Jumat, 26 Juni 2015

Pengertian Audit Sistem Informasi

03.17    No comments


Pengertian Audit Sistem Informasi

 “Audit sistem informasi adalah proses pengumpulan dan penilaian bukti – bukti untuk menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya secara efisien”. Ron Weber (1999,10) mengemukakan bahwa audit sistem informasi adalah :
” Information systems auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently”.

Tujuan Audit Sistem Informasi

Tujuan Audit Sistem Informasi dapat dikelompokkan ke dalam dua aspek utama dari ketatakelolaan IT, yaitu :
 a. Conformance (Kesesuaian) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu :Confidentiality (Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan) danCompliance (Kepatuhan).
 b. Performance (Kinerja) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu :Effectiveness(Efektifitas), Efficiency (Efisiensi), Reliability (Kehandalan).

Tujuan audit sistem informasi menurut Ron Weber tujuan audit yaitu :
  1. Mengamankan asset
  2. Menjaga integritas data
  3. Menjaga efektivitas sistem
  4. Mencapai efisiensi sumberdaya.

Keempat tujuan tersebut dapat dijelaskan sebagai berikut :
  1. Mengamankan aset, aset (activa) yang berhubungan dengan instalasi sistem informasi mencakup:     perangkat keras (hardware), perangkat lunak (software), manusia (people), file data, dokumentasi   sistem, dan peralatan pendukung lainnya.
Sama halnya dengan aktiva – aktiva yang lain, maka aktiva ini juga perlu dilindungi dengan memasang pengendalian internal. Perangkat keras dapat rusak karena unsur kejahatan atau sebab-sebab lain. Perangkat lunak dan isi file data dapat dicuri. Peralatan pendukung dapat digunakan untuk tujuan yang tidak diotorisasi.
  2.  Menjaga integritas data, integritas data merupakan konsep dasar audit sistem informasi. Integritas data berarti data memiliki atribut: kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian. Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan potret dirinya dengan benar atau kejadian yang ada tidak terungkap seperti apa adanya. Akibatnya, keputusan maupun langkah-langkah penting di organisasi salah sasaran karena tidak didukung dengan data yang benar. Meskipun demikian, perlu juga disadari bahwa menjaga integritas data tidak terlepas dari pengorbanan biaya. Oleh karena itu, upaya untuk menjaga integritas data, dengan konsekuensi akan ada biaya prosedur pengendalian yang dikeluarkan harus sepadan dengan manfaat yang diharapkan.
  3. Menjaga efektivitas sistem, sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya. Untuk menilai efektivitas sistem, perlu upaya untuk mengetahui kebutuhan pengguna sistem tersebut (user). Selanjutnya, untuk menilai apakah sistem menghasilkan laporan atau informasi yang bermanfaat bagi user (misalnya pengambil keputusan), auditor perlu mengetahui karakteristik user berikut proses pengambilan keputusannya. Biasanya audit efektivitas sistem dilakukan setelah suatu sistem berjalan beberapa waktu. Manajemen dapat meminta auditor untuk melakukan post audit guna menentukan sejauh mana sistem telah mencapai tujuan yang telah ditetapkan. Evaluasi ini akan memberikan masukan bagi pengambil keputusan apakah kinerja sistem layak dipertahankan; harus ditingkatkan atau perlu dimodifikasi; atau sistem sudah usang, sehingga harus ditinggalkan dan dicari penggantinya Audit efektivitas sistem dapat juga dilaksanakan pada tahap perencanaan sistem (system design). Hal ini dapat terjadi jika desainer sistem mengalami kesulitan untuk mengetahui kebutuhan user, karena user sulit mengungkapkan atau mendeskripsikan kebutuhannya. Jika sistem bersifat komplek dan besar biaya penerapannya, manajemen dapat mengambil sikap agar sistem dievaluasi terlebih dahulu oleh pihak yang independen untuk mengetahui apakah rancangan sistem sudah sesuai dengan kebutuhan user. Melihat kondisi seperti ini, auditor perlu mempertimbangkan untuk melakukan evaluasi sistem dengan berfokus pada kebutuhan dan kepentingan manajemen.
  4. Mencapai efisiensi sumberdaya, suatu sistem sebagai fasilitas pemrosesan informasi dikatakan efisien jika ia menggunakan sumberdaya seminimal mungkin untuk menghasilkan output yang dibutuhkan. Pada kenyataannya, sistem informasi menggunakan berbagai sumberdaya, seperti mesin, dan segala perlengkapannya, perangkat lunak, sarana komunikasi dan tenaga kerja yang mengoperasikan sistem tersebut. Sumberdaya seperti ini biasanya sangat terbatas adanya. Oleh karena itu, beberapa kandidat sistem (system alternatif) harus berkompetisi untuk memberdayakan sumberdaya yang ada tersebut.

Adapun tujuan yang lain adalah :
1.  Untuk memeriksa kecukupan dari pengendalian lingkungan, keamanan fisik, keamanan logikal serta keamanan operasi sistem informasi yang dirancang untuk melindungi piranti keras, piranti lunak dan data terhadap akses yang tidak sah, kecelakaan, perubahan yang tidak dikehendaki.
2.    Untuk memastikan bahwa sistem informasi yang dihasilkan benar-benar sesuai dengan kebutuhan sehingga bisa membantu organisasi untuk mencapai tujuan strategis.
Read More

RISK IT

02.48    No comments

Risk IT menyediakan end-to-end, pandangan yang komprehensif dari semua resiko yang berkaitan dengan penggunaan IT dan perlakuan yang sama pada manajemen resiko dari keksesuaian perkataan dan budaya diatas mengenai masalah operasional.
Resiko adalah bagian alami dari cakupan bisnis. Jika dibiarkan tidak diatur, ketidakpastian dapat menyebar dengan cepat. Jika dikelola secara efektif, kerugian dapat dihindari dan manfaat yang diperoleh.
Dalam bisnis saat ini, resiko memainkan peran penting. Hampir setiap keputusan bisnis yang membutuhkan eksekutif dan manajer untuk menyeimbangkan resiko dan imbalan. Secara efektif mengelola resiko usaha sangat penting untuk kesuksesan perusahaan.
Terlalu sering, resiko IT (resiko usaha yang terkait dengan penggunaan IT) yang terlupakan. Resiko usaha lain, seperti resiko pasar, resiko kredit, dan resiko operasional telah lama dimasukkan ke dalam pengambilan keputusan perusahaan. Resiko IT telah diturunkan ke spesialis tehnis di luar ruangan, meskipun dibawah kategori resiko sama dengan usaha lainnya: kegagalan untuk mencapai tujuan stategis.
Risk IT adalah suatu framework yang didasarkan pada seperangkat prinsip-prinsip penuntun untuk pengelolaan yang efektif dari risk IT. Framework pelengkap COBIT, suatu framework komprehensif untuk tata kelola dan pengendalian usaha solusi berbasis IT dan layanan.

Sedangkan COBIT menyediakan satu set kontrol untuk mengurangi resiko IT, Risk IT menyediakan suatu framework bagi perusahaan untuk mengidentifikasi, mengatur, dan mengelola resiko IT. Sederhananya, COBIT menyediakan sarana pengelolaan resiko, Risk IT menyediakan resiko akhir. Perusahaan yang telah mengadopsi (atau berencana untuk mengadopsi) COBIT sebagai IT Governance Framework mereka dapat menggunakan Risk IT untuk meningkatkan Manajemen Resiko.

Prinsip Risk IT

Kerangka Risk IT adalah tentang Risk IT - Risk bisnis terkait dengan penggunaan IT. Sambungan ke bisnis didirikan pada prinsip-prinsip yang kerangka dibangun. Berikut adalah prinsip Risk IT, antara lain:
  • Selalu terhubung ke tujuan bisnis;
  • Sejalan manajemen Risk bisnis terkait IT-dengan Risk perusahaan secara keseluruhan manajemen (ERM) - jika berlaku, yaitu, jika ERM diimplementasikan di perusahaan;
  • Menyeimbangkan biaya dan manfaat dari Risk IT mengelola;
  • Meningkatkan komunikasi yang adil dan terbuka Risk IT;
  • Menetapkan nada yang tepat dari atas sementara mendefinisikan dan menegakkan pribadi akuntabilitas untuk beroperasi dalam tingkat toleransi yang dapat diterima dan didefinisikan dengan baik;
  • Apakah proses yang berkesinambungan dan bagian dari kegiatan sehari-hari.

Mengelola dan Memahami Risk IT

Untuk memprioritaskan dan mengelola Risk IT, eksekutif senior membutuhkan kerangka acuan dan pemahaman yang jelas tentang fungsi IT dan Risk IT. Namun, kunci perusahaan itu pemangku kepentingan, termasuk anggota dewan dan manajemen eksekutif, orang-orang yang harus bertanggung jawab untuk manajemen resiko dalam perusahaan, sering tidak memiliki pemahaman penuh.
Risk IT bukan hanya masalah teknis. Sementara IT ahli subjek membantu untuk memahami dan mengelola aspek Risk IT, manajemen bisnis adalah pemangku kepentingan yang paling penting. Manajer bisnis menentukan apa kebutuhan IT untuk mendukung bisnis mereka; mengatur target untuk IT dan bertanggung jawab untuk mengelola resiko yang terkait.
Kerangka Risk IT menjelaskan tentang resiko IT, memungkinkan perusahaan untuk membuat yang sesuai keputusan resiko dan akan memungkinkan pengguna untuk:
  • Mengintegrasikan manajemen Risk IT ke dalam manajemen resiko perusahaan secara keseluruhan (ERM) dari organisasi;
  • Membuat keputusan baik-informasi tentang sejauh mana resiko, risk appetite dan toleransi Risk perusahaan;
  • Memahami bagaimana menanggapi resiko.

Apa saja yang Risk IT lakukan?

  • Memungkinkan perusahaan untuk menyesuaikan komponen yang disediakan dalam rangka sesuai dengan kebutuhan khusus mereka;
  • Menyediakan end-to-end, pandangan yang komprehensif dari semua Risk yang terkait dengan penggunaan IT dan pengobatan sama menyeluruh manajemen resiko;
  • Memungkinkan perusahaan untuk memahami dan mengelola semua jenis Risk IT yang signifikan;
  • Memberikan manfaat bisnis yang nyata;
  • Memungkinkan perusahaan untuk membuat keputusan Risk-sadar yang tepat;
  • Menjelaskan bagaimana memanfaatkan investasi yang dibuat dalam IT internal sistem kontrol sudah di tempat untuk mengelola Risk yang terkait dengan IT;
  • Memungkinkan integrasi dengan keseluruhan struktur resiko dan kepatuhan dalam perusahaan ketika menilai dan mengelola Risk IT.

Apa saja manfaat menggunakan Risk IT?

  • Sebuah bahasa yang umum untuk membantu komunikasi antara bisnis, IT, resiko dan audit manajemen;
  • Bimbingan End-to-end pada bagaimana mengelola Risk yang terkait dengan IT;
  • Sebuah profil Risk yang lengkap untuk lebih memahami Risk, sehingga lebih baik memanfaatkan sumber daya perusahaan;
  • Pemahaman yang lebih baik tentang peran dan tanggung jawab dengan manajemen Risk IT;
  • Penyelarasan dengan ERM;
  • Peningkatan kualitas informasi;
  • Kepercayaan pemangku kepentingan yang lebih besar dan kekhawatiran peraturan berkurang;
  • Aplikasi inovatif mendukung inisiatif bisnis baru.
Read More

VAL IT

02.47    No comments

VAL-IT

Salah satu area utama dalam tata kelola TI ini adalah bagaimana organisasi dapat memperoleh nilai/manfaat yang optimal dari investasi TI. Jelas bahwa nilai/manfaat bisnis dari investasi TI tidak akan dapat terrealisasikan oleh orang-orang atau departemen TI, tapi selalunya akan diciptakan oleh bisnis melalui penggunaan IT. Oleh karena itu, maka investasi-investasi TI seharusnya mesti dipandang sebagai program bisnis, yaitu untuk membantu memberikan kemampuan yang dibutuhkan oleh organisasi untuk sukses dalam bisnisnya.
Diskusi-diskusi seputar IT Governance memperjelas kebutuhan bahwa bisnis perlu mengambil alih kepemilikan dan tanggung-jawab tata kelola TI untuk menciptakan nilai dari investasi-investasi IT. Menyadari akan pentingnya pergeseran cara pandang ini kemudian memicu pergeseran definisi dari IT Governance yang berfokus pada keterlibatan bisnis, sehingga terminologinya pun diubah dari semula IT Governance menjadi Governance of Enterprise IT (GEIT).
GEIT merupakan bagian integral dari corporate governance. GEIT mengatur sedemikian rupa sehingga baik personil bisnis maupun TI dapat menjalankan tanggung-jawabnya dalam mendukung keselarasan bisnis dengan IT serta menciptakan nilai bisnis dari investasi-investasi IT. GEIT tidak hanya mengatur tanggung-jawab IT saja tapi juga diperluas menjadi proses-proses bisnis (yang terkait IT) yang dibutuhkan dalam rangka penciptaan nilai bisnis.
Topik business value creation ini banyak menjadi agenda pembahasan di berbagai organisasi. Tak kurang juga literatur akademik dan profesional dibuat terkait bagaimana menciptakan dan menjaga agar value yang diterima bisnis dari investasi TI dapat optimal. Sebagai respon terhadap kebutuhan mengenai hal inilah kemudian ISACA meluncurkan sebuah framework yang memberi arahan bagaimana manajemen nilai ini diterapkan. Dan framewokr tersebut diberi nama Val IT.
Framework Val IT  yang membahas GEIT ini memiliki fokus utama pada manajemen dan penciptaan value dari IT. Framework ini dimulai dari premis bahwa penciptaan nilai dari investasi IT merupakan tanggung-jawab dari manajemen bisnis. Nah, untuk membantu manajemen bisnis dalam mengorganisasikan dan menjalankan tanggung-jawabnya tersebut, Val IT mendefinisikan 22 proses bisnis terkait IT, praktik-praktik manajemen utama yang berkaitan, panduan manajemen berikut model kematangannya.

Bagaimana hubungannya dengan CobiT?
Val IT bersifat komplementer terhadap COBIT dan bahkan mengikuti struktur dan template yang sama. Val IT memiliki 22 proses yang dikelompokkan ke dalam tiga domain, yaitu:
  • Value Governance (VG)
  • Portofolio Management (PM)
  • Investment Management (IM)

Domain VG membahas mengenai struktur dan proses-proses yang dibutuhkan untuk memastikan praktik-praktik manajemen nilai telah berjalan di organisasi. Domain ini mencakup keterlibatan kepemimpinan (VG1), definisi dan implementasi praktik-praktik manajemen nilai (VG2), dan integrasi manajemen nilai dengan proses-proses manajemen finansial organisasi (VG4). Domain ini juga membahas mengenai tipe-tipe portofolio dan kriteria yang perlu ditentukan oleh bisnis (VG3), bahwa monitoring tata kelola yang efektif mesti diterapkan di atas praktik-praktik manajemen nilai (VG5), dan harus ada siklus perbaikan yang berkesinambungan berdasarkan lesson learned sebelumnya (VG6). Proses-proses pada domain ini berlaku sebagai payung yang menaungi proses-proses pada domain Val IT lannya.
Domain PM membahas mengenai proses-proses yang dibutuhkan untuk mengelola seluruh portofolio investasi-investasi TI. Domain ini mengatur bahwa arahan strategis dari organisasi mesti diklarifikasi dan bahwa target portofolio mesti ditetapkan (PM1). Juga, sumber daya yang tersedia terkait dengan pendanaan (PM2) dan SDM (PM3) perlu diinventarisasi. Berdasarkan justifikasi bisnis yang detail hasil proses pada domain IM (IM1-1M5), maka kemudian program-program investasi tersebut dipilih dan dipindahkan ke portofolio aktif (PM4). Kinerja dari portofolio aktif ini perlu dimonitor secara kontinu dan dilaporkan (PM5) serta terus dioptimalisasi (PM6) berdasarkan laporan-laporan kinerja yang keluar dari proses-proses IM.
Proses-proses pada domain IM ini sudah bekerja pada level individual suatu investasi IT tertentu. Lima proses pertama dalam domain ini fokus pada munculnya peluang-peluang investasi baru di organisasi (IM1) dan pembuatan justifikasi bisnis yang rinci (IM5) untuk peluang-peluang yang sudah disetujui, termasuk analisis terhadap aksi-aksi yang dapat dilakukan (IM2), pendefinisian rencana detail program (IM3) dan analisis cost-benefit secara keseluruhan (IM4). Setelah persetujuan terhadap justifikasi bisnis rinci (PM4), program-program investasi baru diluncurkan (IM6) dan dimonitor (IM8) dan, jika perlu, justifikasi bisnis dapat juga diupdate (IM9). Semua program investasi perlu ada masa akhir berlakunya (IM10), yaitu ketika disepakati bahwa nilai bisnis yang diharapkan dari investasi telah dapat tercapai atau sebaliknya jika jelas-jelas tidak akan dapat tercapai. Selain itu perubahan pada portofolio operasional IT, sebagai hasil dari program investasi, perlu dimasukkan ke dalam portofolio layanan-layanan IT, aset atau sumber dayanya (IM7).
Secara sederhana sebenarnya nilai (value) merupakan relasi antara ekspektasi dari para pihak yang berkepentingan dengan kemampuan sumber daya untuk mewujudkannya. Dan tujuan dari manajemen nilai –seperti halnya Val IT ini—ini intinya adalah untuk merekonsiliasi kesenjangan diantara kedua hal tersebut. Ya, bagaimana mengatur agar sumber daya yang dikeluarkan dapat memenuhi ekspektasi dan juga sebaliknya, bagaimana ekspektasi dapat disesuaikan dengan kemampuan sumber daya yang dimiliki. Definisi yang sederhana tapi tentu tidak sederhana dalam mewujudkannya. Justru disinilah framework semacam Val IT ini diharapkan dapat membantu.
Read More

audit sistem informasi ITAF

02.46    No comments


ITAF (Information Technology Assurance Framework)

Tentang ITAF


ITAF didesain dan diciptakan oleh ISACA, ITAF sendiri adalah  Sebuah Framework  Praktek Profesional   Audit / jaminan SI  yang telah pada 3rd Edition. Bertujuan  sebagai sumber daya pendidikan untuk para profesional yang bekerja pada bidang audit/ jaminan SI . 



Pengenalan ITAF

ITAF adalah model referensi yang komprehensif dan baik penerapannya karena sbb:
  • Menetapkan standar  audit dan jaminan peran dan tanggung jawab profesional SI ; pengetahuan dan keterampilan; dan ketekunan, perilaku
  • Mendefinisikan istilah dan konsep spesifik untuk jaminan SI
  • Memberikan bimbingan dan alat-alat dan teknik pada perencanaan, desain, pelaksanaan dan pelaporan SI audit dan jaminan tugas

ITAF difokuskan pada materi ISACA dan menyediakan satu sumber di mana  audit dan jaminan SI profesional dapat mencari bimbingan, penelitian kebijakan dan prosedur, mendapatkan program audit dan jaminan, dan mengembangkan laporan yang efektif.

ITAF 2nd Edition dimasukkan dalam pedoman audit dan jaminan ISACA pada 1 November 2013, sedangkan 3rd Edition sendiri dimasukan pada 1 September 2014 yang akan dipakai sebagai pedoman baru dan akan di index didalam framework

Tentang ITAF lanjutan


ITAF merupakan produk dari Information System Audit and Control Association (ISACA) yang menyediakan sebuah kerangka tunggal yang berisi standar, pedoman (Guidelines) dan teknik dalam melaksanakan audit dan assurance termasuk di dalamnya perencanaan, lingkup audit, pelaksanaan dan pelaporan audit dan jasa assurance TI. ITAF terbagi menjadi tiga bagian seperti terlihat dalam gambar diatas yaitu:

  • Standar dikelompokkan menjadi standar umum, standar kinerja dan standar pelaporan. Standar digambarkan di gambar 1 dengan warna putih, artinya standar tersebut harus dilaksanakan (mandatory), bila ada penyimpangan atas standar harus diungkapkan penyebab dan konsekuensinya terhadap pelaksanaan audit. 
  • Pedoman dikelompokkan menjadi empat bagian dan digambarkan dengan warna abu-abu. Ini berarti pedoman tersebut tidak bersifat mandatory atau tidak bersifat keharusan, namun sangat direkomendasikan penggunaannya. Auditor harus mampu membuktikan adanya penyimpangan TI dengan metode pengumpulan bukti menurut pedoman ini.
  • Alat dan Teknik Audit, menyediakan infromasi spesifik mengenai metode, alat dan template dan juga menyediakan petunjuk penerapan dalam aktivitas audit. Khusus untuk alat dan teknik audit SI ini, bentuk dari kerangka ITAF berasal dari dokumen lain publikasi ISACA baik berupa buku, jurnal, petunjuk teknis dan sebagainya.
Read More
Langganan: Postingan (Atom)