PENDAHULUAN
Latar
Belakang
Audit
teknologi informasi merupakan bentuk pengawasan
dan pengendalian infrastruktur
teknologi informasi secara
menyeluruh dengan tujuan
untuk mengevaluasi sistem pengendalian internal
pada sistem desain
dan efektifitas. Besarnya
resiko atas implementasi teknologi
informasi mendorong pentingnya
dilakukan audit teknologi informasi..
Untuk melakukan
audit teknologi informasi,
sebenarnya tersedia beberapa
perangkat(tools) maupun acuan yang dapat dijadikan referensi dalam
melakukan audit. CobiT – Control Objectives
for Information and
Related Technology ( ISACA and
ITGI, 1992) merupakan sebuah framework atau best practice untuk manajemen
IT yang menyediakan
pengukuran secara umum (generally
accepted measures ), indikator
(indicators), proses (process)
dan pengendalian (control) kepada manajer IT, auditor dan pengguna IT
untuk dapat memberikan manfaat yang maksimal
dalam hal pengembangan
dan implementasi IT khususnya IT
untuk pemerintahan (IT Governance). ISO/IEC (International Standard
Organisation / International Electrotechnical
Commission) juga menerbitkan
sebuah acuan standar
keamanan informasi yang diarahkan
untuk mengembangkan dan
memelihara standar keamanan
dan praktek manajemen dalam
organisasi untuk meningkatkan
ketahanan (reliability) bagi
keamanan informasi dalam organisasi. Walaupun acuan
referensi untuk audit
TI banyak tersedia,
tetapi masih cukup
sulit bagi seorang auditor
terutama bagi pemula
untuk menyusun suatu
program audit karena memang tidak
ada standar yang
pasti dalam pelaksanaan
audit teknologi
informasi. Permasalahan
inilah yang menjadi
perhatian yang kemudian
diangkat dalam penelitian
ini. Dengan mekanisme kerangka
kerja yang dihasilkan
dari penelitian ini
diharapkan perencanaan dan pelaksanaan audit dapat menjadi lebih mudah. Tujuan
dari penelitian ini adalah membuat desain awal (prototype) sistem manajemen pengetahuan yang
sesuai untuk mendukung
kegiatan audit teknologi
informasi serta mengetahui pengaruh
sistem manajemen pengetahuan
terhadap pengelolaan pengetahuan organisasi dengan
studi kasus pada Badan
Pemeriksa Keuangan (BPK)
khususnya pada Biro Teknologi Informasi
yang terkait langsung
dengan pelaksanaan kegiatan
audit teknologi informasi. Penelitian ini
diawali dengan studi
tentang permasalahan yang
dihadapi oleh auditor dalam
melakukan perencanaan audit
teknologi informasi, mengidenti fikasi pengetahuan - pengetahuan yang
dibutuhkan, kemudian dilakukan
analisa untuk membuat kerangka kerja
mekanisme perencanaan audit
dalam suatu sistem
sehingga pengetahuan dalam bentuk
pengalaman pelaksanaan audit
akan terekam membentuk
repositori data yang mendukung manajemen pengetahuan Audit teknologi
informasi merupakan proses
pengumpulan dan evaluasi
bukti – bukti untuk menentukan apakah sistem komputer yang digunakan telah
dapat melindungi aset milik organisasi, mampu
menjaga integritas data,
dapat membantu pencapaian tujuan
organisasi secara efektif serta
dapat menggunakan sumber
daya yang dimilik
secara efisien (Weber,2000).
Hal yang melatarbelakangi pentingnya
dilakukan audit teknologi
informasi adalah adanya resiko - resiko
yang menyertai penerapan dan penggunaan teknologi informasi.
TUJUAN
Adapun
tujuan dilakukan penelitian ini adalah :
1. Mampu Menjelaskan konsep Audit TSI
2. Mampu Menjelaskan metode dan alat audit
TSI
3. Mampu Menejalskan Regulasi Audit TSI
PEMBAHASAN
1. Konsep Audit
Audit
dan kontrol teknologi informasi menjadi penting karena organisasi membutuhkan
acuan, parameter dan kontrol untuk memastikan semua sumber daya perusahaan
menuju pada pencapaian tujuan organisasi secara terintegratif dan komprehensif.
IT Audit dan Kontrol menjelaskan sebuah proses untuk mereview dan memposisikan
IT sebagai instrument penting dalam pencapaian usaha/bisnis korporasi. Audit IT
dan control melakukan proses sistematik, terencana, dan menggunakan keahlian IT
untuk mengetahui tingkat kepatuhan, kinerja, nilai, dan resiko dari
implementasi teknologi. Kemampuan mengetahui pengetahuan dan skill pada IT
Audit dan control selain juga menunjukkan jenjang professional tertentu dalam
professional, juga membuat seseorang akan menganalisa, merancang, membangun,
mengimplementasikan, memonitor dan melakukan pengembangan berkelanjutan TIK
tidak sekedar beroperasi tetapi juga mengikuti kaidah industri dan standar
internasional.
Penerapan
IT audit sendiri dibentuk pada pertengahan 1960-an dan sejak saat itu telah
berubah spesifikasi nya berkali-kali karena perkembangan pesat teknologi dan
penggabungan ke dalam bisnis. Audit teknologi selalu mengacu pada pemeriksaan
kontrol dalam infrastruktur TI. Praktek Audit menjamin kelangsungan bisnis
dengan mengidentifikasi integritas data organisasi, operasi efektivitas dan
tindakan perlindungan untuk melindungi 36 aset IT.
IT
Audit and Control menggambarkan sebuah proses untuk meninjau dan memposisikan
TI sebagai instrumen penting dalam mencapai bisnis / bisnis perusahaan. TI
mengaudit dan mengendalikan proses yang sistematis, terencana, dan menggunakan
keahlian IT untuk mengetahui tingkat kepatuhan, kinerja, nilai, dan risiko
penerapan teknologi. Kemampuan untuk mengetahui pengetahuan dan keterampilan
dalam Audit dan pengendalian TI serta menunjukkan tingkat profesional tertentu
secara profesional, juga membuat seseorang akan menganalisa, merancang,
membangun, menyebarkan, memantau dan pengembangan TIK yang berkelanjutan tidak
hanya beroperasi tetapi juga mengikuti aturan industri dan standar
internasional.
2. Proses Audit
Proses
Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem
informasi berjalan semestinya. Tujuh langkah proses audit sistem informasi
yaitu:
1. Implementasikan sebuah strategi audit
berbasis manajemen resiko serta control practice yang dapat disepakati oleh
semua pihak
2. Tetapkan langkah-langkah audit yang rinci
3. Gunakan fakta atau bahan bukti yang cukup,
handal, relevan, serta bermanfaat
4. Buat laporan beserta kesimpulan berdasarkan
fakta yang dikumpulkan
5. Telah apakah tujuan audit tercapai
6. Sampaikan laporan kepada pihak yang
berkepentingan
7. Pastikan bahwa organisasi
mengimplementasikan managemen resiko serta control practice.
Perencanaan
sebelum menjalankan proses audit dengan metodologi audit yaitu:
1. Audit subject
2. Audit objective
3. Audit Scope
4. Preaudit planning
5. Audit procedures and Steps for data
gathering
6. Evaluasi hasil pengujian dan
pemeriksaan
7. Audit report preparation
Berikut
struktur isi laporan audit secara umumnya(tidak baku):
a) Pendahuluan
b) Kesimpulan umum auditor
c) Hasil audit
d) Rekomendasi
e) Exit interview
3. Teknik Audit
Menurut
Davis, Schiller dan Wheeler (2011) tahap melakukan audit TI adalah :
• Tinjau
struktur organisasi TI secara keseluruhan untuk memastikan bahwa organisasi TI
menyediakan untuk tugas wewenang dan
tanggung jawab atas operasi TI dan menyediakan pembagian tugas yang memadai.
• Meninjau proses perencanaan strategis TI
untuk memastikan bahwa itu sejalan dengan strategis bisnis. Mengevaluasi proses
organisasi TI untuk memantau kemajuan terhadap rencana strategis.
• Menentukan apakah teknologi dan aplikasi
strategi dan roadmap ada, dan mengevaluasi proses perencanaan teknis jangka
panjang.
• Tinjau indikator kinerja dan pengukuran untuk
IT. Memastikan bahwa proses dan metrik pada tempatnya ( dan disetujui oleh para
pemangku kepentingan utama) untuk mengukur kinerja kegiatan sehari-hari dan pelacakan
kinerja terhadap SLA, anggaran, dan persyaratan operasional lainnya.
•
Emenentukzvaluasi standar untuk mengatur pelaksanaan proyek IT dan untuk
memastikan kualitas produk yang dikembangkan atau diperoleh oleh organisasi TI.
pMenentukan bagaimana standar tersebut dikomunikasikan dan ditegakkan.
•
Pastikan bahwa kebijakan keamanan TI ada dan memberikan persyaratan yang
memadai untuk keamanan lingkungan. tentukan bagaimana kebijakan tersebut
dikomunikasikan dan bagaimana kepatuhan dimonitor dan ditegakkan.
• Meninjau dan mengevaluasi proses penilaian
risiko di tempat bagi organisasi TI.
• Tinjau dan evaluasi proses untuk memastikan
bahwa karyawan IT di perusahaan memiliki keterampilan dan pengetaguan yang
diperlukan untuk melakukan pekerjaan mereka.
•
Tinjau dan evaluasi kebijakan dan proses untuk menetapkan kepemilikan data
perusahaan, mengelompokkan data, melindungi data sesuai dengan klarifikasinya,
dan mendefinisikan life cycle data.
• Tinjau dan evaluasi proses untuk memastikan
bahwa end user lingkungan TI memiliki kemampuan untuk melaporkan masalah,
secara tepat terlibat dalam keputusan TI, dan puas dengan layanan yang
diberikan oleh TI.
• Meninjau dan mengevaluasi proses untuk
mengelola layanan pihak ketiga, memastikan bahwa peran dan tanggung jawab
mereka didefinisikan dengan jelas dan pemantauan kinerja mereka.
• Meninjau dan mengevaluasi proses proses
untuk mengontrol akses login non karyawan.
• Meninjau dan mengevaluasi proses untuk
memastikan bahwa perusahaan telah memenuhi lisensi perangka lunak yang berlaku.
4.
Regulasi Audit
Dengan
dominannya penggunaan komputer dalam
membantu kegiatan operasional diberbagai perusahaan, maka diperlukan
standar-standar kontrol sebagai alat pengendali internal untuk menjamin bahwa
data elektronik yang diproses adalah benar. Beberapa jenis standar kontrol
yaitu:
1. COSO (Comitte Of Sponsoring Organizationof
the treadway commission’s)
Yaitu
dibentuk pada tahun 1985 dengan tujuan untuk menyatukan pandangan dalam
komunitas bisnis berkaitan dengan isu-isu seputar pelaporan keuangan yang
mengandung fraud (penggelapan).Tahun 1992, COSO menyusun dan Menerbitkan
Internal Control Integrated Framework yang berisi rumusan definisi pengendalian
intern, pedoman penilaian, serta perbaikan terhadap sistem pengendalian
intern.Tahun 2004, COSO mengembangkan Internal Control Integrated Framework
dengan menambah cakupan tentang manajemen
dan strategi resiko yang disebut ERM (Enterprise Risk Manajement).
Pencapaian
tujuan pengendalian intern yang didefenisikan COSO:
a. Efektifitas dan efisiensi aktivitas operasi
b. Kehandalan pelaporan keuangan
c. Ketaatan terhadap hukum dan peraturan yang
berlaku
d. Pengamanan aset entitas.
2. COBIT (Control Objectives for Information
and Related Technology)
Yaitu
alat pengendalian untuk informasi dan tekhnology terkait dan merupakan standar
terbuka yang dikembangkan oleh ISACA melalui ITGI (Information and Technology
Governance Institute)pada tahun 1992. Tujuan dari COBIT yaitu untuk
mengembangkan , melakukan riset dan mempublikasikan suatu standar teknologi
informasi yang diterima umum dan selalu up to date untuk digunakan dalam
kegiatan bisnis sehari-hari.
3. SARBOX (Sarbanes-Oxley Act)
Yaitu
merupakan peraturan yang ditandatangani Presiden George W.Bush tanggal 30 juli
2012 untuk mereformasi dunia pasarmodal Amerika Serikat. Tujuan SARBOX yaitu:
a. Meningkatkan akuntabilitas manajemen dengan
memastikan bahwa manajemen akuntan dan
pengacara memiliki tanggung jawab atas informasi keuangan yang menjadi
tanggung jawab mereka.
b. Meningkatkan pengungkapan dengan berusaha
untuk menyatakan bahwa beberapa kejadian kunci dan transaksi luar biasa tidak
mendapatkan pengawasan hanya karena tidak disyaratkan untuk diungkap di publik.
c. Meningkatkan pengawasan rutin yang lebih
intensif oleh SEC.
d. Meningkatkan akuntabilitas akuntan.
4. ISO 17799
Yaitu
standar untuk sistem manajemen keamanan informasi meliputi dokomen kebijakan
keamanan informasi, alokasi keamanan informasi tanggung-jawab,menyediakan semua
para pemakai dengan pendidikan dan pelatihan didalam keamanan informasi,
mengembangkan suatu sistem untuk pelaporan peristiwa keamanan, memperkenalkan
virus kendali, mengembangkan suatu rencana kesinambungan bisnis, mengendalikan
pengkopian perangkat lunak kepemilikan, surat pengantar arsip organisatoris, mengikuti
kebutuhan perlindungan data, dan menetapkan prosedure untuk mentaati kebijakan
keamanan.
5. BASEL II
BASEL
II dibentuk yaitu sebagai penerapan kerangka pengukuran bagi risiko kredit,
sistem ini mensyaratkan Bank-bank untuk
memisahkan eksposurnya ke dalam kelas yang lebih luas, yang menggambarkan
kesamaan tipe debitur(hutang).
5. Standar
dan Kerangka Kerja Audit
1. Kerangka untuk Audit Keamanan Komputer
a. Jenis-jenis Kesalahan dan Penipuan:
· Pencurian atau kerusakan yang tidak
disengaja atas hardware dan file
· Kehilangan, pencurian, atau akses tidak sah
ke program, file data, dan sumber daya sistem lainnya
·
Modifikasi atau penggunaan secara tidak
sah program dan file data
b. Jenis-jenis Prosedur Pengendalian :
· Rencana keamanan/perlindungan informasi
· Pembatasan atas akses secara fisik ke
perlengkapan komputer
· Pengendalian penyimpanan dan pengiriman data
seperti enkripsi
· Prosedur perlindungan dari virus
· Menggunakan firewall
· Rencana pemulihan dari bencana
· Pemeliharaan pencegahan
· Asuransi sistem informasi
c. Prosedur Audit: Tinjauan atas Sistem
· Menginspeksi lokasi komputer
· Wawancara dengan personil sistem informasi
mengenai prosedur keamanan
· Meninjau kebijakan dan prosedur
· Memeriksa kebijakan asuransi apabila terjadi
bencana atas sistem informasi
· Memeriksa daftar akses sistem
· Memeriksa rencana pemulihan dari bencana
d. Prosedur Audit: Uji Pengendalian
· Mengamati prosedur akses ke lokasi komputer
· Memverifikasi bahwa terdapat pengendalian
dan pengendalian tersebut berfungsi seperti dengan yang diharapkan
· Menginvestigasi berbagai kesalahan atau
masalah untuk memastikan mereka ditangani dengan benar
· Memeriksa berbagai uji yang sebelumnya telah
dilaksanakan
e. Pengendalian Pengimbang:
· Kebijakan yang baik dalam hal personalia
· Penggunaan pengendalian secara efektif
· Pemisahan pekerjaan yang tidak boleh
disatukan
2. Kerangka untuk Audit Pengembangan Program
a. Jenis-jenis Kesalahan dan Penipuan:
· Kesalahan pemrograman yang tidak disengaja
· Kode program yang tidak sah
b. Jenis-jenis Prosedur Pengendalian :
· Otorisasi manajemen atas pengembangan
program dan persetujuannya untuk spesifikasi pemrograman
· Persetujuan pemakai atas spesifikasi
pemrograman
· Pengujian keseluruhan atas program yang baru
· Pengujian penerimaan oleh pemakai
· Dokumentasi sistem yang lengkap
c. Prosedur Audit : Tinjauan atas sistem :
· Tinjauan independen dan bersaman atas proses
pengembangan sistem
· Tinjauan prosedur dan kebijakan
pengembangan/perolehan sistem
· Tinjauan otorisasi sistem dan prosedur
persetujuannya
· Tinjauan atas standar evaluasi pemrograman
· Tinjauan atas standar dokumentasi program
· Tinjauan atas pengujian program dan prosedur
persetujuan pengujian
d. Prosedur Audit : Uji Pengendalian
· Wawancara dengan pemakai mengenai
keterlibatan mereka dalam perolehan/pengembangan serta implementasi sistem
· Tinjauan atas notulen rapat tim pengembangan
untuk mendapat bukti keterlibatan
· Memverifikasi poin-poin penting penolakan
manajemen dan pemakai dalam proses pengembangan
· Tinjauan atas spesifikasi pengujian, data
uji, dan hasil pengujian sistem
e. Pengendalian Pengimbang:
· Pengendalian pemrosesan yang kokoh (kuat)
· Pemrosesan secara independen data uji oleh
auditor
6. Manajemen
Resiko
Beberapa
tahun yang lalu, firewall dan perangkat lunak antivirus adalah sebagian besar
organisasi digunakan untuk mengurangi risiko TI. Namun, dalam beberapa tahun
terakhir, lanskap ancaman telah berubah sangat. Saat ini, ancaman orang dalam
lebih terasa, ribuan variannya malware didistribusikan, dan pemerintah telah
memberlakukan undang-undang yang mewajibkan implementasi berbagai kontrol.
Akibatnya, proses manajemen risiko formal sekarang harus menjadi bagian dari
setiap program audit TI.
1. Tipe-tipe resiko terdiri dari:
a. Resiko pengembangan
b. Resiko Kesalahan
c. Resiko Terhentinya Bisnis
d. Resiko Pengungkapan Informasi
e. Resiko Penggelapan
2. Proses penilaian resiko dapat dilakukan
melalui tahap-tahap berikut ini:
a. Identifikasi objek (asset) yang akan
dilindungi
b. Penentuan ancaman yang dihadapi
c. Menetapkan peluang kejadian
d. Menghitung besarnya dampak dan kelemahan
sistem
e. Menilai alat-alat pengamanan yang ada
f. Rekomendasi dan implementasi
3. Manfaat Manajemen Risiko
Potensi
pengelolaan risiko TI masih dirahasiakan. Beberapa tahun, banyak organisasi
telah meningkatkan efektivitas pengendalian TI mereka atau mengurangi biaya
mereka dengan menggunakan analisis risiko dan praktik manajemen risiko yang
baik. Ketika manajemen memiliki pandangan perwakilan tentang eksposur TI
organisasi, ia dapat melakukannya mengarahkan sumber daya yang tepat untuk
mengurangi area risiko tertinggi daripada pengeluaran sumber daya langka di
daerah yang memberikan sedikit atau tidak ada pengembalian investasi (ROI).
Jaring Hasilnya adalah tingkat pengurangan risiko yang lebih tinggi untuk
setiap dolar yang dikeluarkan.
4. Manajemen Risiko dari Perspektif Eksekutif
Bisnis
adalah semua tentang risiko dan penghargaan. Eksekutif diharuskan menimbang
manfaat investasi dengan risiko yang terkait dengannya. Akibatnya, sebagian
besar telah menjadi cukup mahir mengukur risiko melalui analisis ROI, indikator
kinerja utama, dan segudang alat analisis keuangan dan operasional lainnya.
Sukses dalam mengelola. Risiko TI organisasi, Anda harus memahami bahwa
eksekutif melihat risiko finansial istilah. Akibatnya, semacam analisis
keuangan biasanya diperlukan untuk berbisnis kasus untuk investasi di kontrol
tambahan.
5. Mengatasi Resiko
Resiko
dapat diatasi dengan tiga cara: menerimanya, mengurangi, atau mentransfernya.
Yang sepantasnya metode sepenuhnya tergantung pada nilai finansial dari risiko
versus investasi diperlukan untuk menguranginya ke tingkat yang dapat diterima
atau mentransfernya ke pihak ketiga. Sebagai tambahannya Kontrol preskriptif,
peraturan seperti HIPAA / HITECH dan PCI mengharuskan organisasi tersebut
menilai risiko terhadap informasi yang dilindungi dan menerapkan pengendalian
yang wajar mengurangi risiko ke tingkat yang dapat diterima.
6. Penerimaan Risiko
Nilai
finansial suatu risiko seringkali lebih kecil daripada biaya mitigasi atau
transfer. Dalam hal ini, pilihan yang paling masuk akal adalah menerima risiko.
Namun, jika organisasi memilih untuk menerima risiko, itu harus menunjukkan
bahwa risiko memang dinilai dan mendokumentasikan alasan di balik keputusan
tersebut.
7. Transfer Resiko
Industri
asuransi didasarkan pada transferensi risiko. Organisasi sering membeli
asuransi untuk menutupi biaya pelanggaran keamanan atau bencana sistem outage.
Ini penting untuk perhatikan bahwa perusahaan asuransi yang menawarkan jenis
kebijakan ini sering mewajibkan kebijakan tersebut pemegang menerapkan kontrol
tertentu. Gagal mematuhi persyaratan control dapat membatalkan kebijakan Bila
pengelolaan sistem TI dialihkan ke pihak ketiga, tingkat tertentu risiko dapat
ditransfer secara kontrak ke pihak ketiga juga. Dalam kasus ini, itu adalah
tanggung jawab organisasi meng-outsource sistemnya untuk memverifikasi bahwa
risiko TI berkurang ke tingkat yang dapat diterima dan bahwa perusahaan yang
mengelola sistemnya memiliki keuangan Kekuatan untuk menutupi kerugian harus
terjadi.
DAFTAR PUSTAKA
·
Audit & Kontrol Teknologi Informasi,
Mardhani Riasetiawan, 2016
·
Chris
Davis, Mike Schiller,
and Kevin Wheeler
(2007), IT Auditing Using
Controls To Protect Information
Asset, McGraw Hill, USA
