IT Audit
Audit menurut Arens, et al. (2003) yang diterjemahkan oleh kanto Santoso Setiawan dan Tumbur
Pasaribu adalah proses pengumpulan dan pengevaluasian bukti-bukti tentang informasi ekonomi untuk
menentukan tingkat kesesuaian informasi tersebut dengan criteria-kriteria yang telah ditetapkan, dan
melaporkan hasil pemeriksaan tersebut. IT Audit adalah suatu proses kontrol pengujian terhadap
infrastruktur teknologi informasi dimana berhubungan dengan masalah audit finansial dan audit
internal.IT audit lebih dikenal dengan istilah EDP Auditing (Electronic Data Processing), biasanya
digunakan untuk menguraikan dua jenis aktifitas yang berkaitan dengan komputer. IT Audit merupakan
gabungan dari berbagai macam ilmu, antara lain Traditional Audit, Manajemen Sistem Informasi,
Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science. IT Audit bertujuan untuk
meninjau dan mengevaluasi faktor-faktor ketersediaan (availability), kerahasiaan (confidentiality), dan
kebutuhan (integrity) dari sistem informasi organisasi.
Tahapan/Prosedur IT Audit
Tahapan Perencanaan. Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar
obyek yang akan diperiksa sehingga menghasilkan suatu program audit yang didesain sedemikian rupa
agar pelaksanaannya akan berjalan efektif dan efisien.
Mengidentifikasikan resiko dan kendali. Tahap ini untuk memastikan bahwa qualified resource sudah
dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktik-praktik terbaik.
Mengevaluasi kendali dan mengumpulkan bukti-bukti melalui berbagai teknik termasuk survei,
interview, observasi, dan review dokumentasi.
Mendokumentasikan dan mengumpulkan temuan-temuan dan mengidentifikasikan dengan audit.
Menyusun laporan.Hal ini mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yang
dilakukan.
Kontrol lingkungan:
1.Apakah kebijakan keamanan (security policy) memadai dan efektif ?
2.Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dari external
auditor
3. Jika sistem dibeli dari vendor, periksa kestabilan financial
4. Memeriksa persetujuan lisen (license agreement)
Gambar berikut ini merupakan contoh lembar kerja pemeriksaan IT Audit. Gambar A untuk contoh
yang masih ‘arround the computer‘, sedangkan B contoh ‘through the computer‘.
Contoh Metodologi IT Audit:
BSI (Bundesamt for Sicherheit in der Informationstechnik):
● IT Baseline Protection Manual (IT- Grundschutzhandbuch )
● Dikembangkan oleh GISA: German Information Security Agency
● Digunakan: evaluasi konsep keamanan & manual
● Metodologi evaluasi tidak dijelaskan
Analisa Kasus:
Dari rangkuman berita diatas, dapat ditarik beberapa kesimpulan, antara lain:
Pembobolan dana rekening tersebut kemungkinan besar dilakukan oleh orang dalam perusahaan atau
orang dalam perbankan dan dilakukan lebih dari satu orang.
Karena tidak semua pemilik rekening memiliki hubungan dengan perusahaan tersebut, ada
kemungkinan pembocoran informasi itu tidak dilakukan oleh satu perusahaan saja, mengingat jumlah
dana yang dibobol sangat besar.
Modusnya mungkin penipuan berkedok program yang menawarkan keanggotaan. Korban, yang tergoda
mendaftar menjadi anggota, secara tidak sadar mungkin telah mencantumkan informasi-informasi yang
seharusnya bersifat rahasia.
Pelaku kemungkinan memanfaatkan kelemahan sistem keamanan kartu ATM yang hanya dilindungi
oleh PIN.
Pelaku juga kemungkinan besar menguasai pengetahuan tentang sistem jaringan perbankan. Hal ini
ditunjukkan dengan penggunaan teknik yang masih belum diketahui dan hampir bisa dapat dipastikan
belum pernah digunakan sebelumnya.
Dari rangkuman berita diatas, disebutkan bahwa para pemilik yang uangnya hilang telah melakukan
keluhan sebelumnya terhadap pihak bank. Hal ini dapat diartikan bahwa lamanya bank dalam merespon
keluhan-keluhan tersebut juga dapat menjadi salah satu sebab mengapa kasus ini menjadi begitu besar.
Dari segi sistem keamanan kartu ATM itu sendiri, terdapat 2 kelemahan, yaitu:
1. Kelemahan pada mekanisme pengamanan fisik kartu ATM.
Kartu ATM yang banyak digunakan selama ini adalah model kartu ATM berbasis pita magnet.
Kelemahan utama kartu jenis ini terdapat pada pita magnetnya. Kartu jenis ini sangat mudah terbaca
pada perangkat pembaca pita magnet (skimmer).
2. Kelemahan pada mekanisme pengamanan data di dalam sistem.
Sistem pengamanan pada kartu ATM yang banyak digunakan saat ini adalah dengan
penggunaan PIN (Personal Identification Number) dan telah dilengkapi dengan prosedur yang
membatasi kesalahan dalam memasukkan PIN sebanyak 3 kali yang dimaksudkan untuk menghindari
brute force. Meskipun dapat dikatakan cukup aman dari brute force, mekanisme pengaman ini akan
tidak berfungsi jika pelaku telah mengetahui PIN korbannya.
Kesimpulan
Melakukan perbaikan atau perubahan sistem keamanan untuk kartu ATM. Dengan penggunaan kartu
ATM berbasis chip misalnya, yang dirasa lebih aman dari skimming. Atau dengan penggunaan sistem
keamanan lainnya yang tidak bersifat PIN, seperti pengamanan dengan sidik jari, scan retina, atau
dengan penerapan tanda tangan digital misalnya.
Karena pembobolan ini sebagiannya juga disebabkan oleh kelengahan pemilik rekening, ada baiknya
jika setiap bank yang mengeluarkan kartu ATM memberikan edukasi kepada para nasabahnya tentang
tata cara penggunaan kartu ATM dan bagaimana cara untuk menjaga keamanannya.
IT AUDIT
November 27, 2015 //
0
Pengantar
Audit sebuah system teknologi informasi untuk saat ini adalah sebuah keharusan. Audit perlu
dilakukan agar sebuat system mampu memenuhi syarat IT Governance. Audit system informasi adalah
cara untuk melakukan pengujian terhadap system informasi yang ada di dalam organisasi untuk
mengetahui apakah system informasi yang dimiliki telah sesuai dengan visi, misi dan tujuan organisasi,
menguji performa system informasi dan untuk mendeteksi resiko-resiko dan efek potensial yang
mungkin timbul.
Dalam pelaksanaanya, auditor TI mengumpulkan bukti-bukti yang memadai melalui berbagai
teknik termasuk survey, wawancara, observasi dan review dokumentasi.
Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya mencakup pula bukti
elektronis. Biasanya, auditor TI menerapkan teknik audit berbantuan computer, disebut juga dengan
CAAT (Computer Aided Auditing Technique). Teknik ini digunakan untuk menganalisa data, misalnya
saja data transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-
lain.
Ada beberapa teknik audit untuk melakukan audit pada Teknologi Informasi. Auditor dapat
menggunakan tiga kategori berikut dalam menguji pengendalian, yaitu:
1. Teknik audit berbantuan computer (Computer Assisted Audit Techniques/CAAT) yang terdiri
atas Auditing Around the Computer, dimana dengan teknik ini auditor menguji reliability dari
computer generated information dengan terlebih dahulu menghitung hasil yang diinginkan dari
transaksi yang dimasukkan dalam system, dan kemudian membandingkan hasil perhitungan
dengan hasil proses atau output. Jika terbukti akurat dan valid, maka diasumsikan bahwa system
pengendalian berfungsi seperti yang seharusnya. Kondisi ini cocok jika system aplikasi otomasi
sederhana dan ringkas. Pendekatan ini masih relevan dipakai di perusahaan yang menggunakan
software akuntansi yang bervariasi dan melakukan proses secara periodic.
2. Auditing With the Computer adalah auditing dengan pendekatan computer, menggunakan
teknik yang bervariasi yang biasa juga disebut Computer Assisted Audit Technique (CAAT).
Penggunaan CAAT telah meningkatkan secara dramatis kapabilitas dan efektifitas auditor,
dalam melakukan susbstantif test. Salah satu CAAT yang lazim dipakai adalah general audit
software (GAS). GAS sering dipakai untuk melakukan substantive test dan digunakan test of
control yang terbatas. Sebagai contoh GAS sering dipakai untuk mengetes fungsi algoritma
yang komplek dalam program computer. Tetapi ini memerlukan pengalaman yang luas dalam
penggunaan software ini.
3. Audit Through the Computer yang merupakan teknik focus pada testing tahapan pemrosesan
computerised, logic program, edit routines dan program controls. Pendekatan ini
mengasumsikan bahwa jika program pemrosesan dikembangkan dengan baik, dan memenuhi
edit routines dan programme check yang memadai, maka error dan kecurangan tidak akan
mudah terjadi tanpa terdeteksi.
STANDAR IT AUDIT
Standar yang digunakan dalam mengaudit teknologi informasi adalah standar yang diterbitkan oleh
ISACA yaitu ISACA IS Auditing Standard. Selain itu ISACA juga menerbitkan IS Auditing Guidance
dan IS Auditing Procedure. Sekarang keahlian dalam mengaudit IT juga memerlukan sertifikasi sendiri,
yaitu CISA (Certified Information System Audit). Standar adalah sesuatu yang harus dipenuhi oleh IS
Auditor. Guidelines memberikan penjelasan bagaimana auditor dapat memenuhi standar dalam
berbagai penugasan audit, dan prosedur memberikan contoh langkah-langkah yang perlu dilalui auditor
dalam penugasan audit tertentu sehingga sesuai dengan standar. Bagaimanapun IS auditor harus bisa
menggunakan judgement profesional ketika menggunakan guidance dan procedure. Standar yang
aplicable untuk audit IT adalah terdiri dari 11 standar yaitu, Audit charter, Audit Independent,
Profesional Ethic and standard, S4.Profesional competence, Planning, Performance of Audit Work,
Reporting, Follow-Up Activity, Irregularities and Irregular Act, IT Governance dan Use of Risk
Assestment in Audit Planning.
IS Auditing Guideline terdiri dari 32 guidance dalam mengaudit TI yang mengcover petunjuk
mengaudit area-area penting. IS Audit Procedure terdiri dari 9 prosedur yang menunjukan langkah-
langkah yang dilakukan auditor dalam penugasan audit yang spesifik seperti prosedur melakukan
bagaimana melakukan risk assestment, mengetes intruction detection system, menganalisis firewall dan
sebagainya. Jika dibandingkan dengan audit keuangan, maka standar dari ISACA ini adalah setara
dengan Standar Profesional Akuntan Publik (SPAP) yaitu menyangkut tata cara bagaimana audit
dilakukan. Sedangkan bagaimana kondisi apa yang diaudit diberikan penilaian berdasarkan standar
tersendiri yaitu COBIT.
Audit Sistem Informasi dapat dilakukan dengan berbagai macam tahap-tahap. Tahap-tahap audit terdiri
dari 5 tahap sebagai berikut :
1. Pengendalian umum
2. Pengendalian aplikasi, yang terdiri dari :
Pengendalian secara manual,
Pengendalian terhadap output sistem informasi,
Pengendalian yang sudah diprogram.
Pengendalian
A. Pemahaman Pengendalian UmumPengendalian umum pada perusahaan biasanya dilakukan
terhadap aspek fisikal maupun logikal. Aspek fisikal, terhadap aset-aset fisik perusahaan, sedangkan
aspek logikal biasanya terhadap sistem informasi di level manajemen (misal: sistem operasi).
Pengendalian umum sendiri digolongkan menjadi beberapa, diantaranya adalah:
1. Pengendalian organisasi dan otorisasi.Yang dimaksud dengan organisasi disini adalah secara
umum terdapat pemisahan tugas dan jabatan antara pengguna sistem (operasi) dan
administrator sistem (operasi). Disini juga dapat dilihat bahwa pengguna hanya dapat
mengakses sistem apabila memang telah diotorisasi oleh administrator.
2. Pengendalian operasi.Operasi sistem informasi dalam perusahaan juga perlu pengendalian
untuk memastikan sistem informasi tersebut dapat beroperasi dengan baik selayaknya sesuai
yang diharapkan.
3. Pengendalian perubahan.Perubahan-perubahan yang dilakukan terhadap sistem informasi
juga harus dikendalikan. Termasuk pengendalian versi dari sistem informasi tersebut, catatan
perubahan versi, serta manajemen perubahan atas diimplementasikannya sebuah sistem
informasi.
B. Pengendalian Aplikasi.
Pengendalian aplikasi yang dimaksud disini adalah prosedur-prosedur pengendalian yang didesain oleh
manajemen organisasi untuk meminimalkan resiko terhadap aplikasi yang diterapkan perusahaan agar
proses bisnisnya dapat berjalan dengan baik.
C. Hubungan Pengendalian Umum dan Aplikasi
Hubungan antara pengendalian umum dan aplikasi biasanya bersifat pervasif. Artinya apabila
pengendalian umum terbukti jelek, maka pengendalian aplikasinya diasumsikan jelek juga, sedangkan
bila pengendalian umum terbukti baik, maka diasumsikan pengendalian aplikasinya juga baik.
Macam Aplikasi
Aplikasi yang dimaksud biasanya berwujud perangkat lunak, yang dapat dibagi menjadi dua tipe dalam
perusahaan untuk kepentingan audit PDE:
1. Perangkat lunak berdiri sendiri. Tipe ini biasanya terdapat pada organisasi yang belum
menerapkan SIA dan sistem ERP, sehingga masih banyak aplikasi yang berdiri sendiri pada
masing-masing unitnya. Sebagai contoh: aplikasi (software) MYOB pada fungsi akuntansi dan
keuangan.
2. Perangkat lunak di server. Tipe ini biasanya terdapat pada organisasi yang telah menerapkan
SIA dan sistem ERP. Aplikasi terinstall pada server sehingga tipe struktur sistemnya memakai
sistem client-server . Client hanya dipakai sebagai antar-muka (interface) untuk mengakses
aplikasi pada server.
Untuk pengendalian akses, biasanya terpusat hanya pada pengendalian logika saja untuk menghindari
akses tidak terotorisasi. Selain itu juga terdapat pengendalian role based menu dibalik pengendalian
akses logika, dimana hanya pengguna tertentu saja yang mampu mengakses menu yang telah ditunjuk
oleh administrator. Hal ini berkaitan erat dengan kebijakan TI dan prosedur perusahaan berkaitan
dengan nama pengguna dan sandi nya.
2. Input
Inti dari pengendalian input adalah memastikan data-data yang dimasukkan ke dalam sistem telah
tervalidasi, akurat, dan terverifikasi. Beberapa pengendalian input otomatis yang biasa diprogram:
Validation checks
1. Format checks: sesuai dengan format yang ditentukan
2. Range and limit checks
3. Check digits
4. Validity checks (lookup)
5. Compatibility checks (data dan turunan)
Duplicate Checks
Membandingkan dengan input transaksi sebelumnya
Matching
Membandingkan (verifikasi) instan pada satu modul dengan instan modul lain yang
3. Proses
Pengendalian proses biasanya terbagi menjadi dua tahapan, yaitu (1) tahapan transaksi, dimana proses
terjadi pada berkas-berkas transaksi baik yang sementara maupun yang permanen dan (2) tahapan
database, proses yang dilakukan pada berkas-berkas master.
Anomaly penambahan
Anomaly penghapusan
Anomaly pemuktahiran/pembaruan
PENGENALAN KERTAS KERJA
Kertas kerja audit adalah catatan yang dibuat auditor tentang prosedur yang diterapkan, pelaksanaan
pengujian dan bukti yang diperoleh serta kesimpulan yang diperoleh selama audit. Kertas kerja
merupakan pendukung utama laporan audit, alat koordinasi dan supervisi, bukti bahwa auditor telah
melakukan audit sesuai dengan standar auditing yang Berterima umum.
Secara umum ada, tiga jenis kertas kerja sistem informasi yang dapat diterapkan untuk mendukung
audit perusahaan berbasis pengolahan data elektronik, yaitu:
1. Kertas kerja analisis sistem informasi: mencatat identifikasi permasalahan dan penjabaran blok
sistem informasi serta titik focus yang perlu mendapat perhatian khusus,
2. Kertas kerja program pemeriksaan: mencatat kegiatan dalam objek pemeriksaan, baik
pengendalian umum administrative maupun pengendalian aplikasi;
3. Kertas Kerja Evaluasi: mencatat hasil yang diperoleh berdasarkan temuan-temuan atau fakta
mengenai kegiatan sistem informasi klien.
Pentingnya suatu temuan dan rekomendasi bagi pembaca sebagian besar tergantung dari lingkup
penerapannya serta konsekuensi-konsekuensi praktis darinya (baik yang telah atau mungkin akan
terjadi). Karena itu penting bagi auditor untuk mengetengahkan keuntungankeuntungan praktis dari
rekomendasinya dan merancang rekomendasi itu sedemikian rupa sehingga diperoleh manfaat sebesar
mungkin. Dalam kasus dimana terdapat ketidaktaatan terhadap ketentuan, auditor harus
merekomendasikan tindakan khusus guna memperbaiki situasi dan bukan hanya merekomendasikan
agar ketentuan yang bersangkutan ditaati. Dalam menyusun konsep rekomendasi auditor harus dengan
seksama mempertimbangkan biaya untuk melaksanakan rekomendasi dibandingkan dengan manfaat/
keuntungan yang dapat diperoleh. Sejauh mungkin laporan hasil audit harus menyertakan informasi
yang menunjukkan bahwa rekomendasi tersebut dapat dipertanggungjawabkan dari segi biaya. Sedapat
mungkin rekomendasi ditempatkan segera setelah temuan yang bertalian dengannya.
Pelaksanaan audit system informasi dilaksanakan berdasarkan risk-based approach dengan mengacu
pada:
1. Pernyataan Standar Audit 57, 59, 60, 63, 64 dan 65
2. COBIT
3. ISO
4. Best practices lainnya (ISACA Guidelines, CISA 2007, COSO, Sarbanes-Oxley
Act, SANS) Pelaksanaan audit dilakukan dengan
Cara yang dapat dilaksanakan adalah:
1. Penyampaian kuisioner
2. Kuisioner Pengendalian Sistem Informasi
3. Kuisioner I – Analisis Pengelolaan Teknologi Informasi, Management Awareness
4. Kuisioner II – Analisis Pengelolaan Teknologi Informasi, Information Technology Controls
Diagnostic
5. Wawancara
6. Observasi
7. Major application
8. Infrastruktur pendukung data center: air conditioning, smoke detector, fire extinguisher,
hydrant, dll.
9. Sistem Operasi
10. Database
11. Internet, LAN, WAN
12. Perangkat Keras dan Lunak
13. Kebijakan dan Standard Operation Procedure
14. Studi kebijakan, prosedur, dan dokumentasi
15. Pengujian dengan menggunakan perangkat lunak
Salah satu referensi Control Objective for Information and related Technology (COBIT):
1. Mengamankan Aset Sistem Informasi (Assets Safeguarding)
Aset informasi suatu entitas seperti perangkat keras (hardware), perangkat lunak (software), sumber
daya manusia, file/data dan fasilitas Teknologi Informasi lainnya harus dijaga dengan sistem
pengendalian internal yang baik agar tidak terjadi misefisiensi, mis-efektifitas, dan penyalahgunaan aset
entitas. Dengan demikian sistem pengamanan aset sistem informasi merupakan suatu hal yang sangat
penting yang harus dipenuhi oleh entitas.
2. Efektifitas system
Efektifitas sistem informasi entitas memiliki peranan penting dalam proses pengambilan keputusan
usaha/bisnis. Suatu sistem informasi dapat dikatakan efektifbila sistem informasi memberikan manfaat
dan ketepatgunaan teknologi informasi dalam operasi dan administrasi.
3. Efisiensi system
Efisiensi menjadi sangat penting ketika sumber daya kapasitas yang dimiliki oleh entitas terbatas. Jika
cara kerja dari sistem aplikasi komputer menurun maka pihak manajemen, dalam hal ini mewakili
entitas, harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya,
karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user
dengan sumber daya informasi yang minimal.
7. Menjaga integritas data (Data Integrity) Integritas data adalah salah satu konsep dasar sistem
informasi. Data memiliki atributatribut seperti: kelengkapan, kebenaran, dan keakuratan. Jika
integritas data tidak terpelihara, maka suatu entitas tidak akan lagi memiliki informasi/laporan
yang benar, bahkan entitas dapat menderita k kerugian karena pengawasan yang tidak tepat
atau keputusan-keputusan yang salah. Faktor utama yang membuat data berharga bagi entitas
dan pentingnya untuk menjaga integritas data adalah:
8. Makna penting data/informasi bagi pengambilan keputusan adalah peningkatan kualitas data
sehingga dapat memberikan informasi bagi para pengambil keputusan.
9. Nilai data bagi pesaing entitas, jika data tersebut berguna bagi pesaing maka kehilangan data
akan memberikan dampak buruk bagi entitas. Pesaing dapat menggunakan data tersebut untuk
mengalahkan entitas saingannya sehingga mengakibatkan entitas menjadi kehilangan pasar,
berkurangnya keuntungan, dan sebagainya.
10. Menaati seluruh peraturan dan aturan yang ada dan berlaku saat ini, baik itu di internal
dan eksternal organisasi/entitas (Compliance)
Ketaatan terhadap peraturan yang berlaku baik itu didalam dan luar entitas memberikan dampak positif
dan bernilai tambah guna memberikan keyakinan yang cukup bagi para pihak yang berkepentingan
entitas khususnya para regulator bahwa entitas menerapkan prinsip kehati-hatian dengan tidak
meniadakan prinsip biayamanfaat dalam melakukan kegiatan usaha/bisnis entitas khususnya kegiatan
teknologi informasi.
DAFTAR PUSTAKA
Asmuni, Idris,2006, “kertas kerja audit sistem informasi (sebuah gagasan baru dalam standar
profesional pemeriksaan dan pengembangan sistem informasi)”
Darono, Agung, 2009, “Penerapan Teknik Audit Berbantuan Komputer dalam Audit Intern
Pemerintah”, Konferensi Nasional Sistem Informasi 2010, STMIK MDP Palembang
http://10503116.blog.unikom.ac.id/it-audit-tools.hi (diakses 06 Juni 2013)
http://aditpato7.wordpress.com/2012/05/01/it-audit/ (diakses 06 Juni 2013)
http://elmolya.blogspot.com/2011/03/it-audit-dan-forensik-audit-merupakan.html(diakses 06 Juni
2013)
http://highpecundang.blogspot.com/2011/03/it-audit-dan-it-forensic.html(diakses 06 Juni 2013)
http://intersystem.biz/index2.php?option=com_content&do_pdf=1&id=353(diakses 06 Juni 2013)
http://uzi-online.blogspot.com/2013/03/laporan-it-audit-ilab-gunadarma.html (diakses 06 Juni 2013)