Fungsi Audit TI:

Latar Belakang

Alasan perusuhaan belum melakukan audit TI :

1. perusahaan merasa bahwa TI yang diterapkan masih berperan sebatas

support tools, belum menjadi strategic tools

2. kebijakan dan tujuan-tujuan penerapan TI-nya tidak begitu jelas

3. nilai investasi TI yang belum dianggap cukup berarti dibandingkan nilai

keuangan perusahaan.

4. banyaknya jargon teknis TI yang sulit dipahami oleh manajemen puncak.

5. daf

Audit TI, bertujuan untuk mengevaluasi dan memperbaiki efektivitas proses-

proses manajemen risiko, kontrol dan good governance. Nilai penting
dilakukannya audit TI sejalan dengan pentingnya mencapai tujuan perusahaan.
Artinya, bagaimana perusahaan dapat mengelola berbagai risiko yang
dihadapinya, terutama terkait dengan penerapan TI, dalam upayanya mencapai
tujuan-tujuan bisnisnya. Dengan audit TI suatu perusahaan bisa didorong
melakukan perencanaan dan pengembangan secara lebih terarah dan terfokus
sesuai dengan tujuan-tujuan bisnisnya. Mereka didorong untuk menerapkan
secara tepat dan benar, bukan sekedar menggelar suatu sistem yang mahal,
namun tidak berdampak terhadap peningkatan kinerja karyawan dan perusahaan
itu sendiri.

Ron Weber, Dekan Fakultas Teknologi Informasi, Monash University , dalam salah
satu bukunya: Information System Controls and Audit (Prentice-Hall, 2000)
menyatakan beberapa alasan penting mengapa audit TI perlu dilakukan,
antara lain:

1. Kerugian akibat kehilangan data

Saat ini, data telah menjadi salah satu aset terpenting bagi suatu perusahaan.
Bayangkan, jika Anda pimpinan perusahaan yang sebagian besar penjualan yang
Anda raih dilakukan dengan cara kredit dimana para pembeli akan membayar
tagihannya di kemudian hari. Untuk mencatat penjualan, Anda menggunakan
bantuan TI. Akibat terjadinya gangguan virus atau terjadi kebakaran pada
ruangan komputer yang Anda miliki, misalnya, maka seluruh data tagihan
tersebut hilang. Kehilangan data tersebut mungkin saja akan mengakibatkan
perusahaan Anda tidak dapat melakukan penagihan kepada para pelanggan.
Atau, kalaupun masih dapat dilakukan, waktu yang dibutuhkan menjadi sangat
lama karena Anda harus melakukan verifikasi manual atas dokumen penjualan
yang Anda miliki.

2. Kesalahan dalam pengambilan keputusan

Banyak kalangan usaha yang saat ini telah menggunakan bantuan Decision
Support System (DSS) untuk mengambil keputusan-keputusan penting. Dalam
bidang kedokteran, misalnya, keputusan dokter untuk melakukan tindakan
operasi dapat saja ditentukan dengan menggunakan bantuan perangkat lunak
tersebut. Dapat dibayangkan risiko yang mungkin dapat ditimbulkan apabila sang
dokter salah memasukkan data pasien ke sistem TI yang digunakan. Taruhannya
bukan lagi material, melainkan nyawa seseorang.
3. Risiko kebocoran data

Data bagi sebagian besar sektor usaha merupakan sumber daya yang tidak
ternilai harganya. Informasi mengenai pelanggan, misalnya, bisa jadi merupakan
kekuatan daya saing suatu perusahaan. Bayangkan, Anda seorang direktur suatu
perusahaan telekomunikasi yang memiliki 5 juta pelanggan. Tanpa Anda sadari,
satu persatu pelanggan perusahaan Anda telah beralih ke perusahaan pesaing.

Setelah melalui proses audit, akhirnya diketahui bahwa data pelanggan

perusahaan Anda telah jatuh ke tangan perusahaan pesaing. Berdasarkan data
tersebut, perusahaan pesaing kemudian menawarkan jasa yang sama dengan
jasa yang Anda tawarkan ke pelanggan yang sama, tetapi dengan biaya yang
sedikit lebih rendah. Kebocoran data ini tidak saja berdampak terhadap
kehilangan sejumlah pelanggan, akan tetapi lebih jauh lagi bisa mengganggu
kelangsungan hidup perusahaan Anda.

4. Penyalahgunaan Komputer

Alasan lain perlunya dilakukan audit TI adalah tingginya tingkat penyalahgunaan

komputer. Pihak-pihak yang dapat melakukan kejahatan komputer sangat
beraneka ragam. Kita mengenal adanya hackers dan crackers.

Hackers merupakan orang yang dengan sengaja memasuki suatu sistem

teknologi informasi secara tidak sah. Biasanya mereka melakukan aktivitas
hacking untuk kebanggaan diri sendiri atau kelompoknnya, tanpa bermaksud
merusak atau mengambil keuntungan atas tindakannya itu. Sedang, Crackers di
sisi lain melakukan aktivitasnya dengan tujuan mengambil keuntungan sebanyak-
banyaknya dari tindakannya tersebut, misalnya mengubah atau merusak atau,
bahkan, menghancurkan sistem komputer.

Kejahatan komputer juga bisa dilakukan oleh karyawan yang merasa tidak puas
dengan kebijakan perusahaan, baik yang saat ini masih aktif bekerja di
perusahaan yang bersangkutan maupun yang telah keluar. Sayangnya, tidak
semua perusahaan siap mengantisipasi adanya risiko-risiko tersebut.

Survei yang dilakukan oleh Ernst & Young (Global Information Security Survey
2003) menemukan bahwa 34% dari total perusahaan yang ada saat ini tidak
memiliki mekanisme yang memadai untuk mendeteksi kemungkinanan adanya
serangan terhadap sistem mereka. Lebih dari 33%, bahkan menyatakan bahwa
mereka tidak memiliki kemampuan yang cukup untuk menindaklanjuti ancaman-
ancaman yang mungkin timbul.

5. Kerugian akibat kesalahan proses perhitungan

Seringkali, TI digunakan untuk melakukan perhitungan yang rumit. Salah satu

alasan digunakannya TI adalah kemampuannya untuk mengolah data secara
cepat dan akurat (misalnya, penghitungan bunga bank). Penggunaan TI untuk
mendukung proses penghitungan bunga bukannya tanpa risiko kesalahan. Risiko
ini akan semakin besar, misalnya ketika bank tersebut baru saja berganti sistem
dari sistem yang sebelumnya mereka gunakan. Tanpa adanya mekanisme
pengembangan sistem yang memadai, mungkin saja terjadi kesalahan
penghitungan atau, bahkan, fraud. Kesalahan yang ditimbulkan oleh sistem baru
ini akan sulit terdeteksi tanpa adanya audit terhadap sistem tersebut.

6. Tingginya nilai investasi perangkat keras dan perangkat lunak

komputer

Investasi yang dikeluarkan untuk suatu proyek TI seringkali sangat besar.

Bahkan, dari penelitian yang pernah dilakukan (Willcocks, 1991), tercatat bahwa
20% pengeluaran TI terbuang secara percuma, 30-40% proyek TI tidak
mendatangkan keuntungan. Selan itu, sulit mengukur manfaat yang dapat
diberikan TI.

Untuk Indonesia , alokasi anggaran untuk investasi di bidang TI relatif tidak lebih
besar dibandingkan di luar negeri. Di Indonesia besarnya alokasi anggaran
berkisar 5-10%, sementara di luar negeri bisa mencapai 30% dari total anggaran
belanja perusahaan. Namun, bila dilihat dari nilai absolut besarnya Rupiah yang
dikeluarkan, jumlahnya sangat besar. Perusahaan-perusahaan besar nasional,
seperti Garuda Indonesia, Telkom, dan Pertamina semuanya, saat ini, sudah
menerapkan sistem ERP (Enterprise Resource Planning) dan bahkan berbagai
aplikasi lainnya yang melibatkan investasi yang signifikan.

Enam komponen Audit TI :

1. pendefinisian tujuan perusahaan;

2. penentuan isu, tujuan dan perspektif bisnis antara penanggung jawab

bagian dengan bagian TI;

3. review terhadap pengorganisasian bagian TI yang meliputi perencanaan

proyek, status dan prioritasnya, staffing levels, belanja TI dan IT change
process management;

4. assessment infrastruktur teknologi, assessment aplikasi bisnis;

5. temuan-temuan,

6. laporan rekomendasi.

Sedang subyek yang perlu diaudit mencakup :

1. aspek keamanan,

Masalah keamanan mencakup tidak hanya keamanan file servers dan

penerapan metoda cadangan, melainkan juga penerapan standar tertentu,
seperti C-ICT.

2. keandalan,

Keandalan meliputi penerapan RAID V disk subsystems untuk server

dengan critical applications dan prosedur penyimpanan data di file server,
bukan di drive lokal C.

3. kinerja

Kinerja mencakup persoalan standarisasi PC, penggunaan LAN serta

cadangan yang sesuai dengan beban kerja.

4. manageability.

manageability menyangkut penerapan standar tertentu dan

pendokumentasian secara teratur dan berkesinambungan

Pengoraganisasian bagian TI juga ditetapkan dalam audit assessment. Ini

terbagi atas IT management, IT support dan IT staffing. Untuk pertama kalinya
diperkenalkan visi jangka panjang mengenai IT management yang merujuk pada
tujuan bisnis perusahaan. Ini didukung visi business support yang jelas dan
orientasinya dipersiapkan untuk penerapan ERP (enterprise resource planning)
sebagai infrastrukturnya. Selain itu, tanggungjawab dibebankan pada setiap
karyawan pengguna, sedang manajemen TI lebih bertanggung jawab dalam
mendukung dan memecahkan masalah yang muncul.

Audit itu harus dilakukan terhadap :

1. sistem informasi secara keseluruhan

2. perangkat TI yang digunakan

3. software, hardware, jaringan saja

4. aspek yang terlibat dan relevan dalam sistem informasi.

Keamanan sistem informasi, beberapa prinsip non teknis yang harus dipegang.

1. prinsip multidisipliner (multidisciplinary principle), yang menegaskan

bahwa segala macam pengukuran, praktik, dan prosedur keamanan
sistem informasi harus juga meladeni segala pertimbangan dan sudut
pandang berbagai disiplin yang relevan, termasuk aspek sosial budaya,
hukum dan politik.

2. prinsip demokrasi (democracy principle), yang menegaskan bahwa

keamanan sistem informasi perlu mempertimbangkan hak-hak pengguna
dan pihak-pihak lain yang dipengaruhi oleh sistem.

Metodologi Audit Teknologi Informasi:

Fase 1 : Merencanakan Audit

Fase 2 : Mengidentifikasikan risiko dan kendali

Fase 3 : Mengevaluasi kendali dan mengumpulkan bukti-bukti

Fase 4 : Mendokumentasikan temuan-temuan dan mendiskusikan dengan auditee

Fase 5 : Laporan akhir dan mempresentasikan hasil-hasil

Sumber : http://www.ebizzasia.com/0217-2004/