Sabtu, 10 November 2018

Tugas Pertemuan 1. Audit Teknologi Sistem Informasi


UNIVERSITAS GUNADARMA
FAKULTAS ILMU KOMPUTER & TEKNOLOGI INFORMASI











 Tugas Pertemuan 1.

Audit Teknologi Sistem Informasi
Indra Rahmanto
131153060
4KA19




FAKULTAS ILMU KOMPUTER DAN TEKNOLOGI INFORMASI
UNIVERSITAS GUNADARMA
2018/2019





1. PENDAHULUAN


1.1.       Latar Belakang
Audit atau pemeriksaan dalam arti luas bermakna evaluasi terhadap suatu organisasi, sistem, proses, atau produk. Audit dilaksanakan oleh pihak yang kompeten, objektif, dan tidak memihak, yang disebut auditor. Tujuannya adalah untuk melakukan verifikasi bahwa subjek dari audit telah diselesaikan atau berjalan sesuai dengan standar, regulasi, dan praktik yang telah disetujui dan diterima.

1.2.        Tujuan
Adapun tujuan dilakukan penelitian ini adalah :
1.      Mampu Menjelaskan konsep Audit TSI
2.      Mampu Menjelaskan metode dan alat audit TSI
3.      Mampu Menejalskan Regulasi Audit TSI




2. PEMBAHASAN


2.1.        Latar Belakang
Audit dan kontrol teknologi informasi menjadi penting karena organisasi membutuhkan acuan, parameter dan kontrol untuk memastikan semua sumber daya perusahaan menuju pada pencapaian tujuan organisasi secara terintegratif dan komprehensif. IT Audit dan Kontrol menjelaskan sebuah proses untuk mereview dan memposisikan IT sebagai instrument penting dalam pencapaian usaha/bisnis korporasi. Audit IT dan control melakukan proses sistematik, terencana, dan menggunakan keahlian IT untuk mengetahui tingkat kepatuhan, kinerja, nilai, dan resiko dari implementasi teknologi. Kemampuan mengetahui pengetahuan dan skill pada IT Audit dan control selain juga menunjukkan jenjang professional tertentu dalam professional, juga membuat seseorang akan menganalisa, merancang, membangun, mengimplementasikan, memonitor dan melakukan pengembangan berkelanjutan TIK tidak sekedar beroperasi tetapi juga mengikuti kaidah industri dan standar internasional.
            Penerapan IT audit sendiri dibentuk pada pertengahan 1960-an dan sejak saat itu telah berubah spesifikasi nya berkali-kali karena perkembangan pesat teknologi dan penggabungan ke dalam bisnis. Audit teknologi selalu mengacu pada pemeriksaan kontrol dalam infrastruktur TI. Praktek Audit menjamin kelangsungan bisnis dengan mengidentifikasi integritas data organisasi, operasi efektivitas dan tindakan perlindungan untuk melindungi 36 aset IT.
            IT Audit and Control menggambarkan sebuah proses untuk meninjau dan memposisikan TI sebagai instrumen penting dalam mencapai bisnis / bisnis perusahaan. TI mengaudit dan mengendalikan proses yang sistematis, terencana, dan menggunakan keahlian IT untuk mengetahui tingkat kepatuhan, kinerja, nilai, dan risiko penerapan teknologi. Kemampuan untuk mengetahui pengetahuan dan keterampilan dalam Audit dan pengendalian TI serta menunjukkan tingkat profesional tertentu secara profesional, juga membuat seseorang akan menganalisa, merancang, membangun, menyebarkan, memantau dan pengembangan TIK yang berkelanjutan tidak hanya beroperasi tetapi juga mengikuti aturan industri dan standar internasional.

2.2.       Proses Audit
Proses Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem informasi berjalan semestinya. Tujuh langkah proses audit sistem informasi yaitu:
1.    Implementasikan sebuah strategi audit berbasis manajemen resiko serta control practice yang dapat disepakati oleh semua pihak
2.    Tetapkan langkah-langkah audit yang rinci
3.    Gunakan fakta atau bahan bukti yang cukup, handal, relevan, serta bermanfaat
4.    Buat laporan beserta kesimpulan berdasarkan fakta yang dikumpulkan
5.    Telah apakah tujuan audit tercapai
6.    Sampaikan laporan kepada pihak yang berkepentingan
7.    Pastikan bahwa organisasi mengimplementasikan managemen resiko serta control practice.
Perencanaan sebelum menjalankan proses audit dengan metodologi audit yaitu:
1.        Audit subject
2.        Audit objective
3.        Audit Scope
4.        Preaudit planning
5.        Audit procedures and Steps for data gathering
6.        Evaluasi hasil pengujian dan pemeriksaan
7.        Audit report preparation


Berikut struktur isi laporan audit secara umumnya(tidak baku):
a)        Pendahuluan
b)        Kesimpulan umum auditor
c)        Hasil audit
d)       Rekomendasi
e)        Exit interview

2.3.       Teknik Audit
Menurut Davis, Schiller dan Wheeler (2011) tahap melakukan audit TI adalah :
           Tinjau struktur organisasi TI secara keseluruhan untuk memastikan bahwa organisasi TI menyediakan      untuk tugas wewenang dan tanggung jawab atas operasi TI dan menyediakan pembagian tugas yang memadai.
      Meninjau proses perencanaan strategis TI untuk memastikan bahwa itu sejalan dengan strategis bisnis. Mengevaluasi proses organisasi TI untuk memantau kemajuan terhadap rencana strategis.
   Menentukan apakah teknologi dan aplikasi strategi dan roadmap ada, dan mengevaluasi proses perencanaan teknis jangka panjang.
    Tinjau indikator kinerja dan pengukuran untuk IT. Memastikan bahwa proses dan metrik pada tempatnya ( dan disetujui oleh para pemangku kepentingan utama) untuk mengukur kinerja kegiatan sehari-hari dan pelacakan kinerja terhadap SLA, anggaran, dan persyaratan operasional lainnya.
     Emenentukzvaluasi standar untuk mengatur pelaksanaan proyek IT dan untuk memastikan kualitas produk yang dikembangkan atau diperoleh oleh organisasi TI. pMenentukan bagaimana standar tersebut dikomunikasikan dan ditegakkan.
       Pastikan bahwa kebijakan keamanan TI ada dan memberikan persyaratan yang memadai untuk keamanan lingkungan. tentukan bagaimana kebijakan tersebut dikomunikasikan dan bagaimana kepatuhan dimonitor dan ditegakkan.
      Meninjau dan mengevaluasi proses penilaian risiko di tempat bagi organisasi TI.
      Tinjau dan evaluasi proses untuk memastikan bahwa karyawan IT di perusahaan memiliki keterampilan dan pengetaguan yang diperlukan untuk melakukan pekerjaan mereka.
      Tinjau dan evaluasi kebijakan dan proses untuk menetapkan kepemilikan data perusahaan, mengelompokkan data, melindungi data sesuai dengan klarifikasinya, dan mendefinisikan life cycle data.
    Tinjau dan evaluasi proses untuk memastikan bahwa end user lingkungan TI memiliki kemampuan untuk melaporkan masalah, secara tepat terlibat dalam keputusan TI, dan puas dengan layanan yang diberikan oleh TI.
    Meninjau dan mengevaluasi proses untuk mengelola layanan pihak ketiga, memastikan bahwa peran dan tanggung jawab mereka didefinisikan dengan jelas dan pemantauan kinerja mereka.
     Meninjau dan mengevaluasi proses proses untuk mengontrol akses login non karyawan.
       Meninjau dan mengevaluasi proses untuk memastikan bahwa perusahaan telah memenuhi lisensi perangka lunak yang berlaku.

2.4.       Ragulasi Audit
Uji kepatutan (compliance test) dilakukan dengan menguji kepatutan Prooses TI dengan melihat kepatutan proses yang berlangsung terhadap standard dan regulasi yang berlaku. Kepatutan tersebut dapat diketahui dari hasil pengumpulan bukti. Adapun langkah-langkah yang dilakukan dalam uji tersebut antara lain akan dipaparkan sebagaimana berikut :
1).        Tahapan Pengidentifikasian
            Objek yang Diaudit Tujuan dari langkah ini agar pengaudit mengenal lebih jauh terkait dengan hal-hal yang harus dipenuhi dalam objektif kontrol yang membawa kepada penugasan kepada pihak-pihak yang bertanggung jawab. Aktivitas yang berlangsung juga termasuk pengidentifikasian perihal pengelolaan aktivitas yang didukung TI memenuhi objektif kontrol terkait.
2)        Tahapan Evaluasi audit
            Tujuan dari tahapan ini adalah untuk mendapatkan   prosedur tertulis dan memperkirakan jika prosedur yang ada telah menghasilkan struktur kontrol yang efektif. Uji kepatutan yang dilakukan pada tahapan ini yaitu mengevaluasi pemisahan tanggung jawab yang terkait dengan pengelolaan SI/TI. Dari hasil evaluasi ditemukan terdapat pemisahan terhadap tugas dan tanggung jawab yang harus dilakukan oleh masing-masing pihak yang bersangkutan.

2.5.       Standar Audit
Persyaratan dan praktik bisnis bervariasi secara signifikan di seluruh dunia, seperti halnya politik kepentingan banyak organisasi menciptakan standar. Kerumitan memetakan ratusan dokumen otoritas dari peraturan (internasional, nasional, lokal / negara bagian, dan sebagainya) dan standar (ISO, khusus industri, vendor, dan sebagainya) menciptakan peluang dan ceruk pasar. Vendor melihat kesempatan untuk memetakan kemampuan mereka untuk mengatasi kontrol khusus dari beberapa peraturan dan standar.
Batas Jaringan mungkin adalah perusahaan paling terkenal yang berusaha melakukan hal yang mustahil. Untuk membuat pemetaan umum kontrol TI di setiap peraturan yang dikenal, standar, dan praktik terbaik yang tersedia.
Satu sudut pandang menunjukkan satu kerangka kerja yang diadopsi akan menyederhanakan teknologi pengembangan produk, struktur organisasi, dan tujuan pengendalian. Yang lain sudut pandang menunjukkan bahwa kompleksitas daerah yang berbeda, politik, bisnis, budaya, dan kepentingan lain memastikan kerangka kendali yang diterima secara universal tidak akan pernah ada dibuat. Kebenaran mungkin terletak di suatu tempat di tengah. Meskipun satu set tandar internasional tidak segera, alat yang dijelaskan dalam bab ini tetap demikian melayani untuk menciptakan infrastruktur teknologi yang handal, aman, dan berkelanjutan itu sakhirnya menguntungkan para peserta.

2.6.       Manajemen Resiko
Hanya beberapa tahun yang lalu, firewall dan perangkat lunak antivirus adalah yang paling banyak organisasi digunakan untuk mengurangi risiko IT. Namun, dalam beberapa tahun terakhir, lanskap ancaman telah berubah sangat. Hari ini, ancaman orang dalam lebih terasa, ribuan varianmalware sedang didistribusikan, dan pemerintah telah memberlakukan undang-undang yang mewajibkan penerapan berbagai kontrol. Akibatnya, proses manajemen risiko formal sekarang harus menjadi bagian dari setiap program audit TI.
Pertanyaan jutaan dolar hari ini adalah ini: Apa itu program manajemen risiko formal? Di dalam bab kita akan menjelajahi proses analisis risiko, siklus hidup manajemen risiko, dan metode untuk mengidentifikasi dan mengatasi risiko secara efektif.

2.6.1.      Manfaat Manajemen Risiko
Tidak diragukan lagi potensi manajemen risiko TI masih dirahasiakan. Selama masa lalu Beberapa tahun, banyak organisasi telah meningkatkan efektivitas kontrol TI mereka atau mengurangi biaya mereka dengan menggunakan analisis risiko dan praktik manajemen risiko yang baik.
Ketika manajemen memiliki pandangan yang mewakili eksposur TI organisasi, itu bisa sumber daya langsung yang sesuai untuk mengurangi area dengan risiko tertinggi daripada pembelanjaan sumber daya langka di area yang memberikan sedikit atau tanpa pengembalian investasi (ROI). Jaring Hasilnya adalah tingkat pengurangan risiko yang lebih tinggi untuk setiap dolar yang dibelanjakan.


2.6.2.      Unsur-Unsur dari Risiko
Seperti yang Anda lihat dalam persamaan sebelumnya, risiko terdiri dari tiga elemen: nilai aset, ancaman, dan kerentanan. Memperkirakan elemen-elemen ini dengan benar sangat penting untuk menilai risiko akurat.

1.        Aktiva.
Biasanya direpresentasikan sebagai nilai moneter, aset dapat didefinisikan sebagai sesuatu yang berharga sebuah organisasi yang dapat rusak, dikompromikan, atau dihancurkan oleh kecelakaan atau tindakan yang disengaja. Pada kenyataannya, nilai aset jarang merupakan biaya penggantian sederhana; Oleh karena itu, untuk mendapatkan ukuran risiko yang akurat, aset harus dinilai dengan mempertimbangkan biaya bottom-line kompromi.

2.        Ancaman.
Ancaman dapat didefinisikan sebagai peristiwa potensial yang, jika disadari, akan menyebabkan hal yang tidak diinginkan dampak. Dampak yang tidak diinginkan bisa datang dalam berbagai bentuk, tetapi sering menghasilkan keuangan kerugian. Ancaman digeneralisasikan sebagai persentase, tetapi dua faktor bermain dalam tingkat keparahan ancaman: tingkat kehilangan dan kemungkinan terjadinya.

3.        Kerentanan.

        Kerentanan dapat didefinisikan sebagai tidak adanya atau kelemahan kontrol kumulatif yang melindungi aset tertentu. Kerentanan diperkirakan sebagai persentase berdasarkan tingkat kelemahan kontrol. Kita dapat menghitung defisiensi kontrol (CD) dengan mengurangi efektivitas kontrol oleh 1 atau 100 persen.





3.     KESIMPULAN

3.1.       Kesimpulan
Audit Sistem Informasi merupakan suatu kegiatan pemeriksaan yang dilakukan oleh seorang audit internal perusahaan dalam pengumpulan bukti-bukti dan pengevaluasian pengendalian perusahaan untuk mencapai tujuan perusahaan dan sesuai dengan kriteria yang ditentukan
Audit system informasi dibutuhkan dalam suatu organisai perusahaa untuk mengetahui apakah suatu pengendalian dalam system informasi disebuah organisasi tersebut tujuannya sudah tercapai atau belum. Audit internal dalam melakukan audit system informasi diperlukan prosedur pengendalian dan lalu diujikan untuk pencapain tujuan pengendalian tersebut.

3.2.       Saran
Audit sistem informasi sangat penting bagi perusahaan karena dengan adanya audit sistem informasi disebuah perusahaan, maka perusahaan tersebut akan mengetahui tercapainya tujun prosedur pengendalian internal perusahaan atau tidak. Oleh karena itu, sangat  dianjurkan pada perusahaan untuk melalukan audit system informasi diperusahaannya.






Daftar Pustaka:
1.             IT Auditing : Using Controls To Protect Information Assets, Chris Davis, 2011
2.             Audit & Kontrol Teknologi Informasi, Mardhani Riasetiawan, 2016

3.             http://miftahudinandria.blogspot.com/2017/10/audit-teknologi-sistem-informasi.html?m=1

Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)