Secara garis besar, metodologi dalam Audit SI/TI (yang dihasilkan dari
proses perencanaan Audit) akan terdiri atas beberapa tahapan antara
lain:
1. Analisis kondisi eksisting
Tahapan analisis kondisi eksisting dalam rencana Audit SI/TI merupakan
kegiatan peninjauan kondisi perusahaan saat iru terutama yang berkaitan
dengan aktivitas BISNIS. Perunjauan dilakukan dengan dua tujuan utama,
yakni: pengumpulan data sebagai bahan analisis resiko untuk menentukan
lingkup audit yang nantinya dilakukan dan pengumpulan informasi yang
mendukung pelaksanaan audit, misalkan informasi mengenai aktivitas
bisnis yang telah didukung TI serta hukum, regulasi, ketetapan, standar
yang terkait dengan aktivitas bisrus tersebut.
data-capture-urlMengenai tujuan yang pertama, yakni pengumpulan data
sebagai bahan analisis resiko, fokus dari aktivitas pengumpulan data
yang dilakukan adalah keseluruhan proses bisrus yang ada di perusahaan,
baik proses bisrus utama maupun pendukung. Proses bisnis yang dimaksud
tidak hanya yang terkait dengan TI, namun keseluruhan proses bisnis yang
berlangsung di perusahaan.
Pengumpulan data proses BISNIS tersebut dilakukan terhadap pihak-pihak
yang bertanggung jawab terhadap pengelolaan proses berdasarkan struktur
organisasi berikut tugas pokok dan fungsi yang berkaitan dengan proses
tersebut. Jika proses bisnis perusahaan memiliki cakupan yang luas,
pengaudit SI/TI dapat memfokuskan pada proses bisnis yang terkait dengan
TI sebagai objek yang akan diaudit nantinya.
BusinessIdentitySelain itu, pengumpulan informasi yang mendukung
pelaksanaan audit perlu dilakukan dengan pengidentifikasian proses
bisnis yang terkait/ didukung oleh keberadaan TI dengan
menginventarisasi seluruh sistem informasi yang mendukung bisrus.
Informasi lain yang perlu didapat adalah yang berkaitan dengan hukum,
regulasi dan kebijakan hingga prosedur yang terkait dengan proses bisrus
perusahaan maupun aktivitas audit itu sendiri.
interview-urlData-data tersebut diperoleh dan dikumpulkan melalui
wawancara, survei menggunakan kuisoner, aktivitas peninjauan terhadap
dokumen-dokumen pendukung proses hingga analisis hasil observasi atau
informed transforming group session. Perlu dipahami bahwa dalam tahapan
analisis kondisi eksisting ini hanya dilakukan pengumpulan data, tanpa
pengujian apakah proses yang berlangsung sudah sesuai dengan standar
yang ditetapkan. Pengujian tersebut akan dilakukan pada tahapan
pelaksanaan audit dengan fokus terhadap proses bisnis tertentu, misalkan
pada Audit SI/TI maka pengujian akan dilakukan pada proses bisnis yang
terkait dengan TI.
2. Penentuan tingkat resiko
Penentuan tingkat resiko dengan mengklasifikasikan proses BISNIS yang
tingkat resikonya tinggi (proses bisnis utama) maupun proses bisnis
pendukung. Hasil penentuan tingkat resiko tersebut kemudian dijadikan
sebagai bahan dalam penyusunan ruang lingkup pelaksanaan audit yang
diarahkan kepada proses bisnis yang didukung oleh TI. Sebelum mengenal
lebih jauh mengenai aktivitas yang berlangsung dalam penentuan tingkat
resiko, perlu dipahami mengenai pengertian resiko yang berdampak
terhadap keberlangsungan aktivitas bisnis. Resiko yang berdampak pada
bisnis (resiko bisnis) tersebut merupakan segala kejadian tidak pasti
yang memberikan pengaruh terhadap pencapaian tujuan bisnis. Pengaruh
tersebut dapat berdampak kepada aset yang berwujud (tangible) maupun
aset yang tak berwujud (intangible).
business-riskResiko bisnis sendiri dapat melibatkan aspek finansial,
regulasi atau operasional atau informasi dan teknologi yang terkait yang
dikenal sebagai Resiko TI. Resiko TI tersebut dapat berupa resiko
penyampaian layanan (IT service delivery), resiko penyampaian solusi TI
(IT solution/project delivery) maupun resiko dorongan pencapaian
manfaat/ nilai TI (IT benefit/value enablement).
business-valueMasing-masing resiko tersebut akan memberikan pengaruh
terhadap nilai bisnis (business value), baik pada peningkatan maupun
perlindungan terhadap proses bisnis yang berlangsung di perusahaan
seperti terlihat dalam Gambar dibawah ini (The IT Governance Institute,
Enterprise Risk: Identify, Govern and Manage IT Risk, The Risk IT
Framework (Exposure Draft), 2009).
gambar-2-1-tipe-resiko0001Agar dapat dilakukan tindakan pencegahan
maupun penanggulangan terhadap resiko tersebut, maka pengaudit SI/TI
perlu memperkaya wawasan mengenai resiko yang mungkin muncul terkait
dengan proses BISNIS. Pemahaman menyeluruh terhadap kondisi eksisting
perusahaan juga diperlukan agar penentuan resiko proses bisnis dapat
relevan.
3. Pelaksanaan Audit SI/TI
Pelaksanaan Audit SIITI dengan mengacu kerangka kerja COBIT yang akan
didahului dengan proses penentuan ruang lingkup dan tujuan audit (scope
dan ofjective) berdasarkan hasil penentuan tingkat resiko pada tahapan
sebelumnya.
scope-and-objective-urlSebelum Audit SI/TI dilakukan, perlu
pendefinisian scope dan oijective atau ruang lingkup dan tujuan audit
berdasarkan hasil dari resiko TI yang paling tinggi (high) tingkat
resikonya yang dilakukan pada tahapan penentuan tingkat resiko TI dengan
memperhatikan preferensi/ arahan pihak manajemen.
process-area-urlHasil pendefinisian tersebut menghasilkan prioritas area
Proses TI yang perlu dilakukan penilaian, penyesuaian dan penyempurnaan
yang terangkai dalam aktivitas Audit SI/TI.
Tujuan audit didefinisikan dalam objective sedangkan scope menggambarkan
sistem secara spesifik hal-hal yang perlu dilakukan termasuk
batasan-batasan dalam proses tinjauan nantinya.
4. Penentuan rekomendasi beserta laporan
Penentuan rekomendasi beserta laporan dari hasil audit yang dilakukan.
Aktivitas audit seharusnya menghasilkan kesimpulan dan temuan yang akan
mengarahkan pada rekomendasi yang mencerminkan pemenuhan terhadap tujuan
objektif yang berbasis waktu, kinerja dan biaya. Hal tersebut
seharusnya disertai dengan laporan awal yang menggambarkan temuan awal
dalam aktivitas audit sebelum kemudian disusun ke dalam laporan akhir
sehingga pihak manajemen mendapatkan gambaran mengenai kondisi eksisting
perusahaannya serta gambaran rekomendasi yang akan diberikan oleh
pengaudit SI/TI (Gallegos, IT Audit Report and Follow-up: Methods and
Techniques for Communicating Audit Findings and Recommendations,2002) .
icon-reportsSetelah Audit SI/TI dilaksanakan, pengaudit bertanggung
jawab terhadap pengkomunikasian hasil audit kepada pihak manajemen
terkait. Pengkomunikasian tersebut menghasilkan kesepakatan akan hasil
audit yang kemudian akan disusun dalam laporan audit.
Pengkomunikasian tersebut membutuhkan keahlian dan pemilihan informasi
yang sesuai untuk pihak manajemen tertentu. Peran tersebut membutuhkan
keahlian pengambilan keputusan, kebijaksanaan dan pengetahuan akan
proses audit.
term-and-condition-urlLaporan akhir dari audit seharusnya
mempesentasikan gambaran saat ini dari situasi kemudian memungkinkan
pihak manajemen untuk mengambillangkah yang dipedukan. Pihak manajemen
menggunakan laporan audit sebagai dasar informasi yang akurat, dapat
dipercaya dan berguna sehingga dapat digunakan merancang keputusan.
sumber : http://darmansyah.weblog.esaunggul.ac.id/2013/08/12/metodologi-dalam-audit-siti/
No comments:
Post a Comment