”Information systems auditing is the process of
collecting and evaluating evidence to determine whether a computer system
safeguards assets, maintains data integrity, allows organizational goals to be
achieved effectively, and uses resources efficiently (Ron Weber - 1999,10)”.
Di atas merupakan suatu kalimat yang dikemukakan oleh Ron Weber mengenai
Audit Sistem Informasi, yang artinya:
“Audit
sistem informasi adalah proses pengumpulan dan penilaian bukti – bukti untuk
menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas
data, dapat mendorong pencapaian tujuan organisasi secara efektif dan
menggunakan sumberdaya secara efisien”.
Menurut Ron Weber tujuan
audit yaitu :
- Mengamankan asset
- Menjaga integritas data
- Menjaga efektivitas sistem
- Mencapai efisiensi sumberdaya.
Keempat tujuan tersebut
dapat dijelaskan sebagai berikut :
- Mengamankan
aset
Mengamankan aset (activa) yang
berhubungan dengan instalasi sistem informasi mencakup: perangkat keras (hardware),
perangkat lunak (software), manusia (people), file data,
dokumentasi sistem, dan peralatan pendukung lainnya.Sama halnya dengan aktiva –
aktiva yang lain, maka aktiva ini juga perlu dilindungi dengan memasang
pengendalian internal. Perangkat keras dapat rusak karena unsur kejahatan atau
sebab-sebab lain. Perangkat lunak dan isi file data dapat dicuri. Peralatan
pendukung dapat digunakan untuk tujuan yang tidak diotorisasi.
- Menjaga
integritas data
Menjaga integritas data merupakan konsep
dasar audit sistem informasi. Integritas data berarti data memiliki atribut:
kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian. Tanpa menjaga
integritas data, organisasi tidak dapat memperlihatkan potret dirinya dengan
benar atau kejadian yang ada tidak terungkap seperti apa adanya. Akibatnya,
keputusan maupun langkah-langkah penting di organisasi salah sasaran karena
tidak didukung dengan data yang benar. Meskipun demikian, perlu juga disadari
bahwa menjaga integritas data tidak terlepas dari pengorbanan biaya. Oleh karena
itu, upaya untuk menjaga integritas data, dengan konsekuensi akan ada biaya
prosedur pengendalian yang dikeluarkan harus sepadan dengan manfaat yang
diharapkan.
- Menjaga
efektivitas sistem
Menjaga efektivitas sistem informasi
dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya. Untuk
menilai efektivitas sistem, perlu upaya untuk mengetahui kebutuhan pengguna
sistem tersebut (user). Selanjutnya, untuk menilai apakah sistem
menghasilkan laporan atau informasi yang bermanfaat bagi user (misalnya
pengambil keputusan), auditor perlu mengetahui karakteristik user berikut
proses pengambilan keputusannya. Biasanya audit efektivitas sistem dilakukan
setelah suatu sistem berjalan beberapa waktu. Manajemen dapat meminta auditor
untuk melakukan post audit guna menentukan sejauh mana sistem telah mencapai
tujuan yang telah ditetapkan. Evaluasi ini akan memberikan masukan bagi
pengambil keputusan apakah kinerja sistem layak dipertahankan; harus
ditingkatkan atau perlu dimodifikasi; atau sistem sudah usang, sehingga harus ditinggalkan
dan dicari penggantinya Audit efektivitas sistem dapat juga
dilaksanakan pada tahap perencanaan sistem (system design). Hal ini
dapat terjadi jika desainer sistem mengalami kesulitan untuk mengetahui
kebutuhan user, karena user sulit mengungkapkan atau mendeskripsikan
kebutuhannya. Jika sistem bersifat komplek dan besar biaya penerapannya,
manajemen dapat mengambil sikap agar sistem dievaluasi terlebih dahulu oleh
pihak yang independen untuk mengetahui apakah rancangan sistem sudah sesuai
dengan kebutuhan user. Melihat kondisi seperti ini, auditor perlu
mempertimbangkan untuk melakukan evaluasi sistem dengan berfokus pada kebutuhan
dan kepentingan manajemen.
- Mencapai
efisiensi sumber daya
Suatu sistem sebagai fasilitas pemrosesan
informasi dikatakan efisien jika ia menggunakan sumberdaya seminimal mungkin
untuk menghasilkan output yang dibutuhkan. Pada kenyataannya, sistem informasi
menggunakan berbagai sumberdaya, seperti mesin, dan segala perlengkapannya,
perangkat lunak, sarana komunikasi dan tenaga kerja yang mengoperasikan sistem
tersebut. Sumberdaya seperti ini biasanya sangat terbatas adanya. Oleh karena
itu, beberapa kandidat sistem (system alternatif) harus berkompetisi
untuk memberdayakan sumberdaya yang ada tersebut.
Dari suatu jurnal dengan judul “Audit Sistem Informasi Sumber Daya manusia
Pada PT X Menggunakan Cobit Framework 4.1” yang saya ambil di salah satu blog.
Saya dapat mengambil suatu kesimpulan mengenai Metode COBIT 4.1.
Metode COBIT 4.1 (Control Objective for Information and related Technology)
merupakan suatu framework yang terdiri dari domain dan proses yang digunakan
untuk mengatur aktivitas dan logical structure. Metode COBIT dapat berguna
untuk teknologi informasi membuat hubungan kerja kebutuhan bisnis, organisasi
teknologi informasi dapat membuat proses model, mengidentifikasi suber daya
teknologi informasi, dapat mengarahkan objektive kontrol manajemen.
Seiring dengan perkembangan teknologi informasi maka
berkembang pulalah suatu keahlian dalam profesi auditor, yaitu auditor sistem
informasi. Hal ini disadari bahwa semakin banyak transaksi keuangan yang
berjalan dalam sebuah sistem komputer. Maka dari itu perlu dibangun sebuah
kontrol yang mengatur agar proses komputerisasi berjalan menjadi baik. Saat ini
auditor sistem informasi umumnya digunakan pada perusahaan perusahaan besar
yang sebagian besar transaksinya berjalan secara otomatis. Ada empat macam
domain yang akan dibahas Plan and Organise (PO), Deliver and Support (DS),
Monitoring (ME) dan Acquisition and Implementation(AI) (buku Cobit 4.1), yaitu
mengenai :
1. Plan and Organise (PO)
Domain ini mencakup strategi dan taktik, dan kekhawatiran cara mengidentifikasi terbaik mengenai teknologi informasi dapat memberikan kontribusi pada pencapaian tujuan bisnis. Selain itu, realisasi dari visi strategis yang perlu direncanakan, dikomunikasikan dan dikelola untuk berbagai sudut pandang. Akhirnya, organisasi serta teknologi infrastruktur harus diletakkan di tempat yang tepat. Plan and Organise (PO) akan membahas mengenai teknologi informasi dan strategi bisnisnya yang sudah berjalan, sistemnya dapat meningkatkan sumber daya perusahaan, risiko apa yang dihadapi dan cara mengendalikannya, dan kualitas sistem teknologi informasi yang dibutuhkan.
Domain ini mencakup strategi dan taktik, dan kekhawatiran cara mengidentifikasi terbaik mengenai teknologi informasi dapat memberikan kontribusi pada pencapaian tujuan bisnis. Selain itu, realisasi dari visi strategis yang perlu direncanakan, dikomunikasikan dan dikelola untuk berbagai sudut pandang. Akhirnya, organisasi serta teknologi infrastruktur harus diletakkan di tempat yang tepat. Plan and Organise (PO) akan membahas mengenai teknologi informasi dan strategi bisnisnya yang sudah berjalan, sistemnya dapat meningkatkan sumber daya perusahaan, risiko apa yang dihadapi dan cara mengendalikannya, dan kualitas sistem teknologi informasi yang dibutuhkan.
2. Deliver and Support (DS)
Domain ini bersangkutan dengan pemberian layanan yang diperlukan, mulai
dari operasi tradisional atas keamanan dan aspek yang berkelanjutan untuk
pelatihan. Dalam rangka untuk memberikan pelayanan, kita harus menyiapkan
berbagai proses pendukung. Domain ini sebenarnya termasuk pengolahan data oleh
sistem aplikasi yang sering digolongkan dalam aplikasi kontrol. Seperti teknologi
informasi yang digunakan sudah sesuai dengan prioritas yang diinginkan, sistem
yang saat ini dapat digunakan dengan baik oleh perusahaan
3. Acquisition and Implementation (AI)
Domain ini untuk merealisasikan strategi teknologi informasi dalam
pelaksanaanya diperlukan pengaturan kebutuhan teknologi informasi,
mengindetifikasi, mengembangkan, atau mengimplementasikan secara terpadu dalam
proses bisnis perusahaan.
4. Monitoring (ME)
Domain mencapkup semua
proses teknologi informasi yang perlu dinilai secara berkala agar kualitas dan
tujuan dari dukungan teknologi informasi dapat tercapai, dan kelengkapannya
berdasarkan pada syarat kontrol internal yang baik.
