Pengertian Audit Sistem Informasi
Audit Sistem Informasi (Informatin System Audit) atau EDP Audit (Electronic Data Processing Audit) atau computer audit adalah proses pengumpulan data dan pengevaluasian bukti-bukti untuk menentukan apakah suatu sistem aplikasi komputerisasi telah menetapkan dan menerapkan sistem pengendalian internal yang memadai, semua aktiva dilindungi dengan baik atau disalahgunakan serta terjaminnya integritas data, keandalan serta efektifitas dan efesiensi penyelenggaraan sistem informasi berbasis komputer (Ron Weber 1999:10).
Jenis-jenis Audit Sistem Informasi
A. Audit Laporan Keuangan (Financial Statement Audit)
Adalah audit yang dilakukan untuk mengetahui tingkat kewajaran laporan keuangan yang disajikan oleh perusahaan (apakah sesuai dengan standar akuntansi keuangan serta tidak menyalahi uji materialitas). Apabila sistem akuntansi organisasi yang diaudit merupakan sistem akuntansi berbasis komputer, maka dilakukan audit terhadap sistem informasi akuntansi apakah proses/mekanisme sistem dan program komputer telah sesuai, pengendalian umum sistem memadai dan data telah substantif.
B. Audit Operasional (Operational Audit)
Audit terhadap aplikasi komputer terbagi menjadi tiga jenis, antara lain:
- Post implementation Audit (Audit setelah implementasi)
Auditor memeriksa apakah sistem-sistem aplikasi komputer yang telah diimplementasikan pada suatu organisasi/perusahaan telah sesuai dengan kebutuhan penggunanya (efektif) dan telah dijalankan dengan sumber daya optimal (efisien). Auditor mengevaluasi apakah sistem aplikasi tertentu dapat terus dilanjutkan karena sudah berjalan baik dan sesuai dengan kebutuhan usernya atau perlu dimodifikasi dan bahkan perlu dihentikan.
- Concurrent audit (audit secara bersama)
Auditor menjadi anggota dalam tim pengembangan sistem (system development team). Mereka membantu tim untuk meningkatkan kualitas pengembangan sistem yang dibangun oleh para sistem analis, designer dan programmer dan akan diimplementasikan. Dalam hal ini auditor mewakili pimpinan proyek dan manajemen sebagai quality assurance.
- Concurrent Audits (audit secara bersama-sama)
Auditor mengevaluasi kinerja unit fngsional atau fungsi sistem informasi (pusat/instalasi komputer) apakah telah dikelola dengan baik, apakah kontrol dalam pengembangan sistem secara keseluruhan sudah dilakukan dengan baik, apakah sistem komputer telah dikelola dan dioperasikan dengan baik.
Dalam mengaudit sistem komputerisasi yang ada, audit ini dilakukan dengan mengevaluasi pengendalian umum dari sistem-sistem komputerisasi yang sudah diimplementasikan pada perusahaan tersebut secara keseluruhan. Saat melakuan pengujian-pengujian digunakan bukti untuk menarik kesimpulan dan memberikan rekomendasi kepada manajemen tentang hal-hal yang berhubungan dengan efektifitas, efisiensi, dan ekonomisnya sistem.
Tujuan Audit Sistem Informasi
Tujuan audit sistem informasi menurut Ron Weber (1999:11-13) secara garis besar terbagi menjadi lima tahap, yaitu:
A. Pengamanan Aset
Aset informasi suatu perusahaan seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia, file data harus dijaga oleh suatu sistem pengendalian intern yang baik agar tidak terjadi penyalahgunaan aset perusahaan. Dengan demikian sistem pengamanan aset merupakan suatu hal yang sangat penting yang harus dipenuhi oleh perusahaan.
B. Menjaga integritas data
Integritas data (data integrity) adalah salah satu konsep dasar sistem inforamasi. Data memeiliki atribut-atribut tertentu seperti: kelengkapan, keberanaran, dan keakuratan. Jika integritas data tidak terpalihara, maka suatu perusahaan tidak akan lagi memilki hasil atau laporan yang beanr bahkan perusahaan dapat menderita kerugian
C. Efektifitas Sistem
Efektifitas sistem informasi perusahaan melikiki peranan pentigndalam proses pemgambilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi tersebut telah sesuai dengan kebutuhan user
D. Efisiensi Sistem
Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi memilki kapasitas yang memadai atau harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya informasi yang minimal.
E. Ekonomis
Ekonomis mencerminkan kalkulasi untuk rugi ekonomi (cost/benefit) yang lebih bersifat kuantifikasi nilai moneter (uang). Efisiensi berarti sumber daya minimum untuk mencapai hasil maksimal. Sedangkan ekonomis lebih bersifat pertimbangan ekonomi.
Studi Kasus: Pencurian Dana dengan Kartu ATM Palsu
Jakarta (ANTARA News) – Sekitar 400 juta yen (Rp.44 miliar)
deposito di enam bank di Jepang telah ditarik oleh kartu-kartu ATM palsu
setelah informasi pribadi nasabah dibocorkan oleh sebuah perusahaan sejak
Desember 2006, demikian harian Yomiuri Shimbun dalam edisi onlinenya, Rabu.
Bank-bank yang kini sedang disidik polisi adalah Bank
Chugoku yang berbasis di Okayama, North Pasific Bank, Bank Chiba Kogyo, Bank
Yachiyo, Bank Oita, dan Bank Kiyo. Polisi menduga para tersangka kriminal itu
menggunakan teknik pemalsuan baru untuk membuat kartu ATM tiruan yang dipakai
dalam tindak kriminal itu. Pihak Kepolisian Metropolitan Tokyo meyakini kasus
pemalsuan ATM ini sebagai ulah komplotan pemalsu ATM yang besar sehingga
pihaknya berencana membentuk gugus tugas penyelidikan bersama dengan satuan
polisi lainnya.
Berdasarkan sumber kepolisian dan bank-bank yang dibobol,
sekitar 141 juta yen tabungan para nasabah telah ditarik dari 186 nomor
rekening di North Pasific Bank antara 17–23 Oktober 2007. Para nasabah
bank-bank itu sempat mengeluhkan adanya penarikan-penarikan dana dari rekening
mereka tanpa sepengetahuan mereka. Kejadian serupa ditemukan di bank Chugoku
dan Bank Chiba. Dalam semua perkara itu, dana tunai telah ditarik dari
gerai-gerai ATM di Tokyo dan Daerah Administratif Khusus Osaka, yang letaknya
jauh dari tempat para pemilik rekening yang dibobol. Polisi yakin peristiwa serupa
menimpa bank-bank lainnya.
Uniknya, tidak satu pun dari para pemilik rekening itu
kehilangan kartu ATM-nya. Dalam kasus Bank Oita misalnya, salah satu kartu ATM
telah digunakan untuk menarik dana meskipun pemilik rekening tidak memiliki
kartu ATM. Para pemilik rekening juga diketahui tinggal di tempat yang
berbeda-beda dan tidak menggunakan kartu-kartu ATM yang sama. Hal ini
menunjukkan bahwa teknik “skimming” atau “pembacaan sepintas” tidak digunakan
untuk mengakses informasi dalam ATM.
Sampai berita ini diturunkan, polisi masih menyelidiki
teknik dan metode yang pelaku gunakan dalam melakukan serangkaian pembobolan
ATM tersebut. Namun, polisi telah berhasil menemukan satu benang merah, yaitu
dimana sebagian besar pemilik rekening yang dibobol itu adalah anggota satu
program yang dijalankan olah sebuah perusahaan penjual produk makanan kesehatan
yang berbasis di Tokyo.
Analisa Kasus:
Dari rangkuman berita diatas, dapat ditarik beberapa
kesimpulan, antara lain :
· Pembobolan dana
rekening tersebut kemungkinan besar dilakukan oleh orang dalam perusahaan atau
orang dalam perbankan dan dilakukan lebih dari satu orang.
· Karena tidak semua
pemilik rekening memiliki hubungan dengan perusahaan tersebut, ada kemungkinan
pembocoran informasi itu tidak dilakukan oleh satu perusahaan saja, mengingat
jumlah dana yang dibobol sangat besar.
· Modusnya
mungkin penipuan berkedok program yang menawarkan keanggotaan. Korban, yang
tergoda mendaftar menjadi anggota, secara tidak sadar mungkin telah
mencantumkan informasi-informasi yang seharusnya bersifat rahasia.
· Pelaku
kemungkinan memanfaatkan kelemahan sistem keamanan kartu ATM yang hanya
dilindungi oleh PIN.
· Pelaku juga
kemungkinan besar menguasai pengetahuan tentang sistem jaringan perbankan. Hal
ini ditunjukkan dengan penggunaan teknik yang masih belum diketahui dan hampir
bisa dapat dipastikan belum pernah digunakan sebelumnya.
· Dari rangkuman
berita diatas, disebutkan bahwa para pemilik yang uangnya hilang telah
melakukan keluhan sebelumnya terhadap pihak bank. Hal ini dapat diartikan bahwa
lamanya bank dalam merespon keluhan-keluhan tersebut juga dapat menjadi salah
satu sebab mengapa kasus ini menjadi begitu besar.
Dari segi sistem keamanan kartu ATM itu sendiri, terdapat 2
kelemahan, yaitu:
1. Kelemahan pada
mekanisme pengamanan fisik kartu ATM.
Kartu ATM yang banyak
digunakan selama ini adalah model kartu ATM berbasis pita magnet. Kelemahan
utama kartu jenis ini terdapat pada pita magnetnya. Kartu jenis ini sangat
mudah terbaca pada perangkat pembaca pita magnet (skimmer).
2. Kelemahan pada
mekanisme pengamanan data di dalam sistem.
Sistem pengamanan
pada kartu ATM yang banyak digunakan saat ini adalah dengan penggunaan PIN
(Personal Identification Number) dan telah dilengkapi dengan prosedur yang
membatasi kesalahan dalam memasukkan PIN sebanyak 3 kali yang dimaksudkan untuk
menghindari brute force. Meskipun dapat dikatakan cukup aman dari brute force,
mekanisme pengaman ini akan tidak berfungsi jika pelaku telah mengetahui PIN
korbannya.
Saran:
· Melakukan
perbaikan atau perubahan sistem keamanan untuk kartu ATM. Dengan penggunaan
kartu ATM berbasis chip misalnya, yang dirasa lebih aman dari skimming. Atau
dengan penggunaan sistem keamanan lainnya yang tidak bersifat PIN, seperti
pengamanan dengan sidik jari, scan retina, atau dengan penerapan tanda tangan
digital misalnya.
· Karena
pembobolan ini sebagiannya juga disebabkan oleh kelengahan pemilik rekening,
ada baiknya jika setiap bank yang mengeluarkan kartu ATM memberikan edukasi
kepada para nasabahnya tentang tata cara penggunaan kartu ATM dan bagaimana
cara untuk menjaga keamanannya.
Daftar Pustaka :
