A. IT AUDIT
IT
audit merupakan bentuk pengawasan dan pengendalian dari infrastruktur teknologi
informasi secara menyeluruh. Audit teknologi informasi ini dapat berjalan
bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan
pengawasan dan evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal
dengan audit pemrosesan daa elektronik, dan sekarang audit teknologi informasi
secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan
sistem informasi dalam perusahaan itu.
B. Sejarah singkat Audit IT
Audit
IT yang pada awalnya lebih dikenal sebagai EDP Audit (Electronic Data
Processing) telah mengalami perkembangan yang pesat. Perkembangan Audit IT ini
didorong oleh kemajuan teknologi dalam sistem keuangan, meningkatnya kebutuhan
akan kontrol IT, dan pengaruh dari komputer itu sendiri untuk menyelesaikan
tugas-tugas penting. Pemanfaatan teknologi komputer ke dalam sistem keuangan
telah mengubah cara kerja sistem keuangan, yaitu dalam penyimpanan data,
pengambilan kembali data, dan pengendalian. Sistem keuangan pertama yang
menggunakan teknologi komputer muncul pertama kali tahun 1954. Selama periode
1954 sampai dengan 1960-an profesi audit masih menggunakan komputer. Pada
pertengahan 1960-an terjadi perubahan pada mesin komputer, dari mainframe
menjadi komputer yang lebih kecil dan murah.
Pada
tahun 1968, American Institute of Certified Public Accountants (AICPA) ikut
mendukung pengembangan EDP auditing. Sekitar periode ini pula para auditor
bersama-sama mendirikan Electronic Data Processing Auditors Association
(EDPAA). Tujuan lembaga ini adalah untuk membuat suatu tuntunan, prosedur, dan
standar bagi audit EDP. Pada tahun 1977, edisi pertama Control Objectives diluncurkan.
Publikasi ini kemudian dikenal sebagai Control Objectives for Information and
Related Technology (CobiT). Tahun 1994, EDPAA mengubah namanya menjadi
Information System Audit (ISACA). Selama periode akhir 1960-an sampai saat ini
teknologi TI telah berubah dengan cepat dari mikrokomputer dan jaringan ke
internet. Pada akhirnya perubahan-perubahan tersebut ikut pula menentukan
perubahan pada audit IT.
C. IT Forensik
IT
Forensik adalah cabang dari ilmu komputer tetapi menjurus ke bagian forensik
yaitu berkaitan dengan bukti hukum yang ditemukan di komputer dan media
penyimpanan digital. Komputer forensik juga dikenalsebagai Digital Forensik
yang terdiri dari aplikasi dari ilmu pengetahuankepada indetifikasi, koleksi,
analisa, dan pengujian dari bukti digital. IT Forensik adalah penggunaan
sekumpulan prosedur untuk melakukan pengujian secara menyeluruh suatu sistem
komputer dengan mempergunakan software dan tool untuk memelihara barang bukti
tindakan kriminal. IT forensik dapat menjelaskan keadaan artefak digital
terkini. Artefak Digital dapat mencakup sistem komputer, media penyimpanan
(seperti hard disk atau CD-ROM, dokumen elektronik (misalnya pesan email atau
gambar JPEG) atau bahkan paket-paket yang secara berurutan bergerak melalui
jaringan. Bidang IT Forensik juga memiliki cabang-cabang di dalamnya seperti
firewall forensik, forensik jaringan , database forensik, dan forensik
perangkat mobile.
Menurut
Noblett, yaitu berperan untuk mengambil, menjaga, mengembalikan, dan menyajikan
data yang telah diproses secara elektronik dan disimpan di media komputer.
Menurut
Judd Robin, yaitu penerapan secara sederhana dari penyidikan komputer dan
teknik analisisnya untuk menentukan bukti-bukti hukum yang mungkin.
Menurut
Ruby Alamsyah (salah seorang ahli forensik IT Indonesia), digital forensik atau
terkadang disebut komputer forensik adalah ilmu yang menganalisa barang bukti
digital sehingga dapat dipertanggungjawabkan di pengadilan. Barang bukti
digital tersebut termasuk handphone, notebook, server, alat teknologi apapun
yang mempunyai media penyimpanan dan bisa dianalisa.
D. Jenis Audit IT.
1.
Sistem dan aplikasi.
Memeriksa
apakah sistem dan aplikasi sesuai dengan kebutuhan organisasi, berdayaguna, dan
memiliki kontrol yang cukup baik untuk menjamin keabsahan, kehandalan, tepat
waktu, dan keamanan pada input, proses, output pada semua tingkat kegiatan
sistem.
2.
Fasilitas pemrosesan informasi.
Memeriksa
apakah fasilitas pemrosesan terkendali untuk menjamin ketepatan waktu,
ketelitian, dan pemrosesan aplikasi yang efisien dalam keadaan normal dan
buruk.
3.
Pengembangan sistem.
Memeriksa
apakah sistem yang dikembangkan mencakup kebutuhan obyektif organisasi.
4.
Arsitektur perusahaan dan manajemen TI
Memeriksa
apakah manajemen TI dapat mengembangkan struktur organisasi dan prosedur yang
menjamin kontrol dan lingkungan yang berdaya guna untuk pemrosesan informasi.
5.
Client/Server, telekomunikasi, intranet, dan ekstranet
Memeriksa
apakah kontrol-kontrol berfungsi pada client, server, dan jaringan yang
menghubungkan client dan server.
E. Metodologi Audit IT.
Dalam
praktiknya, tahapan-tahapan dalam audit IT tidak berbeda dengan audit pada
umumnya, sebagai berikut :
1.
Tahapan Perencanaan.
Sebagai
suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar obyek yang
akan diperiksa sehingga menghasilkan suatu program audit yang didesain
sedemikian rupa agar pelaksanaannya akan berjalan efektif dan efisien.
2.
Mengidentifikasikan reiko dan kendali.
Untuk
memastikan bahwa qualified resource sudah dimiliki, dalam hal ini aspek SDM
yang berpengalaman dan juga referensi praktik-praktik terbaik.
3.
Mengevaluasi kendali dan mengumpulkan bukti-bukti.
Melalui
berbagai teknik termasuk survei, interview, observasi, dan review dokumentasi.
4.
Mendokumentasikan.
Mengumpulkan
temuan-temuan dan mengidentifikasikan dengan auditee.
5.
Menyusun laporan.
Mencakup
tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yang dilakukan.
F. Alasan dilakukannya Audit IT.
Ron
Webber, Dekan Fakultas Teknologi Informasi, monash University, dalam salah satu
bukunya Information System Controls and Audit (Prentice-Hall, 2000) menyatakan
beberapa alasan penting mengapa Audit IT perlu dilakukan, antara lain :
1.
Kerugian akibat kehilangan data.
2.
Kesalahan dalam pengambilan keputusan.
3.
Resiko kebocoran data.
4.
Penyalahgunaan komputer.
5.
Kerugian akibat kesalahan proses perhitungan.
6.
Tingginya nilai investasi perangkat keras dan perangkat lunak komputer.
G. Manfaat Audit IT.
1.
Manfaat pada saat Implementasi (Pre-Implementation Review)
–
Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan
kebutuhan ataupun memenuhi acceptance criteria.
–
Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
–
Mengetahui apakah outcome sesuai dengan harapan manajemen.
2.
Manfaat setelah sistem live (Post-Implementation Review)
–
Institusi mendapat masukan atas risiko-risiko yang masih yang masih ada dan
saran untuk penanganannya.
–
Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem,
perencanaan strategis, dan anggaran pada periode berikutnya.
–
Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang.
–
Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan
kebijakan atau prosedur yang telah ditetapkan.
–
Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan
dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang
melakukan pemeriksaan.
–
Membantu dalam penilaian apakah initial proposed values telah terealisasi dan
saran tindak lanjutnya.
- Prosedur IT
Forensik
- Prosedur forensik yang umum
digunakan, antara lain :Membuat copies dari keseluruhan log data, file,
dan lain-lain yang dianggap perlu pada suatu media yang terpisah. Membuat
copies secara matematis.Dokumentasi yang baik dari segala sesuatu yang
dikerjakan.
- Bukti yang digunakan dalam
IT Forensics berupa :Harddisk.Floopy disk atau media lain yang bersifat
removeable.Network system.
- Metode/prosedure IT Forensik
yang umum digunakan pada komputer ada dua jenis yaitu :
- Search dan seizure : dimulai
dari perumusan suatu rencana.
- Identifikasi dengan
penelitian permasalahan.
- Membuat hipotesis.
- Uji hipotesa secara konsep
dan empiris.
- Evaluasi hipotesa
berdasarkan hasil pengujian dan pengujian ulang jika hipotesa tersebut
jauh dari apa yang diharapkan.
- Evaluasi hipotesa terhadap
dampak yang lain jika hipotesa tersebut dapat diterima.
- Pencarian informasi
(discovery information). Ini dilakukan oleh investigator dan merupakan
pencarian bukti tambahan dengan mengendalikan saksi secara langsung maupun
tidak langsung.
- Membuat copies dari
keseluruhan log data, files, dan lain-lain yang dianggap perlu pada media
terpisah.
- Membuat fingerprint dari
data secara matematis.
- Membuat fingerprint dari
copies secara otomatis.
- Membuat suatu hashes
masterlist
- Dokumentasi yang baik dari
segala sesuatu yang telah dikerjakan.
http://pietrajayaramadhan.blogspot.co.id/2015/06/it-forensic-it-audit-dan-perbedaan.html
