LAPORAN IT AUDIT

Prinsip Laporan Audit

            Hasil Laporan audit merupakan media yang dipakai oleh auditor dalam berkomunikasi dengan klien. Laporan audit berupa komunikasi dan ekspresi auditor terhadap objek yang diaudit agar laporan atau ekspresi auditor tadi dapat dimengerti maka laporan itu harus mampu dipahami oleh penggunanya. Laporan audit seharusnya merupakan alat komunikasi yang efektif dan mempunyai dampak psikologis (positif maupun negatif) bagi auditor maupun auditee, terutama individu yang terlibat. Jika suatu rekomendasi tidak ditindaklanjuti oleh auditee atau pihak lain yang terkait, maka hal tersebut berarti komunikasi tertulis yang dilakukan oleh auditor tidak efektif

Laporan audit TI ini terdiri dari:

1.  Maksud dan tujuan dari review pengendalian terhadap penerapan TI di klien.

2.  Ruang lingkup dan referensi pengendalian yang digunakan sebagai bahan acuan penilaian pengendalian TI yang diterapkan dalam klien.

3.  Metodologi review merupakan langkah-langkah audit dan teknik pemerolehan informasi untuk mendukung laporan review.

4.  Pernyataan penjelasan hasil review:

a.    Permasalahan, menjelaskan pokok masalah yang saat ini dihadapi oleh klien.

b.    Temuan, menjelaskan bukti audit untuk mendukung kesimpulan masalah.

c.    Kriteria/standar, menjelaskan pengendalian yang seharusnya diterapkan oleh klien.

d.   Kondisi, menjelaskan sebab dan akibat serta aktifitas/kegiatan terkini.

e.    Risiko, menjelaskan potensi dan dampak negatif terhadap hilangnya atau tidak diterapkannya pengendalian.

f.    Tanggapan manajemen, menjelaskan komentar dan tanggapan manajemen terhadap permasalahan dan temuan yang telah disampaikan.

g.  Rekomendasi, menjelaskan saran-saran perbaikan dan implementasi penge pengendalian yang harus diterapkan dalam kegiatan/aktifitas klien.

Pentingnya suatu temuan dan rekomendasi bagi pembaca sebagian besar tergantung dari lingkup penerapannya serta konsekuensi-konsekuensi praktis darinya (baik yang telah atau mungkin akan terjadi). Karena itu penting bagi auditor untuk mengetengahkan keuntungankeuntungan praktis dari rekomendasinya dan merancang rekomendasi itu sedemikian rupa sehingga diperoleh manfaat sebesar mungkin. Dalam kasus dimana terdapat ketidaktaatan terhadap ketentuan, auditor harus merekomendasikan tindakan khusus guna memperbaiki situasi dan bukan hanya merekomendasikan agar ketentuan yang bersangkutan ditaati. Dalam menyusun konsep rekomendasi auditor harus dengan seksama mempertimbangkan biaya untuk melaksanakan rekomendasi dibandingkan dengan manfaat/ keuntungan yang dapat diperoleh. Sejauh mungkin laporan hasil audit harus menyertakan informasi yang menunjukkan bahwa rekomendasi tersebut dapat dipertanggungjawabkan dari segi biaya. Sedapat mungkin rekomendasi ditempatkan segera setelah temuan yang bertalian dengannya

Pelaksanaan audit system informasi dilaksanakan berdasarkan risk-based approach dengan mengacu pada:

1.    Pernyataan Standar Audit 57, 59, 60, 63, 64 dan 65

2.    COBIT

3.    ISO

4.    best practices lainnya (ISACA Guidelines, CISA 2007, COSO, Sarbanes-Oxley Act, SANS) Pelaksanaan audit dilakukan dengan

Cara yang dapat dilaksanakan adalah:

1.    Penyampaian kuisioner

a.    Kuisioner Pengendalian Sistem Informasi

b.  Kuisioner I – Analisis Pengelolaan Teknologi Informasi, Management Awareness

c.    Kuisioner II – Analisis Pengelolaan Teknologi Informasi, Information Technology Controls Diagnostic

2.    Wawancara

3.    Observasi

a.  Major application

b.  Infrastruktur pendukung data center: air conditioning, smoke detector, fire extinguisher, hydrant, dll.

c.  Sistem Operasi

d.  Database

e.  Internet, LAN, WAN

f.   Perangkat Keras dan Lunak

g.  Kebijakan dan Standard Operation Procedure

4.    Studi kebijakan, prosedur, dan dokumentasi

5.    Pengujian dengan menggunakan perangkat lunak

Salah satu referensi Control Objective for Information and related Technology (COBIT):

1.    Mengamankan Aset Sistem Informasi (Assets Safeguarding)

Aset informasi suatu entitas seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia, file/data dan fasilitas Teknologi Informasi lainnya harus dijaga dengan sistem pengendalian internal yang baik agar tidak terjadi mis­efisiensi, mis-efektifitas, dan penyalahgunaan aset entitas. Dengan demikian sistem pengamanan aset sistem informasi merupakan suatu hal yang sangat penting yang harus dipenuhi oleh entitas.

2.  Efektifitas sistem

Efektifitas sistem informasi entitas memiliki peranan penting dalam proses pengambilan keputusan usaha/bisnis. Suatu sistem informasi dapat dikatakan efektifbila sistem informasi memberikan manfaat dan ketepatgunaan teknologi informasi dalam operasi dan administrasi.

3.Efisiensi sistem

Efisiensi menjadi sangat penting ketika sumber daya kapasitas yang dimiliki oleh entitas terbatas. Jika cara kerja dari sistem aplikasi komputer menurun maka pihak manajemen, dalam hal ini mewakili entitas, harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya informasi yang minimal.

4.Memberikan dan mengelola ketersediaan layanan sistem informasi (Availability) Berhubungan dengan ketersediaan dukungan/layanan teknologi informasi. Teknologi Informasi hendaknya dapat mendukung secara berkelanjutan terhadap proses usaha/bisnis entitas. Makin sering terjadi gangguan (system downtime) maka berarti tingkat ketersediaan sistem rendah.

5. Menjaga kerahasiaan (Confidentiality)

Fokus kerahasiaan disini ialah perlindungan terhadap informasi dan supaya terlindung dari akses dari pihak-pihak yang tidak berwenang dan bertanggungjawab.

6. Meningkatkan kehandalan (Reability)

Berhubungan dengan kesesuaian dan keakuratan bagi manajemen dalam pengelolaan organ isasi, pelaporan dan pertanggungjawaban.

7. Menjaga integritas data (Data Integrity)

Integritas data adalah salah satu konsep dasar sistem informasi. Data memiliki atribut­atribut seperti: kelengkapan, kebenaran, dan keakuratan. Jika integritas data tidak terpelihara, maka suatu entitas tidak akan lagi memiliki informasi/laporan yang benar, bahkan entitas dapat menderita k kerugian karena pengawasan yang tidak tepat atau keputusan-keputusan yang salah. Faktor utama yang membuat data berharga bagi entitas dan pentingnya untuk menjaga integritas data adalah:

a.    Makna penting data/informasi bagi pengambilan keputusan adalah peningkatan kualitas data sehingga dapat memberikan informasi bagi para pengambil keputusan.

b.    Nilai data bagi pesaing entitas, jika data tersebut berguna bagi pesaing maka kehilangan data akan memberikan dampak buruk bagi entitas. Pesaing dapat menggunakan data tersebut untuk mengalahkan entitas saingannya sehingga mengakibatkan entitas menjadi kehilangan pasar, berkurangnya keuntungan, dan sebagainya.

8. Menaati seluruh peraturan dan aturan yang ada dan berlaku saat ini, baik itu di internal dan eksternal organisasi/entitas (Compliance)

Ketaatan terhadap peraturan yang berlaku baik itu didalam dan luar entitas memberikan dampak positif dan bernilai tambah guna memberikan keyakinan yang cukup bagi para pihak yang berkepentingan entitas khususnya para regulator bahwa entitas menerapkan prinsip kehati-hatian dengan tidak meniadakan prinsip biaya­manfaat dalam melakukan kegiatan usaha/bisnis entitas khususnya kegiatan teknologi informasi.