1. Proses Audit TI
Sebagian besar
pendekatan audit TI mencakup satu atau lebih kegiatan yang dilakukan dalam area
proses perencanaan audit, kinerja audit, pelaporan audit, dan menanggapi temuan
dan rekomendasi audit.
Keberhasilan mengimplementasikan proses audit TI
bergantung pada komitmen organisasi dan keberadaan landasan struktural yang
mendukung kegiatan audit. Untuk audit eksternal, komitmen tersebut terdiri dari
keputusan eksekutif untuk melibatkan auditor luar, mengalokasikan sumber daya
keuangan yang diperlukan, dan menerima serta merespons temuan audit dengan
tepat. Rencana audit yang relevan yang dihasilkan dari program audit organisasi
untuk mencerminkan kebutuhan audit tertentu adalah fokus perencanaan audit,
langkah pertama dalam proses audit TI.
1.1.
Perencanaan Audit
Perencanaan
audit mencakup semua kegiatan yang diperlukan untuk memastikan bahwa yang akan
diaudit spesifik baik yang dilakukan oleh auditor internal atau eksternal dapat
dilaksanakan secara lengkap dan efisien untuk memenuhi tujuan sebuah audit
organisasi. Merencanakan suatu audit secara konseptual mirip dengan perencanaan
proyek-proyek TI atau inisiatif-inisiatif lain yang ditentukan secara terpisah,
di mana suatu audit biasanya memiliki tanggal mulai dan selesai, mengharuskan
organisasi untuk menetapkan personil yang tepat dan sumber daya yang memadai,
dan menghasilkan keluaran nyata dalam bentuk dokumentasi, temuan, dan
rekomendasi.
Perencanaan
audit mempertimbangkan pedoman dan input umum tentang ruang lingkup,
persyaratan sumber daya, jadwal, protokol, dan informasi pendukung menjadi
pertimbangan dan menentukan kebutuhan eksplisit, tenggang waktu, kriteria
audit, dan persyaratan pembuktian dan prosedural. Selama perencanaan audit,
organisasi juga menetapkan harapan tentang laporan audit atau produk kerja
lainnya yang akan disampaikan pada akhir audit.
1.2.
Persiapan Audit
Setiap
jenis audit TI memiliki sumber motivasi yang berbeda, hasil yang diharapkan, dan
tujuan organisasi. Banyak audit juga memiliki kriteria, standar, atau protokol
eksplisit yang terkait dengannya. Faktor-faktor ini secara kolektif mendorong
definisi ruang lingkup audit. Sebagai bagian dari perencanaan audit, personil
program audit merujuk pada strategi audit organisasi dan mengidentifikasi
kebutuhan spesifik audit untuk menjelaskan secara terperinci apa yang akan
diperiksa selama audit dan apa yang ingin dicapai organisasi dengan melakukan
audit.
Dengan ruang lingkup yang jelas dan serangkaian
tujuan, tim audit dan orang-orang dalam organisasi yang akan mendukung proses
audit dapat mempersiapkan diri untuk pelaksanaan audit dengan mengidentifikasi
dan menetapkan auditor yang diperlukan dan sumber daya lainnya, ada beberapa
hal yang perlu disiapkan oleh perusahaan sebelum diaudit yaitu:
A. Permanent
File ( Surat – surat tentang perusahaan)
B. Current
File ( Dokumen – Dokumen yang akan di audit)
1.3.
Alokasi Sumberdaya
Bergantung pada ruang lingkup dan kompleksitas audit
yang dilakukan, audit TI bisa sangat intensif sumber daya. Organisasi
menetapkan auditor dan mengalokasikan sumber daya yang cukup untuk mendukung
setiap audit berdasarkan ruang lingkup dan jenis audit, sifat dari pemeriksaan
diperlukan untuk berbagai aset, proses, atau kontrol, dan jadwal penyelesaian.
Menetapkan
baseline proyek memungkinkan manajer audit atau pemimpin tim untuk melacak
penyelesaian tugas, menentukan tingkat upaya yang diperlukan untuk
menyelesaikan pekerjaan yang tersisa, dan menyesuaikan staf atau sumber daya
sesuai kebutuhan.
1.4.
Pengumpulan Data Awal
Pengumpulan bukti adalah fokus utama
pelaksanaan audit TI, tetapi organisasi dapat membantu memastikan pelaksanaan
audit yang tepat waktu dan efektif. Bergantung pada jenis dan ruang lingkup audit, sumber informasi yang relevan
biasanya meliputi:
· Kebijakan, prosedur, standar, dan pedoman.
· Dokumentasi sistem atau aplikasi, termasuk manual
operasional.
· Pengaturan konfigurasi untuk server, perangkat, atau
komponen teknologi.
· Deskripsi kontrol yang diterapkan, termasuk kontrol
keamanan.
· Laporan audit dan rencana tindakan korektif dari audit
yang sebelumnya diselesaikan.
Sejauh
organisasi mengetahui prosedur audit dan kriteria audit spesifik yang akan
diterapkan oleh auditor, output dari perencanaan audit dapat mencakup ringkasan
awal kebutuhan bukti atau daftar periksa audit.
1.5.
Prosedur dan Protokol Audit
kriteria yang
digunakan untuk audit yang diberikan tergantung pada jenis audit, tujuan atau
hasil yang dimaksudkan, dan serangkaian subjek yang akan diperiksa. Demikian
pula, pilihan prosedur dan protokol audit yang akan digunakan auditor
mencerminkan jenis dan tujuan audit dan apa yang diaudit.
Saat melakukan audit TI jenis tertentu,
seperti yang dimaksudkan untuk mencapai atau mempertahankan sertifikasi atau menunjukkan
kepatuhan dengan persyaratan peraturan, pilihan prosedur dan protokol audit
organisasi mungkin terkendala oleh kebutuhan untuk menyesuaikan dengan standar
yang ditentukan secara eksternal. Audit eksternal dilakukan dengan sertifikasi
terakreditasi.
1.6.
Merencanakan audit internal dan eksternal
Dalam
banyak kasus, organisasi memiliki kemampuan untuk memilih auditor mereka
menunjuk karyawan dari program audit internal untuk audit internal, dan memilih
perusahaan audit untuk audit eksternal. Jika memungkinkan, organisasi dapat
meningkatkan prospek keseluruhan untuk perikatan audit yang sukses dengan
memilih auditor yang dengannya organisasi memiliki hubungan kerja yang
kolaboratif, bukan bermusuhan. Perencanaan untuk audit eksternal berbeda dalam
banyak hal dari perencanaan audit internal. Organisasi sering memiliki
fleksibilitas untuk memilih auditor eksternal mereka (dari antara kumpulan
perusahaan yang memenuhi syarat), tetapi mungkin memiliki sedikit atau tidak
ada peran dalam menugaskan auditor individu atau pemimpin tim audit selain
menentukan kualifikasi yang diperlukan.
Ketergantungan pada auditor internal dan
sumber daya berarti bahwa manajer audit yang bertanggung jawab untuk menugaskan
dan mengawasi personel dan kinerja audit dapat meningkatkan pengetahuan tentang
kualifikasi dan latar belakang auditor yang berbeda untuk memastikan setiap tim
audit menyertakan keterampilan dan kemampuan yang diperlukan untuk berhasil
melakukan audit.
Perusahaan audit
eksternal biasanya membawa prosedur, protokol, dan alat audit untuk mengaudit
keterlibatan, yang mencerminkan preferensi mereka sendiri atau pengalaman
sebelumnya. Dan biasanya audit ekternal melakukan kontrak terlebih dahulu
dengan perusahaan yang akan di audit.
1.7.
Kinerja Audit
Kinerja audit
adalah tahap dalam proses audit di mana tim audit melaksanakan rencana yang
dikembangkan untuk audit dan melakukan pemeriksaan terperinci atas proses, aset
TI, dan kontrol, membandingkan bukti yang dikumpulkan tentang organisasi dan
kemampuan serta praktiknya dengan persyaratan yang ditentukan dalam kriteria
audit, protokol yang relevan, atau standar yang berlaku.
Kegiatan
yang terkait dengan melakukan audit TI meliputi pemeriksaan oleh auditor atas
semua dokumentasi dan informasi kontekstual yang tersedia tentang subjek audit,
pengumpulan bukti melalui observasi, wawancara, dan tes, dan analisis bukti
tersebut untuk mengidentifikasi kelemahan, kontrol kekurangan, atau masalah
lainnya. Sifat dari banyak tugas kinerja audit seringkali mengharuskan auditor hadir
secara fisik di satu atau lebih lokasi yang dikelola oleh organisasi yang
menjalani audit. Bekerja di lokasi memfasilitasi interaksi dengan personel
organisasi
1.8.
Pengumpulan Bukti
Didalam
meng-audit memerlukan bukti, seorang
Auditor mengandalkan bukti yang dikumpulkan dari organisasi untuk menentukan
sejauh mana unsur-unsur yang diperiksa dalam audit memenuhi kriteria yang
ditentukan.
Mengidentifikasi banyak sumber informasi
yang dapat dipilih auditor bergantung pada ruang lingkup audit, kompleksitas,
dan kriteria yang harus dipenuhi, termasuk [1]:
· Dokumen
seperti kebijakan, rencana, prosedur, standar, pedoman, spesifikasi teknis,
kontrak, lisensi, dan perjanjian tingkat layanan;
· Wawancara
dengan personel organisasi yang bertanggung jawab untuk mengoperasikan atau
mengelola subjek yang sedang diperiksa;
· Pengamatan
langsung terhadap kegiatan yang terjadi di lingkungan organisasi;
· Aplikasi,
basis data, antarmuka pengguna, dan komponen teknis lainnya;
· data
kinerja seperti peringkat kepuasan pelanggan dan pemasok atau laporan kualitas
yang dihasilkan oleh pihak ketiga; dan
· pengujian,
pemodelan, atau latihan kontrol simulasi atau aktual.
1.9.Analisis
Bukti
Tujuan utama
mengumpulkan bukti adalah menganalisis bukti untuk menentukan sejauh mana
kriteria tersebut dipenuhi. Menganalisis bukti mencakup berbagai metode,
auditor memilih metode yang paling tepat berdasarkan pada jenis kontrol yang
diteliti dan jenis audit serta maksud dan tujuannya.
Auditor
eksternal sering lebih mempercayai bukti yang dikumpulkan melalui pengamatan
atau analisis langsung atau diproduksi oleh pihak ketiga yang berkualifikasi
daripada informasi internal dan bukti yang diberikan oleh organisasi yang
menjalani audit. Analisis bukti bertujuan untuk menentukan kriteria,
memeriksa dan juga meninjau apakah metode yang dilakukan sudah tepat dan bukti
yang sudah dikumpulkan oleh auditor itu sudah tepat untuk nantinya dijadikan
temuan audit sebuah organisasi.
1.10. Melaporkan Temuan
Bergantung
pada jenis audit dan tujuannya, temuan yang dilaporkan dapat mengatasi semua
kriteria atau hanya elemen-elemen yang auditor anggap kurang atau tidak
didukung oleh bukti. Temuan
audit dihasilkan dari membandingkan bukti dengan kriteria audit. Bergantung pada
jenis audit dan tujuannya. laporan audit biasanya berisi informasi :
1. Maksud dan tujuan untuk melakukan audit.
2. Ruang lingkup audit, termasuk elemen organisasi,
fungsional, atau teknis di mana audit berlaku.
3. Identifikasi klien audit.
4. Identifikasi peserta audit, termasuk auditor dan
mereka yang menjadi subjek audit.
5. Kerangka waktu selama audit berlangsung.
6. Lokasi di mana audit terjadi, termasuk fasilitas
organisasi dan lokasi kerja auditor di luar organisasi, jika ada.
7. Kriteria yang ditentukan untuk audit.
8. Temuan audit dan bukti pendukung.
9. Kesimpulan audit, termasuk rekomendasi auditor.
10. Hasil audit, berpotensi termasuk keberhasilan
keseluruhan atau kegagalan penentuan atau sejauh mana organisasi memenuhi
kriteria audit.
Temuan
audit menjelaskan secara rinci kelemahan kontrol, defisiensi operasional, dan
sumber risiko lainnya bagi organisasi. Laporan audit sering kali memasukkan
informasi sensitif atau rahasia yang tidak ingin dibuat publik atau diungkapkan
kepada pesaing, pelanggan, mitra bisnis, atau kepada regulator atau otoritas
pengawas kecuali pengungkapan seperti itu secara eksplisit diperlukan.
Organisasi perlu memastikan bahwa laporan audit dan kertas kerja yang merinci
temuan auditor sepenuhnya dikontrol akses untuk membatasi pengungkapan hanya
kepada mereka yang berwenang dan dengan kebutuhan yang sah untuk memiliki
informasi, seperti anggota komite audit dan lainnya, dengan tanggung jawab
fidusia kepada organisasi.
1.11. Menggunakan
informasi dalam laporan audit
Pada
akhir proses audit, auditor menyelesaikan laporan audit dan mengirimkannya ke
organisasi yang diaudit. Penerima utama dari laporan audit yang dihasilkan
dalam audit internal dan eksternal termasuk komite audit dan manajemen
eksekutif organisasi yang diaudit. Hasil audit eksternal harus biasanya
dikomunikasikan kepada pihak ketiga yang berwenang seperti regulator, tetapi
informasi yang didistribusikan di luar organisasi mungkin tidak termasuk
seluruh laporan audit.
Salah
satu tujuan utama untuk audit eksternal adalah mencapai hasil yang sukses, di
mana keberhasilan dapat berarti audit yang membahas semua elemen yang
didefinisikan dalam ruang lingkupnya, yang menghasilkan sedikit atau tidak ada
temuan signifikan yang menjamin tindakan korektif, atau yang meningkatkan hasil
audit sebelumnya dalam hal jumlah atau signifikansi temuan dan rekomendasi.
1.12. Menanggapi
hasil audit
Laporan
audit dengan temuan dan kesimpulan yang menjamin tindakan korektif, pemantauan,
atau tindak lanjut oleh organisasi yang diaudit menjadi input yang signifikan
untuk proses perencanaan dan melaksanakan respons organisasi yang sesuai.
Skenario bestcase untuk organisasi yang menjalani audit TI bersamaan dengan
audit keuangan, kepatuhan, atau sertifikasi adalah bahwa auditor akan
menentukan bahwa organisasi tersebut mematuhi persyaratan atau menyatakan (atau
menyatakan kembali) kepatuhannya terhadap kriteria yang berlaku.
Prinsip mendasar
dalam perbaikan terus-menerus adalah selalu ada cara untuk berkinerja lebih
baik, sehingga organisasi yang terlibat dalam audit termotivasi kedepannnya.
Organisasi perlu melacak tanggapan mereka terhadap temuan audit melalui
kegiatan pemantauan dan tindak lanjut, untuk memastikan bahwa mereka memenuhi
komitmen yang didokumentasikan dalam laporan audit akhir atau rencana remediasi
dan untuk memberikan informasi kepada tim audit berikutnya tentang perubahan
yang dilaksanakan sejak audit sebelumnya.
Tindakan korektif yang ingin diambil oleh organisasi
untuk menanggapi temuan audit dan memitigasi risiko didokumentasikan dalam
rencana remediasi dikenal dalam manajemen keamanan informasi sebagai rencana tindakan
dan tonggak (POA & M) yang menyebutkan apa dan kapan organisasi akan
melakukan dan menetapkan tanggung jawab dalam organisasi melihat setiap
tindakan sampai selesai.
1.13. Proses siklus hidup dan metodologi
Sifat siklus dan berulang dari sebagian besar proses
audit mencerminkan ekspektasi bahwa audit akan diulang. Apa itu siklus hidup
produk, keinginan organisasi untuk mengontrol atau mempengaruhi cara produk dan
jasa dirancang, diproduksi, didistribusikan, dikonsumsi, dan dibuang dengan
menggunakan perspektif siklus hidup untuk mencegah dampak lingkungan dari
bergerak dari satu tahap ke tahap yang lain.
Model PDCA mencapai keunggulan sebagai elemen
sentral dari teori manajemen di perusahaan manufaktur dan perusahaan di
industri jasa yang menekankan perbaikan berkelanjutan dan menyoroti manfaat
bagi organisasi dari melakukan perubahan yang mengarah pada produk atau layanan
yang berkualitas lebih tinggi.
1.14. Ringkasan
Bab ini
menjelaskan proses audit secara keseluruhan dan fase atau langkah utama yang
ditemukan di sebagian besar metodologi dan siklus hidup audit utama. Proses
audit mencakup semua kegiatan mulai dari titik di mana organisasi membuat
keputusan untuk melakukan audit tertentu hingga penyampaian temuan dan
perumusan dan inisiasi rencana untuk tindakan korektif, kepatuhan, efektivitas
operasional, atau peningkatan proses bisnis. Ini membahas kegiatan utama dan
peran serta tanggung jawab untuk auditor TI serta mereka yang tunduk pada atau
ditugaskan dengan audit pendukung, membedakan mana yang berlaku antara
perspektif audit internal dan eksternal.
