Di postingan kali ini, sekaligus sebagai welcome back nya blog saya, saya akan membahas beberapa pertanyaan terkait audit TI. cekidot .
- Apa
yang dimaksud dengan Audit Teknologi Informasi (TI)? Apa saja cakupannya
atau yang terlibat didalamnya?
Auditing Technologi Informasi
muncul seiring dengan pesat nya teknologi informasi. Dimana peranan computer
dalam proses auditing sangat penting. Bahkan sekarang ini mulai dari input,
proses, dan output telah banyak yang menggunakan computer atau sudah tidak
manual lagi. Jika merujuk pada pengertian dari Wikipedia, Audit teknologi
informasi (Inggris: information technology (IT) audit atau information systems
(IS) audit) adalah bentuk pengawasan dan pengendalian dari
infrastrukturteknologi informasi secara menyeluruh. Audit teknologi informasi
ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau
dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Pada mulanya istilah
ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit
teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari
semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit
teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan
apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan
integratif dalam mencapai target organisasinya.
IT audit lebih lanjut diartikan
sebagai proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah
sistem komputer yang digunakantelah dapat melindungi aset milik organisasi,
mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi
secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien.
Dalam audit ti, pengendalian umum meliputi
kebijakan dan prosedur mengenai semua aktifitas TI yang mencakup :
• Organisasi & Manajemen
• Software & Hardware
• Akses
• Data & Prosedur
• Pengembangan Sistem Baru
• Pemeliharaan Program
• Dokumentasi
Sedangkan untuk Subyek yang perlu
diaudit mencakup:
1. Aspek keamanan
Masalah keamanan mencakup tidak
hanya keamanan file servers dan penerapan metodacadangan, melainkan juga
penerapan standar tertentu, seperti C-ICT.
2. Keandalan
Keandalan meliputi penerapan RAID
V disk subsystems untuk server dengan criticalapplications dan prosedur
penyimpanan data di file server, bukan di drive lokal C.
3. Kinerja
Kinerja mencakup persoalan
standarisasi PC, penggunaan LAN serta cadangan yangsesuai dengan beban kerja.
4. Manageability
manageability menyangkut
penerapan standar tertentu dan pendokumentasian secarateratur dan
berkesinambungan
Audit itu harus dilakukan
terhadap :
1. sistem informasi secara keseluruhan.
2. perangkat TI yang digunakan
3. software, hardware, jaringan saja
4. aspek yang terlibat dan relevan dalam
sistem informasi.
Sebagai contoh kasus penelitian
akan audit TI yang sudah pernah dilakukan dikutip dari salah satu jurnal,
adanya audit sebuah bank swasta yang menunjuk tim I Ernst & Young untuk
melakukan review atas penerapan sistem Perbankan yang terintegrasi. Pemeriksaan
ini terbagi dalam dua fase. Pada fase pertama mencakup kegiatan, sebagai
berikut: manajemen proyek, desain proses
dan pengendalian control aplikasi, serat desain infrastruktur. Pada tahapan
selanjutnya Auditor diminta memberikan saran mengenai risiko-risiko yang masih
tersisa, sebelum manajemen memutuskan sistem barunya dapat “go-live”.
Contoh kasus audit IT lainnya
yang cukup kontroversial di tahun 2008 yaitu kasus audit IT Bank Indonesia
dimana tim IT indonesia meneliti adanya
penyimpangan yg dilakukan para petinggi negeri ini. terutama karena melibatkan
serentetan nama anggota dewan gubernur BI dan anggota DPR terkemuka. Sebagai
hasil dari laporan BPK, kasus aliran dana YPPI kini telah terangkat ke meja
hijau.
2.
Mengapa kontrol TI dan
audit begitu penting di lingkungan virtual saat ini?
Beberapa alasan penting mengapa
audit TI begitu penting dilakukan, antara lain :
• Kerugian akibat kehilangan data
• Kesalahan dalam pengambilan
keputusan
• Risiko kebocoran data
• Penyalahgunaan Komputer
• Kerugian akibat kesalahan
proses perhitungan
• Tingginya nilai investasi
Hardware dan Software
• Pengendalian Umum
Pada saat komputer diperkenalkan
ke dalam organisasi bisnis, risiko-risiko baru atau bertambahnya risiko juga
akan ditemui. Sebagai contoh, dalam lingkungan pengolahan komputer, kesalahan
sejenis dapat terulang sampai beribu kali dalam satu hari karena adanya
konsistensi dan kecepatan yang tinggi dalam pengolahan komputer. Jadi, salah
satu risiko baru yang diakibatkan oleh suatu komputer adalah pengulangan
kesalahan seperti itu. Karena adanya risiko-risiko baru atau penambahan risiko
ini, harus diperkenalkan metode audit/ pemeriksaan dan pengendalian yang baru.
Tujuan pengendalian bukanlah untuk mengubah kapan suatu komputer diperkenalkan,
tetapi metode-metode yang harus dipergunakan.
Audit TI/SI merupakan suatu
kegiatan pemeriksaan yang dilakukan oleh seorang audit internal perusahaan
dalam pengumpulan bukti-bukti dan pengevaluasian pengendalian perusahaan untuk
mencapai tujuan perusahaan dan sesuai dengan kriteria yang ditentukan.
Audit TI sangat dibutuhkan dalam
suatu organisasi perusahaan untuk mengetahui apakah suatu pengendalian dalam
TI/SI di sebuah organisasi tersebut tujuannya sudah tercapai atau belum. Audit internal dalam melakukan
audit TI/SI diperlukan prosedur pengendalian dan lalu di ujikan,untuk
pencapaian tujuan pengendalian tersebut.
Audit TI/SI sangat penting bagi
perusahaan karena dengan adanya audit disebuah perusahaan, maka perusahaan
tersebut akan mengetahui tercapainya tujuan prosedur pengendalian internal
perusahaan atau tidak. Oleh karena itu, sangat dianjurkan pada perusahaan untuk
melakukan audit TI/SI diperusahaannya.
3.
Apa saja masalah
utama terkait kontrol dan audit di lingkungan global saat ini?
Meskipun IT meningkatkan
pengendalian intern perusahaan, hal ini juga dapat mempengaruhi resiko-resiko
pengendalian perusahaan secara keseluruhan yang menyebabkan beberapa masalah.
resiko khusus pada sistem TI yaitu:
Ø
Resiko pada perngkat keras
Meskipun IT
memberikan manfaat pemrosesan yang signifikan, hal itu juga menciptakan resiko
yang unik dalam melindungi perangkat keras dan data, termasuk potensi munculnya
jenis kesalahan baru. Resiko khusus ini mencakup hal-hal berikut:
-
Ketergantungan pada kemampuan berfungsinya
perangkat keras dan lunak.
-
Kesalahan sistematis versus kesalahan acak
-
Akses yang tidak sah salah
-
Hilangnya data
Ø
Jejak audit yang berkurang
Salah saji
mungkin tidak terdeteksi dengan meningkatnya penggunaan IT akibat hilangnya
jejak audit secara nyata , termasuk berkurangnya keterlibatan manusia. selain
itu, computer juga menggantikan jenis otorisasi tradisional dalam banyak sistem
IT.
-
Visibilitas jejak audit. karena sebagian besar
informasi dimasukan secara langsung ke dalam computer, penggunaan IT sering
kali mengurangi atau bahkan meniadakan dokumen dan catatan sumber yang
memungkinkan organisasi menelusuri informasi akuntansi.
-
Keterlibatan Manusia yang berkurang. Dalam
banyak sistem IT, karyawan yang terlibat dengan pemrosesan awal transaksi tidak
pernah melihat hasil akhirnya. Karena itu, mereka kurang mampu mengidentifikasi
salah saji pemrosessan, Walapun mereka melihat outout akhir, sering kali sulit
untuk mengenali salah saji karena hasilnya sering sangat ringkas.
-
Tidak adanya otorisasi traditiona. Sistem IT
yang sangat canggih biasanya diprakarsai jenis transaksi tertentu secara
otomatis, seperti perhitungan bunga atas rekening tabungan bank dan pemesanan
persediaan apabila tingkat pesanan yang dtentukan telah dicapai,
Ø
Kebutuhan IT akan pengalaman dan pemisahan tugas
Sistem IT
mengurangi sistem pemisahan tugas traditional (otorisasi, pembukuan,
penyimpanan) dan menciptakan kebutuhan akan pengalaman IT tambahan.
Adapun
Masalah-Masalah yang terkait dengan control dan audit TI biasanya antara lain :
a. Masalah
Untuk Lingkungan Komputer Mikro
Komputer mikro
secara luas digunakan dalam banyak bisnis dengan mengabai- kan ukuran
organisasi itu. Umumnya mereka memainkan suatu peran yang penting untuk bisnis
yang kecil dalam memroses atau meneliti data akuntansi melalui penggunaan
perangkat lunak akuntansi dan neraca lajur elektronik yang dibeli atau dibuat
khusus.
Pengendalian
umum dalam perusahaan yang lebih kecil pada umumnya sedikit kurang efektif
dibanding dalam lingkungan TI yang lebih rumit. Seringkali, tidak ada IT
personil yang khusus atau klien bersandar pada keterlibatan berkala konsultan
TI untuk membantu dalam memasang dan memelihara perangkat keras dan lunak.
Seringkali,
auditor dari klien yang menggunakan komputer mikro dalam lingkung- an
pengendalian umum yang tidak terlalu canggih melakukan sebagian besar audit
mereka di sekitar komputer. Sistem ini sering menghasilkan jejak audit yang
memadai yang mengijinkan auditor untuk merekonsiliasikan dokumentasi sumber
masukan untuk keluaran.
Namun, bahkan
dalam lingkungan TI yang tidak terlalu canggih, ada situasi di mana bisa
bersandar pada pengendalian komputer. Sebagai contoh, program perangkat lunak
dalam komputer mikro dapat diisikan pada hard-drive komputer dalam format yang
tidak mengijinkan perubahan oleh personil klien. Risiko dari perubahan yang
tidak sah di perangkat lunak kemudian menjadi rendah. Sebelum bersandar pada
pengendalian yang dibangun ke dalam perangkat lunak tersebut, auditor harus
mempunyai kepercayaan pada reputasi penjual perangkat lunak untuk mutunya.
Risiko lain
dengan komputer mikro adalah bilangnya data dan program oleh karena virus
komputer, yang dapat menyebar ke program lain dan sistem keseluruhan. Virus
tertentu dapat merusak disk arsip atau menutup keseluruhan jaringan komputer.
Memperbarui perangkat lunak pelindung virus secara teratur yang secara terus
menerus menyaring penyebaran virus meningkatkan pengendalian.
b. Masalah
Lingkungan Jaringan
Penggunaan
jaringan yang makin meledak yang menghubungkan peralatan seperti komputer
mikro, komputer jangkauan menengah, mainframe, stasiun kerja, server, dan
pencetak sedang mengubah fungsi TI untuk banyak bisnis. Jaringan area lokal
(Local Area Network/LAN) menghubungkan peralatan di dalam lingkungan ba- ngunan
yang kecil atau tunggal dan hanya digunakan untuk tujuan intra perusahaan.
Penggunaan umum LAN adalah untuk memindahkan data dan program dari satu
komputer atau stasiun kerja ke yang lainnya untuk mengijinkan semua alat untuk
berfungsi bersama-sama. Jaringan Area Luas (WIde Area Network/WAN) menghu-
bungkan peralatan dalam daerah geografis yang lebih besar, termasuk operasional
global.
Dalam lingkungan
jaringan, perangkat lunak aplikasi dan arsip data digunakan untuk memroses
transaksi yang berada pada server, yang merupakan alat untuk mengolah data.
Akses ke aplikasi dari komputer mikro atau stasiun-kerja diatur oleh perangkat
lunak server jaringan. Perusahaan seringkali mempunyai beberapa server.
Saat klien
mempunyai aplikasi akuntansi yang diproses dalam lingkungan jaring- an,
pemahaman auditor akan pengendalian internal perlu meliputi pengetahuan konfi-
gurasi jaringan, mencakup penempatan dan server, stasiun-kerja, dan komputer
yang dihubungkan satu sama lain, dan pengetahuan perangkat lunak jaringan yang
diguna- kan untuk mengatur sistem. Auditor juga harus memahami tentang
pengendalian atas akses dan perubahan kepada program aplikasi dan arsip data
yang ditempatkan pada server.
c. Masalah
Sistem Manajemen Database
Auditor sering
menghadapi aplikasi akuntansi yang menggunakan sistem mana- jemen database
untuk memroses transaksi dan memelihara arsip data. Sistem mana- jemen database
mengijinkan klien untuk menciptakan database yang berisi informasi yang dapat
digunakan bersama dalam berbagai aplikasi. Dalam lingkungan non- database,
masing-masing aplikasi berisi arsip data mereka sendiri, sedangkan dalam sistem
manajemen database, banyak aplikasi berbagi arsip. Klien menerapkan sistem
manajemen database untuk mengurangi kelebihan data, meningkatkan pengendalian
atas data, dan menyediakan informasi yang lebih baik untuk pengambilan
keputusan dengan pengintegrasian informasi seluruh fungsi dan departemen.
Sebagai contoh, data pelanggan, seperti alamat dan nama pelanggan, dapat
digunakan bersama di fungsi penjualan, kredit, akuntansi, pemasaran, dan
pengiriman, yang menghasilkan pengurangan biaya yang penting. Perusahaan sering
mengintegrasikan sistem mana- jemen database ke seluruh organisasi. Program
demikian disebut perangkat lunak perusahaan.
Kendali sering
meningkat ketika data dipusatkan dalam sistem manajemen database dengan
penghapusan arsip data yang berlebihan. Namun, sistem mana- jemen database juga
dapat membuat risiko pengendalian internal. Sebagai contoh, ada risiko yang
berhubungan dengan berbagai pemakai, mencakup individu di luar akuntansi,
mengakses dan memperbarui arsip data. Tanpa administrasi database dan
pengendalian akses yang tepat, risiko arsip data yang tidak sah, tidak akurat,
dan tidak sempurna menjadi meningkat. Juga, pemusatan data ke dalam arsip
tunggal mening- katkan pentingnya backup yang sesuai atas informasi data secara
teratur.
Auditor dan
klien yang menggunakan sistem manajemen database perlu mema- hami perencanaan
klien, organisasi, dan kebijakan dan prosedur untuk menentukan seberapa baik
sistem itu diatur.
d. Masalah
Untuk Sistem E-commerce
Perusahaan yang
menggunakan sistem e-commerce untuk melakukan transaksi bisnis secara
elektronis menghubungkan sistem akuntansi internal mereka ke sistem yang
dipelihara oleh pihak luar, seperti pelanggan dan pemasok. Sebagai hasilnya,
risiko yang dihadapi suatu perusahaan saat terlibat dengan aktivitas e-commerce
sebagian bergantung pada seberapa baik mitra e-commerce-nya mengidentifikasi
dan mengatur risiko dalam sistem TI mereka sendiri. Untuk mengatur risiko
interdepen- densi ini, perusahaan harus memastikan bahwa micra bisnis mereka
secara efektif mengatur risiko sistem TI sebelum melaksanakan bisnis dengan
mereka secara elektronis.
Penggunaan dari
sistem e-commerce juga menyingkapkan data perusaha-an yang sensitip, program,
dan perangkat keras terhadap pemotongan yang potensi atau sabotase oleh pihak
luar. Untuk membatasi keterbukaan ini, perusahaan mengguna- kan firewalls,
teknik pengkodean, dan tandatangan digital. Firewall melindungi data, program,
dan sumber daya TI lain dari para pemakai eksternal yang mengakses sistem
melalui jaringan, seperti Internet. Firewall adalah suatu sistem dari perangkat
keras dan lunak yang mengawasi dan mengendalikan aliran komunikasi e-commerce
dengan penyaluran semua hubungan jaringan melalui suatu pintu gerbang
pengendalian. Firewall dapat digunakan untuk memverifikasi pemakai eksternal
dari jaringan, mem- berikan akses yang sah, dan mengarahkan pemakai ke program
atau data yang di- minta.
Perusahaan
menggunakan teknik pengkodean untuk melindungi keamanan komunikasi elektronik
sepanjang proses transmisi. Teknik pengkodean didasarkan pada program komputer
yang mengubah suatu pesan standar ke dalam suatu bentuk kode (encrypted).
Penerima dari pesan elektronik itu harus menggunakan suatu program dekripsi
(decryption) untuk memecahkan kode pesan itu. Seringkali teknik pengkodean
kunci publik digunakan dimana satu kunci (kunci publik) digunakan E untuk
menyandi pesan dan kunci yang lain (kunci pribadi) digunakan untuk memecah- kan
kode pesan itu. Kunci publik dibagikan kepada pemakai yang disetujui dari
sistem e-commerce itu dan hanya dapat digunakan untuk menyandikan pesan. Kunci
pribadi, yang digunakan untuk memecahkan kode pesan, menjadi titik utama dari
pengendali- an. Perlindungan kunci pribadi sering menjadi tanggung jawab dan
administrator keamanan TI dan hanya dibagikan ke para pemakai internal dengan
otoritas untuk memecahkan kode pesan itu.
Untuk membantu
membuktikan keaslian kebenaran mitra dagang yang melaksa- nakan bisnis secara
elektronik, perusahaan boleh bersandar pada otoritas sertifikasi eksternal yang
memverifikasi sumber dari kunci publik melalui penggunaan tanda tangan digital.
Suatu otoritas sertifikasi yang dipercaya mengeluarkan suatu sertifikat digital
kepada individu dan perusahaan yang terlibat dalam e-commerce. Tanda tangan
digital berisi nama pemilik dan kunci publiknya. Juga berisi nama dari otoritas
sertifikasi dan tanggal tidak berlakunya sertifikat dan informasi khusus
lainnya. Untuk menjamin keaslian dan integritas, masing-masing tandatangan
secara digital ditandatangani oleh kunci pribadi yang dipelihara oleh otoritas
sertifikasi.
e. Masalah
Saat Klien Menggunakan Ti Pihak Luar
Banyak klien
membuka beberapa atau semua kebutuhan TI mereka kepada pusat pelayanan komputer
yang independen bukannya memelihara suatu pusat TI in- ternal. Banyak
perusahaan yang lebih kecil membuka fungsi penggajian mereka ke pihak luar
karena penggajian adalah cukup standar dari perusahaan ke perusahaan dan di
sana ada penyedia jasa penggajian yang dapat dipercaya. Perusahaan juga membuka
sistem e-commerce mereka ke penyedia jasa situs Web eksternal. Seperti semua
keputusan menggunakan pihak luar, perusahaan memutuskan apakah akan menggunakan
TI pihak luar atas dasar manfaat-biaya.
Ketika
menggunakan pusat jasa komputer pihak luar, klien menyerahkan data masukan,
yang diproses oleh pusat jasa untuk suatu pembayaran (fee), dan mengem- balikan
keluaran yang telah disepakati dan masukan asli. Untuk penggajian, per- usahaan
menyerahkan kartu catatan waktu, tingkat upah, dan W4 kepada pusat jasa. Pusat
jasa mengembalikan cek pembayaran upah, jurnal, dan data masukan setiap minggu
dan W-2 pada akhir tiap tahun. Pusat jasa bertanggung jawab atas peran- cangan
sistem komputer dan menyediakan pengendalian yang memadai untuk memastikan
bahwa pemrosesan dapat dipercaya.
Auditor
menghadapi suatu kesukaran ketika memperoleh suatu pemahaman dari pengendalian
internal klien sebab banyak pengendalian itu berada di pusat jasa dan auditor
tidak bisa berasumsi bahwa pengendalian adalah memadai hanya karena pusat jasa
adalah suatu perusahaan independen. Standar audit meminta auditor untuk mempertimbangkan
kebutuhan untuk memahami dan menguji pengendalian pusat jasa jika aplikasi
pusat jasa melibatkan pemrosesan data keuangan yang penting.
Tingkat
memperoleh pemahaman dan pengujian pengendalian pusat jasa harus didasarkan
pada kriteria yang sama yang diikuti auditor dalam mengevaluasi pengen- dalian
internal klien. Dalamnya pemahaman itu tergantung pada kompleksitas sistem dan
tingkat dimana auditor berniat untuk menglirangi risiko pengendalian yang
dinilai untuk mengurangi ujian audit substantif. Jika auditor menyimpulkan
bahwa keterlibatan yang aktif dipusat jasa adalah satu-satunya cara melakukan
audit, mungkin saja perlu untuk memperoleh suatu pemahaman akan pengendalian
internal dipusat jasa dan menguji pengendalian menggunakan data ujian dan ujian
pengendalian lainnya.
Dibeberapa tahun
terakhir, makin menjadi umum untuk mempunyai auditor inde- penden memperoleh
suatu pemahaman dan menguji pengengdalian internal dari pusat jasa untuk
digunakan oleh semua pelanggan dan auditor independen mereka. Tujuan penilaian
independen ini adalah untuk menyediakan pelanggan pusat jasa dengan suatu
tingkat jaminan yang layak dari ketercukupan pengendalian umum dan aplikasi
milik pusat jasa dan untuk menghapuskan kebutuhan akan audit yang berlebihan
oleh auditor pelanggan. Jika pusat jasa mempunyai banyak pelanggan dan
masing-masing memerlukan suatu pemahaman dari pengendalian internal pusat jasa
oleh auditor inde-penden mereka sendiri, kerepotan dan biaya untuk pusat jasa
itu bisa besar. Ketika auditor independen pusat jasa menyelesaikan pemahaman
dan uji coba atas pengendalian pusat jasa, maka dikeluarkan suatu laporan
khusus, yang menunjukan lingkup dari audit dan kesimpulannya. Kemudian akan
menjadi tanggung jawab dari auditor pelanggan untuk memutuskan tingkat dari
kepercayaan pada pusat jasa. SAS 70 (AU 324) seperti dikembangkan oleh SAS 78
dan SAS 88 berisi bimbingan baik untuk auditor pelanggan dan auditor pusat
jasa.
4.
Apa yang dimaksud dengan E-Cash? Apa saja yang menjadi perhatian
kontrol TI terkait dengan E-Cash?
e-cash adalah uang elektronik
berbasis server yang memanfaatkan teknologi aplikasi di handphone dan USSD,
atau yang disebut sebagai uang tunai di handphone, dimana yang memungkinkan
pemegangnya untuk melakukan transaksi perbankan tanpa harus melakukan pembukaan
rekening ke cabang Bank Mandiri.
Keunggulan dari produk ini
terletak pada pengalaman social banking bagi pemegangnya dan merasakan
kemudahan dalam penggunaannya.
e-cash memiliki tiga karakter
kemudahan yaitu: Gampang Dapat, Gampang Isi, dan Gampang Pakai.
Yang menjadi perhatian terhadap
kontrol atau audit TI terkait e-cash yaitubagaimana menyingkapkan data
perusaha-an yang sensitip, program, dan perangkat keras terhadap pemotongan
yang potensi atau sabotase oleh pihak luar. Mengatasi permasalahan ini
perusahaan dapat menggunakan teknik pengkodean dan tanda tangan digital. Dalam
e-cash tandatangan digital ni dilakukan dengan konfirmasi melalui sms dengan
nomor telepon pemilik.
Hal lain yangmenjadi perhatian
dalam kontrol dan audit TI di e-cash yaitu Kesalahan sistematis versus
kesalahan acak dimana penggunaan jaringan yang makin meledak yang menghubungkan
peralatan seperti komputer mikro, komputer jangkauan menengah, mainframe,
stasiun kerja, server, dan pencetak sedang mengubah fungsi TI untuk banyak
bisnis. Saat klien mempunyai aplikasi akuntansi yang diproses dalam lingkungan
jaring- an, pemahaman auditor akan pengendalian internal perlu meliputi
pengetahuan konfi- gurasi jaringan, mencakup penempatan dan server,
stasiun-kerja, dan komputer yang dihubungkan satu sama lain, dan pengetahuan
perangkat lunak jaringan yang diguna- kan untuk mengatur sistem. Auditor juga
harus memahami tentang pengendalian atas akses dan perubahan kepada program
aplikasi dan arsip data yang ditempatkan pada server.
5.
Mengapa Auditor TI perlu mengetahui tentang lingkungan hukum
Sistem Informasi (SI)
Lingkungan hukum dari sistem
infirmasi perlu diketahui oleh Auditor IT dalam memastikan tata kelola IT. Hal
tersebut dikarenakan auditor IT akan menilai risiko dan melaksanakan atau
memantau kontrol atas risiko tersebut terkait dengan perusahaan / organisasi.
Peran auditor IT bervariasi sesuai dengan posisi mereka di dalam atau di luar
organisasi dan dengan proyek individu tertentu. Tingkat keahlian yang
diperlukan untuk juga bervariasi dari yang sangat teknis hingga yang memerlukan
keterampilan komunikasi yang baik.
Pada dasarnya peran seorang
Auditor TI bekerja baik sebagai auditor internal atau eksternal. Auditor
tersebut kemungkinan akan menilai risiko dan kontrol TI. Kadang-kadang hal ini
dilakukan sebagai pendukung untuk pekerjaan audit keuangan, dan pada waktu lain
tujuan evaluasi risiko dan kontrol TI dilakukan untuk kepentingan diri sendiri.
Pada dasarnya auditor TI dapat memberikan jaminan atau memberikan kenyamanan
atas apa saja yang berhubungan dengan sistem informasi. Disamping itu, terdapat
beberapa jenis pekerjaan yang dapat dilakukan oleh auditor IT termasuk:
-
Mengevaluasi dan mengontrol aplikasi khusus.
Misalnya aplikasi seperti e-bisnis, perencanaan sumber daya perusahaan (ERP
system), atau perangkat lunak lain.
-
Memberikan jaminan atas proses tertentu. Hal ini
mungkin berupa “prosedur audit yang disepakati” di mana klien dan auditor IT
menentukan cakupan jaminannya.
-
Memberikan jaminan kepada pihak ketiga. Auditor
IT seringkali harus mengevaluasi risiko
dan kontrol atas sistem informasi pihak ketiga dan memberikan jaminan kepada
orang lain.
Masih banyak hal-hal yang butuh di perjelas mengenai audit TI, namun semoga postingan di atas bisa sedikit meberikan gambaran mengenai audit TI .
Tidak ada komentar:
Posting Komentar