Senin, 13 Desember 2010

Standarisasi Audit Sistem Informasi (Bagian 1)



Abstraksi
Proses audit memastikan bahwa regulasi, kebijakan, dan prosedur dilakukan dengan cara yang konsisten dengan standar organisasi. Dari audit, Anda dapat menentukan apakah penggunaan teknologi informasi dan eskalasi proses bisnis sesuai pada tempatnya, jika keamanan memadai, dan jika proses previlege-granting adalah sesuai.

Pendahuluan
Penggunaan dan pemanfaatan sistem informasi berbasis komputer sudah memasuki demikian jauh dan luas di setiap organisasi modern maupun lembaga pemerintahan. Suatu organisasi harus melakukan pengontrolan terhadap sistem informasi berbasis komputer, karena biaya yang keluarkan akibat kesalahan dan penyimpangan yang mungkin timbul bisa berdapak besar dan bahkan dapat meragukan kelangsungan kelanjutan organisasi. Bisa dikatakan bahwa daya kemampuan organisasi untuk dapat bertahan hidup, salah satunya tergantung pada kelancaran sistem informasinya.
Dari akibat kesalahan dan penyalagunaan tersebut bisa berupa pemanfaatan sistem dengan melakukan korupsi atau perusakan database; kesalahan pengambilan keputusan yang disebabkan oleh sistem informasi berkualitas rendah; kerugian yang terjadi melalui penyalahgunaan data dan informasi; hilangnya aset komputer dan kontrol mereka pada bagaimana komputer digunakan dalam organisasi. Oleh karena itu hampir semua manajemen organisasi di seluruh dunia telah menggunakan jasa auditor khusus untuk audit sistem informasi mereka untuk mengetahui kesenjangan antara kebijakan yang ditetapkan dan penggunaan aktual dan kekurangan dalam desain sistem informasi dan penggunaan.

Latar belakang
Manajemen perlu mengontrol sasaran-sasaran perusahan yang menetapkan tujuan dari implementasi kebijakan, prosedur, penerapan dan struktur organisatoris yang dirancang untuk memberi alasan yang bisa memastikan bahwa:
• Sasaran-sasaran bisnis tercapai.
• Kebijakan perencanaan dan penerapan teknologi dan sistem informasi selaras dengan kebijakan organissasi.
• Kendala, hambatan, kejadian yang tak diinginkan bisa dicegah atau dideteksi sebelumnhya dan dikoreksibila ada perbaikan.
Dengan lingkungan yang kompleks, pihak managemen selalu terus-terus mencari untuk kelengkapan dan ketajamaninformasi dan tepat waktu dalam menentukan keputusan-keputusan yang sulit yang beresiko dan dalam kendali, bisa dilakukan dengan cepat dan sukses. Untuk itu, Apa ukurannya? Dan bagaimana melakukannya?
Pihak organisasi harus menentukan sasaran yang bisa terukur dari apa yang mereka target dan dimana perlu perbaikan-perbaikan untuk mencapai sasaran tersebut. Untuk itu perlu menerapkan perlengkapan managemen (tool kit) dan prosedure standar supaya bisa memonitor dan melakukan perbaikan managemen.
Pengawasan dan kontrol managemen dengan melakukan audit. Dalam sesi ini konsen kepada audit teknologi informasi atau audit informasi sistem, yang melakuan pemerksaan dan kontrol pengujian pada infrastruktur IT, sytem applikai, proses, transaksi, dan semua yang terkait dengan Sistem Informasi. IT audit adalah bagian cabang dari general audit yang menyangkut dengan tata kelola teknologi informasi dan komunikasi
Sebagaian besar organisasi-organisasi, baik sektor bisnis maupun institusi pemerintah, memanfaatkan teknologi informasi dan telekomunikasi (ICT) dan oleh karena itu auditor harus memahami bagaimana suatu organisasi atau lembaga dalam mengaplikasikan teknologi dalam menjalankan bisnis mereka dan mencapai tujuan organisasinya secara meneyeluruh. Jika auditor kurang memahami hal ini, tentunya mereka tidak akan bisa melakukan tugas dan fungsinya sebagai seorang audit. Pengertiannya bukan semua auditor perlu pengetahuan mendalam tetang audit IT, tetapi lembaga audit publik harus bisa memastikann bahwa auditor memiliki tingkat keahlian yang tepat jika mempunyai staff audit. Dalam melakukan penilaian sistem kontrol internal, seorang yang bertugas sebagai audit perlu mengaudit pada sitem IT nya.
Semakin bertambahnya penggunaan informasi teknologi dalam sektor bisnis (e-Business) dan penyelenggraan pemerintahan (e-Government) juga mempengaruhi tugas-tugas auditor. Tentunya, hal ini akan menambah dan menitik beratkan pada penilaian resiko-resiko IT, misalnya IT infrastruktur, resiko bisnis aplikasi dan teknolog informasi (IT).
Selain itu, seringkali proyek-proyek IT mengalami pembengkakan biaya, melebihi biaya yang dianggarkan, keterlambatan dan kurangnya fungsi dari yang direncanakan saat dideliver. Keadaan seperti ini menjadi sorotan dan akibatnya membawa dampak kerugian. Kejadian tersebut adalah alami yang harus menjadi perhatian pada proyek-proyek seperti ini dan perlu melakukan audit setelah penyelesaian proyek.
Sehingga menjadi sangat penting untuk mengetahui seberapa besar ketergantungan bisnis pada infrastruktur dan servis teknologi informasi dan komunikasi (TIK), juga seberapa penting terhadap kebutuhan kwalitas dan ketersediaan akan informasi. Oleh karena itu, beberapa pelaksanaan audit ditujukan terhadap deliveri pelayanan mangemen dan prosedur-prosedur yang dibuat dititikberatkan pada lingkukan informasi teknologi. Fungsi IT efektif di organisasi dan koordinasi organisasi yang mengarah pada tujuan secara menyeluruh merupakan hal penting dalam korelasi keduanya. Ini menjadi tantangan penting manager-manager dalam sektor bisnis maupun pelayanan publik.

Tujuan
Tujuan Audit Sistem Informasi dapat dikelompokkan ke dalam dua aspek utama dari ketatakelolaan IT, yaitu :
• Conformance (Kesesuaian) – Pada kelompok tujuan ini audit sistem informasidifokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu :Confidentiality (Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan)dan Compliance (Kepatuhan), serta security (keamanan).
• Performance (Kinerja) – Pada kelompok tujuan ini audit sistem informasidifokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu :effectiveness (Efektifitas), Efficiency (Efisiensi), Reliability (Kehandalan).
Audit Sistem Informasi pada umumnya meliputi aspek yang menyeluruh padaresources IT yang ada, yaitu Aplikasi, Informasi, Infrastruktur dan Personil , serta yang terkait dengan sistem teknologi informasi. Untuk lebih praktisnya, berikut ini adalah beberapa tujuan audit sistem informasi yang pernah dilakukan, antara lain sebagai berikut:
• Evaluasi atas kesesuaian (strategic alignment) antara rencana strategis danrencana tahunan organisasi dengan rencana strategis IT, rencana tahunan IT danrencana proyek/program IT.
• Evaluasi atas kelayakan struktur organisasi IT, termasuk pemisahan fungsi(segregation of duties) dan kelayakan pelimpahan wewenang dan otoritas(delegation of authority).
• Evaluasi atas pengelolaan personil IT, termasuk perencanaan kebutuhan,rekrutmen dan seleksi, pelatihan dan pendidikan, promosi/demosi/mutasi, sertaterminasi personil IT.
• Evaluasi atas pengembangan IT, termasuk analisis kebutuhan, perancangan,pengembangan, pengujian, implementasi dan migrasi, pelatihan dan dokumentasiIT, serta manajemen perubahaan.
• Evaluasi atas kegiatan operasional IT, termasuk pengelolaan keamanan dankinerja pengelolaan pusat data (data center), pengelolaan keamanan dan kinerjajaringan data, dan pengelolaan masalah dan insiden IT serta dukungan pengguna(helpdesk).
• Evaluasi atas kontinuitas layanan IT, termasuk pengelolaan backup & recovery, pengelolaan prosedur darurat IT (IT emergency plan), pengelolaan rencana pemulihan layanan IT (IT recovery plan), serta pengujian rencana kontijensi operasional (business contigency/continuity plan).
• Evaluasi atas kualitas pengendalian aplikasi, termasuk kontrol input, kontrol proses dan kontrol output. Evaluasi atas kualitas data/informasi, termasuk pengujian atas kelengkapan dan akurasi data yang dimasukkan, diproses, dan dihasilkan oleh sistem informasi.

Ruang Lingkup
Kemajuan IT telah mengubah organisasi dalam menjalankan atau penyelenggaraan bisnis prosesnya dalam mengumpulkan data, memproses dan melaporkan hasil pemeriksaan audit. Oleh karena itu auditor akan banyak menemukan lingkungan dimana data tersimpan lebih banyak dalam media elektronik dibanding media kertas. Auditor harus menentukan bagaimana perusahaan menggunakan systemTI untuk meng-inisiasi, mencatat, memproses dan melaporkan transaksi dalam laporan laporan yang disajikan. Sebenarnya tidak ada perbedaan konsep audit yang berlaku untuk system yang elektronik dan system manual, yang berbeda hanyalah metode-metode spesifik yang cocok dengan situasi system informasi akuntansi yang ada. Pemahaman ini diperlukan dalam rangka mendapatkan pemahaman kontrol internal yang baik agar dapat merencanakan audit dan menentukan sifat dan jenis, timing dan perluasan pengujian yang akan dilakukan.
Ruang lingkup dalam penanganan masalah audit untuk suatu sistem informasi tidak terlepas dari aplikasi pengolahan data berbasis komputer yang menyediakan penanganan dokumen masukan, proses, dan keluaran. Ada 5 standar khusus yang berkaitan dengan ruang lingkup pemeriksaan, yakni:
a. Reliabilitas dan integritas sistem informasi. Pemeriksaan harus mereview reliabilitas dan integritas informasi keuangan dan informasi operasi sistem.
b. Berkaitan dengan kebijaksanaan, perencanaan, hukum dan peraturan. Kebijaksanaan ini mencakup pemakaian, penugasan, evaluasi serta promosi personel dalam sistem informasi, pere ncaan jangka panjang dan lauin-lain.
c. Perlindungan aktiva perusahaan. Pemeriksaan harus mereview peralatan untuk menjaga aktiva perusahaan yang memiliki keadaaan catatan tersendiri sehingga dapat direkonsiliasikan.
d. Pemakaian Sumber Ekonomis dan Efisien. Sumber-sumber ekonomis dimaksud disini adalah semua operasi departemen, manajer,peralatan dan personel yang dikembangkan.
e. Berusaha untuk mencapai objektif rencana operasional.
Tentunya luasnya pengujian terkait dengan resiko deteksi yang dapat diterima oleh auditor. Jenis dan luas pengujian tidak tergantung besarnya perusahaan tetapi ditentukan oleh kompleksitas lingkungan IT yang ada seperti luasnya system on-line yang digunakan, tipe dan signifikansi transaksi keuangan, serta sifat dokumen/database, serta program yang digunakan.

Tidak ada komentar:

Posting Komentar