Diterjemahkan dari bahasa Inggris ke bahasa Indonesia - www.onlinedoctranslator.

com

FITUR

Evolusi Audit Sistem

Informasi

F
sejak hari-hari awal pemrosesan data elektronik (EDP)
hingga keamanan siber modern, audit IS telah berkembang
pesat. Lanskap di sekitar sistem informasi telah berubah,
tetapi seperti dalam perjalanan apa pun, pandangan ke kaca
spion memungkinkan pengambilan keputusan yang lebih baik dan
perjalanan yang lebih aman ke depan.
Dengan mempertimbangkan pelajaran yang dapat dipetik
dan menghindari kesalahan masa lalu, dunia audit sistem
informasi dapat dibentuk dan dipersiapkan untuk
menanggapi masa depan.
Lingkungan Bisnis
Organisasi yang mendominasi peringkat dalam hal
pendapatan dan kapitalisasi pasar saat ini sangat berbeda
dengan yang menjadi pemimpin beberapa dekade lalu.
Nyatanya, banyak dari mantan pemimpin tersebut telah
jatuh dari peringkat atau bahkan tidak ada lagi. Dari dunia
bata-dan-mortir barang-barang material dan komoditas,
ekonomi global modern sekarang sangat bergantung pada
teknologi dan layanan.
Hal ini menyebabkan organisasi memprioritaskan inovasi dan
kreativitas daripada fungsi dan pertumbuhan. Inovasi

Mengubah Konteks
Faktor-faktor yang memainkan peran penting dalam audit sistem

informasi dapat diklasifikasikan secara luas ke dalam beberapa

konteks, termasuk:

• Lingkungan bisnis

• Lanskap teknologi

• Tren global sosiopolitik

• Kebutuhan akan pemerintahan

Audit sistem informasi tidak hidup dalam dunia mereka

sendiri; mereka dilakukan dalam konteks lingkungan
ini. Memahami keadaan saat ini dari masing-masing
konteks ini dapat membantu auditor menentukan
bagaimana dunia audit sistem informasi perlu diubah
agar tetap relevan dan berguna.

ANANTHA SAYANA|CISA, CISM, CI A

Telah mengalami evolusi TI sejak awal tahun 1980-an. Setelah melakukan audit sistem informasi selama lebih dari satu dekade di seluruh sistem di
perbankan, keuangan, manufaktur, rantai pasokan, dan manajemen proyek di berbagai lanskap infrastruktur TI, Sayana beralih ke peran kepemimpinan
di TI inti. Dia mengelola penerapan dan pemeliharaan banyak solusi, termasuk perencanaan sumber daya perusahaan (ERP), portal web, dan pengaturan
TI terkait yang digunakan untuk membangun dan mengelola keamanan informasi di lingkungan perangkat lunak dan domain yang berbeda. Dia telah
memimpin transformasi digital, termasuk penerapan teknologi digital baru seperti Internet of Things, augmented reality, virtual reality, aplikasi seluler,
analitik data besar, pembelajaran mesin, dan kecerdasan buatan untuk berbagai solusi di bidang teknik, manufaktur dan manajemen proyek.
Pengalaman selama empat dekade telah memberinya wawasan yang luar biasa dalam mengelola, mengamankan, dan mengaudit sistem TI. Sayana
sekarang sudah pensiun dan saat ini membimbing start-up digital. Dia telah menjadi sukarelawan dengan ISACA®selama bertahun-tahun, termasuk
sebagai salah satu penulis pendiri kolom Dasar-Dasar Audit TI di ISACA®Jurnaldan masa laluJurnalartikel peer reviewer. Dia adalah salah satu pendiri Bab
ISACA Mumbai (India) dan menjabat sebagai presidennya. Dia juga telah menjadi anggota Komite Peningkatan Tes CISA. Dia telah berbicara di berbagai
konferensi dan menulis banyak artikel. Dia bisa dihubungi di asayana@gmail.com.

© 2022 ISACA. Seluruh hak cipta.www.isaca.org VOLUME 1 | 2022JURNAL ISACA1

 dan kreativitas, yang mencakup setiap fungsi dalam organisasi,
dapat menghasilkan produk baru yang luar biasa, model bisnis,
metode memperoleh dan melayani pelanggan, dan model
pembiayaan, serta membantu menciptakan efisiensi yang lebih
besar dalam setiap proses.
Etos organisasi juga telah berubah secara dramatis. Fokus
yang lebih besar pada inklusi, keragaman, pemberdayaan,
kepercayaan, kolaborasi, kerja tim, outsourcing, dan
pekerja pertunjukan telah mengubah cara kerja
diselesaikan. Selain itu, meskipun teknologi digital untuk
memungkinkan bekerja dari mana saja telah tersedia dan
dipraktikkan oleh banyak organisasi, pandemi COVID-19
membuat adaptasi bekerja dari mana saja menjadi
perubahan yang mendesak dan penting bagi setiap
organisasi.
Peran TI dan digitalisasi sangat signifikan dalam setiap
aspek ini. Organisasi yang memanfaatkan TI dan
teknologi digital adalah pemenang dalam permainan
saat ini.
“Frekuensi dan skala kejahatan
dunia maya serta profil dan
kekuatan aktor yang terlibat
juga berubah.”
Lanskap Teknologi
Agregasi peralatan fisik dalam ruang tertutup kaca
bukan lagi metafora TI. Sebuah aplikasi pada ponsel
kemungkinan merupakan ikon yang lebih baik dari
teknologi saat ini di dunia klik-dan-gesek ini.
Selama beberapa dekade terakhir, kemampuan daya komputasi,
penyimpanan, dan komunikasi, disertai dengan kemajuan
signifikan dalam bahasa dan platform pemrograman, telah
meledak, beralih dari pemrosesan batch yang membosankan ke
pemrosesan online, pemrosesan real-time, dan respons yang
menghasilkan hasil instan.
Komputasi awan telah menyebar dan menghasilkan daya
komputasi, penyimpanan, dan alat pemrosesan yang
signifikan yang tersedia untuk orang-orang di seluruh dunia.
Peningkatan fenomenal dalam jangkauan dan kecepatan
jaringan telah membuat Internet tersedia untuk populasi
dunia yang sangat besar. Perangkat seluler saat ini
mengemas pukulan server besar di masa lalu dan
menyediakan layar sentuh beresolusi tinggi, audio, video,
2JURNAL ISACAVOLUME 1 | 2022
kemampuan lokasi dan komunikasi yang
tersedia di mana saja dan kapan saja.
Teknologi dan alat baru juga telah ditambahkan ke
flip. Internet of Things (IoT) menghubungkan mobil,
peralatan, mesin, dan benda mati lainnya dengan
mulus ke dalam solusi digital melalui kombinasi
sensor, tag pelacakan, dan perangkat komunikasi
gateway.
Realitas virtual, augmented reality, dan aplikasi realitas
campuran sedang diintegrasikan dengan solusi teknik,
manufaktur, dan lainnya. Teknologi Blockchain menemukan
aplikasi di bidang-bidang seperti keuangan dan rantai
pasokan. Cryptocurrency dapat secara dramatis mengubah
dunia keuangan; bahkan dunia seni mengalami gangguan
teknologi melalui nonfungible token (NFT). Kecerdasan
buatan (AI) mendapat manfaat dari kemajuan perangkat
keras dan perangkat lunak yang membuatnya lebih layak.
Didukung oleh analitik data besar dan pembelajaran mesin,
AI menemukan jalannya ke arus utama dan disematkan
dalam solusi untuk membantu kemampuan manusia dan
pengambilan keputusan. Otomatisasi proses robot (RPA)
digunakan untuk mengubah tugas manual rutin menjadi
sepenuhnya dilakukan oleh perangkat lunak,
menghilangkan upaya manusia yang membosankan.
Meskipun teknologi digital menempatkan kenyamanan
dan kekuatan di tangan konsumen dan pengguna akhir,
kompleksitas backend tentang bagaimana solusi ini dibuat
dan dipelihara telah meningkatkan pertimbangan
keamanan secara eksponensial.
Kecepatan di mana teknologi dan solusi baru sedang
dikembangkan sangat mencengangkan dan tidak menunjukkan
tanda-tanda melambat atau berhenti. Pergeseran paradigma
besar berikutnya akan terjadi ketika komputasi kuantum
menjadi arus utama.
Meskipun tidak mungkin bagi satu orang untuk
mendapatkan keahlian dalam semua teknologi ini, auditor
sistem informasi modern perlu melakukan pekerjaan
mereka di lanskap ini.
Tren Global Sosiopolitik
Globalisasi bergulat dengan kekuatan lokalisasi.
Regulator global dan lokal mewajibkan organisasi untuk
mematuhi sejumlah besar persyaratan untuk mematuhi
peraturan pemerintah dan badan pengatur lainnya.
Kesenjangan dan kesenjangan ekonomi telah melebar,
menyebabkan peningkatan
© 2022 ISACA. Seluruh hak cipta.www.isaca.org
dalam kejahatan. Secara khusus, frekuensi dan
skala kejahatan dunia maya serta profil dan
kekuatan aktor yang terlibat juga berubah.
Organisasi harus berfokus pada iklim dan lingkungan, membuktikan
bahwa mereka adalah warga negara yang bertanggung jawab secara
sosial—memperhatikan dunia yang lebih luas dan tidak hanya
meningkatkan pendapatan dan keuntungan. Berbagai tuntutan seperti
ini pada manajemen organisasi kadang-kadang dapat melemahkan
fokus dan kepentingan yang perlu diberikan untuk mengamankan
perusahaan.
Mengingat berbagai tuntutan manajemen dalam iklim yang berubah
ini, penting bagi auditor untuk melaksanakan tugas mereka untuk
memastikan bahwa tujuan pengamanan perusahaan mendapatkan
perhatian yang semestinya secara konsisten.
Kebutuhan akan Pemerintahan
Kebutuhan akan tata kelola tidak pernah sebesar ini.
Organisasi bekerja untuk berada di atas kurva dan
menyebarkan teknologi dan model bisnis yang diperlukan,
tetapi itu tidak berarti apa-apa jika dewan, regulator, dan
manajemen tidak menangani risiko dan jebakan bawaan
yang dihadirkan oleh lingkungan. Tata kelola diperlukan
untuk memastikan bahwa tujuan dan batasan manajemen
risiko ditetapkan dan dikomunikasikan dan bahwa
kebijakan disusun untuk diterapkan dan diikuti oleh
manajemen. Sistem dan proses audit yang komprehensif
perlu ditinjau berdasarkan standar lokal dan global
dengan kerangka peraturan dan mitigasi risiko yang
disesuaikan sesuai kebutuhan secara berkelanjutan.
Untuk kesejahteraan organisasi, tim audit harus
mampu, dapat diandalkan, dan menyadari semua
faktor dalam lanskap yang memengaruhi operasi
atau mereka berisiko menjadi tidak relevan atau
tidak efektif.
Perubahan Audit Sistem Informasi
Mengingat perubahan lingkungan yang signifikan, tim
audit sistem informasi juga harus dapat beradaptasi
dengan mengenali tiga faktor signifikan yang dapat
mempengaruhi realitas mereka.
1. Sifat dan Bentuk Solusi TI
Solusi TI di masa lalu sebagian besar melihat ke
dalam dan digunakan oleh karyawan organisasi. Di
masa lalu, lebih sedikit aplikasi yang terekspos ke
Internet, dan banyak lainnya hanya tersedia dalam
intranet—jaringan pribadi organisasi.1
© 2022 ISACA. Seluruh hak cipta.www.isaca.org
“Interkoneksi dan integrasi antar solusi juga
perlu dipertimbangkan selama audit ini.”
Saat ini, perbedaan antara intranet dan Internet secara
praktis telah menghilang. Dengan banyaknya solusi yang
dihosting di cloud, pengguna tersebar di seluruh dunia,
dan meningkatnya penggunaan perangkat seluler,
pemisahan fisik seringkali tidak mungkin atau tidak
praktis.
Solusi TI di hari-hari sebelumnya membantu organisasi dalam
prosesnya. Mereka sering berfokus pada pemrosesan batch dan
memiliki sedikit antarmuka dengan pengguna akhir. Solusi
modern tidak hanya membantu dalam proses tetapi seringkali
merupakan proses itu sendiri. Misalnya, transaksi keuangan
diproses sepenuhnya pada sistem komputer, sedangkan logistik,
transportasi, penjadwalan, dan manufaktur semuanya
digerakkan, dikendalikan, dan dipantau oleh sistem komputer.
Pendekatan auditor sistem informasi terhadap apa
yang akan diaudit perlu diubah. Audit terisolasi
dari satu solusi aplikasi atau penyiapan
infrastruktur dapat melayani tujuan terbatas.
Interkoneksi dan integrasi antara solusi juga perlu
dipertimbangkan selama audit ini.
2. Sifat Musuh dan Serangan
Lanskap keamanan siber terus-menerus terancam, dan tugas
menjaga keamanan sistem menjadi lebih rumit dari sebelumnya.
Seringkali bukan hanya karyawan yang tidak puas atau peretas
acak yang menyerang sistem saat ini. Serangan dunia maya yang
didukung atau disponsori negara juga disebutkan di media.
Munculnya berbagai cryptocurrency sebagai metode
pembayaran telah memungkinkan ransomware dan serangan
berbasis ancaman lainnya menemukan metode pengayaan
anonim. Kewaspadaan konstan diperlukan untuk tetap aman dan
terlindungi dari serangan.
Auditor perlu mengevaluasi bagaimana perusahaan
diarahkan untuk menghadapi ancaman ini. Apakah
strategi untuk tanggap darurat insiden, pengungkapan,
pemulihan dari bencana, manajemen komunikasi dan
pemulihan reputasi tersedia dan diuji harus diverifikasi
oleh auditor.
VOLUME 1 | 2022JURNAL ISACA3
 3. Pentingnya Privasi elemen audit sistem informasi yang berada di bawah

Setiap sistem yang menangkap, menyimpan, dan memproses tekanan paling besar—solusi digital dan proses bisnis

informasi yang dapat diidentifikasi secara pribadi (PII) harus beroperasi modern terus berkembang dan transaksi berkecepatan

di bawah peraturan yang melindungi privasi dan tetap berada dalam tinggi dan bervolume tinggi sedang diproses secara real

kerangka tersebut sehubungan dengan persetujuan, perlindungan, time. Dalam skenario ini, audit sistem informasi tidak dapat

dan kerahasiaan. hanya berfokus pada aktivitas reaksioner. Keamanan dan

kontrol perlu dibangun ke dalam lingkungan selama tahap

Oleh karena itu, auditor perlu mengidentifikasi peraturan privasi desain, pembangunan, dan pemeliharaan. Organisasi

khusus yang memengaruhi solusi dan menyertakan verifikasi dewasa yang menemukan cara untuk memasukkan

tentang bagaimana solusi mematuhi persyaratan privasi yang kolaborasi konstruktif ini akan mempersiapkan diri untuk

berkaitan dengan wilayah tersebut dalam auditnya. masa depan yang aman.

Pendidikan dan Pelatihan

Pandemi COVID-19 telah memperluas dunia digital. Saat

“Analitik data besar yang kuat ini, kursus pembelajaran digital tentang audit dan
teknologi baru tersedia untuk orang-orang di seluruh
membantu auditor menemukan dunia. Auditor sistem informasi harus memprioritaskan
pembelajaran, mengembangkan rencana yang sistematis,
anomali dan pola kesalahan— dan berupaya untuk belajar. Manajemen fungsi audit

terkadang sebelum peristiwa harus memasukkan pembelajaran sebagai kriteria

penting dalam evaluasi tim mereka.
terjadi.”
Standar dan Pedoman
Meskipun teknologi telah berkembang pesat, banyak
Bagaimana Fungsi Audit Menanggapi organisasi bekerja keras untuk menerapkan standar dan
Perubahan Ini pedoman untuk membuat diri mereka aman. Kerangka

Fungsi audit dapat mengatasi perubahan signifikan kerja untuk penerapan yang aman dari banyak teknologi

ini di beberapa dimensi, termasuk kolaborasi, tersedia baik dari pabrikan itu sendiri atau dari entitas

pendidikan dan pelatihan, standar dan pedoman, profesional.

peraturan, dan teknologi.

Misalnya, berdasarkan dunia Internet of Things (IoT)
yang baru muncul, Institut Standar dan Teknologi
Kemandirian dan Kerjasama
Nasional AS (NIST) merilis draf panduan keamanan
Fungsi audit secara inheren harus independen,
siber untuk produsen perangkat dan peralatan IoT.2
tidak memihak, dan hanya dipengaruhi oleh
Panduan untuk mengamankan dan mengaudit IoT,
tinjauan dan pelaporan yang objektif. Dalam
cloud, dan AI telah dikembangkan oleh badan industri.
konteks organisasi, struktur pelaporan, sumber
3, 4 Auditor sistem informasi akan mendapat manfaat
daya, dan pengelolaan fungsi audit harus tetap
dari mempelajari jenis kerangka kerja, standar, dan
bebas dari pengaruh teknologi atau fungsi bisnis,
pedoman ini.
dan tim harus memiliki akses ke manajemen
puncak dan dewan.
Peraturan

Namun, mengingat fungsi audit sistem informasi

Badan pengatur bekerja untuk mengimbangi teknologi

membutuhkan teknologi dan keterampilan bisnis yang

yang muncul. Persyaratan mencakup banyak aspek

signifikan, kolaborasi dan kerja sama tim sangat penting.

keamanan siber dan privasi. Ini adalah pendorong besar

Tantangannya adalah mendapatkan keterampilan yang

untuk kepatuhan dan telah mendorong terciptanya

dibutuhkan dengan bekerja sama tanpa mengorbankan

produk dan penyedia layanan yang berkonsultasi di

kemandirian.
bidang tersebut.

Kolaborasi dan kerja tim tanpa mengorbankan Penting bagi auditor untuk mengetahui yurisdiksi dari

kemandirian hanya dapat dicapai melalui pendekatan masing-masing peraturan ini dan bagaimana

yang matang dan pola pikir belajar. Ini adalah pengaruhnya terhadap solusi yang dapat diterapkan
oleh organisasi di berbagai belahan dunia,

4JURNAL ISACAVOLUME 1 | 2022 © 2022 ISACA. Seluruh hak cipta.www.isaca.org

mempertimbangkan di mana mereka dihosting dan di mana
pengguna mereka tinggal. Ketidakpatuhan terhadap
persyaratan peraturan dapat merugikan organisasi dalam hal
denda dan hukuman.
Teknologi
Seperti bisnis lainnya, auditor juga perlu menggunakan
teknologi untuk pekerjaan mereka. Teknologi baru yang
mendorong solusi inovatif membantu mengamankan solusi
tersebut dengan lebih baik. Kemajuan besar sedang dibuat
dalam enkripsi dan transmisi data. Autentikasi dua faktor
semakin diterima, dan sistem yang menggunakan biometrik
menjadi lebih efisien dan lebih andal dari sebelumnya. Ini
menghasilkan akses yang lebih aman dan terkontrol.
AI sedang dibangun ke lebih banyak produk dan dapat
mengamati pola lalu lintas dan mengidentifikasi serangan
sebelum menyebabkan kerusakan. Analitik data besar yang kuat
membantu auditor menemukan anomali dan pola kesalahan
kadang-kadang sebelum peristiwa itu terjadi.
Teknik audit berbantuan komputer (CAAT), seperti yang
sebelumnya dikenal, sedang berkembang. Pemantauan
berkelanjutan sedang dibangun ke dalam solusi digital itu
sendiri, dengan tujuan mendeteksi kerusakan secara otomatis
dan sistem penyembuhan diri.
Terserah auditor untuk tetap up to date dan memanfaatkan
teknologi baru untuk membantu dalam audit sistem
informasi dan memastikan bahwa organisasi membangun
program keamanan yang efektif dan tetap aman.
Kesimpulan
Perubahan dalam lingkungan bisnis, teknologi, dan sosiopolitik
telah meningkatkan kebutuhan akan kekuatan untuk melindungi
organisasi, termasuk aset, data, dan sistem. Fungsi keamanan
informasi atau keamanan siber harus diatur dengan baik,
memiliki staf yang baik, diterapkan dengan benar, dan
dioperasikan secara efektif. Setiap organisasi memerlukan fungsi
audit sistem informasi yang kompeten, relevan, dan efektif untuk
memverifikasi, melaporkan, dan menawarkan panduan tentang
fungsi fungsi keamanan siber yang efisien. Ini termasuk:
• Kemampuan teknologi dari fungsi audit SI perlu
mengimbangi evolusi teknologi digital baru.
• Audit SI tidak bisa menjadi kegiatan yang diskrit dan
periodik. Mengingat solusi digital saat ini menjalankan
perusahaan dan terus meningkatkan
© 2022 ISACA. Seluruh hak cipta.www.isaca.org
“Setiap organisasi memerlukan fungsi audit sistem informasi
yang kompeten, relevan, dan efektif untuk memverifikasi,
melaporkan, dan menawarkan panduan.”
dan berkembang, audit harus mencakup jaminan
berkelanjutan dan pemantauan proaktif. Ini juga
harus fokus pada proses yang mengelola
pengembangan dan implementasi teknologi. Audit SI
harus fokus pada aspek tata kelola dan manajemen
teknologi dan keamanan dunia maya sebanyak yang
dilakukannya pada area fokus audit tertentu.5
• Audit SI perlu menyadari keharusan bisnis dan
selaras dengan aspirasi organisasi, termasuk gesit
dan inovatif serta mengadopsi teknologi dengan
cepat. Integrasi audit IS dengan manajemen
bisnis dan manajemen teknologi harus meningkat
dan meningkat tanpa mengorbankan
independensi.
Catatan akhir
1Sayana, SA; “Pendekatan Jaringan Audit
Keamanan,"Jurnal Pengendalian Sistem Informasi,
vol. 5, 2003
2Institut Standar dan Teknologi Nasional
(NIST), “NIST Merilis Draf Panduan Keamanan Siber
Perangkat Internet of Things,” 15 Desember 2020,
https://www.nist.gov/news-events/news/2020/ 12/
nist-releases-draft-guidance-internet-thingsdevice-
cybersecurity
3Standton, B.; T. Jensen;Kepercayaan dan Artifisial
Intelijen, Draf NISTIR 8332, Institut Nasional
Standar dan Teknologi (NIST), AS, Maret 2021,
https://nvlpubs.nist.gov/nistpubs/ir/2021/
NIST.IR.8332-draft.pdf
4Jaringan Eropa dan Keamanan Informasi
Agensi (ENSIA),Cloud Computing: Manfaat,
Risiko, dan Rekomendasi untuk Keamanan
Informasi, Yunani, November 2009, https://
www.enisa.europa.eu/publications/ cloud-
computing-risk-assessment
5Sial, J.; “Kerangka untuk Audit Berkelanjutan:
Mengapa Perusahaan Tidak Perlu Menghabiskan Uang
Besar, ” Jurnal Akuntansi, 1 Maret 2017, https://
www.journalofaccountancy.com/issues/ 2017/mar/
continuous-auditing.html
VOLUME 1 | 2022JURNAL ISACA5