IT Audit Plan Developoment Process
Tahap awal
dalam mendefinisikan rencana audit TI adalah memahami proses bisnis yang ada
pada sistem tersebut dalam langkah awal ini auditor perlu untuk
mengidentifikasi strategi, tujuan perusahaan dan bisnis. Kemudian auditor akan
mendefinisikan semesta TI yang ada, hal ini dapat dilakukan melalui pendekatan
top-down yang mengidentifikasikan proses dan tujuan bisnisnya, aplikasi yang
signifikan mendukung proses bisnisnya, infrastruktur yang dibutuhkan untuk
aplikasi bisnisnya dan peran teknologi pendukung umum. Langkah ketiga adalah
melakukan penilaian resiko yaitu metodologi untuk menentukan kemungkinan suatu
acara yang dapat menghambat pencapaian organisasi atau perusahaan itu sendiri.
Langkah terakhir adalah memformalisasikan atau meresmikan audit agar nanti akan
dapat dilaksanakan. Gambarannya seperti berikut ini:
Pada aplikasi sicyca yang merupakan program yang
digunakan oleh mahasiswa aktif STIKOM SURABAYA untuk dapat mengakses data dan
informasi yang dibutuhkan dalam menunjang proses bisnis yang terdapat pada
kampus. Sehingga dengan adanya kemudahan akses data, para mahasiswa dapat
mengetahui informasi secara tepat guna dalam kebutuhan akan informasi yang
terjadi di dalam proses perkuliahan.
Bagaimana
planning mengaudit SICYCA maka akan kita bahas di bawah ini, seperti gambaran
diatas proses planning dalam audit IT adalah seperti itu mulai dari pemahaman
proses bisnisnya, mendefinisikan semesta IT, identifikasi resikonya,
formalisasikan perencanaan audit.
> Understand the Bussiness
Memahami
proses bisnis yang terdapat pada sistem sicyca yaitu dengan mengetahui
aktifitas atau use case yang dapat digambarkan di dalamnya yang mana dapat kita
lihat bahwa seluruh mahasiswa stikom surabaya membutuhkan adanya akses yang
efektif dan efisien dalam mengetahui seputar informasi jadwal kuliah,
pembayaran, sskm dan yang lainnya. Model dan rangkaian penggunaan sicyca
mengacu pada organisasi juga yang merupakan instansi pendidikan yang
memfasilitasi adanya akses sicyca tersebut yaitu stikom surabaya yang mana dari
fasilitas tersebut informasi yang disampaikan oleh pihak kampus akan dapat
cepat tersampaikan sehingga kemudahan akan lebih membantu kompleksitas sistem
yang ada sekarang ini. Nah, beberapa nilai dibawah ini adalah mengenai
pemahaman tentang bisnis yang ada pada kampus stikom surabaya:
·
Organizational Uniqueness
Sicyca yang merupakan bagian dari organisasi yang
berbasis pendidikan artinya fasilitas sicyca merupakan nilai yang unik dari
orgasanisasi pendidikan yang lain, yang mana sicyca merupakan sistem informasi
mahasiswa yang berbasis online sehingga kemudahan akses dan juga bernilai unik
inilah yang menambah daftar kebutuhan audit yang kemungkinan masih banyak
resiko yang akan terjadi.
Auditor dapat menggunakan sumber daya internal yang
berbeda untuk mengidentifikasi dan memahami tujuan dan sasaran organisasi,
o
Misi, visi, dan pernyataan nilai.
o
rencana bisnis tahunan.
o
Manajemen kinerja scorecard
o
Pemegang laporan tahunan
Auditor
internal yang ada di stikom adalah bagian di lantai 8 yaitu bagian penjaminan
mutu, yang mana seluruh kurikulum dan juga kegiatan dan kualitas di stikom
surabaya akan selalu diaudit apakah sudah sesuai dengan pemenuhan dan targetnya
termasuk sistem sicyca itu sendiri.
Faktor-faktor lingkungan IT yang mendukung dari sistem
sicyca haruslah dapat di definisikan sehingga perencanaan nantinya dapat kita
praduga resiko-resiko apa dan dimana saja yang dapat menyerang dan melumpuhkan
sistem sicyca atau bagian server di lantai 8 srikom surabaya.
Menentukan
apa salah satu kebutuhan audit yang paling penting diantara seluruh proses
bisnisnya yang mana misalnya seuah perencanaan yang akan memiliki dampak yang
besar dalam keberhasilan dari tujuan awalnya. Perencanaan audit adalah untuk
menyediakan cakupan yang memadai antara daerah proses bisnis yang mana yang
memiliki resiko yang paling besar dan pemilihan auditor internal mana yang
dapat menambah nilai paling tinggi pada organisasinya. Pendefinisian IT
universe dilakukan secara independen dari proses penilaian resiko dan dalam
penilaian ini membutuhkan pengetahuan yang mendalam tentang tujuan organisasi
atau sistem yang ada tersebut dan juga dari model layanan IT yang mendukung
terjadinya proses bisnis yang ada.
Dalam
semesta atau IT universe sistem sicyca yaitu dibagian manakah dari proses
bisnis yang biasanya mempunyai dampak tingkat resiko yang cukup besar dan hal
apa yang memang dibutuhkan perbaikan dalam penggunannya sehingga apa yang nanti
di proses akan lebih baik dan dapat meminimalisir adanya
kemungkinan-kemungkinan resiko yang terjadi. Berikut ini merupakan
kebutuhan-kebutuhan yang digunakan dalam tahap pendefinisian IT universe :
·
Examining the Bussiness Model
Model sistem atau use case dari proses bisnis yang ada
pada sicyca harus di teliti ulang, apakah sudah sesuai atau mungkin ada bagian
yang tidak efektif, misalnya pada sicyca tersebut ada model feedback yang
baru-baru ini diadakan pada tampilan sicyca yang baru. Apakah hal tersebut
memang harus dimunculkan setiap ketika akan keluar dari sistem (log out).
·
Role of Supporting Technologies
Pilihan-pilihan mana saja yang dapat mendukung pada
infrastruktur IT, misalnya pada sicyca teknologi dashboard yang baru di
terapkan di sicyca baru ini memberikan kemudahan pembacaan informasi ketika web
pertama kali di load setelah login.
Perencanaan bisnis jangka tahunan mungkin biasanya
digunakan dalam perusahaan sebab perkembangan teknologi sekarang tidak bisa
jangka panjang lagi, maksimal 3 tahun dan itupun sudah terbilang lambat. Unutk
sicyca hal itu mungkin tidak sebegitu diperlukan sebab kebutuhan tampilan
sekarang sudah memberikan informasi cukup baik dan penyampaiannya juga sudah
terbilang bagus.
·
Centralized and Decentralized IT Functions
Auditor harus mengidentifikasi pengelola secara
terpusat fungsi TI yang mendukung seluruh atau sebagian besar organisasi. Jadi,
fungsi-fungsi yang mendukung dari sistem sicyca haruslah terpusat yang mana hal
tersebut sudah dilakukan, adanya server yang terpusat menjadikan auditor mudah
dalam mengauditnya, sayangnya server bayangan masih belum sepenuhnya bisa
digunakan dengan baik, kadang ketika banyak transaksi sistem akan error.
Proses pendukung IT pada sicyca harus mempunyai
teknologi yang mumpuni untuk melakukan berbgai aktifitas lainnya, misalnya
teknologi middleware atau arsitektur three tier yang berbasis webservices.
Hukum dan peraturan yang ada di indonesia sebenarnya
tidak berpengaruh beasr terhadap kinerja atau model sistem sekarang ini, sebab
aturan dan pengendalian hukum IT masih sangat kurang.
·
Define Audit Subject Areas
Mendefinisikan subject area auditnya, bagian dari
sicyca yang mana yang harus di audit, tidak keseluruhannya dan apabila
dilakukan audit keseluruhan sistem akan membutuhkan waktu yang relatif agak
lama juga. Sebab kita akan mengaudit keseluruhan sistem yang ada pada model
arsitektur sicyca.
Menentukan tim audit yang kan bertanggung jawab untuk
perencanaan dan pengawasan aplikasi yang sedang jalan yang biasanya akan ada
audit internal yang akan terus mengawasi aplikasi sistem sicyca yang sedang
berjalan.
Setelah seluruh semesta atau IT universenya sudah
didefinisikan , sistematis dan juga sejalan dengan tujuan penilaian resiko
disetiap elemen pada proses sistem sicya harus tetap direncanakan untuk
diaudit.
> Perform Risk Assessment
Setelah
tim audit internal memahami organisasi dan penggunaan teknologi, mereka akan
melakukan penilaian resiko, tugas ini sangat penting untuk memastikan resiko IT
yang relevan (misalnya, mereka dengan kemungkinan terbesar kejadian yang buruk dan dampak terhadap
organisasi) yang diidentifikasi dan dievaluasi secara efektif dan memadai
mitigasi tindakan yang berlangsung.
Dalam
proses yang ada pada sistem sicyca, pengelolahan dan juga penanganan dari
resiko yang banyak terjadi dalam kesehariannya dibutuhkan rekomendasi dan juga
solusi yang baik sehingga misalnya
banyaknya akses data yang banyak secara bersamaan dan juga maintenance / error
apabila aktifitas yang sudah mulai berjalan dan banyak dibutuhkan oleh para
mahasiswa dalam membutuhkan informasi
terbaru tentang penjadwalan
Beberapa nilai
yang ada pada tahap penilaian resiko, diantaranya:
·
Identify and understand bussiness objectives
Sistem yang ada pada sicyca akan di identifikasikan
dan akan dipahami dengan tujuan bisnis atau perusahaan itu sendiri yang dalam
hal ini adalah dari stikom surabaya sendiri.
·
Identify and understand IT strategy
Selanjutnya adalah mengidentifikasi dari kelanjutan
dari sebelumnya namun kali ini terkait dengan strategy IT nya kedepan.
Menetapkan peringkat resiko untuk semua sub kategori,
infrastruktur, komputer dan sistem operasi, dan juga aplikasinya. Sejauh mana
perkembangan sistem sicyca dan juga peringkat jika dibandingkan dengan sistem
perguruan tinggi lainnya.
·
Leading IT governance framework
Tata kelola IT yang baik dengan framework tertentu,
misalnya dengan cobit 4.1 atau 5.0 yang mana semakin baik tata kelolanya,
semakin baik pula sistem sicyca.
Mendefinisikan
IT audit universe dan melakukan penilaian risiko adalah langkah-langkah untuk memilih apa yang harus dimasukkan
dalam rencana audit TI. Pada tahap ini planning audit yang telah dibuat dan
direncanakan akan dilakukan atau di formalisasikan yang nantinya perencaan
audit telah dapat digunakan dalam proses selanjutnya dari siklus audit. Memang
pada tahap perencanaan dibutuhkan waktu yang relatif agak lama sebab,
kematangan perencanaan akan membuat proses menjadi lebih siap dan baik dari berbagai
hal.
Artinya
planning audit telah matang dan dapat digunakan dalam mengaudit sistem sicyca
dan juga berbagai fungsional lainnya, apabila dari pengelolahan resiko sudah
dilakukan penilaian maka sebenarnya proses perencanaan audit telah sebagian
berhasil dilakukan sebab perencanaan ini sebenarnya untuk mengetahui
kemungkinan resiko yang terjadi di dalam proses sicyca tersebut apakah sudah
tidak ada lagi kemungkinan besar resiko yang terjadi di dalam prosesnya.
Berikut
ini adalah hal-hal yang ada pada formalize audit plan :
Perencanaaan audit harus digambarkan secara kontekstual
sehingga sistem yang akan diaudit tergambar dengan jelas dan juga lebih
terstruktur.
Permintaan dari stakeholder, ini yang menyebabkan
perkembangan sicyca sekarang ini mulai membaik, kebijakan dan juga permintaan
dari stakeholder memberikan perubahan yang menarik dari mulai sekarang ini.
Frekuensi audit, atau intensitas audit yang dilakukan,
semakin terus menerus dilakukan auditing akan terus mengarahkan sicyca akan
semakin lebih baik lagi.
Prinsip perencanaan audit, harus terdefinisikan dengan
jelas, kebutuhan audit akan sicyca harus ada prinsip perencanaan yang matang
sebab audit yang dilakukan bukan karena semata-mata mengevaluasi saja.
·
The IT audit plan content
Konten-konten di dalam perencanaan audit IT nya harus jelas
dan juga dapat memberikan hasil audit yang bagus.
·
Integration of the It audit plan
Perencanaan IT audit harus terintegrasikan dengan kebutuhan
dan juga objektivitas yang sudah ada, apakah masih sesuai dengan perencanaan.
·
Validating the audit plan
Memvalidasi perecanaan audit tersebut, apakah sudah valid
untuk selanjuntya akan dimasukkan ke dalam tahap auditing.
·
The dynamic nature of the IT audit plan
Perubahan alami yang mungkin terjadi pada saat perencanaan
audit sudah dibuat dengan baik, karena hal ini memang alami sebab perkembangan
teknologi terus berkembang pesat.
·
Communicating, gaining executive support and
obtaining plan approval
Menyajikan dan mengkomunikasikan rencana audit kepada
manajemen yang senior.
Posts
