2. Metodologi Audit SI/TI
Dalam melaksanakan audit TI diterapkan metodologi audit TI yang sesuai dengan metodologi yang diajukan oleh IT Assurance Guide: Using COBIT. Tetapi sebelum menentukan pilihan menggunakan COBIT sebagai kerangka kerja audit, dilakukan beberapa pertimbangan diantaranya yaitu dengan melakukan benchmarking antara kerangka kerja audit yang ada seperti Ron Weber [1], Queensland Audit Office dan Jack Champlain [3]. Semua kerangka audit tersebut dipetakan sehingga didapat sebuah kesimpulan bahwa kerangka COBIT adalah kerangka kerja audit yang paling lengkap. Kemudian penulis juga melakukan perbandingan antara COBIT dengan ITIL (Information Technology Infrastructure Library) [4] untuk mendapatkan gambaran yang lebih jelas dalam proses pada domain Delivery and Support.
Dalam melaksanakan tahapan audit, tidak semua langkah yang ada didalam panduan tersebut dilaksanakan semuanya, dengan alasan mengurangi pengulangan aktivitas, maka tetap berpegang pada aturan-aturan yang bersifat umum yang telah ditetapkan oleh IT Assurance Guide [5].
Pada dasarnya dalam metodologi audit/assurance, dilakukan metodologi pengumpulan data, yang meliputi:
i. Penelaahan dokumentasi kebijakan teknik maupun non-teknis yang menjadi dasar pengembangan Universitas XYZ.
ii. Observasi dan wawancara dengan pihak terkait, wawancara dilakukan dengan pihak terkait yaitu kepala pusat Unit Cybernet, kepala pusat
pengembangan sistem, staf Cybernet, Direktur Akademik, staf pengajar dan mahasiswa.
iii. Analisa basis data.
iv. Analisa jaringan.
Dalam melaksanakan evaluasi, dilakukan beberapa langkah, yaitu:
a. Penentuan Rencana Audit
Dalam penentuan rencana audit, terdapat langkah-langkah yang dilakukan, yaitu:
1. Memahami visi dan misi dari Universitas XYZ, sasaran, tujuan dan prosesnya.
2. Mengidentifikasi kebijakan, standar, pedoman serta prosedur dari Universitas XYZ.
3. Melakukan analisis resiko.
b. Menentukan lingkup audit dan tujuan audit
Dalam menentukan lingkup audit dan tujuan audit penulis melakukan hal-hal berikut:
1. Menentukan tujuan audit TI.
2. Melakukan pemilihan control objective yang akan digunakan untuk menguji keefektifan dari proses TI yang ada.
3. Mendokumentasikan arsitektur yang ada di Universitas XYZ.
4. Mendefinisikan proses-proses TI yang akan dikaji.
5. Mendefinisikan komponen TI yang ada di Universitas XYZ.
c. Melakukan kajian di universitas XYZ
Kajian akan dilakukan dengan menggunakan panduan yang ada dalam melakukan sebuah kajian teknologi informasi/IT assurance guide. Kajian ini meliputi detailed control objective yang disesuaikan dengan keadaan dari Universitas XYZ (berdasar pada high level control objective). Kajian akan dilakukan dengan pendekatan audit yang sudah dibuat. Setelah proses pengkajian selesai tahap berikutnya adalah mendokumentasikan temuan-temuan hasil audit.
d. Melakukan analisa hasil audit
Setelah kajian dilakukan, selanjutnya menganalisis temuan-temuan yang didapat. Diharapkan hasil dari tahap analisis ini mendapatkan suatu kesimpulan alasan terjadinya permasalahan serta solusi terhadap permasalahan tersebut.
Nice blog
BalasHapusDon’t forget to Visit Us :
IT TELKOM SURABAYA