Keamanan dan Kontrol Sistem Informasi
A. Pentingnya pengendalian Sistem Informasi.Definisi Audit Sistem Informasi adalah suatu proses pengumpulan dan pengevalusian bukti-bukti yang dilakukan oleh pihak yang independen dan kompeten untuk mengetahui apakah suatu sistem informasi dan sumber daya terkait, secara memadai telah dapat :
untuk melindungi aset,
1. menjaga integritas dan ketersediaan sistem dan data,
2. menyediakan informasi yang relevan dan handal,
3. mencapai tujuan organisasi dengan efektif,
4. menggunakan sumber daya dengan efisien,
Proses Audit Sistem Informasi
Proses audit sistem informasi yang berbasis risiko serta sesuai dengan standar audit dapat digambarkan secara singkat sebagai berikut :
Pada tahap survei pendahuluan, auditor akan berusaha untuk memperoleh gambaran umum dari lingkungan TIK yang akan diaudit. Kemudian dilanjutkan dengan pemahaman yang lebih mendalam dari seluruh sumber daya TIK – infrastruktur, aplikasi, informasi, personil – yang termasuk ke dalam lingkup audit, serta pemahaman atas sistem pengendalian intern TIK yang ada seperti struktur organisasi, kebijakan, prosedur, standar, parameter, dan alat bantu kendali lainnya.
Selanjutnya auditor akan melakukan analisis risiko pendahuluan untuk mengidentifikasi berbagai risiko yang mungkin timbul di lingkungan TIK yang diaudit serta kelayakan rancangan pengendalian intern TIK yang telah ada. Jika rancangan pengendalian intern TIK dipandang memadai maka auditor selanjutnya akan melakukan pengujian dari pelaksanaan kendali-kendali tersebut, namun jika dipandang tidak layak maka auditor akan langsung melakukan pengujian terinci terhadap risiko TIK secara mendalam (dengan jumlah sampel yang cukup besar).
Setelah melakukan pengujian pengendalian intern TIK dan auditor telah memperoleh bukti yang memadai bahwa pengendalian intern TIK telah dilaksanakan sesuai rancangannya maka selanjutnya auditor akan melakukan pengujian terinci atas risiko TIK secara terbatas (dengan jumlah sampel yang terbatas). Namun jika hasil pengujian pengendalian intern TIK menunjukkan bahwa pelaksanaan pengendalian intern TIK tidak sesuai dengan rancangannya maka auditor akan melakukan pengujian terinci risiko TIK secara mendalam.
Bukti-bukti yang diperoleh auditor dari hasil analisis risiko dan rancangan kendali serta pengujian pengendalian intern TIK dan pengujian terinci risiko TIK selanjutnya akan digunakan oleh auditor untuk menyusun laporan audit sistem informasi yang memuat kesimpulan audit beserta tanggapan dari pihak yang diaudit atas rekomendasi yang disampaikan oleh auditor dalam rangka peningkatan pengendalian intern TIK.
Tidak ada komentar:
Posting Komentar