Lima Manfaat Utama dari Audit TI

Auditor TI sering menemukan diri mereka mendidik komunitas bisnis tentang bagaimana pekerjaan mereka menambah nilai bagi organisasi. Departemen audit internal biasanya memiliki komponen audit TI yang dikerahkan dengan perspektif yang jelas tentang perannya dalam suatu organisasi. Namun, dalam pengalaman kami sebagai auditor IT, komunitas bisnis yang lebih luas perlu memahami fungsi audit TI untuk mewujudkan manfaat maksimal. Dalam konteks ini, kami menerbitkan ikhtisar singkat tentang manfaat spesifik dan nilai tambah yang disediakan oleh audit TI.

Untuk lebih spesifik, audit TI dapat mencakup berbagai infrastruktur pemrosesan dan komunikasi TI seperti sistem dan jaringan server klien, sistem operasi, sistem keamanan, aplikasi perangkat lunak, layanan web, basis data, infrastruktur telekomunikasi, prosedur manajemen perubahan, dan perencanaan pemulihan bencana .

Urutan audit standar dimulai dengan mengidentifikasi risiko, kemudian menilai desain kontrol dan akhirnya menguji efektivitas kontrol. Auditor yang terampil dapat menambah nilai dalam setiap fase audit.

Perusahaan umumnya mempertahankan fungsi audit TI untuk memberikan jaminan pada kontrol teknologi dan untuk memastikan kepatuhan peraturan dengan persyaratan spesifik federal atau industri. Seiring investasi dalam teknologi tumbuh, audit TI dapat memberikan jaminan bahwa risiko dikendalikan dan kerugian besar tidak mungkin terjadi. Suatu organisasi juga dapat menentukan bahwa risiko tinggi pemadaman, ancaman keamanan atau kerentanan ada. Mungkin juga ada persyaratan untuk kepatuhan peraturan seperti Sarbanes Oxley Act atau persyaratan yang khusus untuk suatu industri.

Di bawah ini kami membahas lima bidang utama di mana auditor TI dapat menambah nilai ke organisasi. Tentu saja, kualitas dan kedalaman audit teknis merupakan prasyarat untuk menambah nilai. Ruang lingkup audit yang direncanakan juga penting untuk nilai tambah. Tanpa mandat yang jelas tentang proses dan risiko bisnis apa yang akan diaudit, sulit untuk memastikan keberhasilan atau nilai tambah.

Jadi, inilah lima cara teratas kami yang menjadi nilai tambah audit TI:

1. Kurangi risiko. Perencanaan dan pelaksanaan audit TI terdiri dari identifikasi dan penilaian risiko TI dalam suatu organisasi.

Audit TI biasanya mencakup risiko yang terkait dengan kerahasiaan, integritas, dan ketersediaan infrastruktur dan proses teknologi informasi. Risiko tambahan termasuk efektivitas, efisiensi, dan keandalan TI.

Setelah risiko dinilai, bisa ada visi yang jelas tentang apa saja yang harus diambil – untuk mengurangi atau mengurangi risiko melalui kontrol, untuk mentransfer risiko melalui asuransi atau hanya menerima risiko sebagai bagian dari lingkungan operasi.

Konsep kritis di sini adalah bahwa risiko TI adalah risiko bisnis. Ancaman atau kerentanan terhadap operasi TI yang penting dapat memiliki efek langsung pada seluruh organisasi. Singkatnya, organisasi perlu tahu di mana risiko dan kemudian melanjutkan untuk melakukan sesuatu tentang mereka.

Praktik terbaik dalam risiko TI yang digunakan oleh auditor adalah ISACA COBIT dan kerangka RiskIT dan standar ISO / IEC 27002 'Kode praktik untuk manajemen keamanan informasi'.

2. Memperkuat kontrol (dan meningkatkan keamanan). Setelah menilai risiko seperti yang dijelaskan di atas, kontrol kemudian dapat diidentifikasi dan dinilai. Kontrol yang dirancang buruk atau tidak efektif dapat didesain ulang dan / atau diperkuat.

Kerangka kerja COBIT kontrol TI sangat berguna di sini. Ini terdiri dari empat domain tingkat tinggi yang mencakup 32 proses kontrol yang berguna dalam mengurangi risiko. Kerangka kerja COBIT mencakup semua aspek keamanan informasi termasuk tujuan pengendalian, indikator kinerja utama, indikator sasaran utama dan faktor penentu keberhasilan.

Auditor dapat menggunakan COBIT untuk menilai kontrol dalam organisasi dan membuat rekomendasi yang menambahkan nilai nyata ke lingkungan TI dan ke organisasi secara keseluruhan.

Kerangka kontrol lainnya adalah Komite Organisasi Pensponsoran dari model Treadway Commission (COSO) pengendalian internal. Auditor TI dapat menggunakan kerangka kerja ini untuk mendapatkan jaminan atas (1) efektivitas dan efisiensi operasi, (2) keandalan pelaporan keuangan dan (3) kepatuhan terhadap hukum dan peraturan yang berlaku. Kerangka kerja ini mengandung dua elemen dari lima yang secara langsung berhubungan dengan kontrol – lingkungan kontrol dan aktivitas kontrol.

3. Mematuhi peraturan. Berbagai peraturan di tingkat federal dan negara bagian termasuk persyaratan khusus untuk keamanan informasi. Auditor IT berfungsi penting dalam memastikan bahwa persyaratan tertentu terpenuhi, risiko dinilai dan kontrol diimplementasikan.

Sarbanes Oxley Act (Corporate and Criminal Fraud Accountability Act) mencakup persyaratan untuk semua perusahaan publik untuk memastikan bahwa pengendalian internal memadai sebagaimana didefinisikan dalam kerangka Komite Organisasi Pensponsor dari Komisi Treadway (COSO) yang dibahas di atas. Ini adalah auditor IT yang memberikan jaminan bahwa persyaratan tersebut terpenuhi.

Asuransi Kesehatan Portabilitas dan Akuntabilitas Act (HIPAA) memiliki tiga bidang persyaratan TI – administrasi, teknis dan fisik. Ini adalah auditor IT yang memainkan peran kunci dalam memastikan kepatuhan dengan persyaratan ini.

Berbagai industri memiliki persyaratan tambahan seperti Standar Keamanan Data Industri Kartu Pembayaran (PCI) dalam industri kartu kredit mis. Visa dan Mastercard.

Dalam semua bidang kepatuhan dan peraturan ini, auditor TI memainkan peran sentral. Suatu organisasi membutuhkan jaminan bahwa semua persyaratan dipenuhi.

4. Memfasilitasi komunikasi antara bisnis dan manajemen teknologi. Audit dapat memiliki efek positif dari membuka saluran komunikasi antara bisnis organisasi dan manajemen teknologi. Auditor mewawancarai, mengamati dan menguji apa yang terjadi dalam kenyataan dan dalam praktik. Kiriman akhir dari audit adalah informasi berharga dalam laporan tertulis dan presentasi lisan. Manajemen senior dapat memperoleh umpan balik langsung tentang bagaimana organisasi mereka berfungsi.

Profesional teknologi dalam suatu organisasi juga perlu mengetahui harapan dan tujuan manajemen senior. Auditor membantu komunikasi ini dari atas ke bawah melalui partisipasi dalam pertemuan dengan manajemen teknologi dan melalui peninjauan implementasi kebijakan, standar dan pedoman saat ini.

Penting untuk memahami bahwa audit TI adalah elemen kunci dalam pengawasan manajemen terhadap teknologi. Teknologi organisasi ada untuk mendukung strategi bisnis, fungsi dan operasi. Penyelarasan bisnis dan teknologi pendukung sangat penting. Audit TI mempertahankan keselarasan ini.

5. Tingkatkan Tata Kelola TI. IT Governance Institute (ITGI) telah menerbitkan definisi berikut:

'Tata Kelola TI adalah tanggung jawab eksekutif dan dewan direksi, dan terdiri dari kepemimpinan, struktur dan proses organisasi yang memastikan bahwa TI perusahaan menopang dan memperluas strategi dan tujuan organisasi.'

Kepemimpinan, struktur organisasi dan proses yang mengacu pada definisi semuanya menunjuk pada auditor TI sebagai pemain kunci. Pusat untuk IT audit dan manajemen TI secara keseluruhan adalah pemahaman yang kuat tentang nilai, risiko dan kontrol di sekitar lingkungan teknologi organisasi. Lebih khusus lagi, auditor TI meninjau nilai, risiko, dan kontrol di masing-masing komponen kunci teknologi – aplikasi, informasi, infrastruktur, dan orang-orang.

Perspektif lain tentang tata kelola TI terdiri dari kerangka empat tujuan utama yang juga dibahas dalam dokumentasi IT Governance Institute:

* TI selaras dengan bisnis * TI memungkinkan bisnis dan memaksimalkan manfaat * Sumber daya TI digunakan secara bertanggung jawab * Risiko TI dikelola dengan tepat

Auditor IT memberikan jaminan bahwa masing-masing tujuan ini terpenuhi. Setiap tujuan sangat penting untuk organisasi dan karena itu penting dalam fungsi audit TI.

Singkatnya, IT audit menambah nilai dengan mengurangi risiko, meningkatkan keamanan, mematuhi peraturan dan memfasilitasi komunikasi antara teknologi dan manajemen bisnis. Akhirnya, audit TI meningkatkan dan memperkuat tata kelola TI secara keseluruhan.

Referensi:

ISACA. Mengendalikan Tujuan untuk Informasi dan Teknologi terkait (COBIT).

ISO / IEC 27002 Kode praktik untuk manajemen keamanan informasi.

Komite Organisasi Pensponsor dari Kerangka Kerja Treadway Commission (COSO).