Proses audit adalah merupakan evaluasi dari suatu badan organisasi , system, proses, proyek ataupun produk. Ini dilakukan oleh pihak yang berkompeten , independen dan obyektif, orang atau badan yang melakukan ini disebut auditor yang mana mereka berkewajiban mengeluarkan laporan dari hasil audit tersebut.

Proses audit didalam IT adalah eksaminasi dari semua control yang berhubungan dengan Infrastruktur Information Technology itu.

Ada 2 ( dua) tipe auditor yaitu :

1.Internal auditor adalah orang yang diperkerjakan oleh perusahaan itu untuk menelaah dan mengevaluasi control internal. Dan untuk menjaga obyektifitas mereka melaporkan hasilnya langsung kepada BOD ( Board of Director) atau Top Management.

2.Eksternal auditor adalah independent auditor yang di hire untuk melakukan proses audit melalui badan auditor independen. Artinya disini ada pihak ketiga yang dipercaya untuk melakukan proses auit tersebut.

Perencanaan Proses Auditor, biasanya sebelum melakukan audit perlu dilakukan perencanaan, adapun basic plannya adalah sebagai berikut :

Langkah selanjutnya adalah melakukan Risk Analysis yaitu sebuah teknik untuk mengindentifiksi dan menelaah factor factor yang membahayakan proses atau tujuan yang akan dicapai. Risk analysis termasuk didalamnya adalah mengimplementasikan keadaan preventive ( mitigasi, countermeasures , control ) yang tujuaanya untuk mengindari negative impact atau terjadinya sebuah insiden.

Resiko sendiri dikategorikan sebagai celah potensial yang bisa mengancam keamanan atau menembus keamanan melalui vulnerabilities yang ada, dimana akibatnya adalah hilangnya atau risakmua asset IT. Tujuan Risk analysis adalah :

1. Membantu auditor mengindentifikasi ancaman.
2. Membantu auditor mengevaluasi countermeasure / control yang dilakukan.
3. Membantu auditor memutuskan tujuan audit.
4. Membantu mendukung mengambilkan keputusan berdasar risk based auditing.
5. Memberikan arahan untuk mengimplementasikan control internal.

Apa itu internal control ? dalam referensi yang saya temukan internal control adalah tindakan praktis , teknik yang akan dipakai untuk meminimalisasi resiko. Internal control biasanya di klasifikasikan sebagai tindakan pencegahan, penyelidikan dan perbaikan.

Demikian yang bisa saya share untuk kali ini , niatnya sih akan ada lanjutan dari tulisan ini :D, semoga kemalasan tidak bersama saya kembali.

Keep lesson and shared..