Selasa, 09 Oktober 2012

Tugas Kuliah EPTIK



Assalamu’alaykum warahmatullah wabarakatuh..
Pada pertemuan kali ini penulis akan membahas mengenai Audit IT sebagai pemenuhan tugas Etika Profesi Teknologi Informasi dan Komunikasi.
Nim     : 11101871
Nama   : Nurhayuni
Kelas   : 11.5A.07
Tugas tersebut berkaitan dengan Audit IT, Audit memiliki banyak tipe. Salah satu tipe audit yaitu audit SI/TI berkaitan erat dengan manajemen resiko Teknologi Informasi.
  1. Dari beberapa standard yang sudah Anda pelajari di mata kuliah di EPTIK,  bbydszs maupun best practice yang memiliki korelasi dengan manajemen resiko TI.
  2. Carilah studi kasus audit SI/TI di industri beserta kasus yang terkait dengannya.
  3.  Jika Anda diminta sebagai audit internal di ITS yang Anda tergabung dalam tim audit TI, point apa sajakah yang Anda jadikan concern untuk audit? (Korelasikan dengan best-practices).
  4. Jelaskan korelasi antara audit TI dan manajemen resiko
berikut jawaban yang bisa penulis berikan untuk menjawab pertanyaan – pertanyaan diatas
1. Sebenarnya banyak contoh best practices yang telah penulis pelajari ketika menuntut peruntungan dalam hal ini Ilmu di JSI. Pada akhirnya penulis memilih COBIT® (Control Objectives for Information and related Technology) sebagai best practice yang dapat di pilih sebagai refrensi dalam penanganan manajemen resiko.
Mengapa penulis memilih COBIT ??
Hal ini berdasarkan refrensi yang di dapatkan penulis bahwa COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara dibangun chapter yang dapat mengelola para profesional tersebut.
COBIT sendiri ialah sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen and pengguna (user) untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis
2. Pada contoh studi kasus, Penulis mengambil pada suatu Bank Swasta pada suatu negara. Tim audit TI Ernst & Young untuk melakukan review. Berikut review yang merupakan hasil dari audit yang di lakukan Ernst & Young
  • Studi Kasus
Sebuah Bank Swasta terkemuka menunjuk tim audit TI Ernst & Young untuk melakukan review atas penerapan sistem Perbankan yang terintegrasi. Pemeriksaan ini terbagi dalam dua fase. Pada fase pertama mencakup kegiatan, sebagai berikut:
  • Manajemen Proyek
Melakukan review atas manajemen proyek untuk memastikan bahwa semua outcome yang diharapkan tertuang dalam rencana proyek. Pada tahapan ini, auditor TI melakukan review atas project charter, sumber daya yang akan digunakan, alokasi penugasan dan analisa tahapan pekerjaan proyek.
  • Desain Proses dan Pengendalian Kontrol Aplikasi
Review mengenai desain pengendalian dalam modul-modul Perbankan tersebut, yaitu pinjaman dan tabungan. Untuk itu dilakukan review atas desain proses dimana auditor mengevaluasi proses, risiko dan pengendalian mulai dari tahapan input, proses maupun output.
  • Desain Infrastruktur
Review ini mencakup analisa efektivitas dan efisiensi desain infrastruktur pendukung (server, workstation, sistem operasi, database dan komunikasi data).
Hasil follow up dijadikan dasar oleh manajemen untuk memulai implementasi sistem Perbankan yang terintegrasi tersebut.
Berdasarkan nilai tambah yang diberikan melalui rekomendasi pada fase pertama, perusahaan menunjuk kembali auditor untuk melakukan review fase kedua secara paralel pada saat implementasi dilakukan, yaitu review terhadap:
  • Migrasi data, pada saat “roll-out” ke cabang-cabang, termasuk kapasitas pemrosesan dan peyimpanannya.
  • Aspek lainnya termasuk persiapan help-desk contingency dan security .
  • Kesiapan pemakai dalam menggunakan sistem ini, kualitas pelatihan yang diberikan dan dokumentasi pengguna ( user manual )
  • Prosedur-prosedur manajemen perubahan ( change management ) dan testing
Auditor selanjutnya diminta memberikan saran mengenai resiko-resiko yang masih tersisa, sebelum manajemen memutuskan sistem barunya dapat “go-live”.
3. Berdasarkan best practice yang digunakan oleh penulis, yaitu COBIT, fokus utama yang akan di jadikan bahan pertimbangan untuk melakukan sebuah audit resiko ialah pada domain no – 3 yaitu ; Deliver and Support.


COBIT  sendiri terdiri dari 4 domain, yaitu:
  • Planning & Organization
  •  Acquisition & Implementation
  • Delivery & Support
  •  Monitoring & Evalution
Penulis menjadikan Deliver and Support karena pada Domain ini berfokus utama pada aspek penyampaian/pengiriman dari IT. Domain ini mencakup area-area seperti pengoperasian aplikasi-aplikasi dalam sistem IT dan hasilnya, serta proses dukungan yang memungkinkan pengoperasian sistem IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk isu/ masalah keamanan dan juga pelatihan.
4. Sebelum kita mengetahui apa korelasi dari Manajemen Resiko dengan Audit IT  kita harus tahu apa definisi dari kedua hal tersebut
  • Manajemen Resiko (IT Risk Management )
Proses memahami, mengevaluasi dan mengambil tindakan pada semua resiko dengan tujuan untuk meningkatkan kemungkinan untuk sukses sehingga menurunkan dan mengurangi dampak dari kegagalan
  • Audit IT
Audit teknologi informasi ( IT )  adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh
Menurut  Arens,Elder dan Beasley pada komponen Audit IT yaitu pada komponen nomer 2  mengatakan bahwa “identifikasi manajemen dan analisis resiko yang relevan dengan persiapan laporan keuangan yang sesuai dengan GAAP “
Sedangkan pada komponen nomer 3, Arens,Elder dan Beasley menyatakan “Aktivitas Pengendalian ialah Kebijakan dan prosedur, sebagai tambahan untuk yang termasuk empat komponen lain, yang membantu memastikan bahwa tindakan yang perlu telah diambil untuk mengatasi risiko dalam pencapaian sasaran hasil entitas itu. “
Dari komponen – komponen Audit IT yang telah disebutkan diatas, dapat di ambil kesimpulah bahwa terdapat korelasi antara kedua nya. Audit IT merupakan bagian dari aktifitas yang ada pada Manajemen Resiko sehingga apabila ada sebuah lembaga yang melakukan audit pada suatu perusahaan, perusahaan tersebut melakukan salah satu aktifitas dalam manajemen resiko.