IS Audit Process CDG4I3 / Audit Sistem Informasi Angelina Prima K | Gede Ary W. KK SIDE - 2014
Agenda Introduction to IS audit process Risk analysis Internal controls Performing an IS audit Control self-assessment Emerging change in the IS audit process
1. Introduction Proses audit: serangkaian kegiatan audit untuk memastikan bahwa organisasi telah melakukan langkah-langkah yang diperlukan untuk menghadapi perubahan regulasi dan kondisi pasar.
Audit Stages
Audit Stages
Audit Objectives Sasaran audit: Harus dapat: berasal dari eksekutif, regulasi, atau standar industri tergantung pada task departemen, topik, atau langkah tertentu dalam aliran proses bisnis Harus dapat: memberikan jaminan kepada manajemen tentang ketercapaian kontrol menunjukkan kelemahan kontrol dan dampak resikonya memberikan saran aksi korektif bagi manajemen
Audit Charter Peran dan fungsi audit SI harus disepakati di audit charter. Audit SI dapat menjadi bagian dari audit internal, maka audit charter dapat mencakup fungsi audit lainnya. Audit charter harus menyatakan dengan jelas tanggung jawab manajemen, serta tujuan dan pendelegasian wewenang kepada fungsi audit SI. Dokumen ini menjelaskan ruang lingkup kewenangan dan tanggung jawab keseluruhan fungsi audit.
Audit Planning Lingkup audit: proses apa saja yang akan diaudit Rencana audit meliputi: Lingkup audit: proses apa saja yang akan diaudit +lokasi, ukuran, aktivitas, waktu, proses Kriteria audit: berdasarkan kebijakan/ prosedur/ kebutuhan Tim audit Internal audit (pihak pertama) Eksternal audit (pihak kedua) customer/ vendor/ else Independent eksternal audit (pihak ketiga) Integrated/ combined audit (2 fungsi atau lebih sekaligus) Joint audit (2 organisasi auditor atau lebih sekaligus)
Audit Stages
Risk Analysis Resiko: ancaman yang berpotensi menimbulkan kerentanan aset dan menyebabkan kerugian/ kerusakan aset. Elemen resiko: Ancaman dan kerentanan dari proses/ aset (termasuk aset fisik dan informasi) Dampak ancaman dan kerentanan terhadap aset Probabilitas ancaman (kombinasi kemungkinan dan frekuensi kejadian)
Risk Analysis Purposes Membantu auditor mengidentifikasi resiko dan ancaman di lingkungan SI/TI yang perlu diatasi dengan kontrol manajemen dan sistem internal spesifik Membantu auditor dalam menentukan tujuan audit Mengambil keputusan pendukung audit berbasis resiko
2. Internal Controls Kendali internal: kebijakan, prosedur, mekanisme, sistem, dan ukuran lain yang memastikan bahwa proses-proses dalam perusahaan berfungsi dengan baik serta menekan resiko Pengelompokan kendali internal: Tipe Fisik Teknis Administratif Kelas Preventif Detektif Korektif Kategori Otomatis Manual The three types of controls are physical, technical, and administrative. • Physical These types of controls exist in the tangible, physical world. Examples of physical controls are video surveillance, bollards, and fences. • Technical These controls are implemented in the form of information systems and are usually intangible. Examples of technical controls include encryption, computer access controls, and audit logs. • Administrative These controls are the policies and procedures that require or forbid certain activities. An example administrative control is a policy that forbids personal use of information systems. There are three classes of controls. • Preventive This type of control is used to prevent an unwanted event. Examples of preventive controls are computer login screens (which prevent unauthorized persons from accessing information), keycard systems (which prevent unauthorized persons from entering a building or workspace), and encryption (which prevent persons lacking an encryption key from reading encrypted data). • Detective This type of control is used to record both wanted and unwanted events. A detective control cannot enforce an activity (whether it is desired or undesired), but instead it can only make sure that it is known that the event occurred. Examples of detective controls include video surveillance and audit logs. • Corrective This type of control occurs after some unwanted event has occurred. An example corrective control is the act of improving a process when it was found to be defective. There are two categories of controls. • Automatic This type of control performs its function with little or no human judgment or decision making. Examples of automatic controls include a login page on an application that cannot be circumvented and a security door that automatically locks after someone walks through the doorway. • Manual This type of control requires a human to operate it. A manual control may be subject to a higher rate of errors than an automatic control. An example of a manual control is a monthly review of computer users.
Internal Control Objectives Pernyataan kondisi atau keluaran yang diinginkan dari operasional bisnis. Contoh: Perlindungan aset TI Akurasi transaksi Kerahasiaan dan privasi Perubahan sistem TI yang terkendali Kesesuaian dengan kebijakan perusahaan
Audit Stages
3. Performing IS Audit Tipe-tipe audit: Operational audit Financial audit Integrated audit (operational + financial) IS audit Administrative audit Compliance audit Forensic audit Service provider audit Pre-audit Tiap tipe audit tersebut memiliki prosedur yang sesuai.
Audit Procedures Mencakup: Daftar orang yang akan diwawancara Pertanyaan wawancara Dokumentasi (kebijakan, prosedur, dll) yang akan diminta saat wawancara Perangkat audit yang digunakan Tingkat sampling dan metodologi yang dipakai Bagaimana dan dimana pengarsipan bukti Bagaimana evaluasi bukti
Audit Evidence Evidence: informasi yang dikumpulkan oleh auditor selama audit untuk menarik kesimpulan tentang efektivitas kontrol dan sasaran kontrol. Berupa: Hasil observasi Catatan tertulis Korespondensi Proses internal dan dokumentasi prosedur Rekaman bisnis
Audit Stages
Report Preparation Auditor perlu merencanakan format dan mekanisme pelaporan hasil audit. Sesuai dengan laporan standar audit, misal ISACA IS audit standards Jika perlu internal review, identifikasi pihak- pihak yang akan melakukan review dan pastikan komitmen mereka terhadap review laporan audit
Example of Report Structure Cover letter Introduction Summary Description of the audit Listing of interviewees Explanation of sampling techniques Description of findings and recommendations
Reporting Aktivitas yang dilakukan: Sampaikan laporan kepada auditee Jadwalkan closing meeting Untuk audit internal, kirimkan tagihan ke auditee Kumpulkan dan arsipkan seluruh dokumen dan berkas Update dokumen untuk kebutuhan audit lanjutan Kumpulkan feedback dari auditee
Audit Stages
Post-audit Follow-up Setelah waktu tertentu (beberapa hari/ bulan), auditor perlu menghubungi auditee untuk mengetahui progress yang telah dicapai oleh auditee. Perlu dilakukan: Sebagai bentuk perhatian untuk mengetahui keseriusan auditee dalam menindaklanjuti hasil audit. Untuk membantu auditee dalam menindaklanjuti hasil audit, jika diperlukan. Agar auditor bisa lebih memahami komitmen manajemen. Bagi auditor eksternal, dapat meningkatkan citra dan prospek kerjasama bisnis lanjutan.
5. Control Self-Assessment (CSA) CSA adalah metodologi yang digunakan organisasi untuk meninjau tujuan bisnis utama, resiko yang terlibat dalam mencapai tujuan bisnis dan kontrol internal untuk mengelola resiko bisnis dalam proses formal dan kolaboratif yang didokumentasikan Sasaran: Pemilik kontrol ikut bertanggung jawab mengawasi kontrol Mengurangi perkecualian sekaligus meningkatkan performansi
CSA Advantages and Disadvantages Resiko dapat dideteksi lebih awal Perbaikan kontrol internal Meningkatkan kesadaran pekerja tentang kontrol Disadvantages: Bisa disalahartikan sebagai pengganti internal audit Dapat dianggap sebagai pekerjaan tambahan Jika keterlibatan pekerja kurang, perbaikan proses tidak optimal
Kumpulkan dalam bentuk hardcopy pada perkuliahan tanggal Tugas Besar Tiap kelompok max @6 orang Topik: AUDIT SI PADA PERUSAHAAN Tahap 1: Proposal Lokasi yang dianalisis/ diaudit Gambaran umum sistem di lokasi tsb Apakah sudah pernah diaudit? Jika sudah, dengan standar apa? Surat ijin penelitian/ pengumpulan data Kumpulkan dalam bentuk hardcopy pada perkuliahan tanggal 8 September 2015