Audit Tekhnologi
Informasi
1.
Definisi
Audit Tekhnologi Informasi
Audit
teknologi informasi adalah bentuk pengawasan dan pengendalian dari
infrastruktur teknologi informasi secara menyeluruh. Audit teknologi informasi
ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau
dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Pada mulanya istilah
ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit
teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari
semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit
teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan
apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan
integratif dalam mencapai target organisasinya.
Dalam
pelaksanaanya, auditor TI mengumpulkan bukti-bukti yang memadai melalui
berbagai teknik termasuk survey, wawancara, observasi dan review
dokumentasi.Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor
biasanya mencakup pula bukti elktronis. Biasanya, auditor TI menerapkan teknik
audit berbantuan computer, disebut juga dengan CAAT (Computer Aided Auditing
Technique). Teknik ini digunakan untuk menganalisa data, misalnya saha data
transaksi penjualan, pembelian,transaksi aktivitas persediaan, aktivitas
nasabah, dan lain-lain.
2.
Ruang
Lingkup Audit Tekhnologi Informasi
Ruang lingkup Audit Sistem Informasi
(SI) sebagai audit operasional terhadap fungsi sistem informasi (IT
governance), audit objective-nya adalah melakukan assessment
terhadap efektifitas, efisiensi, dan ekonomis tidaknya pengelolaan sistem informasi
suatu organisasi.
Audit SI dimaksudkan untuk
memberikan informasi kepada manajemen puncak agar manajemen mempunyai “a
clear assessment” terhadap sistem informasi yang diimplementasikan pada
organisasi tersebut. Misalnya, bahwa application software yang
ada telah dianalisis dan didesain dengan baik, telah diimplementasikan
dengan security features yang memadai.
Perlu dipahami bahwa audit SI tidak
harus selalu merupakan penugasan lengkap mencakup seluruh aspek. Penugasan
audit SI mungkin mencakup semua, tetapi bisa dengan beberapa variasi, atau
beberapa aspek saja: suatu audit mungkin hanya menitikberatkan fokus pada satu
aspek saja, atau beberapa aspek yang penting sesuai kebutuhan organisasi
tersebut.
Meskipun hakekatnya keseluruhan
aspek IT Governance tersebut sesungguhnya penting untuk
diaudit dalam rangka peningkatan mutu sistem, namun itu tidak bersifat harus (it
is not mandatory). Bisa saja dilakukan penugasan-penugasan audit yang
berbeda untuk satu atau beberapa aspek, tidak harus sekali “gebrak” (to do
all of them in one assignment). Salah satu alasannya adalah memang
kompetensi/keterampilan yang diperlukan bagi auditor untuk setiap aspek
tersebut bisa berbeda. Oleh karena itu aspek sebetulnya ada keterkaitan, dan
semuanya adalah penting, maka bila dilakukan audit secara terpisah-pisah,
manajemen harus mendapat gambaran umum (overview) yang jelas dan terpadu
(the overview is critical).
Jadi, terdapat berbagai jenis
penugasan audit sistem informasi yang dapat dilaksanakan pada suatu organisasi,
misalnya sebagai berikut:
- Untuk mengidentifikasi sistem yang ada (inventory
existing systems), baik yang ada pada tiap divisi/unit/departemen
ataupun yang digunakan menyeluruh.
- Untuk dapat lebih memahami seberapa besar sistem
informasi mendukung kebutuhan strategis perusahaan, operasi perusahaan,
mendukung kegaitan operasional departemen/unit/divisi, kelompok kerja,
maupun para petugas dalam melaksanakan kegiatannya.
- Untuk mengetahui pada bidang atau area mana, fungsi,
kegiatan atau business processes yang didukung dengan
sistem serta teknologi informasi yang ada.
- Untuk menganalisis tingkat pentingnya data/informasi
yang dihasilkan oleh sistem dalam rangka mendukung kebutuhan para
pemakainya.
- Untuk mengetahui keterkaitan antara data, sistem
pengolahan dan transfer informasi.
- Untuk mengidentifikasi apakah ada kesenjangan (gap)
antara sistem dengan kebutuhan.
- Untuk membuat peta (map) dari information
flows yang ada.
3.
Alasan
Audit Tekhnologi Informasi
Alasan untuk
menerapkan Teknologi Informasi dan Komunikasi dalam organisasi adalah untuk
mendapatkan nilai bisnis melalui pengurangan biaya, efektivitas yang lebih
besar, peningkatan efisiensi ditingkatkan dan meningkatkan kualitas layanan.
Biasanya, tujuan manajemen dan tujuan dalam memanfaatkan teknologi untuk
mendukung proses bisnis meliputi: kerahasiaan, integritas, ketersediaan,
keandalan dan kepatuhan terhadap persyaratan hukum dan peraturan.
4. Tujuan Audit Tekhnologi Informasi
Secara umum, ada lima tujuan dalam pelaksanaan audit TI,
yaitu:
a.
Memberikan
rekomendasi terhadap temuan yang muncul pada proses audit
Namanya
juga audit, tindakan ini melakukan pemeriksaan atas arsip pembukuan perusahaan.
Bisa saja ada temuan yang sebelumnya tidak disadari. Audit TI merekomendasikan
temuan ini untuk segera ditindaklanjuti.
b.
Rekomendasi
mengenai tindakan yang dikerjakan
Selain
temuan, ada pula rekomendasi tentang tindakan yang bisa ditempuh. Hal ini bisa
menghemat waktu sebab tindak lanjut yang diambil bisa segera dilakukan tanpa
harus memikirkan ulang cara penanganannya.
c.
Mengawasi
pelaksanaan rekomendasi
Setelah
memberikan rekomendasi, audit TI bisa berlaku juga sebagai pengawas. Hal ini
untuk memastikan bahwa tindakan yang diambil bisa berjalan secara presisi dan
tidak menimbulkan masalah baru.
d.
Memberikan
jaminan kepada manajemen tentang kondisi yang ada pada organisasi
Audit
yang baik akan memberikan preseden yang baik pula terhadap perusahaan. Hasil
ini juga bisa memberi gambaran umum kepada manajemen tentang kondisi
organisasinya.
e. Melakukan penilaian
Setelah
melakukan serangkaian proses audit, akan diketahui bagaimana kinerja yang telah
dilakukan oleh perusahaan. Proses ini juga bisa menunjukkan penilaian sehingga
bisa terlihat tingkat efektivitas dan efisiensi yang dijalankan oleh tiap
bagian.
5.
Dampak/akibat
tidak melakukan Audit Tekhnologi Informasi
TI
menciptakan resiko yang unik dalam melindungi perangkat keras termasuk
memunculkan jenis kesalahan baru. Resiko ini meliputi:
-
Ketergantungan
pada kemampuan berfungsinya perangkat keras dan lunak.
-
Kesalahan
sistematis vs kesalahan acak.
-
Akses
yang tidak sah.
-
Hilangnya
data.
Salah saji
mungkin tidak terdeteksi dengan menungkatnya penggunaan TI akibat hilangnya
jejak audit yang nyata, termasuk berkurangnya keterlibatan manusia. Komputer
juga menggantikan jenis otorisasi tradisional dalam banyak sistem TI, antar
lain:
-
Visitabilitas
jejak audit
-
Keterlibatan
manusia yang berkurang
-
Tidak
adanya otorisasi tradisional
Sistem TI
mengurangi pemisahan tugas tradisional (otorisasi, pembukuan, dan penyimpanan)
dan menciptakan kebutuhan akan pengalaman TI tambahan.
-
Pemisaha
tugas yang berkurang
-
Kebutuhan
akan pengalaman TI
Referensi
:
