Upload presentasi
Presentasi sedang didownload. Silahkan tunggu
Diterbitkan olehSudirman Ridwan Santoso Telah diubah "6 tahun yang lalu
1
IS Audit Process CDG4I3 / Audit Sistem Informasi
Angelina Prima K | Gede Ary W. KK SIDE
2
Agenda Introduction to IS audit process Risk analysis
Internal controls Performing an IS audit Control self-assessment Emerging change in the IS audit process
3
1. Introduction Proses audit: serangkaian kegiatan audit untuk memastikan bahwa organisasi telah melakukan langkah-langkah yang diperlukan untuk menghadapi perubahan regulasi dan kondisi pasar.
4
Audit Stages
5
Audit Stages
6
Audit Objectives Sasaran audit: Harus dapat:
berasal dari eksekutif, regulasi, atau standar industri tergantung pada task departemen, topik, atau langkah tertentu dalam aliran proses bisnis Harus dapat: memberikan jaminan kepada manajemen tentang ketercapaian kontrol menunjukkan kelemahan kontrol dan dampak resikonya memberikan saran aksi korektif bagi manajemen
7
Audit Charter Peran dan fungsi audit SI harus disepakati di audit charter. Audit SI dapat menjadi bagian dari audit internal, maka audit charter dapat mencakup fungsi audit lainnya. Audit charter harus menyatakan dengan jelas tanggung jawab manajemen, serta tujuan dan pendelegasian wewenang kepada fungsi audit SI. Dokumen ini menjelaskan ruang lingkup kewenangan dan tanggung jawab keseluruhan fungsi audit.
8
Audit Planning Lingkup audit: proses apa saja yang akan diaudit
Rencana audit meliputi: Lingkup audit: proses apa saja yang akan diaudit +lokasi, ukuran, aktivitas, waktu, proses Kriteria audit: berdasarkan kebijakan/ prosedur/ kebutuhan Tim audit Internal audit (pihak pertama) Eksternal audit (pihak kedua) customer/ vendor/ else Independent eksternal audit (pihak ketiga) Integrated/ combined audit (2 fungsi atau lebih sekaligus) Joint audit (2 organisasi auditor atau lebih sekaligus)
9
Audit Stages
10
Risk Analysis Resiko: ancaman yang berpotensi menimbulkan kerentanan aset dan menyebabkan kerugian/ kerusakan aset. Elemen resiko: Ancaman dan kerentanan dari proses/ aset (termasuk aset fisik dan informasi) Dampak ancaman dan kerentanan terhadap aset Probabilitas ancaman (kombinasi kemungkinan dan frekuensi kejadian)
11
Risk Analysis Purposes
Membantu auditor mengidentifikasi resiko dan ancaman di lingkungan SI/TI yang perlu diatasi dengan kontrol manajemen dan sistem internal spesifik Membantu auditor dalam menentukan tujuan audit Mengambil keputusan pendukung audit berbasis resiko
12
2. Internal Controls Kendali internal: kebijakan, prosedur, mekanisme, sistem, dan ukuran lain yang memastikan bahwa proses-proses dalam perusahaan berfungsi dengan baik serta menekan resiko Pengelompokan kendali internal: Tipe Fisik Teknis Administratif Kelas Preventif Detektif Korektif Kategori Otomatis Manual The three types of controls are physical, technical, and administrative. • Physical These types of controls exist in the tangible, physical world. Examples of physical controls are video surveillance, bollards, and fences. • Technical These controls are implemented in the form of information systems and are usually intangible. Examples of technical controls include encryption, computer access controls, and audit logs. • Administrative These controls are the policies and procedures that require or forbid certain activities. An example administrative control is a policy that forbids personal use of information systems. There are three classes of controls. • Preventive This type of control is used to prevent an unwanted event. Examples of preventive controls are computer login screens (which prevent unauthorized persons from accessing information), keycard systems (which prevent unauthorized persons from entering a building or workspace), and encryption (which prevent persons lacking an encryption key from reading encrypted data). • Detective This type of control is used to record both wanted and unwanted events. A detective control cannot enforce an activity (whether it is desired or undesired), but instead it can only make sure that it is known that the event occurred. Examples of detective controls include video surveillance and audit logs. • Corrective This type of control occurs after some unwanted event has occurred. An example corrective control is the act of improving a process when it was found to be defective. There are two categories of controls. • Automatic This type of control performs its function with little or no human judgment or decision making. Examples of automatic controls include a login page on an application that cannot be circumvented and a security door that automatically locks after someone walks through the doorway. • Manual This type of control requires a human to operate it. A manual control may be subject to a higher rate of errors than an automatic control. An example of a manual control is a monthly review of computer users.
13
Internal Control Objectives
Pernyataan kondisi atau keluaran yang diinginkan dari operasional bisnis. Contoh: Perlindungan aset TI Akurasi transaksi Kerahasiaan dan privasi Perubahan sistem TI yang terkendali Kesesuaian dengan kebijakan perusahaan
14
Audit Stages
15
3. Performing IS Audit Tipe-tipe audit:
Operational audit Financial audit Integrated audit (operational + financial) IS audit Administrative audit Compliance audit Forensic audit Service provider audit Pre-audit Tiap tipe audit tersebut memiliki prosedur yang sesuai.
16
Audit Procedures Mencakup: Daftar orang yang akan diwawancara
Pertanyaan wawancara Dokumentasi (kebijakan, prosedur, dll) yang akan diminta saat wawancara Perangkat audit yang digunakan Tingkat sampling dan metodologi yang dipakai Bagaimana dan dimana pengarsipan bukti Bagaimana evaluasi bukti
17
Audit Evidence Evidence: informasi yang dikumpulkan oleh auditor selama audit untuk menarik kesimpulan tentang efektivitas kontrol dan sasaran kontrol. Berupa: Hasil observasi Catatan tertulis Korespondensi Proses internal dan dokumentasi prosedur Rekaman bisnis
18
Audit Stages
19
Report Preparation Auditor perlu merencanakan format dan mekanisme pelaporan hasil audit. Sesuai dengan laporan standar audit, misal ISACA IS audit standards Jika perlu internal review, identifikasi pihak- pihak yang akan melakukan review dan pastikan komitmen mereka terhadap review laporan audit
20
Example of Report Structure
Cover letter Introduction Summary Description of the audit Listing of interviewees Explanation of sampling techniques Description of findings and recommendations
21
Reporting Aktivitas yang dilakukan: Sampaikan laporan kepada auditee
Jadwalkan closing meeting Untuk audit internal, kirimkan tagihan ke auditee Kumpulkan dan arsipkan seluruh dokumen dan berkas Update dokumen untuk kebutuhan audit lanjutan Kumpulkan feedback dari auditee
22
Audit Stages
23
Post-audit Follow-up Setelah waktu tertentu (beberapa hari/ bulan), auditor perlu menghubungi auditee untuk mengetahui progress yang telah dicapai oleh auditee. Perlu dilakukan: Sebagai bentuk perhatian untuk mengetahui keseriusan auditee dalam menindaklanjuti hasil audit. Untuk membantu auditee dalam menindaklanjuti hasil audit, jika diperlukan. Agar auditor bisa lebih memahami komitmen manajemen. Bagi auditor eksternal, dapat meningkatkan citra dan prospek kerjasama bisnis lanjutan.
24
5. Control Self-Assessment (CSA)
CSA adalah metodologi yang digunakan organisasi untuk meninjau tujuan bisnis utama, resiko yang terlibat dalam mencapai tujuan bisnis dan kontrol internal untuk mengelola resiko bisnis dalam proses formal dan kolaboratif yang didokumentasikan Sasaran: Pemilik kontrol ikut bertanggung jawab mengawasi kontrol Mengurangi perkecualian sekaligus meningkatkan performansi
25
CSA Advantages and Disadvantages
Resiko dapat dideteksi lebih awal Perbaikan kontrol internal Meningkatkan kesadaran pekerja tentang kontrol Disadvantages: Bisa disalahartikan sebagai pengganti internal audit Dapat dianggap sebagai pekerjaan tambahan Jika keterlibatan pekerja kurang, perbaikan proses tidak optimal
26
Kumpulkan dalam bentuk hardcopy pada perkuliahan tanggal
Tugas Besar Tiap kelompok orang Topik: AUDIT SI PADA PERUSAHAAN Tahap 1: Proposal Lokasi yang dianalisis/ diaudit Gambaran umum sistem di lokasi tsb Apakah sudah pernah diaudit? Jika sudah, dengan standar apa? Surat ijin penelitian/ pengumpulan data Kumpulkan dalam bentuk hardcopy pada perkuliahan tanggal 8 September 2015
Presentasi serupa
© 2024 SlidePlayer.info Inc.
All rights reserved.