PAPER
AUDIT TEKNOLOGI SISTEM INFORMASI
Nama: Fransiskus Eko Utomo
Kelas: 4KA07
NPM: 12116916
FAKULTAS ILMU KOMPUTER DAN TEKNOLOGI INFORMASI
JURUSAN SISTEM INFORMASI
UNIVERSITAS GUNADARMA
Audit adalah sebuah pemeriksaan yang sistematis dan objektif terhadap satu
atau lebih aspek dari suatu organisasi yang membandingkan apa yang dilakukan
organisasi dengan serangkaian kriteria atau persyaratan yang ditetapkan. Audit teknologi
informasi memeriksa proses, aset TI, dan kontrol pada berbagai tingkatan dalam
suatu organisasi untuk menentukan sejauh mana organisasi mematuhi standar atau
persyaratan yang berlaku. Secara virtual, semua organisasi menggunakan TI untuk
mendukung operasi mereka dan pencapaian misi dan tujuan bisnis mereka. Ini
memberi organisasi kepentingan pribadi untuk memastikan bahwa penggunaan TI
mereka efektif, bahwa sistem dan proses TI beroperasi sebagaimana dimaksud, dan
bahwa aset TI dan sumber daya lainnya dialokasikan secara efisien dan
dilindungi secara tepat. Audit TI membantu organisasi memahami, menilai, dan
meningkatkan penggunaan kontrol mereka untuk melindungi TI, mengukur dan
memperbaiki kinerja, serta mencapai tujuan dan hasil yang diharapkan. Audit TI
terdiri dari penggunaan metodologi audit formal untuk memeriksa proses,
kemampuan, dan aset yang ditentukan TI dan perannya dalam memungkinkan proses
bisnis organisasi. Audit TI juga membahas komponen atau kemampuan TI yang
mendukung domain lain yang dapat diaudit, seperti manajemen keuangan dan
akuntansi, kinerja operasional, jaminan kualitas, dan tata kelola, manajemen
risiko, dan kepatuhan (GRC).
Penggunaan audit TI
semakin umum di banyak organisasi, untuk memvalidasi penggunaan kontrol yang
efektif untuk melindungi aset dan informasi TI atau sebagai elemen dari program
GRC. Audit TI adalah disiplin khusus tidak hanya dalam dirinya sendiri, dengan
standar yang sesuai, metodologi, dan sertifikasi profesional dan persyaratan
pengalaman, tetapi juga bersinggungan secara signifikan dengan praktik
manajemen dan operasional TI lainnya. Subjek tumpang tindih antara audit TI dan
jaringan pemantauan, administrasi sistem, manajemen layanan, dukungan teknis,
dan keamanan informasi menjadikan pengetahuan tentang kebijakan, praktik, dan
standar audit TI penting untuk personel TI dan manajer operasi TI dan area
bisnis yang didukung TI. Banyak organisasi menjalani berbagai audit TI,
dilakukan oleh auditor internal dan eksternal, dan masing-masing sering
disertai dengan prosedur, metode, dan kriteria yang berbeda.
Apa itu Audit TI?
Audit sering
dianggap sebagai pemeriksaan, inspeksi, atau peninjauan independen. Sementara
istilah ini berlaku untuk evaluasi banyak mata pelajaran yang berbeda,
penggunaan yang paling sering adalah sehubungan dengan memeriksa laporan atau
akun keuangan organisasi. Berbeda dengan definisi kamus konvensional dan sumber
yang berfokus pada konotasi akuntansi audit, definisi yang digunakan oleh badan
standar audit lingkup luas dan dalam konteks audit TI tidak membatasi atau
menganggap subjek yang menjadi dasar audit. Misalnya, pedoman Organisasi
Internasional untuk Standarisasi (ISO) tentang audit menggunakan istilah audit yang
berarti "proses yang sistematis, independen dan terdokumentasi untuk
memperoleh bukti audit dan mengevaluasinya secara objektif untuk menentukan
sejauh mana kriteria audit dipenuhi" dan Glosarium Perpustakaan Teknologi
Informasi (ITIL) mendefinisikan audit sebagai “inspeksi dan verifikasi formal
untuk memeriksa apakah suatu standar atau serangkaian pedoman diikuti atau
tidak, apakah catatan itu akurat, atau bahwa target efisiensi dan efektifitas
terpenuhi.” Interpretasi umum seperti itu cocok untuk audit TI, yang terdiri
dari berbagai standar, persyaratan, dan kriteria audit lainnya yang sesuai
dengan proses, sistem, teknologi, atau seluruh organisasi yang menjadi subjek
audit TI.
Definisi yang
dikutip di atas juga menekankan karakteristik yang membedakan audit dari jenis
evaluasi atau penilaian lain dengan mengacu pada kriteria eksplisit yang
memberikan dasar untuk perbandingan antara apa yang diharapkan atau dibutuhkan
dalam suatu organisasi dan apa yang sebenarnya diamati atau ditunjukkan melalui
bukti. Kata-kata seperti penilaian, evaluasi, dan tinjauan sering digunakan
secara sinonim dengan istilah audit dan meskipun memang benar bahwa audit
adalah jenis evaluasi, beberapa karakteristik audit yang membedakannya dari
konsep yang tersirat oleh penggunaan istilah yang lebih umum. Audit selalu
memiliki dasar atau standar referensi yang dapat dibandingkan dengan subjek
audit. Audit tidak dimaksudkan untuk memeriksa penggunaan praktik terbaik atau
(dengan kemungkinan pengecualian audit operasional) untuk melihat apakah ada
peluang untuk meningkatkan atau mengoptimalkan proses atau karakteristik
operasional.
Sebagai
gantinya, ada standar yang ditetapkan yang memberikan dasar untuk perbandingan
yang ditetapkan sebelum memulai audit. Auditor membandingkan subjek audit —
proses, sistem, komponen, perangkat lunak, atau organisasi secara keseluruhan —
secara eksplisit dengan standar yang telah ditentukan sebelumnya untuk
menentukan apakah subjek memenuhi kriteria. Penentuan audit cenderung lebih
biner daripada hasil jenis penilaian atau evaluasi lainnya, dalam arti bahwa
item yang diberikan memenuhi atau gagal memenuhi persyaratan yang berlaku -
auditor sering mengartikulasikan temuan audit dalam hal kesesuaian kontrol atau
ketidaksesuaian dengan kriteria.
Audit internal
dan eksternal
Kontrol internal
audit adalah disiplin dalam dirinya sendiri, memiliki banyak kesamaan dengan
audit TI eksternal tetapi dalam banyak hal memperluas lebih lanjut dalam hal
keahlian teknis, pengetahuan operasional, dan tingkat detail yang diperlukan
untuk secara efektif melakukan audit TI internal. Auditor internal sering
bekerja sebagai karyawan dari organisasi yang diaudit, yang dari waktu ke waktu
menghasilkan pemahaman tentang organisasi yang menentukan lingkungan TI,
kontrol, sistem informasi, dan karakteristik operasional yang sulit jika tidak
mungkin untuk ditiru oleh auditor eksternal. Meskipun keterampilan mereka
sering tumpang tindih dengan operasi TI dan personil keamanan informasi,
manajer proyek teknis, dan petugas kepatuhan, kebutuhan akan independensi
berarti bahwa auditor TI internal di sebagian besar organisasi tidak memiliki
tugas pekerjaan operasional selain tanggung jawab audit mereka.
Audit
TI eksternal, berdasarkan definisi, dilakukan oleh auditor dan entitas di luar
organisasi yang akan diaudit. Bergantung pada ukuran organisasi dan ruang
lingkup dan kompleksitas audit TI, audit eksternal dapat dilakukan oleh auditor
tunggal atau tim. Secara umum, hubungan antara organisasi dan auditor eksternal
biasanya dibentuk dan dikelola pada tingkat entitas — yaitu, organisasi
menggunakan layanan firma luar atau organisasi profesional yang melakukan jenis
audit TI yang diperlukan.
Kontrol internal
Audit
TI eksternal dan internal memiliki fokus yang sama: kontrol internal
dilaksanakan dan dipelihara oleh organisasi yang diaudit. Kontrol adalah elemen
sentral dari manajemen TI, didefinisikan dan dirujuk melalui standar, pedoman,
metodologi, dan kerangka kerja yang menangani proses bisnis; pengiriman layanan
dan pengelolaan; desain, implementasi, dan operasi sistem informasi; informasi
keamanan; dan tata kelola TI. Sumber utama tata kelola TI dan pedoman audit TI
membedakan antara kontrol internal dan kontrol internal. COSO menentang kontrol
internal sebagai proses “yang dirancang untuk memberikan jaminan yang wajar
mengenai pencapaian tujuan” termasuk efektivitas dan efisiensi operasional,
pelaporan yang dapat diandalkan, dan kepatuhan hukum dan peraturan. Dalam
konteks ini, kontrol adalah “kebijakan atau prosedur yang merupakan bagian dari
kontrol internal”, hasil dari kebijakan dan prosedur yang dirancang untuk
melakukan kontrol.
Kontrol organisasi
dipilih dan diterapkan sekali dengan penerapan di seluruh perusahaan. Kontrol
tingkat entitas penting sebagai area fokus untuk audit internal dan eksternal
karena mereka memberikan dasar untuk bagaimana organisasi mengelola fungsi yang
didukung kontrol. Kontrol tingkat entitas juga dimasukkan dengan merujuk ke
banyak jenis audit yang dilakukan pada tingkat organisasi lainnya, seperti unit
bisnis, program dan proyek, dan aset teknologi semuanya memanfaatkan berbagai
jenis kontrol tingkat entitas.
Jenis-jenis audit TSI
a. Audit Laporan Keuangan (Financial Statement Audit)
Adalah audit yang dilakukan untuk mengetahui tingkat kewajaran laporan
keuangan yang disajikan oleh perusahaan (apakah sesuai dengan standar
akuntansi keuangan serta tidak menyalahi uji materialitas). Apabila
sistem akuntansi organisasi yang diaudit merupakan sistem akuntansi
berbasis komputer, maka dilakukan audit terhadap sistem informasi
akuntansi apakah proses/mekanisme sistem dan program komputer telah
sesuai, pengendalian umum sistem memadai dan data telah substantif.
b. Audit Operasional (
Operational Audit)
1.
Post implementation Audit (Audit setelah implementasi)
Auditor memeriksa apakah sistem-sistem aplikasi komputer yang telah
diimplementasikan pada suatu organisasi/perusahaan telah sesuai dengan
kebutuhan penggunanya (efektif) dan telah dijalankan dengan sumber daya
optimal (efisien). Auditor mengevaluasi apakah sistem aplikasi tertentu
dapat terus dilanjutkan karena sudah berjalan baik dan sesuai dengan
kebutuhan usernya atau perlu dimodifikasi dan bahkan perlu dihentikan.
Pelaksanaan
audit ini dilakukan oleh auditor dengan menerapkan pengalamannya dalam
pengembangan sistem aplikasi, sehingga auditor dapat mengevaluasi apakah
sistem yang sudah diimplementasikan perlu dimutakhirkan atau diperbaiki
atau bahkan dihentikan apabila sudah tidak sesuai kebutuhan atau
mengandung kesalahan.
2.
Concurrent audit (audit secara bersama)
Auditor menjadi anggota dalam tim pengembangan sistem (system
development team). Mereka membantu tim untuk meningkatkan kualitas
pengembangan sistem yang dibangun oleh para sistem analis, designer dan
programmer dan akan diimplementasikan. Dalam hal ini auditor mewakili
pimpinan proyek dan manajemen sebagai quality assurance.
3.
Concurrent Audits (audit secara bersama-sama)
Auditor mengevaluasi kinerja unit fngsional atau fungsi sistem informasi
(pusat/instalasi komputer) apakah telah dikelola dengan baik, apakah
kontrol dalam pengembangan sistem secara keseluruhan sudah dilakukan
dengan baik, apakah sistem komputer telah dikelola dan dioperasikan
dengan baik.
Dalam mengaudit sistem komputerisasi yang ada, audit
ini dilakukan dengan mengevaluasi pengendalian umum dari sistem-sistem
komputerisasi yang sudah diimplementasikan pada perusahaan tersebut
secara keseluruhan.
Saat melakuan pengujian-pengujian digunakan
bukti untuk menarik kesimpulan dan memberikan rekomendasi kepada
manajemen tentang hal-hal yang berhubungan dengan efektifitas,
efisiensi, dan ekonomisnya sistem.
DAFTAR PUSTAKA
1. Gantz, Stephen. 2013. The Basics of IT Audit Purposes, Processes
and Practical Information, 1st Edition, Syngress, Elsevier.
2. Sumber 2