Menentukan Ruang Lingkup Audit(Scope of Audit) SI/TI

audit-scope-urlProses bisnis yang didukung TI (dengan tingkat resiko tinggi berdasarkan hasil penilaian resiko) akan dipetakan pada kerangka kerja pengelolaan Proses TI tertentu yang pembahasan dalam tulisan ini akan menggunakan kerangka kerja COBIT.

Blank freeway sign 1Proses bisnis tersebut akan dipetakan terhadap tiga hal: Tujuan Bisnis yang terkait dengan TI, Tujuan TI yang berhubungan dengan Tujuan Bisnis tersebut dan Proses TI untuk memenuhi Tujuan TI terkait.

 

Business-Process-Management-BPM-Bonitasoft-secondPemetaan pertama dilakukan terhadap proses bisnis yang level resikonya tinggi terhadap Tujuan Bisnis yang sesuai dalam kerangka kerja COBIT. Kerangka kerja tersebut menyediakan Tujuan Bisnis yang terkait dengan TI, Tujuan TI, Proses TI sebagai bahan referensi pendefinisian pengelolaan proses yang berhubungan dengan TI secara umum.

Lebih jauh lagi, kerangka kerja tersebut menyediakan keterkaitan antara Tujuan Bisnis dengan Tujuan TI dan juga Tujuan TI dengan Proses TI sehingga pemetaan dapat dilakukan hingga tingkatan pengelolaan proses. Pemetaan dilakukan hingga didapatkan Proses TI yang terkait dengan Tujuan Bisnis semula. Keterkaitan tersebut secara tidak langsung menggambarkan bahwa proses bisnis yang tinggi (high) level resikonya akan terkait dengan Tujuan TI dengan Proses TI -nya yang tinggi pula tingkat resikonya.

high-risk-urlDengan demikian akan didapatkan Proses TI dengan tingkat resiko yang tinggi (high). Namun setelah didapatkan Proses TI yang terkait dengan proses bisnis yang tinggi tingkat resikonya, tidak lantas Proses TI tersebut langsung dijadikan sebagai lingkup pelaksanaan audit. Hal tersebut dikarenakan Proses TI yang terkait dengan proses bisnis tertentu biasanya masih cukup banyak sehingga lingkupan yang cukup luas mengakibatkan besarnya lingkup audit.

Pertimbangan lain adalah perusahaan perlu memfokuskan pada area-area tertentu yang krusial karena terkait dengan permasalahan biaya, waktu dan sumber daya yang tersedia. Oleh karena itu perlu dilakukan pemilihan kembali terhadap Proses TI dengan tingkat resiko tinggi (high) tersebut untuk lebih memfokuskan pada proses yang paling memerlukan perbaikan dan proses yang paling berpengaruh kritis terhadap keberlangsungan bisnis perusahaan.

dep_1830398-Priority-StampPemilihan kembali Proses TI tersebut merupakan aktivitas pendahuluan yang dilakukan untuk memprioritaskan area Audit SI/TI sehingga nantinya dapat ditentukan ruang lingkup audit (audit scope). Pemilihan dilakukan dengan cara menentukan probabilitas kemunculan tiap Proses TI yang dikelompokkan dalam tiga tingkatan: Low, medium dan high.

probability-urlProbabilitas kemunculan tiap Proses TI ditentukan oleh dua komponen utama. Komponen pertama adalah banyaknya Proses TI yang muncul pada pemetaan Proses TI dengan Tujuan TI tertentu. Proses TI yang dimaksud hanya difokuskan pada Proses TI dengan tingkat resiko tinggi yang diperoleh pada aktivitas pemilihan Proses TI dalam penjelasan sebelumnya.

Sedangkan komponen kedua adalah banyaknya kemunculan Proses TI yang relevan untuk tiap Proses TI dengan tingkat resiko tinggi tersebut dalam kerangka pemetaan keseluruhan COBIT. Kedua komponen tersebut kemudian dibandingkan dan dihitung prosentasenya sehingga menghasilkan probabilitas kemunculan tiap Proses TI. Probabilitas tersebut menggambarkan semakin tinggi nilai prosentasenya, maka semakin besar rasio kemunculan proses terkait dengan kemunculan proses yang sama dalam kerangka pemetaan keseluruhan sehingga level probabilitas Proses TI terkait menjadi semakin tinggi (high).

probability-conjunction-6767924_origSelanjutnya probabilitas tersebut akan dikonjungsikan dengan tingkat kepentingan Proses TI dalam COBIT. Dalam appendix II kerangka kerja COBIT dipaparkan mengenai tingkat kepentingan dari tiap Proses TI yang didapatkan dari hasil survei pendapat para ahli melalui COBIT Online (ISACA, COBIT 4.1, 2007).

Hasil pengkonjungsian tersebut akan menghasilkan tingkat resiko dari Proses TI terkait dalam variansi kelompok tingkatan resiko yang sama, yaitu: high, medium atau low. Audit SI/TI yang akan dilakukan nantinya akan difokuskan pada Proses TI dengan resiko yang tinggi berdasarkan hasil pengkonjungsian tersebut. Namun yang perlu menjadi perhatian bahwa Audit SI/TI tidak hanya diprioritaskan terhadap proses dengan level high, namun juga berdasarkan preferensil arahan pihak manajemen terhadap area audit yang akan dilakukan.

One thought on “Menentukan Ruang Lingkup Audit(Scope of Audit) SI/TI

  1. selamat siang pak, bagus sekali informasinya, saya mahasiswa tingkat akhir yang sedang menyusun, untuk tingkat kepentingannya sendiri ada jurnal yang memberitaahukan seperti itu cara mencarinya atau tidak ya? mohon pencerahannya, bisa hubungi saya di pramanaangga80@gmail.com jika berkenan untuk saling sharing, trims pak

Leave a Reply

Your email address will not be published. Required fields are marked *


*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>