AUDIT TEKNOLOGI INFORMASI

Perkembangan teknologi kian meroket, keamanan perlu dirancang untuk melindungi aset.

Definisi IT Audit

Audit menurut Arens dkk (2015:2) adalah pengumpulan dan evaluasi bukti mengenai informasi untuk menentukan dan melaporkan derajat kesesuaian antara informasi tersebut dan kriteria yang ditetapkan. Audit harus dilakukan oleh orang yang kompeten dan independen.

IT Audit adalah pemeriksaan  secara sistematis dan independen terhadap IT infrastruktur, kebijakan, dan IT operation suatu organisasi untuk memastikan bahwa aset dan data organisasi telah terlindungi dengan baik dan sudah sejalan dengan tujuan organisasi.

Regulasi

  • Peraturan OJK No. 56/POJK.04/2015 Tentang Pembentukan dan Pedoman Penyusunan Piagam Unit Audit Internal ( yang sebelumnya berdasarkan SK ketua Bapepam “BAPEPAM IX.I.7 Kep-496/BL/2008”).
  • Peraturan OJK No. 1/POJK.03/2019 Tentang Penerapan Fungsi Audit Intern Pada Bank Umum
  • Undang-Undang No. 19 Tahun 2003 Tentang Badan Usaha Milik Negara
  • Undang-undang No. 19 Tahun 2016  Tentang Perubahan Atas Undang-Undang Nomor 11 Tahun 2008 Tentang Informasi Dan Transaksi Elektronik

IT Audit Framework

IT Audit framework terdiri dari 3 standard yaitu general standard, performance standard dan reporting standard.

General Standard

Standard terkait pedoman umum profesi assurance. Standard ini mengatur semua terkait dengan penugasan audit, IT Auditor ethics, independen, objektivitas, dan menjaga kualitas dari skill dan kompetensi.

  • 1001 : Audit Charter (Piagam Audit)
    • Dokumen piagam audit yang harus disusun dan disetujui oleh Dewan Direksi dan Dewan Komisaris yang menjadi acuan utama IT Audit di organisasi. Contoh Piagam Audit
    • Audit charter berisi minimal:
      1. Visi dan misi organisasi audit
      2. Kepatuhan terhadap standard
      3. Struktur dan kedudukan
      4. Kriteria dan syarat menjadi IT Auditor
      5. Otoritas dan wewenang fungsi audit
      6. Independence dan objektivitas
      7. Peran dan tanggung jawab
      8. Laporan audit internal dan tindak lanjut atas rekomendasi
      9. Peningkatan kualitas dan pertanggungjawaban audit
      10. Review atas dokumen audit charter
      11. Halaman approval audit charter oleh Dewan Direksi dan Dewan Komisaris

Dalam audit charter terdapat 3 pembahasan yaitu:

      • Purpose
        • Independen, Objective dalam melakukan Assurance dan Konsultasi
        • Mendukung tujuan organisasi
        • Membantu apakah Governance, Manajemen risiko dan pengendaliannya telah berjalan baik
        • Mengkomunikasikan kesempatan untuk perbaikan di tata kelola
        • Menambah nilai dan improvement bagi organisasi
      • Authority
        • Melakukan akses keseluruh data Perusahaan dan Asset​
        • Menjaga Hak Open Akses tersebut
        • Mengamakan Informasi Internal dan Eksternal
      • Responsibility
        • Mendokumentasikan Kertas KerjaAudit​
        • Memastikan seluruh staff memiliki kemampuan, skill dan pengalaman yang menunjang profesi
        • Laporan Internal Audit diinformasikan kepada Board dan pihak terkait
        • Melakuan kordinasi dengan pemeriksa Eksternal
        • Jangan melakukan tugas Manajemen dalam mengelola risiko

Dua jenis services IT Audit dalam organisasi, yaitu:

      • Assurance Services
      • Layanan untuk melakukan pemeriksaan secara independen dan objektif yang bertujuan untuk melihat kecukupan kontrol atassuatu proses
      • Advisory/Consulting Services
      • Layanan konsultasi mengenai bisnis, dimana process owner meminta masukan berupa rekomendasi atas suatu proses. Rekomendasi dari tim audit bukanmerupakan suatu hal yang harus dilakukan, dan sifatnya hanya sebagai masukan

Kode etik IT Auditor

      • Integritas, Integritas auditor memberikan assurance dan oleh karenanya menjadi dasar kepercayaanterhadap pertimbangan auditor.
        • Bekerja dengan kejujuran, ketekunan, tanggung jawab.​
        • Perhatikan hukum; membuat pengungkapan yang diharapkan oleh hukum dan profesi.​
        • Hindari tindakan ilegal/mendiskreditkan.​
        • Menghormati dan berkontribusi pada tujuan organisasi yang sah dan etis.​
      • Objektivitas, Auditor menunjukkan objektivitas profesional pada level tertinggi dalam memperoleh, mengevaluasi, dan mengkomunikasikan informasitentang aktivitasdan informasi yang diuji
        • Hindari tindakan atau hubungan yang dapat merusak penilaian yang tidak memihak, termasuk konflik dengan kepentingan organisasi.​
        • Tidak menerima apa pun yang dapat mengganggu penilaian profesional.​
        • Mengungkapkan semua fakta material yang jika tidak di ungkapkan, dapat mendistorsi pelaporan
      • Kerahasiaan, Auditor menghormati nilai dan kepemilikaninformasi yang diterima dan tidak mengungkap informasitersebuttanpa kewenangan yang sah. Kecuali diharuskan oleh hubum dan profesi
        • Berhati-hatilah dalam menggunakan dan melindungi informasi yang diperoleh selama menjalankan tugas.​
        • Jangan menggunakan informasi untuk keuntungan pribadi atau dengan cara yang bertentangan dengan hukum atau untuk merugikan tujuan organisasi yang sah dan etis.
      • Kompetensi, Auditor internal menerapkan pengetahuan, kecakapan, dam pengalaman yang diperlukan dalammemberikan jasa assurance
        • Terlibat hanya dalam layanan di mana mereka memiliki pengetahuan, keterampilan, dan pengalaman.​
        • Melakukan layanan audit internal sesuai dengan Standar.​
        • Terus meningkatkan kemahiran dan efektivitas dan kualitas layanan.
  • 1002 : Organizational Independence 
    • IT Audit harus bebas dari konflik kepentingan dan bebas dari pengaruh dari siapapun terkait dengan penugasan IT Audit. Independen dapat dilakukan dengan:
      • Secara struktur organisasi harus melapor kepada tingkat tertinggi di organisasi (baik kepada Dewan Direktur dan Dewan Komisaris)
      • Dapat akses tidak terbatas kepada pimpinan tertinggi
      • Melakukan pelaporan administrasi kepada Dewan Direktur dan juga Dewan Komisaris mengenai penugasan, budget, kebutuhan tenaga kerja, dan lain-lain
  • 1003 : Auditor Objectivity
    • IT Audit harus objektif dalam segala hal terkait dengan semua penugasan audit. Dalam hal ini auditor tidak memihak dalam mempertimbangkan data dan mengambil keputusan
  • 1004 : Reasonable Expectation
    • Ekspektasi yang diharapkan harus disesuaikan dengan resource yang ada sesuai dengan standard atau regulasi yang dipakai akan berpengaruh kepada opini yang dihasilkan
  • 1005 : Due Professional Care
    • IT Auditor harus dapat selalu menjaga kualitas dari skill dan kompetensinya melalui pembelajaran terus menerus agar selalu relevan dengan perkembangan zaman.
    • Due professional care antara lain:
      • Professional Skepticism and Competency. Professional skepticism, artinya selalu bertanya, tidak mudah percayaatasinformasi dan evidence yang masuk, validasi,  recheck, dan pastikan kebenaran informasi yang masuk. Competency merupakan gabungan dari pengetahuan dan skill, dimana melalui pengetahuan misalnya pengetahuan bagaimana cara mengaudit, selanjutnya skill yang dimiliki yaitu bagaimana cara berkomunikasi dan melakukan analisis data, selanjutnya akan tercipta kompetensi.
      • Application, Auditor IT dapat mengaplikasikan kemahiran profesional pada semua bagian proses audit.
      • Lifecycle of the Engagement, artinya merencanakan penugasan audit secara lengkap dari awal sampai akhir, menyesuaikan dengan resource yang ada.
      • Communication, artinya mengkomunikasikan semua informasiterkait dengan penugasan kepada semua pihak terkait, termasuk dalam menyusun opini audit
      • Obtaining and Managing Information, artinya menjaga kerahasiaan dan privasi atas data yang didapatkan kecuali untuk kepentingan hukum
  • 1006 : Proficiency (Kecakapan/Kemahiran)
    • IT Auditor harus memiliki skill dan kompetensi yang relevan dan dibutuhkan untuk mengerjakan suatu penugasan audit
  • 1007 : Assertions
    • IT Auditor harus dapat melakukan penilaian terhadap asersi (pendapat management) apakah valid dan cukup pada sebuah penugasan audit
  • 1008 : Criteria
    • Auditor harus menentukan kriteria sukses pada sebuah pemeriksaan, seperti objektif, kelengkapan, reliable, cara mengukur, dll yang sudah dikenal luas.

Performance Standard

Standard terkait menjalankan sebuah penugasan IT Audit, dimulai dari planning, scope, risiko dan materialitas, pengaturan resource, supervisi saat penugasan, serta evidence audit.

  • 1201 : Risk Assessment in Planning
    • Sebelum penugasan, harus dilakukan dulu risk assessment untuk menilai tingkat risiko atas suatu objek audit
  • 1202 : Audit Schedulling
    • Organisasi IT Audit harus menjalankan sebuah strategic plan untuk menentukan schedule penugasan jangka pendek (setahun ke depan) dan jangka panjang
  • 1203 : Engangement Planning
    • Sebelum penugasan audit dimulai, harus direncanakan mengenai area yang diaudit, scope, objektif, resources, timeline, deliverable, dokumentasi dan reporting, dll
  • 1204 : Performance & Supervision
    • IT Auditor harus melakukan pemeriksaan terhadap item-item yang sudah disetujui di awal dan memastikan penugasan tersebut direview dengan baik
  • 1205 : Evidence
    • IT Auditor harus memiliki bukti-bukti audit yang cukup sebelum dapat menarik kesimpulan atas objek yang diauditnya
  • 1206 : Using the Work of Other Expert
    • Dalam kondisi tertentu, eksternal auditor dapat dilibatkan dalam melakukan suatu penugasan audit. Harus diatur bagaimana tim eksternal dipilih sampai dengan mengikuti penugasannya.
      sangat memungkinkan untuk menggunakan jasa IT Auditor dari pihak eksternal.

Penggunaan Auditor dari pihak luar disebabkan oleh:

      • Staf auditor yang terbatas
      • Auditor yang ada tidak memiliki kompetensi dari objek yang akan dilakukan pemeriksaan
      • Penugasan audit yang tidak bersifat rutin dan hanya insidentil saja

Skema Penggunaan Auditor Ekternal:

      • In-house auditing, artinya menggunakan tim internal dari organisasi
      • Co-sourcing, artinya kombinasi dari tim yang ada di organisasi dengan External Resource terutama untuk skill yang tidak tersedia di organisasi
      • Total out-sourcing, pengambilan auditor 100% dari pihak luar
      • Subcontracting​ (staff augmentation)​, Hanya melakukan External staffing untuk satu atau beberapa penugasan saja
      • Secondment​ (guest auditor)​, meminjam tenaga kerja dari Divisi lain di organisasi kita untuk menjadi Auditorsementara di Divisi kita.

Berikut hal yang harus diatur dalam menggunakan jasa IT Auditor dari eksternal:

      • Skema yang dibutuhkan, menyesuaikan dengan kondisi organisasi
      • Pembagian tugas antara pihak internal dengan eksternal, beserta kewenangannya
      • Proses pengadaannya, berupa: kriteria auditor yang dibutuhkan, budget yang dimiliki, siapa yang harus melakukan approval pengadaan ini, berapa lama jasa auditor dari eksternal akan dipakai.

Keuntungan penggunaan Auditor eksternal

      • Memberikan fleksibilitas sumber daya internal
      • Dapat meningkatkan efisiensi dan efektivitas
      • Dapat memperluas cakupan
      • Dapat meningkatkan kualitas dan/atau ketepatan waktu
      • Memberikan keahlian tambahan

Kekurangan penggunaan Auditor eksternal

      • Bisa lebih mahal
      • Hilangnya kemampuan dan keahlian internal
      • Dapat merusak moral
      • Memerlukan tanggung jawab aktif, pengawasan, dan koordinasi
      • Dapat meningkatkan masalah privasi dan kerahasiaan
      • Dapat merusak jalur karier
  • 1207 : Irregularities and Illegal Acts
    • Apabila ada hal yang tidak biasa dan ilegal, maka IT Auditor harus melaporkan hal ini ke pihak yang berwenang dalam suatu tempo waktu

Reporting Standard

Standard terkait pelaporan penugasan IT Audit, mengenai jenis report, cara mengkomunikasikan report dan juga informasi apa saja yang disampaikan.

  • 1401 : Reporting
    • IT Auditor harus melaporkan dan mengkomunikasikan seluruh hasil penugasan audit kepada pihak terkait dan didukung dengan bukti-bukti audit yang cukup
  • 1402 : Follow-up Activities
    • Setiap rekomendasi audit yang dibuat harus ditindaklanjuti penyelesaiannya dalam jangka waktu tertentu

Prinsip-Prinsip ITAF (IT Audit Framework)

  • IT Auditor dapat menunjukkan integritas
  • Menunjukkan bahwa IT Auditor harus independen dan objektif
  • Penugasan yang dilakukan harus sesuai dengan ekspektasi terkait dengan resource yang dimiliki
  • IT Auditor harus selalu dapat menjaga kualitas skill dan knowledge dengan pembelajaran terus menerus
  • Penugasan dilakukan berdasarkan risiko tertinggi (risk based) yang sudah dikuantifikasi
  • Selaras dengan tujuan organisasi
  • Komunikasi efektif mengenai kepada semua pihak

 

 

Daftar Pustaka

Aulia, M. Rizky. Materi Certified Professional IT Auditor (CPITA). Ruangpelatihan.com

 

 

 

 

 

 

 

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *