Audit Teknologi Informasi dalam Lingkungan Global

Pengertian Audit Teknologi Informasi (TI) dan cakupannya

Seiring dengan globalisasi, ekonomi dunia menjadi saling bergantung satu sama lain dan risiko geopolitis ikut mempengaruhi semua orang. Saat ini, infrastruktur teknologi informasi telah diintegrasikan dalam bisnis untuk mendukung proses bisnis organisasi di seluruh dunia. Dengan demikian, kebutuhan akan kontrol dan audit teknologi informasi menjadi semakin besar untuk memastikan bahwa integritas sistem informasi dan pelaporan keuangan dalam organisasi tetap berjalan dengan baik.

Audit teknologi informasi merupakan perluasan dan perkembangan dari audit tradisional yang muncul akibat:

  • Para auditor menyadari peran komputer yang semakin penting dalam menjalankan pekerjaan mereka
  • Manajemen perusahaan dan pemrosesan informasi menyadari bahwa sumber daya teknologi informasi merupakan kunci untuk bersaing dalam lingkungan bisnis dan sama pentingnya dengan sumber daya berharga lainnya di organisasi sehingga perlu untuk dikontrol dan diaudit.
  • Asosiasi dan organisasi profesional, serta badan pemerintah menyadari kebutuhan akan kontrol dan audit TI

Awalnya, komponen audit TI berasal dari beberapa area, seperti audit tradisional menyumbangkan pengetahuan tentang praktik kontrol internal dan keseluruhan filosofi kontrol, manajemen sistem informasi menyumbangkan metodologi yang diperlukan untuk dapat berhasil merancang dan mengimplementasikan sistem, ilmu perilaku menanyakan dan menganalisis alasan dan waktu gagalnya sistem informasi karena masalah manusia, dan bidang ilmu komputer yang berkontribusi terhadap konsep kontrol, disiplin, teori, dan model formal yang mendasari rancangan perangkat keras dan perangkat lunak sebagai dasar untuk memelihara validitas, reliabilitas, dan integritas data.

Audit merupakan pemeriksaan independen terhadap tuntutan manajemen organisasi yang harus mengikuti sejumlah panduan dan standar yang telah ditetapkan lembaga eksternal. Merhout dan Havelka (2008) menyatakan bahwa agar dapat diklasifikasikan sebagai audit teknologi informasi, pemeriksaan harus mencakup teknologi informasi, baik sebagai fokus pemeriksaan khusus (walaupun secara tidak langsung, seperti tata kelola TI), atau sebagai cara untuk menyelesaikan suatu masalah. Audit TI dapat dilakukan oleh auditor eksternal sebagai bagian audit laporan keuangan tahunan dengan tujuan untuk menguji struktur kontrol internal terkait sistem informasi ataupun oleh fungsi audit internal untuk memenuhi tanggung jawab manajemen terkait tata kelola. Selain itu, audit TI dapat dilakukan dalam konteks peninjauan proses bisnis atau sebagai bagian audit yang lebih luas yang terintegrasi dimana auditor finansial dan teknologi bekerja sama, atau ketika operasional internal dan auditor SI bersama-sama mengritik proses bisnis dengan sistem pendukungnya.

Menurut Senft dan Gallegos (2009), audit teknologi informasi adalah evaluasi terhadap teknologi informasi, praktik, dan operasi untuk memastikan integritas dari informasi yang diperoleh, yang mana evaluasi ini mencakup penilaian efisiensi, efektivitas, dan ekonomi praktik berbasis komputer.

Evaluasi sistem, praktik, dan operasi yang dilakukan oleh seorang auditor dapat meliputi salah satu atau kedua hal berikut:

  • Penilaian dari kontrol internal dalam lingkungan teknologi informasi untuk memastikan validitas, reliabiltas dan keamanan dari informasi
  • Penilaian dari efisiensi dan efektivitas lingkungan teknologi informasi dalam istilah ekonomi

Selama audit TI, aktivitas dan prosedur yang dilaksanakan meliputi meninjau dokumentasi proses bisnis, mengevaluasi kontrol yang tertanam dalam aplikasi seperti sistem enterprise (misal: sistem enterprise resource planning, customer relationship management, atau supply chain management), menguji antarmuka antara sistem-sistem ini, meninjau audit log dari pemrosesan transaksi, menguji akurasi dan validitas data yang tersimpan dalam basis data, meninjau dan menguji kontrol akses terhadap aplikasi, basis data, dan jaringan, dan mengevaluasi status proyek pengembangan sistem. Aktivitas-aktivitas ini bervariasi mulai dari tugas yang sangat rinci sampai pada analisis tingkat tinggi yang membutuhkan pengalaman dan keahlian dengan teknologi tertentu. Audit teknologi yang kompleks dan protokol komunikasi dilakukan dengan melibatkan internet, intranet, ekstranet, electronic data interchange, client servers, local and wide area network, komunikasi data, telekomunikasi, teknologi wireless, dan sistem suara/data/video yang terintegrasi.

Audit teknologi informasi mendukung penilaian auditor mengenai kualitas informasi yang diproses oleh sistem. Para staf audit akan meminta bantuan terhadap auditor TI ketika mereka membutuhkan bantuan yang terkait dengan teknologi. Ada banyak kebutuhan audit dalam audit TI seperti audit organisasional TI (kontrol manajemen terhadap TI), audit teknikal TI (infrastruktur, data center, komunikasi data), audit aplikasi TI (bisnis / keuangan / operasional), audit pengembangan / implementasi TI (fase spesifikasi / persyaratan, perancangan, pengembangan, dan setelah implementasi), dan audit kepatuhan TI terhadap standar nasional maupun internasional. Auditor TI berperan untuk memastikan bahwa kontrol internal yang cukup telah dilakukan dan dioperasikan secara efisien dan efektif.

Menurut Mahendra (2011), cakupan audit TI terdiri dari setidaknya enam komponen penting, yaitu: pendefinisian tujuan perusahaan; penentuan isu, tujuan, dan perspektif bisnis antara penanggung jawab bagian dengan bagian TI; peninjauan terhadap pengorganisasian bagian TI yang meliputi perencanaan proyek, status dan prioritasnya, penempatan staff, belanja TI, dan manajemen perubahan proses TI; penilaian infrastruktur teknologi, penilaian aplikasi bisnis; serta temuan-temuan, dan laporan rekomendasi.

Profesi audit TI memiliki standar teknis yang berlaku secara mendunia, yaitu kode etik dari Information Systems Audit and Control Association (ISACA), dan program sertifikasi profesi Certified Information Systems Auditor (CISA) yang membutuhkan pengetahuan khusus, kemampuan praktis, dan persiapan yang panjang serta intensif. Bila tidak ada program akademik yang tersedia, maka organisasi akan memberikan pelatihan sendiri dan pengembangan profesi terhadap karyawannya.

Pengetahuan luas dan mendalam yang dibutuhkan dalam audit TI meliputi:

  • Penerapan pendekatan audit yang berorientasi risiko
  • Penggunaan alat dan teknik audit yang dibantu komputer
  • Penerapan standar (nasional atau internasional) seperti ISO 9000/3 dan ISO 17799 untuk meningkatkan dan mengimplementasikan sistem berkualitas dalam pengembangan perangkat lunak dan memenuhi standar keamanan
  • Pemahaman peran bisnis dan harapan dalam pengauditan pengembangan sistem beserta pembelian paket perangkat lunak dan manajemen proyek
  • Penilaian keamanan informasi dan masalah privasi yang dapat membahayakan organisasi
  • Pemeriksaan dan verifikasi ketaatan organisasi terhadap isu hukum terkait TI yang dapat membahayakan organisasi
  • Evaluasi siklus hidup pengembangan sistem (SDLC) yang kompleks atau teknik pengembangan baru (mis: prototyping, komputasi pengguna akhir, pengembangan cepat, atau pengembangan aplikasi)
  • Pelaporan ke manajemen dan melakukan tinjauan lanjutan untuk memastikan bahwa sudah ada tindakan yang dilakukan

Dengan demikian, dapat disimpulkan bahwa audit teknologi informasi merupakan pemeriksaan dan evaluasi yang dilakukan terhadap teknologi informasi dan proses bisnisnya untuk menilai integritas informasi yang dihasilkan sistem, menilai kontrol internal teknologi informasi, dan meninjau proses bisnis yang sedang dijalankan beserta sistem pendukungnya. Seorang auditor harus memiliki berbagai bidang pengetahuan dan keterampilan, baik itu yang sifatnya organisasional, teknis, maupun hukum agar dapat melaksanakan audit teknologi informasi secara menyeluruh.

Pentingnya kontrol TI dan audit dalam lingkungan virtual

Pada dasarnya, teknologi mempengaruhi tiga area penting dalam lingkungan bisnis, yaitu:

  • Teknologi telah mempengaruhi apa yang bisa dilakukan dalam bisnis terkait informasi dan merupakan enabler bisnis. Teknologi meningkatkan kemampuan untuk menangkap, menyimpan, menganalisa, dan mengolah sejumlah besar data dan informasi sehingga membantu proses pengambilan keputusan. Teknologi juga telah menjadi komponen kritis dalam proses bisnis yang memungkinkan berbagai proses layanan dan produksi. Terdapat efek lanjutan di mana peningkatan penggunaan teknologi akan meningkatkan anggaran, meningkatkan keberhasilan dan kegagalan, dan meningkatkan kesadaran akan kebutuhan kontrol dan audit.
  • Teknologi berdampak secara signifikan terhadap proses kontrol. Meskipun tujuan kontrol pada umumnya masih sama, teknologi telah mengubah cara bagaimana sistem harus dikontrol. Melindungi aset baik secara manual ataupun terotomasi tetap merupakan tujuan utama proses kontrol, namun bagaimana tujuan kontrol tersebut dicapai telah terkena dampak perubahan teknologi.
  • Teknologi memiliki dampak terhadap profesi audit terutama dalam kaitan tentang bagaimana audit dilakukan (pengumpulan dan analisis informasi, masalah kontrol) dan pengetahuan yang dibutuhkan untuk menarik kesimpulan mengenai operasional atau efektivitas sistem, efisiensi dan integritas, dan pelaporan integritas. Pada mulanya, pengaruhnya adalah pada lingkungan pemrosesan yang berubah, tetapi karena pertumbuhan permintaan auditor yang memiliki keterampilan teknologi, maka profesi audit TI juga ikut berubah.

Berdasarkan tulisan Stoel et al. (2012), ada 2 alasan utama mengapa audit TI menjadi semakin penting, yaitu (1) adanya peningkatan terhadap belanja TI dan ketergantungan terhadap TI dalam menjalankan operasi bisnis; dan (2) peraturan perundang-undangan baru dan kebutuhan profesional terkait audit operasi ini. Meningkatnya ketergantungan terhadap TI dan investasi yang diperlukan akan meningkatkan kebutuhan untuk memastikan bahwa sistem dapat melakukan apa yang dijanjikan. Audit TI umumnya dipakai secara internal untuk memeriksa operasi, efektivitas, kontrol, dan keamanan sistem kritis untuk mengidentifikasi kesempatan peningkatan dan meminimalkan kelemahan.

Ron Weber (1998) menyebutkan beberapa alasan penting mengapa audit TI perlu dilakukan dalam suatu perusahaan, antara lain:

  • Kerugian akibat kehilangan data.
  • Kesalahan dalam pengambilan keputusan.
  • Resiko kebocoran data.
  • Penyalahgunaan komputer.
  • Kerugian akibat kesalahan proses perhitungan.
  • Tingginya nilai investasi perangkat keras dan perangkat lunak komputer.

Menurut DeHaes dan Van Grembergen (2008), audit TI dapat dipakai pada setiap level organisasi untuk mengevaluasi proses, struktur, atau mekanisme yang digunakan untuk mengimplementasi tata kelola TI. Pada level strategis, tata kelola TI adalah proses mengendalikan sumber daya TI organisasi dan mengembangkan strategi TI. Audit TI menjadi bagian penting dari tata kelola TI dan merupakan proses penting dalam kerangka COBIT dan ITIL. Pada level ini, audit TI memastikan bahwa strategi TI selaras dengan strategi keseluruhan TI dan bahwa kebijakan TI yang spesifik telah ditetapkan dan diikuti. Organisasi memanfaatkan proses audit TI untuk mengurangi risiko terkait investasi dan penerapan TI. Pada level manajemen, audit TI memastikan bahwa anggaran dan rencana TI telah disiapkan dan dijalankan menurut aturan bisnis yang sesuai, serta memastikan bahwa proyek pengembangan dan implementasi telah diawasi dengan baik. Pada level operasional, audit TI memastikan pemrosesan transaksi bisnis sehari-hari telah berjalan dengan lancar dan mematikan operasi fungsi TI yang baik dalam organisasi. Hal ini termasuk mengidentifikasi risiko dan kontrol terkait aplikasi dan proses bisnis dan pengujian spesifik dimana kontrol bekerja dengan baik.

Senft dan Gallegos (2009) dalam bukunya yang berjudul Information Technology Control and Audit, menuliskan bahwa saat ini sudah banyak orang yang berbelanja melalui jaringan internet di rumahnya. Mereka menggunakan “nomor” atau rekening untuk membeli apa yang mereka inginkan via komputer atau smartphone. “Nomor” yang dimaksud merupakan uang digital, mata uang baru di dunia digital. Manfaat terbesar dari uang digital ini adalah peningkatan efisiensi sedangkan masalah terbesarnya adalah keamanan dan privasi. Pelanggan perlu berhati-hati di internet karena ada yang menggunakannya untuk penipuan, kejahatan, dan merugikan orang lain. Para kriminal dapat mengakses data pribadi pelanggan dan melakukan kejahatan dengan mencuri identitas orang lain. Oleh karena itu, audit dan kontrol TI sangat diperlukan. Semua orang harus bekerja sama untuk merancang, mengimplementasikan, dan mengintegrasikan perlindungan dan pengamanan terhadap teknologi informasi.

Masalah terkait kontrol dan audit di lingkungan global

Walaupun seluruh organisasi memerlukan pengendalian umum yang baik tanpa harus memperhatikan struktur fungsi TI, namun menurut Arens et al. (2009), terdapat beberapa masalah pengendalian umum yang bervariasi tergantung pada lingkungan TI, yakni:

1. Masalah pada lingkungan jaringan

Dalam lingkungan jaringan, berbagai perangkat lunak aplikasi dan data file yang digunakan untuk pemrosesan transaksi berada dalam komputer yang saling terhubung satu sama lain. Perusahaan kecil bisa memiliki beberapa server komputer yang saling terhubung di suatu jaringan, sedangkan perusahaan besar bisa memiliki ratusan server di berbagai lokasi yang terhubung satu sama lain.

Lingkungan jaringan akan menimbulkan berbagai masalah pengendalian yang perlu dipertimbangkan auditor dalam merencanakan audit. Contoh: auditor sering meningkatkan risiko pengendalian jika perusahaan memiliki jaringan yang mencakup banyak server yang tersebar di berbagai lokasi, karena operasi jaringan yang terdesentralisasi hampir selalu kekurangan pengamanan dan pengawasan manajemen terhadap berbagai server yang terhubung.

2. Masalah pada sistem manajemen basis data

Sistem manajemen basis data berguna untuk mengurangi duplikasi data, meningkatkan pengendalian terhadap data, dan memberikan informasi yang lebih baik untuk pengambilan keputusan dengan mengintegrasikan informasi di sepanjang fungsi-fungsi dan departemen-departemen dalam perusahaan.

Pengendalian meningkat ketika data tersentralisasi dalam sistem manajemen basis data dengan menghilangkan duplikasi data. Namun, risiko meningkat ketika beragam pengguna, dari berbagai departemen, dapat mengakses dan mempengaruhi data. Untuk mengatasi hal tersebut, perusahaan menerapkan administrasi basis data serta pengendalian akses yang tepat. Dengan data yang terpusat pada satu sistem, perusahaan perlu memastikan adanya back-up data secara berkala.

3. Masalah pada sistem e-commerce

Perusahaan menggunakan sistem e-commerce untuk melakukan berbagai transaksi bisnis secara elektronik akan menghubungkan sistem akuntansi internal perusahaan dengan pihak eksternal seperti pemasok dan pelanggan sehingga risiko yang dihadapi perusahaan sebagian bergantung pada seberapa baik rekan e-commerce mengidentifikasi dan mengelola risiko yang ada dalam sistem mereka sendiri.

Penggunaan sistem e-commerce membuat data perusahaan menjadi sensitif dan program serta perangkat keras menjadi lebih terbuka oleh kemungkinan campur tangan atau sabotase dari pihak luar. Untuk membatasi kemungkinan itu, perusahaan menggunakan firewall, teknik enkripsi dan tanda tangan digital.

4. Masalah ketika klien meng-outsource TI

Banyak klien yang meng-outsource beberapa atau semua kebutuhan TI-nya kepada pusat layanan komputer independen, termasuk penyedia layanan aplikasi, dibandingkan dengan pusat TI internal. Perusahaan-perusahaan yang lebih kecil sering meng-outsource fungsi penggajian mereka karena penggajian relatif sama di satu perusahaan dengan perusahaan lainnya, dan banyak penyedia jasa penggajian yang handal yang tersedia.

Auditor menghadapi kesulitan untuk memahami pengendalian internal klien dalam situasi tersebut karena banyak pengendalian yang terletak di pusat layanan, dan auditor tidak dapat menganggap pengendalian sudah dilakukan dengan tepat karena pusat layanan tersebut merupakan perusahaan independen. Standar audit mengharuskan auditor untuk mempertimbangkan kebutuhan dalam memahami dan menguji pegendalian internal pusat layanan jika aplikasi pusat layanan tersebut memasukkan pemrosesan data keuangan yang penting.

Berdasarkan buku Senft dan Gallegos (2009), mekanisme koin, mata uang, dan pembayaran permintaan deposit berkembang selama beberapa dekade karena kenyamanan, keamanan, efisiensi, dan penerimaan luas oleh masyarakat. Namun, perubahan besar pada mekanisme pembayaran yang terjadi sekarang adalah pengiriman data secara elektronik / electronic funds transfers (EFT).

E-commerce dan EFT sudah ada sejak tahun 1960-an. Industri perbankan merupakan salah satu pengguna pertama sistem komputer, dimulai dengan tugas pembukuan dan akuntansi, otomasi aliran transaksi, mengimplementasi teknologi magnetic ink character recognition (MICR), dan kemudian menggunakan terminal online untuk meng-update akun penyimpan dan mencatat penerimaan atau pembayaran kas. Perkembangan teknologi komputer dan komunikasi mendorong pertumbuhan fenomenal EFT, apalagi dengan semakin familiar dan percayanya konsumen terhadap EFT. Sekarang, EFT tidak hanya dapat dipakai di industri perbankan, tetapi juga supermarket, toko pakaian, pom bensin, dan taman hiburan. Untuk membayar barang dan jasa, tidak harus memakai cek atau uang tunai, tetapi dapat dengan EFT. Terjadi pula pergeseran dari sistem kas dan cek tradisional ke sistem pembayaran elektronik.

Dari uraian di atas, masalah terkait kontrol dan audit pada saat ini berkaitan tentang bagaimana mengamankan teknologi informasi dalam lingkungan jaringan yang serba terhubung, melindungi data yang tersimpan dalam sistem ataupun yang sudah di-outsource kepada pihak ketiga, memastikan keamanan sistem e-commerce dan sistem pembayaran elektronik yang semakin berkembang dan ramai dipakai belakangan ini.

Pengertian E-Cash dan kontrol TI terkait E-Cash

Peningkatan penggunaan internet telah membawa bentuk pertukaran baru yaitu virtual commerce. Masyarakat tidak perlu membawa uang tunai, cek, dan bahkan kartu kredit ke mana-mana (cashless society) karena virtual commerce melibatkan electronic cash (E-cash). Cara kerja transaksi virtual sama seperti ketika menggunakan uang tunai fisik, tetapi tanpa simbol fisiknya.

Wan (1998) menyebutkan bahwa E-cash merupakan sistem uang tunai elektronik yang bersifat anonim, mirip seperti uang tunai ataupun nota bank, tetapi ditransfer melalui jaringan sebagai bits informasi. Artinya seseorang dapat membeli barang atau jasa dengan cara mengirimkan nomor dari satu komputer ke komputer lain. Nomor tersebut diisukan oleh sebuah bank dan merepresentasikan sejumlah uang nyata yang mempunyai nilai tukar dan bersifat anonym serta dapat dipakai seperti uang tunai biasa. Intinya e-cash hanyalah representasi lain dari nilai uang. Anonimitas dipertahankan melalui public key cryptography, digital signatures, dan blind signatures.

Dalam perkembangannya, Satoshi Nakamoto (2008) mengusulkan electronic cash dengan versi peer-to-peer yang memungkinkan pembayaran online dikirimkan secara langsung dari satu pihak ke pihak lain tanpa harus melalui institusi finansial, yang populer disebut bitcoin. Solusi ini bertujuan untuk mengatasi masalah double-spending dengan menggunakan jaringan peer-to-peer.

Senft dan Gallegos (2009) menyatakan bahwa meskipun penggunaan E-cash memiliki dampak positif seperti kenyamanan, fleksibilitas, kecepatan, penghematan biaya, dan privasi yang lebih besar dibandingkan penggunaan kartu kredit atau cek di internet, penggunaan E-cash juga memiliki dampak negatif. Pertumbuhan sistem E-cash yang tidak terkendali dapat mengancam bank dan sistem pembayaran yang diawasi pemerintah, sehingga menumbuhkan sistem yang membingungkan dan tidak efisien. Sistem ­E-cash juga belum tentu lebih aman dibandingkan uang tunai biasa karena uang yang disimpan dalam komputer (PC) dapat hilang jika sistemnya rusak. Selain itu, E-cash memungkinkan aktivitas kriminal seperti pencucian uang dan penghindaran pajak. Para pemalsu atau peniru (counterfeiters) dapat membuat E-cash palsu yang sulit dibedakan dengan yang asli. Terakhir, para kriminal seperti hacker komputer dapat mencuri kekayaan ribuan konsumen elektronik.

Oleh karena itu, banyak perusahaan yang mengembangkan sistem pembayaran elektronik sendiri yang dapat mengatasi kekhawatiran konsumen. Jutaan transaksi terjadi setiap harinya dan akan terus meningkat di masa mendatang sehingga ada kebutuhan akan keamanan dan privasi atas pembayaran yang dilakukan melalui internet. Peningkatan jumlah e-commerce juga meningkatkan kemungkinan terjadinya kecurangan. E-commerce bergantung pada keamanan dan privasi, karena tanpanya, konsumen ataupun bisnis tidak akan merasa nyaman untuk memberikan data personal dan melakukan transaksi secara elektronik. Perusahaan perlu untuk menjalankan bisnis secara online dan menjangkau pelanggan lewat internet. Area yang menjadi perhatian dalam E-commerce adalah kerahasiaan, integritas, non repudiation (jaminan bahwa seseorang tidak dapat menyangkal melakukan sesuatu yang memang dia lakukan), dan autentikasi (proses menentukan apakah seseorang memang faktanya merupakan orang yang dia sebut). Cara-cara yang dipakai untuk menjawab masalah di atas adalah melalui enkripsi, kriptografi, dan keterlibatan pihak ketiga.

Auditor TI dan lingkungan hukum Sistem Informasi (SI)

Dengan banyaknya skandal finansial yang melibatkan perusahaan besar, perusahaan lain meminta agar peraturan hukum baru dibuat untuk mencegah, mendeteksi dan mengoreksi penyimpangan tersebut. Di samping itu, lingkungan teknologi jaringan yang semakin canggih membuat masalah keamanan dan privasi yang awalnya hanya menjadi perhatian pakar hukum dan teknis menjadi masalah yang dihadapi semua pengguna. Demikian juga perkembangan internet yang awalnya menghubungkan beberapa komputer pemerintah dan perguruan tinggi, sekarang sudah dimanfaatkan oleh hampir semua orang di seluruh dunia. Penggunaan umum internet meliputi semuanya mulai dari pemasaran, penjualan, hiburan, sampai untuk e-mail, penelitian, perdagangan, dan berbagi informasi. Sayangnya, muncul pula masalah baru yang harus ditangani yaitu tentang keamanan dan privasi. Masalah-masalah ini menjadi perhatian spesialis audit dan kontrol TI karena dampaknya terhadap organisasi publik dan swasta. Peraturan saat ini dan rencana pemerintah akan mempengaruhi komunitas online, dan bersama dengan peran pemerintah pada masyarakan jaringan, memiliki dampak yang berkepanjangan terhadap praktik bisnis di masa mendatang.

Federal Financial Integrity Legislation

Sarbanes-Oxley Act of 2002 melarang semua kantor akuntan publik yang terdaftar untuk menyediakan klien jasa audit maupun non audit seperti audit outsourcing internal, jasa perancangan dan implementasi sistem informasi finansial, dan jasa pakar. Batasan ruang lingkup jasa melampaui regulasi independen dari Security and Exchange Commission (SEC). Jasa yang lain, termasuk jasa pajak, hanya diizinkan apabila telah disetujui komite audit dan semua persetujuan ini harus diberitahukan dalam laporan periodik kepada SEC.

Federal Security Legislation

Pemerintah federal Amerika Serikat telah mengeluarkan beberapa peraturan hukum yang dapat diikuti auditor TI untuk mengatasi masalah kejahatan komputer dan keamanan dan privasi sistem informasi. Contoh peraturan tersebut di antaranya:

  • The Computer Fraud and Abuse Act (CFAA): pertama diberlakukan tahun 1984 untuk merespon kejahatan komputer. Peraturan ini direvisi pada tahun 1994 dalam Computer Abuse Amendments Act untuk meliputi kejahatan seperti trespassing (masuk tanpa otorisasi) ke dalam sistem online, melewati hak akses yang diberikan, dan berbagi informasi tentang bagaimana bisa masuk ke dalam sistem tanpa otorisasi.
  • The Computer Security Act of 1987: diberlakukan karena adanya kekhawatiran kongres dan kesadaran masyarakat atas masalah terkait keamanan komputer dan karena adanya perselisihan tentang kontrol informasi yang tidak bersifat rahasia. Tujuannya adalah untuk melindungi informasi sensitif dalam sistem komputer pemerintah federal. Di dalamnya, berisi pula standar dan panduan untuk memfasilitas perlindungan informasi dalam sistem komputer federal.

Privacy on the Information Superhighway

Banyaknya jumlah pengguna internet mengakibatkan ketersediaan sejumlah besar informasi pribadi di jaringan, yang sayangnya dapat dilihat oleh siapapun yang tertarik. Beberapa peraturan yang dibuat untuk mengatur tentang hak privasi seseorang antara lain:

  • Privacy Legislation and the Federal Government Privacy Act: tujuannya untuk menyediakan perlindungan terhadap pelanggaran privasi seseorang, dan aturan ini meminta agen federal untuk:
    • Mengizinkan individu untuk menentukan catatan apa terkait dirinya yang dikumpulkan dan dipertahankan oleh agensi federal
    • Mengizinkan individu untuk mencegah catatan terkait dirinya didapatkan dan digunakan untuk tujuan tertentu ataupun digunakan untuk tujuan lain tanpa persetujuan
    • Mengizinkan individu untuk mengakses informasi terkait dirinya pada catatan agensi federal dan untuk mengoreksi ataupun mengubahnya
    • Meminta agensi federal mengumpulkan, memelihara, dan menggunakan informasi pribadi dalam cara yang memastikan bahwa tindakan tersebut dibutuhkan dan tidak melanggar hukum, bahwa informasi tersebut baru dan akurat, dan tindakan pengamanan disediakan untuk mencegah penyalahgunaan informasi.
  • Electronic Communications Privacy Act: aturan yang menentang pelanggaran informasi pribadi yang diterapkan pada sistem online.
  • Communications Decency Act of 1995: melarang konten yang tidak pantas dan ofensif untuk dapat diakses anak di bawah umur lewat jaringan komputer. Dendanya hingga $250,000 dan ancaman penjara 2 tahun.
  • Health Insurance Portability and Accountability Act of 1996: tujuannya adalah untuk memudahkan warga negara menjaga asuransi kesehatan mereka ketika mereka berganti pekerjaan dan membatasi kemampuan pemberi asuransi untuk menolak mereka berdasarkan kondisi kesehatan yang sudah ada. Seiring berkembangnya zaman, ditambahkan penyederhanaan administratif pada aturan ini sehingga adanya adopsi standar nasional untuk transaksi electronic health care. Dengan demikian, organisasi medis perlu berinvestasi pada teknologi seperti sertifikat digital, autentikasi, dan standar biometrik untuk memastikan bahwa yang mengakses informasi tersebut adalah pihak yang berwenang dan memiliki akses.

Meskipun banyak produk yang cukup efisien dalam mengamankan kebanyakan serangan terhadap jaringan, tidak ada produk tunggal yang mampu melindungi sistem dari segala macam kemungkinan ancaman. Peraturan keamanan saat ini, meskipun menangani masalah intrusi jaringan, juga memiliki kelemahan dimana beberapa kriminal dapat lolos hukuman atas akses tak terotorisasi ke sistem komputer. Kemudian, beberapa peraturan juga tidak ditinjau secara berkala sehingga ada kemungkinan ketinggalan zaman karena industri terus berubah sehingga perlu diperbaharui secara konstan.

Beberapa peraturan yang diberlakukan telah melindungi pengguna terhadap pelanggaran privasi, namun aturan tersebut memiliki banyak pengecualian sehingga kurang berhasil. Pemerintah terus menggunakan teknik tercanggih dengan tujuan mengakses informasi demi “keamanan nasional” yang dibenarkan oleh Homeland Security Act. Peraturan baru perlu dibuat untuk mengatasi masalah-masalah ini agar warga negara dapat menikmati hak privasinya yang dijamin oleh konstitusi.

Walaupun tidak ada yang dapat menjamin secara penuh keamanan sistem, kita dapat membentuk dan mengimplementasikan kebijakan keamanan komputer yang baik, yang meliputi:

  • Menyebutkan fitur keamanan yang diperlukan
  • Mendefinisikan ekspektasi yang realistis terhadap privasi terkait masalah seperti pengawasan aktivitas orang-orang
  • Mendefinisikan hak akses dan hak istimewa dan melindungi aset dari kerugian, pengungkapan, atau kerusakan dengan memberikan panduan penggunaan yang dapat diterima bagi pengguna dan juga menyediakan panduan untuk komunikasi eksternal (jaringan)
  • Mendefinisikan tanggung jawab semua pengguna
  • Membangun kepercayaan melalui kebijakan kata sandi yang efektif
  • Menyebutkan prosedur pemulihan (recovery)
  • Meminta pelanggaran dicatat
  • Menyediakan informasi dukungan kepada pengguna

Kebijakan keamanan komputer yang baik akan berbeda untuk setiap organisasi, perusahaan, atau individu tergantung pada kebutuhan keamanan, meskipun kebijakan tersebut tidak dapat menjamin keamanan sistem atau jaringan terhadap kemungkinan serangan dan ancaman. Dengan adanya implementasi kebijakan, dibantu oleh produk keamanan yang bagus dan rencana pemulihan, mungkin kerugian yang ditimbulkan dapat diterima dan kebocoran informasi pribadi dapat diminimalkan.

Menurut saya, seorang auditor TI harus memahami lingkungan hukum sistem informasi (SI) karena auditor perlu menjaga dan melindungi privasi individu, memastikan akurasi informasi untuk membantu pengambilan keputusan, memahami properti ataupun hak atas kekayaan intelektual (HAKI) yang dimiliki perusahaan, serta mencegah akses ke sistem oleh pihak yang tidak berkepentingan. Dengan memiliki pengetahuan mengenai hukum dan peraturan perundang-undangan yang berlaku, auditor dapat menghindari organisasi melakukan penyimpangan atau pelanggaran hukum yang akan merugikan organisasi itu sendiri, baik secara finansial maupun non finansial. Pada umumnya, peraturan tersebut juga telah mengatur format laporan apabila auditor ingin mempublikasi hasil audit TI yang telah dilakukan.

Referensi:

Arens, A. A., Elder, R. J., & Mark, B. (2012). Auditing and assurance services: an integrated approach. Boston: Prentice Hall.

De Haes, S., & Van Grembergen, W. (2008). An exploratory study into the design of an IT governance minimum baseline through Delphi research. Communications of the Association for Information Systems22(1), 24.

Merhout, J. W., & Havelka, D. (2008). Information technology auditing: A value-added IT governance partnership between IT management and audit. Communications of the Association for Information Systems23(1), 26.

Nakamoto, S. (2008). Bitcoin: A peer-to-peer electronic cash system.

Nugroho, M. A., 2011, Audit Lingkungan TI: Perspektif dan Dampak pada Proses Auditing Secara Komprehensif, [pdf],(http://staff.uny.ac.id/sites/default/files/penelitian/Mahendra%20Adhi%20Nugroho,%20SE,%20M.Sc/2-Mahendra%20AN.pdf, diakses tanggal 11 Maret 2017)

Senft, S., & Gallegos, F. (2009). Information technology control and audit. CRC Press.

Stoel, D., Havelka, D., & Merhout, J. W. (2012). An analysis of attributes that impact information technology audit quality: A study of IT and financial audit practitioners. International Journal of Accounting Information Systems13(1), 60-79.

Wan, A., 1998, Electronic Cash (Ecash), [htm],(http://homepages.inf.ed.ac.uk/dts/pm/practical/ecash.htm, diakses tanggal 11 Maret 2017)

Weber, R. A. (1998). Information systems control and audit. Pearson Education.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout /  Ubah )

Foto Google

You are commenting using your Google account. Logout /  Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout /  Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout /  Ubah )

Connecting to %s