AUDIT SISTEM INFORMASI dan TUJUANNYA
Tujuan audit sistem informasi adalah untuk meninjau dan mengevaluasi pengendalian internal yang melindungi sistem tersebut.
Ketika melaksanakan audit sistem informasi, para auditor harus memastikan tujuan-tujuan berikut ini dipenuhi : Perlengkapan keamanan melindungi perlengkapan komputer, program, komunikasi, dan data dari akses yang tidak sah, modifikasi, atau penghancuran. Pengembangan dan perolehan program dilaksanakan sesuai dengan otorisasi khusus dan umum dari pihak manajemen. Modifikasi program dilaksanakan dengan otorisasi dan persetujuan pihak manajemen. Pemrosesan transaksi, file, laporan, dan catatan komputer lainnya telah akurat dan lengkap. Data sumber yang tidak akurat. atau yang tidak memiliki otorisasi yang tepat diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah ditetapkan. File data komputer telah akurat, lengkap, dan dijaga kerahasiaannya.
1. Audit Sistem Informasi : Keamanan Keseluruhan Gambar ini melukiskan hubungan di antara keenam tujuan ini dengan komponen¬komponen sistem informasi. Setiap deskripsi terdiri dari rencana untuk mencapai setiap tujuan di atas, dan juga teknik serta prosedur yang diperlukan untuk melaksanakan rencana audit tersebut.
Tabel DD-1 berisi kerangka untuk audit keamanan komputer Tabel DD-1 berisi kerangka untuk audit keamanan komputer. tabel tersebut menunjukkan hal-hal berikut ini : Jenis kesalahan dan penipuan keamanan yang dihadapi oleh perusahaan. Hal ini mencakup kerusakan yang disengaja dan tidak disengaja atas aset sistem; akses tidak sah, pengungkapan atau modifikasi data dan program; pencurian; serta interupsi atas kegiatan bisnis yang penting. Prosedur pengendalian untuk meminimalkan kesalahan dan penipuan keamanan. Hal ini mencakup mengembangkan rencana keamanan/perlindungan informasi dari virus, mengimplementasikan firewall, mengadakan pengendqlian atas pengiriman data, dan mencegah serta memulihkan diri dari kegagalan sistem atau bencana’ lainnya. Prosedur audit tinjauan sistem. Hal ini mencakup memeriksa lokasi komputer; melakukan wawancara dengan para personilnya; meninjau kebijakan dan prosedur; serta memeriksa daftar akses, kebijakan asuransi, dan rencana pemulihan dari bencana.
Prosedur audit pengujian pengendalian. Para auditor menguji pengendalian keamanan dengan cara mengamati prosedur, memverifikasi bahwa terdapat pengendalian dan pengendalian tersebut berfungsi seperti dengan yang diharapkan, menginvestigasi berbagai kesalahan atau masalah untuk memastikan mereka ditangani dengan benar, serta memeriksa berbagai uji yang sebelumnya telah dilaksanakan. Contohnya, salah satu cara untuk menguji pengendalian akses logika adalah dengan mencoba melanggar masuk ke sistem. Selama audit keamanan sebuah badan pemerintah Amerika Serikat, para auditor menggunakan terminal¬ terminal badan tersebut untuk mendapatkan akses secara tidak sah ke sistem komputer mereka, mematikan prosedur pemeriksaan keamanannya, dan mengendalikan sistem tersebut dari terminal yang mereka pakai. Kegagalan keamanan dapat terjadi karena kurangnya p~ngendalian administratif dan software keamanan yang tidak memadai. Pengendalian pengimbang. Apabila pengendalian keamanan sangatlah tidak cukup, maka organisasi menghadapi risiko yang besar. Kebijakan personil yang baik dan pemisahan tugas secara efektif atas pekerjaan yang tidak boleh disatukan, dalam beberapa hal dapat mengimbangi keamanan komputer yang kurang tersebut. Oleh karena hampir tidak mungkin pengendalian-pengendalian ini dapat mengimbangi secara keseluruhan keamanan komputer yang kurang baik, para auditor harus sangat merekomendasikan agar kelemahan keamanan tersebut diperbaiki.
2. Audit Sistem Informasi : Pengembangan dan Perolehan Program.
Tabel DD-2 memberikan kerangka untuk meninjau dan mengevaluasi proses pengembangan program. Dua hal yang dapat salah dalam pengembangan program: Kesalahan yang tidak disengaja karena adanya kesalahpahaman atas spesifikasi sistem atau kecerobohan pemrograman, dan Perintah tidak sah yang dengan sengaja dimasukkan ke dalam program. Masalah-masalah ini dapat dikendalikan dengan cara meminta otorisasi serta persetujuan dari pihak manajemen dan pemakai, pengujian keseluruhan, dan dokumentasi yang memadai. Peran auditor dalam pengembangan sistem harus dibatasi sampai pada peninjauan independen atas kegiatan pengembangan sistem; Untuk mempertahankan objektivitas yang dibutuhkan dalam melaksanakan evaluasi independen atas fungsi, para auditor harus tidak dilibatkan dalam pengembangan sistem. Selama peninjauan sistem, para auditor harus mendapat pemahaman mengenai prosedur pengembangan dengan mendiskusikannya bersama pihak manajemen, pemakai sistem, dan para personil sistem informasi. Mereka juga harus meninjau kebijakan, prosedur, standar, dan dokumentasi yang tercantum pada Tabel DD-2.
Untuk menguji pengendalian pengembangan sistem, para auditor harus mewawancarai para manajer dan pemakai sistem, memeriksa persetujuan pengembangan, dan meninjau notulen rapat tim pengembangan sistem. Para auditor harus meninjau secara keseluruhan semua dokumentasi yang berhubungan dengan proses pengujian dan memastikan bahwa seluruh perubahan program telah diuji. Auditor harus memeriksa spesifikasi uji, meninjau data uji, dan mengevaluasi hasil pengujian. Apabila hasil pengujian tidak sesuai dengan harapan, maka auditor harus memastikan bagaimana masalah tersebut diatasi. Apabila para auditor bergantung pada pengendalian pengimbang untuk pemrosesan, mereka harus mendapatkan bukti yang mendukung ketaatan terhadap sistem, dengan menggunakan berbagai teknik, seperti pengujian data pemrosesan independen. Apabila bukti sejenis ini tidak bisa didapatkan, mereka dapat menyimpulkan bahwa terdapat kelemahan yang material dalam pengendalian internal, dan bahwa risiko kesalahan atau penipuan dalam program aplikasi terlalu tinggi hingga tidak dapat diterima.
3. Audit Sistem Informasi: Audit Modifikasi Program.
Tabel DD-3 menyajikan kerangka untuk melakukan audit program aplikasi dan perubahan software sistem. Kesalahan dan penipuan yang terjadi dalam pengembangan program dapat juga terjadi selama modifikasi program. Contohnya, salah seorang programer ditugaskan untuk memodifikasi sistem penggajian perusahaannya, menyisipkan sebuah perintah untuk menghapus seluruh file komputer apabila perintah pemberhentian dimasukkan ke dalam catatan penggajian dirinya. Ketika programer tersebut dipecat, perintah pemberhentian yang dimasukkan ke dalam catatannya telah menyebabkan sistem tersebut bertabrakan dan menghapus file-file utama. Ketika sebuah perubahan program diserahkan untuk persetujuan, sebuah daftar hal-hal yang akan diperbarui harus disusun dan kemudian disetujui oleh pihak manajemen dan pemakai program. Semua perubahan program harus diuji secara keseluruhan dan didokumentasikan. Selama proses perubahan, versi pengembangan program harus tetap dipisahkan dari versi produksi program. Setelah program yang dirubah telah mendapatkan persetujuan akhir, perubahan tersebut diimplementasikan dengan cara mengganti versi produksi dengan versi pengembangan.
Selama tinjauan sistem, auditor harus mendapatkan pemahaman atas proses perubahan melalui diskusi dengan manajemen dan personil yang menggunakan program tersebut. Kebijakan, ‘prosedur dan standar untuk memberikan persetujuan, modifikasi, pengujian, dan dokumentasi perubahan harus diperiksa. Bahan dokumentasi akhir yang lengkap untuk perubahan program yang terbaru, termasuk prosedur dan hasil uji, harus ditinjau. Terakhir, auditor harus meninjau prosedur yang digunakan untuk membatasi akses logika ke versi pengembangan program tersebut. Bagian yang penting dari uji pengendalian yang dilaksanakan.seorang auditor adalah . memverifikasi bahwa perubahan program telah diidentifikasi, didaftar, disetujui, diuji, dan didokumentasikan. Langkah ini mensyaratkan auditor untuk mengamati bagaimana perubahan diimplementasikan untuk memverifikasi bahwa program pengembangan dan produksi yang terpisah tetap dilaksanakan, dan bahwa perubahan tersebut diimplementasikan oleh seseorang yang independen dari pemakai dan fungsi pemrograman. Auditor harus meninjau tabel pengendalian akses program pengembangan untuk memverifikasi bahwa hanya pemakai yang ditugaskan untuk melaksanakan modifikasi, yang memiliki akses ke sistem.
4. Audit Sistem Informasi: Audit Pengendalian Pemrosesan Komputer
Tabel DD-4 memberikan kerangka untuk melakukan audit pengendalian pemrosesan komputer. Fokus tujuan keempat adalah pemrosesan transaksi, file, dan catatan komputer untuk memperbarui file serta database, dan yang digunakan untuk menghasilkan laporan. Dalam pemrosesan komputer, sistem dapat saja gagal mendeteksi input yang salah, memperbaiki kesalahan input secara tidak tepat, memroses input yang salah, atau menyebarkan atau mengungkap output secara tidak benar. Tabel DD-4 memperlihatkan prosedur pengendalian untuk mendeteksi dan mencegah kesalahan-kesalahan ini, meninjau sistem dan uji prosedur pengendalian yang dapat diterapkan auditor. Tujuan dari prosedur audit ini adalah untuk mendapatkan pemahaman atas pengendalian, mengevaluasi kecukupannya, dan mengamati jalannya sebagai bukti bahwa pengendalian memang digunakan. Para auditor harus secara periodik mengevaluasi kembali pengendalian pemrosesan untuk memastikan kelangsungan keandalannya. Apabila pengendalian pemrosesan tidak memuaskan, pengendalian pemakai dan data sumber mungkin cukup kuat untuk mengimbangi kelemahan tersebut. Apabila tidak, maka terdapat kelemahan yang material sehingga tindakan harus diambil untuk menghilangkan kelemahan pengendalian tersebut.
5. Audit Sistem Informasi: Audit Pengendalian Data Sumber. Tabel DD-5 memperlihatkan pengendalian internal yang mencegah, mendeteksi, dan memperbaiki data sumber yang salah atau tidak akurat. Tabel tersebut juga memperlihatkan tinjauan sistem dan prosedur uji pengendalian yang dapat digunakan auditor untuk melakukan evaluasi. Dalam sistem on-line, entri dan fungsi pemrosesan data sumber merupakan satu kesatuan operasi. Oleh sebab itu, pengendalian data sumber seperti otorisasi yang memadai dan edit input data, diintegrasikan dengan pengendalian pemrosesan.
6. Audit Sistem Informasi: Audit Pengendalian File Data. Tujuan keenam meliputi akurasi, integritas, dan keamanan data yang disimpan dalam file yang dapat dibaca oleh mesin. Risiko penyimpanan data mencakup modifikasi tidak sah, penghancuran, atau pengungkapan data. Apabila pengendalian file sangat lemah, terutama dalam kaitannya dengan akses fisik atau logika atau dengan prosedur salinan cadangan dan pemulihan file, maka auditor harus sangat merekomendasikan perbaikan atas kelemahan-kelemahan tersebut.
Software Komputer untuk Audit Sistem Informasi berbasis Komputer Beberapa program komputer, yang disebut computer audit software (CAS) atau generalized audit software (GAS) telah dibuat secara khusus untuk auditor. Program tersebut tersedia di pemasok software dan kantor akuntan publik besar. Pada dasarnya, CAS adalah program komputer yang, berdasarkan spesifikasi dari auditor, menghasilkan program yang melaksanakan fungsi-fungsi audit. CAS idealnya sesuai untuk pemeriksaan file data yang besar, untuk mengidentifikasi catatan-catatan yang membutuhkan pemeriksaaan audit lebih lanjut.
Penggunaan CAS dalam Audit Sistem Informasi Gambar ini memperlihatkan bagaimana CAS digunakan. Langkah pertama auditor adalah memutuskan tujuan-tujuan audit, mempelajari file serta database yang akan diaudit, mendesain laporan audit, dan menetapkan bagaimana cara menghasilkannya. Informasi ini akan dicatat dalam lembar spesifikasi dan dimasukkan ke dalam sistem melalui program input data.