BAB IV Alur Proses Kegiatan Audit TI PDF
Document Details
Uploaded by FaithfulHarpGuitar3647
Universitas Teknokrat Indonesia Bandar Lampung
Tags
Summary
This document details the process of conducting IT audits, from defining scope and criteria, to identifying relevant objectives and evaluating the effectiveness of existing IT systems and processes. The document explains the need to understand business goals and consider prior audit work and stated contents.
Full Transcript
Audit Teknologi Informasi BAB IV ALUR PROSES KEGIATAN AUDIT TI 4.1. Menentukan Ruang Lingkup, Kriteria dan Tujuan Audit TI Sebelum memulai proses audit TI, terlebih dulu diperlukan penentuan ruang lingkup, kriteria dan tujuan dari Audit TI...
Audit Teknologi Informasi BAB IV ALUR PROSES KEGIATAN AUDIT TI 4.1. Menentukan Ruang Lingkup, Kriteria dan Tujuan Audit TI Sebelum memulai proses audit TI, terlebih dulu diperlukan penentuan ruang lingkup, kriteria dan tujuan dari Audit TI yang akan dilaksanakan. a. Mengidentifikasi kriteria Audit TI Kriteria Audit TI merupakan berbagai peraturan perundang- perundangan dan/atau kebijakan, prosedur, dan instruksi kerja, serta standar dan praktik-praktik terbaik, yang digunakan oleh Auditor untuk melakukan evaluasi ataupun Audit TI. Umumnya, kriteria audit TI diambil dari variabel kontrol sistem informasi yang berkaitan dengan aktivitas: 1. Mengamankan aset 2. Memastikan siklus pengembang sistem atau aplikasi berjalan dengan baik dan beroperasi secara efektif 3. Memastikan Integritas environment OS terjaga 4. Memastikan Integritas environment aplikasi yang sensitif dan critical terjaga 5. Memastikan Kesesuaian identifikasi dan otentikasi pengguna 6. Memastikan Efisiensi dan efektivitas operasional 7. Memastikan Integritas dan reliabilitas sistem terjaga dengan mengimplementasi prosedur change management b. Mengidentifikasi tujuan Audit TI yang relevan Terdapat berbagai macam Tujuan Audit TI yang dapat ditetapkan, namun tidak semuanya akan relevan dengan sebuah organisasi. Untuk dapat menentukan tujuan atau objektif Audit TI yang tepat dan relevan sesuai dengan kondisi organisasi yang akan diaudit, maka Auditor perlu: 1. Memahami tujuan bisnis organisasi Memahami tujuan bisnis organisasi secara garis besar dapat dilakukan dengan membaca laporan tahunan organisasi, renstra, 25 Audit Teknologi Informasi ataupun laporan independen dari pihak ketiga yang mengkaji proses bisnis organisasi. Selain kajian dokumen, dapat pula dilakukan wawancara terhadap key person yang tidak hanya memahami tujuan bisnis namun juga memahami kondisi TI organisasi. Auditor juga mencari dan mengkaji regulasi TI khusus yang berlaku di organisasi atau nasional, serta mengidentifikasi fungsi atau aktivitas TI organisasi yang diserahkan pada pihak ketiga sebagai bagian dari upaya untuk lebih memahami fokus organisasi. 2. Mereviu work paper dari kegiatan audit sebelumnya Pada beberapa kasus, organisasi mungkin pernah melakukan kegiatan Audit pada periode sebelumnya baik dilakukan oleh pihak internal maupun dengan melibatkan pihak ketiga. Work paper atau kertas kerja audit TI yang lalu dapat dijadikan masukan untuk mempertimbangkan tujuan Audit TI yang relevan bagi organisasi. 3. Mengidentifikasi stated content yang dimiliki organisasi Stated content adalah dokumen kebijakan, standard, guidelines, prosedur, dan struktur organisasi yang sudah dimiliki oleh organisasi. Hal ini juga bisa mencakup misalnya, Rencana Strategis TI organisasi. 4. Menentukan kelayakan Audit Sebelum sebuah kegiatan Audit dapat dilakukan, perlu dilakukan pengujian kelayakan Audit TI melalui studi kelayakan Audit TI. Melakukan studi kelayakan audit TI adalah kegiatan meninjau dan menilai apakah audit TI layak untuk diselenggarakan di suatu institusi. Pelaku studi kelayakan mengidentifikasi area dan obyek TI dari institusi secara umum yang berpotensi untuk diaudit. Selain itu, dilakukan peninjauan kemungkinan pelaksanaan dari berbagai perspektif, baik teknis maupun non teknis dalam domain TI dan bisnis. Dengan demikian dapat diperoleh kesimpulan apakah kegiatan audit TI 26 Audit Teknologi Informasi untuk area dan obyek TI tersebut layak atau tidak layak untuk diimplementasikan di institusi. Kegiatan studi kelayakan audit TI berlaku untuk per area TI dan wajib disertai dengan kegiatan melakukan analisis kelayakan audit TI dari berbagai perspektif di antaranya: Analisis kelayakan ekonomi, untuk mendapatkan justifikasi biaya- manfaat; Analisis kelayakan teknis, dengan meninjau penerapan teknis secara praktis dari kegiatan audit TI yang diusulkan; Analisis kelayakan operasional, dengan menguji seberapa efektif kegiatan audit TI yang diusulkan untuk diterapkan dan memberikan peluang kepada pelaksana; Analisis kelayakan hukum dan kontraktual (non teknis), dengan meninjau kewajiban-kewajiban hukum atau kontraktual yang berkaitan dengan kegiatan audit TI yang diusulkan; dan. Analisis kelayakan budaya organisasi, dengan mengevaluasi bagaimana internal instansi dapat menerima kegiatan audit TI untuk diterapkan. c. Menentukan spesifikasi sistem dan unit/fungsi yang akan diaudit Saat akan memasuki tahap perencanaan Audit TI maka perlu ditentukan spesifikasi cakupan sistem/aplikasi yang akan diaudit. Selain itu perlu ditentukan ruang lingkup unit/fungsi di organisasi yang akan diaudit. Berdasarkan Juknis Prakom, Cakupan area TI meliputi namun tidak terbatas pada: keamanan informasi, manajemen layanan, manajemen konfigurasi, operasional sistem. Cakupan obyek TI: perangkat keras, piranti lunak, sarana komunikasi, serta fasilitas apapun yang dapat digunakan untuk menginput, menyimpan, mengirimkan, memproses, dan menghasilkan data dalam berbagai bentuk. 4.2. Perencanaan Audit TI 27 Audit Teknologi Informasi Auditor TI harus merencanakan Audit yang baik dengan terlebih dahulu mengidentifikasi sumber daya sistem informasi yang akan diaudit; tata kelola dan manajemen sistem informasi yang akan diaudit; dan Peraturan perundang-undangan yang terkait dengan sistem informasi yang akan diaudit. Aktivitas pada fase perencanaan Audit TI mencakup: a. Mengidentifikasi kemampuan teknis dan sumber daya yang dibutuhkan dalam proses audit Dalam fase perencanaan, kemampuan teknis dan sumber daya yang dibutuhkan dalam kegiatan Audit TI perlu diidentifikasi terlebih dahulu. Sumber daya audit yang dimaksud mencakup waktu, biaya dan sumber daya manusia (SDM). Auditor perlu mengidentifikasi berapa lama waktu yang diperlukan untuk menyelesaikan sebuah kegiatan audit (termasuk alokasi) dan kapan perkiraan rencana pelaksanaanya. Biaya yang diperlukan untuk kegiatan audit juga perlu diidentifikasi bersama jumlah anggota tim yang diperlukan dan memiliki kemampuan yang dibutuhkan. Sumber daya audit yang diidentifikasi dapat disesuaikan dengan objek, dan cakupan area TI yang sudah direncanakan. b. Mengidentifikasi sumber informasi untuk di-review Sumber informasi yang nantinya akan digunakan sepanjang proses Audit TI perlu diidentifikasikan pada fase perencanaan. Sumber informasi yang diidentifikasi bisa mencakup dokumen cetak, sumber dari internet atau informasi yang didapat melalui wawancara terhadap key person atau tenaga ahli yang terlibat langsung. Sumber. Sumber informasi ini akan menjadi sumber dari segala data, bukti dan referensi yang akan digunakan sepanjang kegiatan Audit TI c. Menyiapkan rencana audit Auditor Sistem Informasi harus menyusun Rencana Audit Sistem Informasi secara rinci dan jelas, yang mencakup : 1. Tujuan, lingkup, dan jenis Audit Sistem Informasi; 28 Audit Teknologi Informasi 2. Tahapan dan prosedur pengujian Audit TI yang harus dilakukan; 3. Metodologi dan alat bantu Audit TIi yang dapat digunakan oleh Auditor Sistem Informasi; 4. Jangka waktu pelaksanaan setiap tahapan dan prosedur pengujian dalam Audit TIi; 5. Alokasi kepada Auditor TI yang harus melakukan prosedur pengujian tersebut. d. Menyusun Tim Audit dan pembagian tugasnya Tim Audit merupakan tim yang disusun khusus untuk pelaksanaan Audit TI dan biasanya tersusun secara berjenjang. Adapun posisi Tim Audit TI mencakup beberapa posisi antara lain: 1. Penanggungjawab, berperan melakukan monitoring dan evaluasi aktivitas audit untuk menjamin pelaksanaan audit sesuai dengan standar audit. 2. Lead Auditor, bertanggung jawab merencanakan audit teknologi, melaksanakan audit di lapangan, mengendalikan data dan melaporkan hasil audit teknologi. Lead Auditor harus mempunyai kualifikasi minimal setara dengan Auditor teknologi madya; 3. Auditor, bertugas membantu Lead Auditor dalam aktivitas audit teknologi. Auditor harus mempunyai kualifikasi minimal setara /dengan Auditor teknologi muda; 4. Asisten Auditor, bertugas membantu Auditor dalam aktivitas audit teknologi; 5. Teknisi, bertugas membantu Auditor dalam pengumpulan data lapangan; 6. Narasumber, berperan memberi masukan yang berkaitan dengan isu, status teknologi, dan keilmuan yang relevan. Pada beberapa instansi Ketua Tim Audit (Lead Auditor) wajib memiliki sertifikat kompetensi Auditor. Sertifikasi kompetensi Auditor teknologi yang 29 Audit Teknologi Informasi berasal dari Lembaga Sertifikasi Profesi (LSP) bidang kompetensi Auditor teknologi atau LSP yang mendapat pengakuan dari BPPT. e. Menyiapkan work documents Audit TI Tim Auditor menyiapkan segala dokumen yang dibutuhkan untuk melaksanakan prosedur audit terutama untuk fase pengumpulan data. Dokumen-dokumen tersebut misalnya dokumen ceklis dari framework yang digunakan, kuesioner, daftar pertanyaan untuk wawancara, dan lain sebagaianya. 4.3. Melaksanakan Prosedur Audit dan Pengumpulan Data Prosedur Audit TI mencakup beberapa aktivitas antara lain: a. Melakukan opening meeting Pada tahap ini, Tim Auditor perlu menyampaikan rencana audit (audit plan) kepada Auditee (pihak yang diaudit) untuk dikaji dan diberi persetujuan, serta mengkomunikasikan dampak dari keterbatasan sumberdaya. b. Reviu dokumen dan pengumpulan data selama proses audit Dilakukan review atau penelaahan dokumen-dokumen yang diperlukan sebagai referensi maupun sebagai verifikasi bukti (evidence) dari terpenuhinya prosedur-prosedur. Selain itu, dalam rangka mengumpulkan informasi yang dibutuhkan maka dapat dilakukan pula observasi lapangan, pengujian di lapangan, dan wawancara. c. Komunikasi selama proses audit Selama dilakukannya kegiatan audit, Tim Auditor harus menjaga komunikasi yang konsisten antar anggota tim maupun dengan Auditee. Komunikasi ini juga mencakupi laporan yang memadai kepada pimpinan unit kerja yang diaudit mengenai tujuan, wewenang, tanggung jawab, dan progress audit. 30 Audit Teknologi Informasi d. Menugaskan peran dan tanggung jawab untuk Tim Audit Tim Audit yang telah dibentuk sebelumnya bisa jadi terdiri dari beberapa orang dalam satu peran. Lead Auditor bertugas membagi tanggung jawab untuk setiap Auditor yang bekerja di bawahnya sesuai dengan cakupan kegiatan Audit yang sedang dikerjakan. e. Mengumpulkan dan memverifikasi informasi Seluruh work documents yang telah digunakan untuk menelaah dan mengumpulkan informasi sepanjang kegiatan Audit TI kemudian dikompilasi dan diverifikasi. 4.4. Reviu dan Evaluasi Bukti Setelah proses pengumpulan data di lapangan selesai, maka dilakukan penelaahan dan evaluasi dari bukti-bukti yang telah diperiksa, Evaluasi bukti dapat dilakukan melalui berbagai metode seperti kuesioner, wawancara/FGD, review dokumen dan observasi. Bukti dievaluasi berdasarkan kriteria audit yang telah ditentukan sebelumnya. Dua aktivitas utama pada tahap ini adalah: a. Men-generate temuan audit Berdasarkan hasil reviu dan evaluasi bukti selesai dilakukan maka temuan audit harus dihasilkan. Temuan Audit TI harus mencakup masalah- masalah penting atau isu yang ditemukan selama audit berlangsung, dan masalah tersebut pantas untuk dikemukakan dan dikomunikasikan dengan Auditee karena mempunyai dampak terhadap perbaikan dan peningkatan kinerja-ekonomi, efisiensi, dan efektifitas pada pihak Auditee. b. Menyiapkan dokumentasi untuk laporan akhir Auditor harus mendokumentasikan seluruh informasi yang terkait dengan pelaksanaan prosedur audit dan berbagai bukti yang diperolehnya di dalam seperangkat Kertas Kerja (work paper) Audit Sistem Informasi, yang harus memenuhi ketentuan sebagai berikut: 31 Audit Teknologi Informasi 1. Disusun menggunakan Bahasa Indonesia, dengan lengkap, jelas, terstruktur, dan memiliki indeks, agar mudah untuk dipahami dan digunakan oleh Audit Sistem Informasi atau pihak lain yang akan melakukan review atas Kertas Kerja Audit tersebut. 2. Memungkin dilakukannya pelaksanaan ulang seluruh kegiatan yang telah dilaksanakan selama penugasan Audit Sistem Informasi tersebut oleh pihak independen dan memperoleh hasil dan kesimpulan yang sama. 3. Mencantumkan identitas pihak yang melaksanakan setiap tahapan dan pengujian Audit Sistem Informasi serta peranannya, serta telah diperiksa oleh pihak lain di dalam Tim Audit Sistem Informasi. 4.5. Menyusun Kesimpulan dan Melaporkan Hasil Audit Setelah temuan Audit sudah dihasilkan dan dokumentasi untuk laporan akhir telah disiapkan, maka selanjutnya perlu dilakukan penyusunan kesimpulan audit, pelaporan hasil audit, dan pelaksanaan kegiatan pasca audit TI (jika telah ditentukan pada saat perencanaan Audit TI) a. Menyusun Kesimpulan Audit TI Auditor Sistem Informasi, harus menyampaikan Temuan dan Rekomendasi Audit Sistem Informasi jika ditemukan adanya kelemahan atau kekurangan atas rancangan dan/atau pelaksanaan pengendalian intern, manajemen risiko, dan kelola TI, dimana Temuan dan Rekomendasi Audit Sistem Informasi paling sedikit mencakup informasi sebagai berikut: 1. Temuan, yaitu berbagai fakta mengenai kelemahan atau kekurangan rancangan dan pelaksanaan atas rancangan dan/atau pelaksanaan pengendalian intern TI, manajemen risiko TI, dan tata kelola TI yang ditemukan oleh Auditor Sistem Informasi yang didasarkan kepada bukti-bukti audit yang diperoleh dari hasil pelaksanaan prosedur pengujian Audit Sistem Informasi. Termasuk hasil review dan evaluasi kelengkapan dokumen, kebijakan dan prosedur; 32 Audit Teknologi Informasi 2. Risiko, yaitu dampak yang disebabkan oleh adanya kondisi tersebut diatas, yang secara aktual telah terjadi atau memiliki potensi untuk terjadi, yang telah atau akan dapat mempengaruhi pencapaian sebagian atau keseluruhan tujuan dari pengendalian intern TI, manajemen risiko TI dan tata kelola TI; 3. Kriteria, yaitu berbagai peraturan perundang-perundangan dan/atau kebijakan, prosedur, dan instruksi kerja, serta standar dan praktik-praktik terbaik, yang digunakan oleh Auditor Sistem Informasi untuk melakukan evaluasi dan pengujian atas pengendalian intern TI, manajemen risiko TI dan tata kelola TI; 4. Rekomendasi, yaitu berbagai tindakan perbaikan yang menurut Auditor Sistem Informasi dapat atau harus dilakukan oleh pihak yang terkait, untuk menghilangkan dan/atau mengendalikan berbagai hal yang menjadi penyebab, serta menghilangkan dan/atau mengendalikan berbagai dampak, dari adanya berbagai kelemahan atau kekurangan atas rancangan dan/atau pelaksanaan pengendalian intern TI, dan manajemen risiko TI serta tata kelola TI yang terkait, termasuk di dalamnya: o Rekomendasi prosedur tindak lanjut hasil audit o Rekomendasi prosedur untuk mengevaluasi efisiensi dan efektivitas; 5. Tanggapan, yaitu klarifikasi atau penjelasan dan argumentasi atau tanggapan resmi dari pihak-pihak yang terkait dan/atau bertanggung jawab atas hal-hal yang terkait dengan temuan dan rekomendasi yang disampaikan oleh Auditor Sistem Informasi. b. Melaporkan Hasil Audit Setelah menyelesaikan kegiatan Audit TI, Tim Auditor wajib memberi laporan yang memadai kepada pimpinan unit kerja yang diaudit dan pimpinan LATIK SPBE mengenai hasil dan kinerja audit yang dilaksanakan dalam 33 Audit Teknologi Informasi sebuah pertemuan atau closing meeting. Pada pertemuan ini laporan hasil penugasan audit yang telah disusun akan disampaikan. Laporan Hasil Audit TI disusun dalam Bahasa Indonesia dan minimal mencakup informasi sebagai berikut: o Identitas organisasi, pihak-pihak yang berhak menerima, dan pembatasan distribusi atau sirkulasi laporan tersebut; o Tujuan, aspek dan periode yang dicakup, serta sifat, waktu, dan kedalaman audit; o Hasil Audit berupa temuan, kesimpulan, dan rekomendasi Audit Sistem Informasi, serta, jika ada, pengecualian dan pembatasan terkait dengan lingkup audit; o Tanggapan dan/atau komentar resmi atas Laporan Hasil Audit Sistem Informasi dari pihak-pihak yang bertanggungjawab atas entitas atau kegiatan yang diaudit o Tanggal pelaporan, serta nama, jabatan dan tanda tangan Ketua Tim Audit Sistem Informasi; o Ringkasan Eksekutif, yang merupakan ringkasan dari Laporan Hasil Audit Sistem Informasi, khususnya mengenai hal-hal yang menurut Auditor Sistem Informasi cukup material dan signifikan dan perlu mendapatkan perhatian dari pihak-pihak yang bertanggung jawab atas entitas atau kegiatan yang diaudit. c. Mendistribusikan Laporan Audit Laporan Audit TI yang telah disampaikan pada closing meeting umumnya perlu didistribusikan kepada pihak-pihak berwenang yang dianggap perlu dan memiliki peran dalam perbaikan dari temuan-temuan hasil Audit tersebut. Tujuan distribusi laporan Audit dapat ditentukan oleh pihak yang memberikan penugasan maupun pihak yang bertanggungjawab dari sisi Auditee. 34 Audit Teknologi Informasi d. Kegiatan Pasca Audit Tindak lanjut hasil audit dapat dilakukan jika memang sudah ditentukan dan dicantumkan pada rencana audit (Audit Plan). Tim Auditor TI dalam memantau tindak lanjut Audit dapat mencakup : 1. Mencatat jangka waktu yang harus dipenuhi oleh satuan kerja yang bertanggung jawab untuk menindaklanjuti temuan dan rekomendasi Audit Sistem Informasi; 2. Jika dipandang perlu, dapat melakukan penugasan khusus atau tambahan dalam rangka melakukan evaluasi dan verifikasi atas tindak lanjut yang telah dilaporkan; 3. Apabila terdapat tindak lanjut yang belum dilaksanakan atau yang dipandang kurang memadai pelaksanaannya, Auditor Sistem Informasi harus menyampaikan atau mengeskalasikan hasil pemantauan tindak lanjut Audit Sistem Informasi tersebut kepada satuan kerja yang terkait atau kepada pejabat yang lebih tinggi. Auditor TI dalam melakukan evaluasi dan verifikasi kelayakan tindak lanjut atas temuan dan rekomendasi Audit Sistem Informasi, harus memperhatikan faktor sebagai berikut : 1. Signifikansi dari temuan dan rekomendasi Audit Sistem Informasi tersebut; 2. Adanya perubahan terhadap lingkungan Sistem Informasi yang dapat mempengaruhi signifikansi permasalahan atau risiko yang terkait dengan temuan dan rekomendasi tersebut; 3. Sumber daya dan kompleksitas serta jangka waktu yang dibutuhkan untuk melaksanakan tindak lanjut dari temuan dan rekomendasi Audit Sistem Informasi tersebut; 4. Dampak yang mungkin ditimbulkan jika tindak lanjut dari temuan dan rekomendasi tersebut tidak atau gagal dilakukan; 35 Audit Teknologi Informasi 4.6. Rangkuman a. Menentukan Ruang Lingkup, Kriteria dan Tujuan Audit TI: Sebelum menyusun rencana Audit TI perlu dilakukan penentuan ruang lingkup, kriteria dan tujuan audit TI yang relevan dan sesuai dengan tujuan strategis TI organisasi dan tujuan bisnis organisasi secara keseluruhan b. Perencanaan Audit TI: Perencanaan audit harus disusun dalam sebuah Rencana Audit (Audit Plan) yang rinci dan mengidentifikasikan sumber daya Audit, sumber informasi yang akan ditelaah, penetapan Tim Audit, dan persiapan work document yang akan digunakan pada pelaksanaan Audit., c. Melaksanakan Prosedur Audit dan Pengumpulan Data: Prosedur pelaksanaan Audit dimulai dengan opening meeting, dan dilanjutkan dengan pengumpulan dan penelaahan dokumen dan atau bukti di lapangan. Pada tahap ini, komunikasi yang konsisten dan pembagian peran internal Tim Audit harus jelas. Data dan bukti perlu diverifikasi sebelum masuk dalam tahap selanjutnya. d. Reviu dan Evaluasi Bukti: Berdasarkan hasil fase pelaksanaan, maka temuan Audit TI harus dihasilkan dan seluruh informasi mengenai temuan tersebut harus didokumentasikan sebagai bahan dasar dari laporan Audit TI yang akan disusun. e. Menyusun Kesimpulan dan Melaporkan Hasil Audit: Berdasarkan hasil temuan Audit pada fase sebelumnya, Tim Auditor perlu menyusun kesimpulan audit, melaporkan hasil audit (termasuk mendistribusikan laporan), dan melaksanakan kegiatan pasca audit TI jika telah ditentukan sejak saat perencanaan Audit TI. 36 Audit Teknologi Informasi 4.7. Soal Latihan 1. Yang perlu disampaikan dalam opening meeting adalah … a. Laporan Hasil Audit TI b. Temuan dan Rekomendasi c. Evaluasi bukti d. Dampak dari keterbatasan sumberdaya 2. Berikut ini adalah informasi yang tercakup dalam kesimpulan Audit TI, kecuali … a. Temuan b. Rekomendasi c. Kriteria d. Tujuan Pelaporan 3. Aktivitas yang tidak termasuk ke dalam proses Menentukan ruang lingkup, kriteria dan tujuan Audit TI yaitu … a. Mengidentifikasi kriteria Audit TI b. Mengidentifikasi kemampuan teknis dan sumber daya yang dibutuhkan dalam proses audit c. Menentukan spesifikasi sistem dan unit/fungsi yang akan diaudit d. Mengidentifikasi tujuan Audit TI yang relevan 4. Tim Auditor berkewajiban memberi laporan mengenai hasil dan kinerja audit yang dilaksanakan dalam sebuah … a. wawancara b. FGD c. closing meeting d. kuesioner 37 Audit Teknologi Informasi 5. Posisi dalam Tim Audit TI yang bertugas membantu Auditor dalam pengumpulan data lapangan adalah … a. Asisten Auditor b. Narasumber c. Penanggungjawab d. Teknisi 38
