• Tidak ada hasil yang ditemukan

Manual Prosedur Audit Teknologi Informasi

N/A
N/A
Info
Unduh - Bebas
Protected

Academic year: 2021

Membagikan "Manual Prosedur Audit Teknologi Informasi"

Copied!
16
0
0

Memuat.... (Lihat teks lengkap sekarang)

Unduh sekarang ( 16 Halaman )

Teks penuh

(1)

Manual Prosedur

Audit Teknologi Informasi

Satuan Pengawas Internal

Universitas Brawijaya

Malang

2011

(2)

Manual Prosedur

Audit Teknologi Informasi

Satuan Pengawas Internal

Universitas Brawijaya

Kode Dokumen : 00010 02008

Revisi : -

Tanggal : 8 Oktober 2011

Diajukan oleh : Kabid Pengawasan Teknologi dan Informasi

Ir.Soeprapto, MT

Dikendalikan oleh : Sekretaris Satuan Pengawas Internal

M. Khoiru Rusydi., SE., M.Si., Ak., BKP Disetujui oleh : Ketua Satuan Pengawas Internal

(3)

DAFTAR ISI LEMBAR PENGESAHAN

DAFTAR ISI

MANUAL PROSEDUR AUDIT TEKNOLOGI INFORMASI 1. PENDAHULUAN

2. PIHAK/FUNGSI TERKAIT 3. KETENTUAN UMUM 4. RUANG LINGKUP

5. PROSEDUR AUDIT TEKNOLOGI INFORMASI

LAMPIRAN: 1. FLOW CHART PROSEDUR AUDIT TEKNOLOGI INFORMASI 2. REFERENSI

(4)

MANUAL PROSEDUR AUDIT TEKNOLOGI INFORMASI Pendahuluan

Teknologi Informasi

Teknologi informasi merupakan komponen penting dari sistem informasi, selain data/ informasi, sumber daya manusia dan organisasi. Teknologi informasi yang dimaksud adalah teknologi telematika, mencakup teknologi komputer (perangkat keras, perangkat lunak) dan didukung dengan teknologi telekomunikasi, khususnya komunikasi data digital sebagai infrastruktur dari jaringan komputer. Diperlukan teknik untuk mengendalikan dan memastikan bahwa teknologi informasi sudah sesuai dengan tujuan organisasi. Audit teknologi informasi merupakan suatu cara untuk menilai sejauh mana suatu teknologi informasi telah mencapai tujuan organisasi.

Universitas Brawijaya bertekad untuk lebih mengintensipkan penggunaan TI ke dalam setiap aspek yang memungkinkan keberadaannya. Tidak hanya untuk peningkatan kualitas di bidang akademik tapi juga administratif dan hal-hal lainnya. Adanya kebijakan seperti di atas,yang secara intrinsik dan formal menyangkut persoalan TI, maka universitas memerlukan sebuah audit khusus, yaitu audit teknologi informasi.

Audit Teknologi Informasi

Audit teknologi informasi adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Audit TI merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien.

Dengan melaksanakan audit TI, suatu lembaga bisa dikatakan sudah memiliki kepedulian cukup tinggi terhadap posisi dan peran TI bagi perkembangan lembaganya. Audit TI yang direncanakan dengan baik akan

(5)

memberikan beberapa hasil yang manfaatnya akan sangat signifikan bagi perjalanan lembaga itu sendiri di kemudian hari.Hasil-hasil tersebut antara lain; munculnya evaluasi terhadap praktik-praktik manajemen risiko, terhadap kendali sistem internal,dan terhadap kebijakan-kebijakan yang terkait dengan TI yang terjadi dalam lembaga tersebut, baik itu yang kompleksitasnya rendah atau yang tinggi.

Audit teknologi informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset Teknologi informasi suatu institusi telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya. Beberapa alasan penting mengapa audit TI perlu dilakukan, antara lain:

1. Kerugian Akibat Kehilangan Data

Data telah menjadi salah satu aset terpenting bagi suatu institusi. Sehingga kehilangan data akan menjadi masalah yang sangat serius terhadap kelangsungan proses pada institusi tersebut. Jika terjadi kehilangan data, maka diperlukan waktu yang cukup lama untuk melakukan verifikasi manual atas dokumen yang dimiliki.

2. Kesalahan Dalam Pengambilan Keputusan

Banyak institusi yang saat ini telah menggunakan bantuan Decision

Support System (DSS) untuk mengambil keputusan-keputusan penting.

Sehingga bagaimana validitas keputusan yang diambil jika data-data yang digunakan sebagai acuan tidak valid atau tidak tersedia. Dapat dipastikan akan terjadi kesalahan dalam pengambilan keputusan.

3. Risiko Kebocoran Data

Data bagi suatu institusi merupakan sumber daya yang tidak ternilai harganya. Kebocoran data tidak saja berdampak teraksesnya data oleh orang/pihak yang tidak memiliki wewenang, akan tetapi lebih jauh lagi

(6)

kebocoran data dapat mengganggu kelangsungan proses pada suatu institusi.

4. Penyalahgunaan Komputer

Alasan lain perlunya dilakukan audit TI adalah tingginya tingkat penyalahgunaan komputer. Pihak-pihak yang dapat melakukan kejahatan komputer sangat beraneka ragam. Kita mengenal adanya hackers dan crackers. Hackers merupakan orang yang dengan sengaja memasuki suatu sistem teknologi informasi secara tidak sah. Biasanya mereka melakukan aktivitas hacking untuk kebanggaan diri sendiri atau kelompoknnya, tanpa bermaksud merusak atau mengambil keuntungan atas tindakannya itu. Sedang, Crackers di sisi lain melakukan aktivitasnya dengan tujuan mengambil keuntungan sebanyak-banyaknya dari tindakannya tersebut, misalnya mengubah atau merusak atau, bahkan, menghancurkan sistem komputer. Tidak semua institusi siap mengantisipasi adanya risiko-risiko akibat adanya hackers dan crackers.

5. Kerugian Akibat Kesalahan Proses Perhitungan

Seringkali, TI digunakan untuk melakukan perhitungan yang rumit. Salah satu alasan digunakannya TI adalah kemampuannya untuk mengolah data secara cepat dan akurat. Penggunaan TI untuk mendukung proses penghitungan bukannya tanpa risiko kesalahan. Risiko ini akan semakin besar jika tanpa adanya mekanisme pengembangan sistem yang memadai. Kesalahan yang ditimbulkan oleh sistem baru ini akan sulit terdeteksi tanpa adanya audit terhadap sistem tersebut.

6. Tingginya Nilai Investasi Perangkat Keras dan Perangkat Lunak Komputer Investasi yang dikeluarkan untuk suatu proyek TI seringkali sangat besar. Namun sulit mengukur manfaat yang dapat diberikan TI. Hasil audit TI adalah temuan-temuan yang terbagi ke dalam dua kategori,yakni temuan negatif dan temuan positif. Di dalam temuan negatif,auditor

(7)

mengungkapkan hal-hal yang menurutnya ‘tidak seharusnya terjadi ’ atau ‘tidak seharusnya dikerjakan ’oleh elemen dalam Universitas Brawijaya terkait dengan keberadaan atau pemanfaatan TI. Sementara dalam temuan positif, auditor menguraikan manfaat-manfaat atau keunggulan yang telah dicapai oleh Universitas Brawijaya dengan memanfaatkan fasilitas TI yang sudah ada. Sebagai tindak lanjut dari temuan-temuan, maka auditor memberikan saran dan masukan.Saran ini nantinya dapat digunakan sebagai petunjuk bagi para pembuat kebijakan dalam hal penyusunan kebijakan TI untuk masa kerja selanjutnya.

COBIT (Control Objective for Information Related Tecnology)

COBIT (Control Objective for Information Related Tecnology) adalah kerangka tata kelola TI (IT governance) yang ditujukan kepada manajemen, staf pelayanan TI, control departemen, fungsi audit dan lebih penting lagi bagi pemilik proses bisnis (business process owner’s), untuk memastikan

confidenciality, integrity and availability data serta informasi sensitif dan

kritikal. COBIT didesign terdiri dari 34 high level control objectives yang menggambarkan proses TI yang terdiri dari 4 domain yaitu: Plan and

Organise, Acquire and Implement, Deliver and Support dan Monitor and Evaluate. Dengan melakukan kontrol terhadap ke 34 objektif tersebut,

organisasi dapat memperoleh keyakinan akan kelayakan tata kelola dan kontrol yang diperlukan untuk lingkungan TI. Untuk mendukung IT process tersebut tersedia lagi sekitar 215 tujuan control yang lebih detil untuk menjamin kelengkapan dan efektifitas implementasi.

Suatu perencanaan audit TI dapat dimulai dengan menentukan area-area yang relevan dan berisiko paling tinggi. Sementara untuk kebutuhan penugasan tertentu, misalnya audit atas proyek TI, dapat dimulai dengan memilih proses yang relevan dari proses-proses tersebut.

(8)

Tujuan Audit Teknologi Informasi

Audit Teknologi Informasi dirancang untuk tujuan berikut:

1. Melakukan verifikasi terhadap efektifitas dari penerapan teknologi informasi.

2. Melakukan verifikasi apakah penerapan teknologi informasi sudah memenuhi aspek efisiensi, availability system, reliability, confidentiality,

dan integrity, serta aspek keamanan.

3. Melaporkan hasil audit dengan data yang memadai dan memberikan masukan kepada bagian terkait agar dapat dilakukan perbaikan.

Pihak/Fungsi terkait 1. Ketua/Sekretaris SPI

2. Ketua Bidang Teknologi Informasi 3. Anggota SPI

Ketentuan Umum

1. Satuan Pengawasan Internal (SPI) adalah lembaga fungsional yang dibentuk oleh rektor dan diberi tugas untuk mengembangkan SPI di UB 2. Audit internal bidang TIK adalah audit yang ditujukan untuk

memberikan jaminan atas kesesuaian antara Kebijakan, Standar, Manual Mutu, Manual Prosedur dan Peraturan dalam penggunaan Teknologi dan Sistem Informasi di lingkungan UB.

3. Management Representative (MR) bertugas :

- Memantau semua semua proses yang terkait sistem pengawasan internal (SPI) dengan pihak internal dan eksternal sehingga kegiatan terlaksana serta terpelihara

- Merencanakan dan mengkoordinasi jadwal rutin tinjauan manajemen, audit internal TSI serta perbaikan SMM SPI UB

(9)

- Mengkoordinasi pengelolaan dokumen, rekaman dan sumberdaya di lingkungan SPI UB

- Membantu Top Management merencanakan, merumuskan, memantau harapan kepuasan Rektor dan feedback pelanggan lainnya

- Memantau dan melaporkan ketercapaian indikator sasaran mutu minimal dua kali setiap tahun

4. Ketidaksesuaian Mayor adalah apabila ditemukan: - Pelanggaran atas peraturan perundang-undangan - Tidak terdapat elemen system pengendalian internal

- Suatu sistem gagal untuk memenuhi satu klausul dari persyaratan system pengendalian internal

- Penerapan suatu klausul sangat tidak konsisten

- Ketidaksempurnaan penerapan suatu sistem telah mengarah pada ketidakpuasan pelanggan

- Tindakan perbaikan yang tidak efektif dan terpantau dalam dua kali audit internal secara berturut-turut.

5. Ketidaksesuaian Minor (ringan), apabila ditemukan:

- Suatu ketidaksesuaian dalam memenuhi suatu persyaratan dalam satu elemen SPI atau dokumen referensi lain

- Suatu ketidaksesuaian yang diamati dari suatu pengamatan dari satu prosedur organisasi

6. Observation adalah apabila ditemukan:

- Ada aspek yang disarankan dapat dikembangkan tetapi kondisi yang ada saat ini bukan merupakan suatu ketidaksesuaian dalam sistem mutu.

(10)

Ruang Lingkup

Semua kegiatan audit internal bidang Teknologi Informasi (TI) yang dilaksanakan di semua bidang terkait dalam penerapan sistem pengawasan internal di UB. Dalam pelaksanaannya, auditor TI mengumpulkan bukti-bukti yang memadai melalui berbagai teknik termasuk survei, interview, observasi dan review dokumentasi (termasuk review source-code bila diperlukan). Bisa jadi bukti-bukti audit yang diambil oleh auditor mencakup bukti elektronis (data dalam bentuk file softcopy).

Dalam proses pengumpulan bukti ini ada beberapa cara yang sering dipakai yaitu, audit around computer, audit trought computer dan audit with computer. Jika tingkat pemakaian TI tinggi maka audit yang dominan digunakan adalah audit with computer atau yang biasa disebut dengan teknik audit berbantuan computer atau menggunakan CAAT (Computer

Aided Auditing Technique). Teknik ini digunakan untuk menganalisa data,

misalnya saja data transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain. Tentunya untuk aspek sekuriti adakalanya auditor dituntut mempunyai keahlian teknis yang cukup memadai untuk menguji keamanan sistem.

Standar yang digunakan dalam mengaudit teknologi informasi adalah standar yang diterbitkan oleh ISACA yaitu ISACA IS Auditing Standard. Selain itu ISACA juga menerbitkan IS Auditing Guidance dan IS Auditing Procedure.

Guidelines memberikan penjelasan bagaimana auditor dapat memenuhi

standar dalam berbagai penugasan audit, dan prosedur memberikan contoh langkah-langkah yang perlu dilalui auditor dalam penugasan audit tertentu sehingga sesuai dengan standar. Bagaimanapun auditor TI harus bisa menggunakan judgement profesional ketika menggunakan guidance dan procedure.

Standar yang aplicable untuk audit TI adalah terdiri dari 11 standar yaitu; S1. Audit charter, S2. Audit Independent, S3. Profesional Ethic and

(11)

standard, S4.Profesional competence, S5. Planning, S6. Performance of Audit Work, S7. Reporting. S8.Follow-Up Activity, F9. Irregularities and Irregular Act, S10. IT Governance dan S11. Use of Risk Assestment in Audit Planning. IS Auditing Guideline terdiri dari 32 guidance dalam mengaudit TI yang

mengcover petunjuk mengaudit area-area penting. IS Audit Procedure terdiri dari 9 prosedur yang menunjukan langkah-langkah yang dilakukan auditor dalam penugasan audit yang spesifik seperti prosedur melakukan bagaimana melakukan risk assestment, mengetes intrution detection system, menganalisis firewall dan sebagainya. Jika dibandingkan dengan audit keuangan, maka standar dari Isaca ini adalah setara dengan Standar Profesional Akuntan Publik (SPAP) yaitu menyangkut tata cara bagaimana audit dilakukan. Sedangkan bagaimana kondisi apa yang diaudit diberikan penilaian berdasarkan standar tersendiri yaitu Cobit.

Prosedur Audit Teknologi Informasi

Secara umum tahapan dalam audit TI pada prinsipnya sama dengan audit lainnya. Tahap-tahap audit Teknologi Informasi yang umum terdiri dari 5 tahap sebagai berikut :

1. Tahap pra-penugasan Audit.

a. Berdasar Rencana Audit Tahunan, proposal audit maupun temuan awal audit, Rektor meminta Ketua SPI untuk melaksanakan Audit Teknologi Informasi.

b. Ketua SPI mengusulkan Tim Auditor Internal kepada Rektor

c. Rektor menetapkan SK pengangkatan Tim Auditor Internal. Tim bertugas selama periode waktu tertentu

d. Rapat koordinasi antara Ketua SPI dengan TIM Auditor untuk menentukan jadwal dan menyepakati mekanisme kerja.

e. Ketua SPI menetapkan jadwal dan kegiatan audit Teknologi Informasi

(12)

2. Tahap Perencanaan Audit

a. Mengembangkan Tujuan dan Lingkup Audit b. Menetapkan Tujuan dan Risiko Audit

c. Lakukan Survey Pendahuluan d. Mengembangkan Audit Program

3. Tahap Pengujian Struktur Pengendalian Internal

Tujuan pengujian SPI adalah untuk mengetahui apakah struktur pengendalian intern yang digariskan diterapkan sebagaimana mestinya atau tidak. Dalam tahap ini auditor dapat menggunakan ‘ COMPUTER ASSITED AUDIT TECHNIQUES’ ( CAAT ) untuk menilai keberadaan dan kepercayaan auditor terhadap struktur pengendalian intern tersebut.

4. Tahap pemeriksaan rinci

Tahap audit secara rinci dapat dilakukan jika auditor memutuskan melanjutkan auditnya. Dalam tahap ini auditnya berupaya mendapatkan informasi lebih mendalam untuk memahami pengendalian yang diterapkan dalam sistem komputer klien. Auditor harus dapat memperkirakan bahwa hasil audit pada akhirnya harus dapat dijadikan sebagai dasar untuk menilai apakah struktur pengendalian intern yang diterapkan dapat dipercaya atau tidak. Kuat atau tidaknya pengendalian tersebut akan menjadi dasar bagi auditor dalam menentukan langkah selanjutnya.

5. Tahap penilaian secara umum atas hasil pengujian.

Pada tahapan ini dilakukan analisis total berdasarkan semua data-data yang sudah diperoleh. Analisis ini kemudian dijabarkan dalam bentuk temuan, baik temuan negatif atau temuan positif. Kemudian dibuatlah rekomendasi yang merupakan hasil akhir dari proses audit.

(13)

6. Tahap Laporan Audit

a. Menyiapkan draft laporan audit

b. Mendiskusikan draft dengan pihak manajemen dan meminta tanggapan manajemen atas temuan audit

c. Menerbitkan Laporan Akhir Audit 7. Tindak Lanjut Temuan / Rekomendasi Audit

Setelah melaporkan temuan dan membuat rekomendasi audit, Auditor IT mengevaluasi berbagai informasi yang relevan dan memastikan tindak lanjut temuan telah dilaksanakan oleh manajemen tepat pada waktunya.

(14)

LAMPIRAN:

FLOW CHART PROSEDUR AUDIT TEKNOLOGI INFORMASI

Berdasarkan proposal kegiatan atau berdasarkan temuan awal, Rektor meminta Ketua SPI untuk melakukan audit Teknologi Informasi

Ketua SPI mengusulkan Tim Auditor Internal kepada Rektor

Selanjutnya Rektor menetapkan SK pengangkatan Tim Auditor Internal. Tim bertugas selama periode waktu tertentu

Rapat koordinasi antara Ketua SPI dengan TIM Auditor untuk

menentukan jadwal dan menyepakati mekanisme kerja.

Ketua SPI menetapkan jadwal dan kegiatan audit Teknologi Informasi.

TIM Auditor melakukan tahap pemeriksaan pendahuluan

berdasarkan data-data awal yang diketahui

Permintaan Audit

Usulan Tim Audit

SK Rektor Tim

Audit

Rapat Koordinasi

Tim Audit

Penetapan Jadwal

Proses Audit

Pemeriksaan

Pendahuluan

(15)

TIM Auditor melakukan tahap pemeriksaan rinci dengan mencari data penujang tambahan

TIM Auditor melakukan tahap pengujian kesesuaian.

TIM Auditor melakukan Tahap pengujian kebenaran bukti.

TIM Auditor melakukan penilaian secara umum atas hasil pengujian yang dijabarkan dalam bentuk temuan-temuan.

TIM Auditor dan Ketua SPI membuat rekomendasi terkait objek audit kepada Rektor

Pemeriksaan Rinci

Pengujian

Kesesuaian

Pengujian Kebenaran

Bukti

Penilaian dan Hasil

Rekomendasi ke

Rektor

(16)

REFERENSI

Anonimous, 2005. Praktek Baik Dalam Penjaminan Mutu Pendidikan Tinggi. Direktorat Jenderal Pendidikan Tinggi. Departemen Pendidikan Nasional. Indonesia.

Anonimous, 2007. Dokumen AMAI Universitas Brawijaya. Malang. Indonesia. Permendiknas Nomor 16 Tahun 2009 tentang Satuan Pengawasan Intern

Referensi

Unduh sekarang ( PDF - 16 Halaman - 332.29 KB )

Dokumen terkait

BAB 2 TINJAUAN KEPUSTAKAAN

Kualitas dalam kaitannya dengan pelayanan rumah sakit mempunyai pengertian sebagai kondisi yang dinamis dari jasa pelayanan kesehatan yang disajikan, melalui

PENGEMBANGAN PEMBELAJARAN MATEMATIKA THINK TALK WRITE BERORIENTASI PADA KEMAMPUAN MATEMATIS

Dalam tahapan Think (berpikir) akan muncul kemampuan matematis siswa berupa pemecahan masalah, pada tahap Talk (berbicara) muncul kemampuan matematis

PENELITIAN. PERSEPSI IBU RUMAH TANGGA TENTANG HIV/AIDS Di Desa Kori Kecamatan Sawoo Kabupaten Ponorogo. Oleh : SUPERI NIM :

Berdasarkan hasil survey pendahuluan yang dilakukan pada 10 ibu, mengenai persepsi rumah tangga yang ada di Kori Sawoo Ponorogo tentang HIV/AIDS, telah

EKSISTENSI PASAR PITALAH DI KABUPATEN TANAH DATAR ARTIKEL IHSAN PRATAMA NPM

Penyajian yang Masih Tradisional Berdasarkan observasi yang peneliti lakukan pada tanggal 14 Februari 2016, Bentuk atau teknik penyajian yang masih tradisional ternyata

2017, No Tahun 2010 tentang Tata Cara Tetap Pelaksanaan Pembuatan Gas Hidrogen dan Pemeliharaan Tabung Gas; c. bahwa berdasarkan pertimbangan

Beberapa ketentuan dalam Peraturan Kepala Badan Meteorologi, Klimatologi, dan Geofisika Nomor KEP.12 Tahun 2010 tentang Tata Cara Tetap Pelaksanaan Pembuatan Gas

BAGIAN III: EKONOMI POLITIK SEKTOR PUBLIK

publik merupakan pengeluaran yang signifikan. Konflik antara barang ekonomi dan politik mempunyai beberapa masalah yaitu ketidaktahuan rasional, minat khusus, dan

Informasi Pendaftaran Hubungi

Program belajar Matematika Nalaria Realistik yang dapat diselenggarakan diberbagai sekolah, setelah guru di sekolah tersebut mendapatkan pelatihan. khusus dan izin

PROTOKOL TATA LAKSANA COVID-19. BUKU SAKU ed.2

• Untuk kasus berat dan kritis, bila setelah klinis membaik, bebas demam selama tiga hari namun pada follow-up PCR menunjukkan hasil yang positif, kemungkinan terjadi

Image