TATA KELOLA TI - sharingyuk.files.wordpress.com file•Audit pada dasarnya adalah proses sistematis...
Transcript of TATA KELOLA TI - sharingyuk.files.wordpress.com file•Audit pada dasarnya adalah proses sistematis...
Definisi Audit
• Audit pada dasarnya adalah proses sistematis
dan obyektif dalam memperoleh dan
mengevaluasi bukti-bukti tindakan ekonomi,
guna memberikan asersi/pernyataan dan
menilai seberapa jauh tindakan ekonomi sudah
sesuai dengan kriteria yang berlaku dan
mengkomunikasikan hasilnya kepada pihak
terkait.
Definisi Audit Sistem Informasi
• Audit Sistem Informasi (SI)/TI adalah proses pengumpulan
dan pengevaluasian bukti untuk menentukan apakah
sistem informasi dapat melindungi aset, teknologi informasi
yang ada telah memelihara integritas data sehingga
keduanya dapat diarahkan kepada pencapaian tujuan
bisnis secara efektif dengan menggunakan sumber daya
secara efisien
• Pada hakekatnya, audit sistem informasi sebagai audit
tersendiri dan bukan merupakan bagian dari audit laporan
keuangan, perlu dilakukan untuk memeriksa tingkat
kematangan atau kesiapan suatu organisasi dalam
melakukan pengelolaan teknologi informasi (IT
governance).
Jenis Audit Sistem Informasi/Teknologi Informasi
a) System Audit
Audit terhadap sistem terdokumentasi untuk
memastikan sudah memenuhi standar nasional atau
internasional
b) Compliance Audit
Untuk menguji efektifitas implementasi dari kebijakan,
prosedur, kontrol dan unsur hukum yang lain
c) Product/Service Audit
Untuk menguji suatu produk atau layanan telah
sesuai seperti spesifikasi yang telah ditentukan dan
cocok digunakan
Peraturan yang dipakai
Peraturan yang biasa dipakai untuk audit Sistem Informasi :
a)ISO/IEC 17799 and BS7799
b)Control Objectives for Information and Related Technology
(COBIT)
c)ISO TR 13335
d)IT Baseline Protection Manual
e)ITSEC/Common Criteria
f)Federal Information Processing Standard 140-1/2 (FIPS 140-1/2)
g)The “Sicheres Internet” Task Force
h)The quality seal and product audit scheme operated by the
Schleswig- Holstein Independent State Centre for Data Privacy
Protection (ULD)
i)ISO 9000
Maturity Model
• Merupakan model kematangan untuk mengontrol
proses-proses Teknologi Informasi dengan
menggunakan metode penilaian/scoring.
• Tujuan maturity model antara lain:
a) Organisasi dapat mengetahui posisi
kematangan Teknologi Informasi pada saat ini.
b) Organisasi secara terus menerus dan
berkesinambungan harus berusaha untuk
meningkatkan levelnya sampai tingkat tertinggi
agar aspek governance terhadap Teknologi
Informasi dapat berjalan secara efektif
Maturity Model
Skala yang digunakan untuk penilaian adalah skala
0 sampai 5, dapat dilihat pada gambar berikut.
Maturity Model
Beberapa cara yang umum dilakukan dalam
melaksanakan penilaian maturity diantaranya adalah
a) Pendekatan multidisiplin kelompok orang yang
mendiskusikan dan menghasilkan kesepakatan
level maturity kondisi sekarang,
b) Dekomposisi deskripsi maturity menjadi beberapa
pernyataan sehingga manajemen dapat
memberikan tingkat persetujuannya,
c) Penggunaan atribut matriks sebagaimana
didokumentasikan dalam COBIT’s Management
Guidelines dan memberikan nilai masing-masing
atribut dari setiap proses.
Penilaian Skala Maturity Model
0 – No Existent Perusahaan sama sekali tidak perduli terhadap pentingnya
teknologi informasi untuk dikelola secara baik oleh manajemen.
1 Initial Perusahaan secara reaktif melakukan penerapan dan
implementasi teknologi informasi sesuai dengan kebutuhan-
kebutuhan mendadak yang ada, tanpa didahului dengan
perencanaan sebelumnya
2- Repeatable Perusahaan telah memiliki pola yang berulangkali dilakukan dalam
melakukan manajemen aktivitas terkait dengan tata kelola teknologi
informasi, namun keberadaannya belum terdefinisi secara baik dan
formal sehingga masih terjadi ketidakkonsistenan
3 Define Perusahaan telah memiliki prosedur baku formal dan tertulis yang
telah disosialisasikan ke segenap jajaran manajemen dan
karyawan untuk dipatuhi dan dikerjakan dalam aktivitas sehari- hari.
4 Manage Perusahaan telah memiliki sejumlah indikator atau ukuran
kuantitatif yang dijadikan sebagai sasaran maupun obyektif kinerja
setiap penerapan aplikasi teknologi informasi yang ada.
5 Optimised Perusahaan telah mengimplementasikan tata kelola teknologi
informasi yang mengacu pada “best practice”
Metodologi Audit
1. Penentuan scope dan objectives
2. Persiapan audit
3. Pelaksanaan
audit
4. Analisis dan penilaian
5. Menyusun Laporan
Audit
Metodologi Audit
1. Penentuanscope dan objectives
• Memahami visi, misi, dan tujuan bisnis domain
• Pemetaan BG – ITG – ITP
• Penentuan prioritas ITP
• Mendapatkan ITP final yang akan diaudit
2. Persiapan audit
• Penentuan RACI Chart
• Membuat maturity level tool dan control objective tool
• Membuat tools untuk wawancara
3. Pelaksanaanaudit
• Wawancara
• Observasi
• Mengumpulkan eviden
• Mendokumentasikan temuan
• Menyusun Laporan awal
4. Analisis dan penilaian
• Konversi nilai hasil wawancara dan temuan
• Analisa hasil wawancara dan temuan
• Penyusunan rekomendasi
5. Menyusun Laporan Audit
• Pembuatan draft Laporan Akhir
• Sosialisasi dan revisi Laporan Akhir
• Penyerahan Laporan Akhir
Hasil Audit SI/TI
Laporan audit SI/TI yang berisi:
• Ruang lingkup dan tujuan audit SI/TI
• Kondisi eksisting sistem informasi
• Metodologi / langkah-langkah yang dilakukan
• Bukti (evidence) audit SI/TI yang dikumpulkan
• Temuan audit dan tingkat kedewasaan proses TI
• Kesimpulan hasil temuan
• Rekomendasi untuk perbaikan berkelanjutan
COBIT untuk Framework Audit
• Digunakan oleh auditor untuk melakukan review terhadap IT Proses
yang berjalan. Dengan menggunakan aturan Control Objectives yang
terdapat pada COBIT, auditor dapat memberikan saran kepada pihak
manajemen mengenai kontrol mana yang sudah cukup dan mana
yang perlu ditingkatkan.
• Membantu pemerintah menjawab pertanyaan mengenai- “Apakah
perusahaan telah melaksanakan proses IT sesuai dengan standar best
practices? Jika belum, maka apa yang perlu dilakukan dan di sebelah
mana diperlukan usaha yang lebih?”
• Sebagai framework penggunaan COBIT dapat disesuaikan tingkat
kedalaman dan scope-nya terhadap berbagai jenis dinas.
• COBIT menjelaskan tentang “APA” yang seharusnya dimiliki sesuai
standar best practices. Namun untuk mendapatkan “BAGAIMANA”
mengimplementasikannya secara efektif, COBIT harus disandingkan
dengan framework lain.