ASPEK PENGUMPULAN BUKTI

 

AUDIT TEKNOLOGI INFORMASI

ASPEK-ASPEK PADA IT GOVERNANCE DAN RISK MANAGEMENT.

1.     Penetapan Strategi IT:

Melibatkan proses menetapkan tujuan strategis untuk penggunaan teknologi informasi dalam mendukung tujuan bisnis organisasi. Ini mencakup pengembangan rencana strategis, alokasi sumber daya, dan penetapan prioritas dalam penggunaan teknologi.

2.     Pengelolaan Risiko IT:

Melibatkan identifikasi, evaluasi, dan penanganan risiko yang terkait dengan penggunaan teknologi informasi. Ini termasuk mengidentifikasi ancaman potensial, mengevaluasi dampaknya, dan mengimplementasikan strategi pengendalian risiko.

3.     Pengukuran Kinerja IT:

Mengukur dan memantau kinerja sistem dan layanan IT untuk memastikan bahwa mereka mencapai tujuan organisasi. Ini melibatkan pengukuran efisiensi, efektivitas, dan keandalan sistem serta pengukuran nilai bisnis yang dihasilkan oleh investasi IT.

4.     Kepemilikan dan Kemitraan:

Menetapkan kepemilikan dan tanggung jawab atas aset dan inisiatif IT dalam organisasi. Ini juga melibatkan membangun kemitraan dengan berbagai pemangku kepentingan dalam organisasi untuk memastikan bahwa kebutuhan mereka dipenuhi oleh teknologi informasi.

5.     Identifikasi Risiko:

Proses mengidentifikasi potensi ancaman atau kejadian yang dapat mengganggu atau merugikan tujuan organisasi. Ini mencakup identifikasi berbagai jenis risiko seperti risiko keamanan informasi, risiko operasional, risiko kepatuhan, dan lainnya.

 

 

 

 

6.     Evaluasi Risiko:

Mengevaluasi dampak dan probabilitas dari risiko yang diidentifikasi untuk menentukan tingkat risiko yang dapat diterima oleh organisasi. Ini membantu organisasi dalam menentukan langkah-langkah pengelolaan risiko yang paling tepat.

7.     Pengendalian Risiko:

Pengembangan dan implementasi strategi untuk mengurangi atau mengelola risiko ke tingkat yang dapat diterima oleh organisasi. Ini mencakup penerapan kontrol keamanan, transfer risiko melalui asuransi, atau penerimaan risiko dalam beberapa kasus.

8.     Pemantauan dan Review:

Proses pemantauan secara berkala terhadap risiko yang diidentifikasi dan strategi pengelolaan risiko untuk memastikan bahwa mereka tetap efektif. Ini juga melibatkan peninjauan dan penyesuaian strategi pengelolaan risiko berdasarkan perubahan lingkungan internal dan eksternal.

 

CONTOH DARI SETIAP ASPEK YANG TERDAPAT PADA IT GOVERNANCE DAN RISK MANAGEMENT.

1.     Penetapan Strategi IT:

Contoh: Sebuah perusahaan teknologi memutuskan untuk fokus pada pengembangan solusi perangkat lunak berbasis cloud untuk meningkatkan fleksibilitas dan skalabilitas produk mereka.

2.     Pengelolaan Risiko IT:

Contoh: Sebuah bank mengidentifikasi risiko keamanan yang terkait dengan serangan phishing dan mengimplementasikan pelatihan keamanan untuk karyawan serta sistem deteksi serangan phishing.

3.     Pengukuran Kinerja IT:

Contoh: Sebuah organisasi e-commerce mengukur waktu respons server mereka dan menemukan bahwa dengan meningkatkan infrastruktur server, mereka dapat meningkatkan kecepatan situs dan pengalaman pengguna.

4.     Kepemilikan dan Kemitraan:

Contoh: Sebuah perusahaan manufaktur menetapkan tim internal yang bertanggung jawab atas pengembangan dan pemeliharaan sistem ERP mereka, sementara mereka juga menjalin kemitraan dengan penyedia layanan IT untuk dukungan teknis.

5.     Identifikasi Risiko:

Contoh: Sebuah perusahaan asuransi mengidentifikasi risiko kehilangan data yang disebabkan oleh peretasan sistem dan risiko kegagalan infrastruktur IT yang dapat menyebabkan gangguan layanan.

6.     Evaluasi Risiko:

Contoh: Sebuah perusahaan ritel mengevaluasi risiko dampak finansial dari serangan malware pada sistem kasir mereka dan menentukan bahwa risiko tersebut sangat tinggi karena dapat mengganggu operasi harian.

7.     Pengendalian Risiko:

Contoh: Sebuah rumah sakit mengimplementasikan kebijakan enkripsi data untuk mengurangi risiko pelanggaran data saat mentransfer informasi sensitif antar departemen.

8.     Pemantauan dan Review:

Contoh: Sebuah perusahaan teknologi memantau laporan keamanan sistem secara teratur dan melakukan tinjauan atas kejadian keamanan yang terjadi untuk memastikan bahwa kontrol keamanan mereka tetap efektif dan memperbarui mereka jika diperlukan.

LANGKAH-LANGKAH PADA AUDITING IT GOVERNANCE.

Berikut adalah langkah-langkah pada auditing IT governance:

1.     Menetapkan Lingkup Audit:

Identifikasi area atau proses yang akan diaudit dalam IT governance, seperti penetapan strategi IT, pengelolaan risiko, pengukuran kinerja IT, dan kepemilikan serta kemitraan dalam pengelolaan teknologi informasi.

2.     Perencanaan Audit:

Buat rencana audit yang mencakup tujuan audit, sasaran audit, metode audit yang akan digunakan, sumber daya yang diperlukan, jadwal audit, dan pemilihan tim audit.

3.     Pelaksanaan Audit:

Lakukan audit sesuai dengan rencana yang telah dibuat, termasuk pengumpulan data, wawancara dengan pemangku kepentingan terkait, dan evaluasi kepatuhan terhadap kebijakan dan prosedur yang ditetapkan.

4.     Evaluasi Temuan dan Penyusunan Laporan:

Evaluasi hasil audit untuk menentukan apakah ada kepatuhan terhadap standar dan kebijakan yang ditetapkan, serta identifikasi temuan dan rekomendasi perbaikan. Susun laporan audit yang mencakup ringkasan hasil audit, temuan utama, rekomendasi perbaikan, serta respons manajemen terhadap temuan tersebut.

5.     Tindak Lanjut:

Tinjau respons dan tindak lanjut yang diberikan oleh manajemen terhadap temuan audit. Pastikan bahwa tindak lanjut yang diambil sesuai dengan rekomendasi audit dan dapat mengatasi masalah yang diidentifikasi. Lakukan monitoring untuk memastikan bahwa tindak lanjut yang direncanakan dilaksanakan sesuai dengan jadwal yang ditetapkan.

AUDIT IT PADA DOMAIN EDM (EVALUATE, DIRECT, AND MONITOR), APO (ALIGN, PLAN AND ORGANISE), BAI (BUILD, ACQUIRE AND IMPLEMENT), DSS (DELIVER, SERVICE AND SUPPORT), DAN MEA (MONITOR, EVALUATE, AND ASSESS).

1.     Domain EDM (Evaluate, Direct, and Monitor):

Evaluasi:

·       Tinjau proses evaluasi risiko dan pengukuran kinerja IT untuk memastikan bahwa mereka sesuai dengan tujuan organisasi.

·       Periksa apakah organisasi memiliki proses yang sesuai untuk mengidentifikasi dan mengevaluasi perubahan lingkungan bisnis dan teknologi.

Pengarah:

·       Tinjau kebijakan, struktur organisasi, dan mekanisme pengambilan keputusan untuk memastikan bahwa pengambilan keputusan IT sejalan dengan tujuan bisnis.

·       Evaluasi bagaimana strategi IT ditetapkan dan disesuaikan dengan tujuan bisnis organisasi.

Monitor:

·       Tinjau proses pemantauan kinerja IT untuk memastikan bahwa mereka efektif dalam mengidentifikasi masalah dan peluang dalam pengelolaan teknologi informasi.

·       Periksa bagaimana informasi yang diperoleh dari pemantauan digunakan untuk mengambil tindakan perbaikan atau mengarahkan perubahan strategis.

2.     Domain APO (Align, Plan, and Organise):

Align (Menyelaraskan):

·       Tinjau strategi IT untuk memastikan bahwa mereka menyelaraskan dengan tujuan bisnis dan kebutuhan pemangku kepentingan.

·       Evaluasi proses perencanaan strategis IT untuk memastikan bahwa mereka mempertimbangkan kebutuhan bisnis dan risiko yang terkait.

            Plan (Merencanakan):

·       Tinjau rencana taktis dan operasional IT untuk memastikan bahwa mereka mendukung strategi IT dan tujuan bisnis.

·       Evaluasi alokasi sumber daya dan anggaran untuk proyek IT untuk memastikan bahwa mereka sejalan dengan prioritas organisasi.

            Organise (Mengorganisasi):

·       Tinjau struktur organisasi IT untuk memastikan bahwa mereka mendukung pengelolaan efektif dan efisien dari sumber daya dan inisiatif teknologi informasi.

·       Periksa apakah tanggung jawab dan kewenangan telah ditetapkan dengan jelas dalam organisasi IT.

3.     Domain BAI (Build, Acquire, and Implement):

            Build (Membangun):

·       Tinjau proses pengembangan aplikasi dan infrastruktur IT untuk memastikan bahwa mereka sesuai dengan standar dan persyaratan keamanan.

·       Evaluasi penggunaan metodologi pengembangan yang baik dan praktik terbaik dalam pengembangan solusi teknologi informasi.

            Acquire (Mendapatkan):

·       Tinjau proses pengadaan produk dan layanan IT untuk memastikan bahwa mereka sesuai dengan kebutuhan dan kebijakan organisasi.

·       Periksa apakah vendor dipilih berdasarkan kriteria yang tepat dan telah dilakukan penilaian risiko yang memadai.

            Implement (Melaksanakan):

·       Tinjau proses implementasi solusi IT untuk memastikan bahwa mereka dilaksanakan secara efektif dan sesuai dengan rencana.

·       Evaluasi pengendalian perubahan untuk memastikan bahwa perubahan diimplementasikan dengan baik dan tidak mengganggu operasi bisnis.

4.     Domain DSS (Deliver, Service, and Support):

            Deliver (Memberikan):

·       Tinjau proses pengiriman solusi IT dan layanan kepada pengguna untuk memastikan bahwa mereka memenuhi kebutuhan dan harapan pengguna.

·       Evaluasi kehandalan dan ketersediaan sistem serta waktu tanggapan terhadap masalah pengguna.

            Service (Layanan):

·       Tinjau proses pengelolaan layanan IT, termasuk dukungan teknis dan manajemen incident, untuk memastikan bahwa layanan disampaikan sesuai dengan tingkat layanan yang ditetapkan.

·       Evaluasi pelaporan layanan dan pengukuran kinerja untuk memastikan bahwa layanan mencapai tingkat layanan yang diharapkan.

            Support (Dukungan):

·       Tinjau proses dukungan pengguna dan pemeliharaan sistem untuk memastikan bahwa masalah pengguna ditangani dengan cepat dan efisien.

·       Periksa proses manajemen perubahan untuk memastikan bahwa perubahan yang diimplementasikan tidak menyebabkan gangguan yang tidak terduga.

5.     Domain MEA (Monitor, Evaluate, and Assess):

            Monitor (Memonitor):

·       Tinjau proses pemantauan kinerja IT untuk memastikan bahwa mereka efektif dalam mendeteksi masalah dan peluang dalam pengelolaan teknologi informasi.

·       Evaluasi proses pengumpulan dan analisis data kinerja untuk memastikan bahwa informasi yang diperoleh dapat digunakan untuk mengambil tindakan yang diperlukan.

            Evaluate (Mengevaluasi):

·       Tinjau proses evaluasi kinerja IT untuk memastikan bahwa mereka mendukung pengambilan keputusan yang tepat dalam pengelolaan teknologi informasi.

·       Evaluasi metode evaluasi kinerja dan penggunaan metrik yang relevan untuk menilai pencapaian tujuan IT.

            Assess (Menilai):

·       Tinjau proses penilaian risiko dan kepatuhan untuk memastikan bahwa mereka mengidentifikasi dan menilai risiko dengan benar serta memastikan kepatuhan terhadap kebijakan dan regulasi.

·       Evaluasi laporan hasil penilaian risiko dan kepatuhan untuk memastikan bahwa mereka memberikan informasi yang akurat dan berguna kepada manajemen.

 

 

 

 

Komentar

Posting Komentar

Postingan Populer