Audit adlah proses sistematis mengenai mendapatkan dan mengevaluasi secara efektif bukti yang berkaitan dengan penilaian mengenai berbagai kegiatan dan peristiwa ekonomi untuk memastikan tingkat kesesuaian antara penilaiann tersebut dan membentuk kriteria serta menyampaikan hasilnya ke para pengguna yg berkepentingan. Audit internal sbg fungsi penilaian independen yg dibentuk dlm perusahaan u mempelajari dan mengevaluasi beberapa jenis aktivitasnya sebagai layar bagi perusahaan. Audit TI menggunakan beberapa keahlian dan pengetahuan teknis untuk melakuakn audit berbagai sistem komputer.
Risisko audit adalah probabilitas bahwa auditor akan memberikan pend. Yg wajar atas lap keu yg pada kenyataanya, salah saji secara material. Risiko penggendalian adlh kemungkinan bahwa struktur penngendalian salah karn tidak adanya pengendalian u mencegah/mendeteksi kesalahan dlm berbagai akun.
Praktik dan prosedur yg digunakan perusahaan untuk mencapai 4tujuan umum:
1. Mengemankan aktiva perusahaan
2. Memastikan akurasi dan keandalan berbagai cataatan dan inf. Akuntanssi
3. Menyebarluaskn efisiensi dlm operasi perusahaan
4. Mengukur ketaatan dg berbagai kebijakan dan prosedur yg ditetapkan o/pihak manjamen
Penggendalian preventif : teknik pasif yg didesain u mengurangi frekuensi terjadinya peristiwa yg tidak diinginkan.
Penggendaliann detektif : berbagai alat,teknik dan prosedur, yg didesain u/ mengidentefikasikan dan mengekspos peristiwa yg lolos dri penggendalian preventif.
• Risiko perubahan lingkungan
• Perubahan dlm lingkungan operasional yg membebankan berbagai tekanan persaingan baru atas perusahaan.
• Personel baru yang memiliki pemahaman berbeda atau tidak memadai ats penggendalian internal.
• Sistem informasi bru atau yg direkayasa ulang sehingga mempengaruhi pemrosesan transaksi.
Pengawasan : proses dimana kualitas dari desain dan operasi penggendaliaan internal dapat dinilai.
Pengertian Kejahatan Komputer / Computer Fraud
Pelanggaran komputer di mana seseorang, dengan maksud untuk dirinya sendiri atau orang lain yang melanggar hukum badan, oleh salah, tidak lengkap atau data penggunaan yang tidak sah, atau dengan cara yang sama, pengaruh elektronik atau proses serupa atau transmisi data dan akibatnya menyebabkan pengalihan aset keuangan, sehingga kerugian occasioning ke yang lain, atau segera sesudahnya menyembunyikan seperti transfer.
• Apakah cara yang umum dan efektif untuk menyembunyikan suatu pencurian itu ?
– Untuk membebankan item yang dicuri ke suatu rekening biaya
• Apakah contoh dari penggajian ?
– Menambahkan sebuah nama fiktif ke catatan penggajian perusahaannya
• Proses Penipuan.
Kebanyakan penipuan melibatkan tiga langkah.
1. Pencurian sesuatu.
2. Konversi uang tunai.
3. penyembunyian
• Mengapa Terjadi Penipuan
Tiga kondisi yang diperlukan untuk penipuan terjadi:
1. tekanan atau motif
Tekanan
Apa sajakah tekanan keuangan?
- Gaya hidup melebihi kemampuan
- Tinggi utang pribadi
- "Tidak memadai" pendapatan
- Peringkat kredit yang buruk
- Berat kerugian keuangan
- Besar utang judi
Apa sajakah yang terkait dengan tekanan pekerjaan ?
- Gaji rendah
- Nonrecognition kinerja
- Ketidakpuasan kerja
- Rasa takut kehilangan pekerjaan
- Bonus overaggressive rencana
Apa tekanan lain?
- Tantangan
- Keluarga / tekanan teman sebaya
- Ketidakstabilan emosional
- Perlu untuk kekuasaan atau kendali
- Berlebihan kebanggaan atau ambisi
2. Sebuah kesempatan/peluang
Peluang
• Sebuah kesempatan adalah kondisi atau situasi yang memungkinkan seseorang untuk melakukan dan menyembunyikan tindakan tidak jujur.
• Kesempatan sering kali berasal dari kurangnya kontrol internal.
• Namun demikian, kesempatan yang paling lazim untuk penipuan hasil dari kegagalan perusahaan untuk menegakkan sistem pengendalian internal.
3. rasionalisasi
Rasionalisasi
Kebanyakan pelaku punya alasan atau rasionalisasi yang memungkinkan mereka untuk membenarkan perilaku ilegal mereka.
• Apa sajakah rasionalisasi?
• Para pelaku hanya "meminjam" yang aset curian.
• Para pelaku tidak menyakiti orang melainkan hanya sebuah komputer
Mengapa Terjadi Penipuan
1. Pelaku penipuan komputer cenderung lebih muda dan memiliki lebih komputer
pengetahuan, pengalaman, dan keterampilan.
2. Beberapa pelaku penipuan komputer lebih dimotivasi oleh rasa ingin tahu dan tantangan "Pemukulan sistem."
3. Lain-lain melakukan penipuan untuk mendapatkan bertubuh antara
komputer orang lain dalam masyarakat.
• Penipuan Komputer
• Departemen Kehakiman Amerika Serikat mendefinisikan penipuan komputer sebagai tindak ilegal apapun yang membutuhkan pengetahuan teknologi komputer untuk melakukan tindakan awal penipuan, penyelidikan, atau pelaksanaannya.
• Apakah contoh penipuan komputer itu ?
– Pencurian, penggunaan, akses, modifikasi, penyalinan, dan perusakan software atau datasecara tidak sah
– Pencurian uang dengan mengubah catatan komputer atau pencurian waktu komputer
– Pencurian atau perusakan hardware komputer
– Penggunaan atau konpirasi untuk menggunakan sumber daya komputer dalam melakukan tindak pidana
– Keinginan untuk secara ilegal mendapatkan informasi atau properti berwujud melalui penggunaan komputer
• Peningkatan Penipuan Komputer
Organisasi-organisasi yang melacak penipuan komputer memperkirakan bahwa 80% usaha di Amerika Serikat telah menjadi korban paling tidak satu insiden penipuan komputer.
Tidak ada seorangpun yang mengetahui dengan pasti bagaimana perusahaan kalah menghadapi penipuan komputer ?
– Tidak setiap orang setuju tentang hal-hal yang termasuk penipuan komputer.
– Banyak penipuan komputer yang tidak terdeteksi.
– Sebagian besar jaringan memiliki tingkat keamanan yang rendah.
– Banyak halaman dalam internet yang memberikan instruksi per langkah tentang bagaimana memulai kejahatan dan melakukan penyalahgunaan komputer.
– Penegakan hukum tidak mampu mengikuti pertumbuhan jumlah penipuan komputer.
• Penipuan dan Teknik Penyalahgunaan Komputer
Beberapa teknik-teknik yang lebih umum, penipuan dan teknik penyalahgunaan komputer
– Menjebol (cracking)
– Mengacak data (data diddling)
– Kebocoran data (data leakage)
– Serangan penolakan pelayanan (denial of service attack)
– Menguping (eavesdropping)
– Pemalsuan dan Ancaman E-mail (e-mail forgery and threats)
– Melanggar masuk (hacking)
– Informasi yang salah di internet Terorisme Internet
– Bom waktu logika (logic time bomb)
– Menyamar atau Meniru
– Penjebolan Password (password cracking)
– Menyusup (piggybacking)
– Pembulatan ke bawah (round-down)
– Teknik salami (salami technique)
– Pembajakan Software
– Pencarian (scavenging)
– Rekayasa sosial (social engineering)
– Serangan cepat (superzapping)
– Pintu jebakan (trap door)
– Kuda troya (trojan horse)
– Virus
– Cacing (worm)
• Mencegah dan Mendeteksi Penipuan Komputer
Membuat Penipuan Lebih Jarang Terjadi.
a. Menggunakan praktik mempekerjakan dan memecat pegawai yang semestinya.
b. Mengatur para pegawai yang merasa tidak puas.
c. Melatih para pegawai mengenai standar keamanan dan pencegahan terhadap penipuan.
d. Mengelola dan menelusuri lisensi software.
e. Meminta menandatangani perjanjian kerahasiaan kerja.
Meningkatkan Kesulitan untuk Melakukan Penipuan.
a. Mengembangkan sistem pengendalian internal yang kuat.
b. Memisahkan tugas.
c. Meminta pegawai mengambil cuti dan melakukan rotasi pekerjaan.
d. Membatasi akses ke perlengkapan komputer dan file data.
e. Mengenkripsi data dan program.
Memperbaiki Metode Deteksi.
a. Mengamankan saluran telepon dan sistem dari virus.
b. Mengendalikan data yang sensitif.
c. Mengendalikan komputer laptop.
d. Mengawasi informasi hacker.
Mengurangi kerugian akibat penipuan.
a. Tetap menggunakan jaminan asuransi yang memadai.
b. Menyimpan salinan cadangan program dan file data di dalam lokasi luar kantor yang aman.
c. Mengembangkan rencana kontinjensi dalam hal kejadian penipuan.
d. Menggunakan software untuk mengawasi kegiatan sistem dan untuk memulihkan diri dari akibat penipuan.
Menuntut dan Memenjarakan Pelaku Penipuan.
Sebagian besar penipuan tidak dilaporkan dan tidak dituntut untuk beberapa alasan di bawah ini?
a. Banyak kasus penipuan yang belum terdeteksi.
b. Perusahaan segan melaporkan kejahatan komputer.
Auditing, Assurance, and Internal Control serta RISIKO DAN PENGENDALIAN TEKNOLOGI INFORMASI
Perkembangan teknologi informasi memberikan dampak di berbagai bidang. Keberadaan teknologi informasi telah memfasilitasi perekayasaan ulang perusahaan dari proses bisnis tradisional menjadi proses bisnis yang tepat waktu, efisien, serta memperlancar komunikasi baik dalam entitas itu sendiri maupun dalam satu supply chain. Dalam hal pengauditan, penggunaan teknologi informasi oleh klien membuat auditor harus lebih berhati-hati dalam mempertimbangkan risiko baru yang muncul dalam pengendalian intern. Oleh karena itu mereka harus menggunakan teknik baru untuk mengevaluasi pengendalian dan memastikan keamanan dan keakuratan data dan sistem informasi yang menghasilkan data tersebut.
I. Tipe-tipe Audit
Audit secara umum dibedakan atas audit internal, audit teknologi informasi, audit kecurangan, dan audit eksternal/keuangan. Masing-masing audit ini memiliki karakteristik yang berbeda.
Audit internal merupakan bagian yang independen dalam satu entitas yang memeriksa dan mengevaluasi entitas itu sendiri. Biasanya fokus pemeriksaannya berkaitan dengan audit kepatuhan dan operasional.
Audit teknologi informasi merupakan audit yang menggunakan pengetahuan dan ketrampilan teknis dalam pemeriksaan atas sistem komputer. Audit teknologi informasi dapat pula berupa audit yang dilakukan di mana proses atau data, atau keduanya tersimpan dalam perangkat teknologi. Audit ini merupakan audit berbasis risiko. Biasanya, auditor menggunakan Computer-Assisted Audit Tools (CAATs) atau Computer-Assisted Audit Tools and Techniques (CAATTs). CAATTs memungkinkan auditor untuk melakukan audit through the database dan komputer. Audit teknologi informasi berkaitan dengan keyakinan atas teknologi informasi yang digunakan dalam entitas. Audit ini merupakan bagian dari audit internal, audit eksternal, bahkan audit kecurangan.
Audit kecurangan merupakan upaya investigasi untuk mencari bukti telah terjadi kecurangan.
Audit eksternal/keuangan merupakan audit yang dilakukan oleh pihak independen diluar entitas atas laporan keuangan entitas untuk memastikan bahwa laporan tersebut disajikan secara wajar.
II. Audit Teknologi Informasi
Audit TI berfokus pada aspek berbasis komputer atas sistem informasi organisasi. Audit ini meliputi penilaian ketepatan implementasi, operasi, dan pengendalian sumber daya komputer. Audit ini merupakan bagian yang penting dalam audit internal dan eksternal.
Karakteristik
Proses Sistematik
Audit yang dilakukan merupakan proses yang sistematik dan logis yang diterapkan dalam semua bentuk teknologi informasi. Prosedur yang ada dalam teknologi informasi tidak dapat diverifikasi secara visual sehingga proses audit menjadi kompleks. Oleh karena itu, kerangka logis untuk melaksanakan audit merupakan hal yang sangat penting untuk membantu auditor mengidentifikasi semua proses dan file data yang penting.
Asersi Manajemen dan Tujuan Audit
Auditor mengembangkan tujuan audit dan mendesain prosedur audit berdasarkan kategori asersi yang telah dibuat oleh manajemen. Dalam audit keuangan, tujuan audit diklasifikasikan menjadi 2 kategori. Kategori yang pertama berhubungan dengan transaksi dan saldo akun yang berdampak langsung pada pelaporan keuangan. Kategori yang kedua berkaitan dengan teknologi informasi itu sendiri. Tujuan ini meliputi penilaian atas pengendalian prosedur manual dan teknologi komputer dalam pemrosesan transaksi.
Pengumpulan Bukti
Dalam lingkungan TI, proses pengumpulan bukti berkaitan dengan keandalan pengendalian komputer dan juga isi basis data yang telah diproses oleh program komputer. Bukti dikumpulkan dengan melakukan test of control untuk mengetahui apakah pengendalian berfungsi dengan baik, dan substantive test untuk menentukan apakah basis data akuntansi mencerminkan dengan wajar transaksi dan saldo akun.
Memastikan Tingkat Kesesuaian dengan Kriteria yang Ditetapkan
Auditor harus menentukan apakah terdapat kelemahan dalam pengendalian internal dan kesalahan yang terdapat dalam transaksi dan saldo akun besarnya material. Dalam lingkungan IT, penentuan ini menjadi semakin kompleks karena keberadaan struktur teknologi dan pengendalian intern yag rumit.
Komunikasi Hasil
Auditor TI akan mengkomunikasikan hasil auditnya pada auditor internal dan eksternal yang akan mengintegrasikan hasil tersebut dengan aspek non TI audit.
Lingkungan Teknologi Informasi (TI)
Keberadaan TI menambah rumit desain pengendalian internal yang efektif. Semua data disimpan dalam sistem informasi. Sementara itu, koneksi akses berada di berbagai tempat dan juga terdapat hubungan antara jaringan yang satu dengan jaringan yang lain. Hal ini meningkatkan risiko akses oleh pihak yang tidak berwenang, pencurian informasi, dan juga kerusakan. TI juga rawan kejahatan atas sistem, data, dan aset. Pihak-pihak tertentu dapat memanfaatkan TI untuk mengesampingkan pengendalian internal sehingga terjadi kecurangan keuangan. Kejahatan dalam lingkungan TI meliputi kecurangan, pencurian aset, dan juga korupsi. Permasalahan lain yang dapat timbul yaitu kerawanan atas kerusakan sistem, baik karena bencana maupun virus.
Struktur Audit TI
Perencanaan Audit
Sebelum auditor menentukan sifat dan luas pengujian yang harus dilakukan, auditor harus memahami bisnis klien (kebijakan, struktur organisasi, dan praktik yang dilakukan). Setelah itu, analisis risiko audit merupakan bagian yang sangat penting. Ini meliputi review atas pengendalian intern. Dalam tahap ini, auditor juga mengidentifikasi aplikasi yang penting dan berusaha untuk memahami pengendalian terhadap transaksi yang diproses oleh aplikasi tersebut. Tujuan auditor adalah mendapatkan informasi yang lengkap tentang entitas untuk dijadikan dasar merencanakan tahap selanjutnya dalam audit.
Pengujian Pengendalian
Tujuan tahap ini adalah untuk menentukan apakah terdapat pengendalian internal yang memadai dan berfungsi dengan tepat. Teknik yang digunakan dalam pengujian berupa teknik manual dan juga teknik audit komputer khusus. Teknik ini menggunakan pendekatan berbasis sistem yang berfokus pada pengendalian dan sistem secara keseluruhan. Hasil akhir tahap ini adalah penilaian atas kualitas pengendalian intern. Tingkat keyakinan auditor akan mempengaruhi jenis dan luas pengujian substantive yang akan dilakukan.
Pengujian Substantif
Dalam tahap ini, dilakukan pemeriksaan secara terinci saldo akun dan transaksi. Informasi yang digunakan berada dalam file data yang biasanya harus diambil menggunakan software CAATTs. Pendekatan basis data menggunakan CAATTs dan pengujian substantif untuk memeriksa integritas data. Dengan kata lain, CAATTs digunakan untuk mengambil data untuk mengetahui integritas dan keandalan data itu sendiri.
III. Pengendalian Intern
Keberadaan Sarbanes-Oxley Act 2002 memberikan dampak yang besar bagi auditor. Ketentuan yang berkaitan dengan pengendalian intern membuat tanggung jawab auditor menjadi semakin luas. Auditor internal, auditor eksternal dan juga IT auditor dibebani tanggung jawab untuk mengevaluasi, menilai, dan melaporkan pengendalian intern entitas yang wajib dilaporkan oleh manajemen. Pengendalian intern berkaitan dengan risiko. Risiko merupakan ancaman potensial atas nilai atau kegunaan aset entitas.
Pengendalian intern merupakan upaya untuk melindungi aset entitas dari berbagai kejadian yang dapat merugikan. Diantaranya adalah pencurian aset (termasuk informasi), program komputer yang salah, input data yang tidak benar, ancaman virus dan hacker, dll. Pengendalian intern yang lemah membuat perusahan menghadapi risiko kerusakan aset (aset fisik dan informasi), pencurian aset, korupsi informasi atau sistem informasi, dan gangguan sistem informasi.
PDC Model
Pengendalian dapat dilakukan dalam 3 tingkatan, yaitu preventif, detektif, dan korektif.
Pengendalian Preventif:
Merupakan teknik yang digunakan untuk mengurangi frekuensi terjadinya tindakan yang tidak diinginkan. Pencegahan dilakukan sebelum tindakan yang merugikan terjadi. Pengendalian ini lebih cost-effective daripada pengendalian detektif dan korektif.
Pengendalian Detektif:
Tidak semua tindakan yang merugikan dapat dicegah oleh pengendalian preventif. Oleh karena itu perlu prosedur, teknik, dan alat untuk mengidentifikasi tindakan tersebut. Proses yang terjadi dibandingkan dengan standar yang telah ditetapkan untuk menilai kesesuaiannya. Proses yang tidak sesuai standar mengindikasikan terjadinya permasalahan.
Pengendalian Korektif:
Pengendalian ini dilakukan untuk memperbaiki kesalahan yang telah terdeteksi
Pengendalian Prediktif
Adanya perkembangan TI memungkinkan auditor TI untuk memprediksikan kejadian-kejadian tertentu yang merugikan. Misalnya Artificial Neural Network (ANN) dan Internet Storm Center. ANN memiliki kemampuan untuk belajar atau mengenali pola dalam transaksi yang mengandung kesalahan atau manipulasi dengan mengekspos sistem pada situasi yang nyata dari masa lalu. Kemudian, dengan menggunakan ANN, sistem dapat melakukan filter atas transaksi dengan mencari transaksi yang mencurigakan dan memberitahukan hal tersebut saat transaksi dimasukkan. Internet Storm Center mengkombinasikan log dari berbagai host internet untuk melacak aktivitas tertentu dalam port internet. ISC dapat mengenali anomali atau aktivitas yang tidak biasa. Dengan menggunakan sistem ini, sistem akan memberitahukan segera saat terdapat virus, worm, denial of service attacks, dll.
Mengidentifikasi Pengendali Teknologi Informasi
COSO dan Model Kontrol Lainnya
Untuk mengevaluasi pengendalian internal: efisiensi & efektivitas, kehandalan L/K & kepatuhan terhadap peraturan (jaminan yg memadai)
Komponen pengendalian internal: lingkungan pengendalian, penilaian risiko, pengendalian aktivitas, informasi dan komunikasi, serta monitoring
Konsep Fundamental Laporan COSO
Dinyatakan dalam definisi berikut:
Pengendalian intern merupakan suatu proses.
Pengendalian intern dilaksanakan oleh orang.
Pengendalian intern dapat diharapkan untuk menyediakan hanya keyakinan yang memadai, bukan keyakinan yang mutlak, kepada manajemen dan dewan direksi suatu entitas karena keterbatasan yang melekat dalam semua sistem pengendalian intern dan perlunya untuk mempertimbangkan biaya dan manfaat relatif dari pengadaan pengendalian.
Pengendalian intern diarahkan pada pencapaian tujuan dalam kategori yang saling tumpang tindih dari pelaporan keuangan, kepatuhan, dan operasi.
Pernyataan dalam Standar Audit
CobiT
Penjamin Sistem Keterpercayaan
Standar Pengendalian Kualitas
ISO 9000, The International Organization for Standardization (ISO) telah menetapkan standar keteknikan untuk kualitas produk sejak 1947.
Six Sigma. Six Sigma mewakili pendekatan standar untuk memproses perbaikan. Six Sigma mempunyai dua metodologi yaitu DMAIC untuk proses yang telah ada dan DMADV untuk produk atau proses baru.
CobiT
Menggabungkan pengendalian internal dengan informasi dan TI.
Dimaksudkan untuk digunakan oleh manager dan pemilik proses bisnis, bersama dengan auditor dan pengguna informasi.
Rerangka untuk merancang & implementasi pengendalian TI
Information criteria, IT process, IT resources.
Efektivitas, efisien, kerahasiaan, integritas, keberadaan, kepatuhan & kehandalan.
SAS
SAS nomor 55
SAS nomor 78
SAS nomor 78
Mengacu pada pengendalian internal yang direkomendasikan oleh Committee of Sponsoring Organizations of the Treadway Commision (COSO), SAS 78 mendefinisikan lima komponen pengendalian internal:
1. Pengendalian lingkungan. Pengendalian ini adalah kunci utama dari empat komponen pengendalian lainnya. Unsur penting dari pengendalian ini adalah:
• Integritas dan etika manajemen
• Struktur organisasi
• Keberadaan dan partisipasi BOD dan komite audit
• Filosofi manajemen dan gaya operasi
• Prosedur dalam mendelegasikan tanggungjawab dan otoritas
• Metode manajemen dalam menilai kinerja
• Pengaruh eksternal
• Kebijakan organisasi dan praktik dalam SDM
SAS 78 mewajibkan auditor untuk memperoleh pengetahuan yang memadai dalam menilai sikap dan kesadaran manajemen, BOD, dan pemilik terhadap pengendalian internal.
2. Penilaian Risiko, dibutuhkan untuk mengidentifikasi, menganalisa, dan mengelola risiko yang bersangkutan terhadap laporan keuangan. Risiko-risiko yang mungkin timbul antara lain:
• Perubahan dalam sistem operasional perusahaan
• Personel baru yang memiliki pemahaman berbeda dari pengendalian internal
• Implementasi teknologi baru
• Pengenalan lini produk yang baru
• Penggunaan prinsip akuntansi baru yang mempengaruhi laporan keuangan
3. Informasi dan komunikasi, terdiri atas metode yang digunakan dalam menginisisasi, mengidentifikasi, menganalisa, mengklasifikasi dan mencatat transaksi dan menghitung aktiva dan kewajiban yang bersangkutan. Pada dasarnya suatu sistem akuntansi yang efektif dapat melakukan hal berikut ini:
• Mengidentifikasi & mencatat transaksi keuangan secara valid
• Menyediakan informasi tepat waktu
• Secara akurat mengukur nilai transaksi (keuangan)
• Secara akurat mencatat transaksi dalam periode waktu yang bersangkutan
4. Pengawasan (monitoring), adalah proses di mana kualitas rancangan dan operasi pengendalian internal dapat dinilai. Penilaian ini dapat dilakukan dengan prosedur yang terpisah atau seiring dengan aktivitas yang berjalan.
Prosedur terpisah misalnya menyatukan bukti dari kecukupan uji pengendalian, dan mengkomunikasikan kekuatan dan kelemahannya terhadap manajemen.
Pengawasan berjalan dapat dilakukan dengan mengintegrasikan modul komputer tertentu ke sistem informasi yang mengambil data dan uji pengendalian untuk diaplikasikan terhadap kegiatan rutin.
5. Pengendalian aktivitas, adalah penggunaan kebijakan dan prosedur yang meyakinkan bahwa tindakan yang tepat telah dilakukan dalam menangani risiko yang teridentifikasi. Pengendalian aktivitas ini dapat dikelompokkan kedalam dua kategori:
• Pengendalian komputer, antara lain:
o Pengendalian umum
o Pengendalian aplikasi
• Pengendalian fisik
o Verifikasi independen
o Otorisasi transaksi
o Pemisahan tugas
o Supervisi
o Pencatatan akuntansi
o Pengendalian akses
Pentingnya Pengendalian Internal
Kelima komponen pengendalian internal memberikan auditor informasi penting tentang risiko material dari salah saji atau kecurangan laporan keuangan. Karena auditor diwajibkan untuk memperoleh pengetahuan yang mencukupi tentang pengendalian internal klien.
Pendokumentasian Pengendalian TI
Narasi pengendalian internal
Mendeskripsikan pengendalian dalam bentuk teks: asal & pelepasan dokumen, langkah proses, pengendalian internal (izin & otorisasinya)
Flowchart
Menggunakan grafik untuk mendokumentasikan pengendalian internal: penghubung, aliran data & langkah proses
ICQ
Pertanyaan yang diajukan oleh auditor untuk mengevaluasi pengendalian internal: aplikasi, proses, risiko atau akses data
Memastikan auditor untuk fokus pada risiko tertentu
Hasilnya dpt digunakan untuk membuat narasi pengendalian internal & flowchart
Rerangka Umum dalam Risiko & Pengendalian TI
Area dari risiko yang paling mungkin terjadi berhubungan dengan enam topik berikut:
1. Operasi
2. Sistem data manajemen
3. Pengembangan sistem baru
4. pemeliharaan sistem
5. E-commerce
6. Aplikasi komputer
Mengidentifikasi Risiko Teknologi Informasi
Risiko adalah kemungkinan timbulnya hasil negatif. Manager dan auditor berusaha untuk menyeimbangkan risiko, bukannya menghilangkannya. Dalam beberapa kasus, TI membuat bisnis lebih berisiko dan di kasus lain, TI membuat bisnis lebih aman. Risiko terbagi menjadi :
1. Risiko Bisnis:
Kemungkinan bahwa organisasi tidak akan mencapai sasaran (goals) dan tujuan organisasi (objectives), yang dipengaruhi oleh faktor eksternal dan internal perusahaan. Untuk memahami risiko bisnis organisasi, pertama kali auditor harus familiar dengan rencana strategis organisasi.
2. Risiko Audit:
Kemungkinan bahwa auditor eksternal organisasi membuat kesalahan ketika mengeluarkan pendapat yang mendukung kewajaran laporan keuangan, atau bahwa auditor TI gagal menemukan kesalahan atau kecurangan material. Contoh, auditor mungkin berkata bahwa semua hal baik-baik saja padahal sebenarnya tidak. Saat auditor menanggung risiko bisnis sendiri terkait dengan risiko audit, risiko audit tidak dibatasi oleh mereka sendiri. Kegagalan Enron dan masalah laporan keuangan dari perusahaan Fortune 500 seperti Xerox dan AOL menggambarkan bahwa shareholder, karyawan, dan perekonomian secara keseluruhan akan menderita ketika perusahaan menerbitkan laporan keuangan yang tidak mencerminkan situasi keuangan mereka.
3. Risiko Keamanan:
Termasuk risiko yang terkait dengan akses dan integritas data.
Akses data oleh pihak yang tidak berwenang dapat berbentuk fisik maupun logika.
Contoh akses fisik oleh pihak yang tidak berwenang:
Seorang pengguna lalai melakukan log off di akhir hari kerja, kemudian seorang petugas kebersihan duduk di PC tersebut dan membaca e-mail rahasia.
Contoh akses logika oleh pihak yang tidak berwenang
Bila pengguna melakukan log off pada PC tersebut dan diperlukan password untuk log on pada jaringan perusahaan, penjaga kebersihan akan ditolak oleh sistem akses logis perusahaan, meskipun petugas tersebut punya akses fisik.
4. Risiko Keberlanjutan:
Termasuk risiko yang terkait dengan ketersediaan sistem back up dan didapatnya kembali data (recovery). Ketersediaan mengacu pada keamanan yang memastikan bahwa sistem informasi akan selalu tersedia bagi penggunanya.
Menilai Risiko Teknologi Informasi
Manager dan auditor harus menilai risiko TI untuk menentukan bagaimana menerapkan sumber daya pada manajemen risiko. Manajemen risiko berusaha menyeimbangkan risiko terhadap kebutuhan organisasi. Untuk menyeimbangkan risiko, kita harus menilainya. Hal ini membutuhkan identifikasi dan pengukuran.
Ancaman dan Kerentanan
Pendekatan Penilaian Risiko TI:
1. Mengidentifikasi ancaman/tekanan (exposure)
2. Menilai kerawanan atas ancaman/tekanan
3. Menetapkan tingkat risiko yang dapat diterima
• Managemen akan mau menghabiskan sejumlah dana yang setara dengan nilai risiko yang diharapkan, untuk mengendalikan risiko tersebut.
• Dapat dilakukan dengan “guesstimation”.
• Formulanya:
Indikator Risiko dan Pengukuran Risiko
Cara lain untuk menilai risiko adalah dengan mengidentifikasi proses TI dan kemudian membangun serangkaian indikator yang berkaitan. Indikator risiko akan menunjukkan kebutuhan pengendalian. Pengukuran penilaian risiko adalah penting karena memungkinkan auditor TI untuk mempersempit lingkup audit dan memaksimumkan efisiensi dan efektifitas.
Cara untuk mengukur risiko:
1. Mengukur nilai kerugian yang diharapkan (expected value of losses) sebagaimana yang disebutkan
2. Menentukan nilai untuk tiap indikator risiko berdasarkan penilaian kekritisannya.
Penjaminan Keterpercayaan Sistem
• AICPA dan Canadian Institute of Chartered Accountants membuat jasa penjamin SysTrust, yang terhubung erat dengan auditing TI.
• SysTrust mengidentifikasi empat prinsip kepercayaan:
1. Ketersediaan (Availability)
2. Keterpeliharaan (Maintainability)
3. Integritas (Integrity)
4. Keamanan (Security)
Memonitor Risiko dan Pengendalian TI
Manajemen risiko membutuhkan perhatian yang konstan, pemonitoran risiko dan pengendalian yang terus menerus.
STANDAR COBIT
COBIT dikembangkan sebagai suatu generally applicable and accepted standard for good Information Technology (IT) security and control practices . Istilah “ generally applicable and accepted ” digunakan secara eksplisit dalam pengertian yang sama seperti Generally Accepted Accounting Principles (GAAP).
Skandal keuangan yang terjadi dalam Enron, Worldcom, Xerox yang melibatkan beberapa KAP yang termasuk dalam “the big five” mendapatkan respon dari Kongres Amerika Serikat, salah satunya dengan diterbitkannya undang-undang (Sarbanex-Oxley Act) yang diprakarsai oleh senator Paul Sarbanes (Maryland) dan wakil rakyat Michael Oxley (Ohio) yang telah ditandatangani oleh presiden George W. Bush. Dalam Sarbanex-Oxley Act diatur tentang Akuntansi, pengungkapan dan pembaharuan tatakelola, yang mensyaratkan adanya pengungkapan yang lebih banyak mengenai informasi keuangan, keterangan tentang hasil-hasil yang dicapai manajemen, kode etik bagi pejabat di bidang keuangan, pembatasan kompensasi ekskutif dan pembentukan komite audit yang independen. Dalam tatakelola yang baik, peranan IT Governance (tatakelola TI) merupakan hal yang sangat penting, dalam konteks organisasi bisnis yang berkembang, kebutuhan akan TI bukan merupakan barang yang langka, dalam konteks ini tatakelola yang baik membutuhkan IT Governance yang baik. COBIT (control objective for information and related technology) dapat digunakan sebagai tools yang digunakan untuk mengefektifkan implementasi Sarbanes-Oxley Act.
Control Objectives for Information and related Technology (COBIT, saat ini edisi ke-4) adalah sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen and pengguna ( user ) untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis. Lembaga Pengaturan IT (IT Governance Institute, ITGI) pada 16 Desember 2005, akan memperbaharui tujuan pengontrolan informasi dan teknologi yang terkait (COBIT), suatu kerangka kerja pengaturan IT yang dapat diterima secara internasional.
COBIT dapat menyediakan seperangkat praktek yang dapat diterima pada umumnya karena dapat membantu para direktur, eksekutif dan manager meningkatkan nilai IT dan mengecilkan resiko.
"Para eksekutif menyadari bahwa dampak informasi dapat menjadikan jalan perusahaan mereka ke arah keberhasilan dan tanggungjawab pengaturan yang meningkat yang mereka miliki untuk menjamin adanya keberhasilan," ujar Erik Guldentops, CISA, CISM, seorang konsultan manajemen di Brussels, Belgia dan juga anggota tim pengembangan COBIT sejak berdirinya.
Edisi COBIT terbaru memberikan praktek dan hubungan ke atas terbaik untuk menunjang persyaratan pengelolaan IT bagi para eksekutif dan direktur dan yang berkaitan dengan hubungan ke bawah digunakan untuk mengatasi persyaratan yang lebih rinci bagi mereka yang bertanggungjawab terhadap solusi dan jasa pengiriman. Ini semua juga memberikan dukungan agar dapat mengoptimalkan investasi IT, menjamin nilai pengiriman dan meringankan resiko IT dengan cara yang lebih transparan.
Walaupun COBIT juga digunakan secara luas sebagai alat untuk keperluan Sarbanes-Oxley (SOX), edisi awalnya mencakup banyak masalahpengendalian aturan termasuk juga SOX. Ia merupakan produk yang diperoleh melalui penelitian dan kerjasama selama 10 tahun antara ahli IT global dan bisnis dan juga sudah tersedia sebagai standar terbuka www.isaca.org/cobit.
Edisi terbaru -- COBIT 4.0 memberikan fokus bisnis yang cukup kuat untuk mengatasi tanggungjawab para direktur dan pegawai. COBIT 4.0 menandai pembaharuan pertama dari isi COBIT sejak dirilisnya edisi COBIT ketiga di tahun 2000. Edisi pertama diterbitkan di tahun 1994. Studi kasus pelaksanaan COBIT di organisasi internasional utama misalnya Unisys, Sun Microsystems dan DPR Amerika juga terdapat di http://www.isaca.org/cobitcasestudies.
"COBIT 4.0 tidak kelihatan seperti sebuah buku akademik. Ada materi yang cukup berguna pada setiap halaman," ujar Christopher Fox, ACA. "COBIT 4.0 mampu menjadi sebuah dokumen yang sangat bermanfaat."
COBIT 4.0 ini juga mencakup bimbingan bagi para direktur dan semua level manajemen dan terdiri atas empat seksi:
Gambaran luas mengenai eksekutif
Kerangka kerja
Isi utama (tujuan pengendalian, petunjuk manajemen dan model kedewasaan)
Appendiks (pemetaan, ajuan silang dan daftar kata-kata)
Isi utama dibagi lagi menurut proses 34 IT dan memberikan gambaran yang sempurna mengenai cara mengendalikan, mengelola dan mengukur masing-masing proses.
Selain itu, COBIT 4.0:
Menganalisa bagaimana tujuan pengendalian dapat dipetakan ke dalam lima wilayah penentuan IT agar dapat mengidentifikasi gap potensial.
Menyesuaikan dan memetakan COBIT ke standar yang lain (ITIL, CMM, COSO, PMBOK, ISF and ISO 17799)
Mengklarifikasikan indikator tujuan utama (KGI) dan indikator hubungan kinerja utama (KPI), dengan mengenal bagaimana KPI dapat bergerak mencapai KGI.
Menghubungkan tujuan bisnis, IT and proses IT (penelitian mendalam di delapan industri dengan pandangan yang lebih jelas tentang bagaimana proses COBIT mendukung tercapainya tujuan IT spesifik dan dengan perluasan, tujuan bisnis).
COBIT 4.0 bisa menggantikan komponen edisi ketiga yang menyangkut Ringkasan Eksekutif, Kerangka kerja, Tujuan Pengontrolan dan Petunjuk Manajemen. Pekerjaan sedang dilakukan agar bisa mengatasi petunjuk Audit.
Perkenalan COBIT 4.0 tetap akan melakukan pekerjaan yang dilakukan oleh COBIT edisi ketiga, tetapi hanya memberikan kesempatan untuk membangun pekerjaan itu dan selanjutkan meningkatkan penentuan IT dan pengendaliannya bila cocok.
Tentang COBIT
COBIT® (Tujuan pengendalian bagi informasi dan teknologi terkait®)) dikeluarkan oleh ITGI dapat diterima secara internasional sebagai praktek pengendalian atas informasi, IT dan resiko terkait. COBIT digunakan untuk menjalankan penentuan atas IT dan meningkatkan pengontrolan IT. COBIT juga berisi tujuan pengendalian, petunjuk audit, kinerja dan hasil metrik, faktor kesuksesan dan model kedewasaan.
Tentang ITGI
Lembaga Pengaturan IT® (IT Governance Institute, ITGI) (http://www.itgi.org) didirikan pada tahun 1998 untuk memajukan pemikiran dan standar internasional dalam mengarahkan dan mengendalikan teknologi informasi sebuah perusahaan. Pengaturan IT yang efektif dapat membantu meyakinkan bahwa IT sangat mendukung tujuan bisnis dan mengelola resiko yang berkaitan dengan IT dan kesempatan. Lembaga Pengaturan IT mengembangkan tujuan pengendalian bagi informasi dan teknologi terkait (COBIT) serta menawarkan penelitian dan studi kasus untuk membantu pengelola perusahaan dan para direktur dalam tanggungjawab pengaturan IT.
COBIT dikembangkan oleh IT Governance Institute, yang merupakan bagian dari Information Systems Audit and Control Association (ISACA). COBIT memberikan arahan ( guidelines ) yang berorientasi pada bisnis, dan karena itu business process owners dan manajer, termasuk juga auditor dan user, diharapkan dapat memanfaatkan guideline ini dengan sebaik-baiknya.
Cobit Framework terdiri atas empat domain utama yang merupakan proses pengendalian sistem informasi, yaitu :
a. Planning & Organization
Domain ini memiliki 11 control objectives, menitikberatkan pada proses perencanaan dan penyelarasan strategi TI dengan strategi perusahaan.
b. Acquisition & Implementation
Domain ini memiliki 6 control objectives, menitikberatkan pada proses pemilihan, pengadaan dan penerapan TI yang digunakan
c. Delivery and Support
Domain ini memiliki 13 control objectives, menyangkut penyampaian layanan yang diperlukan, dengan menyusun sistem aplikasi terhadap keamanan dan kontinuitas proses TI yang tersedia.
d. Monitoring
Domain ini memiliki 4 control objectives, menitikberatkan pada pengarahan dan pengawasan proses TI dalam organisasi agar resiko dapat diminimize dan penjaminan independen yang disediakan oleh auditor internal maupun eksternal yang indepenen kewenangan dalam pengorganisasian.
Audit Guidelines: Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci ( detailed control objectives ) untuk membantu para auditor dalam memberikan management assurance dan/atau saran perbaikan.
Management Guidelines: Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut:
Sejauh mana Anda (TI) harus bergerak, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.
Apa saja indikator untuk suatu kinerja yang bagus?
Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses ( critical success factors )?
Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan?
Bagaimana dengan perusahaan lainnya – apa yang mereka lakukan?
Bagaimana Anda mengukur keberhasilan dan bagaimana pula membandingkannya.
The COBIT Framework memasukkan juga hal-hal berikut ini:
Maturity Models – Untuk memetakan status maturity proses-proses TI (dalam skala 0 – 5) dibandingkan dengan “the best in the class in the Industry” dan juga International best practices
Critical Success Factors (CSFs) – Arahan implementasi bagi manajemen agar dapat melakukan kontrol atas proses TI.
Key Goal Indicators (KGIs) – Kinerja proses-proses TI sehubungan dengan business requirements
Key Performance Indicators (KPIs) – Kinerja proses-proses TI sehubungan dengan process goals
Sedang, COBIT’s “good practices” mencerminkan konsensus antar para ahli di seluruh dunia. COBIT dapat digunakan sebagai IT Governance tools, dan juga membantu perusahaan mengoptimalkan investasi TI mereka. Hal penting lainnya, COBIT dapat juga dijadikan sebagai acuan atau referensi apabila terjadi suatu kesimpang-siuran dalam penerapan teknologi.
Suatu perencanaan Audit Sistem Informasi berbasis teknologi (audit TI) oleh Internal Auditor, dapat dimulai dengan menentukan area-area yang relevan dan berisiko paling tinggi, melalui analisa atas ke-34 proses tersebut. Sementara untuk kebutuhan penugasan tertentu, misalnya audit atas proyek TI, dapat dimulai dengan memilih proses yang relevan dari proses-proses tersebut.
Lebih lanjut, auditor dapat menggunakan Audit Guidelines sebagai tambahan materi untuk merancang prosedur audit. Singkatnya, COBIT khususnya guidelines dapat dimodifikasi dengan mudah, sesuai dengan industri, kondisi TI di Perusahaan atau organisasi Anda, atau objek khusus di lingkungan TI.
Selain dapat digunakan oleh Auditor, COBIT dapat juga digunakan oleh manajemen sebagai jembatan antara risiko-risiko TI dengan pengendalian yang dibutuhkan (IT risk management) dan juga referensi utama yang sangat membantu dalam penerapan IT Governance di perusahaan.
PENTINGNYA AUDIT SISTEM INFORMASI E-GOVERNMENT
Dengan pemahaman bahwa manajemen TIK di lembaga pemerintahan merupakan suatu hal rumit dan kompleks serta penting bagi layanan publik, maka sudah pasti semua pimpinan lembaga pemerintahan ingin mengetahui kondisi ketatakelolaan TIK yang selama ini telah dilaksanakan di lembaganya. Berikut jurusnya.
Pendahuluan
Kita seringkali sulit untuk dapat menjawab beberapa pertanyaan ini :
1. Apakah aset Teknologi Informasi & Komunikasi (TIK) yang kita miliki sudah dilindungi dengan layak dari risiko kerusakan, kehilangan, kesalahan atau penyalahgunaan ?
2. Apakah informasi yang diolah melalui TIK tersebut sudah dapat kita yakini integritasnya (kelengkapan dan akurasi) ?
3. Apakah solusi TIK yang kita kembangkan sudah dapat mencapai tujuannya dan membantu pencapaian tujuan lembaga kita dengan efektif ?
4. Apakah sumber daya TIK yang kita miliki sudah dimanfaatkan dengan efisien dan bertanggung jawab ?
Definisi Audit Sistem Informasi
Salah satu cara dalam menjawab pertanyaan-pertanyaan tersebut diatas adalah dengan melakukan audit atas solusi TIK yang kita miliki, atau yang lazim disebut dengan Audit Sistem Informasi.
Definisi Audit Sistem Informasi adalah suatu proses pengumpulan dan pengevalusian bukti-bukti yang dilakukan oleh pihak yang independen dan kompeten untuk mengetahui apakah suatu sistem informasi dan sumber daya terkait, secara memadai telah dapat :
melindungi aset,
menjaga integritas dan ketersediaan sistem dan data,
menyediakan informasi yang relevan dan handal,
mencapai tujuan organisasi dengan efektif,
menggunakan sumber daya dengan efisien,
Proses Audit Sistem Informasi
Proses audit sistem informasi yang berbasis risiko serta sesuai dengan standar audit dapat digambarkan secara singkat sebagai berikut :
Pada tahap survei pendahuluan, auditor akan berusaha untuk memperoleh gambaran umum dari lingkungan TIK yang akan diaudit. Kemudian dilanjutkan dengan pemahaman yang lebih mendalam dari seluruh sumber daya TIK – infrastruktur, aplikasi, informasi, personil – yang termasuk ke dalam lingkup audit, serta pemahaman atas sistem pengendalian intern TIK yang ada seperti struktur organisasi, kebijakan, prosedur, standar, parameter, dan alat bantu kendali lainnya.
Selanjutnya auditor akan melakukan analisis risiko pendahuluan untuk mengidentifikasi berbagai risiko yang mungkin timbul di lingkungan TIK yang diaudit serta kelayakan rancangan pengendalian intern TIK yang telah ada. Jika rancangan pengendalian intern TIK dipandang memadai maka auditor selanjutnya akan melakukan pengujian dari pelaksanaan kendali-kendali tersebut, namun jika dipandang tidak layak maka auditor akan langsung melakukan pengujian terinci terhadap risiko TIK secara mendalam (dengan jumlah sampel yang cukup besar).
Setelah melakukan pengujian pengendalian intern TIK dan auditor telah memperoleh bukti yang memadai bahwa pengendalian intern TIK telah dilaksanakan sesuai rancangannya maka selanjutnya auditor akan melakukan pengujian terinci atas risiko TIK secara terbatas (dengan jumlah sampel yang terbatas). Namun jika hasil pengujian pengendalian intern TIK menunjukkan bahwa pelaksanaan pengendalian intern TIK tidak sesuai dengan rancangannya maka auditor akan melakukan pengujian terinci risiko TIK secara mendalam.
Bukti-bukti yang diperoleh auditor dari hasil analisis risiko dan rancangan kendali serta pengujian pengendalian intern TIK dan pengujian terinci risiko TIK selanjutnya akan digunakan oleh auditor untuk menyusun laporan audit sistem informasi yang memuat kesimpulan audit beserta tanggapan dari pihak yang diaudit atas rekomendasi yang disampaikan oleh auditor dalam rangka peningkatan pengendalian intern TIK.
Tujuan dan Lingkup Audit Sistem Informasi
Tujuan Audit Sistem Informasi dapat dikelompokkan ke dalam dua aspek utama dari ketatakelolaan TIK, yaitu :
Conformance (Kesesuaian) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu : Confidentiality (Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan) dan Compliance (Kepatuhan).
Performance (Kinerja) - Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu : Effectiveness (Efektifitas), Efficiency (Efisiensi), Reliability (Kehandalan).
Lingkup Audit Sistem Informasi pada umumnya difokuskan kepada seluruh sumber daya TIK yang ada, yaitu Aplikasi, Informasi, Infrastruktur dan Personil.
Untuk lebih praktisnya, berikut ini adalah beberapa tujuan audit sistem informasi yang pernah dilakukan, antara lain :
Evaluasi atas kesesuaian (strategic alignment) antara rencana strategis dan rencana tahunan organisasi dengan rencana strategis TIK, rencana tahunan TIK dan rencana proyek/program TIK.
Evaluasi atas kelayakan struktur organisasi TIK, termasuk pemisahan fungsi (segregation of duties) dan kelayakan pelimpahan wewenang dan otoritas (delegation of authority).
Evaluasi atas pengelolaan personil TIK, termasuk perencanaan kebutuhan, rekrutmen dan seleksi, pelatihan dan pendidikan, promosi/demosi/mutasi, serta terminasi personil TIK.
Evaluasi atas pengembangan TIK, termasuk analisis kebutuhan, perancangan, pengembangan, pengujian, implementasi dan migrasi, pelatihan dan dokumentasi TIK, serta manajemen perubahaan.
Evaluasi atas kegiatan operasional TIK, termasuk pengelolaan keamanan dan kinerja pengelolaan pusat data (data center), pengelolaan keamanan dan kinerja jaringan data, dan pengelolaan masalah dan insiden TIK serta dukungan pengguna (helpdesk).
Evaluasi atas kontinuitas layanan TIK, termasuk pengelolaan backup & recovery, pengelolaan prosedur darurat TIK (IT emergency plan), pengelolaan rencana pemulihan layanan TIK (IT recovery plan), serta pengujian rencana kontijensi operasional (business contigency/continuity plan).
Evaluasi atas kualitas pengendalian aplikasi, termasuk pengendalian input, pengendalian proses dan pengendalian output.
Evaluasi atas kualitas data/informasi, termasuk pengujian atas kelengkapan dan akurasi data yang dimasukkan, diproses, dan dihasilkan oleh sistem informasi.
Peranan Audit Sistem Informasi di Lembaga Pemerintahan
Dengan pemahaman bahwa manajemen TIK di lembaga pemerintahan merupakan suatu hal rumit dan kompleks serta penting bagi layanan publik, maka sudah pasti semua pimpinan lembaga pemerintahan ingin mengetahui kondisi ketatakelolaan TIK yang selama ini telah dilaksanakan di lembaganya.
Disinilah peranan Audit Sistem Informasi di dalam suatu lembaga pemerintahan, yaitu untuk memberikan suatu hasil evaluasi yang independen mengenai kesesuaian dan kinerja dari TIK yang ada, apakah sudah dapat melindungi aset TIK, menjaga integritas dan ketersediaan sistem dan data, menyediakan informasi yang relevan dan handal, dan mencapai tujuan organisasi dengan efektif, serta menggunakan sumber daya TIK dengan efisien.
Para pemeriksa dari BPK, BPKP dan Bawasda serta kantor akuntan publik atau konsultan audit yang melakukan audit atas lembaga pemerintahan, diharapkan dapat memberikan suatu hasil evaluasi yang independen atas kesesuaian dan kinerja pengelolaan TIK di lembaga pemerintahan, serta memberikan berbagai rekomendasi yang dapat dengan signifikan meningkatkan ketatakelolaan TIK di lembaga tersebut.
Keterpurukan ketatakelolaan TIK di lembaga pemerintahan saat ini, yang seringkali hanyalah berupa belanja-belanja proyek TIK tanpa kejelasan kesesuaian dan kinerja yang diharapkan, tentunya tidak lepas dari kemampuan para pemeriksa dalam melakukan evaluasi dan memberikan rekomendasi terkait ketatakelolaan TIK serta komitmen dari para pimpinan lembaga dalam menindaklanjuti rekomendasi tersebut. Audit Sistem Informasi tidak dilaksanakan untuk mencari temuan atau kesalahan, namun untuk memberikan kesimpulan serta merekomendasikan perbaikan yang dapat dilakukan atas pengelolaan TIK.
Manfaat Audit Sistem Informasi di Lembaga Pemerintahan
Secara sederhana, dapat dikatakan bahwa Audit Sistem Informasi di lembaga pemerintahaan akan dapat memberikan banyak manfaat, antara lain :
Meningkatkan perlindungan atas aset TIK lembaga pemerintahan yang merupakan kekayaan negara, atau dengan kata lain aset milik publik,
Meningkatkan integritas dan ketersediaan sistem dan data yang digunakan oleh lembaga pemerintahan baik dalam kegiatan internal lembaga maupun dalam memberikan layanan publik,
Meningkatkan penyediaan informasi yang relevan dan handal bagi para pemimpin lembaga pemerintahan dalam mengambil keputusan dalam menjalankan layanan publik,
Meningkatkan peranan TIK dalam pencapaian tujuan lembaga pemerintaha dengan efektif, baik itu untuk terkait dengan kebutuhan internal lembaga tersebut, maupun dengan layanan publik yang diberikan oleh lembaga tersebut,
Meningkatkan efisiensi penggunaan sumber daya TIK serta efisiensi secara organisasional dan prosedural di lembaga pemerintahan.
Dengan kata lain, Audit Sistem Informasi merupakan suatu komponen dan proses yang penting bagi lembaga pemerintahan dalam upayanya untuk memberikan jaminan yang memadai kepada publik atas pemanfaatan TIK yang telah dilaksanakan oleh lembaga pemerintahan.
Langganan:
Posting Komentar (Atom)
Tidak ada komentar:
Posting Komentar
Assalamualaikum...