GerryTopan48•

Panduan Audit

• ISACA

.

ISACA adalah suatu organisasi profesi internasional di bidang tata kelola teknologi informasi yang didirikan di Amerika Serikat pada tahun 1967. 

Awalnya dikenal dengan nama lengkap Information Systems Audit and Control Association, saat ini ISACA hanya menggunakan akronimnya untuk merefleksikan cakupan luasnya di bidang tata kelola teknologi informasi.

• ISACA berperan untuk memberikan informasi untuk mendukung kebutuhan pengetahuan 

• Dalam famework ISACA terkait, audit sistem informasi terdapat Standards, Guidelines and procedures

• Standar yang ditetapkan oleh ISACA harus diikuti oleh auditor. 

• Prosedur memberikan contoh langkah-langkah auditor dapat mengikuti penugasan audit tertentu sehingga dapat menerapkan standar.

Tahapan Analisis Resiko.

Analisis risiko adalah elemen dari manajemen risiko yang didalamnya memiliki tahapan, berikut diantaranya:

• Pertama adalah mengenali dan memikirkan segala probabilitas dari sebuah kejadian, peristiwa dan kondisi dari yang paling buruk mulai dari sisi internal dan eksternal. 
  
  
• Pastikan keterkaitan antara sebab akibat dengan skala, peluang kejadian dan probabilitas efeknya. 
  
  
• Evaluasi segala efek yang ada di bawah anggapan dan kemungkinan yang berbeda. 
  
  
• Implementasikan metode kuantitatif dan kualitatif untuk meminimalkan kemungkinan bahaya lain dari biaya yang membengkak, kerugian, kecelakaan dsb.

Tahapan analisis risiko yang bisa menjadi bahan referensi selanjutnya adalah dari menteri keuangan Sri Mulyani yang sesuai dengan KMK No. 845/KMK.01/2016:

• Pertama adalah mendata sistem kontrol internal yang telah dilakukan dari segala risiko yang ada. Contohnya adalah peraturan, SOP dsb. 
  
  
• Mengukur tingkat probabilitas adanya risiko berdasarkan parameter yang ada, di mana tingkatan tersebut ada 5 yakni, Hampir Pasti Terjadi, Sering Terjadi, Kadang terjadi, Jarang Terjadi dan Hampir Tidak Terjadi.
  
  
• Mengukur tingkat akibat yang ada jika risiko terjadi. Ada 5 tingkatan parameter akibat yang ada, diantaranya adalah: Sangat Penting, Penting, Moderat, Minor, dan Tidak Penting.
  
  
• Memastikan tingkat risiko. Berlandaskan pengukuran tingkat probabilitas dan akibat, kita dapat memastikan tingkat risiko dengan cara melihat Matriks Analisis Risiko.
  
  
• Membuat peta/denah risiko. Merupakan cara untuk meletakan risiko pada setiap tempat yang relevan dengan matrik analisis risiko. Ini digunakan agar posisi setiap risiko bisa diketahui, apakah risiko dibawah standar garis selera risiko atau berada di luar penerimaan risiko. Berdasarkan matrik yang ada maka risiko akan bisa diketahui dan bisa ditangani lebih dini.

 Kelompok 1

Anggota:   Farid Al Farras Raihan

  Farhan Maulana Caesar

  Gerry Topan Dirgantara

  Muhammad Kevin Saleh

  Wahyu Amrullah

CONTOH PERMASALAHAN PADA AUDIT SISTEM INFORMASI

• Preventif Control.
  
  Adalah suatu langkah pencegahan yang diambil sebelum keadaan darurat, kehilangan, atau masalah terjadi. Ini termasuk penggunaan alarm dan kunci, pemisahan tugas (untuk mencegah perekam uang tunai dari kas dan mengendalikan persediaan personil dari pengendalian persediaan) ditambah umum lainnya dan kebijakan-kebijakan otorisasi khusus.
  
  Bisa diartikan bahwa preventif control adalah mengendalikan sistem di muka sebelum proses dimulai dengan menerapkan hal-hal yang merugikan untuk masuk ke dalam sistem sehingga dirancang untuk mencegah kesalahan atau penyimpangan dari terjadi (misalnya : pengolahan voucher hanya setelah tanda tangan telah diperoleh dari personil yang tepat).
  
  Contoh :
  Sistem pengendalian intern (internal control) dimana penerapan kebijaksanaan-kebijaksanaan, metode-metode dan prosedur-prosedur didalam sistem pengendalian intern dimaksudkan untuk mencegah hal-hal yang tidak baik yang mengganggu masukan, proses dan hasil dari sistem supaya sistem dapat beroperasi seperti yang diharapkan.
  
  Melindungi kas dari pencurian atau penyalahgunaan mulai saat diterima sampai disetorkan ke bank.
  
  
• Detective Control.
  
  Adalah sesuatu yang dirancang untuk menemukan kesalahan atau penyimpangan setelah mereka telah terjadi (missalnya : departemen memeriksa tagihan telepon untuk panggilan pribadi).
  
  
  Detektif kontrol dirancang untuk mendeteksi kesalahan dan penyimpangan yang telah terjadi dan untuk menjamin prompt mereka koreksi. Kontrol ini merupakan biaya operasi yang terus-menerus dan sering kali mahal, tapi perlu kontrol ini bertujuan pula untuk menekan dampak dari kesalahan karena dapat mengindetifikasikan suatu kesalahan dengan cepat.
  
  Contoh :
  Menemukan  pencurian atau penyalahgunaan kas Sumber penerimaan kas.
• Penjualan tunai
• Penerimaan lewat pos
• Penerimaan lewat bank
  
  
• Recovery Control
  Adalah Membantu mengurangi pengaruh dari suatu event yang hilang melalui prosedur recovery data atau mengembalikan data yang hilang melalui prosedur recovery data. Misal, memperbaiki data yang terkena virus.Kategori lainnya mencakup :
  
  
• Deterrent Control. Application Control (kontrol aplikasi) Untuk memperkecil dan mendeteksi operasi-operasi perangkat lunak yang tidak biasa.
  
• Transaction Control (kontrol transaksi). Untuk menyediakan kontrol di berbagai tahap transaksi (dari inisiasi sampai output,  melalui kontrol testing dan kontrol perubahan).
  
• Recovery dalam basis data
  
  adalah file atau  database  yang telah dibetulkan dari kesalahan, kehilangan atau  kerusakan datanya. Ada beberapa strategi  untuk melakukan back up dan recovery, yaitu :
  
• Strategi Grandfather-Father-Son.
  
  Biasanya  strategi  ini digunakan untuk file yang disimpan di  media  simpanan  luar pita  magnetik. Strategi ini dilakukan dengan menyimpan tiga generasi file induk bersama-sama dengan file transaksinya.
  
• Strategi Pencatatan Ganda (Dual Recording).
  
  Strategi  ini  dilakukan dengan menyimpan dua  buah salinan  database yang lengkap secara terpisah dan menyesuaikan  keduanya secara serentak. Jika  terjadi kegagalan transaksidalam perangkat  keras dapat digunakan alat pengolah kedua yang akan  meng-gantikan fungsi alat pengolah utama jika mengalami kerusakan. Jika alat pengolah utama tidak berfungsi, secara  otomatis program akan dipindah (men-switch) ke  alat pengolah kedua dan database  kedua menjadi database utama. Strategi dual recording ini  sangat tepat 

Perkembangan teknologi telah mengakibatkan perubahan pengolahan data yang dilakukan perusahaan dari sistem manual menjadi secara mekanis, elektromekanis, dan selanjutnya ke sistem elektronik atau komputerisasi.

Dengan demikian, sangat diperlukan adanya pengelolaan yang baik dalam sistem yang mendukung proses pengolahan data tersebut. Dalam sebuah organisasi tata kelola sistem dilakukan dengan melakukan audit.

1. Menurut Juliandarini (2013) Audit sistem informasi (Information Systems (IS) audit atau Information technology (IT) audit) adalah bentuk pengawasan dan pengendalian dari infrastruktur sistem informasi secara menyeluruh.
2. Menurut Romney (2004) audit sistem informasi merupakan tinjauan pengendalian umum dan aplikasi untuk menilai pemenuhan kebijakan dan prosedur pengendalian internal serta keefektivitasannya untuk menjaga asset.
3. Menurut Weber (1999) terdapat beberapa alasan mendasar mengapa organisasi perlu melakukan audit sebagai evaluasi dan pengendalian terhadap sistem yang digunakan oleh organisasi :

• Pencegahan terhadap biaya organisasi untuk data yang hilang.
  
  Kehilangan data dapat terjadi karena ketidakmampuan pengendalian terhadap pemakaian komputer. Kelalaian dengan tidak menyediakan backup yang memadai terhadap file data, sehingga kehilangan file dapat terjadi karena program komputer yang rusak, adanya sabotase, atau kerusakan normal yang membuat file tersebut tidak dapat diperbaiki sehingga akhirnya membuat kelanjutan operasional organisasi menjadi terganggu.
• Pengambilan keputusan yang tidak sesuai.
  

  Membuat keputusan yang berkualitas tergantung pada kualitas data yang akurat dan kualitas dari proses pengambilan keputusan itu sendiri. Pentingnya data yang akurat bergantung kepada jenis keputusan yang akan dibuat oleh orang – orang yang berkepentingan di suatu organisasi.
• Penyalahgunaan komputer.
  Penyalahgunaan komputer memberikan pengaruh kuat terhadap pengembangan EDP audit maka untuk dapat memahami EDP audit diperlukan pemahaman yang baik terhadap beberapa kasus penyalahgunaan komputer yang pernah terjadi.
• Kerahasiaan.
  

  Banyak data tentang diri pribadi yang saat ini dapat diperoleh dengan cepat, dengan adanya komputerisasi kependudukan maka data mengenai seseorang dapat segera diketahui termasuk hal – hal pribadi.