Audit Sistem Informasi Untuk Mewujudkan Tata Kelola Sistem Informasi

22.47 0 Comments


 PENDAHULUAN

Audit Sistem Informasi menurut Ron Weber (1999, p.10 ) adalah proses pengumpulan dan pengevaluasian bukti-bukti untuk menentukan apakah suatu sistem aplikasi komputerisasi  telah menetapkan  dan  menerapkan  sistem  pengendalian intern yang memadai. Semua aktiva dilindungi dengan baik atau tidak disalahgunakan serta terjaminnya integritas data, keandalan serta efektifitas dan efisiensi penyelenggaraan sistem informasi berbasis komputer.

Audit Sistem Informasi dilakukan untuk:

  1. Apakah sistem komputerisasi suatu organisasi/perusahaan dapat mendukung pengamanan aset.
  2. Apakah sistem komputerisasi dapat mendukung pencapaian tujuan organisasi/perusahaan.
  3. Apakah  sistem  komputerisasi  tersebut  efektif,  efisien  dan  data integrity terjamin.
Dalam melaksanakan Audit sistem informasi, seorang auditor harus memastikan tujuan-tujuan berikut ini terpenuhi.
  1. Perlengkapan keamanan melindungi perlengkapan komputer, program, komunikasi, dan data dari akses yang tidak sah, modifikasi, atau penghancuran.
  2. Pengembangan dan perolehan program dilaksanakan sesuai dengan otorisasi khusus dan umum dari pihak manajemen.
  3. Modifikasi program dilaksanakan dengan otorisasi dan persetujuan pihak manajemen.
  4. Pemrosesan transaksi, file, laporan, dan catatan komputer lainnya telah akurat dan lengkap.
  5. Data sumber yang tidak akurat. atau yang tidak memiliki otorisasi yang tepat diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah ditetapkan.
  6. File data komputer telah akurat, lengkap, dan dijaga kerahasiaannya.
                                                                                                                                           







LANDASAN TEORI
PENGERTIAN AUDIT SISTEM INFORMASI MENURUT PARA AHLI
1.      Alvin A. Arens dan James K.Loebbecke
“Auditing is the accumolatuin and evaluation of evidence about information to dtermine and report on the degree of correspondence between the information and establishe criteria. Examining ought to be finished by a skillful autonomous individual”.
Mengacu pada definisi diatas maka audit ialah pengumpulan dan evaluasi terhadap bukti untuk menentukan derajat kesesuaian anatar informasi dan criteria yang telah ditetapkan. Hal ini berarti dalam pelaksanannya evaluasi dilakukan mengacu pada sejumlah criteria tertentu untuk menentukan derajat kinerja yang telah dicapai.
2.      Ron Weber (1999)
“SI Auditing is the process of collecing and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to the achieved effectively and uses resources efficiently”.
Seperti halnya didefiniskan diatas bahwa audit SI ialah proses mengumpulkan dan mengevaluasi fakta untuk memutuskan apakah sistem komputer yang merupakan aset bagi perusahaan terlindungi, integritas data terpelihara, sesuai dengan tujuan organisasi untuk mencapai efektifitas dan efisiensi dalam penggunaan sumber daya.








PRINSIP DASAR KERANGKA KERJA

Kerangka kerja COBIT ini terdiri atas beberapa arahan ( guidelines ), yakni:
Control Objectives: Terdiri atas 4 tujuan pengendalian tingkat-tinggi ( high-level control objectives ) yang tercermin dalam 4 domain, yaitu: planning & organization acquisition & implementation delivery & support , dan monitoring .
Audit Guidelines: Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci ( detailed control objectives ) untuk membantu para auditor dalam memberikan management assurance dan/atau saran perbaikan.
Management Guidelines: Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut:
Sejauh mana Anda (TI) harus bergerak, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.
Apa saja indikator untuk suatu kinerja yang bagus?
Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses ( critical success factors )?
Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan?
Bagaimana dengan perusahaan lainnya – apa yang mereka lakukan?
Bagaimana Anda mengukur keberhasilan dan bagaimana pula membandingkannya.
The COBIT Framework memasukkan juga hal-hal berikut ini:
Maturity Models – Untuk memetakan status maturity proses-proses TI (dalam skala 0 – 5) dibandingkan dengan “the best in the class in the Industry” dan juga International best practices
Critical Success Factors (CSFs) – Arahan implementasi bagi manajemen agar dapat melakukan kontrol atas proses TI.
Key Goal Indicators (KGIs) – Kinerja proses-proses TI sehubungan dengan business requirements

CONTOH KASUS SESUAI KERANGKA KERJA

COBIT dikembangkan sebagai suatu generally applicable and accepted standard for good Information Technology (IT) security and control practices . Istilah “ generally applicable and accepted ” digunakan secara eksplisit dalam pengertian yang sama seperti Generally Accepted Accounting Principles (GAAP).
Sedang, COBIT’s “good practices” mencerminkan konsensus antar para ahli di seluruh dunia. COBIT dapat digunakan sebagai IT Governance tools, dan juga membantu perusahaan mengoptimalkan investasi TI mereka. Hal penting lainnya, COBIT dapat juga dijadikan sebagai acuan atau referensi apabila terjadi suatu kesimpang-siuran dalam penerapan teknologi.
Suatu perencanaan Audit Sistem Informasi berbasis teknologi (audit TI) oleh Internal Auditor, dapat dimulai dengan menentukan area-area yang relevan dan berisiko paling tinggi, melalui analisa atas ke-34 proses tersebut. Sementara untuk kebutuhan penugasan tertentu, misalnya audit atas proyek TI, dapat dimulai dengan memilih proses yang relevan dari proses-proses tersebut.
Lebih lanjut, auditor dapat menggunakan Audit Guidelines sebagai tambahan materi untuk merancang prosedur audit. Singkatnya, COBIT khususnya guidelines dapat dimodifikasi dengan mudah, sesuai dengan industri, kondisi TI di Perusahaan atau organisasi Anda, atau objek khusus di lingkungan TI.
Selain dapat digunakan oleh Auditor, COBIT dapat juga digunakan oleh manajemen sebagai jembatan antara risiko-risiko TI dengan pengendalian yang dibutuhkan (IT risk management) dan juga referensi utama yang sangat membantu dalam penerapan IT Governance di perusahaan.







KESIMPULAN & SARAN

Dari hasil perencanaan Implementasi diatas akan diperoleh data-data hasil  temuan audit. Data-data hasil temuan audit ini nantinya akan dibagi  menjadi ringkasan-ringkasan yang dimasukkan ke dalam kategori berikut :
·         Temuan Audit yang sifatnya kondisi maupun pernyataan, misalnya:
a. Belum pernah terjadi serangan dari luar terhadap security sistem jaringan
b. Belum pernah terjadi indisipliner staff pengelola keamanan sistem yang berakibat fatal pada berlangsungnya operasional sistem.  

·         Temuan audit yang membutuhkan perhatian dengan segera, rekomendasi dari area permasalahan misalnya akan berupa:
1.         Penting adanya evalusi Hak akses user secara priodik dengan teratur dan dilakukan direview evaluasi bahwa hak akses tersebut masih relevan dengan kebutuhan organisasi, dimana pada PT. XYZ telah dilakukan, namun frekuensi per periodenya belum ditetapkan dengan jelas
2.         Belum digunakan teknik kriptografi sistem aplikasi yang dikembangkan, sehingga akan menciptakan potensi lubang keamanan sistem yang cukup signifikan.
·         Temuan Audit yang telah dilakukan namum, dapat dioptimalisasikan aktivitasnya, bagi terciptanya Tata Kelola IT pada PT. XYZ Indonesia dengan lebih baik, misalnya :
1.         Adanya evaluasi sistem keamanan oleh pihak ketiga sekitar 4 per periode.
2.         Bagian keamanan jaringan secara aktif melakukan deteksi atas penyalahgunaan akses.
3.         Setiap transaksi tercatat dalam log file yang terkelola baik dan terpusat.
4.         Telah ada mekanisme peringatan terhadap user yang terdeteksi melakukan percobaan akses di luar otoritasnya.
Dari hasil Temuan kemudian akan dibuat rekomendasi-rekomendasi yang dibuat untuk pembenahan Infrastruktur keamanan IT pada PT XYZ ini. Rekomendasi-rekomendasi ini nantinya bisa dibagi menjadi :
Rekomendasi Mempertahankan Aktifitas, seperti :
Adanya evaluasi pihak ketiga atas arsitektur keamanan jaringan yang telah dilakukan secara periodik [4x  dalam setahun ]
Adanya pengamanan khusus atas transaksi tertentu yag hanya dapat dilakukan pada terminal-terminal tertentu saja dengan sistem user yang telah dilakukan pengelolaan secara terpusat
Adanya upgrade berkala pada sistem keamanan yang digunakan.
Telah digunakannya sistem firewall yang melindungi jaringan internal dengan jaringan publik dan adanya pengaman akses jaringan secara hardware (dengan dilakukan pendaftaran mac address untuk host yang diijinkan terkoneksi dalam jaringan).
Rekomendasi Meningkatkan Aktifitas Dengan Manajerial Yang Lebih Baik, seperti:
Traning mengenai keamanan sistem untuk semua personil PT. XYZ Indonesia harus selalu ditingkatkan [Rekomensai Usulan Proyek Peningkatan SDM]
Sebaiknya dilakukan review dan validasi ulang secara berkala terhadap account user untuk meningkatkan integritas akses.
Transaksi-transaksi penting hendaknya dilengkapi dengan konsep/teknik digital signature. [Rekomendasi Usulan Proyek Infrastruktur dan Autorisasi Modern]
Perlunya peningkatan pengelolaan user jaringan sehingga seluruh komputer menggunakan otorisasi terpusat, sehingga tidak ada lagi istilah supporting komputer yang dapat di install bebas tanpa otorisasi dari admin jaringan.
Review atas hak akses user secara periodik untuk memastikan hak akses yang diberikan selalu sesuai dengan kebutuhan organisasi (tidak hanya bersifat insindental).
Rekomendasi yang bersifat investasi dan pembernahan infrastruktur, seperti :
Peningkatan Sistem Keamanan Teknologi Informasi dengan memanfaatkan teknologi biometrik, dynamic passwaord maupun teknologi pengamanan terkini lainnya.
Sebaiknya pengamanan (password) sistem aplikasi menggunakan teknik enkripsi/kriptografi.





DAFTAR PUSTAKA

DAFTAR PUSTAKA
·         COBIT 4.0, Control Objectives, Management Guidelines and Maturity Models. IT Governance Institut. 2005
·         Fitrianah, Devi dan Yudho Giri Sucahyo.. AUDIT SISTEM INFORMASI/TEKNOLOGI INFORMASIDENGAN KERANGKA KERJA COBIT UNTUK EVALUASI MANAJEMEN TEKNOLOGI INFORMASIDI UNIVERSITAS XYZ. Fakultas Ilmu Komputer, Universitas Mercu Buana, Indonesia

·         Sasongko, NanangPENGUKURAN KINERJA TEKNOLOGI INFORMASI MENGGUNAKANFRAMEWORK COBIT VERSI. 4.1, PING TEST DAN CAAT PADA PT.BANK X Tbk. DI BANDUNG. Jurursan Akuntansi Fakultas .Ekonomi Universitas Jenderal Achmad Yani (UNJANI) Cimahi, Bandung


Website :

·         http://iwanpolines.blogspot.com/2011/06/penerapan-tata-kelola-area-keamanan.html [5 Desember 2011]
·         http://www.isaca.org/Knowledge-Center/cobit/Pages/Security-Audit-and-Control-Solutions.aspx       [5Desember 2011]
·         http://youyung.blogspot.com/2007/09/sistem-keamanan.html  [ 5 Desember 2011]
·         http://ahmadhanafi.wordpress.com/2007/12/03/audit-it-standar-cobit/   [ 5 Desember 2011]
·         http://sisteminfomasi.blogspot.com/2010/03/audit-sistem-informasi-dengan.html  [ 5 Desember 2011]



0 Comments

Unknown

0 komentar:

Langganan: Posting Komentar (Atom)