarkan Bukti-bukti yang diperoleh auditor

dari hasil analisis risiko dan rancangan kendali serta pengujian pengendalian intern TIK dan pengujian terinci risiko TIK

Tujuan Audit Sistem Informasi

• Conformance (Kesesuaian) – difokuskan untuk memperoleh kesimpulan atas

aspek kesesuaian, yaitu : Confidentiality (Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan) dan Compliance (Kepatuhan).

• Performance (Kinerja) – difokuskan untuk memperoleh kesimpulan atas

aspek kinerja, yaitu : Effectiveness (Efektifitas), Efficiency (Efisiensi), Reliability (Kehandalan).

Lingkup Audit Sistem Informasi

• pada umumnya difokuskan kepada seluruh sumber daya TIK yang ada, yaitu :– Aplikasi, – Informasi, – Infrastruktur dan – Personil.

Untuk lebih praktisnya, berikut ini adalah beberapa tujuan audit sistem informasi yang pernah dilakukan, antara lain :

• Evaluasi atas kesesuaian (strategic alignment) antara rencana strategis dan rencana tahunan organisasi dengan rencana strategis TIK, rencana tahunan TIK dan rencana proyek/program TIK.

• Evaluasi atas kelayakan struktur organisasi TIK, termasuk pemisahan fungsi (segregation of duties) dan kelayakan pelimpahan wewenang dan otoritas (delegation of authority).

• Evaluasi atas pengelolaan personil TIK, termasuk perencanaan kebutuhan, rekrutmen dan seleksi, pelatihan dan pendidikan, promosi/demosi/mutasi, serta terminasi personil TIK.

• Evaluasi atas pengembangan TIK, termasuk analisis kebutuhan, perancangan, pengembangan, pengujian, implementasi dan migrasi, pelatihan dan dokumentasi TIK, serta manajemen perubahaan.

• Evaluasi atas kegiatan operasional TIK, termasuk pengelolaan keamanan dan kinerja pengelolaan pusat data (data center), pengelolaan keamanan dan kinerja jaringan data, dan pengelolaan masalah dan insiden TIK serta dukungan pengguna (helpdesk).

• Evaluasi atas kontinuitas layanan TIK, termasuk pengelolaan backup & recovery, pengelolaan prosedur darurat TIK (IT emergency plan), pengelolaan rencana pemulihan layanan TIK (IT recovery plan), serta pengujian rencana kontijensi operasional (business contigency/continuity plan).

• Evaluasi atas kualitas pengendalian aplikasi, termasuk pengendalian input, pengendalian proses dan pengendalian output.

• Evaluasi atas kualitas data/informasi, termasuk pengujian atas kelengkapan dan akurasi data yang dimasukkan, diproses, dan dihasilkan oleh sistem informasi.

Peranan Audit Sistem Informasi di Lembaga Pemerintahan

• Dengan pemahaman bahwa manajemen TIK di lembaga pemerintahan merupakan suatu hal rumit dan kompleks serta penting bagi layanan publik, maka sudah pasti semua pimpinan lembaga pemerintahan ingin mengetahui kondisi ketatakelolaan TIK yang selama ini telah dilaksanakan di lembaganya.

• Disinilah peranan Audit Sistem Informasi di dalam suatu lembaga pemerintahan, yaitu untuk memberikan suatu hasil evaluasi yang independen mengenai kesesuaian dan kinerja dari TIK yang ada, apakah sudah dapat melindungi aset TIK, menjaga integritas dan ketersediaan sistem dan data, menyediakan informasi yang relevan dan handal, dan mencapai tujuan organisasi dengan efektif, serta menggunakan sumber daya TIK dengan efisien.

Peranan Audit Sistem Informasi di Lembaga Pemerintahan

• Para pemeriksa dari BPK, BPKP dan Bawasda serta kantor akuntan publik atau konsultan audit yang melakukan audit atas lembaga pemerintahan, diharapkan dapat memberikan suatu hasil evaluasi yang independen atas kesesuaian dan kinerja pengelolaan TIK di lembaga pemerintahan, serta memberikan berbagai rekomendasi yang dapat dengan signifikan meningkatkan ketatakelolaan TIK di lembaga tersebut.

• Keterpurukan ketatakelolaan TIK di lembaga pemerintahan saat ini, yang seringkali hanyalah berupa belanja-belanja proyek TIK tanpa kejelasan kesesuaian dan kinerja yang diharapkan, tentunya tidak lepas dari kemampuan para pemeriksa dalam melakukan evaluasi dan memberikan rekomendasi terkait ketatakelolaan TIK serta komitmen dari para pimpinan lembaga dalam menindaklanjuti rekomendasi tersebut. Audit Sistem Informasi tidak dilaksanakan untuk mencari temuan atau kesalahan, namun untuk memberikan kesimpulan serta merekomendasikan perbaikan yang dapat dilakukan atas pengelolaan TIK.

Manfaat Audit Sistem Informasi di Lembaga Pemerintahan

• Meningkatkan :– perlindungan atas aset TIK lembaga pemerintahan yang merupakan

kekayaan negara, atau dengan kata lain aset milik publik,– integritas dan ketersediaan sistem dan data yang digunakan oleh

lembaga pemerintahan baik dalam kegiatan internal lembaga maupun dalam memberikan layanan publik,

– penyediaan informasi yang relevan dan handal bagi para pemimpin lembaga pemerintahan dalam mengambil keputusan dalam menjalankan layanan publik,

– peranan TIK dalam pencapaian tujuan lembaga pemerintaha dengan efektif, baik itu untuk terkait dengan kebutuhan internal lembaga tersebut, maupun dengan layanan publik yang diberikan oleh lembaga tersebut,

– efisiensi penggunaan sumber daya TIK serta efisiensi secara organisasional dan prosedural di lembaga pemerintahan.

• Dengan kata lain, Audit Sistem Informasi merupakan suatu komponen dan proses yang penting bagi lembaga pemerintahan dalam upayanya untuk memberikan jaminan yang memadai kepada publik atas pemanfaatan TIK yang telah dilaksanakan oleh lembaga pemerintahan.

Pengalaman Tiga Raksa (1)• Untuk servers, assessment audit mewajibkan

penerapan konfigurasi RAID. Ini dilakukan terutama untuk main critical applications. Dengan konfigurasi ini terdapat minimal 3 disk, sehingga bila salah satunya gagal atau crash, maka 2 disk lainnya akan menggantikan sambil menunggu perbaikan. Ini untuk mencegah terjadinya kehilangan data-data penting perusahaan. Assessment terhadap servers juga menghendaki penerapan skema cadangan C-ICT dan piranti lunak pengendali jarak-jauh C-ICT.

Pengalaman Tiga Raksa (2)• Untuk PC dan printer, assessment menghendaki virus

scanner dilakukan secara otomatis ketika pengguna log-in. Penyimpanan data tidak lagi dilakukan pada drive lokal C, tapi langsung pada file servers kecuali pada kantor cabang yang dilakukan dengan CD-RW. Assessment juga menghendaki C-ICT common desktop application terhadap semua PC yang ada, dan dibatasi usia PC sehingga tidak ada yang obsolet dari sisi teknologi. “Dulu ketika datang pertama kalinya, masih ada teman yang masih menggunakan PC berprosesor 486 dan pentium I, padahal saat itu umumnya di pasar sudah ada PC berprosesor Pentium III,” ungkapnya.

Pengalaman Tiga Raksa (3)

• Yang sering terlupakan adalah pengaturan printer sebagai alat bantu. Kebanyakan perusahaan berusaha menyediakan printer untuk hampir setiap pegawainya. Namun, hal itu tidak dilakukan di sini. Assessment audit menyarankan perlunya berbagai printer untuk satu grup kerja tertentu, sehingga mengurangi keengganan karyawan menggunakan printer di luar keperluan kerja.

Pengalaman Tiga Raksa (4)

• Assessment terhadap piranti lunak dilakukan dengan menyeragamkan sistem operasi (OS). “Saat itu diputuskan untuk mengambil Windows 2000 server based dengan service pack terbaru,” jelas Nofrins. Keseragaman diperlukan agar tidak hanya efisien, tapi juga mudah dalam perawatannya.

Pengalaman Tiga Raksa (5)• Pengoraganisasian bagian TI juga ditetapkan dalam

audit assessment. Ini terbagi atas IT management, IT support dan IT staffing. Untuk pertama kalinya diperkenalkan visi jangka panjang mengenai IT management yang merujuk pada tujuan bisnis perusahaan. Ini didukung visi business support yang jelas dan orientasinya dipersiapkan untuk penerapan ERP (enterprise resource planning) sebagai infrastrukturnya. Selain itu, tanggungjawab dibebankan pada setiap karyawan pengguna, sedang manajemen TI lebih bertanggung jawab dalam mendukung dan memecahkan masalah yang muncul.

Pengalaman Tiga Raksa (6)

• Untuk IT support, assessment menghendaki terjadinya restrukturisasi organisasi TI dengan pendekatan operasional yang baru. Penekannya pada karyawan yang terlatih dengan baik, sehingga cepat tanggap dan terbuka terhadap semua keluhan yang muncul.

Pengalaman Tiga Raksa (7)• Namun, yang terpenting bukan terletak pada organisasi

dan staffing bagian TI, melainkan karena audit TI masih terbatas pada fokus utama dan yang terkait dengan penerapan dan pengembangan sistem TI dalam suatu organisasi atau perusahaan. Namun, masalahnya, bagaimana mensosialisasikannya ke seluruh bagian dan staf lainnya di dalam organisasi tersebut.

• Di sinilah justru letak tantangan terbesarnya, yakni bagaimana menyebar luaskan dan mengubah kebiasaan pengguna TI. “Jangan sampai muncul keluhan dari teman atau pengguna betapa sulitnya mengingat password, terutama karena seringnya gonta-ganti password,” jelas Nofrins. EW

Referensi

• Standar Audit Sistem Informasi - Ikatan Audit Sistem Informasi Indonesia (IASII) (www.iasii.or.id) • Standard for Information System Auditing - Information System Audit and Control Association

(ISACA) (www.isaca.org) • Materi Pelatihan “Information Technology Audit” - Audittindo Education (www.audittindo.co.id)• IT Audit Curriculum – Internation Organization of Supreme Audit Institution (INTOSAI) Standing

Committee on IT Audit (www.intosaiitaudit.org)• COBIT version 4.1 – Information Technology Governance Institute (ITGI) (www.itgi.org) ditulisOleh Chandra Yulistia, pakar audit Informasi (Wakil Ketua Ikatan Audit Sistem Informasi Indonesia)• Terakhir Diperbaharui ( Kamis, 03 Juli 2008 13:16 )

1. http://jakarta.wartaegov.com/index.php?option=com_content&view=article&id=808:pentingnya-audit-sistem-informasi-e-government&catid=36:kolom&Itemid=60 diambil 26 februari 2009 jam 11.29 tentang pentingnya Audit SI e-government

2. http://www.ebizzasia.com/0217-2004/focus,0217,03.htm diambil 26 februari 2009 jam 13.36 tentang 6 alasan mengapa Audit SI diperlukan

3. http://idrianita.wordpress.com/2007/04/27/audit-siti/ diambil 26 februari 2009 jam 11.33 tentang pengetahuan dasar Audit SI

4. http://www.ebizzasia.com/0217-2004/focus,0217,06.htm diambil tanggal 26 februari 2009 jam 13.28 tentang Audit TI siapa yang untung