METODOLOGI AUDIT TI

METODOLOGI AUDIT TI

Metodologi umum dalam proses pemeriksaan insiden sampai proses hukum:

1.      Pengumpulan data/fakta dari sistem komputer (harddisk, usb-stick, log, memory-dump, internet, dll) – termasuk di dalamnya data yang sdh terhapus

2.      Mendokumentasikan fakta-fakta yang ditemukan dan menjaga integritas data selama proses forensik dan hukum dengan proteksi fisik, penanganan khusus, pembuatan image, dan menggunakan algoritma HASH untuk pembuktian / verifikasi

3.      Merunut kejadian (chain of events) berdasarkan waktu kejadian

4.      Memvalidasi kejadian2 tersebut dengan metode “sebab-akibat”

5.      Dokumentasi hasil yang diperoleh dan menyusun laporan

6.      Proses hukum (pengajuan delik, proses persidangan, saksi ahli, dll)

Tahapan Proses Audit

Dalam melaksanakan tugasnya, auditor yang akan melakukan proses audit di lingkungan PDE mempunyai 4 tahapan audit sebagai berikut:

1. Perencanaan Audit (Audit Planning).

    Tujuan perencanaan audit adalah untuk menentukan why, how, when dan by whom sebuah audit akan dilaksanakan. Aktivitas perencanaan audit meliputi:

·         Penetapan ruang lingkup dan tujuan audit

·         Pengorganisasian tim audit

·         Pemahaman mengenai operasi bisnis klien

·         Kaji ulang hasil audit sebelumnya (jika ada)

·         Mengidentifikasikan faktor-faktor yang mempengaruhi resiko audit

·         Penetapan resiko dalam lingkungan audit, misalkan bahwa inherent risk, control risk dan detection risk dalam sebuah on-line processing, networks, dan teknologi maju database lainnya akan lebih besar daripada sebuah sistem akuntansi manual.

2. Penyiapan program audit (Prepare audit program). Yaitu antara lain adalah:

    Mengumpulkan bukti audit (Collection of Audit Evidence) yang meliputi:

·         Mengobservasi aktivitas operasional di lingkungan PDE

·         Mengkaji ulang sistem dokumentasi PDE

·         Mendiskusikan dan mengajukan pertanyaan-pertanyaan dengan petugas berwenang.

·         Pengujian keberadaan dan kondisi fisik aktiva.

·         Konfirmasi melalui pihak ketiga

·         Menilai kembali dan re-performance prosedur sistem PDE.

·         Vouching ke dokumen sumber

·         Analytical review dan metodesampling

3. Evaluasi bukti (Evaluation of Audit Evidence).

    Auditor menggunakan bukti untuk memperoleh keyakinan yang memadai (reasonable assurance), jika inherent risk dan control risk sangat tinggi, maka harus mendapatkan reasonable assurance yang lebih besar. Aktivitas evaluasi bukti yang diperoleh meliputi:

·         Menilai (assess) kualitas pengendalian internal PDE

·         Menilai reliabilitas informasi PDE

·         Menilai kinerja operasional PDE

·         Mempertimbangkan kembali kebutuhan adanya bukti tambahan.

·         Mempertimbangkan faktor resiko

·         Mempertimbangkan tingkat materialitas

·         Bagaimana perolehan bukti audit.

4. Mengkomunikasikan hasil audit

Auditor menyiapkan beberapa laporan temuan dan mungkin merekomendasikan beberapa usulan yang terkait dengan pemeriksaan dengan di dukung oleh bukti dan dalam kertas kerjanya. Setelah direkomendasikan juga harus dipantau apakah rekomendasinya itu ditindaklanjuti.

Jenis-jenis Audit

Auditor laporan keuangan dapat diklasifikasikan ke dalam:

·         Eksternal auditor / auditor wajib adalah Perusahaan akuntan publik independen yang bergerak berdasarkan oleh subjek klien untuk audit, untuk menyatakan pendapat apakah laporan keuangan perusahaan bebas dari salah saji material, apakah karena penipuan atau kesalahan. Untuk perusahaan terbuka, auditor eksternal juga mungkin diperlukan pada pernyataan pendapat atas efektivitas pengendalian internal atas pelaporan keuangan. Auditor eksternal juga dapat bergerak untuk melakukan lainnya yang telah disepakati secara prosedur, terkait atau tidak terkait dengan laporan keuangan. Yang paling penting, bahwa auditor eksternal meskipun terlibat dan dibayar oleh perusahaan yang diaudit, dianggap sebagai auditor independen.

·         Auditor internal pengendali internal yang dipekerjakan oleh organisasi yang mereka audit. Auditor internal melakukan berbagai prosedur audit, terutama yang berkaitan dengan prosedur atas efektivitas pengendalian internal perusahaan atas pelaporan keuangan. Karena kebutuhan Bagian 404 dari Sarbanes Oxley Act of 2002 untuk manajemen juga untuk menilai efektivitas pengendalian internal atas pelaporan keuangan (seperti juga diperlukan auditor eksternal), auditor internal ini dimanfaatkan untuk membuat penilaian ini. Meskipun auditor internal tidak dianggap independen perusahaan mereka melakukan prosedur audit, auditor internal perusahaan terbuka wajib melaporkan langsung kepada dewan direksi, atau sub-komite dewan direksi, dan tidak kepada manajemen, sehingga untuk mengurangi risiko bahwa auditor internal akan ditekan untuk menghasilkan penilaian yang menguntungkan.

·         Auditor Konsultan adalah tenaga auditor eksternal dikontrak oleh perusahaan untuk melakukan. Audit sesuai dengan standar audit perusahaan. Ini berbeda dari auditor eksternal, yang mengikuti standar mereka sendiri audit. Tingkat kemerdekaan karena itu suatu tempat antara auditor internal dan auditor eksternal. Konsultan auditor dapat bekerja secara independen, atau sebagai bagian dari tim audit yang meliputi auditor internal. Konsultan auditor digunakan ketika perusahaan tidak memiliki cukup keahlian untuk melakukan audit daerah tertentu, atau hanya untuk pembesaran staf ketika staf yangdibutuhkan tidak tersedia.

·         Auditor Kualitas mungkin konsultan atau dipekerjakan oleh organisasi. Audit teknologi informasi, atau audit sistem informasi, merupakan pemeriksaan kontrol dalam teknologi Informasi (TI) infrastruktur. Audit TI adalah proses pengumpulan dan penilaian bukti sistem informasi organisasi, praktik, dan operasi. Evaluasi bukti yang diperoleh menentukan jika sistem informasi yang menjaga aset, memelihara integritas data, dan beroperasi secara efektif untuk mencapai tujuan organisasi atau tujuan. Tinjauan ini dapat dilakukan bersamaan dengan audit laporan keuangan, audit internal, atau bentuk lain dari keterlibatan pengesahan.

Audit TI juga dikenal sebagai audit pengolahan data otomatis (ADP: Automated Data Processing) dan audit komputer, sebelumnya disebut audit pengolahan data elektronik (EDP: Electronic Data Processing).

Alasan dilakukannya Audit IT

Ron Webber, Dekan Fakultas Teknologi Informasi, monash University, dalam salah satu bukunya Information System Controls and Audit (Prentice-Hall, 2000) menyatakan beberapa alasan penting mengapa Audit IT perlu dilakukan, antara lain :

·         Kerugian akibat kehilangan data.

·         Kesalahan dalam pengambilan keputusan.

·         Resiko kebocoran data.

·         Penyalahgunaan komputer.

·         Kerugian akibat kesalahan proses perhitungan.

·         Tingginya nilai investasi perangkat keras dan perangkat lunak komputer.

Manfaat Audit IT

A.    Manfaat pada saat Implementasi (Pre-Implementation Review)

Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria, mengetahui apakah pemakai telah siap menggunakan sistem tersebut, dan mengetahui apakah outcome sesuai dengan harapan manajemen.

B.     Manfaat setelah sistem live (Post-Implementation Review)

Institusi mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk penanganannya. Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis, dan anggaran pada periode berikutnya, Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang, Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan, Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan pemeriksaan, dan Membantu dalam penilaian apakah initial proposed values telah terealisasi dan saran tindak lanjutnya.