METODOLOGI AUDIT TI
Secara garis besar, metodologi dalam Audit SI/TI
(yang dihasilkan dari proses perencanaan Audit) akan terdiri atas beberapa
tahapan antara lain:
- Analisis kondisi eksisting
Tahapan analisis kondisi eksisting dalam rencana
Audit SI/TI merupakan kegiatan peninjauan kondisi perusahaan saat iru terutama
yang berkaitan dengan aktivitas bisnis. Perunjauan dilakukan dengan dua tujuan
utama, yakni: pengumpulan data sebagai bahan analisis resiko untuk menentukan
lingkup audit yang nantinya dilakukan dan pengumpulan informasi yang mendukung
pelaksanaan audit, misalkan informasi mengenai aktivitas bisnis yang telah
didukung TI serta hukum, regulasi, ketetapan, standar yang terkait dengan
aktivitas bisrus tersebut.
Mengenai tujuan yang pertama, yakni
pengumpulan data sebagai bahan analisis resiko, fokus dari aktivitas
pengumpulan data yang dilakukan adalah keseluruhan proses bisrus yang ada di
perusahaan, baik proses bisrus utama maupun pendukung. Proses bisnis yang
dimaksud tidak hanya yang terkait dengan TI, namun keseluruhan proses bisnis
yang berlangsung di perusahaan.
Pengumpulan data proses bisnis tersebut dilakukan
terhadap pihak-pihak yang bertanggung jawab terhadap pengelolaan proses
berdasarkan struktur organisasi berikut tugas pokok dan fungsi yang berkaitan
dengan proses tersebut. Jika proses bisnis perusahaan memiliki cakupan yang
luas, pengaudit SI/TI dapat memfokuskan pada proses bisnis yang terkait dengan
TI sebagai objek yang akan diaudit nantinya.
Selain itu, pengumpulan informasi
yang mendukung pelaksanaan audit perlu dilakukan dengan pengidentifikasian
proses bisnis yang terkait/ didukung oleh keberadaan TI dengan
menginventarisasi seluruh sistem informasi yang mendukung bisrus. Informasi
lain yang perlu didapat adalah yang berkaitan dengan hukum, regulasi dan
kebijakan hingga prosedur yang terkait dengan proses bisrus perusahaan maupun
aktivitas audit itu sendiri.
Data-data tersebut diperoleh dan
dikumpulkan melalui wawancara, survei menggunakan kuisoner, aktivitas
peninjauan terhadap dokumen-dokumen pendukung proses hingga analisis hasil
observasi atau informed transforming group session. Perlu dipahami bahwa dalam
tahapan analisis kondisi eksisting ini hanya dilakukan pengumpulan data, tanpa
pengujian apakah proses yang berlangsung sudah sesuai dengan standar yang
ditetapkan. Pengujian tersebut akan dilakukan pada tahapan pelaksanaan audit
dengan fokus terhadap proses bisnis tertentu, misalkan pada Audit SI/TI maka
pengujian akan dilakukan pada proses bisnis yang terkait dengan TI.
- Penentuan tingkat resiko
Penentuan tingkat resiko dengan mengklasifikasikan
proses bisnis yang tingkat resikonya tinggi (proses bisnis utama) maupun proses
bisnis pendukung. Hasil penentuan tingkat resiko tersebut kemudian dijadikan
sebagai bahan dalam penyusunan ruang lingkup pelaksanaan audit yang diarahkan
kepada proses bisnis yang didukung oleh TI. Sebelum mengenal lebih jauh
mengenai aktivitas yang berlangsung dalam penentuan tingkat resiko, perlu
dipahami mengenai pengertian resiko yang berdampak terhadap keberlangsungan
aktivitas bisnis. Resiko yang berdampak pada bisnis (resiko bisnis) tersebut
merupakan segala kejadian tidak pasti yang memberikan pengaruh terhadap
pencapaian tujuan bisnis. Pengaruh tersebut dapat berdampak kepada aset yang
berwujud (tangible) maupun aset yang tak berwujud (intangible).
Resiko bisnis sendiri dapat melibatkan
aspek finansial, regulasi atau operasional atau informasi dan teknologi yang
terkait yang dikenal sebagai Resiko TI. Resiko TI tersebut dapat berupa resiko
penyampaian layanan (IT service delivery), resiko penyampaian solusi TI (IT
solution/project delivery) maupun resiko dorongan pencapaian manfaat/ nilai TI
(IT benefit/value enablement).
Masing-masing resiko tersebut akan
memberikan pengaruh terhadap nilai bisnis (business value), baik pada
peningkatan maupun perlindungan terhadap proses bisnis yang berlangsung di
perusahaan seperti terlihat dalam Gambar dibawah ini (The IT Governance
Institute, Enterprise Risk: Identify, Govern and Manage IT Risk, The Risk IT Framework
(Exposure Draft), 2009).
Agar dapat dilakukan
tindakan pencegahan maupun penanggulangan terhadap resiko tersebut, maka
pengaudit SI/TI perlu memperkaya wawasan mengenai resiko yang mungkin muncul
terkait dengan proses bisnis. Pemahaman menyeluruh terhadap kondisi eksisting
perusahaan juga diperlukan agar penentuan resiko proses bisnis dapat relevan.
- Pelaksanaan Audit SI/TI
Pelaksanaan Audit SIITI dengan mengacu kerangka
kerja COBIT yang akan didahului dengan proses penentuan ruang lingkup dan
tujuan audit (scope dan ofjective) berdasarkan hasil penentuan tingkat resiko
pada tahapan sebelumnya.
Sebelum Audit SI/TI
dilakukan, perlu pendefinisian scope dan oijective atau ruang lingkup dan
tujuan audit berdasarkan hasil dari resiko TI yang paling tinggi (high) tingkat
resikonya yang dilakukan pada tahapan penentuan tingkat resiko TI dengan
memperhatikan preferensi/ arahan pihak manajemen.
Hasil pendefinisian tersebut
menghasilkan prioritas area Proses TI yang perlu dilakukan penilaian,
penyesuaian dan penyempurnaan yang terangkai dalam aktivitas Audit SI/TI.
Tujuan audit didefinisikan dalam objective
sedangkan scope menggambarkan sistem secara spesifik hal-hal yang perlu
dilakukan termasuk batasan-batasan dalam proses tinjauan nantinya.
- Penentuan rekomendasi beserta laporan
Penentuan rekomendasi beserta laporan dari hasil
audit yang dilakukan. Aktivitas audit seharusnya menghasilkan kesimpulan dan
temuan yang akan mengarahkan pada rekomendasi yang mencerminkan pemenuhan
terhadap tujuan objektif yang berbasis waktu, kinerja dan biaya. Hal tersebut
seharusnya disertai dengan laporan awal yang menggambarkan temuan awal dalam
aktivitas audit sebelum kemudian disusun ke dalam laporan akhir sehingga pihak
manajemen mendapatkan gambaran mengenai kondisi eksisting perusahaannya serta
gambaran rekomendasi yang akan diberikan oleh pengaudit SI/TI (Gallegos, IT
Audit Report and Follow-up: Methods and Techniques for Communicating Audit
Findings and Recommendations,2002) .
Setelah Audit SI/TI dilaksanakan, pengaudit
bertanggung jawab terhadap pengkomunikasian hasil audit kepada pihak manajemen
terkait. Pengkomunikasian tersebut menghasilkan kesepakatan akan hasil audit
yang kemudian akan disusun dalam laporan audit.
Pengkomunikasian tersebut membutuhkan keahlian dan
pemilihan informasi yang sesuai untuk pihak manajemen tertentu. Peran tersebut
membutuhkan keahlian pengambilan keputusan, kebijaksanaan dan pengetahuan akan
proses audit.
Laporan akhir dari audit
seharusnya mempesentasikan gambaran saat ini dari situasi kemudian memungkinkan
pihak manajemen untuk mengambillangkah yang dipedukan. Pihak manajemen
menggunakan laporan audit sebagai dasar informasi yang akurat, dapat dipercaya
dan berguna sehingga dapat digunakan merancang keputusan.
ALASAN
DILAKUKANNYA AUDIT TI
Weber,
2000 menyatakan beberapa alasan penting mengapa Audit SI/TI perlu dilakukan,
antara lain:
1. Kerugian
Akibat Kehilangan Data
2. Kesalahan
dalam Pengambilan Keputusan
3. Risiko
Kebocoran Data
4. Penyalahgunaan
Komputer
5. Kerugian
Akibat Kesalahan Proses Perhitungan
6. Tingginya
Nilai Investasi Perangkat Keras dan Perangkat Lunak
MANFAAT AUDIT TI
A. Manfaat pada saat Implementasi (Pre-Implementation Review)
1. Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria.
2. Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
3. Mengetahui apakah outcome sesuai dengan harapan manajemen.
B.
Manfaat setelah sistem live (Post-Implementation Review)
1. Institusi mendapat masukan atas risiko-risiko yang masih yang masih ada dan
saran untuk penanganannya.
2. Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis, dan anggaran pada periode berikutnya.
3. Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang.
4. Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan.
5. Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan pemeriksaan.
6. Membantu dalam penilaian apakah initial proposed values telah terealisasi dan saran tindak lanjutnya.
Sumber:
https://alfiansyahricky.wordpress.com/2015/09/15/metodologi-it-audit/
http://pabloexcel.blogspot.co.id/2010/07/manfaat-it-audit-dan-forensics.html
http://darmansyah.weblog.esaunggul.ac.id/2013/08/11/beberapa-alasan-mengapa-perlu-dilakukan-audit-siti/
2. Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis, dan anggaran pada periode berikutnya.
3. Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang.
4. Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan.
5. Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan pemeriksaan.
6. Membantu dalam penilaian apakah initial proposed values telah terealisasi dan saran tindak lanjutnya.
Sumber:
https://alfiansyahricky.wordpress.com/2015/09/15/metodologi-it-audit/
http://pabloexcel.blogspot.co.id/2010/07/manfaat-it-audit-dan-forensics.html
http://darmansyah.weblog.esaunggul.ac.id/2013/08/11/beberapa-alasan-mengapa-perlu-dilakukan-audit-siti/
Tidak ada komentar:
Posting Komentar