Fundamental IT

AUDIT
M. Arief Soeleman

UDINUS 2016
Point Utama
Filosofi Audit IT
Tipe / fungsi dasar Audit
Prinsip laporan Audit
Metodologi Audit
Cobit / ISACA / CISA
Tata Kelola IT ( IT Governance)
Did you know..?
The need for IT Auditors far outstrips the supply of
qualified candidates
IT Auditors are in demand, but their work is interesting and
challenging
IT Auditors evaluate an organizational entitys IS (Info.
Technologies, data and information, and systems of
communication)
Evaluation includes studying documents, interviewing
people, entering/manipulating data in a computer.
IT Auditors do the above because business processes use IT
to function and IT is integral to an enterprises vialibility
Dampak terhadap organisasi

IT is important in all kinds of organizations; IT also

influences organizational risks and controls.
IT creates opportunities, but these opportunities
bring risks

E.g., the ability to transmit document electronically

to customers & vendors allows improving efficiency
in the supply chain; but it (electronic
communication systems) also poses new risk
IT GOVERNANCE
A process for controlling organizations information
technology resources ( systems and technology).
An organizations mgmt and owners (board of directors) are
responsible for governing enterprise and IT.
Enterprise governance process of setting and
implementing corporate strategy, making sure that the
organization achieves its objectives efficiently, and manage
risks.
The objectives of IT governance are to set strategies for IT
so that it is aligned closely with organizational goals, and to
use IT for maximum opportunity, but minimum risk.
Two parts of IT Governance; 1. concerns the use of IT to
promote an organizations objectives and enable business
processes; 2. involves managing and controlling IT-related
risks
 Continued..
It begins with
The development of IT Governance plan (set the strategic
purposes of IT acquisition and deployment or use)
It is on on-going process, mgmt needs to regularly evaluate
and update plans
Provide IT Activities
Set Objectives Increase automation
direction
IT is aligned with the (make business
business effective)
IT enables the business and Decrease cost
maximizes benefits compare (make enterprise
IT resources are used efficient)
responsibly Manage risks
IT-related risks managed (security reliability
appropriately Measure
and compliance
performance
 IT GOVERNANCE CONT..
ISACA established the IT Governance Institute (1998) to
clarify and provide guidance on current and future issues
pertaining to IT governance, control and assurance.
It developed CobiT (Control Objectives of Information and
Related Technology, 3rd Edition) and COEG (Control
Objectives for Enterprise Governance)
CobiT provides guidance on IT governance providing the
structure that links IT processes, IT resources and
information to enterprise strategies and objectives.
CobiT also includes an IT Governance Management
Guidelines identifies critical success factors, key goal
and performance indicators, matured model for IT
governance. It is a guideline that allows management to
use in evaluating performance with regards to IT
 Filosofi Audit IT
the process of finding and evaluating evidence to
determine whether an IT system safeguards the
organisational assets, uses resources efficiently,
maintains data security and integrity and fulfils the
business objectives effectively. (INTOSAI)

the process of collecting and evaluating evidence to

determine whether a computer system (information
system) safeguards assets, maintains data integrity,
achieves organizational goals effectively and
consumes resources efficiently (Ron Webber)

Pengumpulan dan Analisa Efektifitas Sistem TI Bagaimana memastikan

evaluasi Evidence atas obyektif bisnis status efektifitas tersebut?
Apa saja obyektif bisnis yang relevan dengan TI dan bagaimana
hubungannya dengan efektifitas sistem TI?

Prinsip dasar Audit TI adalah melakukan pengumpulan bukti dan evaluasi atas IT Control.
Jika dia efektif maka obyektif bisnis akan dapat tercapai, atau sebaliknya.
 Definisi
Audit adalah sistematis, pemeriksaan obyektif dari satu atau
lebih aspek dari suatu organisasi yang membandingkan apa
yang organisasi lakukan untuk satu set kriteria atau
persyaratan

Standardisasi (ISO) pedoman audit menggunakan istilah

untuk audit berarti "sistematis, proses independen dan
terdokumentasi untuk memperoleh bukti audit dan
mengevaluasinya secara objektif untuk menentukan sejauh
mana kriteria audit terpenuhi

Information Tech. Infrastructure Library (ITIL)

mendefinisikan audit sebagai "pemeriksaan formal dan
verifikasi untuk memeriksa apakah standar atau set
pedoman sedang diikuti, bahwa catatan yang akurat, atau
bahwa efisiensi dan efektivitas target terpenuhi [2].
 IT audit membantu organisasi memahami, menilai, dan
meningkatkan penggunaan kontrol untuk menjaga IT,
mengukur dan kinerja yang benar, dan mencapai tujuan
dan hasil yang dimaksudkan.
IT audit terdiri dari penggunaan metodologi audit yang
formal untuk memeriksa IT - spesifik proses,
kemampuan, aset dan peran mereka dalam
memungkinkan proses bisnis organisasi
IT audit juga membahas komponen atau kemampuan
yang mendukung domain lainnya tunduk pada audit,
seperti manajemen keuangan dan akuntansi, kinerja
operasional, jaminan kualitas, dan tata kelola,
manajemen risiko, dan kepatuhan (GRC) IT.
Perhatian utama Audit TI atas penggunaan sistem TI: RISIKO

Seiring dengan semakin masifnya adopsi TI, kebutuhan akan Audit TI juga meningkat.
Auditor memiliki kebutuhan untuk menilai potensi risiko atas sistem yang digunakan
organisasinya.

Perubahan lingkungan kontrol internal

Potensi berkurangnya akuntabilitas karena sifat anonim user
Kemungkinan amandemen data yang tanpa terotorisasi atau tanpa
tercatat
Perubahan-perubahan dalam audit evidence
Kemungkinan duplikasi atau non-inklusi data
New Opoortunities & mechanism untuk fraud dan error
Penyimpanan dan pemrosesan data terdistribusi
Kerahasiaan dan integrity informasi kunci bisnis
..
Survei Responden

Survey dilakukan pada 300 organisasi pada 20 negara

(Eropa, Timur Tengah dan Afrika)
 Survey terhadap framework

COBIT diadopsi hampir 75% di organisasi responden, sebagai framework Audit TI.
Survey: Koordinasi Audit Internal dengan Entitas
Governance Lain
 Survey: Pergeseran dari tradisional ke lebih proaktif, pemberian
nilai tambah dari Audit TI, bekerja lebih dekat dengan TI dan
fungsi bisnis.

Tetapi survey juga memperliihatkan bahwa hilangnya independensi merupakan ancaman nyata
dimana 38% responden melaporkan bahwa Audit orTI mereka terlibat dalam verifikasi/otorisas
sistem informasi baru.
Survey: Kepada siapa Head of Audit Melaporkan?

Best Practices mengatakan bahwa pelaporan kepada BoD atau Audit

Committee. berdasarkan survey, hanya sekitar 30% yang sesuai.
Dan ternyata masih ada 10% Audit Plan yang harus disetujui
oleh fungsi TI.
 Survey: Skill yang paling dibutuhkan

Tantangan terbesar bagi Head of Internal Audit/IT Audit adalah menyeimbangkan ketrampilan
teknis staff dengan pengetahuan yang luas ttg bisnis. Strategi yang digunakan adalah mix antara
Audit orTI dan Auditor non-TI, 60% melakukan hal ini.
 Survey: Training untuk Auditor TI

Secara umum waktu training yang dialokasikan masih rendah, 29% organisasi menyediakan
waktu kurang dari 1 minggu dalam setahun untuk training. Lebih jauh lagi, training lebih banyak
ke sertifikasi, bukan pada bagaimana melakukan kegiatan audit.
Survey: Penggunaan Automated
Tools dalam proses Audit TI
Tools yang digunakan
 Survey :siapa yang mendapat lap. Audit TI

80% tidak menyertakan executive summary yg menyajikan temuan-temuan utama. 55% kasus
tidak menyertakan komentar manajemen pada laporan (seberapa seriuskan Audit TI?). 98%
rekomendasi di-follow-up.
 Resume Survey
Filosofi paling mendasar dari Audit TI adalah melakukan evaluasi
atas Kontrol TI, dan bagaimana konsekuensinya atas ketercapaian
obyektif bisnis: Strategic Alignment, Benefit Maximization,
Resource Management, Risk Management

Pengetahuan dan ketrampilan tentang Kontrol TI menjadi kunci

dalam melakukan tahapan-tahapan Audit TI. Kelemahan dalam
penguasaan Kontrol TI adalah sebab terbesar terjadinya Audit
Risk.

Best Practices seperti metoda efektif perencanaan &

pengorganisasian, staffing dan peningkatan skill dan pengelolaan
follow-up dapat dirujuk untuk meningkatkan kematangan audit
internal
 Ruang Lingkup Audit
Audit operasional mengetahui efektivitas dari satu
atau lebih proses bisnis atau fungsi organisasi dan
efisiensi penggunaan sumber daya dalam mendukung
tujuan dan sasaran organisasi.

Teknologi informasi (IT) audit meneliti proses, aset

TI, dan kontrol pada beberapa tingkatan dalam suatu
organisasi untuk menentukan sejauh mana organisasi
mematuhi standar yang berlaku atau persyaratan.
 Auditor membandingkan subjek audit-proses, sistem,
komponen, perangkat lunak, atau organisasi secara
keseluruhan-eksplisit dengan yang standar yang telah
ditetapkan untuk menentukan apakah subjek memenuhi
kriteria.

Temuan audit mengidentifikasi kekurangan di mana, apa

yang diamati auditor atau ditemukan melalui analisis
bukti audit berbeda dari apa yang diharapkan atau
dibutuhkan sehingga subjek audit yang tidak dapat
memenuhi persyaratan.
Pahami Bisnis Anda
Langkah awal untuk menerapkan audit berbasis
resiko adalah memahami bisnis yang sedang
dijalankan. Apakah bisnis anda ?
Apa fungsi dan tujuan perusahaan? Apakah bisnis
yang ada termasuk umum ?
Apakah beberapa resiko yang ada termasuk baru
dalam tipe bisnis saat ini?
Bagaimana manajemen bereaksi terhadap berita
negative?
Bagaimana control kesalahan dikenali dan di
laporkan?
Overlap Audit

IT auditing has much in common with other types of audit and

overlaps in many respects with financial, operational, and quality
audit practices.
 Keuntungan Audit
Menilai keefektifan aktivitas aktifitas dokumentasi dalam
organisasi
Memonitor kesesuaian dengan kebijakan, sistem, prosedur dan
undang-undang perusahaan
Mengukur tingkat efektifitas dari sistem
Mengidentifikasi kelemahan di sistem yang mungkin
mengakibatkan ketidaksesuaian di masa datang
Menyediakan informasi untuk proses peningkatan
Meningkatkan saling memahami antar departemen dan antar
individu
Melaporkan hasil tinjauan dan tindakan berdasarkan resiko ke
Manajemen
 Elemen kontrol
Elemen kontrol TI internal dapat diaudit dalam isolasi atau
bersama-sama. Meskipun ketika audit IT berfokus sempit
pada satu aspek dari IT, auditor perlu mempertimbangkan
konteks yang lebih luas dalam hal teknis, operasional, dan
lingkungan.
IT audit juga mengatasi proses pengendalian internal dan
fungsi, seperti operasi dan prosedur pemeliharaan,
kelangsungan bisnis dan pemulihan bencana, penanganan
insiden, jaringan dan pemantauan keamanan, manajemen
konfigurasi, pengembangan sistem, dan manajemen
proyek
Contoh kategori kontrol
IT Audit Area
Planning
Organization and Management
Policies and procedures
Security
Regulation and standard
Jenis Audit
(Secara Umum)

Compliance
Kinerja
Kecurangan
Sertifikasi
Jenis Audit (IT)

System Audit
Audit terhadap sistem terdokumentasi untuk
memastikan sudah memenuhi standar nasional atau
internasional
Compliance Audit
Untuk menguji efektifitas implementasi dari kebijakan,
prosedur, kontrol dan unsur hukum yang lain
Product / Service Audit
Untuk menguji suatu produk atau layanan telah sesuai
seperti spesifikasi yang telah ditentukan dan cocok
digunakan
Siapa yang Diaudit
Management
IT Manager
IT Specialist (network, database, system analyst,
programmer, dll.)
User
Siapa yang Meng-Audit
Tergantung Tujuan Audit
Internal Audit (first party audit)
Dilakukan oleh atau atas nama perusahaan sendiri
Biasanya untuk management review atau tujuan internal
perusahaan
Lembaga independen di luar perusahaan
Second party audit
Dilakukan oleh pihak yang memiliki kepentingan thd
perusahaan
Third party audit
Dilakukan oleh pihak independen dari luar perusahaan.
Misalnya untuk sertifikasi (ISO 9001, BS7799 dll).
Tugas Auditor IT
Memastikan sisi-sisi penerapan IT memiliki kontrol
yang diperlukan
Memastikan kontrol tersebut diterapkan dengan
baik sesuai yang diharapkan
Hal-hal yang dilakukan auditor
Persiapan
Review Dokumen
Persiapan kegiatan on-site audit
Melakukan kegiatan on-site audit
Persiapan, persetujuan dan distribusi laporan audit
Follow up audit
 Output kegiatan Audit
Hasil akhir adalah berupa laporan yang berisi:
Ruang Lingkup audit
Metodologi
Temuan-temuan
Ketidaksesuaian (sifat ketidaksesuaian, bukti2
pendukung, syarat yg tdk dipenuhi, lokasi, tingkat
ketidaksesuaian)
Kesimpulan (tingkat kesesuaian dengan kriteria audit,
efektifitas implementasi, pemeliharaan dan
pengembangan sistem manajemen, rekomendasi)
 Ketrampilan yang dibutuhkan

Audit skill : sampling, komunikasi, melakukan

interview, mengajukan pertanyaan, mencatat
Generic knowledge : pengetahuan mengenai
prinsip2 audit, prosedur dan teknik, sistem
manajemen dan dokumen2 referensi, organisasi,
peraturan2 yang berlaku
Specific knowledge : background IT/IS, bisnis,
specialist technical skill, pengalaman audit sistem
manajemen, perundangan
Prinsip-prinsip Audit
Ethical conduct
Berdasar pada profesionalisme, kejujuran, integritas,
kerahasiaan dan kebijaksanaan
Fair Presentation
Kewajiban melaporkan secara jujur dan akurat
Due professional care
Implementasi dari kesungguhan dan pertimbangan yang
diberikan
Independence
Evidence-base approach
Scope Audit
Internal Auditor
Audit kontrol internal TI membutuhkan pengetahuan yang
luas IT, keterampilan, dan kemampuan dan keahlian dalam
prinsip-prinsip umum dan khusus IT audit, praktik, dan
proses.
Organisasi perlu mengembangkan atau memperoleh tenaga
dengan pemahaman khusus tujuan pengendalian dan
pengalaman dalam operasi IT yang diperlukan untuk secara
efektif melakukan audit TI.
Jenis organisasi dan individu yang melakukan audit IT
meliputi:
Auditor internal, yang terdiri baik karyawan organisasi yang
melakukan audit internal IT atau kontraktor, konsultan, atau
spesialis outsourcing yang disewa oleh organisasi untuk
melaksanakan audit internal;
 Alasan Auditor internal
Alasan yang digunakan untuk membenarkan audit TI
internal dapat lebih bervariasi di seluruh organisasi, tetapi
meliputi:
Sesuai dengan surat aturan pertukaran yang perusahaan
memiliki fungsi audit internal;
- mengevaluasi efektivitas pengendalian yang dilakukan;
- mengkonfirmasikan kepatuhan terhadap kebijakan
internal, proses, dan prosedur;
- memeriksa kesesuaian dengan tata kelola TI atau kontrol
kerangka kerja dan standar;
- menganalisis kerentanan dan pengaturan konfigurasi
untuk mendukung pemantauan terus menerus;
mengidentifikasi kelemahan dan kekurangan sebagai
bagian dari manajemen risiko awal atau berkelanjutan
 Eksternal Auditor
Audit TI eksternal, menurut definisi, dilakukan oleh
auditor dan entitas luar subjek organisasi untuk audit.
Tergantung pada ukuran organisasi dan ruang lingkup
dan kompleksitas audit TI, audit eksternal dapat
dilakukan oleh auditor tunggal atau tim.
 Auditor mandiri penting bagi audit internal dan
eksternal, tetapi dalam konteks audit eksternal mandiri
tersebut sering tidak diperlukan.
Sementara perusahaan yang menyediakan jasa audit
eksternal tunduk peraturan organisasi dan pengawasan,
auditor individu melakukan audit eksternal biasanya
harus menunjukkan pengetahuan yang memadai dan
keahlian dan kualifikasi yang sesuai.

Sertifikasi profesional menyediakan satu indikator

kualifikasi auditor, terutama di mana sertifikasi yang
spesifik sesuai dengan jenis audit eksternal yang
dilakukan.
 Keahlian
Auditor TI internal juga perlu keterampilan non-teknis
yang tepat dan karakteristik, termasuk integritas
pribadi dan profesional dan standar etika.
Auditor TI internal dapat menunjukkan kualifikasi
yang memenuhi kombinasi kemampuan yang
berkaitan dengan IT dan sifat-sifat profesional individu
dengan mencapai sertifikasi yang relevan.
Terutama termasuk Institut Certified Internal Auditor
(CIA) credential Auditor Internal dan CISA ISACA atau
Sistem Informasi Bersertifikat Manager (CISM).
 Apa yang diaudit
Audit TI dapat mengevaluasi seluruh organisasi, unit bisnis
individu, fungsi misi dan proses bisnis, jasa, sistem,
infrastruktur, atau komponen teknologi.
Terlepas dari metode IT audit secara keseluruhan
digunakan, IT audit selalu mengatasi satu atau lebih bidang
studi yang berkaitan dengan teknologi, termasuk kontrol
yang berkaitan dengan hal berikut:
Pusat data dan fasilitas fisik lainnya seperti :
Server Virtualisasi dan Lingkungan layanan dan operasi
outsourcing - infrastruktur jaringan
Telekomunikasi - web dan server aplikasi
Sistem operasi - Software dan paket aplikasi
Database - Pengguna dan Aplikasi interface
Storage - Perangkat Mobile
Apa yang di audit ?
Scope
 Peraturan dan Standar Yang Biasa Dipakai
ISO / IEC 17799 and BS7799
Control Objectives for Information and related Technology
(CobiT)
ISO TR 13335
IT Baseline Protection Manual
ITSEC / Common Criteria
Federal Information Processing Standard 140-1/2 (FIPS 140-
1/2)
The Sicheres Internet Task Force [Task Force Sicheres
Internet]
The quality seal and product audit scheme operated by the
Schleswig-Holstein Independent State Centre for Data Privacy
Protection (ULD)
ISO 9000
CobiT
Control Objectives for Information and
Related Technology
 CobiT

Dibuat oleh organisasi ISACA (Information Systems

Audit and Control Association) dan dikembangkan
oleh IT Governance Institute
Focus pada audit, control dan security issues
Badan (Indonesia)
ISACA Indonesian Chapter (isaca.or.id)
ISSA (Information System Security Association)
Indonesian Chapter
 Sertifikasi
CISA (Certified Information Systems Auditor)
CISM (Certified Information Security Manager)
CISSP (Certified IS Security Professional)
CIA (Certified Internal Auditor)

Kualifikasi :
Pengalaman dan pengetahuan untuk mengidentifikasi,
mengevaluasi, dan memberikan rekomendasi berupa
solusi untuk mengurangi kelemahan sistem IT
=> Mengeluarkan sertifikasi untuk personal auditor
 Misi CobiT

Melakukan penelitian, pengembangan, publikasi dan

promosi terhadap control objective dari teknologi
informasi yang secara umum diterima di lingkungan
internasional untuk pemakaian sehari-hari oleh
manager dan auditor
 Lingkup CobiT -> 4 domains

Planning & Organization

Acquisition & Implementation
Delivery & Support
Monitoring
 CobiT -> Control Objectives

Defining controls that should be in place

34 processes
3-30 detailed IT Control Objectives
Pola Pikir
BS7799
 Whats BS7799

Sebuah pendekatan berbasis resiko dalam

mendefinisikan kebijakan dan prosedur serta untuk
memilih kontrol yang memadai untuk mengelola
resiko
ISO/IEC 17799
Information technology code of practice for
information security management
BS 7799
Information security management systems
Specification with guidance for use
 Kebutuhan auditor IT

Internal Audit -> setiap perusahaan memerlukan

Perusahaan penyedia layanan audit
Perusahaan penyedia sertifikasi
 Peluang

Ketergantungan terhadap IT semakin besar sehingga

muncul kebutuhan untuk melakukan audit IT
Auditor IT yang sekarang banyak yang berasal bukan
dari bidang IT
Banyak permasalahan (bisnis) dalam pengelolaan IT
References
[1] ISO 19011:2011. Guidelines for auditing management systems.
[2] ITIL glossary and abbreviations. London (UK): Cabinet Office; 2011.
[3] SarbanesOxley Act of 2002, Pub. L. No. 107-204, 116 Stat. 745.
[4] Committee of Sponsoring Organizations of the Treadway Commission.
Internal controlIntegrated framework. New York (NY): Committee of
Sponsoring Organizations of the Treadway Commission; 2013.
[5] IT Governance Institute. COBIT 4.1. Rolling Meadows (IL): IT
Governance Institute; 2007.