Pentingnya Audit IT Dalam Dunia Siber

Pendahuluan

Awalnya, komponen dalam proses audit TI terbagi menjadi beberapa area/ bagian. Pertama,
audit tradisional memberikan kontribusi pengetahuan dari praktik kontrol secara internal dan
filosofi kontrol secara keseluruhan. Sekumpulan ilmu tingkah laku menyediakan pertanyaan
dan analisis untuk mengetahui kapan dan kenapa IS gagal dengan mudah tersebut
dikarenakan masalah orangnya. Akhirnya, bidang ilmu komputer berkontribusi pengetahuan
mengenai konsep kontrol, disiplin, teori, dan model formal yang mendasari rancangan
hardware dan software sebagai basis dalam mengelola validitas, reliabilitas, dan integritas
data.
IT Auditing adalah bagian integral dari fungsi audit karena hal tersebut mendukung penilaian
auditor terhadap kualitas informasi yang diproses oleh sistem komputer. Awalnya, auditor
dengan skill melakukan audit TI dipandang sebagai sumber daya teknologi bagi staff audit.
Staff audit sering mencari auditor untuk menangani hal teknis. Dalam sumber buku ini, terdiri
dari banyak tipe kebutuhan audit dalam area IT auditing, yang terdiri dari organizational IT
audits (management control over IT), technical IT Audits (infrastructure, data centers, data
communication), application IT audit (business/ financial/ operational), development/
implementation IT audits (specification/ requirements, design, development, and
postimplementation phases), dan compliances IT audits melibatkan standard nasional atau
internasional. Peran dari auditor TI terlibat untuk menyediakan jaminan kontrol yang
memadai dan berkaitan.
Saat ini, IT auditing adalah sebuah profesi yang memberikan pengarahan, tujuan, dan kualitas
yang dikarakterisasikan oleh standard teknikal yang worldwide, terdiri dari sekumpulan etika
aturan (Kode Etik Information Systems Audit and Control Association (ISACA), dan
program sertifikasi professional (Certified Information Systems Auditor (CISA)).
Kebanyakan perkumpulan professional IT, Akuntansi, dan Auditing yakin bahwa kegiatan
perbaikan dalam penelitian dan pendidikan akan menyediakan bagi auditor TI dengan dasar
pengetahuan secara teori dan empirik untuk fungsi audit TI.
Luasnya dan dalamnya pengetahuan dibutuhkan untuk sistem audit IT lebih bersifat ekstensif.
Sebagai contoh, IT Auditing melibatkan:
 Aplikasi dengan pendekatan audit yang berorientasi resiko
  Penggunaan komputer yang dilengkapi dengan tools dan teknik audit
 Aplikasi dari standard (nasional atau internasional) terdiri dari ISO 9000/3 dan ISO
17799
 Memahami peran bisnis dan ekspektasi terhadap proses audit sistem dibawah proses
pengembangan yang sama dengan proses pembelian terhadap paket software lengkap
dan manajemen proyek
 Penilaian terhadap isu privasi dan kemananan informasi dimana dapat meletakkan
organsiasi dalam resiko
 Memeriksa dan proses verifikasi terhadap kepatuhan organisasi dengan isu legal/
hukum terkait IT yang membahayakan atau menempatkan organisasi dalam resiko
 Evaluasi terhadap siklus hidup pengembangan sistem yang kompleks (SDLC) atau
teknik pengembangan baru (seperti prototyping, end user computing, rapid system,
atau application development)
 Melaporkan ke manajemen dan melakukan follow-up review

IT Auditing: What Is It?

Proses evaluasi IS dan IT oleh auditor telah menghasilkan ketentuan IT Auditing. IT auditing
adalah proses evaluasi IT, praktik, dan operasi untuk memastikan integritas dari informasi
entitas. Evaluasi tersebut terdiri dari penilaian efisiensi, efektifitas, dan nilai ekonomi dari
praktik berbasis komputer. Auditing juga melibatkan penggunaan komputer sebagai audit
tool. Evaluasi dalam auditing harusnya menentukan kecukupan kontrol internal dalam
lingkungan IT untuk memastikan valid, reliabel, dan melindungi layanan informasi.
Proses evaluasi auditor komputer dari sistem, praktik, dan operasi terdiri dari satu atau lebih:

 Penilaian terhadap kontrol internal dalam lingkungan IT untuk memastikan validitas,

reliabilitas, dan keamanan informasinya.
 Penilaian terhadap keefisienan dan keefektifitasan lingkungan IT berdasarkan
ketentuan ekonomi.
Sumber: Jjagdish Pathak, Mary R. Lind. 2006. Audit Risk, Complex Technology, and
Auditing Processes. EDPACS: The EDP Audit, Control, and Security Newsletter. 1-
9. (http://dx.doi.org/10.1201/1079/43853.31.5.20031101/78844.1)
Berdasarkan hasil analisis Pathak, Audit TI merupakan proses pemberian nilai dan evaluasi
atau proses pengontrolan secara internal terhadap penerapan teknologi informasi serta
lingkungan yang membentuknya sehingga nantinya proses bisnis yang diintegrasikan dengan
TI dapat berjalan dengan lancar. Dalam sumber ini, ada penggunaan SAS (Statement
Auditing Standards) yang menempatkan standard audit TI dalam organisasi terdiri dari dua
fokus utama, yaitu:
1. Pemeriksaan teknologi informasi yang kompleks terkait dengan risiko audit
2. Dampak SAS 94 mengenai proses audit.
Tidak hanya dari sisi teknologi informasinya yang dikontrol, tetapi juga sisi lainnya, seperti
finansial, operasional, dan sisi lainnya. Dalam bidang komputer, yang menjadi perhatian
utama dalam melakukan isu audit adalah perencanaannya terlebih dahulu, seperti
pemeriksaan terhadap proses enkripsi dalam ruang lingkup e-commerce kemudian
memastikan media penyimpanan informasi penting dalam server. Dalam departemen
keuangan, proses audit dilakukan mulai dari pemeriksaan laporan keuangan yang terintegrasi
dengan sistem informasi enterprise dalam proses bisnis organisasinya. Saat ini, banyak
pengontrolan dilakukan dalam sistem ERP (Enterprise Resource Planning) yang terbentuk
dari lima komponen fungsi bisnis inti.
Sumber: Michael Donahue. 2010. Entering a New Era in IS Audit and Control. EDPACS:
The EDP Audit, Control, and Security Newsletter. 1-
5. (http://dx.doi.org/10.1080/07366989409451672).

Audit TI adalah proses pengontrolan internal yang dilakukan oleh organisasi untuk
mengetahui sejauh mana kualitas yang dimiliki oleh perangkat teknologi informasi yang
digunakan untuk mendukung setiap proses bisnis organisasi. karena itu, diperlukan usaha
audit dalam memberikan nilai tambah organisasi sehingga dapat menghasilkan kinerja yang
lebih baik dari sebelumnya.
Sumber: Brad McKeown. 2010. Audit and Control in the HP3000/ IMAGE Environment.
EDPACS: The EDP Audit, Control, and Security Newsletter. 1-
11. (http://dx.doi.org/10.1080/07366988509449732).

Objektif dari proses audit TI adalah:

1. Proses evaluasi terhadap risiko yang sudah diidentifikasikan oleh organisasi dengan
menggunakan teknik kontrol tertentu yang sudah memenuhi standard serta mampu
mendukung sistem operasi dan subsystem organisasi.
 2. Mendefinisikan dan menrekomendasikan pendekatan audit yang dapat diterapkan
dalam organisasi tergantung dari kebijakan dan aturan organisasi.
Audit Teknologi Informasi adalah proses evaluasi terhadap perangkat Teknologi Informasi
dimana terjadi pengontrolan yang mendalam dan detail sehingga penerapan teknologi
informasi dalam suatu organisasi tetap terlaksana dan dapat diimplementasikan berhasil.
Selain itu, teknologi informasi dalam setiap proses bisnis organisasi harus terus-menerus
dilakukan proses monitoring sehingga kelangsungan bisnis dapat dijalankan dalam jangka
waktu yang pendek dan panjang. Dalam proses audit ini sangat penting dilakukan untuk
memastikan bahwa teknologi informasi yang terbaru dan tetap mengikuti trend mampu
difungsikan secara maksimal sehingga proses bisnis organisasi dapat berjalan secara efektif
dan efisien. Banyak audit TI yang dilakukan dalam organisasi sudah mengikuti standard-
standard internasional sehingga proses audit internal maupun eksternal tidak melakukan
segala bentuk kecurangan yang terjadi dalam organisasi. Oleh karena itu, organisasi harus
memastikan bahwa proses audit yang dilakukan sudah bersifat terbuka dan transparan.

Cakupan atau area yang terlibat dalam proses Audit Teknologi Informasi ini terdiri dari:

1. Organizational IT Audits (Management Control over IT)

Teknologi informasi sering dilibatkan penerapannya dalam area manajerial bisnis organisasi.
Hal ini dapat terlihat dari segala bentuk keputusan yang diambil melalui kewenangan dan
tanggung jawab dari masing-masing pihak manajemen. Salah satu contoh yang sering
digunakan adalah KMS (Knowledge Management System), ES (Expert System). Jenis
teknologi informasi tersebut digunakan untuk membantu pihak manajemen mengambil
alternatif dan keputusan yang tepat yang dijadikan sebagai bentuk strategi bisnis yang
nantinya akan diimplementasikan dalam proses bisnis organisasi.

2. Technical IT Audits (Infrastructure, Data Centers, Data Communication)

Proses audit TI ini sering dilakukan di departemen atau area fungsional bagian IT organisasi
karena departemen tersebut berperan dalam memberikan pengetahuan dan pengalaman bagi
sumebr daya manusia organisasi yang menggunakan TI tersebut. Selain itu, departemen IT
juga bertanggung jawab terhadap komponen hardware maupun software yang dimiliki
organisasi serta memastikan tingkat keamanan informasi yang sudah disimpan dalam
database organisasi sehingga kerahasiaan tetap terjaga dalam organisasi dan pihak eksternal
tidak mengetahui informasi penting tersebut.
 3. Application IT Audits (Business/ Financial/ Operational)
Audit TI dilakukan dalam masing-masing area operasional maupun keseluruhan departemen
fungsional organisasi dimulai dari cara penggunaan TI oleh masing-masing user/ pengguna
sistem yang berlaku sebagai karyawan organisasi. Selain itu, berbagai bentuk aplikasi yang
sering digunakan organisasi dalam meningkatkan pendapatan sehingga pengukuran nilai
finansial bertambah, nilai bisnis dan strategi yang akan diimplementasikan juga berhasil
dilakukan dengan dukungan TI, daya jual atau proses bisnis sebagai aktivitas operasional
organisasi berjalan secara efektif dan efisien.

4. Development/ Implementation IT Audits (Specification/ Requirements, Design,

Development, and Postimplementation Phases)
Proses audit TI ini juga dilakukan dalam area ini dimana organisasi melakukan evaluasi
terhadap teknologi informasi yang terlibat selama proses pengembangan produk-produk
tertentu organisasi (seperti: produk dan layanan yang dijual ke pihak eksternal organisasi,
komponen hardware maupun software yang dikembangkan lebih lanjut untuk mengikuti
trend, dan aspek-aspek lainnya. Proses audit ini juga sering dilakukan dalam ruang lingkup
proyek sehingga menghasilkan produk TI yang tetap terjaga kualitasnya dan menggunakan
prinsip meminimalisasikan biaya tetapi memaksimalisasikan keuntungan/ profit.

5. Compliances IT Audits
Proses audit TI yang dilakukan dalam setiap area organisasi harus mampu memeuhi standard-
standard audit TI yang sudah berskala internasional. Baik pihak internal maupun pihak
eksternal organisasi harus mampu mengikuti trend yang ditawarkan lewat standard tersebut
yang kemudian diselaraskan kembali dengan kebijakan organisasi terkait peran dan tanggung
jawab terhadap TI. Saat ini banyak standard yang dikeluarkan untuk audit TI tersebut, seperti
COBIT, ITIL, dan lain-lain untuk memastikan bahwa teknologi informasi yang diterapkan
sudah memadai dan layak untuk digunakan atau dikembangkan lebih lanjut atau tidak.

Mengapa kontrol TI dan audit begitu penting di lingkungan virtual saat ini?

Sumber: Sandra Senft, Frederick Gallegos. (2009). Information Technology Control and
Audit. 03. Taylor & Francis Group, LLC. ISBN 978-1-4200-6550-3.
IT Today and Tomorrow
ISO 17799 dan amandemen berikutnya, OECD “Guidelines for the Security of IS by the
Organization for Economic Cooperation and Development (OECD), IIA “Systems
Auditability and Control (SAS) Report”, dan U.S. President Council on Integrity and
Efficiency dalam Kurikulum Computer Audit Training. Ketiga elemen tersebut dimasukkan
dalam penelitian COBIT. Melihat pentingnya, teknologi memiliki dampak yang signifikan
dalam tiga area lingkungan bisnis, yaitu:
 Kontrol dan Audit memiliki dampak terhadap apa yang sudah selesai dilakukan dalam
bisnis dengan konteks informasi dan sebagai business enabler.
 Teknologi secara signifikan berdampak pada proses kontrol. Meskipun objektif
kontrol secara general lebih bersifat konstan, kecuali untuk beberapa spesifik
teknologi, teknologi memiliki jalur dimana sistem tersebut harus dikontrol.
 Teknologi memiliki dampak terhadap profesi audit dengan ketentuan tentang
bagaimana audit dijalankan (analisis dan penangkapan informasi, fokus kontrol) dan
pengetahuan yang dibutuhkan untuk menyatakan kesimpulan berkaitan dengan
efektivitas operasional atau sistem, efisiensi dan integritas, dan pelaporan terhadap
integritas.
Sumber: William Hugh Murray. 2010. Security, Audit, and Control Considerations of
AS/400. EDPACS: The EDP Audit, Control, and Security Newsletter. 7-
11. (http://dx.doi.org/10.1080/07366988809450524).

Kontrol IT dan Audit sangat penting dalam pembentukkan lingkungan virtual saat ini. Hal ini
dikarenakan fokus-fokus utama yang ditunjukkan oleh Audit TI tersebut adalah:
Integrity
Dalam membanguan infrastruktur TI dalam organisasi yang berkembang lebih bagus, maka
terdapat lima area penting, yaitu:
 Integration, memastikan bahwa kinerja dan penggunaan sistem sudah dilakukan
sesuai dengan prosedur atau langkah-langkah yang lebih detail serta memastikan
adanya interaksi dan tingkat kompabilitas yang sesuai antar komponen-komponen
perangkat sehingga menghasilkan fitur sistem yang user-friendly.
 Exclusivity, memastikan bahwa sistem yang diterapkan dalam organisasi memiliki
akses informasi yang cepat dan dilakukan oleh pihak manajemen yang berwenang.
 Data objects, memastikan bahwa penyimpanan informasi dalam organisasi sudah
memadai dan media penyimpanannya sudah dilengkapi dengan tingkat keamanan
yang tinggi melalui proses enkripsi sehingga tidak mudah diakses oleh pihak yang
tidak berwenang.
  Closed system, proses audit ini dilakukan secara terbuka dengan melakukan evaluasi
terhadap sistem yang digunakan organisasi secara keseluruhan. Hal ini menandakan
bahwa proses audit dilakukan secara transparan tanpa mempublikasikan informasi
penting berupa fitur sistem kepada pihak eksternal organisasi.
 Integrity Commitment, merupakan salah satu tanggung jawab yang dimiliki auditor
untuk memastikan bahwa integritas antar komponen perangkat teknologi informasi
dengan sumber daya manusia organisasi yang memiliki kemampuan mengelola TI
tersebut.

Access Control
Proses audit yang dilakukan penting untuk mengidentifikasikan pihak manajemen yang
terlibat dalam setiap aktivitas operasional organisasi serta memastikan bahwa pengaksesan
informasi yang disalurkan sudah diarahkan ke area atau departemen organisasi sudah benar.

Cryptograhy
Proses audit yang dilakukan memiliki tingkat kriptografi yang besar dimana hanya dilakukan
oleh tim audit dan tidak berhak menyebarkan informasi secara terbuka kepada pihak eksternal
organisasi.

Applications
Proses audit juga memastikan fungsi aplikasi yang dijalankan sesuai dengan proses bisnis
organisasi sehingga dapat meningkatkan kinerja organisasi.

Auditability
Proses audit hanya dilakukan oleh tim audit internal maupuj eksternal organisasi yang telah
memiliki kemampuan professionalism dan pengetahuan audit yang mendalam, serta mampu
mempraktekkan proses audit lebih detail dengan batasan waktu yang diberikan.

Documentation
Dalam melakukan proses audit dan setelahnya, pihak audit harus melakukan pelaporan dalam
bentuk dokumentasi untuk memastikan bahwa langkah-langkah audit sudah jelas dan pasti
sehingga dapat dijadikan referensi untuk proses audit berikutnya.
Sumber: Brad McKeown. 2010. Audit and Control in the HP3000/ IMAGE Environment.
EDPACS: The EDP Audit, Control, and Security Newsletter. 1-
11. (http://dx.doi.org/10.1080/07366988509449732).

Ruang lingkup dari proses audit TI adalah:

Data integrity
 Data security, merupakan data yang harus dilindungi lewat kontrol pengaksesan dan
memiliki sifat akuntabilitas sehingga sumber daya berupa aset tidak berwujud.
 Disaster recovery, merupakan langkah atau tindakan yang harus dilakukan oleh
organisasi dalam melindungi asetny jika terjadi bencana atau kejadian yang tidak
direncanakan sebelumnya.
 Database locking, merupakan database yang harus diberi tingkat keamanan yang
tinggi yang dilengkapi dengan proses enkripsi sehingga integritas dan manfaat
database tetap terjaga.
 Transmission security, merupakan proses peralihan informasi dari suatu departemen
ke departemen lainnya dilakukan dengan lancar sehingga jaringan penyampaian
informasi juga diberi tingkat keamanan yang memadai.
Software security
 Access to programs and utilities, merupakan pengaksesan software yang harus
dipastikan performansinya dengan manajemen yang membutuhkannya dapat diakses
dengan mudah dan menghasilkan user interface yang mudah dipahami oleh pengguna.
 Operating system controls, merupakan sistem operasi yang membangun koponen
software serta tingkat kompatibilitasnya dengan hardware sudah sesuai dengan
spesifikasi organisasi.
 Program change controls, merupakan skumpulan perintah atau instruksi program yang
membantu perubahan proses dan cara kerja organisasi yang lebih terarah dan baik.
Sumber: Baolei Qi, Rong Yang, Gaoliang Tian. 2016. Do Social Ties Between Individual
Auditors and Client CEOs/ CFOs Matter to Audit Quality?. Asia-Pacific Journal of
Accounting & Economics. (http://dx.doi.org/10.1080/16081625.2015.1135067).

Dalam melakukan proses audit organisasi, sangat penting menjalin hubungan antara CEO
sebagai bagian BOD (Board of Director) yang dapat menghasilkan laporan evaluasi yang
dilakukan. Dari laporan tersebut, pihak manajemen bagian atas dapat mengetahui bagian
departemen mana yang menjadi kekuatan dan kelemahan masing-masing proses bisnis. Hal
ini dapat menghasilkan perumusan risiko kemungkinan terjadinya sehingga organisasi dapat
melakukan perencanaan sebagai strategi bisnis untuk mengatasi risiko tersebut. Selain itu,
audit ini juga penting sehingga e-commerce yang dikembangkan organisasi dapat terkontrol.
Melalui proses audit ini, para manajemen terbantu dengan keputusan yang dapat diambil
sebagai alternatif yang dikaitkan dengan IT dan bisnis.
Sumber: Jjagdish Pathak, Mary R. Lind. 2006. Audit Risk, Complex Technology, and
Auditing Processes. EDPACS: The EDP Audit, Control, and Security Newsletter. 1-
9. (http://dx.doi.org/10.1201/1079/43853.31.5.20031101/78844.1).

Dalam lingkungan virtual dan elektronik ini, sangat penting dilakukan proses kontrol dan
audit TI untuk setiap penerapan teknologi informasi. Proses audit TI ini penting bagi suatu
organisasi untuk terus melakukan proses review terhadap proses bisnis yang didukung
dengan teknologi informasi. Selain itu, organisasi lebih cepat mengidentifikasi setiap
permasalahan dan segala bentuk risiko yang sering terjadi dalam proses transfer atau
pendistribusian informasi kepada pihak eksternal organisasi tersebut. Organisasi juga
mementingkan proses kontrol dan audit TI tersebut untuk mengetahui sejauh mana tingkat
kematangan dan pemanfaatan teknologi informasi untuk setiap aktivitas operasional
organisasi sehingga fitur-fitur mana yang kurang dipakai dapat terus dilakukan proses
evaluasi lebih lanjut dan detail. Melalui audit ini, organisasi juga mengetahui dampak yang
dihasilkan dari teknologi informasi dan trend serta versi terbaru dari teknologi informasi ini
dapat terus diikuti dan diimplementasikan untuk menciptakan nilai jual dan nilai keunggulan
kompetitif bagi organisasi dalam dunia persaingan. Saat ini, juga banyak teknologi informasi
berbasiskan online dipakai dalam organisasi untuk mempercepat dan mempermudah
pengaksesan informasi. Karena itu, perlu ditingkatkan terus proses kontrol dan audit TI dalam
lingkungan virtual sehingga trend dan TI selalu up-to-date dan dapat dikembangkan lebih
lanjut untuk memberi nilai tambah dalam strategi tertentu.

Permasalahan

Apa saja masalah utama terkait kontrol dan audit di lingkungan global saat ini?

Sumber: Sandra Senft, Frederick Gallegos. (2009). Information Technology Control and
Audit. 03. Taylor & Francis Group, LLC. ISBN 978-1-4200-6550-3.
Control and Audit: A Global Concern
Ketika ekonomi menjadi lebih komersial dalam lingkungan, kelas perdagangan memiliki
pengaruh dalam membentuk masyarakat yang baru. Kebutuhan akan pihak perdagangan,
dimana termasuk mempromosikan proses pertukaran dan akumulasi dari modalnya, beralih
ke proses pengembangan tempat penyimpanan uang sebagai depositories untuk memastikan
modal uang aman untuk disimpan. Penerimaan barang akan diisukan ke orang yang telah
membuka akun deposit tersebut, dan sepanjang mempresentasikan penerimaan tersebut, maka
gudang akan mengembalikan sejumlah nilai yang spesifik kepada depositor.
Seperti penggunaan koin, mata uang, dan permintaan mekanisme pembayaran deposito
berkembang selama beberapa dekade dikarenakan kenyamanannya, keamanannya, efisiensi,
dan penerimaan yang tinggi oleh publik. Meskipun demikian, perubahan komponen lainnya
sekarang berpindah ke mekanisme pembayaran: Electronic Fund Transfer (EFT).
Sumber: Michael Donahue. 2010. Entering a New Era in IS Audit and Control. EDPACS:
The EDP Audit, Control, and Security Newsletter. 1-
5. (http://dx.doi.org/10.1080/07366989409451672).

Proses audit dalam era global yang baru ini memiliki masalah utama, yaitu sumber daya
manusia yang harus memiliki pengetahuan, latar belakang yang berbeda-beda, dan
kemampuan evaluasi yang baik sesuai dengan standard-standard internasional. Banyak
organisasi harus melakukan perekrutan terhadap sumber daya manusia tersebut untuk
mendapatkan hasil audit yang bagus. Dengan berkembangnya Teknologi informasi yang
semakin kompleks dan informasi yang merupakan aset penting organisasi, maka organisasi
harus mengutamakan penggunaan tersebut dan untuk itulah dilakukan proses audit secara
mendalam.
Sumber: Brad McKeown. 2010. Audit and Control in the HP3000/ IMAGE Environment.
EDPACS: The EDP Audit, Control, and Security Newsletter. 1-
11. (http://dx.doi.org/10.1080/07366988509449732).

Proses audit dalam organisasi ini dapat menghasilkan risiko berupa bentuk kecurangan
organisasi yang terjadi sewaktu-waktu selama proses audit ini berlanjut. Selain itu, dampak
dari risiko yang terjadi dapat menjadi salah satu masalah penting yang harus dikendalikan
organisasi. Karena itu, organisasi harus mengambil tindakan lebih lanjut berdasarkan hasil
audit yang sudah dilakukan. Termasuk tingkat keamanan informasi yang disimpan dalam
server organisasi menjadi perhatian khusus bagi organisasi. Apabila informasi penting
tersebut sampai terjadi kebocoran kepada pihak eksternal organisasi, maka dapat merugikan
organisasi dimana kompetitor mengetahui strategi bisnis dan IT dapat mengambil kesempatan
untuk bersaing dengan perlengkapan informasi yang lebih memadai.
Sumber: Paul Andre, Geraldine Broye, Christopher Pong, Alain Schatt. 2015. Are Joint
Audits Associated with Higher Audit Fees?. European Accounting
Review. (http://dx.doi.org/10.1080/09638180.2014.998016).
Proses audit dalam lingkungan globalisasi ini dapat berdampak buruk bagi organisasi.
dampak buruk tersebut adalah bertambahnya biaya audit yang menyebabkan nilai kas
organisasi berkurang. Rekomendasi yang dihasilkan melalui proses audit kepada organisasi
berarti adanya penambahan biaya lainnya untuk menjadikan kinerja organisasi lebih baik lagi.
Selain itu, adanya perbedaan antara level audit yang dilakukan baik itu finansial maupun non-
finansial dengan proses bisnis yang sedang berlangsung saat ini.
Sumber: Jjagdish Pathak, Mary R. Lind. 2006. Audit Risk, Complex Technology, and
Auditing Processes. EDPACS: The EDP Audit, Control, and Security Newsletter. 1-
9. (http://dx.doi.org/10.1201/1079/43853.31.5.20031101/78844.1).

Bertambahnya atau semakin berkembangnya dan semakin kompleks Teknologi informasi

yang diterapkan dalam organisasi juga memiliki dampak dimana organisasi harus terus-
menerus melakukan proses audit terhadap perangkat baru tersebut. Akibatnya, organisasi juga
harus menyediakan sumber daya manusia yang memiliki kemampuan dalam mengolah
perangkat TI dan kemampuan audit yang baik. Sumber daya manusia tersebut harus
mengikuti pelatihan yang menyebabkan waktu yang dihabiskan untuk proses audit juga
banyak. Hal tersebut membawa risiko bagi perkembangan bisnis lebih lanjut bagi organisasi
untuk memastikan bahwa individu professional yang melakukan audit.
Dalam lingkungan global saat ini sudah tidak terlepas dari penggunaan teknologi informasi
meskipun yang dipakai adalah TI yang bersifat manual sampai terkomputerisasi. Tidak hanya
aspek bisnis saja yang melibatkan penggunaan TI tetapi juga aspek-aspek lain, seperti aspek
sosial, hukum, politik, psikologi, dan aspek-aspek lainnya. Meskipun proses kontrol dan audit
ini sangat penting tetapi juga memiliki permasalahan yang muncul dari proses tersebut. Salah
satu masalah yang muncul adalah biaya untuk melakukan proses kontrol dan audit tergolong
sangat besar dan menghabiskan banyak waktu untuk proses tersebut. Organisasi harus
mempersiapkan pihak internal audit untuk melakukan proses tersebut dan tentunya
membutuhkan waktu untuk persiapan terlebih dahulu sebelum memulai proses audit. Waktu
yang dihabiskan juga terlalu lama karena pihak manajemen harus mengumpulkan semua
dokumen terkait proses evaluasi dan harus mengatur jadwal kembali untuk melakukan rapat
secara tatap muka sehingga komunikasi dapat terjalin dengan baik dalam mendiskusikan
audit tersebut. Selain audit internal, organisasi juga harus mengeluarkan biaya untuk proses
audit eksternal yang dilakukan oleh pihak ketiga agar hasilnya lebih transparan dan akurat
untuk mencegah terjadinya kecurangan. Selain itu, dibutuhkan tenaga professional benar-
benar ahli yang memiliki pengetahuan dan pengalaman mengenai proses audit dan kontrol.
Selain masalah yang sudah diidentifikasikan, banyak kecurangan yang dapat terjadi selama
proses audit dan kontrol. Oleh karena itu, organisasi harus memperhatikan dan benar-benar
melakukan proses evaluasi yang benar secara efektif dan efisien sehingga dapat
menghasilkan dampak positif bagi organisasi.

Isu-Isu yang Sedang Berkembang Sekarang

Apa yang dimaksud dengan E-Cash? Apa saja yang menjadi perhatian kontrol TI terkait
dengan E-Cash?

Sumber: Sandra Senft, Frederick Gallegos. (2009). Information Technology Control and
Audit. 03. Taylor & Francis Group, LLC. ISBN 978-1-4200-6550-3.
E-commerce and Electronic Funds Transfer
Komersial elektronik (E-commerce) dan EFT hadir sejak tahun 1960-an. Industri perbankan
menjadi salah satu pertimbangan terdepan dalam menggunakan komputer. Industri ini
dimulai dengan mekanisme penyimpanan dan tugas akuntansi, mengotomatisasikan aliran
transaksi, mengimplementasikan teknologi MICR (Magnetic Ink Character Recognition), dan
akhirnya, memanfaatkan terminal online untuk melakukan update akun deposito dan
menyimpan tagihan atau pembayaran terhadap biaya secara cash.
Sumber: Brandon Brown CPA, CISA. 2010. Audit and Control of Electronic Funds Transfer.
EDPACS: The EDP Audit, Control, and Security Newsletter. 1-
6.  (http://dx.doi.org/10.1080/07366989609451384).

E-cash ini merupakan salah satu metode pembayaran Automated Clearing House (ACH)
dimana perkembangannya sangat cepat untuk memungkinkan pengaturan aplikasi baru.
Sistem elektronik ini dirancang untuk memungkinkan pihak perbankan dengan individu
untuk saling bertukar uang yang lebih akurat dan lebih efisien. Banyak bisnis organisasi ini
sedang mengembangkan aplikasi pemrosesan informasi yang lebih baru dan inovatif
menggunakan sistem ACH untuk kegiatan operasi misi-kritis. Keuntungannya, membantu IS
Auditor untuk lebih memastikan aplikasi pemrosesan informasi yang relevan lebih dikontrol
dengan baik.
Sumber: Wang Chang Ji, Wu Jian Ping, Duan Hai Xin. 2004. A Fair E-Cash Scheme Based
on Elliptic Curve Cryptography. Geo-spatial Information
Science. (http://dx.doi.org/10.1007/BF02826297). 

E-cash merupakan sistem pembayaran yang dilakukan secara elektronik untuk mengatur
adanya aktivitas pembayaran yang terkontrol sehingga dapat dilakukan tracking terhadap
transaksi masing-masingg individu. Sistem E-cash ini sangat berguna untuk melakukan
pembayaran terhadap jumlah transaksi yang sangat besar. Banyak individu tidak perlu
menyimpan uang tunai dalam media penyimpanan yang berbentuk fisik sebab uang tersebut
sudah dapat disimpan dalam bank dan tinggal menggunakan E-cash digital tanpa menyentuh
uang tunai tersebut.
Sumber: J. Christopher Westland. 2009. Preference Ordering Cash, Near Cash, and
Electronic Cash. Journal of Organizational Computing and Electronic Commerce. 223-
242. (http://dx.doi.org/10.1207/S15327744JOCE1203_02). 

E-cash ini lebih banyak digunakan untuk kebutuhan e-commerce. Dalam merespons
perkembangan tingkat kompleksitas teknologi baru lewat internet, E-cash merupakan
gabungan antara beberapa tipe cash dan near-cash payment method, meliputi:
 Currency in the form of coins, banknotes, and checks
 Magnetic-stripe cards (credit, debit, stored value, and automated teller
machine(ATM))
 Electronic point of sale (EPS)
Proses audit dalam penggunaan E-cash dalam suatu organisasi dengan memperhatikan
langkah-langkah dalam hal:
 Registration, adalah informasi yang disampaikan ke pelanggan sudah valid atau tidak.
 Value transfer adalah melakukan permintaan terhadap pembayaran dengan nilai uang
tertentu dan menggunakan tanda tangan digital untuk menyatakan bahwa
informasinya sah.
 Pelanggan mengecek tanda tangan tersebut dan nilai saldo dalam E-cash dikurangi
yang terintegrasi dengan pihak perbankan.
  Merchant terminal mengecek tanda tangan tersebut dan diakhiri dengan informasi
tambahan.
 Setelah nilai saldo dikurangi sesuai dengan jumlah pembayaran, maka informasinya
langsung di-update sehingga tidak terjadi duplikasi data.
E-cash (Electronic Cash) adalah sistem pembayaran yang dilakukan secara online oleh
penggunanya dan dapat digunakan untuk melakukan proses pembayaran secara digital tanpa
harus menggunakan kartu kredit atau uang tunai dalam melakukan aktivitas tertentu. E-cash
ini sangat berguna bagi individu yang menggunakannya dimana transaksi yang dilakukan
secara online dapat dilakukan dengan cepat dan mudah karena era globalisasi saat ini sangat
jarang menggunakan uang cash lagi disebabkan bahaya atau risiko besar dari sistem
pembayaran yang bersifat manual. E-cash ini dapat menggunakan teknologi MICR Magnetic
Ink Character Recognition). Dampak positif lainnya dari E-cash ini adalah kenyamanan
bertransaksi, tingkat fleksibilitas, tingkat kecepatan aksesnya, dan sebagainya. E-cash ini juga
sering digunakan melalui kegiatan perdagangan nasional maupun internasional.

Kontrol TI yang terlibat dalam penggunaan E-cash adalah:

 Kerahasiaan informasi yang disimpan dalam media penyimpanan E-cash merupakan

salah satu area penting yang harus diperhatikan karena terdapat bahasa sensitif yang
akan berdampak buruk jika terjadi penyalahgunaan.
 Integritas informasi memiliki tingkat yang berbeda-beda yang dihasilkan dari proses
kontrol dan audit yang telah dilakukan. Hasil dari proses tersebut tetap harus
dilindungi dan diselaraskan dengan kebutuhan bisnis suatu organisasi.
 Sifat nonrepudiation dari proses audit yang dilakukan terhadap E-cash. Hal ini
dilakukan untuk mengurangi munculnya risiko E-cash yang ditimbulkan sehingga
tidak membawa dampak buruk terhadap suatu organisasi.
 Proses authentication dari audit yang dilakukan dalam organisasi terhadap penerapan
E-cash untuk menandakan bahwa E-cash tersebut dipakai langsung oleh pemiliknya
sendiri. Proses authentication tersebut bisa berupa signature online, username dan
password, dan bentuk otentikasi yang lainnya.
Pihak-pihak yang terlibat dalam proses pengembangan E-cash ini dapat melakukan tahap
enkripsi, kriptografi, dan tahap lainnya untuk meningkatkan security E-cash tersebut.

Alternatif Solusi Terhadap Isu-Isu Tersebut

Mengapa Auditor TI perlu mengetahui tentang lingkungan hukum Sistem Informasi (SI)?

Sumber: Sandra Senft, Frederick Gallegos. (2009). Information Technology Control and
Audit. 03. Taylor & Francis Group, LLC. ISBN 978-1-4200-6550-3.
Legal Issues Impacting IT
Skandal finansial melibatkan Enron and Arthur Andersen LLP, dan lainnya menghasilkan
permintaan legislasi baru untuk mencegah, mendeteksi, dan mengoreksi penyimpangan yang
terjadi. Sebagai tambahan, perkembangan teknologi dalam lingkungan jaringan telah
menghasilkan isu keamanan dan privasi dimana merupakan salah satu minat pada ahli hukum
dan teknikal tetapi juga saat ini merupakan topik yang berdampak secara virtual setiap
pengguna informasi. Internet telah bertumbuh secara eksponensial dari hubungan komputer
pemerintahan dan pendidikan ke jaringan worldwide yang kompleks yang dimanfaatkan oleh
sebagian besar orang dari teroris yang memiliki kemampuan komputer antara pengguna baru
dan orang tertentu. Namun, penerobosan dalam hal teknologi, perkembangan telah meningkat
dengan berbagai masalah baru yang harus dialamatkan, terdiri dari keamanan dan privasi.
Masalah ini sering menjadi perhatian bagi spesialis audit dan kontrol TI tergantung dari
dampak pada publik dan organisasi itu sendiri. Perencanaan legislasi dan pemerintahan saat
ini akan mempengaruhi komunitas online dan, sepanjang dengan peran pemerintahan dalam
jaringan masyarakat, akan memiliki dampak terakhir dalam praktik bisnis ke depannya.
Federal Security Legislation
Auditor IT harusnya menyadari bahwa pemerintahan federal US telah memberikan sejumlah
hukum yang abdil dengan isu kejahatan komputer dan keamanan dan privasi SI. Berikut ini
adalah hukum yang mengatur kejahatan komputer.
 Computer Fraud and Abuse Act
Penyerangan komputer yang terjadi pada tahun 1994 terjadi dikarenakan penyerangan
komputer online oleh pihak yang tidak bertanggung jawab. Hal ini termasuk akses ke
jaringan yang dilakukan oleh pihak yang tidak berwenang dan pertukaran informasi sehingga
terjadi penyerangan secara paksa sehingga mendatangkan hukum untuk mengatasi kekerasan
dalam dunia maya yang berasal dari e-mail.
 Computer Security Act of 1987
Hal ini terjadi karena penyerangan dilakukan pada komputer bagian pemerintahan US saat itu
sehingga tingkat keamanan data dan privasi menjadi salah bentuk ancaman saat itu.
 Privacy on the Information Superhighway
Penggunaan internet yang berjumlah besar memiliki ketersediaan atas jumlah akses informasi
yang bersifat rahasia berhasil diakses dalam jaringan tertentu. Bank balance orang, angka
keamanan sosial, informasi politik, penyimpanan medis, dan yang lainnya diakses oleh orang
tanpa sepengetahuan pihak yang berwenang. Pencurian dalam identifikasi informasi
merupakan tingkat kejahatan yang cepat dan penggunaan IS highway memiliki komponen
kunci dari bentuk kejahatan yang lain.
 Privacy Legislation and Federal Government Privacy Act
Privacy act terjadi pada tahun 1974 dimana persyaratannya dilakukan oleh agensi federal,
yang terdiri dari:
1. Memungkinkan individu untuk menentukan record apa yang berkaitan dengan data
yang dikumpulkan dan dikembangkan oleh agensi federal
2. Memungkinkan individu untuk mencegah record yang berkaitan dengan tujuan
tertentu yang digunakan atau tersedia untuk tujuan lain tertentu dalam record agensi
federal tanpa konsistensi
3. Memungkinkan individu untuk meningkatkan akses ke informasi yang berkaitan
dengan record agensi federal dan untuk mengoreksi atau mengubahnya
4. Membutuhkan agensi federal untuk mengoleksi, mengelola, dan menggunakan
informasi personal dalam tindakan yang menilai suatu aksi untuk kebutuhan dan
tujuan hukum, dimana informasi saat ini dan lebih akurat, dan melindungi isu-isu
informasi tertentu.
 Electronic Communications Privacy Act
Hal ini merupakan salah satu bagian legislasi tertentu melawan kekerasan terhadap informasi
personal tertentu dalam sistem online.
 Communications Decency Act of 1995
Hal ini lebih mengarah ke indecent atau hak paten terhadap segala bentuk teknologi informasi
lewat jaringan komputer dimana setiap orang menyediakan akses atau koneksi untuk atau
mendukung fasilitas, sistem, atau jaringan yang tidak berada dalam pengawasan kekerasan
tindakan orang.
 Health Insurance Portability and Accountability Act of 1996
Hal ini melibatkan isu privasi yang berhubungan dengan medis organisasi terhadap
kebutuhan investasi beberapa teknologi baru yang saat ini tersedia dalam industri tertentu.
Teknologi yang terdiri dari sertifikasi online, authentication, dan biometric standard
dibutuhkan untuk memastikan bahwa orang yang mengakses hal tersebut merupakan pihak
yang berwenang.
Security, Privacy, and Audit
Kejahatan dalam dunia maya terus berlanjut dari hari ke hari dimana membutuhkan legiskasi
dan bentuk tagihan baru untuk menemukan resolusi masalah tertentu, tetapi kebutuhan
panduan, kebijakan, dan prosedur baru yang harus dibangun. Dimana kebijakan yang baik
terdiri dari:
 Spesifikasi fitur keamanan yang dibutuhkan
 Mendefinisikan “reasonable expectation” dari privasi seperti isu dalam mengawasi
aktivitas orang
 Mendefinisikan hak akses dan hak tertentu dan melindungi asset dari kehilangan,
kerahasiaan, atau kerusakan melalui spesifikasi panduan penggunaan yang diterima
bagi pengguna dan juga, menyediakan panduan untuk komunikasi eksternal (jaringan)
 Mendefinisikan tanggunag jawab terhadap semua pengguna
 Membangun kepercayaan lewat kebijakan password yang efektif
 Spesifikasi prosedur pemulihan
 Membutuhkan bentuk ancaman untuk disimpan
 Menyediakan pengguna dengan informasi pendukung
Sumber: Prem Sikka. 2006. Audit Policy Making in The UK. European Accounting Review.
349-392. (http://dx.doi.org/10.1080/09638189200000027).
Adapun proses audit yang dilakukan sesuai lingkungan hukum SI adalah
 Tanggung jawab auditor untuk melakukan publikasi hasil auditnya ke pihak eksternal
organisasi. Hal ini dilakukan agar pihak eksternal organisasi mengetahui kondisi
perusahaan saat ini dan ke depannya.
 Dengan mengetahui kebijakan SI, maka auditor harus menyesuaikan kembali antara
standard Audit dengan standard SI dalam setiap organisasi.
 Menetapkan prosedur-prosedur yang harus diikuti organisasi sehingga proses audit
dapat berjalan lancar dan diterima oleh pihak manajemen organisasi.
 Melakukan pengecekan terhadap aplikasi yang digunakan dalam organisasi.
 Dan lain-lain.
Sumber: Michael P. Cangemi. 2016. Views on Internal Audit, Internal Controls, and Internal
Audit’s Use of Technology. EDPACS: The EDP Audit, Control, and Security Newsletter. 1-
9. (http://dx.doi.org/10.1080/07366981.2015.1128186).
Dengan mengikuti proses audit yang sudah sesuai dengan hukum SI terkait hal tersebut, maka
proses audit dapat dilakukan secara berkelanjutan dan terus-menerus dilakukan sehingga
dapat menghasilkan rekomendasi solusi/ alternatif terbaik untuk mengatasi masalah terkait
SI. Tentu auditor harus mengetahui hukum SI. Ini sangat penting untuk dilakukan agar
auditor memahami proses-proses audit yang harus dilakukan untuk memenuhi standarisasi
internasional.
Sumber: Jjagdish Pathak, Mary R. Lind. 2006. Audit Risk, Complex Technology, and
Auditing Processes. EDPACS: The EDP Audit, Control, and Security Newsletter. 1-
9. (http://dx.doi.org/10.1201/1079/43853.31.5.20031101/78844.1).
Yang menjadi fokus proses audit ini mengikuti lingkungan hukum SI adalah:
 Tingkat signifikansi terhadap perubahan yang terjadi pada sistem yang sudah ada.
 Tingkat kompleksitas dan penggunaan sistem perusahaan
 Memperluas klasifikasi data
 Memperluas partisipasi entitas dalam penggunaan e-commerce
 Bukti hasil audit tersedia dalam bentuk digital

Rangkuman

Dalam melakukan kegiatan audit dan kontrol TI terhadap suatu organisasi, Auditor sebagai
pelaku yang melakukan proses audit tersebut harus mengetahui dan memahami area/ fokus
utama dalam hukum Sistem Informasi yang berlaku secara universal/ internasional. Tanpa
mengetahui lingkungan hukum SI, banyak auditor TI melakukan proses evaluasi Teknologi
Informasi sesuai dengan pengetahuan dan pengalaman yang dimiliki sesuai dengan masing-
masing perspektif atau pandangannya mengenai TI tersebut. Apabila salah satu auditor
melakukan audit berdasarkan pandangannya sedangkan auditor yang lain juga melakukan
audit berdasarkan pandangannya juga, maka dari suatu organisasi dilakukan audit sebagai
objek akan memiliki perbedaan yang semakin banyak padahal objek yang dievaluasi sama.
Tanpa adanya suatu standarisasi, segala bentuk kecurangan yang muncul dari proses audit TI
juga banyak sehingga organisasi sulit menemukan solusi yang sesuai dengan permasalahan
yang dihadapi. Akibatnya, proses audit ini dinilai merepotkan. Oleh karena itu, sebagai
auditor TI yang baik harus memperhatikan dan mempertimbangkan standard-standard audit
TI yang berlaku secara internasional serta hukum Sistem Informasi yang diikuti dapat
menghasilkan proses audit yang efektif dan efisien. Jadi, auditor dapat memunculkan
rekomendasi yang dapat diusulkan sebagai strategi untuk dikembangkan lebih lanjut dalam
organisasi. Juga harus mampu menjaga dan melindungi hasil audit, privasi, dan keamanan
informasi penting terkait audit sehingga tidak terjadi kebocoran kepada pihak ketiga yang
tidak berwenang.

Referensi

Sandra Senft, Frederick Gallegos. (2009). Information Technology Control and Audit. 03.
Taylor & Francis Group, LLC. ISBN 978-1-4200-6550-3.

Jjagdish Pathak, Mary R. Lind. 2006. Audit Risk, Complex Technology, and Auditing
Processes. EDPACS: The EDP Audit, Control, and Security Newsletter. 1-9.
(http://dx.doi.org/10.1201/1079/43853.31.5.20031101/78844.1).
Michael Donahue. 2010. Entering a New Era in IS Audit and Control. EDPACS: The EDP
Audit, Control, and Security Newsletter. 1-5.
(http://dx.doi.org/10.1080/07366989409451672).
Brad McKeown. 2010. Audit and Control in the HP3000/ IMAGE Environment. EDPACS:
The EDP Audit, Control, and Security Newsletter. 1-11.
(http://dx.doi.org/10.1080/07366988509449732).
William Hugh Murray. 2010. Security, Audit, and Control Considerations of AS/400.
EDPACS: The EDP Audit, Control, and Security Newsletter. 7-11.
(http://dx.doi.org/10.1080/07366988809450524).
Baolei Qi, Rong Yang, Gaoliang Tian. 2016. Do Social Ties Between Individual Auditors
and Client CEOs/ CFOs Matter to Audit Quality?. Asia-Pacific Journal of Accounting &
Economics. (http://dx.doi.org/10.1080/16081625.2015.1135067, Diakses Tanggal 10 Maret
2017).
Paul Andre, Geraldine Broye, Christopher Pong, Alain Schatt. 2015. Are Joint Audits
Associated with Higher Audit Fees?. European Accounting Review.
(http://dx.doi.org/10.1080/09638180.2014.998016, Diakses Tanggal 10 Maret 2017).
Brandon Brown CPA, CISA. 2010. Audit and Control of Electronic Funds Transfer.
EDPACS: The EDP Audit, Control, and Security Newsletter. 1-6. 
(http://dx.doi.org/10.1080/07366989609451384, Diakses Tanggal 10 Maret 2017).
Wang Chang Ji, Wu Jian Ping, Duan Hai Xin. 2004. A Fair E-Cash Scheme Based on Elliptic
Curve Cryptography. Geo-spatial Information Science.
(http://dx.doi.org/10.1007/BF02826297, Diakses Tanggal 10 Maret 2017).
Christopher Westland. 2009. Preference Ordering Cash, Near Cash, and Electronic Cash.
Journal of Organizational Computing and Electronic Commerce. 223-242.
(http://dx.doi.org/10.1207/S15327744JOCE1203_02, Diakses Tanggal 10 Maret 2017).
Prem Sikka. 2006. Audit Policy Making in The UK. European Accounting Review. 349-392.
(http://dx.doi.org/10.1080/09638189200000027, Diakses Tanggal 10 Maret 2017).
Michael P. Cangemi. 2016. Views on Internal Audit, Internal Controls, and Internal Audit’s
Use of Technology. EDPACS: The EDP Audit, Control, and Security Newsletter. 1-9.
(http://dx.doi.org/10.1080/07366981.2015.1128186, Diakses Tanggal 10 Maret 2017).