Pada era teknologi
modern ini, banyak perusahaan yang melakukan perlindungan informasi/data yang
mereka miliki agar tidak keluar dari perusahaan. Tapi apakah perlindungan
informasi/data mereka sudah aman atau tidak,
maka diperlukan IT audit untuk memeriksa data mereka. Berikut ini adalah
pengertian dari IT audit.
Audit teknologi informasi atau IT
(information technology) audit atau juga dikenal sebagai audit sistem
informasi (information system audit) merupakan aktivitas pengujian
terhadap pengendalian dari kelompok-kelompok unit infrastruktur dari sebuah
sistem/teknologi informasi.
Pengujian/evaluasi terhadap
kelompok-kelompok unit infrastruktur tersebut dapat dilakukan atas audit
keuangan, audit internal maupun obyek-obyek lain yang terkait dengan
pengembangan/pembangunan sebuah sistem informasi.
Sebelumnya IT audit dikenal sebagai EDP
(electronic data processing) audit atau audit pengolahan data secara
elektronik. Dimana pada saat itu pengujian lebih menitikberatkan pada
pengumpulan dan evaluasi bukti-bukti pengembangan, penerapan serta operasional
sistem informasi.
Diharapkan dari kegiatan tersebut
dapat dikembangkan suatu pengorganisasian sebuah pengelolaan aset sistem
informasi, integritas data dan pengoperasian yang efektif dan efisien sehingga
tujuan dari lembaga yang membangunnya dapat tercapai dengan baik.
Audit TI (teknologi informasi) pun
dikenal sebagai ADP (automated data processing) audit dan computer
audit.
Untuk menilai apakah perlu atau tidaknya
dilakukan IT audit atau IS audit mungkin dapat dilihat pada
sejarah adanya kegiatan tersebut.
Sejak tahun 1977 beberapa aturan
mengenai IT audit sudah disusun di Amerika Serikat yang meliputi beberapa
aturan penting seperti the Gramm Leach Bliley Act, the Sarbanes-Oxley Act,
the Health Insurance Portability and Accountability Act, the London Stock
Exchange Combined Code, King II serta the
Foreign Corrupt Practices Act.
Untuk dapat memahami proses audit
teknologi informasi, setidaknya kita harus memahami bagian secara umum dari
teknologi informasi itu sendiri yang terdiri atas:
- Systems and Applications
Pada bagian ini mewakili bagaimana
sebuah data diproses melalui aplikasi perangkat lunak komputer yang dikelola
melalui suatu sistem yang biasanya terdiri atas tingkatan hierarkis yang
mengikuti aturan bisnis yang berlaku di organisasi yang menggunakannya.
Sehingga proses auditnya sendiri akan meliputi verifikasi terhadap sistem dan aplikasinya apakah handal, efisien serta memiliki kontrol yang melekat untuk memastikan kebenaran, kehandalan, kecepatan maupun keamanan pada saat pengiriman, pemrosesan serta pengeluaran informasi di setiap tingkatan kegiatan sistem.
Sehingga proses auditnya sendiri akan meliputi verifikasi terhadap sistem dan aplikasinya apakah handal, efisien serta memiliki kontrol yang melekat untuk memastikan kebenaran, kehandalan, kecepatan maupun keamanan pada saat pengiriman, pemrosesan serta pengeluaran informasi di setiap tingkatan kegiatan sistem.
- Information Processing Facilities
Merupakan komponen yang terkait
dengan fasilitas-fasilitas yang digunakan untuk mengolah informasi di suatu
organisasi. Biasanya ini terkait dengan perangkat keras seperti misalkan
scanner, komputer server, formulir, dsb. Di komponen teknologi informasi ini
dilakukan verifikasi untuk memastikan apakah fasilitas pemrosesan terkendalikan
untuk memastikan kecepatan, ketepatan dan tingkat efisiensi dari
aplikasi-aplikasi berada dalam kondisi normal serta di bawah kemungkinan adanya
potensi kerusakan/gangguan.
- Systems Development
Adalah bagian dari proses
pembangunan maupun pengembangan dari sistem yang sudah ada dalam suatu organisasi
sesuai tujuan-tujuan aktivitasnya. Proses audit pada komponen ini ditujukan
untuk memverifikasi apakah setiap sistem yang sedang dalam proses pengembangan
sesuai dengan tujuan/pedoman/arahan/visi/misi dari organisasi penggunanya. Selain
itu proses audit pada bagian ini juga ditujukan untuk memastikan apakah selama
proses pengembangan sistem sesuai dengan standar-standar yang secara umum
digunakan dalam pengembangan sistem.
- Management of IT and Enterprise Architecture
Pengelolaan atas teknologi informasi
serta arsitektur seluruh lingkup internal organisasi yang disesuaikan dengan
struktur dan prosedur yang ditetapkan oleh manajemen adalah sangat penting.
Pentingnya hal tersebut memerlukan proses audit yang dilaksanakan untuk memastikan apakah segenap lingkungan/komponen organisasi dalam pemrosesan informasinya dilakukan secara terkendali dan efisien.
Pentingnya hal tersebut memerlukan proses audit yang dilaksanakan untuk memastikan apakah segenap lingkungan/komponen organisasi dalam pemrosesan informasinya dilakukan secara terkendali dan efisien.
- Client/Server, Telecommunications, Intranets, and Extranets
Komputer, peralatan telekomunikasi, sistem
jaringan komunikasi data elektronik (intranet/extranet) serta
perangkat-perangkat keras pengolahan data elektronik lainnya adalah komponen dari
sebuah teknologi informasi. Audit di bagian ini menjadi penting untuk melakukan
verifikasi atas seperangkat pengendalian pada infrastruktur perangkat keras
yang digunakan dalam pemrosesan serta komunikasi data secara elektronik dalam
suatu sistem jaringan yang terintegrasi.
Dimana dalam melaksakan proses audit
teknologi/sistem informasi meliputi tahapan-tahapan berikut:
- Planning
Pada tahapan ini lakukan perencanaan
menyeluruh atas hal-hal mendasar seperti:
- Fokus komponen yang akan diaudit
- Alat (framework) yang akan digunakan sebagai pedoman pelaksanaan audit
- Kebutuhan sumber daya yang diperlukan
- Hasil akhir yang diinginkan dari proses audit
- Jadual kegiatan
- Rencana Anggaran Biaya jika menggunakan jasa pihak lainnya
- Studying and Evaluating Controls
Pada tahap ini setelah kita
mempelajari bagaimana kondisi dari obyek audit kita. Biasanya secara mendasar
fokus dari audit adalah kemampuan pengendalian/kontrol atas obyek tersebut.
Kemudian dari hasil melakukan analisis tersebut disusun evaluasi atasnya.
- Testing and Evaluating Controls
Setelah mempelajari dan mengevaluasi
hasil analisisnya, tahap berikutnya adalah melakukan serangkaian pengujian atas
obyek audit kita. Pengujian tersebut tentunya menggunakan standar-standar baku
berdasarkan framework yang sudah ditetapkan sebelumnya untuk digunakan dalam
proses audit.
Sama halnya dengan tahapan sebelumnya, inti dari proses audit adalah melakukan telaah uji atas kemampuan pengendalian atas setiap aspek dari sumber daya teknologi informasi yang ada berdasarkan batasan-batasan yang sudah disepakati sebelumnya.
Hasil dari pengujian tersebut kemudian dievaluasi untuk disusun dalam laporan hasil pemeriksaan.
Sama halnya dengan tahapan sebelumnya, inti dari proses audit adalah melakukan telaah uji atas kemampuan pengendalian atas setiap aspek dari sumber daya teknologi informasi yang ada berdasarkan batasan-batasan yang sudah disepakati sebelumnya.
Hasil dari pengujian tersebut kemudian dievaluasi untuk disusun dalam laporan hasil pemeriksaan.
- Reporting
Seluruh tahapan yang telah dilakukan
sebelumnya dalam proses audit teknologi informasi kemudian didokumentasikan
dalam suatu laporan hasil pemeriksaan/audit.
- Follow-up
Hasil dari laporan hasil pemeriksaan/audit
kemudian ditindaklanjuti sebagai acuan para pemegang kebijakan di setiap
tingkatan manajemen organisasi dalam menentukan arah pengembangan dari
penerapan teknologi informasi di organisasi tersebut.
Nah, meelihat luasnya cakupan aspek
audit teknologi/sistem informasi tersebut di atas maka kualifikasi yang
diperlukan untuk menjadi auditor TI/SI menjadi multi-disiplin pengetahuan dan
keahlian. Seorang auditor TI/SI tidak hanya harus memahami sisi teknis tapi
juga harus bisa memahami aspek manajerial terutama di bagian manajemen
keuangan. Sehingga selain harus memiliki keahlian yang memadai dalam
masalah-masalah teknis di bidang teknologi informasi, seorang auditor TI/SI
didukung pula dengan pemahaman yang baik atas prinsip-prinsip akuntansi.
Hal ini disebabkan oleh besarnya
tanggung jawab yang harus dipikul oleh seorang auditor TI/SI yang melakukan
evaluasi terhadap pengendalian atas pencatatan/perekaman dan pemeliharaan/pengamanan
aset organisasi yang diaudit olehnya.
Sumber :
Tidak ada komentar:
Posting Komentar