IT Audit: Nuts and Bolts

Halo, teman-teman semua.

Berhubungan dengan banyaknya peminat yang ingin bergabung ke dalam ITRA di EY, saya ingin mencoba menjawab pertanyaan yang sering dilontarkan ke saya: “IT audit ituh kerjaannya ngapain sich?”. Namun sebelum menjawab pertanyaan tersebut, saya ingin menjelaskan secara perlahan-lahan terlebih dahulu mengenai audit keuangan dan dilanjutkan dengan hubungannya ke IT audit. Semoga ilmu ini bermanfaat. 🙂

1. Audit, ya… Audit…

Kalian pasti sering kan melihat perusahaan yang di belakang namanya ada tulisan “Tbk.”? Kepanjangan dari tulisan itu adalah “Terbuka”, yang berarti perusahaan tersebut terdaftar di dalam Bursa Efek Indonesia dan dapat menjualkan sahamnya ke umum (atau biasa kita kenal juga dengan istilah “Go Public”). Nah, salah satu persyaratan bagi perusahaan tersebut untuk menjadi terbuka adalah untuk memiliki laporan keuangan yang telah diaudit dan memperoleh pendapatan Wajar Tanpa Pengecualian (WTP).

Kenapa laporan keuangan yang telah diaudit ini menjadi salah satu persyaratan yang penting? Kenapa tidak hanya laporan keuangan yang biasa saja? Coba kalo kalian pikirkan menjadi seorang pemegang saham atau investor. Kalian telah membeli sebagian saham dari sebuah perusahaan. Kalian berkepentingan dalam sebagian kepemilikan dari sebuah perusahaan tersebut. Dan pastinya, untung-rugi dan “kesehatan” finansial perusahaan tersebut merupakan informasi penting bagi kalian untuk mengambil keputusan dalam permainan saham kalian.

Namun, bagaimana caranya kalian mengetahui keadaan perusahaan tersebut, padahal kalian tidak sehari-hari berada di sana? Laporan keuangan adalah jawabannya. Dengan membaca laporan keuangan, para pemegang saham dapat mengetahui keadaan finansial dari perusahaan tempat kalian menanam saham.

Kemudian muncul pertanyaan berikutnya: Bagaimana kalian, sebagai shareholder, bisa percaya sepenuhnya dengan laporan keuangan yang diberikan perusahaan ini? Kan bisa saja perusahaan memalsukan laporan keuangannya agar tampak sehat? Di sinilah audit keuangan mengambil peran. Auditor, sebagai pihak ketiga yang independen, akan mengkaji kembali kondisi finansial perusahaan tersebut. Ini akan memastikan (walaupun tidak 100%) bahwa laporan keuangan yang dikeluarkan oleh perusahaan tersebut merefleksikan kondisi finansial di dalamnya.

But anyway, sebenarnya untuk menggunakan jasa auditor keuangan, perusahaan tersebut tidak harus terbuka. Boleh-boleh saja bagi sebuah perusahaan yang belum go public untuk menggunakan jasa auditor. Mungkin simply mereka ingin memastikan laporan keuangan mereka tidak salah saji.

Sampai di sini, semoga penjelasan mengenai audit keuangan dapat jelas tersampaikan. Dan mungkin kalau ada yang salah, bisa dibantu. 🙂

Kemudian, mari kita lanjut ke IT audit.

2. OK… Jadi, apa hubungannya yah sama IT audit?

Kalian pasti tahu kalau di jaman sekarang ini, sudah banyak perusahaan yang bisnisnya dibantu dengan berbagai macam teknologi. Dan dengan sistem terkomputerisasi tersebut, berbagai macam aktivitas perusahaan dapat dilakukan secara otomatis, seperti penjualan ke customer, pembelian dari vendor, posting journal entry, kalkulasi ini, perhitungan itu, dan bahkaaannn… pembuatan laporan keuangan.

Nah, ini menciptakan pertanyaan bagi auditor keuangan: Bagaimana saya dapat mengerti cara kerja dari sistem komputer di perusahaan ini? Apakah saya, dalam menjalankan proses audit saya, dapat mempercayai hasil dari sistem komputer perusahaan ini? Jika bisa, sampai sejauh manakah sistem ini bisa saya percaya?

DAN DI SINILAH! JRENG JRENG! IT AUDITOR COMES TO THE RESCUE!

IT auditor akan menggali ke dalam sistem IT perusahaan untuk mengevaluasi tingkat keamanan, kontrol, dan tingkat efisiensinya. Kemudian, hasil evaluasi ini akan diberikan kepada auditor keuangan untuk menentukan apakah mereka dapat mempercayai sistem komputer perusahaan tersebut dalam menjalankan aktivitas audit mereka.

Jika hasil dari IT audit menentukan bahwa sistem dalam perusahaan tersebut efektif (dapat dipercaya), maka kerja auditor keuangan akan lebih mudah dan lebih singkat. Mereka dapat menarik beberapa data langsung dari sistem. Jika hasil dari IT audit menyatakan tidak efektif, yaaa… mereka tidak bisa bergantung pada sistem dan sebagian besar pekerjaan harus dikerjakan manual… lol (untuk rinciannya seperti apa, jujur saya kurang tahu)

3. Penjelasannya masih agak abstrak degh… detail pekerjaannya IT audit itu seperti apa yah?

Secara garis besar, pekerjaan IT audit dibagi menjadi 4: IT General Control (ITGC), Application Control (AppCon), JE Testing (JET), dan Data Migration.

Sesuai dengan namanya, dalam ITGC, kita akan mengecek kontrol-kontrol umum dalam sistem komponen, proses, dan data di IT environment perusahaan. Ada 3 jenis kontrol yang dicek: Manage Changes (MC), Logical Access (LA), Other Procedures (OP).

1. MC: Kontrol dalam manajemen perubahan program. Apakah perusahaan tersebut memiliki prosedur-prosedur dalam melaksanakan perubahan program? Apakah ada dokumentasi perubahan program? Apakah perubahan program tersebut diotorisasi, disetujui, dan dites?
2. LA: Kontrol dalam akses ke aplikasi, data, dan infrastruktur. Bagaimana cara end user masuk ke dalam aplikasi? Apakah ada password policy yang dipatuhi? Bagaimana akses ke dalam server room? Prosedur apa yang harus dipatuhi untuk membuat user access baru?
3. OP: Kontrol lain-lain, seperti back-up, scheduled processing, dan problem management. Seberapa sering back-up data dilakukan? Bagaimana prosedur pelaporan masalah yang dihadapi end user? Apakah perusahaan memiliki BCP/DRP?

Berbeda dengan ITGC yang mengecek kontrol umum, dalam AppCon, kita mengecek kontrol spesifik dari aplikasi. Ada 3 kontrol yang diuji dalam AppCon, yaitu Financial Statement Closing Procedure (FSCP – atau bisa disebut juga FI), Purchase to Pay (PTP – atau bisa disebut juga MM), Order to Cash (OTC – atau bisa disebut juga SD). Jujur, saya masih kurang mengerti karena baru 1x mengerjakannya. Jadi, saya kurang berani untuk memberikan informasi yang terlalu banyak karena takut menyesatkan… lol

Sedangkan untuk JET, pekerjaan ini cukup gampang (tapi agak menyebalkan). Kita mengecek apakah journal entry selama periode audit sejalan dengan trial balance-nya. Contoh: periode audit interim perusahaan A adalah Januari 2013 – Oktober 2013. Maka JET akan mengecek apakah journal entry posting sepanjang Januari 2013 – Oktober 2013 nilainya akan sama dengan trial balance movement Januari 2013 – Oktober 2013.

Dan Data Migration tidak selalu dilakukan setiap kali audit. Data Migration hanya dilakukan jika perusahaan tersebut ada melakukan migrasi server dalam periode audit. Di sini, kita akan mengecek apakah saldo akhir di trial balance sebelum server migrasi senilai dengan saldo awal di trial balance setelah migrasi. Contoh: periode audit perusahaan A adalah Januari 2013 – Oktober 2013. Perusahaan A melakukan migrasi server di tanggal 1 Juni 2013, maka data migration testing akan dilakukan dengan mencocokkan nilai saldo akhir di trial balance tanggal 31 Mei 2013 dengan nilai saldo awal di trial balance pada tanggal 1 Juni 2013.

4. TOLOOONNNGGG! GUE MABOOOKKK! hiks… gu-gue mampu masuk IT audit gak yah?

TENANG, SAUDARA-SAUDARAAAA! Saya pas pertama kali masuk juga mengalami kepusingan yang sama. Dijelaskan berkali-kali sama senior pun hanya bisa menangkap a glimpse saja. Menurut saya pribadi, emang belajar IT audit paling efektif adalah learning by doing. Kalau belum nyemplung ke kolam, belum bisa berenang. Haha

Biasanya, kalau baru masuk, pekerjaan pertama yang akan diberikan adalah ITGC. Melalui ITGC juga, kita bisa belajar bagaimana proses IT audit berjalan. Kalau sudah berkali-kali melakukan ITGC, kita akan diberikan kesempatan untuk mengicip-icip AppCon. Tenang saja~ semua akan dipelajari secara perlahan-lahan. Hehe

5. Sampai sejauh ini, apa sich skill yang bisa didapet dari pekerjaan IT Auditor?

Yang menurut saya menarik dari pekerjaan IT auditor ini adalah saya mendapat kesempatan untuk melihat macam-macam proses bisnis di berbagai perusahaan dan bisa mempelajari juga bagaimana divisi IT-nya menyelesaikan masalahnya dengan sumber daya yang ada.

Dalam pekerjaan ini, kita juga belajar bagaimana kita bisa berhadapan dengan klien. Karena kita pasti akan sering bertemu untuk melakukan interview, data request, walkthrough, dan lain-lain. Yaaa… Belajar untuk berani bertemu orang haha.

-Kevin Tan-

Sistem Informasi 2009