Sistem informasi adalah sekumpulan komponen yang saling berhubungan mengumpulkan,memproses, menyimpan dan mendistribusikan informasi untuk mendukung pengambilan keputusan dan pengendalian suatu organisasi (Kenneth, 1999).
Audit sistem informasi didefinisikan sebagai proses pengumpulan dan evaluasi fakta untuk menentukan apakah suatu sistem informasi telah melindungi aset, menjaga integritas data, dan memungkinkan tujuan organisasi efektif tercapai dengan memakai sumber daya secara efisien (Kenneth, 1999). Sedangkan menurut pendapat Cangemi (2003, p.48) dalam bukunya yang berjudul Managing the Audit Function, mengemukakan bahwa audit sistem informasi didefinisikan sebagai audit yang mencakup penelaahan dan evaluasi atas semua aspek (dalam berbagai porsi) dari sistem pengolahan informasi otomatis, termasuk terkait pemprosesan non-otomatis dan antarmuka diantara mereka.
Terdapat pula definisi audit sistem informasi menurut ISACA dalam CISA Review Manual 2006, yaitu proses pengumpulan dan evaluasi evidence untuk menentukan apakah sistem informasi dan sumber daya terkait pengamanan aset secara memadai, mengelola integritas data dan sistem, menyediakan informasi yang relevan dan diandalkan, mencapai tujuan organisasi secara efektif, mengkonsumsi sumber daya secara efisien, dan memiliki efek dalam kontrol internal yang memberikan keyakinan memadai bahwa tujuan-tujuan operasional dan kontrol akan bertemu dan kejadian yang tidak diinginkan dapat dicegah dan dikoreksi pada waktu yang tepat.
Audit sistem informasi pada suatu organisasi mempunyai tujuan pokok berikut :
- Meningkatkan keamanan aset
- Meningkatkan integritas data
- Meningkatkan efektivitas sistem
- Meningkatkan efisiensi sistem
Terdapat beberapa metodologi yang dapat digunakan dalam proses audit, yaitu :
- Control evaluation, sasaran dari audit dengan metodologi ini adalah kebijakan, standar, pedoman, prosedur, struktur organisasi.
- Control testing. audit dengan metodologi ini mengutamakan analisis terhadap resiko sistem informasi yang dibangun dan review pengendalian internal
- Subsantive testing, audit dilakukan dengan melakukan pengujian (testing) pada detil transaksi yang dilakukan
- Audit reporting, Pelaksanaan audit jenis ini berupa finding and conclusions
- Audit follow up, Arens and Loebbecke (1997, p.153-161) berpendapat bahwa, “Dalam menentukan prosedur audit mana yang akan digunakan, ada tujuh kategori bahan bukti audit yang dapat dipilih auditor yaitu: pemeriksaan fisik, konfirmasi, dokumentasi (pemeriksaan dokumen/ voucing), pengamatan, tanya jawab dengan klien, pelaksanaan ulang (reperformance) dan prosedur analitis.”
Gondodiyoto dan Idris (2003, hh.155-158) berpendapat bahwa ada tiga metode audit sistem informasi antara lain :
- Audit Around the Computer
- Audit Through the Computer
Audit With the Computer
Pada metode ini audit dilakukan dengan menggunakan komputer dan software untuk mengotomatisasi prosedur pelaksanaan audit. Metode ini sangat bermanfaat dalam pengujian substantif atas file dan record perusahaan. Salah satu software audit yang dapat digunakan adalah GAS (Generalized Audit Software) dan SAS (Specialized Audit Software).
Dalam melakukan proses audit diperlukan suatu pendekatan yang sistematis, objektif, dan rasional sehingga berkembanglah berbagai framework atau kerangka pikir yang disusun sebagai standar proses audit sistem informasi, antara lain :
- Committee of Sponsoring Organization (COSO)
- Control Objective for Information and Related Technology (COBIT)
- Information Technology Infrastructure Library (ITIL)
- National Security Agency (NTA) INFOSEC Assessment Methodology
- Criteria of Control (CoCo)
- Information Technology Control Guidelines (ITCG)
Masing-masing mempunyai tingkat abstraksi dan relevansi terhadap SI/TI yang berbeda.IT Governance Institute mengadaptasi Gartner Group pada 2003 memetakan frameworks tersebut berdasar dua parameter tersebut sebagaimana gambar 2.1. berikut.
gambar segera menyusul
Gambar 2.1. Pemetaan model kendali dan tata kelola (Gartner Group, 2003)
Information System Audit and Control Association (ISACA) merupakan lembaga internasional yang bergerak di bidang riset mengenai audit dan pengendalian sistem informasi. Secara periodik, ISACA menyelenggarakan beberapa sertifikasi auditor yang diakui internasional, seperti CISA® (Certified Information System Audit®), CISM® (Certified Information Security Management®), CGEIT® (Certified in the Governance of Enterprise IT®), CRISC™ (Certified in Risk and Information System Control™). ISACA juga berperan aktif sebagai evaluator implementasi berbagai framework audit sistem informasi dan mengembangkannya sesuai kebutuhan global organisasi terkini.
No Response to "Overview Audit Sistem Informasi"
Posting Komentar