Pengertian IT Audit
Audit
IT adalah suatu proses kontrol pengujian terhadap infrastruktur teknologi
informasi dimana berhubungan dengan masalah auditfinansial dan audit internal.
Audit IT lebih dikenal dengan istilah EDP Auditing (Electronic Data
Processing), biasanya digunakan untuk menguraikan dua jenis aktifitas yang
berkaitan dengan komputer. Audit teknologi informasi (information technology
(IT) audit atau information systems (IS) audit) adalah bentuk pengawasan dan
pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Audit
teknologi informasi ini dapat berjalan bersamasama dengan audit finansial dan ,
atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Pada mulanya
istilah ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit
teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari
semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit
teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan
apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan
integratif dalam mencapai target organisasinya.
Ruang Lingkup Kerjanya
IT Auditor
memiliki berbagai ruang lingkup pekerjaan. Berikut merupakan ruang lingkup
pekerjaan IT Auditor pada umumnya.
1.
Memastikan
kepatuhan terhadap prosedur pengendalian internal yang telah ditetapkan dengan
memeriksa catatan, laporan, praktik operasi, dan dokumentasi.
2.
Verifikasi
aset dan kewajiban dengan membandingkan item dengan dokumentasi.
3.
Menyelesaikan
pekerjaan audit dengan mendokumentasikan hasil pemeriksaan dan temuan audit.
4.
Menilai
kecukupan sistem pengendalian internal dengan melengkapi kuesioner audit.
5.
Menjaga
sistem pengendalian internal dengan memperbarui program audit dan kuesioner;
merekomendasikan kebijakan dan prosedur baru.
6.
Mengkomunikasikan
temuan audit dengan menyiapkan laporan akhir; mendiskusikan temuan dengan
auditee
7.
Sesuai
dengan persyaratan hukum keamanan federal, negara bagian, dan lokal dengan
mempelajari undang-undang keamanan yang ada dan yang baru; menegakkan kepatuhan
terhadap persyaratan; menasihati manajemen mengenai tindakan yang dibutuhkan.
8.
Menyiapkan
laporan audit dan kontrol khusus dengan mengumpulkan, menganalisa, dan
meringkas informasi dan tren operasi.
9.
Mempertahankan
pengetahuan profesional dan teknis dengan menghadiri lokakarya pendidikan;
meninjau publikasi profesional; membangun jaringan pribadi; berpartisipasi
dalam masyarakat profesional.
10.
Berkontribusi pada upaya
tim dengan menyelesaikan hasil terkait sesuai kebutuhan.
Ruang
lingkup Audit Sistem Informasi (SI) sebagai audit operasional terhadap fungsi
sistem informasi (IT governance), audit objective-nya adalah melakukan assessment
terhadap efektifitas, efisiensi, dan ekonomis tidaknya pengelolaan sistem
informasi suatu organisasi.
Audit SI
dimaksudkan untuk memberikan informasi kepada manajemen puncak agar manajemen
mempunyai “a clear assessment” terhadap sistem informasi yang diimplementasikan
pada organisasi tersebut. Misalnya, bahwa application software yang
ada telah dianalisis dan didesain dengan baik, telah diimplementasikan
dengan security features yang memadai.
Perlu
dipahami bahwa audit SI tidak harus selalu merupakan penugasan lengkap mencakup
seluruh aspek. Penugasan audit SI mungkin mencakup semua, tetapi bisa dengan
beberapa variasi, atau beberapa aspek saja: suatu audit mungkin hanya
menitikberatkan fokus pada satu aspek saja, atau beberapa aspek yang penting sesuai
kebutuhan organisasi tersebut.
Meskipun
hakekatnya keseluruhan aspek IT Governance tersebut sesungguhnya
penting untuk diaudit dalam rangka peningkatan mutu sistem, namun itu tidak
bersifat harus (it is not mandatory). Bisa saja dilakukan penugasan-penugasan
audit yang berbeda untuk satu atau beberapa aspek, tidak harus sekali “gebrak”
(to do all of them in one assignment). Salah satu alasannya adalah memang
kompetensi/keterampilan yang diperlukan bagi auditor untuk setiap aspek
tersebut bisa berbeda. Oleh karena itu aspek sebetulnya ada keterkaitan, dan
semuanya adalah penting, maka bila dilakukan audit secara terpisah-pisah,
manajemen harus mendapat gambaran umum (overview) yang jelas dan terpadu (the
overview is critical).
Tools Yang Digunakan
·
ACL
ACL
(Audit Command Language) merupakan sebuah software CAAT (Computer Assisted
Audit Techniques) yang sudah sangat populer untuk melakukan analisa terhadap
data dari berbagai macam sumber. ACL for Windows (sering disebut ACL) adalah
sebuah software TABK (TEKNIK AUDIT BERBASIS KOMPUTER) untuk membantu auditor
dalam melakukan pemeriksaan di lingkungan sistem informasi berbasis komputer
atau Pemrosesan Data Elektronik.
·
Picalo
Picalo
merupakan sebuah software CAAT (Computer Assisted Audit Techniques) seperti halnya
ACL yang dapat dipergunakan untuk menganalisa data dari berbagai macam
sumber.Picalo bekerja dengan menggunakan GUI Front end, dan memiliki banyak
fitur untuk ETL sebagai proses utama dalam mengekstrak dan membuka data,
kelebihan utamanya adalah fleksibilitas dan front end yang baik hingga Librari
Python numerik.
Berikut
ini beberapa kegunaannya :
· Menganalisis
data keungan, data karyawan
· Mengimport
file Excel, CSV dan TSV ke dalam databse
· Analisa
event jaringan yang interaktif, log server situs, dan record sistem login
· Mengimport
email kedalam relasional dan berbasis teks database
· Menanamkan
kontrol dan test rutin penipuan ke dalam sistem produksi.
·
Powertech
Compliance Assesment
Powertech
Compliance Assessment merupakan automated audit tool yang dapat dipergunakan
untuk mengaudit dan mem-benchmark user access to data, public authority to
libraries, user security, system security, system auditing dan administrator
rights (special authority) sebuah serverAS/400.
·
Nipper
Nipper
merupakan audit automation software yang dapat dipergunakan untuk mengaudit dan
mem-benchmark konfigurasi sebuah
router. Nipper (Jaringan Infrastruktur Parser)
adalah alat berbasis open source untuk membantu profesional
TI dalam mengaudit, konfigurasi dan mengelolajaringan komputer
dan perangkat. jaringan infrastruktur.
·
Nessus
Nessus merupakan sebuah vulnerability assessment software, yaitu sebuah software yang digunakan untuk mengecek tingkat vulnerabilitas suatu sistem dalam ruang lingkup keamanan yang digunakan dalam sebuah perusahaan.
Nessus merupakan sebuah vulnerability assessment software, yaitu sebuah software yang digunakan untuk mengecek tingkat vulnerabilitas suatu sistem dalam ruang lingkup keamanan yang digunakan dalam sebuah perusahaan.
·
Metasploit
Metasploit Framework merupakan sebuah penetration testing tool, yaitu sebuah software yang digunakan untuk mencari celah keamanan.
Metasploit Framework merupakan sebuah penetration testing tool, yaitu sebuah software yang digunakan untuk mencari celah keamanan.
·
NMAP
NMAP merupakan open source utility untuk melakukan security auditing. NMAP atau Network Mapper, adalah software untuk mengeksplorasi jaringan, banyak administrator sistem dan jaringan yang menggunakan aplikasi ini menemukan banyak fungsi dalam inventori jaringan, mengatur jadwal peningkatan service, dan memonitor host atau waktu pelayanan. Secara klasik Nmap klasik menggunakan tampilan command-line, dan NMAP suite sudah termasuk tampilan GUI yang terbaik dan tampilan hasil (Zenmap), fleksibel data transfer, pengarahan ulang dan tools untuk debugging (NCAT) , sebuah peralatan untuk membandingan hasil scan (NDIFF) dan sebuah paket peralatan analisis untuk menggenerasikan dan merespon (NPING)
NMAP merupakan open source utility untuk melakukan security auditing. NMAP atau Network Mapper, adalah software untuk mengeksplorasi jaringan, banyak administrator sistem dan jaringan yang menggunakan aplikasi ini menemukan banyak fungsi dalam inventori jaringan, mengatur jadwal peningkatan service, dan memonitor host atau waktu pelayanan. Secara klasik Nmap klasik menggunakan tampilan command-line, dan NMAP suite sudah termasuk tampilan GUI yang terbaik dan tampilan hasil (Zenmap), fleksibel data transfer, pengarahan ulang dan tools untuk debugging (NCAT) , sebuah peralatan untuk membandingan hasil scan (NDIFF) dan sebuah paket peralatan analisis untuk menggenerasikan dan merespon (NPING)
·
Wireshark
Wireshark merupakan aplikasi analisa netwrok protokol paling digunakan di dunia, Wireshark bisa mengcapture data dan secara interaktif menelusuri lalu lintas yang berjalan pada jaringan komputer, berstandartkan de facto dibanyak industri dan lembaga pendidikan.
Wireshark merupakan aplikasi analisa netwrok protokol paling digunakan di dunia, Wireshark bisa mengcapture data dan secara interaktif menelusuri lalu lintas yang berjalan pada jaringan komputer, berstandartkan de facto dibanyak industri dan lembaga pendidikan.
Bidang Pekerjaan
·
System
Analyst
·
Programmer
·
Administrator
(Network, system, database)
·
Support
(workshop, maintenance, helpdesk, dll )
·
Security
Officer
·
Auditor
Tugas
auditor
·
Memastikan
sisi-sisi penerapan IT memiliki kontrol yang diperlukan
·
Memastikan
kontrol tersebut diterapkan dengan baik sesuai yang diharapkan