Nama : Rio Fakhrozi
NPM : 16111244
Kelas : 4KA24
METODOLOGI IT AUDIT
Secara garis besar, metodologi dalam Audit SI/TI (yang
dihasilkan dari proses perencanaan Audit) akan terdiri atas beberapa tahapan
antara lain:
1. Analisis kondisi eksisting
Tahapan analisis kondisi
eksisting dalam rencana Audit SI/TI merupakan kegiatan peninjauan kondisi
perusahaan saat iru terutama yang berkaitan dengan aktivitas bisnis. Perunjauan
dilakukan dengan dua tujuan utama, yakni: pengumpulan data sebagai bahan
analisis resiko untuk menentukan lingkup audit yang nantinya dilakukan dan
pengumpulan informasi yang mendukung pelaksanaan audit, misalkan informasi
mengenai aktivitas bisnis yang telah didukung TI serta hukum, regulasi,
ketetapan, standar yang terkait dengan aktivitas bisrus tersebut.
data-capture-urlMengenai tujuan yang pertama, yakni pengumpulan data sebagai
bahan analisis resiko, fokus dari aktivitas pengumpulan data yang dilakukan
adalah keseluruhan proses bisrus yang ada di perusahaan, baik proses bisrus
utama maupun pendukung. Proses bisnis yang dimaksud tidak hanya yang terkait
dengan TI, namun keseluruhan proses bisnis yang berlangsung di perusahaan.
Pengumpulan data proses bisnis tersebut dilakukan terhadap pihak-pihak yang
bertanggung jawab terhadap pengelolaan proses berdasarkan struktur organisasi
berikut tugas pokok dan fungsi yang berkaitan dengan proses tersebut. Jika
proses bisnis perusahaan memiliki cakupan yang luas, pengaudit SI/TI dapat
memfokuskan pada proses bisnis yang terkait dengan TI sebagai objek yang akan
diaudit nantinya.
BusinessIdentitySelain itu, pengumpulan informasi yang mendukung pelaksanaan
audit perlu dilakukan dengan pengidentifikasian proses bisnis yang terkait/
didukung oleh keberadaan TI dengan menginventarisasi seluruh sistem informasi
yang mendukung bisrus. Informasi lain yang perlu didapat adalah yang berkaitan
dengan hukum, regulasi dan kebijakan hingga prosedur yang terkait dengan proses
bisrus perusahaan maupun aktivitas audit itu sendiri.
interview-urlData-data tersebut diperoleh dan dikumpulkan melalui wawancara,
survei menggunakan kuisoner, aktivitas peninjauan terhadap dokumen-dokumen
pendukung proses hingga analisis hasil observasi atau informed transforming
group session. Perlu dipahami bahwa dalam tahapan analisis kondisi eksisting
ini hanya dilakukan pengumpulan data, tanpa pengujian apakah proses yang
berlangsung sudah sesuai dengan standar yang ditetapkan. Pengujian tersebut akan
dilakukan pada tahapan pelaksanaan audit dengan fokus terhadap proses bisnis
tertentu, misalkan pada Audit SI/TI maka pengujian akan dilakukan pada proses
bisnis yang terkait dengan TI.
2. Penentuan tingkat
resiko
Penentuan tingkat resiko
dengan mengklasifikasikan proses bisnis yang tingkat resikonya tinggi (proses
bisnis utama) maupun proses bisnis pendukung. Hasil penentuan tingkat resiko
tersebut kemudian dijadikan sebagai bahan dalam penyusunan ruang lingkup
pelaksanaan audit yang diarahkan kepada proses bisnis yang didukung oleh TI.
Sebelum mengenal lebih jauh mengenai aktivitas yang berlangsung dalam penentuan
tingkat resiko, perlu dipahami mengenai pengertian resiko yang berdampak
terhadap keberlangsungan aktivitas bisnis. Resiko yang berdampak pada bisnis
(resiko bisnis) tersebut merupakan segala kejadian tidak pasti yang memberikan
pengaruh terhadap pencapaian tujuan bisnis. Pengaruh tersebut dapat berdampak
kepada aset yang berwujud (tangible) maupun aset yang tak berwujud
(intangible).
business-riskResiko bisnis sendiri dapat melibatkan aspek finansial, regulasi
atau operasional atau informasi dan teknologi yang terkait yang dikenal sebagai
Resiko TI. Resiko TI tersebut dapat berupa resiko penyampaian layanan (IT
service delivery), resiko penyampaian solusi TI (IT solution/project delivery)
maupun resiko dorongan pencapaian manfaat/ nilai TI (IT benefit/value
enablement).
business-valueMasing-masing resiko tersebut akan memberikan pengaruh terhadap
nilai bisnis (business value), baik pada peningkatan maupun perlindungan
terhadap proses bisnis yang berlangsung di perusahaan seperti terlihat dalam
Gambar dibawah ini (The IT Governance Institute, Enterprise Risk: Identify,
Govern and Manage IT Risk, The Risk IT Framework (Exposure Draft), 2009).
gambar-2-1-tipe-resiko0001Agar dapat dilakukan tindakan pencegahan maupun
penanggulangan terhadap resiko tersebut, maka pengaudit SI/TI perlu memperkaya
wawasan mengenai resiko yang mungkin muncul terkait dengan proses bisnis.
Pemahaman menyeluruh terhadap kondisi eksisting perusahaan juga diperlukan agar
penentuan resiko proses bisnis dapat relevan.
3. Pelaksanaan Audit
SI/TI
Pelaksanaan Audit SIITI
dengan mengacu kerangka kerja COBIT yang akan didahului dengan proses penentuan
ruang lingkup dan tujuan audit (scope dan ofjective) berdasarkan hasil
penentuan tingkat resiko pada tahapan sebelumnya.
scope-and-objective-urlSebelum Audit SI/TI dilakukan, perlu pendefinisian scope
dan oijective atau ruang lingkup dan tujuan audit berdasarkan hasil dari resiko
TI yang paling tinggi (high) tingkat resikonya yang dilakukan pada tahapan
penentuan tingkat resiko TI dengan memperhatikan preferensi/ arahan pihak
manajemen.
process-area-urlHasil pendefinisian tersebut menghasilkan prioritas area Proses
TI yang perlu dilakukan penilaian, penyesuaian dan penyempurnaan yang terangkai
dalam aktivitas Audit SI/TI.
Tujuan audit didefinisikan dalam objective sedangkan scope menggambarkan sistem
secara spesifik hal-hal yang perlu dilakukan termasuk batasan-batasan dalam
proses tinjauan nantinya.
4. Penentuan rekomendasi beserta laporan
Penentuan rekomendasi
beserta laporan dari hasil audit yang dilakukan. Aktivitas audit seharusnya
menghasilkan kesimpulan dan temuan yang akan mengarahkan pada rekomendasi yang
mencerminkan pemenuhan terhadap tujuan objektif yang berbasis waktu, kinerja
dan biaya. Hal tersebut seharusnya disertai dengan laporan awal yang
menggambarkan temuan awal dalam aktivitas audit sebelum kemudian disusun ke
dalam laporan akhir sehingga pihak manajemen mendapatkan gambaran mengenai
kondisi eksisting perusahaannya serta gambaran rekomendasi yang akan diberikan
oleh pengaudit SI/TI (Gallegos, IT Audit Report and Follow-up: Methods and
Techniques for Communicating Audit Findings and Recommendations,2002) .
icon-reportsSetelah Audit SI/TI dilaksanakan, pengaudit bertanggung jawab
terhadap pengkomunikasian hasil audit kepada pihak manajemen terkait.
Pengkomunikasian tersebut menghasilkan kesepakatan akan hasil audit yang
kemudian akan disusun dalam laporan audit.
Pengkomunikasian tersebut membutuhkan keahlian dan pemilihan informasi yang
sesuai untuk pihak manajemen tertentu. Peran tersebut membutuhkan keahlian
pengambilan keputusan, kebijaksanaan dan pengetahuan akan proses audit.
term-and-condition-urlLaporan akhir dari audit seharusnya mempesentasikan
gambaran saat ini dari situasi kemudian memungkinkan pihak manajemen untuk
mengambillangkah yang dipedukan. Pihak manajemen menggunakan laporan audit
sebagai dasar informasi yang akurat, dapat dipercaya dan berguna sehingga dapat
digunakan merancang keputusan.
sumber :
http://darmansyah.weblog.esaunggul.ac.id/2013/08/12/metodologi-dalam-audit-siti/
Tidak ada komentar:
Posting Komentar