A. Metodologi Audit Teknologi Informasi
Dalam praktiknya, tahapan-tahapan dalam audit IT tidak berbeda dengan audit pada umumnya, sebagai berikut :
1. Tahapan Perencanaan.
Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar obyek yang akan diperiksa sehingga menghasilkan suatu program audit yang didesain sedemikian rupa agar pelaksanaannya akan berjalan efektif dan efisien.
2. Mengidentifikasikan reiko dan kendali.
Untuk memastikan bahwa qualified resource sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktik-praktik terbaik.
3. Mengevaluasi kendali dan mengumpulkan bukti-bukti.
Melalui berbagai teknik termasuk survei, interview, observasi dan review dokumentasi.
4. Mendokumentasikan.
Mengumpulkan temuan-temuan dan mengidentifikasikan dengan auditee.
5. Menyusun laporan.
Mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yang dilakukan.
B. Alasan Dilakukan Audit Teknologi Informasi
Weber, 2000 menyatakan beberapa alasan penting mengapa Audit SI/TI perlu dilakukan, antara lain:
1. Kerugian akibat kehilangan data.
Data telah menjadi salah satu aset terpenting bagi perusahaan. Peran TI dalam mengamankan data tersebut menjadi aspek yang patut diperhatikan.
Hal tersebut mengingat kehilangan data mungkin akan berakibat terhadap terhentinya aktivitas bisnis yang penting di perusahaan. Kemungkinan lain adalah’ aktivitas dapat berjalan namun membutuhkan waktu yang lama karena dilakukan secara manual.
2. Kesalahan dalam pengambilan keputusan.
Banyak perusahaan yang saat ini telah menggunakan bantuan Decision Support System (DSS) dalam membantu pengambilan keputusan-keputusan penting. Dalam bidang kedokteran misalnya, keputusan dokter untuk melakukan tindakan operasi dapat saja ditentukan dengan menggunakan bantuan perangkat lunak yang menggunakan prinsip DSS. Tentu dapat dibayangkan risiko yang mungkin dapat ditimbulkan apabila sang dokter salah memasukkan data pasien ke sistem TI yang digunakan karena melibatkan bukan hanya material, melainkan hal penting lain, yakni nyawa seseorang.
3. Resiko kebocoran data.
Data bagi sebagian besar perusahaan merupakan sumber daya yang tak ternilai. Informasi mengenai pelanggan misalnya, bisa menjadi daya saing perusahaan. Melalui proses audit, dapat diketahui kemungkinan kebocoran data pelanggan perusahaan. Kebocoran tersebut tidak hanya berdampak terhadap kehilangan sejumlah pelanggan, akan tetapi lebih jauh lagi dapat mengganggu kelangsungan aktivitas bisnis perusahaan secara keseluruhan.
4. Penyalahgunaan komputer.
Kejahatan komputer kian meningkat seiring dengan pesatnya pertumbungan teknologi informasi dan komunikasi. Kejahatan tersebut bisa dilakukan oleh pihak luar (hacker, cracker) karena ingin mengambil keuntungan sebanyak¬banyaknya atau kebanggaan pribadi, maupun oleh karyawan perusahaan sendiri karena merasa tidak puas dengan kebijakan perusahaan.
Keberadaan audit khususnya di bidang manaJemen keamanan informasi menjadi penting untuk mengetahui kemungkinan penyalahgunaan aktivitas terkait dengan TI yang kritis di perusahaan. Pembahasan lebih lanjut mengenai hal tersebut dapat dilihat dalam buku: Sistem Manqjemen Keamanan Informasi (SMKl) berbasis ISO 27001 (Sarno & Iffano, 2009).
5. Kerugian akibat kesalahan proses perhitungan.
Salah satu alasan penggunaan TI adalah kemampuannya dalam mengolah data secara tepat dan akurat namun bukan tanpa resiko kesalahan. Resiko tersebut akan menjadi semakin besar tanpa didukung dengan keberadaan mekanisme pengembangan yang memadai yang evaluasi implementasinya dapat dievaluasi melalui Audit SI/TI.
6. Tingginya nilai investasi perangkat keras dan perangkat lunak komputer.
Investasi yang dikeluarkan untuk proyek TI sering kali besar namun pengukuran manfaat yang diberikan TI terhadap bisnis sering kali sulit diukur karena melibatkan banyak faktor dan kepentingan. Keberadaan Audit SI/TI membantu pihak manajemen dalam memastikan penggunaan TI sesuai dengan standar pengelolaan yang baik, kebijakan, hukun dan regulasi yang berlaku sehingga dapat diarahkan untuk mendukung pencapaian Tujuan Bisnis.
C. Manfaat Audit Teknologi Informasi
1. Manfaat pada saat Implementasi (Pre-Implementation Review)
– Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria.
– Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
– Mengetahui apakah outcome sesuai dengan harapan manajemen.
2. Manfaat setelah sistem live (Post-Implementation Review)
– Institusi mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk penanganannya.
– Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis, dan anggaran pada periode berikutnya.
– Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang.
– Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan.
– Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan pemeriksaan.
– Membantu dalam penilaian apakah initial proposed values telah terealisasi dan saran tindak lanjutnya.
SUMBER :
GAMBAR :
Tidak ada komentar:
Posting Komentar