A.
Metodologi Audit Teknologi
Informasi
Dalam
praktiknya, tahapan-tahapan dalam audit IT tidak berbeda dengan audit pada
umumnya, sebagai berikut :
1. Tahapan Perencanaan.
Sebagai
suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar obyek yang
akan diperiksa sehingga menghasilkan suatu program audit yang didesain
sedemikian rupa agar pelaksanaannya akan berjalan efektif dan efisien.
2. Mengidentifikasikan reiko dan kendali.
Untuk
memastikan bahwa qualified resource sudah dimiliki, dalam hal ini aspek SDM
yang berpengalaman dan juga referensi praktik-praktik terbaik.
3. Mengevaluasi kendali dan mengumpulkan bukti-bukti.
Melalui
berbagai teknik termasuk survei, interview, observasi dan review dokumentasi.
4. Mendokumentasikan.
Mengumpulkan
temuan-temuan dan mengidentifikasikan dengan auditee.
5. Menyusun laporan.
Mencakup
tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yang dilakukan.
B.
Alasan Dilakukan Audit Teknologi Informasi
Weber, 2000 menyatakan beberapa alasan penting mengapa Audit
SI/TI perlu dilakukan, antara lain:
1.
Kerugian akibat kehilangan data.
Data
telah menjadi salah satu aset terpenting bagi perusahaan. Peran TI dalam
mengamankan data tersebut menjadi aspek yang patut diperhatikan.
Hal tersebut mengingat kehilangan data mungkin akan berakibat
terhadap terhentinya aktivitas bisnis yang penting di perusahaan. Kemungkinan
lain adalah’ aktivitas dapat berjalan namun membutuhkan waktu yang lama karena
dilakukan secara manual.
2. Kesalahan dalam pengambilan keputusan.
Banyak perusahaan yang saat ini telah
menggunakan bantuan Decision Support System (DSS) dalam membantu pengambilan
keputusan-keputusan penting. Dalam bidang kedokteran misalnya, keputusan dokter
untuk melakukan tindakan operasi dapat saja ditentukan dengan menggunakan
bantuan perangkat lunak yang menggunakan prinsip DSS. Tentu dapat dibayangkan
risiko yang mungkin dapat ditimbulkan apabila sang dokter salah memasukkan data
pasien ke sistem TI yang digunakan karena melibatkan bukan hanya material,
melainkan hal penting lain, yakni nyawa seseorang.
3.
Resiko kebocoran data.
Data bagi sebagian besar perusahaan merupakan
sumber daya yang tak ternilai. Informasi mengenai pelanggan misalnya, bisa
menjadi daya saing perusahaan. Melalui proses audit, dapat diketahui
kemungkinan kebocoran data pelanggan perusahaan. Kebocoran tersebut tidak hanya
berdampak terhadap kehilangan sejumlah pelanggan, akan tetapi lebih jauh lagi
dapat mengganggu kelangsungan aktivitas bisnis perusahaan secara keseluruhan.
4.
Penyalahgunaan komputer.
Kejahatan komputer kian
meningkat seiring dengan pesatnya pertumbungan teknologi informasi dan
komunikasi. Kejahatan tersebut bisa dilakukan oleh pihak luar (hacker, cracker)
karena ingin mengambil keuntungan sebanyak¬banyaknya atau kebanggaan pribadi,
maupun oleh karyawan perusahaan sendiri karena merasa tidak puas dengan
kebijakan perusahaan.
Keberadaan audit khususnya di bidang manaJemen keamanan
informasi menjadi penting untuk mengetahui kemungkinan penyalahgunaan aktivitas
terkait dengan TI yang kritis di perusahaan. Pembahasan lebih lanjut mengenai
hal tersebut dapat dilihat dalam buku: Sistem Manqjemen Keamanan Informasi
(SMKl) berbasis ISO 27001 (Sarno & Iffano, 2009).
5.
Kerugian akibat kesalahan proses
perhitungan.
Salah satu alasan penggunaan TI adalah
kemampuannya dalam mengolah data secara tepat dan akurat namun bukan tanpa
resiko kesalahan. Resiko tersebut akan menjadi semakin besar tanpa didukung
dengan keberadaan mekanisme pengembangan yang memadai yang evaluasi
implementasinya dapat dievaluasi melalui Audit SI/TI.
6. Tingginya nilai investasi perangkat keras dan perangkat lunak
komputer.
Investasi yang dikeluarkan untuk proyek TI
sering kali besar namun pengukuran manfaat yang diberikan TI terhadap bisnis
sering kali sulit diukur karena melibatkan banyak faktor dan kepentingan.
Keberadaan Audit SI/TI membantu pihak manajemen dalam memastikan penggunaan TI
sesuai dengan standar pengelolaan yang baik, kebijakan, hukun dan regulasi yang
berlaku sehingga dapat diarahkan untuk mendukung pencapaian Tujuan Bisnis.
C.
Manfaat
Audit Teknologi Informasi
1. Manfaat pada saat Implementasi (Pre-Implementation Review)
– Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria.
– Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
– Mengetahui apakah outcome sesuai dengan harapan manajemen.
2. Manfaat setelah sistem live (Post-Implementation Review)
– Institusi mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk penanganannya.
– Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis, dan anggaran pada periode berikutnya.
– Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang.
– Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan.
– Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan pemeriksaan.
– Membantu dalam penilaian apakah initial proposed values telah terealisasi dan saran tindak lanjutnya.
SUMBER :
GAMBAR :
