Secara garis besar, metodologi dalam Audit SI/TI (yang dihasilkan dari proses perencanaan Audit) akan terdiri atas beberapa tahapan antara lain:
Tahapan analisis kondisi eksisting dalam rencana Audit SI/TI merupakan kegiatan peninjauan kondisi perusahaan saat iru terutama yang berkaitan dengan aktivitas bisnis. Perunjauan dilakukan dengan dua tujuan utama, yakni: pengumpulan data sebagai bahan analisis resiko untuk menentukan lingkup audit yang nantinya dilakukan dan pengumpulan informasi yang mendukung pelaksanaan audit, misalkan informasi mengenai aktivitas bisnis yang telah didukung TI serta hukum, regulasi, ketetapan, standar yang terkait dengan aktivitas bisrus tersebut.
Mengenai tujuan yang pertama, yakni pengumpulan data sebagai bahan analisis resiko, fokus dari aktivitas pengumpulan data yang dilakukan adalah keseluruhan proses bisrus yang ada di perusahaan, baik proses bisrus utama maupun pendukung. Proses bisnis yang dimaksud tidak hanya yang terkait dengan TI, namun keseluruhan proses bisnis yang berlangsung di perusahaan.
Pengumpulan data proses bisnis tersebut dilakukan terhadap pihak-pihak yang bertanggung jawab terhadap pengelolaan proses berdasarkan struktur organisasi berikut tugas pokok dan fungsi yang berkaitan dengan proses tersebut. Jika proses bisnis perusahaan memiliki cakupan yang luas, pengaudit SI/TI dapat memfokuskan pada proses bisnis yang terkait dengan TI sebagai objek yang akan diaudit nantinya.
Selain itu, pengumpulan informasi yang mendukung pelaksanaan audit perlu dilakukan dengan pengidentifikasian proses bisnis yang terkait/ didukung oleh keberadaan TI dengan menginventarisasi seluruh sistem informasi yang mendukung bisrus. Informasi lain yang perlu didapat adalah yang berkaitan dengan hukum, regulasi dan kebijakan hingga prosedur yang terkait dengan proses bisrus perusahaan maupun aktivitas audit itu sendiri.
Data-data tersebut diperoleh dan dikumpulkan melalui wawancara, survei menggunakan kuisoner, aktivitas peninjauan terhadap dokumen-dokumen pendukung proses hingga analisis hasil observasi atau informed transforming group session. Perlu dipahami bahwa dalam tahapan analisis kondisi eksisting ini hanya dilakukan pengumpulan data, tanpa pengujian apakah proses yang berlangsung sudah sesuai dengan standar yang ditetapkan. Pengujian tersebut akan dilakukan pada tahapan pelaksanaan audit dengan fokus terhadap proses bisnis tertentu, misalkan pada Audit SI/TI maka pengujian akan dilakukan pada proses bisnis yang terkait dengan TI.
2. Penentuan tingkat resiko
Penentuan tingkat resiko dengan mengklasifikasikan proses bisnis yang tingkat resikonya tinggi (proses bisnis utama) maupun proses bisnis pendukung. Hasil penentuan tingkat resiko tersebut kemudian dijadikan sebagai bahan dalam penyusunan ruang lingkup pelaksanaan audit yang diarahkan kepada proses bisnis yang didukung oleh TI. Sebelum mengenal lebih jauh mengenai aktivitas yang berlangsung dalam penentuan tingkat resiko, perlu dipahami mengenai pengertian resiko yang berdampak terhadap keberlangsungan aktivitas bisnis. Resiko yang berdampak pada bisnis (resiko bisnis) tersebut merupakan segala kejadian tidak pasti yang memberikan pengaruh terhadap pencapaian tujuan bisnis. Pengaruh tersebut dapat berdampak kepada aset yang berwujud (tangible) maupun aset yang tak berwujud (intangible).
Penentuan tingkat resiko dengan mengklasifikasikan proses bisnis yang tingkat resikonya tinggi (proses bisnis utama) maupun proses bisnis pendukung. Hasil penentuan tingkat resiko tersebut kemudian dijadikan sebagai bahan dalam penyusunan ruang lingkup pelaksanaan audit yang diarahkan kepada proses bisnis yang didukung oleh TI. Sebelum mengenal lebih jauh mengenai aktivitas yang berlangsung dalam penentuan tingkat resiko, perlu dipahami mengenai pengertian resiko yang berdampak terhadap keberlangsungan aktivitas bisnis. Resiko yang berdampak pada bisnis (resiko bisnis) tersebut merupakan segala kejadian tidak pasti yang memberikan pengaruh terhadap pencapaian tujuan bisnis. Pengaruh tersebut dapat berdampak kepada aset yang berwujud (tangible) maupun aset yang tak berwujud (intangible).
Resiko bisnis sendiri dapat melibatkan aspek finansial, regulasi atau operasional atau informasi dan teknologi yang terkait yang dikenal sebagai Resiko TI. Resiko TI tersebut dapat berupa resiko penyampaian layanan (IT service delivery), resiko penyampaian solusi TI (IT solution/project delivery) maupun resiko dorongan pencapaian manfaat/ nilai TI (IT benefit/value enablement).
Masing-masing resiko tersebut akan memberikan pengaruh terhadap nilai bisnis (business value), baik pada peningkatan maupun perlindungan terhadap proses bisnis yang berlangsung di perusahaan seperti terlihat dalam Gambar dibawah ini (The IT Governance Institute, Enterprise Risk: Identify, Govern and Manage IT Risk, The Risk IT Framework (Exposure Draft), 2009).
Agar dapat dilakukan tindakan pencegahan maupun penanggulangan terhadap resiko tersebut, maka pengaudit SI/TI perlu memperkaya wawasan mengenai resiko yang mungkin muncul terkait dengan proses bisnis. Pemahaman menyeluruh terhadap kondisi eksisting perusahaan juga diperlukan agar penentuan resiko proses bisnis dapat relevan.
3. Pelaksanaan Audit SI/TI
Pelaksanaan Audit SIITI dengan mengacu kerangka kerja COBIT yang akan didahului dengan proses penentuan ruang lingkup dan tujuan audit (scope dan ofjective) berdasarkan hasil penentuan tingkat resiko pada tahapan sebelumnya.
Pelaksanaan Audit SIITI dengan mengacu kerangka kerja COBIT yang akan didahului dengan proses penentuan ruang lingkup dan tujuan audit (scope dan ofjective) berdasarkan hasil penentuan tingkat resiko pada tahapan sebelumnya.
Sebelum Audit SI/TI dilakukan, perlu pendefinisian scope dan oijective atau ruang lingkup dan tujuan audit berdasarkan hasil dari resiko TI yang paling tinggi (high) tingkat resikonya yang dilakukan pada tahapan penentuan tingkat resiko TI dengan memperhatikan preferensi/ arahan pihak manajemen.
Hasil pendefinisian tersebut menghasilkan prioritas area Proses TI yang perlu dilakukan penilaian, penyesuaian dan penyempurnaan yang terangkai dalam aktivitas Audit SI/TI.
Tujuan audit didefinisikan dalam objective sedangkan scope menggambarkan sistem secara spesifik hal-hal yang perlu dilakukan termasuk batasan-batasan dalam proses tinjauan nantinya.
4. Penentuan rekomendasi beserta laporan
Penentuan rekomendasi beserta laporan dari hasil audit yang dilakukan. Aktivitas audit seharusnya menghasilkan kesimpulan dan temuan yang akan mengarahkan pada rekomendasi yang mencerminkan pemenuhan terhadap tujuan objektif yang berbasis waktu, kinerja dan biaya. Hal tersebut seharusnya disertai dengan laporan awal yang menggambarkan temuan awal dalam aktivitas audit sebelum kemudian disusun ke dalam laporan akhir sehingga pihak manajemen mendapatkan gambaran mengenai kondisi eksisting perusahaannya serta gambaran rekomendasi yang akan diberikan oleh pengaudit SI/TI (Gallegos, IT Audit Report and Follow-up: Methods and Techniques for Communicating Audit Findings and Recommendations,2002) .
Penentuan rekomendasi beserta laporan dari hasil audit yang dilakukan. Aktivitas audit seharusnya menghasilkan kesimpulan dan temuan yang akan mengarahkan pada rekomendasi yang mencerminkan pemenuhan terhadap tujuan objektif yang berbasis waktu, kinerja dan biaya. Hal tersebut seharusnya disertai dengan laporan awal yang menggambarkan temuan awal dalam aktivitas audit sebelum kemudian disusun ke dalam laporan akhir sehingga pihak manajemen mendapatkan gambaran mengenai kondisi eksisting perusahaannya serta gambaran rekomendasi yang akan diberikan oleh pengaudit SI/TI (Gallegos, IT Audit Report and Follow-up: Methods and Techniques for Communicating Audit Findings and Recommendations,2002) .
Setelah Audit SI/TI dilaksanakan, pengaudit bertanggung jawab terhadap pengkomunikasian hasil audit kepada pihak manajemen terkait. Pengkomunikasian tersebut menghasilkan kesepakatan akan hasil audit yang kemudian akan disusun dalam laporan audit.
Pengkomunikasian tersebut membutuhkan keahlian dan pemilihan informasi yang sesuai untuk pihak manajemen tertentu. Peran tersebut membutuhkan keahlian pengambilan keputusan, kebijaksanaan dan pengetahuan akan proses audit.
Laporan akhir dari audit seharusnya mempesentasikan gambaran saat ini dari situasi kemudian memungkinkan pihak manajemen untuk mengambillangkah yang dipedukan. Pihak manajemen menggunakan laporan audit sebagai dasar informasi yang akurat, dapat dipercaya dan berguna sehingga dapat digunakan merancang keputusan.
sumber : http://darmansyah.weblog.esaunggul.ac.id/2013/08/12/metodologi-dalam-audit-siti/
10
Tidak ada komentar:
Posting Komentar