Pengertian Audit
Sistem Informasi
Audit Sistem Informasi (Informatin System Audit) atau
EDP Audit (Electronic Data Processing Audit) atau computer audit adalah proses pengumpulan data dan
pengevaluasian bukti-bukti untuk menentukan apakah suatu sistem aplikasi
komputerisasi telah menetapkan dan menerapkan sistem pengendalian internal yang
memadai, semua aktiva dilindungi dengan baik atau disalahgunakan serta terjaminnya
integritas data, keandalan serta efektifitas dan efesiensi penyelenggaraan
sistem informasi berbasis komputer (Ron Weber 1999:10).
Jenis-jenis Audit
Sistem Informasi
A.
Audit Laporan
Keuangan (Financial Statement Audit)
Adalah audit yang dilakukan untuk mengetahui tingkat
kewajaran laporan keuangan yang disajikan oleh perusahaan (apakah sesuai dengan
standar akuntansi keuangan serta tidak menyalahi uji materialitas). Apabila
sistem akuntansi organisasi yang diaudit merupakan sistem akuntansi berbasis
komputer, maka dilakukan audit terhadap sistem informasi akuntansi apakah
proses/mekanisme sistem dan program komputer telah sesuai, pengendalian umum
sistem memadai dan data telah substantif.
B.
Audit Operasional
(Operational Audit)
Audit terhadap aplikasi komputer terbagi menjadi tiga
jenis, antara lain:
-
Post implementation Audit (Audit setelah implementasi)
Auditor memeriksa apakah sistem-sistem aplikasi
komputer yang telah diimplementasikan pada suatu organisasi/perusahaan telah
sesuai dengan kebutuhan penggunanya (efektif) dan telah dijalankan dengan
sumber daya optimal (efisien). Auditor mengevaluasi apakah sistem aplikasi
tertentu dapat terus dilanjutkan karena sudah berjalan baik dan sesuai dengan
kebutuhan usernya atau perlu dimodifikasi dan bahkan perlu dihentikan.
-
Concurrent audit (audit secara bersama)
Auditor menjadi anggota dalam tim pengembangan sistem
(system development team). Mereka membantu tim untuk meningkatkan kualitas
pengembangan sistem yang dibangun oleh para sistem analis, designer dan
programmer dan akan diimplementasikan. Dalam hal ini auditor mewakili pimpinan
proyek dan manajemen sebagai quality assurance.
-
Concurrent Audits (audit secara bersama-sama)
Auditor mengevaluasi kinerja unit fngsional atau
fungsi sistem informasi (pusat/instalasi komputer) apakah telah dikelola dengan
baik, apakah kontrol dalam pengembangan sistem secara keseluruhan sudah
dilakukan dengan baik, apakah sistem komputer telah dikelola dan dioperasikan
dengan baik.
Dalam mengaudit sistem komputerisasi yang ada, audit
ini dilakukan dengan mengevaluasi pengendalian umum dari sistem-sistem
komputerisasi yang sudah diimplementasikan pada perusahaan tersebut secara
keseluruhan. Saat melakuan pengujian-pengujian digunakan bukti untuk menarik
kesimpulan dan memberikan rekomendasi kepada manajemen tentang hal-hal yang
berhubungan dengan efektifitas, efisiensi, dan ekonomisnya sistem.
Tujuan Audit
Sistem Informasi
Tujuan audit sistem informasi menurut Ron Weber
(1999:11-13) secara garis besar terbagi menjadi lima tahap, yaitu:
A.
Pengamanan Aset
Aset informasi suatu perusahaan seperti
perangkat keras (hardware), perangkat lunak (software), sumber daya manusia,
file data harus dijaga oleh suatu sistem pengendalian intern yang baik agar
tidak terjadi penyalahgunaan aset perusahaan. Dengan demikian sistem pengamanan
aset merupakan suatu hal yang sangat penting yang harus dipenuhi oleh
perusahaan.
B.
Menjaga integritas
data
Integritas data (data integrity) adalah
salah satu konsep dasar sistem inforamasi. Data memeiliki atribut-atribut
tertentu seperti: kelengkapan, keberanaran, dan keakuratan. Jika integritas
data tidak terpalihara, maka suatu perusahaan tidak akan lagi memilki hasil
atau laporan yang beanr bahkan perusahaan dapat menderita kerugian
C.
Efektifitas Sistem
Efektifitas sistem informasi perusahaan
melikiki peranan pentigndalam proses pemgambilan keputusan. Suatu sistem
informasi dapat dikatakan efektif bila sistem informasi tersebut telah sesuai
dengan kebutuhan user
D.
Efisiensi Sistem
Efisiensi menjadi hal yang sangat penting
ketika suatu komputer tidak lagi memilki kapasitas yang memadai atau harus
mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber
daya, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat
memenuhi kebutuhan user dengan sumber daya informasi yang minimal.
E.
Ekonomis
Ekonomis mencerminkan kalkulasi untuk rugi
ekonomi (cost/benefit) yang lebih bersifat kuantifikasi nilai moneter (uang).
Efisiensi berarti sumber daya minimum untuk mencapai hasil maksimal. Sedangkan
ekonomis lebih bersifat pertimbangan ekonomi.
CONTOH KASUS AUDIT
SISTEM INFORMASI
Studi Kasus:
Pencurian Dana dengan Kartu ATM Palsu
Jakarta (ANTARA News) – Sekitar 400 juta yen (Rp.44 miliar) deposito di enam bank di Jepang telah ditarik oleh kartu-kartu ATM palsu setelah informasi pribadi nasabah dibocorkan oleh sebuah perusahaan sejak Desember 2006, demikian harian Yomiuri Shimbun dalam edisi onlinenya, Rabu.
Jakarta (ANTARA News) – Sekitar 400 juta yen (Rp.44 miliar) deposito di enam bank di Jepang telah ditarik oleh kartu-kartu ATM palsu setelah informasi pribadi nasabah dibocorkan oleh sebuah perusahaan sejak Desember 2006, demikian harian Yomiuri Shimbun dalam edisi onlinenya, Rabu.
Bank-bank yang kini sedang disidik polisi adalah Bank
Chugoku yang berbasis di Okayama, North Pasific Bank, Bank Chiba Kogyo, Bank
Yachiyo, Bank Oita, dan Bank Kiyo. Polisi menduga para tersangka kriminal itu
menggunakan teknik pemalsuan baru untuk membuat kartu ATM tiruan yang dipakai
dalam tindak kriminal itu. Pihak Kepolisian Metropolitan Tokyo meyakini kasus
pemalsuan ATM ini sebagai ulah komplotan pemalsu ATM yang besar sehingga
pihaknya berencana membentuk gugus tugas penyelidikan bersama dengan satuan
polisi lainnya.
Berdasarkan sumber kepolisian dan bank-bank yang dibobol, sekitar 141 juta yen tabungan para nasabah telah ditarik dari 186 nomor rekening di North Pasific Bank antara 17–23 Oktober 2007. Para nasabah bank-bank itu sempat mengeluhkan adanya penarikan-penarikan dana dari rekening mereka tanpa sepengetahuan mereka. Kejadian serupa ditemukan di bank Chugoku dan Bank Chiba. Dalam semua perkara itu, dana tunai telah ditarik dari gerai-gerai ATM di Tokyo dan Daerah Administratif Khusus Osaka, yang letaknya jauh dari tempat para pemilik rekening yang dibobol. Polisi yakin peristiwa serupa menimpa bank-bank lainnya.
Uniknya, tidak satu pun dari para pemilik rekening itu kehilangan kartu ATM-nya. Dalam kasus Bank Oita misalnya, salah satu kartu ATM telah digunakan untuk menarik dana meskipun pemilik rekening tidak memiliki kartu ATM. Para pemilik rekening juga diketahui tinggal di tempat yang berbeda-beda dan tidak menggunakan kartu-kartu ATM yang sama. Hal ini menunjukkan bahwa teknik “skimming” atau “pembacaan sepintas” tidak digunakan untuk mengakses informasi dalam ATM.
Berdasarkan sumber kepolisian dan bank-bank yang dibobol, sekitar 141 juta yen tabungan para nasabah telah ditarik dari 186 nomor rekening di North Pasific Bank antara 17–23 Oktober 2007. Para nasabah bank-bank itu sempat mengeluhkan adanya penarikan-penarikan dana dari rekening mereka tanpa sepengetahuan mereka. Kejadian serupa ditemukan di bank Chugoku dan Bank Chiba. Dalam semua perkara itu, dana tunai telah ditarik dari gerai-gerai ATM di Tokyo dan Daerah Administratif Khusus Osaka, yang letaknya jauh dari tempat para pemilik rekening yang dibobol. Polisi yakin peristiwa serupa menimpa bank-bank lainnya.
Uniknya, tidak satu pun dari para pemilik rekening itu kehilangan kartu ATM-nya. Dalam kasus Bank Oita misalnya, salah satu kartu ATM telah digunakan untuk menarik dana meskipun pemilik rekening tidak memiliki kartu ATM. Para pemilik rekening juga diketahui tinggal di tempat yang berbeda-beda dan tidak menggunakan kartu-kartu ATM yang sama. Hal ini menunjukkan bahwa teknik “skimming” atau “pembacaan sepintas” tidak digunakan untuk mengakses informasi dalam ATM.
Sampai berita ini diturunkan, polisi masih menyelidiki
teknik dan metode yang pelaku gunakan dalam melakukan serangkaian pembobolan
ATM tersebut. Namun, polisi telah berhasil menemukan satu benang merah, yaitu
dimana sebagian besar pemilik rekening yang dibobol itu adalah anggota satu
program yang dijalankan olah sebuah perusahaan penjual produk makanan kesehatan
yang berbasis di Tokyo.
Analisa Kasus:
Dari rangkuman berita diatas, dapat ditarik beberapa
kesimpulan, antara lain :
· Pembobolan dana
rekening tersebut kemungkinan besar dilakukan oleh orang dalam perusahaan atau
orang dalam perbankan dan dilakukan lebih dari satu orang.
· Karena tidak semua
pemilik rekening memiliki hubungan dengan perusahaan tersebut, ada kemungkinan
pembocoran informasi itu tidak dilakukan oleh satu perusahaan saja, mengingat
jumlah dana yang dibobol sangat besar.
· Modusnya mungkin
penipuan berkedok program yang menawarkan keanggotaan. Korban, yang tergoda
mendaftar menjadi anggota, secara tidak sadar mungkin telah mencantumkan
informasi-informasi yang seharusnya bersifat rahasia.
· Pelaku kemungkinan
memanfaatkan kelemahan sistem keamanan kartu ATM yang hanya dilindungi oleh
PIN.
· Pelaku juga
kemungkinan besar menguasai pengetahuan tentang sistem jaringan perbankan. Hal
ini ditunjukkan dengan penggunaan teknik yang masih belum diketahui dan hampir
bisa dapat dipastikan belum pernah digunakan sebelumnya.
· Dari rangkuman
berita diatas, disebutkan bahwa para pemilik yang uangnya hilang telah
melakukan keluhan sebelumnya terhadap pihak bank. Hal ini dapat diartikan bahwa
lamanya bank dalam merespon keluhan-keluhan tersebut juga dapat menjadi salah
satu sebab mengapa kasus ini menjadi begitu besar.
Dari segi sistem keamanan kartu ATM itu sendiri,
terdapat 2 kelemahan, yaitu:
1.
Kelemahan pada
mekanisme pengamanan fisik kartu ATM.
Kartu ATM yang banyak digunakan selama ini adalah model kartu ATM berbasis pita magnet. Kelemahan utama kartu jenis ini terdapat pada pita magnetnya. Kartu jenis ini sangat mudah terbaca pada perangkat pembaca pita magnet (skimmer).
Kartu ATM yang banyak digunakan selama ini adalah model kartu ATM berbasis pita magnet. Kelemahan utama kartu jenis ini terdapat pada pita magnetnya. Kartu jenis ini sangat mudah terbaca pada perangkat pembaca pita magnet (skimmer).
2.
Kelemahan pada
mekanisme pengamanan data di dalam sistem.
Sistem pengamanan pada kartu ATM yang banyak digunakan saat ini adalah dengan penggunaan PIN (Personal Identification Number) dan telah dilengkapi dengan prosedur yang membatasi kesalahan dalam memasukkan PIN sebanyak 3 kali yang dimaksudkan untuk menghindari brute force. Meskipun dapat dikatakan cukup aman dari brute force, mekanisme pengaman ini akan tidak berfungsi jika pelaku telah mengetahui PIN korbannya.
Sistem pengamanan pada kartu ATM yang banyak digunakan saat ini adalah dengan penggunaan PIN (Personal Identification Number) dan telah dilengkapi dengan prosedur yang membatasi kesalahan dalam memasukkan PIN sebanyak 3 kali yang dimaksudkan untuk menghindari brute force. Meskipun dapat dikatakan cukup aman dari brute force, mekanisme pengaman ini akan tidak berfungsi jika pelaku telah mengetahui PIN korbannya.
Saran:
· Melakukan
perbaikan atau perubahan sistem keamanan untuk kartu ATM. Dengan penggunaan
kartu ATM berbasis chip misalnya, yang dirasa lebih aman dari skimming. Atau
dengan penggunaan sistem keamanan lainnya yang tidak bersifat PIN, seperti
pengamanan dengan sidik jari, scan retina, atau dengan penerapan tanda tangan
digital misalnya.
· Karena pembobolan
ini sebagiannya juga disebabkan oleh kelengahan pemilik rekening, ada baiknya
jika setiap bank yang mengeluarkan kartu ATM memberikan edukasi kepada para
nasabahnya tentang tata cara penggunaan kartu ATM dan bagaimana cara untuk
menjaga keamanannya.
Daftar Pustaka
