I.
Apa
saja yang dilakukan it auditor
Pada kesempatan ini penulis akan menjelaskan gambaran pekerjaan
jika menjadi auditor IT, apa saja hal yang akan dilakukan dan yang tidak harus
dilakukan oleh seorang auditor. serta akan disampaikan resiko-resiko yang akan
dihadapi oleh seorang auditor.
Pertama akan dijelaskan terlebih dahulu apa itu audit IT. Audit IT
merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi
dalam perusahaan. sehingga menjadi Seorang auditor IT itu tidaklah mudah karena
harus bertanggung jawab terhadap
gagalnya pengembangan sistem informasi yang menyebabkan kerugian serta menuntut
kedisiplinan kerja secara profesional.
Agar dapat memahami proses audit teknologi informasi, setidaknya
harus memahami jenis/bagian secara umum dari teknologi informasi itu sendiri
yang terdiri atas:
a.
Systems
and Applications
Pada bagian ini mewakili bagaimana sebuah data diproses melalui
aplikasi perangkat lunak komputer yang dikelola melalui suatu sistem yang
biasanya terdiri atas tingkatan hierarkis yang mengikuti aturan bisnis yang
berlaku di organisasi yang menggunakannya. Sehingga proses auditnya sendiri
akan meliputi verifikasi terhadap sistem dan aplikasinya apakah handal, efisien
serta memiliki kontrol yang melekat untuk memastikan kebenaran, kehandalan,
kecepatan maupun keamanan pada saat pengiriman, pemrosesan serta pengeluaran
informasi di setiap tingkatan kegiatan sistem.
b.
Information
Processing Facilities
Merupakan komponen yang terkait dengan fasilitas-fasilitas yang
digunakan untuk mengolah informasi di suatu organisasi. Biasanya ini terkait
dengan perangkat keras seperti misalkan scanner, komputer server, formulir,
dsb. Di komponen teknologi informasi ini dilakukan verifikasi untuk memastikan
apakah fasilitas pemrosesan terkendalikan untuk memastikan kecepatan, ketepatan
dan tingkat efisiensi dari aplikasi-aplikasi berada dalam kondisi normal serta
di bawah kemungkinan adanya potensi kerusakan/gangguan.
- Systems Development
Adalah bagian dari proses pembangunan maupun pengembangan dari
sistem yang sudah ada dalam suatu organisasi sesuai tujuan-tujuan aktivitasnya.
Proses audit pada komponen ini ditujukan untuk memverifikasi apakah setiap
sistem yang sedang dalam proses pengembangan sesuai dengan
tujuan/pedoman/arahan/visi/misi dari organisasi penggunanya. Selain itu proses
audit pada bagian ini juga ditujukan untuk memastikan apakah selama proses
pengembangan sistem sesuai dengan standar-standar yang secara umum digunakan
dalam pengembangan sistem.
- Management of IT and Enterprise Architecture
Pengelolaan atas teknologi informasi serta arsitektur seluruh
lingkup internal organisasi yang disesuaikan dengan struktur dan prosedur yang
ditetapkan oleh manajemen adalah sangat penting. Pentingnya hal tersebut
memerlukan proses audit yang dilaksanakan untuk memastikan apakah segenap
lingkungan/komponen organisasi dalam pemrosesan informasinya dilakukan secara
terkendali dan efisien.
- Client/Server, Telecommunications, Intranets, and Extranets
Komputer, peralatan telekomunikasi, sistem jaringan komunikasi data
elektronik (intranet/extranet) serta perangkat-perangkat keras pengolahan data
elektronik lainnya adalah komponen dari sebuah teknologi informasi. Audit di
bagian ini menjadi penting untuk melakukan verifikasi atas seperangkat
pengendalian pada infrastruktur perangkat keras yang digunakan dalam pemrosesan
serta komunikasi data secara elektronik dalam suatu sistem jaringan yang
terintegrasi.
Dimana dalam melaksakan
proses audit teknologi/sistem informasi meliputi tahapan-tahapan berikut :
a.
- Planning
Pada tahapan ini lakukan perencanaan menyeluruh atas hal-hal
mendasar seperti:
·
Fokus
komponen yang akan diaudit
·
Alat
(framework) yang akan digunakan sebagai pedoman pelaksanaan audit
·
Kebutuhan
sumber daya yang diperlukan
·
Hasil
akhir yang diinginkan dari proses audit
·
Jadual
kegiatan
·
Rencana
Anggaran Biaya jika menggunakan jasa pihak lainnya
- b. Studying and Evaluating Controls
Pada tahap ini setelah kita mempelajari bagaimana kondisi dari
obyek audit kita. Biasanya secara mendasar fokus dari audit adalah kemampuan
pengendalian/kontrol atas obyek tersebut. Kemudian dari hasil melakukan
analisis tersebut disusun evaluasi atasnya.
- c. Testing and Evaluating Controls
Setelah mempelajari dan mengevaluasi hasil analisisnya, tahap
berikutnya adalah melakukan serangkaian pengujian atas obyek audit kita. Pengujian
tersebut tentunya menggunakan standar-standar baku berdasarkan framework yang
sudah ditetapkan sebelumnya untuk digunakan dalam proses audit.
Sama halnya dengan tahapan sebelumnya, inti dari proses audit
adalah melakukan telaah uji atas kemampuan pengendalian atas setiap aspek dari
sumber daya teknologi informasi yang ada berdasarkan batasan-batasan yang sudah
disepakati sebelumnya. Hasil dari pengujian tersebut kemudian dievaluasi untuk
disusun dalam laporan hasil pemeriksaan.
- d. Reporting
Seluruh tahapan yang telah dilakukan sebelumnya dalam proses audit
teknologi informasi kemudian didokumentasikan dalam suatu laporan hasil
pemeriksaan/audit.
- e. Follow-up
Hasil dari laporan hasil pemeriksaan/audit kemudian ditindaklanjuti
sebagai acuan para pemegang kebijakan di setiap tingkatan manajemen organisasi
dalam menentukan arah pengembangan dari penerapan teknologi informasi di
organisasi tersebut.
Risiko-risiko yang mungkin ditimbulkan sebagai akibat dari gagalnya
pengembangan suatu sistem informasi, antara lain :
·
Biaya
pengembangan sistem melampaui anggaran yang ditetapkan.
·
Sistem
tidak dapat diimplementasikan sesuai dengan jadwal yang ditetapkan.
·
Sistem
yang telah dibangun tidak memenuhi kebutuhan pengguna.
·
Sistem
yang dibangun tidak memberikan dampak effisiensi dan nilai ekonomis terhadap
jalannya operasi institusi, baik pada masa sekarang maupun masa datang.
·
Sistem
yang berjalan tidak menaati perjanjian dengan pihak ketiga atau memenuhi aturan
yang berlaku.
Secara khusus IT auditor akan:
1.
Kalau
anda bekerja dalam audit firm seperti Ernst & Young, PwC, Deloitte, KPMG
atau di consultant seperti Accenture dan IBM, maka:
IT auditor -dilengkapi dengan berbagai tools- mendatangi client,
memeriksa pengelolaan TI di client tersebut, dari program changes, logical
access, OS,DB,security review. Maka IT auditor akan banyak bertanya-tanya
seputar bagaimana sih client tersebut menjalankan TI-nya. IT auditor akan
berfungsi sebagai pihak ketiga yang MENILAI, memberi MASUKAN, MENGARAHKAN
sebaiknya bagaimanakah pelaksanaan TI ditempat tersebut. The point is: kita
hanya bertanya, mengecek dan membuat laporan. Jualan audit firm adalah
penilaian, professional assesment.
a.
Kalau
anda bekerja di company, misalnya sebagai IT auditor di Excelcom, maka ada dua
kemungkinan:
A.
Anda
bekerja dibawah Internal Auditor maka:
Anda akan
membantu auditor (keuangan) memastikan bahwa orang IT ga aneh2
B.
Anda
bekerja dibawah Direktur TI maka:
Anda akan
membantu direktur anda menjamin pelaksanaan IT berjalan baik-baik, apik dan
tidak ada masalah. Jika dalam direktorat IT maka kemungkinan besar anda juga
akan terlibat dalam security implementation ditempat tersebut.
2.
Kedepannya
gimana?
a.
Bisa
sangat cerah, anda akan punya path yang jelas untuk menjadi CIO, karena
satu-satunya entitas yang paling paham pengelolaan TI adalah IT auditor,
disusul system development, disusul infrastructure dan selanjutnya di operation
b.
Bisa mentok, bila anda terjebak di audit firm,
terjebak di company, atau terjebak dengan skill yang sulit dijual
c.
Bisa
sangat suram, mengingat entry barrier dalam profesi ini sebenarnya sangat
rendah, siapapun asalkan memiliki jam terbang sebenarnya sudah kompeten menjadi
IT auditor.
II.
Alur
Kerja IT Audit
1.
Persiapan
2.
Review
Dokumen
3.
Persiapan
kegiatan on-site audit
4.
Melakukan
kegiatan on-site audit
5.
Persiapan,
persetujuan dan distribusi laporan audit
6.
Follow
up audit
III.
PROSEDUR
/ MEKANISME IT AUDIT:
Kontrol
lingkungan:
·
Apakah
kebijakan keamanan (security policy) memadai dan efektif ?
·
Jika
data dipegang oleh vendor, periksa laporan tentang kebijakan dan prosedural
yang terikini dari external auditor.
·
Jika
sistem dibeli dari vendor, periksa kestabilan financial.
·
Memeriksa
persetujuan lisen (license agreement).
Kontrol keamanan
fisik:
·
Periksa
apakah keamanan fisik perangkat keras dan penyimpanan data memadai.
·
Periksa
apakah backup administrator keamanan sudah memadai (trained,tested).
·
Periksa
apakah rencana kelanjutan bisnis memadai dan efektif.
·
Periksa
apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai.
Kontrol
keamanan logical:
·
Periksa
apakah password memadai dan perubahannya dilakukan regular.
·
Apakah
administrator keamanan memprint akses kontrol setiap user.
Contoh
prosedur IT Audit:
·
Internal IT Deparment
Outputnya Solusi teknologi meningkat, menyeluruh & mendalam dan Fokus
kepada global, menuju ke standard2 yang diakui.
·
External IT
Consultant Outputnya Rekrutmen staff, teknologi baru dan kompleksitasnya
Outsourcing yang tepat dan Benchmark / Best-Practices
PROSEDUR / MEKANISME
Prosedur Audit
merupkan tindakan yang di lakukan atau metode dan taknik yang digunakan
olehauditor untuk mendapatkan atau mengevaluasi bukti audit.
Berikut adalah komponen
Audit TI:
1. Pendefinisian tujuan perusahaan.
2. Penentuan isu, tujuan dan perspektif bisnis antara penanggung jawab
bagian dengan bagianTI.
3. Review terhadap pengorganisasian bagian TI yang meliputi
perencanaanproyek, status danprioritasnya, staffing levels, belanja TI dan IT
changeprocess management.
4. Assessment infrastruktur teknologi, assessment aplikasi bisnis.
5. Temuan-temuan.
6. Laporan rekomendasi.
IV.
IT Auditor menghasilkan
apa?
IT
Auditor menghasilkan laporan penilaian
mengenai kualitas kontrol sistem, pengembangan sistem, dan software dan
hardware yang digunakan sebuah perusahaan. Biasanya IT Auditor akan memberikan
rekomendasi kepada perusahaan mengenai perbaikan sistem yang sedang digunakan
oleh perusahaan.
Sumber
: