Friday, September 25, 2009

Bagaimana Audit IT dilakukan

By: anantopriyadi

Source: http://anantopriyadi.multiply.com/journal/item/34

Audit TI merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien (Weber, 2000). Audit TI sendiri merupakan gabungan dari berbagai macam ilmu, antara lain: Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science.

Pada dasarnya, Audit TI dapat dibedakan menjadi dua kategori, yaitu Pengendalian Aplikasi (Application Control) dan Pengendalian Umum (General Control). Tujuan pengendalian umum lebih menjamin integritas data yang terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas program atau aplikasi yang digunakan untuk melakukan pemrosesan data. Sementara, tujuan pengendalian aplikasi dimaksudkan untuk memastikan bahwa data di-input secara benar ke dalam aplikasi, diproses secara benar, dan terdapat pengendalian yang memadai atas output yang dihasilkan.

Dalam audit terhadap aplikasi, biasanya, pemeriksaan atas pengendalian umum juga dilakukan mengingat pengendalian umum memiliki kontribusi terhadap efektifitas atas pengendalian-pengendalian aplikasi.

Dalam praktiknya, tahapan-tahapan dalam audit TI tidak berbeda dengan audit pada umumnya. Tahapan perencanaan, sebagai suatu pendahuluan, mutlak perlu dilakukan agar auditor mengenal benar objek yang akan diperiksa. Di samping, tentunya, auditor dapat memastikan bahwa qualified resources sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktik-praktik terbaik ( best practices ). Tahapan perencanaan ini akan menghasilkan suatu program audit yang didesain sedemikian rupa, sehingga pelaksanaannya akan berjalan efektif dan efisien, dan dilakukan oleh orang-orang yang kompeten, serta dapat diselesaikan dalam waktu sesuai yang disepakati.

Dalam pelaksanaannya, auditor TI mengumpulkan bukti-bukti yang memadai melalui berbagai teknik termasuk survei, interview, observasi dan review dokumentasi (termasuk review source-code bila diperlukan).

Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya mencakup pula bukti elektronis (data dalam bentuk file softcopy). Biasanya, auditor TI menerapkan teknik audit berbantuan komputer, disebut juga dengan CAAT (Computer Aided Auditing Technique). Teknik ini digunakan untuk menganalisa data, misalnya saja data transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain.

Sesuai dengan standar auditing ISACA (Information Systems Audit and Control Association), selain melakukan pekerjaan lapangan, auditor juga harus menyusun laporan yang mencakup tujuan pemeriksaan, sifat dan kedalaman pemeriksaan yang dilakukan. Laporan ini juga harus menyebutkan organisasi yang diperiksa, pihak pengguna laporan yang dituju dan batasan-batasan distribusi laporan. Laporan juga harus memasukkan temuan, kesimpulan, rekomendasi sebagaimana layaknya laporan audit pada umumnya.

Studi Kasus

Sebuah Bank Swasta terkemuka menunjuk tim audit TI Ernst & Young untuk melakukan review atas penerapan sistem Perbankan yang terintegrasi. Pemeriksaan ini terbagi dalam dua fase. Pada fase pertama mencakup kegiatan, sebagai berikut:

1. Manajemen Proyek

Melakukan review atas manajemen proyek untuk memastikan bahwa semua outcome yang diharapkan tertuang dalam rencana proyek. Pada tahapan ini, auditor TI melakukan review atas project charter, sumber daya yang akan digunakan, alokasi penugasan dan analisa tahapan pekerjaan proyek.

2. Desain Proses dan Pengendalian Kontrol Aplikasi

Review mengenai desain pengendalian dalam modul-modul Perbankan tersebut, yaitu pinjaman dan tabungan. Untuk itu dilakukan review atas desain proses dimana auditor mengevaluasi proses, risiko dan pengendalian mulai dari tahapan input, proses maupun output.

3. Desain Infrastruktur

Review ini mencakup analisa efektivitas dan efisiensi desain infrastruktur pendukung (server, workstation, sistem operasi, database dan komunikasi data).

Hasil follow up dijadikan dasar oleh manajemen untuk memulai implementasi sistem Perbankan yang terintegrasi tersebut.

Berdasarkan nilai tambah yang diberikan melalui rekomendasi pada fase pertama, perusahaan menunjuk kembali auditor untuk melakukan review fase kedua secara paralel pada saat implementasi dilakukan, yaitu review terhadap:

  • Migrasi data, pada saat “roll-out” ke cabang-cabang, termasuk kapasitas pemrosesan dan penyimpanannya.
  • Aspek lainnya termasuk persiapan help-desk , contingency dan security .
  • Kesiapan pemakai dalam menggunakan sistem ini, kualitas pelatihan yang diberikan dan dokumentasi pengguna ( user manual )
  • Prosedur-prosedur manajemen perubahan ( change management ) dan testing

Auditor selanjutnya diminta memberikan saran mengenai risiko-risiko yang masih tersisa, sebelum manajemen memutuskan sistem barunya dapat “go-live”.

SIDE BAR

Standar (COBIT)

Control Objectives for Information and related Technology (COBIT, saat ini edisi ke-3) adalah sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen and pengguna ( user ) untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis.

COBIT dikembangkan oleh IT Governance Institute, yang merupakan bagian dari Information Systems Audit and Control Association (ISACA). COBIT memberikan arahan ( guidelines ) yang berorientasi pada bisnis, dan karena itu business process owners dan manajer, termasuk juga auditor dan user, diharapkan dapat memanfaatkan guideline ini dengan sebaik-baiknya.

Kerangka kerja COBIT ini terdiri atas beberapa arahan ( guidelines ), yakni:

Control Objectives: Terdiri atas 4 tujuan pengendalian tingkat-tinggi ( high-level control objectives ) yang tercermin dalam 4 domain, yaitu: planning & organization , acquisition & implementation , delivery & support , dan monitoring .

Audit Guidelines: Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci ( detailed control objectives ) untuk membantu para auditor dalam memberikan management assurance dan/atau saran perbaikan.

Management Guidelines: Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut:

  • Sejauh mana Anda (TI) harus bergerak, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.
  • Apa saja indikator untuk suatu kinerja yang bagus?
  • Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses ( critical success factors )?
  • Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan?
  • Bagaimana dengan perusahaan lainnya – apa yang mereka lakukan?
  • Bagaimana Anda mengukur keberhasilan dan bagaimana pula membandingkannya.

The COBIT Framework memasukkan juga hal-hal berikut ini:

  • Maturity Models – Untuk memetakan status maturity proses-proses TI (dalam skala 0 - 5) dibandingkan dengan “the best in the class in the Industry” dan juga International best practices
  • Critical Success Factors (CSFs) – Arahan implementasi bagi manajemen agar dapat melakukan kontrol atas proses TI.
  • Key Goal Indicators (KGIs) – Kinerja proses-proses TI sehubungan dengan business requirements
  • Key Performance Indicators (KPIs) – Kinerja proses-proses TI sehubungan dengan process goals

COBIT dikembangkan sebagai suatu generally applicable and accepted standard for good Information Technology (IT) security and control practices . Istilah “ generally applicable and accepted ” digunakan secara eksplisit dalam pengertian yang sama seperti Generally Accepted Accounting Principles (GAAP).

Sedang, COBIT's “good practices” mencerminkan konsensus antar para ahli di seluruh dunia. COBIT dapat digunakan sebagai IT Governance tools, dan juga membantu perusahaan mengoptimalkan investasi TI mereka. Hal penting lainnya, COBIT dapat juga dijadikan sebagai acuan atau referensi apabila terjadi suatu kesimpang-siuran dalam penerapan teknologi.

Suatu perencanaan Audit Sistem Informasi berbasis teknologi (audit TI) oleh Internal Auditor, dapat dimulai dengan menentukan area-area yang relevan dan berisiko paling tinggi, melalui analisa atas ke-34 proses tersebut. Sementara untuk kebutuhan penugasan tertentu, misalnya audit atas proyek TI, dapat dimulai dengan memilih proses yang relevan dari proses-proses tersebut.

Lebih lanjut, auditor dapat menggunakan Audit Guidelines sebagai tambahan materi untuk merancang prosedur audit. Singkatnya, COBIT khususnya guidelines dapat dimodifikasi dengan mudah, sesuai dengan industri, kondisi TI di Perusahaan atau organisasi Anda, atau objek khusus di lingkungan TI.

Selain dapat digunakan oleh Auditor, COBIT dapat juga digunakan oleh manajemen sebagai jembatan antara risiko-risiko TI dengan pengendalian yang dibutuhkan (IT risk management) dan juga referensi utama yang sangat membantu dalam penerapan IT Governance di perusahaan.

SIDE BAR

Audit TI: Sebelum atau Sesudah

Seiring dengan makin banyaknya institusi, baik pemerintahan maupun swasta, yang mengandalkan TI untuk mendukung jalannya operasional sehari-hari, maka kesadaran akan perlunya dilakukan review atas pengembangan suatu sistem informasi semakin meningkat.

Risiko-risiko yang mungkin ditimbulkan sebagai akibat dari gagalnya pengembangan suatu sistem informasi, antara lain:

  • Biaya pengembangan sistem melampaui anggaran yang ditetapkan.
  • Sistem tidak dapat diimplementasikan sesuai dengan jadwal yang ditetapkan.
  • Sistem yang telah dibangun tidak memenuhi kebutuhan pengguna.
  • Sistem yang dibangun tidak memberikan dampak effisiensi dan nilai ekonomis terhadap jalannya operasi institusi, baik pada masa sekarang maupun masa datang.
  • Sistem yang berjalan tidak menaati perjanjian dengan pihak ketiga atau memenuhi aturan yang berlaku.

Untuk mengantisipasi hal itu, perusahaan menginginkan adanya assurance dari pihak yang berkompeten dan independen mengenai kondisi sistem TI yang akan atau sedang mereka gunakan. Pihak yang paling berkompeten dan memiliki keahlian untuk melakukan review tersebut adalah Auditor Sistem Informasi (Auditor TI).

Pekerjaan auditor TI ini belum banyak dikenal di Indonesia . Di samping itu, jumlah tenaga auditor TI yang menyandang sertifikasi Internasional ( CISA, Certified Information System Auditor ) juga masih sangat terbatas.

Best Practice menyarankan agar dalam proses pengembangan suatu sistem informasi yang signifikan, perlu dilakukan review, baik itu sebelum atau pada saat implementasi ( pre-implementation system ), maupun setelah sistem “live” ( post-implementation system ).

Manfaat Pre-Implementation Review:

  • Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria.
  • Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
  • Mengetahui apakah outcome sesuai dengan harapan manajemen.

Manfaat Post-Implementation Review:

  • Institusi mendapat masukan atas risiko-risiko yang masih ada dan saran untuk penanganannya.
  • Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis dan anggaran pada periode berikutnya.
  • Bahan untuk perencanaan strategis dan rencana anggaran di masa datang.
  • Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan.
  • Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwenang untuk melakukan pemeriksaan.
  • Membantu dalam penilaian apakah initial proposed values telah terealisasi dan saran tindak lanjutnya.

Source : www.ebizzasia.com Volume II, tahun 2004

COBIT 4.0: Pembaharuan Utama Standar Inernasional
Dapat Menolong Bisnis Meningkatkan Nilai IT, Menurunkan Resiko

Rolling Meadows, Ill, USA, 14 Desember -- Lembaga Pengaturan IT (IT Governance Institute, ITGI) pada 16 Desember 2005, akan memperbaharui tujuan pengontrolan informasi dan teknologi yang terkait (COBIT), suatu kerangka kerja pengaturan IT yang dapat diterima secara internasional.

COBIT dapat menyediakan seperangkat praktek yang dapat diterima pada umumnya karena dapat membantu para direktur, eksekutif dan manager meningkatkan nilai IT dan mengecilkan resiko.

"Para eksekutif menyadari bahwa dampak informasi dapat menjadikan jalan perusahaan mereka ke arah keberhasilan dan tanggungjawab pengaturan yang meningkat yang mereka miliki untuk menjamin adanya keberhasilan," ujar Erik Guldentops, CISA, CISM, seorang konsultan manajemen di Brussels, Belgia dan juga anggota tim pengembangan COBIT sejak berdirinya.

Edisi COBIT terbaru memberikan praktek dan hubungan ke atas terbaik untuk menunjang persyaratan pengelolaan IT bagi para eksekutif dan direktur dan yang berkaitan dengan hubungan ke bawah digunakan untuk mengatasi persyaratan yang lebih rinci bagi mereka yang bertanggungjawab terhadap solusi dan jasa pengiriman. Ini semua juga memberikan dukungan agar dapat mengoptimalkan investasi IT, menjamin nilai pengiriman dan meringankan resiko IT dengan cara yang lebih transparan.

Walaupun COBIT juga digunakan secara luas sebagai alat untuk keperluan Sarbanes-Oxley (SOX), edisi awalnya mencakup banyak masalahpengendalian aturan termasuk juga SOX. Ia merupakan produk yang diperoleh melalui penelitian dan kerjasama selama 10 tahun antara ahli IT global dan bisnis dan juga sudah tersedia sebagai standar terbuka www.isaca.org/cobit.

Edisi terbaru -- COBIT 4.0 memberikan fokus bisnis yang cukup kuat untuk mengatasi tanggungjawab para direktur dan pegawai. COBIT 4.0 menandai pembaharuan pertama dari isi COBIT sejak dirilisnya edisi COBIT ketiga di tahun 2000. Edisi pertama diterbitkan di tahun 1994. Studi kasus pelaksanaan COBIT di organisasi internasional utama misalnya Unisys, Sun Microsystems dan DPR Amerika juga terdapat di http://www.isaca.org/cobitcasestudies.

"COBIT 4.0 tidak kelihatan seperti sebuah buku akademik. Ada materi yang cukup berguna pada setiap halaman," ujar Christopher Fox, ACA. "COBIT 4.0 mampu menjadi sebuah dokumen yang sangat bermanfaat."

COBIT 4.0 ini juga mencakup bimbingan bagi para direktur dan semua level manajemen dan terdiri atas empat seksi:

  • Gambaran luas mengenai eksekutif
  • Kerangka kerja
  • Isi utama (tujuan pengendalian, petunjuk manajemen dan model kedewasaan)
  • Appendiks (pemetaan, ajuan silang dan daftar kata-kata)

Isi utama dibagi lagi menurut proses 34 IT dan memberikan gambaran yang sempurna mengenai cara mengendalikan, mengelola dan mengukur masing-masing proses.

Selain itu, COBIT 4.0:

  • Menganalisa bagaimana tujuan pengendalian dapat dipetakan ke dalam lima wilayah penentuan IT agar dapat mengidentifikasi gap potensial.
  • Menyesuaikan dan memetakan COBIT ke standar yang lain (ITIL, CMM, COSO, PMBOK, ISF and ISO 17799)
  • Mengklarifikasikan indikator tujuan utama (KGI) dan indikator hubungan kinerja utama (KPI), dengan mengenal bagaimana KPI dapat bergerak mencapai KGI.
  • Menghubungkan tujuan bisnis, IT and proses IT (penelitian mendalam di delapan industri dengan pandangan yang lebih jelas tentang bagaimana proses COBIT mendukung tercapainya tujuan IT spesifik dan dengan perluasan, tujuan bisnis).

COBIT 4.0 bisa menggantikan komponen edisi ketiga yang menyangkut Ringkasan Eksekutif, Kerangka kerja, Tujuan Pengontrolan dan Petunjuk Manajemen. Pekerjaan sedang dilakukan agar bisa mengatasi petunjuk Audit.

Perkenalan COBIT 4.0 tetap akan melakukan pekerjaan yang dilakukan oleh COBIT edisi ketiga, tetapi hanya memberikan kesempatan untuk membangun pekerjaan itu dan selanjutkan meningkatkan penentuan IT dan pengendaliannya bila cocok.

Banyak COBIT tersedia untuk dapat melakukan download di http://www.isaca.org/cobit. Salinan cetak dapat dibeli di toko buku ISACA (http://www.isaca.org/bookstore) sebesar US $190. Situs pelengkap yang menawarkan pandangan mendalam mengenai COBIT 4.0 sudah tersedia di http://www.livemeeting.com/cc/isaca/view.

Tentang COBIT
COBIT® (Tujuan pengendalian bagi informasi dan teknologi terkait®)) dikeluarkan oleh ITGI dapat diterima secara internasional sebagai praktek pengendalian atas informasi, IT dan resiko terkait. COBIT digunakan untuk menjalankan penentuan atas IT dan meningkatkan pengontrolan IT. COBIT juga berisi tujuan pengendalian, petunjuk audit, kinerja dan hasil metrik, faktor kesuksesan dan model kedewasaan.

Tentang ITGI
Lembaga Pengaturan IT® (IT Governance Institute, ITGI) (http://www.itgi.org) didirikan pada tahun 1998 untuk memajukan pemikiran dan standar internasional dalam mengarahkan dan mengendalikan teknologi informasi sebuah perusahaan. Pengaturan IT yang efektif dapat membantu meyakinkan bahwa IT sangat mendukung tujuan bisnis dan mengelola resiko yang berkaitan dengan IT dan kesempatan. Lembaga Pengaturan IT mengembangkan tujuan pengendalian bagi informasi dan teknologi terkait (COBIT) serta menawarkan penelitian dan studi kasus untuk membantu pengelola perusahaan dan para direktur dalam tanggungjawab pengaturan IT.

Source : www.isaca.org

IT Audit Guideline Based on COBIT 4.1

November 15th, 2007 in SBSA, Agenda (detail)

sbsaitdes07.jpgCOBIT dikenal sebagai best practice dalam membangun framework kontrol dan IT audit baik diadopsi sebagian maupun seluruhnya. Workshop STEP BY STEP APPROACH kali ini mengajak para top executive dan manager perusahaan-perusahaan di Indonesia untuk mendiskusikan bagaimana melakukan langkah-langkah audit dengan berdasar pada COBIT 4.1.

Pertama, memahami framework COBIT 4.1 secara umum. Kedua, memahami framework audit dengan menggunakan COBIT 4.1. Ketiga, mendiskusikan langkah-langkah konkrit audit secara step-by-step dalam kajian studi kasus : mengidentifikasi tujuan dan ruang lingkup, pemetaan tujuan, identifikasi risiko, menentukan kriteria informasi, mengidentifikasi/memilih proses IT, mengidentifikasi benchmark, assessment, analisis gap, penyusunan program implementasi, dan pelaporan.

Diskusi antara para top executive dan nara sumber dalam WORKSHOP STEP BY STEP APPROACH ini diharapkan memberikan gambaran langkah-langkah nyata bagi perusahaan-perusahaan di Indonesia untuk melakukan self assessment tentang IT Governance-nya. Dan semoga melalui langkah-langkah ini membuat pencapaian Good Corporate IT Governance makin nyata!

Lingkup kriteria informasi yang sering menjadi perhatian dalam COBIT adalah:

* Effectiveness
Menitikberatkan pada sejauh mana efektifitas informasi dikelola dari data-data yang diproses oleh sistem informasi yang dibangun.

* Efficiency
Menitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh sistem.

* Confidentiality
Menitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis.

* Integrity
Menitikberatkan pada integritas data/informasi dalam sistem.

* Availability
Menitikberatkan pada ketersediaan data/informasi dalam sistem informasi.

* Compliance
Menitikberatkan pada kesesuaian data/informasi dalam sistem informasi.

* Reliability

Menitikberatkan pada kemampuan/ketangguhan sistem informasi dalam pengelolaan data/informasi.


Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi dalam COBIT adalah pada:

* Applications
* Information
* Infrastructure
* People

Hal yang menarik dari COBIT adalah adanya versi khusus untuk skala usaha kecil-menengah (UKM) yang disebut COBIT Quickstart.

posted by Affa Collection at 7:53 AM

0 Comments:

Post a Comment

Subscribe to Post Comments [Atom]

<< Home