Metodologi Audit Teknologi Informasi
Dalam praktiknya, tahapan-tahapan dalam audit IT tidak berbeda dengan
audit pada umumnya, sebagai berikut :
1.
Tahapan Perencanaan
Sebagai suatu pendahuluan mutlak
perlu dilakukan agar auditor mengenal benar obyek yang akan diperiksa sehingga
menghasilkan suatu program audit yang didesain sedemikian rupa agar
pelaksanaannya akan berjalan efektif dan efisien.
2.
Mengidentifikasikan
Resiko Dan Kendali
Untuk memastikan bahwa qualified
resource sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga
referensi praktik-praktik terbaik.
3.
Mengevaluasi
Kendali Dan Mengumpulkan Bukti-Bukti
Melalui berbagai teknik termasuk survei, interview,
observasi, dan review dokumentasi.
4.
Mendokumentasikan
Mengumpulkan temuan-temuan dan mengidentifikasikan
dengan auditee.
5. Menyusun Laporan
Mencakup tujuan pemeriksaan, sifat, dan kedalaman
pemeriksaan yang dilakukan.
Jenis-jenis
Audit Teknologi Informasi terbagi menjadi 2, yaitu :
1. Audit Around The Computer
hanya memeriksa dari sisi user
saja dan pada masukan dan keluaranya tanpa memeriksa lebih terhadap program
atau sistemnya. Audit
ini dilakukan pada saat:
a. Dokumen
sumber tersedia dalam bentuk kertas (bahasa non-mesin), artinya masih kasat
mata dan dilihat secara visual.
b. Dokumen-dokumen
disimpan dalam file dengan cara yang mudah ditemukan.
c. Keluaran
dapat diperoleh dari daftar yang terinci dan auditor mudah menelusuri setiap
transaksi dari dokumen sumber kepada keluaran dan sebaliknya.
Kelebihan dari Audit ini :
a. Proses audit
tidak memakan waktu lama karena hanya melakukan audit tidak secara mendalam.
b. Tidak harus
mengetahui seluruh proses penanganan sistem.
c. Umumnya
database mencakup jumlah data yang banyak dan sulit untuk ditelusuri secara
manual.
d. Tidak
membuat auditor memahami sistem komputer lebih baik.
e. Mengabaikan
pengendalian sistem, sehingga rawan terhadap kesalahan dan kelemahan potensial
dalam system.
f.
Lebih berkenaan dengan hal
yang lalu daripada audit yang preventif.
g. Kemampuan
komputer sebagai fasilitas penunjang audit tidak terpakai.
h. Tidak
mencakup keseluruhan maksud dan tujuan audit.
2. Audit Through The Computer
Dimana
auditor selain memeriksa data masukan dan keluaran, juga melakukan uji coba
proses program dan sistemnya atau yang disebut dengan white box,
sehinga auditor merasakan sendiri langkah demi langkah pelaksanaan sistem serta
mengetahui sistem bagaimana sistem dijalankan pada proses tertentu. Audit ini dilakukan pada saat:
a. Sistem
aplikasi komputer memproses input yang cukup besar dan menghasilkan output yang
cukup besar pula, sehingga memperluas audit untuk meneliti keabsahannya.
b. Bagian
penting dari struktur pengendalian intern perusahaan terdapat di dalam
komputerisasi yang digunakan.
Kelebihan dari Audit ini :
a. Dapat
meningkatkan kekuatan pengujian system aplikasi secara efektif.
b. Dapat
memeriksa secara langsung logika pemprosesan dan system aplikasi.
c. Kemampuan
system dapat menangani perubahan dan kemungkinan kehilangan yang terjadi pada
masa yang akan dating.
d. Auditor
memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian terhadap
system computer.
e. Auditor
merasa lebih yakin terhadap kebenaran hasil kerjanya.
Alasan
Diperlukannya Audit :
1.
Kerugian akibat kehilangan data
Informasi berasal dari suatu data yang diolah dan
memiliki manfa’at bagi penggunanya. Oleh karena itu, data adalah suatu aset
yang penting bagi suatu perusahaan atau organisasi. Informasi dari suatu data
akan menjadi gambaran dari kondisi di masa lalu, sekarang, dan masa yang akan
datang. Jika informasi dari data tersebut hilang, maka akan menyebabkan suatu
kesalahan yang fatal.
2. Kesalahan dalam
pengambilan keputusan
Saat ini masih banyak instansi yang menggunakan
perangkat lunak dalam mengambil keputusan. Namun, resiko yang ditimbulkan bisa
saja bukan lagi membahayakan sistem, tetapi juga dapat membahayakan nyawa
seseorang seperti dalam penggunaan DSS (Sistem Penunjang Keputusan) dalam
bidang kedokteran. Tingkat akurasi dan pentingnya suatu data tergantung kepada
jenis keputusan yang akan diambil.
3. Kerugian yang disebabkan
oleh kesalahan pemrosesan computer
Banyak organisasi atau perusahaan yang telah
menggunakan komputer sebagai sarana untuk meningkatkan kualitas pekerjaan
mereka. Mulai dari hal yang sederhana, pernghitungan bunga dalam jumlah besar,
dan juga navigasi pesawat terbang atau peluru kendali. Kerugian tersebut dapat
pula berupa kebocoran data dan dapat menimbulkan dampak yang akan merugikan
bagi suatu perusahaan atau organisasi seperti kehilangan klien, pelanggan,
perhitungan matematis yang sulit dipercaya, dan juga dapat menggangu
kelangsungan hidup perusahaan.
4. Penggunaan komputer yang
di salah gunakan
Tingginya tingkat penyalahgunaan komputer menjadi
salah satu alasan mengapa audit sistem informasi diperlukan. Banyak sekali
pihak yang tidak bertanggungjawab dapat melakukan kejahatan komputer seperti
Hacker, Cracker dan Virus.
a.
Hacker : Merupakan
seseorang yang dengan sengaja masuk ke dalam suatu sistem tanpa izin. Mereka
melakukan hal tersebut biasanya hanya untuk membuat dirinya sendiri atau
kelompoknya bangga karena telah berhasil menembus sistem keamanan dari suatu
perusahaan atau organisasi, tanpa ada maksud untuk merusak atau mengambil
sesuatu atas apa yang telah dilakukan.
b. Cracker : Cracker
memasuki suatu sistem yang memiliki tujuan untuk mengambil keuntungan
sebanyak-banyaknya seperti mengubah, merusak, atau bahkan menghancurkan sistem
tersebut.
c. Virus :
Merupakan sebuah program komputer yang melekatkan diri dan menjalankan dirinya
sendiri pada suatu data. Virus meriplikasi dirinya sendiri secara aktif dan
mengganggu atau merusak suatu sistem operasi, data, dan bahkan mengacaukan
sistem.
Kejahatan komputer juga dapat dilakukan oleh
karyawan yang merasa tidak puas dengan kebijaksanaan perusahaan, baik yang
masih bekerja, sudah berhenti, keluar, diberhentikan dari perusahaan tersebut
dan bahkan yang pindah bekerja ke perusahaan lain. Dan hal tersebut dilakukan
untuk memperoleh keuntungan atau manfaat dalam bersaing. Oleh karena itu audit
sangat diperlukan dan terdapat dua hal utama yang harus diperhatikan pada saat
melakukan audit atau pemrosesan data elektronik seperti pengumpulan bukti dan
evaluasi bukti.
5. Kesalahan pada proses
perhitungan
Sistem Informasi sering digunakan untuk melakukan
proses menghitung yang rumit karena memiliki kemampuan untuk mengolah data
secara tepat dan akurat, namun juga menimbulkan resiko kesalahan. Tanpa adanya
pengembangan sistem yang baik, tentu saja dapat terjadi kesalahan menghitung
dan yang lebih buruk adalah sistem yang baru yang sudah dibuat akan sulit di
deteksi tanpa ada proses audit yang dilakukan.
6. Nilai investasi yang
tinggi untuk perangkat keras dan perangkat lunak computer
Investasi yang dikeluarkan suatu perusahaan tentu
sangat besar dan sulit untuk mengukur manfaat yang dapat diberikan oleh suatu
sistem atau teknologi informasi.
Manfaat
Audit IT :
1.
Manfaat pada saat Implementasi
(Pre-Implementation Review)
a.
Institusi dapat mengetahui apakah sistem yang telah
dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria.
b.
Mengetahui apakah pemakai telah siap menggunakan
sistem tersebut.
c.
Mengetahui apakah outcome sesuai dengan harapan
manajemen.
2.
Manfaat
setelah sistem live (Post-Implementation Review)
a.
Institusi mendapat masukan atas risiko-risiko yang
masih yang masih ada dan saran untuk penanganannya.
b.
Masukan-masukan tersebut dimasukkan dalam agenda
penyempurnaan sistem, perencanaan strategis, dan anggaran pada periode
berikutnya.
c.
Bahan untuk perencanaan strategis dan rencana
anggaran di masa mendatang.
d.
Memberikan reasonable assurance bahwa sistem
informasi telah sesuai dengan kebijakan
atau prosedur yang telah ditetapkan.
e.
Membantu memastikan bahwa jejak pemeriksaan (audit
trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun
pihak lain yang berwewenang melakukan pemeriksaan.
f.
Membantu dalam penilaian apakah initial proposed
values telah terealisasi dan saran
tindak lanjutnya.
