1. Konsep Audit
Teknologi sistem informasi adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Audit teknologi informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit
internal, atau dengan kegiatan pengawasan dan evaluasi lain
yang sejenis.
Audit dan kontrol teknologi informasi menjadi penting karena organisasi membutuhkan acuan, parameter, dan kontrol untuk memastikan semua sumber daya perusahaan menuju pada pencapaian tujuan organisasi secara terintegratif dan komprehensif. Penerapan IT audit sendiri dibentuk pada pertengahan 1960-an dan sejak saat itu telah berubah spesifikasinya berkali-kali karena perkembangan pesat teknologi dan panggabungan kedalam bisnis.
2. Proses Audit
Proses audit dalam konteks teknologi informasi adalah memeriksa apakah sistem informasi berjalan semestinya, Tujuan langkah proses audit sistem informasi yaitu :
1. Implementasikan sebuah strategi audit berbasis manajemen resiko serta control practice yang dapat disepakati oleh semua pihak.
2. Tetapkan langkah-langkah audit yang rinci.
3. Gunakan fakta atau bahan bukti yang cukup, handal, relevan, serta bermanfaat.
4. Buat laporan beserta kesimpulan berdasarkan fakta yang dikumpulkan.
5. Telah apakah tujuan audit tercapai.
6. Sampaikan laporan kepada pihak yang berkepentingan.
7 Pastikan bahwa organisasi mengimplementasikan managemen resiko serta control practice.
Perencanaan sebelum menjalankan proses audit dengan metodologi audit yaitu:
1. Audit subject
2. Audit objective
3. Audit Scope
4. Preaudit planning
5. Audit procedures and Steps for data gathering
6. Evaluasi hasil pengujian dan pemeriksaan
7. Audit report preparation
3. Teknik Audit
Menurut Davis, Schiller dan Wheeler (2011) tahap melakukan audit TI adalah :
1. Tinjau struktur organisasi TI secara keseluruhan untuk memastikan bahwa organisasi TI menyediakan untuk tugas wewenang dan tanggung jawab atas operasi TI dan menyediakan pembagian tugas yang memadai.
2. Meninjau proses perencanaan strategis TI untuk memastikan bahwa itu sejalan dengan strategis bisnis. Mengevaluasi proses organisasi TI untuk memantau kemajuan terhadap rencana strategis.
3. Menentukan apakah teknologi dan aplikasi strategi dan roadmap ada, dan mengevaluasi proses perencanaan teknis jangka panjang.
4. Tinjau indikator kinerja dan pengukuran untuk IT. Memastikan bahwa proses dan metrik pada tempatnya ( dan disetujui oleh para pemangku kepentingan utama) untuk mengukur kinerja kegiatan sehari-hari dan pelacakan kinerja terhadap SLA, anggaran, dan persyaratan operasional lainnya.
5. Emenentukzvaluasi standar untuk mengatur pelaksanaan proyek IT dan untuk memastikan kualitas produk yang dikembangkan atau diperoleh oleh organisasi TI. pMenentukan bagaimana standar tersebut dikomunikasikan dan ditegakkan.
6. Pastikan bahwa kebijakan keamanan TI ada dan memberikan persyaratan yang memadai untuk keamanan lingkungan. tentukan bagaimana kebijakan tersebut dikomunikasikan dan bagaimana kepatuhan dimonitor dan ditegakkan.
7. Meninjau dan mengevaluasi proses penilaian risiko di tempat bagi organisasi TI.
8. Tinjau dan evaluasi proses untuk memastikan bahwa karyawan IT di perusahaan memiliki keterampilan dan pengetaguan yang diperlukan untuk melakukan pekerjaan mereka.
9. Tinjau dan evaluasi kebijakan dan proses untuk menetapkan kepemilikan data perusahaan, mengelompokkan data, melindungi data sesuai dengan klarifikasinya, dan mendefinisikan life cycle data.
10.Tinjau dan evaluasi proses untuk memastikan bahwa end user lingkungan TI memiliki kemampuan untuk melaporkan masalah, secara tepat terlibat dalam keputusan TI, dan puas dengan layanan yang diberikan oleh TI.
11.Meninjau dan mengevaluasi proses untuk mengelola layanan pihak ketiga, memastikan bahwa peran dan tanggung jawab mereka didefinisikan dengan jelas dan pemantauan kinerja mereka.
12.Meninjau dan mengevaluasi proses proses untuk mengontrol akses login non karyawan.
13.Meninjau dan mengevaluasi proses untuk memastikan bahwa perusahaan telah memenuhi lisensi perangka lunak yang berlaku.
4. Regulasi Audit
dilakukan dengan menguji kepatutan Prooses TI dengan melihat kepatutan proses yang berlangsung terhadap standard dan regulasi yang berlaku. Kepatutan tersebut dapat diketahui dari hasil pengumpulan bukti. Langkah-langkah yang dilakukan dalam uji tersebut antara lain :
1. Tahapan Pengidentifikasian
Objek yang Diaudit Tujuan dari langkah ini agar pengaudit mengenal lebih jauh terkait dengan hal-hal yang harus dipenuhi dalam objektif kontrol yang membawa kepada penugasan kepada pihak-pihak yang bertanggung jawab. Aktivitas yang berlangsung juga termasuk pengidentifikasian perihal pengelolaan aktivitas yang didukung TI memenuhi objektif kontrol terkait.
2. Tahapan Evaluasi audit
Tujuan dari tahapan ini adalah untuk mendapatkan prosedur tertulis dan memperkirakan jika prosedur yang ada telah menghasilkan struktur kontrol yang efektif. Uji kepatutan yang dilakukan pada tahapan ini yaitu mengevaluasi pemisahan tanggung jawab yang terkait dengan pengelolaan SI/TI. Dari hasil evaluasi ditemukan terdapat pemisahan terhadap tugas dan tanggung jawab yang harus dilakukan oleh masing-masing pihak yang bersangkutan.
5. Standar dan Kerangka Kerja
Standar Audit Sistem Informasi (SASI) IASII diresmikan oleh Rapat Anggota IASII Tahun 200 pada tanggal 25 Februari 2006 bertempat di Jakarta. SASI IASII berlaku bagi seluruh Anggota IASII (sesuai AD/ART IASII) yang melaksanakan kegiatan Audit Sistem Informasi. Standar ini mulai berlaku efektif sejak tanggal 01 Januari 2007 dan dapat diterapkan sebelum tanggal tersebut. Adapun beberapa aturan yang standarisasikan, antara lain:
1. Penugasan Audit, mencakup tanggung jawab, wewenang, dan akuntabilitas.
2. Independensi & Obyektifitas
3. Profesionalisme & Kompetensi
4. Perencanaan
5. Pelaksanaan, yang mencakup pengawasan, bukti-bukti audit, dan kertas kerja audit
6. Pelaporan
7. Tindak Lanjut
6. Manajemen Resiko
Manajemen risiko adalah sebuah proses yang diaplikasikan dalam perumusan strategi dan dirancang untuk mengidentifikasi kejadian potensial yang mungkin akan berdampak pada keseluruhan organisasi, dan pengelolaan risiko. Kategori sasaran dalam manajemen risiko:
1. Strategis : tujuan tingkat tinggi, selaras dengan dan mendukung misi
2. Operasional : penggunaan sumberdaya secara efektif dan efisien
3. Pelaporan : keandalan pelaporan
4. Pemenuhan : pemenuhan hukum dan peraturan yang berlaku
Daftar Pustaka
Audit & Kontrol Teknologi Informasi, Mardhani Rasetiawan, 2016.
IT Auditing : Using Control To Protect Infromation Assets Chris Davis, Mike Sciller, 2011
No comments:
Post a Comment