KONSEP AUDIT TI
Audit
Teknologi Informasi(TI) merupakan bentuk pengawasan serta pengendalian pada infrastruktur
teknologi informasi. Pada dasarnya, tujuan audit adalah untuk memberitahu bahwa
usaha atau bisnis yang sedang dilaksanakan berjalan dengan baik. Seiring dengan
majunya teknologi saat ini, IT Auditor memiliki tantangan baru serta hal baru
yang harus dipelajari seperti ruang lingkup audit sekarang yang meliputi cloud computing, virtualisasi, dan lain
sebagainya.
Hal tersebut merupakan alasan auditor
harus mengerti tentang urusan atau masalah perusahaan yang sedang dihadapi serta
risiko dari urusan atau masalah tersebut agar proses audit dan kegiatan pendukung
lainnya berjalan secara efektif. Makadari itu, seorang Auditor harus menggali pengetahuan
lebih dalam untuk meningkatkan skill dalam memecahkan masalah karena masalah
yang terdapat pada perusahaan akan terus berkembang mengikuti jalannya teknologi.
Seorang Auditor juga dituntut dalam memperbaiki
kelemahan-kelemahan internal controls yang terdapat pada perusahaan karena
kelemahan-kelemahan ini dapat dicurangi oleh manager-manager yang berada pada perusahaa
ntersebut. Maka dapat disimpulkan bahwa tujuan utam adari audit adalah sebagai berikut:
- Memberikan kepastian kepada perusahaan bahwa internal controls berjala dengan efektif.
2. Meningkatkan internal controls pada
perusahaan dengan membantu perusahaan dalam mengindentifikasi kelemahan internal
controls serta memberikan solusi yang cost-effective dalam mengatasi
masalah tersebut.
PROSES AUDIT TI
Terdapat
istilah dasar yang harus dipaham ipada proses audit yaitu internal controls.
Internal controls merupakan sebuah mekanisme yang memastikan bahwa proses
pada dalam sebuah perusahaan bekerja dengan benar karena setiap sistem dan
proses yang ada pada sebuah perusahaan esensinya dibentuk untuk mencapai sebuah
tujuan yang spesifik dari perusahaan.
Internal
controls memiliki beberapa tipe yaitu:
1.
Preventive control
Sesuai dengan namanya, preventive control merupakan
control pada perusahaan yang bersifat preventif atau bersifat mencegah.
2.
Detective control
Detective control merupakan kontrol yang
mencatat sebuah kegiatan yang telah berlalu (logging) sehingga kegiatan dapat
ditinjau bilater dapat kejanggalan.
3. Reactive control
Reactive control merupakan kontrol yang memiliki sifat
menyerupai preventive control dan detective control. Kontrol ini tidak bersifat
mencegah namun apabila control ini menemukan sebuah kejanggalan, control ini akan
segera memberitahu dan melakukan pembenahan sama halnya seperti Antivirus pada
computer. Oleh karena itu kontrolini sering disebut sebagai control reactive.
Pada setiap control pasti memiliki sebuah
celah atau kelemahan. Oleh karena itu tahap pertama padas ebuah audit adalah menentukan
apa yang harus di audit dan setelah itu barulah dilakukan proses audit dengan 6
fase besar audit yaitu:
1. Perencanaan
2. Dokumentasi
3. Penemuan masalah dan validasi
4. Pengembangan solusi
5. Pembuatan laporan
6. Issue Tracking
Teknik Audit
Ada 13 teknik audit yaitu:
1. Audit
pengendalian Entity Level
2. Audit
data centers dan disaster recovery
3. Audit switch, routers dan firewalls
4. Audit
sistem operasi Windows
5. Audit
sistem operasi Linux
6. Audit
web server dan web aplikasi
7. Audit
database
8. Audit
penyimpanan
9. Audit
lingkungan virtual
10. Audit
WLAN dan mobile devices
11. Audit
aplikasi
12. Audit
cloud computing dan out sourced operations
13. Audit
proyek perusahaan/organisasi
Standard danKerangkaKerja
Dengan
dominannya penggunaan komputer dalam membantu kegiatan operasional diberbagai
perusahaan, maka diperlukan standar-standar control sebagai alat pengendali
internal untuk menjamin bahwa data elektronik yang diproses adalah benar.
Beberapa jenis standar control yaitu:
1. SARBOX (Sarbanes-Oxley Act)
Yaitu
merupakan peraturan yang ditandatangani Presiden George W.Bushtanggal 30 juli
2012 untuk mereformasi dunia pasar modal Amerika Serikat. Tujuan SARBOX yaitu:
a) Meningkatkan
akun tabilitas manajemen dengan memastikan bahwa manajemen akun tandan pengacara
memiliki tanggung jawab atas informasi keuangan yang menjadi tanggung jawab mereka.
b) Meningkatkan
pengungkapan dengan berusaha untuk menyatakan bahwa beberapa kejadian kunci dan
transaksi luar biasa tidak mendapatkan pengawasan hanya karena tidak disyaratkan
untuk diungkap di publik.
c) Meningkatkan
pengawasan rutin yang lebih intensif oleh SEC.
d) Meningkatkan
akun tabilitas akuntan.
2.
COBIT
(Control Objectives for Information and Related Technology)
Yaitu
alat pengendalian untuk informasi dan technology terkait dan merupakan standar terbuka
yang dikembangkan oleh ISACA melalui ITGI (Information and Technology Governance
Institute) pada tahun 1992. Tujuan dari COBIT yaitu untuk mengembangkan melakukan
riset dan mempublikasikan suatu standar teknologi informasi yang diterima umum dan
selalu up to date untuk digunakan dalam kegiatan bisnis sehari-hari.
3.
ISO
17799
Standar
untuk sistem manajemen keamanan informasi meliputi dokomen kebijakan keamanan informasi,
alokasi keamanan informasi tanggung-jawab,menyediakan semua para pemakai dengan
pendidikan dan pelatihan didalam keamanan informasi, mengembangkan suatusi stem
untuk pelaporan peristiwa keamanan, memperkenalkan virus kendali, mengembangkan
suatu rencana kesinambungan bisnis, mengendalikan pengkopian perangkat lunak kepemilikan,
surat pengantar arsip organisatoris, mengikuti kebutuhan perlindungan data, dan
menetapkan procedure untuk mentaati kebijakan keamanan.
Regulasi Audit
Kerangka dan Standar seiring perkembangan teknologi informasi
(IT) selama akhir abad ke-20, IT departemen dalam setiap organisasi biasanya mengembangkan
metode sendiri untuk mengelola operasi. Akhirnya, kerangka kerja dan standar muncul
untuk memberikan panduan bagi pengelolaan dan evaluasi proses TI. Beberapa kerangka kerja dan standar yang
paling menonjol saat ini terkait dengan penggunaan teknologi.
ManajemenRisiko
Perencanaan
audit internal harus berbasis pengetahuan akan risiko kegagalan organisasi dalam
mencapai tujuan. Perencanaan strategis perusahaan mencakupi pertimbangan risiko
kegagalan organisasi. Manajemen risiko berpengaruh pada perencanaan audit.
Auditor melakukan evaluasi kendali internal sebagai sarana penghindaran risiko.
Bagi
COSO, pengukuran-penetapan risiko adalah kegiatan penting bagi manajemen dan
auditor internal korporasi, sehingga auditor internal harus paham proses dans arana
untuk identifikasi, penilaian, pengukuran dan penetapan tingkat risiko (risk
assessment) sebagai dasar menyusun prosedur audit internal. COSO menyatakan
bahwa setiap entitas menghadapi risiko internal dariluar, bahwa risiko-risiko tersebut
harus didentifikasi dan dinilai-diukur terfokus pada pengamanan sasaran strategis
korporasi.
Perubahan sosial-politik-ekonomi-industri-hukum
dan perubahan kondis ioperasional perusahaan teraudit mengandung risiko,
manajemen perusahaan harus membentuk mekanisme untuk mengenali & menghadapi
perubahan tersebut. Basis utama manajemen risiko adalah asesmen risiko. Untuk keberlangsungan
usaha, asesmen risiko merupakan tanggung jawab manajemen yang bersifat integral
dan terus menerus, karena manajemen tak dapat memformulasikan sasaran dengan asumsi
sasaran akan tercapai tanpa risiko atau hambatan.
Contoh
risiko, bahaya, ancaman, atau hambatan mencapai sasaran korporasi adalah:
a)
Pesaing meluncurkan produk baru
b)
Perubahan teknologi menyebabkan jasa atau produk
tidak laku
d)
Formula rahasia dicuri dan dijua loleh karyawan
kepada pesaing
e)
KKN menggerusla badan membuat perusahaan keropos
0 komentar:
Posting Komentar