AUDIT
TEKNOLOGI SI
Pengertian Sistem
Menurut O’Brien, sistem merupakan
sekumpulan komponen-komponen yang saling berhubungan dan bekerja sama untuk
mencapai tujuan bersama, dengan menerima masukan dan menghasilkan pengeluaran melalui
proses transformasi yang terorganisir.
Pengertian Informasi
Menurut O’Brien, informasi adalah data
yang telah diubah ke dalam sebuah bentuk yang mempunyai arti dan berguna bagi
pemakai tertentu atau khusus.
Pengertian Sistem Informasi
Menurut James B. Bower, Robert E.
Schlosser dan Maurice S. Newman (1985): suatu sistem informasi adalah suatu
cara yang sudah tertentu untuk menyediakan informasi yang dibutuhkan oleh
organisasi untuk beroperasi dengan cara yang sukses dan untuk organisasi bisnis
dengan cara yang menguntungkan.
Audit Sistem Informasi
Audit system informasi adalah cara untuk
melakukan pengujian terhadap system informasi yang ada di dalam organisasi
untuk mengetahui apakah system informasi yang dimiliki telah sesuai dengan
visi, misi dan tujuan organisasi, menguji performa system informasi dan untuk
mendeteksi resiko-resiko dan efek potensial yang mungkin timbul.
Dalam pelaksanaannya, auditor system
informasi mengumpulkan bukti-bukti yang memadai melalui berbagai teknik
termasuk survei, interview, observasi dan review dokumentasi (termasuk review
source-code bila diperlukan). Satu hal yang unik, bukti-bukti audit yang
diambil oleh auditor biasanya mencakup pula bukti elektronis (data dalam bentuk
file softcopy). Biasanya, auditor system informasi menerapkan teknik audit
berbantuan komputer, disebut juga dengan CAAT (Computer Aided Auditing
Technique). Teknik ini digunakan untuk menganalisa data, misalnya saja data
transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah,
dan lain-lain.
Sesuai dengan standar auditing ISACA
(Information Systems Audit and Control Association), selain melakukan pekerjaan
lapangan, auditor juga harus menyusun laporan yang mencakup tujuan pemeriksaan,
sifat dan kedalaman pemeriksaan yang dilakukan. Laporan ini juga harus
menyebutkan organisasi yang diperiksa, pihak pengguna laporan yang dituju dan
batasan-batasan distribusi laporan. Laporan juga harus memasukkan temuan,
kesimpulan, rekomendasi sebagaimana layaknya lapor-an audit pada umumnya.
Pengertian Teknologi Informasi
Teknologi Informasi adalah suatu hardware
(perangkat keras) dan software (perangkat lunak) yang digunakan oleh sistem
informasi, hardware atau perangkat keras merupakan peralatan fisik yang
terlibat dalam pemrosesan informasi seperti computer, workstation, peralatan
jaringan, tempat penyimpanan data serta peralatan transmisi. Software adalah
program computer yang menginterpretasikan apa yang harus dilakukan.
PENGERTIAN COBIT
Control Objectives for Information and Related Technology atau COBIT adalah
proses yang sedang dikembangkan oleh IT Governance Institute (ITGI) yang
merupakan bagian dari Information System Audit and Control Association (ISACA)
untuk membantu perusahaan dalam mengelola sumber daya teknologi informasi.
COBIT juga merupakan jembatan antara manajemen teknologi informasi
dengan para eksekutif bisnis atau dewan direksi. Dikatakan seperti itu karena
CoBIT mampu menjelaskan laporan dengan bahasa yang umum sehingga dapat mudah
dipahami oleh semua pihak. Salah satu alasan mengapa COBIT dapat merajalela di
seluruh dunia karena semakin besarnya perhatian dari corporate governance dan
kebutuhan perusahaan dalam menghasilkan sesuatu yang lebih dengan kondisi
sumber daya yang sedikit dan ekonomi yang sulit.
Tujuan utama yang diharapkan dari adanya COBIT yaitu agar perusahaan mampu
meningkatkan nilai tambah dalam bidang IT dan dapat mengurangi risiko-risiko
inheren yang ada didalamnya.
Sejarah COBIT
COBIT pertama kali diterbitkan pada tahun
1996, kemudian edisi kedua dari COBIT diterbitkan pada tahun 1998. Pada tahun
2000 dirilis COBIT 3.0 dan COBIT 4.0 pada tahun 2005. Kemudian COBIT 4.1
dirilis pada tahun 2007 dan saat ini COBIT yang terakhir dirilis adalah COBIT
5.0 yang dirilis pada tahun 2012.
COBIT merupakan kombinasi dari
prinsip-prinsip yang telah ditanamkan yang dilengkapi dengan balance scorecard
dan dapat digunakan sebagai acuan model (seperti COSO) dan disejajarkan dengan
standar industri, seperti ITIL, CMM, BS779, ISO 9000.
Tujuan Pengendalian COBIT
Menurut IT Governance Institute, tujuan pengendalian TI didefinisikan sebagai suatu pernyataan dari hasil yang diinginkan atau tujuan yang ingin dicapai dengan menerapkan prosedurprosedur kendali dalam aktivitas TI tertentu. Kunci untuk mempertahankan keuntungan dalam lingkungan teknologi yang kian dan selalu berubah dapat dilihat dari seberapa baiknya penguasaan dalam melakukan kendali.
Key Performance Indicator (KPI) dan Key Goal Indicator (KGI)
Menurut IT Governance Institute Key Performance Indicator merupakan ukuran-ukuran yang membantu penentuan seberapa baik proses teknologi informasi diselenggarakan dalam
mencapai sasaran. Sedangkan Key Goal Indicator dalam definisi IT Governance Institute berarti ukuran-ukuran yang memberi gambaran kepada pihak manajemen apakah suatu proses teknologi informasi telah memenuhi kebutuhan bisnis [7]. Kedua indikator ini dirancang untuk mengetahui apa saja faktor-faktor penggerak performa, pendefinisian sasaran, pengukuran pencapaian, peningkatan dan penyelaraasan. Matrik yang efektif adalah matrik yang mempunyai karakteristik sebagai berikut:
· Menampilkan wawasan atau informasi yang luas atau berkualitas.
· Dapat dibandingkan secara internal (ditunjukkan dengan persentase atau angka-angka)
· Dapat dibandingkan secara eksternal tanpa melihat ukuran perusahaan atau industri.
· Lebih baik jika menampilkan sedikit matrik yang baik daripada banyak matrik dengan kualitas informasi yang rendah.
· Mudah diukur dan tidak membuat bingung
Langkah-langkah melakukan audit TSI
Prosedur Audit IT:
Mengumpulkan dan mengevaluasi bukti-bukti bagaimana sistem informasi
dikembangkan, dioperasikan, diorganisasikan, serta bagaimana praktek
dilaksanakan:
● Apakah IS melindungi aset institusi: asset protection, availability
● Apakah integritas data dan sistem diproteksi secara cukup (security,confidentiality )?
● Apakah operasi sistem efektif dan efisien dalam mencapai tujuan organisasi, dan lain-lain (coba cari pertanyaan2 lain)
● Apakah IS melindungi aset institusi: asset protection, availability
● Apakah integritas data dan sistem diproteksi secara cukup (security,confidentiality )?
● Apakah operasi sistem efektif dan efisien dalam mencapai tujuan organisasi, dan lain-lain (coba cari pertanyaan2 lain)
Bahasan / Lembar Kerja Audit IT
● Stakeholders:
– Internal IT Deparment
– External IT Consultant
– Board of Commision
– Management
– Internal IT Auditor
– External IT Auditor
● Kualifikasi Auditor:
– Certified Information Systems Auditor (CISA)
– Certified Internal Auditor (CIA)
– Certified Information Systems Security Professional (CISSP)
– dll
● Output Internal IT:
– Solusi teknologi meningkat, menyeluruh & mendalam
– Fokus kepada global, menuju ke standard2 yang diakui
● Output External IT:
– Rekrutmen staff, teknologi baru dan kompleksitasnya
– Outsourcing yang tepat
– Benchmark / Best-Practices
● Output Internal Audit & Business:
– Menjamin keseluruhan audit
– Budget & Alokasi sumber daya
– Reporting
– Internal IT Deparment
– External IT Consultant
– Board of Commision
– Management
– Internal IT Auditor
– External IT Auditor
● Kualifikasi Auditor:
– Certified Information Systems Auditor (CISA)
– Certified Internal Auditor (CIA)
– Certified Information Systems Security Professional (CISSP)
– dll
● Output Internal IT:
– Solusi teknologi meningkat, menyeluruh & mendalam
– Fokus kepada global, menuju ke standard2 yang diakui
● Output External IT:
– Rekrutmen staff, teknologi baru dan kompleksitasnya
– Outsourcing yang tepat
– Benchmark / Best-Practices
● Output Internal Audit & Business:
– Menjamin keseluruhan audit
– Budget & Alokasi sumber daya
– Reporting
Metodologi dan Framework Audit IT :
● Framework Besar:
1. IT Audit
2. Analisis Resiko berdasarkan hasil audit
3.Memeriksa “kesehatan” sistem & security benchmarking terhadap sistem yang lain / standard
4. Hasil dari ketiganya (1,2,3) melahirkan konsep keamanan sistem Informasi
5. Hasil dari konsep keamanan:
• panduan keamanan sistem (handbook of system security)
● Metodologi IT Audit:
1. IT Audit
2. Analisis Resiko berdasarkan hasil audit
3.Memeriksa “kesehatan” sistem & security benchmarking terhadap sistem yang lain / standard
4. Hasil dari ketiganya (1,2,3) melahirkan konsep keamanan sistem Informasi
5. Hasil dari konsep keamanan:
• panduan keamanan sistem (handbook of system security)
● Metodologi IT Audit:
1. CobiT
2. BS 7799 – Code of Practice (CoP)
3. BSI –IT baseline protection manual
4. ITSEC
4. ITSEC
5. Common Criteria (CC)
csrc.nist.gov/cc/
csrc.nist.gov/cc/
19 Langkah Umum Audit TSI :
● Kontrol lingkungan:
1. Apakah kebijakan keamanan (security policy) memadai dan efektif ?
2. Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dr external auditor
3. Jika sistem dibeli dari vendor, periksa kestabilan finansial
4.Memeriksa persetujuan lisen(license agreement)
● Kontrol keamanan fisik
5. Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai
6. Periksa apakah backup administrator keamanan sudah memadai (trained,tested)
7. Periksa apakah rencana kelanjutan bisnis memadai dan efektif
8. Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai
● Kontrol keamanan logikal
9. Periksa apakah password memadai dan perubahannya dilakukan reguler
10.Apakah administrator keamanan memprint akses kontrol setiap user
1. Apakah kebijakan keamanan (security policy) memadai dan efektif ?
2. Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dr external auditor
3. Jika sistem dibeli dari vendor, periksa kestabilan finansial
4.Memeriksa persetujuan lisen(license agreement)
● Kontrol keamanan fisik
5. Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai
6. Periksa apakah backup administrator keamanan sudah memadai (trained,tested)
7. Periksa apakah rencana kelanjutan bisnis memadai dan efektif
8. Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai
● Kontrol keamanan logikal
9. Periksa apakah password memadai dan perubahannya dilakukan reguler
10.Apakah administrator keamanan memprint akses kontrol setiap user
11.Memeriksa dan mendokumentasikan parameter keamanan default
12.Menguji fungsionalitas sistem keamanan (password, suspend userID, etc)
13.Memeriksa apakah password file / database disimpan dalam bentuk tersandi dan tidak dapat dibuka oleh pengguna umum
14.Memeriksa apakah data sensitif tersandi dalam setiap phase dalam prosesnya
15.Memeriksa apakah prosedur memeriksa dan menganalisa log memadai
16.Memeriksa apakah akses kontrol remote (dari tempat yang lain) memadai: (VPN, CryptoCard, SecureID, etc)
● Menguji Kontrol Operasi
17.Memeriksa apakah tugas dan job description memadai dalam semua tugas dalam operasi tsb
18.Memeriksa apakah ada problem yang signifikan
19.Memeriksa apakah kontrol yang menjamin fungsionalitas sistem informasi telah memadai
12.Menguji fungsionalitas sistem keamanan (password, suspend userID, etc)
13.Memeriksa apakah password file / database disimpan dalam bentuk tersandi dan tidak dapat dibuka oleh pengguna umum
14.Memeriksa apakah data sensitif tersandi dalam setiap phase dalam prosesnya
15.Memeriksa apakah prosedur memeriksa dan menganalisa log memadai
16.Memeriksa apakah akses kontrol remote (dari tempat yang lain) memadai: (VPN, CryptoCard, SecureID, etc)
● Menguji Kontrol Operasi
17.Memeriksa apakah tugas dan job description memadai dalam semua tugas dalam operasi tsb
18.Memeriksa apakah ada problem yang signifikan
19.Memeriksa apakah kontrol yang menjamin fungsionalitas sistem informasi telah memadai
Definisi IT Forensic :
Ilmu yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran
keamanan sistem informasi serta validasinya menurut metode yang digunakan
(misalnya metode sebab-akibat)
Tujuan IT Forensic :
Mendapatkan fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan
sistem informasi. Fakta-fakta tersebut setelah diverifikasi akan menjadi
buktibukti (evidence) yang akan digunakan dalam proses hukum.
DAFTAR PUSTAKA
http://blog.pasca.gunadarma.ac.id/2012/06/07/audit-sistem-informasi-akuntansi-teknologi-sistem-informasi/
https://wisudarini.wordpress.com/2011/11/02/audit-teknologi-informasi/
http://irwantricahyono.blogspot.com/2016/03/makalah-audit-sistem-informasi.html
http://aditiariz.blogspot.com/2017/10/audit-teknologi-sistem-informasi.html
http://mymuse7.blogspot.co.id/2014/11/pengertian-cobit.html
http://lukmanprayogi20.blogspot.com/2016/01/pengertian-cobit-dan-sejarahnya.html
http://blogseptyan.blogspot.com/2015/04/jurnal-cobit.html
https://www.kompasiana.com/dwisantoso_vcc/makalah-manfaat-penggunaan-cobit_567fe81390fdfd5d0956ffba
https://bambangsuhartono.wordpress.com/2013/09/10/pentingnya-it-forensic-dan-it-audit/
http://deluthus.blogspot.com/2011/03/it-audit-forensik.html
http://pabloexcel.blogspot.com/2010/07/manfaat-it-audit-dan-forensics.html
https://emochadas.wordpress.com/2013/01/21/langkah-langkah-melakukan-audit-tsi-post-test-tsi-analisis-kinerja-sistem/
