Metodologi Audit Teknologi Informasi
Tahapan Audit Teknologi Informasi
1.
Tahapan Perencanaan
Sebagai suatu pendahuluan mutlak
perlu dilakukan agar auditor mengenal benar obyek yang akan diperiksa sehingga menghasilkan
suatu program audit yang didesain sedemikian rupa agar pelaksanaannya akan
berjalan efektif dan efisien.
2.
Mengidentifikasikan Resiko Dan Kendali
Untuk memastikan bahwa qualified
resource sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga
referensi praktik-praktik terbaik.
3.
Mengevaluasi Kendali Dan Mengumpulkan Bukti-Bukti
Melalui berbagai teknik termasuk survei, interview,
observasi, dan review dokumentasi.
4.
Mendokumentasikan
Mengumpulkan temuan-temuan dan mengidentifikasikan
dengan auditee.
5. Menyusun Laporan
Mencakup tujuan pemeriksaan, sifat, dan kedalaman
pemeriksaan yang dilakukan.
Jenis Audit TI
1.
Audit Around The Computer
hanya memeriksa dari sisi user
saja dan pada masukan dan keluaranya tanpa memeriksa lebih terhadap program
atau sistemnya. Audit
ini dilakukan pada saat:
a.
Dokumen sumber tersedia dalam bentuk kertas (bahasa non-mesin), artinya
masih kasat mata dan dilihat secara visual.
b.
Dokumen-dokumen disimpan dalam file dengan cara yang mudah ditemukan.
c.
Keluaran dapat diperoleh dari daftar yang terinci dan auditor mudah
menelusuri setiap transaksi dari dokumen sumber kepada keluaran dan sebaliknya.
Kelebihan dari Audit ini :
a.
Proses audit tidak memakan waktu lama karena hanya melakukan audit tidak
secara mendalam.
b. Tidak harus mengetahui seluruh proses penanganan sistem.
c. Umumnya database mencakup jumlah data yang banyak dan sulit untuk
ditelusuri secara manual.
d. Tidak membuat auditor memahami sistem komputer lebih baik.
e. Mengabaikan pengendalian sistem, sehingga rawan terhadap kesalahan dan
kelemahan potensial dalam system.
f. Lebih berkenaan dengan hal yang lalu daripada audit yang preventif.
g. Kemampuan komputer sebagai fasilitas penunjang audit tidak terpakai.
h. Tidak mencakup keseluruhan maksud dan tujuan audit.
2.
Audit
Through The Computer
Dimana
auditor selain memeriksa data masukan dan keluaran, juga melakukan uji coba
proses program dan sistemnya atau yang disebut dengan white box,
sehinga auditor merasakan sendiri langkah demi langkah pelaksanaan sistem serta
mengetahui sistem bagaimana sistem dijalankan pada proses tertentu. Audit ini dilakukan pada saat:
a.
Sistem aplikasi komputer memproses input yang cukup besar dan
menghasilkan output yang cukup besar pula, sehingga memperluas audit untuk
meneliti keabsahannya.
b.
Bagian penting dari struktur pengendalian intern perusahaan terdapat di
dalam komputerisasi yang digunakan.
Kelebihan
dari Audit ini :
a.
Dapat meningkatkan kekuatan pengujian system aplikasi secara efektif.
b. Dapat memeriksa secara langsung logika pemprosesan dan system aplikasi.
c.
Kemampuan system dapat menangani perubahan dan kemungkinan kehilangan
yang terjadi pada masa yang akan dating.
d. Auditor memperoleh kemampuan yang besar dan efektif dalam melakukan
pengujian terhadap system computer.
e.
Auditor merasa lebih yakin terhadap kebenaran hasil kerjanya.
Alasan
Diperlukannya Audit :
1. Kerugian akibat kehilangan data
Informasi berasal dari suatu data
yang diolah dan memiliki manfa’at bagi penggunanya. Oleh karena itu, data
adalah suatu aset yang penting bagi suatu perusahaan atau organisasi. Informasi
dari suatu data akan menjadi gambaran dari kondisi di masa lalu, sekarang, dan
masa yang akan datang. Jika informasi dari data tersebut hilang, maka akan
menyebabkan suatu kesalahan yang fatal.
2.
Kesalahan
dalam pengambilan keputusan
Saat ini masih banyak instansi yang
menggunakan perangkat lunak dalam mengambil keputusan. Namun, resiko yang
ditimbulkan bisa saja bukan lagi membahayakan sistem, tetapi juga dapat
membahayakan nyawa seseorang seperti dalam penggunaan DSS (Sistem Penunjang
Keputusan) dalam bidang kedokteran. Tingkat akurasi dan pentingnya suatu data
tergantung kepada jenis keputusan yang akan diambil.
3.
Kerugian
yang disebabkan oleh kesalahan pemrosesan computer
Banyak organisasi atau perusahaan
yang telah menggunakan komputer sebagai sarana untuk meningkatkan kualitas
pekerjaan mereka. Mulai dari hal yang sederhana, pernghitungan bunga dalam
jumlah besar, dan juga navigasi pesawat terbang atau peluru kendali. Kerugian tersebut
dapat pula berupa kebocoran data dan dapat menimbulkan dampak yang akan
merugikan bagi suatu perusahaan atau organisasi seperti kehilangan klien,
pelanggan, perhitungan matematis yang sulit dipercaya, dan juga dapat menggangu
kelangsungan hidup perusahaan.
4.
Penggunaan
komputer yang di salah gunakan
Tingginya tingkat penyalahgunaan
komputer menjadi salah satu alasan mengapa audit sistem informasi diperlukan.
Banyak sekali pihak yang tidak bertanggungjawab dapat melakukan kejahatan
komputer seperti Hacker, Cracker dan Virus.
a.
Hacker : Merupakan
seseorang yang dengan sengaja masuk ke dalam suatu sistem tanpa izin. Mereka
melakukan hal tersebut biasanya hanya untuk membuat dirinya sendiri atau
kelompoknya bangga karena telah berhasil menembus sistem keamanan dari suatu
perusahaan atau organisasi, tanpa ada maksud untuk merusak atau mengambil
sesuatu atas apa yang telah dilakukan.
b.
Cracker :
Cracker memasuki suatu sistem yang memiliki tujuan untuk mengambil keuntungan
sebanyak-banyaknya seperti mengubah, merusak, atau bahkan menghancurkan sistem
tersebut.
c.
Virus :
Merupakan sebuah program komputer yang melekatkan diri dan menjalankan dirinya
sendiri pada suatu data. Virus meriplikasi dirinya sendiri secara aktif dan
mengganggu atau merusak suatu sistem operasi, data, dan bahkan mengacaukan
sistem.
Kejahatan komputer juga dapat
dilakukan oleh karyawan yang merasa tidak puas dengan kebijaksanaan perusahaan,
baik yang masih bekerja, sudah berhenti, keluar, diberhentikan dari perusahaan
tersebut dan bahkan yang pindah bekerja ke perusahaan lain. Dan hal tersebut
dilakukan untuk memperoleh keuntungan atau manfaat dalam bersaing. Oleh karena
itu audit sangat diperlukan dan terdapat dua hal utama yang harus diperhatikan
pada saat melakukan audit atau pemrosesan data elektronik seperti pengumpulan
bukti dan evaluasi bukti.
5.
Kesalahan
pada proses perhitungan
Sistem Informasi sering digunakan
untuk melakukan proses menghitung yang rumit karena memiliki kemampuan untuk
mengolah data secara tepat dan akurat, namun juga menimbulkan resiko kesalahan.
Tanpa adanya pengembangan sistem yang baik, tentu saja dapat terjadi kesalahan
menghitung dan yang lebih buruk adalah sistem yang baru yang sudah dibuat akan
sulit di deteksi tanpa ada proses audit yang dilakukan.
6.
Nilai
investasi yang tinggi untuk perangkat keras dan perangkat lunak computer
Investasi yang dikeluarkan suatu
perusahaan tentu sangat besar dan sulit untuk mengukur manfaat yang dapat
diberikan oleh suatu sistem atau teknologi informasi.
Manfaat Audit IT :
1.
Manfaat pada saat Implementasi (Pre-Implementation
Review)
a. Institusi
dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan
ataupun memenuhi acceptance criteria.
b. Mengetahui
apakah pemakai telah siap menggunakan sistem tersebut.
c. Mengetahui
apakah outcome sesuai dengan harapan manajemen.
2. Manfaat setelah sistem live (Post-Implementation
Review)
a. Institusi
mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk
penanganannya.
b. Masukan-masukan
tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis,
dan anggaran pada periode berikutnya.
c. Bahan
untuk perencanaan strategis dan rencana anggaran di masa mendatang.
d. Memberikan
reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah
ditetapkan.
e. Membantu
memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan
oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan
pemeriksaan.
f. Membantu
dalam penilaian apakah initial proposed values telah terealisasi dan saran tindak lanjutnya.
