Manajemen Risiko dan Audit Sistem Infomasi

Posted on

Tujuan audit sistem informasi. untuk menetapkan apakah sistem informasi melindungi aset perusahaan, menjaga integritas data yang disimpan dan dikomunikasikan, mendukung tujuan perusahaan secara efektif, dan beroperasi secara efisien.

Beberapa perubahan mendasar dari sistem manual ke sistem berbasis computer sebagai berikut. sistem informasi sering kali jauh lebih kompleks daripada sistem manual, sistem informasi memiliki kemampuan memproses data dalam jumlah besar, sistem informasi menyimpan data dalam bentuk elektronik dan sistem informasi memproses data secara otomatis.

Saat ini sistem terdapat beberapa posisi yang berhubungan dengan sistem informasi seperti Programmer, Web Developer, Computer Systems Engineer, Database Administrator, Software Quality Assurance (QA), Business Intelligence Analyst, Analis sistem, Manajer Sistem Informasi, CIO, CSO, CPO, CKO dan Network Administrator.

Terdapat dua jenis komunikasi daring yaitu komunikasi daring sinkron (serempak dan komunikasi daring asinkron (tak serempak).

Pengendalian pada sistem informasi secara umum diklasifikasikan menjadi dua bagian yaitu pengendalian umum dan pengendalian aplikasi enkripsi.

Audit program sistem informasi adalah prosedur detail dari audit sistem infomasi. Program audit dilakukan dengan tujuan agar proses audit dapat dilakukan secara efektif dan efisien, maka program audit diperlukan untuk menyelenggarakan audit yang efektif dan efisien. Sistem informasi berbasis cloud computing adalah sistem informasi perusahaaan yang menggunakan layanan teknologi informasi yang disediakan pihak ketiga bisa dimanfaatkan atau diakses oleh pelanggannya melalui jaringan internet”. Audit rekam jejak transaksi sistem informasi adalah sistem pengendalian berdasarkan jejak transaksi dalam sistem merupakan kegiatan merekam aktivitas di tingkat sistem, aplikasi, dan pengguna dimana sistem operasi memungkinkan manajemen untuk memilih tingkat audit. Tujuan audit sistem informasi adalah untuk memperoleh keyakinan yang bahwa organisasi melindungi aset pemrosesan data, menjaga integritas data dan mencapai efektivitas dan efisiensi sistem yang akan dicatat dalam log.

Beberapa Istilah Komputasi: CPU (Central Processing Unit), Terminal komputer, printer, perangkat penyimpanan mobile seperti flash disk, harddisk eksternal, memori. Perangkat lunak, memori, modem, multiplexer, serat optik, microwave, keyboard, mouse, pemindai, barcode, QR Code atau quick respons code, RFID dan voice recognition.

Beberapa jenis jaringan berdasarkan luas jangkauan : LAN atau local area network, MAN atau metropolitan area network dan WAN atau wide area network System. keamanan jaringan adalah untuk menentukan data atau informasi apa saja yang harus dilindungi, menentukan berapa besar biaya yang harus ditanamkan dalam melindunginya dan menentukan siapa yang bertanggung jawab untuk menjalankan langkah-langkah yang diperlukan untuk melindungi bagian tersebut.

Pembatasan akses pada suatu jaringan beberapa konsep yang ada dalam pembatasan akses jaringan, yaitu Internal Password Authentication., Serverbased password authentication dan Firewall dan Routing Control.

Pengendalian umum pada jaringan komputer adalah untuk memastikan lingkungan fisik yang memadai, ketersediaan sistem cadangan yang memadai, jaringan peer to peer dan pelatihan.

Untuk meninjau desain database yang relevan, proses audit sistem informasi dilakukan dengan membuat daftar semua jenis record, membaca dan menganalisis deskripsi dan nama data, identifikasi kunci dari setiap record dan verifikasi persyaratan dan keunikan data dan mempelajari hubungan antar data.

Ada banyak jenis model data. Beberapa yang paling umum termasuk di dalamnya adalah model database hirarkis (Hierarchical database model), model relasional (Relational model), model jaringan (Network model), model database berorientasi objek (Object-oriented database model) model hubungan entitas (Entity relationship model) dan model file terbalik (Inverted file model).

Risiko dikategorikan berdasarkan respons organisasi, sebagai risiko terkendali, risiko yang tidak terkendali dan risiko yang berpengaruh.

Auditor harus selalu mengingat bahwa manajer memiliki sikap yang berbeda terhadap risiko. Beberapa manajer atau bahkan organisasi melihat penerimaan risiko sebagai hal mendasar untuk menghasilkan keuntungan, sedangkan yang lain sangat menghindari risiko dan menganggap pengurangan risiko sebagai komponen fundamental bisnis. Ini disebut sebagai toleransi risiko.

Risiko sistem informasi secara umum dibagi menjadi risiko strategis, risiko operasi dan risiko pelaporan.

Risiko sistem kerja terdiri atas : praktek kerja, peserta, teknologi informasi, alat dan teknik sistem kerja, produk dan layanan, pelanggan, lingkungan infrastruktur, strategi, fase pengembangan sistem informasi, peserta dalam pengembangan sistem informasi, informasi, lingkungan pengembangan teknologi, tahap implementasi.

Risiko komputer adalah kemungkinan bahwa satu atau lebih sumberdaya komputer akan mengalami konsekuensi yang merugikan dari komputer Risiko bawaan atau risiko inheren adalah kemungkinan terjadinya kerugian yang signifikan sebelum memperhitungkan faktor pengurang risiko.

Batasan audit, proses audit sedemikian rupa memiliki beberapa batasan, yaitu batasan yang tidak dapat diatasi terlepas dari sifat dan luas prosedur seperti penipuan, ketergantungan pada penjelasan orang lain, ketergantungan pada pendapat orang lain, konflik dengan orang lain.

Prinsip dasar audit adalah prinsip-prinsip dasar yang mengatur tanggung jawab auditor profesional dan yang harus dipatuhi setiap kali audit dilakukan. Seperti integritas, objektivitas, dan independensi.

Bukti audit sistem informasi adalah informasi yang dimaksudkan untuk membuktikan atau mendukung suatu keyakinan. Secara individual, item bukti mungkin cacat oleh bias pribadi atau oleh potensi kesalahan pengukuran dan setiap bagian mungkin kurang kompeten daripada yang diinginkan sehingga auditor akan melihat secara total pada “bukti”, yang harus memberikan dasar faktual untuk opini audit.

Konsep dasar audit sistem informasi adalah upaya untuk memastikan penggunaan sistem informasi yang efektif dan efisien serat memberikan rekomendasi sebagai solusinya.

COBIT mendefinisikan sumber daya sebagai berikut, data, sistem aplikasi, teknologi, fasilitas, dan orang.

Standar menentukan persyaratan wajib untuk audit dan pelaporan sistem informasi dimana standar menurut ISACA meliputi: Icinerja standar, piagam audit, standar independensi, standard professional ethics, standar kompetensi profesional, standar perencanaan, standar pelaksanaan pekerjaan audit, standar pelaporan, standar kegiatan tindak lanjut, standar penyimpangan dan tindakan ilegal, standar tata kelola TI, standar penggunaan penilaian risiko dalam perencanaan audit, standar materialitas audit, standar menggunakan karya pakar 1ain, standar bukti audit, standar kontrol TI dan standard e-comrnerce.

Pedoman audit sistem informasi adalah panduan yang biasanya diikuti oleh auditor sistem informasi dimana pedoman menurut ISACA sebagai berikut: standar pedoman memanfaatkan karya pakar lain, keterkaitan ke COBIT, kebutuhan akan pedoman, perencanaan, kinerja kerja audit, kegiatan tindak lanjut. Panduan/pedoman persyaratan bukti audit menurut ISACA yaitu kaitan dengan standar kebutuhan akan panduan, perencanaan, kinerja kerja audit, dokumentasi audit Panduan/pedoman pengalihdayaan aktivitas sistem informasi ke organisasi lain menurut ISACA adalah kinerja kerja audit, perjanjian dengan penyedia layanan, manajemen layanan alih daya, batasan ruang lingkup, pelaporan dan kegiatan tindak lanjut.

Pengendalian internal adalah proses, yang dilakukan oleh dewan direksi, manajemen, dan personel perusahaan lainnya, yang dirancang untuk memberikan jaminan yang wajar mengenai pencapaian tujuan yang berkaitan dengan operasi, pelaporan, dan kepatuhan.

Kerangka pengendalian ini menetapkan tiga kategori tujuan yaitu: tujuan operasi, tujuan pelaporan, dan sasaran kepatuhan.

Lima komponen pendukung organisasi dalam mencapai tujuan pengendalian internal adalah: lingkungan kontrol, risiko tugas, aktivitas kontrol, informasi dan komunikasi, kegiatan pengawasan.

Ada tiga prinsip yang berkaitan dengan informasi dan komunikasi saat pengendalian intemal yaitu: Organisasi memperoleh atau menghasilkan dan menggunakan informasi yang relevan dan berkualitas untuk mendukung berfungsinya komponen pengendalian internal lainnya, organisasi mengkomunikasikan informasi secara intemal, organisasi berkomunikasi dengan pihak ekstemal.

Sebagai bagian dari pengendalian intemal, organisasi menetapkan tujuan dengan: mengartikulasikan dan mengkodifikasi secara spesifik, menilai kesesuaian tujuan dan sub dan mengkomunikasikan tujuan dan sub tujuan ke seluruh perusahaan dan sub unit.

Beberapa bidang penting yang membutuhkan pertimbangan terkait dengan: menerapkan komponen pengendalian internal relatif terhadap kategori tujuan, menerapkan komponen dan prinsip pengendalian intemal dalam struktur perusahaan. Menentukan tujuan yang sesuai dan menilai risiko, menilai apakah komponen ada dan beroperasi bersama, menilai apakah prinsip relevan dengan perusahaan dan apakah prinsip hadir secara relevan dan berfungsi, memilih, mengembangkan, dan menerapkan kontrol yang diperlukan untuk menjalankan prinsip, menilai berat satu atau lebih defisiensi dalam pengendalian internal baik disesuaikan dengan kerangka dan sehubungan dengan hukum yang berlaku, aturan, peraturan, dan standar.

Manfaat lain dari pengendalian internal yang efektif meliputi: pelaporan yang andal yang mendukung pengambilan keputusan manajemen dan dewan direksi, peningkatan efisiensi dalam fungsi dan proses, pengendalian internal yang efektif menjadi sebuah dasar untuk keputusan di mana penilaian yang sangat subjektif dan substansial dibutuhkan, kemampuan, kepercayaan diri untuk mengkomunikasikan kinerja bisnis secara akurat.

Berbagai aktivitas pengendalian transaksi dapat dipilih dan dikembangkan, termasuk: otorisasi, verifikasi, kontrol fisik, kontrol data, rekonsiliasi, dan kontrol pengawasan Model manajemen yang efektif dari sistem pengendalian internal yang fleksibel termasuk: identifikasi parameter utama untuk biaya dan laba, analisis setiap proses model dengan konstruksi model seperti sebuah proses, pembuatan proses bisnis dan peta arus keuangan, dan reorganisasi.

Masalah yang biasanya ditemui akibat risiko komputer meliputi: pencatatan yang salah, akuntansi yang tidak dapat diterima, gangguan bisnis, keputusan manajemen yang salah, penipuan dan penggelapan, hilang atau rusaknya asset, kerugian kompetitif, biaya yang berlebihan.

Dampak total dari risiko komputer berkisar dari yang kecil hingga yang menghancurkan dan dapat memengaruhi kemampuan organisasi untuk berhasil bersaing, mempertahankan kekuatan keuangannya, mempertahankan citra publik yang positif, dan, pada akhirnya, untuk bertahan hidup. Risiko tersebut dapat mencakup salah satu atau semua : kehilangan penjualan atau pendapatan, kegagalan untuk memenuhi persyaratan atau hukum pemerintah, kehilangan keuntungan, kehilangan personel, ketidalcmampuan untuk melayani pelanggan, ketidakmampuan untuk mempertahankan pertumbuhan, ketidakmampuan untuk beroperasi secara efektif dan efisien.

Ancaman internal dapat berasal dari pengguna, manajemen, staf SI, auditor SI, dan lainnya, baik yang bertindak sendiri atau berkolusi. Di antara faktor risiko yang biasanya dipertimbangkan terkait audit adalah: tanggal dan hasil audit terakhir, eksposur keuangan dan potensi kerugian dan risiko, permintaan oleh manajemen, perubahan besar dalam operasi, program, sistem, dan kontrol, peluang untuk mencapai manfaat pengoperasian, kualitas kerangka pengendalian internal.

Dalam menetapkan profil risiko terperinci melibatkan penilaian berbagai area yang terancam keamanan termasuk: keamanan fisik, keamanan personel, keamanan data, keamanan perangkat lunak aplikasi, keamanan perangkat lunak sistem, keamanan telekomunikasi.

Fase tahapan karakteristik dukungan SDLC dari aktivitas manajemen risiko yaitu inisiasi kebutuhan akan sistem TI, pengembangan atau akuisisi sistem IT, implementasi fitur keamanan sistem, operasi atau pemeliharaan dan pembuangan setelah masa pergantian dari fase pengujian.

Metodologi penilaian risiko mencakup sembilan langkah utama yaitu : langkah 1 karakterisasi sistem, langkah 2 identifikasi ancaman, langkah 3 identifikasi kerentanan, langkah 4 analisis kontrol, langkah 5 penentuan kemungkinan, langkah 6 analisis dampak, langlcah 7 penentuan risiko, langkah 8 rekomendasi kontrol, dan langkah 9 dokumentasi hasil.

Mitigasi risiko dapat dicapai melalui salah satu opsi mitigasi risiko berikut. asumsi risiko, penghindaran risiko, batasan risiko, perencanaan risiko, dan pemindahan risiko.

Rencana audit TI secara umum dimulai dari dunia audit TI yang dapat diidentifikasi dengan mendefinisikan inventaris holistik yang mungkin mengaudit area subjek dan memberikan informasi kepada manajemen tentang keefektifan dari operasi pengendalian intemal mereka.

Setelah audit TI didefinisikan pada tingkat tinggi, langkah selanjutnya adalah menilai risiko bisnis dan TI di setiap area. Setelah hasil penilaian risiko tersedia, langkah selanjutnya adalah untuk memformalkan rencana audit.

Proses perencanaan meliputi: mengidentifikasi tugas yang akan dilakukan selama audit, alokasi tugas tersebut kepada auditor tertentu, memutuskan kapan tugas harus dimulai dan kuantifikasi durasi setiap tugas berdasarkan alokasi auditor.

Struktur perencanaan secara umum akan mengikuti struktur proses audit. Oleh karena itu, ini akan mencakup survei awal operasi, deskripsi dan analisis pengendalian intemal, sistem pengendalian pengujian yang diperluas, pengembangan temuan dan rekomendasi, produksi laporan, tindak lanjut, dan evaluasi audit.

Faktor penting yang harus dipertimbangkan termasuk: derajat sentralisasi sistem dan letak sumber daya secara geografis, sistem organisasi yang kompleks, tingkat kustomisasi, tingkat kebijakan dan standar perusahaan yang diformalkan, tingkat regulasi dan kepatuhan, tingkat dan metode outsourcing, dan standardisasi operasional.

Langkah-langkah penilaian risiko adalah: identifikasi dan pahami tujuan bisnis, mengidentifikasi dan memahami strategi TI dan integrasi TI.

Prinsip-prinsip rencana audit adalah daftar semua kemungkinan audit yang bisa dilakukan, kegiatan audit intemal harus mampu mencapai tujuan dalam waktu dan anggaran tertentu dan menguji satu dua rencana tersebut harus mencakup jadwal kerja dengan aktivitas yang akan dilakukan dan rencana utamanya.

Skenario berdasarkan opsi yang berbeda untuk mengintegrasikan rencana audit TI adalah: rencana terintegrasi rendah, rencana audit yang terintegrasi sebagian dan rencana audit yang sangat terintegrasi.

Tahapan rencana audit TI menggunakan COBIT 2019 adalah pahami konteks dan strategi perusahaan, memahami perkembangan perusahaan dan tentukan komponen audit TI.

Analisis risiko audit TI adalah proses memperkirakan dua sifat penting dari setiap skenario risiko yaitu frekuensi dan dampaknya terhadap perusahaan.

Merencanakan fungsi audit SI melibatkan pendefinisian area keterlibatan audit. Ini bisa jadi review dari: sistem bisnis, sistem sedang dikembangkan, manajemen fasilitas SI, kontrol keamanan dan pemulihan efisiensi dan efektivitas SI.

Alur manajemen audit diawali dengan menentukan apakah ada mekanisme baru yang akan digunakan dalam proses audit. Kemudian perubahan proses bisnis, penggunaan teknologi baru dan penambahan mitra bisnis.

Tujuan efisiensi audit adalah jauh lebih luas cakupannya. Tujuan utama dari efisiensi audit adalah untuk memastikan bahwa sumber daya mengalir ke saluran yang paling remunerative.

Auditor dalam melaksanakan tugas bisa menggunakan standar audit COBIT atau COSO disesuaikan dengan kebutuhan dan tujuan perusahaan. Kerangka kerja kontrol internal terintegrasi COSO dan enterprise risk management integrated framework merupakan sumber informasi yang sering dirujuk, tetapi sebenarnya tidak berfokus pada TI. Lingkungan kontrol berbasis COSO harus ditambah dengan tujuan kontrol TI yang lebih detail untuk menilai lingkungan pengendalian TI secara efektif.

CAE secara teratur melapor kepada pemangku kepentingan utama seperti dewan direksi, manajemen eksekutif, regulator, auditor eksternal, atau CIO atas hasil audit TI, bekerja dengan cara yang sama sebagai jaminan pekerjaan.

CAE harus menyadari hal itu saat memperoleh alat audit TI, pertimbangan yang sama berlaku seperti saat memilih salah satu alat bisnis seperti, alat analisis keamanan, alat penilaian kerentanan dan alat analisis keamanan aplikasi.

Berbagai pihak akan menggunakan laporan audit untuk berbagai tujuan. Manajemen eksekutif biasanya akan menggunakan laporan audit untuk mendapatkan wawasan tentang status keseluruhan dari pengendalian internal dalam area bisnis tertentu dan untuk organisasi secara keseluruhan. Operasional manajemen menggunakan laporan audit untuk menentukan kelayakan dan efektivitas pengendalian untuk mencapai kinerja perusahaan yang ditargetkan. Badan lain mungkin menggunakan laporan audit untuk mendapatkan wawasan tentang cara kerja operasi yang efektif.

Laporan tertulis minimal harus dibuat di akhir sebuah audit. Laporan umumnya harus: akurat, memiliki tujuan, jelas, ringkas, selesai, dan konstruktif Temuan audit terdiri dari empat bagian berbeda: kondisi, kriteria, penyebab, dan dampak untuk perusahaan.