3.3 Pentingnya Audit Sistem Informasi Bagi Perusahaan

Ron Weber dalam salah satu bukunya “Information System Control and Audit (Prentice-Hall, 2000)” menyatakan beberapa alasan penting mengapa audit Sistem Informasi perlu dilakukan dalam suatu perusahaan:

1. Mencegah kerugian akibat kehilangan data.

2. Menghindari kesalahan dalam pengambilan keputusan.

3. Mencegah timbulnya masalah yang disebabkan oleh kesalahan pemrosesan

    Computer.

4. Mencegah penyalahgunaan komputer / sistem.

5. Mencegah kesalahan pada proses perhitungan.

6. Mengurangi biaya investasi untuk perangkat keras dan perangkat lunak komputer

    pendukung sistem informasi.

Dalam lingkup perusahaan, audit sistem informasi dapat ditujukan untuk mengamankan aset-aset perusahaan, menjaga integritas data, menjaga efektivitas sistem, dan mencapai efisiensi sumber daya. Mengamankan aset yang berhubungan dengan instalasi sistem informasi mencakup: perangkat keras (hardware), perangkat lunak (software), manusia (people), file data, dokumentasi sistem, dan peralatan pendukung lainnya. Integritas data merupakan data yang memenuhi aspek kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian.

Data yang berintegritas merupakan langkah awal yang penting untuk mendapatkan hasil yang akurat. Sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya. Sistem informasi harus memberikan output berupa informasi yang diperlukan oleh pemegang keputusan. Penilaian efektivitas mengukur apakah kinerja sistem layak dipertahankan, harus ditingkatkan atau perlu dimodifikasi, atau sistem sudah usang, sehingga harus ditinggalkan dan dicari penggantinya. Efisiensi sistem informasi juga harus diukur untuk menghasilkan output yang diharapkan dengan sumber daya yang seminimal mungkin.

3.2 Jenis Jenis Audti EDP

Jenis Audit EDP

Berdasarkan luasnya penggunaan computer dan data yang dihasilkannya Audit EDP diklasifikasikan menjadi 4 jenis, antara lain :

A.    Audit disekitar Komputer

       Jenis audit ini dilakukan oleh auditor terhadap hardcopy yang dihasilkan computer. Sedangkan komputernya sendiri tidak disentuh.

Kelemahannya:

-       Umumnya data base mencakup jumlah data yang banyak dan sulit untuk ditelusuri secara manual.

-       Tidak membuat auditor memahami sistem computer lebih baik.

-       Mengabaikan pengendalian sistem, sehingga rawan terhadap kesalahan dan kelemahan potensial dalam system.

-       Lebih berkenaan dengan hal yang lalu dari pada audit yang preventif.

-       Kemampuan computer sebagai fasilitas penunjang audit mubazir.

-       Tidak mencakup keseluruhan maksud dan tujuan audit. 

B.    Audit dengan computer

       Jenis audit ini ditinjau dari auditor yang menggunakan bantuan computer dalam melakukan audit. Karena itu, organisasi yang di audit mungkin belum menggunakan computer tetapi auditor dalam melakukan audit dibantu oleh computer, yaitu ketika menyusun kertas kerja pemeriksaan dan laporan hasil audit.

C.    Audit melalui computer

       Jenis audit yang dilakukan terhadap organisasi yang telah menggunakan computer dalam memproses informasinya, baik secara sempit dan sederhana maupun secara luas dan canggih.

D.  Teknik Audit Berbasis Komputer (Computer Assisted Audit Techniques)

      Merupakan jenis audit yang dilakukan dengan bantuan software computer baik yang dibuat sendiri ataupun program paket yang disebut dengan GAS (General Auidt Software).

Manfaat GAS:

-               Memungkinkan auditor memiliki tingkat independensi yang tinggi.

-               Mengurangi keperluan tingkat keahlian computer dan pelatihan.

-               Dapat mengakses berbagai catatan klien tanpa program khusus.

-               Memungkinkan auditor mengendalikan pelaksanaan program.

-               Memanfaatkan kecepatan dan keakuratan computer.

Kelemahannya :

-               Dirancang untuk kemudahan implementasi tapi mengabaikan efisiensi.

-               Banyak GASP hanya berfungsi pada computer tertentu.

3.1 Jenis Jenis Resiko Audit

Dari rumusan model risiko audit ada 4 (empat) jenis risiko audit. Masing-masing jenis risiko audit tersebut akan dijelaskan sebagai berikut:

1. Planned Detection Risk (Risiko Penemuan yang Direncanakan)
            Adalah risiko bahwa bukti yang dikumpulkan dalam segmen gagal menemukan kekeliruan yang melampaui jumlah yang dapat ditolerir. Jika kekeliruan semacam itu timbul. Ada dua hal penting yang harus diperhatikan:
a. PDR tergantung pada tiga unsur risiko lainnya dalam model. Jadi risiko penemuan yang direncanakan hanya akan berubah jika auditor mengubah salah satu unsur lainnya.
b. PDR menentukan besarnya bukti yang akan dikumpulkan. Hubungan antara PDR dengan bukti berbanding terbalik. Jika nilai risiko penemuan yang direncanakan diperkecil, berarti jumlah bukti yang harus dikumpulkan auditor dalam audit lebih banyak.

2. Acceptable Audit Risk (Risiko Audit yang dapat diterima)
            Adalah ukuran ketersediaan auditor untuk menerima bahwa laporan keuangn mengandung salah saji material tanpa pengecualian telah diberikan. Risiko ini ditetapkan secara subyektif bahwa auditor bersedia menerima laporan keuangan tidak disajikan secara wajar setelah audit selesai dan pendapat wajar tanpa pengecualian telah diberikan. Kalau auditor menetapkan tingkat risiko audit yang dapat diterima rendah, berarti ia ingin lebih memastikan bahwa tidak ada kekeliruan yang material dalam laporan keuangan.
            Tingkat risiko nol berarti kepastian penuh bahwa laporan keuangan tidak mengandung kekeliruan yang materia dan tingkat risiko ini 100% berarti auditor sangat tidak yakin kalau laporan keuangan tidak mengandung salah saji atau kekeliruan yang material.

3. Inherent Risk (Risiko Bawaan atau Risiko Melekat)
            Adalah penetapan auditor akan kemungkinan adanya kekeliruan (salah saji) dalam segmen audit yang melampaui batas toleransi, sebelum memperhitungkan faktor efektivitas pengendalian intern. Risiko bawaan menunjukkan faktor kerentanan laporan keuangan terhadap kekeliruan yang material dengan asumsi tidak ada pengendalian intern.
Bila auditor berkesimpulan bahwa akan banyak kemungkinan terjadi kekeliruan tanpa pengendalian intern, berarti risiko bawaannya tinggi.

Faktor pengendalian intern tidak diperhitungkan dalam menetapkan inherent risk (risiko bawaan) karena dalam model risiko audit hal itu akan diperhitungkan tersendiri sebagai risiko pengendalian. Hubungan antara risiko bawaan (inherent risk) dengan risiko penemuan (planned detection risk) serta rencana pengumpulan bukti adalah bahwa inherent risk sifatnya berbanding terbalik dengan planned detection risk rendah, maka planned detection risk tinggi dan bukti yang harus dikumpulkan pun sedikit.

4. Control Risk (Risiko Pengendalian)

            Adalah ukuran penetapan auditor akan kemungkinan adanya kekeliruan (salah saji) dalam segmen audit yang melampaui batas toleransi yang tidak terdeteksi atau tercegah oleh struktur pengendalian intern klien. Risiko pengendalian (control risk) mengandung unsur:
a. Apakah struktur pengendalian intern klien cukup efektif untuk mendeteksi atau mencegah kekeliruan.
b. Keinginan auditor untuk membuat penetapan tersebut di bawah nilai maksimum (100%) dalam rencana audit.
Misalnya: auditor menyimpulkan bahwa struktur pengendalian intern yang ada sama sekali tidak efektif dalam mencegah atau mendeteksi kekeliruan.

Bagaimana cara pengendalian jaringan komputer

Jaringan komputer merupakan salah satu alat bantu (tools) penting yang dapat digunakan oleh operator untuk mengolah wide area network adalah network control terminal. Network control terminal menyediakan akses kepada software system yang khusus untuk mengelolah jenis fungsi :

Beberapa cara pengendalian jaringan komputer :

1.  Memonitor aktivitas jaringan.

2.  Mengganti nama line komunikasi.

3.  Mengenerate statistic system.

4.  Mensetting ulang panjangnya antrian.

5.  Menambah frekuensi backup.

6.  Menanyakan status sistem.

7.  Mengirimkan system warning dan status message.

8.  Memeriksa lintasan data pada line komunikasi.

Contoh : seperti melakukan connection monitoring, connection monitoring adalah teknik monitoring jaringan yang dapat dilakukan dengan melakukan tes ping antara monitoring station dan device target, sehingga dapat  diketahui bila koneksi terputus.

Bagaimana cara pengendalian perangkat lunak

Perangkat lunak adalah instruksi-instruksi atau program yang digunkan untuk mengendalikan, mengontrol atau mengoperasikan sistem komputer dan peralatannya, sehingga dapat menjalankan tugas sesuai perintah. Berikut adalah cara pengendalian pada perangkat lunak :

• Boundary, user dengan sistem berbasis teknologi informasi tujuannya untuk mengenal identitas dan otentik/tidaknya pemakai sistem.

• Otoritas akses ke sistem aplikasi.

• Identifikasi dan otentisitas pengguna.

• Pengendalian masukan yang dirancang dengan tujuan untuk mendapatkan keyakinan bahwa data transaksi input adaah valid, lengkap, serta bebas dari kesalahan dan penyalagunaan.

Contoh :  Pengendalian transaksi, karena didesain berkaitan dengan transaksi pada aplikasi tertentu.

Bagaimana cara pengendalian perangkat keras

Suatu perangkat keras dilakukan dengan tujuan secara khusus untuk memperkuat keandalan sistem komputer serta secara umum untuk meningkatkan kadar pengendalian sistem secara menyeluruh. Pengendalian ini pada umumnya sudah merupakan bentuk pengendalian melekat yang sudah dirancang sebelumnya oleh produsen perangkat keras komputer itu sendiri. Lalu ada beberapa cara bagaimana cara pengendalian perangkat keras tersebut :

1.  Pengawasan Terhadap Akses Fisik

Untuk menjaga perangkat komputer dari kemungkinan penyalahgunaan, akses fisik terhadap perangkat komputer perlu diawasi.

2.  Pengaturan Lokasi Fisik

Lokasi ruang komputer merupakan pertimbangan yang pentin dalam pengendalian keamana komputer.

3.  Penggunaan Alat Pengamanan

Alat – alat penggunaantambahan diperlukan untuk menjaga keamanan komputer dari kemungkinan kerusakan.

4.  Pengendalian Operasi Perangkat

Merupakan bentuk pengendalian untuk menjaga perangkat keras dari kemungkinan kerusakan akibat kesalahan pengoperasian perangkat tersebut.

5. Echo Check

Merupakan suatu mekanisme pengendalian perangkat keras untuk meyakinkan bahwa transmisi  data ke sarana output telah dilakukan dengan baik oleh komputer.

6. Parity Check atau Cek Paritas

Merupakan bentuk pengendalian atas kebenaran karakter yang terekam ke  dalam sistem komputer.

7. Read After Write Check

Tujuan dari pengecekan ini adalah untuk meyakinkan bahwa data yang telah direkam ke media simpanan luar telah terekam dengan baik dan benar.

    

8. Dual Read Check

Tujuan dari pengecekan ini adalah untuk meyakinkan apakah data yang teah dibaca telah dibaca dengan benar.

9.  Validity Check

Tujuan dari pengecekan ini adalah meyakinkan bahwa data telah dikodekan dengan benar. Pada sistem komputer, angka dan karakter diwakili dengan suatu kode komputer dalam bentuk digit biner (binary digital).

Contoh : penjadwalan perawatan perangkat keras, pengamanan lokasi perangkat keras, akses masuk ruangan perangkat keras, maintenance perangkat keras.

Pengendalian Personil (User Pengguna IT)

Sistem pengendalian personil merupakan suatu perencanaan yang meliputi struktur organisasi dan semua metode dan alat-alat yang dikoordinasikan yang digunakan di dalam perusahaan dengan tujuan untuk menjaga keamanan harta milik perusahaan, memeriksa ketelitian dan kebenaran data akuntansi, mendorong efisiensi, dan membantu mendorong dipatuhinya kebijakan manajemen yang telah ditetapkan. Personil dalam suatu perusahan atau instansi mempunyai peranan penting dalam pengendalian sistem. Cara pengendalian personil dapat diindikasikan oleh hal-hal berikut :

-  Penggunaan uraian tugas.

-  Pemilihan dan pelatihan pegawai.

-  Penyediaan dan pelatihan.

-  Penggiliran pekerjaan (job rotation) dan keharusan mengambil cuti.

-  Adanya Prosedur penerimaan dan pemelihan pegawai.

-  Adanya evaluasi atas pekerjaan  yang dilakukan pegawai.

-  Administrasi atas gaji dan prosedur promosi yang jelas.

-  Adanya jenjang karier serta sarana dan aturan untuk mencapainya.

  -  Adanya program peningkatan keahlian pegawai melalui pelatihan yang berubungan

     dengan bidang tugasnya.

Contoh :

1. manajemen perekrutan.

2. promosi.

3. pelatihan pegawai.

4. Sebuah perusahaan membuka lowoangan pekerjaan bagi umum.

5. Untuk meningkatkan semangat pegawai diadakan promosi bagi para pegawainya.

6. Untuk mendapatkan kemampuan skill bagi para pegawai maka diadakan pelatihan diperusahaan.

Teknologi Yang Dibutuhkan Untuk Melakukan Audit (Teknologi SI)

Selain COBIT, terdapat beberapa tools lain yang digunakan untuk melakukan audit teknologi informasi, yaitu sebagai berikut :

1. ACL (Audit Command Language)

Merupakan perangkat lunak dalam pelaksanaan audit yang di design khusus untuk melakukan analisa data elektronik suatu perusahaan dan membantu menyiapkan laporan audit secara mudah dan interaktif. ACL dapat digunakan untuk user biasa atau yang sudah ahli.

2. Picalo

Picalo adalah perangkat lunak yang dapat digunakan untuk melakukan analisa data yang dihasilkan dari berbagai sumber. Picalo dikemas dengan GUI (Graphis User Interface) yang mudah digunakan, dan dapat berjalan di berbagai sistem operasi.

3. Metasploit

Metasploit merupakan perangkat lunak yang dapat membanttu keamanan dan sifat profesionalisme teknologi informasi seperti melakukan identifikasi masalah keamanan, verifikasi kerentanan, dapat melakukan scanning aplikasi website, dan rekayasa sosial.

4. NMap (Network Mapper)

NMap bersifat open source yang digunakan untuk audit dalam hal keamanan. Sistem dan administrator menggunakan perangkat lunak ini sebagai persediaan jaringan, mengelola jadwal layanan untuk upgrade, jenis firewall apa yang sedang digunakan, dan lain-lain. NMap berjalan pada semua sistem operasi dan paket biner seperti Linux, serta dapat melakukan transfer data secara fleksibel.

5. Wireshark

Wireshark adalah jaringan terkemuka pada analyzer protocol. Perangkat ini dapat membantu dalam melakukan penangkapan dan interaksi dalam penelusuran lalu lintas yang berjalan pada jaringan komputer.

Sumber : http://www.kajianpustaka.com/2014/02/audit-sistem-informasi.html

Tujuan Audit (Teknologi SI)

Tujuan audit sistem informasi secara garis besar terbagi menjadi 7 tahap, yaitu:

a)    Pengamanan aset

Aset informasi suatu perusahaan seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia, dan data harus dijaga dengan sistem pengendalian intern yang baik agar tidak ada penyalahgunaan aset perusahaan.

b)    Efektifitas sistem

Efektifitas sistem informasi perusahaan memiliki peranan penting dalam proses pengmbilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi tersebut sudah dirancang dengan benar (doing the right thing), telah sesuai dengan kebutuhan user. Informasi yang dibutuhkan oleh para manajer dapat dipenuhi dengan baik.

c)    Efisiensi sistem

Efisiensi menjadi sangat penting ketika sumber daya kapasitasnya terbatas. Jika cara kerja dari sistem aplikasi komputer menurun maka pihak manajemen harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memnuhi kebutuhan user dengan sumber daya informasi yang minimal. Cara kerja sistem benar (doing thing right).

d)    Ketersediaan (Availability)

Berhubungan dengan ketersediaan dukungan/layanan teknologi informasi (TI). TI hendaknya dapat mendukung secara kontinyu terhadap proses bisnis kegiatan perusahaan. Makin sering terjadi gangguan (system down) maka berarti tingkat ketersediaan sistem rendah.

e)    Kerahasiaaan (Confidentiality)

Fokusnya ialah pada proteksi terhadap informasi dan supaya terlindungi dari akses dari pihak yang idak berwenang.

f)     Kehandalan (Realibility)

Berhubungan dengan kesesuaian dan kekuratan bagi manajemen dalam pengolahan organisasi, pelaporan dan pertanggungjawaban.

g)    Menjaga integritas data

Integritas data (data integrity) adalah salah satu konsep dasar sistem informasi. Data memiliki atribut-atribut seperti kelengkapan kebenaran dan keakuratan.

Sumber : http://fitharikhadir.blogspot.com/2016/01/audit-sistem-informasi-dan-prosedur.html