Dengan pemahaman bahwa manajemen TIK di lembaga pemerintahan merupakan suatu hal rumit dan kompleks serta penting bagi layanan publik, maka sudah pasti semua pimpinan lembaga pemerintahan ingin mengetahui kondisi ketatakelolaan TIK yang selama ini telah dilaksanakan di lembaganya. Berikut jurusnya.
Pendahuluan
Kita seringkali sulit untuk dapat menjawab beberapa pertanyaan ini :
1. Apakah aset Teknologi Informasi & Komunikasi (TIK) yang kita miliki sudah dilindungi dengan layak dari risiko kerusakan, kehilangan, kesalahan atau penyalahgunaan ?
2. Apakah informasi yang diolah melalui TIK tersebut sudah dapat kita yakini integritasnya (kelengkapan dan akurasi) ?
3. Apakah solusi TIK yang kita kembangkan sudah dapat mencapai tujuannya dan membantu pencapaian tujuan lembaga kita dengan efektif ?
4. Apakah sumber daya TIK yang kita miliki sudah dimanfaatkan dengan efisien dan bertanggung jawab ?
Definisi Audit Sistem Informasi
Salah satu cara dalam menjawab pertanyaan-pertanyaan tersebut diatas adalah dengan melakukan audit atas solusi TIK yang kita miliki, atau yang lazim disebut dengan Audit Sistem Informasi.
Definisi Audit Sistem Informasi adalah suatu proses pengumpulan dan pengevalusian bukti-bukti yang dilakukan oleh pihak yang independen dan kompeten untuk mengetahui apakah suatu sistem informasi dan sumber daya terkait, secara memadai telah dapat :
ü melindungi aset,
ü menjaga integritas dan ketersediaan sistem dan data,
ü menyediakan informasi yang relevan dan handal,
ü mencapai tujuan organisasi dengan efektif,
ü menggunakan sumber daya dengan efisien,
Proses Audit Sistem Informasi
Proses audit sistem informasi yang berbasis risiko serta sesuai dengan standar audit dapat digambarkan secara singkat sebagai berikut :
Pada tahap survei pendahuluan, auditor akan berusaha untuk memperoleh gambaran umum dari lingkungan TIK yang akan diaudit. Kemudian dilanjutkan dengan pemahaman yang lebih mendalam dari seluruh sumber daya TIK – infrastruktur, aplikasi, informasi, personil – yang termasuk ke dalam lingkup audit, serta pemahaman atas sistem pengendalian intern TIK yang ada seperti struktur organisasi, kebijakan, prosedur, standar, parameter, dan alat bantu kendali lainnya.
Selanjutnya auditor akan melakukan analisis risiko pendahuluan untuk mengidentifikasi berbagai risiko yang mungkin timbul di lingkungan TIK yang diaudit serta kelayakan rancangan pengendalian intern TIK yang telah ada. Jika rancangan pengendalian intern TIK dipandang memadai maka auditor selanjutnya akan melakukan pengujian dari pelaksanaan kendali-kendali tersebut, namun jika dipandang tidak layak maka auditor akan langsung melakukan pengujian terinci terhadap risiko TIK secara mendalam (dengan jumlah sampel yang cukup besar).
Setelah melakukan pengujian pengendalian intern TIK dan auditor telah memperoleh bukti yang memadai bahwa pengendalian intern TIK telah dilaksanakan sesuai rancangannya maka selanjutnya auditor akan melakukan pengujian terinci atas risiko TIK secara terbatas (dengan jumlah sampel yang terbatas). Namun jika hasil pengujian pengendalian intern TIK menunjukkan bahwa pelaksanaan pengendalian intern TIK tidak sesuai dengan rancangannya maka auditor akan melakukan pengujian terinci risiko TIK secara mendalam.
Bukti-bukti yang diperoleh auditor dari hasil analisis risiko dan rancangan kendali serta pengujian pengendalian intern TIK dan pengujian terinci risiko TIK selanjutnya akan digunakan oleh auditor untuk menyusun laporan audit sistem informasi yang memuat kesimpulan audit beserta tanggapan dari pihak yang diaudit atas rekomendasi yang disampaikan oleh auditor dalam rangka peningkatan pengendalian intern TIK.
Tujuan dan Lingkup Audit Sistem Informasi
Tujuan Audit Sistem Informasi dapat dikelompokkan ke dalam dua aspek utama dari ketatakelolaan TIK, yaitu :
n Conformance (Kesesuaian) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu : Confidentiality (Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan) dan Compliance (Kepatuhan).
n Performance (Kinerja) - Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu : Effectiveness (Efektifitas), Efficiency (Efisiensi), Reliability (Kehandalan).
Lingkup Audit Sistem Informasi pada umumnya difokuskan kepada seluruh sumber daya TIK yang ada, yaitu Aplikasi, Informasi, Infrastruktur dan Personil.
Untuk lebih praktisnya, berikut ini adalah beberapa tujuan audit sistem informasi yang pernah dilakukan, antara lain :
ü Evaluasi atas kesesuaian (strategic alignment) antara rencana strategis dan rencana tahunan organisasi dengan rencana strategis TIK, rencana tahunan TIK dan rencana proyek/program TIK.
ü Evaluasi atas kelayakan struktur organisasi TIK, termasuk pemisahan fungsi (segregation of duties) dan kelayakan pelimpahan wewenang dan otoritas (delegation of authority).
ü Evaluasi atas pengelolaan personil TIK, termasuk perencanaan kebutuhan, rekrutmen dan seleksi, pelatihan dan pendidikan, promosi/demosi/mutasi, serta terminasi personil TIK.
ü Evaluasi atas pengembangan TIK, termasuk analisis kebutuhan, perancangan, pengembangan, pengujian, implementasi dan migrasi, pelatihan dan dokumentasi TIK, serta manajemen perubahaan.
ü Evaluasi atas kegiatan operasional TIK, termasuk pengelolaan keamanan dan kinerja pengelolaan pusat data (data center), pengelolaan keamanan dan kinerja jaringan data, dan pengelolaan masalah dan insiden TIK serta dukungan pengguna (helpdesk).
ü Evaluasi atas kontinuitas layanan TIK, termasuk pengelolaan backup & recovery, pengelolaan prosedur darurat TIK (IT emergency plan), pengelolaan rencana pemulihan layanan TIK (IT recovery plan), serta pengujian rencana kontijensi operasional (business contigency/continuity plan).
ü Evaluasi atas kualitas pengendalian aplikasi, termasuk pengendalian input, pengendalian proses dan pengendalian output.
ü Evaluasi atas kualitas data/informasi, termasuk pengujian atas kelengkapan dan akurasi data yang dimasukkan, diproses, dan dihasilkan oleh sistem informasi.
Peranan Audit Sistem Informasi di Lembaga Pemerintahan
Dengan pemahaman bahwa manajemen TIK di lembaga pemerintahan merupakan suatu hal rumit dan kompleks serta penting bagi layanan publik, maka sudah pasti semua pimpinan lembaga pemerintahan ingin mengetahui kondisi ketatakelolaan TIK yang selama ini telah dilaksanakan di lembaganya.
Disinilah peranan Audit Sistem Informasi di dalam suatu lembaga pemerintahan, yaitu untuk memberikan suatu hasil evaluasi yang independen mengenai kesesuaian dan kinerja dari TIK yang ada, apakah sudah dapat melindungi aset TIK, menjaga integritas dan ketersediaan sistem dan data, menyediakan informasi yang relevan dan handal, dan mencapai tujuan organisasi dengan efektif, serta menggunakan sumber daya TIK dengan efisien.
Para pemeriksa dari BPK, BPKP dan Bawasda serta kantor akuntan publik atau konsultan audit yang melakukan audit atas lembaga pemerintahan, diharapkan dapat memberikan suatu hasil evaluasi yang independen atas kesesuaian dan kinerja pengelolaan TIK di lembaga pemerintahan, serta memberikan berbagai rekomendasi yang dapat dengan signifikan meningkatkan ketatakelolaan TIK di lembaga tersebut.
Keterpurukan ketatakelolaan TIK di lembaga pemerintahan saat ini, yang seringkali hanyalah berupa belanja-belanja proyek TIK tanpa kejelasan kesesuaian dan kinerja yang diharapkan, tentunya tidak lepas dari kemampuan para pemeriksa dalam melakukan evaluasi dan memberikan rekomendasi terkait ketatakelolaan TIK serta komitmen dari para pimpinan lembaga dalam menindaklanjuti rekomendasi tersebut. Audit Sistem Informasi tidak dilaksanakan untuk mencari temuan atau kesalahan, namun untuk memberikan kesimpulan serta merekomendasikan perbaikan yang dapat dilakukan atas pengelolaan TIK.
Manfaat Audit Sistem Informasi di Lembaga Pemerintahan
Secara sederhana, dapat dikatakan bahwa Audit Sistem Informasi di lembaga pemerintahaan akan dapat memberikan banyak manfaat, antara lain :
ü Meningkatkan perlindungan atas aset TIK lembaga pemerintahan yang merupakan kekayaan negara, atau dengan kata lain aset milik publik,
ü Meningkatkan integritas dan ketersediaan sistem dan data yang digunakan oleh lembaga pemerintahan baik dalam kegiatan internal lembaga maupun dalam memberikan layanan publik,
ü Meningkatkan penyediaan informasi yang relevan dan handal bagi para pemimpin lembaga pemerintahan dalam mengambil keputusan dalam menjalankan layanan publik,
ü Meningkatkan peranan TIK dalam pencapaian tujuan lembaga pemerintaha dengan efektif, baik itu untuk terkait dengan kebutuhan internal lembaga tersebut, maupun dengan layanan publik yang diberikan oleh lembaga tersebut,
ü Meningkatkan efisiensi penggunaan sumber daya TIK serta efisiensi secara organisasional dan prosedural di lembaga pemerintahan.
Dengan kata lain, Audit Sistem Informasi merupakan suatu komponen dan proses yang penting bagi lembaga pemerintahan dalam upayanya untuk memberikan jaminan yang memadai kepada publik atas pemanfaatan TIK yang telah dilaksanakan oleh lembaga pemerintahan.
Referensi
n Standar Audit Sistem Informasi - Ikatan Audit Sistem Informasi Indonesia (IASII) (www.iasii.or.id)
n Standard for Information System Auditing - Information System Audit and Control Association (ISACA) (www.isaca.org)
n Materi Pelatihan “Information Technology Audit” - Audittindo Education (www.audittindo.co.id)
n IT Audit Curriculum – Internation Organization of Supreme Audit Institution (INTOSAI) Standing Committee on IT Audit (www.intosaiitaudit.org)
n COBIT version 4.1 – Information Technology Governance Institute (ITGI) (www.itgi.org)
Oleh Chandra Yulistia, pakar audit Informasi (Wakil Ketua Ikatan Audit Sistem Informasi Indonesia)
0 Response to "Pentingnya Audit Sistem Informasi E-Government"
Post a Comment