AUDIT IT PADA DOMAIN

 

1. Audit IT pada domain EDM (Evaluate, Direct, and Monitor)

Proses tata kelola EDM berurusan dengan tujuan stakeholder dalam melakukan penilaian, optimasi risiko dan sumber daya, mencakup praktek dan kegiatan yang bertujuan untuk mengevaluasi pilihan strategis, memberikan arahan kepada IT dan pemantauan hasilnya. Berikut domain proses EDM:

1. EDM01 Ensure Governance Framework Setting and Maintenance (Memastikan Pengaturan dan Pemeliharaan Kerangka Tata Kelola)

2. EDM02 Ensure Benefits Delivery (Memastikan Memberi Manfaat)

3. EDM03 Ensure Risk Optimisation (Memastikan Pengoptimalan Risiko)

4. EDM04 Ensure Resource Optimisation (Memastikan Pengoptimalan Sumber Daya)

5. EDM05 Ensure Stakeholder Transparency (Memastikan Transparansi Pemangku Kepentingan)

2. Audit IT pada domain APO (Align, Plan, and Organise)

Proses manajemen APO memberikan arah untuk penyampaian solusi (BAI) dan penyediaan layanan dan dukungan (DSS). Domain ini mencakup strategi dan taktik, dan identifikasi cara terbaik agar IT dapat berkontribusi pada pencapaian tujuan bisnis. Sebuah organisasi yang tepat, serta infrastruktur teknologi, harus dimasukkan ke dalam tempatnya. Berikut domain proses APO:

1.  APO01 Manage The IT Management Framework (Mengelola Kerangka Manajemen TI)

2.  APO02 Manage Strategy (Mengelola Strategi)

3. APO03 Manage Enterprise Architecture (Mengelola Arsitektur Bisnis)APO04     Manage Innovation (Mengelola Perubahan)

4.  APO05 Manage Portfolio (Mengelola Dokumen)

5.  APO06 Manage Budget and Costs (Mengelola Anggaran dan Biaya)

6.  APO07 Manage Human Resources (Mengelola Sumber Daya Manusia)

7.  APO08 Manage Relationships (Mengelola Relasi)

8.  APO09 Manage Service Agreements (Mengelola Perjanjian Layanan)

9.  APO10 Manage Suppliers (Mengelola Pemasok)

10.APO11 Manage Quality (Mengelola Kualitas)

11.APO12 Manage Risk (Mengelola Risiko)

12.APO13 Manage Security (Mengelola Keamanan)

3. Audit IT pada domain BAI (Build, Acquire, and Implement)

Proses manajemen BAI memberikan solusi dan mengimplementasikannya sehingga berubah menjadi layanan. Untuk mewujudkan strategi IT, solusi IT perlu diidentifikas ikan, dikembangkan, serta diimplementasikan dan di integrasikan ke dalam proses bisnis. Perubahan dan pemeliharaan sistem yang ada juga tercakup dalam domain ini, untuk memastikan bahwa solusi dapat memenuhi tujuan bisnis. Berikut domain proses BAI:

1. BAI01 Manage Programmes and Project (Mengelola Program Dan Proyek)

2. BAI02 Manage Requirements Definition (Mengelola Definisi Persyaratan)

3. BAI03 Manage Solutions Identification and Build (Mengelola Identifikasi Solusi dan Pembangunan)

4. BAI04 Manage Availability and Capacity (Mengelola Ketersediaan dan Kapasitas)

5. BAI05 Manage Organisational Change Enablement (Mengelola Pemberdayaan Organisasi Perubahan)

6. BAI06 Manage Changes (Mengelola Perubahan)

7. BAI07 Manage Change Acceptance and Transitioning (Mengelola Penerimaan Perubahan dan Transisi)

8. BAI08 Manage Knowledge (Mengelola Pengetahuan)

9. BAI09 Manage Assets (Mengelola Kepemilikan)

10.  BAI10 Manage Configuration (Mengelola Susunan)

4. Audit IT pada domain DSS (Deliver, Service, and Support)

Proses manajemen DSS menyampaikan solusi yang dapat digunakan bagi pengguna akhir. Domain ini berkaitan dengan penyampaian dan dukungan layanan aktual yang dibutuhkan, yang meliputi pelayanan serta pengelolaan keamanan dan keberlangsungan dukungan layanan bagi pengguna, dan manajemen data dan fasilitas operasional. Berikut domain proses DSS:

1. DSS01 Manage Operations (Mengelola Operasi)

2.DSS02 Manage Service Requests and Incidents (Mengelola Layanan Permohonan dan Kecelakaan)

3. DSS03 Manage Problems (Mengelola Masalah)

4. DSS04 Manage Continuity (Mengelola Keberlangsungan)

5. DSS05 Manage Security Services (Mengelola Jasa Keamanan)

6. DSS06 Manage Business Process Controls (Mengelola Kontrol Proses Bisnis)

5. Audit IT pada domain MEA (Monitor, Evaluate, Assess)

Proses manajemen MEA memonitor semua proses untuk memastikan bahwa pengarahan yang disediakan domain yang sebelumnya diikuti. Semua proses IT perlu dinilai secara teratur dari waktu ke waktu untuk mengontrol kualitas dan kepatuhannya. Domain ini merujuk pada manajemen kinerja, pemantauan pengendalian internal, kepatuhan terhadap peraturan dan tata kelola. Berikut domain proses MEA:

1. MEA01 Monitor, Evaluate and Assess Performance and Conformance (Memantau, Evaluasi dan Menilai Kinerja Dan Penyesuaian)

2. MEA02 Monitor, Evaluate and Assess The System of Internal Control (Memantau, Evaluasi dan Menilai Sistem Pengendalian Internal)

3. MEA03 Monitor, Evaluate and Assess Compliance with External Requirements (Memantau, Evaluasi dan Menilai Kepatuhan dengan Persyaratan Eksternal)

REVERENSI:

1. http://rezicaarighisutardi.blogspot.com/2018/12/it-governance-risk-management_6.html

2. http://rachmagustin.blogspot.com/2020/01/it-governance-risk-management.html

LANGKAH-LANGKAH AUDITING IT GOVERNANCE

Langkah-Langkah Auditing IT Governance

1. Identifikasi dan dokumentasi. Layaknya audit umum, identifikasi dan dukumentasi adalah keharusan. Hal ini bisa dilakukan dengan menjalankan survei maupun observasi ke lapangan sehingga audit bisa lebih objektif dan akurat.

2. Tes subtantif. Tes substansi merupakan tes yang dijalankan untuk mengetahui “isi” secara lebih mendalam. Dalam tes ini ada dua tipe yang bisa dijalankan: signifikan alias ditelusur secara lebih mendalam; atau terbatas.

3. Evaluasi. Setelah melakukan tes substantif, audit TI bisa menjalankan evaluasi berdasarkan hasil temuan. Di tahap ini kembali dicek apakah kinerja perusahaan efektif atau tidak. Kalau efektif berarti memenuhi syarat untuk dilanjutkan ke tahap selanjutnya. Namun kalau tidak efektif, lakukan lagi tes substantif.

4. Penilaian Mutu/ Kesimpulan. Di langkah terakhir ini akan terlihat apakah mutunya terjamin atau tidak. Jelas audit TI bukanlah tindakan yang bisa dilakukan secara asal dan instan. Ketelitian auditor menjadi ujung tombaknya. Selain itu tentu saja, tujuan dan langkah-langkah tersebut harus dilakukan secara konsekuen.

Auditor TI bertanggung jawab atas penilaian efisiensi tata kelola TI dengan tingkatan prosedur dalam pelaksanaannya. Auditor TI (dari dalam organisasi atau independen) dapat melakukan sejumlah peran  kunci dalam Gary Hardy, “The Role of the IT  Auditor in IT Governance” 1 (2009): 1–2. :

1. Memulai program tata kelola TI: menjelas- kan tata kelola TI dan nilainya pada   manajemen

2. Menilai kondisi saat ini: memberikan masukan dan membantu memberikan penilaian    kondisi yang sebenarnya

3. Merencanakan solusi tata kelola TI

4. Memantau inisiatif tata kelola TI

5. Membantu membuat bisnis tata kelola TI, seperti : memberikan input objektif dan  konstruktif, mendorong penilaian diri, dan memberikan keyakinan kepada manajemen  bahwa tata kelola bekerja secara efektif.

REVERENSI:

1.http://rezicaarighisutardi.blogspot.com/2018/12/it-governance-risk-management_6.html

2. http://rachmagustin.blogspot.com/2020/01/it-governance-risk-management.html

CONTOH ASPEK PADA IT GOVERNANCE DAN RISK MANAGEMENT

GOVERNANCE

Dalam aspek IT Governance contoh yang bisa diambil adalah dalam hal tata kelola IT yang fokus utamanya adalah :

1. Penyelarasan Strategis (Strategic Alignment) Memfokuskan kepastian terhadap keterkaitan antara strategi bisnis dan TI serta penyelarasan antara operasional TI dengan bisnis.

2. Penyampaian Nilai (Value Delivery) Mencakup hal-hal yang terkait dengan penyampaian nilai yang memastikan bahwa TI memenuhi manfaat yang dijanjikan dengan memfokuskan pada pengoptimalan biaya dan pembuktian nilai hakiki akan keberadaan TI.

3. Pengelolaan Sumber Daya (Resource Management) Berkaitan dengan pengoptimalan investasi yang dilakukan dan pengelolaan secara tepat dari sumber daya TI yang kritis mencakup : aplikasi, informasi, infrastruktur dan Sumber Daya Manusia (SDM). Isu kunci area ini berhubungan dengan pengoptimalan pengetahuan dan infrastruktur.

4. Pengelolaan Resiko (Risk Management) Membutuhkan kepekaan akan resiko oleh manajemen senior, pemahaman yang jelas akan perhatian perusahaan terhadap keberadaan resiko, pemahaman kebutuhan akan kepatutan, transparansi akan resiko yang signifikan terhadap proses bisnis perusahaan dan tanggung jawab pengelolaan resiko ke dalam organisasi itu sendiri.

5. Pengukuran Kinerja (Performance Measurement) Penelusuran dan pengawasan implementasi dari strategi, pemenuhan proyek yang berjalan, penggunaan sumber daya, kinerja proses dan penyampaian layanan dengan menggunakan kerangka kerja seperti Balanced Scorecard yang menerjemahkan strategi ke dalam tindakan untuk mencapai tujuan terukur dibandingkan dengan akuntansi konvensional.

RISK MANAGEMENT

Dalam aspek Risk Management contoh yang bisa diambil adalah hal keamanan yakni diklasifikasikan menjadi 4 lubang keamanan :

1. Keamanan Yang Bersifat Fisik (physical security) :termasuk akses orang ke gedung,peralatan, dan media yang digunakan.

2. Keamanan Yang Berhubungan Dengan Orang (Personel) : termasuk identifikasi, dan profil resiko dari orang yang mempunyai akses (pekerja).

3. Keamanan dari data media serta teknik komnukasi(Communication) : termasuk juga kelemahan dalam software yang digunakan untuk mengelola data.

4. Keamanan dalam Operasi : Termasuk kebijakan (policy) dan prosedur yang digunakan untuk mengatur dan mengelola sistem keamanan dan juga termasuk prosedur setelah serangan (post Attack Recovery).

REFERENSI :

https://zulfikarfarros.blogspot.com/2019/11/contoh-dari-setiap-aspek-yang-terdapat.html

ASPEK-ASPEK PADA IT GOVERNANCE DAN RISK MANAGEMENT

IT Governance adalah suatu cabang dari tata kelola perusahaan yang terfokus pada sistem teknologi informasi (TI) serta manajemen kinerja dan risikonya.

Aspek - aspek pada IT Governance:

1. Penyelarasan rencana strategis TI dengan tujuan bisnis Perusahaan (Strategic Alignment); berfokus pada memastikan hubungan bisnis dan rencana TI; mendefinisikan, memelihara dan memvalidasi proposisi nilai TI, dan menyelaraskan operasi TI dengan operasi perusahaan.
2. Optimalisasi nilai bisnis Perusahaan bagi Perusahaan (Value Delivery); adalah tentang menjalankan proposisi nilai seluruh siklus pengiriman, memastikan bahwa TI memberikan manfaat yang dijanjikan terhadap strategi, berkonsentrasi pada mengoptimalkan biaya dan membuktikan nilai intrinsik TI.
3. Optimalisasi investasi TI yang mencakup aplikasi, informasi, infrastruktur dan sumber daya manusia (Resouce Management); adalah tentang investasi yang optimal, dan pengelolaan yang tepat atas sumber daya TI yang kritis, yaitu antara lainaplikasi, informasi, infrastruktur dan orang-orang. Isu-isu kunci berkaitandengan optimasi pengetahuan dan infrastruktur.
4. Pengelolaan resiko TI (Risk Management); membutuhkan kesadaran risiko dari pejabat perusahaan senior, pemahaman yang jelas tentang risk appetite perusahaan itu, pemahaman tentang persyaratan kepatuhan, transparansi tentang risiko yang signifikan untuk perusahaan dan menanamkan tanggung jawab manajemen risiko kedalam organisasi.
5. Pengelolaan kinerja proses TI (Performance Measurement); menjalankan dan memonitor implementasi atasstrategi, penyelesaian proyek, penggunaan sumber daya, kinerja proses dan pelayanan pengiriman, yaitu menggunakan, misalnya, balanced scorecard yang menerjemahkan strategi ke dalam tindakan untuk mencapai tujuan yang diharapkan.

Risk Management  adalah serangkaian prosedur dan metodologi serta analisa terhadap setiap proses atau kegiatan yang digunakan untuk mengidentifikasi resiko, melakukan tindakan atau persiapan untuk meminimalkan kemungkinan terjadinya suatu resiko dan meminimalkan dampak negatif yang ditimbulkan oleh resiko tersebut.

Pada aspek keberadaan IT, telah terjadi pergeseran cukup signifikan. Pergeseran IT sebagai pengolah data pada sebuah departemen PDE (pengolahan data elektronik) menjadi penyedia informasi bagi pihak manajemen (departemen IT).

Aspek - aspek pada Risk Management:

1.  Tataran Korporasi. Tataran Korposi  terdiri atas tiga aspek yaitu:

a)  Kecukupan modal minimum.

b)  Batasan portofolio investasi.

c)   Pemisahan rekening perusahaan dan nasabah.

Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan korporasi (corporate crime).

2. Tataran Pengelola Perusahaan.Tataran Pengelola Perusahaan, terdiri dari tiga   aspek yaitu :

a)      Kompetensi manajemen berupa pengalaman dan keahlian.

b)      Integritas pengurus berupa rekam jejak yang tidak tercela.

c)      Tata pengelolaan yang baik dan transparan.

Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan pimpinan perusahaan (white collar crime).  

3. Tataran Pelaksana Lapangan Perusahaan. Tataran Pelaksana Lapangan Perusahaan, terdiri dari 3 aspek yaitu:

a)      Pengenalan selera risiko nasabah (risk appetite).

b)      Pengetahuan tenaga penjual akan produk investasi yang dijualnya.

c)      Transparansi dalam menjelaskan risiko investasi.

Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan tenaga pelaksana (blue collar crime).

REFERENSI:1. http://rezicaarighisutardi.blogspot.com/2018/12/it-governance-risk-management_6.html2.https://standaruditsisteminformasi.blogspot.com/2020/01/aspek-aspek-pada-it-governance-dan-risk.html3. http://rachmagustin.blogspot.com/2020/01/it-governance-risk-management.html

Sistem penjualan Waghe Coffee Berbasis web SRS

Sistem penjualan Waghe Coffee Berbasis web WBS

Sistem Penjualan Waghe Coffee Berbasis web

LEMBAGA-LEMBAGA AUDIT

 Audit sistem informasi adalah proses pengumpulan dan penilaian bukti – bukti untuk menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya secara efisien.

Berikut ini adalah beberapa lembaga Audit Sistem Informasi di Indonesia :

1. Ikatan Audit Sistem Informasi Indonesia (IASII).

Ikatan Audit Sistem Informasi Indonesia (IASII) didirikan pada 20 Mei 2014. Lembaga ini dibentuk oleh beberapa praktisi dari berbagai universitas dan organisasi lainnya dibidang sistem informasi. Lembaga ini memiliki tujuan yaitu untuk menghindari penyimpangan dalam penggunaan sistem informasi yang semakin pesat di Indonesia. IASII bekerja sama dengan beberapa lembaga lain seperti Ikatan Akuntan Indonesia (IAI), Information System Audit and Control Association-Chapter Indonesia (ISACA), Institute of Internal Auditor, Forum Komunikasi Satuan Pengawas Intern.

2. Information System Audit and Control Association (ISACA).

ISACA adalah suatu organisasi profesi internasional di bidang tata kelola teknologi informasi yang didirikan di Amerika Serikat pada tahun 1967. Awalnya dikenal dengan nama lengkap Information Systems Audit and Control Association, saat ini ISACA hanya menggunakan akronimnya untuk merefleksikan cakupan luasnya di bidang tata kelola teknologi informasi.

ISACA telah memiliki kurang lebih 70.000 anggota yang tersebar di 140 negara. Anggota ISACA terdiri dari antara lain auditor sistem informasi, konsultan, pengajar, profesional keamanan sistem informasi, pembuat perundangan, CIO, serta auditor internal. JaringanISACA terdiri dari sekitar 170 cabang yang berada di lebih dari 60 negara, salah satunya ialah di Indonesia. ISACA sendiri telah membuat standar untuk audit sistem informasi di seluruh dunia.

3. BPK RI

Didirikan tahun 1946 yang bertugas untuk melakukan audit yang berkaitan dengan pengelolaan keuangan negara dan tanggung jawab yang dilakukan oleh pemerintah pusat, pemerintah daerah, lembaga negara lain seperti Bank Indonesia, BUMN, BUMD, Dewan Pelayanan Publik, dan lembaga lain yang mengelola keuangan negara. BPK RI menyerahkan hasil audit kepada DPR, DPD, dan DPRD sesua dengan kewnangan masing-masing.

4. Keuangan BPKP (Badan Pengawasan dan Pembangunan).

BPKP didirikan tahun 2006. BPKP bertugas mengendalikan keuangan dan pengawasan pembangunan nasional serta meningkatkan pendapatan negara dan meningkatkan efisiensi dan efektivitas pengeluaran anggaran pemerintah nasional dan regional. Tugas lain BPKP adalah mengevaluasi penerapan sistem pengendalian internal untuk mendeteksi dan menghalangi korupsi, serta menginvestigasi penyelewengan keuangan.

5. LPAI

Lembaga Pengembangan Auditor Internal adalah lembaga yang concern terhadap pengembangan SDM bidang audit internal. Sebagai salah satu divisi training dari Proesdeem Indonesia lembaga konsultan manajemen yang sejak 1995 memfokuskan kegiatannya pada pelatihan manajemen — LPÄI menyelenggarakan pelatihan internal audit dan fraud audit secara lengkap, terprogram-berkesinambungan, serta kurikulum berkualitas. Pelatihan yang diselenggarakan oleh LPAI senantiasa dievaluasi dan diupdate — mengacu pada perkembangan pengetahuan dan praktek bisnis paling mutakhir — dimana benchmarknya adalah lembaga-lembaga internal audit dan fraud audit yang sudah dikenal baik reputasinya di dunia.

Selain itu program pelatihan yang diselenggarakan oleh LPAI didukung oleh tenaga instruktur berpengalaman, baik sebagai instruktur maupun sebagai auditor ataupun praktisi manajemen lainnya serta memiliki background pendidikan S2 dan Ph.D. dari dalam dan luar negeri. Sebagian besar instruktur LPAI adalah praktisi audit yang memiliki sertifikat keahlian atau profesi seperti CIA, CFE, CISA, dan sebagainya.

       REVERENSI :

  https://excitedblog.wordpress.com/2017/11/01/lembaga-audit-sistem-informasi-di-     indonesia/

 http://arshave24.blogspot.com/2019/10/lembaga-lembaga-audit-sistem-informasi.html

        

     https://naufalakmalfauzi.wordpress.com/2018/10/19/lembaga-lembaga-audit-sistem-     informasi-di-indonesia/

   

STANDAR DAN PANDUAN AUDIT

1. ISACA

ISACA adalah suatu organisasi profesi internasional di bidang tata kelola teknologi informasi yang didirikan di Amerika Serikat pada tahun 1967. Awalnya dikenal dengan nama lengkap Information Systems Audit and Control Association, saat ini ISACA hanya menggunakan akronimnya untuk merefleksikan cakupan luasnya di bidang tata kelola teknologi informasi. ISACA telah memiliki kurang lebih 70.000 anggota yang tersebar di 140 negara. Anggota ISACA terdiri dari antara lain auditor sistem informasi, konsultan, pengajar, profesional keamanan sistem informasi, pembuat perundangan, CIO, serta auditor internal. Jaringan ISACA terdiri dari sekitar 170 cabang yang berada di lebih dari 60 negara, termasuk di Indonesia.

2. IIA COSO 

Committe of Sponsoring Organizations of the Treadway Commission, atau disingkat COSO, adalah suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985. Tujuan utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan keuangan dan membuat rekomendasi untuk mengurangi kejadian tersebut. COSO telah menyusun suatu definisi umum untuk pengendalian, standar, dan kriteria internal yang dapat digunakan perusahaan untuk menilai sistem pengendalian mereka.

3.  ISO 1799

ISO / IEC 17799: 2005 menetapkan pedoman dan prinsip umum untuk memulai, menerapkan, memelihara, dan memperbaiki manajemen keamanan informasi dalam sebuah organisasi. Tujuan yang diuraikan memberikan panduan umum mengenai tujuan umum manajemen keamanan informasi yang diterima secara umum. ISO / IEC 17799: 2005 berisi praktik terbaik pengendalian dan pengendalian pengendalian di bidang pengelolaan keamanan informasi berikut:

·         pengorganisasian keamanan informasi;

·         manajemen aset;

• ·         keamanan sumber daya manusia;
• ·         keamanan fisik dan lingkungan;
• ·         komunikasi dan manajemen operasi;
• ·         kontrol akses;
• ·         akuisisi sistem informasi, pengembangan dan pemeliharaan;
• ·         manajemen insiden keamanan informasi;
• ·         manajemen kontinuitas bisnis;
• ·         pemenuhan.

       

      REVERENSI :

r

https://dinsapooh.blogspot.com/2019/10/standar-dan-panduan-untuk-audit-sistem.html