TABEL
PERBANDINGAN +/- STANDAR AUDIT SI
STANDAR
AUDIT SI
|
KELEBIHAN
|
KEKURANGAN
|
COBIT
|
Berhubungan dengan
penyediaan informasi yang sesuai untuk manajemen
Proteksi
terhadap informasi yang sensitif dari akses yang tidak bertanggung jawab.
|
· COBIT
hanya memberikan panduan kendali dan tidak memberikan panduan implementasi
operasional.
· COBIT
hanya berfokus pada kendali dan pengukuran.
|
ITIL
|
Memberi
deskripsi rinci sejumlah praktik penting TI dan menyediakan daftar
komprehensif tugas dan prosedur yang didalamnya setiap organisasi dapat
menyesuaikan dengan kebutuhannya sendiri
ITIL
bukan merupakan standard yang memberikan prescription tetapi lebih kepada
merekomendasikan, oleh karena itu implementasi antara satu organisasi dengan
organisasi lain dapat dipastikan terdapat perbedaan. Dengan demikian kita
tidak bisa membandingkan / melakukan benchmark secara past
|
· Kelemahan
ITIL antara lain: buku-buku ITIL sulit terjangkau bagi pengguna non
komersial, ITIL bersifat holistic yang mencakup semua kerangka kerja untuk
tatakelola TI, pelaksanaan pedoman dalam buku ITIL memerlukan pelatihan
khusus dan biaya pelatihan atau sertifikasi ITIL terlalu tinggi.
|
ISO/EC
|
memberikan
panduan secara prinsip bagi para direksi dari suatu perusahaan (termasuk di
dalamnya para pemilik, anggota dewan, direksi, partners, senior executives,
atau sejenisnya) mengenai Teknologi Informasi (TI) yang effective, efficient,
dan acceptable use di dalam organisasi mereka.
|
· menerapkan
dan menjalankan sistem ISO compliant mahal. Tugas menyiapkan informasi
perusahaan dan menulis manual perusahaan serta prosedur standar operasi
perusahaan bisa mahal terutama karena Anda harus membawa konsultan dari
perusahaan luar dan organisasi untuk menangani bagian dari pekerjaan untuk
Anda.
|
KONSEP
DASAR KONTROL
· Proses
dalam pelaksanaan audit sistem informasi berbasis kendali sesuai standar audit
yaitu:
a)
Mengumpulkan
bukti-bukti yang memadai melalui berbagai teknik seperti survei, interview,
observasi, review.
b)
Jika
bukti –bukti berupa bukti elektronis (data bentuk file suftcopy) maka auditor
menerapkan sistem teknik audit berbantuan komputer yang disebut CAAT(Computer
Aided Auditing Technique) yang bertujuan untuk menganalisa data
seperti penjualan, pembelian, transaksi, dan lain-lain)
c)
Sesuai
standar auditing ISACA (information System Audit And Control
Association)Auditor juga harus menyusun laporan yang mencakup tujuan
pemeriksaansifat dan kedalaman pemeriksaan.
d)
Laporan
juga harus menyebutkan organisasi yang diperiksa, pihak pengguna laporan yang
dituju, dan batasan-batasan distrubusi laporan.
e)
Laporan
juga harus memasukkan temuan,kesimpulan, rekomendasi, sebagaimana layaknya
laporan audit.
· Audit
sistem informasi berbasis kendali merupakan suatu sistem yang
mencegah, mendeteksi atau memperbaiki kejadian yang tidak dibenarkan
(unlawfulevents) seperti: unautorized (tidak nyambung), innacurrete(kurang
baik), incomplete(tidak komplet/tidak sesuai), redundant(mubazir), ineffective,
ineffeicient event.tujuanya yaitu untuk mengurangi kesalahan yang mungkin
terjadi dari kejadian yang dibenarkan.
· Berdasarkan
standar manajemen yang dikeluarkan olehInternasional Standar
Organization (ISO) yaitu ISO 9001-2000, penilaian kondisi sistem mutu
mempunyai 4 skala yaitu:
a. P (Poor) yaitu sistem mutu praktis
belum terbentuk. Disarankan untuk meninjau ulang keseluruhan proses.
b. W (Weak) yaitu masih banyak elemen
sistem manajemen mutu yang tidak sesuai standar.
c. F (Fair) yaitu beberapa elemen
sistem telah sesuai standar tetapi masih ada yang belum sesuai bahkan tidak ada
sama sekali.
d. S (Strong) yaitu Sebagian besar
persyaratan ISO 9001-2000 telah dapat dipenuhi oleh sistem.
PRINSIP
PRINSIP DASAR PROSES AUDIT SI
·
Audit
dititikberatkan pada objek audit yang mempunyai peluang untuk diperbaiki
·
Prasyarat
Penilaian terhadap kegiatan objek audit
·
Pengungkapan
dalam laporan adanya temuan-temuan yang bersifat positif
·
Identifikasi
individu yang bertanggungjawab terhadap kekurangan-kekurangan yang terjadi.
·
Penentuan
tindakan terhadap petugas yang seharusnya bertanggung jawab
·
Pelanggaran
hokum
·
Penyelidikan
dan pencegahan kecurangan
STANDAR
DAN PANDUAN AUDIT SI
Standar
Audit SI tidak lepas dari standar professional seorang auditor SI, yaitu ukuran
mutu pelaksanaan kegiatan profesi yang menjadi pedoman bagi para anggota
profesi dalam menjalankan tanggung jawab profesinya.
KONTROL
INTERNAL
Proses
yang dipengaruhi oleh sumber daya manusia dan sistem teknologi informasi yang
dirancang untuk membantu organisasi mencapai suatu tujuan tertentu atau suatu
cara untuk mengarahkan, mengawasi, dan mengukur sumber daya suatu organisasi.
RUANG
LINGKUP INTERNAL :
Menilai keefektifan sistem pengendalian intern, pengevaluasian terhadap
kelengkapan dan keefektifan sistem pengendalian internal yang dimiliki
organisasi, serta kualitas pelaksanaan tanggung jawab yang diberikan.
SISTEM
KONTROL INTERNAL :
Suatu sistem atau sosial yang dilakukan perusahaan yang terdiri dari struktur
organisasi, metode, dan ukuran-ukuran untuk menjaga dan mengarahkan jalan
perusahaan agar bergerak sesuai dengan tujuan dan prgram perusahaan dan
mendorong efisiensi serta dipatuhinya kebijakan manajemen.
CONTROL
OBJECTIVES :
Efektivitas proses departemen dalam mendukung desain dan persetujuan kerangka
pengendalian program berbasis risiko dan mengatur dan mendukung pengumpulan dan
penggunaan laporan penerima.
CONTROL
RISK : Risiko
pengendalian(control risks) adalah salah satu material yang tidak dapat
dicegah ataupun dideteksi secara tepat pada waktunya oleh berbagai kebijakan
dan prosedur struktur pengendalian intern perusahaan.
MANAGEMENT
CONTROL FRAMEWORK :
Mengumpulkan dan menggunakan informasi untuk mengevaluasi kinerja berbagai
sumber daya organisasi secara keseluruhan.
APPLICATION
CONTROL FRAMEWORK :
Sistem pengendalian intern komputer yang berkaitan dengan pekerjaan dan
kegiatan tertentu yang telah ditentukan. Berkaitan dengan ruang lingkup
proses bisnis individu atau sistem aplikasi.
Aspek
Management Control Framework
1.
Planning
and Organization
Mencakup
strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI dapat
memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi
sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi
yang baik pula.
2.
Acquisition
and Implementation
Identifikassi
solusi Ti kemudian di implementassikan dan diintegrasikan dalam proses bisnis
untuk mewujudkan strategi TI.
3.
Delivery
and Support
Domain
yang berhubungan dengan penyimpanan layanan yang diinginkan, yang terdiri dari
operasi pada sistem keamanan dan aspek kesinambungan bisnis sampai dengan
pengadaan training.
4.
Monitoring
Semua
proses TI perlu dinilai secara teratur dan berkala bagaimmana kualitas dan
kesesuiananya dengan kebutuhan control.
SUMBER
":