A.
Konsep Audit
Audit dan kontrol teknologi
informasi menjadi penting karena organisasi membutuhkan acuan, parameter dan
kontrol untuk memastikan semua sumber daya perusahaan menuju pada pencapaian
tujuan organisasi secara terintegratif dan komprehensif. IT Audit dan Kontrol
menjelaskan sebuah proses untuk mereview dan memposisikan IT sebagai instrument
penting dalam pencapaian usaha/bisnis korporasi. Audit IT dan control melakukan
proses sistematik, terencana, dan menggunakan keahlian IT untuk mengetahui
tingkat kepatuhan, kinerja, nilai, dan resiko dari implementasi teknologi.
Kemampuan mengetahui pengetahuan dan skill pada IT Audit dan control selain
juga menunjukkan jenjang professional tertentu dalam professional, juga membuat
seseorang akan menganalisa, merancang, membangun, mengimplementasikan,
memonitor dan melakukan pengembangan berkelanjutan TIK tidak sekedar beroperasi
tetapi juga mengikuti kaidah industri dan standar internasional.
B. Proses Audit
Proses Audit dalam konteks teknologi
informasi adalah memeriksa apakah sistem informasi berjalan semestinya. Tujuh
langkah proses audit sistem informasi yaitu:
1.
Implementasikan sebuah strategi
audit berbasis manajemen resiko serta control practice yang dapat disepakati
oleh semua pihak
2. Tetapkan langkah-langkah audit yang rinci
3. Gunakan fakta atau bahan bukti yang cukup, handal, relevan,
serta bermanfaat
4. Buat laporan beserta kesimpulan berdasarkan fakta yang
dikumpulkan
5. Telah apakah tujuan audit tercapai
6. Sampaikan laporan kepada pihak yang berkepentingan
7. Pastikan bahwa organisasi mengimplementasikan
managemen resiko serta control practice.
C.
Teknik Audit
1. Teknik audit yang dapat digunakan untuk pengujian
fisik adalah :
·Observasi/pengamatan
Peninjauan
dan pengamatan atas suatu objek secara hati-hati, ilmiah, dan berkesinambungan
selama kurun waktu tertentu untuk membuktikan suatu keadaan atau masalah.
·Inventarisasi/opname
Pemeriksaan
fisik dengan menghitung fisik barang, menilai kondisinya dan membandingkan
dengan saldo menurut buku, kemudian mencari sebab-sebab terjadinya perbedaan
apabila ada. hasil opname biasanya dituangkan dalam suatu berita acara.
·Inspeksi
Meneliti
secara langsung ketempat kejadian, yang lazim pula disebut on the spot
inspection, yang dilakukan secara rinci dan teliti.
2. Teknik audit yang digunakan
untuk mengumpulkan bukti dokumen adalah :
· Verifikasi
Pengujian
secara rinci dan teliti tentang kebenaran, ketelitian perhitungan, kesahihan,
pembukuan, kepemilikan, dan eksistensi suatu dokumen.
·
Cek
Menguji
kebenaran atau keberadaan sesuatu dengan teliti.
·
Uji
atau Test
Uji atau
test adalah penelitian secara mendalam terhadap hal-hal secara esensial atau
penting.
·
Footing
Menguji
kebenaran penjumlahan subtotal dan total dari atas ke bawah. Footing dilakukan
terhadap data yang disediakan audit, tujuan teknik footing adalah untuk
menentukan apakah data atau laporan yang disediakan audit dapat dibenarkan
ketepatan perhitungannya.
·
Vouching
Menelusuri
suatu informasi atau data dalam suatu dokumen dari pencatatan menuju kepada
adanya bukti pendukung atau menelusuri mengikuti prosedur yang berlaku dari
hasil menuju awal kegiatan.
·
Telusuri
Teknik
audit dengan menelusuri suatu bukti transaksi atau kejadian menuju ke penyajian
dalam suatu dokumen.
·
Scanning
Penelaahan
secara umum dan dilakukan dengan cepat tetapi teliti, untuk menemukan hal-hal
yang tidak lazim atas suatu informasi.
·
Rekonsiliasi
Mencocokan
dua data yang terpisah, mengenai hal yang sama dikerjakan oleh bagian yang
berbeda.
3. Teknik-teknik audit yang dapat digunakan untuk mengumpulkan
bukti analisis adalah
· Analisis memecah atau mengurai
data informasi ke dalam unsur-unsur yang lebih kecil atau bagian-bagian, sehingga dapat
diketahui pola hubungan antar unsur atau unsur penting tersembunyi. Teknik ini
sering disebut bencmarking membandingkan dengan unit lain yang sejenis.
·
Evaluasi merupakan
cara memperoleh suatu kesimpulan dengan mencari pola hubungan atau dengan
menghubungkan atau merakit berbagai informasi yang telah diperoleh baik bukti
intern maupun ekstern.
· Investigasi adalah
suatu upaya untuk mengupas secara intensif suatu permasalahan melalui
penjabaran, penguraian, atau penelitian secara mendalam. tujuan yaitu
memastikan apakah indikasi yang diperoleh dari teknik audit yang lainnya
dilakukanmemang benar terjadi.
· Pembandingan yaitu
membandingkan data dari satu unit kerja dengan unit kerja lain, atas hal sama
dan periode yang sama atau hal yang sama dengan periode yang berbeda kemudian
ditarik kesimpulan.
4. Teknik
audit untuk mengumpulkan bukti keterangan adalah :
· Konfirmasi : adalah memperoleh
bukti sebagai kepastian bagi auditor, dengan cara mendapatkan mendapatkan
informasi yang sah dari pihak luar audit. konfirmasi terdapat konfirmasi
positif yaitu konfirmasi yang harus dijawab secara tertulis oleh pihak luar dan
konfirmasi negatif merupakan konfirmasi yang meminta jawaban tertulis bila data
yang dikonfirmasi berbeda.
· Permintaan
informasi : Permintaan informasi yang dilakukan dengan tujuan menggali
informasi tertentu berbagai pihak yang berkompeten. hal-hal yang perlu
diperhatikan yaitu sumber informasi.
D.
Regulasi Audit TSI
Uji kepatutan (compliance test) dilakukan dengan menguji
kepatutan Prooses TI dengan melihat kepatutan proses yang berlangsung terhadap
standard dan regulasi yang berlaku. Kepatutan tersebut dapat diketahui dari
hasil pengumpulan bukti. Adapun langkah-langkah yang dilakukan dalam uji
tersebut antara lain akan dipaparkan sebagaimana berikut :
1. Tahapan Pengidentifikasian Objek yang Diaudit
Tujuan dari
langkah ini agar pengaudit mengenal lebih jauh terkait dengan hal-hal yang
harus dipenuhi dalam objektif kontrol yang membawa kepada penugasan kepada
pihak-pihak yang bertanggung jawab.
2. Tahapan Evaluasi Audit
Tujuan dari
tahapan ini adalah untuk mendapatkan prosedur tertulis dan memperkirakan jika
prosedur yang ada telah menghasilkan struktur kontrol yang efektif. Uji
kepatutan yang dilakukan pada tahapan ini yaitu mengevaluasi pemisahan tanggung
jawab yang terkait dengan pengelolaan SI/TI.
E. Standard dan
Kerangka Kerja Audit
Standar Audit
SI tidak lepas dari standar professional seorang auditor SI. Standar
professional adalah ukuran mutu pelaksanaan kegiatan profesi yang menjadi
pedoman bagi para anggota profesi dalam menjalankan tanggungjawab profesinya. Standar
profesional adalah batasan kemampuan (knowledge, technical skill and
professional attitude) minimal yang harus dikuasai oleh seseorang individu
untuk dapat melakukan kegiatan profesionalnya pada masyarakat secara mandiri
yang aturan-aturannya dibuat oleh organisasi profesi yang bersangkutan.
Beberapa diantaranya adalah:
• ISACA : IT Standards, Guidelines, and Tools and Techniques for
Audit and Assurance and Control Professionals
• IIA : International
Professional Practices Framework / IPPF
• IASII
: Standar Audit
Sistem Informasi
• BI : Standar
Pelaksanaan Fungsi Audit Intern Bank / SPFAIB
• BPPT : Framework,
Kode Etik & Standar, Pedoman Umum Audit Teknologi
Berikut
ini adalah standar audit TSI Menurut ISACA :
S1 Audit
Charter
• Tujuan, tanggung jawab, kewenangan dan akuntabilitas dari fungsi audit
sistem informasi atau penilaian audit sistem informasi harus didokumentasikan
dengan pantas dalam sebuah audit charter atau perjanjian tertulis.
• Audit charter atau perjanjian tertulis harus mendapat persetujuan dan
pengabsahan pada tingkatan yang tepat
dalam organisasi.
S2 Independence
• Professional
Independence
• Dalam semua
permasalahan yang berhubungan dengan audit, auditor sistem informasi harus independen terhadap auditee
baik dalam sikap maupun penampilan.
• Organisational
Independence
• Fungsi audit
sistem informasi harus independen tehadap area atau aktivitas yang sedang
diperiksa agar tujuan penilaian audit terselesaikan.
S3 Professional
Ethics and Standards
• Auditor sistem informasi harus tunduk pada kode etika
profesi dari ISACA dalam melakukan tugas audit.
• Auditor sistem
informasi harus patuh pada penyelenggarakan profesi, termasuk observasi
terhadap standar audit profesional yang dipakai dalam melakukan tugas audit.
S4 Professional
Competence
• Auditor sistem informasi harus seorang profesional yang
kompeten, memiliki keterampilan dan
pengetahuan untuk melakukan tugas audit.
• Auditor sistem
informasi harus mempertahankan kompetensi profesionalnya secara terus menerus
dengan melanjutkan edukasi dan training.
S5 Planning
• Auditor sistem
informasi harus merencanakan peliputan audit sistem informasi sampai pada
tujuan audit dan tunduk pada standar audit profesional dan hukum yang berlaku.
• Audit sistem
informasi harus membangun dan mendokumentasikan resiko yang didasarkan pada
pendekatan audit.
S6 Performance
of Audit Work
• Pengawasan-staff
audit sistem informasi harus diawasi untuk memberikan keyakinan yang masuk akal
bahwa tujuan audit telah sesuai dan standar audit profesional yang ada.
• Bukti-Selama
berjalannya audit, auditor sistem informasi harus mendapatkan bukti yang cukup,
layak dan relevan untuk mencapai tujuan audit. Temuan audit dan kesimpulan
didukung oleh analisis yang tepat dan interprestasi terhadap bukti-bukti yang
ada.
• Dokumentasi-Proses audit harus didokumentasikan, mencakup pelaksanaan kerja
audit dan bukti audit untuk mendukung temuan dan kesimpulan auditor sistem
informasi.
S7 Reporting
• Auditor sistem
informasi harus menyajikan laporan, dalam pola yang tepat, atas penyelesaian
audit.
• Laporan audit
harus berisikan ruang lingkup, tujuan, periode peliputan, waktu dan tingkatan
kerja audit yang dilaksanakan.
• Laporan audit
harus berisikan temuan, kesimpulan dan rekomendasikan serta berbagai pesan,
kualifikasi atau batasan dalam ruang lingkup bahwa auditor sistem informasi
bertanggung jawab terhadap audit.
• Auditor sistem
informasi harus memiliki bukti yang cukup dan tepat untuk mendukung hasil pelaporan.
F. Manajemen
Resiko
Didalam TSI, hal-hal yang perlu diperhatikan salah
satunya adalah penilaian resiko. Konsep resiko dalam hal ini meliputi ancaman,
kelemahan dan dampak dari penilaian resiko. Ancaman yang sering terjadi salah
satunya adalah adanya kompleksitas dari TSI itu sendiri. Berbagai macam elemen
dan variasi yang terdapat dalam TSI mewarnai perkembangan TSI kedepannya.
Tipe-tipe resiko terdiri dari:
1. Resiko pengembangan
2. Resiko Kesalahan
3. Resiko Terhentinya Bisnis
4. Resiko Pengungkapan Informasi
5. Resiko Penggelapan
1. Resiko pengembangan
2. Resiko Kesalahan
3. Resiko Terhentinya Bisnis
4. Resiko Pengungkapan Informasi
5. Resiko Penggelapan
Proses penilaian resiko dapat dilakukan melalui tahap-tahap berikut ini:
a. Identifikasi objek (asset) yang akan dilindungi
b. Penentuan ancaman yang dihadapi
c. Menetapkan peluang kejadian
d. Menghitung besarnya dampak dan kelemahan sistem
e. Menilai alat-alat pengamanan yang ada
f. Rekomendasi dan implementasi
Sumber:
IT Auditing : Using controls to protect
information assets, Chris Davis, Mike Sciller, McGrowHill, 2011.
Audit
dan Kontrol Teknologi Informasi, Mardhani Riasetiawan, Inside technology
Publisher, 2016.
No comments:
Post a Comment