Audit teknologi informasi (Inggris: information technology (IT) audit atau information systems
(IS) audit) adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Audit
teknologi informasi ini dapat berjalan bersama-sama dengan audit
finansial dan audit
internal, atau dengan kegiatan pengawasan dan evaluasi lain yang
sejenis. Pada mulanya istilah ini dikenal dengan audit pemrosesan
data elektronik, dan sekarang audit teknologi
informasi secara umum merupakan proses pengumpulan dan evaluasi dari
semua kegiatan sistem informasi dalam perusahaan itu. Istilah
lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk
menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara
efektif, dan integratif dalam mencapai target organisasinya.
Tidak dapat dipungkiri bahwa, saat
ini, tingkat ketergantungan dunia usaha dan sektor usaha lainnya, termasuk
badan-badan pemerintahan, terhadap teknologi informasi (TI) semakin lama
semakin tinggi. Pemanfaatan TI di satu sisi dapat meningkatkan keunggulan
kompetitif suatu organisasi, akan tetapi di sisi lain juga memungkinkan
timbulnya risiko-risiko yang sebelumnya tidak pernah ada.
Ron Weber, Dekan Fakultas Teknologi
Informasi, Monash University , dalam salah satu bukunya: Information
System Controls and Audit (Prentice-Hall,
2000) menyatakan beberapa alasan penting mengapa audit TI perlu dilakukan,
antara lain:
Kerugian akibat kehilangan data
Saat ini, data telah menjadi salah
satu aset terpenting bagi suatu perusahaan. Bayangkan, jika Anda pimpinan
perusahaan yang sebagian besar penjualan yang Anda raih dilakukan dengan cara
kredit dimana para pembeli akan membayar tagihannya di kemudian hari. Untuk
mencatat penjualan, Anda menggunakan bantuan TI. Akibat terjadinya gangguan
virus atau terjadi kebakaran pada ruangan komputer yang Anda miliki, misalnya,
maka seluruh data tagihan tersebut hilang. Kehilangan data tersebut mungkin
saja akan mengakibatkan perusahaan Anda tidak dapat melakukan penagihan kepada
para pelanggan. Atau, kalaupun masih dapat dilakukan, waktu yang dibutuhkan
menjadi sangat lama karena Anda harus melakukan verifikasi manual atas dokumen
penjualan yang Anda miliki.
Kesalahan dalam pengambilan keputusan
Banyak kalangan usaha yang saat ini
telah menggunakan bantuan Decision Support System (DSS) untuk mengambil
keputusan-keputusan penting. Dalam bidang kedokteran, misalnya, keputusan
dokter untuk melakukan tindakan operasi dapat saja ditentukan dengan
menggunakan bantuan perangkat lunak tersebut. Dapat dibayangkan risiko yang
mungkin dapat ditimbulkan apabila sang dokter salah memasukkan data pasien ke
sistem TI yang digunakan. Taruhannya bukan lagi material, melainkan nyawa
seseorang.
Risiko kebocoran data
Data bagi sebagian besar sektor usaha
merupakan sumber daya yang tidak ternilai harganya. Informasi mengenai
pelanggan, misalnya, bisa jadi merupakan kekuatan daya saing suatu perusahaan.
Bayangkan, Anda seorang direktur suatu perusahaan telekomunikasi yang memiliki
5 juta pelanggan. Tanpa Anda sadari, satu persatu pelanggan perusahaan Anda
telah beralih ke perusahaan pesaing.
Setelah melalui proses audit,
akhirnya diketahui bahwa data pelanggan perusahaan Anda telah jatuh ke tangan
perusahaan pesaing. Berdasarkan data tersebut, perusahaan pesaing kemudian
menawarkan jasa yang sama dengan jasa yang Anda tawarkan ke pelanggan yang
sama, tetapi dengan biaya yang sedikit lebih rendah. Kebocoran data ini tidak
saja berdampak terhadap kehilangan sejumlah pelanggan, akan tetapi lebih jauh
lagi bisa mengganggu kelangsungan hidup perusahaan Anda.
Penyalahgunaan Komputer
Alasan lain perlunya dilakukan audit
TI adalah tingginya tingkat penyalahgunaan komputer. Pihak-pihak yang dapat
melakukan kejahatan komputer sangat beraneka ragam. Kita mengenal adanya
hackers dan crackers.
Hackers merupakan orang yang dengan
sengaja memasuki suatu sistem teknologi informasi secara tidak sah. Biasanya
mereka melakukan aktivitas hacking untuk kebanggaan diri sendiri atau
kelompoknnya, tanpa bermaksud merusak atau mengambil keuntungan atas
tindakannya itu. Sedang, Crackers di sisi lain melakukan aktivitasnya dengan
tujuan mengambil keuntungan sebanyak-banyaknya dari tindakannya tersebut,
misalnya mengubah atau merusak atau, bahkan, menghancurkan sistem komputer.
Kejahatan komputer juga bisa
dilakukan oleh karyawan yang merasa tidak puas dengan kebijakan perusahaan,
baik yang saat ini masih aktif bekerja di perusahaan yang bersangkutan maupun
yang telah keluar. Sayangnya, tidak semua perusahaan siap mengantisipasi adanya
risiko-risiko tersebut.
Survei yang dilakukan oleh Ernst
& Young (Global Information Security Survey 2003) menemukan bahwa 34% dari
total perusahaan yang ada saat ini tidak memiliki mekanisme yang memadai untuk
mendeteksi kemungkinanan adanya serangan terhadap sistem mereka. Lebih dari
33%, bahkan menyatakan bahwa mereka tidak memiliki kemampuan yang cukup untuk
menindaklanjuti ancaman-ancaman yang mungkin timbul.
Kerugian akibat kesalahan proses perhitungan
Seringkali, TI digunakan untuk
melakukan perhitungan yang rumit. Salah satu alasan digunakannya TI adalah
kemampuannya untuk mengolah data secara cepat dan akurat (misalnya,
penghitungan bunga bank). Penggunaan TI untuk mendukung proses penghitungan
bunga bukannya tanpa risiko kesalahan. Risiko ini akan semakin besar, misalnya
ketika bank tersebut baru saja berganti sistem dari sistem yang sebelumnya
mereka gunakan. Tanpa adanya mekanisme pengembangan sistem yang memadai,
mungkin saja terjadi kesalahan penghitungan atau, bahkan, fraud. Kesalahan yang
ditimbulkan oleh sistem baru ini akan sulit terdeteksi tanpa adanya audit
terhadap sistem tersebut.
Tingginya nilai investasi perangkat keras dan perangkat lunak komputer
Investasi yang dikeluarkan untuk
suatu proyek TI seringkali sangat besar. Bahkan, dari penelitian yang pernah
dilakukan (Willcocks, 1991), tercatat bahwa 20% pengeluaran TI terbuang secara
percuma, 30-40% proyek TI tidak mendatangkan keuntungan. Selan itu, sulit
mengukur manfaat yang dapat diberikan TI.
Untuk Indonesia , alokasi anggaran untuk investasi di
bidang TI relatif tidak lebih besar dibandingkan di luar negeri. Di Indonesia
besarnya alokasi anggaran berkisar 5-10%, sementara di luar negeri bisa
mencapai 30% dari total anggaran belanja perusahaan. Namun, bila dilihat dari
nilai absolut besarnya Rupiah yang dikeluarkan, jumlahnya sangat besar.
Perusahaan-perusahaan besar nasional, seperti Garuda Indonesia, Telkom, dan
Pertamina semuanya, saat ini, sudah menerapkan sistem ERP (Enterprise Resource
Planning) dan bahkan berbagai aplikasi lainnya yang melibatkan investasi yang
signifikan. Isnaeni Achdiat
.
Sumber :
id.wikipedia.org/wiki/Audit_teknologi_informasi
http://www.ebizzasia.com
