Menelusuri Pentingnya Audit IT di Era Serba Digital

Sudah berapa banyak transaksi yang Anda lakukan dalam setahun ke belakang ini menggunakan e-cash, baik untuk belanja maupun bertransaksi di e-commerce dan bahkan di jalanan. Melihat dunia digital yang semakin menjadi-jadi, maka posisi IT – pun bergeser dari support menuju enabler sebuah proses bisnis, bahkan zaman sekarang IT menjadi core business banyak perusahaan start up.

Dunia digital tidak hanya melahirkan peluang dan dan manfaat besar bagi publik dan kepentingan bisnis. Hal ini juga berimplikasi pada risiko kesinambungan usaha dan kredibilitas organisasi.

Di era revolusi industri 4.0, peran kontrol dan audit teknologi menjadi semakin krusial. Audit Teknologi tidak dimaksudkan untuk mencari perkembangan kesalahan, namun suatu upaya perbaikan melalui proses sistematis untuk memperoleh bukti secara obyektif terhadap aset teknologi dengan tujuan untuk menetapkan tingkat kesesuaian antara teknologi dengan kriteria dan/atau standar yang telah ditetapkan.

Objective dari sebuah Audit TI adalah melakukan assessment terhadap efektifitas, efisiensi, dan ekonomis tidaknya pengelolaan sistem informasi suatu organisasi. Tujuan Audit Sistem Informasi dapat dikelompokkan ke dalam dua aspek utama, yaitu:

a) Conformance (Kesesuaian) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk   memperoleh kesimpulan atas aspek kesesuaian, yaitu :

  1. Confidentiality (Kerahasiaan)
  2. Integrity (Integritas)
  3. Availability (Ketersediaan) dan
  4. Compliance (Kepatuhan).

audit it

b) Performance (Kinerja) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu : Effectiveness (Efektifitas), Efficiency (Efisiensi), Reliability (Kehandalan).

Teknologi informasi dalam sektor penyelenggara sistem dan transaksi elektronik sangat rentan pada berbagai ancaman, misalnya virus, serangan hacking pada kegagalan sistem sehingga menyebabkab proses bisnis dapat tidak berjalan dengan baik. Oleh karena itu, penyelengggaraan sistem dan transaksi elektronik harus dilindungi agar resiko fungsional tidak menjadi rusak.

Cakupan atau area yang terlibat dalam proses Audit Teknologi Informasi ini terdiri dari:

    1.  Organizational IT Audits (Management Control over IT)
      audit itTeknologi informasi sering dilibatkan penerapannya dalam area manajerial bisnis organisasi. Hal ini dapat terlihat dari segala bentuk keputusan yang diambil melalui kewenangan dan tanggung jawab dari masing-masing pihak manajemen.
    2. Technical IT Audits (Infrastructure, Data Centers, Data Communication)
      audit itProses audit TI ini sering dilakukan di departemen atau area fungsional bagian IT organisasi karena departemen tersebut berperan dalam memberikan pengetahuan dan pengalaman bagi sumebr daya manusia organisasi yang menggunakan TI tersebut. Selain itu, departemen IT juga bertanggung jawab terhadap komponen hardware maupun software yang dimiliki organisasi serta memastikan tingkat keamanan informasi yang sudah disimpan dalam database organisasi sehingga kerahasiaan tetap terjaga dalam organisasi dan pihak eksternal tidak mengetahui informasi penting tersebut.
    3. Application IT Audits (Business/ Financial/ Operational)Audit TI dilakukan dalam masing-masing area pentinya auditoperasional maupun keseluruhan departemen fungsional organisasi dimulai dari cara penggunaan TI oleh masing-masing user/ pengguna sistem yang berlaku sebagai karyawan organisasi. Selain itu, berbagai bentuk aplikasi yang sering digunakan organisasi dalam meningkatkan pendapatan sehingga pengukuran nilai finansial bertambah, nilai bisnis dan strategi yang akan diimplementasikan juga berhasil dilakukan dengan dukungan TI, daya jual atau proses bisnis sebagai aktivitas operasional organisasi berjalan secara efektif dan efisien.
    4. Development/ Implementation IT Audits (Specification/ Requirements, Design, Development, and Postimplementation Phases)

      Proses audit TI ini juga dilakukan dalam area ini dimana organisasi melakukan evaluasi terhadap teknologi informasi yang terlibat selama proses pengembangan produk-produk tertentu organisasi (seperti: produk dan layanan yang dijual ke pihak eksternal organisasi, komponen hardware maupun software yang dikembangkan lebih lanjut untuk mengikuti trend, dan aspek-aspek lainnya. Proses audit ini juga sering dilakukan dalam ruang lingkup proyek sehingga menghasilkan produk TI yang tetap terjaga kualitasnya dan menggunakan prinsip meminimalisasikan biaya tetapi memaksimalisasikan keuntungan/ profit.
    5. Compliances IT Audits

      Proses audit TI yang dilakukan dalam setiap area organisasi harus mampu memeuhi standard-standard audit TI yang sudah berskala internasional. Baik pihak internal maupun pihak eksternal organisasi harus mampu mengikuti trend yang ditawarkan lewat standard tersebut yang kemudian diselaraskan kembali dengan kebijakan organisasi terkait peran dan tanggung jawab terhadap TI. Saat ini banyak standard yang dikeluarkan untuk audit TI tersebut, seperti COBIT, ITIL, dan lain-lain untuk memastikan bahwa teknologi informasi yang diterapkan sudah memadai dan layak untuk digunakan atau dikembangkan lebih lanjut atau tidak. IT Governance Indonesia tentu dapat membantu para professional untuk mendalami standard-standard ini melalui pelatihan dan sertifikasi personal serta melakukan proses audit ekternal dengan standard global yang ada

Walaupun  tidak ada yang dapat menjamin secara penuh keamanan sistem, kita dapat membentuk dan mengimplementasikan kebijakan atau prosedur sebagai keluaran dari proses audit untuk keamanan komputer yang lebih baik, seperti

      1. Identifikasi fitur keamanan yang diperlukan
      2. Mendefinisikan ekspektasi yang realistis terhadap privasi terkait masalah seperti pengawasan aktivitas orang-orang
      3. Mendefinisikan hak akses dan hak istimewa dan melindungi aset dari kerugian, pengungkapan, atau kerusakan dengan memberikan panduan penggunaan yang dapat diterima bagi pengguna dan juga menyediakan panduan untuk komunikasi eksternal (jaringan)
      4. Mendefinisikan tanggung jawab semua pengguna
      5. Membangun kepercayaan melalui kebijakan kata sandi yang efektif
      6. Menyebutkan prosedur pemulihan (recovery)
      7. Meminta pelanggaran dicatat
      8. Menyediakan informasi dukungan kepada pengguna

Kebijakan keamanan komputer yang baik akan berbeda untuk setiap organisasi, perusahaan, atau individu tergantung pada kebutuhan keamanan, meskipun kebijakan tersebut tidak dapat menjamin keamanan sistem atau jaringan terhadap kemungkinan serangan dan ancaman. Dengan adanya implementasi kebijakan, dibantu oleh produk keamanan yang bagus dan rencana pemulihan, mungkin kerugian yang ditimbulkan dapat diterima dan kebocoran informasi pribadi dapat diminimalkan.

Bagaimana dengan organisasi dengan jutaan transaksi yang mengembangkan  sistem pembayaran elektronik sendiri untuk dapat mengatasi kekhawatiran konsumen terkait keamanan dan privasi atas pembayaran yang dilakukan melalui internet. Area yang menjadi perhatian dalam E-commerce adalah kerahasiaan, integritas, non repudiation (jaminan bahwa seseorang tidak dapat menyangkal melakukan sesuatu yang memang dia lakukan), dan autentikasi (proses menentukan apakah seseorang memang faktanya merupakan orang yang dia sebut). Cara-cara yang dipakai untuk menjawab masalah di atas adalah melalui enkripsi, kriptografi, dan keterlibatan pihak ketiga untuk secara rutin melakukan audit teknologi informasi, penerapan standar manajemen dan pengembangan tata kelola IT di perusahaan.

Referensi:
https://yudhistiranugraha.wordpress.com/2012/05/31/pentingnya-audit-teknologi-informasi/
Weber, Ron. (1999). Information Systems Control and Audit. Prentice-Hall, Inc., New Jersey.
Senft, Sandra. Information Technology Control and Audit.
https://nusantaranews.co/

 

Bagikan:

Menu

[yikes-mailchimp form=”2″]

Open chat