Dalam lingkungan saat ini, organisasi harus mengintegrasikan TI mereka dengan strategi bisnis
untuk mencapai tujuan perusahaan secara keseluruhan, mendapatkan nilai maksimal dari
informasi mereka, dan memanfaatkan teknologi yang tersedia bagi mereka. Di mana sebelumnya
TI dianggap sebagai enabler dari suatu perusahaan strategi, sekarang dianggap sebagai bagian
integral dari strategi itu untuk mencapai profitabilitas dan layanan. Akibatnya, risiko bisnis
meningkat. Audit TI diperlukan untuk mengevaluasi kecukupan sistem informasi untuk
memenuhi kebutuhan pemrosesan, untuk mengevaluasi kecukupan kontrol internal, dan untuk
memastikan bahwa aset yang dikendalikan oleh sistem tersebut dilindungi secara memadai.
Situasi terkini seperti mereka yang ada di Enron, WorldCom, dan lainnya memberi bobot pada
kebutuhan akan audit dan independensi. Bagian di Amerika Serikat dari Sarbanes – Oxley Act
tahun 2002 memberikan dukungan yang diperlukan bagi organisasi untuk membersihkan
tindakan mereka dan mengandalkan kemampuan audit internal mereka.
The Situation and the Problem
Komputer telah digunakan secara komersial sejak tahun 1952. Kejahatan terkait komputer
pertama kali dilaporkan pada awal tahun 1966. Sebelum tahun 1973 masalah muncul pada
Equity Funding Corporation of America (EFCA), profesi audit memandang bahwa ada masalah
serius terkait kekurangan control dalam Sistem Informasi computer. Ketika EFCA menyatakan
bangkrut pada tahun 1973, dampak langsung dari kerugian dilaporkan sebesar $200 juta.
Kerugian ini adalah hasil dari “computer assisted fraud” . 30 tahun kemudian tepatnya pada
tahun 2002, penipuan besar lainnya mulai terungkap yang membawa efek skeptisisme serta
kejatuhan Financial Market.
Audit Standart
Komite AICPA ditugasi dengan tanggungjawab meninjau standar audit setelah keruntuhan
EFCA. Namun, Sarbanes Oxley akan memberikan efek dramatis pada akuntan publik. Section
404 terkait Management Assessment of Internal Controls of the Act states memberikan
persyaratan yang akan memberikan dampak besar pada auditor internal dan TI. AICPA telah
menanggapi kegagalan audit dan penipuan keuangan pada kasus Enron, World com, Adelphia,
dll. AICPA mengubah SAS 82 dan mengeluarkan SAS 99 terkait Fraud.
Juni 2001, SAS 94 di terbitkan dan efektif di terapkan sebagai standar audit tambahan untuk
memberikan panduan kepada auditor tentang jenis penilaian yang tepat, yang dapat digunakan
dalam evaluasi internal kontrol dalam sistem TI. Standar audit menyatakan bahwa CAAT,
diperlukan untuk menguji beberapa jenis kontrol teknologi informasi dalam jenis lingkungan TI
tertentu. Sebelum ini, standar audit (SAS 48,55,78) adalah standar utama yang relevan dan
diterapkan pada audit berbasis computer. Namun, standar ini menilai risiko pengendalian secara
maksimal dan hanya melakukan substantif tes saldo akun dan transaksi untuk mengumpulkan
bukti pernyataan laporan keuangan.
Other Standards
Organisasi penetapan standar lainnya juga telah mengeluarkan pedoman. Misalnya, IIA,
ISACA,dan GAO telah cukup aktif dalam memberikan pedoman terkait audit system informasi.
1. Dengan Auditing around the computer akan menjadi tidak memuaskan untuk tujuan
menjaga kepercayaan data.
2. Ketergantungan terhadapat control sangat dipertanyakan.
3. Lembaga keuangan kehilangan uang karena pemrograman kreatif.
4. Database gaji tidak bisa diandalkan untuk akurasi karena programmer canggih.
5. Keamanan data tidak dapat lagi ditegakkan secara efektif
6. Terjadi kemajuan dalam teknologi
7. Jaringan internal sedang diakses oleh karyawan dengan komputer.
8. Komputer pribadi menjadi dapat diakses melalui kantor dan rumah
9. Dibutuhkan kemajuan program perangkat lunak untuk mengaudit data dalam jumlah
besar, atau dikenal sebagai CAATs (Computer Assisted Audit Technique).
10. Pertumbuhan yang sangat besar dari hackers (peretas perusahaan), baik internal maupun
eksternal, menjamin perlunya auditor TI.
Secara tradisional, ada tiga sumber yang diterima secara umum untuk memperoleh pendidikan
audit TI:
Sumber pertama adalah berpartisipasi dalam campuran pelatihan on the job training dan
in the house programs.
Kedua, berpartisipasi dalam seminar yang disampaikan oleh organisasi professional atau
vendor
Ketiga, di lingkungan akademik universitas.
Dalam lingkungan bisnis berbasis informasi, profesional bisnis yang kompeten secara teknis di
bidang TI atau spesialis TI yakni yang memahami operasi akuntansi, perdagangan, dan keuangan
memiliki permintaan tinggi untuk karir audit TI. Spesialis TI dan auditor TI harus terus
menerima pendidikan untuk meningkatkan pengetahuan, keterampilan, dan kemampuan mereka.
Universitas, dengan kurikulum yang sesuai, dapat menghasilkan kandidat yang dapat
dipekerjakan untuk audit IT, keamanan, dan profesi kontrol.
Broadest Experience
Ada sejumlah sertifikasi profesional yang dapat menguntungkan auditor. Di area audit TI, untuk
lulus ujian CISA (Certified Information System Auditor), seseorang harus mengetahui,
memahami, dan dapat menerapkan teori audit TI modern untuk semua pertanyaan ujian yang
diajukan. Dalam situasi lain, sertifikasi seperti Akuntan Publik Bersertifikat (CPA), Certified
Chartered Akuntan (CA), Auditor Internal Bersertifikat (CIA), Profesional Komputer
Bersertifikat (CCA), Manajer Keuangan Pemerintah Bersertifikat (CGFM), Bersertifikat
Profesional Keamanan Sistem Informasi (CISSP), Manajer Keamanan Informasi Bersertifikat
(CISM), dan Penguji Penipuan Bersertifikat (CFE) adalah contoh sertifikasi yang mungkin
sangat berguna untuk karir dan rencana masa depan seseorang.
Supplemental Skills
Selain pengalaman dan keterampilan teknis, auditor SI yang efektif memiliki beragam
keterampilan yang memungkinkan mereka untuk menambah nilai bagi organisasi dan klien
mereka. Banyak keterampilan nonteknis atau tambahan yang berkaitan dengan pengumulan
informasi dan menyajikan informasi kepada oranglain. Keterampilan nonteknis ini berupa dapat
menyajikan informasi secara efektif dan efisien baik melalui komunikasi lisan ataupun tulisan.
Auditor juga tidak boleh membatasi diri hanya ke satu industry, perangkat lunak dan system
informasi. Audit harus men-challenge diri mereka serta memperluasan pengetahuan mereka
dengan banyaknya pengalaman di lingkungan berbeda. Hal ini nantinya akan dapat memberikan
skill tambahan bagi diri mereka.
Role of the IT Auditor
auditor yang mengevaluasi sistem yang kompleks saat ini harus memiliki keterampilan teknis
yang sangat berkembang dan memahami metode pemrosesan informasi yang berkembang.
Sistem kontemporer membawa risiko seperti platform yang tidak kompatibel, metode baru untuk
menembus keamanan melalui komunikasi jaringan (mis., Internet), dan desentralisasi
pemrosesan informasi dengan cepat mengakibatkan hilangnya kontrol terpusat.
Audit lingkungan pemrosesan dibagi menjadi dua bagian. Pertama dan paling teknis bagian dari
audit adalah evaluasi lingkungan operasi, dengan paket perangkat lunak utama(mis., sistem
operasi dan keamanan) mewakili kontrol umum atau lingkungan di lingkungan pemrosesan
otomatis. Bagian kedua dari lingkungan pemrosesan adalah aplikasi otomatis, yang diaudit oleh
auditor umum yang memiliki beberapa keterampilan komputer. Peran auditor TI dapat diperiksa
melalui proses tata kelola TI dan standar praktik profesional untuk profesi ini.
IT Auditor as Counselor
IT Auditor as Partner of Senior Management
IT Auditor as Investigator
Kesimpulan
Fungsi audit, baik internal maupun eksternal, adalah bagian dari lingkungan perusahaan. Ini
adalah sebuah proses untuk memvalidasi, memverifikasi, dan membuktikan secara objektif suatu
proses, aktivitas, fungsi, sistem, subsistem, atau proyek dalam suatu organisasi. Auditor memiliki
seperangkat keterampilan dan kemampuan yang unik memungkinkan mereka untuk
mengevaluasi berbagai masalah dan lingkungan. Mereka juga memiliki standar profesional
praktik yang mereka ikuti, tergantung pada tingkat kualifikasi mereka dan sertifikasi apa pun
yang mereka dapat telah tercapai.