AUDIT TEKNOLOGI SISTEM INFORMASI

AUDIT BANK SWASTA
Sebuah Bank Swasta terkemuka menunjuk tim audit TI Ernst & Young untuk melakukan review atas penerapan sistem Perbankan yang terintegrasi. Pemeriksaan ini terbagi dalam dua fase. Pada fase pertama mencakup kegiatan, sebagai berikut: 

1. Manajemen Proyek

Melakukan review atas manajemen proyek untuk memastikan bahwa semua outcome yang diharapkan tertuang dalam rencana proyek. Pada tahapan ini, auditor TI melakukan review atas project charter, sumber daya yang akan digunakan, alokasi penugasan dan analisa tahapan pekerjaan proyek.

2. Desain Proses dan Pengendalian Kontrol Aplikasi

Review mengenai desain pengendalian dalam modul-modul Perbankan tersebut, yaitu pinjaman dan tabungan. Untuk itu dilakukan review atas desain proses dimana auditor mengevaluasi proses, risiko dan pengendalian mulai dari tahapan input, proses maupun output.

3. Desain Infrastruktur

Review ini mencakup analisa efektivitas dan efisiensi desain infrastruktur pendukung (server, workstation, sistem operasi, database dan komunikasi data).  Hasil follow up dijadikan dasar oleh manajemen untuk memulai implementasi sistem Perbankan yang terintegrasi tersebut.  Berdasarkan nilai tambah yang diberikan melalui rekomendasi pada fase pertama, perusahaan menunjuk kembali auditor untuk melakukan review fase kedua secara paralel pada saat implementasi dilakukan, yaitu review terhadap:

•        Migrasi data, pada saat “roll-out” ke cabang-cabang, termasuk kapasitas pemrosesan dan penyimpanannya.
•          Aspek lainnya termasuk persiapan help-desk , contingency dan security .
•          Kesiapan pemakai dalam menggunakan sistem ini, kualitas pelatihan yang diberikan dan dokumentasi pengguna ( user manual )

         Prosedur-prosedur manajemen perubahan ( change management ) dan testin Auditor selanjutnya diminta memberikan saran mengenai risiko-risiko yang masih tersisa, sebelum manajemen memutuskan sistem barunya dapat “go-live”.  

Penyelesaian

Seiring dengan makin banyaknya institusi, baik pemerintahan maupun swasta, yang mengandalkan TI untuk mendukung jalannya operasional sehari-hari, maka kesadaran akan perlunya dilakukan review atas pengembangan suatu sistem informasi semakin meningkat. 

Risiko-risiko yang mungkin ditimbulkan sebagai akibat dari gagalnya pengembangan suatu sistem informasi, antara lain:

§         Biaya pengembangan sistem melampaui anggaran yang ditetapkan.

• §         Sistem tidak dapat diimplementasikan sesuai dengan jadwal yang ditetapkan.

• §         Sistem yang telah dibangun tidak memenuhi kebutuhan pengguna.

• §         Sistem yang dibangun tidak memberikan dampak effisiensi dan nilai ekonomis terhadap jalannya operasi institusi, baik pada masa sekarang maupun masa datang.

• §         Sistem yang berjalan tidak menaati perjanjian dengan pihak ketiga atau memenuhi aturan yang berlaku.

Untuk mengantisipasi hal itu, perusahaan menginginkan adanya assurance dari pihak yang berkompeten dan independen mengenai kondisi sistem TI yang akan atau sedang mereka gunakan. Pihak yang paling berkompeten dan memiliki keahlian untuk melakukan review tersebut adalah Auditor Sistem Informasi (Auditor TI).

Pekerjaan auditor TI ini belum banyak dikenal di Indonesia . Di samping itu, jumlah tenaga auditor TI yang menyandang sertifikasi Internasional ( CISA, Certified Information System Auditor ) juga masih sangat terbatas.

Best Practice menyarankan agar dalam proses pengembangan suatu sistem informasi yang signifikan, perlu dilakukan review, baik itu sebelum atau pada saat implementasi ( pre-implementation system ), maupun setelah sistem “live” ( post-implementation system ).

Manfaat Pre-Implementation Review:

• §         Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria.

• §         Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.

• §         Mengetahui apakah outcome sesuai dengan harapan manajemen.

Manfaat Post-Implementation Review:

• §         Institusi mendapat masukan atas risiko-risiko yang masih ada dan saran untuk penanganannya.

• §         Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis dan anggaran pada periode berikutnya.

§         Bahan untuk perencanaan strategis dan rencana anggaran di masa datang.

• §         Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan.

• §         Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwenang untuk melakukan pemeriksaan.

Sumber : 
http://auditit50.blogspot.co.id/2012/11/studi-kasus.html

ASA

Audit Trail, Real Time Audit dan IT Forensik.

IT Audit Trail

Audit Trail merupakan salah satu fitur dalam suatu program yang mencatat semua kegiatan yang dilakukan tiap user dalam suatu tabel log. secara rinci. Audit Trail secara default akan mencatat waktu , user, data yang diakses dan berbagai jenis kegiatan. Jenis kegiatan bisa berupa menambah, merungubah dan menghapus. Audit Trail apabila diurutkan berdasarkan waktu bisa membentuk suatu kronologis manipulasi data.Dasar ide membuat fitur Audit Trail adalah menyimpan histori tentang suatu data (dibuat, diubah atau dihapus) dan oleh siapa serta bisa menampilkannya secara kronologis. Dengan adanya Audit Trail ini, semua kegiatan dalam program yang bersangkutan diharapkan bisa dicatat dengan baik.

Cara Kerja Audit Trail
Audit Trail yang disimpan dalam suatu tabel
1. Dengan menyisipkan perintah penambahan record ditiap query Insert, Update dan Delete
2. Dengan memanfaatkan fitur trigger pada DBMS. Trigger adalah kumpulan SQL statement, yang secara otomatis menyimpan log pada event INSERT, UPDATE, ataupun DELETE pada sebuah tabel.

Fasilitas Audit Trail
Fasilitas Audit Trail diaktifkan, maka setiap transaksi yang dimasukan ke Accurate, jurnalnya akan dicatat di dalam sebuah tabel, termasuk oleh siapa, dan kapan. Apabila ada sebuah transaksi yang di-edit, maka jurnal lamanya akan disimpan, begitu pula dengan jurnal barunya.

Hasil Audit Trail
Record Audit Trail disimpan dalam bentuk, yaitu :

1.     Binary File – Ukuran tidak besar dan tidak bisa dibaca begitu saja

2.     Text File – Ukuran besar dan bisa dibaca langsung

3.     Tabel.

Real Time Audit

Real Time Audit atau RTA adalah suatu system untuk mengawasi kegiatan teknis dan keuangan sehingga dapat memberikan penilaian yang transparan status saat ini dari semua kegiatan, dimana pun mereka berada. Real Time Audit mendukung semua langkah dari satu proyek dari konsep, mempersiapkan satu usulan penuh, melakukan analisa putusan untuk mengidentifikasi jual system final sehingga ketika untuk memilih proyek terbaik manajemen hak suara kemudian dukungan pembuatan keputusan pada penerimaan atau merosot untuk membuat investasi perlu.

Ruang Lingkup Real Time Audit

a. Teknologi

RTA memanfaatkan kekuatan dan kenyamanan dari World Wide Web untuk mengumpulkan informasi terkini tentang keadaan semua informasi yang menarik dan mengirimkan informasi ini secara real time kepada pihak yang berkepentingan terletak di mana saja di dunia. 

b. Keputusan yang tepat waktu

Manfaat dasar informasi real time adalah untuk memastikan keadaan kesadaran yang tinggi dari semua informasi yang relevan tentang kegiatan sehingga memungkinkan situasi yang tepat waktu dan responsi terhadap perubahan kondisi atau peristiwa yang mungkin akan menghambat dalam mencapai tujuan kegiatan.

c. Sumber Daya Generik

RTA adalah sumber daya generik dan tidak tergantung “alat / hardware”. Karena itu, sepenuhnya beradaptasi dengan sebagian besar aplikasi pusat yang menyediakan informai kegiatan proses dan hasil.

d. Spesifik

Sistem aplikasi khusus yang diterapkan RTA menyediakan konteks untuk spesifikasi dari kumpulan data diperlukan. Di mana data yang digunakan untuk mendukung keputusan yang relevan dengan proses manajemen juga terstruktur sesuai dengan proses aplikasi dan tujuan dari proses itu. 

e. Perencanaan yang pasti dan Fleksibel

Sistem aplikasi khusus yang diterapkan RTA menyediakan konteks untuk spesifikasi dari kumpulan data diperlukan. Di mana data yang digunakan untuk mendukung keputusan yang relevan dengan proses manajemen juga terstruktur sesuai dengan proses aplikasi dan tujuan dari proses itu. Dalam setiap kasus, sangat penting untuk memastikan bahwa dimensi dan konfigurasi kemampuan manajemen informasi.

IT Forensik

  Definisi dari IT Forensik yaitu suatu ilmu yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode yang digunakan (misalnya metode sebab-akibat). Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti-bukti yang akan digunakan dalam proses selanjutnya.Selain itu juga diperlukan keahlian dalam bidang IT ( termasuk diantaranya hacking) dan alat bantu (tools) baik hardwaremaupun software untuk membuktikan pelanggaran-pelanggaran yang terjadi dalam bidang teknologi sistem informasi tersebut.

Tujuan IT Forensik:

1.      Untuk membantu memulihkan, menganalisa, dan mempresentasikan materi/entitas berbasis digital atau elektronik sedemikian rupa sehingga dapat dipergunakan sebagai alat buti yang sah di pengadilan.

2.      Untuk mendukung proses identifikasi alat bukti dalam waktu yang relatif cepat, agar dapat diperhitungkan perkiraan potensi dampak yang ditimbulkan akibat perilaku jahat yang dilakukan oleh kriminal terhadap korbannya, sekaligus mengungkapkan alasan dan motivitasi tindakan tersebut sambil mencari pihak-pihak terkait yang terlibat secara langsung maupun tidak langsung dengan perbuatan tidak menyenangkan dimaksud.

Pengetahuan yang diperlukan IT Forensik :

1.      Dasar-dasar hardware dan pemahaman bagaimana umumnya sistem operasi bekerja

2.      Bagaimana partisi drive, hidden partition, dan di mana tabel partisi bisa ditemukan pada sistem operasi yang berbeda

3.      Bagaimana umumnya master boot record tersebut dan bagaimana drive geometry

4.      Pemahaman untuk hide, delete, recover file dan directory bisa mempercepat pemahaman pada bagaimana tool forensik dan sistem operasi yang berbeda bekerja.

5.      Familiar dengan header dan ekstension file yang bisa jadi berkaitan dengan file tertentu

Pinsip IT Forensik:

1.      Forensik bukan proses hacking

2.      Data yang diperoleh harus dijaga dan jangan berubah

3.      Membuat image dari HD/Floppy/USB-Stick/Memory-dump adalah prioritas tanpa merubah isi dan terkadang menggunakan hardware khusus

4.      Image tersebut yang diolah (hacking) dan dianalisis – bukan yang asli

5.      Data yang sudah terhapus membutuhkan tools khusus untuk merekonstruksi kembali

6.      Pencarian bukti dengan tools pencarian teks khusus atau mencari satu persatu dalam image

Undang – Undang IT Forensik:

Secara umum, materi Undang-Undang Informasi dan Transaksi Elektronik (UUITE) dibagi menjadi dua bagian besar, yaitu pengaturan mengenai informasi dan transaksi elektronik dan pengaturan mengenai perbuatan yang dilarang. Pengaturan mengenai informasi dan transaksi elektronik mengacu pada beberapa instrumen internasional, seperti UNCITRAL Model Law on eCommerce dan UNCITRAL Model Law on eSignature. Bagian ini dimaksudkan untuk mengakomodir kebutuhan para pelaku bisnis di internet dan masyarakat umumnya guna mendapatkan kepastian hukum dalam melakukan transaksi elektronik. Beberapa materi yang diatur, antara lain:

1.      pengakuan informasi/dokumen elektronik sebagai alat bukti hukum yang sah (Pasal 5 & Pasal 6 UU ITE);

2.      tanda tangan elektronik (Pasal 11 & Pasal 12 UU ITE);

3.      penyelenggaraan sertifikasi elektronik (certification authority, Pasal 13 & Pasal 14 UU ITE);

4.      penyelenggaraan sistem elektronik (Pasal 15 & Pasal 16 UU ITE);

Beberapa materi perbuatan yang dilarang (cybercrimes) yang diatur dalam UU ITE, antara lain:

1.      konten ilegal, yang terdiri dari, antara lain: kesusilaan, perjudian, penghinaan/pencemaran nama baik, pengancaman dan pemerasan (Pasal 27, Pasal 28, dan Pasal 29 UU ITE);

2.      akses ilegal (Pasal 30);

3.      intersepsi ilegal (Pasal 31);

4.      gangguan terhadap data (data interference, Pasal 32 UU ITE);

5.      gangguan terhadap sistem (system interference, Pasal 33 UU ITE);

6.      penyalahgunaan alat dan perangkat (misuse of device, Pasal 34 UU ITE);

Source :

https://wisnucreation.wordpress.com/2011/04/04/pengertian-audit-trail/

https://salamunhasan.wordpress.com/2013/05/07/real-time-audit/

https://thekicker96.wordpress.com/definisi-it-forensik/

http://gilangsaputra11.blogspot.co.id/2017/11/audit-trail-real-time-audit-dan-it.html

METODOLOGI AUDIT IT

Dalam praktiknya,tahapan-tahapan dalam audit IT tidak berbeda dengan audit pada umumnya, sebagai berikut :

1.       Tahapan Perencanaan

Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar obyek yang akan diperiksa sehingga menghasilkan suatu program audit yang didesain sedemikian rupa agar pelaksanaannya akan berjalan efektif dan efisien.

2.       Mengidentifikasikan resiko dan kendali

Untuk memastikan bahwa qualified resource sudah dimiliki,dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktik-praktik terbaik.

3.       Mengevaluasi kendali dan mengumpulkan bukti-bukti

Melalui berbagai teknik termasuk survei, interview, observasi, dan review dokumentasi

4.      Mendokumentasikan

Mengumpulkan temuan-temuan dan mengidentifikasikan dengan auditee.

 Menyusun laporan

Mencakup tujuan pemeriksaan,sifat,dan kedalaman pemeriksaan yang dilakukan.

Alasan Dilakukan Audit IT

Menurut Weber (1999) terdapat beberapa alasan mendasar mengapa organisasi perlu melakukan audit sebagai evaluasi dan pengendalian terhadap sistem yang digunakan oleh organisasi :

1. Pencegahan terhadap biaya organisasi untuk data yang hilang

Kehilangan data dapat terjadi karena ketidakmampuan pengendalian terhadap pemakaian komputer. 

2. Pengambilan keputusan yang tidak sesuai

Membuat keputusan yang berkualitas tergantung pada kualitas data yang akurat dan kualitas dari proses pengambilan keputusan itu sendiri. 

3. Penyalahgunaan komputer

Penyalahgunaan komputer memberikan pengaruh kuat terhadap pengembangan EDP audit maka untuk dapat memahami EDP audit diperlukan pemahaman yang baik terhadap beberapa kasus penyalahgunaan komputer yang pernah terjadi.

4. Nilai dari perangkat keras komputer, perangkat lunak dan personel

Disamping data, hardware dan software serta personel komputer juga merupakan sumber daya yang kritikal bagi suatu organisasi, walaupun investasi hardware perusahaan sudah dilindungi oleh asuransi, tetapi kehilangan hardware baik terjadi karena kesengajaan maupun ketidaksengajaan dapat mengakibatkan gangguan.

5. Biaya yang tinggi untuk kerusakan komputer

Saat ini pemakaian komputer sudah sangat meluas dan dilakukan juga terhadap fungsi kritis pada kehidupan kita. 

6. Kerahasiaan

Banyak data tentang diri pribadi yang saat ini dapat diperoleh dengan cepat, dengan adanya komputerisasi kependudukan maka data mengenai seseorang dapat segera diketahui termasuk hal – hal pribadi.

7. Pengontrolan penggunaan komputer

Teknologi adalah hal yang alami, tidak ada teknologi yang baik atau buruk. Pengguna teknologi tersebut yang dapat menentukan apakah teknologi itu akan menjadi baik atau malah menimbulkan gangguan.

Manfaat audit dikelompokkan menjadi tiga kelompok dasar yang menikmati manfaat audit, yaitu :

A. Bagi Pihak yang diaudit

1. Menambah Kredibilitas laporan keuangannya sehingga laporan tersebut dapat dipercaya untuk kepentingan pihak luar entitas seperti pemegang saham, kreditor, pemerintah, dan lain-lain.

2. Mencegah dan menemukan fraud yang dilakukan oleh manajemen perusahaan yang diaudit.
3. Memberikan dasar yang dapat lebih dipercaya untuk penyiapan Surat Pemberitahuan Pajak yang diserahkan kepada Pemerintah.
4. Membuka pintu bagi masuknya sumber- pembiayaan dari luar.
5. Menyingkap kesalahan dan penyimpangan moneter dalam catatan keuangan.

B. Bagi anggota lain dalam dunia usaha

1. Memberikan dasar yang lebih meyakinkan para kreditur atau para rekanan untuk mengambil keputusan pemberian kredit.
2. Memberikan dasar yang lebih meyakinkan kepada perusahaan asuransi untuk menyelesaikan klaim atas kerugian yang diasuransikan.
3. Memberikan dasar yang terpercaya kepada para investor dan calon investor untuk menilai prestasi investasi dan kepengurusan manajemen
4. Memberikan dasar yang objektif kepada serikat buruh dan pihak yang diaudit untuk menyelesaikan sengketa mengenai upah dan tunjangan.
5. Memberikan dasar yang independen kepada pembeli maupun penjual untuk menentukan syarat penjualan, pembelian atau penggabungan perusahaan.
6. Memberikan dasar yang lebih baik, meyakinkan kepada para langganan atau klien untuk menilai profitabilitas atau Audit Finansial, Audit Manajemen, Dan Sistem Pengendalian Intern 45
rentabilitas perusahaan itu, efisiensi operasionalnya, dan keadaan keuangannya.

C. Bagi badan pemerintah dan orang-orang yang bergerak di bidang hukum
1. Memberikan tambahan kepastian yang independen tentang kecermatan dan keandalan laporan keuangan.
2. Memberikan dasar yang independen kepada mereka yang bergerak di bidang hukum untuk mengurus harta warisan dan harta titipan, menyelesaikan masalah dalam kebangkrutan dan insolvensi, dan menentukan pelaksanaan perjanjian persekutuan dengan cara semestinya.
3. Memegang peranan yang menentukan dalam mencapai tujuan Undang-Undang Keamanan Sosial.

Source : 

https://indrabexs.wordpress.com/2010/01/07/tujuan-dan-manfaat-audit/

https://sis.binus.ac.id/2015/06/24/pentingnya-audit-sistem-informasi-bagi-organisasi/