Metodologi, Alasan Dilakukan dan Tujuan Audit TI

METODOLOGI AUDIT TI

Secara garis besar, metodologi dalam Audit SI/TI (yang dihasilkan dari proses perencanaan Audit) akan terdiri atas beberapa tahapan antara lain:
  1. Analisis kondisi eksisting
Tahapan analisis kondisi eksisting dalam rencana Audit SI/TI merupakan kegiatan peninjauan kondisi perusahaan saat iru terutama yang berkaitan dengan aktivitas bisnis. Perunjauan dilakukan dengan dua tujuan utama, yakni: pengumpulan data sebagai bahan analisis resiko untuk menentukan lingkup audit yang nantinya dilakukan dan pengumpulan informasi yang mendukung pelaksanaan audit, misalkan informasi mengenai aktivitas bisnis yang telah didukung TI serta hukum, regulasi, ketetapan, standar yang terkait dengan aktivitas bisrus tersebut.

Mengenai tujuan yang pertama, yakni pengumpulan data sebagai bahan analisis resiko, fokus dari aktivitas pengumpulan data yang dilakukan adalah keseluruhan proses bisrus yang ada di perusahaan, baik proses bisrus utama maupun pendukung. Proses bisnis yang dimaksud tidak hanya yang terkait dengan TI, namun keseluruhan proses bisnis yang berlangsung di perusahaan.

Pengumpulan data proses bisnis tersebut dilakukan terhadap pihak-pihak yang bertanggung jawab terhadap pengelolaan proses berdasarkan struktur organisasi berikut tugas pokok dan fungsi yang berkaitan dengan proses tersebut. Jika proses bisnis perusahaan memiliki cakupan yang luas, pengaudit SI/TI dapat memfokuskan pada proses bisnis yang terkait dengan TI sebagai objek yang akan diaudit nantinya.

Selain itu, pengumpulan informasi yang mendukung pelaksanaan audit perlu dilakukan dengan pengidentifikasian proses bisnis yang terkait/ didukung oleh keberadaan TI dengan menginventarisasi seluruh sistem informasi yang mendukung bisrus. Informasi lain yang perlu didapat adalah yang berkaitan dengan hukum, regulasi dan kebijakan hingga prosedur yang terkait dengan proses bisrus perusahaan maupun aktivitas audit itu sendiri.

Data-data tersebut diperoleh dan dikumpulkan melalui wawancara, survei menggunakan kuisoner, aktivitas peninjauan terhadap dokumen-dokumen pendukung proses hingga analisis hasil observasi atau informed transforming group session. Perlu dipahami bahwa dalam tahapan analisis kondisi eksisting ini hanya dilakukan pengumpulan data, tanpa pengujian apakah proses yang berlangsung sudah sesuai dengan standar yang ditetapkan. Pengujian tersebut akan dilakukan pada tahapan pelaksanaan audit dengan fokus terhadap proses bisnis tertentu, misalkan pada Audit SI/TI maka pengujian akan dilakukan pada proses bisnis yang terkait dengan TI.
  1. Penentuan tingkat resiko
Penentuan tingkat resiko dengan mengklasifikasikan proses bisnis yang tingkat resikonya tinggi (proses bisnis utama) maupun proses bisnis pendukung. Hasil penentuan tingkat resiko tersebut kemudian dijadikan sebagai bahan dalam penyusunan ruang lingkup pelaksanaan audit yang diarahkan kepada proses bisnis yang didukung oleh TI. Sebelum mengenal lebih jauh mengenai aktivitas yang berlangsung dalam penentuan tingkat resiko, perlu dipahami mengenai pengertian resiko yang berdampak terhadap keberlangsungan aktivitas bisnis. Resiko yang berdampak pada bisnis (resiko bisnis) tersebut merupakan segala kejadian tidak pasti yang memberikan pengaruh terhadap pencapaian tujuan bisnis. Pengaruh tersebut dapat berdampak kepada aset yang berwujud (tangible) maupun aset yang tak berwujud (intangible).

Resiko bisnis sendiri dapat melibatkan aspek finansial, regulasi atau operasional atau informasi dan teknologi yang terkait yang dikenal sebagai Resiko TI. Resiko TI tersebut dapat berupa resiko penyampaian layanan (IT service delivery), resiko penyampaian solusi TI (IT solution/project delivery) maupun resiko dorongan pencapaian manfaat/ nilai TI (IT benefit/value enablement).

Masing-masing resiko tersebut akan memberikan pengaruh terhadap nilai bisnis (business value), baik pada peningkatan maupun perlindungan terhadap proses bisnis yang berlangsung di perusahaan seperti terlihat dalam Gambar dibawah ini (The IT Governance Institute, Enterprise Risk: Identify, Govern and Manage IT Risk, The Risk IT Framework (Exposure Draft), 2009).

Agar dapat dilakukan tindakan pencegahan maupun penanggulangan terhadap resiko tersebut, maka pengaudit SI/TI perlu memperkaya wawasan mengenai resiko yang mungkin muncul terkait dengan proses bisnis. Pemahaman menyeluruh terhadap kondisi eksisting perusahaan juga diperlukan agar penentuan resiko proses bisnis dapat relevan.
  1. Pelaksanaan Audit SI/TI
Pelaksanaan Audit SIITI dengan mengacu kerangka kerja COBIT yang akan didahului dengan proses penentuan ruang lingkup dan tujuan audit (scope dan ofjective) berdasarkan hasil penentuan tingkat resiko pada tahapan sebelumnya.

Sebelum Audit SI/TI dilakukan, perlu pendefinisian scope dan oijective atau ruang lingkup dan tujuan audit berdasarkan hasil dari resiko TI yang paling tinggi (high) tingkat resikonya yang dilakukan pada tahapan penentuan tingkat resiko TI dengan memperhatikan preferensi/ arahan pihak manajemen.

Hasil pendefinisian tersebut menghasilkan prioritas area Proses TI yang perlu dilakukan penilaian, penyesuaian dan penyempurnaan yang terangkai dalam aktivitas Audit SI/TI.
Tujuan audit didefinisikan dalam objective sedangkan scope menggambarkan sistem secara spesifik hal-hal yang perlu dilakukan termasuk batasan-batasan dalam proses tinjauan nantinya.
  1. Penentuan rekomendasi beserta laporan
Penentuan rekomendasi beserta laporan dari hasil audit yang dilakukan. Aktivitas audit seharusnya menghasilkan kesimpulan dan temuan yang akan mengarahkan pada rekomendasi yang mencerminkan pemenuhan terhadap tujuan objektif yang berbasis waktu, kinerja dan biaya. Hal tersebut seharusnya disertai dengan laporan awal yang menggambarkan temuan awal dalam aktivitas audit sebelum kemudian disusun ke dalam laporan akhir sehingga pihak manajemen mendapatkan gambaran mengenai kondisi eksisting perusahaannya serta gambaran rekomendasi yang akan diberikan oleh pengaudit SI/TI (Gallegos, IT Audit Report and Follow-up: Methods and Techniques for Communicating Audit Findings and Recommendations,2002) .

Setelah Audit SI/TI dilaksanakan, pengaudit bertanggung jawab terhadap pengkomunikasian hasil audit kepada pihak manajemen terkait. Pengkomunikasian tersebut menghasilkan kesepakatan akan hasil audit yang kemudian akan disusun dalam laporan audit.

Pengkomunikasian tersebut membutuhkan keahlian dan pemilihan informasi yang sesuai untuk pihak manajemen tertentu. Peran tersebut membutuhkan keahlian pengambilan keputusan, kebijaksanaan dan pengetahuan akan proses audit.

Laporan akhir dari audit seharusnya mempesentasikan gambaran saat ini dari situasi kemudian memungkinkan pihak manajemen untuk mengambillangkah yang dipedukan. Pihak manajemen menggunakan laporan audit sebagai dasar informasi yang akurat, dapat dipercaya dan berguna sehingga dapat digunakan merancang keputusan.

ALASAN DILAKUKANNYA AUDIT TI

Weber, 2000 menyatakan beberapa alasan penting mengapa Audit SI/TI perlu dilakukan, antara lain:

1. Kerugian Akibat Kehilangan Data
2. Kesalahan dalam Pengambilan Keputusan
3. Risiko Kebocoran Data
4. Penyalahgunaan Komputer
5. Kerugian Akibat Kesalahan Proses Perhitungan
6. Tingginya Nilai Investasi Perangkat Keras dan Perangkat Lunak
MANFAAT AUDIT TI

A. Manfaat pada saat Implementasi (Pre-Implementation Review)

1. Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria.
2. Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
3. Mengetahui apakah outcome sesuai dengan harapan manajemen.

B. Manfaat setelah sistem live (Post-Implementation Review)
 
1. Institusi mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk penanganannya.
2. Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis, dan anggaran pada periode berikutnya.
3. Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang.
4. Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan.
5. Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan pemeriksaan.
6. Membantu dalam penilaian apakah initial proposed values telah terealisasi dan saran tindak lanjutnya.



Sumber:
https://alfiansyahricky.wordpress.com/2015/09/15/metodologi-it-audit/
http://pabloexcel.blogspot.co.id/2010/07/manfaat-it-audit-dan-forensics.html
http://darmansyah.weblog.esaunggul.ac.id/2013/08/11/beberapa-alasan-mengapa-perlu-dilakukan-audit-siti/

Deby Silarny

Tidak ada komentar:

Posting Komentar

Instagram