">

Kamis, 13 September 2012

IT Audit dan IT Forensic

Audit Teknologi Informasi

IT Audit atau Audit teknologi informasi (Inggris: information technology (IT) audit atau information systems (IS) audit) adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Audit teknologi informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya.

Jenis IT Audit

  1. System Audit, audit terhadap sistem terdokumentasi untuk memastikan sudah memenuhi standar nasional atau internasional
  2. Compliance Audit, untuk menguji efektifitas implementasi dari kebijakan, prosedur, kontrol, dan unsur hukum yang lain.
  3. Product/Service Audit, untuk menguji sutu produk atau layanan telah sesuai seperti spesifikasi yang telah ditentukan dan cocok digunakan

Tahapan IT Audit
  1. Tahapan Perencanaan. Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar obyek yang akan diperiksa sehingga menghasilkan suatu program audit yang didesain sedemikian rupa agar pelaksanaannya akan berjalan efektif dan efisien.
  2. Mengidentifikasikan resiko dan kendali. Tahap ini untuk memastikan bahwa qualified resource sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktik-praktik terbaik.
  3. Mengevaluasi kendali dan mengumpulkan bukti-bukti melalui berbagai teknik termasuk survei, interview, observasi, dan review dokumentasi.
  4. Mendokumentasikan dan mengumpulkan temuan-temuan dan mengidentifikasikan dengan audit.
  5. Menyusun laporan.Hal ini mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yang dilakukan.

IT Forensic

IT Forensic merupakan penggunaan sekumpulan prosedur untuk melakukan pengujian secara menyeluruh suatu sistem komputer dengan mempergunakan software dan tool untuk mengekstrak dan memelihara barang bukti tindakan kriminal.

Tujuan
 
Mendapatkan fakta-fakta obyektif dari sebuah insiden/pelanggaran keamanan sistem informasi. Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti-bukti (evidence) yang akan digunakan dalam proses hukum selanjutnya.

Pengetahuan Ahli Forensik Komputer
  1. Dasar-dasar hardware dan pemahaman bagaimana umumnya sistem operasi bekerja.
  2. Bagaimana partisi drive, hidden partition, dan di mana tabel partisi bisa ditemukan pada sistem operasi yang berbeda.
  3. Bagaimana umumnya master boot record tersebut dan bagaimana drive geometry.
  4. Pemahaman untuk hide, delete, recover file dan directory bisa mempercepat pemahaman pada bagaimana tool forensik dan sistem operasi yang berbeda bekerja.
  5. Familiar dengan header dan ekstension file yang bisa jadi berkaitan dengan file tertentu.
Prinsip IT Forensic
  • Forensik bukan proses hacking
  • Data yang diperoleh harus dijaga dan jangan berubah
  • Membuat image dari HD/Floppy/USB-Stick/Memory-dump adalah prioritas tanpa merubah isi dan terkadang menggunakan hardware khusus
  • Image tersebut yang diolah (hacking) dan dianalisis – bukan yang asli
  • Data yang sudah terhapus membutuhkan tools khusus untuk merekonstruksi kembali
  • Pencarian bukti dengan tools pencarian teks khusus atau mencari satu persatu dalam image sumber :
    http://freezcha.wordpress.com/2011/03/20/it-audit-dan-it-forensik-1/
    http://id.wikipedia.org/wiki/Audit_teknologi_informasi
    http://wsilfi.staff.gunadarma.ac.id/Downloads/files/13308/ITAuditForensic.pdf
    http://irmarr.staff.gunadarma.ac.id/Downloads/files/11616/IT+Forensics.doc 
  •  http://awansembilan.blogspot.com/2011/03/it-audit-dan-it-forensic.html

audit forensik

Overview
Audit forensik merupakan gabungan dari keahlian di bidang akuntansi, audit, dan hukum. Hasil dari audit forensik dapat digunakan dalam proses
pengadilan atau bentuk hukum lainnya. Seorang auditor forensik harus memiliki kompetensi akademis dan empiris yang berkaitan dengan proses litigasi. Kompetensi tersebut antara lain dapat diperoleh dari dikat audit forensik dengan pemberian mata ajar yang berkaitan dengan audit investigatif, penghitungan kerugian negara, dan pemberian keterangan ahli di persidangan perkara tindak pidana korupsi.

Tujuan Diklat
Diklat ini dirancang untuk membekali para
peserta pelatihan dengan pemahaman tentang audit forensik sehingga dapat memberikan dukungan dalam proses liltigasi.

Sasaran Diklat

Setelah mengikuti diklat ini, peserta diharapkan dapat:
  • Memahami tentang perilaku menyimpang dan melakukan penilaian risiko fraud.
  • Memahami tentang proses pencucian uang dan pencegahannya.
  • Meningkatkan kemampuan dalam melakukan kegiatan penelusuran aset.
  • Memahami risiko fraud, melakukan identifikasi dan menyikapi risiko fraud.
  • Memahami dan mampu mengikuti proses valuasi bisnis.
  • Memahami kecurangan dalam transaksi keuangan dan dalam pengadaan barang/jasa.
  • Memahami tugas sebagai pemberi keterangan ahli.
  • Memiliki keterampilan dalam melakukan wawancara dan berkomunikasi.

Gambaran Umum Audit Forensik

Audit Forensik terdiri dari dua kata, yaitu audit dan forensik. Audit adalah tindakan untuk membandingkan kesesuaian antara kondisi dan kriteria. Sementara forensik adalah segala hal yang bisa diperdebatkan di muka hukum / pengadilan.
Menurut Association of Certified Fraud Examiners (ACFE), forensic accounting / auditing merujuk kepada fraud examination. Dengan kata lain keduanya merupakan hal yang sama, yaitu:
“Forensic accounting is the application of accounting, auditing, and investigative skills to provide quantitative  financial information about matters before the courts.”
Menurut D. Larry Crumbley, editor-in-chief dari Journal of Forensic Accounting (JFA) “Akuntansi forensik adalah akuntansi yang akurat (cocok) untuk tujuan hukum. Artinya, akuntansi yang dapat bertahan dalam kancah perseteruan selama proses pengadilan, atau dalam proses peninjauan judicial atau administratif”.
Dengan demikian, audit forensik bisa didefinisikan sebagai tindakan menganalisa dan membandingkan antara kondisi di lapangan dengan kriteria, untuk menghasilkan informasi atau bukti kuantitatif yang bisa digunakan di muka pengadilan.
Karena sifat dasar dari audit forensik yang berfungsi untuk memberikan bukti di muka pengadilan, maka fungsi utama dari audit forensik adalah untuk melakukan audit investigasi terhadap tindak kriminal dan untuk memberikan keterangan saksi ahli (litigation support) di pengadilan.
Audit Forensik dapat bersifat proaktif maupun reaktif. Proaktif artinya audit forensik digunakan untuk mendeteksi kemungkinan-kemungkinan risiko terjadinya fraud atau kecurangan. Sementara itu, reaktif artinya audit akan dilakukan ketika ada indikasi (bukti) awal terjadinya fraud. Audit tersebut akan menghasilkan “red flag” atau sinyal atas ketidakberesan. Dalam hal ini, audit forensik yang lebih mendalam dan investigatif akan dilakukan.
forensic audit
Perbandingan antara Audit Forensik dengan Audit Tradisional (Keuangan)

Audit Tradisional
Audit Forensik
Waktu Berulang Tidak berulang
Lingkup Laporan Keuangan secara umum Spesifik
Hasil Opini Membuktikan fraud (kecurangan)
Hubungan Non-Adversarial Adversarial (Perseteruan hukum)
Metodologi Teknik Audit Eksaminasi
Standar Standar Audit Standar Audit dan Hukum Positif
Praduga Professional Scepticism Bukti awal
Perbedaan yang paling teknis antara Audit Forensik dan Audit Tradisional adalah pada masalah metodologi. Dalam Audit Tradisional, mungkin dikenal ada beberapa teknik audit yang digunakan. Teknik-teknik tersebut antara lain adalah prosedur analitis, analisa dokumen, observasi fisik, konfirmasi, review, dan sebagainya. Namun, dalam Audit Forensik, teknik yang digunakan sangatlah kompleks.
Teknik-teknik yang digunakan dalam audit forensik sudah menjurus secara
 spesifik untuk menemukan adanya fraud. Teknik-teknik tersebut banyak yang bersifat mendeteksi fraud secara lebih mendalam dan bahkan hingga ke level mencari tahu siapa pelaku fraud. Oleh karena itu jangan heran bila teknik audit forensik mirip teknik yang digunakan detektif untuk menemukan pelaku tindak kriminal. Teknik-teknik yang digunakan antara lain adalah metode kekayaan bersih, penelusuran jejak uang / aset, deteksi pencucian uang, analisa tanda tangan, analisa kamera tersembunyi (surveillance), wawancara mendalam, digital forensic, dan sebagainya.
Praktik Ilmu Audit Forensik
Penilaian risiko fraud
Penilaian risiko terjadinya fraud atau kecurangan adalah penggunaan ilmu audit forensik yang paling luas. Dalam praktiknya, hal ini juga digunakan dalam perusahaan-perusahaan swasta untuk menyusun sistem pengendalian intern yang memadai. Dengan dinilainya risiko terjadinya fraud, maka perusahaan untuk selanjutnya bisa menyusun sistem yang bisa menutup celah-celah yang memungkinkan terjadinya fraud tersebut.
Deteksi dan investigasi fraud
Dalam hal ini, audit forensik digunakan untuk mendeteksi dan membuktikan adanya fraud dan mendeteksi pelakunya. Dengan demikian, pelaku bisa ditindak secara hukum yang berlaku. Jenis-jenis fraud yang biasanya ditangani adalah korupsi, pencucian uang, penghindaran pajak, illegal logging, dan sebagainya.
Deteksi kerugian keuangan
Audit forensik juga bisa digunakan untuk mendeteksi dan menghitung kerugian keuangan negara yang disebabkan tindakan fraud.
Kesaksian ahli (Litigation Support)
Seorang auditor forensik bisa menjadi saksi ahli di pengadilan. Auditor Forensik yang berperan sebagai saksi ahli bertugas memaparkan temuan-temuannya terkait kasus yang dihadapi. Tentunya hal ini dilakukan setelah auditor menganalisa kasus  dan data-data pendukung untuk bisa memberikan penjelasan di muka pengadilan.
Uji Tuntas (Due diligence)
Uji tuntas atau Due diligence adalah istilah yang digunakan untuk penyelidikan guna penilaian kinerja perusahaan atau seseorang , ataupun kinerja dari suatu kegiatan guna memenuhi standar baku yang ditetapkan. Uji tuntas ini biasanya digunakan untuk menilai kepatuhan terhadap hukum atau peraturan.
Praktik Audit Forensik
Dalam praktik di Indonesia, audit forensik hanya dilakukan oleh auditor BPK, BPKP, dan KPK (yang merupakan lembaga pemerintah) yang memiliki sertifikat CFE (Certified Fraud Examiners). Sebab, hingga saat ini belum ada sertifikat legal untuk audit forensik dalam lingkungan publik. Oleh karena itu, ilmu audit forensik dalam penerapannya di Indonesia hanya digunakan untuk deteksi dan investigasi fraud, deteksi kerugian keuangan, serta untuk menjadi saksi ahli di pengadilan. Sementara itu, penggunaan ilmu audit forensik dalam mendeteksi risiko fraud dan uji tuntas dalam perusahaan swasta, belum dipraktikan di Indonesia.
Penggunaan audit forensik oleh BPK maupun KPK ini ternyata terbukti memberi hasil yang luar biasa positif. Terbukti banyaknya kasus korupsi yang terungkap oleh BPK maupun KPK. Tentunya kita masih ingat kasus BLBI yang diungkap BPK. BPK mampu mengungkap penyimpangan BLBI sebesar Rp84,8 Trilyun atau 59% dari total BLBI sebesar Rp144,5 Trilyun. Temuan tersebut berimbas pada diadilinya beberapa mantan petinggi bank swasta nasional. Selain itu juga ada audit investigatif dan forensik terhadap Bail out Bank Century yang dilakukan BPK meskipun memberikan hasil yang kurang maksimal karena faktor politis yang sedemikian kental dalam kasus tersebut.
Gambaran Proses Audit Forensik
Identifikasi masalah
Dalam tahap ini, auditor melakukan pemahaman awal terhadap kasus yang hendak diungkap. Pemahaman awal ini berguna untuk mempertajam analisa dan spesifikasi ruang lingkup sehingga audit bisa dilakukan secara tepat sasaran.
Pembicaraan dengan klien
Dalam tahap ini, auditor akan melakukan pembahasan bersama klien terkait lingkup, kriteria, metodologi audit, limitasi, jangka waktu, dan sebagainya. Hal ini dilakukan untuk membangun kesepahaman antara auditor dan klien terhadap penugasan audit.
Pemeriksaan pendahuluan
Dalam tahap ini, auditor melakukan pengumpulan data awal dan menganalisanya. Hasil pemeriksaan pendahulusan bisa dituangkan menggunakan matriks 5W + 2H (who, what, where, when, why, how, and how much). Investigasi dilakukan apabila sudah terpenuhi minimal 4W + 1H (who, what, where, when, and how much). Intinya, dalam proses ini auditor akan menentukan apakah investigasi lebih lanjut diperlukan atau tidak.
Pengembangan rencana pemeriksaan
Dalam tahap ini, auditor akan menyusun dokumentasi kasus yang dihadapi, tujuan audit, prosedur pelaksanaan audit, serta tugas setiap individu dalam tim. Setelah diadministrasikan, maka akan dihasilkan konsep temuan. Konsep temuan ini kemudian akan dikomunikasikan bersama tim audit serta klien.
Pemeriksaan lanjutan
Dalam tahap ini, auditor akan melakukan pengumpulan bukti serta melakukan analisa atasnya. Dalam tahap ini lah audit sebenarnya dijalankan. Auditor akan menjalankan teknik-teknik auditnya guna mengidentifikasi secara meyakinkan adanya fraud dan pelaku fraud tersebut.
Penyusunan Laporan
Pada tahap akhir ini, auditor melakukan penyusunan laporan hasil audit forensik. Dalam laporan ini setidaknya ada 3 poin yang harus diungkapkan. Poin-poin tersebut antara lain adalah:
  1. Kondisi, yaitu kondisi yang benar-benar terjadi di lapangan.
  2. Kriteria, yaitu standar yang menjadi patokan dalam pelaksanaan kegiatan. Oleh karena itu, jika kondisi tidak sesuai dengan kriteria maka hal tersebut disebut sebagai temuan.
  3. Simpulan, yaitu berisi kesimpulan atas audit yang telah dilakukan. Biasanya mencakup sebab fraud, kondisi fraud, serta penjelasan detail mengenai fraud tersebut.