KONSEP AUDIT TI
Audit
Teknologi Informasi(TI) merupakan bentuk pengawasan serta pengendalian pada
infrastruktur teknologi informasi. Pada dasarnya, tujuan audit adalah untuk
memberitahu bahwa usaha atau bisnis yang sedang dilaksanakan berjalan dengan
baik. Seiring dengan majunya teknologi saat ini, IT Auditor memiliki tantangan
baru serta hal baru yang harus dipelajari seperti ruang lingkup audit sekarang
yang meliputi cloud computing,
virtualisasi, dan lain sebagainya.
Hal tersebut merupakan
alasan auditor harus mengerti tentang urusan atau masalah perusahaan yang
sedang dihadapi serta risiko dari urusan atau masalah tersebut agar proses
audit dan kegiatan pendukung lainnya berjalan secara efektif. Maka dari itu,
seorang Auditor harus menggali pengetahuan lebih dalam untuk meningkatkan skill
dalam memecahkan masalah karena masalah yang terdapat pada perusahaan akan
terus berkembang mengikuti jalannya teknologi.
Seorang Auditor juga
dituntut dalam memperbaiki kelemahan-kelemahan internal controls yang
terdapat pada perusahaan karena kelemahan-kelemahan ini dapat dicurangi oleh
manager-manager yang berada pada perusahaan tersebut. Maka dapat disimpulkan
bahwa tujuan utama dari audit adalah sebagai berikut:
- Memberikan kepastian kepada
perusahaan bahwa internal controls berjalan dengan efektif.
- Meningkatkan internal controls pada perusahaan dengan membantu perusahaan dalam mengindentifikasi kelemahan internal controls serta memberikan solusi yang cost-effective dalam mengatasi masalah tersebut.
PROSES AUDIT TI
Terdapat
istilah dasar yang harus dipahami pada proses audit yaitu internal controls.
Internal controls merupakan sebuah mekanisme yang memastikan bahwa proses
pada dalam sebuah perusahaan bekerja dengan benar karena setiap sistem dan
proses yang ada pada sebuah perusahaan esensinya dibentuk untuk mencapai sebuah
tujuan yang spesifik dari perusahaan.
Internal
controls memiliki beberapa tipe yaitu:
1.
Preventive control
Sesuai dengan namanya, preventive control
merupakan kontrol pada perusahaan yang bersifat preventif atau bersifat
mencegah.
2.
Detective control
Detective control merupakan kontrol yang
mencatat sebuah kegiatan yang telah berlalu (logging) sehingga kegiatan
dapat ditinjau bila terdapat kejanggalan.
3. Reactive control
Reactive control merupakan kontrol yang memiliki
sifat menyerupai preventive control
dan detective control. Kontrol ini
tidak bersifat mencegah namun apabila kontrol ini menemukan sebuah kejanggalan,
kontrol ini akan segera memberitahu dan melakukan pembenahan sama halnya
seperti Antivirus pada computer. Oleh karena itu kontrol ini sering disebut
sebagai kontrol reactive.
Pada setiap kontrol pasti memiliki
sebuah celah atau kelemahan. Oleh karena itu tahap pertama pada sebuah audit
adalah menentukan apa yang harus diaudit dan setelah itu barulah dilakukan
proses audit dengan 6 fase besar audit yaitu:
1. Perencanaan
2. Dokumentasi
3. Penemuan masalah dan validasi
4. Pengembangan solusi
5. Pembuatan laporan
6. Issue Tracking
Teknik Audit
Ada 13 teknik audit yaitu:
1. Audit
pengendalian Entity Level
2. Audit
data centers dan disaster recovery
3. Audit switch, routers dan firewalls
4. Audit
sistem operasi Windows
5. Audit
sistem operasi Linux
6. Audit
web server dan web aplikasi
7. Audit
database
8. Audit
penyimpanan
9. Audit
lingkungan virtual
10. Audit
WLAN dan mobile devices
11. Audit
aplikasi
12. Audit
cloud computing dan outsourced operations
13. Audit
proyek perusahaan/organisasi
Standard dan Kerangka Kerja
Dengan
dominannya penggunaan komputer dalam membantu kegiatan operasional diberbagai
perusahaan, maka diperlukan standar-standar kontrol sebagai alat pengendali
internal untuk menjamin bahwa data elektronik yang diproses adalah benar.
Beberapa jenis standar kontrol yaitu:
1. SARBOX (Sarbanes-Oxley Act)
Yaitu
merupakan peraturan yang ditandatangani Presiden George W.Bush tanggal 30 juli 2012
untuk mereformasi dunia pasarmodal Amerika Serikat. Tujuan SARBOX yaitu:
a) Meningkatkan
akuntabilitas manajemen dengan memastikan bahwa manajemen akuntan dan pengacara
memiliki tanggung jawab atas informasi keuangan yang menjadi tanggung jawab
mereka.
b) Meningkatkan
pengungkapan dengan berusaha untuk menyatakan bahwa beberapa kejadian kunci dan
transaksi luar biasa tidak mendapatkan pengawasan hanya karena tidak
disyaratkan untuk diungkap di publik.
c) Meningkatkan
pengawasan rutin yang lebih intensif oleh SEC.
d) Meningkatkan
akuntabilitas akuntan.
2.
COBIT
(Control Objectives for Information and Related Technology)
Yaitu
alat pengendalian untuk informasi dan tekhnology terkait dan merupakan standar
terbuka yang dikembangkan oleh ISACA melalui ITGI (Information and Technology
Governance Institute) pada tahun 1992. Tujuan dari COBIT yaitu untuk
mengembangkan melakukan riset dan mempublikasikan suatu standar teknologi
informasi yang diterima umum dan selalu up to date untuk digunakan dalam
kegiatan bisnis sehari-hari.
3.
ISO
17799
standar
untuk sistem manajemen keamanan informasi meliputi dokomen kebijakan keamanan
informasi, alokasi keamanan informasi tanggung-jawab,menyediakan semua para
pemakai dengan pendidikan dan pelatihan didalam keamanan informasi, mengembangkan
suatu sistem untuk pelaporan peristiwa keamanan, memperkenalkan virus kendali,
mengembangkan suatu rencana kesinambungan bisnis, mengendalikan pengkopian
perangkat lunak kepemilikan, surat pengantar arsip organisatoris, mengikuti
kebutuhan perlindungan data, dan menetapkan prosedure untuk mentaati kebijakan
keamanan.
Regulasi Audit
Kerangka danStandar seiring perkembangan teknologi informasi
(IT) selama akhir abad ke-20, IT departemen dalam setiap organisasi biasanya
mengembangkan metode sendiri untuk mengelola operasi. Akhirnya, kerangka kerja
dan standar muncul untuk memberikan panduan bagi pengelolaan dan evaluasi
proses TI. Beberapa kerangka kerja dan
standar yang paling menonjol saat ini terkait dengan penggunaan teknologi.
Manajemen Risiko
Perencanaan
audit internal harus berbasis pengetahuan akan risiko kegagalan organisasi
dalam mencapai tujuan. Perencanaan strategis perusahaan mencakupi pertimbangan
risiko kegagalan organisasi. Manajemen risiko berpengaruh pada perencanaan
audit. Auditor melakukan evaluasi kendali internal sebagai sarana penghindaran
risiko.
Bagi
COSO, pengukuran-penetapan risiko adalah kegiatan penting bagi manajemen dan
auditor internal korporasi, sehingga auditor internal harus paham proses dan
sarana untuk identifikasi, penilaian, pengukuran dan penetapan tingkat
risiko (risk assessment) sebagai dasar menyusun prosedur audit
internal. COSO menyatakan bahwa setiap entitas menghadapi risiko internal dari
luar, bahwa risiko-risiko tersebut harus didentifikasi dan dinilai-diukur
terfokus pada pengamanan sasaran strategis korporasi.
Perubahan
sosial-politik-ekonomi-industri-hukum dan perubahan kondisi operasional
perusahaan teraudit mengandung risiko, manajemen perusahaan harus membentuk
mekanisme untuk mengenali & menghadapi perubahan tersebut. Basis utama
manajemen risiko adalah asesmen risiko. Untuk keberlangsungan usaha, asesmen
risiko merupakan tanggungjawab manajemen yang bersifat integral dan terus
menerus, karena manajemen tak dapat memformulasikan sasaran dengan asumsi
sasaran akan tercapai tanpa risiko atau hambatan.
Contoh
risiko, bahaya, ancaman, atau hambatan mencapai sasaran korporasi adalah:
a)
Pesaing meluncurkan produk baru
b)
Perubahan teknologi menyebabkan jasa atau
produk tidak laku
c)
Manajer andalan tiba-tiba mengundurkan diri
sebagai karyawan
d)
Formula rahasia dicuri dan dijual oleh
karyawan kepada pesaing
e)
KKN menggerus laba dan membuat perusahaan
keropos
What kind of technology is used for the audit?
ReplyDelete