Audit Sistem Informasi
Pengertian
Audit Sistem Informasi
Audit Sistem Informasi (Informatin System Audit)
atau EDP Audit (Electronic Data Processing Audit)
atau computer audit adalah proses pengumpulan
data dan pengevaluasian bukti-bukti untuk menentukan apakah suatu sistem
aplikasi komputerisasi telah menetapkan dan menerapkan sistem pengendalian
internal yang memadai, semua aktiva dilindungi dengan baik atau disalahgunakan
serta terjaminnya integritas data, keandalan serta efektifitas dan efesiensi penyelenggaraan
sistem informasi berbasis komputer (Ron Weber 1999:10).
Jenis-jenis
Audit Sistem Informasi
Audit sistem
informasi dapat digolongkan dalam tipe atau jenis-jenis audit sebagai berikut.
a. Audit Laporan Keuangan (Financial Statement Audit)
Adalah audit
yang dilakukan untuk mengetahui tingkat kewajaran laporan keuangan yang
disajikan oleh perusahaan (apakah sesuai dengan standar akuntansi keuangan
serta tidak menyalahi uji materialitas). Apabila sistem akuntansi organisasi
yang diaudit merupakan sistem akuntansi berbasis komputer, maka dilakukan audit
terhadap sistem informasi akuntansi apakah proses/mekanisme sistem dan program
komputer telah sesuai, pengendalian umum sistem memadai dan data telah
substantif.
b. Audit Operasional (Operational Audit)
Audit terhadap
aplikasi komputer terbagi menjadi tiga jenis, antara lain:
1.
Post implementation Audit (Audit setelah
implementasi)
Auditor memeriksa apakah sistem-sistem aplikasi komputer yang telah diimplementasikan pada suatu organisasi/perusahaan telah sesuai dengan kebutuhan penggunanya (efektif) dan telah dijalankan dengan sumber daya optimal (efisien). Auditor mengevaluasi apakah sistem aplikasi tertentu dapat terus dilanjutkan karena sudah berjalan baik dan sesuai dengan kebutuhan usernya atau perlu dimodifikasi dan bahkan perlu dihentikan.
Pelaksanaan audit ini dilakukan oleh auditor dengan menerapkan pengalamannya dalam pengembangan sistem aplikasi, sehingga auditor dapat mengevaluasi apakah sistem yang sudah diimplementasikan perlu dimutakhirkan atau diperbaiki atau bahkan dihentikan apabila sudah tidak sesuai kebutuhan atau mengandung kesalahan.
Auditor memeriksa apakah sistem-sistem aplikasi komputer yang telah diimplementasikan pada suatu organisasi/perusahaan telah sesuai dengan kebutuhan penggunanya (efektif) dan telah dijalankan dengan sumber daya optimal (efisien). Auditor mengevaluasi apakah sistem aplikasi tertentu dapat terus dilanjutkan karena sudah berjalan baik dan sesuai dengan kebutuhan usernya atau perlu dimodifikasi dan bahkan perlu dihentikan.
Pelaksanaan audit ini dilakukan oleh auditor dengan menerapkan pengalamannya dalam pengembangan sistem aplikasi, sehingga auditor dapat mengevaluasi apakah sistem yang sudah diimplementasikan perlu dimutakhirkan atau diperbaiki atau bahkan dihentikan apabila sudah tidak sesuai kebutuhan atau mengandung kesalahan.
2.
Concurrent audit (audit secara bersama)
Auditor menjadi anggota dalam tim pengembangan sistem (system development team). Mereka membantu tim untuk meningkatkan kualitas pengembangan sistem yang dibangun oleh para sistem analis, designer dan programmer dan akan diimplementasikan. Dalam hal ini auditor mewakili pimpinan proyek dan manajemen sebagai quality assurance.
Auditor menjadi anggota dalam tim pengembangan sistem (system development team). Mereka membantu tim untuk meningkatkan kualitas pengembangan sistem yang dibangun oleh para sistem analis, designer dan programmer dan akan diimplementasikan. Dalam hal ini auditor mewakili pimpinan proyek dan manajemen sebagai quality assurance.
3.
Concurrent Audits (audit secara bersama-sama)
Auditor mengevaluasi kinerja unit fngsional atau fungsi sistem informasi (pusat/instalasi komputer) apakah telah dikelola dengan baik, apakah kontrol dalam pengembangan sistem secara keseluruhan sudah dilakukan dengan baik, apakah sistem komputer telah dikelola dan dioperasikan dengan baik.
Dalam mengaudit sistem komputerisasi yang ada, audit ini dilakukan dengan mengevaluasi pengendalian umum dari sistem-sistem komputerisasi yang sudah diimplementasikan pada perusahaan tersebut secara keseluruhan.
Saat melakuan pengujian-pengujian digunakan bukti untuk menarik kesimpulan dan memberikan rekomendasi kepada manajemen tentang hal-hal yang berhubungan dengan efektifitas, efisiensi, dan ekonomisnya sistem.
Auditor mengevaluasi kinerja unit fngsional atau fungsi sistem informasi (pusat/instalasi komputer) apakah telah dikelola dengan baik, apakah kontrol dalam pengembangan sistem secara keseluruhan sudah dilakukan dengan baik, apakah sistem komputer telah dikelola dan dioperasikan dengan baik.
Dalam mengaudit sistem komputerisasi yang ada, audit ini dilakukan dengan mengevaluasi pengendalian umum dari sistem-sistem komputerisasi yang sudah diimplementasikan pada perusahaan tersebut secara keseluruhan.
Saat melakuan pengujian-pengujian digunakan bukti untuk menarik kesimpulan dan memberikan rekomendasi kepada manajemen tentang hal-hal yang berhubungan dengan efektifitas, efisiensi, dan ekonomisnya sistem.
C. Audit Arround the Computer
Dalam pendekatan audit di
sekitar komputer, auditor (dalam hal ini harus akuntan yang registered, dan
bersertifikasi akuntan publik) dapat mengambil kesimpulan dan merumuskan opini
dengan hanya menelaah struktur pengendalian dan melaksanakan pengujian transaksi
dan prosedur verifikasi saldo perkiraan dengan cara sama seperti pada sistem
akuntansi manual.
Kunci pendekatan audit ini
ialah pada penelusuran transaksi terpilih mulai dari dokumen sumber sampai ke
bagan-perkiraan (akun) dan laporannya. Keunggulan metode audit di sekitar
komputer adalah:
· Pelaksanaan audit lebih sederhana.
· Auditor yang memiliki pengetahuan minimal di bidang
komputer dapat dilatih dengan mudah untuk melaksanakan audit.
Kelemahannya adalah jika
kondisi (user requirements) berubah, mungkin sistem itupun perlu diredesain dan
perlu penyesuaian (update) program-program, bahkan mungkin struktur data/file,
sehingga auditor perlu menilai/menelaah ulang apakah sistem masih berjalan
dengan baik.
D. Audit Through the Computer
Dalam pendekatan audit ke sistem komputer (audit through the
computer) auditor melakukan pemeriksaan langsung terhadap program-program dan
file-file komputer pada audit SI berbasis TI. Auditor menggunakan komputer
(software) atau dengan cek logika atau listing program (desk test on logic or
programs source code) untuk menguji logika program dalam rangka prngujian
pengendalianyang ada pada komputer. Selain itu auditor juga dapat meminta
penjelasan dari para teknisi komputer mengenai spefikasi sistem dan/atau
program yang diaudit.
Keunggulan pendekatan audit dengan pemeriksaan sistem
komputerisasi, ialah:
(a) Auditor memperoleh kemampuan yang besar dan efektif
dalam melakukan pengujian terhadap
sistem komputer.
(b) Auditor akan
merasa lebih yakin terhadap kebenaran hasil kerjanya.
(c) Auditor dapat menilai kemampuan sistem komputer
tersebut untuk menghadapi perubahan lingkungan.
Sebetulnya mungkin tidak dapat
dikatakan sebagai suatu kelemahan dalam pendekatan audit ini, namun jelas bahwa
audit through the computer memerlukan tenaga ahli auditor yang terampil dalam
pengetahuan teknologi informasi dan mungkin perlu biaya yang besar pula.
E. Audit with the Computer
Audit dengan komputer untuk kegiatan pendukung dan administrasi paling
sering digunakan, bahkan meskipun sistem klien yang diaudit telah berbasis
komputer. Selain untuk kegiatan administratif, penyusunan program audit dan
kuesioner serta pencatatan-pencatatan dan pelaporan hasil audit, komputer
biasanya juga digunakan oleh auditor atau pegawai perusahaan klien untuk
melakukan analisis atau pengikgtisaran, pembuatan grafik dan tabel-tabel
tentang hasil audit, sertapemaparan atau presentasi hasil audit (misalnya
dengan Microsoft Word, PowerPoint, dan Excel).
Tujuan Audit Sistem
Informasi
Tujuan audit sistem informasi menurut Ron Weber
(1999:11-13) secara garis besar terbagi menjadi empat tahap, yaitu:
a. Pengamanan
Aset
Aset informasi
suatu perusahaan seperti perangkat keras (hardware), perangkat
lunak (software), sumber daya manusia, file data harus dijaga
oleh suatu sistem pengendalian intern yang baik agar tidak terjadi
penyalahgunaan aset perusahaan. Dengan demikian sistem pengamanan aset
merupakan suatu hal yang sangat penting yang harus dipenuhi oleh perusahaan.
b. Menjaga
integritas data
Integritas
data (data integrity) adalah salah satu konsep dasar sistem
inforamasi. Data memeiliki atribut-atribut tertentu seperti: kelengkapan,
keberanaran, dan keakuratan. Jika integritas data tidak terpalihara, maka suatu
perusahaan tidak akan lagi memilki hasil atau laporan yang beanr bahkan
perusahaan dapat menderita kerugian
c. Efektifitas
Sistem
Efektifitas
sistem informasi perusahaan melikiki peranan pentigndalam proses pemgambilan
keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi
tersebut telah sesuai dengan kebutuhan user
d. Efisiensi
Sistem
Efisiensi
menjadi hal yang sangat penting ketika suatu komputer tidak lagi memilki
kapasitas yang memadai atau harus mengevaluasi apakah efisiensi sistem masih
memadai atau harus menambah sumber daya, karena suatu sistem dapat dikatakan
efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya
informasi yang minimal.
e. Ekonomis
Ekonomis
mencerminkan kalkulasi untuk rugi ekonomi (cost/benefit) yang
lebih bersifat kuantifikasi nilai moneter (uang). Efisiensi berarti sumber daya
minimum untuk mencapai hasil maksimal. Sedangkan ekonomis lebih bersifat
pertimbangan ekonomi.
Pengertian
COBIT
Control
Objective for Information & Related Technology (COBIT) adalah sekumpulan
dokumentasi best practice untuk IT Governance yang dapat membantu
auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara resiko
bisnis, kebutuhan kontrol dan masalah-masalah teknis IT (Sasongko, 2009).
COBIT mendukung
tata kelola TI dengan menyediakan kerangka kerja untuk mengatur keselarasan TI
dengan bisnis. Selain itu, kerangka kerja juga memastikan bahwa TI memungkinkan
bisnis, memaksimalkan keuntungan, resiko TI dikelola secara tepat, dan sumber
daya TI digunakan secara bertanggung jawab (Tanuwijaya dan Sarno, 2010).
COBIT merupakan
standar yang dinilai paling lengkap dan menyeluruh sebagai framework IT audit
karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional
auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara
dibangun chapter yang dapat mengelola para profesional tersebut.
Monitoring and Evaluation.
Domain ini
berfokus pada masalah kendali-kendali yang diterapkan dalam organisasi,
pemeriksaan intern dan ekstern dan jaminan independent dari proses pemeriksaan
yang dilakukan.
Domain ini meliputi:
·
ME1 – Mengawasi dan mengevaluasi performansi TI.
·
ME2 – Mengevaluasi dan mengawasi kontrol internal
·
ME3 – Menjamin kesesuaian dengan kebutuhan eksternal.
·
ME4 – Menyediakan IT Governance.
Digital
Forensik
Digital forensik adalah turunan dari disiplin ilmu teknologi
informasi (information technology/IT) di ilmu komputer, terutama dari ilmu IT
security yang membahas tentang temuan bukti digital setelah suatu peristiwa
terjadi. Kata forensik itu sendiri secara umum artinya membawa ke pengadilan.
Digital forensik atau kadang disebut komputer forensik yaitu ilmu yang
menganalisa barang bukti digital sehingga dapat dipertanggungjawabkan di
pengadilan. Kegiatan forensik komputer sendiri adalah suatu proses
mengidentifikasi, memelihara, menganalisa, dan mempergunakan bukti digital
menurut hukum yang berlaku.
Para
ahli juga memberikan definisi IT Forensik menurut mereka masing-masing yaitu
sebagai berikut :
·
Menurut
Noblett, yaitu berperan untuk mengambil, menjaga, mengembalikan, dan menyajikan
data yang telah diproses secara elektronik dan disimpan di media komputer.
·
Menurut
Judd Robin, yaitu penerapan secara sederhana dari penyidikan komputer dan
teknik analisisnya untuk menentukan bukti-bukti hukum yang mungkin.
·
Menurut
Ruby Alamsyah (salah seorang ahli forensik IT Indonesia), digital forensik atau
terkadang disebut komputer forensik adalah ilmu yang menganalisa barang bukti
digital sehingga dapat dipertanggungjawabkan di pengadilan. Barang bukti
digital tersebut termasuk handphone, notebook, server, alat teknologi apapun
yang mempunyai media penyimpanan dan bisa dianalisa.
Tujuan dari IT Forensik adalah untuk mengamankan dan menganalisa
bukti digital dengan cara menjabarkan keadaan terkini dari suatu artefak
digital. Istilah artefak digital dapat mencakup sebuah sistem komputer, media
penyimpanan (harddisk, flashdisk, CD-ROM), sebuah dokumen elektronik (misalnya
sebuah email atau gambar), atau bahkan sederetan paket yang berpindah melalui
jaringan komputer.
Bukti
digital adalah informasi yang didapat dalam bentuk/format digital. Bukti
digital ini bisa berupa bukti riil maupun abstrak (perlu diolah terlebih dahulu
sebelum menjadi bukti yang riil). Beberapa contoh bukti digital antara lain :
- · Spreadsheet file
- · Source code software
- · File bentuk image
- · Video
- · Audio
- · Web browser bookmark, cookies
- · Deleted file
- · Windows registry
- · Chat logs
YANG
DI BUTUHKAN DALAM IT FORENSIK :
Hardware:
1. Harddisk IDE & SCSI kapasitas sangat besar, CD-R, DVR drives
2. Memori yang besar (1-2GB RAM)
3. Hub, Switch, keperluan LAN
4. Legacy hardware
5. Laptop forensic workstations
Hardware:
1. Harddisk IDE & SCSI kapasitas sangat besar, CD-R, DVR drives
2. Memori yang besar (1-2GB RAM)
3. Hub, Switch, keperluan LAN
4. Legacy hardware
5. Laptop forensic workstations
·
Software
1. Viewers
2. Erase/Unerase tools: Diskscrub/Norton utilities
3. Hash utility (MD5, SHA1)
4. Text search utilities
5. Drive imaging utilities (Ghost, Snapback, Safeback,…)
6. Forensic toolkits
1. Viewers
2. Erase/Unerase tools: Diskscrub/Norton utilities
3. Hash utility (MD5, SHA1)
4. Text search utilities
5. Drive imaging utilities (Ghost, Snapback, Safeback,…)
6. Forensic toolkits
Unix/Linux: TCT The Coroners Toolkit/ForensiX
·
Windows:
Forensic Toolkit
1. Disk editors (Winhex,…)
2. Forensic acquisition tools (DriveSpy, EnCase, Safeback, SnapCopy,…)
3. Write-blocking tools
1. Disk editors (Winhex,…)
2. Forensic acquisition tools (DriveSpy, EnCase, Safeback, SnapCopy,…)
3. Write-blocking tools
·
Beberapa
software yang di gunakan untuk IT Audit :
1. Partition Table Doctor
2. HD Doctor Suite
3. Simple Carver Suite
4. wvWare
5. Firewire
1. Partition Table Doctor
2. HD Doctor Suite
3. Simple Carver Suite
4. wvWare
5. Firewire
·
Undang
– Undang IT Forensik:
Secara umum, materi Undang-Undang Informasi dan Transaksi Elektronik (UUITE) dibagi menjadi dua bagian besar, yaitu pengaturan mengenai informasi dan transaksi elektronik dan pengaturan mengenai perbuatan yang dilarang. Pengaturan mengenai informasi dan transaksi elektronik mengacu pada beberapa instrumen internasional, seperti UNCITRAL Model Law on eCommerce dan UNCITRAL Model Law on eSignature. Bagian ini dimaksudkan untuk mengakomodir kebutuhan para pelaku bisnis di internet dan masyarakat umumnya guna mendapatkan kepastian hukum dalam melakukan transaksi elektronik. Beberapa materi yang diatur, antara lain:
1. pengakuan informasi/dokumen elektronik sebagai alat bukti hukum yang sah (Pasal 5 & Pasal 6 UU ITE);
2. tanda tangan elektronik (Pasal 11 & Pasal 12 UU ITE);
3. penyelenggaraan sertifikasi elektronik (certification authority, Pasal 13 & Pasal 14 UU ITE);
4. penyelenggaraan sistem elektronik (Pasal 15 & Pasal 16 UU ITE);
Secara umum, materi Undang-Undang Informasi dan Transaksi Elektronik (UUITE) dibagi menjadi dua bagian besar, yaitu pengaturan mengenai informasi dan transaksi elektronik dan pengaturan mengenai perbuatan yang dilarang. Pengaturan mengenai informasi dan transaksi elektronik mengacu pada beberapa instrumen internasional, seperti UNCITRAL Model Law on eCommerce dan UNCITRAL Model Law on eSignature. Bagian ini dimaksudkan untuk mengakomodir kebutuhan para pelaku bisnis di internet dan masyarakat umumnya guna mendapatkan kepastian hukum dalam melakukan transaksi elektronik. Beberapa materi yang diatur, antara lain:
1. pengakuan informasi/dokumen elektronik sebagai alat bukti hukum yang sah (Pasal 5 & Pasal 6 UU ITE);
2. tanda tangan elektronik (Pasal 11 & Pasal 12 UU ITE);
3. penyelenggaraan sertifikasi elektronik (certification authority, Pasal 13 & Pasal 14 UU ITE);
4. penyelenggaraan sistem elektronik (Pasal 15 & Pasal 16 UU ITE);
·
Beberapa
materi perbuatan yang dilarang (cybercrimes) yang diatur dalam UU ITE, antara
lain:
1. konten ilegal, yang terdiri dari, antara lain: kesusilaan, perjudian, penghinaan/pencemaran nama baik, pengancaman dan pemerasan (Pasal 27, Pasal 28, dan Pasal 29 UU ITE);
2. akses ilegal (Pasal 30);
3. intersepsi ilegal (Pasal 31);
4. gangguan terhadap data (data interference, Pasal 32 UU ITE);
5. gangguan terhadap sistem (system interference, Pasal 33 UU ITE);
6. penyalahgunaan alat dan perangkat (misuse of device, Pasal 34 UU ITE);
1. konten ilegal, yang terdiri dari, antara lain: kesusilaan, perjudian, penghinaan/pencemaran nama baik, pengancaman dan pemerasan (Pasal 27, Pasal 28, dan Pasal 29 UU ITE);
2. akses ilegal (Pasal 30);
3. intersepsi ilegal (Pasal 31);
4. gangguan terhadap data (data interference, Pasal 32 UU ITE);
5. gangguan terhadap sistem (system interference, Pasal 33 UU ITE);
6. penyalahgunaan alat dan perangkat (misuse of device, Pasal 34 UU ITE);
Daftar Pustaka
·
Ikatan Akuntan
Publik. 2001. Standar Profesional Akuntan Publik.
Salemba Empat:Jakarta.
·
Ron Weber
.1999. Information System Control and Audit. Prentice-Hall,
Inc: New Jersey.
Tidak ada komentar:
Posting Komentar