Selasa, 14 November 2017

Perencanaan Audit Teknologi Sistem Informasi


Pada tahap perencanaan TSI yang akan dilakukan adalah menentukan ruang lingkup (scope), objek yang akan diaudit, standard evaluasi dari hasil audit dan komunikasi dengan managen pada organisasi yang bersangkutan dengan menganalisa visi, misi, sasaran dan tujuan objek yang diteliti serta strategi, kebijakan-kebijakan yang terkait dengan pengolahan investigasi.Jika proses perencanaan dilaksanakan secara efektif, maka tim audit akan sukses. Sebaliknya, jika dilakukan dengan buruk dan pekerjaan dimulai tanpa rencana dan tanpa jelas arah, upaya tim audit bisa berakibat pada kegagalan. Tujuan dari proses perencanaan adalah untuk menentukan tujuan dan ruang lingkup audit. Anda perlu menentukan apa yang ingin anda capai dengan ulasannya. Proses perencanaan ini membutuhkan penelitian yang cermat, pemikiran, dan pertimbangan untuk setiap audit. 

Perencanaan meliputi beberapa aktivitas utama, yaitu:
  • Penetapan ruang lingkup dan tujuan audit
  • Pengorganisasian tim audit
  • Pemahaman mengenai operasi bisnis klien
  • Kaji ulang hasil audit sebelumnya
  • Penyiapan program audit


Perencanaan sebelum menjalankan proses audit dengan metodologi audit yaitu:

  • Audit subject
  • Audit objective
  • Audit Scope
  • Preaudit planning
  • Audit procedures and Steps for data gathering
  • Evaluasi hasil pengujian dan pemeriksaan
  • Audit report preparation

Berikut struktur isi laporan audit secara umumnya (tidak baku):
     a)      Pendahuluan
     b)      Kesimpulan umum auditor
     c)      Hasil audit
     d)     Rekomendasi
     e)      Exit interview

Direferensikan sebagai bagian dari setiap proses perencanaan audit:
1.      Melepaskan dari manajer audit
2.      Survei pendahuluan
3.      Permintaan pelanggan
4.      Daftar periksa standar
5.      Penelitian
6.      Penilaian
7.      Penjadwalan
8.      Memulai rapat

a.      Terlepas dari manajer audit
     jika audit termasuk dalam rencana audit, pasti ada beberapa alasan. Manajer audit harus menyampaikan kepada tim audit informasi tersebut yang menyebabkan audit dijadwalkan. Ini mungkin termasuk komentar dari it manajemen dan / atau kekhawatiran yang diketahui di daerah tersebut. Faktor-faktor yang menyebabkan terjadinya audit dijadwalkan perlu dicakup dalam rencana audit. Selain itu, manajer audit harus dapat memberikan tim audit kontak kunci untuk audit tersebut.

    b.      Survei awal
      Tim audit harus meluangkan waktu sebelum setiap audit melakukan survei pendahuluan di wilayah yang akan diaudit untuk memahami apa auditnya akan memerlukan. Hal ini kemungkinan akan mencakup wawancara dengan pelanggan audit untuk memahami fungsi sistem atau proses yang sedang ditinjau, serta review dari setiap yang bersangkutan dokumentasi. Tujuannya adalah untuk mendapatkan latar belakang dan pemahaman dasar area yang akan ditinjau. Hal ini diperlukan untuk melakukan penilaian awal terhadap risiko di daerah.

      c.       Permintaan pelanggan

      Tim audit seharusnya tanyakan pada pelanggan area apa yang mereka pikir harus ditinjau dan area mana yang menjadi perhatian. Masukan ini harus sesuai dengan hasil penilaian risiko obyektif auditor untuk menentukan ruang lingkup audit. Tentu, terkadang auditor tidak akan menggunakan masukan pelanggan.

      d.      Daftar standar

      Daftar periksa audit standar untuk area yang sedang diperiksa adalah sering tersedia daftar periksa di bagian ii buku ini dapat menjadi awal yang baik titik untuk banyak audit selain itu, departemen audit mungkin memiliki daftar periksa sendiri untuk sistem dan proses standar di perusahaan. Memiliki standar, repeatable audit daftar periksa untuk area umum dapat memberikan awal yang berguna bagi banyak audit. Mereka daftar periksa, bagaimanapun, harus dievaluasi dan diubah seperlunya untuk setiap audit tertentu.memiliki daftar periksa standar tidak menghilangkan persyaratan auditor untuk melakukan penilaian risiko sebelum setiap audit.

      e.      Penelitian

      Akhirnya, internet, buku, dan materi pelatihan harus dirujuk dan digunakan sesuai untuk setiap audit untuk mendapatkan informasi tambahan tentang area tersebut diaudit

      f.        Penilaian

      Auditor harus melakukan penilaian terhadap risiko di wilayah yang ditinjau untuk mengidentifikasi langkah-langkah yang harus dilakukan selama audit.auditor perlu pikirkanlah melalui risiko terhadap sistem atau fungsi teknologi yang dimaksud. Hasil dari latihan sebelumnya harus menjadi penentuan lingkup dari audit, termasuk menentukan dan mengkomunikasikan apa yang berada di luar jangkauan dan menyusun daftar langkah yang harus dilakukan untuk mencapai cakupan itu. Langkah-langkah ini seharusnya didokumentasikan dengan detail yang cukup untuk memungkinkan auditor melakukan audit pahami risikonya ditangani setiap langkahnya. Penting juga agar anda mendokumentasikan langkah-langkah audit sehingga mereka berulang dan mudah digunakan oleh orang berikutnya yang melakukan audit serupa, sehingga berfungsi sebagai alat pelatihan dan memungkinkan dilakukannya pengulangan ulang yang lebih efisien audit.

      Tipe-tipe resiko terdiri dari:
      1. Resiko pengembangan
      2. Resiko Kesalahan
      3. Resiko Terhentinya Bisnis
      4. Resiko Pengungkapan Informasi
      5. Resiko Penggelapan

      Proses penilaian resiko dapat dilakukan melalui tahap-tahap berikut ini:
      a. Identifikasi objek (asset) yang akan dilindungi
      b. Penentuan ancaman yang dihadapi
      c. Menetapkan peluang kejadian
      d. Menghitung besarnya dampak dan kelemahan sistem
      e. Menilai alat-alat pengamanan yang ada
      f. Rekomendasi dan implementasi

      g.      Penjadwalan
        Elemen penting dari proses perencanaan adalah penjadwalan audit (yaitu, menentukan saat audit akan berlangsung). Daripada mendikte kapan audit akan terjadi berdasarkan semata-mata pada kenyamanan tim audit, penjadwalan audit harus dilakukan bekerja sama dengan nasabah audit. Ini akan memungkinkan tim audit untuk melakukannya pertimbangkan absensi personil dan waktu aktivitas tinggi, di mana tim audit mungkin tidak bisa mendapatkan waktu dan perhatian yang tepat dari organisasi mereka.

        h.      Memulai rapat
          Menjelang akhir proses perencanaan, memulai harus dilakukan dengan audit pelanggan sehingga anda dapat mengkomunikasikan apa yang masuk dan keluar dari ruang lingkup proyek audit dan juga menerima masukan terakhir mereka.


          source :
          http://mirzahtale.blogspot.co.id/2017/10/audit-teknologi-sistem-informasi.html?view=sidebar
          http://novitasi.blogspot.co.id/2017/10/audit-tsi.html
          http://blog.pasca.gunadarma.ac.id/2012/07/25/teknologi-sistem-informasi-tsi/
          Diposting oleh di Tidak ada komentar:

          Sabtu, 28 Oktober 2017

          AUDIT TEKNOLOGI SISTEM INFORMASI

          1.     PENGERTIAN AUDIT SISTEM INFORMASI

          Audit SI ialah proses mengumpulkan dan mengevaluasi fakta untuk memutuskan apakah sistem komputer yang merupakan aset bagi perusahaan terlindungi, integritas data terpelihara, sesuai dengan tujuan organisasi untuk mencapai efektifitas dan efisiensi dalam penggunaan sumber daya. Awalnya, istilah ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target.

          2.      TUJUAN AUDIT SISTEM INFORMASI

          Proses audit sistem informasi dilakukan dengan tujuan akan tercapainya perbaikan atau peningkatan kinerja terkait dengan keamanan asset, integritas data serta efektifitas dan efisiensi penggunaan sistem.

          Beberapa objek yang menjadi tujuan audit adalah meliputi:

          A.    Objek Perlindungan Aset (Asset Safeguarding Objectives)

          Aset SI didalam organisasi adalah HW, SW, fasilitas, user (konwledge), file data, dokumentasi sistem dan persediaan barang. Sebaiknya semua aset harus dilindungi oleh sistem pengendalian internal.

          B.     Objek Integritas Data (Data Integrity Objectives)

          Integriti data ialah konsep dasar didalam audit SI. Data terdiri dari atribut-atribut yang berisi: kelengkapan, dapat dipercaya, bersih dan benar. Jika integritas data tidak dipelihara, maka organisasi tidak akan mendapatkan represntasi data yang benar untuk suatu aktifitas, akibatnya organisasi tidak dapat berkompetisi.

          C.    Objek Efektivitas Sistem (System Effectiveness Objectives)

          Audit efektivitas sering dilakukan setelah sistem berjalan untuk beberapa waktu. Manajemen membutuhkan hasil audit efektivitas untuk mengambil keputusan apakah sistes terus dijalankan atau dihentikan sementara untuk proses modifikasi.

          D.    Objek Efisiensi Sistem (System Efficiency Objectives)

          Efisiensi SI dilakukan dengan cara menggunakan sumber daya minimum untuk menyelesaikan suatu tujuan objek. Variasi sumber daya terdiri dari mesin, waktu, peripheral, S/W sistem dan pekerja. Tujuan dari perlindungan aset, integritas data, efektivitas sistem dan efisiensi sistem dapat dicapat dengan baik jika manajemen organisasi meningkatkan sistem pengendalian onternalnya.

          3.     TAHAPAN AUDIT SISTEM INFORMASI

          Tahapan audit menurut Gallegos. Dalam bukunya, “Audit and Control of Information System” yang mencakup beberapa aktivitas, yaitu :


          1.      Perencanaan (Planning)

          Tahap perencanaan ini yang akan dilakukan adalah menentukan ruang lingkup (scope), objek yang akan diaudit, standard evaluasi dari hasil audit dan komunikasi dengan managen pada organisasi yang bersangkutan dengan menganalisa visi, misi, sasaran dan tujuan objek yang diteliti serta strategi, kebijakan-kebijakan yang terkait dengan pengolahan investigasi. Perencanaan meliputi beberapa aktivitas utama, yaitu:

          ·         Penetapan ruang lingkup dan tujuan audit
          ·         Pengorganisasian tim audit
          ·         Pemahaman mengenai operasi bisnis klien
          ·         Kaji ulang hasil audit sebelumnya
          ·         Penyiapan program audit

          2.      Pemeriksaan Lapangan (Field Work)

          Tahap ini yang akan dilakukan adalah pengumpulan informasi yang dilakukan dengan cara mengumpulkan data dengan pihak-pihak yang terkait. Hal ini dapat dilakukan dengan menerapan berbagai metode pengumpulan data yaitu: wawancara, quesioner ataupun melakukan survey ke lokasi penelitian.

          3.      Pelaporan (Reporting)

          Setelah proses pengumpulan data, maka akan didapat data yang akan diproses untuk dihitung berdasarkan perhitungan maturity level. Pada tahap ini yang akan dilakukan memberikan informasi berupa hasil-hasil dari audit. Perhitungan maturity level dilakukan mengacu pada hasil wawancara, survey dan rekapitulasi hasil penyebaran quesioner. Berdasarkan hasil maturity level yang mencerminkan kinerja saat ini (current maturity level) dan kinerja standard atau ideal yang diharapkan akan menjadi acuan untuk selanjutnya dilakukan analisis kesenjangan (gap). Hal tersebut dimaksudkan untuk mengetahui kesenjangan (gap) serta mengetahui apa yang menyebabkan adanya gap tersebut.

          4.      Tindak Lanjut (Follow Up)

          Tahap ini yang dilakukan adalah memberikan laporan hasil audit berupa rekomendasi tindakan perbaikan kepada pihak managemen objek yang diteliti, untuk selanjutnya wewenang perbaikan menjadi tanggung jawab managemen objek yang diteliti apakah akan diterapkan atau hanya menjadi acuhan untuk perbaikan dimasa yang akan datang. Menurut Weber (2001), tahapan-tahapan audit sistem informasi terdiri dari:

          a.      Investigasi dan Penyelidikan Awal

          Merupakan tahapan pertama dalam audit bagi auditor eksternal yang berarti menyelidiki dari awal atau melanjutkan yang ada unutk menentukan apakah pemeriksaan tersebut dapat diterima, penempatan staf audit yang sesuai melaukan pengecekan informasi latar belakang klien, mengerti kewajiban utama dari klien dan mengidentifikasi area resiko.

          b.      Pengujian atas Control (Tests of Controls)

          Tahap ini dimulai dengan pemfokusan pada pengendalian menegemen, apabila hasil yang ada tidak sesuai dengan harapan, maka pengendalian manegemen tidak berjalan sebagai mana mestinya. Apabila auditor menemukan kesalahan yang serius pada pengendalian manegemen, maka mereka akan mengemukakan opini atau mengambil keputusan dalam pengujian transaksi dan saldo untuk hasilnya.

          c.       Pengujian atas Transaksi (Tests of Transaction)

          Pengujian yang termasuk adalah pengecekan jurnal yang masuk dari dokumen utama, menguji nilai kekayaan dan ketepatan komputasi. Komputer sangat berguna dalam pengujian ini dan auditor dapat mengunakan software audit yang umum untuk mengecek apakah pembayaran bunya dari bank telak dikalkulasi secara tepat.

          d.      Pengujian atas Keseimbangan atau Hasill Keseluruhan (Tests of Balances or Overall Results)

          Auditor melakukan pengujian ini agar bukti penting dalam penilaian akhir kehilangan atau pencatatan yang keliru yang menyebabkan fungsi sistem informasi gagal dalam memelihara data secara keseluruhan dan mencapai sistem yang efekti dan efesien. Dengan kata lain, dalam tahap ini mementingkan pengamatan asset dan integritas data yang obyektif.

          e.       Penyelesaian Audit (Completion of The Audit)

          Tahap terakhir ini, auditor eksternal melakukan beberapa pengujian tambahan untuk mengoleksi bukti untuk ditutup dengan memberikan pernyataan pendapat.

          4.     STANDARD AUDIT SISTEM INFORMASI
          SASI IASII berlaku bagi seluruh Anggota IASII (sesuai AD/ART IASII) yang melaksanakan kegiatan Audit Sistem Informasi. Standar ini mulai berlaku efektif sejak tanggal 01 Januari 2007, standard tersebut adalah sebagai berikut :




          a)      Penugasan Audit

          §  Tanggung jawab, wewenang, dan akuntabilitas
          Tanggung jawab, wewenang, dan akuntabilitas dari auditor sistem informasi harus dinyatakan dengan jelas secara formal dan tertulis dalam piagam atau surat tugas audit sistem informasi serta disetujui secara bersama oleh auditor sistem informasi dan pemberi tugas.

          b)     Independensi & Obyektifitas

          §  Independensi
          Dalam berbagai hal yang berkaitan dengan audit sistem informasi, auditor sistem informasi harus menjaga independensinya, baik secara faktual maupun penampilan, dari organisasi atau hal yang diaudit.

          §  Obyektifitas
          Selain itu, auditor sistem informasi harus menjaga obyektifitasnya dalam merencanakan, melaksanakan dan melaporkan audit sistem informasi.

          c)      Profesionalisme & Kompetensi

          §  Profesionalisme
          Auditor sistem informasi harus memenuhi berbagai standar audit yang berlaku serta menerapkan kecermatan dan ketrampilan profesionalnya dalam merencanakan, melaksanakan, dan melaporkan audit sistem informasi.

          §  Kompetensi
          Selain itu, auditor sistem informasi, secara kolektif, harus memiliki atau memperoleh pengetahuan dan keahlian yang diperlukan untuk melaksanakan audit sistem informasi.
          §  Pendidikan Profesi Berkelanjutan
          Auditor sistem informasi harus meningkatkan pengetahuan dan keahlian yang diperlukan untuk melaksanakan audit sistem informasi melalui pendidikan profesi berkelanjutan.
          d)     Perencanaan

          §  Perencanaan Audit
          Auditor sistem informasi harus merencanakan audit sistem informasi dengan baik agar dapat mencapai tujuan audit serta memenuhi standar audit yang berlaku.
          e)      Pelaksanaan

          §  Pengawasan
          Staf audit sistem informasi harus disupervisi dengan baik untuk memberikan keyakinan yang memadai bahwa tujuan audit sistem informasi dapat tercapai dan standar audit yang berlaku dapat dipenuhi.

          §  Bukti-bukti Audit
          Dalam melaksanakan audit sistem informasi, auditor sistem informasi harus memperoleh bukti-bukti audit yang cukup, dapat diandalkan dan bermanfaat untuk mencapai tujuan audit sistem informasi secara efektif. Temuan dan kesimpulan audit sistem informasi harus didukung oleh analisis dan interpretasi yang memadai atas bukti-bukti audit tersebut.

          §  Kertas Kerja Audit
          Dalam melaksanakan audit sistem informasi, auditor sistem informasi harus mendokumentasikan secara sistematis seluruh bukti-bukti audit yang diperoleh serta analisis yang dilakukannya.


          f)       Pelaporan

          §  Laporan Audit
          Setelah menyelesaikan pelaksanaan audit sistem informasi, auditor sistem informasi harus memberikan suatu laporan audit sistem informasi dalam bentuk yang memadai kepada pihak-pihak yang berhak menerima. Laporan audit sistem informasi harus menyatakan lingkup, tujuan, sifat penugasan, temuan, kesimpulan, rekomendasi, indentitas organisasi, penerima dan batasan distribusi laporan, serta batasan atau pengecualian yang berkaitan dengan pelaksanaan audit sistem informasi.

          g)      Tindak Lanjut

          §  Pemantauan Tindak Lanjut
          Auditor sistem informasi harus meminta dan mengevaluasi informasi yang dipandang perlu sehubungan dengan temuan, kesimpulan dan rekomendasi audit yang terkait dari audit sebelumnya untuk menentukan apakah tindak lanjut yang layak telah dilaksanakan dengan tepat waktu.

          5.     MANAJEMEN RESIKO

                                         I.            Pengertian Manajemen Resiko

          Manajemen risiko terdiri dari dua kata berbeda. Seperti yang kita tahu manajemen secara umum berarti mengorganisir. Sedangkan dalam KBBI kata risiko berarti : akibat yang kurang menyenangkan (merugikan, membahayakan) dari suatu perbuatan atau tindakan. Dalam bisnis sendiri, risiko berkaitan dengan hasil aktual yang tidak sesuai dengan hasil harapan. Jadi manajemen risiko adalah proses identifikasi, analisis, penilaian, pengendalian, dan penghindaran, minimalisasi, atau penghapusan risiko yang tidak dapat diterima.

                                      II.            Cara Melakukan Manajemen Risiko dengan Efektif

          Kerangka yang berkaitan dalam Manajemen Risiko Korporasi (MRK) yaitu:

          –      Lingkungan internal (internal environment)
          –      Penentuan sasaran (objective setting)
          –      Identifikasi peristiwa (event identification)
          –      Penilaian risiko (risk assessment)
          –      Tanggapan risiko (risk response)
          –      Aktivitas pengendalian (control activities)
          –      Informasi dan komunikasi (information and communication)
          –      Pemantauan (monitoring)





          Sumber :
          -          http://rocketmanajemen.com/manajemen-risiko/
          Diposting oleh di Tidak ada komentar:
          Langganan: Komentar (Atom)