Referensi Audit Sistem&Teknologi Informasi

(Riyanarto Sarno)

Strategi Sukses Bisnis dengan Teknologi Informasi (Riyanarto Sarno)

Sistem Manajemen Keamanan Informasi (Riyanarto Sarno)

Audit Sistem Informasi (Sanyoto Gondodiyoto)

IT Auditing: Using Controls to Protect Information Assets byChris Davis, Mike SchillerandKevin Wheeler

McGraw-Hill 2007 (387 pages)

Audit Wikipedia (id)‏

› Audit atau pemeriksaan dalam arti luas bermakna evaluasi terhadap suatu organisasi, sistem, proses, atau produk. Audit dilaksanakan oleh pihak yang kompeten, objektif, dan tidak memihak, yang disebut auditor. Tujuannya adalah untuk melakukan verifikasi bahwa subjek dari audit telah diselesaikan atau berjalan sesuai dengan standar, regulasi, dan praktik yang telah disetujui dan diterima.

Audit Wikipedia (id) - summary

› evaluasi terhadap suatu

organisasi,

sistem,

proses, atau

Produk.

› dilaksanakan oleh

pihak yang kompeten,

objektif, dan

tidak memihak,

› disebut auditor.

Audit Wikipedia – summary (2)‏

Tujuannya adalah

verifikasi bahwa subjek dari audit telah diselesaikan atau

berjalan sesuai dengan standar, regulasi, dan praktik yang telah disetujui dan diterima.

Sistem Informasi Wikipedia

Sistem informasi adalah aplikasi komputer untuk mendukung operasi dari suatu organisasi: operasi, instalasi, dan perawatan komputer, perangkat lunak, dan data.

Sistem Informasi - contoh Sistem Informasi Manajemen adalah bidang yang

menekankan finansial dan personal manajemen.

Sistem Informasi Penjualan adalah suatu sistem informasi yang mengorganisasikan serangkaian prosedur dan metode yang dirancang untuk menghasilkan, menganalisa, menyebarkan dan memperoleh informasi guna mendukung pengambilan keputusan mengenai penjualan.

Sistem Informasi - Summary Sistem Informasi adalah sekumpulan

hardware,

software,

brainware,

prosedur

yang diorganisasikan secara integral untuk mengolah data menjadi informasi yang bermanfaat guna memecahkan masalah dan pengambilan keputusan

Model IO dan Komponen Aplikasi Sistem Informasi

Audit Sistem Informasi Ron Weber (1999,10)

Information systems auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently.

(Audit sistem informasi adalah proses pengumpulan dan penilaian bukti – bukti untuk menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya secara efisien).

Tujuan Audit Sistem Informasi 4 (empat) tujuan audit sistem informasi, yaitu :

Mengamankan asset

Menjaga integritas data

Menjaga efektivitas sistem

Mencapai efisiensi sumberdaya.

Tujuan (mengamankan aset)‏ Mengamankan aset, aset (aktiva) yang berhubungan

dengan instalasi sistem informasi mencakup: perangkat keras (hardware), perangkat lunak (software), manusia (people), file data, dokumentasi sistem, dan peralatan pendukung lainnya.

Tujuan (integritas data)‏ Integritas data berarti data memiliki atribut:

kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian.

Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan potret dirinya dengan benar atau kejadian yang ada tidak terungkap seperti apa adanya.

keputusan maupun langkah-langkah penting di organisasi salah sasaran karena tidak didukung dengan data yang benar.

perlu pengorbanan biaya.

Oleh karena itu, upaya untuk menjaga integritas data, dengan konsekuensi akan ada biaya prosedur pengendalian yang dikeluarkan harus sepadan dengan manfaat yang diharapkan.

Tujuan (efektifitas sistem)‏ Menjaga efektivitas sistem, sistem informasi dikatakan efektif hanya jika

sistem tersebut dapat mencapai tujuannya.

perlu upaya untuk mengetahui kebutuhan pengguna sistem tersebut (user).

apakah sistem menghasilkan laporan atau informasi yang bermanfaat bagi user (misal pengambil keputusan),

auditor perlu mengetahui karakteristik user berikut proses pengambilan keputusannya.

Biasanya audit efektivitas sistem dilakukan setelah suatu sistem berjalan beberapa waktu.

Manajemen dapat meminta auditor untuk melakukan post audit guna menentukan sejauh mana sistem telah mencapai tujuan

Evaluasi ini akan memberikan masukan bagi pengambil keputusan apakah kinerja sistem layak dipertahankan; harus ditingkatkan atau perlu dimodifikasi; atau sistem sudah usang, sehingga harus ditinggalkan dan dicari penggantinya

Tujuan (efektifitas sistem) -2 Audit efektivitas sistem dapat juga dilaksanakan

pada tahap perencanaan sistem (system design).

User tidak dapat mengungkapkan kebutuhan sistem

Dirasa perlu untuk mereview kembali spesifikasi sistem yang telah dibuat

Tujuan (efesiensi sumber daya)‏

dikatakan efisien jika ia menggunakan sumberdaya seminimal mungkin untuk menghasilkan output yang dibutuhkan.

Pada kenyataannya, sistem informasi menggunakan berbagai sumberdaya, seperti mesin, dan segala perlengkapannya, perangkat lunak, sarana komunikasi dan tenaga kerja yang mengoperasikan sistem tersebut.

› harus berkompetisi untuk memberdayakan sumberdaya yang ada tersebut.

Pendekatan Audit Sistem Informasi

Pendekatan temuan (Exposures Approach),

› fokus utama ditekankan pada jenis kesalahan (losses) yang terjadi dalam suatu sistem informasi. Setelah itu ditentukan kendali (controls) yang dapat digunakan untuk mengurangi kesalahan tersebut sampai pada batas yang dapat diterima (acceptable levels).

Pendekatan kendali (Control Approach),

› fokus utamanya adalah kendali-kendali di dalam suatu sistem informasi yang dapat digunakan untuk mengurangi kesalahan sampai pada level yang dapat diterima (acceptable levels).

Aspek Yang Diperiksa Audit secara keseluruhan menyangkut efektifitas,

efisiensi,

› availability system,

› reliability,

› confidentiality, dan

› integrity, serta aspek security.

Selanjutnya adalah audit atas proses, modifikasi program, audit atas sumber data, dan data file.

Audit TI sendiri merupakan gabungan dari berbagai macam ilmu, antara lain: Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science.

Tahapan Audit Sistem Informasi

Menurut Ron Weber terdapat 5 (lima) langkah atau tahapan audit sistem informasi yaitu :

Perencanaan Audit (Planning the Audits)‏

Pengetesan Kendali (Tests of Controls)‏

Pengetesan Transaksi (Tests of Transactions)‏

Pengetesan Keseimbangan atau Keseluruhan Hasil (Tests of Balances or Overall Results) dan

Pengakhiran (penyelesaian) Audit (Completion of the Audit)‏

Tahapan Audit Sistem Informasi

menurut Gallegos Cs. tahapan audit sistem informasi mencakup aktivitas :

Perencanaan (Planning)‏

Pemeriksaan Lapangan (Fieldwork)‏

Pelaporan (Reporting) dan

Tindak Lanjut (Follow Up)‏

Pengumpulan Data (evidence)‏ melalui berbagai teknik termasuk

survei,

interview,

observasi dan review dokumentasi

(termasuk review source-code bila diperlukan).

Bisa jadi bukti-bukti audit yang diambil oleh auditor mencakup bukti elektronis (data dalam bentuk file softcopy).

Pengumpulan Data (evidence) - Method

Dalam proses pengumpulan bukti ini ada beberapa cara yang sering dipakai yaitu,

audit around computer,

audit trought computer dan

audit with computer.

Pengumpulan Data (evidence) - Method

Jika tingkat pemakaian TI tinggi maka audit yang dominan digunakan adalah audit with computer

› biasa disebut dengan teknik audit berbantuan computer atau menggunakan CAAT (Computer Aided Auditing Technique).

untuk menganalisa data, misalnya saja data transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain.

Tentunya untuk aspek sekuriti adakalanya auditor dituntut mempunyai keahlian teknis yang cukup memadai untuk menguji keamanan sistem.

Standard

Standar adalah sesuatu yang harus dipenuhi oleh IS Auditor

Standard yang digunakan dalam mengaudit teknologi informasi adalah standar yang diterbitkan oleh ISACA yaitu

› ISACA IS Auditing Standard.

› Selain itu ISACA juga menerbitkan IS Auditing Guidance dan IS Auditing Procedure.

› Guidelines memberikan penjelasan bagaimana auditor dapat memenuhi standar dalam berbagai penugasan audit, dan prosedur memberikan contoh langkah-langkah yang perlu dilalui auditor dalam penugasan audit tertentu sehingga sesuai dengan standar.

› Bagaimanapun IS auditor harus bisa menggunakan judgement profesional ketika menggunakan guidance dan procedure.

Hasil Audit? Siapa yang Melakukan Audit?

Auditor Sistem Informasi pada dasarnya melakukan penilaian (assurance) tentang kesiapan sistem berdasarkan kriteria tertentu.

› Kemudian berdasarkan pengujian Auditor akan memberikan rekomendasi perbaikan yang diperlukan.

› Adakalanya judgement diperlukan berdasarkan kriteria yang disepakati bersama.

› Penanggung jawab sistem yang diaudit tetap berada pada pengelola sistem, bukan di tangan auditor. Atas rekomendasi yang diberikan tentunya diharapkan ada tindak lanjut perbaikan bagi manajemen.

Hasil Audit? Siapa yang Melakukan Audit?

Siapakah sebaiknya yang melakukan audit sistem informasi?

› Audit sistem informasi dapat dilakukan sebagai bagian dari pengendalian internal yang dilakukan oleh fungsi TI.

Tapi jika dibutuhkan opini publik tentang kesiapan sistem tersebut, audit dapat dilakukan dengan mengundang pihak ketiga (auditor independent) untuk melakukannya.

Jika sebuah hasil audit TI perlu dipublikasikan, tentunya perlu perangkat hukum yang mengatur tata cara pelaporan tersebut

Pengertian Audit TSI

suatu proses sistematik untuk memperoleh dan

mengevaluasi bukti secara tertulis ataupun lisan

dengan menggunakan pembuktian yang secara

objektif mengenai kumpulan pertanyaan-

pertanyaan

Jenis Audit pada TI Jenis audit pada Teknologi Informasi terbagi 2(dua),

yaitu :

1. Audit around the computer

2. Audit through the computer

Audit around the computer hanya memeriksa dari sisi user saja dan pada

masukan dan keluaranya tanpa memeriksa lebih

terhadap program atau sistemnya

Audit around the computer

dilakukan pada saat: 1. Dokumen sumber tersedia dalam bentuk kertas (bahasa

non-mesin), artinya masih kasat mata dan dilihat secara visual

2. Dokumen-dokumen disimpan dalam file dengan cara yang mudah ditemukan.

3. Keluaran dapat diperoleh dari daftar yang terinci dan auditor mudah menelusuri setiap transaksi dari dokumen sumber kepada keluaran dan sebaliknya.

Kelebihan dan Kelemahan dari

metode Audit Around The Computer 1. Proses audit tidak memakan waktu lama karena hanya

melakukan audit tidak secara mendalam. 2. Tidak harus mengetahui seluruh proses penanganan sistem 3. Umumnya database mencakup jumlah data yang banyak dan

sulit untuk ditelusuri secara manual 4. Tidak membuat auditor memahami sistem komputer lebih

baik 5. Mengabaikan pengendalian sistem, sehingga rawan terhadap

kesalahan dan kelemahan potensial dalam sistem 6. Lebih berkenaan dengan hal yang lalu daripada audit yang

preventif 7. Kemampuan komputer sebagai fasilitas penunjang audit tidak

terpakai 8. Tidak mencakup keseluruhan maksud dan tujuan audit

AUDIT THROUGH THE COMPUTER

dimana auditor selain memeriksa data masukan dan keluaran,

juga melakukan uji coba proses program dan sistemnya atau

yang disebut dengan white box, sehinga auditor merasakan

sendiri langkah demi langkah pelaksanaan sistem serta

mengetahui sistem bagaimana sistem dijalankan pada proses

tertentu

Audit around the computer

dilakukan pada saat

1. Sistem aplikasi komputer memproses input yang cukup besar

dan menghasilkan output yang cukup besar pula, sehingga

memperluas audit untuk meneliti keabsahannya

2. Bagian penting dari struktur pengendalian intern perusahaan

terdapat di dalam komputerisasi yang digunakan

Kelebihan dan Kelemahan dari

metode Audit Through The Computer Kelebihan : 1. Dapat meningkatkan kekuatan pengujian system

aplikasi secara efektif 2. Dapat memeriksa secara langsung logika pemprosesan

dan system aplikasi 3. Kemampuan system dapat menangani perubahan dan

kemungkinan kehilangan yang terjadi pada masa yang akan dating

4. Auditor memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian terhadap system computer

5. Auditor merasa lebih yakin terhadap kebenaran hasil kerjanya

Kelemahan : 1. Biaya yang dibutuhkan relative tinggi karena jumlah jam kerja

yang banyak untuk dapat lenih memahami struktur

pengendalian intern dari pelaksanaan system aplikasi

2. Butuh keahlian teknis yang mendalam untuk memahami cara kerja sistem

Perbedaan

Peralatan Audit TI 1. ACL (Audit Command Language) merupakan sebuah

software CAAT (Computer Assisted Audit Techniques)

yang sudah sangat populer untuk melakukan analisa

terhadap data dari berbagai macam sumber.

2. Picalo merupakan sebuah software CAAT (Computer

Assisted Audit Techniques) seperti halnya ACL yang

dapat dipergunakan untuk menganalisa data dari

berbagai macam sumber

3. Powertech Compliance Assessment merupakan

automated audit tool yang dapat dipergunakan untuk

mengaudit dan mem-benchmark user access to data,

public authority to libraries, user security, system

security, system auditing dan administrator rights

(special authority) sebuah server AS/400.

4. Nipper merupakan audit automation software yang

dapat dipergunakan untuk mengaudit dan mem-

benchmark konfigurasi sebuah router

5. Nessus merupakan sebuah vulnerability assessment

software

6. Metasploit Framework merupakan sebuah penetration

testing tool

7. NMAP merupakan open source utility untuk melakukan

security auditing

8. Wireshark merupakan network utility yang dapat

dipergunakan untuk meng-capture paket data yang ada

di dalam jaringan komputer

Point Utama Filosofi Audit IT

Tipe / fungsi dasar Audit

Prinsip laporan Audit

Metodologi Audit

Cobit / ISACA / CISA

Tata Kelola IT ( IT Governance)

Did you know..? “The need for IT Auditors far outstrips the supply of

qualified candidates”

IT Auditors are in demand, but their work is interesting and challenging

IT Auditors evaluate an organizational entity’s IS (Info. Technologies, data and information, and systems of communication)

Evaluation includes studying documents, interviewing people, entering/manipulating data in a computer.

IT Auditors do the above because business processes use IT to function and IT is integral to an enterprise’s vialibility

Dampak terhadap organisasi

IT is important in all kinds of organizations; IT also influences organizational risks and controls.

IT creates opportunities, but these opportunities bring risks

E.g., the ability to transmit document electronically to customers & vendors allows improving efficiency in the supply chain; but it (electronic communication systems) also poses new risk

IT GOVERNANCE • A process for controlling organization’s information

technology resources ( systems and technology).

• An organization’s mgmt and owners (board of directors) are responsible for governing enterprise and IT.

• Enterprise governance – process of setting and implementing corporate strategy, making sure that the organization achieves its objectives efficiently, and manage risks.

• The objectives of IT governance are to set strategies for IT so that it is aligned closely with organizational goals, and to use IT for maximum opportunity, but minimum risk.

• Two parts of IT Governance; 1. concerns the use of IT to promote an organization’s objectives and enable business processes; 2. involves managing and controlling IT-related risks

Continued.. It begins with

The development of IT Governance plan (set the strategic purposes of IT acquisition and deployment or use)

It is on on-going process, mgmt needs to regularly evaluate and update plans

Set Objectives

• IT is aligned with the business

• IT enables the business and

maximizes benefits

• IT resources are used

responsibly

• IT-related risks managed

appropriately

Provide

direction

compare

Measure

performance

IT Activities

• Increase automation

(make business

effective)

• Decrease cost (make enterprise efficient)

• Manage risks (security

reliability and

compliance

IT GOVERNANCE – CONT.. • ISACA established the IT Governance Institute (1998) – to

clarify and provide guidance on current and future issues pertaining to IT governance, control and assurance.

• It developed CobiT (Control Objectives of Information and Related Technology, 3rd Edition) and COEG (Control Objectives for Enterprise Governance)

• CobiT provides guidance on IT governance – providing the structure that links IT processes, IT resources and information to enterprise strategies and objectives.

• CobiT also includes an IT Governance Management Guidelines – identifies critical success factors, key goal and performance indicators, matured model for IT governance. It is a guideline that allows management to use in evaluating performance with regards to IT

Filosofi Audit IT the process of finding and evaluating evidence to

determine whether an IT system safeguards the

organisational assets, uses resources efficiently,

maintains data security and integrity and fulfils the

business objectives effectively. (INTOSAI)

the process of collecting and evaluating evidence

to determine whether a computer system (information

system) safeguards assets, maintains data integrity,

achieves organizational goals effectively and

consumes resources efficiently (Ron Webber)

Pengumpulan dan evaluasi Evidence

Analisa Efektifitas Sistem TI atas obyektif bisnis

Bagaimana memastikan status efektifitas

tersebut?

Apa saja obyektif bisnis yang relevan dengan TI dan bagaimana hubungannya dengan efektifitas sistem TI?

Prinsip dasar Audit TI adalah melakukan pengumpulan bukti dan evaluasi atas IT Control. Jika dia efektif maka obyektif bisnis akan dapat tercapai, atau sebaliknya.

Definisi • Audit adalah sistematis, pemeriksaan obyektif dari satu atau

lebih aspek dari suatu organisasi yang membandingkan apa yang organisasi lakukan untuk satu set kriteria atau persyaratan

Standardisasi (ISO) pedoman audit menggunakan istilah untuk audit berarti "sistematis, proses independen dan terdokumentasi untuk memperoleh bukti audit dan mengevaluasinya secara objektif untuk menentukan sejauh mana kriteria audit terpenuhi”

• Information Tech. Infrastructure Library (ITIL)

mendefinisikan audit sebagai "pemeriksaan formal dan verifikasi untuk memeriksa apakah standar atau set pedoman sedang diikuti, bahwa catatan yang akurat, atau bahwa efisiensi dan efektivitas target terpenuhi “ [2].

IT audit membantu organisasi memahami, menilai, dan meningkatkan penggunaan kontrol untuk menjaga IT, mengukur dan kinerja yang benar, dan mencapai tujuan dan hasil yang dimaksudkan.

IT audit terdiri dari penggunaan metodologi audit yang formal untuk memeriksa IT - spesifik proses, kemampuan, aset dan peran mereka dalam memungkinkan proses bisnis organisasi

IT audit juga membahas komponen atau kemampuan yang mendukung domain lainnya tunduk pada audit, seperti manajemen keuangan dan akuntansi, kinerja operasional, jaminan kualitas, dan tata kelola, manajemen risiko, dan kepatuhan (GRC) IT.

Perhatian utama Audit TI atas penggunaan sistem TI: RISIKO

Perubahan lingkungan kontrol internal

Potensi berkurangnya akuntabilitas karena sifat anonim user

Kemungkinan amandemen data yang tanpa terotorisasi atau tanpa tercatat

Perubahan-perubahan dalam audit evidence

Kemungkinan duplikasi atau non-inklusi data

New Opoortunities & mechanism untuk fraud dan error

Penyimpanan dan pemrosesan data terdistribusi

Kerahasiaan dan integrity informasi kunci bisnis

……..

Seiring dengan semakin masifnya adopsi TI, kebutuhan akan Audit TI juga meningkat. Auditor memiliki kebutuhan untuk menilai potensi risiko atas sistem yang digunakan organisasinya.

Survei Responden

Survey dilakukan pada 300 organisasi pada 20 negara

(Eropa, Timur Tengah dan Afrika)

Survey terhadap framework

COBIT diadopsi hampir 75% di organisasi responden, sebagai framework Audit TI.

Survey: Koordinasi Audit Internal dengan Entitas Governance Lain

Survey: Pergeseran dari tradisional ke lebih proaktif, pemberian nilai tambah dari Audit TI, bekerja lebih dekat dengan TI dan fungsi bisnis.

Tetapi survey juga memperliihatkan bahwa hilangnya independensi merupakan ancaman nyata, dimana 38% responden melaporkan bahwa Audit orTI mereka terlibat dalam verifikasi/otorisasi sistem informasi baru.

Survey: Kepada siapa Head of Audit Melaporkan?

Best Practices mengatakan bahwa pelaporan kepada BoD atau Audit

Committee. berdasarkan survey, hanya sekitar 30% yang sesuai. Dan

ternyata masih ada 10% Audit Plan yang harus disetujui oleh fungsi TI.

Tantangan terbesar bagi Head of Internal Audit/IT Audit adalah menyeimbangkan ketrampilan teknis staff dengan pengetahuan yang luas ttg bisnis. Strategi yang digunakan adalah mix antara Audit orTI dan Auditor non-TI, 60% melakukan hal ini.

Survey: Skill yang paling dibutuhkan

Survey: Training untuk Auditor TI

Secara umum waktu training yang dialokasikan masih rendah, 29% organisasi menyediakan waktu kurang dari 1 minggu dalam setahun untuk training. Lebih jauh lagi, training lebih banyak ke sertifikasi, bukan pada bagaimana melakukan kegiatan audit.

Survey: Penggunaan Automated Tools dalam proses Audit TI

Tools yang digunakan

Survey :siapa yang mendapat lap. Audit TI

80% tidak menyertakan executive summary yg menyajikan temuan-temuan utama. 55% kasus tidak menyertakan komentar manajemen pada laporan (seberapa seriuskan Audit TI?). 98% rekomendasi di-follow-up.

Resume Survey

Filosofi paling mendasar dari Audit TI adalah melakukan evaluasi atas Kontrol TI, dan bagaimana konsekuensinya atas ketercapaian obyektif bisnis: Strategic Alignment, Benefit Maximization, Resource Management, Risk Management

Pengetahuan dan ketrampilan tentang Kontrol TI menjadi kunci dalam melakukan tahapan-tahapan Audit TI. Kelemahan dalam penguasaan Kontrol TI adalah sebab terbesar terjadinya Audit Risk.

Best Practices seperti metoda efektif perencanaan & pengorganisasian, staffing dan peningkatan skill dan pengelolaan follow-up dapat dirujuk untuk meningkatkan kematangan audit internal

Ruang Lingkup Audit Audit operasional mengetahui efektivitas dari satu

atau lebih proses bisnis atau fungsi organisasi dan efisiensi penggunaan sumber daya dalam mendukung tujuan dan sasaran organisasi. Teknologi informasi (IT) audit meneliti proses, aset TI, dan kontrol pada beberapa tingkatan dalam suatu organisasi untuk menentukan sejauh mana organisasi mematuhi standar yang berlaku atau persyaratan.

Auditor membandingkan subjek audit-proses, sistem, komponen, perangkat lunak, atau organisasi secara keseluruhan-eksplisit dengan yang standar yang telah ditetapkan untuk menentukan apakah subjek memenuhi kriteria. Temuan audit mengidentifikasi kekurangan di mana, apa yang diamati auditor atau ditemukan melalui analisis bukti audit berbeda dari apa yang diharapkan atau dibutuhkan sehingga subjek audit yang tidak dapat memenuhi persyaratan.

Pahami Bisnis Anda Langkah awal untuk menerapkan audit berbasis

resiko adalah memahami bisnis yang sedang dijalankan. Apakah bisnis anda ?

Apa fungsi dan tujuan perusahaan? Apakah bisnis yang ada termasuk umum ?

Apakah beberapa resiko yang ada termasuk baru dalam tipe bisnis saat ini?

Bagaimana manajemen bereaksi terhadap berita negative?

Bagaimana control kesalahan dikenali dan di laporkan?

Overlap Audit

IT auditing has much in common with other types of audit and

overlaps in many respects with financial, operational, and quality

audit practices.

Keuntungan Audit Menilai keefektifan aktivitas aktifitas dokumentasi dalam

organisasi

Memonitor kesesuaian dengan kebijakan, sistem, prosedur dan undang-undang perusahaan

Mengukur tingkat efektifitas dari sistem

Mengidentifikasi kelemahan di sistem yang mungkin mengakibatkan ketidaksesuaian di masa datang

Menyediakan informasi untuk proses peningkatan

Meningkatkan saling memahami antar departemen dan antar individu

Melaporkan hasil tinjauan dan tindakan berdasarkan resiko ke Manajemen

Elemen kontrol • Elemen kontrol TI internal dapat diaudit dalam isolasi

atau bersama-sama. Meskipun ketika audit IT berfokus sempit pada satu aspek dari IT, auditor perlu mempertimbangkan konteks yang lebih luas dalam hal teknis, operasional, dan lingkungan. IT audit juga mengatasi proses pengendalian internal dan fungsi, seperti operasi dan prosedur pemeliharaan, kelangsungan bisnis dan pemulihan bencana, penanganan insiden, jaringan dan pemantauan keamanan, manajemen konfigurasi, pengembangan sistem, dan manajemen proyek

Contoh kategori kontrol

IT Audit Area Planning

Organization and Management

Policies and procedures

Security

Regulation and standard

Jenis Audit (Secara Umum)

Compliance

Kinerja

Kecurangan

Sertifikasi

Jenis Audit (IT)

System Audit

Audit terhadap sistem terdokumentasi untuk memastikan sudah memenuhi standar nasional atau internasional

Compliance Audit

Untuk menguji efektifitas implementasi dari kebijakan, prosedur, kontrol dan unsur hukum yang lain

Product / Service Audit

Untuk menguji suatu produk atau layanan telah sesuai seperti spesifikasi yang telah ditentukan dan cocok digunakan

Siapa yang Diaudit Management

IT Manager

IT Specialist (network, database, system analyst, programmer, dll.)

User

Siapa yang Meng-Audit Tergantung Tujuan Audit Internal Audit (first party audit)

Dilakukan oleh atau atas nama perusahaan sendiri Biasanya untuk management review atau tujuan internal

perusahaan

Lembaga independen di luar perusahaan Second party audit

Dilakukan oleh pihak yang memiliki kepentingan thd perusahaan

Third party audit Dilakukan oleh pihak independen dari luar perusahaan.

Misalnya untuk sertifikasi (ISO 9001, BS7799 dll).

Tugas Auditor IT Memastikan sisi-sisi penerapan IT memiliki kontrol

yang diperlukan

Memastikan kontrol tersebut diterapkan dengan baik sesuai yang diharapkan

Hal-hal yang dilakukan auditor Persiapan

Review Dokumen

Persiapan kegiatan on-site audit

Melakukan kegiatan on-site audit

Persiapan, persetujuan dan distribusi laporan audit

Follow up audit

Output kegiatan Audit Hasil akhir adalah berupa laporan yang berisi:

• Ruang Lingkup audit

• Metodologi

• Temuan-temuan

• Ketidaksesuaian (sifat ketidaksesuaian, bukti2 pendukung, syarat yg tdk dipenuhi, lokasi, tingkat ketidaksesuaian)

• Kesimpulan (tingkat kesesuaian dengan kriteria audit, efektifitas implementasi, pemeliharaan dan pengembangan sistem manajemen, rekomendasi)

Ketrampilan yang dibutuhkan

Audit skill : sampling, komunikasi, melakukan interview, mengajukan pertanyaan, mencatat

Generic knowledge : pengetahuan mengenai prinsip2 audit, prosedur dan teknik, sistem manajemen dan dokumen2 referensi, organisasi, peraturan2 yang berlaku

Specific knowledge : background IT/IS, bisnis, specialist technical skill, pengalaman audit sistem manajemen, perundangan

Prinsip-prinsip Audit • Ethical conduct

• Berdasar pada profesionalisme, kejujuran, integritas, kerahasiaan dan kebijaksanaan

• Fair Presentation • Kewajiban melaporkan secara jujur dan akurat

• Due professional care • Implementasi dari kesungguhan dan pertimbangan yang

diberikan

• Independence

• Evidence-base approach

Scope Audit

Internal Auditor • Audit kontrol internal TI membutuhkan pengetahuan

yang luas IT, keterampilan, dan kemampuan dan keahlian dalam prinsip-prinsip umum dan khusus IT audit, praktik, dan proses. Organisasi perlu mengembangkan atau memperoleh tenaga dengan pemahaman khusus tujuan pengendalian dan pengalaman dalam operasi IT yang diperlukan untuk secara efektif melakukan audit TI. Jenis organisasi dan individu yang melakukan audit IT meliputi: Auditor internal, yang terdiri baik karyawan organisasi yang melakukan audit internal IT atau kontraktor, konsultan, atau spesialis outsourcing yang disewa oleh organisasi untuk melaksanakan audit internal;

Alasan Auditor internal • Alasan yang digunakan untuk membenarkan audit TI

internal dapat lebih bervariasi di seluruh organisasi, tetapi meliputi: Sesuai dengan surat aturan pertukaran yang perusahaan memiliki fungsi audit internal; - mengevaluasi efektivitas pengendalian yang dilakukan; - mengkonfirmasikan kepatuhan terhadap kebijakan internal, proses, dan prosedur; - memeriksa kesesuaian dengan tata kelola TI atau kontrol kerangka kerja dan standar; - menganalisis kerentanan dan pengaturan konfigurasi untuk mendukung pemantauan terus menerus; mengidentifikasi kelemahan dan kekurangan sebagai bagian dari manajemen risiko awal atau berkelanjutan

Eksternal Auditor • Audit TI eksternal, menurut definisi, dilakukan oleh

auditor dan entitas luar subjek organisasi untuk audit. Tergantung pada ukuran organisasi dan ruang lingkup dan kompleksitas audit TI, audit eksternal dapat dilakukan oleh auditor tunggal atau tim.

Auditor mandiri penting bagi audit internal dan eksternal, tetapi dalam konteks audit eksternal mandiri tersebut sering tidak diperlukan.

Sementara perusahaan yang menyediakan jasa audit eksternal tunduk peraturan organisasi dan pengawasan, auditor individu melakukan audit eksternal biasanya harus menunjukkan pengetahuan yang memadai dan keahlian dan kualifikasi yang sesuai.

Sertifikasi profesional menyediakan satu indikator kualifikasi auditor, terutama di mana sertifikasi yang spesifik sesuai dengan jenis audit eksternal yang dilakukan.

Keahlian Auditor TI internal juga perlu keterampilan non-

teknis yang tepat dan karakteristik, termasuk integritas pribadi dan profesional dan standar etika.

Auditor TI internal dapat menunjukkan kualifikasi yang memenuhi kombinasi kemampuan yang berkaitan dengan IT dan sifat-sifat profesional individu dengan mencapai sertifikasi yang relevan.

Terutama termasuk Institut Certified Internal Auditor (CIA) credential Auditor Internal dan CISA ISACA atau Sistem Informasi Bersertifikat Manager (CISM).

Apa yang diaudit

• Audit TI dapat mengevaluasi seluruh organisasi, unit bisnis individu, fungsi misi dan proses bisnis, jasa, sistem, infrastruktur, atau komponen teknologi. Terlepas dari metode IT audit secara keseluruhan digunakan, IT audit selalu mengatasi satu atau lebih bidang studi yang berkaitan dengan teknologi, termasuk kontrol yang berkaitan dengan hal berikut: Pusat data dan fasilitas fisik lainnya seperti : Server Virtualisasi dan Lingkungan layanan dan operasi

outsourcing - infrastruktur jaringan Telekomunikasi - web dan server aplikasi Sistem operasi - Software dan paket aplikasi Database - Pengguna dan Aplikasi interface Storage - Perangkat Mobile

Apa yang di audit ?

Scope

Peraturan dan Standar Yang Biasa Dipakai • ISO / IEC 17799 and BS7799

• Control Objectives for Information and related Technology (CobiT)

• ISO TR 13335

• IT Baseline Protection Manual

• ITSEC / Common Criteria

• Federal Information Processing Standard 140-1/2 (FIPS 140-1/2)

• The “Sicheres Internet” Task Force [Task Force Sicheres Internet]

• The quality seal and product audit scheme operated by the Schleswig-Holstein Independent State Centre for Data Privacy Protection (ULD)

• ISO 9000

CobiT… Control Objectives for Information

and

Related Technology

CobiT

Dibuat oleh organisasi ISACA (Information Systems Audit and Control Association) dan dikembangkan oleh IT Governance Institute

Focus pada audit, control dan security issues

Badan (Indonesia) ISACA Indonesian Chapter (isaca.or.id)

ISSA (Information System Security Association) Indonesian Chapter

Sertifikasi CISA (Certified Information Systems Auditor)

CISM (Certified Information Security Manager)

CISSP (Certified IS Security Professional)

CIA (Certified Internal Auditor)

Kualifikasi :

Pengalaman dan pengetahuan untuk mengidentifikasi, mengevaluasi, dan memberikan rekomendasi berupa solusi untuk mengurangi kelemahan sistem IT

=> Mengeluarkan sertifikasi untuk personal auditor

Misi CobiT

Melakukan penelitian, pengembangan, publikasi dan promosi terhadap control objective dari teknologi informasi yang secara umum diterima di lingkungan internasional untuk pemakaian sehari-hari oleh manager dan auditor

Lingkup CobiT -> 4 domains

Planning & Organization

Acquisition & Implementation

Delivery & Support

Monitoring

CobiT -> Control Objectives

Defining controls that should be in place

34 processes

3-30 detailed IT Control Objectives

Pola Pikir

What’s BS7799

Sebuah pendekatan berbasis ‘resiko’ dalam mendefinisikan kebijakan dan prosedur serta untuk memilih kontrol yang memadai untuk mengelola resiko

ISO/IEC 17799

Information technology – code of practice for information security management

BS 7799

Information security management systems – Specification with guidance for use

Kebutuhan auditor IT

Internal Audit -> setiap perusahaan memerlukan

Perusahaan penyedia layanan audit

Perusahaan penyedia sertifikasi

Peluang

Ketergantungan terhadap IT semakin besar sehingga muncul kebutuhan untuk melakukan audit IT

Auditor IT yang sekarang banyak yang berasal bukan dari bidang IT

Banyak permasalahan (bisnis) dalam pengelolaan IT

References [1] ISO 19011:2011. Guidelines for auditing management systems.

[2] ITIL glossary and abbreviations. London (UK): Cabinet Office; 2011.

[3] Sarbanes–Oxley Act of 2002, Pub. L. No. 107-204, 116 Stat. 745.

[4] Committee of Sponsoring Organizations of the Treadway Commission. Internal control—Integrated framework. New York (NY): Committee of Sponsoring Organizations of the Treadway Commission; 2013.

[5] IT Governance Institute. COBIT 4.1. Rolling Meadows (IL): IT Governance Institute; 2007.