PERTEMUAN 1 AUDIT TEKNOLOGI INFORMASI
PENGERTIAN AUDIT TEKNOLOGI INFORMASI
“Audit Teknologi informasi adalah proses pengumpulan dan penilaian bukti – bukti untuk menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya secara efisien”. Ron Weber (1999,10) mengemukakan bahwa audit sistem informasi adalah :
” Information systems auditing is the process of collecting and
evaluating evidence to determine whether a computer system safeguards organizational assets, maintains goals to be achieved effectively, and data integrity, allows uses resources efficiently”.
TUJUAN AUDIT TEKNOLOGI INFORMASI
Tujuan Audit Teknologi Informasi dapat dikelompokkan ke dalam dua aspek utama dari ketatakelolaan IT, yaitu :
a. Conformance (Kesesuaian) Pada kelompok tujuan ini audit teknologi informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu : Confidentiality (Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan) danCompliance (Kepatuhan).
a. Conformance (Kesesuaian) Pada kelompok tujuan ini audit teknologi informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu : Confidentiality (Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan) danCompliance (Kepatuhan).
b. Performance (Kinerja) Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu : Effectiveness (Efektifitas), Efficiency (Efisiensi), Reliability (Keh andalan).
TUJUAN AUDIT TEKNOLOGI INFORMASI
(Lanjutan)
(Lanjutan)
Tujuan audit teknologi informasi menurut Ron Weber tujuan audit yaitu :
1. Mengamankan asset
2. Menjaga integritas data
3. Menjaga efektivitas sistem
4. Mencapai efisiensi sumberdaya.
1. Mengamankan asset
2. Menjaga integritas data
3. Menjaga efektivitas sistem
4. Mencapai efisiensi sumberdaya.
KEUNTUNGAN AUDIT
• Menilai keefektifan aktivitas aktifitas dokumentasi dalam organisasi
• Memonitor kesesuaian dengan kebijakan, sistem, prosedur dan undang-undang perusahaan
• Mengukur tingkat efektifitas dari sistem
• Mengidentifikasi kelemahan di sistem yang mungkin mengakibatkan ketidaksesuaian di masa datang
• Menyediakan informasi untuk proses peningkatan
• Meningkatkan saling memahami antar departemen dan antar individu
• Melaporkan hasil tinjauan dan tindakan berdasarkan resiko ke Manajemen
• Memonitor kesesuaian dengan kebijakan, sistem, prosedur dan undang-undang perusahaan
• Mengukur tingkat efektifitas dari sistem
• Mengidentifikasi kelemahan di sistem yang mungkin mengakibatkan ketidaksesuaian di masa datang
• Menyediakan informasi untuk proses peningkatan
• Meningkatkan saling memahami antar departemen dan antar individu
• Melaporkan hasil tinjauan dan tindakan berdasarkan resiko ke Manajemen
JENIS AUDIT IT
• System Audit
– Audit terhadap sistem terdokumentasi untuk memastikan sudah memenuhi standar nasional atau
internasional
• Compliance Audit
– Untuk menguji efektifitas implementasi dari kebijakan, prosedur, kontrol dan unsur hukum yang lain
• Product / Service Audit
– Untuk menguji suatu produk atau layanan telah sesuai seperti spesifikasi yang telah ditentukan dan
cocok digunakan
– Audit terhadap sistem terdokumentasi untuk memastikan sudah memenuhi standar nasional atau
internasional
• Compliance Audit
– Untuk menguji efektifitas implementasi dari kebijakan, prosedur, kontrol dan unsur hukum yang lain
• Product / Service Audit
– Untuk menguji suatu produk atau layanan telah sesuai seperti spesifikasi yang telah ditentukan dan
cocok digunakan
SIAPA YANG DI AUDIT ?
• Management
• IT Manager
• IT Specialist (network, database, system analyst, programmer, dll.)
• User
SIAPA YG MENGAUDIT ?
Tergantung Tujuan Audit
• Internal Audit (First Party Audit)
– Dilakukan oleh atau atas nama perusahaan sendiri
– Biasanya untuk management review atau tujuan internal perusahaan
• Lembaga independen di luar perusahaan
– Second Party Audit
• Dilakukan oleh pihak yang memiliki kepentingan terhadap perusahaan
– Third Party Audit
• Dilakukan oleh pihak independen dari luar perusahaan. Misalnya untuk sertifikasi (ISO 9001, BS7799 dll).
• Internal Audit (First Party Audit)
– Dilakukan oleh atau atas nama perusahaan sendiri
– Biasanya untuk management review atau tujuan internal perusahaan
• Lembaga independen di luar perusahaan
– Second Party Audit
• Dilakukan oleh pihak yang memiliki kepentingan terhadap perusahaan
– Third Party Audit
• Dilakukan oleh pihak independen dari luar perusahaan. Misalnya untuk sertifikasi (ISO 9001, BS7799 dll).
TUGAS AUDITOR SISTEM INFORMASI
• Memastikan sisi-sisi penerapan IT memiliki kontrol yang diperlukan
• Memastikan kontrol tersebut diterapkan dengan baik sesuai yang diharapkan
• Memastikan kontrol tersebut diterapkan dengan baik sesuai yang diharapkan
HAL-HAL YANG DILAKUKAN AUDITOR
• Persiapan
• Review Dokumen
• Persiapan kegiatan on-site audit
• Melakukan kegiatan on-site audit
• Persiapan, persetujuan dan distribusi laporan audit
• Follow up audit
• Review Dokumen
• Persiapan kegiatan on-site audit
• Melakukan kegiatan on-site audit
• Persiapan, persetujuan dan distribusi laporan audit
• Follow up audit
OUTPUT KEGIATAN AUDIT
Hasil akhir adalah berupa laporan yang berisi:
• Ruang Lingkup audit
• Metodologi
• Temuan-temuan bukti2 tingkat
• Ketidaksesuaian (sifat ketidaksesuaian, pendukung, syarat yg tdk dipenuhi, lokasi, ketidaksesuaian) efektifitas implementasi, pemeliharaan
• Kesimpulan (tingkat kesesuaian dengan kriteria audit, dan pengembangan sistem manajemen, rekomendasi)
• Ruang Lingkup audit
• Metodologi
• Temuan-temuan bukti2 tingkat
• Ketidaksesuaian (sifat ketidaksesuaian, pendukung, syarat yg tdk dipenuhi, lokasi, ketidaksesuaian) efektifitas implementasi, pemeliharaan
• Kesimpulan (tingkat kesesuaian dengan kriteria audit, dan pengembangan sistem manajemen, rekomendasi)
Ketrampilan Yang Dibutuhkan
• Audit skill :
sampling, komunikasi, melakukan interview, mengajukan pertanyaan, mencatat
• Generic knowledge :
pengetahuan mengenai prinsip2 audit, prosedur dan teknik, sistem manajemen dan dokumen2 referensi, organisasi, peraturan2 yang berlaku
• Specific knowledge :
background IT/IS, bisnis, specialist technical skill, pengalaman audit sistem manajemen, perundangan
sampling, komunikasi, melakukan interview, mengajukan pertanyaan, mencatat
• Generic knowledge :
pengetahuan mengenai prinsip2 audit, prosedur dan teknik, sistem manajemen dan dokumen2 referensi, organisasi, peraturan2 yang berlaku
• Specific knowledge :
background IT/IS, bisnis, specialist technical skill, pengalaman audit sistem manajemen, perundangan
Peraturan dan Standar Yang Biasa Digunakan
• ISO / IEC 17799 and BS7799
• Control Objectives for Information and related Technology (CobiT)
• ISO TR 13335
• IT Baseline Protection Manual
• ITSEC / Common Criteria
• Federal Information Processing Standard 140-1/2 (FIPS 140-1/2)
• The “Sicheres Internet” Task Force [Task Force Sicheres Internet]
• The quality seal and product audit scheme operated by the Schleswig-Holstein Independent State Centre for Data Privacy Protection (ULD)
• ISO 9000
• Control Objectives for Information and related Technology (CobiT)
• ISO TR 13335
• IT Baseline Protection Manual
• ITSEC / Common Criteria
• Federal Information Processing Standard 140-1/2 (FIPS 140-1/2)
• The “Sicheres Internet” Task Force [Task Force Sicheres Internet]
• The quality seal and product audit scheme operated by the Schleswig-Holstein Independent State Centre for Data Privacy Protection (ULD)
• ISO 9000
Kebutuhan Auditor IT
• Internal Audit -> setiap perusahaan memerlukan
• Perusahaan penyedia layanan audit
• Perusahaan penyedia sertifikasi
• Perusahaan penyedia layanan audit
• Perusahaan penyedia sertifikasi
Peluang
• Ketergantungan terhadap IT semakin besar sehingga muncul kebutuhan untuk melakukan audit IT
• Auditor IT yang sekarang banyak yang berasal bukan dari bidang IT
• Banyak permasalahan (bisnis) dalam pengelolaan IT
• Auditor IT yang sekarang banyak yang berasal bukan dari bidang IT
• Banyak permasalahan (bisnis) dalam pengelolaan IT
Komentar
Posting Komentar