Enam Komponen Audit Ti
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Enam Komponen Audit Ti as PDF for free.
More details
- Words: 1,235
- Pages: 4
Fungsi Audit TI: Latar Belakang Alasan perusuhaan belum melakukan audit TI :
1. perusahaan merasa bahwa TI yang diterapkan masih berperan sebatas support tools, belum menjadi strategic tools
2. kebijakan dan tujuan-tujuan penerapan TI-nya tidak begitu jelas 3. nilai investasi TI yang belum dianggap cukup berarti dibandingkan nilai keuangan perusahaan. 4. banyaknya jargon teknis TI yang sulit dipahami oleh manajemen puncak. 5. daf Audit TI, bertujuan untuk mengevaluasi dan memperbaiki efektivitas prosesproses manajemen risiko, kontrol dan good governance. Nilai penting dilakukannya audit TI sejalan dengan pentingnya mencapai tujuan perusahaan. Artinya, bagaimana perusahaan dapat mengelola berbagai risiko yang dihadapinya, terutama terkait dengan penerapan TI, dalam upayanya mencapai tujuan-tujuan bisnisnya. Dengan audit TI suatu perusahaan bisa didorong melakukan perencanaan dan pengembangan secara lebih terarah dan terfokus sesuai dengan tujuan-tujuan bisnisnya. Mereka didorong untuk menerapkan secara tepat dan benar, bukan sekedar menggelar suatu sistem yang mahal, namun tidak berdampak terhadap peningkatan kinerja karyawan dan perusahaan itu sendiri. Ron Weber, Dekan Fakultas Teknologi Informasi, Monash University , dalam salah satu bukunya: Information System Controls and Audit (Prentice-Hall, 2000) menyatakan beberapa alasan penting mengapa audit TI perlu dilakukan, antara lain:
1. Kerugian akibat kehilangan data Saat ini, data telah menjadi salah satu aset terpenting bagi suatu perusahaan. Bayangkan, jika Anda pimpinan perusahaan yang sebagian besar penjualan yang Anda raih dilakukan dengan cara kredit dimana para pembeli akan membayar tagihannya di kemudian hari. Untuk mencatat penjualan, Anda menggunakan bantuan TI. Akibat terjadinya gangguan virus atau terjadi kebakaran pada ruangan komputer yang Anda miliki, misalnya, maka seluruh data tagihan tersebut hilang. Kehilangan data tersebut mungkin saja akan mengakibatkan perusahaan Anda tidak dapat melakukan penagihan kepada para pelanggan. Atau, kalaupun masih dapat dilakukan, waktu yang dibutuhkan menjadi sangat lama karena Anda harus melakukan verifikasi manual atas dokumen penjualan yang Anda miliki.
2. Kesalahan dalam pengambilan keputusan Banyak kalangan usaha yang saat ini telah menggunakan bantuan Decision Support System (DSS) untuk mengambil keputusan-keputusan penting. Dalam bidang kedokteran, misalnya, keputusan dokter untuk melakukan tindakan operasi dapat saja ditentukan dengan menggunakan bantuan perangkat lunak tersebut. Dapat dibayangkan risiko yang mungkin dapat ditimbulkan apabila sang dokter salah memasukkan data pasien ke sistem TI yang digunakan. Taruhannya bukan lagi material, melainkan nyawa seseorang.
3. Risiko kebocoran data Data bagi sebagian besar sektor usaha merupakan sumber daya yang tidak ternilai harganya. Informasi mengenai pelanggan, misalnya, bisa jadi merupakan kekuatan daya saing suatu perusahaan. Bayangkan, Anda seorang direktur suatu perusahaan telekomunikasi yang memiliki 5 juta pelanggan. Tanpa Anda sadari, satu persatu pelanggan perusahaan Anda telah beralih ke perusahaan pesaing. Setelah melalui proses audit, akhirnya diketahui bahwa data pelanggan perusahaan Anda telah jatuh ke tangan perusahaan pesaing. Berdasarkan data tersebut, perusahaan pesaing kemudian menawarkan jasa yang sama dengan jasa yang Anda tawarkan ke pelanggan yang sama, tetapi dengan biaya yang sedikit lebih rendah. Kebocoran data ini tidak saja berdampak terhadap kehilangan sejumlah pelanggan, akan tetapi lebih jauh lagi bisa mengganggu kelangsungan hidup perusahaan Anda.
4. Penyalahgunaan Komputer Alasan lain perlunya dilakukan audit TI adalah tingginya tingkat penyalahgunaan komputer. Pihak-pihak yang dapat melakukan kejahatan komputer sangat beraneka ragam. Kita mengenal adanya hackers dan crackers. Hackers merupakan orang yang dengan sengaja memasuki suatu sistem teknologi informasi secara tidak sah. Biasanya mereka melakukan aktivitas hacking untuk kebanggaan diri sendiri atau kelompoknnya, tanpa bermaksud merusak atau mengambil keuntungan atas tindakannya itu. Sedang, Crackers di sisi lain melakukan aktivitasnya dengan tujuan mengambil keuntungan sebanyakbanyaknya dari tindakannya tersebut, misalnya mengubah atau merusak atau, bahkan, menghancurkan sistem komputer. Kejahatan komputer juga bisa dilakukan oleh karyawan yang merasa tidak puas dengan kebijakan perusahaan, baik yang saat ini masih aktif bekerja di perusahaan yang bersangkutan maupun yang telah keluar. Sayangnya, tidak semua perusahaan siap mengantisipasi adanya risiko-risiko tersebut. Survei yang dilakukan oleh Ernst & Young (Global Information Security Survey 2003) menemukan bahwa 34% dari total perusahaan yang ada saat ini tidak memiliki mekanisme yang memadai untuk mendeteksi kemungkinanan adanya serangan terhadap sistem mereka. Lebih dari 33%, bahkan menyatakan bahwa mereka tidak memiliki kemampuan yang cukup untuk menindaklanjuti ancamanancaman yang mungkin timbul.
5. Kerugian akibat kesalahan proses perhitungan Seringkali, TI digunakan untuk melakukan perhitungan yang rumit. Salah satu alasan digunakannya TI adalah kemampuannya untuk mengolah data secara cepat dan akurat (misalnya, penghitungan bunga bank). Penggunaan TI untuk mendukung proses penghitungan bunga bukannya tanpa risiko kesalahan. Risiko ini akan semakin besar, misalnya ketika bank tersebut baru saja berganti sistem dari sistem yang sebelumnya mereka gunakan. Tanpa adanya mekanisme pengembangan sistem yang memadai, mungkin saja terjadi kesalahan penghitungan atau, bahkan, fraud. Kesalahan yang ditimbulkan oleh sistem baru ini akan sulit terdeteksi tanpa adanya audit terhadap sistem tersebut.
6. Tingginya nilai investasi perangkat keras dan perangkat lunak komputer Investasi yang dikeluarkan untuk suatu proyek TI seringkali sangat besar.
Bahkan, dari penelitian yang pernah dilakukan (Willcocks, 1991), tercatat bahwa 20% pengeluaran TI terbuang secara percuma, 30-40% proyek TI tidak mendatangkan keuntungan. Selan itu, sulit mengukur manfaat yang dapat diberikan TI. Untuk Indonesia , alokasi anggaran untuk investasi di bidang TI relatif tidak lebih besar dibandingkan di luar negeri. Di Indonesia besarnya alokasi anggaran berkisar 5-10%, sementara di luar negeri bisa mencapai 30% dari total anggaran belanja perusahaan. Namun, bila dilihat dari nilai absolut besarnya Rupiah yang dikeluarkan, jumlahnya sangat besar. Perusahaan-perusahaan besar nasional, seperti Garuda Indonesia, Telkom, dan Pertamina semuanya, saat ini, sudah menerapkan sistem ERP (Enterprise Resource Planning) dan bahkan berbagai aplikasi lainnya yang melibatkan investasi yang signifikan. Enam komponen Audit TI : 1. pendefinisian tujuan perusahaan; 2. penentuan isu, tujuan dan perspektif bisnis antara penanggung jawab bagian dengan bagian TI; 3. review terhadap pengorganisasian bagian TI yang meliputi perencanaan proyek, status dan prioritasnya, staffing levels, belanja TI dan IT change process management; 4. assessment infrastruktur teknologi, assessment aplikasi bisnis; 5. temuan-temuan, 6. laporan rekomendasi. Sedang subyek yang perlu diaudit mencakup : 1. aspek keamanan, Masalah keamanan mencakup tidak hanya keamanan file servers dan penerapan metoda cadangan, melainkan juga penerapan standar tertentu, seperti C-ICT. 2. keandalan, Keandalan meliputi penerapan RAID V disk subsystems untuk server dengan critical applications dan prosedur penyimpanan data di file server, bukan di drive lokal C. 3. kinerja Kinerja mencakup persoalan standarisasi PC, penggunaan LAN serta cadangan yang sesuai dengan beban kerja. 4. manageability. manageability menyangkut penerapan standar tertentu dan pendokumentasian secara teratur dan berkesinambungan Pengoraganisasian bagian TI juga ditetapkan dalam audit assessment. Ini terbagi atas IT management, IT support dan IT staffing. Untuk pertama kalinya diperkenalkan visi jangka panjang mengenai IT management yang merujuk pada tujuan bisnis perusahaan. Ini didukung visi business support yang jelas dan orientasinya dipersiapkan untuk penerapan ERP (enterprise resource planning)
sebagai infrastrukturnya. Selain itu, tanggungjawab dibebankan pada setiap karyawan pengguna, sedang manajemen TI lebih bertanggung jawab dalam mendukung dan memecahkan masalah yang muncul. Audit itu harus dilakukan terhadap : 1. sistem informasi secara keseluruhan 2. perangkat TI yang digunakan 3. software, hardware, jaringan saja 4. aspek yang terlibat dan relevan dalam sistem informasi. Keamanan sistem informasi, beberapa prinsip non teknis yang harus dipegang. 1. prinsip multidisipliner (multidisciplinary principle), yang menegaskan bahwa segala macam pengukuran, praktik, dan prosedur keamanan sistem informasi harus juga meladeni segala pertimbangan dan sudut pandang berbagai disiplin yang relevan, termasuk aspek sosial budaya, hukum dan politik. 2. prinsip demokrasi (democracy principle), yang menegaskan bahwa keamanan sistem informasi perlu mempertimbangkan hak-hak pengguna dan pihak-pihak lain yang dipengaruhi oleh sistem. Metodologi Audit Teknologi Informasi: Fase 1 : Merencanakan Audit Fase 2 : Mengidentifikasikan risiko dan kendali Fase 3 : Mengevaluasi kendali dan mengumpulkan bukti-bukti Fase 4 : Mendokumentasikan temuan-temuan dan mendiskusikan dengan auditee Fase 5 : Laporan akhir dan mempresentasikan hasil-hasil Sumber : http://www.ebizzasia.com/0217-2004/
1. perusahaan merasa bahwa TI yang diterapkan masih berperan sebatas support tools, belum menjadi strategic tools
2. kebijakan dan tujuan-tujuan penerapan TI-nya tidak begitu jelas 3. nilai investasi TI yang belum dianggap cukup berarti dibandingkan nilai keuangan perusahaan. 4. banyaknya jargon teknis TI yang sulit dipahami oleh manajemen puncak. 5. daf Audit TI, bertujuan untuk mengevaluasi dan memperbaiki efektivitas prosesproses manajemen risiko, kontrol dan good governance. Nilai penting dilakukannya audit TI sejalan dengan pentingnya mencapai tujuan perusahaan. Artinya, bagaimana perusahaan dapat mengelola berbagai risiko yang dihadapinya, terutama terkait dengan penerapan TI, dalam upayanya mencapai tujuan-tujuan bisnisnya. Dengan audit TI suatu perusahaan bisa didorong melakukan perencanaan dan pengembangan secara lebih terarah dan terfokus sesuai dengan tujuan-tujuan bisnisnya. Mereka didorong untuk menerapkan secara tepat dan benar, bukan sekedar menggelar suatu sistem yang mahal, namun tidak berdampak terhadap peningkatan kinerja karyawan dan perusahaan itu sendiri. Ron Weber, Dekan Fakultas Teknologi Informasi, Monash University , dalam salah satu bukunya: Information System Controls and Audit (Prentice-Hall, 2000) menyatakan beberapa alasan penting mengapa audit TI perlu dilakukan, antara lain:
1. Kerugian akibat kehilangan data Saat ini, data telah menjadi salah satu aset terpenting bagi suatu perusahaan. Bayangkan, jika Anda pimpinan perusahaan yang sebagian besar penjualan yang Anda raih dilakukan dengan cara kredit dimana para pembeli akan membayar tagihannya di kemudian hari. Untuk mencatat penjualan, Anda menggunakan bantuan TI. Akibat terjadinya gangguan virus atau terjadi kebakaran pada ruangan komputer yang Anda miliki, misalnya, maka seluruh data tagihan tersebut hilang. Kehilangan data tersebut mungkin saja akan mengakibatkan perusahaan Anda tidak dapat melakukan penagihan kepada para pelanggan. Atau, kalaupun masih dapat dilakukan, waktu yang dibutuhkan menjadi sangat lama karena Anda harus melakukan verifikasi manual atas dokumen penjualan yang Anda miliki.
2. Kesalahan dalam pengambilan keputusan Banyak kalangan usaha yang saat ini telah menggunakan bantuan Decision Support System (DSS) untuk mengambil keputusan-keputusan penting. Dalam bidang kedokteran, misalnya, keputusan dokter untuk melakukan tindakan operasi dapat saja ditentukan dengan menggunakan bantuan perangkat lunak tersebut. Dapat dibayangkan risiko yang mungkin dapat ditimbulkan apabila sang dokter salah memasukkan data pasien ke sistem TI yang digunakan. Taruhannya bukan lagi material, melainkan nyawa seseorang.
3. Risiko kebocoran data Data bagi sebagian besar sektor usaha merupakan sumber daya yang tidak ternilai harganya. Informasi mengenai pelanggan, misalnya, bisa jadi merupakan kekuatan daya saing suatu perusahaan. Bayangkan, Anda seorang direktur suatu perusahaan telekomunikasi yang memiliki 5 juta pelanggan. Tanpa Anda sadari, satu persatu pelanggan perusahaan Anda telah beralih ke perusahaan pesaing. Setelah melalui proses audit, akhirnya diketahui bahwa data pelanggan perusahaan Anda telah jatuh ke tangan perusahaan pesaing. Berdasarkan data tersebut, perusahaan pesaing kemudian menawarkan jasa yang sama dengan jasa yang Anda tawarkan ke pelanggan yang sama, tetapi dengan biaya yang sedikit lebih rendah. Kebocoran data ini tidak saja berdampak terhadap kehilangan sejumlah pelanggan, akan tetapi lebih jauh lagi bisa mengganggu kelangsungan hidup perusahaan Anda.
4. Penyalahgunaan Komputer Alasan lain perlunya dilakukan audit TI adalah tingginya tingkat penyalahgunaan komputer. Pihak-pihak yang dapat melakukan kejahatan komputer sangat beraneka ragam. Kita mengenal adanya hackers dan crackers. Hackers merupakan orang yang dengan sengaja memasuki suatu sistem teknologi informasi secara tidak sah. Biasanya mereka melakukan aktivitas hacking untuk kebanggaan diri sendiri atau kelompoknnya, tanpa bermaksud merusak atau mengambil keuntungan atas tindakannya itu. Sedang, Crackers di sisi lain melakukan aktivitasnya dengan tujuan mengambil keuntungan sebanyakbanyaknya dari tindakannya tersebut, misalnya mengubah atau merusak atau, bahkan, menghancurkan sistem komputer. Kejahatan komputer juga bisa dilakukan oleh karyawan yang merasa tidak puas dengan kebijakan perusahaan, baik yang saat ini masih aktif bekerja di perusahaan yang bersangkutan maupun yang telah keluar. Sayangnya, tidak semua perusahaan siap mengantisipasi adanya risiko-risiko tersebut. Survei yang dilakukan oleh Ernst & Young (Global Information Security Survey 2003) menemukan bahwa 34% dari total perusahaan yang ada saat ini tidak memiliki mekanisme yang memadai untuk mendeteksi kemungkinanan adanya serangan terhadap sistem mereka. Lebih dari 33%, bahkan menyatakan bahwa mereka tidak memiliki kemampuan yang cukup untuk menindaklanjuti ancamanancaman yang mungkin timbul.
5. Kerugian akibat kesalahan proses perhitungan Seringkali, TI digunakan untuk melakukan perhitungan yang rumit. Salah satu alasan digunakannya TI adalah kemampuannya untuk mengolah data secara cepat dan akurat (misalnya, penghitungan bunga bank). Penggunaan TI untuk mendukung proses penghitungan bunga bukannya tanpa risiko kesalahan. Risiko ini akan semakin besar, misalnya ketika bank tersebut baru saja berganti sistem dari sistem yang sebelumnya mereka gunakan. Tanpa adanya mekanisme pengembangan sistem yang memadai, mungkin saja terjadi kesalahan penghitungan atau, bahkan, fraud. Kesalahan yang ditimbulkan oleh sistem baru ini akan sulit terdeteksi tanpa adanya audit terhadap sistem tersebut.
6. Tingginya nilai investasi perangkat keras dan perangkat lunak komputer Investasi yang dikeluarkan untuk suatu proyek TI seringkali sangat besar.
Bahkan, dari penelitian yang pernah dilakukan (Willcocks, 1991), tercatat bahwa 20% pengeluaran TI terbuang secara percuma, 30-40% proyek TI tidak mendatangkan keuntungan. Selan itu, sulit mengukur manfaat yang dapat diberikan TI. Untuk Indonesia , alokasi anggaran untuk investasi di bidang TI relatif tidak lebih besar dibandingkan di luar negeri. Di Indonesia besarnya alokasi anggaran berkisar 5-10%, sementara di luar negeri bisa mencapai 30% dari total anggaran belanja perusahaan. Namun, bila dilihat dari nilai absolut besarnya Rupiah yang dikeluarkan, jumlahnya sangat besar. Perusahaan-perusahaan besar nasional, seperti Garuda Indonesia, Telkom, dan Pertamina semuanya, saat ini, sudah menerapkan sistem ERP (Enterprise Resource Planning) dan bahkan berbagai aplikasi lainnya yang melibatkan investasi yang signifikan. Enam komponen Audit TI : 1. pendefinisian tujuan perusahaan; 2. penentuan isu, tujuan dan perspektif bisnis antara penanggung jawab bagian dengan bagian TI; 3. review terhadap pengorganisasian bagian TI yang meliputi perencanaan proyek, status dan prioritasnya, staffing levels, belanja TI dan IT change process management; 4. assessment infrastruktur teknologi, assessment aplikasi bisnis; 5. temuan-temuan, 6. laporan rekomendasi. Sedang subyek yang perlu diaudit mencakup : 1. aspek keamanan, Masalah keamanan mencakup tidak hanya keamanan file servers dan penerapan metoda cadangan, melainkan juga penerapan standar tertentu, seperti C-ICT. 2. keandalan, Keandalan meliputi penerapan RAID V disk subsystems untuk server dengan critical applications dan prosedur penyimpanan data di file server, bukan di drive lokal C. 3. kinerja Kinerja mencakup persoalan standarisasi PC, penggunaan LAN serta cadangan yang sesuai dengan beban kerja. 4. manageability. manageability menyangkut penerapan standar tertentu dan pendokumentasian secara teratur dan berkesinambungan Pengoraganisasian bagian TI juga ditetapkan dalam audit assessment. Ini terbagi atas IT management, IT support dan IT staffing. Untuk pertama kalinya diperkenalkan visi jangka panjang mengenai IT management yang merujuk pada tujuan bisnis perusahaan. Ini didukung visi business support yang jelas dan orientasinya dipersiapkan untuk penerapan ERP (enterprise resource planning)
sebagai infrastrukturnya. Selain itu, tanggungjawab dibebankan pada setiap karyawan pengguna, sedang manajemen TI lebih bertanggung jawab dalam mendukung dan memecahkan masalah yang muncul. Audit itu harus dilakukan terhadap : 1. sistem informasi secara keseluruhan 2. perangkat TI yang digunakan 3. software, hardware, jaringan saja 4. aspek yang terlibat dan relevan dalam sistem informasi. Keamanan sistem informasi, beberapa prinsip non teknis yang harus dipegang. 1. prinsip multidisipliner (multidisciplinary principle), yang menegaskan bahwa segala macam pengukuran, praktik, dan prosedur keamanan sistem informasi harus juga meladeni segala pertimbangan dan sudut pandang berbagai disiplin yang relevan, termasuk aspek sosial budaya, hukum dan politik. 2. prinsip demokrasi (democracy principle), yang menegaskan bahwa keamanan sistem informasi perlu mempertimbangkan hak-hak pengguna dan pihak-pihak lain yang dipengaruhi oleh sistem. Metodologi Audit Teknologi Informasi: Fase 1 : Merencanakan Audit Fase 2 : Mengidentifikasikan risiko dan kendali Fase 3 : Mengevaluasi kendali dan mengumpulkan bukti-bukti Fase 4 : Mendokumentasikan temuan-temuan dan mendiskusikan dengan auditee Fase 5 : Laporan akhir dan mempresentasikan hasil-hasil Sumber : http://www.ebizzasia.com/0217-2004/
Related Documents
Enam Komponen Audit Ti
October 2019 3
Bagaimana Audit Ti Dilakukan
May 2020 12
Komponen
June 2020 28
Komponen
June 2020 30
Komponen
May 2020 25