1.1 Definisi Audit Teknologi Sistem Informasi
Teknologi
Informasi (TI) merupakan karakteristik umum secara virtual semua organisasi
modern. Organisasi mengandalkan informasi dan proses dan memungkinkan teknologi
yang dibutuhkan untuk menggunakan dan mengelola informasi secara efektif. TI sangat
penting untuk organisasi kesuksesan, efisiensi operasi, daya saing, dan bahkan
kelangsungan hidup, membuat keharusan kebutuhan organisasi untuk memastikan
penggunaan TI yang benar dan efektif. Di dalam konteksnya, penting bahwa sumber
daya dialokasikan secara efisien, agar TI berfungsi di a tingkat kinerja dan
kualitas yang memadai untuk mendukung bisnis secara efektif, dan bahwa aset
informasi diamankan secara memadai sesuai dengan toleransi risiko organisasi.
Audit
Teknologi Sistem Informasi itu berbeda dengan mengaudit catatan keuangan,
operasi umum, atau proses bisnis. Namun, masing-masing disiplin audit ini
memiliki dasar yang sama dari prinsip audit, standar praktik, serta proses dan
aktivitas tingkat tinggi. Oleh karena itu, Audit Teknologi Sistem Informasi
merupakan komponen besar yang dibutuhkan oleh proses audit lainnya seperti
gambar berikut:
Gambar 1.1.1 Ilustrasi Konsep
Audit
sering didefinisikan sebagai pemeriksaan, inspeksi, atau peninjauan independen.
Sementara istilah tersebut berlaku untuk evaluasi dari banyak subjek yang
berbeda, yang paling sering penggunaan sehubungan dengan pemeriksaan laporan
keuangan organisasi atau akun. Berbeda dengan definisi kamus konvensional dan
fokus pada sumber konotasi akuntansi audit, definisi yang digunakan oleh
standar audit cakupan luas badan dan dalam konteks audit TI tidak membatasi
atau menganggap subjek dimana audit diterapkan.
1.2 Jenis-Jenis Audit dan Ruang Lingkup Audit Teknologi Sistem Informasi
Audit
Teknologi Sistem Informasi memiliki peran dalam audit keuangan, operasional,
sertifikasi, dan kepatuhan, tetapi juga merupakan domain audit khusus itu
sendiri, dengan fokus pada aset, proses, dan kontrol khusus Teknologi Sistem
Informasi. Diantara jenis utama audit yang biasanya mencakup sistem teknologi
informasi, proses, dan kontrol terkait adalah audit keuangan, audit
operasional, compliance auditing dan sertifikasi.
Tabel 1.2.1 Lingkup Keseluruhan Jenis Audit
1.2.1 Audit Keuangan (Financial)
Audit
keuangan terutama membahas praktik akuntansi dan kepatuhan persyaratan
pelaporan keuangan dari berbagai jenis organisasi, khususnya perusahaan yang
menerbitkan sekuritas untuk dipertukarkan di pasar publik dan swasta organisasi
yang diselenggarakan atau nonprofit tunduk pada persyaratan hukum atau
peraturan tentang manajemen keuangan. Jenis audit ini telah lama difokuskan
tidak hanya pada informasi keuangan apa yang dicatat dan dilaporkan oleh
organisasi, tetapi juga bagaimana organisasi menjaga kelengkapan, keakuratan,
dan integritas informasi tersebut.
1.2.2 Audit Operasional (Operational)
Audit operasional memeriksa praktik
manajemen dan proses serta prosedur operasional untuk menentukan seberapa
efektif atau efisien organisasi memenuhi tujuan mereka. Analisis tersebut
mengasumsikan bahwa organisasi telah secara eksplisit menyatakan tujuan bisnis,
telah mengembangkan inventaris proses bisnis dan mendukung fungsi administratif
dan teknis, dan telah menyelaraskan aktivitas operasional mereka dengan tujuan
yang ingin mereka capai.
1.2.3 Audit Sertifikasi (Certification)
Audit
sertifikasi adalah evaluasi formal dari satu atau beberapa aspek kemampuan
operasional organisasi terhadap persyaratan eksplisit yang terkait dengan
standar atau metodologi yang ditetapkan secara eksternal. Mendapatkan
sertifikasi memberikan dukungan eksternal bahwa organisasi memenuhi kriteria
yang ditentukan untuk standar tertentu. Keberhasilan memperoleh sertifikasi
bukan merupakan indikasi bahwa suatu organisasi berkinerja secara optimal atau
dengan cara yang lebih tinggi dari organisasi lain; sebaliknya, sertifikasi
merupakan bentuk jaminan independen bahwa organisasi memenuhi setidaknya
serangkaian persyaratan minimum. Sebagian besar sertifikasi harus diberikan
oleh badan sertifikasi resmi di luar organisasi yang mencari sertifikasi, yang
berarti audit sertifikasi biasanya dilakukan oleh auditor eksternal.
1.2.4 Audit Kepatuhan (Compliance)
Audit
kepatuhan terdiri dari berbagai pemeriksaan yang didorong secara eksternal dan
internal atas pemenuhan persyaratan hukum atau peraturan organisasi, standar
industri, persyaratan lisensi, komitmen kontrak, atau kewajiban formal lainnya.
Audit kepatuhan secara konseptual tumpang tindih dengan audit keuangan,
operasional, dan sertifikasi dalam arti bahwa jenis audit tersebut sering
membahas standar, praktik, atau ketentuan hukum yang merupakan persyaratan
wajib bagi organisasi. Sebagai sebuah kategori, audit kepatuhan berlaku lebih
luas daripada jenis lainnya dalam hal siapa yang melakukan audit tersebut,
tujuan untuk melakukan audit kepatuhan, dan elemen organisasi atau bidang
subjek yang menyediakan ruang lingkup untuk audit tersebut. Audit kepatuhan
yang didorong oleh kebutuhan untuk menunjukkan kepatuhan terhadap ketentuan
atau peraturan hukum (termasuk yang dilakukan sebagai bagian dari penyelidikan
formal) paling sering dilakukan oleh auditor eksternal.
1.2.4 Audit Spesifik IT (IT-specific)
Audit TI memiliki peran penting dalam
setiap jenis audit yang dijelaskan sejauh ini dalam bab ini, tetapi ada audit
tambahan yang secara eksplisit berfokus pada berbagai aspek TI. Banyak audit TI
dimaksudkan untuk mencapai hasil yang serupa dengan yang diantisipasi dari
jenis audit lain, termasuk menunjukkan kepatuhan atau mencapai sertifikasi
terhadap standar tertentu. Efektivitas dan efisiensi organisasi yang menerapkan
dan melaksanakan proses TI sering dinyatakan dalam istilah kematangan proses,
ukuran relatif dari seberapa baik proses didefinisikan, didokumentasikan,
diterapkan, dan dioptimalkan untuk digunakan dalam organisasi.
1.3 Jenis-Jenis Kontrol dan Audit Teknologi Sistem Informasi
Di antara elemen-elemen berbeda yang
tunduk pada audit, operasi bisnis, aset TI, dan sumber daya pendukung merupakan
kemampuan fungsional organisasi, sedangkan kontrol atas kapabilitas tersebut
mencakup struktur manajemen, proses dan prosedur, dan tindakan teknis yang
memberikan efisiensi dan efektivitas operasional, kepatuhan, keandalan , dan
jaminan.
1.3.1 Kontrol Kategorisasi
Organisasi biasanya mempertahankan
sejumlah besar dan variasi kontrol yang luas dan memilih kontrol tersebut dari
kontrol kandidat yang sama luasnya atau lebih luas yang dipertimbangkan untuk
diterapkan. Seperti halnya item dalam dunia audit dapat diatur atau
dikategorikan dalam berbagai cara, banyak pendekatan kategorisasi kontrol yang
berbeda digunakan dalam kerangka kerja, metodologi, dan panduan yang tersedia.
Skema pengorganisasian umum untuk pengendalian mencakup yang didasarkan pada
tujuan, sasaran, fungsi, sifat implementasi, atau tingkat penerapan dalam
organisasi. Kategorisasi kontrol terutama dimaksudkan untuk memperkenalkan
konsistensi dalam cara kontrol dirujuk dan diterapkan dalam konteks yang
berbeda dan untuk tujuan yang berbeda.
Tabel 1.3.1 Pendekatan Kontrol Kategorisasi
1.3.2 Kontrol Organisasi
Kontrol organisasi dipilih dan
diterapkan sekali dengan penerapan di seluruh perusahaan. Pengendalian tingkat
entitas penting sebagai area fokus untuk audit internal dan eksternal karena
mereka menyediakan dasar untuk bagaimana organisasi mengelola fungsi yang
didukung pengendalian. Pengendalian tingkat entitas juga digabungkan dengan
referensi ke dalam banyak jenis audit yang dilakukan di tingkat lain dalam
organisasi, karena unit bisnis, program dan proyek, dan aset teknologi semuanya
memanfaatkan berbagai jenis pengendalian tingkat entitas.
Efektivitas
pengendalian tingkat entitas sebagian tergantung pada sejauh mana organisasi
menetapkan otoritas pengendalian dan menerapkan setiap pengendalian dengan cara
yang meliputi seluruh organisasi. Dari perspektif ini, audit pengendalian
tingkat entitas pada dasarnya memeriksa manajemen organisasi dan kemampuan tata
kelola, termasuk struktur organisasi, keselarasan tujuan bisnis dan TI, serta
keberadaan dan penggunaan kegiatan dan artefak perencanaan strategis dan
operasional. Elemen kontrol ini membantu memastikan bahwa kontrol yang
ditentukan organisasi dalam kebijakan benar-benar diterapkan dan digunakan
untuk mendukung pencapaian tujuan kontrol organisasi.
DAFTAR PUSTAKA
Gantz, Stephen. 2013. The
Basics of IT Audit Purposes, Processes, and Practical Information, 1st
Edition, Syngress, Elsevier.