AUDIT TEKNOLOGI SISTEM INFORMASI #
AUDIT TEKNOLOGI SISTEM INFORMASI
A. Pengertian Audit IT
Audit teknologi informasi atau information systems (IS) audit adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Audit teknologi informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya.
B. Sejarah singkat Audit IT
Audit IT yang pada awalnya lebih dikenal sebagai EDP Audit (Electronic Data Processing) telah mengalami perkembangan yang pesat. Perkembangan Audit IT ini didorong oleh kemajuan teknologi dalam sistem keuangan, meningkatnya kebutuhan akan kontrol IT, dan pengaruh dari komputer itu sendiri untuk menyelesaikan tugas-tugas penting. Pemanfaatan teknologi komputer ke dalam sistem keuangan telah mengubah cara kerja sistem keuangan, yaitu dalam penyimpanan data, pengambilan kembali data, dan pengendalian. Sistem keuangan pertama yang menggunakan teknologi komputer muncul pertama kali tahun 1954. Selama periode 1954 sampai dengan 1960-an profesi audit masih menggunakan komputer. Pada pertengahan 1960-an terjadi perubahan pada mesin komputer, dari mainframe menjadi komputer yang lebih kecil dan murah.
Pada tahun 1968, American Institute of Certified Public Accountants (AICPA) ikut mendukung pengembangan EDP auditing. Sekitar periode ini pula para auditor bersama-sama mendirikan Electronic Data Processing Auditors Association (EDPAA). Tujuan lembaga ini adalah untuk membuat suatu tuntunan, prosedur, dan standar bagi audit EDP. Pada tahun 1977, edisi pertama Control Objectives diluncurkan. Publikasi ini kemudian dikenal sebagai Control Objectives for Information and Related Technology (CobiT). Tahun 1994, EDPAA mengubah namanya menjadi Information System Audit (ISACA). Selama periode akhir 1960-an sampai saat ini teknologi TI telah berubah dengan cepat dari mikrokomputer dan jaringan ke internet. Pada akhirnya perubahan-perubahan tersebut ikut pula menentukan perubahan pada audit IT.
C. Jenis Audit IT
1. Sistem dan aplikasi.
Memeriksa apakah sistem dan aplikasi sesuai dengan kebutuhan organisasi, berdayaguna, dan memiliki kontrol yang cukup baik untuk menjamin keabsahan, kehandalan, tepat waktu, dan keamanan pada input, proses, output pada semua tingkat kegiatan sistem.
2. Fasilitas pemrosesan informasi.
Memeriksa apakah fasilitas pemrosesan terkendali untuk menjamin ketepatan waktu, ketelitian, dan pemrosesan aplikasi yang efisien dalam keadaan normal dan buruk.
3. Pengembangan sistem.
Memeriksa apakah sistem yang dikembangkan mencakup kebutuhan obyektif organisasi.
4. Arsitektur perusahaan dan manajemen TI
Memeriksa apakah manajemen TI dapat mengembangkan struktur organisasi dan prosedur yang menjamin kontrol dan lingkungan yang berdaya guna untuk pemrosesan informasi.
5. Client/Server, telekomunikasi, intranet, dan ekstranet
Memeriksa apakah kontrol-kontrol berfungsi pada client, server, dan jaringan yang menghubungkan client dan server.
Berikut
penjelasan Berbagai Jenis Audit Sistem
Informasi :
Ø
Pendekatan Umum Pada Audit System Informasi
Hampir semua pendekatan untuk sebuah audit system informasi mengikuti beberapa variasi dari sebuah struktur tiga tahap. Tahap pertama terdiri atas kajian ulang awal dan evaluasi wilayah yang akan diaudit dan persiapan rencana audit, yang bertujuan menetukan serangkaian tindakan yang akan dilakukan audit dan meliputi keputusan-keputusan yang berkaitann dengan wilayah wilayah tertentu yang akan diinvestigasi, penggunaan tenaga kerja audit, teknologi audit yang akan digunakan, dan pengembangan anggaran waktu dan atau biaya audit itu sendiri.
Tahap kedua dalam audit sitem informasi adalah adalah kaji ulang dan evaluasi terperinci. Dalam tahap audit ini, upaya diarahkan pada penemuan fakta dalam bidang atau wilayah yang dipilih untuk di audit.
Tahap ketiga dalam audit adalah pengujian. Tahap pengujian sebuah audit menghasilkan bukti kepatuhan terhadap prosedur yang telah ditetapkan. Uji kepatuhan dilakukan untuk menyediakan jaminan kepastian bahwa ada pengendalian internal dan ia lakukan sesuai yang telah dituliskan dalam dokumentasi sistem.
Hampir semua pendekatan untuk sebuah audit system informasi mengikuti beberapa variasi dari sebuah struktur tiga tahap. Tahap pertama terdiri atas kajian ulang awal dan evaluasi wilayah yang akan diaudit dan persiapan rencana audit, yang bertujuan menetukan serangkaian tindakan yang akan dilakukan audit dan meliputi keputusan-keputusan yang berkaitann dengan wilayah wilayah tertentu yang akan diinvestigasi, penggunaan tenaga kerja audit, teknologi audit yang akan digunakan, dan pengembangan anggaran waktu dan atau biaya audit itu sendiri.
Tahap kedua dalam audit sitem informasi adalah adalah kaji ulang dan evaluasi terperinci. Dalam tahap audit ini, upaya diarahkan pada penemuan fakta dalam bidang atau wilayah yang dipilih untuk di audit.
Tahap ketiga dalam audit adalah pengujian. Tahap pengujian sebuah audit menghasilkan bukti kepatuhan terhadap prosedur yang telah ditetapkan. Uji kepatuhan dilakukan untuk menyediakan jaminan kepastian bahwa ada pengendalian internal dan ia lakukan sesuai yang telah dituliskan dalam dokumentasi sistem.
Ø
Audit Aplikasi Sistem Informasi
Pengendalian aplikasi dibagi menjadi tiga wilayah umum, yaitu input, pemrosesan, output. Audit aplikasi biasanya meliputi pengkajian ulang pengendalian yang ada disetiap wilayah tersebut. Teknologi khusus yang digunakan akan tergantung pada kecerdasan dan sumber daya yang dimiliki auditor. Data pengujian, ITF atau simulasi pararel dapat digunakan untuk pengendalian uji pemrosesan.
Pengendalian aplikasi dibagi menjadi tiga wilayah umum, yaitu input, pemrosesan, output. Audit aplikasi biasanya meliputi pengkajian ulang pengendalian yang ada disetiap wilayah tersebut. Teknologi khusus yang digunakan akan tergantung pada kecerdasan dan sumber daya yang dimiliki auditor. Data pengujian, ITF atau simulasi pararel dapat digunakan untuk pengendalian uji pemrosesan.
Ø
Audit
Pengembangan Sistem Aplikasi
Audit pengembangan sistem diarahkan pada aktivitas analisis sistem dan programmer yang mengembangkan dan memodifikasi program-program aplikasi, file, prosedur-prosedur yang terkait. Pengendalian proses pengembangan sistem mempengaruhi keandalan program program aplikasi yang dikembangkan. Tiga wilayah umum yang menjadi perhatian audit dalam proses pengembangan sistem adalah standar pengembangan system, manajemen proyek, dan pengawasan perubahan program. Teknik audit yang sering digunakan untuk masing masing area tersebut adalah kaji ulang dan pengujian dokumentasi-dokumentasi yang terkait.
Standar pengembangan system adalah dokumentasi yang berkaitan dengan desain, pengembangan, dan implementasi system aplikasi.
Pengembangan manajemen proyek mengukur dan mengendalikan kemajuan selama pengembangan system aplikasi. Manajemen proyek terdiri atas perencanaan proyek dan pengawasan proyek. Rencana proyek adalah pernyataan formal rencana kerja rinci dari proyek tersebut.
Audit pengembangan sistem diarahkan pada aktivitas analisis sistem dan programmer yang mengembangkan dan memodifikasi program-program aplikasi, file, prosedur-prosedur yang terkait. Pengendalian proses pengembangan sistem mempengaruhi keandalan program program aplikasi yang dikembangkan. Tiga wilayah umum yang menjadi perhatian audit dalam proses pengembangan sistem adalah standar pengembangan system, manajemen proyek, dan pengawasan perubahan program. Teknik audit yang sering digunakan untuk masing masing area tersebut adalah kaji ulang dan pengujian dokumentasi-dokumentasi yang terkait.
Standar pengembangan system adalah dokumentasi yang berkaitan dengan desain, pengembangan, dan implementasi system aplikasi.
Pengembangan manajemen proyek mengukur dan mengendalikan kemajuan selama pengembangan system aplikasi. Manajemen proyek terdiri atas perencanaan proyek dan pengawasan proyek. Rencana proyek adalah pernyataan formal rencana kerja rinci dari proyek tersebut.
Ø
Audit Pusat Layanan Komputer
Pengendalian umum yang mengatur operasi pusat layanan computer melengkapi pengendalian aplikasi yang dikembangkan dalam sistem aplikasi tertentu. Pengendalian umum yang mengatur operasi computer juga membantu memastikan ketersediaan yang berkesinambungan atas sumber daya pusat pengendalian lingkungan..
Audit dapat pula dilakukan dalam beberapa bidang. Salah satunya adalah yang berkaitan dengan pengendalian lingkungan. System mainframe yang yang berkaitan dengan pusat layanan komputer besar biasanya memiliki persyaratan suhu dan kelembapan khusus. Ada beberapa hal yang harus diperhatikan dan karenanya pengendalian juga harus diperhatikan untuk mempertahankan kestabilan sumber daya dan juga menyediakan sebuah alternative sumber daya jika terjadi kegagalan.
Pengendalian manajemen atas operasi pusat layanan computer juga bidang yang memerlukan perhatian. Area ini meliputi teknik teknik yang digunakan untuk menganggarkan factor factor beban perlengkapan, statistic penggunaan proyek, anggaran dan kebutuhan perencanaan staf dan rencana akuisisi perlengkapan
Pengendalian umum yang mengatur operasi pusat layanan computer melengkapi pengendalian aplikasi yang dikembangkan dalam sistem aplikasi tertentu. Pengendalian umum yang mengatur operasi computer juga membantu memastikan ketersediaan yang berkesinambungan atas sumber daya pusat pengendalian lingkungan..
Audit dapat pula dilakukan dalam beberapa bidang. Salah satunya adalah yang berkaitan dengan pengendalian lingkungan. System mainframe yang yang berkaitan dengan pusat layanan komputer besar biasanya memiliki persyaratan suhu dan kelembapan khusus. Ada beberapa hal yang harus diperhatikan dan karenanya pengendalian juga harus diperhatikan untuk mempertahankan kestabilan sumber daya dan juga menyediakan sebuah alternative sumber daya jika terjadi kegagalan.
Pengendalian manajemen atas operasi pusat layanan computer juga bidang yang memerlukan perhatian. Area ini meliputi teknik teknik yang digunakan untuk menganggarkan factor factor beban perlengkapan, statistic penggunaan proyek, anggaran dan kebutuhan perencanaan staf dan rencana akuisisi perlengkapan
D. Metodologi Audit IT
Dalam praktiknya, tahapan-tahapan dalam audit IT tidak berbeda dengan audit pada umumnya, sebagai berikut :
1. Tahapan Perencanaan.
Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar obyek yang akan diperiksa sehingga menghasilkan suatu program audit yang didesain sedemikian rupa agar pelaksanaannya akan berjalan efektif dan efisien.
2. Mengidentifikasikan reiko dan kendali.
Untuk memastikan bahwa qualified resource sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktik-praktik terbaik.
3. Mengevaluasi kendali dan mengumpulkan bukti-bukti.
Melalui berbagai teknik termasuk survei, interview, observasi, dan review dokumentasi.
4. Mendokumentasikan.
Mengumpulkan temuan-temuan dan mengidentifikasikan dengan auditee.
5. Menyusun laporan.
Mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yang dilakukan.
E. Alasan dilakukannya Audit IT
Ron Webber, Dekan Fakultas Teknologi Informasi, monash University, dalam salah satu bukunya Information System Controls and Audit (Prentice-Hall, 2000) menyatakan beberapa alasan penting mengapa Audit IT perlu dilakukan, antara lain :
1. Kerugian akibat kehilangan data.
2. Kesalahan dalam pengambilan keputusan.
3. Resiko kebocoran data.
4. Penyalahgunaan komputer.
5. Kerugian akibat kesalahan proses perhitungan.
6. Tingginya nilai investasi perangkat keras dan perangkat lunak komputer.
F. Manfaat Audit IT
1. Manfaat pada saat Implementasi (Pre-Implementation Review)
– Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria.
– Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
– Mengetahui apakah outcome sesuai dengan harapan manajemen.
2. Manfaat setelah sistem live (Post-Implementation Review)
– Institusi mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk penanganannya.
– Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis, dan anggaran pada periode berikutnya.
– Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang.
– Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan.
– Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan pemeriksaan.
– Membantu dalam penilaian apakah initial proposed values telah terealisasi dan saran tindak lanjutnya.
G. Teknologi Auditing Sistem Informasi
Teknologi auditing sistem informasi telah berkembang seiring perkembangan sistem computer. Beberapa teknologi terkait dengan biaya yang cukup signifikan untuk mengimplementasikannya, sementara teknologi-teknologi lainnya dapat diimplementasikan dengan biaya relative rendah.
1. Test Data
Data pengujian adalah input yang disiapkan oleh auditor yang berisi baik input yang berisi data valid dan maupun tidak valid. Data pengujian dapat digunakan untuk memverifikasi validasi input transaksi rutin, pemrosesan logika, dan penghitungan rutin program-program komputer dan untuk memverifikasi penggabungan perubahan-perubahan program.
Dengan melakukan data pengujian, program masa ekonomis produksi reguler dapat digunakan, dan hal ini penting untuk memastikan bahwa data pengujian tidak memengaruhi file-file yang disimpan oleh sistem.
Data pengujian dapat dilakukan dengan membuat bentuk input untuk uji transaksi fiktif atau dengan cara lainnya, dengan mengkaji ulang data input aktual dan memilih beberapa transaksi riil untuk pemrosesan sebagai data pengujian. Teknik lainnya yang jarang digunakan adalah menciptakan data pngujian dengan menggunakan generator data pengujian yang secara khusus didesain dengan program komputer untuk menciptakan data komprehensif berdasarkan data input.
2. Integrated Test Facility
ITF menggunakan baik data pengujian maupun penciptaan record fiktif (vendor, karyawan) pada file master sebuah sistem computer. ITF pada umumnya digunakan unuk mengaudit sistem aplikasi komputer besar yang menggunakan teknologi pemrosesan real time.
3. Parallel Simulation
Pemrosesan data riil melalui program audit. Output disimulasikan dan dibandingkan dengan output regular demi tujuan pengawasan. Simulasi parallel, pemrosesan redundan terhadap seluruh data input dengan melakukan uji program terpisah, mengizinkan validasi komprehensif dan sangat tepat dilaksanakan pada transaksi penting yang memerlukan audit 100%. Program audit yang digunakan dalam simulasi paralel biasanya merupakan jenis program audit umum yang memproses data dan menghasilkan output yang identik dengan program yang sedang diaudit.
4. Audit software
Program computer yang memungkinkan computer digunakan sebagai alat auditing. Perangkat lunak yang konvensional seperti program penggunaan sistem, program pemunculan kembali informasi, atau bahasa program tingkat tinggi (COBOL) dapat digunakan untuk kegiatan audit ini.
5. Generalized Audit Software
GAS adalah perangkat lunak audit yang secara khusus didesain untuk memungkinkan auditor melakukan fungsi pemrosesan data audit yang terkait. GAS didesain untuk memungkinkan auditor dengan keahlian komputer yang tidak terlalu canggih untuk menjalankan audit yang terkait dengan fungsi-fungsi pemrosesan data. Paket-paket tersebut dapat menjalankan beberapa tugas tertentu seperti menyeleksi data sampel dari file-file, memeriksa perhitungan, dan mencari file-file untuk item-item yang tidak biasa.
6. PC Software
Perangkat lunak yang memungkinkan auditor menggunakan sebuah PC untuk melakukan tugas tugas audit. Paket PC software general purpose seperti perangkat lunak pengolah kata dan spreadsheet telah memiliki banyak aplikasi audit.
ACL, yang dipublikasikan oleh ACL software adalah salah satu contoh perangkat lunak audit. Perangkat lunak ini memungkinkan auditor untuk menghubungkan sebuah PC dengan mainframe atau PC klien dan kemudian mengekstrak dan menganalisis data.
7. Embedded Audit Routine
Rutinitas auditing khusus dimasukkan dalam program computer regular sehingga data transaksi dapat dijadikan subjek analisis audit. Kriteria audit untuk menyeleksi dan mencatat transaksi dengan modul-modul embedded (dilekatkan) harus disediakan oleh auditor. Dalam pendekatan yang disebut system control audit review file (SCARF), pengujian-pengujian terhadap edit-program yang ditentukan auditor untuk membatasi atau menentukan kelayakan, dimasukkan dalam program saat pertama kali program dikembangkan.
KESIMPULAN :
Audit IT merupakan urutan kronologis catatan audit, yang masing-masing berisikan bukti langsung yang berkaitan dengan yang dihasilkan dari pelaksanaan suatu proses bisnis atau fungsi sistem. Catatan audit biasanya hasil kerja dari kegiatan seperti transaksi atau komunikasi oleh orang-orang individu, sistem, rekening atau badan lainnya. Dengan adanya Audit IT diharapkan semua kronologis/kegiatan program dapat terekam dengan baik.
Audit IT juga sangat membantu dalam IT forensik jika pengguna IT menderita kerugian terutama dalam bidang finansial akibat kejahatan komputer seperti Komputer fraud (Kejahatan atau pelanggaran dari segi sistem organisasi komputer) dan Komputer crime. (menggunakan media komputer dalam melakukan pelanggaran hukum). Sehingga memudahkan Penyidik IT forensik dalam menganalisa.
Komentar
Posting Komentar