Pokok bahasan
Rencana audit
Metodologi
individual
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 3
Auditor
Kami akan audit berdasarkan international best
practice standards dan pengalaman kami. Tenang,
Pak, Kami bukan checklist auditor. Ha ha ha!
Ooh..!
Checklist
• Audit dilakukan secara disiplin dan sistematis mengikuti langkah-
langkah audit mulai dari perencanaan sampai penyelesaian audit.
– Daftar pertanyaan atau checklist perlu disiapkan secara terstruktur untuk
mengarahkan dan memastikan bahwa hal-hal yang akan diperiksa tidak
terlewat untuk dicek, terutama untuk audit kepatuhan.
• Ilustrasi: dalam audit keamanan informasi berdasarkan ISO/IEC 27002 yang cukup
detail, jika wawancara dilakukan dengan tidak menggunakan checklist tapi hanya
berdasarkan ingatan auditor terhadap standar tersebut, maka besar kemungkinan
ada yang akan terlewat.
– Namun, tidak bisa juga hanya mengandalkan checklist saja, jika ada yang tidak terdapat dalam
checklist tapi menurut auditor perlu diperiksa, maka hal tersebut harus diperiksa.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 5
Pembuatan Pembuatan
Pelaksanaan
rencana laporan
audit dan
audit audit dan
supervisi
individual tindak lanjut
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 6
• Maka audit diutamakan ke TPS tersebut, baru kemudian hal yang lain termasuk
video conference.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 8
1. Kriteria
• Sumber kriteria nomor 1 adalah dari peraturan perundangan termasuk dari badan
regulator.
• Jika TI perusahaan tidak diatur oleh peraturan dari regulator, maka dapat digunakan best
practice
Cakupanstandards. Perusahaan
Contoh: Kriteria
Bank • UU no. 28 tahun 2014 tentang Hak Cipta (termasuk lisensi perangkat
lunak)
• UU no. 11 tahun 2008 tentang informasi dan transaksi elektronik
• POJK no 38/POJK,03/2016
BUMN • UU no. 28 tahun 2014
Audit TI umum
• UU no. 11 tahun 2008
• PerMen BUMN
Bukan bank dan bukan • UU no. 28 tahun 2014
BUMN • UU no. 11 tahun 2008
• Dapat juga menggunakan CObIT
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 14
Kriteria
Cakupan Kriteria
• Project in Controlled Environment (Prince)
Audit manajemen Project Management Body of Knowledge (PMBOK)
proyek TI •
• ISO 21500
Audit SDLC • ISO/IEC 12207
• ISO/IEC 33000
• CMMI-DEV
• SWEBOK
Audit aplikasi • ISO/IEC 25000
• ISO/IEC 15408 Evaluation Criteria for Information Technology
Security (common criteria).
Arsitektur informasi TOGAF
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 15
Kriteria
Cakupan Kriteria
Ranah operasi • IT Infrastructure Library
• ISO/IEC 20000
• CMMI-SVC
• Microsoft Operation Framework (MOF)
Ranah sekuriti • SNI ISO/IEC 27001 (disyaratkan Permen Kominfo no. 4 tahun
2016)
• ISO/IEC 27000
• NIST SP 800-53 dan -53 A
• Critical Security Controls (CIS)
Perlindungan data PerMen Kominfo no. 20 tahun 2016
pribadi
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 16
Wawancara Pengujian
Dilakukan dengan Bisa manual/
wakil yang menggunakan alat
representatif dari bantu.
setiap bagian
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 18
3. Sampling
• Jika dokumen yang akan diperiksa, orang yang akan diwawancarai,
objek yang akan diobservasi/ diuji sangat banyak, maka dapat
dilakukan teknik sampling yang dapat mewakili populasi. Contoh:
– Dari 100 dokumen checklist harian, dipilih 20-25 dokumen saja yang akan
diperiksa.
– Dari puluhan cabang perusahaan di seluruh Indonesia, dipilih 10 cabang saja
untuk dikunjungi/ diobservasi.
– Dari belasan staf suatu divisi, dipilih beberapa orang saja untuk
diwawancarai.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 19
3. Sampling
• Populasi didefinisikan terlebih dahulu.
Pemilihan • sampel terpilih harus merepresentasikan
sampel populasi.
4. Tahapan audit
• Bagian metodologi yang berisi tahapan dalam pelaksanaan audit.
Perencanaan audit Pelasanaan audit dan Pembuatan laporan
individual supervisi audit
Substantive testing
Ada pertanyaan?