YuswadiAris SudarmonoMuhajibDwi Purwanto

Padahal sudah 30 tahun sejak negara-negara maju tersebut menetapkan aturan kewajiban IT audit di lembaga-lembaganya

IT audit merupakan hal yang sangat penting dalam implementasi sebuah sistem informasi bagi organisasi yang mengembangkannya.

Terlebih pada saat ini pemanfaatan teknologi/sistem informasi merupakan hal yang sangat penting bagi sebuah organisasi dalam pencapaian tujuan/visi/misi lembaganya. Namun di sisi lain kepentingan tersebut berimbas pada meningkatnya indeks kerawanan dari pengembangan/pembangunan sistem informasi.

Untuk menekan titik-titik rawan tersebut diperlukan seperangkat batasan-batasan dan tolok-ukur (parameter) yang dapat dijadikan dasar dalam melakukan evaluasi terhadap kegiatan pembangunan/pengembangan sistem informasi

Perlukah (Pentingkah) Audit Teknologi Informasi?

Dengan dilakukannya IS audit yang dilakukan secara transparan dan dapat dipertanggungjawabkan hasilnya maka pelaksanaan penerapan teknologi informasi di dalam suatu institusi dapat memberikan hasil terbaiknya serta menyerap investasi yang tepat guna dan berdaya guna.

Perlukah (Pentingkah) Audit Sistem Informasi?

Alasan perusahaan belum melakukan audit IS

perusahaan merasa bahwa IS yang diterapkan masih berperan sebatas support tools, belum menjadi strategic tools

kebijakan dan tujuan-tujuan penerapan IS-nya tidak begitu jelas

nilai investasi IS yang belum dianggap cukup berarti dibandingkan nilai keuangan perusahaan.

banyaknya jargon teknis IS yang sulit dipahami oleh manajemen puncak.

Tujuan Audit Sistem InformasiTujuan Audit Sistem Informasi dapat dikelompokkan

ke dalam dua aspek utama, yaitu: Conformance (Kesesuaian) – Pada kelompok tujuan

ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu : Confidentiality (Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan) dan Compliance (Kepatuhan).

Performance (Kinerja) - Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu : Effectiveness (Efektifitas), Efficiency (Efisiensi), Reliability (Kehandalan).

Keuntungan Audit Menilai keefektifan aktivitas aktifitas dokumentasi

dalam organisasi Memonitor kesesuaian dengan kebijakan, sistem,

prosedur dan undang-undang perusahaan Mengukur tingkat efektifitas dari sistem Mengidentifikasi kelemahan di sistem yang mungkin

mengakibatkan ketidaksesuaian di masa datang Menyediakan informasi untuk proses peningkatan Meningkatkan saling memahami antar departemen

dan antar individu Melaporkan hasil tinjauan dan tindakan berdasarkan

resiko ke Manajemen

Letak Audit Sistem Informasi

Pengelolaan Sistem Informasi

AuditSistem Informasi

Pengembangan Sistem Informasi

Sistem Informasi

1. Standar2. Regulasi3. Praktek4. Aturan

Enam komponen Audit TI/ISEnam komponen Audit :

pendefinisian tujuan perusahaan;penentuan isu, tujuan dan perspektif bisnis antara

penanggung jawab bagian dengan bagian TI; review terhadap pengorganisasian bagian TI yang

meliputi perencanaan proyek, status dan prioritasnya, staffing levels, belanja TI dan IT change process management;

assessment infrastruktur teknologi, assessment aplikasi bisnis;

temuan-temuan, laporan rekomendasi.

Bidang Pekerjaan IT/IS di perusahaan

System AnalystProgrammerAdministrator (Network, system,

database)Support (workshop, maintenance,

helpdesk, dll )Security OfficerAuditor

Siapa yang DiauditManagementIT ManagerIT Specialist (network, database, system

analyst, programmer, dll.)User

Yang Melakukan AuditTergantung Tujuan AuditInternal Audit (first party audit)

Dilakukan oleh atau atas nama perusahaan sendiriBiasanya untuk management review atau tujuan

internal perusahaanLembaga independen di luar perusahaan

Second party auditDilakukan oleh pihak yang memiliki kepentingan thd

perusahaanThird party audit

Dilakukan oleh pihak independen dari luar perusahaan. Misalnya untuk sertifikasi (ISO 9001, BS7799 dll).

Tugas Auditor ITMemastikan sisi-sisi penerapan IT memiliki

kontrol yang diperlukan Memastikan kontrol tersebut diterapkan

dengan baik sesuai yang diharapkan

Yang DilakukanPersiapanReview DokumenPersiapan kegiatan on-site auditMelakukan kegiatan on-site auditPersiapan, persetujuan dan distribusi

laporan auditFollow up audit

Output kegiatan AuditHasil akhir adalah berupa laporan yang berisi:Ruang Lingkup auditMetodologiTemuan-temuanKetidaksesuaian (sifat ketidaksesuaian, bukti2 pendukung, syarat yg tdk dipenuhi, lokasi, tingkat ketidaksesuaian)

Kesimpulan (tingkat kesesuaian dengan kriteria audit, efektifitas implementasi, pemeliharaan dan pengembangan sistem manajemen, rekomendasi)

Ketrampilan yang dibutuhkan Audit skill : sampling, komunikasi,

melakukan interview, mengajukan pertanyaan, mencatat

Generic knowledge : pengetahuan mengenai prinsip2 audit, prosedur dan teknik, sistem manajemen dan dokumen2 referensi, organisasi, peraturan2 yang berlaku

Specific knowledge : background IT/IS, bisnis, specialist technical skill, pengalaman audit sistem manajemen, perundangan

Prinsip-prinsip Audit

Ethical conductBerdasar pada profesionalisme, kejujuran,

integritas, kerahasiaan dan kebijaksanaanFair Presentation

Kewajiban melaporkan secara jujur dan akurat

Due professional careImplementasi dari kesungguhan dan

pertimbangan yang diberikanIndependenceEvidence-base approach

SertifikasiCISA (Certified Information Systems Auditor)CISM (Certified Information Security Manager)CISSP (Certified IS Security Professional)CIA (Certified Internal Auditor)

Kualifikasi :Pengalaman dan pengetahuan untuk mengidentifikasi, mengevaluasi, dan memberikan rekomendasi berupa solusi untuk mengurangi kelemahan sistem IT=> Mengeluarkan sertifikasi untuk personal auditor

Audit Sistem InformasiMeliputi:

Tata kelola teknologi informasi secara menyeluruhAudit pengembangan sistem informasi (SDLC),

satu jenis aplikasi tertentu

Audit Sistem InformasiSebagai audit tersendiri – perlu dilakukan untuk

memeriksa tingkat kematangan atau kesiapan suatu organisasi dalam melakukan pengelolaan teknologi informasi

Level of maturity dapat dilihat dari awareness dari para stake holderKarenanya sebuah penerapan it harus melalui

tahapan perencanaan yang baik.

Kebutuhan Audit Sistem Informasi

General Financial AuditAudit objective sesuai dengan standar akuntansi

keuanganReferensi model adalah COSO (committee of

sponsoring Organization)

IT GovernanceAudit operasional terhadap manajemen pengelolaan

sumberdaya informasiAspek-aspek:efektifitas, efesiensi, data integrity, save

guarding asset, reliability, confidentiallity, availability, security.

Audit Sistem Informasi – IT GovernanceSelain dapat dilakukan untuk sistem secara

menyeluruh, dapat juga dilakukan terhadap:General information review

Audit terhadap sistem informasiQuality Assurance

Auditor (bukan anggota tim pengembang), membantu meningkatkan kualitas dari sistem. Auditor mewakili pimpinan proyek.

Postimplementation Audit Apakah sistem perlu dimutakhirkan atau diperbaiki atau

dihentikan. Istilah audit arround dan audit through the computer tidak

berlaku lagi pada audit jenis ini

Flowchart Langkah-Langkah Utama dalam Audit Sistem Informasi

Evaluasi Efektivitas Sistem Informasi

Evaluasi efektivitas terhadap suatu sistem informasi terdiri dari 6 langkah:Identifikasi tujuan dari sistem informasi.Pilih alat ukur yang akan digunakan.Identifikasi sumber data.Dapatkan keadaan sebelum sistem informasi

diimplementasikan.Dapatkan keadaan setelah sistem informasi

diimplementasikan.Menilai pengaruh dari sistem.

Evaluasi Efektivitas Sistem InformasiIdentifikasi tujuan dari sistem informasi

Tujuan dari sistem informasi umumnya telah ditekankan dengan jelas pada tahap pengembangan software, namun terkadang tujuan ini dibuat dengan salah dan tidak memadai. Pihak lain yang berhubungan dengan sistem informasi pun juga bisa memberi definisi yang berbeda mengenai tujuan dari sistem informasi ini, namun auditor harus mengambil kesimpulan dari masukan-masukan yang ada mengenai tujuan dari sistem informasi untuk melakukan evaluasi tujuan mana yang telah tercapai dan yang belum tercapai.

Pilih alat ukur yang akan digunakan.Auditor harus memiliki alat ukur untuk menentukan sejauh mana tujuan dari sistem informasi telah tercapai, dalam beberapa kasus digunakan kuisioner untuk mendapatkan jawaban satu arah dari user, dalam kasus lain digunakan pengukuran kualitatif melalui wawancara dan observasi.

Metode Audit SIGabungan dari berbagai macam ilmu:

Traditional AuditManajemen Sistem InformasiSistem Informasi AkuntansiIlmu KomputerBehavioral ScienceBiasanya menggunakan Computer-Assisted

Audit Tools (CAATs) atau Computer-Assisted Audit Tools and Techniques (CAATTs). CAATTs memungkinkan auditor untuk melakukan audit through the database dan komputer

Teknik Audit SILaksanakan audit sesuai rencana.Gunakan daftar pengecekan untuk

membantu mengarahkan alur audit.Temukan fakta dengan mengajukan

pertanyaan secara sistematik.Cocokkan temuan-temuan fakta dengan

bukti-bukti di lokasi.

Jadwal AuditDipersiapkan agar sesuai dengan lingkup

setiap audit.Mencakup semua aspek pekerjaan dalam

lingkup audiit.Frekuensi audit tergantung pada status

dan kepentingan audiit.Jadwal harus diinformasikan sebelumnya

kepada teraudit.

PROSES AUDIT HARUS MEMILIKI OBYEK YANG JELAS DAN TERUKUR DENGAN TARGET HASIL YANG JUGA

HARUS JELAS DAN TERUKUR

Web Terkait Audit SI/TIhttp://auditti.comhttp://iasii.or.id

FrameworkFramework merupakan sekumpulan perintah/fungsi dasar

yang dapat membantu dalam menyelesaikan proses-proses yang lebih kompleks, menangani berbagai masalah dalam pemrograman seperti koneksi database, pemanggilan variable, dll. Sehingga developer lebih fokus dan lebih cepat membangun aplikasi.

Secara sederhana dapat dijelaskan  bahwa framework adalah kumpulan fungsi-fungsi yang sudah ada sehingga programmer tidak perlu lagi membuat fungsi-fungsi (kumpulan library) dari awal, yang tentunya tinggal memanggil kumpulan library tersebut didalam framework.

Fungsi-fungsi standar yang telah tersedia dalam suatu framework adalah fungsi enkripsi, session, security, manipulasi gambar, grafik, validasi, upload, template dan  lain-lain.

FrameworkSebenarnya dalam melaksanakan IT/IS Audit

terdapat berbagai tools yang sudah siap digunakan saat ini. Tools tersebut dikembangkan dan distandarisasikan oleh berbagai badan di dunia.

Standard tools tersebut dikembangkan sebagai framework yang disusun berdasarkan best pratices dari hasil riset serta pengalaman bertahun-tahun dalam kegiatan audit TI. Framework tersebut tentunya mengalami penyempurnaan yang berkelanjutan sebagai upaya menciptakan standar yang semakin baik, efektif dan efisien.

Standard Tools/Framework COBIT® (Control Objectives for Information and related

Technology) COSO (Committee of Sponsoring Organisations of the Treadway

Commission) Internal Control—Integrated Framework ISO/IEC 17799:2005 Code of Practice for Information Security

Management FIPS PUB 200 ISO/IEC TR 13335 ISO/IEC 15408:2005/Common Criteria/ITSEC PRINCE2 PMBOK TickIT CMMI TOGAF 8.1 IT Baseline Protection Manual NIST 800-14