(1
)
TABEL PERBANDINGAN +/- STANDAR AUDIT SI
|
STANDAR
AUDIT SI
|
KELEBIHAN
|
KEKURANGAN
|
|
|
|
|
|
COBIT
|
·
.Berhubungan
dengan penyediaan informasi yang sesuai untuk manajemen
·
. Proteksi terhadap informasi yang sensitif dari
akses yang tidak bertanggung jawab.
|
·
COBIT hanya memberikan panduan kendali dan tidak memberikan
panduan implementasi operasional.
·
COBIT hanya berfokus
pada kendali dan pengukuran.
|
|
|
|
|
|
ITIL
|
·
Memberi deskripsi rinci sejumlah praktik penting TI dan
menyediakan daftar komprehensif tugas dan prosedur yang didalamnya setiap
organisasi dapat menyesuaikan dengan kebutuhannya sendiri
·
ITIL bukan merupakan standard yang memberikan prescription
tetapi lebih kepada merekomendasikan, oleh karena itu implementasi antara
satu organisasi dengan organisasi lain dapat dipastikan terdapat perbedaan.
Dengan demikian kita tidak bisa membandingkan / melakukan benchmark secara
past
|
·
Kelemahan ITIL
antara lain: buku-buku ITIL sulit terjangkau bagi pengguna non komersial,
ITIL bersifat holistic yang mencakup semua kerangka kerja untuk tatakelola
TI, pelaksanaan pedoman dalam buku ITIL memerlukan pelatihan khusus dan biaya
pelatihan atau sertifikasi ITIL terlalu tinggi.
|
|
|
|
|
|
ISO/EC
|
·
memberikan
panduan secara prinsip bagi para direksi dari suatu perusahaan (termasuk di
dalamnya para pemilik, anggota dewan, direksi, partners, senior executives,
atau sejenisnya) mengenai Teknologi Informasi (TI) yang effective, efficient,
dan acceptable use di dalam organisasi mereka.
|
·
menerapkan dan
menjalankan sistem ISO compliant mahal. Tugas menyiapkan informasi perusahaan
dan menulis manual perusahaan serta prosedur standar operasi perusahaan bisa
mahal terutama karena Anda harus membawa konsultan dari perusahaan luar dan
organisasi untuk menangani bagian dari pekerjaan untuk Anda.
|
|
|
|
|
( 2 )
A)
KONSEP DASAR KONTROL
·
Proses dalam pelaksanaan audit sistem informasi berbasis
kendali sesuai standar audit yaitu:
a)
Mengumpulkan bukti-bukti yang memadai melalui berbagai teknik seperti survei,
interview, observasi, review.
b)
Jika bukti –bukti berupa bukti elektronis (data bentuk file suftcopy) maka
auditor menerapkan sistem teknik audit berbantuan komputer yang disebut CAAT(Computer Aided Auditing Technique) yang
bertujuan untuk menganalisa data seperti penjualan, pembelian, transaksi, dan
lain-lain)
c)
Sesuai standar auditing ISACA (information
System Audit And Control Association)Auditor juga harus menyusun laporan
yang mencakup tujuan pemeriksaansifat dan kedalaman pemeriksaan.
d)
Laporan juga harus menyebutkan organisasi yang diperiksa, pihak pengguna
laporan yang dituju, dan batasan-batasan distrubusi laporan.
e)
Laporan juga harus memasukkan temuan,kesimpulan, rekomendasi, sebagaimana
layaknya laporan audit.
·
Audit sistem informasi berbasis kendali merupakan suatu sistem yang mencegah, mendeteksi atau
memperbaiki kejadian yang tidak dibenarkan (unlawfulevents) seperti:
unautorized (tidak nyambung), innacurrete(kurang baik), incomplete(tidak komplet/tidak
sesuai), redundant(mubazir), ineffective, ineffeicient event.tujuanya yaitu
untuk mengurangi kesalahan yang mungkin terjadi dari kejadian yang dibenarkan.
·
Berdasarkan standar manajemen yang dikeluarkan oleh Internasional
Standar Organization (ISO) yaitu ISO 9001-2000, penilaian kondisi sistem
mutu mempunyai 4 skala yaitu:
a)
P (Poor) yaitu sistem mutu praktis belum terbentuk. Disarankan untuk meninjau
ulang keseluruhan proses.
b)
W (Weak) yaitu masih banyak elemen sistem manajemen mutu yang tidak sesuai
standar.
c)
F (Fair) yaitu beberapa elemen sistem telah sesuai standar tetapi masih ada
yang belum sesuai bahkan tidak ada sama sekali.
d)
S (Strong) yaitu Sebagian besar persyaratan ISO 9001-2000 telah dapat dipenuhi
oleh sistem.
B)
PRINSIP PRINSIP DASAR PROSES AUDIT
SI
·
Audit dititikberatkan pada objek audit yang mempunyai
peluang untuk diperbaiki
·
Prasyarat Penilaian terhadap kegiatan objek audit
·
Pengungkapan dalam laporan adanya temuan-temuan yang
bersifat positif
·
Identifikasi individu yang bertanggungjawab terhadap
kekurangan-kekurangan yang terjadi.
·
Penentuan tindakan terhadap petugas yang seharusnya
bertanggung jawab
·
Pelanggaran hokum
·
Penyelidikan dan pencegahan kecurangan
C.)
STANDAR DAN PANDUAN AUDIT SI
Standar
Audit SI tidak lepas dari standar professional seorang auditor SI, yaitu ukuran
mutu pelaksanaan kegiatan profesi yang menjadi pedoman bagi para anggota
profesi dalam menjalankan tanggung jawab profesinya.
( 3.)
A)
KONTROL INTERNAL
Proses
yang dipengaruhi oleh sumber daya manusia dan sistem teknologi informasi yang
dirancang untuk membantu organisasi mencapai suatu tujuan tertentu atau suatu
cara untuk mengarahkan, mengawasi, dan mengukur sumber daya suatu organisasi.
RUANG
LINGKUP INTERNAL
: Menilai keefektifan sistem pengendalian intern, pengevaluasian terhadap
kelengkapan dan keefektifan sistem pengendalian internal yang dimiliki
organisasi, serta kualitas pelaksanaan tanggung jawab yang diberikan.
SISTEM
KONTROL INTERNAL
: Suatu sistem atau sosial yang dilakukan perusahaan yang terdiri dari struktur
organisasi, metode, dan ukuran-ukuran untuk menjaga dan mengarahkan jalan
perusahaan agar bergerak sesuai dengan tujuan dan prgram perusahaan dan
mendorong efisiensi serta dipatuhinya kebijakan manajemen.
B.)
CONTROL OBJECTIVES : Efektivitas proses departemen dalam mendukung desain dan
persetujuan kerangka pengendalian program berbasis risiko dan mengatur dan
mendukung pengumpulan dan penggunaan laporan penerima.
CONTROL
RISK : Risiko
pengendalian(control risks) adalah salah satu material yang tidak dapat
dicegah ataupun dideteksi secara tepat pada waktunya oleh berbagai kebijakan
dan prosedur struktur pengendalian intern perusahaan.
C
)
MANAGEMENT CONTROL FRAMEWORK : Mengumpulkan dan menggunakan
informasi untuk mengevaluasi kinerja berbagai sumber daya organisasi secara
keseluruhan.
APPLICATION
CONTROL FRAMEWORK :
Sistem pengendalian intern komputer yang berkaitan dengan pekerjaan dan
kegiatan tertentu yang telah ditentukan. Berkaitan dengan ruang lingkup
proses bisnis individu atau sistem aplikasi.
D.)
CORPORATE IT GOVERNANCE : Kumpulan kebijakan, proses atau aktifitas
dan prosedur untuk mendukung pengoperasian TI agar hasilnya sejalan dengan
strategi bisnis.
( 4 )
Aspek Management Control Framework
1. Planning
and Organization
Mencakup strategi
dan taktik yang menyangkut identifikasi tentang bagaimana TI dapat memberikan
kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga terbentuk
sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula.
2. Acquisition
and Implementation
Identifikassi
solusi Ti kemudian di implementassikan dan diintegrasikan dalam proses bisnis
untuk mewujudkan strategi TI.
3. Delivery
and Support
Domain yang
berhubungan dengan penyimpanan layanan yang diinginkan, yang terdiri dari
operasi pada sistem keamanan dan aspek kesinambungan bisnis sampai dengan
pengadaan training.
4. Monitoring
Semua proses TI
perlu dinilai secara teratur dan berkala bagaimmana kualitas dan kesesuiananya
dengan kebutuhan control.
