Audit Ti [PDF]

Citation preview

KONSEP DASAR DAN CAKUPAN AUDIT TI



I. Pengertian IT Audit Audit teknologi informasi adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Audit teknologi informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya. Dalam pelaksanaanya, auditor TI mengumpulkan bukti-bukti yang memadai melalui berbagai teknik termasuk survey, wawancara, observasi dan review dokumentasi. Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya mencakup pula bukti elektronis. Biasanya, auditor TI menerapkan teknik audit berbantuan computer, disebut juga dengan CAAT (Computer Aided Auditing Technique). Teknik ini digunakan untuk menganalisa data, misalnya data transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain.



II. Tujuan IT audit   



Availability/ketersediaan informasi, apakah informasi pada perusahaan dapat menjamin ketersediaan informasi dapat dengan mudah tersedia setiap saat. Confidentiality / kerahasiaan informasi, apakah informasi yang dihasilkan oleh sistem informasi perusahaan hanya dapat diakses oleh pihak-pihak yang berhak dan memiliki otorisasi. Integrity, apakah informasi yang tersedia akurat, handal, dan tepat waktu.



III. Manfaat Audit IT Manfaat pada saat Implementasi (Pre-Implementation Review)   



Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria. Mengetahui apakah pemakai telah siap menggunakan sistem tersebut. Mengetahui apakah outcome sesuai dengan harapan manajemen.



Manfaat setelah sistem live (Post-Implementation Review)     



Institusi mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk penanganannya. Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis, dan anggaran pada periode berikutnya. Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang. Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan. Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan pemeriksaan.



IT Audit Tools (Software) Tool-tool yang dapat digunakan untuk membantu pelaksanaan Audit Teknologi Informasi. Tidak dapat dipungkiri, penggunaan tool-tool tersebut memang sangat membantu Auditor Teknologi Informasi dalam menjalankan profesinya, baik dari sisi kecepatan maupun akurasinya. Berikut beberapa software yang dapat dijadikan alat bantu dalam pelaksanaan audit teknologi informasi: 1.



ACL ACL (Audit Command Language) merupakan sebuah software CAAT (Computer Assisted Audit Techniques) yang sudah sangat populer untuk melakukan analisa terhadap data dari berbagai macam sumber. ACL for Windows (sering disebut ACL) adalah sebuah software TABK (TEKNIK AUDIT BERBASIS KOMPUTER) untuk membantu auditor dalam melakukan pemeriksaan di lingkungan sistem informasi berbasis komputer atau Pemrosesan Data Elektronik.



2.



Picalo Picalo merupakan sebuah software CAAT (Computer Assisted Audit Techniques) seperti halnya ACL yang dapat dipergunakan untuk menganalisa data dari berbagai macam sumber. Picalo bekerja dengan menggunakan GUI Front end, dan memiliki banyak fitur untuk ETL sebagai proses utama dalam mengekstrak dan membuka data, kelebihan utamanya adalah fleksibilitas dan front end yang baik hingga Librari Python numerik.



Berikut ini beberapa kegunaannya : –  Menganalisis data keuangan, data karyawan –  Mengimport file Excel, CSV dan TSV ke dalam database –  Analisa event jaringan yang interaktif, log server situs, dan record sistem login –  Mengimport email kedalam relasional dan berbasis teks database –  Menanamkan kontrol dan test rutin penipuan ke dalam sistem produksi. 3.



4.



5.



6. 7.



8.



Powertech Compliance Assessment Powertech Compliance Assessment merupakan automated audit tool yang dapat dipergunakan untuk mengaudit dan mem-benchmark user access to data, public authority to libraries, user security, system security, system auditing dan administrator rights (special authority) sebuah server AS/400. Nipper Nipper merupakan audit automation software yang dapat dipergunakan untuk mengaudit dan mem-benchmark konfigurasi sebuah router. Nipper (Jaringan Infrastruktur Parser) adalah alat berbasis open source untuk membantu profesional TI dalam mengaudit, konfigurasi dan mengelola jaringan komputer dan perangkat jaringan infrastruktur. Nessus Nessus merupakan sebuah vulnerability assessment software, yaitu sebuah software yang digunakan untuk mengecek tingkat vulnerabilitas suatu sistem dalam ruang lingkup keamanan yang digunakan dalam sebuah perusahaan Metasploit Metasploit Framework merupakan sebuah penetration testing tool, yaitu sebuah software yang digunakan untuk mencari celah keamanan. NMAP NMAP merupakan open source utility untuk melakukan security auditing. NMAP atau Network Mapper, adalah software untuk mengeksplorasi jaringan, banyak administrator sistem dan jaringan yang menggunakan aplikasi ini menemukan banyak fungsi dalam inventori jaringan, mengatur jadwal peningkatan service, dan memonitor host atau waktu pelayanan. Secara klasik Nmap klasik menggunakan tampilan command-line, dan NMAP suite sudah termasuk tampilan GUI yang terbaik dan tampilan hasil (Zenmap), fleksibel data transfer, pengarahan ulang dan tools untuk debugging (NCAT) , sebuah peralatan untuk membandingan hasil scan (NDIFF) dan sebuah paket peralatan analisis untuk menggenerasikan dan merespon (NPING) Wireshark Wireshark merupakan aplikasi analisa network protokol paling digunakan di dunia, Wireshark bisa mengcapture data dan secara interaktif menelusuri lalu lintas yang berjalan pada jaringan komputer, berstandarkan de facto di banyak industri dan lembaga pendidikan.



Pengertian Audit Teknologi Informasi (TI) dan cakupannya Audit merupakan pemeriksaan independen terhadap tuntutan manajemen organisasi yang harus mengikuti sejumlah panduan dan standar yang telah ditetapkan lembaga eksternal. Merhout dan Havelka (2008) menyatakan bahwa agar dapat diklasifikasikan sebagai audit teknologi informasi, pemeriksaan harus mencakup teknologi informasi, baik sebagai fokus pemeriksaan khusus (walaupun secara tidak



langsung, seperti tata kelola TI), atau sebagai cara untuk menyelesaikan suatu masalah. Audit TI dapat dilakukan oleh auditor eksternal sebagai bagian audit laporan keuangan tahunan dengan tujuan untuk menguji struktur kontrol internal terkait sistem informasi ataupun oleh fungsi audit internal untuk memenuhi tanggung jawab manajemen terkait tata kelola. Selain itu, audit TI dapat dilakukan dalam konteks peninjauan proses bisnis atau sebagai bagian audit yang lebih luas yang terintegrasi dimana auditor finansial dan teknologi bekerja sama, atau ketika operasional internal dan auditor SI bersama-sama mengkritik proses bisnis dengan sistem pendukungnya. Evaluasi sistem, praktik, dan operasi yang dilakukan oleh seorang auditor dapat meliputi salah satu atau kedua hal berikut:  



Penilaian dari kontrol internal dalam lingkungan teknologi informasi untuk memastikan validitas, reliabilitas dan keamanan dari informasi Penilaian dari efisiensi dan efektivitas lingkungan teknologi informasi dalam istilah ekonomi



Selama audit TI, aktivitas dan prosedur yang dilaksanakan meliputi meninjau dokumentasi proses bisnis, mengevaluasi kontrol yang tertanam dalam aplikasi seperti sistem enterprise  (misal: sistem enterprise resource planning, customer relationship management,  atau supply chain management), menguji antarmuka antara sistem-sistem ini, meninjau audit log dari pemrosesan transaksi, menguji akurasi dan validitas data yang tersimpan dalam basis data, meninjau dan menguji kontrol akses terhadap aplikasi, basis data, dan jaringan, dan mengevaluasi status proyek pengembangan sistem. Aktivitas-aktivitas ini bervariasi mulai dari tugas yang sangat rinci sampai pada analisis tingkat tinggi yang membutuhkan pengalaman dan keahlian dengan teknologi tertentu. Audit teknologi yang kompleks dan protokol komunikasi dilakukan dengan melibatkan internet, intranet, ekstranet, electronic data interchange, client servers, local and wide area network,  komunikasi data, telekomunikasi, teknologi wireless, dan sistem suara/data/video yang terintegrasi. Audit teknologi informasi mendukung penilaian auditor mengenai kualitas informasi yang diproses oleh sistem. Para staf audit akan meminta bantuan terhadap auditor TI ketika mereka membutuhkan bantuan yang terkait dengan teknologi. Ada banyak kebutuhan audit dalam audit TI seperti audit organisasional TI (kontrol manajemen terhadap TI), audit teknikal TI (infrastruktur, data center, komunikasi data), audit aplikasi TI (bisnis / keuangan / operasional), audit pengembangan / implementasi TI (fase spesifikasi / persyaratan, perancangan, pengembangan, dan setelah implementasi), dan audit kepatuhan TI terhadap standar nasional maupun internasional. Auditor TI berperan untuk memastikan bahwa kontrol internal yang cukup telah dilakukan dan dioperasikan secara efisien dan efektif.



Menurut Mahendra (2011), cakupan audit TI terdiri dari setidaknya enam komponen penting, yaitu:      



pendefinisian tujuan perusahaan; penentuan isu, tujuan, dan perspektif bisnis antara penanggung jawab bagian dengan bagian TI; peninjauan terhadap pengorganisasian bagian TI yang meliputi perencanaan proyek, status dan prioritasnya, penempatan staff, belanja TI, dan manajemen perubahan proses TI; penilaian infrastruktur teknologi, penilaian aplikasi bisnis temuan-temuan laporan rekomendasi.



Profesi audit TI memiliki standar teknis yang berlaku secara mendunia, yaitu kode etik dari Information Systems Audit and Control Association (ISACA), dan program sertifikasi profesi Certified Information Systems Auditor (CISA) yang membutuhkan pengetahuan khusus, kemampuan praktis, dan persiapan yang panjang serta intensif. Bila tidak ada program akademik yang tersedia, maka organisasi akan memberikan pelatihan sendiri dan pengembangan profesi terhadap karyawannya. Dengan demikian, dapat disimpulkan bahwa audit teknologi informasi merupakan pemeriksaan dan evaluasi yang dilakukan terhadap teknologi informasi dan proses bisnisnya untuk menilai integritas informasi yang dihasilkan sistem, menilai kontrol internal teknologi informasi, dan meninjau proses bisnis yang sedang dijalankan beserta sistem pendukungnya. Seorang auditor harus memiliki berbagai bidang pengetahuan dan keterampilan, baik itu yang sifatnya organisasional, teknis, maupun hukum agar dapat melaksanakan audit teknologi informasi secara menyeluruh.



Pentingnya kontrol TI dan audit dalam lingkungan virtual Pada dasarnya, teknologi mempengaruhi tiga area penting dalam lingkungan bisnis, yaitu: 











Teknologi telah mempengaruhi apa yang bisa dilakukan dalam bisnis terkait informasi dan merupakan enabler bisnis. Teknologi meningkatkan kemampuan untuk menangkap, menyimpan, menganalisa, dan mengolah sejumlah besar data dan informasi sehingga membantu proses pengambilan keputusan. Teknologi juga telah menjadi komponen kritis dalam proses bisnis yang memungkinkan berbagai proses layanan dan produksi. Terdapat efek lanjutan di mana peningkatan penggunaan teknologi akan meningkatkan anggaran, meningkatkan keberhasilan dan kegagalan, dan meningkatkan kesadaran akan kebutuhan kontrol dan audit. Teknologi berdampak secara signifikan terhadap proses kontrol. Meskipun tujuan kontrol pada umumnya masih sama, teknologi telah mengubah cara bagaimana sistem harus dikontrol. Melindungi aset baik secara manual ataupun terotomasi tetap merupakan tujuan utama proses kontrol, namun bagaimana tujuan kontrol tersebut dicapai telah terkena dampak perubahan teknologi. Teknologi memiliki dampak terhadap profesi audit terutama dalam kaitan tentang bagaimana audit dilakukan (pengumpulan dan analisis informasi, masalah kontrol) dan pengetahuan yang dibutuhkan untuk menarik kesimpulan mengenai operasional atau efektivitas sistem, efisiensi dan integritas, dan pelaporan integritas. Pada mulanya, pengaruhnya adalah pada lingkungan



pemrosesan yang berubah, tetapi karena pertumbuhan permintaan auditor yang memiliki keterampilan teknologi, maka profesi audit TI juga ikut berubah.



Berdasarkan tulisan Stoel et al. (2012), ada 2 alasan utama mengapa audit TI menjadi semakin penting, yaitu (1) adanya peningkatan terhadap belanja TI dan ketergantungan terhadap TI dalam menjalankan operasi bisnis; dan (2) peraturan perundang-undangan baru dan kebutuhan profesional terkait audit operasi ini. Meningkatnya ketergantungan terhadap TI dan investasi yang diperlukan akan meningkatkan kebutuhan untuk memastikan bahwa sistem dapat melakukan apa yang dijanjikan. Audit TI umumnya dipakai secara internal untuk memeriksa operasi, efektivitas, kontrol, dan keamanan sistem kritis untuk mengidentifikasi kesempatan peningkatan dan meminimalkan kelemahan. Ron Weber (1998) menyebutkan beberapa alasan penting mengapa audit TI perlu dilakukan dalam suatu perusahaan, antara lain:      



Kerugian akibat kehilangan data. Kesalahan dalam pengambilan keputusan. Resiko kebocoran data. Penyalahgunaan komputer. Kerugian akibat kesalahan proses perhitungan. Tingginya nilai investasi perangkat keras dan perangkat lunak komputer.



Audit TI menjadi bagian penting dari tata kelola TI dan merupakan proses penting dalam kerangka COBIT dan ITIL. Pada level ini, audit TI memastikan bahwa strategi TI selaras dengan strategi keseluruhan TI dan bahwa kebijakan TI yang spesifik telah ditetapkan dan diikuti. Organisasi memanfaatkan proses audit TI untuk mengurangi risiko terkait investasi dan penerapan TI. Pada level manajemen, audit TI memastikan bahwa anggaran dan rencana TI telah disiapkan dan dijalankan menurut aturan bisnis yang sesuai, serta memastikan bahwa proyek pengembangan dan implementasi telah diawasi dengan baik. Pada level operasional, audit TI memastikan pemrosesan transaksi bisnis sehari-hari telah berjalan dengan lancar dan mematikan operasi fungsi TI yang baik dalam organisasi. Hal ini termasuk mengidentifikasi risiko dan kontrol terkait aplikasi dan proses bisnis dan pengujian spesifik dimana kontrol bekerja dengan baik. Senft dan Gallegos (2009) dalam bukunya yang berjudul Information Technology Control and Audit, menuliskan bahwa saat ini sudah banyak orang yang berbelanja melalui jaringan internet di rumahnya. Mereka menggunakan “nomor” atau rekening untuk membeli apa yang mereka inginkan via komputer atau smartphone. “Nomor” yang dimaksud merupakan uang digital, mata uang baru di dunia digital. Manfaat terbesar dari uang digital ini adalah peningkatan efisiensi sedangkan masalah terbesarnya adalah keamanan dan privasi. Pelanggan perlu berhati-hati di internet karena ada yang menggunakannya untuk penipuan, kejahatan, dan merugikan orang lain. Para kriminal dapat mengakses data pribadi pelanggan dan melakukan kejahatan dengan mencuri identitas orang lain. Oleh karena itu, audit dan kontrol TI sangat diperlukan. Semua orang harus bekerja sama untuk merancang, mengimplementasikan, dan mengintegrasikan perlindungan dan pengamanan terhadap teknologi informasi.



Masalah terkait kontrol dan audit di lingkungan global Walaupun seluruh organisasi memerlukan pengendalian umum yang baik tanpa harus memperhatikan struktur fungsi TI, namun menurut Arens et al. (2009), terdapat beberapa masalah pengendalian umum yang bervariasi tergantung pada lingkungan TI, yakni: 1. Masalah pada lingkungan jaringan Dalam lingkungan jaringan, berbagai perangkat lunak aplikasi dan data file yang digunakan untuk pemrosesan transaksi berada dalam komputer yang saling terhubung satu sama lain. Perusahaan kecil bisa memiliki beberapa server komputer yang saling terhubung di suatu jaringan, sedangkan perusahaan besar bisa memiliki ratusan server di berbagai lokasi yang terhubung satu sama lain. Lingkungan jaringan akan menimbulkan berbagai masalah pengendalian yang perlu dipertimbangkan auditor dalam merencanakan audit. Contoh: auditor sering meningkatkan risiko pengendalian jika perusahaan memiliki jaringan yang mencakup banyak server yang tersebar di berbagai lokasi, karena operasi jaringan yang terdesentralisasi hampir selalu kekurangan pengamanan dan pengawasan manajemen terhadap berbagai server yang terhubung. 2. Masalah pada sistem manajemen basis data Sistem manajemen basis data berguna untuk mengurangi duplikasi data, meningkatkan pengendalian terhadap data, dan memberikan informasi yang lebih baik untuk pengambilan keputusan dengan mengintegrasikan informasi di sepanjang fungsi-fungsi dan departemen-departemen dalam perusahaan. Pengendalian meningkat ketika data tersentralisasi dalam sistem manajemen basis data dengan menghilangkan duplikasi data. Namun, risiko meningkat ketika beragam pengguna, dari berbagai departemen, dapat mengakses dan mempengaruhi data. Untuk mengatasi hal tersebut, perusahaan menerapkan administrasi basis data serta pengendalian akses yang tepat. Dengan data yang terpusat pada satu sistem, perusahaan perlu memastikan adanya back-up data secara berkala. 3. Masalah pada sistem e-commerce Perusahaan menggunakan sistem e-commerce untuk melakukan berbagai transaksi bisnis secara elektronik akan menghubungkan sistem akuntansi internal perusahaan dengan pihak eksternal seperti pemasok dan pelanggan sehingga risiko yang dihadapi perusahaan sebagian bergantung pada seberapa baik rekan ecommerce mengidentifikasi dan mengelola risiko yang ada dalam sistem mereka sendiri. Penggunaan sistem e-commerce membuat data perusahaan menjadi sensitif dan program serta perangkat keras menjadi lebih terbuka oleh kemungkinan campur tangan atau sabotase dari pihak luar. Untuk membatasi kemungkinan itu, perusahaan menggunakan firewall, teknik enkripsi dan tanda tangan digital.



4. Masalah ketika klien meng-outsource TI Banyak klien yang meng-outsource beberapa atau semua kebutuhan TI-nya kepada pusat layanan komputer independen, termasuk penyedia layanan aplikasi, dibandingkan dengan pusat TI internal. Perusahaan-perusahaan yang lebih kecil sering meng-outsource fungsi penggajian mereka karena penggajian relatif sama di satu perusahaan dengan perusahaan lainnya, dan banyak penyedia jasa penggajian yang handal yang tersedia. Auditor menghadapi kesulitan untuk memahami pengendalian internal klien dalam situasi tersebut karena banyak pengendalian yang terletak di pusat layanan, dan auditor tidak dapat menganggap pengendalian sudah dilakukan dengan tepat karena pusat layanan tersebut merupakan perusahaan independen. Standar audit mengharuskan auditor untuk mempertimbangkan kebutuhan dalam memahami dan menguji pegendalian internal pusat layanan jika aplikasi pusat layanan tersebut memasukkan pemrosesan data keuangan yang penting. Dari uraian di atas, masalah terkait kontrol dan audit pada saat ini berkaitan tentang bagaimana mengamankan teknologi informasi dalam lingkungan jaringan yang serba terhubung, melindungi data yang tersimpan dalam sistem ataupun yang sudah di-outsource kepada pihak ketiga, memastikan keamanan sistem e-commerce dan sistem pembayaran elektronik yang semakin berkembang dan ramai dipakai belakangan ini. Kebijakan keamanan komputer yang baik akan berbeda untuk setiap organisasi, perusahaan, atau individu tergantung pada kebutuhan keamanan, meskipun kebijakan tersebut tidak dapat menjamin keamanan sistem atau jaringan terhadap kemungkinan serangan dan ancaman. Dengan adanya implementasi kebijakan, dibantu oleh produk keamanan yang bagus dan rencana pemulihan, mungkin kerugian yang ditimbulkan dapat diterima dan kebocoran informasi pribadi dapat diminimalkan. Menurut saya, seorang auditor TI harus memahami lingkungan hukum sistem informasi (SI) karena auditor perlu menjaga dan melindungi privasi individu, memastikan akurasi informasi untuk membantu pengambilan keputusan, memahami properti ataupun hak atas kekayaan intelektual (HAKI) yang dimiliki perusahaan, serta mencegah akses ke sistem oleh pihak yang tidak berkepentingan. Dengan memiliki pengetahuan mengenai hukum dan peraturan perundang-undangan yang berlaku, auditor dapat menghindari organisasi melakukan penyimpangan atau pelanggaran hukum yang akan merugikan organisasi itu sendiri, baik secara finansial maupun non finansial. Pada umumnya, peraturan tersebut juga telah mengatur format laporan apabila auditor ingin mempublikasi hasil audit TI yang telah dilakukan.