Standar dan Panduan untuk Audit Sistem Informasi

 Standar Audit

    Standar Audit Sistem Informasi tidak lepas dari standar professional seorang auditor Sistem Informasi. Standar professional adalah ukuran mutu pelaksanaan kegiatan profesi yang menjadi pedoman bagi para anggota profesi dalam menjalankan tanggungjawab profesinya. Standar profesional adalah batasan kemampuan (knowledge, technical skill and professional attitude) minimal yang harus dikuasai oleh seseorang individu untuk dapat melakukan kegiatan profesionalnya pada masyarakat secara mandiri yang aturan-aturannya dibuat oleh organisasi profesi yang bersangkutan. 

Panduan Audit

    Panduan yang dipergunakan dalam Audit Sistem Informasi di Indonesia adalah Standar Atestasi, dan aturan-aturan yang dikeluarkan oleh organisasi profesi akuntansi (IAI di Indonesia, AICPA di USA, atau CICA untuk Kanada), maupun yang lebih khusus lagi, yaitu dari ISACA atau IIA. Model referensi sistem pengendalian intern (internal controls model/framework) lazi   mnya adalah COBIT. Audit objectives dalam audit terhadap IT governance (menurut COBIT adalah: effectiveness, confidentiality, data integrity, availability, efficiency, dan realibility). Karena yang diperiksa adalah tata-kelola Teknologi Informasi (IT governance), maka yang diperiksa antara lain adalah Teknologi Informasi itu sendiri. Karena itu istilah audit arround the computer dan audit through the computer tidak relevan lagi di sini.

    Berikut adalah standar dan panduan yang biasa digunakan untuk audit sistem informasi:

1. ISACA

    ISACA (Information Systems Audit and Control Association) merupakan sebuah organisasi profesi internasional di bidang tata kelola teknologi informasi yang didirikan di Amerika Serikat pada tahun 1967. Awalnya dikenal dengan nama lengkap Information Systems Audit and Control Association

    ISACA, yang kini hanya menggunakan akronimnya untuk mencerminkan cakupan luasnya dalam tata kelola teknologi informasi, didirikan oleh sekelompok individu yang menyadari kebutuhan akan sumber daya informasi terpusat dan panduan dalam mengembangkan kontrol audit untuk sistem komputer. Saat ini, ISACA memiliki lebih dari 115.000 anggota di seluruh dunia, dengan lebih dari 70.000 anggota yang tersebar di 140 negara. Anggota ISACA berasal dari berbagai latar belakang, termasuk auditor sistem informasi, konsultan, pengajar, profesional keamanan sistem informasi, pembuat perundang-undangan, CIO, serta auditor internal. Jaringan ISACA mencakup sekitar 170 cabang yang tersebar di lebih dari 60 negara, termasuk di Indonesia.

    ISACA (Information Systems Audit and Control Association) telah mengembangkan beberapa standar yang relevan untuk audit sistem informasi. Berikut adalah beberapa di antaranya:

a. COBIT (Control Objectives for Information and Related Technologies): COBIT adalah kerangka kerja yang memberikan panduan bagi perusahaan dalam mengelola dan mengendalikan sistem informasi mereka. COBIT mengidentifikasi tujuan bisnis yang spesifik, mengaitkannya dengan proses TI, dan memberikan pengukuran kinerja yang dapat diukur untuk memastikan tujuan bisnis tercapai.

b. ITAF (IT Assurance Framework): ITAF adalah panduan yang menyediakan kerangka kerja untuk memandu auditor dalam melakukan audit sistem informasi. Ini mencakup metode, teknik, dan prosedur yang diperlukan untuk melaksanakan audit sistem informasi secara efektif.

c. ISACA Standards and Guidelines: ISACA juga mengembangkan standar dan panduan khusus untuk membantu auditor dalam menjalankan tugas mereka. Standar ini mencakup berbagai aspek audit sistem informasi, termasuk pengendalian keamanan, manajemen risiko, kepatuhan, dan proses audit.

d. Code of Professional Ethics: ISACA juga menetapkan kode etik profesional untuk anggotanya yang melibatkan prinsip-prinsip integritas, obyektivitas, kompetensi, dan kerahasiaan dalam menjalankan tugas mereka sebagai auditor sistem informasi.

2. IIA COSO

    IIA COSO (The Institute of Internal Auditors Committee of Sponsoring Organizations of the Treadway Commission) mengembangkan kerangka kerja untuk internal audit yang dikenal sebagai COSO (Committee of Sponsoring Organizations of the Treadway Commission). Kerangka pengendalian internal yang pertama kali ini diperkenalkan pada tahun 1992. COSO telah diadopsi dan diimplementasikan di banyak organisasi dan negara. Pada tahun 2013, COSO mengeluarkan penyempurnaan atas kerangka pengendalian internal yang dikeluarkan pada tahun 19921.

   

    Beberapa standar utama yang terkait dengan audit sistem informasi yang dikembangkan oleh COSO adalah:

a. Internal Control - Integrated Framework: COSO Internal Control Framework memberikan panduan tentang perancangan, pelaksanaan, dan evaluasi pengendalian internal. Ini membantu organisasi dalam memastikan efektivitas pengendalian internal terkait dengan sistem informasi untuk mencapai tujuan bisnis mereka.

b. Enterprise Risk Management - Integrated Framework (ERM): COSO ERM Framework memberikan panduan tentang manajemen risiko secara holistik di seluruh organisasi. Ini mencakup identifikasi, penilaian, dan penanganan risiko yang terkait dengan sistem informasi untuk mendukung pencapaian tujuan organisasi dengan lebih baik.

c. Internal Audit Function: COSO juga memberikan panduan tentang peran dan tanggung jawab internal audit dalam mengevaluasi efektivitas sistem informasi. Ini termasuk pengembangan rencana audit, pelaksanaan audit, dan pelaporan hasil kepada manajemen dan dewan direksi.

3. ISO 1799

     ISO/IEC 17799 menetapkan pedoman dan prinsip umum untuk memulai, menerapkan, memelihara, dan meningkatkan manajemen keamanan informasi dalam sebuah organisasi. Tujuan yang diuraikan memberikan panduan umum mengenai tujuan umum manajemen keamanan informasi yang diterima secara luas.

    ISO 1799 memiliki beberapa pengendalian antara lain sebagai berikut:

1. Kebijakan Pengamanan (Security Policy)
2. Pengendalian Akses Sistem (System Access Control)
3. Pengelolaan Komunikasi dan Kegiatan (Communication and Operations Management).
4. Pengembangan dan Pemeliharaan Sistem (System Development and Maintenance)
5. Pengamanan Fisik dan Lingkungan (Physical and Environmental Security)
6. Penyesuaian (Compliance)
7. Keamanan personel/sumber daya manusia (Personnel Security)
8. Organisasi Keamanan (Security Organization)
9. Klasifikasi dan pengendalian aset (Asset Classification and Control)
10. Pengelolaan Kelangsungan Usaha (Business Continuity Management)