Fundamental IT
AUDIT
UDINUS 2016
Point Utama
•
Filosofi Audit IT
•
Tipe / fungsi dasar Audit
•
Prinsip laporan Audit
•
Metodologi Audit
•
Cobit / ISACA / CISA
Did you know..?
• “The need for IT Auditors far outstrips the supply of
qualified candidates”
• IT Auditors are in demand, but their work is interesting and challenging
• IT Auditors evaluate an organizational entity’s IS
(Info. Technologies, data and information, and systems of communication)
• Evaluation includes studying documents, interviewing
people, entering/manipulating data in a computer.
Dampak terhadap
organisasi
• IT is important in all kinds of organizations; IT
also influences organizational risks and controls. • IT creates opportunities, but these opportunities
bring risks
• E.g., the ability to transmit document
IT GOVERNANCE
• A process for controlling organization’s information
technology resources ( systems and technology).
• An organization’s mgmt and owners (board of
directors) are responsible for governing enterprise and IT.
• Enterprise governance – process of setting and
implementing corporate strategy, making sure that the organization achieves its objectives efficiently, and manage risks.
• The objectives of IT governance are to set strategies
for IT so that it is aligned closely with organizational goals, and to use IT for maximum opportunity, but minimum risk.
• Two parts of IT Governance; 1. concerns the use of IT
to promote an organization’s objectives and enable business processes; 2. involves managing and
Continued..
•
It begins with
• The development of IT Governance plan (set the strategic purposes of IT acquisition and
deployment or use)
• It is on on-going process, mgmt needs to regularly evaluate and update plans
Set Objectives
•IT is aligned with the business
•IT enables the business and maximizes benefits
•IT resources are used responsibly
•IT-related risks managed appropriately
automation (make business effective)
•Decrease cost (make enterprise efficient)
•Manage risks
IT GOVERNANCE – CONT..
• ISACA established the IT Governance Institute (1998)
– to clarify and provide guidance on current and
future issues pertaining to IT governance, control and assurance.
• It developed CobiT (Control Objectives of Information
and Related Technology, 3rd Edition) and COEG (Control Objectives for Enterprise Governance)
• CobiT provides guidance on IT governance – providing
the structure that links IT processes, IT resources and information to enterprise strategies and objectives.
• CobiT also includes an IT Governance Management
Guidelines – identifies critical success factors, key goal and performance indicators, matured model for IT governance. It is a guideline that allows
Filosofi Audit IT
the process of finding and evaluating evidence to determine whether an IT system safeguards the organisational assets, uses resources efficiently, maintains data security and integrity and fulfils the business objectives effectively. (INTOSAI)
the process of collecting and evaluating evidence to determine whether a computer system (information system) safeguards assets, maintains data integrity, achieves organizational goals effectively and
consumes resources efficiently (Ron Webber)
Pengumpulan dan evaluasi Evidence
Analisa Efektifitas Sistem TI atas obyektif bisnis
Bagaimana
Apa saja obyektif bisnis yang relevan dengan TI dan bagaimana hubungannya dengan efektifitas sistem TI?
Definisi
• Audit adalah sistematis, pemeriksaan obyektif dari satu atau lebih aspek dari suatu organisasi yang
membandingkan apa yang organisasi lakukan
untuk satu set kriteria atau persyaratan
Standardisasi (ISO) pedoman audit menggunakan istilah untuk audit berarti "sistematis, proses
independen dan terdokumentasi untuk memperoleh bukti audit dan mengevaluasinya secara objektif
untuk menentukan sejauh mana kriteria audit terpenuhi”
• Information Tech. Infrastructure Library (ITIL) mendefinisikan audit sebagai "pemeriksaan formal dan verifikasi untuk memeriksa apakah standar
•
IT audit membantu organisasi memahami
,
menilai, dan meningkatkan penggunaan kontrol
untuk menjaga IT, mengukur dan kinerja yang
benar, dan mencapai tujuan dan hasil yang
dimaksudkan.
•
IT audit terdiri dari penggunaan metodologi
audit
yang formal untuk memeriksa IT - spesifik
proses, kemampuan, aset dan peran mereka
dalam memungkinkan proses bisnis organisasi
•
IT audit juga membahas komponen
atau
kemampuan yang mendukung domain lainnya
tunduk pada audit, seperti manajemen keuangan
dan akuntansi, kinerja operasional, jaminan
Perhatian utama Audit TI atas penggunaan
sistem TI
: RISIKO
Perubahan lingkungan kontrol internal
Potensi berkurangnya akuntabilitas karena sifat anonim user Kemungkinan amandemen data yang tanpa terotorisasi
atau tanpa tercatat
Perubahan-perubahan dalam audit evidence Kemungkinan duplikasi atau non-inklusi data
New Opoortunities & mechanism untuk fraud dan error
Penyimpanan dan pemrosesan data terdistribusi Kerahasiaan dan integrity informasi kunci bisnis
……..
Survei Responden
Survey terhadap
framework
Survey: Pergeseran dari tradisional ke lebih proaktif, pemberian nilai tambah dari Audit TI, bekerja lebih dekat dengan TI dan fungsi bisnis.
Tetapi survey juga memperliihatkan bahwa hilangnya independensi
Survey: Kepada siapa Head of Audit Melaporkan?
Best Practices mengatakan bahwa pelaporan kepada BoD atau Audit Committee. berdasarkan survey, hanya sekitar 30% yang sesuai.
Tantangan terbesar bagi Head of Internal Audit/IT Audit adalah
menyeimbangkan ketrampilan teknis staff dengan pengetahuan yang luas ttg bisnis. Strategi yang digunakan adalah mix antara Audit orTI dan Auditor non-TI, 60% melakukan hal ini.
Survey: Training untuk
Auditor TI
Secara umum waktu training yang dialokasikan masih rendah, 29% organisasi menyediakan waktu kurang dari 1 minggu dalam setahun untuk training.
Survey: Penggunaan
Survey :siapa yang mendapat
lap. Audit TI
Resume Survey
Filosofi paling mendasar dari Audit TI adalah melakukan evaluasi atas Kontrol TI, dan bagaimana
konsekuensinya atas ketercapaian obyektif bisnis:
Strategic Alignment, Benefit Maximization, Resource Management, Risk Management
Pengetahuan dan ketrampilan tentang Kontrol TI
menjadi kunci dalam melakukan tahapan-tahapan Audit TI. Kelemahan dalam penguasaan Kontrol TI adalah
sebab terbesar terjadinya Audit Risk.
Best Practices seperti metoda efektif perencanaan & pengorganisasian, staffing dan peningkatan skill dan pengelolaan follow-up dapat dirujuk untuk
Ruang Lingkup Audit
•
Audit operasional
mengetahui efektivitas
dari satu atau lebih proses bisnis atau
fungsi organisasi dan efisiensi penggunaan
sumber daya dalam mendukung tujuan
dan sasaran organisasi.
Teknologi informasi (IT) audit meneliti
proses
, aset TI, dan kontrol pada
beberapa tingkatan dalam suatu organisasi
untuk menentukan sejauh mana organisasi
mematuhi standar yang berlaku atau
•
Auditor membandingkan subjek audit-proses,
sistem, komponen, perangkat lunak, atau
organisasi secara keseluruhan-eksplisit
dengan yang standar yang telah ditetapkan
untuk menentukan apakah subjek memenuhi
kriteria.
Temuan audit mengidentifikasi kekurangan di
mana, apa yang diamati auditor atau
ditemukan melalui analisis bukti audit
berbeda dari apa yang diharapkan atau
Pahami Bisnis Anda
• Langkah awal untuk menerapkan audit
berbasis resiko adalah memahami bisnis yang sedang dijalankan. Apakah bisnis anda ?
• Apa fungsi dan tujuan perusahaan? Apakah bisnis yang ada termasuk umum ?
• Apakah beberapa resiko yang ada termasuk baru dalam tipe bisnis saat ini?
• Bagaimana manajemen bereaksi terhadap berita negative?
Overlap Audit
Keuntungan Audit
• Menilai keefektifan aktivitas aktifitas dokumentasi dalam organisasi
• Memonitor kesesuaian dengan kebijakan, sistem,
prosedur dan undang-undang perusahaan • Mengukur tingkat efektifitas dari sistem
• Mengidentifikasi kelemahan di sistem yang mungkin
mengakibatkan ketidaksesuaian di masa datang
• Menyediakan informasi untuk proses peningkatan
• Meningkatkan saling memahami antar departemen
dan antar individu
• Melaporkan hasil tinjauan dan tindakan berdasarkan
Elemen kontrol
• Elemen kontrol TI internal dapat diaudit dalam
isolasi atau bersama-sama. Meskipun ketika
audit IT berfokus sempit pada satu aspek dari IT, auditor perlu mempertimbangkan konteks yang lebih luas dalam hal teknis, operasional, dan
lingkungan.
IT audit juga mengatasi proses pengendalian
internal dan fungsi, seperti operasi dan prosedur pemeliharaan, kelangsungan bisnis dan
pemulihan bencana, penanganan insiden, jaringan dan pemantauan keamanan,
IT Audit Area
•
Planning
•
Organization and
Management
•
Policies and procedures
•
Security
Jenis Audit
(Secara Umum)
•
Compliance
•
Kinerja
•
Kecurangan
Jenis Audit (IT)
• System Audit
• Audit terhadap sistem terdokumentasi untuk memastikan sudah memenuhi standar nasional atau internasional
• Compliance Audit
• Untuk menguji efektifitas implementasi dari kebijakan, prosedur, kontrol dan unsur hukum yang lain
• Product / Service Audit
Siapa yang Diaudit
•
Management
•
IT Manager
•
IT Specialist (network, database, system
analyst, programmer, dll.)
Siapa yang Meng-Audit
Tergantung Tujuan Audit
•
Internal Audit (first party audit)
• Dilakukan oleh atau atas nama perusahaan
sendiri
• Biasanya untuk management review atau tujuan
internal perusahaan
•
Lembaga independen di luar perusahaan
• Second party audit
• Dilakukan oleh pihak yang memiliki kepentingan thd perusahaan
• Third party audit
Tugas Auditor IT
•
Memastikan sisi-sisi penerapan IT
memiliki kontrol yang diperlukan
•
Memastikan kontrol tersebut diterapkan
Hal-hal yang dilakukan
auditor
•
Persiapan
•
Review Dokumen
•
Persiapan kegiatan on-site audit
•
Melakukan kegiatan on-site audit
•
Persiapan, persetujuan dan distribusi
laporan audit
Output kegiatan Audit
Hasil akhir adalah berupa laporan yang berisi:
• Ruang Lingkup audit • Metodologi
• Temuan-temuan
• Ketidaksesuaian (sifat ketidaksesuaian, bukti2
pendukung, syarat yg tdk dipenuhi, lokasi, tingkat ketidaksesuaian)
• Kesimpulan (tingkat kesesuaian dengan kriteria audit, efektifitas implementasi,
Ketrampilan yang
dibutuhkan
•
Audit skill : sampling, komunikasi,
melakukan interview, mengajukan
pertanyaan, mencatat
•
Generic knowledge : pengetahuan mengenai
prinsip2 audit, prosedur dan teknik, sistem
manajemen dan dokumen2 referensi,
organisasi, peraturan2 yang berlaku
•
Specific knowledge : background IT/IS,
Prinsip-prinsip Audit
•
Ethical conduct
• Berdasar pada profesionalisme, kejujuran, integritas, kerahasiaan dan kebijaksanaan
•
Fair Presentation
• Kewajiban melaporkan secara jujur dan
akurat
•
Due professional care
• Implementasi dari kesungguhan dan
pertimbangan yang diberikan
•
Independence
Internal Auditor
• Audit kontrol internal TI membutuhkan
pengetahuan yang luas IT, keterampilan, dan kemampuan dan keahlian dalam prinsip-prinsip umum dan khusus IT audit, praktik, dan proses.
Organisasi perlu mengembangkan atau memperoleh tenaga dengan pemahaman khusus tujuan
pengendalian dan pengalaman dalam operasi IT yang diperlukan untuk secara efektif melakukan audit TI.
Jenis organisasi dan individu yang melakukan audit IT meliputi:
Auditor internal, yang terdiri baik karyawan
Alasan Auditor internal
• Alasan yang digunakan untuk membenarkan audit
TI internal dapat lebih bervariasi di seluruh organisasi, tetapi meliputi:
Sesuai dengan surat aturan pertukaran yang perusahaan memiliki fungsi audit internal;
- mengevaluasi efektivitas pengendalian yang dilakukan;
- mengkonfirmasikan kepatuhan terhadap kebijakan internal, proses, dan prosedur;
- memeriksa kesesuaian dengan tata kelola TI atau kontrol kerangka kerja dan standar;
- menganalisis kerentanan dan pengaturan
konfigurasi untuk mendukung pemantauan terus menerus;
mengidentifikasi kelemahan dan kekurangan
Eksternal Auditor
•
Audit TI eksternal, menurut definisi,
dilakukan oleh auditor dan entitas luar subjek
organisasi untuk audit. Tergantung pada
ukuran organisasi dan ruang lingkup dan
•
Auditor mandiri penting bagi audit internal dan
eksternal, tetapi dalam konteks audit eksternal
mandiri tersebut sering tidak diperlukan.
•
Sementara perusahaan yang menyediakan
jasa audit eksternal tunduk peraturan
organisasi dan pengawasan, auditor individu
melakukan audit eksternal biasanya harus
menunjukkan pengetahuan yang memadai dan
keahlian dan kualifikasi yang sesuai.
•
Sertifikasi profesional menyediakan satu
indikator kualifikasi auditor, terutama di mana
sertifikasi yang spesifik sesuai dengan jenis
Keahlian
•
Auditor TI internal juga perlu keterampilan
non-teknis yang tepat dan karakteristik, termasuk
integritas pribadi dan profesional dan standar
etika.
•
Auditor TI internal dapat menunjukkan
kualifikasi yang memenuhi kombinasi
kemampuan yang berkaitan dengan IT dan
sifat-sifat profesional individu dengan mencapai
sertifikasi yang relevan.
Apa yang diaudit
• Audit TI dapat mengevaluasi seluruh organisasi, unit bisnis individu, fungsi misi dan proses bisnis, jasa, sistem, infrastruktur, atau komponen
teknologi.
Terlepas dari metode IT audit secara keseluruhan digunakan, IT audit selalu mengatasi satu atau
lebih bidang studi yang berkaitan dengan teknologi, termasuk kontrol yang berkaitan dengan hal berikut:
Pusat data dan fasilitas fisik lainnya seperti :
Server Virtualisasi dan Lingkungan layanan dan operasi
outsourcing - infrastruktur jaringan
Peraturan dan Standar Yang Biasa
Dipakai
• ISO / IEC 17799 and BS7799
• Control Objectives for Information and
related Technology (CobiT)
• ISO TR 13335
• IT Baseline Protection Manual
• ITSEC / Common Criteria
• Federal Information Processing Standard 140-1/2
(FIPS 140-1/2)
• The “Sicheres Internet” Task Force [Task Force Sicheres Internet]
• The quality seal and product audit scheme
operated by the Schleswig-Holstein Independent State Centre for Data Privacy Protection (ULD)
CobiT…
CobiT…
Control Objectives for Information
and
CobiT
•
Dibuat oleh organisasi ISACA
(
Information Systems Audit and Control
Association
) dan dikembangkan oleh IT
Governance Institute
Badan (Indonesia)
•
ISACA Indonesian Chapter (isaca.or.id)
•
ISSA (Information System Security
Sertifikasi
•
CISA (Certified Information Systems Auditor)
•
CISM (Certified Information Security Manager)
•
CISSP (Certified IS Security Professional)
•
CIA (Certified Internal Auditor)
Kualifikasi :
Pengalaman dan pengetahuan untuk
mengidentifikasi, mengevaluasi, dan memberikan
rekomendasi berupa solusi untuk mengurangi
kelemahan sistem IT
Misi CobiT
Melakukan penelitian, pengembangan,
publikasi dan promosi terhadap control
objective dari teknologi informasi yang
secara umum diterima di lingkungan
Lingkup CobiT -> 4
domains
•
Planning & Organization
•
Acquisition & Implementation
•
Delivery & Support
CobiT -> Control
Objectives
•
Defining controls that should be in place
•
34 processes
BS7799
What’s BS7799
•
Sebuah pendekatan berbasis ‘resiko’
dalam mendefinisikan kebijakan dan
prosedur serta untuk memilih kontrol
yang memadai untuk mengelola resiko
•
ISO/IEC 17799
• Information technology – code of practice for information security management
•
BS 7799
• Information security management systems –
Kebutuhan auditor IT
•
Internal Audit -> setiap perusahaan
memerlukan
•
Perusahaan penyedia layanan audit
Peluang
•
Ketergantungan terhadap IT semakin
besar sehingga muncul kebutuhan untuk
melakukan audit IT
•
Auditor IT yang sekarang banyak yang
berasal bukan dari bidang IT
•
Banyak permasalahan (bisnis) dalam
References
[1] ISO 19011:2011. Guidelines for auditing management systems.
[2] ITIL glossary and abbreviations. London (UK): Cabinet Office; 2011.
[3] Sarbanes–Oxley Act of 2002, Pub. L. No. 107-204, 116 Stat. 745.
[4] Committee of Sponsoring Organizations of the Treadway Commission. Internal control—Integrated framework. New York (NY): Committee of Sponsoring Organizations of the Treadway Commission; 2013.