1. Pengertian Audit Teknologi
Informasi
Audit teknologi informasi adalah
bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi
secara menyeluruh. Audit teknologi informasi ini dapat berjalan bersama-sama
dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan
evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal dengan audit
pemrosesan data elektronik, dan sekarang audit teknologi informasi secara umum
merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi
dalam perusahaan itu. Istilah lain dari audit teknologi informasi adalah audit
komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi
perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai
target organisasinya.
2. Proses Audit Teknologi Sistem
Informasi
a. Perencanaan Audit (Planning The
Audit)
Perencanaan merupakan
fase pertama dari kegiatan audit, bagi auditor eksternal hal ini artinya adalah
melakukan investigasi terhadap klien untuk mengetahui apakah pekerjaan
mengaudit dapat diterima, menempatkan staff audit, menghasilkan perjanjian
audit, menghasilkan informasi latar belakang klien, mengerti tentang masalah
hukum klien dan melakukan analisa tentang prosedur yang ada untuk mengerti
tentang bisnis klien dan mengidentifikasikanresiko audit.
b. Pengujian Pengendalian (Test Of
Controls)
Auditor melakukan kontrol
test ketika mereka menilai bahwa kontrol resiko berada pada level kurang dari
maksimum, mereka mengandalkan kontrol sebagai dasar untuk mengurangi biaya
testing. Sampai pada fase ini auditor tidak mengetahui apakah identifikasi
kontrol telah berjalan dengan efektif, oleh karena itu diperlukan evaluasi yang
spesifik.
c. Pengujian Transaksi (Test Of
Transaction)
Auditor menggunakan test
terhadap transaksi untuk mengevaluasi apakah kesalahan atau proses yang tidak
biasa terjadi pada transaksi yang mengakibatkan kesalahan pencatatan material
pada laporan keuangan. Tes transaksi ini termasuk menelusuri jurnal dari sumber
dokumen, memeriksa file dan mengecek keakuratan.
d. Pengujian Keseimbangan atau
Keseluruhan Hasil (Tests Of Balances or Overal Result)
Untuk mengetahui
pendekatan yang digunakan pada fase ini, yang harus diperhatikan adalah
pengamatan harta dan kesatuan data. Beberapa jenis subtantif tes yang digunakan
adalah konfirmasi piutang, perhitungan fisik persediaan dan perhitungan ulang
aktiva tetap.
e. Penyelesaian / Pengakhiran Audit
(Completion Of The Audit)
Pada fase akhir audit,
eksternal audit akan menjalankan beberapa test tambahan terhadap bukti yang ada
agar dapat dijadikan laporan. Lingkup Audit Sistem Informasi pada umumnya difokuskan
kepada seluruh sumber daya sistem informasi yang ada, yaitu Aplikasi,
Informasi, Infrastruktur dan Personil.
3. Metode Audit Teknologi Informasi
Metodologi
IT Audit:
1.
CobiT
2.
BS
7799 – Code of Practice (CoP)
3.
BSI
–IT baseline protection manual
4.
ITSEC
5.
Common
Criteria (CC)
4. Regulasi
Regulasi dapat dilakukan dengan
berbagai bentuk, misalnya: pembatasan hukum diumumkan oleh otoritas pemerintah,
regulasi pengaturan diri oleh suatu industri seperti melalui asosiasi perdagangan,
Regulasi sosial (misalnya norma), co-regulasi dan pasar.
Untuk saat ini Indonesia belum
memiliki Undang-Undang khusus/cyber law yang mengatur mengenai cybercrime
walaupun rancangan undang-undang tersebut sudah ada sejak tahun 2000 dan revisi
terakhir dari rancangan undang-undang tindak pidana di bidang teknologi
informasi sejak tahun 2004 sudah dikirimkan ke Sekretariat Negara RI oleh
Departemen Komunikasi dan Informasi serta dikirimkan ke DPR namun dikembalikan
kembali ke Departemen Komunikasi dan Informasi untuk diperbaiki.
5. Standar Audit Teknologi Informasi
Standar
yang digunakan dalam mengaudit teknologi informasi adalah standar yang
diterbitkan oleh ISACA yaitu ISACA IS
Auditing Standard. Selain itu ISACA juga menerbitkan IS Auditing Guidance dan IS
Auditing Procedure. Standar adalah sesuatu yang harus dipenuhi oleh IS Auditor.
Guidelines memberikan penjelasan bagaimana auditor dapat memenuhi standar dalam
berbagai penugasan audit, dan prosedur memberikan contoh langkah-langkah yang
perlu dilalui auditor dalam penugasan audit tertentu sehingga sesuai dengan standar.
Bagaimanapun IS auditor harus bisa menggunakan judgement profesional ketika
menggunakan guidance dan procedure.
Standar yang aplicable untuk audit
TI adalah tediri dari 11 standar yaitu ;
S1. Audit
charter
S2.
AuditIndependet
S3. Profesional
Ethic and standard
S4. Profesional
competence
S5. Planning
S6. Performance
of Audit Work
S7. Reporting
S8. Follow-Up
Activity
S9. Irregularities
and Irregular Act
S10. IT
Governance dan
S11. Use of
Risk Assestment in Audit Planning.
IS Auditing Guideline terdiri dari
32 guidance dalam mengaudit TI yang mengcover petunjuk mengaudit area-area
penting. IS Audit Procedure terdiri dari 9 prosedur yang menunjukkan
langkah-langkah yang dilakukan auditor dalam penugasan audit yang spesifik
seperti prosedur melakukan bagaimana melakukan risk assestment, mengetes
intrurion detection system, menganalisi firewall dan sebagainya.
6. Manajemen Resiko.
IT risk management (manajemen resiko
teknologi informasi) adalah proses yang dilakukan oleh para manajer IT untuk
menyeimbangkan kegiatan operasional dan pengeluaran cost dalam mencapai
keuntungan dengan melindungi sistem IT dan data yang medukung misi
organisasinya.Risiko dan nilai adalah dua sisi dari mata uang yang sama.
Strategi yang dapat diambil antara
lain adalah memindahkan risiko kepada pihak lain, menghindari risiko,
mengurangi efek negatif risiko, dan menampung sebagian atau semua konsekuensi
risiko tertentu. Manajemen risiko tradisional terfokus pada risiko-risiko yang
timbul oleh penyebab fisik atau legal (seperti bencana alam atau kebakaran,
kematian, serta tuntutan hukum).
Cara Melakukan Manajemen Risiko
dengan efektif yaitu dengan kerangka yang berkaitan dalam Manajemen Risiko
Korporasi (MRK) yaitu:
·
Lingkungan
internal (internal environment)
·
Penentuan
sasaran (objective setting)
·
Identifikasi
peristiwa (event identification)
·
Penilaian
risiko (risk assessment)
·
Tanggapan
risiko (risk response)
·
Aktivitas
pengendalian (control activities)
·
Informasi
dan komunikasi (information and communication)
·
Pemantauan
(monitoring)
Sumber :
Tidak ada komentar:
Posting Komentar