Audit Sistem Informasi

Bab 10:
Audit Sistem Informasi

Sumber: 2002 CISA Review Manual, Information Systems Audit & Control Association, Bab 1

Audit Planning

Harus secara jelas menjelaskan:

-          tujuan audit

-          kewenangan auditor

-          adanya persetujuan top-management

-          metode audit

Seorang auditor harus bisa mendapatkan pemahaman terhadap apa yang sedang diaudit: environment, sistem informasi, operasi, dsb. Untuk memahami organisasi, seorang auditor dapat melakukan:

-          tour keliling fasilitas-fasilitas organisasi

-          membaca laporan tahunan, media industri ybs, atau analisis keuangan independen

-          membaca strategic plan & business plan

-          interview key managers

-          memperhatikan peraturan perundang-undangan yang berlaku untuk organisasi itu

-          membaca laporan-laporan sebelumnya

Standar for IS Auditing

Tujuan adanya standar:

a.    batas minimum dari kinerja auditor

b.    memberikan gambaran terhadap ekspektasi yang seharusnya ada pada manager

Standar ISACA:

1.    Audit Charter

1.1.        Responsibility, Authority & Accountability

2.    Independence

2.1.        Professional Independence

2.2.        Organizational Relationship

3.    Professional Ethics & Standards

3.1.        Code of Professional Ethics

3.2.        Due Professional Care: kehati-hatian

4.    Competence

4.1.        Skills & Knowledge

4.2.        Continuing Professional Education

5.    Planning

5.1.        Audit planning

6.    Performance of Audit Work

6.1.        Supervision: audit staff harus diawasi

6.2.        Evidence

7.    Reporting

7.1 Report Content & Form

8.    Follow-up Activities

8.1.        Follow-up

Kode Etik

1.    Mendukung implementasi standar, prosedur dan kontrol yang layak.

2.    Melayani secara jujur, rajin dan tidak terlibat kegiatan melawan hukum

3.    Menjaga kerahasiaan dari informasi yang didapatkan dari kegiatan audit, kecuali diinstruksikan oleh penegak hukum

4.    Melaksanakan tugasnya secara objektif dan independen

5.    Senantiasa tetap menjaga kompetensinya

6.    Hanya bersedia melakukan tugas yang secara masuk akal bisa dikerjakan dengan profesional

7.    Kehati-hatian dalam bertugas

8.    Melaporkan hasil audit dengan baik, karena kalau ada fakta yang tidak disodorkan maka bisa menimbulkan kerugian

9.    Mendukung edukasi kepada klien, direktur, manajemen, mitra kerja dan publik.

10. Menjaga profil sehingga tidak menimbulkan image buruk terhadap profesi auditor.

Controls & Control Objectives

Controls: kebijakan, prosedur, praktek dan struktur organisasi yang dirancang untuk menjamin agar business objective dapat tercapai, sehingga kejadian-kejadian yang tak diingikan dapat dicegah dan diperbaiki.

Control objectives: “statement of the desired result, or purpose to be archived by implementing control procedurs in a particular activity”

Control Objectives for Information and related Technology (CobitT): dibuat oleh ISACF dan IT Governance Institute, dan dipublish oleh ISACA. Merupakan framwork 34 high-level control objectives. Di bawahnya ada 300 control objectives yang lebih detail.

Cobit dapat dimanfaatkan baik oleh auditor dan manager.

Contoh dari information systems control objectives:

1.    Information on automated systems is secured from improper access

2.    Each transaction is authorized and entered only once

3.    All rejected transactions are reported.

4.    Duplicate transactions are reported

5.    Files are adequately backed up to allow for proper recovery

www.cs.ui.ac.id