Fundamental IT AUDIT M. Arief Soeleman UDINUS 2016.

Presentasi berjudul: "Fundamental IT AUDIT M. Arief Soeleman UDINUS 2016."— Transcript presentasi:

1 Fundamental IT AUDIT M. Arief Soeleman UDINUS 2016

2 Point Utama Filosofi Audit IT Tipe / fungsi dasar Audit
Prinsip laporan Audit Metodologi Audit Cobit / ISACA / CISA Tata Kelola IT ( IT Governance)

3 Did you know..? “The need for IT Auditors far outstrips the supply of qualified candidates” IT Auditors are in demand, but their work is interesting and challenging IT Auditors evaluate an organizational entity’s IS (Info. Technologies, data and information, and systems of communication) Evaluation includes studying documents, interviewing people, entering/manipulating data in a computer. IT Auditors do the above because business processes use IT to function and IT is integral to an enterprise’s vialibility

4 Dampak terhadap organisasi
IT is important in all kinds of organizations; IT also influences organizational risks and controls. IT creates opportunities, but these opportunities bring risks E.g., the ability to transmit document electronically to customers & vendors allows improving efficiency in the supply chain; but it (electronic communication systems) also poses new risk

5 IT GOVERNANCE A process for controlling organization’s information technology resources ( systems and technology). An organization’s mgmt and owners (board of directors) are responsible for governing enterprise and IT. Enterprise governance – process of setting and implementing corporate strategy, making sure that the organization achieves its objectives efficiently, and manage risks. The objectives of IT governance are to set strategies for IT so that it is aligned closely with organizational goals, and to use IT for maximum opportunity, but minimum risk. Two parts of IT Governance; 1. concerns the use of IT to promote an organization’s objectives and enable business processes; 2. involves managing and controlling IT-related risks

6 Continued.. It begins with
The development of IT Governance plan (set the strategic purposes of IT acquisition and deployment or use) It is on on-going process, mgmt needs to regularly evaluate and update plans Provide direction IT Activities Increase automation (make business effective) Decrease cost (make enterprise efficient) Manage risks (security reliability and compliance Set Objectives IT is aligned with the business IT enables the business and maximizes benefits IT resources are used responsibly IT-related risks managed appropriately compare Measure performance

7 IT GOVERNANCE – CONT.. ISACA established the IT Governance Institute (1998) – to clarify and provide guidance on current and future issues pertaining to IT governance, control and assurance. It developed CobiT (Control Objectives of Information and Related Technology, 3rd Edition) and COEG (Control Objectives for Enterprise Governance) CobiT provides guidance on IT governance – providing the structure that links IT processes, IT resources and information to enterprise strategies and objectives. CobiT also includes an IT Governance Management Guidelines – identifies critical success factors, key goal and performance indicators, matured model for IT governance. It is a guideline that allows management to use in evaluating performance with regards to IT

8 Bagaimana memastikan status efektifitas tersebut?
Filosofi Audit IT the process of finding and evaluating evidence to determine whether an IT system safeguards the organisational assets, uses resources efficiently, maintains data security and integrity and fulfils the business objectives effectively. (INTOSAI) the process of collecting and evaluating evidence to determine whether a computer system (information system) safeguards assets, maintains data integrity, achieves organizational goals effectively and consumes resources efficiently (Ron Webber) Pengumpulan dan evaluasi Evidence Analisa Efektifitas Sistem TI atas obyektif bisnis Bagaimana memastikan status efektifitas tersebut?

9 Apa saja obyektif bisnis yang relevan dengan TI dan bagaimana hubungannya dengan efektifitas sistem TI? Prinsip dasar Audit TI adalah melakukan pengumpulan bukti dan evaluasi atas IT Control. Jika dia efektif maka obyektif bisnis akan dapat tercapai, atau sebaliknya.

10 Definisi Audit adalah sistematis, pemeriksaan obyektif dari satu atau lebih aspek dari suatu organisasi yang membandingkan apa yang organisasi lakukan untuk satu set kriteria atau persyaratan Standardisasi (ISO) pedoman audit menggunakan istilah untuk audit berarti "sistematis, proses independen dan terdokumentasi untuk memperoleh bukti audit dan mengevaluasinya secara objektif untuk menentukan sejauh mana kriteria audit terpenuhi” Information Tech. Infrastructure Library (ITIL) mendefinisikan audit sebagai "pemeriksaan formal dan verifikasi untuk memeriksa apakah standar atau set pedoman sedang diikuti, bahwa catatan yang akurat, atau bahwa efisiensi dan efektivitas target terpenuhi “ [2].

11 IT audit membantu organisasi memahami, menilai, dan meningkatkan penggunaan kontrol untuk menjaga IT, mengukur dan kinerja yang benar, dan mencapai tujuan dan hasil yang dimaksudkan. IT audit terdiri dari penggunaan metodologi audit yang formal untuk memeriksa IT - spesifik proses, kemampuan, aset dan peran mereka dalam memungkinkan proses bisnis organisasi IT audit juga membahas komponen atau kemampuan yang mendukung domain lainnya tunduk pada audit, seperti manajemen keuangan dan akuntansi, kinerja operasional, jaminan kualitas, dan tata kelola, manajemen risiko, dan kepatuhan (GRC) IT.

12 Perhatian utama Audit TI atas penggunaan sistem TI: RISIKO
Seiring dengan semakin masifnya adopsi TI, kebutuhan akan Audit TI juga meningkat. Auditor memiliki kebutuhan untuk menilai potensi risiko atas sistem yang digunakan organisasinya. Perubahan lingkungan kontrol internal Potensi berkurangnya akuntabilitas karena sifat anonim user Kemungkinan amandemen data yang tanpa terotorisasi atau tanpa tercatat Perubahan-perubahan dalam audit evidence Kemungkinan duplikasi atau non-inklusi data New Opoortunities & mechanism untuk fraud dan error Penyimpanan dan pemrosesan data terdistribusi Kerahasiaan dan integrity informasi kunci bisnis ……..

13 Survei Responden Survey dilakukan pada 300 organisasi pada 20 negara (Eropa, Timur Tengah dan Afrika)

14 Survey terhadap framework
COBIT diadopsi hampir 75% di organisasi responden, sebagai framework Audit TI.

15 Survey: Koordinasi Audit Internal dengan Entitas Governance Lain

16 Survey: Pergeseran dari tradisional ke lebih proaktif, pemberian nilai tambah dari Audit TI, bekerja lebih dekat dengan TI dan fungsi bisnis. Tetapi survey juga memperliihatkan bahwa hilangnya independensi merupakan ancaman nyata, dimana 38% responden melaporkan bahwa Audit orTI mereka terlibat dalam verifikasi/otorisasi sistem informasi baru.

17 Survey: Kepada siapa Head of Audit Melaporkan?
Best Practices mengatakan bahwa pelaporan kepada BoD atau Audit Committee. berdasarkan survey, hanya sekitar 30% yang sesuai. Dan ternyata masih ada 10% Audit Plan yang harus disetujui oleh fungsi TI.

18 Survey: Skill yang paling dibutuhkan
Tantangan terbesar bagi Head of Internal Audit/IT Audit adalah menyeimbangkan ketrampilan teknis staff dengan pengetahuan yang luas ttg bisnis. Strategi yang digunakan adalah mix antara Audit orTI dan Auditor non-TI, 60% melakukan hal ini.

19 Survey: Training untuk Auditor TI
Secara umum waktu training yang dialokasikan masih rendah, 29% organisasi menyediakan waktu kurang dari 1 minggu dalam setahun untuk training. Lebih jauh lagi, training lebih banyak ke sertifikasi, bukan pada bagaimana melakukan kegiatan audit.

20 Survey: Penggunaan Automated Tools dalam proses Audit TI

21 Tools yang digunakan

22 Survey :siapa yang mendapat lap. Audit TI
80% tidak menyertakan executive summary yg menyajikan temuan-temuan utama. 55% kasus tidak menyertakan komentar manajemen pada laporan (seberapa seriuskan Audit TI?). 98% rekomendasi di-follow-up.

23 Resume Survey Filosofi paling mendasar dari Audit TI adalah melakukan evaluasi atas Kontrol TI, dan bagaimana konsekuensinya atas ketercapaian obyektif bisnis: Strategic Alignment, Benefit Maximization, Resource Management, Risk Management Pengetahuan dan ketrampilan tentang Kontrol TI menjadi kunci dalam melakukan tahapan-tahapan Audit TI. Kelemahan dalam penguasaan Kontrol TI adalah sebab terbesar terjadinya Audit Risk. Best Practices seperti metoda efektif perencanaan & pengorganisasian, staffing dan peningkatan skill dan pengelolaan follow-up dapat dirujuk untuk meningkatkan kematangan audit internal

24 Ruang Lingkup Audit Audit operasional mengetahui efektivitas dari satu atau lebih proses bisnis atau fungsi organisasi dan efisiensi penggunaan sumber daya dalam mendukung tujuan dan sasaran organisasi Teknologi informasi (IT) audit meneliti proses, aset TI, dan kontrol pada beberapa tingkatan dalam suatu organisasi untuk menentukan sejauh mana organisasi mematuhi standar yang berlaku atau persyaratan.

25 Auditor membandingkan subjek audit-proses, sistem, komponen, perangkat lunak, atau organisasi secara keseluruhan-eksplisit dengan yang standar yang telah ditetapkan untuk menentukan apakah subjek memenuhi kriteria. Temuan audit mengidentifikasi kekurangan di mana, apa yang diamati auditor atau ditemukan melalui analisis bukti audit berbeda dari apa yang diharapkan atau dibutuhkan sehingga subjek audit yang tidak dapat memenuhi persyaratan.

26 Pahami Bisnis Anda Langkah awal untuk menerapkan audit berbasis resiko adalah memahami bisnis yang sedang dijalankan. Apakah bisnis anda ? Apa fungsi dan tujuan perusahaan? Apakah bisnis yang ada termasuk umum ? Apakah beberapa resiko yang ada termasuk baru dalam tipe bisnis saat ini? Bagaimana manajemen bereaksi terhadap berita negative? Bagaimana control kesalahan dikenali dan di laporkan?

27 Overlap Audit IT auditing has much in common with other types of audit and overlaps in many respects with financial, operational, and quality audit practices.

28 Keuntungan Audit Menilai keefektifan aktivitas aktifitas dokumentasi dalam organisasi Memonitor kesesuaian dengan kebijakan, sistem, prosedur dan undang-undang perusahaan Mengukur tingkat efektifitas dari sistem Mengidentifikasi kelemahan di sistem yang mungkin mengakibatkan ketidaksesuaian di masa datang Menyediakan informasi untuk proses peningkatan Meningkatkan saling memahami antar departemen dan antar individu Melaporkan hasil tinjauan dan tindakan berdasarkan resiko ke Manajemen

29 Elemen kontrol Elemen kontrol TI internal dapat diaudit dalam isolasi atau bersama-sama. Meskipun ketika audit IT berfokus sempit pada satu aspek dari IT, auditor perlu mempertimbangkan konteks yang lebih luas dalam hal teknis, operasional, dan lingkungan. IT audit juga mengatasi proses pengendalian internal dan fungsi, seperti operasi dan prosedur pemeliharaan, kelangsungan bisnis dan pemulihan bencana, penanganan insiden, jaringan dan pemantauan keamanan, manajemen konfigurasi, pengembangan sistem, dan manajemen proyek

30 Contoh kategori kontrol

31 IT Audit Area Planning Organization and Management
Policies and procedures Security Regulation and standard

32 Jenis Audit (Secara Umum)
Compliance Kinerja Kecurangan Sertifikasi

33 Jenis Audit (IT) System Audit
Audit terhadap sistem terdokumentasi untuk memastikan sudah memenuhi standar nasional atau internasional Compliance Audit Untuk menguji efektifitas implementasi dari kebijakan, prosedur, kontrol dan unsur hukum yang lain Product / Service Audit Untuk menguji suatu produk atau layanan telah sesuai seperti spesifikasi yang telah ditentukan dan cocok digunakan

34 Siapa yang Diaudit Management IT Manager
IT Specialist (network, database, system analyst, programmer, dll.) User

35 Siapa yang Meng-Audit Tergantung Tujuan Audit
Internal Audit (first party audit) Dilakukan oleh atau atas nama perusahaan sendiri Biasanya untuk management review atau tujuan internal perusahaan Lembaga independen di luar perusahaan Second party audit Dilakukan oleh pihak yang memiliki kepentingan thd perusahaan Third party audit Dilakukan oleh pihak independen dari luar perusahaan. Misalnya untuk sertifikasi (ISO 9001, BS7799 dll).

36 Tugas Auditor IT Memastikan sisi-sisi penerapan IT memiliki kontrol yang diperlukan Memastikan kontrol tersebut diterapkan dengan baik sesuai yang diharapkan

37 Hal-hal yang dilakukan auditor
Persiapan Review Dokumen Persiapan kegiatan on-site audit Melakukan kegiatan on-site audit Persiapan, persetujuan dan distribusi laporan audit Follow up audit

38 Output kegiatan Audit Hasil akhir adalah berupa laporan yang berisi:
Ruang Lingkup audit Metodologi Temuan-temuan Ketidaksesuaian (sifat ketidaksesuaian, bukti2 pendukung, syarat yg tdk dipenuhi, lokasi, tingkat ketidaksesuaian) Kesimpulan (tingkat kesesuaian dengan kriteria audit, efektifitas implementasi, pemeliharaan dan pengembangan sistem manajemen, rekomendasi)

39 Ketrampilan yang dibutuhkan
Audit skill : sampling, komunikasi, melakukan interview, mengajukan pertanyaan, mencatat Generic knowledge : pengetahuan mengenai prinsip2 audit, prosedur dan teknik, sistem manajemen dan dokumen2 referensi, organisasi, peraturan2 yang berlaku Specific knowledge : background IT/IS, bisnis, specialist technical skill, pengalaman audit sistem manajemen, perundangan

40 Prinsip-prinsip Audit
Ethical conduct Berdasar pada profesionalisme, kejujuran, integritas, kerahasiaan dan kebijaksanaan Fair Presentation Kewajiban melaporkan secara jujur dan akurat Due professional care Implementasi dari kesungguhan dan pertimbangan yang diberikan Independence Evidence-base approach

41 Scope Audit

42 Internal Auditor Audit kontrol internal TI membutuhkan pengetahuan yang luas IT, keterampilan, dan kemampuan dan keahlian dalam prinsip-prinsip umum dan khusus IT audit, praktik, dan proses. Organisasi perlu mengembangkan atau memperoleh tenaga dengan pemahaman khusus tujuan pengendalian dan pengalaman dalam operasi IT yang diperlukan untuk secara efektif melakukan audit TI. Jenis organisasi dan individu yang melakukan audit IT meliputi: Auditor internal, yang terdiri baik karyawan organisasi yang melakukan audit internal IT atau kontraktor, konsultan, atau spesialis outsourcing yang disewa oleh organisasi untuk melaksanakan audit internal;

43 Alasan Auditor internal
Alasan yang digunakan untuk membenarkan audit TI internal dapat lebih bervariasi di seluruh organisasi, tetapi meliputi: Sesuai dengan surat aturan pertukaran yang perusahaan memiliki fungsi audit internal; - mengevaluasi efektivitas pengendalian yang dilakukan; - mengkonfirmasikan kepatuhan terhadap kebijakan internal, proses, dan prosedur; - memeriksa kesesuaian dengan tata kelola TI atau kontrol kerangka kerja dan standar; - menganalisis kerentanan dan pengaturan konfigurasi untuk mendukung pemantauan terus menerus; mengidentifikasi kelemahan dan kekurangan sebagai bagian dari manajemen risiko awal atau berkelanjutan

44 Eksternal Auditor Audit TI eksternal, menurut definisi, dilakukan oleh auditor dan entitas luar subjek organisasi untuk audit. Tergantung pada ukuran organisasi dan ruang lingkup dan kompleksitas audit TI, audit eksternal dapat dilakukan oleh auditor tunggal atau tim.

45 Auditor mandiri penting bagi audit internal dan eksternal, tetapi dalam konteks audit eksternal mandiri tersebut sering tidak diperlukan. Sementara perusahaan yang menyediakan jasa audit eksternal tunduk peraturan organisasi dan pengawasan, auditor individu melakukan audit eksternal biasanya harus menunjukkan pengetahuan yang memadai dan keahlian dan kualifikasi yang sesuai. Sertifikasi profesional menyediakan satu indikator kualifikasi auditor, terutama di mana sertifikasi yang spesifik sesuai dengan jenis audit eksternal yang dilakukan.

46 Keahlian Auditor TI internal juga perlu keterampilan non-teknis yang tepat dan karakteristik, termasuk integritas pribadi dan profesional dan standar etika. Auditor TI internal dapat menunjukkan kualifikasi yang memenuhi kombinasi kemampuan yang berkaitan dengan IT dan sifat-sifat profesional individu dengan mencapai sertifikasi yang relevan. Terutama termasuk Institut Certified Internal Auditor (CIA) credential Auditor Internal dan CISA ISACA atau Sistem Informasi Bersertifikat Manager (CISM).

47 Apa yang diaudit Audit TI dapat mengevaluasi seluruh organisasi, unit bisnis individu, fungsi misi dan proses bisnis, jasa, sistem, infrastruktur, atau komponen teknologi. Terlepas dari metode IT audit secara keseluruhan digunakan, IT audit selalu mengatasi satu atau lebih bidang studi yang berkaitan dengan teknologi, termasuk kontrol yang berkaitan dengan hal berikut: Pusat data dan fasilitas fisik lainnya seperti : Server Virtualisasi dan Lingkungan layanan dan operasi outsourcing - infrastruktur jaringan Telekomunikasi - web dan server aplikasi Sistem operasi - Software dan paket aplikasi Database - Pengguna dan Aplikasi interface Storage - Perangkat Mobile

48 Apa yang di audit ?

49 Scope

50 Peraturan dan Standar Yang Biasa Dipakai
ISO / IEC and BS7799 Control Objectives for Information and related Technology (CobiT) ISO TR 13335 IT Baseline Protection Manual ITSEC / Common Criteria Federal Information Processing Standard 140-1/2 (FIPS /2) The “Sicheres Internet” Task Force [Task Force Sicheres Internet] The quality seal and product audit scheme operated by the Schleswig-Holstein Independent State Centre for Data Privacy Protection (ULD) ISO 9000

51 Control Objectives for Information and Related Technology
CobiT… Control Objectives for Information and Related Technology

52 CobiT Dibuat oleh organisasi ISACA (Information Systems Audit and Control Association) dan dikembangkan oleh IT Governance Institute Focus pada audit, control dan security issues

53 Badan (Indonesia) ISACA Indonesian Chapter (isaca.or.id)
ISSA (Information System Security Association) Indonesian Chapter

54 Sertifikasi CISA (Certified Information Systems Auditor)
CISM (Certified Information Security Manager) CISSP (Certified IS Security Professional) CIA (Certified Internal Auditor) Kualifikasi : Pengalaman dan pengetahuan untuk mengidentifikasi, mengevaluasi, dan memberikan rekomendasi berupa solusi untuk mengurangi kelemahan sistem IT => Mengeluarkan sertifikasi untuk personal auditor

55 Misi CobiT Melakukan penelitian, pengembangan, publikasi dan promosi terhadap control objective dari teknologi informasi yang secara umum diterima di lingkungan internasional untuk pemakaian sehari-hari oleh manager dan auditor

56 Lingkup CobiT -> 4 domains
Planning & Organization Acquisition & Implementation Delivery & Support Monitoring

57 CobiT -> Control Objectives
Defining controls that should be in place 34 processes 3-30 detailed IT Control Objectives

58 Pola Pikir

59

60 BS7799

61 What’s BS7799 Sebuah pendekatan berbasis ‘resiko’ dalam mendefinisikan kebijakan dan prosedur serta untuk memilih kontrol yang memadai untuk mengelola resiko ISO/IEC 17799 Information technology – code of practice for information security management BS 7799 Information security management systems – Specification with guidance for use

62 Kebutuhan auditor IT Internal Audit -> setiap perusahaan memerlukan
Perusahaan penyedia layanan audit Perusahaan penyedia sertifikasi

63 Peluang Ketergantungan terhadap IT semakin besar sehingga muncul kebutuhan untuk melakukan audit IT Auditor IT yang sekarang banyak yang berasal bukan dari bidang IT Banyak permasalahan (bisnis) dalam pengelolaan IT

64 References [1] ISO 19011:2011. Guidelines for auditing management systems. [2] ITIL glossary and abbreviations. London (UK): Cabinet Office; 2011. [3] Sarbanes–Oxley Act of 2002, Pub. L. No , 116 Stat. 745. [4] Committee of Sponsoring Organizations of the Treadway Commission. Internal control—Integrated framework. New York (NY): Committee of Sponsoring Organizations of the Treadway Commission; 2013. [5] IT Governance Institute. COBIT 4.1. Rolling Meadows (IL): IT Governance Institute; 2007.