Audit Teknologi Informasi

Ni Kadek Dessy Hariyanti

Audit Teknologi Informasi
• proses sistematis mengumpulkan dan mengevaluasi bukti
untuk menentukan secara independen dan obyektif
apakah suatu sistem informasi telah dapat melindungi
aset, menjaga integritas data, dan memungkinkan tujuan
organisasi tercapai secara efektif, dengan menggunakan
sumber daya secara efisien, dan mematuhi peraturan
yang berlaku.
• Audit sistem informasi sendiri merupakan gabungan dari
berbagai macam ilmu, antara lain audit tradisional,
manajemen sistem informasi, Teknologi Informasi, ilmu
komputer, dan behavioral science
Kebutuhan akan Audit TI
Tujuan Audit TI
Tujuan Audit Sistem Informasi dapat dikelompokkan ke dalam dua
aspek utama dari ketatakelolaan IT, yaitu :
1. Conformance(Kesesuaian)
Pada kelompok tujuan ini audit sistem informasi difokuskan untuk
memperoleh kesimpulan atas aspek kesesuaian,
yaitu Confidentiality (Kerahasiaan), Integrity (Integritas),
Availability (Ketersediaan) dan Compliance (Kepatuhan).
2. Performance(Kinerja)
Pada kelompok tujuan ini audit sistem informasi difokuskan untuk
memperoleh kesimpulan atas aspek kinerja,
yaitu Effectiveness (Efektifitas), Efficiency (Efisiensi),
Reliability (Kehandalan).
Skillset IT Auditor
Audit Teknologi Informasi (SKKNI)
Terdiri atas 4 tahap:
1. Perencanaan Audit TI
2. Pelaksanaan Audit TI
A. Audit atas Perencanaan TI
B. Audit atas Pengembangan TI
C. Audit atas Operasional TI
D. Audit atas Pemantauan TI
E. Audit atas Aplikasi TI
F. Audit atas Infrastruktur TI
3. Pelaporan Audit TI dan Rekomendasi
4. Evaluasi Tindak Lanjut
Audit Teknologi Informasi (SKKNI)
1
Perencanaan Audit
Teknologi Informasi
Unit 1, Unit 2 , Unit 3
Perencanaan Audit TI
Tahap perencanaan ini yang akan dilakukan adalah
menentukan
1. Komunikasi dengan manajemen organisasi auditee dengan
menganalisa visi, misi, sasaran dan tujuan objek yang diteliti
serta strategi, kebijakan-kebijakan yang terkait dengan
pengolahan investigasi termasuk ruang lingkup (scope) audit,
objek yang akan diaudit, serta menganalisa resiko atas objek
audit TI
2. Menentukan kontrol audit serta menyusun rencana
pelaksanaan audit TI
3. Mengalokasi sumberdaya dalam pelaksanaan audit TI
Unit 1. Menganalisis risiko audit
teknologi informasi

Kertas kerja KK01

SKKNI Auditor TI : Unit 1
KUK 1.1 Lingkungan Teknologi Infromasi diindentifikasi
1. Pemahaman lingkungan TI dari auditee meliputi: visi, misi, sasaran dan
tujuan objek yang diteliti serta strategi, kebijakan, peraturan, prosedur
yang terkait dengan pengolahan investigasi termasuk ruang lingkup
(scope) audit dan objek yang akan diaudit
2. Dilakukan rapat inisiasi/entry meeting sebagai bentuk komunikasi awal
yang dilakukan bersama antara auditor dan manajemen organisasi
dalam membangun pemahaman dan kesepakatan yang sama dalam
pelaksanaan audit TI

Tabel KK01.1
Struktur Organisasi
Object Audit
Berita Acara Entry meeting
KUK 1.1 Lingkungan Teknologi Infromasi diindentifikasi
3. Identifikasi dokumen pendukung dalam pelaksanaan audit TI, diantaranya:

Tabel KK01.2
KUK 1.2 Batasan Teknologi Informasi diidentifikasi

• Aspek Lingkungan Teknologi Informasi terdiri atas 3 aspek yaitu :

• Sumber Daya Manusia
• Perangkat Keras
• Perangkat Lunak
• Batasan didefinisikan dengan jelas terkait objek audit serta rencana
pelaksanaan audit TI

Tabel KK01.3
KUK 1.3 Aset teknologi informasi diidentifikasi
1. Aset TI diidentifikasi sesuai aset Sumber Daya Manusia

Aspek Sumber daya manusia meliputi:

- Stakeholder
- Governance (Komisaris , Direksi)
- Management (Manager, Supervisor)
- Operator (User, Operator, Admin System)
KUK 1.3 Aset teknologi informasi diidentifikasi
2. Aset SDM dikatagorikan berdasarkan pembagian tugas sesuai
pemetaan RACI (Responsible, Accountable, Consulted, Informed)

Tabel KK01.4
KUK 1.3 Aset teknologi informasi diidentifikasi
3. Aset TI diidentifikasi sesuai aset Perangkat Keras meliputi: segala
perangkat yang terlibat dalam implementasi system infromasi yang
diaudit, baik perangkat keras utama maupun pendukung
4. Aset TI diidentifikasi sesuai aset Perangkat lunak meliputi: system
informasi yang menjadi objek audit serta segala software yang
terlibat dalam implementasi system infromasi yang diaudit, baik
perangkat lunak utama maupun pendukung

Tabel KK01.5
Tabel KK01.6
KUK 2.1 Risiko-risiko yang terkait diidentifikasi
Risiko teknologi Informasi diidentifikasi berdasarkan:
1. Conformance(Kesesuaian) atas aspek:
• Confidentiality (Kerahasiaan) Dalam lingkup :
• Integrity (Integritas)  Perencanaan TI
• Availability (Ketersediaan)  Pengembangan TI
• Compliance (Kepatuhan)  Operasional TI
 Pemantauan TI
 Aplikasi TI
2. Performance(Kinerja) atas aspek
 Infrastruktur TI
• Effectiveness (Efektifitas)
• Efficiency (Efisiensi)
• Reliability (Kehandalan)
• Internal and External Malicious Threats. Tabel KK01.7
KUK 2.2 Risiko yang terkait diestimasi berdasarkan kemungkinan
dampak

• Lakukan analisis penyebab risiko dan estimasi pengendalian risiko

berdasarkan kemungkinan dampak atas ketiga aset TI

Tabel KK01.8
KUK 2.3 Risiko yang terkait dianalisis berdasarkan tingkat risiko

Frekuensi Resiko
N
Frekuensi Jumlah B obot / Rating
o
1 Sangat sering terjadi Lebih dari 41 kejadian 5
2 Cukup Sering 21-40 kejadian 4
3 Sering terjadi 11-20 kejadian 3
Lakukan analisis atas bobot
4 Jarang terjadi 6-10 kejadian 2 risiko dan estimasi
5 Sangat Jarang terjadi Kurang dari 5 kejadian 1 pengendalian risiko
Tingkat Resiko berdasarkan mitigasi atas
No Tingkat Resiko B obot penyebab dan mitigasi atas
1 Lemah 1 dampak pada ketiga aset TI
2 Kecil 2
3 Dapat diterima 3
4 Besar 4
5 Parah 5

Tabel KK01.9
KK01