Fundamental IT AUDIT UDINUS 2016 M. Arief Soeleman

Point Utama

• Filosofi Audit IT
• Tipe / fungsi dasar Audit • Prinsip laporan Audit • Metodologi Audit • Cobit / ISACA / CISA

• • Tata Kelola IT ( IT Governance)

Did you know..?

• “The need for IT Auditors far outstrips the supply of

  qualified candidates”

• IT Auditors are in demand, but their work is interesting and challenging
• IT Auditors evaluate an organizational entity’s IS (Info. Technologies, data and information, and systems of communication)

• • Evaluation includes studying documents, interviewing

  people, entering/manipulating data in a computer.

• • IT Auditors do the above because business processes

  use IT to function and IT is integral to an enterprise’s

  vialibility

Dampak terhadap organisasi

• IT is important in all kinds of organizations; IT also influences organizational risks and controls.
• IT creates opportunities, but these opportunities bring risks
• E.g., the ability to transmit document electronically to customers & vendors allows improving efficiency in the supply chain; but it (electronic communication systems) also poses new risk

IT GOVERNANCE

• A process for controlling organization’s information technology resources ( systems and technology).
• An organization’s mgmt and owners (board of directors) are responsible for governing enterprise and IT.
• Enterprise governance – process of setting and

  implementing corporate strategy, making sure that the organization achieves its objectives efficiently, and manage risks.

• • The objectives of IT governance are to set strategies

  for IT so that it is aligned closely with organizational goals, and to use IT for maximum opportunity, but minimum risk.

• • Two parts of IT Governance; 1. concerns the use of IT

  to promote an organization’s objectives and enable

Continued..

• It begins
• The development of IT Governance plan (set the strategic purposes of IT acquisition and deployment or use)
• It is on on-going process, mgmt needs to regularly evaluate and update plans

  Set Objectives

  IT Activities

• Increase automation (make business effective)
• Decrease cost (make enterprise efficient)
• Manage risks (security reliability<
• IT is aligned with the business
• IT enables the business and maximizes benefits
• IT resources are used responsibly
• IT-related risks managed appropriately Provide direction compare Measure

  

IT GOVERNANCE – CONT..

• ISACA established the IT Governance Institute (1998)
• – to clarify and provide guidance on current and

  future issues pertaining to IT governance, control and

  assurance.
• It developed CobiT (Control Objectives of Information _rd and Related Technology, 3 Edition) and COEG (Control Objectives for Enterprise Governance)

• • CobiT provides guidance on IT governance – providing

  the structure that links IT processes, IT resources and

  information to enterprise strategies and objectives.
• CobiT also includes an IT Governance Management Guidelines – identifies critical success factors, key

  goal and performance indicators, matured model for

  IT governance. It is a guideline that allows

management to use in evaluating performance with

  Filosofi Audit IT the process of finding and evaluating evidence to determine whether an IT system safeguards the organisational assets, uses resources efficiently, maintains data security and integrity and fulfils the business objectives effectively. (INTOSAI) the process of collecting and evaluating evidence to determine whether a computer system (information system) safeguards assets, maintains data integrity, achieves organizational goals effectively and consumes resources efficiently (Ron Webber)

  Bagaimana

  Apa saja obyektif bisnis yang relevan dengan TI dan bagaimana hubungannya dengan efektifitas sistem TI? Prinsip dasar Audit TI adalah melakukan pengumpulan bukti dan

Definisi

• Audit adalah sistematis, pemeriksaan obyektif dari satu atau lebih aspek dari suatu organisasi yang membandingkan apa yang organisasi lakukan untuk satu set kriteria atau persyaratan

  Standardisasi (ISO) pedoman audit menggunakan

  istilah untuk audit berarti "sistematis, proses independen dan terdokumentasi untuk memperoleh bukti audit dan mengevaluasinya secara objektif untuk menentukan sejauh mana kriteria audit terpenuhi”

• • Information Tech. Infrastructure Library (ITIL)

  mendefinisikan audit sebagai "pemeriksaan formal dan verifikasi untuk memeriksa apakah standar atau set pedoman sedang diikuti, bahwa catatan yang akurat, atau bahwa efisiensi dan efektivitas

• IT audit membantu organisasi memahami,

  menilai, dan meningkatkan penggunaan kontrol

  untuk menjaga IT, mengukur dan kinerja yang benar, dan mencapai tujuan dan hasil yang dimaksudkan.

• • IT audit terdiri dari penggunaan metodologi

  

audit yang formal untuk memeriksa IT - spesifik

proses, kemampuan, aset dan peran mereka dalam memungkinkan proses bisnis organisasi

• IT audit juga membahas komponen atau kemampuan yang mendukung domain lainnya tunduk pada audit, seperti manajemen keuangan dan akuntansi, kinerja operasional, jaminan

  Perhatian utama Audit TI atas penggunaan sistem TI: RISIKO Seiring dengan semakin masifnya adopsi TI, kebutuhan akan Audit TI

juga meningkat. Auditor memiliki kebutuhan untuk menilai potensi

risiko atas sistem yang digunakan organisasinya.

  Perubahan lingkungan kontrol internal Potensi berkurangnya akuntabilitas karena sifat anonim user Kemungkinan amandemen data yang tanpa terotorisasi atau tanpa tercatat Perubahan-perubahan dalam audit evidence Kemungkinan duplikasi atau non-inklusi data New Opoortunities &amp; mechanism untuk fraud dan error Penyimpanan dan pemrosesan data terdistribusi Kerahasiaan dan integrity informasi kunci bisnis

  Survei Responden

  Survey terhadap framework

  

Survey: Koordinasi Audit Internal

dengan Entitas Governance Lain

  

Survey: Pergeseran dari tradisional ke lebih

proaktif, pemberian nilai tambah dari Audit

TI, bekerja lebih dekat dengan TI dan fungsi

bisnis .

  Tetapi survey juga memperliihatkan bahwa hilangnya independensi

  Survey: Kepada siapa Head of Audit Melaporkan?

  Best Practices mengatakan bahwa pelaporan kepada BoD atau Audit

  Survey: Skill yang paling dibutuhkan

  Survey: Training untuk Auditor TI

Secara umum waktu training yang dialokasikan masih rendah, 29% organisasi

  Survey: Penggunaan

Automated Tools dalam

proses Audit TI

  Tools yang digunakan

  Survey :siapa yang mendapat lap. Audit TI

80% tidak menyertakan executive summary yg menyajikan temuan-temuan

  Resume Survey

Filosofi paling mendasar dari Audit TI adalah melakukan

evaluasi atas Kontrol TI, dan bagaimana konsekuensinya atas ketercapaian obyektif bisnis: Strategic Alignment, Benefit Maximization, Resource Management, Risk Management

  Pengetahuan dan ketrampilan tentang Kontrol TI menjadi kunci dalam melakukan tahapan-tahapan Audit TI. Kelemahan dalam penguasaan Kontrol TI adalah sebab terbesar terjadinya Audit Risk.

  Best Practices seperti metoda efektif perencanaan &amp; pengorganisasian, staffing dan peningkatan skill dan

Ruang Lingkup Audit

• • Audit operasional mengetahui efektivitas

  dari satu atau lebih proses bisnis atau fungsi organisasi dan efisiensi penggunaan sumber daya dalam mendukung tujuan dan sasaran organisasi.

  Teknologi informasi (IT) audit meneliti proses, aset TI, dan kontrol pada beberapa tingkatan dalam suatu organisasi untuk menentukan sejauh mana organisasi mematuhi standar yang berlaku atau persyaratan.

• Auditor membandingkan subjek audit-proses, sistem, komponen, perangkat lunak, atau organisasi secara keseluruhan-eksplisit dengan yang standar yang telah ditetapkan

  untuk menentukan apakah subjek memenuhi

  kriteria.

  Temuan audit mengidentifikasi kekurangan di

  mana, apa yang diamati auditor atau ditemukan melalui analisis bukti audit berbeda dari apa yang diharapkan atau dibutuhkan sehingga subjek audit yang tidak

Pahami Bisnis Anda

• Langkah awal untuk menerapkan audit berbasis resiko adalah memahami bisnis yang sedang dijalankan. Apakah bisnis anda ?
• Apa fungsi dan tujuan perusahaan? Apakah bisnis yang ada termasuk umum ?
• Apakah beberapa resiko yang ada termasuk baru dalam tipe bisnis saat ini?
• Bagaimana manajemen bereaksi terhadap berita negative?
• Bagaimana control kesalahan dikenali dan di laporkan?

  Overlap Audit

  IT auditing has much in common with other types of audit and

Keuntungan Audit

• Menilai keefektifan aktivitas aktifitas dokumentasi dalam organisasi
• Memonitor kesesuaian dengan kebijakan, sistem, prosedur dan undang-undang perusahaan
• Mengukur tingkat efektifitas dari sistem
• Mengidentifikasi kelemahan di sistem yang mungkin mengakibatkan ketidaksesuaian di masa datang
• Menyediakan informasi untuk proses peningkatan
• Meningkatkan saling memahami antar departemen dan antar individu
• Melaporkan hasil tinjauan dan tindakan berdasarkan resiko ke Manajemen

  Elemen kontrol

• Elemen kontrol TI internal dapat diaudit dalam isolasi atau bersama-sama. Meskipun ketika audit IT berfokus sempit pada satu aspek dari IT, auditor perlu mempertimbangkan konteks yang lebih luas dalam hal teknis, operasional, dan lingkungan.

  IT audit juga mengatasi proses pengendalian internal dan fungsi, seperti operasi dan prosedur pemeliharaan, kelangsungan bisnis dan pemulihan bencana, penanganan insiden, jaringan dan pemantauan keamanan, manajemen konfigurasi, pengembangan sistem,

  Contoh kategori kontrol

IT Audit Area

• Planning
• Organization and

Management

• Policies and procedures
• Security

• •Regulation and standard

Jenis Audit (Secara Umum)

• Compliance
• Kinerja
• Kecurangan
• Sertifikasi

Jenis Audit (IT)

• System Audit • Audit terhadap sistem terdokumentasi

  untuk memastikan sudah memenuhi standar nasional atau internasional

• Compliance Audit

  • Untuk menguji efektifitas implementasi

  dari kebijakan, prosedur, kontrol dan unsur hukum yang lain

• Product / Service Audit • Untuk menguji suatu produk atau layanan

  telah sesuai seperti spesifikasi yang telah

Siapa yang Diaudit

• Management • IT Manager

  • IT Specialist (network, database, system

  analyst, programmer, dll.)
• User

  Misalnya untuk sertifikasi (ISO 9001, BS7799 dll).

  Siapa yang Meng-Audit Tergantung Tujuan Audit

• Internal Audit (first party audit)
• Dilakukan oleh atau atas nama perusahaan sendiri
• Biasanya untuk management review atau tujuan internal perusa>Lembaga independen di luar perusahaan
• Second party a
• Dilakukan oleh pihak yang memiliki kepentingan thd perusahaan
• Third party audit • Dilakukan oleh pihak independen dari luar perusahaan.

Tugas Auditor IT

• Memastikan sisi-sisi penerapan IT memiliki kontrol yang diperlukan

• • Memastikan kontrol tersebut diterapkan

  dengan baik sesuai yang diharapkan

Hal-hal yang dilakukan auditor

• Persiapan • Review Dokumen • Persiapan kegiatan on-site audit
• Melakukan kegiatan on-site audit

• • Persiapan, persetujuan dan distribusi

  laporan audit
• Follow up audit

  Hasil akhir adalah berupa laporan yang berisi:

  Output kegiatan Audit

• Ruang Lingkup audit
• Metodologi • Temuan-temuan
• Ketidaksesuaian (sifat ketidaksesuaian, bukti2 pendukung, syarat yg tdk dipenuhi, lokasi, tingkat ketidaksesuaian)
• Kesimpulan (tingkat kesesuaian dengan kriteria audit, efektifitas implementasi, pemeliharaan dan pengembangan sistem manajemen, rekomendasi)

Ketrampilan yang dibutuhkan

• Audit skill : sampling, komunikasi, melakukan interview, mengajukan pertanyaan, mencatat

• • Generic knowledge : pengetahuan mengenai

  prinsip2 audit, prosedur dan teknik, sistem manajemen dan dokumen2 referensi, organisasi, peraturan2 yang berlaku
• Specific knowledge : background IT/IS,

  bisnis, specialist technical skill, pengalaman

  audit sistem manajemen, perundangan

  Prinsip-prinsip Audit

• Ethical con>Berdasar pada profesionalisme, kejujuran, integritas, kerahasiaan dan kebijaksa>Fair Presenta>Kewajiban melaporkan secara jujur dan ak>Due professional >Implementasi dari kesungguhan dan pertimbangan yang diber
• Independence • Evidence-base approach

  Scope Audit

Internal Auditor

• Audit kontrol internal TI membutuhkan pengetahuan yang luas IT, keterampilan, dan kemampuan dan keahlian dalam prinsip-prinsip umum dan khusus IT audit, praktik, dan proses. Organisasi perlu mengembangkan atau memperoleh tenaga dengan pemahaman khusus tujuan pengendalian dan pengalaman dalam operasi IT yang diperlukan untuk secara efektif melakukan audit TI. Jenis organisasi dan individu yang melakukan audit

  IT meliputi: Auditor internal, yang terdiri baik karyawan organisasi yang melakukan audit internal IT atau kontraktor, konsultan, atau spesialis outsourcing

  Alasan Auditor internal

• • Alasan yang digunakan untuk membenarkan audit

  TI internal dapat lebih bervariasi di seluruh organisasi, tetapi meliputi: Sesuai dengan surat aturan pertukaran yang perusahaan memiliki fungsi audit internal;
• mengevaluasi efektivitas pengendalian yang dilakukan;
• mengkonfirmasikan kepatuhan terhadap kebijakan internal, proses, dan prosedur;
• memeriksa kesesuaian dengan tata kelola TI atau kontrol kerangka kerja dan standar;
• menganalisis kerentanan dan pengaturan

  konfigurasi untuk mendukung pemantauan terus

  menerus; mengidentifikasi kelemahan dan kekurangan

  Eksternal Auditor

• Audit TI eksternal, menurut definisi, dilakukan oleh auditor dan entitas luar subjek organisasi untuk audit. Tergantung pada ukuran organisasi dan ruang lingkup dan

  kompleksitas audit TI, audit eksternal dapat

  dilakukan oleh auditor tunggal atau tim.

• • Auditor mandiri penting bagi audit internal dan

  eksternal, tetapi dalam konteks audit eksternal mandiri tersebut sering tidak diperlukan.
• Sementara perusahaan yang menyediakan jasa audit eksternal tunduk peraturan organisasi dan pengawasan, auditor individu melakukan audit eksternal biasanya harus menunjukkan pengetahuan yang memadai dan keahlian dan kualifikasi yang sesuai.
• Sertifikasi profesional menyediakan satu

  indikator kualifikasi auditor, terutama di mana

  sertifikasi yang spesifik sesuai dengan jenis audit eksternal yang dilakukan.

Keahlian

• Auditor TI internal juga perlu keterampilan non- teknis yang tepat dan karakteristik, termasuk integritas pribadi dan profesional dan standar etika.
• Auditor TI internal dapat menunjukkan kualifikasi yang memenuhi kombinasi kemampuan yang berkaitan dengan IT dan sifat-sifat profesional individu dengan mencapai sertifikasi yang relevan.
• Terutama termasuk Institut Certified Internal Auditor (CIA) credential Auditor Internal dan

  CISA ISACA atau Sistem Informasi Bersertifikat

  Apa yang diaudit

• Audit TI dapat mengevaluasi seluruh organisasi, unit bisnis individu, fungsi misi dan proses bisnis, jasa, sistem, infrastruktur, atau komponen teknologi. Terlepas dari metode IT audit secara keseluruhan digunakan, IT audit selalu mengatasi satu atau lebih bidang studi yang berkaitan dengan teknologi, termasuk kontrol yang berkaitan dengan hal berikut: Pusat data dan fasilitas fisik lainnya seperti :

  Server Virtualisasi dan Lingkungan layanan dan operasi outsourcing - infrastruktur jaringan Telekomunikasi - web dan server aplikasi Sistem operasi - Software dan paket aplikasi

  Apa yang di audit ?

  Scope

  Peraturan dan Standar Yang Biasa Dipakai

• ISO / IEC 17799 and BS
• Control Objectives for Information and

  related Technology (CobiT)

• ISO TR 13335
• IT Baseline Protection Manual • ITSEC / Common Criteria • Federal Information Processing Standard 140-1/2

  (FIPS 140-1/2)

• The “Sicheres Internet” Task Force [Task Force Sicheres Internet]
• The quality seal and product audit scheme operated by the Schleswig-Holstein Independent State Centre for Data Privacy Protection (ULD)

CobiT…

  CobiT…

  

Control Objectives for Information

and

Related Technology

  CobiT

• Dibuat oleh organisasi ISACA (Information Systems Audit and Control

  Association) dan dikembangkan oleh IT Governance Institute

• • Focus pada audit, control dan security

  issues

Badan (Indonesia)

• • ISACA Indonesian Chapter (isaca.or.id)

• ISSA (Information System Security Association) Indonesian Chapter

Sertifikasi

• CISA (Certified Information Systems Auditor)
• CISM (Certified Information Security Manager)
• CISSP (Certified IS Security Professional)
• CIA (Certified Internal Auditor) Kualifikasi : Pengalaman dan pengetahuan untuk mengidentifikasi, mengevaluasi, dan memberikan rekomendasi berupa solusi untuk mengurangi kelemahan sistem IT

  =&gt; Mengeluarkan sertifikasi untuk personal auditor

Misi CobiT

  Melakukan penelitian, pengembangan, publikasi dan promosi terhadap control objective dari teknologi informasi yang secara umum diterima di lingkungan

internasional untuk pemakaian sehari-hari

oleh manager dan auditor

  Lingkup CobiT -&gt; 4 domains

• Planning &amp; Organization • Acquisition &amp; Implementation • Delivery &amp; Support • Monitoring

CobiT -> Control Objectives

• • Defining controls that should be in place

• 34 processes
• 3-30 detailed IT Control Objectives

  Pola Pikir

  

BS7799

BS7799 What’s BS7799

• Sebuah pendekatan berbasis ‘resiko’ dalam mendefinisikan kebijakan dan prosedur serta untuk memilih kontrol yang memadai untuk mengelola resiko
• ISO/IEC 1>Information technology – code of practice for information security manage>BS
• Information security management systems –

  Specification with guidance for use

Kebutuhan auditor IT

• • Internal Audit -&gt; setiap perusahaan

  memerlukan

• • Perusahaan penyedia layanan audit

• Perusahaan penyedia sertifikasi

Peluang

• Ketergantungan terhadap IT semakin besar sehingga muncul kebutuhan untuk melakukan audit IT
• Auditor IT yang sekarang banyak yang berasal bukan dari bidang IT
• Banyak permasalahan (bisnis) dalam pengelolaan IT

  References [1] ISO 19011:2011. Guidelines for auditing management systems.

  [2] ITIL glossary and abbreviations. London (UK): Cabinet Office; 2011.

  [3] Sarbanes–Oxley Act of 2002, Pub. L. No. 107-204, 116 Stat. 745.

  

[4] Committee of Sponsoring Organizations of the Treadway

Commission. Internal control—Integrated framework. New York (NY): Committee of Sponsoring Organizations of the Treadway Commission; 2013.

  

[5] IT Governance Institute. COBIT 4.1. Rolling Meadows (IL):