KONSEP AUDIT TSI

AUDIT TEKNOLOGI SISTEM INFORMASI

Pengertian 

     Audit Teknologi Informasi merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam suatu perusahaan maupun organisasi. Pemanfaatan Teknologi Informasi sebagai pendukung pencapaian tujuan dan sasaran organisasi harus di imbangi dengan ke efektifan dan efisiensi pengelolaannya. Maka dari itu, Audit Teknologi Sistem Informasi sangatlah diperlukan untuk menjaga keamanan sistem informasi sebagai aset organisasi, untuk mempertahankan integritas informasi yang di simpan dan di olah dan tentu saja meningkatkan ke efektifan penggunaan teknologi informasi serta mendukung efisiensi dalam organisasi.

Konsep Audit

       1.      Perencanaan (Planning)

Tahap perencanaan ini yang akan dilakukan adalah menentukan ruang lingkup (scope), objek yang akan diaudit, standard evaluasi dari hasil audit dan komunikasi dengan managen pada organisasi yang bersangkutan dengan menganalisa visi, misi, sasaran dan tujuan objek yang diteliti serta strategi, kebijakan-kebijakan yang terkait dengan pengolahan investigasi.

Perencanaan meliputi beberapa aktivitas utama, yaitu:

• Penetapan ruang lingkup dan tujuan audit
• Pengorganisasian tim audit
• Pemahaman mengenai operasi bisnis klien
• Kaji ulang hasil audit sebelumnya
• Penyiapan program audit

      2.      Pemeriksaan Lapangan (Field Work)

Tahap ini yang akan dilakukan adalah pengumpulan informasi yang dilakukan dengan cara mengumpulkan data dengan pihak-pihak yang terkait. Hal ini dapat dilakukan dengan menerapan berbagai metode pengumpulan data yaitu: wawancara, quesioner ataupun melakukan survey ke lokasi penelitian.

      3.      Pelaporan (Reporting)

Setelah proses pengumpulan data, maka akan didapat data yang akan diproses untuk dihitung berdasarkan perhitungan maturity level. Pada tahap ini yang akan dilakukan memberikan informasi berupa hasil-hasil dari audit. Perhitungan maturity level dilakukan mengacu pada hasil wawancara, survey dan rekapitulasi hasil penyebaran quesioner. Berdasarkan hasil maturity level yang mencerminkan kinerja saat ini (current maturity level) dan kinerja standard atau ideal yang diharapkan akan menjadi acuan untuk selanjutnya dilakukan analisis kesenjangan (gap). Hal tersebut dimaksudkan untuk mengetahui kesenjangan (gap) serta mengetahui apa yang menyebabkan adanya gap tersebut.

       4.      Tindak Lanjut (Follow Up)

Tahap ini yang dilakukan adalah memberikan laporan hasil audit berupa rekomendasi tindakan perbaikan kepada pihak managemen objek yang diteliti, untuk selanjutnya wewenang perbaikan menjadi tanggung jawab managemen objek yang diteliti apakah akan diterapkan atau hanya menjadi acuhan untuk perbaikan dimasa yang akan datang.

Proses Audit

Konsep paling dasar dari audit: kontrol internal. Konsep pengendalian internal sangat penting bagi profesi audit. Misi sebenarnya dari departemen audit internal adalah membantu meningkatkan keadaan kontrol internal di perusahaan.

Tahapan Audit :

        1.    Perencanaan

Menentukan apa yang di rencanakan untuk ditinjau. Jika proses perencanaan dilaksanakan secara efektif, itu akan membentuk tim audit untuk sukses. Sebaliknya, jika dilakukan dengan buruk dan pekerjaan dimulai tanpa rencana dan tanpa arah yang jelas, upaya tim audit dapat mengakibatkan kegagalan.

        2.    Kerja lapangan dan dokumentasi

Sebagian besar audit terjadi selama fase ini, ketika langkah-langkah audit yang dibuat selama tahap sebelumnya dilaksanakan oleh tim audit. Sekarang, tim memperoleh data dan melakukan wawancara yang akan membantu anggota tim untuk menganalisa potensi risiko dan menentukan risiko mana yang belum dimitigasi dengan tepat.

         3.       Penemuan dan validasi masalah

Saat melaksanakan kerja lapangan, auditor akan mengembangkan daftar masalah potensial. Ini jelas merupakan salah satu fase penting dari audit, dan auditor harus berhati-hati untuk memperdalam daftar masalah potensial untuk memastikan bahwa semua masalah valid dan relevan. Dalam semangat kolaborasi, auditor harus mendiskusikan potensi masalah dengan pelanggan sesegera mungkin. Tidak ada yang menikmati menunggu auditor untuk menyelesaikan audit dan kemudian harus menanggung daftar masalah laundry. Tidak hanya ini tidak menyenangkan bagi pelanggan, tetapi juga bisa tidak menyenangkan bagi Anda, karena mungkin menemukan bahwa tidak semua informasi akurat dan tidak semua masalah valid. Daripada membuat kasus federal dari setiap masalah potensial, maka ditekankan mengambil pendekatan lebih informal dengan cara menemukan sesuatu yang menarik dan dapat di diskusikan sehingga dapat memastikan terdapat fakta yang benar dan memahami resiko dengan benar. Sehingga auditor dapat bekerjasama dengan pelanggan dalam memvalidasi masalah dan mendorong pelanggan untuk mengambil kepemilikan masalah.

         4.       Pengembangan solusi

Setelah mengidentifikasi potensi masalah di area yang Anda audit dan telah memvalidasi fakta dan risiko, Anda dapat bekerja dengan pelanggan untuk mengembangkan rencana tindakan untuk mengatasi setiap masalah. Jelas, hanya mengangkat isu-isu yang dilakukan perusahaan tidak ada gunanya kecuali masalah-masalah itu benar-benar diatasi. Tiga pendekatan umum digunakan untuk mengembangkan dan menugaskan item tindakan untuk mengatasi masalah audit:

·         Pendekatan rekomendasi

Pada pendekatan ini auditor mengangkat masalah dan memberikan rekomendasi untuk mengatasinya. Mereka kemudian bertanya kepada pelanggan apakah mereka setuju dengan rekomendasi tersebut dan, jika ya, kapan mereka akan menyelesaikannya. 

          ·         Pendekatan manajemen respons

Pada pendekatan ini auditor mengembangkan daftar masalah dan kemudian melemparkannya ke pelanggan untuk merespon dan rencana tindakan mereka. Kadang-kadang auditor mengirim rekomendasi mereka untuk resolusi bersama dengan masalah, dan kadang-kadang mereka hanya mengirim masalah tanpa rekomendasi. Dengan kata lain, pelanggan seharusnya mengirim kembali tanggapan mereka, yang termasuk dalam laporan audit.

         ·         Pendekatan solusi

Pada pendekatan ini auditor mengembangkan solusi yang mewakili rencana aksi yang dikembangkan bersama dan disepakati untuk mengatasi masalah yang diangkat. Ini adalah kombinasi dari dua pendekatan sebelumnya, seperti halnya pendekatan rekomendasi, auditor menyediakan ide untuk resolusi berdasarkan pengetahuan kontrol mereka. Seperti halnya pendekatan manajemen-respons, pelanggan menyediakan ide untuk resolusi berdasarkan pengetahuan operasional reallife mereka. Hasilnya adalah solusi bahwa pelanggan "kepemilikan" dan itu memuaskan bagi auditor.

       5.    Laporan draf dan penerbitan

Setelah menemukan masalah di lingkungan yang diaudit, validasikan dengan pelanggan, dan mengembangkan solusi untuk mengatasinya, selanjutnya dapat menyusun laporan audit. Laporan audit merupakan bentuk dokumentasi dari hasil audit. Dalam hal ini ada dua fungsii utama yaitu :

         1.      Berfungsi sebagai catatan audit, hasilnya dan rencana aksi yang dihasilkan.

      2.      Untuk manajemen senior dan komite audit, berfungsi sebagai "kartu laporan" di area yang diaudit.

Ada tiga elemen penting dari laporan audit yaitu :

   1.      Pernyataan ruang lingkup audit

   2.      Ringkasan eksekutif

   3.      Daftar masalah, bersama dengan rencana aksi untuk menyelesaikannya

       6.    Pelacakan masalah

Audit tidak benar-benar lengkap sampai masalah yang diangkat dalam audit diselesaikan, baik dengan resolusi yang diinginkan atau dengan diterima oleh tingkat manajemen yang sesuai. Departemen audit harus mengembangkan suatu proses di mana para anggotanya dapat melacak dan menindaklanjuti isu-isu sampai mereka terselesaikan. Ini kemungkinan akan melibatkan pemeliharaan database yang berisi semua poin audit dan tanggal jatuh tempo mereka, bersama dengan mekanisme untuk menandai mereka sebagai tertutup, terlambat, dan seterusnya.

Teknik audit

       1.      Auditing Entity-Level Kontrol

Auditing Entity-Level Kontrol membahas bagaimana mengaudit kontrol tingkat entitas, yang   meresap di seluruh organisasi. Karena kontrol tingkat entitas sangat luas di seluruh organisasi, dan dapat mengauditnya berikut ini pembahasan audit teknologi informasi (TI) area.

       2.      Pusat Data Audit dan Pemulihan bencana

Fasilitas pengolahan teknologi informasi (TI), biasanya disebut sebagai pusat data, merupakan inti dari sebagian besar operasi organisasi modern, yang mendukung hampir semua hal yang kritis aktivitas bisnis.

      3.      Mengaudit Windows

Sistem operasi Sistem operasi Windows telah berkembang dari awal yang sederhana dan berkembang menjadi salah satu sistem operasi paling umum di dunia untuk server dan klien, untuk mencakup komponen dasar dari audit server Windows dan mencakup audit cepat untuk Klien Windows.

      4.      Mengaudit Unix dan Linux

Sistem operasi membahas langkah-langkah yang diperlukan untuk mengaudit operasi berbasis Unix dan Linux sistem (juga disebut sebagai sistem nix) .

      5.      Mengaudit Web Server dan Aplikasi Web

Pertumbuhan eksplosif di Internet juga mendorong pertumbuhan eksplosif alat pengembangan, bahasa pemrograman, web browser, database, dan berbeda model client-server. Hasil yang tidak menguntungkan adalah model kompleks yang sering dibutuhkan kontrol tambahan untuk mengamankan model. Berikut ini mencakup minimum mutlak seperangkat kontrol yang harus ditinjau ulang.

      6.          Mengaudit Database

Mengaudit Database membahas tentang audit lockbox informasi perusahaan.untuk melakukan audit pada komponen berikut yang mempengaruhi operasional keamanan penyimpanan data.

      7.          Penyimpanan Audit

Penyimpanan audit dan dimulai dengan ikhtisar penyimpanan umum teknologi. Audit penyimpanan menggabungkan kekhawatiran platform dan datanya. Platform memiliki persyaratan kontrol yang sama seperti yang ditemukan di server. Data memiliki keunikan persyaratan kontrol karena perlunya menjaga kontrol yang sesuai dengan kelas data yang berbeda.

      8.          Mengaudit Virtualized Lingkungan

Inovasi dalam virtualisasi sistem operasi dan perangkat keras server diubah secara permanen jejak, arsitektur, dan operasi pusat data. Mengaudit lingkungan virtualisasi, dan dimulai dengan ikhtisar tentang virtualisasi umum teknologi dan kontrol tombol. Audit virtualisasi menggabungkan kekhawatiran hypervisor dan sistem operasi tamu. Meski fokus adalah hypervisor dan virtualisasi server, bisa menerapkan banyak langkah dan konsep yang sama untuk virtualisasi desktop ,membuat asumsi bahwa komponen sistem ini adalah di bawah kendali , "Mengaudit Komputasi Awan dan Operasi Outsourcing "untuk panduan bagaimana memastikan virtualisasi dari luar lingkungan dikelola dan diamankan dengan benar.

      9.        Mengaudit WLAN dan Telepon genggam

Mengaudit WLAN dan Telepon genggam yaitu dua audit terpisah, yang dimulai dengan jaringan area lokal nirkabel(WLAN) dan kemudian mencakup perangkat seluler yang mendukung data. Audit WLAN meliputi klien, komunikasi, jalur akses, dan faktor operasional yang memungkinkan WLAN aktif, jaringan Audit perangkat mobile data-enabled meliputi Blackberry, iPhone, Droid, dan perangkat data-enabled serupa dan infrastruktur yang mendukungnya.

      10.  Permohonan Audit

Setiap aplikasi unik, apakah mendukung fungsi keuangan atau operasional, dan oleh karena itu masing-masing memiliki seperangkat persyaratan kontrol tersendiri. Tidak mungkin dokumen persyaratan kontrol spesifik yang akan berlaku untuk setiap aplikasi. Namun, akan menjelaskan beberapa pedoman pengendalian umum yang seharusnya berkenaan dengan aplikasi apapun terlepas dari fungsinya, bahasa pemrogramannya, dan platform teknologi.

      11.  Mengaudit Komputasi Awan dan Outsource Operasi

Mengaudit Komputasi Awan dan Outsource Operasi adalah kunci yang harus dicari saat mengaudit TI operasi yang telah dialihkan ke perusahaan eksternal.

      12.  Proyek Perusahaan Audit

Proyek Perusahaan Audit adalah kontrol kunci yang harus dicari saat mengaudit proses yang digunakan untuk mengelola proyek perusahaan.

Regulasi Audit

Uji kepatutan (compliance test) dilakukan dengan menguji kepatutan Prooses TI dengan melihat kepatutan proses yang berlangsung terhadap standard dan regulasi yang berlaku. Kepatutan tersebut dapat diketahui dari hasil pengumpulan bukti. Adapun langkah-langkah yang dilakukan dalam uji tersebut antara lain akan dipaparkan sebagaimana berikut :

        1.    Tahapan Pengidentifikasian Objek yang Diaudit

Tujuan dari langkah ini agar pengaudit mengenal lebih jauh terkait dengan hal-hal yang harus dipenuhi dalam objektif kontrol yang membawa kepada penugasan kepada pihak-pihak yang bertanggung jawab. Aktivitas yang berlangsung juga termasuk pengidentifikasian perihal pengelolaan aktivitas yang didukung TI memenuhi objektif kontrol terkait.

        2.    Tahapan Evaluasi Audit

Tujuan dari tahapan ini adalah untuk mendapatkan prosedur tertulis dan memperkirakan jika prosedur yang ada telah menghasilkan struktur kontrol yang efektif. Uji kepatutan yang dilakukan pada tahapan ini yaitu mengevaluasi pemisahan tanggung jawab yang terkait dengan pengelolaan SI/TI. Dari hasil evaluasi ditemukan terdapat pemisahan terhadap tugas dan tanggung jawab yang harus dilakukan oleh masing-masing pihak yang bersangkutan.

     Standar dan Kerangka Kerja Audit

Standar Audit SI tidak lepas dari standar professional seorang auditor SI. Standar professional adalah ukuran mutu pelaksanaan kegiatan profesi yang menjadi pedoman bagi para anggota profesi dalam menjalankan tanggungjawab profesinya.

Standar profesional adalah batasan kemampuan (knowledge, technical skill and professional attitude) minimal yang harus dikuasai oleh seseorang individu untuk dapat melakukan kegiatan profesionalnya pada masyarakat secara mandiri yang aturan-aturannya dibuat oleh organisasi profesi yang bersangkutan. Standar dan kerangka kerja menurut ISACA:

S1 Audit Charter

1. Tujuan, tanggung jawab, kewenangan dan akuntabilitas dari fungsi audit sistem informasi atau penilaian audit sistem informasi harus didokumentasikan dengan pantas dalam sebuah audit charter atau perjanjian tertulis.
2. Audit charter atau perjanjian tertulis harus mendapat persetujuan dan pengabsahan pada tingkatan yang tepat dalam organisasi.

S2 Independence

1. Professional Independence
2. Dalam semua permasalahan yang berhubungan dengan audit, auditor sistem informasi harus independen terhadap auditee baik dalam sikap maupun penampilan.
3. Organisational Independence
4. Fungsi audit sistem informasi harus independen tehadap area atau aktivitas yang sedang diperiksa agar tujuan penilaian audit terselesaikan.

S3 Professional Ethics and Standards

1. Auditor sistem informasi harus tunduk pada kode etika profesi dari ISACA dalam melakukan tugas audit.
2. Auditor sistem informasi harus patuh pada penyelenggarakan profesi, termasuk observasi terhadap standar audit profesional yang dipakai dalam melakukan tugas audit.

S4 Professional Competence

1. Auditor sistem informasi harus seorang profesional yang kompeten, memiliki keterampilan dan pengetahuan untuk melakukan tugas audit.
2. Auditor sistem informasi harus mempertahankan kompetensi profesionalnya secara terus menerus dengan melanjutkan edukasi dan training.

S5 Planning

1. Auditor sistem informasi harus merencanakan peliputan audit sistem informasi sampai pada tujuan audit dan tunduk pada standar audit profesional dan hukum yang berlaku.
2. Audit sistem informasi harus membangun dan mendokumentasikan resiko yang didasarkan pada pendekatan audit.

S6 Performance of Audit Work

1. Pengawasan-staff audit sistem informasi harus diawasi untuk memberikan keyakinan yang masuk akal bahwa tujuan audit telah sesuai dan standar audit profesional yang ada.
2. Bukti-Selama berjalannya audit, auditor sistem informasi harus mendapatkan bukti yang cukup, layak dan relevan untuk mencapai tujuan audit. Temuan audit dan kesimpulan didukung oleh analisis yang tepat dan interprestasi terhadap bukti-bukti yang ada.
3. Dokumentasi-Proses audit harus didokumentasikan, mencakup pelaksanaan kerja audit dan bukti audit untuk mendukung temuan dan kesimpulan auditor sistem informasi.

S7 Reporting

1. Auditor sistem informasi harus menyajikan laporan, dalam pola yang tepat, atas penyelesaian audit.
2. Laporan audit harus berisikan ruang lingkup, tujuan, periode peliputan, waktu dan tingkatan kerja audit yang dilaksanakan.
3. Laporan audit harus berisikan temuan, kesimpulan dan rekomendasikan serta berbagai pesan, kualifikasi atau batasan dalam ruang lingkup bahwa auditor sistem informasi bertanggung jawab terhadap audit.
4. Auditor sistem informasi harus memiliki bukti yang cukup dan tepat untuk mendukung hasil pelaporan.

     Manajemen Resiko

Didalam TSI, hal-hal yang perlu diperhatikan salah satunya adalah penilaian resiko. Konsep resiko dalam hal ini meliputi ancaman, kelemahan dan dampak dari penilaian resiko. Ancaman yang sering terjadi salah satunya adalah adanya kompleksitas dari TSI itu sendiri. Berbagai macam elemen dan variasi yang terdapat dalam TSI mewarnai perkembangan TSI kedepannya.

Keamanan dan pengendalian TSI dewasa ini menjadi kelemahan dalam penilaian resiko. Dalam hal ini, kedua hal tersebut menjadi suatu hal yang patut disorot dan diperhatikan agar dapat berkembang menjadi semakin baik. Memang hal ini bukan suatu hal yang mudah untuk dapat dilakukan, namun dengan melakukannya secara bersama-sama, saling menjaga, merawat dan memeliharanya, niscaya kelemahan ini dapat dikurangi bahkan dihilangkan. Adapun dampaknya adalah aset yang ada dapat terlindungi.

Tipe-tipe resiko terdiri dari:

1. Resiko pengembangan
2. Resiko Kesalahan
3. Resiko Terhentinya Bisnis
4. Resiko Pengungkapan Informasi
5. Resiko Penggelapan

PPT Audit TSI klik disini

      Sumber :

      IT Auditing : Using controls to protect information assets, Chris Davis, Mike Sciller, McGrowHill, 2011.

      Audit dan Kontrol Teknologi Informasi, Mardhani Riasetiawan, Inside technology Publiher. 2016

      http://hchairunnisa.blogspot.com/2018/10/tugas-1-audit-teknologi-sistem-informasi.html

      http://rizkyramdani4.blogspot.com/2017/10/konsep-metode-dan-regulasi-audit-tsi.html

      https://indraoktamara.wordpress.com/2018/01/05/audit-tsi/

        Nama : Dian Agustina

        Kelas : 4KA19

        NPM : 17115452