Presentasi sedang didownload. Silahkan tunggu

Presentasi sedang didownload. Silahkan tunggu

Fathiah, S.T.,M.Eng Universitas Ubudiyah Indonesia

Presentasi serupa


Presentasi berjudul: "Fathiah, S.T.,M.Eng Universitas Ubudiyah Indonesia"— Transcript presentasi:

1

2 Fathiah, S.T.,M.Eng Universitas Ubudiyah Indonesia fathiah@uui.ac.id
Isu dan poin penting audit dan control TI Fathiah, S.T.,M.Eng Universitas Ubudiyah Indonesia 2017

3 Definisi Audit adalah sistematis, pemeriksaan obyektif dari satu atau lebih aspek dari suatu organisasi yang membandingkan apa yang organisasi lakukan untuk satu set kriteria atau persyaratan Standardisasi (ISO) pedoman audit menggunakan istilah untuk audit berarti "sistematis, proses independen dan terdokumentasi untuk memperoleh bukti audit dan mengevaluasinya secara objektif untuk menentukan sejauh mana kriteria audit terpenuhi” Information Tech. Infrastructure Library (ITIL) mendefinisikan audit sebagai "pemeriksaan formal dan verifikasi untuk memeriksa apakah standar atau set pedoman sedang diikuti, bahwa catatan yang akurat, atau bahwa efisiensi dan efektivitas target terpenuhi “ [2].

4 IT audit membantu organisasi memahami, menilai, dan meningkatkan penggunaan kontrol untuk menjaga IT, mengukur dan kinerja yang benar, dan mencapai tujuan dan hasil yang dimaksudkan. IT audit terdiri dari penggunaan metodologi audit yang formal untuk memeriksa IT - spesifik proses, kemampuan, aset dan peran mereka dalam memungkinkan proses bisnis organisasi IT audit juga membahas komponen atau kemampuan yang mendukung domain lainnya tunduk pada audit, seperti manajemen keuangan dan akuntansi, kinerja operasional, jaminan kualitas, dan tata kelola, manajemen risiko, dan kepatuhan (GRC) IT.

5 Perhatian utama Audit TI atas penggunaan sistem TI: RISIKO
Seiring dengan semakin masifnya adopsi TI, kebutuhan akan Audit TI juga meningkat. Auditor memiliki kebutuhan untuk menilai potensi risiko atas sistem yang digunakan organisasinya. Perubahan lingkungan kontrol internal Potensi berkurangnya akuntabilitas karena sifat anonim user Kemungkinan amandemen data yang tanpa terotorisasi atau tanpa tercatat Perubahan-perubahan dalam audit evidence Kemungkinan duplikasi atau non-inklusi data New Opoortunities & mechanism untuk fraud dan error Penyimpanan dan pemrosesan data terdistribusi Kerahasiaan dan integrity informasi kunci bisnis ……..

6 Perlukah (Pentingkah) Audit Teknologi Informasi?
Untuk menilai apakah perlu atau tidaknya dilakukan IT audit atau IS audit mungkin dapat dilihat pada sejarah adanya kegiatan tersebut. Sejak tahun 1977 beberapa aturan mengenai IT audit sudah disusun di Amerika Serikat yang meliputi beberapa aturan penting seperti the Gramm Leach Bliley Act, the Sarbanes-Oxley Act, the Health Insurance Portability and Accountability Act, the London Stock Exchange Combined Code, King II serta the Foreign Corrupt Practices Act. Dengan melihat keseriusan pemerintahan di negara-negara maju dalam pengembangan IT audit seperti tersebut di atas maka dapat dibayangkan betapa tidak seriusnya mengertinya Pemerintah Republik Indonesia atas kegiatan tersebut .

7 Perlukah (Pentingkah) Audit Teknologi Informasi?
Padahal sudah 30 tahun sejak negara-negara maju tersebut menetapkan aturan kewajiban IT audit di lembaga-lembaganya IT audit merupakan hal yang sangat penting dalam implementasi sebuah sistem informasi bagi organisasi yang mengembangkannya. Terlebih pada saat ini pemanfaatan teknologi/sistem informasi merupakan hal yang sangat penting bagi sebuah organisasi dalam pencapaian tujuan/visi/misi lembaganya. Namun di sisi lain kepentingan tersebut berimbas pada meningkatnya indeks kerawanan dari pengembangan/pembangunan sistem informasi. Untuk menekan titik-titik rawan tersebut diperlukan seperangkat batasan-batasan dan tolok-ukur (parameter) yang dapat dijadikan dasar dalam melakukan evaluasi terhadap kegiatan pembangunan/pengembangan sistem informasi

8 Perlukah (Pentingkah) Audit Teknologi Informasi?
Dengan dilakukannya IT audit yang dilakukan secara transparan dan dapat dipertanggungjawabkan hasilnya maka pelaksanaan penerapan teknologi informasi di dalam suatu institusi dapat memberikan hasil terbaiknya serta menyerap investasi yang tepat guna dan berdaya guna.

9 Alasan perusuhaan belum melakukan audit TI
perusahaan merasa bahwa TI yang diterapkan masih berperan sebatas support tools, belum menjadi strategic tools kebijakan dan tujuan-tujuan penerapan TI-nya tidak begitu jelas nilai investasi TI yang belum dianggap cukup berarti dibandingkan nilai keuangan perusahaan. banyaknya jargon teknis TI yang sulit dipahami oleh manajemen puncak.

10 Audit TI Audit TI, bertujuan untuk mengevaluasi dan memperbaiki efektivitas proses-proses manajemen risiko, kontrol dan good governance. Nilai penting dilakukannya audit TI sejalan dengan pentingnya mencapai tujuan perusahaan. Artinya, bagaimana perusahaan dapat mengelola berbagai risiko yang dihadapinya, terutama terkait dengan penerapan TI, dalam upayanya mencapai tujuan-tujuan bisnisnya. Dengan audit TI suatu perusahaan bisa didorong melakukan perencanaan dan pengembangan secara lebih terarah dan terfokus sesuai dengan tujuan-tujuan bisnisnya.

11 Alasan Penting Mengapa Audit TI perlu dilakukan
Kerugian akibat kehilangan data Kesalahan dalam pengambilan keputusan Resiko kebocoran data Penyalahgunaan komputer Kerugian akibat kesalahan proses perhitungan Tingginya nilai investasi perangkat keras dan perangkat komputer

12 Sedang subyek yang perlu diaudit
aspek keamanan, Masalah keamanan mencakup tidak hanya keamanan file servers dan penerapan metoda cadangan, melainkan juga penerapan standar tertentu, seperti C-ICT. keandalan, Keandalan meliputi penerapan RAID V disk subsystems untuk server dengan critical applications dan prosedur penyimpanan data di file server, bukan di drive lokal C. kinerja Kinerja mencakup persoalan standarisasi PC, penggunaan LAN serta cadangan yang sesuai dengan beban kerja. manageability. manageability menyangkut penerapan standar tertentu dan pendokumentasian secara teratur dan berkesinambungan

13 Enam komponen Audit TI Enam komponen Audit TI :
pendefinisian tujuan perusahaan; penentuan isu, tujuan dan perspektif bisnis antara penanggung jawab bagian dengan bagian TI; review terhadap pengorganisasian bagian TI yang meliputi perencanaan proyek, status dan prioritasnya, staffing levels, belanja TI dan IT change process management; assessment infrastruktur teknologi, assessment aplikasi bisnis; temuan-temuan, laporan rekomendasi.

14 Bidang Pekerjaan IT di perusahaan
System Analyst Programmer Administrator (Network, system, database) Support (workshop, maintenance, helpdesk, dll ) Security Officer Auditor

15 Audit teknologi informasi
Audit teknologi informasi Audit teknologi informasi (Inggris: information technology (IT) audit atau information systems (IS) audit) adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Audit teknologi informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya.

16 Definisi Audit Menurut Mulyadi : “Suatu proses sistematik untuk memperoleh dan mengevaluasi bukti secara obyektif mengenai pernyataan-pernyataan tentang kegiatan dan kejadian ekonomi, dengan tujuan untuk menetapkan tingkat kesesuaian antara pernyataan-pernyataan tersebut dengan kriteria yang telah ditetapkan, serta penyampaian hasil-hasilnya kepada pemakai yang berkepentingan”.

17 Audit teknologi informasi atau IT (information technology) audit atau juga dikenal sebagai audit sistem informasi (information system audit) merupakan aktivitas pengujian terhadap pengendalian dari kelompok-kelompok unit infrastruktur dari sebuah sistem/teknologi informasi

18 IT Audit? Proses pengumpulan dan evaluasi fakta/bukti untuk menentukan apakah sistem (terkomputerisasi): Menjaga aset Memelihara integritas data Memampukan komunikasi & akses informasi Mencapai tujuan operasional secara efektif Mengkonsumsi sumber daya secara efisien

19 Keuntungan Audit Menilai keefektifan aktivitas aktifitas dokumentasi dalam organisasi Memonitor kesesuaian dengan kebijakan, sistem, prosedur dan undang-undang perusahaan Mengukur tingkat efektifitas dari sistem Mengidentifikasi kelemahan di sistem yang mungkin mengakibatkan ketidaksesuaian di masa datang Menyediakan informasi untuk proses peningkatan Meningkatkan saling memahami antar departemen dan antar individu Melaporkan hasil tinjauan dan tindakan berdasarkan resiko ke Manajemen

20 IT Audit Area Planning Organization and Management
Policies and procedures Security Regulation and standard

21 Jenis Audit (umum) Compliance/penyesuaian Kinerja Kecurangan
Sertifikasi

22 Jenis Audit (IT) System Audit Compliance Audit Product / Service Audit
Audit terhadap sistem terdokumentasi untuk memastikan sudah memenuhi standar nasional atau internasional Compliance Audit Untuk menguji efektifitas implementasi dari kebijakan, prosedur, kontrol dan unsur hukum yang lain Product / Service Audit Untuk menguji suatu produk atau layanan telah sesuai seperti spesifikasi yang telah ditentukan dan cocok digunakan

23 Siapa yang Diaudit Management IT Manager
IT Specialist (network, database, system analyst, programmer, dll.) User

24 Yang Melakukan Audit Tergantung Tujuan Audit
Internal Audit (first party audit) Dilakukan oleh atau atas nama perusahaan sendiri Biasanya untuk management review atau tujuan internal perusahaan Lembaga independen di luar perusahaan Second party audit Dilakukan oleh pihak yang memiliki kepentingan thd perusahaan Third party audit Dilakukan oleh pihak independen dari luar perusahaan. Misalnya untuk sertifikasi (ISO 9001, BS7799 dll).

25 Tugas Auditor IT Memastikan sisi-sisi penerapan IT memiliki kontrol yang diperlukan Memastikan kontrol tersebut diterapkan dengan baik sesuai yang diharapkan

26 Yang Dilakukan Persiapan Review Dokumen
Persiapan kegiatan on-site audit Melakukan kegiatan on-site audit Persiapan, persetujuan dan distribusi laporan audit Follow up audit

27 Output kegiatan Audit Hasil akhir adalah berupa laporan yang berisi:
Ruang Lingkup audit Metodologi Temuan-temuan Ketidaksesuaian (sifat ketidaksesuaian, bukti2 pendukung, syarat yg tdk dipenuhi, lokasi, tingkat ketidaksesuaian) Kesimpulan (tingkat kesesuaian dengan kriteria audit, efektifitas implementasi, pemeliharaan dan pengembangan sistem manajemen, rekomendasi)

28 Ketrampilan yang dibutuhkan
Audit skill : komunikasi, melakukan interview, mengajukan pertanyaan, mencatat Generic knowledge : pengetahuan mengenai prinsip2 audit, prosedur dan teknik, sistem manajemen dan dokumen2 referensi, organisasi, peraturan2 yang berlaku Specific knowledge : background IT/IS, bisnis, specialist technical skill, pengalaman audit sistem manajemen, perundangan

29 Prinsip-prinsip Audit
Ethical conduct Berdasar pada profesionalisme, kejujuran, integritas, kerahasiaan dan kebijaksanaan Fair Presentation Kewajiban melaporkan secara jujur dan akurat Due professional care Implementasi dari kesungguhan dan pertimbangan yang diberikan Independence Evidence-base approach

30 Peraturan dan Standar Yang Biasa Dipakai
ISO / IEC and BS7799 Control Objectives for Information and related Technology (CobiT) ISO TR 13335 IT Baseline Protection Manual ITSEC / Common Criteria Federal Information Processing Standard 140-1/2 (FIPS 140-1/2) The “Sicheres Internet” Task Force [Task Force Sicheres Internet] The quality seal and product audit scheme operated by the Schleswig-Holstein Independent State Centre for Data Privacy Protection (ULD) ISO 9000

31 Dunia Industri CobiT Control Objectives for Information and Related Technology BS7799

32 CobiT Control Objectives for Information and Related Technology

33 CobiT Dibuat oleh organisasi ISACA (Information Systems Audit and Control Association) dan dikembangkan oleh IT Governance Institute -> focus on audit, control and security issues

34 Badan (Indonesia) ISACA Indonesian Chapter (isaca.or.id)
ISSA (Information System Security Association) Indonesian Chapter

35 Sertifikasi CISA (Certified Information Systems Auditor)
CISM (Certified Information Security Manager) CISSP (Certified IS Security Professional) CIA (Certified Internal Auditor) Kualifikasi : Pengalaman dan pengetahuan untuk mengidentifikasi, mengevaluasi, dan memberikan rekomendasi berupa solusi untuk mengurangi kelemahan sistem IT => Mengeluarkan sertifikasi untuk personal auditor

36 Misi CobiT Melakukan penelitian, pengembangan, publikasi dan promosi terhadap control objective dari teknologi informasi yang secara umum diterima di lingkungan internasional untuk pemakaian sehari-hari oleh manager dan auditor

37 Lingkup CobiT -> 4 domains
Planning & Organization Acquisition & Implementation Delivery & Support Monitoring

38 CobiT -> Control Objectives
Defining controls that should be in place 34 processes 3-30 detailed IT Control Objectives

39 Pola Pikir

40 Kebutuhan auditor IT Internal Audit -> setiap perusahaan memerlukan
Perusahaan penyedia layanan audit Perusahaan penyedia sertifikasi

41 Peluang Ketergantungan terhadap IT semakin besar sehingga muncul kebutuhan untuk melakukan audit IT Auditor IT yang sekarang banyak yang berasal bukan dari bidang IT Banyak permasalahan (bisnis) dalam pengelolaan IT

42 Survei Responden Survey dilakukan pada 300 organisasi pada 20 negara (Eropa, Timur Tengah dan Afrika)

43 Survey terhadap framework
COBIT diadopsi hampir 75% di organisasi responden, sebagai framework Audit TI.

44 Survey: Koordinasi Audit Internal dengan Entitas Governance Lain

45 Survey: Pergeseran dari tradisional ke lebih proaktif, pemberian nilai tambah dari Audit TI, bekerja lebih dekat dengan TI dan fungsi bisnis. Tetapi survey juga memperliihatkan bahwa hilangnya independensi merupakan ancaman nyata, dimana 38% responden melaporkan bahwa Audit orTI mereka terlibat dalam verifikasi/otorisasi sistem informasi baru.

46 Survey: Kepada siapa Head of Audit Melaporkan?
Best Practices mengatakan bahwa pelaporan kepada BoD atau Audit Committee. berdasarkan survey, hanya sekitar 30% yang sesuai. Dan ternyata masih ada 10% Audit Plan yang harus disetujui oleh fungsi TI.

47 Survey: Skill yang paling dibutuhkan
Tantangan terbesar bagi Head of Internal Audit/IT Audit adalah menyeimbangkan ketrampilan teknis staff dengan pengetahuan yang luas ttg bisnis. Strategi yang digunakan adalah mix antara Audit orTI dan Auditor non-TI, 60% melakukan hal ini.

48 Survey: Training untuk Auditor TI
Secara umum waktu training yang dialokasikan masih rendah, 29% organisasi menyediakan waktu kurang dari 1 minggu dalam setahun untuk training. Lebih jauh lagi, training lebih banyak ke sertifikasi, bukan pada bagaimana melakukan kegiatan audit.

49 Survey: Penggunaan Automated Tools dalam proses Audit TI

50 Tools yang digunakan

51 Survey :siapa yang mendapat lap. Audit TI
80% tidak menyertakan executive summary yg menyajikan temuan-temuan utama. 55% kasus tidak menyertakan komentar manajemen pada laporan (seberapa seriuskan Audit TI?). 98% rekomendasi di-follow-up.

52 Resume Survey Filosofi paling mendasar dari Audit TI adalah melakukan evaluasi atas Kontrol TI, dan bagaimana konsekuensinya atas ketercapaian obyektif bisnis: Strategic Alignment, Benefit Maximization, Resource Management, Risk Management Pengetahuan dan ketrampilan tentang Kontrol TI menjadi kunci dalam melakukan tahapan-tahapan Audit TI. Kelemahan dalam penguasaan Kontrol TI adalah sebab terbesar terjadinya Audit Risk. Best Practices seperti metoda efektif perencanaan & pengorganisasian, staffing dan peningkatan skill dan pengelolaan follow-up dapat dirujuk untuk meningkatkan kematangan audit internal

53 Ruang Lingkup Audit Audit operasional mengetahui efektivitas dari satu atau lebih proses bisnis atau fungsi organisasi dan efisiensi penggunaan sumber daya dalam mendukung tujuan dan sasaran organisasi. Teknologi informasi (IT) audit meneliti proses, aset TI, dan kontrol pada beberapa tingkatan dalam suatu organisasi untuk menentukan sejauh mana organisasi mematuhi standar yang berlaku atau persyaratan.

54 Auditor membandingkan subjek audit-proses, sistem, komponen, perangkat lunak, atau organisasi secara keseluruhan-eksplisit dengan yang standar yang telah ditetapkan untuk menentukan apakah subjek memenuhi kriteria. Temuan audit mengidentifikasi kekurangan di mana, apa yang diamati auditor atau ditemukan melalui analisis bukti audit berbeda dari apa yang diharapkan atau dibutuhkan sehingga subjek audit yang tidak dapat memenuhi persyaratan.

55 Pahami Bisnis Anda Langkah awal untuk menerapkan audit berbasis resiko adalah memahami bisnis yang sedang dijalankan. Apakah bisnis anda ? Apa fungsi dan tujuan perusahaan? Apakah bisnis yang ada termasuk umum ? Apakah beberapa resiko yang ada termasuk baru dalam tipe bisnis saat ini? Bagaimana manajemen bereaksi terhadap berita negative? Bagaimana control kesalahan dikenali dan di laporkan?

56 Keuntungan Audit Menilai keefektifan aktivitas aktifitas dokumentasi dalam organisasi Memonitor kesesuaian dengan kebijakan, sistem, prosedur dan undang-undang perusahaan Mengukur tingkat efektifitas dari sistem Mengidentifikasi kelemahan di sistem yang mungkin mengakibatkan ketidaksesuaian di masa datang Menyediakan informasi untuk proses peningkatan Meningkatkan saling memahami antar departemen dan antar individu Melaporkan hasil tinjauan dan tindakan berdasarkan resiko ke Manajemen

57 Elemen kontrol Elemen kontrol TI internal dapat diaudit dalam isolasi atau bersama-sama. Meskipun ketika audit IT berfokus sempit pada satu aspek dari IT, auditor perlu mempertimbangkan konteks yang lebih luas dalam hal teknis, operasional, dan lingkungan. IT audit juga mengatasi proses pengendalian internal dan fungsi, seperti operasi dan prosedur pemeliharaan, kelangsungan bisnis dan pemulihan bencana, penanganan insiden, jaringan dan pemantauan keamanan, manajemen konfigurasi, pengembangan sistem, dan manajemen proyek

58 Contoh kategori kontrol

59 References [1] ISO 19011:2011. Guidelines for auditing management systems. [2] ITIL glossary and abbreviations. London (UK): Cabinet Office; 2011. [3] Sarbanes–Oxley Act of 2002, Pub. L. No , 116 Stat. 745. [4] Committee of Sponsoring Organizations of the Treadway Commission. Internal control—Integrated framework. New York (NY): Committee of Sponsoring Organizations of the Treadway Commission; 2013. [5] IT Governance Institute. COBIT 4.1. Rolling Meadows (IL): IT Governance Institute; 2007.

60 Terima kasih


Download ppt "Fathiah, S.T.,M.Eng Universitas Ubudiyah Indonesia"

Presentasi serupa


Iklan oleh Google