(024) 7460024 Ext 112 spi@undip.ac.id

Audit Sistem Informasi

oleh | Nov 17, 2020 | Artikel

Audit Sistem Informasi

Proses Audit Sistem Informasi

Audit sistem informasi merupakan bagian dari keseluruhan proses audit, yang merupakan salah satu fasilitator untuk tata kelola perusahaan yang baik. Meskipun tidak ada definisi universal tunggal dari audit sistem informasi, Ron Weber telah mendefinisikannya (audit EDP – seperti yang disebut sebelumnya) sebagai “proses pengumpulan dan evaluasi bukti untuk menentukan apakah sistem komputer (sistem informasi ) melindungi aset, mempertahankan integritas data, mencapai tujuan organisasi secara efektif dan menggunakan sumber daya secara efisien.

Sistem informasi adalah sumber kehidupan bisnis besar mana pun. Seperti di tahun-tahun sebelumnya, sistem komputer tidak hanya mencatat transaksi bisnis, tetapi sebenarnya mendorong proses bisnis utama perusahaan. Dalam skenario seperti itu, manajemen senior dan manajer bisnis memiliki kekhawatiran tentang sistem informasi. Tujuan dari audit sistem informasi adalah untuk meninjau dan memberikan umpan balik, jaminan dan saran. Kekhawatiran ini dapat dikelompokkan dalam tiga hal utama:

  1. Ketersediaan: Akankah sistem informasi yang bisnis sangat tergantung be tersedia untuk bisnis setiap saat bila diperlukan? Apakah sistem terlindungi dengan baik dari semua jenis kerugian dan bencana?
  2. Kerahasiaan: Apakah informasi dalam sistem akan diungkapkan hanya kepada mereka yang memiliki kebutuhan untuk melihat dan menggunakannya dan bukan kepada orang lain?
  3. Integritas: Akankah informasi yang diberikan oleh sistem selalu akurat, andal, dan tepat waktu? Apa yang memastikan bahwa tidak ada modifikasi yang tidak sah yang dapat dilakukan pada data atau perangkat lunak dalam sistem?

[ Catatan penulis : Tentu saja ada masalah lain yang harus dilihat oleh audit sistem informasi, seperti efektivitas, efisiensi, nilai uang, laba atas investasi, budaya, dan masalah terkait orang. Kekhawatiran tersebut akan dibahas dalam kolom Dasar-Dasar Audit TI di edisi mendatang Jurnal pada tahun 2002.]

Elemen Audit Sistem Informasi

Sistem informasi bukan hanya komputer. Sistem informasi saat ini sangat kompleks dan memiliki banyak komponen yang digabungkan untuk membuat solusi bisnis. Jaminan tentang sistem informasi hanya dapat diperoleh jika semua komponen dievaluasi dan diamankan. Tautan terlemah pepatah adalah kekuatan total rantai. Elemen utama audit sistem informasi dapat diklasifikasikan secara luas:

  1. Tinjauan fisik dan lingkungan – Ini termasuk keamanan fisik, catu daya, AC, kontrol kelembaban, dan faktor lingkungan lainnya.
  2. Tinjauan administrasi sistem – Ini termasuk tinjauan keamanan sistem operasi, sistem manajemen basis data, semua prosedur administrasi sistem dan kepatuhan.
  3. Aplikasi perangkat lunak tinjauan – aplikasi bisnis dapat berbentuk gaji, faktur, sistem pemrosesan order pelanggan berbasis web atau sistem perencanaan sumber daya perusahaan yang benar-benar menjalankan bisnis. Review perangkat lunak aplikasi tersebut termasuk kontrol akses dan otorisasi, validasi, kesalahan dan penanganan pengecualian, alur proses bisnis dalam perangkat lunak aplikasi dan kontrol dan prosedur manual pelengkap. Selain itu, tinjauan siklus pengembangan sistem harus diselesaikan.
  4. Tinjauan keamanan jaringan – review mengenai koneksi internal dan eksternal ke sistem, parameter keamanan, tinjauan firewall, daftar kontrol akses router, pemindaian port dan deteksi gangguan pada beberapa area cakupan yang umum.
  5. Tinjauan kesinambunganbisnis – Ini termasuk keberadaan dan pemeliharaan perangkat keras yang toleran dan keefektifan hardwre, prosedur dan penyimpanan cadangan, dan rencana pemulihan bencana / kelangsungan bisnis yang didokumentasikan dan diuji.
  6. Data tinjauan integritas – tujuan dari ini adalah pengawasan secara real-time untuk memverifikasi kecukupan pengendalian dan dampak kelemahan, seperti melihat dari salah satu ulasan di atas. Pengujian substantif tersebut dapat dilakukan dengan menggunakan perangkat lunak audit umum (misalnya, teknik audit berbantuan komputer).

Semua elemen ini perlu ditujukan untuk memberikan penilaian yang jelas terhadap sistem kepada manajemen. Misalnya, perangkat lunak aplikasi dapat dirancang dan diimplementasikan dengan baik dengan semua fitur keamanan, tetapi kata sandi super-user secara default dalam sistem operasi yang digunakan di server mungkin tidak diubah, sehingga memungkinkan seseorang untuk mengakses file data secara langsung. Situasi seperti itu meniadakan keamanan apa pun yang dibangun ke dalam aplikasi. Demikian juga, firewall dan keamanan sistem teknis mungkin telah diterapkan dengan sangat baik, tetapi definisi peran dan kontrol akses dalam perangkat lunak aplikasi mungkin telah dirancang dan diterapkan dengan sangat buruk sehingga dengan menggunakan ID pengguna mereka, karyawan dapat melihat informasi penting dan sensitif jauh di luar peran mereka.

Penting untuk dipahami bahwa setiap audit dapat terdiri dari elemen-elemen ini dalam berbagai ukuran; beberapa audit mungkin hanya memeriksa satu dari elemen ini atau menghapus beberapa elemen ini. Meskipun faktanya tetap bahwa semua itu perlu dilakukan, itu tidak wajib untuk melakukan semuanya dalam satu tugas. keahlian yang dibutuhkan untuk masing-masing ini berbeda. Hasil dari setiap audit perlu dilihat hubungannya satu sama lain. Ini akan memungkinkan auditor dan manajemen untuk mendapatkan pandangan total tentang masalah dan masalah. Ringkasan ini sangat penting.

Pendekatan Berbasis Risiko

Setiap organisasi menggunakan sejumlah sistem informasi. Mungkin ada aplikasi yang berbeda untuk fungsi dan aktivitas yang berbeda dan mungkin ada sejumlah instalasi komputer di lokasi geografis yang berbeda.

Auditor dihadapkan pada pertanyaan tentang apa yang diaudit, kapan dan seberapa sering. Jawabannya adalah dengan mengadopsi pendekatan berbasis risiko.

Meskipun ada risiko yang melekat pada sistem informasi, risiko ini berdampak pada sistem yang berbeda dengan cara yang berbeda. Risiko tidak tersedianya bahkan untuk satu jam bisa menjadi serius untuk sistem penagihan di toko ritel yang sibuk. Risiko modifikasi yang tidak sah dapat menjadi sumber penipuan dan potensi kerugian pada sistem perbankan online. Sistem pemrosesan batch atau sistem konsolidasi data mungkin relatif kurang rentan terhadap beberapa risiko ini. Lingkungan teknis tempat sistem berjalan juga dapat memengaruhi risiko yang terkait dengan sistem.

Langkah-langkah yang dapat diikuti untuk pendekatan berbasis risiko dalam membuat rencana audit adalah:

  1. Inventarisasi sistem informasi yang digunakan dalam organisasi dan kategorikan.
  2. Tentukan sistem mana yang memengaruhi fungsi atau aset penting, seperti uang, material, pelanggan, pengambilan keputusan, dan seberapa dekat sistem tersebut beroperasi dengan waktu nyata.
  3. Menilai risiko apa yang memengaruhi sistem ini dan tingkat keparahan dampaknya pada bisnis.
  4. Beri peringkat sistem berdasarkan penilaian di atas dan tentukan prioritas, sumber daya, jadwal, dan frekuensi audit.

Auditor kemudian dapat menyusun rencana audit tahunan yang mencantumkan audit yang akan dilakukan selama tahun tersebut, sesuai jadwal, serta sumber daya yang diperlukan.

Proses Audit

Persiapan sebelum memulai audit melibatkan pengumpulan informasi latar belakang dan penilaian sumber daya dan keterampilan yang diperlukan untuk melaksanakan audit. Hal ini memungkinkan staf dengan jenis keterampilan yang tepat untuk diberikan tugas yang tepat.

Merupakan praktik yang baik untuk mengadakan pertemuan awal audit formal dengan manajemen senior yang bertanggung jawab atas area yang diaudit untuk menyelesaikan ruang lingkup, memahami masalah khusus, jika ada, menjadwalkan tanggal dan menjelaskan metodologi audit. Pertemuan semacam itu melibatkan manajemen senior, memungkinkan orang untuk bertemu satu sama lain, mengklarifikasi masalah dan masalah bisnis yang mendasarinya, dan membantu audit dilakukan dengan lancar.

Demikian pula, setelah pemeriksaan audit selesai, temuan audit dan saran tindakan korektif sebaiknya dikomunikasikan kepada manajemen senior dalam rapat formal dengan menggunakan presentasi. Ini akan memastikan pemahaman yang lebih baik dan meningkatkan dukungan atas rekomendasi audit. Hal ini juga memberikan kesempatan kepada auditee untuk mengungkapkan pandangan mereka tentang masalah yang diangkat. Menulis laporan setelah pertemuan yang mencapai kesepakatan tentang semua masalah audit dapat sangat meningkatkan efektivitas audit.

Tantangan Utama

Audit sistem informasi sering kali melibatkan penemuan dan pencatatan observasi yang sangat teknis. Kedalaman teknis seperti itu diperlukan untuk melakukan audit sistem informasi yang efektif. Pada saat yang sama, temuan audit perlu diterjemahkan ke dalam kerentanan dan dampak bisnis yang dapat dikaitkan dengan manajer operasi dan manajemen senior. Di situlah letak tantangan utama audit sistem informasi.

Catatan Akhir

  1. Anantha Sayana , CISA, CIA adalah wakil manajer umum layanan audit perusahaan di Larsen & Toubro Limited, India. Dia memiliki lebih dari 12 tahun pengalaman dalam audit sistem informasi dan audit internal di perbankan, industri manufaktur dan jasa yang mencakup berbagai aplikasi dan platform teknis. Dia juga adalah mantan presiden ISACA Mumbai Chapter.

Sumber: http://www.isaca.org