1. Pengertian
Audit TI (Teknologi Informasi)
Audit teknologi informasi (Inggris:
information technology (IT) audit atau information systems (IS) audit)
adalah bentuk pengawasan dan pengendalian dari infrastruktur
teknologi informasi secara menyeluruh. Audit
teknologi informasi ini dapat berjalan bersama-sama dengan audit
finansial dan audit internal, atau dengan kegiatan pengawasan
dan evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit
teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi
dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah
lain dari audit teknologi informasi adalah audit komputer yang banyak
dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah
bekerja secara efektif, dan integratif dalam mencapai target organisasinya.
2. Tujuan Audit TI
Secara umum, ada lima tujuan dalam pelaksanaan audit TI, yaitu:
1.
Memberikan rekomendasi terhadap temuan yang muncul pada proses audit
Namanya juga
audit, tindakan ini melakukan pemeriksaan atas arsip pembukuan perusahaan. Bisa
saja ada temuan yang sebelumnya tidak disadari. Audit TI merekomendasikan
temuan ini untuk segera ditindaklanjuti.
2. Rekomendasi mengenai tindakan yang
dikerjakan
Selain temuan,
ada pula rekomendasi tentang tindakan yang bisa ditempuh. Hal ini bisa
menghemat waktu sebab tindak lanjut yang diambil bisa segera dilakukan tanpa
harus memikirkan ulang cara penanganannya.
3. Mengawasi pelaksanaan rekomendasi
Setelah memberikan
rekomendasi, audit TI bisa berlaku juga sebagai pengawas. Hal ini untuk
memastikan bahwa tindakan yang diambil bisa berjalan secara presisi dan tidak
menimbulkan masalah baru.
4. Memberikan jaminan kepada manajemen
tentang kondisi yang ada pada
organisasi
Audit yang baik
akan memberikan preseden yang baik pula terhadap perusahaan. Hasil ini juga
bisa memberi gambaran umum kepada manajemen tentang kondisi organisasinya.
5.
Melakukan penilaian
Setelah melakukan
serangkaian proses audit, akan diketahui bagaimana kinerja yang telah dilakukan
oleh perusahaan. Proses ini juga bisa menunjukkan penilaian sehingga bisa
terlihat tingkat efektivitas dan efisiensi yang dijalankan.
AUDIT KEAMANAN INFORMASI PT XYZ
PT XYZ merupakan perusahaan yang bergerak di bidang layanan
pengelolaan dokumen. Proses bisnis utamanya yaitu percetakan billing
statement atau rekening koran dan penyediaan jasa kurir. Dalam menjalankan
bisnisnya, PT XYZ bekerja sama dengan beberapa bank di Indonesia(lokal) dan
bank asing, salah satunya adalah Bank ABC. Bank ABC, sebagai salah satu
pelanggan PT XYZ merupakan bank yang sudah melakukan sertifiasi ISO 27001.
Bank ABC melakukan audit keamanan informasi pada PT.XYZ selama
kurang lebih 2 (dua) bulan, yaitu dari bulan Februari 2012 sampai dengan bulan
Maret 2012. Di mana Bank ABC melakukan audit keamanan informasi di PT XYZ, yang
meliputi audit terhadap informasi yang diterima, informasi yang diproses, serta
informasi yang dicetak dan didistribusikan kepada pelanggan sesuai alamat
pelanggan. Hasil audit Bank ABC berbeda dengan ekspektasi Divisi Teknologi
Informasi (TI) PT XYZ selama ini. Sesuai hasil audit keamanan informasi
tersebut, keamanan informasi PT XYZ dinilai masih lemah. Selain itu, monitoring
dan evaluasi dari pihak yang berwenang dinilai masih kurang, sehingga kriteria
keamanan informasi belum terpenuhi. Kurangnya monitoring dan evaluasi ini
menjadi salah satu penyebab masalah belum terpenuhinya kriteria keamanan
informasi di PT XYZ.
Belum tercapainya kriteria keamanan informasi salah satunya
disebabkan karena belum adanya kebijakan dan prosedur keamanan informasi komprehensif,
baik yang berlaku pada tingkat operasional (teknis) maupun manajerial.
Ekspektasi divisi TI selama ini adalah keamanan informasi perusahaan sudah baik
(aman), begitu pula dengan keamanan informasi pelanggan. Hal ini ditunjang dari
adanya kebijakan dan prosedur keamanan informasi yang berlaku di PT XYZ.
Ditinjau dari hasil audit bank tersebut, divisi TI memutuskan
melakukan audit kepatuhan keamanan informasi untuk menguji apakah tingkat
kepatuhan keamanan informasi perusahaan terhadap visi dan misi best services
terhadap pelanggan yang sudah memenuhi aspek keamanan informasi dan menguji
penga- ruhnya terhadap keamanan informasi perusahaan dan pelanggan. Dari hasil
audit kepatuhan keamanan informasi ini, nantinya didapatkan kebijakan dan
prosedur yang lemah sehingga dapat diberikan rekomendasi kebijakan dan prosedur
yang lebih komprehensif sesuai standar internasional ISO 27001.
Permasalahan yang dihadapi dalam penelitian ini yaitu divisi TI PT.
XYZ mengalami kesulitan untuk mengetahui batasan batasan atau ruang lingkup
audit yang digunakan oleh bank ABC, sehingga divisi TI hanya terbatas pada
audit kepatuhan keamanan informasi terhadap visi dan misi best services
perusahaan. Jika di tengah jalan didapatkan kebijakan dan prosedur yang lemah
maka akan direkomendasikan kebijakan dan prosedur baru.
Analisis:
PT XYZ merupakan perusahaan yang bergerak di bidang percetakan
billing statement atau rekening koran. Dalam menjalankan bisnisnya PT XYZ
bekerja sama dengan salah satu bank indonesia yaitu Bank ABC. Bank ABC
merupakan bank yang sudah melakukan audit pada PT XYZ dalam kurun waktu 2
bulan.Dimana Bank ABC melakukan audit meliputi,audit terhadap informasi yang
diterima,informasi yang di proses serta informasi yang dicetak dan di
distribusikan kepada pelanggan sesuai dengan alamat.Sesuai hasil audit yang
telah dilakukan oleh Bank ABC dinilai masih lemah dalam melakukan audit
informasi keamanan pada PT XYZ. Selain itu monitoring dan evaluasi dari pihak
yang berwenang dinilai masih kurang.Sehingga menjadi salah satu penyebab
masalah belum terpenuhi kriteria keamanan informasi di PT XYZ.
Kesimpulan:
Ditinjau
dari hasil audit bank tersebut, divisi TI memutuskan melakukan audit kepatuhan
keamanan informasi untuk menguji apakah tingkat kepatuhan keamanan informasi
perusahaan terhadap visi dan misi best services terhadap pelanggan yang
sudah memenuhi aspek keamanan informasi dan menguji penga- ruhnya terhadap
keamanan informasi perusahaan dan pelanggan. Dari hasil audit kepatuhan
keamanan informasi ini, nantinya didapatkan kebijakan dan prosedur yang lemah
sehingga dapat diberikan rekomendasi kebijakan dan prosedur yang lebih
komprehensif sesuai standar internasional ISO 27001.
SUMBER:
