STANDAR AUDIT SISTEM INFORMASI

pada tanggal

 



  1. Pengertian Audit Sistem Informasi 

Audit Sistem Informasi  adalah sebuah proses yang sistematis dalam mengumpulkan dan mengevaluasi bukti-bukti untuk menentukan bahwa sebuah sistem informasi berbasis komputer yang digunakan oleh organisasi telah dapat mencapai tujuannya.

  1. Kelebihan dan Kekurangan Standar Audit Sistem Informasi :

Standar Audit Sistem Informasi

Kelebihan

Kekurangan

COBIT

  1. Menjaga rahasia si pemakai

  2. Mengedepankan Integritas

  3. Memberikan proteksi terhadap informsi yang sensitif dari akses orang yang tidak bertanggung jawab.

  4. Berhubungan dengan penyediaan informasi yang sesuai untuk manajemen.

  5. Secara umum dapat dikatakan bahwa COBIT merupakan sebuah model tata kelola TI yang memberikan sebuah arahan yang lengkap mulai dari sistem mutu, perencanaan, manajemen proyek, keamanan, pengembangan dan pengelolaan layanan. Arahan dari COBIT kemudian didetailkan kembali oleh beberapa model framework sesuai dengan perkembangan keilmuan.

  1. Hanya berfokus pada kendali dan pengukuran.

  2. Hanya memberikan kendali dan tidak memberikan panduan implementasi operasional.

ITIL

  1. Memberi deskripsi secara rinci mengenai sejumlah praktik penting TI.

  2. Menyediakan daftar komprehensif tugas dan prosedur yang didalamnya setiap organisasi dapat menyesuaikan dengan kebutuhannya sendiri.

  3. Bukan merupakan standard yang memberikan prescription tetapi lebih kepada merekomendasikan, oleh karena itu implementasi antara satu organisasi dengan organisasi lain dapat dipastikan terdapat perbedaan. Dengan demikian kita tidak bisa membandingkan / melakukan benchmark secara pasti.

  1. Buku-buku ITIL sulit terjangkau bagi pengguna non komersial.

  2. ITIL bersifat holistic yang mencakup semua kerangka kerja untuk tatakelola TI.

  3. Pelaksanaan pedoman dalam buku ITIL memerlukan pelatihan khusus dan biaya pelatihan atau sertifikasi ITIL terlalu tinggi.

ISO/EC

  1. Menjamin akuntabilitas diberikan untuk semua resiko IT dan aktivitasnya.

  2. Memberikan panduan kepada advisor perusahaan.

  3. Memberikan prinsip panduan bagi direksi organisasi (termasuk pemilik, anggota dewan, direktur, mitra, eksekutif senior, atau yang sejenisnya) mengenai penggunaan Teknologi Informasi (TI) yang efektif, efisien, dan dapat diterima di dalam organisasi mereka.

  4. Menetapkan matriks yang sesuai yang melampaui kepatuhan terhadap standar minimum kantong individu praktik terbaik dengan menerapkan perbaikan tata kelola yang berkelanjutan dan perbaikan manajemen keamanan.


  1. Tidak cocok digunakan sebagai IT management framework

COSO

  1. Framework COSO Internal Control sangat cocok dengan Organisasi atau institusi yang ingin memfokuskan kepada pengelolaan finansial.

  2. Framework ini menawarkan Kerangka yang dapat mengelola keuangan dengan baik bahkan dapat mengelola kinerja dari organisasi tersebut.

  1. Framework COSO terlalu memfokuskan kepada proses penyelarasan TI dengan strategi perusahaan, dan sangat fokus dalam hal desain dan implementasi TI sehingga dalam hal pelayanan dari organisasi atau institusi dikesampingkan.

  2. Framework COSO lebih mengutamakan Kualitas bagian internal dari organisasi atau institusi tersebut daripada bagian pelayanannya.


Sumber :


  1. Konsep Dasar kontrol dan Audit Sistem Informasi

Konsep dasar audit sistem informasi adalah proses pengumpulan dan penilaian bukti – bukti untuk menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya secara efisien. Dengan adanya pemeliharaan tersebut maka kesalahan pada audit sistem informasi dapat terkontrol.

Kontrol pada audit sistem informasi digunakan untuk mengurangi kerugian yang mungkin terjadi karena kemunculan unlawful events dalam sebuah sistem.

Unlawful events : unauthorized, inaccurate, incomplete, redundant, inaffective, or inefficient input enters the system.


Sumber :

  1. Prinsip - prinsip Audit Sistem Informasi

  1. Ethical Conduct : Berdasar pada profesionalisme, kejujuran, integritas, kerahasiaan, dan kebijaksanaan.

  2. Fair Presentation : Kewajiban melaporkan secara jujur dan akurat.

  3. Due Professional Care : Implementasi dari kesungguhan dan pertimbangan yang diberikan.

  4. Independence : Suatu sikap yang dimiliki auditor untuk tidak memihak dalam melakukan audit.

  5. Evidence-base Approach : Pendekatan berdasarkan fakta


Sumber :

  1. Standar dan Panduan Audit Sistem Informasi :

Standar Audit SI tidak lepas dari standar professional seorang auditor SI, yaitu ukuran mutu pelaksanaan kegiatan profesi yang menjadi pedoman bagi para anggota profesi dalam menjalankan tanggung jawab profesinya.

 

  1. Kontrol Internal, Ruang Lingkup Kontrol Internal dan Sistem Kontrol Internal

  1. Kontrol Internal 

Adalah pengendalian yang mmebantu manajemen dengan tujuan tercapainya mekanisme kerja yang lebih efisien dan efektif. Struktur pengendalian intern sebagai suatu tipe pengawasan diperlukan karena adanya keharusan untuk mendelegasikan wewenang dan tanggung jawab dalam suatu organisasi.

  1. Ruang Lingkup Kontrol Internal

Ruang lingkup kontrol internal hanya dibatasi pada pengendalian internal. Ruang lingkupnya dapat berupa : Menilai keefektifan sistem pengendalian intern, pengevaluasian terhadap kelengkapan dan keefektifan sistem pengendalian internal yang dimiliki organisasi, serta kualitas pelaksanaan tanggung jawab yang diberikan.

  1. Sistem Kontrol Internal

Suatu sistem atau sosial yang dilakukan perusahaan yang terdiri dari struktur organisasi, metode, dan ukuran-ukuran untuk menjaga dan mengarahkan jalan perusahaan agar bergerak sesuai dengan tujuan dan program perusahaan dan mendorong efisiensi serta dipatuhinya kebijakan manajemen.


  1. Control Objectives dan Control Risk

  1. Control Objectives

Adalah sekumpulan best practice (framework) untuk manajemen IT, berupa sekumpulan ukuran, indikator, proses dan best practices untuk memaksimalkan manfaat penggunaan IT, dan melakukan tata kelola serta kontrol IT perusahaan.

  1. Control Risk

Risk control adalah metode pengendalian risiko yang tidak melibatkan uang/dana. Metode ini terdiri dari 3 tahapan, yaitu sebelum, pada saat, dan sesudah terjadi kontak dengan kerugian. 

Di sini kejadian-kejadian yang mengakibatkan kerugian keuangan diupayakan untuk dikurangi kemungkinan terjadinya  dan besarnya kerugian keuangan yang terjadi diminimalkan.

Ada 5 cara (metode) dalam pengendalian risiko :

  1. Risk Avoidance (Penghindaran Risiko)

Dengan metode ini, risiko dihindari dengan cara meninggalkan atau tidak pernah melakukan kegiatan apa pun yang memiliki risiko. Hal ini dilakukan dengan mempertimbangkan potensi keuntungan dan kerugian yang dapat diakibatkan oleh suatu aktifitas. Contohnya: Tidak bepergian ke tempat rawan bencana seperti Jepang dan tidak melakukan olahraga berbahaya jika tidak ingin cidera.

  1. Segregation (Pemisahan Risiko) and Diversification (Pembagian Risiko)

Segregation dilakukan dengan memisahkan orang-orang atau benda-benda yang dapat menjadi penyebab kerugian. Diversifikasi dilakukan dengan memperbanyak aset atau aktifitas pada lokasi yang berbeda. Contohnya: Menempatkan uang pada beberapa sarana investasi yang berbeda daripada menempatkan ssemuanya dalam satu sarana investasi. Selain itu, dapat juga memilih untuk bepergian dengan kendaraan terpisah daripada semua keluarga 

  1. Loss Prevention (Pencegahan Kerugian)

Metode ini dilakukan untuk mencegah dampak kerugian. Contohnya, dengan meningkatkan langkah-langkah keamanan untuk mengurangi kemungkinan kebakaran dengan memasang alarm kebakaran. Selain itu, bisa juga dengan melakukan langkah-langkah pengurangan risiko sakit dengan hidup sehat dan mencegah dampak kecelakaan bermotor dengan mengenakan helm saat mengendarai motor.

  1. Loss Reduction (Pengurangan Kerugian)

Metode ini dilakukan dengan mengurangi dampak kerugian atau pun kerusakan yang dihasilkan oleh suatu risiko. Contohnya, dengan menggunakan sabuk pengaman untuk mengurangi kemungkinan terjadinya cidera dalam kecelakaan lalu lintas dan mengurangi dampak kebakaran dengan pemadam kebakaran otomatis.

  1. Non-insurance Transfer (Pemindahan Non-asuransi)

Dengan metode ini, risiko dialihkan tanpa menggunakan asuransi. Contohnya, dengan mendirikan sebuah peusahaan bisnis untuk mengalihkan risiko menanggung kerugian dan mengambil kontrak sewa yang lebih panjang untuk menghindari harga sewa yang meningkat.


  1. Management Control Framework dan Application Control Framework

  1. Management Control Framework

Adalah melindungi terhadap akses tidak sah atau kerusakan data dan memadai backup data. Adapun control tersebut meliputi kontrol terhadap :

  1. Access : encryption, user authorization tables, inference controls and biometric devices are few examples,

  2. Backup : grandfather - father - son and direct access backup: recovery procedure.

  1. Application Control Framework

Application control adalah sistem pengendalian intern komputer yang berkaitan dengan pekerjaan atau kegiatan tertentu yang telah ditentukan.

Tujuan pengendalian aplikasi :

  1. Input data akurat, lengkap, terotorisasi dan benar

  2. Data diproses sebagaimana mestinya dalam periode waktu yang tepat

  3. Data disimpan secara tepat dan lengkap

  4. Output yang dihasilkan akurat dan lengkap

  5. Adanya catatan mengenai pemrosesan data dari input sampai menjadi output


  1. Corporate IT Governance

IT Governance adalah tanggung jawab dewan direksi dan manajemen eksekutif dan merupakan bagian integral dari tata kelola perusahaan. IT governance terdiri dari kepemimpinan dan organisasi struktur dan proses yang memastikan bahwa organisasi IT ini menopang dalam arti luas strategi dan tujuan organisasi.


Sumber :

http://zulfikarfarros.blogspot.com/2019/10/pengertian-kendali-internal-ruang.html

  1. Aspek pada Management Control Framework dan Contohnya

  1. Defining, creating, redefining, retiring data (dengan wawancara dan observasi)

  2. Membuat database tersedia untuk semua user

  3. Menginformasikan dan melayani user

  4. Memelihara integritas data

  5. Monitoring operations

 

Contoh Management Control Framework : Kontrol dapat dilakukan dengan menetapkan kebijakan dan standar untuk setiap aktivitas yang berkaitan dengan fungsi SI.

Sumber :

http://intananggraeni8.blogspot.com/2019/10/aspek-management-control-framework.html

 

Komentar

Posting Komentar