Tugas Softskill
Capaian 1
Penjelasan Konsep Audit TSI
Audit teknologi sistem informasi adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Audit teknologi informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam suatu perusahaan. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya.
Metode dan Alat Yang digunakan dalam Audit TSI
1. Wawancara
Wawancara adalah teknik pengumpulan data yang dilakukan melalui tatap muka dan tanya jawab langsung antara peneliti dan narasumber. Wawancara terbagi atas dua kategori, yaitu wawancara terstruktur dan tidak terstruktur.
a. Terstruktur
Dalam wawancara terstruktur, peneliti telah mengetahui dengan pasti informasi apa yang hendak digali dari narasumber. Peneliti juga bisa menggunakan berbagai instrumen penelitian seperti alat bantu recorder, kamera untuk foto, serta instrumen-instrumen lain.
b. Tidak terstruktur
Wawancara tidak terstruktur adalah wawancara bebas. Peneliti tidak menggunakan pedoman wawancara yang berisi pertanyaan-pertanyaan spesifik, namun hanya memuat poin-poin penting dari masalah yang ingin digali dari responden.
2. Observasi
Observasi adalah metode pengumpulan data yang kompleks karena melibatkan berbagai faktor dalam pelaksanaannya. Metode pengumpulan data observasi tidak hanya mengukur sikap dari responden, namun juga dapat digunakan untuk merekam berbagai fenomena yang terjadi. Teknik pengumpulan data observasi cocok digunakan untuk penelitian yang bertujuan untuk mempelajari perilaku manusia, proses kerja, dan gejala-gejala alam. Metode ini juga tepat dilakukan pada responden yang kuantitasnya tidak terlalu besar. Metode pengumpulan data observasi terbagi menjadi dua kategori, yakni:
a. Participant
Dalam participant observation, peneliti terlibat secara langsung dalam kegiatan sehari-hari orang atau situasi yang diamati sebagai sumber data.
b. Non participant
Non participant observation merupakan observasi yang penelitinya tidak ikut secara langsung dalam kegiatan atau proses yang sedang diamati.
3. Kuesioner
Kuesioner merupakan metode pengumpulan data yang dilakukan dengan cara memberi seperangkat pertanyaan atau pernyataan tertulis kepada responden untuk dijawab. Kuesioner merupakan metode pengumpulan data yang lebih efisien bila peneliti telah mengetahui dengan pasti variabel yag akan diukur dan tahu apa yang diharapkan dari responden. Selain itu kuesioner juga cocok digunakan bila jumlah responden cukup besar dan tersebar di wilayah yang luas. Berdasarkan bentuk pertanyaannya, kuesioner dapat dikategorikan dalam dua jenis, yaitu kuesioner terbuka, kuesioner tertutup, dan kuesioner semi terbuka.
a. Kuesioner terbuka
Kuesioner terbuka adalah kuesioner yang memberikan kebebasan kepada objek penelitian untuk menjawab.
b. Kuesioner tertutup
Kuesioner tertutup adalah kuesioner yang telah menyediakan pilihan jawaban untuk dipilih oleh objek penelitian.
c. Kuesioner Semi Terbuka
Kuesioner semi terbuka adalah kuesioner yang pilihan jawabannya telah diberikan oleh peneliti, namun objek penelitian tetap diberi kesempatan untuk menjawab sesuai dengan kemauan mereka.
4. Studi Dokumen
Studi dokumen adalah metode pengumpulan data yang tidak ditujukan langsung kepada subjek penelitian. Studi dokumen adalah jenis pengumpulan data yang meneliti berbagai macam dokumen yang berguna untuk bahan analisis. Dokumen yang dapat digunakan dalam pengumpulan data dibedakan menjadi dua, yakni:
a. Dokumen primer
Dokumen primer adalah dokumen yang ditulis oleh orang yang langsung mengalami suatu peristiwa, misalnya: autobiografi
b. Dokumen sekunder
Dokumen sekunder adalah dokumen yang ditulis berdasarkan oleh laporan atau cerita orang lain, misalnya: biografi.
Karakteristik kegiatan audit
· Objektif: independen yaitu tidak tergantung pada jenis atau aktivitas organisasi yang diaudit.
· Sistematis: terdiri dari tahap demi tahap proses pemeriksaan.
· Bukti yang memadai: mengumpulkan, mereview, dan mendokumentasikan kejadian-kejadian.
· Kriteria: untuk menghubungkan pemeriksaan dan evaluasi bukti–bukti
Proses atau tahapan audit TSI
a. Perencanaan (Planning)
Tahap perencanaan ini yang akan dilakukan adalah menentukan ruang lingkup (scope), objek yang akan diaudit, standard evaluasi dari hasil audit dan komunikasi dengan managemen pada organisasi yang bersangkutan dengan menganalisa visi, misi, sasaran dan tujuan objek yang diteliti serta strategi, kebijakan-kebijakan yang terkait dengan pengolahan investigasi.
Perencanaan meliputi beberapa aktivitas utama, yaitu:
Perencanaan meliputi beberapa aktivitas utama, yaitu:
Ø Penetapan ruang lingkup dan tujuan audit
Ø Pengorganisasian tim audit
Ø Pemahaman mengenai operasi bisnis klien
Ø Kaji ulang hasil audit sebelumnya
Ø Penyiapan program audit
b. Pemeriksaan Lapangan (Field Work)
Tahap ini yang akan dilakukan adalah pengumpulan informasi yang dilakukan dengan cara mengumpulkan data dengan pihak-pihak yang terkait. Hal ini dapat dilakukan dengan menerapan berbagai metode pengumpulan data yaitu: wawancara, quesioner ataupun melakukan survey ke lokasi penelitian.
c. Pelaporan (Reporting)
Setelah proses pengumpulan data, maka akan didapat data yang akan diproses untuk dihitung berdasarkan perhitungan maturity level. Pada tahap ini yang akan dilakukan memberikan informasi berupa hasil-hasil dari audit. Perhitungan maturity level dilakukan mengacu pada hasil wawancara, survey dan rekapitulasi hasil penyebaran quesioner. Berdasarkan hasil maturity level yang mencerminkan kinerja saat ini (current maturity level) dan kinerja standard atau ideal yang diharapkan akan menjadi acuan untuk selanjutnya dilakukan analisis kesenjangan. Hal tersebut bertujuan untuk mengetahui kesenjangan serta mengetahui apa yang menyebabkan adanya kesenjangan tersebut.
d. Tindak Lanjut (Follow Up)
Tahap ini yang dilakukan adalah memberikan laporan hasil audit berupa rekomendasi tindakan perbaikan kepada pihak managemen objek yang diteliti, untuk selanjutnya wewenang perbaikan menjadi tanggung jawab managemen objek yang diteliti apakah akan diterapkan atau hanya menjadi acuhan untuk perbaikan dimasa yang akan datang.
Proses Audit TSI
Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem komputer berjalan semestinya. Tujuh langkah proses audit:
1. Implementasikan sebuah strategi audit berbasis manajemen risiko serta control practice yang dapat disepakati semua pihak.
2. Tetapkan langkah-langkah audit yang rinci.
3. Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta bermanfaat.
4. Buatlah laporan beserta kesimpulannya berdasarkan fakta yang dikumpulkan.
5. Telaah apakah tujuan audit tercapai.
6. Sampaikan laporan kepada pihak yang berkepentingan.
7. Pastikan bahwa organisasi mengimplementasikan managemen risiko serta control practice.
Teknik Audit TSI
1. Teknik-teknik audit yang dapat digunakan untuk pengujian fisik adalah :
· Observasi/pengamatan
Peninjauan dan pengamatan atas suatu objek secara hati-hati, ilmiah, dan berkesinambungan selama kurun waktu tertentu untuk membuktikan suatu keadaan atau masalah.
· Inventarisasi/opname
Pemeriksaan fisik dengan menghitung fisik barang, menilai kondisinya dan membandingkan dengan saldo menurut buku, kemudian mencari sebab-sebab terjadinya perbedaan apabila ada. hasil opname biasanya dituangkan dalam suatu berita acara.
· Inspeksi
Meneliti secara langsung ketempat kejadian, yang lazim pula disebut on the spot inspection, yang dilakukan secara rinci dan teliti.
2. Teknik audit yang digunakan untuk mengumpulkan bukti dokumen adalah :
· Verifikasi
Pengujian secara rinci dan teliti tentang kebenaran, ketelitian perhitungan, kesahihan, pembukuan, kepemilikan, dan eksistensi suatu dokumen.
· Cek
Menguji kebenaran atau keberadaan sesuatu dengan teliti.
· Uji atau Test
Uji atau test adalah penelitian secara mendalam terhadap hal-hal secara esensial atau penting.
· Footing
Menguji kebenaran penjumlahan subtotal dan total dari atas ke bawah. Footing dilakukan terhadap data yang disediakan audit, tujuan teknik footing adalah untuk menentukan apakah data atau laporan yang disediakan audit dapat dibenarkan ketepatan perhitungannya.
· Vouching
Menelusuri suatu informasi atau data dalam suatu dokumen dari pencatatan menuju kepada adanya bukti pendukung atau menelusuri mengikuti prosedur yang berlaku dari hasil menuju awal kegiatan.
· Telusur
Teknik audit dengan menelusuri suatu bukti transaksi atau kejadian menuju ke penyajian dalam suatu dokumen.
· Scanning
Penelaahan secara umum dan dilakukan dengan cepat tetapi teliti, untuk menemukan hal-hal yang tidak lazim atas suatu informasi.
· Rekonsiliasi
Mencocokan dua data yang terpisah, mengenai hal yang sama dikerjakan oleh bagian yang berbeda.
3. Teknik-teknik audit yang dapat digunakan untuk mengumpulkan bukti analisis adalah
· Analisis memecah atau mengurai data informasi ke dalam unsur-unsur yang lebih kecil atau bagian-bagian, sehingga dapat diketahui pola hubungan antar unsur atau unsur penting tersembunyi. Teknik ini sering disebut bencmarking membandingkan dengan unit lain yang sejenis.
· Evaluasi merupakan cara memperoleh suatu kesimpulan dengan mencari pola hubungan atau dengan menghubungkan atau merakit berbagai informasi yang telah diperoleh baik bukti intern maupun ekstern.
· Investigasi adalah suatu upaya untuk mengupas secara intensif suatu permasalahan melalui penjabaran, penguraian, atau penelitian secara mendalam. tujuan yaitu memastikan apakah indikasi yang diperoleh dari teknik audit yang lainnya dilakukanmemang benar terjadi.
· Pembandingan yaitu membandingkan data dari satu unit kerja dengan unit kerja lain, atas hal sama dan periode yang sama atau hal yang sama dengan periode yang berbeda kemudian ditarik kesimpulan.
4. Teknik audit untuk mengumpulkan bukti keterangan adalah :
· Konfirmasi : adalah memperoleh bukti sebagai kepastian bagi auditor, dengan cara mendapatkan mendapatkan informasi yang sah dari pihak luar audit. konfirmasi terdapat konfirmasi positif yaitu konfirmasi yang harus dijawab secara tertulis oleh pihak luar dan konfirmasi negatif merupakan konfirmasi yang meminta jawaban tertulis bila data yang dikonfirmasi berbeda.
· Permintaan informasi : Permintaan informasi yang dilakukan dengan tujuan menggali informasi tertentu berbagai pihak yang berkompeten. hal-hal yang perlu diperhatikan yaitu sumber informasi.
Regulasi Audit Teknologi Sitem Informasi
Regulasi dapat dilakukan dengan berbagai bentuk, misalnya: pembatasan hukum diumumkan oleh otoritas pemerintah, regulasi pengaturan diri oleh suatu industri seperti melalui asosiasi perdagangan, Regulasi sosial (misalnya norma), co-regulasi dan pasar. Indonesia belum memiliki Undang-Undang khusus atau cyber law yang mengatur mengenai cybercrime walaupun rancangan undang-undang tersebut sudah ada sejak tahun 2000 dan revisi terakhir dari rancangan undang-undang tindak pidana di bidang teknologi informasi sejak tahun 2004 sudah dikirimkan ke Sekretariat Negara RI oleh Departemen Komunikasi dan Informasi serta dikirimkan ke DPR namun dikembalikan kembali ke Departemen Komunikasi dan Informasi untuk diperbaiki.
Standar dan kerangka kerja
Standard Audit Sistem Informasi Menurut ISACA (Information System Audit And Control Association) :
· S1 Audit Charter
Tujuan, tanggung jawab, kewenangan dan akuntabilitas dari fungsi audit sistem informasi atau penilaian audit sistem informasi harus didokumentasikan dengan pantas dalam sebuah audit charter atau perjanjian tertulis. Audit charter atau perjanjian tertulis harus mendapat persetujuan dan pengabsahan pada tingkatan yang tepat dalam organisasi.
· S2 Independence
Ø Professional Independence
Dalam semua permasalahan yang berhubungan dengan audit, auditor sistem informasi harus independen terhadap auditee baik dalam sikap maupun penampilan.
Ø Organisational Independence
Fungsi audit sistem informasi harus independen tehadap area atau aktivitas yang sedang diperiksa agar tujuan penilaian audit terselesaikan.
· S3 Professional Ethics and Standards
Ø Auditor sistem informasi harus tunduk pada kode etika profesi dari ISACA dalam melakukan tugas audit.
Ø Auditor sistem informasi harus patuh pada penyelenggarakan profesi, termasuk observasi terhadap standar audit profesional yang dipakai dalam melakukan tugas audit.
· S4 Professional Competence
Ø Auditor sistem informasi harus seorang profesional yang kompeten, memiliki keterampilan dan pengetahuan untuk melakukan tugas audit.
Ø Auditor sistem informasi harus mempertahankan kompetensi profesionalnya secara terus menerus dengan melanjutkan edukasi dan training.
· S5 Planning
Ø Auditor sistem informasi harus merencanakan peliputan audit sistem informasi sampai pada tujuan audit dan tunduk pada standar audit profesional dan hukum yang berlaku.
Ø Audit sistem informasi harus membangun dan mendokumentasikan resiko yang didasarkan pada pendekatan audit.
· S6 Performance of Audit Work
Ø Pengawasan-staff audit sistem informasi harus diawasi untuk memberikan keyakinan yang masuk akal bahwa tujuan audit telah sesuai dan standar audit profesional yang ada.
Ø Bukti-Selama berjalannya audit, auditor sistem informasi harus mendapatkan bukti yang cukup, layak dan relevan untuk mencapai tujuan audit. Temuan audit dan kesimpulan didukung oleh analisis yang tepat dan interprestasi terhadap bukti-bukti yang ada.
Ø Dokumentasi-Proses audit harus didokumentasikan, mencakup pelaksanaan kerja audit dan bukti audit untuk mendukung temuan dan kesimpulan auditor sistem informasi.
· S7 Reporting
Ø Auditor sistem informasi harus menyajikan laporan, dalam pola yang tepat, atas penyelesaian audit.
Ø Laporan audit harus berisikan ruang lingkup, tujuan, periode peliputan, waktu dan tingkatan kerja audit yang dilaksanakan.
Ø Laporan audit harus berisikan temuan, kesimpulan dan rekomendasikan serta berbagai pesan, kualifikasi atau batasan dalam ruang lingkup bahwa auditor sistem informasi bertanggung jawab terhadap audit.
Ø Auditor sistem informasi harus memiliki bukti yang cukup dan tepat untuk mendukung hasil pelaporan.
Manajemen Resiko
Manajemen risiko adalah suatupendekatan terstruktur/metodologi dalammengelola ketidakpastian yang berkaitan dengan ancaman suatu rangkaian aktivitas manusia termasuk : Penilaian risiko, pengembangan strategi untuk mengelolanya dan mitigasi risiko dengan menggunakan pemberdayaan atau pengelolaan sumber daya. Strategi yang dapat diambil antara lain adalah memindahkan risiko kepada pihak lain, menghindari risiko, mengurangi efek negatif risiko, dan menampung sebagian atau semua konsekuensi risiko tertentu. Manajemen risiko tradisional terfokus pada resiko-resiko yang timbul oleh penyebab fisik atau legal (seperti bencana alam atau kebakaran, kematian, serta tuntutan hukum).
Cara Melakukan Manajemen Risiko dengan Efektif
Kerangka yang berkaitan dalam Manajemen Risiko Korporasi (MRK) yaitu:
Ø Lingkungan internal (internal environment)
Ø Penentuan sasaran (objective setting)
Ø Identifikasi peristiwa (event identification)
Ø Penilaian risiko (risk assessment)
Ø Tanggapan risiko (risk response)
Ø Aktivitas pengendalian (control activities)
Ø Informasi dan komunikasi (information and communication)
Ø Pemantauan (monitoring)
Sumber :
