Audit Teknologi Informasi

Posted on by Emanuel Anggit

Apa itu Audit Teknologi Informasi?

Sebelum berbicara mengenai Audit Teknologi Informasi, perlu kita ketahui terlebih dahulu, apa itu audit. Menurut Popa & Toma (2009), konsep audit adalah proses yang sistematis, independen, dan terdokumentasi, yang digunakan untuk memperoleh bukti-bukti terkait audit serta ketidakbiasan bukti-bukti tersebut, untuk menentukan apakah kriteria yang ditentukan dalam audit terpenuhi.

Bukti-bukti terkait audit dapat berupa catatan-catatan, penjelasan mengenai fakta di lapangan, maupun informasi lain yang relevan dengan kriteria audit. Sementara itu kriteria audit direpresentasikan dalam bentuk sekumpulan aturan, prosedur, maupun requirement.

Mengapa muncul kebutuhan untuk melakukan audit terhadap IT? Menurut Senft & Gallegos (2009), Audit IT merupakan pengembangan dari audit tradisional. Dorongan munculnya kebutuhan adanya audit terhadap IT:

  • Auditor pada awalnya mulai menyadari bahwa komputer mempengaruhi kemampuan mereka dalam bekerja secara sungguh-sungguh.
  • Perusahaan dan tim manajemen yang mengurusi pemrosesan informasi mulai menyadari bahwa komputer merupakan sumber daya penting untuk bersaing di dunia bisnis serta merupakan aset penting yang setara aset lain di perusahaan. Maka dari itu, diperlukan adanya control dan audit yang ketat akan teknologi informasi.
  • Asosiasi para profesional dan organisasi, serta lembaga pemerintahan mulai menyadari kebutuhan adanya control dan audit terhadap IT.

Menurut Senft & Gallegos (2009), Audit Teknologi Informasi didefinisikan sebagai proses evaluasi terhadap IT, serta praktek dan operasionalnya dalam organisasi, untuk memastikan integritas suatu informasi. Peran auditor IT adalah untuk memberikan assurance bahwa control terhadap IT sudah dilakukan dengan baik dan mencukupi serta dapat berjalan dengan efektif dan efisien.

Audit IT dalam perusahaan dapat dilakukan berdasarkan kebutuhan yang berbeda-beda, misalnya:

  • Organizational IT Audit (bagaimana manajemen dapat mengendalikan IT)
  • Technical IT Audit (Audit terhadap infrastruktur, data center, dan jaringan komunikasi)
  • Application IT Audit (Audit terhadap aplikasi bisnis, keuangan, maupun operasional)
  • Development / implementation IT Audit (Audit terhadap pengembangan sistem IT, seperti pada fase requirement gathering, desain, development, dan post implementation)
  • Compliance IT Audit

 

Apa saja cakupan Audit Teknologi Informasi?

Cakupan audit teknologi informasi, menurut Senft & Gallegos (2009), meliputi beberapa hal berikut ini:

  • Audit terhadap IT dilakukan dengan menggunakan pendekatan berorientasi resiko
  • Tools komputer dapat digunakan untuk memfasilitasi proses audit
  • Audit dapat melibatkan penggunaan standar nasional maupun internasional seperti ISO 9000/3 dan ISO 17799 untuk meningkatkan kualitas pengembangan software serta memenuhi standar security.
  • Pemahaman akan peran dalam bisnis serta pemahaman akan kebutuhan hasil audit dari sistem yang sedang dikembangkan, dan juga akan pembelian paket software dan manajemen proyek.
  • Penilaian masalah-masalah terkait information security dan privasi, yang beresiko terhadap organisasi.
  • Analisa tingkat compliance perusahaan terhadap peraturan yang berlaku yang jika dilanggar beresiko terhadap operasional perusahaan.
  • Evaluasi terhadap daur hidup pengembangan sistem (SDLC) yang kompleks.
  • Pelaporan kepada manajemen dan me-review hal-hal yang harus di-follow-up, apakah sudah dikerjakan atau belum.

 

data_glass

Apa saja tahapan dalam Audit TI?

Sebagai sebuah proses, tentu ada tahapan yang dilakukan dalam audit terhadap IT. Menurut Popa & Toma (2009), proses audit terhadap IT dapat mengacu pada standar ISO (ISO 19011, 2003), karena standar tersebut bersifat umum. Prosedur audit berdasarkan standar ini dapat diaplikasikan pada semua jenis sistem informasi karena penjelasan dalam standar tersebut bersifat independen terhadap jenis-jenis arsitektur IT yang berbeda-beda. Berikut flow proses audit menurut ISO (ISO 19011, 2003):

ISO audit IT

Penjelasan masing-masing tahapan tersebut:

  • Audit initiating

Pada tahap ini ditentukan tujuan dan kriteria audit, feasibility apakah audit bisa dilakukan, pemilihan team leader untuk tim audit, pemilihan anggota tim audit, serta berkomunikasi dengan auditee (pihak yang akan di-audit).

  • Document analysis

Pada tahap ini, dilakukan kegiatan-kegiatan untuk mengumpulkan bukti-bukti audit dari dokumentasi yang dimiliki auditee yang berkaitan dengan kriteria audit. Dokumen ini dapat berupa surat-surat resmi maupun laporan audit yang pernah dilakukan sebelumnya. Proses audit dapat ditunda bahkan dibatalkan jika dokumen dari auditee tidak cukup untuk keperluan audit.

  • Preparation the audit activities on site

Beberapa aktivitas yang dilakukan pada tahap ini, antara lain mempersiapkan dokumen rencana audit, penentuan tugas masing-masing anggota tim audit, serta persiapan dokumen-dokumen terkait.

  • Carrying out the audit activities on site

Tahap ini meliputi pelaksanaan meeting pembukaan audit, proses komunikasi selama audit, penjelasan peran dan tanggung jawab dari sisi auditee dan dari sisi auditorpengumpulan dan pengecekan informasi, pembuatan hasil observasi audit, persiapan kesimpulan audit, serta pelaksanaan closing meeting.

  • Preparation, approval, and distribution of the audit report

Tahap ini meliputi persiapan laporan audit serta proses approval dan distribusi laporan audit

  • Audit proses closing

Proses closing ini merupakan penutup proses audit, dan dilakukan ketika audit plan sudah terlaksana dan laporan audit sudah disetujui dan didistribusikan. Anggota tim audit harus menjaga confidentiality informasi yang terkandung dalam dokumen laporan audit tersebut.

  • Follow-up audit

Follow-up audit dapat dilakukan untuk mengatasi beberapa hal yang ditemukan dalam proses audit ini. Proses audit ini bisa memberikan kesimpulan diperlukannya kegiatan koreksi, pencegahan, maupun improvement terhadap hasil audit. Auditee harus mengimplementasikan kegiatan-kegiatan tersebut, dan hasil kegiatan tersebut dapat dinilai dengan melakukan audit lanjutan (follow-up audit).

 

Referensi:

Senft, S., & Gallegos, F. (2009). Information technology control and audit. New York: CRC Press.

Popa, Marius, & Toma, Cristian. (2009). Stages for the Development of The Audit Processes of Distributed Informatics Systems. Bucharest: Journal of Applied Quantitative Methods.

Published by Emanuel Anggit

officer @Bank Central Asia, full time father, and a long life learner

Leave a comment