Audit dan kontrol
teknologi informasi menjadi penting karena organisasi membutuhkan acuan,
parameter dan kontrol untuk memastikan semua sumber daya perusahaan menuju pada
pencapaian tujuan organisasi secara terintegratif dan komprehensif. IT Audit
dan Kontrol menjelaskan sebuah proses untuk mereview dan memposisikan IT
sebagai instrument penting dalam pencapaian usaha/bisnis korporasi. Audit IT
dan control melakukan proses sistematik, terencana, dan menggunakan keahlian IT
untuk mengetahui tingkat kepatuhan, kinerja, nilai, dan resiko dari
implementasi teknologi. Kemampuan mengetahui pengetahuan dan skill pada IT
Audit dan control selain juga menunjukkan jenjang professional tertentu dalam
professional, juga membuat seseorang akan menganalisa, merancang, membangun,
mengimplementasikan, memonitor dan melakukan pengembangan berkelanjutan TIK
tidak sekedar beroperasi tetapi juga mengikuti kaidah industri dan standar
internasional.
Penerapan IT audit
sendiri dibentuk pada pertengahan 1960-an dan sejak saat itu telah berubah
spesifikasi nya berkali-kali karena perkembangan pesat teknologi dan
penggabungan ke dalam bisnis. Audit teknologi selalu mengacu pada pemeriksaan
kontrol dalam infrastruktur TI. Praktek Audit menjamin kelangsungan bisnis
dengan mengidentifikasi integritas data organisasi, operasi efektivitas dan
tindakan perlindungan untuk melindungi 36 aset IT.
IT Audit and Control
menggambarkan sebuah proses untuk meninjau dan memposisikan TI sebagai
instrumen penting dalam mencapai bisnis / bisnis perusahaan. TI mengaudit dan
mengendalikan proses yang sistematis, terencana, dan menggunakan keahlian IT
untuk mengetahui tingkat kepatuhan, kinerja, nilai, dan risiko penerapan
teknologi. Kemampuan untuk mengetahui pengetahuan dan keterampilan dalam Audit
dan pengendalian TI serta menunjukkan tingkat profesional tertentu secara
profesional, juga membuat seseorang akan menganalisa, merancang, membangun,
menyebarkan, memantau dan pengembangan TIK yang berkelanjutan tidak hanya
beroperasi tetapi juga mengikuti aturan industri dan standar internasional.
2. Proses
Audit
Proses Audit dalam
konteks teknologi informasi adalah memeriksa apakah sistem informasi berjalan
semestinya. Tujuh langkah proses audit sistem informasi yaitu:
1. Implementasikan
sebuah strategi audit berbasis manajemen resiko serta control practice yang
dapat disepakati oleh semua pihak
2. Tetapkan
langkah-langkah audit yang rinci
3. Gunakan
fakta atau bahan bukti yang cukup, handal, relevan, serta bermanfaat
4. Buat
laporan beserta kesimpulan berdasarkan fakta yang dikumpulkan
5. Telah
apakah tujuan audit tercapai
6. Sampaikan
laporan kepada pihak yang berkepentingan
7. Pastikan
bahwa organisasi mengimplementasikan managemen resiko serta control practice.
Perencanaan sebelum menjalankan
proses audit dengan metodologi audit yaitu:
1. Audit
subject
2. Audit
objective
3. Audit
Scope
4. Preaudit
planning
5. Audit
procedures and Steps for data gathering
6. Evaluasi
hasil pengujian dan pemeriksaan
7. Audit
report preparation
Berikut struktur isi
laporan audit secara umumnya(tidak baku):
a) Pendahuluan
b) Kesimpulan
umum auditor
c) Hasil
audit
d) Rekomendasi
e) Exit
interview
3. Teknik
Audit
Menurut Davis, Schiller
dan Wheeler (2011) tahap melakukan audit TI adalah :
• Tinjau struktur
organisasi TI secara keseluruhan untuk memastikan bahwa organisasi TI
menyediakan untuk tugas wewenang dan tanggung
jawab atas operasi TI dan menyediakan pembagian tugas yang memadai.
• Meninjau proses
perencanaan strategis TI untuk memastikan bahwa itu sejalan dengan strategis
bisnis. Mengevaluasi proses organisasi TI untuk memantau kemajuan terhadap
rencana strategis.
• Menentukan apakah
teknologi dan aplikasi strategi dan roadmap ada, dan mengevaluasi proses
perencanaan teknis jangka panjang.
• Tinjau indikator
kinerja dan pengukuran untuk IT. Memastikan bahwa proses dan metrik pada
tempatnya (dan disetujui oleh para pemangku kepentingan utama) untuk mengukur
kinerja kegiatan sehari-hari dan pelacakan kinerja terhadap SLA, anggaran, dan
persyaratan operasional lainnya.
• Menentukan evaluasi
standar untuk mengatur pelaksanaan proyek IT dan untuk memastikan kualitas
produk yang dikembangkan atau diperoleh oleh organisasi TI. Menentukan
bagaimana standar tersebut dikomunikasikan dan ditegakkan.
• Pastikan bahwa
kebijakan keamanan TI ada dan memberikan persyaratan yang memadai untuk
keamanan lingkungan. tentukan bagaimana kebijakan tersebut dikomunikasikan dan
bagaimana kepatuhan dimonitor dan ditegakkan.
• Meninjau dan
mengevaluasi proses penilaian risiko di tempat bagi organisasi TI.
• Tinjau dan evaluasi
proses untuk memastikan bahwa karyawan IT di perusahaan memiliki keterampilan
dan pengetaguan yang diperlukan untuk melakukan pekerjaan mereka.
• Tinjau dan evaluasi
kebijakan dan proses untuk menetapkan kepemilikan data perusahaan,
mengelompokkan data, melindungi data sesuai dengan klarifikasinya, dan
mendefinisikan life cycle data.
• Tinjau dan evaluasi
proses untuk memastikan bahwa end user lingkungan TI memiliki kemampuan untuk
melaporkan masalah, secara tepat terlibat dalam keputusan TI, dan puas dengan
layanan yang diberikan oleh TI.
• Meninjau dan
mengevaluasi proses untuk mengelola layanan pihak ketiga, memastikan bahwa
peran dan tanggung jawab mereka didefinisikan dengan jelas dan pemantauan
kinerja mereka.
• Meninjau dan
mengevaluasi proses proses untuk mengontrol akses login non karyawan.
• Meninjau dan
mengevaluasi proses untuk memastikan bahwa perusahaan telah memenuhi lisensi
perangka lunak yang berlaku.
4. Regulasi
Audit
Uji kepatutan
(compliance test) dilakukan dengan menguji kepatutan Prooses TI dengan melihat
kepatutan proses yang berlangsung terhadap standard dan regulasi yang berlaku.
Kepatutan tersebut dapat diketahui dari hasil pengumpulan bukti. Adapun
langkah-langkah yang dilakukan dalam uji tersebut antara lain akan dipaparkan
sebagaimana berikut :
1) Tahapan
Pengidentifikasian
Objek yang Diaudit
Tujuan dari langkah ini agar pengaudit mengenal lebih jauh terkait dengan
hal-hal yang harus dipenuhi dalam objektif kontrol yang membawa kepada
penugasan kepada pihak-pihak yang bertanggung jawab. Aktivitas yang berlangsung
juga termasuk pengidentifikasian perihal pengelolaan aktivitas yang didukung TI
memenuhi objektif kontrol terkait.
2) Tahapan
Evaluasi audit Tujuan dari tahapan ini adalah untuk mendapatkan prosedur
tertulis dan memperkirakan jika prosedur yang ada telah menghasilkan struktur
kontrol yang efektif. Uji kepatutan yang dilakukan pada tahapan ini yaitu
mengevaluasi pemisahan tanggung jawab yang terkait dengan pengelolaan SI/TI.
Dari hasil evaluasi ditemukan terdapat pemisahan terhadap tugas dan tanggung
jawab yang harus dilakukan oleh masing-masing pihak yang bersangkutan.
5. Metode
Audit
Metode nya :
Pengumpulan Data
(evidence)
ž
melalui berbagai teknik termasuk
›
survei,
›
interview,
›
observasi dan review dokumentasi
–
(termasuk review source-code bila diperlukan).
›
Bisa jadi bukti-bukti audit yang diambil oleh auditor mencakup bukti elektronis
(data dalam bentuk file softcopy).
ž
Dalam proses pengumpulan bukti ini ada beberapa cara yang sering dipakai yaitu,
›
audit around computer,
›
audit trought computer dan
›
audit with computer.
ž
Jika tingkat pemakaian TI tinggi maka audit yang dominan digunakan adalah audit
with computer
›
biasa disebut dengan teknik audit berbantuan computer atau menggunakan CAAT
(Computer Aided Auditing Technique).
–
untuk menganalisa data, misalnya saja data transaksi penjualan, pembelian,
transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain.
–
Tentunya untuk aspek sekuriti adakalanya auditor dituntut mempunyai keahlian
teknis yang cukup memadai untuk menguji keamanan sistem.
KESIMPULAN
Kesimpulan
Audit Sistem Informasi
merupakan suatu kegiatan pemeriksaan yang dilakukan oleh seorang audit internal
perusahaan dalam pengumpulan bukti-bukti dan pengevaluasian pengendalian
perusahaan untuk mencapai tujuan perusahaan dan sesuai dengan kriteria yang
ditentukan
Audit system informasi
dibutuhkan dalam suatu organisai perusahaa untuk mengetahui apakah suatu
pengendalian dalam system informasi disebuah organisasi tersebut tujuannya
sudah tercapai atau belum. Audit internal dalam melakukan audit system
informasi diperlukan prosedur pengendalian dan lalu diujikan untuk pencapain
tujuan pengendalian tersebut.
Saran
Audit system informasi
sangat penting bagi perusahaan karena dengan adanya audit system informasi
disebuah perusahaan, maka perusahaan tersebut akan mengetahui tercapainya tujun
procedure pengendalian internal perusahaan atau tidak. Oleh karena itu,
sangat dialnjutkan pada perusahaan untuk melalukan audit system informasi
di perusahaannya
Daftar Pustaka
o IT
Auditing : Using Controls To Protect Information Assets, Chris Davis, 2011
o Audit
& Kontrol Teknologi Informasi, Mardhani Riasetiawan, 2016
Komentar
Posting Komentar