Pokok Bahasan
Audit terhadap Substantive
proses dan/atau testing
hasil dan compliance
dari proses testing
Audit data
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 3
Audit dapat dilakukan terhadap salah satu atau beberapa unit ranah tersebut.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 6
Perencanaan
strategis dan Manajemen portofolio, manajemen program, dan manajemen proyek (proyek-
taktis. proyek yang terkait serta layanan dikelola dalam manajemen portofolio).
Arsitektu Administras
r SI dan i umum.
TI.
Manajemen layanan, termasuk pemantauan layanan, manajemen tingkat layanan, manajemen ketersediaan, dan manajemen
kapasitas.
Manajemen perubahan.
Disaster recovery.
Pemeriksaan kepatuhan kebijakan dan peraturan TI terhadap peraturan perundangan yang berlaku (IT compliance) serta
pemeriksaan kesesuaian pelaksanaan proses-proses TI terhadap arahan manajemen puncak, prinsip-prinsip TI, panduan TI,
dll (IT conformance).
Pemeriksaan implementasi manajemen risiko TI yang dilakukan oleh tim-tim proyek dan semua unit TI, termasuk
manajemen kontrol internal agar risiko berada di bawah batas yang dapt diterima, yaitu implementasi kontrol-kontrol baru
dan pengelolaan, pemantauan, dan evaluasi efektivitas dan efisiensi kontrol-kontrol yang ada (IT risk management).
Pemeriksaan implementasi manajemen kualitas TI yang dilakukan oleh tim proyek dan semua unit TI (IT quality assurance/
management) termasuk dari sisi pencapaian objektif, kinerja, batasan waktu, dan kesesuaian sumber daya.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 10
Contoh
Ranah Proses Contoh audit proses Contoh audit ‘produk’
Perencanaan Manajemen • Audit terhadap kebijakan dan • Audit terhadap penerapan
dan organisasi proyek TI prosedur manajemen proyek manajemen proyek TI dan hasilnya.
TI. • Standar yang digunakan adalah
• Standar yang digunakan sebagai kebijakan dan prosedur
acuan adalah PMBOK, Prince2, manajemen proyek TI.
dan ISO 21500. • Audit dilakukan antara lain dengan
• Audit dilakukan dengan kajian kajian dokumentasi terhadap
dokumentasi terhadap dokumen rencana proyek,
kebijakan dan prosedur manajemen risiko proyek, hasil
manajemen proyek TI. post-implementation review, dan
dokumen manajemen proyek
lainnya. Dilakukan pula wawancara
dengan manajer proyek.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 12
Contoh
Ranah Proses Contoh audit proses Contoh audit ‘produk’
Pengadaan dan Pengembangan • Audit terhadap kebijakan dan • Audit terhadap operasionalisasi
pengembangan aplikasi prosedur SDLC serta aplikasi: aspek ketersediaan
praktiknya. aplikasi, integritas aplikasi dan
• Standar yang digunakan kontrol akses, serta kerahasiaan
sebagai acuan adalah seri data.
ISO/IEC 12270, seri ISO/IEC • Standar yang digunakan adalah
33000, atau SWEBOK. seri ISO/IEC 25000.
• Audit dilakukan antara lain • Audit dilakukan antara lain dengan
dengan kajian dokumentasi source code review, kajian
kebijakan dan prosedur SDLC, dokumentasi terhadap hasil
serta mewawancarai analis pemantauan aplikasi, pencapaian
sistem, programmer, dan service level agreement, dll.
tester aplikasi. Dilakukan pula wawancara
dengan manajer proyek.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 13
Contoh
Ranah Proses Contoh audit proses Contoh audit ‘produk’
Operasi Availability & • Audit terhadap proses • Audit terhadap laporan hasil
capacity pemantauan server dan jaringan, pemantauan, laporan ringkasan
management proses pembuatan laporan bulanan, dan rencana kapasitas.
ringkasan bulanan, dan proses • Audit dilakukan dengan kajian
pembuatan/ pembaruan rencana dokumentasi terhadap laporan hasil
kapasitas (capacity plan). pemantauan, laporan ringkasan
• Audit dilakukan antara lain dengan bulanan, dan rencana kapasitas.
mewawancarai tim operasi dan
administrator dari monitoring tools
serta observasi.
Fokus terhadap proses atau produk dapat menimbulkan perbedaan standar acuan yang digunakan,
dokumen yang dikaji, dan pihak yang diwawancarai.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 14
Audit data
• Untuk membuat informed decision, orang yang tepat perlu mendapatkan
informasi yang tepat di saat yang tepat (the right people getting the right
information at the right time).
• Untuk itu, entry, pemrosesan, penggunaan, pengiriman, dan penyimpanan
data harus dikelola dengan baik.
• Termasuk menjalankan manajemen risiko dan implementasi kontrol-kontrol
yang tepat terhadap proses, sistem, dan pelaku/ penggunanya.
• Hal ini disebut dengan Information Assurance (IA).
• Untuk mendapatkan reasonable assurance terkait hal ini, audit data dapat
dilakukan.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 17
Data audit
• Audit data dapat merupakan audit terhadap hasil/ produk dari proses, atau
audit terhadap proses, atau keduanya.
• Untuk pemeriksaan yang lebih lengkap, dapat digunakan beberapa referensi
seperti Data Management Association Data Management Body of Knowledge
(DaMA DMBOK), CObIT 5 Enabling Information, dan ISO/IEC 25012,
• Untuk proses auditnya, dapat digunakan referensi dari Data Audit Framework
Methodology dari Humanities Technology and Information Institute (HATII).
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 18
Data quality
Data security
Data compliance
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 19
Data quality
Pemeriksaan substantif dapat dilakukan terhadap kualitas dari data. Kualitas dari data
yang dapat diperiksa, antara lain:
Perusahaan perlu memiliki klasifikasi sistem dan data untuk menjadi basis penyediaan sistem
dan data serta pengamanannya.
• Sistem dan data yang penting disediakan secara cermat dengan kontrol berlapis, sedangkan yang kurang penting
disediakan dan diamankan secukupnya saja.
Klasifikasi sistem data seringkali dibuat hanya berdasarkan sensitivitas data (aspek
kerahasiaan), atau terkadang ditambah dengan data criticality.
Perusahaan dapat mengembangkan klasifikasi sistem dan data dengan mengacu pada NIST SP
800-60 yang tidak hanya menggunakan availability dan confidentiality, tapi juga integrity.
• Sistem dan data yang ada dikategorikan berdasarkan klasifikasi tersebut, termasuk penetapan pemilik data dan
penanggung jawab data.
• Pengelolaan sistem dan data beserta kontrolnya dilakukan sesuai dengan klasifikasinya.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 22
Data security
Pemeriksaan • Availability: data harus tersedia dan dapat diakses pada saat
diperlukan, serta terdapat replikasi data (data recoverability).
mencakup • Jika sudah melewati masa retensi berdasarkan persyaratan
kontrol peraturan peundangan dan regulasi serta persyaratan
availability, perusahaan, data dihapus.
• Jika klasifikasinya tinggi, data dimusnahkan secara aman
integrity, dan (secure disposal).
confidentiality • Integrity: pemeriksaan terhadap validitas internal dari proses
sistem dan dan kontrol, termasuk log (data traceability) untuk
data sesuai accountability, serta validitas eksternal dari data.
• Confidentiality: pemeriksaan terhadap kontrol akses,
dengan pemeriksaan data rahasia dan pribadi sudah diidentifikasi dan
klasifikasinya. dienkripsi saat disimpan maupu saat dikirim.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 23
Data compliance
Audit data