School of Information Systems

PERAN AUDIT PADA IT OPERATION CONTROL

202009 Hendra Rianhart – 210179572

Saat ini pemanfaatan sistem informasi sudah merupakan salah satu hal yang mulai menjadi suatu kewajiban dalam mendukung aktivitas dan proses bisnis dari perusahaan/organisasi. Pemenuhan atas kebutuhan sistem informasi menyebabkan perkembangan sistem informasi bagitu pesat, sehingga dengan semakin pesatnya perkembangan sistem informasi tersebut harus disertai dengan pengendalian system informasi yang handal serta memadai. Pemanfaatan Teknologi Informasi sebagai pendukung pencapaian tujuan dan sasaran organisasi harus diimbangi dengan keefektifan dan efisiensi pengelolaannya. Maka dari itu, audit TI haruslah dilakukan untuk menjaga keamanan sistem informasi. Audit TI dapat didefinisikan sebagai bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh yang bertujuan untuk mengetahui apakah informasi yang dihasilkan dapat diakses oleh pihak-pihak yang berhak (Confidentiality), apakah informasi yang tersedia akurat, andal dan tepat waktu (Integrity) serta apakah ketersediaan informasi dapat dengan mudah tersedia setiap saat (Availability). Disamping ketiga hal tersebut audit digunakan untuk menvalidasi kepatuhan terhadap kebijakan, program dan prosedur terkait sistem informasi. Audit juga digunakan sebagai alat investigasi dalam mengumpulkan informasi dan menganalisis kondisi operasional saat ini. Dalam pelaksanaanya, seorang auditor TI akan mengumpulkan bukti yang cukup memadai melalui berbagai teknik baik yang bersifat survey, wawancara, observasi dan review dokumentasi dan biasanya mencakup bukti elektronik. Auditor TI menerapkan teknik audit dengan bantuan komputer, disebut sering disebut sebagai CAAT (Computer Aided Auditing Technique), dimana teknik ini digunakan untuk menganalisa data-data yang menjadi tujuan dari audit yang dilakukan.

Berkaitan dengan operation control secara umum terdapat dua jenis kontrol dalam pemanfaatan sistem informasi yakni Pengedalian Umum (General Control) dan Pengendalian Aplikasi (Application Control). General control berkaitan dengan seluruh aspek dalam fungsi IT termasuk di dalamnya administrasi IT, pemisahan wewenang IT, pengembangan sistem, keamanan sistem informasi (secara fisik maupun dalam jaringan, atas hardware, software dan terlebih lagi data), backup dan perencanaan kontinjensi dalam keadaan darurat, serta pengendalian hardware. Pada umumnya general-control diterapkan pada skala entitas. Sedangkan application control diterapkan pada pemrosesan transaksi, misalnya pengendalian pada pemrosesan aktivitas penjualan dan penerimaan kas. Dalam hal ini dalam proses pelaksanaan audit terkait operation control seorang auditor IT diwajibkan untuk melakukan verifikasi dan evaluasi atas application control atas setiap kelas transaksi maupun setiap akun yang akan dikurangi untuk risiko pengendalianya. Dengan demikian dapat disimpulkan bahwa effektifnya pelaksanaan application control bilamana pelaksanaan general kontrol dapat dilakukan dengan baik dan efektif. Sehingga dalam penulisan artikel ini hanya diulas terkait dengan pelaksanaan general control.

Menurut Commitee Of Sponsoring Organization (COSO) terdapat enam kategori dalam general control diterapkan dalam pengelolaan IT pada skala entitas. Dalam pelaksanaan audit, general control pada umumnya dievaluasi terlebih dahulu sebab pengaruhnya terhadap application control. Enam kategori dalam general control tersebut yakni sebagai berikut :

  1. Admistrasi Fungsi IT (Administration of the IT Function) Keputusan yang diambil oleh top management sangat berdampak pada pentingnya setiap penggunaan teknologi informasi dalam perusahaan/organisasi, sehingga semakin kompleknya ruang lingkup suatu organisasi/perusahaan harus didukung oleh tim IT/unit IT yang fokus untuk melakukan pemantauan dan kebutuhan teknologi perusahaan
  2. Pemisahan Wewenang IT (Separation Of IT Duties) Untuk memaksimalkan fungsi dan tugas tim IT maka perlu untuk dipisahkan fungsi besar yang melekat disetiap bagian yakni : IT Management, System Development dan Data Control
  3. Pengembangan System (System Development) Dalam proses pengembangan sistem informasi wajib untuk dilakukan pengujian (testing) baik dari aspek kerentanan (penetration test) maupun uji beban (stress test) dan yang paling penting adalah penyediaan dokumentasi
  4. Pengamanan Fisik dan Jaringan Online (Physical & Online Security) Proses pengendalian ini diperlukan untuk memitigasi atas setiap risiko dengan adanya perubahan yang tidak terotorisasi serta penggunaan data dan proram yang tidak semestinya
  5. Backup dan Rencana Contigency (Backup & Contigency Planning) Hal ini sudah merupakan suatu keharusan dalam proses pengunaan sistem informasi untuk mencegah terjadinya hilangnya data. Perusahaan dapat memanfaatkan Disaster Recovery Plan berupa off-site storage dalam sebuah Disaster Recovery Center baik yang disediakan sendiri maupun memanfaatkan jasa pihak ketiga
  6. Pengendalian Hardware (Hardware Controls) Pada proses ini Auditor, menfokuskan perhatian pada bagaimana incident-handling dijalankan oleh teknisi yang bersangkutan ketika terjadi erorr atau kegagalan system.

Dengan demikian dapat disimpulkan bahwa melalui IT Control auditor dapat memastikan bahwa system informasi yang digunakan perusahaan dapat berjalan dengan baik dan andal yang mencakup tiga kategory security yakni Confidentiality, Intengrity & Availability (CIA) sehingga system informasi tersebut dapat membantu perusahaan/organisasi dalam mencapai tujuan bisnis sebagaimana yang telah ditetapkan dalam visi dan misinya

Evelyn Meilinda; Richard Win Putra