Fundamental IT

AUDIT

UDINUS 2016

Point Utama

•

Filosofi Audit IT

•

_{Tipe / fungsi dasar Audit}

•

_{Prinsip laporan Audit}

•

_{Metodologi Audit}

•

_{Cobit / ISACA / CISA}

Did you know..?

• _{“The need for IT Auditors far outstrips the supply of}

qualified candidates”

• IT Auditors are in demand, but their work is interesting and challenging

• _{IT Auditors evaluate an organizational entity’s IS}

(Info. Technologies, data and information, and systems of communication)

• _{Evaluation includes studying documents, interviewing}

people, entering/manipulating data in a computer.

Dampak terhadap

organisasi

• _{IT is important in all kinds of organizations; IT}

also influences organizational risks and controls. • IT creates opportunities, but these opportunities

bring risks

• E.g., the ability to transmit document

IT GOVERNANCE

• _{A process for controlling organization’s information}

technology resources ( systems and technology).

• _{An organization’s mgmt and owners (board of}

directors) are responsible for governing enterprise and IT.

• _{Enterprise governance – process of setting and}

implementing corporate strategy, making sure that the organization achieves its objectives efficiently, and manage risks.

• _{The objectives of IT governance are to set strategies}

for IT so that it is aligned closely with organizational goals, and to use IT for maximum opportunity, but minimum risk.

• _{Two parts of IT Governance; 1. concerns the use of IT}

to promote an organization’s objectives and enable business processes; 2. involves managing and

Continued..

•

_{It begins with}

• _{The development of IT Governance plan (set the} strategic purposes of IT acquisition and

deployment or use)

• _{It is on on-going process, mgmt needs to regularly} evaluate and update plans

Set Objectives

•IT is aligned with the business

•IT enables the business and maximizes benefits

•IT resources are used responsibly

•IT-related risks managed appropriately

automation (make business effective)

•Decrease cost (make enterprise efficient)

•Manage risks

IT GOVERNANCE – CONT..

• _{ISACA established the IT Governance Institute (1998)}

– to clarify and provide guidance on current and

future issues pertaining to IT governance, control and assurance.

• _{It developed CobiT (Control Objectives of Information}

and Related Technology, 3rd Edition) and COEG (Control Objectives for Enterprise Governance)

• _{CobiT provides guidance on IT governance – providing}

the structure that links IT processes, IT resources and information to enterprise strategies and objectives.

• _{CobiT also includes an IT Governance Management}

Guidelines – identifies critical success factors, key goal and performance indicators, matured model for IT governance. It is a guideline that allows

Filosofi Audit IT

the process of finding and evaluating evidence to determine whether an IT system safeguards the organisational assets, uses resources efficiently, maintains data security and integrity and fulfils the business objectives effectively. (INTOSAI)

the process of collecting and evaluating evidence to determine whether a computer system (information system) safeguards assets, maintains data integrity, achieves organizational goals effectively and

consumes resources efficiently (Ron Webber)

Pengumpulan dan evaluasi Evidence

Analisa Efektifitas Sistem TI atas obyektif bisnis

Bagaimana

Apa saja obyektif bisnis yang relevan dengan TI dan bagaimana hubungannya dengan efektifitas sistem TI?

Definisi

• _{Audit adalah sistematis, pemeriksaan obyektif dari} satu atau lebih aspek dari suatu organisasi yang

membandingkan apa yang organisasi lakukan

untuk satu set kriteria atau persyaratan

Standardisasi (ISO) pedoman audit menggunakan istilah untuk audit berarti "sistematis, proses

independen dan terdokumentasi untuk memperoleh bukti audit dan mengevaluasinya secara objektif

untuk menentukan sejauh mana kriteria audit terpenuhi”

• _{Information Tech. Infrastructure Library (ITIL)} mendefinisikan audit sebagai "pemeriksaan formal dan verifikasi untuk memeriksa apakah standar

•

IT audit membantu organisasi memahami

,

menilai, dan meningkatkan penggunaan kontrol

untuk menjaga IT, mengukur dan kinerja yang

benar, dan mencapai tujuan dan hasil yang

dimaksudkan.

•

IT audit terdiri dari penggunaan metodologi

audit

yang formal untuk memeriksa IT - spesifik

proses, kemampuan, aset dan peran mereka

dalam memungkinkan proses bisnis organisasi

•

IT audit juga membahas komponen

atau

kemampuan yang mendukung domain lainnya

tunduk pada audit, seperti manajemen keuangan

dan akuntansi, kinerja operasional, jaminan

Perhatian utama Audit TI atas penggunaan

sistem TI

: RISIKO

Perubahan lingkungan kontrol internal

_{Potensi berkurangnya akuntabilitas karena sifat anonim user} Kemungkinan amandemen data yang tanpa terotorisasi

atau tanpa tercatat

Perubahan-perubahan dalam audit evidence Kemungkinan duplikasi atau non-inklusi data

New Opoortunities & mechanism untuk fraud dan error

_{Penyimpanan dan pemrosesan data terdistribusi} Kerahasiaan dan integrity informasi kunci bisnis

……..

Survei Responden

Survey terhadap

framework

Survey: Pergeseran dari tradisional ke lebih proaktif, pemberian nilai tambah dari Audit TI, bekerja lebih dekat dengan TI dan fungsi bisnis.

Tetapi survey juga memperliihatkan bahwa hilangnya independensi

Survey: Kepada siapa Head of Audit Melaporkan?

Best Practices mengatakan bahwa pelaporan kepada BoD atau Audit Committee. berdasarkan survey, hanya sekitar 30% yang sesuai.

Tantangan terbesar bagi Head of Internal Audit/IT Audit adalah

menyeimbangkan ketrampilan teknis staff dengan pengetahuan yang luas ttg bisnis. Strategi yang digunakan adalah mix antara Audit orTI dan Auditor non-TI, 60% melakukan hal ini.

Survey: Training untuk

Auditor TI

Secara umum waktu training yang dialokasikan masih rendah, 29% organisasi menyediakan waktu kurang dari 1 minggu dalam setahun untuk training.

Survey: Penggunaan

Survey :siapa yang mendapat

lap. Audit TI

Resume Survey

Filosofi paling mendasar dari Audit TI adalah melakukan evaluasi atas Kontrol TI, dan bagaimana

konsekuensinya atas ketercapaian obyektif bisnis:

Strategic Alignment, Benefit Maximization, Resource Management, Risk Management

Pengetahuan dan ketrampilan tentang Kontrol TI

menjadi kunci dalam melakukan tahapan-tahapan Audit TI. Kelemahan dalam penguasaan Kontrol TI adalah

sebab terbesar terjadinya Audit Risk.

Best Practices seperti metoda efektif perencanaan & pengorganisasian, staffing dan peningkatan skill dan pengelolaan follow-up dapat dirujuk untuk

Ruang Lingkup Audit

•

_{Audit operasional}

_{mengetahui efektivitas}

dari satu atau lebih proses bisnis atau

fungsi organisasi dan efisiensi penggunaan

sumber daya dalam mendukung tujuan

dan sasaran organisasi.

Teknologi informasi (IT) audit meneliti

proses

, aset TI, dan kontrol pada

beberapa tingkatan dalam suatu organisasi

untuk menentukan sejauh mana organisasi

mematuhi standar yang berlaku atau

•

_{Auditor membandingkan subjek audit-proses,}

sistem, komponen, perangkat lunak, atau

organisasi secara keseluruhan-eksplisit

dengan yang standar yang telah ditetapkan

untuk menentukan apakah subjek memenuhi

kriteria.

Temuan audit mengidentifikasi kekurangan di

mana, apa yang diamati auditor atau

ditemukan melalui analisis bukti audit

berbeda dari apa yang diharapkan atau

Pahami Bisnis Anda

• Langkah awal untuk menerapkan audit

berbasis resiko adalah memahami bisnis yang sedang dijalankan. Apakah bisnis anda ?

• Apa fungsi dan tujuan perusahaan? Apakah bisnis yang ada termasuk umum ?

• Apakah beberapa resiko yang ada termasuk baru dalam tipe bisnis saat ini?

• Bagaimana manajemen bereaksi terhadap berita negative?

Overlap Audit

Keuntungan Audit

• Menilai keefektifan aktivitas aktifitas dokumentasi dalam organisasi

• _{Memonitor kesesuaian dengan kebijakan, sistem,}

prosedur dan undang-undang perusahaan • _{Mengukur tingkat efektifitas dari sistem}

• Mengidentifikasi kelemahan di sistem yang mungkin

mengakibatkan ketidaksesuaian di masa datang

• _{Menyediakan informasi untuk proses peningkatan}

• _{Meningkatkan saling memahami antar departemen}

dan antar individu

• _{Melaporkan hasil tinjauan dan tindakan berdasarkan}

Elemen kontrol

• _{Elemen kontrol TI internal dapat diaudit dalam}

isolasi atau bersama-sama. Meskipun ketika

audit IT berfokus sempit pada satu aspek dari IT, auditor perlu mempertimbangkan konteks yang lebih luas dalam hal teknis, operasional, dan

lingkungan.

IT audit juga mengatasi proses pengendalian

internal dan fungsi, seperti operasi dan prosedur pemeliharaan, kelangsungan bisnis dan

pemulihan bencana, penanganan insiden, jaringan dan pemantauan keamanan,

IT Audit Area

•

_Planning

•

_{Organization and}

Management

•

_{Policies and procedures}

•

_Security

Jenis Audit

(Secara Umum)

•

_Compliance

•

_Kinerja

•

_Kecurangan

Jenis Audit (IT)

• System Audit

• Audit terhadap sistem terdokumentasi untuk memastikan sudah memenuhi standar nasional atau internasional

• Compliance Audit

• Untuk menguji efektifitas implementasi dari kebijakan, prosedur, kontrol dan unsur hukum yang lain

• Product / Service Audit

Siapa yang Diaudit

•

Management

•

IT Manager

•

_{IT Specialist (network, database, system}

analyst, programmer, dll.)

Siapa yang Meng-Audit

Tergantung Tujuan Audit

•

Internal Audit (first party audit)

• _{Dilakukan oleh atau atas nama perusahaan}

sendiri

• _{Biasanya untuk management review atau tujuan}

internal perusahaan

•

_{Lembaga independen di luar perusahaan}

• _{Second party audit}

• Dilakukan oleh pihak yang memiliki kepentingan thd perusahaan

• _{Third party audit}

Tugas Auditor IT

•

Memastikan sisi-sisi penerapan IT

memiliki kontrol yang diperlukan

•

_{Memastikan kontrol tersebut diterapkan}

Hal-hal yang dilakukan

auditor

•

Persiapan

•

_{Review Dokumen}

•

_{Persiapan kegiatan on-site audit}

•

_{Melakukan kegiatan on-site audit}

•

_{Persiapan, persetujuan dan distribusi}

laporan audit

Output kegiatan Audit

Hasil akhir adalah berupa laporan yang berisi:

• _{Ruang Lingkup audit} • Metodologi

• _{Temuan-temuan}

• _{Ketidaksesuaian (sifat ketidaksesuaian, bukti2}

pendukung, syarat yg tdk dipenuhi, lokasi, tingkat ketidaksesuaian)

• Kesimpulan (tingkat kesesuaian dengan kriteria audit, efektifitas implementasi,

Ketrampilan yang

dibutuhkan

•

Audit skill : sampling, komunikasi,

melakukan interview, mengajukan

pertanyaan, mencatat

•

Generic knowledge : pengetahuan mengenai

prinsip2 audit, prosedur dan teknik, sistem

manajemen dan dokumen2 referensi,

organisasi, peraturan2 yang berlaku

•

Specific knowledge : background IT/IS,

Prinsip-prinsip Audit

•

_{Ethical conduct}

• _{Berdasar pada profesionalisme, kejujuran,} integritas, kerahasiaan dan kebijaksanaan

•

_{Fair Presentation}

• _{Kewajiban melaporkan secara jujur dan}

akurat

•

_{Due professional care}

• _{Implementasi dari kesungguhan dan}

pertimbangan yang diberikan

•

_Independence

Internal Auditor

• _{Audit kontrol internal TI membutuhkan}

pengetahuan yang luas IT, keterampilan, dan kemampuan dan keahlian dalam prinsip-prinsip umum dan khusus IT audit, praktik, dan proses.

Organisasi perlu mengembangkan atau memperoleh tenaga dengan pemahaman khusus tujuan

pengendalian dan pengalaman dalam operasi IT yang diperlukan untuk secara efektif melakukan audit TI.

Jenis organisasi dan individu yang melakukan audit IT meliputi:

Auditor internal, yang terdiri baik karyawan

Alasan Auditor internal

• _{Alasan yang digunakan untuk membenarkan audit}

TI internal dapat lebih bervariasi di seluruh organisasi, tetapi meliputi:

Sesuai dengan surat aturan pertukaran yang perusahaan memiliki fungsi audit internal;

- mengevaluasi efektivitas pengendalian yang dilakukan;

- mengkonfirmasikan kepatuhan terhadap kebijakan internal, proses, dan prosedur;

- memeriksa kesesuaian dengan tata kelola TI atau kontrol kerangka kerja dan standar;

- menganalisis kerentanan dan pengaturan

konfigurasi untuk mendukung pemantauan terus menerus;

mengidentifikasi kelemahan dan kekurangan

Eksternal Auditor

•

_{Audit TI eksternal, menurut definisi,}

dilakukan oleh auditor dan entitas luar subjek

organisasi untuk audit. Tergantung pada

ukuran organisasi dan ruang lingkup dan

•

_{Auditor mandiri penting bagi audit internal dan}

eksternal, tetapi dalam konteks audit eksternal

mandiri tersebut sering tidak diperlukan.

•

Sementara perusahaan yang menyediakan

jasa audit eksternal tunduk peraturan

organisasi dan pengawasan, auditor individu

melakukan audit eksternal biasanya harus

menunjukkan pengetahuan yang memadai dan

keahlian dan kualifikasi yang sesuai.

•

_{Sertifikasi profesional menyediakan satu}

indikator kualifikasi auditor, terutama di mana

sertifikasi yang spesifik sesuai dengan jenis

Keahlian

•

Auditor TI internal juga perlu keterampilan

non-teknis yang tepat dan karakteristik, termasuk

integritas pribadi dan profesional dan standar

etika.

•

Auditor TI internal dapat menunjukkan

kualifikasi yang memenuhi kombinasi

kemampuan yang berkaitan dengan IT dan

sifat-sifat profesional individu dengan mencapai

sertifikasi yang relevan.

Apa yang diaudit

• _{Audit TI dapat mengevaluasi seluruh organisasi,} unit bisnis individu, fungsi misi dan proses bisnis, jasa, sistem, infrastruktur, atau komponen

teknologi.

Terlepas dari metode IT audit secara keseluruhan digunakan, IT audit selalu mengatasi satu atau

lebih bidang studi yang berkaitan dengan teknologi, termasuk kontrol yang berkaitan dengan hal berikut:

Pusat data dan fasilitas fisik lainnya seperti :

_{Server Virtualisasi dan Lingkungan layanan dan operasi}

outsourcing - infrastruktur jaringan

Peraturan dan Standar Yang Biasa

Dipakai

• _{ISO / IEC 17799 and BS7799}

• _{Control Objectives for Information and}

related Technology (CobiT)

• _{ISO TR 13335}

• _{IT Baseline Protection Manual}

• _{ITSEC / Common Criteria}

• _{Federal Information Processing Standard 140-1/2}

(FIPS 140-1/2)

• _{The “Sicheres Internet” Task Force [Task Force} Sicheres Internet]

• _{The quality seal and product audit scheme}

operated by the Schleswig-Holstein Independent State Centre for Data Privacy Protection (ULD)

CobiT…

CobiT…

Control Objectives for Information

and

CobiT

•

Dibuat oleh organisasi ISACA

(

Information Systems Audit and Control

Association

) dan dikembangkan oleh IT

Governance Institute

Badan (Indonesia)

•

ISACA Indonesian Chapter (isaca.or.id)

•

_{ISSA (Information System Security}

Sertifikasi

•

CISA (Certified Information Systems Auditor)

•

CISM (Certified Information Security Manager)

•

CISSP (Certified IS Security Professional)

•

CIA (Certified Internal Auditor)

Kualifikasi :

Pengalaman dan pengetahuan untuk

mengidentifikasi, mengevaluasi, dan memberikan

rekomendasi berupa solusi untuk mengurangi

kelemahan sistem IT

Misi CobiT

Melakukan penelitian, pengembangan,

publikasi dan promosi terhadap control

objective dari teknologi informasi yang

secara umum diterima di lingkungan

Lingkup CobiT -> 4

domains

•

Planning & Organization

•

_{Acquisition & Implementation}

•

_{Delivery & Support}

CobiT -> Control

Objectives

•

Defining controls that should be in place

•

_{34 processes}

BS7799

What’s BS7799

•

Sebuah pendekatan berbasis ‘resiko’

dalam mendefinisikan kebijakan dan

prosedur serta untuk memilih kontrol

yang memadai untuk mengelola resiko

•

ISO/IEC 17799

• Information technology – code of practice for information security management

•

_{BS 7799}

• _{Information security management systems –}

Kebutuhan auditor IT

•

Internal Audit -> setiap perusahaan

memerlukan

•

_{Perusahaan penyedia layanan audit}

Peluang

•

Ketergantungan terhadap IT semakin

besar sehingga muncul kebutuhan untuk

melakukan audit IT

•

_{Auditor IT yang sekarang banyak yang}

berasal bukan dari bidang IT

•

Banyak permasalahan (bisnis) dalam

References

[1] ISO 19011:2011. Guidelines for auditing management systems.

[2] ITIL glossary and abbreviations. London (UK): Cabinet Office; 2011.

[3] Sarbanes–Oxley Act of 2002, Pub. L. No. 107-204, 116 Stat. 745.

[4] Committee of Sponsoring Organizations of the Treadway Commission. Internal control—Integrated framework. New York (NY): Committee of Sponsoring Organizations of the Treadway Commission; 2013.