Presentasi sedang didownload. Silahkan tunggu

Presentasi sedang didownload. Silahkan tunggu

IS Audit Process CDG4I3 / Audit Sistem Informasi

Diterbitkan olehSudirman Ridwan Santoso Telah diubah "6 tahun yang lalu

Presentasi serupa

Presentasi berjudul: "IS Audit Process CDG4I3 / Audit Sistem Informasi"— Transcript presentasi:

1 IS Audit Process CDG4I3 / Audit Sistem Informasi
Angelina Prima K | Gede Ary W. KK SIDE

2 Agenda Introduction to IS audit process Risk analysis
Internal controls Performing an IS audit Control self-assessment Emerging change in the IS audit process

3 1. Introduction Proses audit: serangkaian kegiatan audit untuk memastikan bahwa organisasi telah melakukan langkah-langkah yang diperlukan untuk menghadapi perubahan regulasi dan kondisi pasar.

4 Audit Stages

5 Audit Stages

6 Audit Objectives Sasaran audit: Harus dapat:
berasal dari eksekutif, regulasi, atau standar industri tergantung pada task departemen, topik, atau langkah tertentu dalam aliran proses bisnis Harus dapat: memberikan jaminan kepada manajemen tentang ketercapaian kontrol menunjukkan kelemahan kontrol dan dampak resikonya memberikan saran aksi korektif bagi manajemen

7 Audit Charter Peran dan fungsi audit SI harus disepakati di audit charter. Audit SI dapat menjadi bagian dari audit internal, maka audit charter dapat mencakup fungsi audit lainnya. Audit charter harus menyatakan dengan jelas tanggung jawab manajemen, serta tujuan dan pendelegasian wewenang kepada fungsi audit SI. Dokumen ini menjelaskan ruang lingkup kewenangan dan tanggung jawab keseluruhan fungsi audit.

8 Audit Planning Lingkup audit: proses apa saja yang akan diaudit
Rencana audit meliputi: Lingkup audit: proses apa saja yang akan diaudit +lokasi, ukuran, aktivitas, waktu, proses Kriteria audit: berdasarkan kebijakan/ prosedur/ kebutuhan Tim audit Internal audit (pihak pertama) Eksternal audit (pihak kedua)  customer/ vendor/ else Independent eksternal audit (pihak ketiga) Integrated/ combined audit (2 fungsi atau lebih sekaligus) Joint audit (2 organisasi auditor atau lebih sekaligus)

9 Audit Stages

10 Risk Analysis Resiko: ancaman yang berpotensi menimbulkan kerentanan aset dan menyebabkan kerugian/ kerusakan aset. Elemen resiko: Ancaman dan kerentanan dari proses/ aset (termasuk aset fisik dan informasi) Dampak ancaman dan kerentanan terhadap aset Probabilitas ancaman (kombinasi kemungkinan dan frekuensi kejadian)

11 Risk Analysis Purposes
Membantu auditor mengidentifikasi resiko dan ancaman di lingkungan SI/TI yang perlu diatasi dengan kontrol manajemen dan sistem internal spesifik Membantu auditor dalam menentukan tujuan audit Mengambil keputusan pendukung audit berbasis resiko

12 2. Internal Controls Kendali internal: kebijakan, prosedur, mekanisme, sistem, dan ukuran lain yang memastikan bahwa proses-proses dalam perusahaan berfungsi dengan baik serta menekan resiko Pengelompokan kendali internal: Tipe Fisik Teknis Administratif Kelas Preventif Detektif Korektif Kategori Otomatis Manual The three types of controls are physical, technical, and administrative. • Physical These types of controls exist in the tangible, physical world. Examples of physical controls are video surveillance, bollards, and fences. • Technical These controls are implemented in the form of information systems and are usually intangible. Examples of technical controls include encryption, computer access controls, and audit logs. • Administrative These controls are the policies and procedures that require or forbid certain activities. An example administrative control is a policy that forbids personal use of information systems. There are three classes of controls. • Preventive This type of control is used to prevent an unwanted event. Examples of preventive controls are computer login screens (which prevent unauthorized persons from accessing information), keycard systems (which prevent unauthorized persons from entering a building or workspace), and encryption (which prevent persons lacking an encryption key from reading encrypted data). • Detective This type of control is used to record both wanted and unwanted events. A detective control cannot enforce an activity (whether it is desired or undesired), but instead it can only make sure that it is known that the event occurred. Examples of detective controls include video surveillance and audit logs. • Corrective This type of control occurs after some unwanted event has occurred. An example corrective control is the act of improving a process when it was found to be defective. There are two categories of controls. • Automatic This type of control performs its function with little or no human judgment or decision making. Examples of automatic controls include a login page on an application that cannot be circumvented and a security door that automatically locks after someone walks through the doorway. • Manual This type of control requires a human to operate it. A manual control may be subject to a higher rate of errors than an automatic control. An example of a manual control is a monthly review of computer users.

13 Internal Control Objectives
Pernyataan kondisi atau keluaran yang diinginkan dari operasional bisnis. Contoh: Perlindungan aset TI Akurasi transaksi Kerahasiaan dan privasi Perubahan sistem TI yang terkendali Kesesuaian dengan kebijakan perusahaan

14 Audit Stages

15 3. Performing IS Audit Tipe-tipe audit:
Operational audit Financial audit Integrated audit (operational + financial) IS audit Administrative audit Compliance audit Forensic audit Service provider audit Pre-audit Tiap tipe audit tersebut memiliki prosedur yang sesuai.

16 Audit Procedures Mencakup: Daftar orang yang akan diwawancara
Pertanyaan wawancara Dokumentasi (kebijakan, prosedur, dll) yang akan diminta saat wawancara Perangkat audit yang digunakan Tingkat sampling dan metodologi yang dipakai Bagaimana dan dimana pengarsipan bukti Bagaimana evaluasi bukti

17 Audit Evidence Evidence: informasi yang dikumpulkan oleh auditor selama audit untuk menarik kesimpulan tentang efektivitas kontrol dan sasaran kontrol. Berupa: Hasil observasi Catatan tertulis Korespondensi Proses internal dan dokumentasi prosedur Rekaman bisnis

18 Audit Stages

19 Report Preparation Auditor perlu merencanakan format dan mekanisme pelaporan hasil audit. Sesuai dengan laporan standar audit, misal ISACA IS audit standards Jika perlu internal review, identifikasi pihak- pihak yang akan melakukan review dan pastikan komitmen mereka terhadap review laporan audit

20 Example of Report Structure
Cover letter Introduction Summary Description of the audit Listing of interviewees Explanation of sampling techniques Description of findings and recommendations

21 Reporting Aktivitas yang dilakukan: Sampaikan laporan kepada auditee
Jadwalkan closing meeting Untuk audit internal, kirimkan tagihan ke auditee Kumpulkan dan arsipkan seluruh dokumen dan berkas Update dokumen untuk kebutuhan audit lanjutan Kumpulkan feedback dari auditee

22 Audit Stages

23 Post-audit Follow-up Setelah waktu tertentu (beberapa hari/ bulan), auditor perlu menghubungi auditee untuk mengetahui progress yang telah dicapai oleh auditee. Perlu dilakukan: Sebagai bentuk perhatian untuk mengetahui keseriusan auditee dalam menindaklanjuti hasil audit. Untuk membantu auditee dalam menindaklanjuti hasil audit, jika diperlukan. Agar auditor bisa lebih memahami komitmen manajemen. Bagi auditor eksternal, dapat meningkatkan citra dan prospek kerjasama bisnis lanjutan.

24 5. Control Self-Assessment (CSA)
CSA adalah metodologi yang digunakan organisasi untuk meninjau tujuan bisnis utama, resiko yang terlibat dalam mencapai tujuan bisnis dan kontrol internal untuk mengelola resiko bisnis dalam proses formal dan kolaboratif yang didokumentasikan Sasaran: Pemilik kontrol ikut bertanggung jawab mengawasi kontrol Mengurangi perkecualian sekaligus meningkatkan performansi

25 CSA Advantages and Disadvantages
Resiko dapat dideteksi lebih awal Perbaikan kontrol internal Meningkatkan kesadaran pekerja tentang kontrol Disadvantages: Bisa disalahartikan sebagai pengganti internal audit Dapat dianggap sebagai pekerjaan tambahan Jika keterlibatan pekerja kurang, perbaikan proses tidak optimal

26 Kumpulkan dalam bentuk hardcopy pada perkuliahan tanggal
Tugas Besar Tiap kelompok orang Topik: AUDIT SI PADA PERUSAHAAN Tahap 1: Proposal Lokasi yang dianalisis/ diaudit Gambaran umum sistem di lokasi tsb Apakah sudah pernah diaudit? Jika sudah, dengan standar apa? Surat ijin penelitian/ pengumpulan data Kumpulkan dalam bentuk hardcopy pada perkuliahan tanggal 8 September 2015

27

Download ppt "IS Audit Process CDG4I3 / Audit Sistem Informasi"

Presentasi serupa

Audit Wikipedia (id)‏ Audit atau pemeriksaan dalam arti luas bermakna evaluasi terhadap suatu organisasi, sistem, proses, atau produk. Audit dilaksanakan.

Audit Wikipedia (id)‏ Audit atau pemeriksaan dalam arti luas bermakna evaluasi terhadap suatu organisasi, sistem, proses, atau produk. Audit dilaksanakan.
Pengelolaan Proyek Sistem Informasi

Pengelolaan Proyek Sistem Informasi
Pengendalian umum, dan pengendalian aplikasi

Pengendalian umum, dan pengendalian aplikasi
BUSINESS CONTINUITY PLAN AND DISASTER RECOVERY

BUSINESS CONTINUITY PLAN AND DISASTER RECOVERY
Audit Sistem Informasi Berbasis Komputer

Audit Sistem Informasi Berbasis Komputer
Audit Sistem Informasi

Audit Sistem Informasi
Mengaudit Sistem/ Teknologi Informasi

Mengaudit Sistem/ Teknologi Informasi
Chapter 9 Information Systems Controls for System Reliability— Part 2: Confidentiality and Privacy.

Chapter 9 Information Systems Controls for System Reliability— Part 2: Confidentiality and Privacy.
Auditing Computer-Based Information Systems

Auditing Computer-Based Information Systems
pelaksanaan AMAI PADA JURUSAN-PROGRAM STUDI

pelaksanaan AMAI PADA JURUSAN-PROGRAM STUDI
KESELURUHAN RENCANA AUDIT DAN PROGRAM AUDIT

KESELURUHAN RENCANA AUDIT DAN PROGRAM AUDIT
TUJUAN AUDIT SI/TI Pertemuan 2.

TUJUAN AUDIT SI/TI Pertemuan 2.
PENGENDALIAN INTERNAL

PENGENDALIAN INTERNAL
AUDIT SISTEM KEPASTIAN MUTU

AUDIT SISTEM KEPASTIAN MUTU
Panduan Audit Sistem Informasi

Panduan Audit Sistem Informasi
Panduan Audit Sistem Informasi

Panduan Audit Sistem Informasi
MANAJEMEN KONFIGURASI SOFTWARE

MANAJEMEN KONFIGURASI SOFTWARE
PENGENDALIAN INTERNAL Wisnu Haryo Pramudya, S.E., M.Si., Ak., CA

PENGENDALIAN INTERNAL Wisnu Haryo Pramudya, S.E., M.Si., Ak., CA
Aktifitas Pengembangan Sistem

Aktifitas Pengembangan Sistem
Electronic Data Processing

Electronic Data Processing

Presentasi serupa

Iklan oleh Google