Audit Sistem Informasi Tugas 6

 

1.     Aspek-aspek pada IT Governance dan Risk Management

·       Risk Management adalah serangkaian prosedur dan metodologi serta analisa terhadap setiap proses atau kegiatan yang digunakan untuk mengidentifikasi resiko, melakukan tindakan atau persiapan untuk meminimalkan kemungkinan terjadinya suatu resiko dan meminimalkan dampak negatif yang ditimbulkan oleh resiko tersebut.

·       Tujuan utama Risk Management adalah untuk keberlangsungan hidup, bisnis dan proses / kegiatan operasional.

·       Elemen atau unsur terpenting yang selalu melekat didalam aplikasi tujuan Risk Management adalah unsur keamanan (Security) dan keselamatan (Safety).

·       Guna mendapatkan semua aspek diatas, maka diperlukan metoda atau pola pikir untuk selalu “sudah melakukan sebelum orang lain memikirkan” (view step aheads) dengan sikap proaktif, responsif, penuh tanggungjawab, peduli dan penuh disiplin.

·       Dalam tataran aplikasi di lapangan, dibutuhkan departemen dalam Divisi Risk Management yang secara khusus mengantisipasi dan menangani keadaan darurat atau krisis. Apakah itu dinamakan Fire Prevention Team, Risk Control Team (RCT), atau pun Crisis Management. Tim ini dibentuk khusus untuk menangani masalah ini.

·       RCT adalah team yang bertugas untuk menjaga keamanan dan keselamatan dengan cara menganalisis kedepan atas setiap proses, mengidentifikasi resiko, melakukan persiapan atau tindakan aksi untuk meminimalisasi resiko, serta meminimalisasi resiko atau dampak dari resiko yang sudah terjadi.

·       Tindakan RCT dalam perspektif Risk Management mencakup 4 tahapan, yaitu : Pertama, Identifikasi. Kedua, Mitigasi (Pencegahan Antisipasi), Ketiga Kontinjensi (Penanggulangan) dan terakhir Keempat Recovery (Pemulihan).

 

2.     Contoh aspek IT Governance dan Risk Management

a.     IT Governance

·       Kebutuhan bisnis

Suatu organisasi atau perusahaan harus memiliki dokumen rencana bisnis (bussiness plan) yang menuangkan semua proses bisnis yang ada. Pada dokumen tersebut harus tertuang kebutuhan organisasi atau perusahaan dengan tetap memperhatikan kriterian informasi sesuai COBIT.

·       Sumber daya TI

Sebagai organisasi atau perusahaan pasti tidak luput dari penggunaan sumberdata TI, baik berupa data, sistem aplikasi, teknologi, dan juga sumber daya manusia di bidang TI.

·       Proses TI

Pada proses TI, pengejawantahan dari COBIT dilakukan. Organisasi atau perusahaan yang sudah mapan dan sadar TI biasanya sudah menerapkan sebagai bagian dari standar dan prosedur yang digunakan.

 

b.     Risk Management

·       Penetapan Objektif

Kriteria informasi dari COBIT dapat digunakan sebagai dasar dalam mendefinisikan objektif TI.

·       Identifikasi Resiko

Identifikasi resiko merupakan proses untuk mengetahui resiko.

·       Penilaian Resiko

Penilaian resiko merupakan proses untuk menilai seberapa sering resiko terjadi atau seberapa besar dampak dari resiko.

·       Respon Resiko

Untuk melakukan respon terhadap resiko adalah dengan menerapkan kontrol objektif yang sesuai dalam melakukan manajemen resiko.

·       Monitor Resiko

Setiap langkah dimonitor untuk menjamin bahwa resiko dan respon berjalan sepanjang waktu.

 

3.     Langkah-langkah pada auditing IT Governance

a.     Sasaran Audit (Tentukan sistem secara spesifik, fungsi atau unit organisasi yang akan diaudit)

b.     Jangkauan Audit ( Identifikasi sistem secara spesifik, fungsi atau unit organisasi yang akan dimasukkan lingkup pemeriksaan)

c.     Rencana Pre-Audit (Identifikasi kebutuhan keahlian Teknik dan sumber daya yang diperlukan untuk audit, identifikasi sumber bukti untuk tes atau review)

d.     Prosedur Audit & Langkah Pengumpulan Bukti Audit (Identifikasi & pilih pendekatan audit, Identifikasi daftar individu untuk interview, identifikasi kebijakan yang berhubungan dengan standar untuk interview, mengembangkan instrument audit dan metodologi pengujian)

e.     Prosedur Untuk Evaluai (Organisasikan sesuai kondisi dan situasi, identifikasi prosedur evaluasi)

f.      Pelaporan Hasil Audit (Siapkan laporan yang objektif, konstruktif, dan menampung penjelasan auditee)

 

4.     Audit IT pada domain EDM, APO, BAI, DSS, dan MEA

a.     Audit IT pada domain EDM (Evaluate, Direct, and Monitor)

Proses tata kelola EDM berurusan dengan tujuan stakeholder dalam melakukan penilaian, optimasi risiko dan sumber daya, mencakup praktek dan kegiatan yang bertujuan untuk mengevaluasi pilihan strategis, memberikan arahan kepada IT dan pemantauan hasilnya.

b.     Audit IT pada domain APO (Align, Plan, and Organise)

Proses manajemen APO memberikan arah untuk penyampaian solusi (BAI) dan penyediaan layanan dan dukungan (DSS). Domain ini mencakup strategi dan taktik, dan identifikasi cara terbaik agar IT dapat berkontribusi pada pencapaian tujuan bisnis.

c.     Audit IT pada domain BAI (Build, Acquire, and Implement)

Proses manajemen BAI memberikan solusi dan mengimplementasikannya sehingga berubah menjadi layanan. Untuk mewujudkan strategi IT, solusi IT perlu diidentifikas ikan, dikembangkan, serta diimplementasikan dan di integrasikan ke dalam proses bisnis. Perubahan dan pemeliharaan sistem yang ada juga tercakup dalam domain ini, untuk memastikan bahwa solusi dapat memenuhi tujuan bisnis.

d.     Audit IT pada domain DSS (Deliver, Service, and Support)

Proses manajemen DSS menyampaikan solusi yang dapat digunakan bagi pengguna akhir. Domain ini berkaitan dengan penyampaian dan dukungan layanan aktual yang dibutuhkan, yang meliputi pelayanan serta pengelolaan keamanan dan keberlangsungan dukungan layanan bagi pengguna, dan manajemen data dan fasilitas operasional.

e.     Audit IT pada domain MEA (Monitor, Evaluate, Assess)

Proses manajemen MEA memonitor semua proses untuk memastikan bahwa pengarahan yang disediakan domain yang sebelumnya diikuti. Semua proses IT perlu dinilai secara teratur dari waktu ke waktu untuk mengontrol kualitas dan kepatuhannya. Domain ini merujuk pada manajemen kinerja, pemantauan pengendalian internal, kepatuhan terhadap peraturan dan tata kelola.