IT Audit
CobiT
Audit Sistem Informasi
Software untuk Audit TI
Bidang Pekerjaan IT
di Organisasi Publik
System Analyst
Programmer
Administrator (Network, system, database)
Support (workshop, maintenance,
helpdesk, dll )
Security Officer
Auditor
AUDITING
Auditing proses sistematik
dengan tujuan untuk mendapatkan dan
mengevaluasi fakta yang berkaitan
dengan asersi mengenai kejadian dan
tindakan ekonomi untuk memastikan
kesesuaian antara asersi dengan
kriteria yang ditetapkan dan
mengkomunikasikan hasilnya kepada
pemakai yang berkepentingan.
AUDITING
Wikipedia (id) - summary
evaluasi terhadap suatu
organisasi,
sistem,
proses, atau
Produk.
dilaksanakan oleh
pihak yang kompeten,
objektif, dan
tidak memihak,
disebut auditor.
AUDITING
Planning
Organization and Management
Policies and procedures
Security
Regulation and standard
Jenis Audit (umum)
Compliance
Kinerja
Kecurangan
Sertifikasi
Pengelolaan TI – Level of
Maturity
Non Existence
– Tahap awal, komputerisasi dilakukan secara alamiah,
tidak ada metodologi
Initial
– Ada kegiatan penyusunan sistem yang terarah, masih
bersifat ad hoc
Repeatable
– Sudah menemukan pola pengembangan yang terarah,
berjalan dengan pola yang sama.
Pengelolaan TI – Level of
Maturity
Defined
– Seluruh proses telah didokumentasikan dan telah
dikomunikasikan dan dilaksanakan berdasarkan
suatu metoda tertentu
Managed
– Proses komputerisasi telah dapat diukur dan
dimonitor.
Optimized
– Best Practices telah diikuti dan diotomatisasi pada
sistem.
Audit E-Commerce
Online Privacy
– Situs perlu menjamin kerahasiaan ,
• Konsekuensinya, harus ada kontrol efektif,
pengungkapan bagaimana informasi diperoleh,
digunakan, serta cookie
Business practices and Transaction Integrity
– Proses transaksi harus lengkap akurat. Tanggung
jawab atas mutu barang, waktu pengiriman dan
aturan lainnya
Webtrust - pembagian
Security
– Situs harus melakukan penganmanan data (enkripsi,
backup)
Non Repudiation
– Situs harus melakukan proses pemeliharaan dan
pengawasan bukti secra baik
Confidentiality
– Situs harus dapat menunjukkan bahwa prosedur yang
dirancang sudah memadai untuk mengakomodasi
faktor kerahasiaan
Webtrust - pembagian
Availability
– Ada jaminan sistem dan data telah sesuai dengan
yang diungkapkan,
– harus terdapat ketentuan mengenai term and
condition
– Ada sistem backup/replikasi jika terdapat kerusakan
hardware/software
Customized Disclosure
– Hal-hal khusus yang berlaku harus dinyatakan
Jenis Audit (IT)
System Audit
– Audit terhadap sistem terdokumentasi untuk memastikan
sudah memenuhi standar nasional atau internasional
Compliance Audit
– Untuk menguji efektifitas implementasi dari kebijakan,
prosedur, kontrol dan unsur hukum yang lain
Product / Service Audit
– Untuk menguji suatu produk atau layanan telah sesuai
seperti spesifikasi yang telah ditentukan dan cocok
digunakan
Siapa yang Diaudit
Management
IT Manager
IT Specialist (network, database, system
analyst, programmer, dll.)
User
Yang Melakukan Audit
Tergantung Tujuan Audit
Internal Audit (first party audit)
– Dilakukan oleh atau atas nama perusahaan sendiri
– Biasanya untuk management review atau tujuan internal
perusahaan
Lembaga independen di luar perusahaan
– Second party audit
• Dilakukan oleh pihak yang memiliki kepentingan thd perusahaan
– Third party audit
• Dilakukan oleh pihak independen dari luar perusahaan. Misalnya
untuk sertifikasi (ISO 9001, BS7799 dll).
Tugas Auditor IT
Persiapan
Review Dokumen
Persiapan kegiatan on-site audit
Melakukan kegiatan on-site audit
Persiapan, persetujuan dan distribusi
laporan audit
Follow up audit
Output kegiatan Audit
Hasil akhir adalah berupa laporan yang berisi:
Ruang Lingkup audit
Metodologi
Temuan-temuan
Ketidaksesuaian (sifat ketidaksesuaian, bukti2
pendukung, syarat yg tdk dipenuhi, lokasi, tingkat
ketidaksesuaian)
Kesimpulan (tingkat kesesuaian dengan kriteria audit,
efektifitas implementasi, pemeliharaan dan
pengembangan sistem manajemen, rekomendasi)
Ketrampilan yang dibutuhkan
Kualifikasi :
Pengalaman dan pengetahuan untuk mengidentifikasi,
mengevaluasi, dan memberikan rekomendasi berupa
solusi untuk mengurangi kelemahan sistem IT
=> Mengeluarkan sertifikasi untuk personal auditor
Apa itu Cobit…?
Cobit dirancang sebagai alat
penguasaan IT yang membantu dalam
pemahaman dan memanage resiko,
manfaat serta evaluasi yang
berhubungan dengan IT
Visi & Misi CobiT
Visi: Sebagai model untuk penguasaan IT
Misi: Melakukan penelitian, pengembangan,
publikasi dan promosi terhadap control
objective dari teknologi informasi yang
secara umum diterima di lingkungan
internasional untuk pemakaian sehari-hari
oleh manager dan auditor
Lingkup CobiT -> 4 domains
IT IT Business
Resources Processes Requirements
IT IT Business
Resources Processes Requirements
Topics Topics
Strategi dan taktik
Merencanakan Visi
IT solutions
Organisasi and infrastruktur Perubahan dan Pemeliharaan
Questions Questions
Apakah IT dan strategi bisnis sudah Apakah proyek baru dapat
ditetapkan? memberikan solusi terhadap
Apakah perusahaan sudah menggunakan kebutuhan bisnis?
secara maksimum sumber dayanya? Apakah proyek baru dapat
Apakah semua orang di dlm org. sudah
memahami sasaran IT? selesai tepat waktu dan sesuai
Apakah resiko IT sudah dipahami & diatur? anggaran?
Apakah mutu sistem IT sudah sesuai dgn Apakah sistem kerja yg baru
kebutuhan bisnis? bisa diterapkan dgn baik?
Apakah perubahan yg dibuat tdk
merepotkan kegiatan bisnis yg
berjalan?
COBIT Domains
Deliver and Support Monitor and Evaluate
Topics Topics
Domains
Framework
Criteria PO3 Determine the technological direction (menentukan)
•• Effectiveness PO4 Define the IT organisation and relationships
•• Efficiency PO5 Manage the IT investment
•• Confidentiality PO6 Communicate management aims and direction
•• Integrity PO7 Manage human resources
•• Availability
•• Compliance PO8 Ensure compliance with external requirements (memas
•• Reliability PO9 Assess risks (menilai)
PO10 Manage projects
M1 Monitor the process IT PO11 Manage quality
M2 Assess internal control adequacy RESOURCES
M3 Obtain independent assurance
M4 Provide for independent audit • Data
• Application systems
• Technology
• Facilities
• People PLAN AND
ORGANISE
MONITOR AND
EVALUATE
ACQUIRE AND
IMPLEMENT
DS1 Define service levels
DS2 Manage third-party services
DS3 Manage performance and capacity
DS4 Ensure continuous service
DS5 Ensure systems security
DS6 Identify and attribute costs
DS7 Educate and train users DELIVER AND
DS8 Assist and advise IT customers SUPPORT AI1 Identify automated solutions
DS9 Manage the configuration
AI2 Acquire and maintain application software
DS10 Manage problems and incidents
AI3 Acquire and maintain technology infrastructure
DS11 Manage data
AI4 Develop and maintain IT procedures
DS12 Manage facilities
AI5 Install and accredit systems
DS13 Manage operations
AI6 Manage changes
Audit Sistem Informasi
Sistem Informasi
Wikipedia
Sistem informasi adalah aplikasi
komputer untuk mendukung operasi dari
suatu organisasi: operasi, instalasi, dan
perawatan komputer, perangkat lunak, dan
data.
Sistem Informasi, contohnya
Meliputi:
– Tata kelola teknologi informasi secara
menyeluruh
– Audit pengembangan sistem informasi
(SDLC), satu jenis aplikasi tertentu
Audit Sistem Informasi
Ron Weber (1999,10)
Information systems auditing is the process of collecting
and evaluating evidence to determine whether a computer
system safeguards assets, maintains data integrity, allows
organizational goals to be achieved effectively, and uses
resources efficiently.
Strategic Alignment
– Apakah penerapan it sudah sesuai dengan yang
diaharapkan, apakah sudah sesuai kebutuhan
Value Delivery
– Komputerisasi bukan hanya untuk memenuhi
kebutuhan tapi juga sudah dimaksudkan untuk
memberikan nilai tambah, ex: penghematan biaya,
meningkatkan kinerja.
Audit SI – Ukuran Nilai
Risk Management
– Sudah ada penaksiran resiko, ada jaminan
kelangsungan operasi.
Resources Management
– Pengelolaan sumber daya, termasuk
pengembangan pengetahuan sudah dilakukan
secara efesien
Tujuan Audit Sistem Informasi
– Pemformatan ulang
– Manipulasi file
– Perhitungan
– Pemilihan data
– Analisis data
– Pemrosesan file
– Statistik
– Pembuatan laporan
Hasil Audit? Siapa yang
Melakukan Audit?
Auditor Sistem Informasi pada dasarnya melakukan
penilaian (assurance) tentang kesiapan sistem
berdasarkan kriteria tertentu.
Kemudian berdasarkan pengujian Auditor akan memberikan
rekomendasi perbaikan yang diperlukan.
Adakalanya judgement diperlukan berdasarkan kriteria yang
disepakati bersama.
Penanggung jawab sistem yang diaudit tetap berada pada
pengelola sistem, bukan di tangan auditor. Atas
rekomendasi yang diberikan tentunya diharapkan ada
tindak lanjut perbaikan bagi manajemen.
Hasil Audit? Siapa yang
Melakukan Audit?