METODOLOGI
AUDIT TI
Metodologi umum dalam proses
pemeriksaan insiden sampai proses hukum:
1. Pengumpulan data/fakta dari sistem
komputer (harddisk, usb-stick, log, memory-dump, internet, dll) – termasuk di
dalamnya data yang sdh terhapus
2. Mendokumentasikan fakta-fakta yang
ditemukan dan menjaga integritas data selama proses forensik dan hukum dengan
proteksi fisik, penanganan khusus, pembuatan image, dan menggunakan algoritma
HASH untuk pembuktian / verifikasi
3. Merunut kejadian (chain of events)
berdasarkan waktu kejadian
4. Memvalidasi kejadian2 tersebut
dengan metode “sebab-akibat”
5. Dokumentasi hasil yang diperoleh dan
menyusun laporan
6. Proses hukum (pengajuan delik,
proses persidangan, saksi ahli, dll)
Tahapan
Proses Audit
Dalam
melaksanakan tugasnya, auditor yang akan melakukan proses audit di lingkungan
PDE mempunyai 4 tahapan audit sebagai berikut:
1. Perencanaan Audit (Audit
Planning).
Tujuan perencanaan audit adalah
untuk menentukan why, how, when dan by whom sebuah audit akan dilaksanakan.
Aktivitas perencanaan audit meliputi:
·
Penetapan
ruang lingkup dan tujuan audit
·
Pengorganisasian
tim audit
·
Pemahaman
mengenai operasi bisnis klien
·
Kaji
ulang hasil audit sebelumnya (jika ada)
·
Mengidentifikasikan
faktor-faktor yang mempengaruhi resiko audit
·
Penetapan
resiko dalam lingkungan audit, misalkan bahwa inherent risk, control risk dan
detection risk dalam sebuah on-line processing, networks, dan teknologi maju
database lainnya akan lebih besar daripada sebuah sistem akuntansi manual.
2. Penyiapan program audit (Prepare
audit program). Yaitu antara lain adalah:
Mengumpulkan bukti audit (Collection
of Audit Evidence) yang meliputi:
·
Mengobservasi
aktivitas operasional di lingkungan PDE
·
Mengkaji
ulang sistem dokumentasi PDE
·
Mendiskusikan
dan mengajukan pertanyaan-pertanyaan dengan petugas berwenang.
·
Pengujian
keberadaan dan kondisi fisik aktiva.
·
Konfirmasi
melalui pihak ketiga
·
Menilai
kembali dan re-performance prosedur sistem PDE.
·
Vouching
ke dokumen sumber
·
Analytical
review dan metodesampling
3. Evaluasi bukti (Evaluation of
Audit Evidence).
Auditor menggunakan bukti untuk
memperoleh keyakinan yang memadai (reasonable assurance), jika inherent risk
dan control risk sangat tinggi, maka harus mendapatkan reasonable assurance
yang lebih besar. Aktivitas evaluasi bukti yang diperoleh meliputi:
·
Menilai
(assess) kualitas pengendalian internal PDE
·
Menilai
reliabilitas informasi PDE
·
Menilai
kinerja operasional PDE
·
Mempertimbangkan
kembali kebutuhan adanya bukti tambahan.
·
Mempertimbangkan
faktor resiko
·
Mempertimbangkan
tingkat materialitas
·
Bagaimana
perolehan bukti audit.
4. Mengkomunikasikan hasil audit
Auditor
menyiapkan beberapa laporan temuan dan mungkin merekomendasikan beberapa usulan
yang terkait dengan pemeriksaan dengan di dukung oleh bukti dan dalam kertas
kerjanya. Setelah direkomendasikan juga harus dipantau apakah rekomendasinya
itu ditindaklanjuti.
Jenis-jenis
Audit
Auditor laporan keuangan dapat
diklasifikasikan ke dalam:
·
Eksternal
auditor / auditor wajib adalah Perusahaan akuntan publik independen yang
bergerak berdasarkan oleh subjek klien untuk audit, untuk menyatakan pendapat
apakah laporan keuangan perusahaan bebas dari salah saji material, apakah
karena penipuan atau kesalahan. Untuk perusahaan terbuka, auditor eksternal
juga mungkin diperlukan pada pernyataan pendapat atas efektivitas pengendalian
internal atas pelaporan keuangan. Auditor eksternal juga dapat bergerak untuk
melakukan lainnya yang telah disepakati secara prosedur, terkait atau tidak
terkait dengan laporan keuangan. Yang paling penting, bahwa auditor eksternal
meskipun terlibat dan dibayar oleh perusahaan yang diaudit, dianggap sebagai
auditor independen.
·
Auditor
internal pengendali internal yang dipekerjakan oleh organisasi yang mereka
audit. Auditor internal melakukan berbagai prosedur audit, terutama yang
berkaitan dengan prosedur atas efektivitas pengendalian internal perusahaan
atas pelaporan keuangan. Karena kebutuhan Bagian 404 dari Sarbanes Oxley Act of
2002 untuk manajemen juga untuk menilai efektivitas pengendalian internal atas
pelaporan keuangan (seperti juga diperlukan auditor eksternal), auditor
internal ini dimanfaatkan untuk membuat penilaian ini. Meskipun auditor
internal tidak dianggap independen perusahaan mereka melakukan prosedur audit,
auditor internal perusahaan terbuka wajib melaporkan langsung kepada dewan
direksi, atau sub-komite dewan direksi, dan tidak kepada manajemen, sehingga
untuk mengurangi risiko bahwa auditor internal akan ditekan untuk menghasilkan
penilaian yang menguntungkan.
·
Auditor
Konsultan adalah tenaga auditor eksternal dikontrak oleh perusahaan untuk
melakukan. Audit sesuai dengan standar audit perusahaan. Ini berbeda dari
auditor eksternal, yang mengikuti standar mereka sendiri audit. Tingkat
kemerdekaan karena itu suatu tempat antara auditor internal dan auditor
eksternal. Konsultan auditor dapat bekerja secara independen, atau sebagai
bagian dari tim audit yang meliputi auditor internal. Konsultan auditor
digunakan ketika perusahaan tidak memiliki cukup keahlian untuk melakukan audit
daerah tertentu, atau hanya untuk pembesaran staf ketika staf yangdibutuhkan
tidak tersedia.
·
Auditor
Kualitas mungkin konsultan atau dipekerjakan oleh organisasi. Audit
teknologi informasi, atau audit sistem informasi, merupakan pemeriksaan kontrol
dalam teknologi Informasi (TI) infrastruktur. Audit TI adalah proses
pengumpulan dan penilaian bukti sistem informasi organisasi, praktik, dan
operasi. Evaluasi bukti yang diperoleh menentukan jika sistem informasi yang
menjaga aset, memelihara integritas data, dan beroperasi secara efektif untuk
mencapai tujuan organisasi atau tujuan. Tinjauan ini dapat dilakukan bersamaan
dengan audit laporan keuangan, audit internal, atau bentuk lain dari
keterlibatan pengesahan.
Audit TI juga dikenal sebagai audit
pengolahan data otomatis (ADP: Automated Data Processing) dan audit komputer,
sebelumnya disebut audit pengolahan data elektronik (EDP: Electronic Data
Processing).
Alasan
dilakukannya Audit IT
Ron Webber, Dekan Fakultas Teknologi
Informasi, monash University, dalam salah satu bukunya Information System
Controls and Audit (Prentice-Hall, 2000) menyatakan beberapa alasan penting
mengapa Audit IT perlu dilakukan, antara lain :
·
Kerugian
akibat kehilangan data.
·
Kesalahan
dalam pengambilan keputusan.
·
Resiko
kebocoran data.
·
Penyalahgunaan
komputer.
·
Kerugian
akibat kesalahan proses perhitungan.
·
Tingginya
nilai investasi perangkat keras dan perangkat lunak komputer.
Manfaat
Audit IT
A.
Manfaat pada saat Implementasi
(Pre-Implementation Review)
Institusi
dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan
ataupun memenuhi acceptance criteria, mengetahui apakah pemakai telah siap
menggunakan sistem tersebut, dan mengetahui apakah outcome sesuai dengan
harapan manajemen.
B.
Manfaat setelah sistem live
(Post-Implementation Review)
Institusi
mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk
penanganannya. Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan
sistem, perencanaan strategis, dan anggaran pada periode berikutnya, Bahan
untuk perencanaan strategis dan rencana anggaran di masa mendatang, Memberikan
reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau
prosedur yang telah ditetapkan, Membantu memastikan bahwa jejak pemeriksaan
(audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor
maupun pihak lain yang berwewenang melakukan pemeriksaan, dan Membantu dalam
penilaian apakah initial proposed values telah terealisasi dan saran tindak
lanjutnya.
