- Apa yang dimaksud dengan Audit Teknologi Informasi (TI)? Apa saja cakupannya atau yang terlibat didalamnya?
- Mengapa kontrol TI dan audit begitu penting di lingkungan virtual saat ini?
- Apa saja masalah utama terkait kontrol dan audit di lingkungan global saat ini?
- Apa yang dimaksud dengan E-Cash? Apa saja yang menjadi perhatian kontrol TI terkait dengan E-Cash?
- Mengapa Auditor TI perlu mengetahui tentang lingkungan hukum Sistem Informasi (SI)?
Ron Webber (1999) mengemukakan bahwa “Information systems auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently”
Sedangkan menurut Sanyoto Gondodinyoto (2007), “audit sistem informasi adalah suatu pengevaluasian untuk mengetahui bagaimana tingkat keseuaian antara aplikasi sistem informasi dengan prosedur yang telah ditetapkan dan mengetahui apakah suatu sistem informasi telah didesain dan diimplementasikan secara efektif,efisien, dan ekonomis, memiliki mekanisme pengamanan aset yang memadai,serta menjamin integritas data yang memadai.”
dari pernyataan diatas dapat kita tarik kesimpulan bahwa audit sistem informasi merupakan sekumpulan proses dalam melakukan pengumpulan dan evaluasi bukti-bukti oleh seorang internal audit perusahaan/organisasi dalam menentukan apakah sistem informasi yang berjalan saat ini dapat mengamankan aset, memelihara integitas data, membantu dalam pencapaian tujuan dari organisasi tersebut dan menilai apakah sumberdaya yang digunakan sudah berjalan secara efisien atau tidak.
Ron webber juga menyampaikan audit sistem informasi memiliki tujuan untuk mengamankan asset, menjaga integritas data, menjaga efektifitas sistem, dan mencapai efisiensi sumber daya. Audit sistem informasi bertujuan untuk mereview dan melakukan evaluasi pengawasan secara internal yang digunakan untuk melakukan penjagaan tingkat keamanan dan memeriksa tingkat kepercayaan sistem informasi di perusahaan tersebut. “Audit sistem informasi juga bertujuan agar kita dapat memeriksa kerentanan dari pengendalian environment, keamanan fisik, keamanan logical, serta keamanan operasi sistem informasi yang dirancang untuk melindungi piranti keras, piranti lunak, dan data terhadap akses yang tidak sah, kecelakaan dan perubahan yang tidak dikehendaki” Ridwan Santoso (2014)
Hal ini mencakup confidentiality (kerahasiaan), Integrity (integritas), availability (ketersediaan), compliance (kepatuhan), Effectiveness (Efektifitas), Efficiency (efisiensi), dan reliability (kehandalan).
- Kontrol IT dan audit sangatlah penting, terutama di lingkungan virtual saat ini sebab perkembangan teknologi secara besar-besar disaat ini sudah membuat sebagian besar perusahaan melakukan perubahan pengolahan data dari sistem manual ke dalam sistem elektronik atau terkomputerisasi, oleh karena itu sangat diperlukan adanya pengelolaan yang baik dalam sistem yang mendukung proses pengolahan data tersebut.
Ron Webber (1999) mengemukakan terdapat alasan yang mendasar mengapa organisasi perlu melakukan audit sebagai evaluasi dan pengendalian terhadap sistem yang digunakan oleh organisasi tersebut :
- Pencegahan terhadap kerugian akibat data yang hilang
Informasi berasal dari data-data yang telah diolah dan memiliki manfaat bagi pengguna sistem tersebut, oleh sebab itu data merupakan salah satu asset bagi suatu perusahaan atau organisasi. Informasi tersebut dapat menjadi gambaran dari kondisi di masa lalu, sekarang dan masa yang akan datang. Jika informasi dari data tersebut hilang maka akan menjadi sesuatu yang sangat fatal. Kehilangan data dapat terjadi karena ketidakmampuan pengendalian dalam pemakaian computer, kelalaian bisa terjadi akibat tidak menyediakan fungsi backup yang memadaim sehingga kehilangan data tersebut dapat terjadi akibat sistem crash, perangkat keras yang rusak, sabotase, dll yang mengakibatkan pada kerusakan file yang tidak dapat diperbaiki.
- Pengambilan keputusan yang tidak sesuai
Membuat keputusan yang baik bergantung pada kualitas data yang akurat, dan kualitas dari proses pengambilan keputusan itu sendiri. Pentingnya data yang akurat bergantung kepada jenis keputusan yang akan dibuat oleh sumber daya yang berkepentingan didalam suatu organisasi. Seperti dalam penggunaan DSS (sistem penunjang keputusan) dalam bidang kedokteran, maka tingkat akurasi data tersebut sangatlah penting karena kesalahan pengambilan keputusan bisa berakibat sangatlah fatal.
- Penyalahgunaan computer
Penyalahgunaan computer memberi pengaruh kuat terhadap EDP (Electronic Data Processing) Audit. Tingginya tingkat penyalahgunaan computer menjadi salah satu alasan kenapa audit ini diperlukan. Banyak sekali pihak yang tidak bertanggungjawab dapat melakukan kejahatan computer seperti hacker, cracker dan virus. Kejahatan computer tersebut juga dapat dilakukan oleh SDM di organisasi tersebut bagi yang tidak puas dengan kebijakan organisasi baik yang masih bekerja, sudah behenti, diberhentikan, atau yang sudah pindah ke perusahaan/organisasi lain dengan tujuan memperoleh keuntungan atau manfaat dalam bersaing.
- Nilai investasi yang tinggi untuk perangkat keras dan perangkat lunak computer dan SDM
Disamping data, hardware dan software serta personel komputer juga merupakan sumber daya yang kritikal bagi suatu organisasi, walaupun investasi hardware perusahaan sudah dilindungi oleh asuransi, tetapi kehilangan hardware baik terjadi karena kesengajaan maupun ketidaksengajaan dapat mengakibatkan gangguan. Jika software rusak akan mengganggu jalannya operasional dan bila software dicuri maka informasi yang rahasia dapat dijual kepada kompetitor. Personel adalah sumber daya yang paling berharga, mereka harus dididik dengan baik agar menjadi tenaga handal dibidang komputer yang profesional.
- Pemeliharaan kerahasiaan informasi
Informasi di dalam sebuah organisasi bisnis sangat beragam, mulai data karyawan, pelanggan, transaksi dan lainya adalah amat riskan bila tidak dijaga dengan benar. Seseorang dapat saja memanfaatkan informasi untuk disalahgunakan. Sebagai contoh bila data pelanggan yang rahasia, dapat digunakan oleh pesaing untuk memperoleh manfaat dalam persaingan.
Menurut pendapat saya masalah utama terkait control dan audit di lingkungan global saat ini adalah kerahasiaan data dan penyalahgunaan hak akses. Tidak dapat dipungkiri di lingkungan global saat ini akses kita ke seluruh dunia sangat mudah, hampir seluruh perangkat pendukung yang kita miliki memiliki akses ke internet, banyak perusahaan-perusahaan yang juga sudah gencar dalam memakai sistem informasi terhubung atau bahkan menggunakan cloud server karena alternative tersebut sangatlah efisien dan juga jasa outsource teknologi informasi bukan menjadi sesuatu yang aneh bagi para perusahaan untuk diterapkan baik outsource dari segi sumber daya, ataupun dari segi infrastruktur untuk menekan biaya. Namun ternyata hal tersebut dapat memberi kerentanan bagi perusahaan karena pada prinsipnya keamanan akan berbanding terbalik dengan kenyamanan, semakin mudah dan nyaman kita mengakses data atau sistem tersebut maka celah keamanan akan menjadi semakin terbuka lebar. Banyak sekali pihak yang tidak bertanggung jawab dapat melakukan kejahatan pada sistem, seperti hacker, cracker dan virus. Menurut Eric S Raymond (1996) “Hacker : A person who enjoys exploring the details of programmable systems and how to stretch their capabilities, as opposed to most users, who prefer to learn only the minimum necessary.” Dapat kita simpulkan bahwa hacker merupakan seseorang yang dengan sengaja masuk ke dalam suatu sistem tanpa izin. Mereka melakukan hal tersebut biasanya hanya untuk membuat dirinya sendiri atau kelompoknya bangga karena telah berhasil menembus sistem keamanan dari suatu perusahaan atau organisasi, tanpa ada maksud untuk merusak atau mengambil sesuatu atas apa yang telah dilakukan. Sedangkan menurut Macmillan (2013) “A cracker is a person who breaks into or otherwise violates the system integrity of remote machines, with malicious intent. Crackers, having gained unauthorized access, destroy vital data, deny legitimate users service, or basically cause problems for their targets. Crackers can easily be identified because their actions are malicious.” Dapat kita simpulkan bahwa Cracker memasuki suatu sistem yang memiliki tujuan untuk mengambil keuntungan sebanyak-banyaknya seperti mengubah, merusak, atau bahkan menghancurkan sistem tersebut. Selain itu kejahatan computer lain yang marak terjadi adalah penyebaran virus, virus merupakan sebuah program komputer yang melekatkan diri dan menjalankan dirinya sendiri pada suatu data. Virus meriplikasi dirinya sendiri secara aktif dan mengganggu atau merusak suatu sistem operasi, data, dan bahkan mengacaukan sistem.
Pertahanan terbaik terhadap kejahatan computer adalah dengan meningkatkan kewaspadaan, IT Auditor haruslah selalu waspada terhadap bahaya yang hadir, beberapa cara yang dapat dilakukan adalah dalam bentuk control, firewall atau enkripsi. Penggabungan dari metode ini akan membantu mengurangi akses yang tidak terotorasasi dari pihak yang tidak bertanggung jawab, bahkan jika perlu gunakan one stop password generator atau key authenticator.
Menurut Henk CA Tilborg (2011) “E-cash is a digital artifact (an object of bits) that approximates physical cash as an instrument of payment. E-cash is a mechamism that is most useful in networdked environments where the parties exchanging goods or services for money do not or cannot physically meet.” Sedangkan menurut Jeff Rubentek (2011) “E-cash is a generic name for several schemes to enable simple electronic transaction over various telecommunication networks.”
Dapat kita Tarik kesimpulan bahwa E-cash atau electronic cash adalah metode atau skema pembayaran dengan mata uang elektronik yang bertujuan mempermudah proses transaksi yang dilakukan melaui jaringan/internet, e-commerce contohnya. Kita dapat dengan mudah bertransaksi keseluruh dunia dengan metode ini, transaksi tersebut tetap mempergunakan currency atau nilai mata uang yang berlaku, namun proses pertukarannya yang bersifat digital.
Yang menjadi perhatian Control atau audit terhadap e-cash adalah kemungkinan terhadap ancaman gangguan keamanan dan privasi. Perkembangan bisnis online pada saat ini sedang marak-maraknya karena juga mentargetkan pelanggan yang juga pengguna internet, atau sering kita sebut e-commerce. Metode e-cash dirasa paling efektif dalam berbelanja di internet, akan tetapi terdapat bidang-bidang yang dapat menjadi focus dari para auditor sistem informasi yaitu kerahasiaan, integritas, non-repudation, dan otentikasi. Cara-cara dalam melakukan controlling pada hal tersebut bisa dengan enkripsi, kriptografi, dan keterlibatan pihak ketiga. One Time Password juga sangat ampuh dalam mengurangi kemungkinan ancaman yang terjadi seperti penyalahgunaan hak akses.
Auditor TI perlu mengetahui tentang lingkungan hukum sistem informasi, berkaca dari kejadian – kejadian besar seperti kasus yang terjadi pada Enron, Worldcom dan Arthur Andersen maka diperlukan suatu legal issue untuk mencegah, mendeteksi dan mengatasi jika situasi tersebut terjadi. Kemajuan dalam jaringan teknologi telah membawa masalah keamanan dan privasi ke garis terdepan yang mungkin hanya menarik bagi ahli hukum dan teknis, karena itulah seorang Auditor IT harus memiliki pemahaman yang cukup mendalam tentang lingkungan atau koridor hukum sistem informasi, sehingga jika terdapat ancaman atau temuan yang bersifat illegal seperti penipuan, kejahatan ataupun kegiatan terselubung lainnya yang bertentangan dengan undang-undang yang berlaku Auditor IT dapat melakukan tindakan preventif yang lebih cepat. Perundang-undangan mengenai sistem informasi terus berkembang hingga saat ini, terlebih lagi mengenai subject privasi, oleh karena itu seorang Auditor IT harus selalu mengupdate wawasannnya terhadap lingkungan hukum saat ini.
Referensi :
Weber, Ron. Information Systems Control and Audit. Prentice-Hall, Inc., New Jersey. 1999
Gondodiyoto, Sanyoto Audit sistem informasi + pendekatan COBIT, Jakarta: mitra wacana media, 2007.
Raymond, Eric S. The New Hacker’s Dictionary, Third Edition, 1996
Tilborg, Henk CA, Sushil Jajodia. Encyclopedia of cryptography and security,second edition, 2011
Rubentek Jeff, Tech Terms: What Every Telecommunications and Digital Media Professional should know, 2013.
Ridwan Santoso 2014 (online) http://ridwansantosoug.blogspot.co.id/2014/11/pengertian-audit-sistem-informasi.html ( diakses mar 2017)
Maisari 2013 (online) https://may9946.wordpress.com/2013/03/02/pentingnya-audit-sistem-informasi-bagi-perusahaan/ (diakses maret 2017)
Macmillan 2013 (online) http://www.windowsecurity.com/whitepapers/misc/Maximum_Security/Maximum_Security__Chapter_3__Hackers_and_Crackers_.html (diakses maret 2017)
Daniel 