Manual Prosedur
Audit Teknologi Informasi
Satuan Pengawas Internal
Universitas Brawijaya
Malang
2011
Manual Prosedur
Audit Teknologi Informasi
Satuan Pengawas Internal
Universitas Brawijaya
Kode Dokumen : 00010 02008
Revisi : -
Tanggal : 8 Oktober 2011
Diajukan oleh : Kabid Pengawasan Teknologi dan Informasi
Ir.Soeprapto, MT
Dikendalikan oleh : Sekretaris Satuan Pengawas Internal
M. Khoiru Rusydi., SE., M.Si., Ak., BKP Disetujui oleh : Ketua Satuan Pengawas Internal
DAFTAR ISI LEMBAR PENGESAHAN
DAFTAR ISI
MANUAL PROSEDUR AUDIT TEKNOLOGI INFORMASI 1. PENDAHULUAN
2. PIHAK/FUNGSI TERKAIT 3. KETENTUAN UMUM 4. RUANG LINGKUP
5. PROSEDUR AUDIT TEKNOLOGI INFORMASI
LAMPIRAN: 1. FLOW CHART PROSEDUR AUDIT TEKNOLOGI INFORMASI 2. REFERENSI
MANUAL PROSEDUR AUDIT TEKNOLOGI INFORMASI Pendahuluan
Teknologi Informasi
Teknologi informasi merupakan komponen penting dari sistem informasi, selain data/ informasi, sumber daya manusia dan organisasi. Teknologi informasi yang dimaksud adalah teknologi telematika, mencakup teknologi komputer (perangkat keras, perangkat lunak) dan didukung dengan teknologi telekomunikasi, khususnya komunikasi data digital sebagai infrastruktur dari jaringan komputer. Diperlukan teknik untuk mengendalikan dan memastikan bahwa teknologi informasi sudah sesuai dengan tujuan organisasi. Audit teknologi informasi merupakan suatu cara untuk menilai sejauh mana suatu teknologi informasi telah mencapai tujuan organisasi.
Universitas Brawijaya bertekad untuk lebih mengintensipkan penggunaan TI ke dalam setiap aspek yang memungkinkan keberadaannya. Tidak hanya untuk peningkatan kualitas di bidang akademik tapi juga administratif dan hal-hal lainnya. Adanya kebijakan seperti di atas,yang secara intrinsik dan formal menyangkut persoalan TI, maka universitas memerlukan sebuah audit khusus, yaitu audit teknologi informasi.
Audit Teknologi Informasi
Audit teknologi informasi adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Audit TI merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien.
Dengan melaksanakan audit TI, suatu lembaga bisa dikatakan sudah memiliki kepedulian cukup tinggi terhadap posisi dan peran TI bagi perkembangan lembaganya. Audit TI yang direncanakan dengan baik akan
memberikan beberapa hasil yang manfaatnya akan sangat signifikan bagi perjalanan lembaga itu sendiri di kemudian hari.Hasil-hasil tersebut antara lain; munculnya evaluasi terhadap praktik-praktik manajemen risiko, terhadap kendali sistem internal,dan terhadap kebijakan-kebijakan yang terkait dengan TI yang terjadi dalam lembaga tersebut, baik itu yang kompleksitasnya rendah atau yang tinggi.
Audit teknologi informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset Teknologi informasi suatu institusi telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya. Beberapa alasan penting mengapa audit TI perlu dilakukan, antara lain:
1. Kerugian Akibat Kehilangan Data
Data telah menjadi salah satu aset terpenting bagi suatu institusi. Sehingga kehilangan data akan menjadi masalah yang sangat serius terhadap kelangsungan proses pada institusi tersebut. Jika terjadi kehilangan data, maka diperlukan waktu yang cukup lama untuk melakukan verifikasi manual atas dokumen yang dimiliki.
2. Kesalahan Dalam Pengambilan Keputusan
Banyak institusi yang saat ini telah menggunakan bantuan Decision
Support System (DSS) untuk mengambil keputusan-keputusan penting.
Sehingga bagaimana validitas keputusan yang diambil jika data-data yang digunakan sebagai acuan tidak valid atau tidak tersedia. Dapat dipastikan akan terjadi kesalahan dalam pengambilan keputusan.
3. Risiko Kebocoran Data
Data bagi suatu institusi merupakan sumber daya yang tidak ternilai harganya. Kebocoran data tidak saja berdampak teraksesnya data oleh orang/pihak yang tidak memiliki wewenang, akan tetapi lebih jauh lagi
kebocoran data dapat mengganggu kelangsungan proses pada suatu institusi.
4. Penyalahgunaan Komputer
Alasan lain perlunya dilakukan audit TI adalah tingginya tingkat penyalahgunaan komputer. Pihak-pihak yang dapat melakukan kejahatan komputer sangat beraneka ragam. Kita mengenal adanya hackers dan crackers. Hackers merupakan orang yang dengan sengaja memasuki suatu sistem teknologi informasi secara tidak sah. Biasanya mereka melakukan aktivitas hacking untuk kebanggaan diri sendiri atau kelompoknnya, tanpa bermaksud merusak atau mengambil keuntungan atas tindakannya itu. Sedang, Crackers di sisi lain melakukan aktivitasnya dengan tujuan mengambil keuntungan sebanyak-banyaknya dari tindakannya tersebut, misalnya mengubah atau merusak atau, bahkan, menghancurkan sistem komputer. Tidak semua institusi siap mengantisipasi adanya risiko-risiko akibat adanya hackers dan crackers.
5. Kerugian Akibat Kesalahan Proses Perhitungan
Seringkali, TI digunakan untuk melakukan perhitungan yang rumit. Salah satu alasan digunakannya TI adalah kemampuannya untuk mengolah data secara cepat dan akurat. Penggunaan TI untuk mendukung proses penghitungan bukannya tanpa risiko kesalahan. Risiko ini akan semakin besar jika tanpa adanya mekanisme pengembangan sistem yang memadai. Kesalahan yang ditimbulkan oleh sistem baru ini akan sulit terdeteksi tanpa adanya audit terhadap sistem tersebut.
6. Tingginya Nilai Investasi Perangkat Keras dan Perangkat Lunak Komputer Investasi yang dikeluarkan untuk suatu proyek TI seringkali sangat besar. Namun sulit mengukur manfaat yang dapat diberikan TI. Hasil audit TI adalah temuan-temuan yang terbagi ke dalam dua kategori,yakni temuan negatif dan temuan positif. Di dalam temuan negatif,auditor
mengungkapkan hal-hal yang menurutnya ‘tidak seharusnya terjadi ’ atau ‘tidak seharusnya dikerjakan ’oleh elemen dalam Universitas Brawijaya terkait dengan keberadaan atau pemanfaatan TI. Sementara dalam temuan positif, auditor menguraikan manfaat-manfaat atau keunggulan yang telah dicapai oleh Universitas Brawijaya dengan memanfaatkan fasilitas TI yang sudah ada. Sebagai tindak lanjut dari temuan-temuan, maka auditor memberikan saran dan masukan.Saran ini nantinya dapat digunakan sebagai petunjuk bagi para pembuat kebijakan dalam hal penyusunan kebijakan TI untuk masa kerja selanjutnya.
COBIT (Control Objective for Information Related Tecnology)
COBIT (Control Objective for Information Related Tecnology) adalah kerangka tata kelola TI (IT governance) yang ditujukan kepada manajemen, staf pelayanan TI, control departemen, fungsi audit dan lebih penting lagi bagi pemilik proses bisnis (business process owner’s), untuk memastikan
confidenciality, integrity and availability data serta informasi sensitif dan
kritikal. COBIT didesign terdiri dari 34 high level control objectives yang menggambarkan proses TI yang terdiri dari 4 domain yaitu: Plan and
Organise, Acquire and Implement, Deliver and Support dan Monitor and Evaluate. Dengan melakukan kontrol terhadap ke 34 objektif tersebut,
organisasi dapat memperoleh keyakinan akan kelayakan tata kelola dan kontrol yang diperlukan untuk lingkungan TI. Untuk mendukung IT process tersebut tersedia lagi sekitar 215 tujuan control yang lebih detil untuk menjamin kelengkapan dan efektifitas implementasi.
Suatu perencanaan audit TI dapat dimulai dengan menentukan area-area yang relevan dan berisiko paling tinggi. Sementara untuk kebutuhan penugasan tertentu, misalnya audit atas proyek TI, dapat dimulai dengan memilih proses yang relevan dari proses-proses tersebut.
Tujuan Audit Teknologi Informasi
Audit Teknologi Informasi dirancang untuk tujuan berikut:
1. Melakukan verifikasi terhadap efektifitas dari penerapan teknologi informasi.
2. Melakukan verifikasi apakah penerapan teknologi informasi sudah memenuhi aspek efisiensi, availability system, reliability, confidentiality,
dan integrity, serta aspek keamanan.
3. Melaporkan hasil audit dengan data yang memadai dan memberikan masukan kepada bagian terkait agar dapat dilakukan perbaikan.
Pihak/Fungsi terkait 1. Ketua/Sekretaris SPI
2. Ketua Bidang Teknologi Informasi 3. Anggota SPI
Ketentuan Umum
1. Satuan Pengawasan Internal (SPI) adalah lembaga fungsional yang dibentuk oleh rektor dan diberi tugas untuk mengembangkan SPI di UB 2. Audit internal bidang TIK adalah audit yang ditujukan untuk
memberikan jaminan atas kesesuaian antara Kebijakan, Standar, Manual Mutu, Manual Prosedur dan Peraturan dalam penggunaan Teknologi dan Sistem Informasi di lingkungan UB.
3. Management Representative (MR) bertugas :
- Memantau semua semua proses yang terkait sistem pengawasan internal (SPI) dengan pihak internal dan eksternal sehingga kegiatan terlaksana serta terpelihara
- Merencanakan dan mengkoordinasi jadwal rutin tinjauan manajemen, audit internal TSI serta perbaikan SMM SPI UB
- Mengkoordinasi pengelolaan dokumen, rekaman dan sumberdaya di lingkungan SPI UB
- Membantu Top Management merencanakan, merumuskan, memantau harapan kepuasan Rektor dan feedback pelanggan lainnya
- Memantau dan melaporkan ketercapaian indikator sasaran mutu minimal dua kali setiap tahun
4. Ketidaksesuaian Mayor adalah apabila ditemukan: - Pelanggaran atas peraturan perundang-undangan - Tidak terdapat elemen system pengendalian internal
- Suatu sistem gagal untuk memenuhi satu klausul dari persyaratan system pengendalian internal
- Penerapan suatu klausul sangat tidak konsisten
- Ketidaksempurnaan penerapan suatu sistem telah mengarah pada ketidakpuasan pelanggan
- Tindakan perbaikan yang tidak efektif dan terpantau dalam dua kali audit internal secara berturut-turut.
5. Ketidaksesuaian Minor (ringan), apabila ditemukan:
- Suatu ketidaksesuaian dalam memenuhi suatu persyaratan dalam satu elemen SPI atau dokumen referensi lain
- Suatu ketidaksesuaian yang diamati dari suatu pengamatan dari satu prosedur organisasi
6. Observation adalah apabila ditemukan:
- Ada aspek yang disarankan dapat dikembangkan tetapi kondisi yang ada saat ini bukan merupakan suatu ketidaksesuaian dalam sistem mutu.
Ruang Lingkup
Semua kegiatan audit internal bidang Teknologi Informasi (TI) yang dilaksanakan di semua bidang terkait dalam penerapan sistem pengawasan internal di UB. Dalam pelaksanaannya, auditor TI mengumpulkan bukti-bukti yang memadai melalui berbagai teknik termasuk survei, interview, observasi dan review dokumentasi (termasuk review source-code bila diperlukan). Bisa jadi bukti-bukti audit yang diambil oleh auditor mencakup bukti elektronis (data dalam bentuk file softcopy).
Dalam proses pengumpulan bukti ini ada beberapa cara yang sering dipakai yaitu, audit around computer, audit trought computer dan audit with computer. Jika tingkat pemakaian TI tinggi maka audit yang dominan digunakan adalah audit with computer atau yang biasa disebut dengan teknik audit berbantuan computer atau menggunakan CAAT (Computer
Aided Auditing Technique). Teknik ini digunakan untuk menganalisa data,
misalnya saja data transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain. Tentunya untuk aspek sekuriti adakalanya auditor dituntut mempunyai keahlian teknis yang cukup memadai untuk menguji keamanan sistem.
Standar yang digunakan dalam mengaudit teknologi informasi adalah standar yang diterbitkan oleh ISACA yaitu ISACA IS Auditing Standard. Selain itu ISACA juga menerbitkan IS Auditing Guidance dan IS Auditing Procedure.
Guidelines memberikan penjelasan bagaimana auditor dapat memenuhi
standar dalam berbagai penugasan audit, dan prosedur memberikan contoh langkah-langkah yang perlu dilalui auditor dalam penugasan audit tertentu sehingga sesuai dengan standar. Bagaimanapun auditor TI harus bisa menggunakan judgement profesional ketika menggunakan guidance dan procedure.
Standar yang aplicable untuk audit TI adalah terdiri dari 11 standar yaitu; S1. Audit charter, S2. Audit Independent, S3. Profesional Ethic and
standard, S4.Profesional competence, S5. Planning, S6. Performance of Audit Work, S7. Reporting. S8.Follow-Up Activity, F9. Irregularities and Irregular Act, S10. IT Governance dan S11. Use of Risk Assestment in Audit Planning. IS Auditing Guideline terdiri dari 32 guidance dalam mengaudit TI yang
mengcover petunjuk mengaudit area-area penting. IS Audit Procedure terdiri dari 9 prosedur yang menunjukan langkah-langkah yang dilakukan auditor dalam penugasan audit yang spesifik seperti prosedur melakukan bagaimana melakukan risk assestment, mengetes intrution detection system, menganalisis firewall dan sebagainya. Jika dibandingkan dengan audit keuangan, maka standar dari Isaca ini adalah setara dengan Standar Profesional Akuntan Publik (SPAP) yaitu menyangkut tata cara bagaimana audit dilakukan. Sedangkan bagaimana kondisi apa yang diaudit diberikan penilaian berdasarkan standar tersendiri yaitu Cobit.
Prosedur Audit Teknologi Informasi
Secara umum tahapan dalam audit TI pada prinsipnya sama dengan audit lainnya. Tahap-tahap audit Teknologi Informasi yang umum terdiri dari 5 tahap sebagai berikut :
1. Tahap pra-penugasan Audit.
a. Berdasar Rencana Audit Tahunan, proposal audit maupun temuan awal audit, Rektor meminta Ketua SPI untuk melaksanakan Audit Teknologi Informasi.
b. Ketua SPI mengusulkan Tim Auditor Internal kepada Rektor
c. Rektor menetapkan SK pengangkatan Tim Auditor Internal. Tim bertugas selama periode waktu tertentu
d. Rapat koordinasi antara Ketua SPI dengan TIM Auditor untuk menentukan jadwal dan menyepakati mekanisme kerja.
e. Ketua SPI menetapkan jadwal dan kegiatan audit Teknologi Informasi
2. Tahap Perencanaan Audit
a. Mengembangkan Tujuan dan Lingkup Audit b. Menetapkan Tujuan dan Risiko Audit
c. Lakukan Survey Pendahuluan d. Mengembangkan Audit Program
3. Tahap Pengujian Struktur Pengendalian Internal
Tujuan pengujian SPI adalah untuk mengetahui apakah struktur pengendalian intern yang digariskan diterapkan sebagaimana mestinya atau tidak. Dalam tahap ini auditor dapat menggunakan ‘ COMPUTER ASSITED AUDIT TECHNIQUES’ ( CAAT ) untuk menilai keberadaan dan kepercayaan auditor terhadap struktur pengendalian intern tersebut.
4. Tahap pemeriksaan rinci
Tahap audit secara rinci dapat dilakukan jika auditor memutuskan melanjutkan auditnya. Dalam tahap ini auditnya berupaya mendapatkan informasi lebih mendalam untuk memahami pengendalian yang diterapkan dalam sistem komputer klien. Auditor harus dapat memperkirakan bahwa hasil audit pada akhirnya harus dapat dijadikan sebagai dasar untuk menilai apakah struktur pengendalian intern yang diterapkan dapat dipercaya atau tidak. Kuat atau tidaknya pengendalian tersebut akan menjadi dasar bagi auditor dalam menentukan langkah selanjutnya.
5. Tahap penilaian secara umum atas hasil pengujian.
Pada tahapan ini dilakukan analisis total berdasarkan semua data-data yang sudah diperoleh. Analisis ini kemudian dijabarkan dalam bentuk temuan, baik temuan negatif atau temuan positif. Kemudian dibuatlah rekomendasi yang merupakan hasil akhir dari proses audit.
6. Tahap Laporan Audit
a. Menyiapkan draft laporan audit
b. Mendiskusikan draft dengan pihak manajemen dan meminta tanggapan manajemen atas temuan audit
c. Menerbitkan Laporan Akhir Audit 7. Tindak Lanjut Temuan / Rekomendasi Audit
Setelah melaporkan temuan dan membuat rekomendasi audit, Auditor IT mengevaluasi berbagai informasi yang relevan dan memastikan tindak lanjut temuan telah dilaksanakan oleh manajemen tepat pada waktunya.
LAMPIRAN:
FLOW CHART PROSEDUR AUDIT TEKNOLOGI INFORMASI
Berdasarkan proposal kegiatan atau berdasarkan temuan awal, Rektor meminta Ketua SPI untuk melakukan audit Teknologi Informasi
Ketua SPI mengusulkan Tim Auditor Internal kepada Rektor
Selanjutnya Rektor menetapkan SK pengangkatan Tim Auditor Internal. Tim bertugas selama periode waktu tertentu
Rapat koordinasi antara Ketua SPI dengan TIM Auditor untuk
menentukan jadwal dan menyepakati mekanisme kerja.
Ketua SPI menetapkan jadwal dan kegiatan audit Teknologi Informasi.
TIM Auditor melakukan tahap pemeriksaan pendahuluan
berdasarkan data-data awal yang diketahui
Permintaan Audit
Usulan Tim Audit
SK Rektor Tim
Audit
Rapat Koordinasi
Tim Audit
Penetapan Jadwal
Proses Audit
Pemeriksaan
Pendahuluan
TIM Auditor melakukan tahap pemeriksaan rinci dengan mencari data penujang tambahan
TIM Auditor melakukan tahap pengujian kesesuaian.
TIM Auditor melakukan Tahap pengujian kebenaran bukti.
TIM Auditor melakukan penilaian secara umum atas hasil pengujian yang dijabarkan dalam bentuk temuan-temuan.
TIM Auditor dan Ketua SPI membuat rekomendasi terkait objek audit kepada Rektor
Pemeriksaan Rinci
Pengujian
Kesesuaian
Pengujian Kebenaran
Bukti
Penilaian dan Hasil
Rekomendasi ke
Rektor
REFERENSI
Anonimous, 2005. Praktek Baik Dalam Penjaminan Mutu Pendidikan Tinggi. Direktorat Jenderal Pendidikan Tinggi. Departemen Pendidikan Nasional. Indonesia.
Anonimous, 2007. Dokumen AMAI Universitas Brawijaya. Malang. Indonesia. Permendiknas Nomor 16 Tahun 2009 tentang Satuan Pengawasan Intern