Thursday, September 27, 2012

Audit Planning SICYCA (System Cyber Campus)


IT Audit Plan Developoment Process
Tahap awal dalam mendefinisikan rencana audit TI adalah memahami proses bisnis yang ada pada sistem tersebut dalam langkah awal ini auditor perlu untuk mengidentifikasi strategi, tujuan perusahaan dan bisnis. Kemudian auditor akan mendefinisikan semesta TI yang ada, hal ini dapat dilakukan melalui pendekatan top-down yang mengidentifikasikan proses dan tujuan bisnisnya, aplikasi yang signifikan mendukung proses bisnisnya, infrastruktur yang dibutuhkan untuk aplikasi bisnisnya dan peran teknologi pendukung umum. Langkah ketiga adalah melakukan penilaian resiko yaitu metodologi untuk menentukan kemungkinan suatu acara yang dapat menghambat pencapaian organisasi atau perusahaan itu sendiri. Langkah terakhir adalah memformalisasikan atau meresmikan audit agar nanti akan dapat dilaksanakan. Gambarannya seperti berikut ini:

Pada aplikasi sicyca yang merupakan program yang digunakan oleh mahasiswa aktif STIKOM SURABAYA untuk dapat mengakses data dan informasi yang dibutuhkan dalam menunjang proses bisnis yang terdapat pada kampus. Sehingga dengan adanya kemudahan akses data, para mahasiswa dapat mengetahui informasi secara tepat guna dalam kebutuhan akan informasi yang terjadi di dalam proses perkuliahan.
Bagaimana planning mengaudit SICYCA maka akan kita bahas di bawah ini, seperti gambaran diatas proses planning dalam audit IT adalah seperti itu mulai dari pemahaman proses bisnisnya, mendefinisikan semesta IT, identifikasi resikonya, formalisasikan perencanaan audit.

> Understand the Bussiness
Memahami proses bisnis yang terdapat pada sistem sicyca yaitu dengan mengetahui aktifitas atau use case yang dapat digambarkan di dalamnya yang mana dapat kita lihat bahwa seluruh mahasiswa stikom surabaya membutuhkan adanya akses yang efektif dan efisien dalam mengetahui seputar informasi jadwal kuliah, pembayaran, sskm dan yang lainnya. Model dan rangkaian penggunaan sicyca mengacu pada organisasi juga yang merupakan instansi pendidikan yang memfasilitasi adanya akses sicyca tersebut yaitu stikom surabaya yang mana dari fasilitas tersebut informasi yang disampaikan oleh pihak kampus akan dapat cepat tersampaikan sehingga kemudahan akan lebih membantu kompleksitas sistem yang ada sekarang ini. Nah, beberapa nilai dibawah ini adalah mengenai pemahaman tentang bisnis yang ada pada kampus stikom surabaya:
·         Organizational Uniqueness
Sicyca yang merupakan bagian dari organisasi yang berbasis pendidikan artinya fasilitas sicyca merupakan nilai yang unik dari orgasanisasi pendidikan yang lain, yang mana sicyca merupakan sistem informasi mahasiswa yang berbasis online sehingga kemudahan akses dan juga bernilai unik inilah yang menambah daftar kebutuhan audit yang kemungkinan masih banyak resiko yang akan terjadi.
·         Operating Environment
Auditor dapat menggunakan sumber daya internal yang berbeda untuk mengidentifikasi dan memahami tujuan dan sasaran organisasi,
termasuk:
o   Misi, visi, dan pernyataan nilai.
o   Strategis rencana.
o   rencana bisnis tahunan.
o   Manajemen kinerja scorecard
o   Pemegang laporan tahunan
o   Peraturan pengajuan
Auditor internal yang ada di stikom adalah bagian di lantai 8 yaitu bagian penjaminan mutu, yang mana seluruh kurikulum dan juga kegiatan dan kualitas di stikom surabaya akan selalu diaudit apakah sudah sesuai dengan pemenuhan dan targetnya termasuk sistem sicyca itu sendiri.
·         IT Environment Factors
Faktor-faktor lingkungan IT yang mendukung dari sistem sicyca haruslah dapat di definisikan sehingga perencanaan nantinya dapat kita praduga resiko-resiko apa dan dimana saja yang dapat menyerang dan melumpuhkan sistem sicyca atau bagian server di lantai 8 srikom surabaya.

> Define IT Universe
Menentukan apa salah satu kebutuhan audit yang paling penting diantara seluruh proses bisnisnya yang mana misalnya seuah perencanaan yang akan memiliki dampak yang besar dalam keberhasilan dari tujuan awalnya. Perencanaan audit adalah untuk menyediakan cakupan yang memadai antara daerah proses bisnis yang mana yang memiliki resiko yang paling besar dan pemilihan auditor internal mana yang dapat menambah nilai paling tinggi pada organisasinya. Pendefinisian IT universe dilakukan secara independen dari proses penilaian resiko dan dalam penilaian ini membutuhkan pengetahuan yang mendalam tentang tujuan organisasi atau sistem yang ada tersebut dan juga dari model layanan IT yang mendukung terjadinya proses bisnis yang ada.
Dalam semesta atau IT universe sistem sicyca yaitu dibagian manakah dari proses bisnis yang biasanya mempunyai dampak tingkat resiko yang cukup besar dan hal apa yang memang dibutuhkan perbaikan dalam penggunannya sehingga apa yang nanti di proses akan lebih baik dan dapat meminimalisir adanya kemungkinan-kemungkinan resiko yang terjadi. Berikut ini merupakan kebutuhan-kebutuhan yang digunakan dalam tahap pendefinisian IT universe :
·         Examining the Bussiness Model
Model sistem atau use case dari proses bisnis yang ada pada sicyca harus di teliti ulang, apakah sudah sesuai atau mungkin ada bagian yang tidak efektif, misalnya pada sicyca tersebut ada model feedback yang baru-baru ini diadakan pada tampilan sicyca yang baru. Apakah hal tersebut memang harus dimunculkan setiap ketika akan keluar dari sistem (log out).
·         Role of Supporting Technologies
Pilihan-pilihan mana saja yang dapat mendukung pada infrastruktur IT, misalnya pada sicyca teknologi dashboard yang baru di terapkan di sicyca baru ini memberikan kemudahan pembacaan informasi ketika web pertama kali di load setelah login.
·         Annual bussiness Plan
Perencanaan bisnis jangka tahunan mungkin biasanya digunakan dalam perusahaan sebab perkembangan teknologi sekarang tidak bisa jangka panjang lagi, maksimal 3 tahun dan itupun sudah terbilang lambat. Unutk sicyca hal itu mungkin tidak sebegitu diperlukan sebab kebutuhan tampilan sekarang sudah memberikan informasi cukup baik dan penyampaiannya juga sudah terbilang bagus.
·         Centralized and Decentralized IT Functions
Auditor harus mengidentifikasi pengelola secara terpusat fungsi TI yang mendukung seluruh atau sebagian besar organisasi. Jadi, fungsi-fungsi yang mendukung dari sistem sicyca haruslah terpusat yang mana hal tersebut sudah dilakukan, adanya server yang terpusat menjadikan auditor mudah dalam mengauditnya, sayangnya server bayangan masih belum sepenuhnya bisa digunakan dengan baik, kadang ketika banyak transaksi sistem akan error.
·         IT support Process
Proses pendukung IT pada sicyca harus mempunyai teknologi yang mumpuni untuk melakukan berbgai aktifitas lainnya, misalnya teknologi middleware atau arsitektur three tier yang berbasis webservices.
·         Relatory compliance
Hukum dan peraturan yang ada di indonesia sebenarnya tidak berpengaruh beasr terhadap kinerja atau model sistem sekarang ini, sebab aturan dan pengendalian hukum IT masih sangat kurang.
·         Define Audit Subject Areas
Mendefinisikan subject area auditnya, bagian dari sicyca yang mana yang harus di audit, tidak keseluruhannya dan apabila dilakukan audit keseluruhan sistem akan membutuhkan waktu yang relatif agak lama juga. Sebab kita akan mengaudit keseluruhan sistem yang ada pada model arsitektur sicyca.
·         Bussiness Applications
Menentukan tim audit yang kan bertanggung jawab untuk perencanaan dan pengawasan aplikasi yang sedang jalan yang biasanya akan ada audit internal yang akan terus mengawasi aplikasi sistem sicyca yang sedang berjalan.
·         Assesing risk
Setelah seluruh semesta atau IT universenya sudah didefinisikan , sistematis dan juga sejalan dengan tujuan penilaian resiko disetiap elemen pada proses sistem sicya harus tetap direncanakan untuk diaudit.

> Perform Risk Assessment
Setelah tim audit internal memahami organisasi dan penggunaan teknologi, mereka akan melakukan penilaian resiko, tugas ini sangat penting untuk memastikan resiko IT yang relevan (misalnya, mereka dengan kemungkinan terbesar  kejadian yang buruk dan dampak terhadap organisasi) yang diidentifikasi dan dievaluasi secara efektif dan memadai mitigasi tindakan yang berlangsung.
Dalam proses yang ada pada sistem sicyca, pengelolahan dan juga penanganan dari resiko yang banyak terjadi dalam kesehariannya dibutuhkan rekomendasi dan juga solusi yang baik sehingga  misalnya banyaknya akses data yang banyak secara bersamaan dan juga maintenance / error apabila aktifitas yang sudah mulai berjalan dan banyak dibutuhkan oleh para mahasiswa dalam   membutuhkan informasi terbaru tentang penjadwalan
Beberapa nilai yang ada pada tahap penilaian resiko, diantaranya:
·         Identify and understand bussiness objectives
Sistem yang ada pada sicyca akan di identifikasikan dan akan dipahami dengan tujuan bisnis atau perusahaan itu sendiri yang dalam hal ini adalah dari stikom surabaya sendiri.
·         Identify and understand IT strategy
Selanjutnya adalah mengidentifikasi dari kelanjutan dari sebelumnya namun kali ini terkait dengan strategy IT nya kedepan.
·         Ranking risk
Menetapkan peringkat resiko untuk semua sub kategori, infrastruktur, komputer dan sistem operasi, dan juga aplikasinya. Sejauh mana perkembangan sistem sicyca dan juga peringkat jika dibandingkan dengan sistem perguruan tinggi lainnya.
·         Leading IT governance framework
Tata kelola IT yang baik dengan framework tertentu, misalnya dengan cobit 4.1 atau 5.0 yang mana semakin baik tata kelolanya, semakin baik pula sistem sicyca.
> Formalize audit plan
Mendefinisikan IT audit universe dan melakukan penilaian risiko adalah  langkah-langkah untuk memilih apa yang harus dimasukkan dalam rencana audit TI. Pada tahap ini planning audit yang telah dibuat dan direncanakan akan dilakukan atau di formalisasikan yang nantinya perencaan audit telah dapat digunakan dalam proses selanjutnya dari siklus audit. Memang pada tahap perencanaan dibutuhkan waktu yang relatif agak lama sebab, kematangan perencanaan akan membuat proses menjadi lebih siap dan baik dari berbagai hal.
Artinya planning audit telah matang dan dapat digunakan dalam mengaudit sistem sicyca dan juga berbagai fungsional lainnya, apabila dari pengelolahan resiko sudah dilakukan penilaian maka sebenarnya proses perencanaan audit telah sebagian berhasil dilakukan sebab perencanaan ini sebenarnya untuk mengetahui kemungkinan resiko yang terjadi di dalam proses sicyca tersebut apakah sudah tidak ada lagi kemungkinan besar resiko yang terjadi di dalam prosesnya.
Berikut ini adalah hal-hal yang ada pada formalize audit plan :
·         Audit plan context
Perencanaaan audit harus digambarkan secara kontekstual sehingga sistem yang akan diaudit tergambar dengan jelas dan juga lebih terstruktur.
·         Stakeholder requests
Permintaan dari stakeholder, ini yang menyebabkan perkembangan sicyca sekarang ini mulai membaik, kebijakan dan juga permintaan dari stakeholder memberikan perubahan yang menarik dari  mulai sekarang ini.
·         Audit frequency
Frekuensi audit, atau intensitas audit yang dilakukan, semakin terus menerus dilakukan auditing akan terus mengarahkan sicyca akan semakin lebih baik lagi.
·         Audit plan principles
Prinsip perencanaan audit, harus terdefinisikan dengan jelas, kebutuhan audit akan sicyca harus ada prinsip perencanaan yang matang sebab audit yang dilakukan bukan karena semata-mata mengevaluasi saja.
·         The IT audit plan content
Konten-konten di dalam perencanaan audit IT nya harus jelas dan juga dapat memberikan hasil audit yang bagus.
·         Integration of the It audit plan
Perencanaan IT audit harus terintegrasikan dengan kebutuhan dan juga objektivitas yang sudah ada, apakah masih sesuai dengan perencanaan.
·         Validating the audit plan
Memvalidasi perecanaan audit tersebut, apakah sudah valid untuk selanjuntya akan dimasukkan ke dalam tahap auditing.
·         The dynamic nature of the IT audit plan
Perubahan alami yang mungkin terjadi pada saat perencanaan audit sudah dibuat dengan baik, karena hal ini memang alami sebab perkembangan teknologi terus berkembang pesat.
·         Communicating, gaining executive support and obtaining plan approval
Menyajikan dan mengkomunikasikan rencana audit kepada manajemen yang senior.


0 comments:

Post a Comment

~Terima Kasih Banyak~
Jangan Lupa Beri Komentarnya yah..

Powered by Blogger.