Standar dan panduan untuk audit sistem informasi

Standar dan Panduan Audit Sistem Informasi 

Panduan yang dipergunakan dalam Audit Sistem Informasi di Indonesia adalah Standar Atestasi, dan aturan-aturan yang dikeluarkan oleh organisasi profesi akuntansi (IAI di Indonesia, AICPA di USA, atau CICA untuk Kanada), maupun yang lebih khusus lagi, yaitu dari ISACA atau IIA. Model referensi sistem pengendalian intern (internal controls model/framework) lazimnya adalah COBIT. Audit objectives dalam audit terhadap IT governance (menurut COBIT adalah: effectiveness, confidentiality, data integrity, availability, efficiency, dan realibility). Karena yang diperiksa adalah tata-kelola Teknologi Informasi (IT governance), maka yang diperiksa antara lain adalah Teknologi Informasi itu sendiri. Karena itu istilah audit arround the computer dan audit through the computer tidak relevan lagi di sini.

Dalam pelaksanaannya, jenis audit ini berkembang dalam beberapa variannya:

1.   Pemeriksaan Operasional (Operational Audit) terhadap pengelolaan sistem informasinya, atau lebih tepatnya terhadap tata-kelola Teknologi Informasi (IT governance).

2.       General Information review, Audit terhadap Sistem Informasi secara umum pada suatu organisasi tertentu.

3.       Audit terhadap aplikasi tertentu yang sedang dikembangkan (Quality Assurance pada tahap system development), Quality Assurance pada systems development.

Di dalam audit ini, auditor bukan anggota dari tim pengembangan sistem, tetapi membantu tim untuk meningkatkan kualitas dari sistem yang mereka rancang dan implementasikan. Auditor mewakili pimpinan proyek dan menejemen perusahaan untuk memonitor kegiatan tim.

·         Postimplementation audit: Audit terhadap aplikasi tertentu yang sudah dioperasikan (postimplementation audit yang bersifat application software review). Audit e-business atau e-commerce, di USA ikatan akuntan publiknya (AICPA) menawarkan jasa webtrust, bahkan juga systrust.

Audit juga dapat dilaksanakan untuk jenis lingkup penugasan tertentu, misalnya:

·       - telaah lingkungan Teknologi Informasi, termasuk aspek-aspek fisik dan infrastruktur (Physical and environmental review).

·       - Telaah proses bisnis dan seberapa jauh Teknologi Informasi mendukungnya (Business continuity review).

·    - Telaah kepemilikan Teknologi Informasi, apakah sewa/leasing, dimiliki oleh perusahaan sepenuhnya, atau dimiliki perusahaan outsourcing.

·        - Telaah sistem jaringan dan keamanan (Network security review).

·        - Telaah integritas data pada Sistem Informasi (Data integrity review).

·       - Telaah administrasi sistem, meliputi: keamanan sistem operasi, manajemen database, prosedur dan ketaatan administrasi secara keseluruhan (System administration review).

Jadi dapat disimpulkan bahwa pengertian audit Sistem Informasi dapat dikelompokkan dalam dua tipe, yaitu: Audit Sistem Informasi akuntansi berbasis Teknologi Informasi yang merupakan bagian dari kegiatan audit laporan keuangan (general financial audit). Pemeriksaan dilakukan terhadap Sistem Akuntansi berbasis komputer. Di pihak lain Audit Sistem Informasi juga dapat dikategorikan sebagai jenis audit operasional, khususnya kalau pemeriksaan yang dilakukan adalah dalam rangka penilaian terhadap kinerja unit fungsional atau fungsi Sistem Informasi (pusat/instalasi komputer), atau untuk mengevaluasi sistem-sistem aplikasi yang telah diimplementasikan pada suatu organisasi/perusahaan (general information systems review), untuk memeriksa keterandalan sistem-sistem aplikasi komputer tertentu yang sedang dikembangkan (system development) maupun yang sudah dioperasikan (postimplementation audit).

STANDAR AUDIT

-          Standar Audit SI tidak lepas dari standar professional seorang auditor SI

-          Standar professional adalah ukuran mutu pelaksanaan kegiatan profesi yang menjadi pedoman bagi para anggota profesi dalam menjalankan tanggungjawab profesinya.

-          Standar profesional adalah batasan kemampuan (knowledge, technical skill and professional attitude) minimal yang harus dikuasai oleh seseorang individu untuk dapat melakukan kegiatan profesionalnya pada masyarakat secara mandiri yang aturan-aturannya dibuat oleh organisasi profesi yang bersangkutan

IT/IS AUDIT STANDAR

-          ISACA        : IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control IProfessionals

-          IIA                  : International Professional Practices Framework / IPPF

-          IASII              : Standar Audit Sistem Informasi

-          BI                   : Standar Pelaksanaan Fungsi Audit Intern Bank / SPFAIB

-          BPPT             : Framework, Kode Etik & Standar, Pedoman Umum Audit Teknologi

1. ISACA

ISACA adalah suatu organisasi profesi internasional di bidang tata kelola teknologi informasi yang didirikan di Amerika Serikat pada tahun 1967. Awalnya dikenal dengan nama lengkap Information Systems Audit and Control Association, saat ini ISACA hanya menggunakan akronimnya untuk merefleksikan cakupan luasnya di bidang tata kelola teknologi informasi. ISACA telah memiliki kurang lebih 70.000 anggota yang tersebar di 140 negara. Anggota ISACA terdiri dari antara lain auditor sistem informasi, konsultan, pengajar, profesional keamanan sistem informasi, pembuat perundangan, CIO, serta auditor internal. Jaringan ISACA terdiri dari sekitar 170 cabang yang berada di lebih dari 60 negara, termasuk di Indonesia.

Standard yang digunakan dalam mengaudit teknologi informasi adalah standar yang diterbitkan oleh ISACA (Information Systems Audit & Control Association)  yaitu :

-          ISACA IS Auditing Standard.

-          Selain itu ISACA juga menerbitkan IS Auditing Guidance dan IS Auditing Procedure.

Standar&panduan yang dikeluarkan ISACA :

• Pelaksanaan tugas audit,bila menggunakan bahan bukti yang berasal dari pekerjaan auditor lainnya.
• Pentingnya bahan bukti audit.
• Penggunaan alat bantu software audit.
• Pemeriksaan pada SI yang di outsourcing ke organisasi lain.
• Hal – hal yang berkaitan dengan audit charter.
• Konsep materialitas.
• Pelaksanaan tugas dengan penuh kehati – hatian.
• Dokumentasi dalam audit.
• Pertimbangan yang berkaitan irregularities.
• Audit sampling.
• Dampak pervasife IS control (kontrol internal yang tersebar)
• Keterkaitan dan independensi.
• Penaksiran resiko dalam perencanaan.
• Review sistem aplikasi.
• Dampak organizations IT control oleh pihak ketiga.
• Independensi dan peranan auditor dalam bidang non audit.
• Tata kelola IT.
• Irregularities dan illegal acts
• ERP systems review.
• B2C E-Commerce review.
• SDLC review
• Internet banking
• Business Process Reenginnering Project Review
• Mobile computing.
• Computer Forensics.
• Post Implementation Review.
• Business Continuity Plan (BCP) Review IT Perspective

Selain itu IS Audit Guidelines ISACA juga memberikan panduan tentang pentingnya kompetensi,privacy,responsibility,authority, dan accountability dan follow up activities.

2. IIA COSO

Committee of Sponsoring Organizations of the Treadway Commission, atau disingkat COSO, adalah suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985. Tujuan utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan keuangan dan membuat rekomendasi untuk mengurangi kejadian tersebut. COSO telah menyusun suatu definisi umum untuk pengendalian, standar, dan kriteria internal yang dapat digunakan perusahaan untuk menilai sistem pengendalian mereka. COSO disponsori dan didanai oleh 5 asosiasi dan lembaga akuntansi profesional: American Institute of Certified Public Accountants (AICPA), American Accounting Association(AAA), Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) danThe Institute of Management Accountants (IMA).

3. ISO 1799

ISO / IEC 17799: 2005 menetapkan pedoman dan prinsip umum untuk memulai, menerapkan, memelihara, dan memperbaiki manajemen keamanan informasi dalam sebuah organisasi. Tujuan yang diuraikan memberikan panduan umum mengenai tujuan umum manajemen keamanan informasi yang diterima secara umum. ISO / IEC 17799: 2005 berisi praktik terbaik pengendalian dan pengendalian pengendalian di bidang pengelolaan keamanan informasi berikut:

• pengorganisasian keamanan informasi;
• manajemen aset;
• keamanan sumber daya manusia;
• keamanan fisik dan lingkungan;
• komunikasi dan manajemen operasi;
• kontrol akses;
• akuisisi sistem informasi, pengembangan dan pemeliharaan;
• manajemen insiden keamanan informasi;
• manajemen kontinuitas bisnis;
• pemenuhan.