Audit Sistem
Informasi menurut Ron Weber (1999, p.10 ) adalah proses
pengumpulan dan pengevaluasian bukti-bukti untuk menentukan apakah suatu sistem
aplikasi komputerisasi telah menetapkan dan menerapkan
sistem pengendalian intern yang memadai. Semua aktiva dilindungi
dengan baik atau tidak disalahgunakan serta terjaminnya integritas data,
keandalan serta efektifitas dan efisiensi penyelenggaraan sistem informasi
berbasis komputer.
Audit Sistem Informasi dilakukan untuk:
Audit Sistem Informasi dilakukan untuk:
- Apakah sistem komputerisasi suatu organisasi/perusahaan
dapat mendukung pengamanan aset.
- Apakah sistem komputerisasi dapat mendukung pencapaian
tujuan organisasi/perusahaan.
- Apakah sistem komputerisasi tersebut
efektif, efisien dan data integrity terjamin.
Dalam melaksanakan Audit sistem informasi,
seorang auditor harus memastikan tujuan-tujuan berikut ini terpenuhi.
- Perlengkapan keamanan melindungi perlengkapan komputer,
program, komunikasi, dan data dari akses yang tidak sah, modifikasi, atau
penghancuran.
- Pengembangan dan perolehan program dilaksanakan sesuai
dengan otorisasi khusus dan umum dari pihak manajemen.
- Modifikasi program dilaksanakan dengan otorisasi dan
persetujuan pihak manajemen.
- Pemrosesan transaksi, file, laporan, dan catatan komputer
lainnya telah akurat dan lengkap.
- Data sumber yang tidak akurat. atau yang tidak memiliki
otorisasi yang tepat diidentifikasi dan ditangani sesuai dengan kebijakan
manajerial yang telah ditetapkan.
- File data komputer telah akurat, lengkap, dan dijaga
kerahasiaannya.
LANDASAN
TEORI
PENGERTIAN AUDIT SISTEM INFORMASI MENURUT PARA AHLI
1.
Alvin
A. Arens dan James K.Loebbecke
“Auditing is the
accumolatuin and evaluation of evidence about information to dtermine and
report on the degree of correspondence between the information and establishe
criteria. Examining ought to be finished by a skillful autonomous individual”.
Mengacu pada definisi
diatas maka audit ialah pengumpulan dan evaluasi terhadap bukti untuk
menentukan derajat kesesuaian anatar informasi dan criteria yang telah
ditetapkan. Hal ini berarti dalam pelaksanannya evaluasi dilakukan mengacu pada
sejumlah criteria tertentu untuk menentukan derajat kinerja yang telah dicapai.
2.
Ron
Weber (1999)
“SI Auditing is the
process of collecing and evaluating evidence to determine whether a computer
system safeguards assets, maintains data integrity, allows organizational goals
to the achieved effectively and uses resources efficiently”.
Seperti halnya
didefiniskan diatas bahwa audit SI ialah proses mengumpulkan dan mengevaluasi
fakta untuk memutuskan apakah sistem komputer yang merupakan aset bagi
perusahaan terlindungi, integritas data terpelihara, sesuai dengan tujuan
organisasi untuk mencapai efektifitas dan efisiensi dalam penggunaan sumber
daya.
PRINSIP DASAR KERANGKA KERJA
Kerangka kerja COBIT ini terdiri atas beberapa
arahan ( guidelines ), yakni:
Control Objectives: Terdiri atas 4 tujuan
pengendalian tingkat-tinggi ( high-level control objectives )
yang tercermin dalam 4 domain, yaitu: planning & organization , acquisition
& implementation , delivery & support ,
dan monitoring .
Audit Guidelines: Berisi sebanyak 318
tujuan-tujuan pengendalian yang bersifat rinci ( detailed control
objectives ) untuk membantu para auditor dalam memberikan management
assurance dan/atau saran perbaikan.
Management Guidelines: Berisi arahan, baik
secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama
agar dapat menjawab pertanyaan-pertanyaan berikut:
Sejauh mana Anda (TI) harus bergerak, dan apakah
biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.
Apa saja indikator untuk suatu kinerja yang bagus?
Apa saja faktor atau kondisi yang harus diciptakan
agar dapat mencapai sukses ( critical success factors )?
Apa saja risiko-risiko yang timbul, apabila kita
tidak mencapai sasaran yang ditentukan?
Bagaimana dengan perusahaan lainnya – apa yang
mereka lakukan?
Bagaimana Anda mengukur keberhasilan dan bagaimana
pula membandingkannya.
The COBIT Framework memasukkan
juga hal-hal berikut ini:
Maturity Models –
Untuk memetakan status maturity proses-proses TI (dalam skala 0 – 5) dibandingkan
dengan “the best in the class in the Industry” dan juga International
best practices
Critical Success Factors (CSFs)
– Arahan implementasi bagi manajemen agar dapat melakukan kontrol atas proses
TI.
Key Goal Indicators (KGIs)
– Kinerja proses-proses TI sehubungan dengan business requirements
CONTOH KASUS
SESUAI KERANGKA KERJA
COBIT
dikembangkan sebagai suatu generally applicable and accepted standard for
good Information Technology (IT) security and control practices . Istilah
“ generally applicable and accepted ” digunakan secara eksplisit
dalam pengertian yang sama seperti Generally Accepted Accounting
Principles (GAAP).
Sedang,
COBIT’s “good practices” mencerminkan konsensus antar para ahli di seluruh
dunia. COBIT dapat digunakan sebagai IT Governance tools, dan juga membantu
perusahaan mengoptimalkan investasi TI mereka. Hal penting lainnya, COBIT dapat
juga dijadikan sebagai acuan atau referensi apabila terjadi suatu
kesimpang-siuran dalam penerapan teknologi.
Suatu
perencanaan Audit Sistem Informasi berbasis teknologi (audit TI) oleh Internal
Auditor, dapat dimulai dengan menentukan area-area yang relevan dan berisiko paling
tinggi, melalui analisa atas ke-34 proses tersebut. Sementara untuk kebutuhan
penugasan tertentu, misalnya audit atas proyek TI, dapat dimulai dengan memilih
proses yang relevan dari proses-proses tersebut.
Lebih
lanjut, auditor dapat menggunakan Audit Guidelines sebagai tambahan materi
untuk merancang prosedur audit. Singkatnya, COBIT khususnya guidelines dapat
dimodifikasi dengan mudah, sesuai dengan industri, kondisi TI di Perusahaan
atau organisasi Anda, atau objek khusus di lingkungan TI.
Selain dapat
digunakan oleh Auditor, COBIT dapat juga digunakan oleh manajemen sebagai
jembatan antara risiko-risiko TI dengan pengendalian yang dibutuhkan (IT risk
management) dan juga referensi utama yang sangat membantu dalam penerapan IT
Governance di perusahaan.
KESIMPULAN & SARAN
Dari hasil perencanaan Implementasi diatas akan
diperoleh data-data hasil temuan audit. Data-data hasil temuan audit ini
nantinya akan dibagi menjadi ringkasan-ringkasan yang dimasukkan ke dalam
kategori berikut :
· Temuan
Audit yang sifatnya kondisi maupun pernyataan, misalnya:
a. Belum pernah terjadi serangan dari luar terhadap security sistem jaringan
b. Belum pernah terjadi indisipliner staff pengelola keamanan sistem yang berakibat fatal pada berlangsungnya operasional sistem.
a. Belum pernah terjadi serangan dari luar terhadap security sistem jaringan
b. Belum pernah terjadi indisipliner staff pengelola keamanan sistem yang berakibat fatal pada berlangsungnya operasional sistem.
· Temuan
audit yang membutuhkan perhatian dengan segera, rekomendasi dari area
permasalahan misalnya akan berupa:
1. Penting
adanya evalusi Hak akses user secara priodik dengan teratur dan dilakukan
direview evaluasi bahwa hak akses tersebut masih relevan dengan kebutuhan
organisasi, dimana pada PT. XYZ telah dilakukan, namun frekuensi per periodenya
belum ditetapkan dengan jelas
2. Belum
digunakan teknik kriptografi sistem aplikasi yang dikembangkan, sehingga akan
menciptakan potensi lubang keamanan sistem yang cukup signifikan.
· Temuan
Audit yang telah dilakukan namum, dapat dioptimalisasikan aktivitasnya,
bagi terciptanya Tata Kelola IT pada PT. XYZ Indonesia dengan lebih baik,
misalnya :
1. Adanya
evaluasi sistem keamanan oleh pihak ketiga sekitar 4 per periode.
2. Bagian
keamanan jaringan secara aktif melakukan deteksi atas penyalahgunaan akses.
3. Setiap
transaksi tercatat dalam log file yang terkelola baik dan terpusat.
4. Telah
ada mekanisme peringatan terhadap user yang terdeteksi melakukan percobaan
akses di luar otoritasnya.
Dari hasil Temuan kemudian akan dibuat
rekomendasi-rekomendasi yang dibuat untuk pembenahan Infrastruktur keamanan IT
pada PT XYZ ini. Rekomendasi-rekomendasi ini nantinya bisa dibagi menjadi :
Rekomendasi Mempertahankan Aktifitas,
seperti :
Adanya evaluasi pihak ketiga atas arsitektur
keamanan jaringan yang telah dilakukan secara periodik [4x dalam setahun
]
Adanya pengamanan khusus atas transaksi tertentu yag
hanya dapat dilakukan pada terminal-terminal tertentu saja dengan sistem user
yang telah dilakukan pengelolaan secara terpusat
Adanya upgrade berkala pada sistem keamanan yang
digunakan.
Telah digunakannya sistem firewall yang melindungi
jaringan internal dengan jaringan publik dan adanya pengaman akses jaringan
secara hardware (dengan dilakukan pendaftaran mac address untuk host yang
diijinkan terkoneksi dalam jaringan).
Rekomendasi Meningkatkan Aktifitas
Dengan Manajerial Yang Lebih Baik, seperti:
Traning mengenai keamanan sistem untuk semua
personil PT. XYZ Indonesia harus selalu ditingkatkan [Rekomensai Usulan Proyek
Peningkatan SDM]
Sebaiknya dilakukan review dan validasi ulang secara
berkala terhadap account user untuk meningkatkan integritas akses.
Transaksi-transaksi penting hendaknya dilengkapi
dengan konsep/teknik digital signature. [Rekomendasi Usulan Proyek
Infrastruktur dan Autorisasi Modern]
Perlunya peningkatan pengelolaan user jaringan
sehingga seluruh komputer menggunakan otorisasi terpusat, sehingga tidak ada
lagi istilah supporting komputer yang dapat di install bebas tanpa otorisasi
dari admin jaringan.
Review atas hak akses user secara periodik untuk
memastikan hak akses yang diberikan selalu sesuai dengan kebutuhan organisasi
(tidak hanya bersifat insindental).
Rekomendasi yang bersifat investasi dan
pembernahan infrastruktur, seperti :
Peningkatan Sistem Keamanan Teknologi Informasi
dengan memanfaatkan teknologi biometrik, dynamic passwaord maupun teknologi
pengamanan terkini lainnya.
Sebaiknya pengamanan (password) sistem aplikasi
menggunakan teknik enkripsi/kriptografi.
DAFTAR
PUSTAKA
DAFTAR PUSTAKA
· COBIT
4.0, Control Objectives, Management Guidelines and Maturity Models. IT
Governance Institut. 2005
· Fitrianah, Devi dan Yudho Giri Sucahyo.. AUDIT SISTEM INFORMASI/TEKNOLOGI INFORMASIDENGAN KERANGKA KERJA COBIT UNTUK EVALUASI MANAJEMEN TEKNOLOGI INFORMASIDI UNIVERSITAS XYZ. Fakultas Ilmu Komputer, Universitas Mercu Buana, Indonesia
· Sasongko, Nanang. PENGUKURAN KINERJA TEKNOLOGI
INFORMASI MENGGUNAKANFRAMEWORK COBIT VERSI. 4.1, PING TEST DAN CAAT PADA
PT.BANK X Tbk. DI BANDUNG. Jurursan Akuntansi Fakultas
.Ekonomi Universitas Jenderal Achmad Yani (UNJANI) Cimahi, Bandung
Website :
· http://iwanpolines.blogspot.com/2011/06/penerapan-tata-kelola-area-keamanan.html [5 Desember
2011]
· http://www.isaca.org/Knowledge-Center/cobit/Pages/Security-Audit-and-Control-Solutions.aspx [5Desember
2011]
· http://youyung.blogspot.com/2007/09/sistem-keamanan.html
[ 5 Desember 2011]
· http://ahmadhanafi.wordpress.com/2007/12/03/audit-it-standar-cobit/
[ 5 Desember 2011]
· http://sisteminfomasi.blogspot.com/2010/03/audit-sistem-informasi-dengan.html
[ 5 Desember 2011]
Tidak ada komentar:
Posting Komentar