2.5 Audit Sistem Informasi
2.5.5 Standar Audit Sistem Informasi
Menurut Sanyoto Gondodiyoto dan Hendarti (2007, pp153-154) CobIT (Control Objectives for Information and Related Technology) adalah sekumpulan dokumentasi yang best practices untuk IT governance yang dapat membantu auditor, pengguna (user) dan manajemen untuk menjembatani pembatas antara resiko bisnis, kebutuhan control dan
masalah-masalah teknis TI. CobIT bermanfaat bagi auditor karena
merupakan teknik yang dapat membantu dalam identifikasi IT Control Issue. CobIT berguna bagi para information technology users karena
memperoleh keyakinan atas kehandalan sistem aplikasi yang digunakan. Sedangkan, para manajer memperoleh manfaat dalam keputusan investasi dibidang teknologi informasi, menentukan arsitektur informasi dan keputusan atas procurement (pengadaan atau pembelian) mesin. Disamping itu, dengan kehandalan sistem informasi yang ada pada perusahaannya, diharapkan berbagai keputusan bisnis dapat didasarkan atas informasi yang ada. CobIT mendukung manajemen dalam mengoptimalkan investasi teknologi informasi melalui ukuran-ukuran yang akan memberi sinyal bahaya bila terjadi suatu kesalahan atau resiko yang sedang terjadi. Manajemen perusahaan harus memastikan bahwa sistem pengendalian intern perusahaan bekerja dengan baik, artinya dapat mendukung proses bisnis perusahaan yang secara jelas menggambarkan bagaimana setiap aktivitas pengendalian individual memenuhi tuntutan dan kebutuhan informasi serta, efeknya terhadap sumber daya teknologi informasi perusahaan. Sumber daya teknologi informasi merupakan elemen yang sangat disorotkan CobIT, termasuk pemenuhan kebutuhan bisnis terhadap:
1. Efektivitas (Effectiveness)
Untuk memperoleh informasi yang relevan dan berhubungan dengan proses bisnis seperti penyampaian informasi dengan benar, konsisten, dapat dipercaya dan tepat waktu.
2. Efisiensi (Efficiency)
Memfokuskan pada ketentuan informasi melalui penggunaan sumber daya yang optimal.
3. Kerahasiaan (Confidentialy)
Memfokuskan proteksi terhadap informasi yang penting dari orang yang tidak memiliki hak otorisasi.
4. Keterpaduan (Integrity)
Yang sesuai dengan harapan dan berhubungan dengan keakuratan dan kelengkapan informasi sebagai kebenaran nilai bisnis.
5. Ketersediaan (Availability)
Berhubungan dengan informasi yang tersedia ketika diperlukan dengan proses bisnis sekarang dan yang akan datang.
6. Kepatuhan pada kebijakan dan peraturan (Compliance)
Sesuai menurut hukum, peraturan dan rencana perjanjian untuk proses bisnis.
7. Kehandalan informasi (Reliability)
Berhubungan dengan ketentuan, kecocokkan informasi untuk manajemen mengoperasikan entitas, mengatur pelatihan keuangan dan kelengkapan laporan pertanggungjawaban.
Komponen CobIT terdiri atas : 1. Executive Summary
Terdiri dari executive overview yang menyediakan kesadaran sepenuhnya dan pemahaman konsep utama dan prinsip COBIT,
termasuk pula ringkasan framework yang menyediakan penjelasan mengenai konsep dan prinsip ini.
2. Framework
Menjelaskan bagaimana proses TI mengirimkan informasi yang dibutuhkan oleh organisasi dalam mencapai tujuannya. Antara lain 34 (tiga puluh empat) tujuan pengendalian tingkat tinggi yang berisi 4 (empat) domain, 7 (tujuh) informasi aktual (effectiveness, efficiency, actualnality, integrity, availability, compliance and reliability), 318 (tiga ratus delapan belas) control objectives dan audit guidelines, management guidelines and implementation guide.
3. Control Objectives
Menyediakan pemahaman yang kritis yang dibutuhkan untuk menggambarkan kebijakan yang jelas dan praktek yang baik untuk pengendalian TI.
4. Control Practices
Menyediakan panduan bagaimana pengendalian dibutuhkan dan praktek terbaik yang sesuai dengan tujuan pengendalian yang spesifik serta, membantu memastikan solusi yang lengkap dan sukses jika diimplementasikan.
5. Audit Guidelines
Berisi sebanyak 318 (tiga ratus delapan belas) tujuan-tujuan pengendalian yang bersifat rinci (detail control objective) untuk
membantu para auditor dalam memberi management assurance dan saran perbaikan.
6. Management Guidelines
Terdiri dari maturity models, untuk membantu menentukan tingkat pelaksanaan, pengharapan atas pengendalian dan membandingkannya dengan norma industri; Critical Success Factors, untuk mengidentifikasi tindakan yang paling penting dalam mencapai pengendalian dalam proses TI; Key Goal Indicators, untuk mendefinisikan tingkat target atau pelaksanaan; dan Key Performance Indicators, untuk mengukur apakah proses pengendalian aplikasi TI sudah sesuai dengan tujuannya.
7. CobIT Quickstart TM
Membantu pemakaian elemen CobIT dengan cepat dan mudah. Kerangka kerja CobIT terdiri atas beberapa arahan (Guidelines), yakni (2007, pp165-167) :
Control Objectives
Terdiri dari 4 (empat) unsur utama, yaitu :
1. Perencanaan dan Pengorganisasian (Planning and Organizing) Yaitu mencakup pembahasan tentang identifikasi dan strategi investasi teknologi informasi yang dapat memberikan informasi yang terbaik untuk mendukung pencapaian tujuan bisnis. Selanjutnya, identifikasi dan visi strategis perlu direncanakan,
dikomunikasikan dan diatur pelaksanaannya (dari berbagai perspektif).
2. Akuisisi dan Implementasi (Acquisition and Implementation) Yaitu untuk merealisasi strategi teknologi informasi, perlu diatur kebutuhan teknologi informasi, diidentifikasi, dikembangkan atau diimplementasikan secara terpadu dalam proses bisnis perusahaan.
3. Penyerahan dan Pendukung (Delivery and Support)
Hal ini lebih dipusatkan pada ukuran tentang aspek dukungan teknologi informasi terhadap kegiatan operasional bisnis (tingkat jasa layanan teknologi informasi aktual atau service level) dan aspek urutan (prioritas implementasi dan untuk pelatihannya).
4. Memantau (Monitoring)
Yaitu semua proses teknologi informasi yang perlu dinilai secara berkala agar kualitas dan tujuan dukungan teknologi informasi tercapai dan kelengkapannya berdasarkan pada syarat pengendalian intern yang baik.
CobIT Domain High Level Objectives
1. Plan and Organize 1. Definisikan arah dan rencana strategis teknologi informasi. 2. Definisikan arsitektur informasi. 3. Tentukan arah teknologi.
4. Definisikan proses-proses teknologi informasi, organisasi dan
CobIT Domain High Level Objectives hubungannya.
5. Mengelola investasi teknologi informasi.
6. Mengkomunikasikan arah dan tujuan
manajemen.
7. Mengelola sumber daya manusia
teknologi informasi. 8. Mengelola kualitas.
9. Mengkaji dan mengelola resiko teknologi informasi.
10. Mengelola proyek-proyek.
2. Acquire and Implement 1. Identifikasi solusi-solusi otomatis.
2. Memperoleh dan memelihara
aplikasi perangkat lunak.
3. Memperoleh dan memelihara
infrastruktur teknologi.
4. Memperbolehkan operasi dan
penggunaan.
5. Memperoleh sumber daya teknologi
informasi.
6. Mengatur perubahan.
7. Memasang dan mengakui solusi dan
perubahan.
3. Deliver and Support 1. Definisikan dan mengatur tahapan pelayanan.
2. Mengatur jasa pihak ketiga. 3. Mengatur kinerja dan kapasitas.
4. Memastikan kelangsungan
CobIT Domain High Level Objectives
5. Memastikan keamanan sistem.
6. Identifikasi dan menetapkan harga. 7. Mendidik dan melatih pengguna. 8. Mengatur bagian pelayanan dan
peristiwa.
9. Mengatur susunan. 10. Mengatur masalah. 11. Mengatur data.
12. Mengatur lingkungan fisik. 13. Mengatur operasi.
4. Monitor and Evaluate 1. Mengawasi dan mengevaluasi proses teknologi informasi.
2. Mengawasi dan mengevaluasi
pengawasan interen.
3. Memastikan pemenuhan pengaturan.
4. Menyediakan Pemerintahan
teknologi informasi (Information Technology Governance).
Tabel 2.1 Domain and High Level Controls CobIT Sumber : CobIT 4.1 (2007)
CobIT diharapkan dapat membantu menemukan berbagai macam kebutuhan manajemen berkaitan dengan teknologi informasi, membantu mengoptimalkan investasi teknologi informasi, dan menyediakan ukuran (kriteria) ketika terjadi penyelewengan atau penyimpangan serta, dapat diterapkan dan diterima sebagai standar keamanan teknologi informasi
dan praktek kendali untuk mendukung kebutuhan manajemen dalam menentukan dan memantau tingkatan yang sesuai dengan keamanan dan kendali organisasi mereka.
Standar audit sistem informasi disusun oleh Information Systems Audit and Control Association (ISACA). Selain itu, ISACA juga
menerbitkan IS Auditing Guidance dan IS Auditing Procedure. Standar
adalah sesuatu yang harus dipenuhi oleh IS auditor. Berikut ini adalah standar untuk audit IT yang terdiri dari 16 (enam belas) standar yaitu : 1. Audit Charter (1 Januari 2005)
a) Tujuan, tanggungjawab, wewenang dan akuntabilitas dari fungsi
audit sistem informasi atau tugas audit sistem informasi audit harus didokumentasikan secara tepat dalam piagam audit atau surat perjanjian.
b) Audit charter atau surat perjanjian harus disepakati dan disetujui pada tingkat yang sesuai dalam organisasi.
2. Independence (1 Januari 2005) a) Independensi Profesional
Dalam semua hal yang berkaitan dengan audit, IS auditor harus independen baik dalam sikap dan penampilan.
b) Independensi organisasi
Fungsi audit SI harus independen dari area atau kegiatan yang diperiksa untuk tujuan memungkinkan penyelesaian tugas audit.
3. Professional Ethics and Standards (1 Januari 2005)
a) Auditor SI harus mentaati ISACA Code of Professional Ethics. b) Auditor SI harus menjalankan tugasnya secara seksama, termasuk
mengikuti standar audit profesional yang berlaku. 4. Professional Competence (1 Januari 2005)
a) Auditor SI profesional harus kompeten, memiliki keterampilan dan pengetahuan untuk melakukan tugas audit.
b) Auditor SI harus menjaga kompetensi profesional melalui pendidikan profesional berkelanjutan dan pelatihan
5. Planning (1 Januari 2005)
a) Auditor SI harus merencanakan cakupan audit sistem informasi untuk tujuan audit dan, mematuhi hukum yang berlaku serta standar auditing yang profesional.
b) Auditor SI harus mengembangkan dan mendokumentasikan sebuah pendekatan audit berbasis resiko.
c) Auditor SI harus mengembangkan dan dokumen rencana audit merinci sifat dan tujuan, waktu dan luas dan sumber daya yang diperlukan.
d) Auditor SI harus mengembangkan program audit dan prosedur. 6. Performance of Audit Work (1 Januari 2005)
a) Supervision - staf audit SI harus diawasi untuk memberikan jaminan bahwa tujuan audit yang dicapai dan diterapkan standar audit profesional sudah terpenuhi.
b) Evidence - Selama audit, auditor SI harus mendapatkan cukup, dapat diandalkan dan bukti yang relevan untuk mencapai tujuan audit. Temuan audit dan kesimpulan harus didukung oleh analisis dan interpretasi yang tepat dari bukti yang ada.
c) Documentation - Proses audit harus didokumentasikan, menggambarkan pekerjaan audit serta, bukti audit yang mendukung temuan auditor SI dan kesimpulan.
7. Reporting (1 Januari 2005)
a) Auditor SI harus memberikan laporan, dalam bentuk yang tepat, setelah selesainya audit. Laporan harus mengidentifikasi organisasi, yang dimaksudkan penerima dan semua larangan pada sirkulasi.
b) Laporan audit harus menyatakan lingkup, tujuan, cakupan dan
periode sifat, waktu dan luasnya pekerjaan audit yang dilakukan.
c) Laporan harus menyatakan temuan, kesimpulan dan rekomendasi
dan setiap pemesanan, kualifikasi atau batasan dalam ruang lingkup yang telah auditor SI periksa.
d) Auditor SI harus mempunyai cukup bukti-bukti audit dan tepat untuk mendukung hasil yang dilaporkan.
e) Ketika dikeluarkan, laporan SI auditor harus ditandatangani,
tanggal dan didistribusikan sesuai dengan ketentuan audit piagam atau surat perjanjian.
8. Follow Up Activities (1 Januari 2005)
Setelah pelaporan temuan dan rekomendasi, auditor SI harus meminta dan mengevaluasi informasi yang relevan untuk menyimpulkan apakah tindakan yang tepat telah diambil oleh manajemen pada waktu yang tepat.
9. Irregularities and Illegal Acts (1 September 2005)
a) Dalam merencanakan dan melaksanakan audit untuk mengurangi
resiko audit ke tingkat yang lebih rendah, auditor SI harus
mempertimbangkan resiko penyimpangan dan tindakan-tindakan ilegal.
b) Auditor SI harus memelihara sikap skeptis profesional selama audit, mengakui kemungkinan bahwa misstatements materi akibat ketidakberesan dan tindakan melawan hukum bisa ada, terlepas dari evaluasi resiko dan tindakan-tindakan ilegal.
c) Auditor SI harus memperoleh pemahaman tentang organisasi dan lingkungannya, termasuk kontrol internal.
d) Auditor SI harus mendapatkan cukup bukti-bukti audit yang
sesuai untuk menentukan apakah manajemen atau orang lain
dalam organisasi memiliki pengetahuan aktual apa saja, diduga
atau dugaan penyimpangan dan tindakan-tindakan ilegal.
e) Ketika melakukan prosedur audit untuk memperoleh pemahaman
tentang organisasi dan lingkungannya, auditor SI harus mempertimbangkan hubungan luar biasa atau tak terduga yang
mungkin menunjukkan resiko misstatements materi akibat ketidakberesan dan tindakan ilegal.
f) Auditor SI harus merancang dan melakukan prosedur untuk menguji kesesuaian pengendalian internal dan manajemen resiko. g) Ketika auditor SI mengidentifikasi sebuah kesalahan pernyataan,
auditor SI harus menilai apakah suatu kesalahan pernyataan seperti itu mungkin be indicative dari ketidakteraturan atau tindakan ilegal. Jika ada indikasi seperti itu, auditor SI harus mempertimbangkan implikasi dalam kaitannya dengan aspek-aspek lain dari audit dan khususnya re-presentasi manajemen. h) Auditor SI harus memperoleh re-presentasi tertulis dari
manajemen setidaknya setiap tahun atau lebih sering tergantung pada keterlibatan audit harus:
1. Mengakui tanggungjawabnya untuk desain dan pelaksanaan
pengendalian internal untuk mencegah dan mendeteksi penyimpangan atau tindakan ilegal
2. Menyebarkan hasil penilaian resiko salah saji material yang mungkin ada sebagai hasil dari ketidakteraturan atau tindakan ilegal
3. Mengungkapkan kepada auditor SI pengetahuan
penyimpangan atau tindakan ilegal yang mempengaruhi organisasi dalam hubungannya dengan:
- Karyawan yang memiliki peran penting dalam pengendalian internal
4. Sebarkan ke auditor SI pengetahuan dari setiap dugaan
penyimpangan atau tindakan ilegal atau dugaan penyimpangan atau tindakan melawan hukum yang mempengaruhi organisasi seperti yang disampaikan oleh para karyawan, mantan karyawan dan regulator .
i) Jika auditor SI telah mengidentifikasi bahan ketidakteraturan atau tindakan ilegal atau memperoleh informasi yang material ketidakteraturan atau tindakan ilegal mungkin ada, auditor SI harus mengkomunikasikan hal ini pada tingkat yang sesuai pada manajemen dengan tepat waktu.
j) Jika auditor SI telah mengidentifikasi bahan ketidakteraturan atau tindakan ilegal yang melibatkan manajemen atau karyawan yang memiliki peran penting dalam pengendalian internal, auditor SI harus mengkomunikasikan hal ini pada waktu yang tepat untuk mereka yang dituduh oleh pemerintah
k) Auditor SI harus memberikan saran yang sesuai tingkat manajemen dan mereka yang dituduh dengan kelemahan dalam desain dan pelaksanaan pengendalian internal untuk mencegah dan mendeteksi penyimpangan dan tindakan-tindakan ilegal yang mungkin datang ke auditor SI selama pemeriksaan.
l) Jika auditor SI menemukan keadaan yang tidak biasa dan yang
mempengaruhi kemampuan auditor SI untuk terus melakukan
audit sebagai akibat salah saji material atau tindakan ilegal, auditor SI harus mempertimbangkan hukum dan tanggungjawab profesional yang berlaku, termasuk apakah ada persyaratan untuk auditor SI untuk melaporkan kepada orang- orang yang masuk ke dalam perjanjian atau dalam beberapa kasus mereka yang dituduh yang mendapatkan penugasan, penanggungjawab perusahaan atau pihak berwenang, bila perlu mengundurkan diri dari penugasan. m) Auditor SI harus mendokumentasikan semua komunikasi,
perencanaan, hasil, evaluasi dan kesimpulan yang berkaitan dengan materi irregularities dan illegal acts yang telah dilaporkan kepada manajemen, pihak yang bertanggungjawab lain atau pihak yang berwenang.
10. IT Governance (1 September 2005)
a) Auditor SI harus meninjau dan menilai apakah fungsi organisasi SI sejalan dengan misi, visi, nilai-nilai, tujuan dan strategi.
b) Auditor SI harus meninjau apakah fungsi SI atas pernyataan yang jelas tentang kinerja yang diharapkan oleh bisnis (efektivitas dan efisiensi) dan menilai pencapaiannya.
c) Auditor SI harus meninjau dan menilai efektivitas SI sumber daya dan proses manajemen kinerja.
d) Auditor SI harus meninjau dan menilai kepatuhan terhadap hukum, lingkungan dan kualitas informasi, fidusia serta
persyaratan keamanan. Sebuah pendekatan berbasis risiko harus
digunakan oleh auditor SI untuk mengevaluasi fungsi SI.
e) Auditor SI harus meninjau dan menilai lingkungan pengendalian organisasi.
f) Auditor SI harus meninjau dan menilai resiko yang mungkin efek negatif lingkungan SI.
11. Use of Risks Assessment in Audit Planning (1 November 2005)
Auditor SI harus menggunakan penilaian resiko yang tepat atau pendekatan dalam mengembangkan SI, keseluruhan rencana audit dan dalam menentukan prioritas yang efektif.
Ketika me-review perencanaan individu, auditor SI harus
mengidentifikasi dan menilai risiko yang relevan dengan area di bawah review.
12. Audit Materiality (1 Juli 2006)
a) Auditor SI harus menggunakan penilaian resiko yang tepat teknik atau pendekatan dalam mengembangkan keseluruhan rencana audit SI dan dalam menentukan prioritas yang efektif.
b) Apabila me-review perencanaan individu, auditor SI harus
mengidentifikasi dan menilai resiko yang relevan dengan luas area di bawah tinjauan.
13. Using the Work of Other Expert (1 Juli 2006)
a) Auditor SI harus, dimana tepat, pertimbangkan untuk menggunakan karya para ahli lainnya untuk audit.
b) Auditor SI harus menilai dan merasa puas dengan kualifikasi profesional, kompetensi, pengalaman yang relevan, sumber daya, kemandirian dan pengendalian mutu proses ahli lain, sebelum perjanjian.
c) Auditor SI harus menilai, meninjau, mengevaluasi kerja ahli lain sebagai bagian dari audit dan menyimpulkan tingkat penggunaan dan ketergantungan pada pekerjaan ahli.
d) Auditor SI harus menentukan dan menyimpulkan apakah karya
ahli lain memadai dan lengkap untuk mengaktifkan auditor SI
untuk menyimpulkan pada saat tujuan audit. Kesimpulan seperti itu harus secara jelas didokumentasikan.
e) Auditor SI harus menerapkan prosedur test tambahan untuk memperoleh audit yang cukup dan sesuai keadaan dimana karya para ahli lain tidak cukup memberi bukti audit dan tepat.
f) Auditor SI harus memberikan opini audit yang sesuai dan mencakup lingkup dimana bukti yang diperlukan tidak diperoleh melalui prosedur tes tambahan.
14. Audit Evidence (1 Juli 2006)
a) Auditor SI harus mendapatkan cukup dan bukti-bukti audit yang tepat untuk menarik kesimpulan yang masuk akal yang mendasarkan hasil audit.
b) Auditor SI harus mengevaluasi kecukupan bukti audit yang diperoleh selama audit.
15. IT Controls (1 February 2009)
a) Auditor SI harus mengevaluasi dan memonitor kontrol TI yang merupakan bagian integral dari lingkungan pengendalian internal organisasi.
b) Auditor SI harus membantu manajemen dengan memberikan saran mengenai rancangan, pelaksanaan, operasi dan peningkatan kontrol TI.
16. E-commerce (1 February 2009)
Auditor SI harus mengevaluasi dan menilai resiko ketika meninjau
lingkungan commerce untuk memastikan bahwa transaksi
e-commerce telah benar dikontrol.