Information Technology Audit: an introduction

Information System Quality Assurance and Control - TP1_ S2_R1

1. Menurut Senft dan Gallegos (2009) , IT auditing adalah evaluasi dari IT, praktik (practice) dan operasi untuk memastikan(assure) integritas dalam hal penilaian efisiensi, efektivitas dan nilai ekonomi proses dengan berbasis komputer. Evaluasi IT audit harus memiliki kecukupan(adequacy) dari internal kontrol didalam lingkungan teknologi informasi (IT environment) untuk memastikan validitas, reabilitas dan servis informasi yang aman (secure).

Dengan mengacu pendapat Senft dan Gallegos, IT audit merupakan kegiatan pengujian (examination ) dan evaluasi dari sistem informasi sebuah organisasi yang akan memastikan integritas informasi entitas yang meliputi penilaian efisiensi, efektivitas dan nilai ekonomi proses yang menggunakan sistem informasi dengan komputer.

Aktivitas IT audit harus memiliki kerangka kerja audit ( audit framework( yang berstandar internasional dan diakui negara2 dan dibawah naungan lembaga yang kredibel, ISACA sebagai lembaga yang kredibel telah menerbitkan COBIT sebagai IT audit framework yang diakui oleh dunia internasional.

2. Peranan IT control dan audit sangat diperlukan karena hal ini memastikan adanya integrasi antara information system dengan laporan keuangan suatu organisasi. Menurut Tommie Singleton (2014), audit sangat berperan penting dan bersifat integral bagi auditor dalam melakukan penilaian (judgement) atas kualitas informasi yang dihasilkan oleh sistem komputer. Kerugian yang timbul akibat kecurangan (fraud) dan kejahatan kerah putih (white collar criminal) jauh lebih besar dibandingkan dengan kejahatan biasa. Contoh yang ada yaitu kasus skandal Enron maupun kasus phising bank transfer melalui aplikasi di mobile application yang marak serta trend pemakaian e-cash ataupun paperless transaction melalui jalur digital membuat peran kontrol sangat signifikan. IT audit mutlak diperlukan untuk membuat assessment dan assurance bahwa proses dan sistem informasi yang ada sudah mematuhi (adhere) standard control privacy, security dan authorization yang ada seperti Sox (Sarbana Oxley) Acts,

3. Menelaah dokumen dari para praktisi IT Audit seperti Kessel, Paul van Miller, J Randall dan Global EY team, (2013) maka dapat dibuat ringakasan masalah2 utama yang sedang trend atau berkembang saat ini dalam audit bisnis yang berkaitan dengan teknologi informasi sebagai berikut ;

a. Mobile computing security- rawannya keamanan perangkat mobile yang berbasis open source seperti android menimbulkan resiko terjadinya kejahatan digital (digital crime.

b. Cloud Security –dengan trend sharing data dan konektivitas yang makin terbuka hal ini juga menimbulkan risk adanya updaya data hack atau information stealing dari pihak2 yang bisa merugikan organisasi

c. Software/IT asset management- pengelolaan software dan hardware yang makin kompleks dengan challenge pada efficiency mendorong perusahaan melakukan outsourcing sehingga perlu risk management yang proper dan put control in place.

d. Social media security – dengan maraknya penggunaan twitter, facebook, instagram, youtube yang bukan hanya dipakai oleh perseorangan tapi juga level korporasi membuat tantangan tersendiri buat organisasi dalam mengelola social media nya agar tetap terjaga image perusahaan tetapi tetap bisa melakukan komunikasi dan marketing yang efektif perlu pengelolaan risk yang tepat dan perencanaan dan strategi resiko.

e. Data loss and privacy.- Data yang berbasiskan komputer lebih bersifat rentan (vulnerable) jika tidak memiliki control approach yang tepat dan knowledge yang tepat untuk melindungi data2 sensitif dan bersifat privasi. Data yang bernilai ekonomi tinggi, strategic serta sensitif harus benar2 dilindungi dengan pengukuran ( measurement) yang tepat dan mempertimbangkan semua resiko yang ada.

4. E-cash adalah uang elektronik (paperless money) berbasis server yang memanfaatkan teknologi aplikasi misalnya pada handphone dimana pemilik handphone dapat melakukan transaksi pembelian melalui aplikasi di handphone misalnya Grab pay atau gojek money.

(Razali, 2002) mengatakan ada 5 ciri utama e-cash yaitu ;

- Keamanan (Security)

- Privasi (Privacy)

- Dapat dipindahtangankan (Portability)

- Dapat ditransfer (Transferability)

- Dapat dibagi/ditukar ke dalam pecahan yang lebih kecil (Divisibility).

IT control yang harus diperhatikan adalah ; memastikan pengawasan (control) dapat mencegah E-cash dipakai dalam aktivitas kejahatan seperti pencucian uang(money laundering) dan penggelapan pajak (tax evasion) dibalik bisnis cyber dolar. Control juga perlu dilakukan untuk mengatasi computer hackers yang dapat menimbulkan kerugian dalam jumlah besar. Dalam hal ini E-cash harus memiliki unsur2 traceability dan track changes sehingga dapat dilakukan audit dari proses end to endnya. Rentannya (vulnerability) dari aplikasi e-cash itu sendiri juga kemungkinan memiliki loopholes ( celah keamanan) yang perlu diverifikasi agar terjamin keamanannya. Perlu adanya sistem dan prosedur dalam user authorization ketika masuk menggunakan aplikasi tersebut dan juga verifikasi 2 step yang mensyaratkan user untuk memberikan PIN melalui nomer handphone yang telah didaftarkan. Test control perlu juga dilakukan oleh IT auditor untuk memastikan tidak ada duplicate transaction dan time difference yang kemungkinan timbul harus ada double check control dan verifikasi. Audit rutin atas proses yang ada dan juga patch update perlu dilakukan sebagai action /tindakan untuk continous monitoring and control.

5. IT auditor perlu memahami lingkungan hukum sistem informasi (information system legal environment) ;

a. Agar dapat mengerti impact atau pengaruh IT yang dinamis serta aturan aturan yang ada misalnya SoX (Sarbana Oxley) Act yang memberi landasan hukum (legal) bagi auditor dalam melaksanakan tugasnya. SoX Act timbul karena adanya skandal besar dalam dunia keuangan di Amerika Serikat oleh perusahaan Enron yang membuat kerugian besar bagi banyak pihak bahkan memicu krisis ekonomi dalam skala yang lebih luas sehingga memicu Kongres Amerika untuk membuat aturan yang lebih ketat dalam dunia bisnis dan keuangan di era tahun 2000 sampai 2002.

b. Memberi kekuatan hukum bagi manajemen untuk memberikan mandat bagi auditor dalam memeriksa sistem informasi yang ada.

c. Beberapa aturan dalam hukum masih memiliki pengecualian2 dan mungkin celah hukum (loopholes) yang harus dicermati oleh IT auditor.

The Sarbanes-Oxley Act SOX mensyaratkan bahwa organisasi harus memilih dan mengimplementasikan internal control framework yang sesuai (suitable internal control framework (p51) (Christopher Fox, 2006).

Dari gambar 1 di atas, dapat dilihat langkah-langkah dalam melakukan SoX compliance (kepatuhan terhadap SoX) dan hubungannya dengan value yang didapatkan sebuah organisasi. Disini dapat diambil kesimpulan bahwa dengan berhasilnya organisasi melakukan implementasi SoX compliance maka akan menambah nilai dari organisasi itu sendiri dari segi kepercayaan publik maupun bisnis dalam melakukan transaksi dengan organisasi tersebut. Pentingnya SoX compliance yang terkait erat dengan IT mendorong IT auditor menjadikan SoX compliance sebagai salah satu aspek hukum (legal environment aspect) yang harus dipelajari dan dimengerti.

Referensi

Christopher Fox, A. Z. (2006). https://na.theiia.org/Chapters/Pages/default.aspx. Retrieved from http://www.theiia.org: http://www.theiia.org/chapters/pubdocs/135/ITGI_Spreadsheet.pdf , [pdf] , (Diakses tanggal 29 Maret 2017)

Kessel, Paul van and Miller J Randall(Global EY team). (2013). http://www.ey.com/Publication/vwLUAssets/Ten_key_IT_considerations_for_internal_audit. Retrieved from http://www.ey.com: http://www.ey.com/Publication/vwLUAssets/Ten_key_IT_considerations_for_internal_audit/$FILE/Ten_key_IT_considerations_for_internal_audit.pdf, [pdf] , (Diakses tanggal 15 Maret 2017)

Razali, R. (2002). https://www.giac.org/paper/gsec/1799/overview-e-cash/103204. Retrieved from https://www.giac.org: https://www.giac.org/paper/gsec/1799/overview-e-cash/103204, [pdf] , (Diakses tanggal 27 Maret 2017)

Sandra Senft, F. G. (2009). Information Technology Control and Audit. Boca Raton: CRC.

Tommie Singleton, C. C. (2014). https://www.isaca.org/Journal/archives/2014/Volume-4/Pages/Beyond-the-IT-in-IT-Audit-Part-2. Retrieved from https://www.isaca.org: https://www.isaca.org/Journal/archives/2014/Volume-4/Pages/Beyond-the-IT-in-IT-Audit-Part-2.aspx, [pdf] , (Diakses tanggal 15 Maret 2017)