Fundamental IT AUDIT

(I)
• Filosofi Audit IT
• Tipe / fungsi dasar Audit
• Prinsip laporan Audit
• Metodologi Audit
• Cobit / ISACA / CISA
• Tata Kelola IT ( IT Governance)
Dampak terhadap organisasi

• IT is important in all kinds of organizations; IT also influences

organizational risks and controls.
• IT creates opportunities, but these opportunities bring risks

• E.g., the ability to transmit document electronically to customers &

vendors allows improving efficiency in the supply chain; but it
(electronic communication systems) also poses new risk
Filosofi Audit IT
the process of finding and evaluating evidence to
determine whether an IT system safeguards the
organisational assets, uses resources efficiently,
maintains data security and integrity and fulfils the
business objectives effectively. (INTOSAI)

the process of collecting and evaluating evidence to

determine whether a computer system (information
system) safeguards assets, maintains data integrity,
achieves organizational goals effectively and
consumes resources efficiently (Ron Webber)

Pengumpulan dan Analisa Efektifitas Sistem TI Bagaimana memastikan

evaluasi Evidence atas obyektif bisnis status efektifitas tersebut?
Apa saja obyektif bisnis yang relevan dengan TI dan bagaimana hubungannya
dengan efektifitas sistem TI?

Prinsip dasar Audit TI adalah melakukan pengumpulan bukti dan evaluasi atas IT Control.
Jika dia efektif maka obyektif bisnis akan dapat tercapai, atau sebaliknya.
Definisi
• Audit adalah sistematis, pemeriksaan obyektif dari satu atau lebih aspek
dari suatu organisasi yang membandingkan apa yang organisasi lakukan
untuk satu set kriteria atau persyaratan

Standardisasi (ISO) pedoman audit menggunakan istilah untuk audit berarti

"sistematis, proses independen dan terdokumentasi untuk memperoleh
bukti audit dan mengevaluasinya secara objektif untuk menentukan sejauh
mana kriteria audit terpenuhi”

• Information Tech. Infrastructure Library (ITIL) mendefinisikan audit

sebagai "pemeriksaan formal dan verifikasi untuk memeriksa apakah
standar atau set pedoman sedang diikuti, bahwa catatan yang akurat, atau
bahwa efisiensi dan efektivitas target terpenuhi “ [2].
• IT audit membantu organisasi memahami, menilai, dan
meningkatkan penggunaan kontrol untuk menjaga IT, mengukur dan
kinerja yang benar, dan mencapai tujuan dan hasil yang
dimaksudkan.

• IT audit terdiri dari penggunaan metodologi audit yang formal untuk

memeriksa IT - spesifik proses, kemampuan, aset dan peran mereka
dalam memungkinkan proses bisnis organisasi

• IT audit juga membahas komponen atau kemampuan yang

mendukung domain lainnya tunduk pada audit, seperti manajemen
keuangan dan akuntansi, kinerja operasional, jaminan kualitas, dan
tata kelola, manajemen risiko, dan kepatuhan (GRC) IT.
Perhatian utama Audit TI atas penggunaan sistem TI:
RISIKO
Seiring dengan semakin masifnya adopsi TI, kebutuhan akan Audit TI juga
meningkat. Auditor memiliki kebutuhan untuk menilai potensi risiko atas sistem
yang digunakan organisasinya.

▪ Perubahan lingkungan kontrol internal

▪ Potensi berkurangnya akuntabilitas karena sifat anonim user
▪ Kemungkinan amandemen data yang tanpa terotorisasi atau tanpa
tercatat
▪ Perubahan-perubahan dalam audit evidence
▪ Kemungkinan duplikasi atau non-inklusi data
▪ New Opoortunities & mechanism untuk fraud dan error
▪ Penyimpanan dan pemrosesan data terdistribusi
▪ Kerahasiaan dan integrity informasi kunci bisnis
 Survey: Skill yang paling dibutuhkan

Tantangan terbesar bagi Head of Internal Audit/IT Audit adalah menyeimbangkan ketrampilan
teknis staff dengan pengetahuan yang luas ttg bisnis. Strategi yang digunakan adalah mix antara
Audit orTI dan Auditor non-TI, 60% melakukan hal ini.
 Survey: Training untuk Auditor TI

Secara umum waktu training yang dialokasikan masih rendah, 29% organisasi menyediakan
waktu kurang dari 1 minggu dalam setahun untuk training. Lebih jauh lagi, training lebih banyak
ke sertifikasi, bukan pada bagaimana melakukan kegiatan audit.
Survey: Penggunaan Automated Tools dalam
proses Audit TI
Tools yang digunakan
 Survey :siapa yang mendapat lap. Audit TI

80% tidak menyertakan executive summary yg menyajikan temuan-temuan utama. 55% kasus
tidak menyertakan komentar manajemen pada laporan (seberapa seriuskan Audit TI?). 98%
rekomendasi di-follow-up.
Resume Survey
▪ Filosofi paling mendasar dari Audit TI adalah melakukan evaluasi
atas Kontrol TI, dan bagaimana konsekuensinya atas
ketercapaian obyektif bisnis: Strategic Alignment, Benefit
Maximization, Resource Management, Risk Management

▪ Pengetahuan dan ketrampilan tentang Kontrol TI menjadi kunci

dalam melakukan tahapan-tahapan Audit TI. Kelemahan dalam
penguasaan Kontrol TI adalah sebab terbesar terjadinya Audit
Risk.

▪ Best Practices seperti metoda efektif perencanaan &

pengorganisasian, staffing dan peningkatan skill dan pengelolaan
follow-up dapat dirujuk untuk meningkatkan kematangan audit
internal
 Ruang Lingkup Audit

• Audit operasional mengetahui efektivitas dari satu atau lebih proses

bisnis atau fungsi organisasi dan efisiensi penggunaan sumber daya
dalam mendukung tujuan dan sasaran organisasi.

Teknologi informasi (IT) audit meneliti proses, aset TI, dan kontrol pada
beberapa tingkatan dalam suatu organisasi untuk menentukan sejauh
mana organisasi mematuhi standar yang berlaku atau persyaratan.

• Auditor membandingkan subjek audit-proses, sistem, komponen,

perangkat lunak, atau organisasi secara keseluruhan-eksplisit dengan
yang standar yang telah ditetapkan untuk menentukan apakah subjek
memenuhi kriteria.
Temuan audit mengidentifikasi kekurangan di mana, apa yang diamati
auditor atau ditemukan melalui analisis bukti audit berbeda dari apa
yang diharapkan atau dibutuhkan sehingga subjek audit yang tidak dapat
memenuhi persyaratan.
Pahami Bisnis Anda

▪ Langkah awal untuk menerapkan audit berbasis resiko adalah

memahami bisnis yang sedang dijalankan. Apakah bisnis anda ?
▪ Apa fungsi dan tujuan perusahaan? Apakah bisnis yang ada termasuk
umum ?
▪ Apakah beberapa resiko yang ada termasuk baru dalam tipe bisnis
saat ini?
▪ Bagaimana manajemen bereaksi terhadap berita negative?
▪ Bagaimana control kesalahan dikenali dan di laporkan?
Overlap Audit

IT auditing has much in common with other types of

audit and overlaps in many respects with financial,
operational, and quality audit practices.
Keuntungan Audit
• Menilai keefektifan aktivitas aktifitas dokumentasi dalam organisasi
• Memonitor kesesuaian dengan kebijakan, sistem, prosedur dan
undang-undang perusahaan
• Mengukur tingkat efektifitas dari sistem
• Mengidentifikasi kelemahan di sistem yang mungkin
mengakibatkan ketidaksesuaian di masa datang
• Menyediakan informasi untuk proses peningkatan
• Meningkatkan saling memahami antar departemen dan antar
individu
• Melaporkan hasil tinjauan dan tindakan berdasarkan resiko ke
Manajemen
Elemen kontrol

• Elemen kontrol TI internal dapat diaudit dalam isolasi atau bersama-

sama. Meskipun ketika audit IT berfokus sempit pada satu aspek dari IT,
auditor perlu mempertimbangkan konteks yang lebih luas dalam hal
teknis, operasional, dan lingkungan.

IT audit juga mengatasi proses pengendalian internal dan fungsi, seperti

operasi dan prosedur pemeliharaan, kelangsungan bisnis dan pemulihan
bencana, penanganan insiden, jaringan dan pemantauan keamanan,
manajemen konfigurasi, pengembangan sistem, dan manajemen proyek
Contoh kategori kontrol
IT Audit Area

• Planning
• Organization and Management
• Policies and procedures
• Security
• Regulation and standard
Jenis Audit
(Secara Umum)

• Compliance
• Kinerja
• Kecurangan
• Sertifikasi
Jenis Audit (IT)
➢ System Audit
• Audit terhadap sistem terdokumentasi untuk
memastikan sudah memenuhi standar nasional atau
internasional
➢ Compliance Audit
• Untuk menguji efektifitas implementasi dari kebijakan,
prosedur, kontrol dan unsur hukum yang lain
➢ Product / Service Audit
• Untuk menguji suatu produk atau layanan telah sesuai
seperti spesifikasi yang telah ditentukan dan cocok
digunakan
Siapa yang Diaudit
▪ Management
▪ IT Manager
▪ IT Specialist (network, database, system analyst,
programmer, dll.)
▪ User
Pihak yang meng-audit
Pihak yang melakukan tergantung dengan tujuannya :

➢ Internal Audit (first party audit)

• Dilakukan oleh atau atas nama perusahaan sendiri

• Biasanya untuk management review atau tujuan internal perusahaan

➢ Lembaga independen di luar perusahaan

• Second party audit

* Dilakukan oleh pihak yang memiliki kepentingan thd perusahaan
• Third party audit
* Dilakukan oleh pihak independen dari luar perusahaan. Misalnya
untuk sertifikasi (ISO 9001, BS7799 dll).
Tugas Auditor IT

• Memastikan sisi-sisi penerapan IT memiliki kontrol yang

diperlukan

• Memastikan kontrol tersebut diterapkan dengan baik sesuai

yang diharapkan
Hal-hal yang dilakukan auditor

• Persiapan
• Review Dokumen
• Persiapan kegiatan on-site audit
• Melakukan kegiatan on-site audit
• Persiapan, persetujuan dan distribusi laporan audit
• Follow up audit