Case Study IT Audit: PT BPR Maju Bersama

Case Study

PT Bank Perkreditan Rakyat Maju Bersama adalah sebuah perusahaan yang bergerak dalam bidang perbankan. PT BPR Maju Bersama saat ini memiliki sistem informasi namun belum menggunakan ERP system. Sistem informasi tersebut di develop oleh tim TI PT BPR Maju Bersama. Sistem informasi yang dimiliki oleh perusahaan sudah terintegrasi, namun kemudian diperoleh informasi bahwa setiap program aplikasi menggunakan bahasa program development yang berbeda. Program aplikasi untuk penghitungan gaji dan bonus dibangun dengan menggunakan bahasa program Oracle, sedangkan untuk program akuntansi menggunakan program aplikasi yang dibangun dengan Visual C.

Data untuk penghitungan insentif dan bonus tim marketing, di-entry, proses dan output-nya dikerjakan oleh tim TI. Hasil penghitungan insentif dan bonus tersebut didistribusikan ke bagian Akuntansi dan keuangan untuk dibayarkan kepada anggota tim. Menurut manajer TI, perhitungan insentif dan bonus sudah pasti tanpa kesalahan karena merupakan output komputer dan tidak memerlukan verifikasi.

Server PT Majuku berada di kantor pusat yang berada di Karawang sedangkan cabang tidak memiliki server langsung menggunakan WAN yang dikoneksikan melalui satelit. Kepada anggota tim diberikan fasilitas untuk melakukan transaksi menggunakan fasilitas internet.
Perusahaan belum menyusun BCP. Namun berdasarkan kebiasaan, data yang ada pada server di back up sebulan sekali dalam bentuk softcopy dan hardcopy yang disimpan pada gudang kantor pusat. Program pada PT BPR Maju Bersama tidak menggunakan audit log dengan alasan membuat penuh memory pada server. Password tingkat tertinggi pada program perusahaan dipegang oleh Manajer TI.

Hal yang perlu Anda analisis – sintesis:

Apabila Anda adalah auditor yang ditugaskan untuk melakukan audit terhadap sistem informasi perusahaan tersebut:

  1. Tentukan risiko yang muncul berdasarkan kasus di atas!
  2. Lakukan tahap-tahap audit, jika perlu tambahkan asumsi yang Anda anggap perlu!
  3. Berikan Rekomendasi perbaikan TI PT BPR Maju Bersama!

 

Jawab

Resiko yang muncul

Untuk menentukan resiko apa saja yang muncul berdasarkan kasus tersebut di atas, perlu dianalisa terlebih dahulu internal control yang ada di PT BPR Maju Bersama. Hal ini karena internal control berfungsi untuk memitigasi resiko yang ada.

Menurut Davis (2011), internal control adalah mekanisme yang dapat memastikan proses dalam sebuah perusahaan berfungsi dengan semestinya. Internal control dapat bersifat preventive, detective, maupun reactive. Implementasi internal control dapat bersifat administrative, technical, maupun physical implementation. Contoh administrative implementation misalnya dengan menentukan aturan dan larangan. Technical implementation dapat berupa software yang mengimplementasikan control, semisal password. Physical control dapat berupa kartu akses untuk pintu kantor serta petugas security yang berjaga.

Berikut beberapa internal control dan resiko yang terkait di dalamnya:

Data Synchronization Control

Karena belum ada ERP, terdapat resiko perbedaan data pada database antara satu aplikasi dengan aplikasi lain yang dipakai PT BPR Maju Bersama. Internal control yang dapat digunakan untuk memitigasi resiko ini:

  • Pastikan data pada database aplikasi A mengacu pada data yang valid pada aplikasi B.
  • Pastikan index database berfungsi dengan normal
  • Pastikan perubahan pada satu aplikasi tidak mengganggu struktur database aplikasi lain.

Code Maintenance Control

Karena bahasa pemrograman yang dipakai berbeda-beda, ada resiko kesulitan maintenance code aplikasi yang digunakan. Internal control yang dapat digunakan untuk memitigasi resiko ini:

  • Pastikan terdapat inline comment pada source code yang digunakan
  • Pastikan dokumen yang berisi penjelasan source code ada
  • Pastikan programmer menggunakan central code repository seperti git / SVN.

Accounting Inaccuracy Control

Karena data insentif dan bonus tim marketing di-input oleh tim IT, terdapat resiko ketidakakuratan hasil penghitungan akuntansi. Karena walaupun data diproses dengan komputer, tidak ada tim akuntansi yang memverifikasi kebenaran hasil pemrosesan tersebut. Internal control yang dapat digunakan untuk memitigasi resiko ini:

  • Pastikan tim accounting memverifikasi validitas rumus / perhitungan yang digunakan pada aplikasi penghitungan insentif dan bonus.
  • Pastikan data insentif dan bonus dapat di-generate secara otomatis oleh sistem, dan tidak bergantung pada tim IT untuk inputnya.

Data Link Availability Control

Karena koneksi antara cabang dengan kantor pusat dilakukan melalui satelit, terdapat resiko ketersediaan jaringan komunikasi. Hal ini karena sifat dari satelit sendiri, yang berpotensi lumpuh jika posisi antena tidak akurat. Internal control yang dapat digunakan untuk memitigasi resiko ini:

  • Pastikan maintenance terhadap antena dan unit satelit dijalankan secara rutin
  • Pastikan tim yang memantau komunikasi satelit terdiri dari orang-orang yang berkompeten dalam bidang ini.
  • Pastikan ada monitoring terhadap komunikasi ke satelit, sehingga kualitas jaringan ke satelit tetap terjaga.

Business Continuity Control

Karena belum ada BCP (Business Continuity Planning), terdapat resiko terhadap kelangsungan bisnis jika terjadi disaster (bencana). Internal control yang dapat digunakan untuk memitigasi resiko ini:

  • Buat planning BCP beserta dokumennya.
  • Lakukan simulasi BCP secara rutin tiap tahunnya.

Backup Data Recovery Point Objective (RPO) Control

Karena data dibackup hanya sebulan sekali, terdapat resiko ketersediaan data jika dibutuhkan restore terhadap data terbaru. Data lama yang dapat di-restore paling dekat adalah sebulan ke belakang, sehingga jika PT BPR Maju Bersama membutuhkan data sehari sebelumnya, tidak dapat dilakukan. Internal control yang dapat digunakan untuk memitigasi resiko ini:

  • Buat schedule backup sehari sekali
  • Lakukan test restore terhadap data yang sudah dibackup, untuk memastikan data tersebut dapat di-restore.

Backup Data Security Control

Karena softcopy dan hardcopy disimpan di gudang kantor pusat, terdapat resiko security jika terjadi pencurian terhadap data tersebut. Internal control yang dapat digunakan untuk memitigasi resiko ini:

  • Pastikan akses ke gudang dilengkapi dengan access card elektronik.
  • Pastikan gudang diawasi security selama 24 jam, 7 hari seminggu
  • Pastikan gudang aman dari resiko kebakaran dari ruangan-ruangan di sekitarnya.

System / Server Access Control

Karena tidak ada audit log, terdapat resiko tidak adanya monitoring terhadap siapa saja yang mengakses server dan melakukan apa saja terhadap server. Selain itu password tingkat tertinggi dipegang oleh manajer IT, bukan tim IT Security, sehingga control terhadap computer access harus diperhatikan. Internal control yang dapat digunakan untuk memitigasi resiko ini:

  • Buat tim IT security yang berfungsi mengelola security dan password semua aplikasi, sistem, dan database perusahaan.
  • Pastikan ada catatan yang berisi data peminjaman password.
  • Pastikan password aplikasi, sistem, dan database diubah secara rutin setiap kali dipinjam. Jika tidak pernah dipinjam, pastikan password diubah sebulan sekali.

 

Tahapan Audit untuk PT BPR Maju Bersama

Menurut Davis (2011), terdapat enam tahap utama dalam melakukan audit. Berikut enam tahap tersebut yang langsung diterapkan dalam studi kasus PT BPR Maju Bersama.

davis_audit.png

Planning

Tujuan tahap planning ini adalah untuk menentukan tujuan dan scope audit. Hal-hal apa saja yang akan di-audit perlu di-review secara matang dalam tahap ini. Poin-poin audit bisa didapatkan dari catatan dari audit manager, preliminary survey, permintaan dari customer, checklist standar, maupun dari hasil riset.

Setelah diketahui hal-hal apa saja yang akan di-audit, kemudian dilakukan assessment terhadap resiko-resiko pada area yang akan di-review. Resiko-resiko ini sudah dipaparkan pada jawaban nomor 1.

Kemudian dijadwalkan penjadwalan, kapan audit tersebut akan dilakukan ke PT BPR Maju Bersama. Kick-off meeting kemudian akan dilakukan bersama dengan PT BPR Maju Bersama. Hal-hal yang akan disampaikan meliputi scope apa saja yang akan di-audit dan tidak akan di-audit. Dalam kick-off meeting ini juga menjadi sesi final jika customer ingin memberikan input tambahan terkait audit yang akan dilakukan.

Fieldwork and documentation

Pada tahap ini, tahap audit yang sudah dipersiapkan sebelumnya dijalankan di lapangan oleh tim audit.

  • Lakukan audit dengan melakukan pengecekan log system, log aplikasi, dan log database jika ada.
  • Lakukan wawancara dengan tim IT yang terkait resiko yang sudah ditentukan pada jawaban nomor 1.
  • Cek lokasi gudang, apakah terdapat security yang berjaga dan apakah ada CCTV yang terpasang.
  • Cek apakah dokumentasi code dan aplikasi terekam dengan jelas.
  • Cek apakah rumus yang digunakan pada penghitungan insentif dan bonus tim marketing masih valid dan relevan.
  • Cek ketersediaan jaringan satelit serta kontrak sewa kepada perusahaan satelit masih berlangsung lama.
  • Cek bagaimana tim IT akan menghadapi disaster terhadap sistem IT maupun kantor pusat.
  • Cek apakah backup database 2 tahun ke belakang masih dapat di-restore.
  • Cek apakah ada catatan peminjaman user id dan password.
  • Cek apakah jaringan WAN yang saat ini digunakan diproteksi dengan enkripsi seperti VPN (Virtual Private Network).
  • Cek apakah license yang digunakan untuk Oracle dan Visual C masih berlaku.

Issue discovery and validation

Selama audit dilakukan, catat semua issue yang menjadi perhatian. Pastikan semua issue yang dicatat valid dan relevan. Komunikasikan secepat mungkin dengan customer jika ada issue yang menjadi perhatian.

Solution development

Pada tahap ini, lakukan kerjasama bersama customer dalam membuat action plan untuk mengatasi issue-issue yang ditemukan selama fieldwork. Tiga pendekatan yang dapat digunakan untuk mengatasi issue yang ada:

  • Recommendation approach

Pada pendekatan ini, kemukakan issue apa saja yang ditemukan kepada customer, kemudian sampaikan rekomendasi apa saja yang dapat dilakukan. Jika customer setuju dengan rekomendasi tersebut, action plan tersebut baru dapat dijalankan.

  • Management-response approach

Pada pendekatan ini, tim audit cukup memberikan daftar semua issue yang ditemukan kepada customer. Customer kemudian akan menentukan response dan action plan yang akan dilakukan.

  • Solution approach

Pada pendekatan ini, tim audit dan customer bekerja sama untuk mengembangkan solusi yang disetujui bersama.

Issue yang ditemukan pada tahap sebelumnya, diberikan rekomendasinya pada jawaban nomer 3 pada soal ini.

Report drafting and issuance

Pada tahap ini, dibuat laporan audit. Laporan audit berfungsi sebagai pelaporan untuk tim audit dan customer, serta pelaporan untuk senior manager dan komite audit.

Issue tracking

Pada tahap akhir ini, dilakukan pengecekan dan tracking, apakah action plan sudah dijalankan terhadap issue yang sudah ditemukan pada sesi audit.

 

Perbaikan IT untuk PT BPR Maju Bersama

  • Segera implementasikan ERP. Semakin banyaknya transaksi akan membuat sistem sekarang menjadi lebih kompleks jika tidak dibuat terpusat. Akan lebih baik jika ERP mulai dikembangkan dari sekarang.
  • Gunakan centralized code repository seperti git / SVN. Hal ini agar manajemen code dapat dilakukan lebih baik dan terdokumentasi dengan baik. Selain itu juga meningkatkan kinerja programmer, karena memudahkan mereka untuk berkolaborasi dalam mengembangkan code.
  • Berikan pemahaman kepada programmer senior maupun junior mengenai pentingnya komentar inline pada code yang dikembangkan. Jika perlu, lakukan standarisasi komentar inline tersebut, agar code lebih mudah dibaca oleh orang lain.
  • Pastikan setiap changes yang akan masuk ke production dilengkapi dengan dokumen yang berisi source code terbaru. Hal ini agar perubahan terhadap code dapat selalu terdokumentasi, code apa saja yang berubah dan fungsi apa saja yang berubah.
  • Buat sistem otomasi penghitungan insentif dan bonus tim marketing, sehingga tidak perlu ada campur tangan manusia dalam penghitungan ini. Hal ini untuk menghindari human error jika input masih dilakukan secara manual.
  • Sewa jaringan internet umum sebagai alternatif komunikasi dari kantor cabang ke kantor pusat. Gunakan VPN (Virtual Private Network) agar komunikasi lebih aman.
  • Lakukan backup minimal sehari sekali. Akan lebih baik jika backup bisa dilakukan tiap enam jam sekali. Sehingga RPO yang dicapai lebih dekat, untuk mengurangi resiko hilangnya data transaksi.
  • Simpan data backup di lokasi off-site, atau lokasi yang berbeda dengan data center kantor pusat. Hal ini agar jika terjadi kerusakan pada data center kantor pusat, data backup masih aman karena berada di lokasi yang terpisah.
  • Pastikan lokasi penyimpanan data backup di off-site terlindung dari bencana dan resiko pencurian. Lokasi penyimpanan off-site harus dilengkapi security yang siaga 24 jam selama 7 hari dalam seminggu. Pastikan lokasi terekam CCTV.
  • Bangun centralized password repository seperti software cyberark. Dengan menggunakan repository password seperti ini, manajemen password semua aplikasi, sistem, dan database dapat dilakukan dengan mudah. Sistem cyberark juga dapat melakukan password reset setiap kali password selesai dipinjam dan  secara rutin tiap periode yang ditentukan. Cyberark juga dapat mencatat siapa saja yang meminjam password, sehingga dapat digunakan untuk kepentingan audit nantinya.
  • Buat tim IT security, untuk mengelola password dan security aplikasi, sistem, dan database perusahaan.

 

 

Referensi:

Peltier, T. (2005). Information Security Risk Analysis 2nd ed. Taylor & Francis Group, LLC

Davis, C. et al (2011). IT Auditing Using Controls to Protect Information Assets, 2nd Edition. McGraw-Hill Education; 2 edition (January 31, 2011)

Cyberark – Centralized Password Management. https://www.cyberark.com/

Advertisements

Auditor IT dan Lingkungan Hukum Sistem Informasi

Lindasari, et al (manajemen2011m1.blogspot.co.id, diakses tanggal 11 Maret 2017) mengatakan bahwa lingkungan hukum adalah latar belakang hukum dimana perusahan menjalankan kegiatan operasional perusahaan. Perusahaan harus menaati hukum, peraturan, dan undang-undang di negara di mana perusahaan tersebut beroperasi.

Jika dikaitkan dengan audit TI, maka audit terhadap IT suatu perusahaan harus memastikan penerapan IT di perusahaan tersebut sesuai dengan aturan dan undang-undang di mana perusahaan tersebut berada. Selain itu, audit IT juga harus melihat apakah IT memungkinkan perusahaan beroperasi selaras dengan aturan dan undang-undang dimana perusahaan berada.

Auditor IT harus mengetahui lingkungan hukum dimana perusahaan beroperasi. Hal-hal atau poin penting apa saja yang harus dicek oleh seorang auditor IT harus selaras dengan aturan hukum dimana perusahaan yang menggunakan IT tersebut berada. Hal ini untuk memastikan penerapan IT di perusahaan tersebut tidak melanggar aturan negara dan integritas IT dapat tetap terjaga.

Selain itu, menurut Senft & Gallegos (2009), terdapat issue penting terkait IT dan hukum (legal). Berkaca pada kasus Enron dan Arthur Andersen LLP, hukum yang berlaku pada perusahaan harus memungkinkan perusahaan mendeteksi, menghindari, dan memperbaiki penyimpangan (fraud) sejenis. Ditambah lagi dengan kemajuan teknologi jaringan, menjadikan masalah keamanan dan privasi menjadi lebih vital. Maka dari itu, departemen audit harus mengerti lingkungan hukum di mana sistem informasi perusahaan dijalankan. Auditor IT perlu mengetahui aturan hukum terkait IT yang legal, misal terkait lisensi, copyright, privasi, penggunaan enkripsi, serta aturan pemerintah yang mungkin berbeda antara satu negara dengan negara yang lain. Contohnya, berdasarkan pengalaman penulis, adalah salah satu aturan dari Bank Indonesia terkait retensi penyimpanan data. Bank komersial di Indonesia diharuskan menyimpan backup database bank dalam bentuk offsite copy (salinan yang diletakkan di tempat terpisah dari gedung utama) selama 10 tahun. Auditor IT harus mengerti mengenai aturan khusus ini, dan memastikan perusahaan menepati aturan yang ada.

 

Referensi:

Senft, S., & Gallegos, F. (2009). Information technology control and audit. New York: CRC Press.

Lindasari, et al. (2014). Lingkungan Hukum dan Lingkungan Politik dalam Pemasaran Internasional. http://manajemen2011m1.blogspot.co.id/2014/03/lingkungan-hukum-dan-politik.html (diakses tanggal 11 Maret 2017)

E-Cash dan Kontrol IT terhadap E-Cash

Pengertian E-Cash

Menurut Broneck (2003), E-Cash atau yang kadang disebut sebagai uang digital atau digital cash, adalah bentuk mata uang elektronik (electronic currency) yang digunakan untuk melakukan pembayaran atas barang atau jasa, dan kebanyakan dilakukan melalui transaksi secara online. Pengguna harus terlebih dahulu membeli credit dari penyedia jasa digital cash, kemudian melakukan transfer credit tersebut ke vendor yang bersangkutan, bisa dengan menggunakan kartu kredit, nomer rekening bank, maupun dalam bentuk cek. Ketika pengguna membayar dengan menggunakan digital cash, proses penyelesaian pembayaran berjalan secara otomatis dan online, dan tidak membutuhkan approval bank atau perusahaan kartu kredit.

Pengertian E-cash menurut Senft & Gallegos (2009), adalah electronic cash yang digunakan dalam transaksi jual beli (commerce) virtual. Penggunaan E-cash memberikan beberapa hal positif bagi pengguna, antara lain kemudahan, fleksibilitas, kecepatan, pengurangan biaya, dan privasi yang lebih baik dibandingkan menggunakan kartu kredit atau cek di internet.

Salah satu bentuk E-cash yang sangat populer ketika artikel ini ditulis adalah Paypal. Paypal didirikan pertama kali pada tahun 1998, salah satu pendirinya adalah Elon Musk. Saat ini Paypal sangat populer digunakan sebagai media pembayaran online. Begitu terkenalnya Paypal, saat ini nominal transaksi yang ditangani oleh Paypal adalah sebesar 7000 USD per detik, setiap harinya. Shadlou (2011) mengilustrasikan cara kerja sistem Paypal sebagai berikut:

Chum - Paypal

Berdasarkan ilustrasi tersebut, dapat cara kerja Paypal adalah sebagai berikut:

  1. Pelanggan melihat-lihat barang dagangan di situs e-commerce, kemudian memutuskan untuk membeli barang tersebut dengan menekan tombol purchase
  2. Setelah tombol purchase ditekan, pelanggan akan dibawa ke halaman Paypal, di mana mereka harus login ke akun Paypal pelanggan. Di dalam situs Paypal ini, pelanggan akan dihadapkan pada informasi pembayaran yang harus dilakukan, seperti barang apa yang dibeli dan berapa harga yang harus dibayarkan. Pelanggan kemudian melakukan pembayaran terhadap invoice tersebut.
  3. Setelah pembayaran dilakukan, server Paypal akan mengirimkan notifikasi berupa Instant Payment Notification (IPN) ke server e-commerce.
  4. Setelah itu, server e-commerce kemudian harus melakukan verifikasi IPN tersebut ke server Paypal. Jika IPN terverifikasi, maka situs e-commerce dapat memproses order yang dilakukan oleh pelanggan.

Kontrol IT terhadap E-Cash

Terkait E-Cash, kontrol IT harus memperhatikan beberapa hal agar E-cash dapat berhasil digunakan secara efektif dan efisien. Kontrol dan audit IT harus berperan agar perkembangan E-cash dapat terkendali dan agar sistem yang digunakan pada E-cash lebih simpel dan efisien. E-cash juga harus dibuat lebih secure dibandingkan metode penyimpanan tradisional di bank.

Shaw (2010), mengatakan bahwa untuk menghindarkan terjadinya kebocoran data finansial yang terkait dengan online payment, e-commerce perlu menerapkan standar keamanan PCI DSS.

pci-dss

PCI DSS menurut techtarget.com adalah seperangkat aturan dan prosedur yang bertujuan untuk mengoptimalkan tingkat keamanan transaksi kartu kredit dan kartu debit serta melindungi pemegang kartu dari penyalahgunaan data-data pribadi pemegang kartu. Masih menurut Shaw (2010), PCI DSS memungkinkan adanya notifikasi jika akan terjadi kebocoran data, dan juga membuat sistem dapat terhindar dari kebocoran data.

E-cash juga harus dibuat agar terhindar dari penggunaan kriminal, seperti money laundry dan pengemplangan pajak. Selain itu, diperlukan sistem yang khusus untuk memverifikasi keaslian E-cash yang digunakan, agar tidak dipalsukan oleh pihak yang sengaja mencari keuntungan. Hal yang harus diperhatikan oleh IT dalam menerapkan E-cash adalah confidentiality, integrity, non repudiation, dan authentication, dan keempat hal tersebut dapat direalisasikan jika IT menggunakan metode enkripsi serta validasi dengan third party.

 

Referensi:

Broneck, K. (2003). Digital cash. In S. Jones (Ed.), Encyclopedia of new media (pp. 137-137). Thousand Oaks, CA: SAGE Publications Ltd. doi: 10.4135/9781412950657.n70

Senft, S., & Gallegos, F. (2009). Information technology control and audit. New York: CRC Press.

Shadlou, Saeed. (2011). Online Payment via PayPal API Case Study Event Registration
Management System (ERMS). International Journal of Web Portals

Gil, Paul. (2017). PayPal for Beginnershttps://www.lifewire.com/paypal-for-beginners-4024875 (diakses tanggal 8 April 2017).

Shaw, Abraham. (2010). Data breach: From notification to prevention using PCI DSS. Columbia J. Law Soc. Probl. 43(4), pp. 517-562. Available: https://search.proquest.com/docview/752061975?accountid=25704 (diakses tanggal 8 April 2017)

PCI DSS (Payment Card Industry Data Security Standard). http://searchfinancialsecurity.techtarget.com/definition/PCI-DSS-Payment-Card-Industry-Data-Security-Standard (diakses tanggal 8 April 2017)

Masalah Utama Kontrol dan Audit di Lingkungan Global

Menurut Davis (2011), misi departement audit di dalam sebuah organisasi adalah sebagai berikut:

  • Memberikan kepastian kepada komite audit bahwa internal control dalam organisasi terjaga dan berfungsi secara efektif
  • Meningkatkan internal control dalam organisasi dengan cara mengidentifikasi kelemahan kontrol serta membantu organisasi mengembangkan solusi yang cost effective untuk menghilangkan kelemahan tersebut.

Namun, tim audit kadang belum berfungsi secara optimal. Menurut Senft & Gallegos (2009), berikut beberapa alasannya:

  • Kurangnya human resource yang memiliki skill dan pengetahuan yang memadai tentang IT dan Audit IT
  • Kurangnya riset dan panduan terkait Audit IT
  • Perkembangan teknologi dan IT sangat cepat, sementara pengembangan audit di bidang tersebut kadang tidak mencukupi.

Masih menurut Davis (2011), departemen audit dianggap sebagai momok bagi departemen lain yang menjadi target audit. Tim audit kadang menemukan kelemahan kontrol dalam sebuah project setelah project tersebut selesai dikerjakan. Sementara anggota tim yang terlibat dalam project tersebut seringnya sudah tidak berminat melakukan perbaikan terhadap project yang sudah selesai tersebut. Alasan utama adalah karena mereka sudah di-assign untuk project yang lain sehingga fokus mereka sudah berganti.

Saran yang diberikan oleh Davis (2011) adalah agar departemen audit mengubah cara kerja mereka. Walaupun departemen audit dianggap sebagai bagian yang independen, terpisah dari departemen lain, namun mereka tetap tidak dapat memisahkan diri dari departemen lain. Departemen audit harus terlibat dari awal project dengan memberikan masukan-masukan agar hasil akhir project berupa produk yang tetap dalam kendali internal organisasi. Selain itu, tim audit juga dapat meminta saran dari departemen terkait (misal departemen IT) ketika departemen audit membutuhkan tenaga di bidang audit IT, agar terbentuk tim audit yang kompeten dalam bidangnya. Tentu saja dari departemen IT harus terlebih dahulu mengubah pandangan bahwa audit adalah momok, tapi lebih sebagai konsultan. Dengan demikian organisasi tetap dapat memiliki kendali internal atas project yang dibuat, dan departemen audit serta departemen yang menjadi target audit (IT misalnya) tidak keberatan atas peraturan yang dibuat oleh perusahaan dan ditegakkan oleh departemen audit.

 

Referensi:

Davis, C. et al (2011). IT Auditing Using Controls to Protect Information Assets, 2nd Edition. McGraw-Hill Education; 2 edition (January 31, 2011)

Senft, S., & Gallegos, F. (2009). Information technology control and audit. New York: CRC Press.

Kontrol dan Audit IT di Lingkungan Virtual

Cyberspace, menurut Rouse (http://searchmicroservices.techtarget.com, diakses tanggal 11 Maret 2017), adalah ruang lingkup dengan karakteristik adanya penggunaan media elektronik dan spektrum elektromagnetik untuk menyimpan, memodifikasi, dan saling tukar data melalui jaringan yang saling tersambung, serta infrastruktur fisik dimana proses tersebut terjadi. Cyberspace dapat dianggap sebagai interkoneksi antar manusia melalui komputer dan telekomunikasi, tanpa memperhatikan lokasi geografis masing-masing.

Kontrol dan Audit TI sangat penting di lingkungan virtual (cyberspace), salah satu alasannya karena maraknya kriminalitas di internet, atau sering disebut cybercrime. Inansyah, dalam artikelnya yang dimuat di http://bdkpadang.kemenag.go.id, mengatakan cybercrime adalah tindak pidana kriminal yang dilakukan dalam cyberspace, yang menyerang fasilitas umum atau fasilitas pribadi pada cyberspace. Cybercrime harus diwaspadai karena tindak kejahatan ini dapat dilakukan tanpa mengenal batas teritorial, serta tidak diperlukan interaksi langsung antara pelaku dan korban cybercrime.

Masih menurut Inansyah, cybercrime dapat dibagi menjadi dua motif:

  • Motif Intelektual

Dalam tindak kejahatan ini, pelaku melakukannya karena adanya kepuasan pribadi karena pelaku berhasil merekayasa teknologi informasi.

  • Motif ekonomi, politik, dan kriminal.

Cybercrime dengan motif ini terjadi karena pelaku mencari keuntungan pribadi atau golongan dan berdampak pada kerugian secara ekonomi maupun politik pada pihak korban.

Menurut Bainbridge (2000), kejahatan yang menggunakan sarana komputer dapat dibagi sebagai berikut:

  • Pelaku memasukkan instruksi yang tidak sah
  • Pelaku melakukan perubahan data input
  • Pelaku melakukan perusakan data
  • Pelaku menggunakan komputer sebagai sarana kejahatan
  • Pelaku mengakses sistem komputer secara tidak sah

Kontrol dan audit terhadap IT penting dilakukan, karena cybercrime yang terjadi karena lemahnya kontrol dan audit terhadap IT dapat melanggar lingkungan hukum suatu perusahaan. Menurut Bernstein (1996), cybercrime dapat terkait dengan lingkungan hukum suatu perusahaan, jika terjadi hal-hal berikut ini:

  • Pembajakan kekayaan intelektual (Intellectual Property)
  • Pelanggaran hak cipta dan paten dengan peniruan atau tidak adanya pembayaran royalti
  • Adanya pelanggaran terhadap ketentuan penggunaan teknologi tertentu
  • Pembocoran dokumen rahasia melalui mailing list atau bulletin boards
  • Penggunaan internet oleh pegawai untuk tindakan asusila

 

Referensi:

Bainbridge, D. (2000). Introduction to Computer Law. Pearson Education Limited.

Bernstein, T. (1996). Internet Security for Business. Wiley.

Rouse, Margaret. Cyberspace. http://searchmicroservices.techtarget.com/definition/cyberspace (diakses tanggal 11 Maret 2017)

Inansyah. Etika dan Kerangka Hukum Bidang Teknologi Informasi. http://bdkpadang.kemenag.go.id/index.php?option=com_content&view=article&id=485:etika-dan-kerangka-hukum-bidang-teknologi-informasi&catid=41:top-headlines. (diakses tanggal 11 Maret 2017)

Audit Teknologi Informasi

Apa itu Audit Teknologi Informasi?

Sebelum berbicara mengenai Audit Teknologi Informasi, perlu kita ketahui terlebih dahulu, apa itu audit. Menurut Popa & Toma (2009), konsep audit adalah proses yang sistematis, independen, dan terdokumentasi, yang digunakan untuk memperoleh bukti-bukti terkait audit serta ketidakbiasan bukti-bukti tersebut, untuk menentukan apakah kriteria yang ditentukan dalam audit terpenuhi.

Bukti-bukti terkait audit dapat berupa catatan-catatan, penjelasan mengenai fakta di lapangan, maupun informasi lain yang relevan dengan kriteria audit. Sementara itu kriteria audit direpresentasikan dalam bentuk sekumpulan aturan, prosedur, maupun requirement.

Mengapa muncul kebutuhan untuk melakukan audit terhadap IT? Menurut Senft & Gallegos (2009), Audit IT merupakan pengembangan dari audit tradisional. Dorongan munculnya kebutuhan adanya audit terhadap IT:

  • Auditor pada awalnya mulai menyadari bahwa komputer mempengaruhi kemampuan mereka dalam bekerja secara sungguh-sungguh.
  • Perusahaan dan tim manajemen yang mengurusi pemrosesan informasi mulai menyadari bahwa komputer merupakan sumber daya penting untuk bersaing di dunia bisnis serta merupakan aset penting yang setara aset lain di perusahaan. Maka dari itu, diperlukan adanya control dan audit yang ketat akan teknologi informasi.
  • Asosiasi para profesional dan organisasi, serta lembaga pemerintahan mulai menyadari kebutuhan adanya control dan audit terhadap IT.

Menurut Senft & Gallegos (2009), Audit Teknologi Informasi didefinisikan sebagai proses evaluasi terhadap IT, serta praktek dan operasionalnya dalam organisasi, untuk memastikan integritas suatu informasi. Peran auditor IT adalah untuk memberikan assurance bahwa control terhadap IT sudah dilakukan dengan baik dan mencukupi serta dapat berjalan dengan efektif dan efisien.

Audit IT dalam perusahaan dapat dilakukan berdasarkan kebutuhan yang berbeda-beda, misalnya:

  • Organizational IT Audit (bagaimana manajemen dapat mengendalikan IT)
  • Technical IT Audit (Audit terhadap infrastruktur, data center, dan jaringan komunikasi)
  • Application IT Audit (Audit terhadap aplikasi bisnis, keuangan, maupun operasional)
  • Development / implementation IT Audit (Audit terhadap pengembangan sistem IT, seperti pada fase requirement gathering, desain, development, dan post implementation)
  • Compliance IT Audit

 

Apa saja cakupan Audit Teknologi Informasi?

Cakupan audit teknologi informasi, menurut Senft & Gallegos (2009), meliputi beberapa hal berikut ini:

  • Audit terhadap IT dilakukan dengan menggunakan pendekatan berorientasi resiko
  • Tools komputer dapat digunakan untuk memfasilitasi proses audit
  • Audit dapat melibatkan penggunaan standar nasional maupun internasional seperti ISO 9000/3 dan ISO 17799 untuk meningkatkan kualitas pengembangan software serta memenuhi standar security.
  • Pemahaman akan peran dalam bisnis serta pemahaman akan kebutuhan hasil audit dari sistem yang sedang dikembangkan, dan juga akan pembelian paket software dan manajemen proyek.
  • Penilaian masalah-masalah terkait information security dan privasi, yang beresiko terhadap organisasi.
  • Analisa tingkat compliance perusahaan terhadap peraturan yang berlaku yang jika dilanggar beresiko terhadap operasional perusahaan.
  • Evaluasi terhadap daur hidup pengembangan sistem (SDLC) yang kompleks.
  • Pelaporan kepada manajemen dan me-review hal-hal yang harus di-follow-up, apakah sudah dikerjakan atau belum.

 

data_glass

Apa saja tahapan dalam Audit TI?

Sebagai sebuah proses, tentu ada tahapan yang dilakukan dalam audit terhadap IT. Menurut Popa & Toma (2009), proses audit terhadap IT dapat mengacu pada standar ISO (ISO 19011, 2003), karena standar tersebut bersifat umum. Prosedur audit berdasarkan standar ini dapat diaplikasikan pada semua jenis sistem informasi karena penjelasan dalam standar tersebut bersifat independen terhadap jenis-jenis arsitektur IT yang berbeda-beda. Berikut flow proses audit menurut ISO (ISO 19011, 2003):

ISO audit IT

Penjelasan masing-masing tahapan tersebut:

  • Audit initiating

Pada tahap ini ditentukan tujuan dan kriteria audit, feasibility apakah audit bisa dilakukan, pemilihan team leader untuk tim audit, pemilihan anggota tim audit, serta berkomunikasi dengan auditee (pihak yang akan di-audit).

  • Document analysis

Pada tahap ini, dilakukan kegiatan-kegiatan untuk mengumpulkan bukti-bukti audit dari dokumentasi yang dimiliki auditee yang berkaitan dengan kriteria audit. Dokumen ini dapat berupa surat-surat resmi maupun laporan audit yang pernah dilakukan sebelumnya. Proses audit dapat ditunda bahkan dibatalkan jika dokumen dari auditee tidak cukup untuk keperluan audit.

  • Preparation the audit activities on site

Beberapa aktivitas yang dilakukan pada tahap ini, antara lain mempersiapkan dokumen rencana audit, penentuan tugas masing-masing anggota tim audit, serta persiapan dokumen-dokumen terkait.

  • Carrying out the audit activities on site

Tahap ini meliputi pelaksanaan meeting pembukaan audit, proses komunikasi selama audit, penjelasan peran dan tanggung jawab dari sisi auditee dan dari sisi auditorpengumpulan dan pengecekan informasi, pembuatan hasil observasi audit, persiapan kesimpulan audit, serta pelaksanaan closing meeting.

  • Preparation, approval, and distribution of the audit report

Tahap ini meliputi persiapan laporan audit serta proses approval dan distribusi laporan audit

  • Audit proses closing

Proses closing ini merupakan penutup proses audit, dan dilakukan ketika audit plan sudah terlaksana dan laporan audit sudah disetujui dan didistribusikan. Anggota tim audit harus menjaga confidentiality informasi yang terkandung dalam dokumen laporan audit tersebut.

  • Follow-up audit

Follow-up audit dapat dilakukan untuk mengatasi beberapa hal yang ditemukan dalam proses audit ini. Proses audit ini bisa memberikan kesimpulan diperlukannya kegiatan koreksi, pencegahan, maupun improvement terhadap hasil audit. Auditee harus mengimplementasikan kegiatan-kegiatan tersebut, dan hasil kegiatan tersebut dapat dinilai dengan melakukan audit lanjutan (follow-up audit).

 

Referensi:

Senft, S., & Gallegos, F. (2009). Information technology control and audit. New York: CRC Press.

Popa, Marius, & Toma, Cristian. (2009). Stages for the Development of The Audit Processes of Distributed Informatics Systems. Bucharest: Journal of Applied Quantitative Methods.