Professional Documents
Culture Documents
Pert 1 Filosofi IT Audit
Pert 1 Filosofi IT Audit
AUDIT
M. Arief Soeleman
UDINUS 2016
Point Utama
Filosofi Audit IT
Tipe / fungsi dasar Audit
Prinsip laporan Audit
Metodologi Audit
Cobit / ISACA / CISA
Tata Kelola IT ( IT Governance)
Did you know..?
The need for IT Auditors far outstrips the supply of
qualified candidates
IT Auditors are in demand, but their work is interesting and
challenging
IT Auditors evaluate an organizational entitys IS (Info.
Technologies, data and information, and systems of
communication)
Evaluation includes studying documents, interviewing
people, entering/manipulating data in a computer.
IT Auditors do the above because business processes use IT
to function and IT is integral to an enterprises vialibility
Dampak terhadap organisasi
Prinsip dasar Audit TI adalah melakukan pengumpulan bukti dan evaluasi atas IT Control.
Jika dia efektif maka obyektif bisnis akan dapat tercapai, atau sebaliknya.
Definisi
Audit adalah sistematis, pemeriksaan obyektif dari satu atau
lebih aspek dari suatu organisasi yang membandingkan apa
yang organisasi lakukan untuk satu set kriteria atau
persyaratan
Seiring dengan semakin masifnya adopsi TI, kebutuhan akan Audit TI juga meningkat.
Auditor memiliki kebutuhan untuk menilai potensi risiko atas sistem yang digunakan
organisasinya.
COBIT diadopsi hampir 75% di organisasi responden, sebagai framework Audit TI.
Survey: Koordinasi Audit Internal dengan Entitas
Governance Lain
Survey: Pergeseran dari tradisional ke lebih proaktif, pemberian
nilai tambah dari Audit TI, bekerja lebih dekat dengan TI dan
fungsi bisnis.
Tetapi survey juga memperliihatkan bahwa hilangnya independensi merupakan ancaman nyata
dimana 38% responden melaporkan bahwa Audit orTI mereka terlibat dalam verifikasi/otorisas
sistem informasi baru.
Survey: Kepada siapa Head of Audit Melaporkan?
Tantangan terbesar bagi Head of Internal Audit/IT Audit adalah menyeimbangkan ketrampilan
teknis staff dengan pengetahuan yang luas ttg bisnis. Strategi yang digunakan adalah mix antara
Audit orTI dan Auditor non-TI, 60% melakukan hal ini.
Survey: Training untuk Auditor TI
Secara umum waktu training yang dialokasikan masih rendah, 29% organisasi menyediakan
waktu kurang dari 1 minggu dalam setahun untuk training. Lebih jauh lagi, training lebih banyak
ke sertifikasi, bukan pada bagaimana melakukan kegiatan audit.
Survey: Penggunaan Automated
Tools dalam proses Audit TI
Tools yang digunakan
Survey :siapa yang mendapat lap. Audit TI
80% tidak menyertakan executive summary yg menyajikan temuan-temuan utama. 55% kasus
tidak menyertakan komentar manajemen pada laporan (seberapa seriuskan Audit TI?). 98%
rekomendasi di-follow-up.
Resume Survey
Filosofi paling mendasar dari Audit TI adalah melakukan evaluasi
atas Kontrol TI, dan bagaimana konsekuensinya atas ketercapaian
obyektif bisnis: Strategic Alignment, Benefit Maximization,
Resource Management, Risk Management
Compliance
Kinerja
Kecurangan
Sertifikasi
Jenis Audit (IT)
System Audit
Audit terhadap sistem terdokumentasi untuk
memastikan sudah memenuhi standar nasional atau
internasional
Compliance Audit
Untuk menguji efektifitas implementasi dari kebijakan,
prosedur, kontrol dan unsur hukum yang lain
Product / Service Audit
Untuk menguji suatu produk atau layanan telah sesuai
seperti spesifikasi yang telah ditentukan dan cocok
digunakan
Siapa yang Diaudit
Management
IT Manager
IT Specialist (network, database, system analyst,
programmer, dll.)
User
Siapa yang Meng-Audit
Tergantung Tujuan Audit
Internal Audit (first party audit)
Dilakukan oleh atau atas nama perusahaan sendiri
Biasanya untuk management review atau tujuan internal
perusahaan
Lembaga independen di luar perusahaan
Second party audit
Dilakukan oleh pihak yang memiliki kepentingan thd
perusahaan
Third party audit
Dilakukan oleh pihak independen dari luar perusahaan.
Misalnya untuk sertifikasi (ISO 9001, BS7799 dll).
Tugas Auditor IT
Memastikan sisi-sisi penerapan IT memiliki kontrol
yang diperlukan
Memastikan kontrol tersebut diterapkan dengan
baik sesuai yang diharapkan
Hal-hal yang dilakukan auditor
Persiapan
Review Dokumen
Persiapan kegiatan on-site audit
Melakukan kegiatan on-site audit
Persiapan, persetujuan dan distribusi laporan audit
Follow up audit
Output kegiatan Audit
Hasil akhir adalah berupa laporan yang berisi:
Ruang Lingkup audit
Metodologi
Temuan-temuan
Ketidaksesuaian (sifat ketidaksesuaian, bukti2
pendukung, syarat yg tdk dipenuhi, lokasi, tingkat
ketidaksesuaian)
Kesimpulan (tingkat kesesuaian dengan kriteria audit,
efektifitas implementasi, pemeliharaan dan
pengembangan sistem manajemen, rekomendasi)
Ketrampilan yang dibutuhkan
Kualifikasi :
Pengalaman dan pengetahuan untuk mengidentifikasi,
mengevaluasi, dan memberikan rekomendasi berupa
solusi untuk mengurangi kelemahan sistem IT
=> Mengeluarkan sertifikasi untuk personal auditor
Misi CobiT