Dasar-Dasar Audit TI

Questions and Answers

Apa tujuan utama dari Audit Teknologi Informasi (TI) dalam sebuah organisasi?

• Meningkatkan kecepatan pengembangan aplikasi baru.
• Meningkatkan kepuasan karyawan terhadap fasilitas TI.
• Memastikan sistem TI dikelola dan diperiksa secara berkala untuk mencapai tujuan bisnis. (correct)
• Mengurangi biaya perawatan infrastruktur TI.

Dalam konteks Audit TI, apa yang dimaksud dengan 'acceptance criteria'?

• Kriteria yang harus dipenuhi sistem yang telah dibuat agar sesuai dengan kebutuhan. (correct)
• Persyaratan teknis yang harus dipahami oleh tim audit.
• Dokumen yang berisi daftar risiko yang mungkin terjadi selama audit.
• Standar minimum yang harus dipenuhi oleh auditor sebelum memulai audit.

Mengapa penting bagi auditor TI untuk menerapkan prinsip kehati-hatian dalam setiap tahapan audit?

• Untuk mempercepat proses audit dan mengurangi biaya.
• Untuk menghindari konflik kepentingan dengan pihak auditee.
• Untuk memastikan semua potensi masalah teridentifikasi dan dievaluasi dengan seksama. (correct)
• Untuk mematuhi semua peraturan perundang-undangan yang berlaku.

Apa perbedaan utama antara fase pre-implementation dan post-implementation dalam Audit TI?

Pre-implementation dilakukan sebelum sistem diimplementasikan, post-implementation setelah implementasi. (A)

Apa yang menjadi fokus utama dalam evaluasi kelayakan dan efektivitas manajemen risiko yang dilakukan dalam Audit TI?

Pada organisasi dan TI secara bersamaan. (B)

Apa peran utama COBIT dalam kerangka kerja Audit TI?

Sebagai kerangka kerja tata kelola dan manajemen TI. (C)

Apa yang dimaksud dengan ITIL dalam konteks standar dan framework Audit TI?

Panduan praktik terbaik untuk manajemen layanan TI. (A)

Dalam konteks kerangka kerja Audit TI, apa fokus utama dari CMMI (Capability Maturity Model Integration)?

Peningkatan dan pematangan proses bisnis. (C)

Jika sebuah organisasi ingin memastikan bahwa manajemen TI selaras dengan tanggung jawab bisnis, standar ISO/IEC mana yang paling sesuai untuk dijadikan acuan?

ISO/IEC 38500 (B)

Dalam konteks Audit TI, apa yang dimaksud dengan 'work documents'?

Dokumen yang berisi segala catatan dan bukti yang dikumpulkan selama audit. (B)

Mengapa pengumpulan 'stated content' penting dalam alur proses kegiatan audit TI?

Untuk memahami kebijakan, standar, dan prosedur organisasi yang relevan. (C)

Apa implikasi dari kegiatan pasca audit TI?

Tindakan korektif dan peningkatan berdasarkan hasil audit. (C)

Dalam konteks audit TI, apa yang dilakukan auditor selama tahap 'reviu dan evaluasi bukti'?

Menganalisis dan menilai bukti untuk menghasilkan temuan audit. (A)

Manakah dari berikut ini yang BUKAN merupakan bagian dari kompetensi auditor?

Menyusun Rencana Audit Tahunan untuk organisasi. (B)

Apa yang dimaksud dengan 'lingkup' dalam konteks alur proses kegiatan audit TI?

Penentuan batasan atau area spesifik dari sistem TI yang akan dievaluasi. (C)

Diantara tahapan berikut dalam perencanaan Audit TI, manakah yang paling tepat mendahului kegiatan penyusunan rencana audit?

Mengidentifikasi sumber informasi untuk di-review (B)

Seorang anggota Tim Audit yang berperan memberi masukan yang berkaitan dengan isu, status teknologi, dan keilmuan yang relevan disebut sebagai?

Narasumber (D)

Lembaga apa yang melaksanakan Audit Aplikasi SPBE (Sistem Pemerintahan Berbasis Elektronik)?

Semua jawaban benar (B)

Berikut ini adalah cakupan area TI pada Juknis Prakom, KECUALI?

Arsitektur Informasi. (B)

Apa tujuan utama penentuan kriteria pada Audit TI?

Menyesuaikan aturan dengan peraturan perundang-undangan, kebijakan, prosedur, dan instruksi kerja, serta standar. (D)

Sebutkan tahapan pelaksanaan audit yang dilakukan oleh auditor?

Perencanaan, Pelaksanaan, dan Pelaporan. (C)

Apa prinsip dasar yang mendasari COBIT 5 untuk tata kelola dan manajemen TI organisasi?

Semua jawaban benar (A)

Standar dan tata cara palaksanaan Audit Infrastruktur SPBE dan Audit Aplikasi SPBE diatur dalam?

Peraturan BPPT. (D)

Mengapa penting untuk mempertimbangkan laporan independen dari pihak ketiga yang mengkaji proses bisnis organisasi dalam menentukan tujuan Audit TI yang relevan?

Laporan tersebut menyediakan perspektif objektif tentang proses bisnis tanpa bias internal. (A)

Dalam kegiatan persiapan tindak lanjut pasca audit

Menentukan semua aktivitas, untuk memenuhi satuan kerja yang bertanggung jawab tersebut. (B)

Mengapa auditor TI perlu menjaga komunikasi yang konsisten selama proses audit?

Memastikan audit dapat dilaksanakan secara efektif. (A)

Berikut ini yang bukan merupakan alasan audit informasi secara berkelanjutan?

Memastikan auditor mengikuti peraturan dan kode etik auditor. (B)

Flashcards

Audit Teknologi Informasi (TI)

Kegiatan sistematis dan objektif untuk menentukan kepatuhan terhadap prosedur baku di bidang TI.

Manfaat Audit TI

Menilai validitas, keandalan, dan keamanan informasi secara efektif dalam organisasi.

Manfaat Audit TI (Pre-Implementation)

Mengetahui apakah sistem sesuai kebutuhan & pemakai siap menggunakannya.

Manfaat Audit TI (Post-Implementation)

Mendapat masukan risiko, bahan perencanaan strategis, dan reasonable assurance.

Tugas Auditor TI

Memastikan kepatuhan, identifikasi masalah, dan memberikan rekomendasi perbaikan.

Proses Audit TI

Evaluasi sistematis, objektif, dan menyeluruh berdasarkan bukti-bukti yang relevan.

Framework TI

Standar atau kerangka kerja yang digunakan secara internasional dalam manajemen TI.

COBIT

Kerangka kerja untuk tata kelola dan manajemen TI yang dikembangkan oleh ISACA.

ITIL

Seperangkat petunjuk dan praktik terbaik untuk IT Service Management (ITSM).

CMMI

Model referensi untuk meningkatkan proses dalam organisasi.

PMBOK

Panduan metode manajemen proyek yang diakui secara internasional.

PRINCE2

Standar de facto untuk metode manajemen proyek dari UK Cabinet Office.

ISO/IEC 20000

Standarisasi internasional untuk manajemen layanan TI yang selaras dengan ITIL.

ISO/IEC 38500

Standar yang memberikan prinsip umum mengenai peran dan manajemen IT governance.

TOGAF

Kerangka kerja enterprise architecture dari Open Group Standard.

ISO/IEC 27001

Standarisasi pengelolaan Sistem Manajemen Keamanan Informasi.

Langkah Awal Audit TI

Menentukan ruang lingkup, kriteria, dan tujuan yang akan dilaksanakan.

Kriteria Audit TI

Berbagai peraturan, kebijakan, prosedur, dan standar yang digunakan.

Studi Kelayakan Audit TI

Menilai apakah audit layak untuk diselenggarakan di suatu institusi.

Sumber Daya Audit TI

Kemampuan teknis, waktu, biaya, dan SDM.

Work Documents Audit TI

Menyiapkan segala dokumen yang dibutuhkan untuk mengumpulkan data.

Opening Meeting

Menyampaikan rencana audit untuk dikaji dan disetujui oleh Auditee.

Reviu Dokumen

Mengumpulkan referensi dan verifikasi bukti, observasi lapangan, pengujian dan wawancara.

Komunikasi

Menjaga komunikasi yang konsisten antar anggota tim maupun dengan auditee.

Menyiapkan Dokumentasi

Dokumentasi seluruh informasi dan bukti dalam seperangkat Kertas Kerja.

Menyusun Kesimpulan

Menyampaikan temuan dan rekomendasi jika ditemukan kelemahan.

Laporan Hasil Audit

Identitas organisasi, tujuan, hasil audit, tanggapan, dan ringkasan.

Kegiatan Pasca Audit

Mencatat jangka waktu, mengevaluasi tindak lanjut, dan mengeskalasikan hasil pemantauan.

Study Notes

Baik, berikut adalah catatan studi terperinci berdasarkan teks yang diberikan:

Pendahuluan

• Banyak organisasi mengalami kerugian akibat dampak langsung aset mereka, yaitu informasi.
• Serangan siber dan pemberlakuan undang-undang tentang keamanan informasi membuat audit teknologi informasi (TI) menjadi bidang yang kritis, dinamis, dan menantang.
• Modul Audit TI akan membantu peserta memahami bidang profesi Audit TI, dengan berfokus pada manfaat Audit TI bagi pejabat fungsional Pranata Komputer dalam menilai validitas, keandalan, dan keamanan informasi.
• Penjelasan tentang teknik, prosedur, dan kontrol yang dapat membantu dalam menentukan efektivitas dan konsistensi aktivitas pengumpulan, pemrosesan, penyimpanan, dan pendistribusian informasi.

Deskripsi Singkat

• Modul ini menjelaskan kebutuhan bagi peserta untuk mengelola dan memeriksa sistem TI secara berkala dan efektif guna memenuhi tujuan dan sasaran bisnis.
• Pengenalan mengenai prinsip, pengetahuan, dan keahlian tentang cara mengontrol dan menilai sistem TI yang dibutuhkan oleh pejabat fungsional Pranata Komputer.
• Mencakup masalah-masalah Audit TI, simulasi, kasus-kasus praktis, dan peluang penugasan penelitian.

Hasil Belajar

• Setelah membaca modul, peserta diharapkan mampu memahami kerangka kerja Audit TI serta alur proses dan evaluasinya.

Indikator Hasil Belajar

• Peserta mampu memilih kerangka kerja sistematis (best practice) yang digunakan dalam Audit TI.
• Peserta dapat menentukan ruang lingkup, kriteria, dan tujuan Audit TI.
• Peserta mampu melakukan perencanaan audit, melaksanakan prosedur audit dan pengumpulan data, melakukan reviu dan evaluasi bukti, serta menyusun kesimpulan dan opini hasil audit.

Materi Pokok

• Modul ini terdiri dari lima bab dan mencakup uraian materi, rangkuman, soal latihan, dan contoh kasus.
• Pokok pembahasan meliputi pengenalan Audit TI, kerangka kerja Audit TI, dan alur proses kegiatan Audit TI.

Konsep dan Definisi Audit TI

• Kegiatan sistematis dan objektif untuk menentukan dipatuhinya prosedur, instruksi, spesifikasi, standar, administrasi, atau program operasi dalam bidang teknologi informasi (BPS, 2021).
• Proses sistematis untuk memperoleh dan mengevaluasi bukti secara objektif terhadap aset teknologi informasi untuk menetapkan tingkat kesesuaian dengan kriteria atau standar yang ditetapkan (BPPT, 2021).
• Bentuk pengawasan dan pengendalian dari sumber daya teknologi informasi secara menyeluruh, yang dapat berjalan bersama audit finansial dan internal, atau dengan kegiatan pengawasan dan evaluasi lain (ITGID, 2021).

Manfaat Audit TI

• Memberikan manfaat yang terlihat dari sudut pandang waktu pelaksanaan dan pihak yang terlibat.
• Dapat dilakukan setelah sistem atau aplikasi selesai dibangun (pre-implementation review) atau setelah implementasi sistem dilakukan (post-implementation review).

Manfaat Audit TI pada fase Pre Implementation

• Mengetahui apakah sistem yang dibuat sesuai dengan kebutuhan atau memenuhi acceptance criteria.
• Mengetahui apakah pemakai/pengguna telah siap menggunakan sistem.
• Mengetahui apakah outcome sesuai dengan harapan institusi (stakeholder).

Manfaat Audit TI pada fase Post Implementation

• Mendapatkan masukan atas risiko-risiko yang masih ada dan saran untuk penanganannya (terkait dengan manajemen risiko).
• Sebagai bahan untuk perencanaan strategis dan rencana anggaran TI di masa mendatang (terkait IT Enterprise).
• Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan.
• Memastikan bahwa track pemeriksaan (audit) telah diaktifkan dan dapat digunakan oleh institusi (stakeholder).

Manfaat Pelaksanaan Audit TI oleh Internal

• Menambah value organisasi dengan mengevaluasi efektivitas manajemen risiko di dua aspek sekaligus: organisasi dan TI.
• Menawarkan assessment yang independen untuk melihat apakah sebuah project TI telah memenuhi tujuannya.
• Lebih dini mengidentifikasi key risk pada proyek TI.

Tugas dan Peran Auditor TI

• Auditor adalah orang yang melakukan proses audit.
• Tugas Auditor TI adalah memastikan bahwa dalam merencanakan, melaksanakan, mengawasi, dan melaporkan penugasannya menggunakan pendekatan dan metode yang sesuai dengan peraturan perundang-undangan serta kode etik dan standar profesi.
• Auditor TI harus menerapkan prinsip kehati-hatian, memperhatikan lingkup pengujian audit, kompleksitas, materialitas, signifikansi, kelayakan manajemen resiko, dan keseimbangan sumber daya.

Rangkuman Bab II

• Audit TI adalah kegiatan evaluasi seluruh aset TI yang sistematis, objektif, dan menyeluruh berdasarkan bukti-bukti tertentu.
• Audit TI dapat dilakukan pada fase pre-implementation dan fase-post implementation, masing-masing memiliki manfaat tersendiri.
• Auditor memiliki peran untuk merencanakan, melaksanakan, mengawasi, dan melaporkan penugasan audit sesuai prinsip dan mekanisme yang berlaku.

Kerangka Kerja Audit TI

• Standar atau framework TI digunakan secara internasional dan merupakan hasil kolaborasi pakar yang diekstraksi dari best practices.
• Standar IT atau framework TI penting untuk memastikan bahwa layanan TI bekerja sebagaimana mestinya sesuai tujuan bisnis, memiliki kualitas pelayanan yang efisien dan efektif, mengoptimalisasikan kualitas dan kuantitas layanan, memastikan budget yang efektif, menjamin keamanan.

Standar & Framework Audit TI

• Framework digunakan secara umum untuk memastikan sumber daya TI dikelola memberikan pelayanan yang optimal, efisien, efektif dan aman.

COBIT

• Control Objectives for Information and Related Technology (COBIT) adalah kerangka kerja yang dikembangkan oleh ISACA (2012).
• Pertama kali diluncurkan pada tahun 1996, versi terbaru adalah COBIT 2019.
• COBIT 5 merupakan gabungan dari kerangka kerja COBIT 4.1, VAL IT 2.0, dan Risk IT.
• COBIT membantu mengoptimalisasikan nilai organisasi melalui TI dengan menjaga keseimbangan antara realisasi keuntungan, optimalisasi risiko, dan pemanfaatan sumberdaya.
• COBIT memberikan model maturity atau model kematangan proses dan matriks untuk mengukur apakah organisasi TI telah mencapai tujuannya dan menjaga keseimbangan antara kebutuhan stakeholder internal maupun eksternal.

ITIL

• Information Technology Infrastructure Library (ITIL) merupakan seperangkat guideline dan best practices untuk IT Service Management (ITSM) atau Manajemen Layanan Teknologi Informasi (MLTI).
• Dikeluarkan oleh AXELOS Limited, ITIL fokus pada penyelarasan IT services atau layanan TI sesuai kebutuhan bisnis dan mendukung proses inti.
• Terdiri dari lima volume: Service Strategy, Service Design, Service Transition, Service Operation and Continual Service Improvement.
• ITIL meningkatkan kualitas layanan, menjadi alat mitigasi bagi risiko bisnis dan disrupsi layanan, meningkatkan hubungan dengan pelanggan dan membuat suatu sistem efektif secara biaya.

CMMI

• Capability Maturity Model Integration (CMMI) adalah model referensi yang dikembangkan melalui best practices, membantu meningkatkan proses yang memenuhi target bisnis.
• Dikembangkan oleh pakar di industri pemerintahan dan Software Engineering Institute (SEI).
• Meningkatkan proses bisnis suatu organisasi dengan menunjukkan keuntungan terukur dari tujuan bisnis dan visinya melalui kerangka kerja.

PMBOK

• Guide to the Project Management Body of Knowledge (PMBOK) adalah guideline yang diakui secara internasional untuk metode manajemen proyek dari PMI (Project Management Institute).
• Standar yang secara luas diterima dan diakui sebagai basis untuk keseluruhan metode manajemen proyek.
• Memberikan deskripsi mendalam mengenai isi dan pokok-pokok yang secara fundamental membahas mengenai manajemen proyek namun fokusnya tidak pada implementasi teknis.
• Terdiri dari 5 proses dasar: Initiating, Planning, Executing, Controlling and Monitoring, and Closing.

PRINCE2

• Projects in a Controlled Environment (PRINCE2) adalah standar de facto untuk metode manajemen proyek yang dimiliki oleh UK Cabinet Office.
• PRINCE2 adalah komplemen dari model PMBOK dengan menyediakan petunjuk yang berbasis proses dilengkapi dengan template yang siap digunakan oleh Manajer Proyek dan Group Project-Steering pada setiap fase proyek.
• Memastikan kontrol yang lebih besar terhadap sumberdaya serta manajemen yang efektif terhadap risiko bisnis dan proyek.
• Tujuh prinsip dari PRINCE2 menyatakan bahwa proyek harus dijalankan melalui siklus yang meliputi justifikasi bisnis, definisi yang jelas untuk setiap peran, pengelolaan dalam bentuk tahapan, definisi toleransi, fokus pada produk, dan pembelajaran.

ISO/IEC 20000

• Service Management System (SMS) adalah standarisasi internasional untuk manajemen layanan TI.
• Dimiliki oleh International Organization for Standardization (ISO) dan the International Electrotechnical Commission (IEC) dan secara umum selaras dengan ITIL.
• Terdiri dari dua bagian: Mendefinisikan kebutuhan formal dari produksi berkualitas tinggi terhadap layanan kepada bisnis dan menjelaskan proses dari produksi layanan.

ISO 21500

• Standar yang secara generik merupakan petunjuk mengenai konsep dan proyek dari manajemen proyek yang merupakan bagian terpenting dalam realisasi proyek yang sukses.
• Dapat digunakan untuk seluruh jenis organisasi dan dapat diterapkan pada setiap jenis proyek, tanpa terkendala ukuran, kompleksitas, dan durasi.
• Standar informal yang lebih merupakan guideline ketimbang metodologi yang bersertifikasi.

ISO/IEC 38500

• Standar memberikan prisnip umum mengenai peran dan manajemen tata kelola IT dengan tanggung jawab bisnis:BoD & tim manajemen.
• Dapat digunakan secara luas untuk organisasi privat maupun publik termasuk non profit.
• Mendukung manajemen bisnis dalam supervisi terhadap organisasi TI dan membantunya memastikan bahwa TI berdampak positif.
• Standar terdiri dari 6 prinsip: Responsibility, Strategy, Acquisition, Performance, Conformance, dan Human behaviour.
• Dijadikan acuan untuk menjamin manajemen telah melaksanakan konformitas dengan implementasi tata kelola organisasi.
• Terdapat kerangka kerja enterprise architecture dari Open Group Standard yang memungkinkan setiap organisasi memiliki pendekatan terstruktur untuk mengelola implementasi teknologi, khususnya dalam desain pengembangannya, dan perawatan perangkat lunak.
• TOGAF meningkatkan efisiensi bisnis melalui metode yang konsisten, komunikasi, dan pemanfaatan sumberdaya dengan efisien dan meningkatkan kredibilitas industri.

ISO/IEC 27001

• Standardisasi yang isinya memberikan pedoman, petunjuk dan prosedur praktis pengelolaan Sistem Manajemen Informasi.
• Memfokuskan diri pada aspek manajemen pelaksanaan dan keluaran dokumen proses implementasi dan aktivitas audit keamanan sistem informasi bersifat fleksibel tergantung pada tipe dan kebutuhan organisasi serta fokus pada proses bisnis dan TI yang sesuai dengan tujuan strategis organisasi.
• Selain itu, COBIT juga bisa digunakan untuk membangun sistem manajemen keamanan informasi khususnya bila menggunakan pedoman COBIT khusus untuk keamanan yaitu COBIT 5 for Information Risk.

COBIT 5: Salah Satu 'Best Practice'

• Dikembangkan oleh Institut Tata kelola TI (ITGI) adalah bagian dari Information System Audit and Control Association (ISACA).
• Pertama kali diperkenalkan pada 1996 dan secara konsisten dikelola dan dikembangkan untuk menjadi bagian tata kelola TI dengan menetapkan rangakaian proses yang diperlukan untuk pengendalian sumber daya TI dlm meraih tujuan bisnis.
• Terdiri dari seperangkat Control Objectives untuk bidang TI dan dirancang untuk memudahkan tahapan audit dan tata kelola. Edisi pertama dirilis pada 1996 dan hingga edisi ke 6 (COBIT 2019). Namun pada modul pembahasan, akan mendiskusikan COBIT 5 (terbit tahun 2012) yang cakupannya tidak jauh dengan COBIT edisi terbaru.
• Menyediakan prinsip-prisnip, praktik-praktik, alat-alat analisis, dan mode yang diterima secara global dan dirancang untuk membantu memaksimalkan kepercayaan pimpinan bisnis dan TI mengenai nilai dari informasi dan asset teknologi perusahaan (ISACA, 2012). Memberikan perbedaan yang jelas antara fungsi pengelolaan (governance) dan manajemen TI pada organisasi.
• Didasarkan pada lima prinsip kunci untuk tata kelola dan manajemen TI organisasi,yaitu: memenuhi kebutuhan stakeholder, mencakup seluruh bagian organisasi, menerapkan suatu kerangka kerja yang terintegrasi,menggunakan sebuah pendekatan yang menyeluruh dan pemisahan tata kelola dalam manajemen.
• Prinsip dasar ini memungkinkan membangun sebuah kerangka tata kelola dan manajemen yang efektif, sehingga dapat mengoptimalisasikan investasi dan penggunaan TI.

Prinsip COBIT 5

• Kerangka kerja COBIT, terdiri dari tiga tingkat (level) usaha pengaturan TI yang menyangkut manajemen sumber daya TI. Lapisan paling bawah, yaitu kegiatan dan tugas (activities and task) yang diperlukan untuk mencapai hasil yang dapat diukur.
• Pada aktivitas terdapat konsep siklus hidup yang didalamnya terdapat kebutuhan pengendalian khusus.
• Kemudian satu lapis diatasnya terdapat proses yang merupakan gabungan dari kegiatan dan tugas dengan keuntungan atau perubahan (pengendalian) alami.
• Pada tingkat yang lebih tinggi proses biasanya dikelompokan bersama ke dalam domain.
• Pengelompokan ini sering disebut sebagai tanggung jawab domain dalan struktur organisasi dan yang sejalan dengan siklus manajemen atau siklus hidup yang dapat diterapkan pada proses TI. Dibadi dua domain proses utama. Proses tata kelola terdapat dalam domain Evaluate, Direct, dan Monitor (EDM), sedangkan prosesproses manajemen TI terdapat pada empat domain yaitu: -Align, Plan and Orginaize (APO) - Penyelarasan perencanaan dan pengaturan -Build, Acquire, and Implement (BAI) - Membangun, memperoleh dan mengimplementasikan -Deliver, Service dan Support (DSS) - Mengirimkan, layanan dan dukungan -Monitor, Evaluate dan Assess (MEA) - Pengawasan evaluasi dan penilaian
• Secara umum, setiap kegiatan AI yang menggunakan kerangka kerja COBIT 5 akan mngevaluasi domain proses-proses diatas. Namun tidak seluruh proses harus dicakup dalam satu kegiatan AI melainkan dpt dipilih sesuai kebutuhan organisasi.

Standar dan Tata Cara Audit SPBE

• Badan Pengkajian dan Penerapan Teknologi (BPPT) lembaga pemerintah yang bertanggung jawab dlm penyelenggaraan SPBE secara nasional (kemensetneg 2018).
• Salah sat u tugas yang berkaitan dengan tanggung jawab tersbut adalah menyusun standar dan tata cara pelaksanaan audit sistem pemerintahan berbasis elektronik atau disingkat SPBE.
• Peraturan tentang Audit TI sendiri telah tertuang pada Peraturan Preisden No.95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik Bab IV tentang Audiu Teknologi Informasi dan Komunikasi Pasal 55, 56, 57 dan 58. Peraturanin i kemudian diturunkan pada peraturan Menteri Komunikasi dan Informatika Republik Indonesia tentang Kebijakan Umum Penyelenggaraan Audit Teknologi Informasi dan Komunikasi Bab II tentang Pelaksanaan Audit Teknologi Informasi dan KOmunikasi Pasal 4 Sampai Pasal 12.
• Pasal-pasal ini mencakup standar dan tata cara pelaksanaan audit infrastruktur SPBE dan audit aplikasi SPBE oleh BPPT serta Audit Keamaan informasi oleh BSSN.
• Standar dan tata cara pelaksanaan audit infrastrukur dan audit aplikasi digunakan sebagai panduan bagi IPPD, Lembaga Audit TIK (LATIK) dan auditor dalam melaksanakan audit infrasturktur SPBE dan Audit Aplikasi SPBE ( lebih kapada pelaksanaan audit eksternal).
• Standar dan tata cara in immuat panduan tata cara pelaksanaan audit, standar teknis dan kriteria penilaian audit, panduan LATIK sebagai pelaksana audit eksternal, dan panduan auditor.
• Sebelumm adanya Perpres SPBE ini, Audit TIK di IPPD tidak wajib dilaksanakan. Lembaga pelaksana audit, siapa auditornya, objek lingkup audit standar teknis serta tata cata audit juga masih dibebaskan namun setelah adanya preperes SPBE Audit TI menjadi sebuah kegiatan harus yang dilakukan dan auditoriannya tela diator seperti yang sudah dilaksanakan. oleh Lamberga Arsip Nsional Republik Indonesia (ANRI, 2021). Objek dan ruang lingkup Audit TI, ketentuan standar teknis dan tata cara Audit TI juga kini elha ditentukan oleh BPPT dan BSSN.
• HAl ini yg dijlskan ditetas telacantum seluruhnya pada peraturan BNK y kin is berua draf akan menunggu pengesahan RPM komindo meskipun demikian kegiatan audit Ti yang dapat masuk dalam ketentuan sudah boleh dilaksanakan karena sudah sesuai perpreis SBPE.
• Adapun butir-butir kegiatan Audit TI pada Petunjuk teknis (Juknis) Prakom telah mengadopsi standar dan tata cara pelaksanaan Audit TI SPBE mencakup 3 tahap utama yaitu tahap perencanaan,pelaksanaa dan pelaporan

ALUR PROSES KEGIATAN DAN AUDIT TL

• Sebelum memulai proses audit Ti, di perlukan penentuan ruang likup, kriteria dan tujauan dari Audit TI yang akan dilaksanakan.

Mengidentifikasi Kriteria Audit

• Kriteria Audit Ti merupakan berbagai peraturan perundang-undangan dan/atau kebijakan,prosedur, dan instruksi kerja, sertaan da praktik-praktik terbaik yg digunakan oleh Auditor untuk melakukan evaluasi ataupun audit Ti. Unumnya, kriteria audit TI diambil dari variabel kontrol sistem informasi yang berkaitan dengan aktivitas"

• Mengamankan aset

• Memastikan siklus pengembang sistem atau aplikasi berjalan degan baik dan beroperasi secara efektif

• Memastikan integritas Environment OS terjaga

• Memastikan integritas environment aplikasi yang sensitive dan critical terjaga

• Memastikan kesesuaian identifikasi dan otentikasi penggunaan

• Memastikan efisiensi dan efektivitas operasional

• Memastikan integritas dan realibitas sistem terjaga dengan mengimplementasi prosedur change managment

Mengidentifikasi Tujuan AUDIT yang rekevan

Terdapat berbagai macam tjuan audit.

Perencanaan Audit TI

• AuditorTI harus merencanakan Audit yang baik dengan terlebih dahulu menigidentifikasi sumber daya sistem infoemasi yang akan diaudit; tata kelola dan manajemen sistem informasi yan akn diaudit; dan Peraturan perundan-undangan yang terkait dengan sistem imformasi yang akn di audit.

Mengidentifikasi kemampuan teknis dan sumber dayang yang didutuhkan dalam proses audit

• Dalam fase perencanaan, kemampuan teknis dan sumberdayanyaa dibuthka dalam kegiatan Audit Ti pilu diidentifikasi terlebih dahulu. auditor perlu mengidentifikasi beberapa lama waktu yang diperlukan menyelesaikan sebuah kegiatan audit termasuk alokiasai bayaa yang. dipellukaan untk kegiatan audit,

Mengidentifikasi sumber ifnormasi untk dir-review

• Suber infot yang nanmtinya aknaa diguanakan spananajaang proses, sumber ifnormasi yangdi identifikasi bsa. mencakup dokumen cetakan siumber dari internet au informasi yang didaft melalui wawancara terhada

penyiipan recnana audit

auditor sistem informasi harus menyusun Renacan auditor SI secara rinci dan jelas , yang mecakup"

• Tujuna linkgup dan janis audit sistem ifnormasi

Menyesuaikan TIM Audit dan peembagaian tugaasnya

"TIM audit meliput : tangungajawba , lead auditor, auditor , asisten auditor

Reviu Bukti Dan evaluasi Bukti

"Stelah prosespengumpulan data dilakukan penelaahan reviu dan evaluasi yang dimaan berbagia macamaetede spt wawancara, kueisoner.

Menysun KESIMPULAN Audit TI

"Auditor sistem informasiharus mennyapikaa temuan dna rekomendasi.

Laporann audit

"Setelah mnyelesakanna keguaatan audiot tim memberia laporan yang memadia kepda pimina unit dan pimipana LAtIk".

Kegiatan pasca audit

"Jika SUDAH TERDEFINISi diaa plan audit".

Rangkuman

• menentuka ruahnag lingkUp, kriteria, tujaunaudiot TI

• erencaann audit TI

• prosedur audi

• reviue dan evaluasi buktu

• mnysusun kesimpulan dan melaporkan hasil audit.

KESIMPULAN Bab V

• Audit Teknologi Informasi merupakan kegiatan yang dilakukan secara sistematis dan objektif untuk menentukan dipatuhinya prosedur yang baku.
• Auditor ialah pihak diberi tugas menjalankan proses audit terhadap pihak Auditee (pihak yang diaudit).
• Terdapat berbagai kerangka kerja (framework) best practices yang sudah secara luas digunakan oleh berbagai organisasi, Pemilihan framework idealnya disesuaikan dengan kebutuhan dan kondisi organisasi.
• Dengan berbekal modul ini peserta diharapkan dapat mengenal konsep, kerangka kerja dan alur proses kegiatan Audit TI secara umum.