ISQA – Personal Assignment 1

Audit Teknologi Informasi

Menurut A Statement of Basic Auditing Concept (ASOBAC) audit adalah suatu proses sistematis untuk menghimpun dan mengevaluasi bukti-bukti secara obyektif mengenai asersi tentang berbagai tindakan dan kejadian ekonomi untuk memutuskan tingkat kesesuaian antara asersi- asersi tersebut dengan kriteria yang telah ditentukan dan menyampaikan hasilnya kepada para pemakai yang berkepentingan.

Anas pada gamatechno.com menyatakan bahwa audit TI adalah terkait dengan proses menghimpun kebutuhan teknologi informasi dan mengevaluasi infrastruktur IT. Audit IT memastikan bahwa mekanisme sistem informasi yang berjalan, tetap berada di koridor integritas. Hal ini terjadi sebab mekanisme sistem informasi sangat terkait dengan perekonomian secara global.

Sedangkan enslikopedia Wikipedia.com menyatakan bahwa IT audit adalah adalah pemeriksaan terhadap kontrol manajemen dalam suatu teknologi informasi (TI) infrastruktur. Dimana hasil evaluasi yang diperoleh dari pemeriksaaan bukti yang ada akan menentukan apakah sistem informasi yang ada dapat menjaga aset, memelihara integritas data, dan beroperasi secara efektif untuk mencapai tujuan atau sasaran organisasi.

Techtarget.com menyatakan bahwa Audit IT adalah pemeriksaan dan evaluasi infrastruktur teknologi informasi, kebijakan dan operasi organisasi. Audit teknologi informasi menentukan apakah IT mengontrol melindungi aset perusahaan, memastikan integritas data dan selaras dengan tujuan bisnis secara keseluruhan. auditor IT meneliti tidak hanya kontrol keamanan fisik, tetapi juga bisnis dan keuangan kontrol keseluruhan yang melibatkan sistem teknologi informasi.

Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya. Audit IT ini dilakukan untuk memastikan bahwa mekanisme sistem informasi yang berjalan, tetap berada di koridor integritas. Audit teknologi informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis.

Dari definisi-definisi di atas dapat disimpulkan bahwa IT audit adalah sebuah proses pemeriksaan yang dilakukan untuk memastikan apakah proses-proses IT yang ada di dalam sebuah perusahaan sudah berjalan dengan baik dan efektif sehingga dapat membantu perusahaan untuk mencapai tujuan dari perusahaan tersebut.

Dari informasi diatas juga dapat disimpulkan bahwa cakupan dari IT audit ini pada dasarnya adalah keseluruhan aspek yang ada pada operasional IT yang ada dalam perusahaan, seperti management, pengadaan infrastruktur dan layanan IT, pengembangan applikasi, operasional layanan, sampai dengan monitoring terhadap layanan yang diberikan kepada user. Disamping itu, beberapa audit lain sangat mungkin akan beririsan dengan audit yang dilakukan oleh IT, seperti audit keuangan, audit aseet dan audit yang lainnya. Khusus untuk pelaksanaan audit IT, sudah ada beberapa standard internasional yang dapat digunakan oleh perusahaan, tentunya menyesuaikan dengan kebutuhan dari perusahaan, bagian mana dari perusahaan yang akan di audit. Namun ternyata pada beberapa standard yang ada masih dimungkinkan untuk melakukan eksepsi untuk beberapa proses atau domain yang belum atau tidak diimplementasikan dalam sebuah perusahaan. Sebagai contohnya, jika menggunakan COBIT, ada beberapa domain yang bisa dipilih untuk tidak di audit. Atau ketika melakukan sertifikasi ISO hanya untuk bagian dari IT saja, tidak secara keseluruhan. Hal ini juga secara implisit dikemukakan oleh Jericho forum pada jurnal IT Audit and compliance yang menyatakan bahwa ketika melakukan scoping terhadap IT environment yang dimiliki oleh client, kehati-hatian harus dilakukan untuk memastikan bahwa system, environment dan juga aplikasi yang terkait untuk memenuhi kebutuhan bisnis dan kebutuhan audit adalah sudah ter-covered. Yang bisa diartikan bahwa tidak semua hal yang terkait dengan IT adalah harus di audit dalam waktu yang sama.

 

Pentingnya Audit IT di Perusahaan

CA Yogesh Patel dalam jurnalnya A Review on Role of Auditor in Corporate Governance – The Auditor’s Perspective di tahun 2014 menyatakan bahwa dengan kapabilitas yang memadai, maka Proses audit akan berdampak besar pada kinerja keseluruhan dari suatu organisasi, sehingga memberikan kontribusi substansial dan bermakna menuju “membangun kerangka kerja good corporate governance”

Sedangkan Jericho forum, COA Position paper, pada jurnalnya IT Audit and Compliance menyatakan bahwa IT audit adalah terkait dengan verifikasi formal dan validasi dari qualitas dan nilai efektivitas dari IT control. Dan audit IT diperlukan oleh perusahaan diantaranya adalah karena IT audit adalah IT risk Management, yang diterjemahkan ke dalam Business Risk Management.

Institute Internal Auditor (IIA) dalam salah satu buku yang dipublishnya, Global Technology Audit Guide (GTAG®) 4 Management of IT Auditing 2nd Edition, pada tahun 2014 menyatakan bahwa Proses pelaksanaan IT Audit pada dasarnya tidak berbeda dengan pelaksanaan audit lainnya. auditor harus melakukan perencanaan, identifikasi dan melakukan kontrol dokumen, melakukan test terhadap design dan efektivitas dari control yang ada, mengambil kesimpulan dan membuat report. Laporan ini kemudaian akan diteruskan oleh Chief Audit Executive kepada stakeholder secara periodik. Hasil dari audit ini akan membantu Chief information Officer untuk melakukan beberapa hal seperti IT resource apa yang saat ini diperlukan, melakukan evaluasi terhadap IT Risk, dan melakukan pekerjana Audit IT.

Sedangkan Auditor-General’s office dalam salah satu page yang dikeluarkan pada tahun 2009 menyatakan bahwa IT audit adalah hal yang penting karena hal ini akan memberikan jaminan bahwa IT system yang ada adalah hal yang sudah cukup terlindungi, memberikan informasi yang reliable kepada user dan dimanage secara baik untuk mencapai keuntungan yang diharapkan. IT audit juga dapat membantu untuk menurunkan risiko pada data tampering, data loss atau data leakage, service disruption dan management it system yang buruk

Menurut intosai working group dalam salah satu literaturenya, Information Technology Audit, Computer system adalah hal yang efisien dan dapat mendapatkan hasil yang akurat dalam waktu yang cepat, jika mereka bekerja sesuai dengan desain nya. untuk melakukan hal ini, mereka memiliki control untuk memastikan hal ini tercapai, namun, kontrol ini juga harus efektif. kontrol ini adalah hal yang penting dan ini adalah salah satu tugas dari auditor untuk melihat bahwa tidak saja terdapat kontrol yang cukup, namun juga berjalan dengan efektif untuk mendapatkan hasil dan mencapai tujuan. hal lain adalah kontrol yang ada harus bisa commensurate dengan risk yang diassess sehingga kontrol juga dapat menurunkan risiko kepada level yang dapat diterima

Dari beberapa penjelasan di atas dapat dilihat bahwa IT audit memiliki peranan penting dalam menjaga dan memastikan bahwa layanan IT yang sudah, sedang dan akan diberikan kepada user dapat memenuhi tujuan utama dari keberadaannya, baik dari sisi data, compliance aplikasi terhadap peraturan yang sudah ada, compliance layanan terhadap referensi yang sudah ditetapkan, bahkan menjadi control terhadap efektifitas layanan yang diberikan kepada user.

Menurut pengamatan penulis dalam impelemntasinya di Indonesia, IT audit sudah mulai banyak digunakan oleh perusahaan-perusahaan untuk memastikan bahwa layanan IT yang diberikan sudah sesuai dengan tatanan aturan yang ada, dan membantu perusahaan dalam mencapai tujuan bisnisnya. Menjalankan layanan IT sesuai dengan aturan yang berlaku saat ini bahkan sudah menjadi concern pemerintah Indonesia, dimana sudah ada beberapa aturan yang dikeluarkan oleh pemerintah, seperti Peraturan Pemerintah Republik Indonesia Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Teransaksi Elektronik, Undang-Undang No. 14 tahun 2008, tentang Keterbukaan Informasi Publik, Peraturan Menteri Komunikasi dan Informatika Nomor 13 Tahun 2015 tanggal 1 April 2015 tentang Pedoman Penyelenggaraan Sistem Akuntabilitas Kinerja Instansi Pemerintah pada Kementerian Komunikasi dan Informatika, serta aturan-aturan lainnya.

Tanpa adanya Audit terhadap layanan IT, maka kemungkinan adanya fraud dalam layanan yang diberikan oleh IT akan menjadi lebih besar dan pada akhirnya akan memberikan dampak yang luas bagi IT serta perusahaan.

 

 

Masalah terkait IT Audit

Hasil studi yang dilakukan oleh ISACA dan Proviti yang dipublish pada tanggal 1 desember 2015 menyatakan bahwa 60 persen dari perusahaan public telah memiliki IT Auditor Director, atau posisi sederajat didalam organisasinya, namun, setengah dari jumlah perushaaan ini, personel ini tidak menghadiri audit committee meetings. selanjutnya, banyak perusahaan masih membuat struktur reporting yang masih di bawah kualitas optimal. Dengan adanya IT Auditor yang melapor langsung kepada Chief Auditor Executive atau sederajat adalah sebuah best practice, namun, 28 persen dari perusahaan di Amerika Utara dan Asia menggunakan struktur report yang tidak ideal. angka ini adalah 33 persen di Amerika Latin dan 41 Persen di Eropa

Petter Lovaas dan tim dalam jurnalnya, IT Audit challenges for small and medium-sized financial instatutions di tahun 2012 menyatakan bahwa, ketika sebuah organisasi mendevelop IT Audit Program, maka kombinasi dari standar-standar industri akan diimplememtasikan. seperti yang didokumentasikan, framework ini adalah framework yang besar, sangat komprhensif dan tidak selalu cukup untuk memenuhi kebutuhan peraturan untuk  institusi keuangan kecil dan menengah.

Deblankson associates pada paper yang di publishednya dengan judul Current trends, and challenges for IT internal Audit Departments menyatakan bahwa terdapat 6 masalah utama dalam proses IT Auditing, yaitu Balancing the objectives, Short-fall in IT audit skills, Demand for IT audit to help ‘make the business better’, Pressure to deliver more with less, Ability to communicate technical issues in business terms, Ensuring an appropriate level of consistency and quality

Barclaysimpson.com, pada salah satu page nya, 3 Top Challenges for IT Auditors, yang di release pada 20 Juni 2016 menyatakan bahwa terdapat 3 challenges yang terbesar yang dihadapi IT audit department tahun 2016, yaitu cybersecurity, change management, dan finding the right staff.

Dari beberapa penjelasan di atas dapat di ambil kesimpulan bahwa ada beberapa permasalahan yang muncul pada saat IT audit dilakukan, baik untuk proses audit sendiri, maupun masalah yang terkait dengan auditor IT yang akan melakukan proses auditnya. Beberapa permasalahan diatas yang menurut kami banyak juga terjadi di Indonesia adalah:

  1. Komitmen pelaksanaan dan Perbaikan Audit. Tanpa adanya komitmen yang baik, khususnya dari management perusahaan, maka pelaksanaan audit dan perbaikannya tidak akan bisa berjalan dengan baik.
  2. Lingkup IT dan kecepatan perubahan IT. Untuk mendapatkan hasil yang maksimal, maka auditor pelaksana audit akan dituntut untuk memiliki kemamapuan yang mencukupi dalam bidang yang diauditnya. Namun dengan lingkup yang luas ditambah dengan kecepatan perubahan IT yang cepat, terkadang membuat auditor IT tidak bisa catch up dengan kondisi ini. Hal ini tentunya akan membuat hasil audit untuk hal yang belum dikuasai oleh auditor tidak terlalu maksimal.
  3. Adanya tuntutan temuan. Seringkali pada perusahaan auditor di tuntut untuk menemukan sebuah kesalahan dalam proses yang terjadi untuk tiap kali audit dilakukan. Hal ini secara umum membuat auditor menjadi terlalu focus untuk mencari kesalahan dari auditee dibandingkan dengan melihat proses yang sudah berjalan dengan baik. Pandangan kami dengan paham seperti ini, proses audit akan menjadi lebih sulit, karena kondisi audit yang tidak kondusif, dan secara natural, informasi yang mengalir akan terbatas. Dengan terjadinya hal ini, maka sangat mungkin rekomendasinya tidak menjadi maksimal.

 

E-Cash

Anderson.ucla.edu menyatakan bahwa konsep electronic cash adalah sebuah konsep yang pada dasarnya sudah ada dalam waktu yang cukup lama, konsep ini dianggap di mulai dengan konsep penulisan check. Ketika seseorang menuliskan sebuah cek dari seuatu bank, lalu diberikan kepada orang lain yang kemudian mencairkan check tersebut pada bank lain, maka pihak bank hanya akan melakukan transfer uang secara electronic tanpa harus memindahkan uangnya secara fisik. Konsep Electronic cash ini pada dasarnya adalah sama dengan konsep diatas, namun dilakukan perubahan sehingga menjadi sedikit lebih rumit, namun kerumitan ini yang membuat konsep ini menjadi lebih aman dan lebih private. Pada Intinya, layanan ini adalah membuat uang menjadi bentuk electronic, tidak lagi harus berbentuk cash yang harus di ambil sebelum digunakan. Dengan uang yang ada dalam bentuk ini, maka pembayaran menjadi lebih mudah. Cara kerja yang digunakan dalam konsep e-cash ini adalah sebagai berikut, Pengguna mendownload uang elektronik dari rekening banknya menggunakan software khusus dan menyimpan E-cash adalah hard drive lokalnya. Untuk melakukan pembayaran secara elektronik, pengguna E-cash akan menggunakan perangkat lunak untuk membayar jumlah yang diinginkan dari “dompet” E-cash miliknya ke “dompet” milik pedagang yang dimaksud. setelah melalui proses verfikasi transaksi perbankan E-cash, Pedagang dapat kemudian membayar tagihan ini melalui e-cash atau meng-upload ke rekening bank mata uang keras. Perusahaan E-cash akan menghasilkan uang di Setiap transaksi dari pedagang (biaya ini sangat kecil) dan dari royalti yang dibayarkan oleh bank dimana bank menyediakan pelanggan dengan software E-cash / hardware untuk biaya bulanan yang kecil.

Saat ini di Indonesia, salah satu provider yang sudah memiliki layanan ini adalah bank mandiri, dari situs resminya, pengertian e-cash mandiri adalah sebagai berikut: mandiri ecash adalah uang elektronik berbasis server yang memanfaatkan teknologi USSD dan aplikasi di telepon seluler yang memungkinkan penggunanya untuk melakukan transaksi perbankan seperti Top up e-Money, penyetoran dan penarikan tunai, pengecekan saldo, transfer antar rekening mandiri ecash dan fitur transaksi.

 

 

Auditor TI perlu mengetahui tentang lingkungan hukum Sistem Informasi (SI)

Sebagaimana penjelasan sebelumnya, bahwa lingkup auditor IT sangatlah luas, dari teknis IT sendiri, sampai dengan proses yang di support oleh layanan IT yang dimiliki. Untuk mendapatkan temuan yang valid dan masukan yang efektif, maka banyak hal yang harus di kuasai oleh tim auditor, dan lingkungan hukum system informasi adalah salah satunya. Dengan pengetahuan ini manjadi salah satu pengetahuan yang dimiliki oleh auditor, maka dapat dipastikan bahwa baik aplikasi yang di buat atau dikembangkan, ataupun perubahan yang terjadi di sisi hokum yang ada diluar perusahaan yang harus diimplemntasikan dapat dilakukan dengan baik.

Sebagai contoh, jika pada bisnis perbankan auditor melakukan audit terhadap proses bisnis yang terjadi dalam sebuah aplikasi transfer, maka auditor harus mengetahui aturan yang berlaku dari bank yang diauditnya serta dasar hokum yang dikeluarkan oleh pemerintah dan juga BI, tanpa pengetahuan ini, hasil audit yang dilakukan bisa jadi akan menghasilkan sesuatu yang misleading.

 

Referensi

Devi Fitrianah dan Yudho Giri Sucahyo, Audit Sistem Informasi/Teknologi Informasi Dengan Kerangka Kerja Cobit Untuk Evaluasi Manajemen Teknologi Informasi Di Universitas Xyz

Atang Hermawan, 2010, Pengaruh Auditor Eksternal dan Auditor Internal pada Pelaksanaan Good Corporate Governance

Esti – istiyati, 2015, Peranan Audit Internal Dan Pencegahan Fraud Dalam Menunjang Efektivitas Pengendalian Internal

http://www.anderson.ucla.edu/faculty/jason.frand/teacher/technologies/goshtigian/define.htm

http://www.dictionary.com/browse/e-cash

https://blog.gamatechno.com/mengenal-pentingnya-audit-teknologi-informasi/

http://wikipedia.com

https://www.iia.org.uk/media/190591/gtag04_management_of_it_auditing_2nd_edition.pdf

http://www.ago.gov.sg/docs/default-source/brochure/197b4897-87d6-477d-9bc2-d06afa225a41.pdf

https://www.isaca.org/About-ISACA/Press-room/News-Releases/2015/Pages/Top-10-Technology-Challenges-for-IT-Audit-Professionals%E2%80%93New-Study-from-ISACA-and-Protiviti.aspx

http://www.albany.edu/iasymposium/proceedings/2012/7-Lovaas&Wagner.pdf

http://www.deblankson.com/Deblankson_Website/doc/Current_IT_Internal_Audit_Trends_Deblankson_May_2009.pdf

http://www.barclaysimpson.com/news/3-top-challenges-for-it-auditors-news-801820445

https://outacomma.files.wordpress.com/2012/06/sa-seksi-110-tanggungjawab-dan-fungsi-auditor.pdf

 

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s