Metodologi Audit IT
Dalam praktiknya, tahapan-tahapan
dalam audit IT tidak berbeda dengan audit pada umumnya, sebagai berikut :
1. Tahapan
Perencanaan
Sebagai
suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar obyek yang
akan diperiksa sehingga menghasilkan suatu program audit yang didesain
sedemikian rupa agar pelaksanaannya akan berjalan efektif dan efisien.
2. Mengidentifikasikan
reiko dan kendali
Untuk
memastikan bahwa qualified resource sudah dimiliki, dalam hal ini aspek SDM
yang berpengalaman dan juga referensi praktik-praktik terbaik.
3. Mengevaluasi
kendali dan mengumpulkan bukti-bukti
Melalui
berbagai teknik termasuk survei, interview, observasi, dan review dokumentasi.
4. Mendokumentasikan
Mengumpulkan
temuan-temuan dan mengidentifikasikan dengan auditee.
5. Menyusun
laporan
Mencakup
tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yang dilakukan.
Jenis audit pada Teknologi Informasi terbagi 2(dua), yaitu :
1. Audit around the computer, hanya
memeriksa dari sisi user saja dan pada masukan dan keluaranya tanpa memeriksa
lebih terhadap program atau sistemnya. Audit ini dilakukan pada saat:
·
Dokumen sumber tersedia dalam bentuk kertas (bahasa
non-mesin), artinya masih kasat mata dan dilihat secara visual
·
Dokumen-dokumen disimpan dalam file dengan cara yang
mudah ditemukan.
·
transaksi dari dokumen sumber kepada keluaran dan
sebaliknya
Kelebihan dari Audit IT ini, yaitu:
·
Proses audit tidak memakan waktu lama karena hanya
melakukan audit tidak secara mendalam.
·
Tidak harus mengetahui seluruh proses penanganan
sistem.
·
Umumnya database mencakup jumlah data yang banyak dan
sulit untuk ditelusuri secara manual.
·
Tidak membuat auditor memahami sistem komputer lebih
baik.
·
Mengabaikan pengendalian sistem, sehingga rawan
terhadap kesalahan dan kelemahan potensial dalam sistem.
·
Lebih berkenaan dengan hal yang lalu daripada audit
yang preventif.
·
Kemampuan komputer sebagai fasilitas penunjang audit
tidak terpakai.
·
Tidak mencakup keseluruhan maksud dan tujuan audit.
2. Audit through the computer, dimana
auditor selain memeriksa data masukan dan keluaran, juga melakukan uji coba
proses program dan sistemnya atau yang disebut dengan white box, sehinga
auditor merasakan sendiri langkah demi langkah pelaksanaan sistem serta
mengetahui sistem bagaimana sistem dijalankan pada proses tertentu. Audit ini
dilakukan pada saat:
·
Sistem aplikasi komputer memproses input yang cukup
besar dan menghasilkan output yang cukup besar pula, sehingga memperluas audit
untuk meneliti keabsahannya.
·
Bagian penting dari struktur pengendalian intern
perusahaan terdapat di dalam komputerisasi yang digunakan.
Kelebihan dari Audit IT ini, yaitu:
·
Dapat meningkatkan kekuatan pengujian system aplikasi
secara efektif
·
Dapat memeriksa secara langsung logika pemprosesan dan
system aplikasi
·
Kemampuan system dapat menangani perubahan dan
kemungkinan kehilangan yang terjadi pada masa yang akan dating
·
Auditor memperoleh kemampuan yang besar dan efektif
dalam melakukan pengujian terhadap system computer
·
Auditor merasa lebih yakin terhadap kebenaran hasil
kerjanya
Alasan
Dilakukan Audit IT
Hal
tersebut dilakukan karena pada saat ini teknologi semakin berkembang, sehingga
dapat memudahkan penggunanya untuk melakukan segala aktifitas. Salah satunya
adalah melakukan Audit SI/TI. Karena dengan menggunakan teknologi komputerisasi
data yang diolah akan menjadi lebih baik lagi hasilnya. Beberapa alasan mengapa
Audit TI penting untuk dilakukan adalah sebagai berikut :
1. Kerugian
akibat kehilangan data
Informasi
berasal dari suatu data yang diolah dan memiliki manfa’at bagi penggunanya.
Oleh karena itu, data adalah suatu aset yang penting bagi suatu perusahaan atau
organisasi. Informasi dari suatu data akan menjadi gambaran dari kondisi di
masa lalu, sekarang, dan masa yang akan datang. Jika informasi dari data
tersebut hilang, maka akan menyebabkan suatu kesalahan yang fatal.
2. Kesalahan
dalam pengambilan keputusan
Saat ini
masih banyak instansi yang menggunakan perangkat lunak dalam mengambil
keputusan. Namun, resiko yang ditimbulkan bisa saja bukan lagi membahayakan
sistem, tetapi juga dapat membahayakan nyawa seseorang seperti dalam penggunaan
DSS (Sistem Penunjang Keputusan) dalam bidang kedokteran. Tingkat akurasi dan
pentingnya suatu data tergantung kepada jenis keputusan yang akan diambil.
3. Kerugian
yang disebabkan oleh kesalahan pemrosesan computer
Banyak
organisasi atau perusahaan yang telah menggunakan komputer sebagai sarana untuk
meningkatkan kualitas pekerjaan mereka. Mulai dari hal yang sederhana,
pernghitungan bunga dalam jumlah besar, dan juga navigasi pesawat terbang atau
peluru kendali. Kerugian tersebut dapat pula berupa kebocoran data dan dapat
menimbulkan dampak yang akan merugikan bagi suatu perusahaan atau organisasi
seperti kehilangan klien, pelanggan, perhitungan matematis yang sulit
dipercaya, dan juga dapat menggangu kelangsungan hidup perusahaan.
4. Penggunaan
komputer yang di salah gunakan
Tingginya
tingkat penyalahgunaan komputer menjadi salah satu alasan mengapa audit sistem informasi
diperlukan. Banyak sekali pihak yang tidak bertanggungjawab dapat melakukan
kejahatan komputer seperti Hacker, Cracker dan Virus.
a. Hacker :
Merupakan seseorang yang dengan sengaja masuk ke dalam suatu sistem tanpa izin.
Mereka melakukan hal tersebut biasanya hanya untuk membuat dirinya sendiri atau
kelompoknya bangga karena telah berhasil menembus sistem keamanan dari suatu
perusahaan atau organisasi, tanpa ada maksud untuk merusak atau mengambil
sesuatu atas apa yang telah dilakukan.
b. Cracker :
Cracker memasuki suatu sistem yang memiliki tujuan untuk mengambil keuntungan
sebanyak-banyaknya seperti mengubah, merusak, atau bahkan menghancurkan sistem
tersebut.
c. Virus :
Merupakan sebuah program komputer yang melekatkan diri dan menjalankan dirinya
sendiri pada suatu data. Virus meriplikasi dirinya sendiri secara aktif dan
mengganggu atau merusak suatu sistem operasi, data, dan bahkan mengacaukan
sistem.
Kejahatan
komputer juga dapat dilakukan oleh karyawan yang merasa tidak puas dengan kebijaksanaan
perusahaan, baik yang masih bekerja, sudah berhenti, keluar, diberhentikan dari
perusahaan tersebut dan bahkan yang pindah bekerja ke perusahaan lain. Dan hal
tersebut dilakukan untuk memperoleh keuntungan atau manfaat dalam bersaing. Oleh
karena itu audit sangat diperlukan dan terdapat dua hal utama yang harus
diperhatikan pada saat melakukan audit atau pemrosesan data elektronik seperti
pengumpulan bukti dan evaluasi bukti.
5. Kesalahan
pada proses perhitungan
Sistem
Informasi sering digunakan untuk melakukan proses menghitung yang rumit karena
memiliki kemampuan untuk mengolah data secara tepat dan akurat, namun juga
menimbulkan resiko kesalahan. Tanpa adanya pengembangan sistem yang baik, tentu
saja dapat terjadi kesalahan menghitung dan yang lebih buruk adalah sistem yang
baru yang sudah dibuat akan sulit di deteksi tanpa ada proses audit yang
dilakukan.
6. Nilai
investasi yang tinggi untuk perangkat keras dan perangkat lunak computer
Investasi
yang dikeluarkan suatu perusahaan tentu sangat besar dan sulit untuk mengukur
manfaat yang dapat diberikan oleh suatu sistem atau teknologi informasi.
Manfaat Audit IT
A. Manfaat
pada saat Implementasi (Pre-Implementation Review)
1. Institusi
dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan
ataupun memenuhi acceptance criteria.
2. Mengetahui
apakah pemakai telah siap menggunakan sistem tersebut.
3. Mengetahui
apakah outcome sesuai dengan harapan manajemen.
B. Manfaat
setelah sistem live (Post-Implementation Review)
1. Institusi
mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk
penanganannya.
2. Masukan-masukan
tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis,
dan anggaran pada periode berikutnya.
3. Bahan untuk
perencanaan strategis dan rencana anggaran di masa mendatang.
4. Memberikan
reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau
prosedur yang telah ditetapkan.
5. Membantu
memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat
digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan
pemeriksaan.
6. Membantu
dalam penilaian apakah initial proposed values telah terealisasi dan saran
tindak lanjutnya.
Sumber :
0 komentar: