Referensi

 Audit Sistem&Teknologi Informasi

 (Riyanarto Sarno)
 Strategi Sukses Bisnis dengan Teknologi Informasi
 (Riyanarto Sarno)
 Sistem Manajemen Keamanan Informasi (Riyanarto Sarno)
 Audit Sistem Informasi
 (Sanyoto Gondodiyoto)
 IT Auditing: Using Controls to Protect Information Assets
 byChris Davis, Mike SchillerandKevin Wheeler
 McGraw-Hill 2007 (387 pages)
 Audit
 Wikipedia (id)‫‏‬
› Audit atau pemeriksaan dalam arti luas
bermakna evaluasi terhadap suatu organisasi,
sistem, proses, atau produk. Audit
dilaksanakan oleh pihak yang kompeten,
objektif, dan tidak memihak, yang disebut
auditor. Tujuannya adalah untuk melakukan
verifikasi bahwa subjek dari audit telah
diselesaikan atau berjalan sesuai dengan
standar, regulasi, dan praktik yang telah
disetujui dan diterima.
 Audit
 Wikipedia (id) - summary
› evaluasi terhadap suatu
 organisasi,
 sistem,
 proses, atau
 Produk.
› dilaksanakan oleh
 pihak yang kompeten,
 objektif, dan
 tidak memihak,
› disebut auditor.
 Audit
 Wikipedia – summary (2)‫‏‬
 Tujuannya adalah
 verifikasi bahwa subjek dari audit telah diselesaikan atau
 berjalan sesuai dengan standar, regulasi, dan praktik yang
telah disetujui dan diterima.
 Sistem Informasi
 Wikipedia
 Sistem informasi adalah aplikasi komputer untuk
mendukung operasi dari suatu organisasi: operasi,
instalasi, dan perawatan komputer, perangkat lunak, dan
data.
 Sistem Informasi - contoh
 Sistem Informasi Manajemen adalah bidang yang
menekankan finansial dan personal manajemen.
 Sistem Informasi Penjualan adalah suatu sistem
informasi yang mengorganisasikan serangkaian
prosedur dan metode yang dirancang untuk
menghasilkan, menganalisa, menyebarkan dan
memperoleh informasi guna mendukung
pengambilan keputusan mengenai penjualan.
 Sistem Informasi - Summary
 Sistem Informasi adalah sekumpulan
 hardware,
 software,
 brainware,
 prosedur
 yang diorganisasikan secara integral untuk mengolah
data menjadi informasi yang bermanfaat guna
memecahkan masalah dan pengambilan keputusan
Model IO dan Komponen
Aplikasi Sistem Informasi
 Audit Sistem Informasi
 Ron Weber (1999,10)
Information systems auditing is the process of
collecting and evaluating evidence to determine
whether a computer system safeguards assets,
maintains data integrity, allows organizational goals to
be achieved effectively, and uses resources efficiently.
 (Audit sistem informasi adalah proses pengumpulan dan
penilaian bukti – bukti untuk menentukan apakah sistem
komputer dapat mengamankan aset, memelihara integritas
data, dapat mendorong pencapaian tujuan organisasi secara
efektif dan menggunakan sumberdaya secara efisien).
 Tujuan Audit Sistem Informasi
 4 (empat) tujuan audit sistem informasi, yaitu :
 Mengamankan asset
 Menjaga integritas data
 Menjaga efektivitas sistem
 Mencapai efisiensi sumberdaya.
 Tujuan (mengamankan aset)‫‏‬
 Mengamankan aset, aset (aktiva) yang berhubungan
dengan instalasi sistem informasi mencakup: perangkat
keras (hardware), perangkat lunak (software), manusia
(people), file data, dokumentasi sistem, dan peralatan
pendukung lainnya.
 Tujuan (integritas data)‫‏‬
 Integritas data berarti data memiliki atribut:
 kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian.
 Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan potret
dirinya dengan benar atau kejadian yang ada tidak terungkap seperti apa
adanya.
 keputusan maupun langkah-langkah penting di organisasi salah sasaran
karena tidak didukung dengan data yang benar.
 perlu pengorbanan biaya.
 Oleh karena itu, upaya untuk menjaga integritas data, dengan
konsekuensi akan ada biaya prosedur pengendalian yang dikeluarkan
harus sepadan dengan manfaat yang diharapkan.
 Tujuan (efektifitas sistem)‫‏‬
 Menjaga efektivitas sistem, sistem informasi dikatakan efektif hanya jika
sistem tersebut dapat mencapai tujuannya.
 perlu upaya untuk mengetahui kebutuhan pengguna sistem tersebut
(user).
 apakah sistem menghasilkan laporan atau informasi yang bermanfaat
bagi user (misal pengambil keputusan),
 auditor perlu mengetahui karakteristik user berikut proses pengambilan
keputusannya.
 Biasanya audit efektivitas sistem dilakukan setelah suatu sistem berjalan
beberapa waktu.
 Manajemen dapat meminta auditor untuk melakukan post audit guna
menentukan sejauh mana sistem telah mencapai tujuan
 Evaluasi ini akan memberikan masukan bagi pengambil keputusan apakah
kinerja sistem layak dipertahankan; harus ditingkatkan atau perlu
dimodifikasi; atau sistem sudah usang, sehingga harus ditinggalkan dan dicari
penggantinya
 Tujuan (efektifitas sistem) -2
 Audit efektivitas sistem dapat juga dilaksanakan
pada tahap perencanaan sistem (system design).
 User tidak dapat mengungkapkan kebutuhan
sistem
 Dirasa perlu untuk mereview kembali
spesifikasi sistem yang telah dibuat
 Tujuan (efesiensi sumber daya)‫‏‬
 dikatakan efisien jika ia menggunakan sumberdaya
seminimal mungkin untuk menghasilkan output yang
dibutuhkan.
 Pada kenyataannya, sistem informasi menggunakan
berbagai sumberdaya, seperti mesin, dan segala
perlengkapannya, perangkat lunak, sarana komunikasi
dan tenaga kerja yang mengoperasikan sistem
tersebut.
› harus berkompetisi untuk memberdayakan sumberdaya
yang ada tersebut.
 Pendekatan Audit Sistem Informasi
 Pendekatan temuan (Exposures Approach),
› fokus utama ditekankan pada jenis kesalahan (losses)
yang terjadi dalam suatu sistem informasi. Setelah itu
ditentukan kendali (controls) yang dapat digunakan
untuk mengurangi kesalahan tersebut sampai pada
batas yang dapat diterima (acceptable levels).
 Pendekatan kendali (Control Approach),
› fokus utamanya adalah kendali-kendali di dalam suatu
sistem informasi yang dapat digunakan untuk
mengurangi kesalahan sampai pada level yang dapat
diterima (acceptable levels).
 Aspek Yang Diperiksa
 Audit secara keseluruhan menyangkut efektifitas,
efisiensi,
› availability system,
› reliability,
› confidentiality, dan
› integrity, serta aspek security.
 Selanjutnya adalah audit atas proses, modifikasi
program, audit atas sumber data, dan data file.
 Audit TI sendiri merupakan gabungan dari berbagai
macam ilmu, antara lain: Traditional Audit,
Manajemen Sistem Informasi, Sistem Informasi
Akuntansi, Ilmu Komputer, dan Behavioral Science.
Tahapan Audit Sistem Informasi
 Menurut Ron Weber terdapat 5 (lima) langkah atau
tahapan audit sistem informasi yaitu :
 Perencanaan Audit (Planning the Audits)‫‏‬
 Pengetesan Kendali (Tests of Controls)‫‏‬
 Pengetesan Transaksi (Tests of Transactions)‫‏‬
 Pengetesan Keseimbangan atau Keseluruhan Hasil (Tests of
Balances or Overall Results) dan
 Pengakhiran (penyelesaian) Audit (Completion of the Audit)‫‏‬
Tahapan Audit Sistem Informasi
 menurut Gallegos Cs. tahapan audit sistem informasi
mencakup aktivitas :
 Perencanaan (Planning)‫‏‬
 Pemeriksaan Lapangan (Fieldwork)‫‏‬
 Pelaporan (Reporting) dan
 Tindak Lanjut (Follow Up)‫‏‬
 Pengumpulan Data (evidence)‫‏‬
 melalui berbagai teknik termasuk
 survei,
 interview,
 observasi dan review dokumentasi
 (termasuk review source-code bila diperlukan).
 Bisa jadi bukti-bukti audit yang diambil oleh auditor
mencakup bukti elektronis (data dalam bentuk file
softcopy).
 Pengumpulan Data (evidence) -
Method
 Dalam proses pengumpulan bukti ini ada beberapa cara
yang sering dipakai yaitu,
 audit around computer,
 audit trought computer dan
 audit with computer.
 Pengumpulan Data (evidence) -
Method
 Jika tingkat pemakaian TI tinggi maka audit yang
dominan digunakan adalah audit with computer
› biasa disebut dengan teknik audit berbantuan computer
atau menggunakan CAAT (Computer Aided Auditing
Technique).
 untuk menganalisa data, misalnya saja data
transaksi penjualan, pembelian, transaksi
aktivitas persediaan, aktivitas nasabah, dan lain-
lain.
 Tentunya untuk aspek sekuriti adakalanya auditor
dituntut mempunyai keahlian teknis yang cukup
memadai untuk menguji keamanan sistem.
Standard
 Standar adalah sesuatu yang harus dipenuhi oleh IS Auditor
 Standard yang digunakan dalam mengaudit teknologi informasi
adalah standar yang diterbitkan oleh ISACA yaitu
› ISACA IS Auditing Standard.
› Selain itu ISACA juga menerbitkan IS Auditing Guidance dan
IS Auditing Procedure.
› Guidelines memberikan penjelasan bagaimana auditor
dapat memenuhi standar dalam berbagai penugasan audit,
dan prosedur memberikan contoh langkah-langkah yang
perlu dilalui auditor dalam penugasan audit tertentu
sehingga sesuai dengan standar.
› Bagaimanapun IS auditor harus bisa menggunakan
judgement profesional ketika menggunakan guidance dan
procedure.
 Hasil Audit? Siapa yang Melakukan Audit?

 Auditor Sistem Informasi pada dasarnya melakukan

penilaian (assurance) tentang kesiapan sistem
berdasarkan kriteria tertentu.
› Kemudian berdasarkan pengujian Auditor akan
memberikan rekomendasi perbaikan yang diperlukan.
› Adakalanya judgement diperlukan berdasarkan kriteria
yang disepakati bersama.
› Penanggung jawab sistem yang diaudit tetap berada
pada pengelola sistem, bukan di tangan auditor. Atas
rekomendasi yang diberikan tentunya diharapkan ada
tindak lanjut perbaikan bagi manajemen.
 Hasil Audit? Siapa yang Melakukan Audit?
 Siapakah sebaiknya yang melakukan audit sistem
informasi?
› Audit sistem informasi dapat dilakukan sebagai bagian
dari pengendalian internal yang dilakukan oleh fungsi
TI.
 Tapi jika dibutuhkan opini publik tentang kesiapan sistem
tersebut, audit dapat dilakukan dengan mengundang pihak
ketiga (auditor independent) untuk melakukannya.
 Jika sebuah hasil audit TI perlu dipublikasikan, tentunya
perlu perangkat hukum yang mengatur tata cara pelaporan
tersebut
Pengertian Audit TSI
 suatu proses sistematik untuk memperoleh dan
mengevaluasi bukti secara tertulis ataupun lisan
dengan menggunakan pembuktian yang secara
objektif mengenai kumpulan pertanyaan-
pertanyaan
Jenis Audit pada TI
Jenis audit pada Teknologi Informasi terbagi 2(dua),
yaitu :

1. Audit around the computer

2. Audit through the computer
Audit around the computer
 hanya memeriksa dari sisi user saja dan pada
masukan dan keluaranya tanpa memeriksa lebih
terhadap program atau sistemnya
Audit around the computer
dilakukan pada saat:
1. Dokumen sumber tersedia dalam bentuk kertas (bahasa
non-mesin), artinya masih kasat mata dan dilihat secara
visual
2. Dokumen-dokumen disimpan dalam file dengan cara yang
mudah ditemukan.
3. Keluaran dapat diperoleh dari daftar yang terinci dan
auditor mudah menelusuri setiap transaksi dari dokumen
sumber kepada keluaran dan sebaliknya.
Kelebihan dan Kelemahan dari
metode Audit Around The Computer
1. Proses audit tidak memakan waktu lama karena hanya
melakukan audit tidak secara mendalam.
2. Tidak harus mengetahui seluruh proses penanganan sistem
3. Umumnya database mencakup jumlah data yang banyak dan
sulit untuk ditelusuri secara manual
4. Tidak membuat auditor memahami sistem komputer lebih
baik
5. Mengabaikan pengendalian sistem, sehingga rawan terhadap
kesalahan dan kelemahan potensial dalam sistem
6. Lebih berkenaan dengan hal yang lalu daripada audit yang
preventif
7. Kemampuan komputer sebagai fasilitas penunjang audit tidak
terpakai
8. Tidak mencakup keseluruhan maksud dan tujuan audit
AUDIT THROUGH THE COMPUTER
 dimana auditor selain memeriksa data masukan dan keluaran,
juga melakukan uji coba proses program dan sistemnya atau
yang disebut dengan white box, sehinga auditor merasakan
sendiri langkah demi langkah pelaksanaan sistem serta
mengetahui sistem bagaimana sistem dijalankan pada proses
tertentu
Audit around the computer
dilakukan pada saat
1. Sistem aplikasi komputer memproses input yang cukup besar
dan menghasilkan output yang cukup besar pula, sehingga
memperluas audit untuk meneliti keabsahannya

2. Bagian penting dari struktur pengendalian intern perusahaan

terdapat di dalam komputerisasi yang digunakan
Kelebihan dan Kelemahan dari
metode Audit Through The Computer
Kelebihan :
1. Dapat meningkatkan kekuatan pengujian system
aplikasi secara efektif
2. Dapat memeriksa secara langsung logika pemprosesan
dan system aplikasi
3. Kemampuan system dapat menangani perubahan dan
kemungkinan kehilangan yang terjadi pada masa yang
akan dating
4. Auditor memperoleh kemampuan yang besar dan efektif
dalam melakukan pengujian terhadap system computer
5. Auditor merasa lebih yakin terhadap kebenaran hasil
kerjanya
Kelemahan :
1. Biaya yang dibutuhkan relative tinggi karena jumlah jam kerja
yang banyak untuk dapat lenih memahami struktur
pengendalian intern dari pelaksanaan system aplikasi
2. Butuh keahlian teknis yang mendalam untuk memahami
cara kerja sistem
Perbedaan
Peralatan Audit TI
1. ACL (Audit Command Language) merupakan sebuah
software CAAT (Computer Assisted Audit Techniques)
yang sudah sangat populer untuk melakukan analisa
terhadap data dari berbagai macam sumber.
2. Picalo merupakan sebuah software CAAT (Computer
Assisted Audit Techniques) seperti halnya ACL yang
dapat dipergunakan untuk menganalisa data dari
berbagai macam sumber
3. Powertech Compliance Assessment merupakan
automated audit tool yang dapat dipergunakan untuk
mengaudit dan mem-benchmark user access to data,
4. Nipper merupakan audit automation software yang
dapat dipergunakan untuk mengaudit dan mem-
benchmark konfigurasi sebuah router
5. Nessus merupakan sebuah vulnerability assessment
software
6. Metasploit Framework merupakan sebuah penetration
testing tool
7. NMAP merupakan open source utility untuk melakukan
security auditing
8. Wireshark merupakan network utility yang dapat
dipergunakan untuk meng-capture paket data yang ada
Point Utama
 Filosofi Audit IT
 Tipe / fungsi dasar Audit
 Prinsip laporan Audit
 Metodologi Audit
 Cobit / ISACA / CISA
 Tata Kelola IT ( IT Governance)
Did you know..?
 “The need for IT Auditors far outstrips the supply of
qualified candidates”
 IT Auditors are in demand, but their work is interesting and
challenging
 IT Auditors evaluate an organizational entity’s IS (Info.
Technologies, data and information, and systems of
communication)
 Evaluation includes studying documents, interviewing
people, entering/manipulating data in a computer.
 IT Auditors do the above because business processes use IT
to function and IT is integral to an enterprise’s vialibility
Dampak terhadap organisasi
 IT is important in all kinds of organizations; IT also
influences organizational risks and controls.
 IT creates opportunities, but these opportunities
bring risks

 E.g., the ability to transmit document electronically to

customers & vendors allows improving efficiency in
the supply chain; but it (electronic communication
systems) also poses new risk
IT GOVERNANCE
• A process for controlling organization’s information
technology resources ( systems and technology).
• An organization’s mgmt and owners (board of directors) are
responsible for governing enterprise and IT.
• Enterprise governance – process of setting and
implementing corporate strategy, making sure that the
organization achieves its objectives efficiently, and manage
risks.
• The objectives of IT governance are to set strategies for IT so
that it is aligned closely with organizational goals, and to
use IT for maximum opportunity, but minimum risk.
• Two parts of IT Governance; 1. concerns the use of IT to
promote an organization’s objectives and enable business
processes; 2. involves managing and controlling IT-related
risks
 Continued..
 It begins with
 The development of IT Governance plan (set the strategic
purposes of IT acquisition and deployment or use)
 It is on on-going process, mgmt needs to regularly evaluate
and update plans
Provide
direction IT Activities
Set Objectives • Increase automation
• IT is aligned with the business (make business
• IT enables the business and effective)
maximizes benefits Decrease cost (make
compare •
• IT resources are used enterprise efficient)
responsibly • Manage risks (security
• IT-related risks managed reliability and
appropriately compliance
Measure
performance
 IT GOVERNANCE – CONT..
• ISACA established the IT Governance Institute (1998) – to
clarify and provide guidance on current and future issues
pertaining to IT governance, control and assurance.
• It developed CobiT (Control Objectives of Information
and Related Technology, 3rd Edition) and COEG (Control
Objectives for Enterprise Governance)
• CobiT provides guidance on IT governance – providing
the structure that links IT processes, IT resources and
information to enterprise strategies and objectives.
• CobiT also includes an IT Governance Management
Guidelines – identifies critical success factors, key goal
and performance indicators, matured model for IT
governance. It is a guideline that allows management to
use in evaluating performance with regards to IT
 Filosofi Audit IT
the process of finding and evaluating evidence to
determine whether an IT system safeguards the
organisational assets, uses resources efficiently,
maintains data security and integrity and fulfils the
business objectives effectively. (INTOSAI)

the process of collecting and evaluating evidence

to determine whether a computer system (information
system) safeguards assets, maintains data integrity,
achieves organizational goals effectively and
consumes resources efficiently (Ron Webber)

Pengumpulan dan Analisa Efektifitas Sistem TI Bagaimana memastikan

evaluasi Evidence atas obyektif bisnis status efektifitas
tersebut?
Apa saja obyektif bisnis yang relevan dengan TI dan bagaimana
hubungannya dengan efektifitas sistem TI?

Prinsip dasar Audit TI adalah melakukan pengumpulan bukti dan evaluasi atas IT Control.
Jika dia efektif maka obyektif bisnis akan dapat tercapai, atau sebaliknya.
 Definisi
• Audit adalah sistematis, pemeriksaan obyektif dari satu atau
lebih aspek dari suatu organisasi yang membandingkan apa
yang organisasi lakukan untuk satu set kriteria atau
persyaratan

Standardisasi (ISO) pedoman audit menggunakan istilah

untuk audit berarti "sistematis, proses independen dan
terdokumentasi untuk memperoleh bukti audit dan
mengevaluasinya secara objektif untuk menentukan sejauh
mana kriteria audit terpenuhi”

• Information Tech. Infrastructure Library (ITIL)

mendefinisikan audit sebagai "pemeriksaan formal dan
verifikasi untuk memeriksa apakah standar atau set
pedoman sedang diikuti, bahwa catatan yang akurat, atau
bahwa efisiensi dan efektivitas target terpenuhi “ [2].
 IT audit membantu organisasi memahami, menilai,
dan meningkatkan penggunaan kontrol untuk menjaga
IT, mengukur dan kinerja yang benar, dan mencapai
tujuan dan hasil yang dimaksudkan.
 IT audit terdiri dari penggunaan metodologi audit
yang formal untuk memeriksa IT - spesifik proses,
kemampuan, aset dan peran mereka dalam
memungkinkan proses bisnis organisasi
 IT audit juga membahas komponen atau
kemampuan yang mendukung domain lainnya tunduk
pada audit, seperti manajemen keuangan dan akuntansi,
kinerja operasional, jaminan kualitas, dan tata kelola,
manajemen risiko, dan kepatuhan (GRC) IT.
Perhatian utama Audit TI atas penggunaan sistem TI: RISIKO
Seiring dengan semakin masifnya adopsi TI, kebutuhan akan Audit TI juga meningkat.
Auditor memiliki kebutuhan untuk menilai potensi risiko atas sistem yang digunakan
organisasinya.

 Perubahan lingkungan kontrol internal

 Potensi berkurangnya akuntabilitas karena sifat anonim user
 Kemungkinan amandemen data yang tanpa terotorisasi atau
tanpa tercatat
 Perubahan-perubahan dalam audit evidence
 Kemungkinan duplikasi atau non-inklusi data
 New Opoortunities & mechanism untuk fraud dan error
 Penyimpanan dan pemrosesan data terdistribusi
 Kerahasiaan dan integrity informasi kunci bisnis
 ……..
Survei Responden

Survey dilakukan pada 300 organisasi pada 20 negara

(Eropa, Timur Tengah dan Afrika)
Survey terhadap framework

COBIT diadopsi hampir 75% di organisasi responden, sebagai framework Audit TI.
Survey: Koordinasi Audit Internal dengan Entitas
Governance Lain
 Survey: Pergeseran dari tradisional ke lebih proaktif,
pemberian nilai tambah dari Audit TI, bekerja lebih dekat
dengan TI dan fungsi bisnis.

Tetapi survey juga memperliihatkan bahwa hilangnya independensi merupakan ancaman nyata,
dimana 38% responden melaporkan bahwa Audit orTI mereka terlibat dalam verifikasi/otorisasi
sistem informasi baru.
Survey: Kepada siapa Head of Audit Melaporkan?

Best Practices mengatakan bahwa pelaporan kepada BoD atau Audit

Committee. berdasarkan survey, hanya sekitar 30% yang sesuai. Dan
ternyata masih ada 10% Audit Plan yang harus disetujui oleh fungsi TI.
 Survey: Skill yang paling dibutuhkan

Tantangan terbesar bagi Head of Internal Audit/IT Audit adalah menyeimbangkan ketrampilan
teknis staff dengan pengetahuan yang luas ttg bisnis. Strategi yang digunakan adalah mix antara
Audit orTI dan Auditor non-TI, 60% melakukan hal ini.
 Survey: Training untuk Auditor
TI

Secara umum waktu training yang dialokasikan masih rendah, 29% organisasi menyediakan waktu
kurang dari 1 minggu dalam setahun untuk training. Lebih jauh lagi, training lebih banyak ke
sertifikasi, bukan pada bagaimana melakukan kegiatan audit.
Survey: Penggunaan
Automated Tools dalam proses
Audit TI
Tools yang digunakan
 Survey :siapa yang mendapat lap. Audit TI

80% tidak menyertakan executive summary yg menyajikan temuan-temuan utama. 55% kasus tidak
menyertakan komentar manajemen pada laporan (seberapa seriuskan Audit TI?). 98% rekomendasi
di-follow-up.
Resume Survey
 Filosofi paling mendasar dari Audit TI adalah melakukan
evaluasi atas Kontrol TI, dan bagaimana konsekuensinya atas
ketercapaian obyektif bisnis: Strategic Alignment, Benefit
Maximization, Resource Management, Risk Management

 Pengetahuan dan ketrampilan tentang Kontrol TI menjadi

kunci dalam melakukan tahapan-tahapan Audit TI.
Kelemahan dalam penguasaan Kontrol TI adalah sebab
terbesar terjadinya Audit Risk.

 Best Practices seperti metoda efektif perencanaan &

pengorganisasian, staffing dan peningkatan skill dan
pengelolaan follow-up dapat dirujuk untuk meningkatkan
kematangan audit internal
 Ruang Lingkup Audit
 Audit operasional mengetahui efektivitas dari satu
atau lebih proses bisnis atau fungsi organisasi dan
efisiensi penggunaan sumber daya dalam mendukung
tujuan dan sasaran organisasi.

Teknologi informasi (IT) audit meneliti proses,

aset TI, dan kontrol pada beberapa tingkatan dalam
suatu organisasi untuk menentukan sejauh mana
organisasi mematuhi standar yang berlaku atau
persyaratan.
 Auditor membandingkan subjek audit-proses, sistem,
komponen, perangkat lunak, atau organisasi secara
keseluruhan-eksplisit dengan yang standar yang telah
ditetapkan untuk menentukan apakah subjek
memenuhi kriteria.

Temuan audit mengidentifikasi kekurangan di mana,

apa yang diamati auditor atau ditemukan melalui
analisis bukti audit berbeda dari apa yang diharapkan
atau dibutuhkan sehingga subjek audit yang tidak dapat
memenuhi persyaratan.
Pahami Bisnis Anda
 Langkah awal untuk menerapkan audit berbasis
resiko adalah memahami bisnis yang sedang
dijalankan. Apakah bisnis anda ?
 Apa fungsi dan tujuan perusahaan? Apakah bisnis
yang ada termasuk umum ?
 Apakah beberapa resiko yang ada termasuk baru
dalam tipe bisnis saat ini?
 Bagaimana manajemen bereaksi terhadap berita
negative?
 Bagaimana control kesalahan dikenali dan di
laporkan?
Overlap Audit

IT auditing has much in common with other types of audit and

overlaps in many respects with financial, operational, and quality
audit practices.
 Keuntungan Audit
 Menilai keefektifan aktivitas aktifitas dokumentasi dalam
organisasi
 Memonitor kesesuaian dengan kebijakan, sistem, prosedur dan
undang-undang perusahaan
 Mengukur tingkat efektifitas dari sistem
 Mengidentifikasi kelemahan di sistem yang mungkin
mengakibatkan ketidaksesuaian di masa datang
 Menyediakan informasi untuk proses peningkatan
 Meningkatkan saling memahami antar departemen dan antar
individu
 Melaporkan hasil tinjauan dan tindakan berdasarkan resiko ke
Manajemen
Elemen kontrol
• Elemen kontrol TI internal dapat diaudit dalam isolasi
atau bersama-sama. Meskipun ketika audit IT berfokus
sempit pada satu aspek dari IT, auditor perlu
mempertimbangkan konteks yang lebih luas dalam hal
teknis, operasional, dan lingkungan.

IT audit juga mengatasi proses pengendalian internal dan

fungsi, seperti operasi dan prosedur pemeliharaan,
kelangsungan bisnis dan pemulihan bencana,
penanganan insiden, jaringan dan pemantauan
keamanan, manajemen konfigurasi, pengembangan
sistem, dan manajemen proyek
Contoh kategori kontrol
IT Audit Area
Planning
Organization and Management
Policies and procedures
Security
Regulation and standard
Jenis Audit
(Secara Umum)

Compliance
Kinerja
Kecurangan
Sertifikasi
Jenis Audit (IT)

 System Audit
 Audit terhadap sistem terdokumentasi untuk
memastikan sudah memenuhi standar nasional
atau internasional
 Compliance Audit
 Untuk menguji efektifitas implementasi dari
kebijakan, prosedur, kontrol dan unsur hukum yang
lain
 Product / Service Audit
 Untuk menguji suatu produk atau layanan telah
sesuai seperti spesifikasi yang telah ditentukan dan
cocok digunakan
Siapa yang Diaudit
 Management
 IT Manager
 IT Specialist (network, database, system analyst,
programmer, dll.)
 User
Siapa yang Meng-Audit
Tergantung Tujuan Audit
 Internal Audit (first party audit)
 Dilakukan oleh atau atas nama perusahaan sendiri
 Biasanya untuk management review atau tujuan internal
perusahaan
 Lembaga independen di luar perusahaan
 Second party audit
 Dilakukan oleh pihak yang memiliki kepentingan thd
perusahaan
 Third party audit
 Dilakukan oleh pihak independen dari luar perusahaan.
Misalnya untuk sertifikasi (ISO 9001, BS7799 dll).
Tugas Auditor IT
 Memastikan sisi-sisi penerapan IT memiliki kontrol
yang diperlukan
 Memastikan kontrol tersebut diterapkan dengan baik
sesuai yang diharapkan
Hal-hal yang dilakukan auditor
 Persiapan
 Review Dokumen
 Persiapan kegiatan on-site audit
 Melakukan kegiatan on-site audit
 Persiapan, persetujuan dan distribusi laporan audit
 Follow up audit
 Output kegiatan Audit
Hasil akhir adalah berupa laporan yang berisi:
• Ruang Lingkup audit
• Metodologi
• Temuan-temuan
• Ketidaksesuaian (sifat ketidaksesuaian, bukti2
pendukung, syarat yg tdk dipenuhi, lokasi, tingkat
ketidaksesuaian)
• Kesimpulan (tingkat kesesuaian dengan kriteria audit,
efektifitas implementasi, pemeliharaan dan
pengembangan sistem manajemen, rekomendasi)
 Ketrampilan yang dibutuhkan
 Audit skill : sampling, komunikasi, melakukan
interview, mengajukan pertanyaan, mencatat
 Generic knowledge : pengetahuan mengenai prinsip2
audit, prosedur dan teknik, sistem manajemen dan
dokumen2 referensi, organisasi, peraturan2 yang
berlaku
 Specific knowledge : background IT/IS, bisnis,
specialist technical skill, pengalaman audit sistem
manajemen, perundangan
Prinsip-prinsip Audit
• Ethical conduct
• Berdasar pada profesionalisme, kejujuran, integritas,
kerahasiaan dan kebijaksanaan
• Fair Presentation
• Kewajiban melaporkan secara jujur dan akurat
• Due professional care
• Implementasi dari kesungguhan dan pertimbangan yang
diberikan
• Independence
• Evidence-base approach
Scope Audit
Internal Auditor
• Audit kontrol internal TI membutuhkan pengetahuan
yang luas IT, keterampilan, dan kemampuan dan keahlian
dalam prinsip-prinsip umum dan khusus IT audit, praktik,
dan proses.
Organisasi perlu mengembangkan atau memperoleh tenaga
dengan pemahaman khusus tujuan pengendalian dan
pengalaman dalam operasi IT yang diperlukan untuk secara
efektif melakukan audit TI.

Jenis organisasi dan individu yang melakukan audit IT

meliputi:
Auditor internal, yang terdiri baik karyawan organisasi yang
melakukan audit internal IT atau kontraktor, konsultan, atau
spesialis outsourcing yang disewa oleh organisasi untuk
melaksanakan audit internal;
 Alasan Auditor internal
• Alasan yang digunakan untuk membenarkan audit TI
internal dapat lebih bervariasi di seluruh organisasi,
tetapi meliputi:

Sesuai dengan surat aturan pertukaran yang perusahaan

memiliki fungsi audit internal;
- mengevaluasi efektivitas pengendalian yang dilakukan;
- mengkonfirmasikan kepatuhan terhadap kebijakan
internal, proses, dan prosedur;
- memeriksa kesesuaian dengan tata kelola TI atau
kontrol kerangka kerja dan standar;
- menganalisis kerentanan dan pengaturan konfigurasi
untuk mendukung pemantauan terus menerus;
mengidentifikasi kelemahan dan kekurangan sebagai
bagian dari manajemen risiko awal atau berkelanjutan
 Eksternal Auditor
• Audit TI eksternal, menurut definisi, dilakukan oleh
auditor dan entitas luar subjek organisasi untuk audit.
Tergantung pada ukuran organisasi dan ruang lingkup
dan kompleksitas audit TI, audit eksternal dapat
dilakukan oleh auditor tunggal atau tim.
 Auditor mandiri penting bagi audit internal dan
eksternal, tetapi dalam konteks audit eksternal mandiri
tersebut sering tidak diperlukan.
 Sementara perusahaan yang menyediakan jasa audit
eksternal tunduk peraturan organisasi dan pengawasan,
auditor individu melakukan audit eksternal biasanya
harus menunjukkan pengetahuan yang memadai dan
keahlian dan kualifikasi yang sesuai.

 Sertifikasi profesional menyediakan satu indikator

kualifikasi auditor, terutama di mana sertifikasi yang
spesifik sesuai dengan jenis audit eksternal yang
dilakukan.
 Keahlian
 Auditor TI internal juga perlu keterampilan non-
teknis yang tepat dan karakteristik, termasuk
integritas pribadi dan profesional dan standar etika.
 Auditor TI internal dapat menunjukkan kualifikasi
yang memenuhi kombinasi kemampuan yang
berkaitan dengan IT dan sifat-sifat profesional
individu dengan mencapai sertifikasi yang relevan.
 Terutama termasuk Institut Certified Internal Auditor
(CIA) credential Auditor Internal dan CISA ISACA
atau Sistem Informasi Bersertifikat Manager (CISM).
 Apa yang diaudit
• Audit TI dapat mengevaluasi seluruh organisasi, unit bisnis
individu, fungsi misi dan proses bisnis, jasa, sistem,
infrastruktur, atau komponen teknologi.
Terlepas dari metode IT audit secara keseluruhan
digunakan, IT audit selalu mengatasi satu atau lebih
bidang studi yang berkaitan dengan teknologi, termasuk
kontrol yang berkaitan dengan hal berikut:
Pusat data dan fasilitas fisik lainnya seperti :
 Server Virtualisasi dan Lingkungan layanan dan operasi
outsourcing - infrastruktur jaringan
Telekomunikasi - web dan server aplikasi
Sistem operasi - Software dan paket aplikasi
Database - Pengguna dan Aplikasi interface
Storage - Perangkat Mobile
Apa yang di audit ?
Scope
 Peraturan dan Standar Yang Biasa Dipakai
• ISO / IEC 17799 and BS7799
• Control Objectives for Information and related
Technology (CobiT)
• ISO TR 13335
• IT Baseline Protection Manual
• ITSEC / Common Criteria
• Federal Information Processing Standard 140-1/2 (FIPS 140-
1/2)
• The “Sicheres Internet” Task Force [Task Force Sicheres
Internet]
• The quality seal and product audit scheme operated by the
Schleswig-Holstein Independent State Centre for Data
Privacy Protection (ULD)
• ISO 9000
CobiT…
Control Objectives for Information
and
Related Technology
 CobiT
 Dibuat oleh organisasi ISACA (Information Systems
Audit and Control Association) dan dikembangkan
oleh IT Governance Institute
 Focus pada audit, control dan security issues
Badan (Indonesia)
 ISACA Indonesian Chapter (isaca.or.id)
 ISSA (Information System Security Association)
Indonesian Chapter
 Sertifikasi
CISA (Certified Information Systems Auditor)
CISM (Certified Information Security Manager)
CISSP (Certified IS Security Professional)
CIA (Certified Internal Auditor)

Kualifikasi :
Pengalaman dan pengetahuan untuk mengidentifikasi,
mengevaluasi, dan memberikan rekomendasi berupa
solusi untuk mengurangi kelemahan sistem IT
=> Mengeluarkan sertifikasi untuk personal auditor
 Misi CobiT
Melakukan penelitian, pengembangan, publikasi dan
promosi terhadap control objective dari teknologi
informasi yang secara umum diterima di lingkungan
internasional untuk pemakaian sehari-hari oleh
manager dan auditor
 Lingkup CobiT -> 4 domains
 Planning & Organization
 Acquisition & Implementation
 Delivery & Support
 Monitoring
 CobiT -> Control Objectives
 Defining controls that should be in place
 34 processes
 3-30 detailed IT Control Objectives
Pola Pikir
 What’s BS7799
 Sebuah pendekatan berbasis ‘resiko’ dalam
mendefinisikan kebijakan dan prosedur serta untuk
memilih kontrol yang memadai untuk mengelola
resiko
 ISO/IEC 17799
 Information technology – code of practice for
information security management
 BS 7799
 Information security management systems –
Specification with guidance for use
 Kebutuhan auditor IT
 Internal Audit -> setiap perusahaan memerlukan
 Perusahaan penyedia layanan audit
 Perusahaan penyedia sertifikasi
 Peluang
 Ketergantungan terhadap IT semakin besar sehingga
muncul kebutuhan untuk melakukan audit IT
 Auditor IT yang sekarang banyak yang berasal bukan
dari bidang IT
 Banyak permasalahan (bisnis) dalam pengelolaan IT
References
[1] ISO 19011:2011. Guidelines for auditing management systems.
[2] ITIL glossary and abbreviations. London (UK): Cabinet Office; 2011.
[3] Sarbanes–Oxley Act of 2002, Pub. L. No. 107-204, 116 Stat. 745.
[4] Committee of Sponsoring Organizations of the Treadway
Commission. Internal control—Integrated framework. New York (NY):
Committee of Sponsoring Organizations of the Treadway Commission;
2013.
[5] IT Governance Institute. COBIT 4.1. Rolling Meadows (IL): IT
Governance Institute; 2007.