Nama : Shuha Mursila
Kelas : 4KA11
NPM : 16115558
AUDIT
SISTEM INFORMASI
Pengertian
Audit Sistem Informasi
Audit Sistem Informasi (Informatin System Audit) atau EDP
Audit (Electronic Data Processing Audit) atau computer audit adalah proses
pengumpulan data dan pengevaluasian bukti-bukti untuk menentukan apakah suatu
sistem aplikasi komputerisasi telah menetapkan dan menerapkan sistem
pengendalian internal yang memadai, semua aktiva dilindungi dengan baik atau
disalahgunakan serta terjaminnya integritas data, keandalan serta efektifitas
dan efesiensi penyelenggaraan sistem informasi berbasis komputer (Ron Weber
1999:10).
Jenis-jenis Audit Sistem Informasi
A. Audit Laporan Keuangan (Financial Statement Audit)
Adalah
audit yang dilakukan untuk mengetahui tingkat kewajaran laporan keuangan yang
disajikan oleh perusahaan (apakah sesuai dengan standar akuntansi keuangan
serta tidak menyalahi uji materialitas). Apabila sistem akuntansi organisasi
yang diaudit merupakan sistem akuntansi berbasis komputer, maka dilakukan audit
terhadap sistem informasi akuntansi apakah proses/mekanisme sistem dan program
komputer telah sesuai, pengendalian umum sistem memadai dan data telah
substantif.
B. Audit Operasional (Operational Audit)
Audit
terhadap aplikasi komputer terbagi menjadi tiga jenis, antara lain:
- Post implementation Audit (Audit setelah implementasi)
Auditor
memeriksa apakah sistem-sistem aplikasi komputer yang telah diimplementasikan
pada suatu organisasi/perusahaan telah sesuai dengan kebutuhan penggunanya
(efektif) dan telah dijalankan dengan sumber daya optimal (efisien).Auditor
mengevaluasi apakah sistem aplikasi tertentu dapat terus dilanjutkan karena
sudah berjalan baik dan sesuai dengan kebutuhan usernya atau perlu dimodifikasi
dan bahkan perlu dihentikan.
- Concurrent audit (audit secara bersama)
Auditor
menjadi anggota dalam tim pengembangan sistem (system development team). Mereka
membantu tim untuk meningkatkan kualitas pengembangan sistem yang dibangun oleh
para sistem analis, designer dan programmer dan akan diimplementasikan. Dalam
hal ini auditor mewakili pimpinan proyek dan manajemen sebagai quality
assurance.
- Concurrent Audits (audit secara bersama-sama)
Auditor
mengevaluasi kinerja unit fngsional atau fungsi sistem informasi
(pusat/instalasi komputer) apakah telah dikelola dengan baik, apakah kontrol
dalam pengembangan sistem secara keseluruhan sudah dilakukan dengan baik,
apakah sistem komputer telah dikelola dan dioperasikan dengan baik.
Dalam
mengaudit sistem komputerisasi yang ada, audit ini dilakukan dengan
mengevaluasi pengendalian umum dari sistem-sistem komputerisasi yang sudah
diimplementasikan pada perusahaan tersebut secara keseluruhan.Saat melakuan
pengujian-pengujian digunakan bukti untuk menarik kesimpulan dan memberikan
rekomendasi kepada manajemen tentang hal-hal yang berhubungan dengan
efektifitas, efisiensi, dan ekonomisnya sistem.
Tujuan Audit Sistem Informasi
Tujuan
audit sistem informasi menurut Ron Weber (1999:11-13) secara garis besar
terbagi menjadi lima tahap, yaitu:
A. Pengamanan Aset
Aset informasi suatu perusahaan
seperti perangkat keras (hardware), perangkat lunak (software), sumber daya
manusia, file data harus dijaga oleh suatu sistem pengendalian intern yang baik
agar tidak terjadi penyalahgunaan aset perusahaan. Dengan demikian sistem
pengamanan aset merupakan suatu hal yang sangat penting yang harus dipenuhi
oleh perusahaan.
B. Menjaga integritas data
Integritas data (data integrity)
adalah salah satu konsep dasar sistem inforamasi. Data memeiliki
atribut-atribut tertentu seperti: kelengkapan, keberanaran, dan keakuratan.
Jika integritas data tidak terpalihara, maka suatu perusahaan tidak akan lagi
memilki hasil atau laporan yang beanr bahkan perusahaan dapat menderita
kerugian
C. Efektifitas Sistem
Efektifitas sistem informasi
perusahaan melikiki peranan pentigndalam proses pemgambilan keputusan. Suatu
sistem informasi dapat dikatakan efektif bila sistem informasi tersebut telah
sesuai dengan kebutuhan user
D. Efisiensi Sistem
Efisiensi menjadi hal yang sangat
penting ketika suatu komputer tidak lagi memilki kapasitas yang memadai atau
harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah
sumber daya, karena suatu sistem dapat dikatakan efisien jika sistem informasi
dapat memenuhi kebutuhan user dengan sumber daya informasi yang minimal.
E. Ekonomis
Ekonomis
mencerminkan kalkulasi untuk rugi ekonomi (cost/benefit) yang lebih bersifat
kuantifikasi nilai moneter (uang). Efisiensi berarti sumber daya minimum untuk
mencapai hasil maksimal.Sedangkan ekonomis lebih bersifat pertimbangan ekonomi.
CONTOH KASUS AUDIT SISTEM INFORMASI
Studi
Kasus: Pencurian Dana dengan Kartu ATM Palsu
Jakarta (ANTARA News) – Sekitar 400 juta yen (Rp.44 miliar) deposito di enam bank di Jepang telah ditarik oleh kartu-kartu ATM palsu setelah informasi pribadi nasabah dibocorkan oleh sebuah perusahaan sejak Desember 2006, demikian harian Yomiuri Shimbun dalam edisi onlinenya, Rabu.
Jakarta (ANTARA News) – Sekitar 400 juta yen (Rp.44 miliar) deposito di enam bank di Jepang telah ditarik oleh kartu-kartu ATM palsu setelah informasi pribadi nasabah dibocorkan oleh sebuah perusahaan sejak Desember 2006, demikian harian Yomiuri Shimbun dalam edisi onlinenya, Rabu.
Bank-bank
yang kini sedang disidik polisi adalah Bank Chugoku yang berbasis di Okayama,
North Pasific Bank, Bank Chiba Kogyo, Bank Yachiyo, Bank Oita, dan Bank Kiyo.
Polisi menduga para tersangka kriminal itu menggunakan teknik pemalsuan baru
untuk membuat kartu ATM tiruan yang dipakai dalam tindak kriminal itu.Pihak
Kepolisian Metropolitan Tokyo meyakini kasus pemalsuan ATM ini sebagai ulah
komplotan pemalsu ATM yang besar sehingga pihaknya berencana membentuk gugus
tugas penyelidikan bersama dengan satuan polisi lainnya.
Berdasarkan sumber kepolisian dan bank-bank yang dibobol, sekitar 141 juta yen tabungan para nasabah telah ditarik dari 186 nomor rekening di North Pasific Bank antara 17–23 Oktober 2007. Para nasabah bank-bank itu sempat mengeluhkan adanya penarikan-penarikan dana dari rekening mereka tanpa sepengetahuan mereka. Kejadian serupa ditemukan di bank Chugoku dan Bank Chiba. Dalam semua perkara itu, dana tunai telah ditarik dari gerai-gerai ATM di Tokyo dan Daerah Administratif Khusus Osaka, yang letaknya jauh dari tempat para pemilik rekening yang dibobol. Polisi yakin peristiwa serupa menimpa bank-bank lainnya.
Uniknya, tidak satu pun dari para pemilik rekening itu kehilangan kartu ATM-nya. Dalam kasus Bank Oita misalnya, salah satu kartu ATM telah digunakan untuk menarik dana meskipun pemilik rekening tidak memiliki kartu ATM. Para pemilik rekening juga diketahui tinggal di tempat yang berbeda-beda dan tidak menggunakan kartu-kartu ATM yang sama. Hal ini menunjukkan bahwa teknik “skimming” atau “pembacaan sepintas” tidak digunakan untuk mengakses informasi dalam ATM.
Berdasarkan sumber kepolisian dan bank-bank yang dibobol, sekitar 141 juta yen tabungan para nasabah telah ditarik dari 186 nomor rekening di North Pasific Bank antara 17–23 Oktober 2007. Para nasabah bank-bank itu sempat mengeluhkan adanya penarikan-penarikan dana dari rekening mereka tanpa sepengetahuan mereka. Kejadian serupa ditemukan di bank Chugoku dan Bank Chiba. Dalam semua perkara itu, dana tunai telah ditarik dari gerai-gerai ATM di Tokyo dan Daerah Administratif Khusus Osaka, yang letaknya jauh dari tempat para pemilik rekening yang dibobol. Polisi yakin peristiwa serupa menimpa bank-bank lainnya.
Uniknya, tidak satu pun dari para pemilik rekening itu kehilangan kartu ATM-nya. Dalam kasus Bank Oita misalnya, salah satu kartu ATM telah digunakan untuk menarik dana meskipun pemilik rekening tidak memiliki kartu ATM. Para pemilik rekening juga diketahui tinggal di tempat yang berbeda-beda dan tidak menggunakan kartu-kartu ATM yang sama. Hal ini menunjukkan bahwa teknik “skimming” atau “pembacaan sepintas” tidak digunakan untuk mengakses informasi dalam ATM.
Sampai
berita ini diturunkan, polisi masih menyelidiki teknik dan metode yang pelaku
gunakan dalam melakukan serangkaian pembobolan ATM tersebut. Namun, polisi
telah berhasil menemukan satu benang merah, yaitu dimana sebagian besar pemilik
rekening yang dibobol itu adalah anggota satu program yang dijalankan olah
sebuah perusahaan penjual produk makanan kesehatan yang berbasis di Tokyo.
Analisa Kasus:
Dari rangkuman berita diatas, dapat ditarik beberapa
kesimpulan, antara lain :
· Pembobolan dana rekening tersebut kemungkinan besar
dilakukan oleh orang dalam perusahaan atau orang dalam perbankan dan dilakukan
lebih dari satu orang.
· Karena tidak semua pemilik rekening memiliki hubungan dengan
perusahaan tersebut, ada kemungkinan pembocoran informasi itu tidak dilakukan
oleh satu perusahaan saja, mengingat jumlah dana yang dibobol sangat besar.
· Modusnya mungkin penipuan berkedok program yang menawarkan
keanggotaan.Korban, yang tergoda mendaftar menjadi anggota, secara tidak sadar
mungkin telah mencantumkan informasi-informasi yang seharusnya bersifat
rahasia.
· Pelaku kemungkinan memanfaatkan kelemahan sistem keamanan
kartu ATM yang hanya dilindungi oleh PIN.
· Pelaku juga kemungkinan besar menguasai pengetahuan tentang
sistem jaringan perbankan.Hal ini ditunjukkan dengan penggunaan teknik yang
masih belum diketahui dan hampir bisa dapat dipastikan belum pernah digunakan
sebelumnya.
· Dari rangkuman berita diatas, disebutkan bahwa para pemilik
yang uangnya hilang telah melakukan keluhan sebelumnya terhadap pihak bank.Hal
ini dapat diartikan bahwa lamanya bank dalam merespon keluhan-keluhan tersebut
juga dapat menjadi salah satu sebab mengapa kasus ini menjadi begitu besar.
Dari segi sistem keamanan kartu ATM itu sendiri, terdapat 2
kelemahan, yaitu:
1. Kelemahan pada mekanisme pengamanan fisik kartu ATM.
Kartu ATM yang banyak digunakan selama ini adalah model kartu ATM berbasis pita magnet. Kelemahan utama kartu jenis ini terdapat pada pita magnetnya.Kartu jenis ini sangat mudah terbaca pada perangkat pembaca pita magnet (skimmer).
Kartu ATM yang banyak digunakan selama ini adalah model kartu ATM berbasis pita magnet. Kelemahan utama kartu jenis ini terdapat pada pita magnetnya.Kartu jenis ini sangat mudah terbaca pada perangkat pembaca pita magnet (skimmer).
2. Kelemahan pada mekanisme pengamanan data di dalam sistem.
Sistem pengamanan pada kartu ATM yang banyak digunakan saat ini adalah dengan penggunaan PIN (Personal Identification Number) dan telah dilengkapi dengan prosedur yang membatasi kesalahan dalam memasukkan PIN sebanyak 3 kali yang dimaksudkan untuk menghindari brute force. Meskipun dapat dikatakan cukup aman dari brute force, mekanisme pengaman ini akan tidak berfungsi jika pelaku telah mengetahui PIN korbannya.
Sistem pengamanan pada kartu ATM yang banyak digunakan saat ini adalah dengan penggunaan PIN (Personal Identification Number) dan telah dilengkapi dengan prosedur yang membatasi kesalahan dalam memasukkan PIN sebanyak 3 kali yang dimaksudkan untuk menghindari brute force. Meskipun dapat dikatakan cukup aman dari brute force, mekanisme pengaman ini akan tidak berfungsi jika pelaku telah mengetahui PIN korbannya.
Saran:
· Melakukan perbaikan atau perubahan sistem keamanan untuk
kartu ATM. Dengan penggunaan kartu ATM berbasis chip misalnya, yang dirasa
lebih aman dari skimming. Atau dengan penggunaan sistem keamanan lainnya yang
tidak bersifat PIN, seperti pengamanan dengan sidik jari, scan retina, atau
dengan penerapan tanda tangan digital misalnya.
· Karena pembobolan ini sebagiannya juga disebabkan oleh
kelengahan pemilik rekening, ada baiknya jika setiap bank yang mengeluarkan
kartu ATM memberikan edukasi kepada para nasabahnya tentang tata cara
penggunaan kartu ATM dan bagaimana cara untuk menjaga keamanannya.
Tidak ada komentar:
Posting Komentar