The IT Audit Process

BOOK
NOTE

Cleo Yunita 16.0102.0006

Aditia Permana 16.0102.0007
Windi Cindiana 16.0102.0026
Dzikrotun Laela 16.0102.0037
Makhbub Setyoadi 16.0102.0039
Desi Nurpitasari 16.0102.0051
Sisca Amalia 16.0102.0071
RIV IVE
E
PE ENDR
ND
P

E
V VE
RI RI
ND ND
PE PE
 Audit Universe

adalah inventaris semua area audit potensial dalam suatu organisasi.

Area audit fungsional dasar dalam suatu organisasi meliputi
penjualan, pemasaran, layanan pelanggan, operasi, penelitian dan
pengembangan, keuangan, sumber daya manusia, teknologi
informasi, dan hukum

Audit universe penting untuk proses audit internal berbasis risiko

yang tepat. Biasanya, kelompok audit internal menyiapkan jadwal
audit tahunan untuk menentukan jumlah jam yang tersedia dan
jumlah audit yang dapat dilakukan.
 COBIT
Definisi
Prinsip Dasar
seperangkat praktik TI internasional yang diakui dan diterima COBIT
secara umum atau tujuan pengendalian yang membantu
karyawan, manajer, eksekutif, dan auditor dalam: memahami
sistem TI, melepaskan tanggung jawab fidusia, dan
memutuskan tingkat keamanan dan kontrol yang memadai
1.Meeting stakeholder
needs

5. Separating
governance from 2. Covering the
management enterprise endto-end

4.Enabling a holistic 3. Applying a single,

approach integrated framework
RISK ASSESMENT
Penilaian risiko dianggap sebagai dasar dari fungsi
audit karena membantu dalam mengembangkan
proses perencanaan audit individu.

1. meningkatkan kualitas, kuantitas, dan aksesibilitas data

perencanaan, seperti bidang risiko, audit dan hasil
sebelumnya, dan informasi anggaran

2. memeriksa proyek audit potensial di alam semesta audit

dan memilih proyek-proyek yang memiliki eksposur risiko
terbesar untuk dilakukan pertama kali

3. memberikan kerangka kerja untuk mengalokasikan

sumber daya audit untuk mencapai manfaat maksimum.

COMPUTER REPAIR & SUPPORT

 RISK ASSESMENT
NIST merekomendasikan bahwa untuk penilaian risiko,
penting bagi organisasi untuk mengikuti langkah-langkah ini,:

1. Siapkan proses untuk mengidentifikasi atau mengkarakterisasi aset

2. Tetapkan kerentanan pada aset tersebut dan sumber ancaman

yang dapat memicu

3. Tentukan tingkat kemungkinan atau probabilitas (mis., Sangat

tinggi, tinggi, sedang, dll.) Yang dapat dilakukan kerentanan

4. Tetapkan besarnya dampak untuk menentukan seberapa sensitif

aset tersebut terhadap ancaman yang berhasil dilakukan

5. Aset terkait dengan TI koresponden dan / atau risiko bisnis.

6. Hitung peringkat risiko dengan mengalikan probabilitas yang

diberikan dari Langkah 3 di atas

COMPUTER REPAIR & SUPPORT

 AUDIT PLANN

Definisi
Tahap – Tahap Perencanaan audit TI

fungsi dasar yang diperlukan untuk

menggambarkan apa yang harus dicapai, 1. Buat daftar tujuan audit dan jelaskan konteksnya
termasuk anggaran waktu dan biaya, dan
prioritas negara sesuai dengan tujuan dan
kebijakan organisasi.
2. Kembangkan jadwal audit

3. Buat anggaran audit dan tentukan ruang lingkup

4. Buat daftar anggota tim audit, jelaskan tugas audit, tentukan

tenggat waktu

COMPUTER REPAIR & SUPPORT

Tujuan & konteks

Tujuan & Konteks Pekerjaan merupakan elemen kunci

Tujuan & dalam lingkungan audit yang apapun dan tidak boleh
Konteks diabaikan.

Konteks adalah lingkungan di mana pekerjaan akan

dilakukan. Dengan demikian, segala sesuatu akhirnya
tergantung pada kedua tujuan dan konteks pekerjaan
yang akan dilakukan

Dengan mendefinisikan tujuan dan konteks pekerjaan

yang tepat, manajemen dapat memastikan bahwa
audit akan memverifikasi fungsi dan kontrol dari semua
bidang Audit kunci yang benar. Sebuah Tujuan /
konteks umum ditetapkan untuk audit IT adalah untuk
mendukung audit laporan keuangan
IT Audit yang dilakukan untuk Mendukung Audit
Laporan Keuangan

Hasil atau temuan dari audit IT biasanya menentukan

jumlah pengujian substantif yang akan dilakukan oleh
auditor keuangan.

Di sisi lain, jika tidak ada kontrol IT di tempat

melindungi aplikasi keuangan, atau jika TI yang ada
kontrol tidak beroperasi secara efektif, jumlah
pengujian substantif yang dilakukan oleh auditor
keuangan akan jauh lebih tinggi.

Hal ini dapat memiliki implikasi tidak bisa signifi- untuk

audit, seperti waktu yang dibutuhkan untuk
menyelesaikan audit, peningkatan biaya kepada klien,
dll Sisa dari bab ini difokuskan pada IT audit yang
dilakukan untuk mendukung audit laporan keuangan.
Jadwal Audit

penciptaan jadwal tahunan adalah proses penentuan

jam pemeriksaan total yang tersedia, kemudian
menetapkan daerah Audit untuk mengisi waktu yang
tersedia.

Jadwal penciptaan harus dilakukan bersamaan dengan

proses penilaian risiko tahunan; ini akan
memungkinkan departemen audit internal untuk
memperhitungkan perubahan dalam peringkat risiko
dan membuat penambahan yang diperlukan atau
penghapusan untuk daerah audit.
Audit Anggaran

Idealnya, anggaran audit harus dibuat setelah jadwal

audit ditentukan. Namun, sebagian besar organisasi
memiliki anggaran dan sumber daya kendala. Sebuah
pendekatan alternatif mungkin diperlukan ketika
membangun jadwal audit.

Setelah menentukan prioritas audit, audit manajemen

akan menentukan jumlah jam yang tersedia untuk
memutuskan berapa banyak audit mereka dapat
menyelesaikan dalam setahun. Untuk audit TI tertentu,
tersedia jam tercantum per area, personel staf.
Tim Audit, Tugas Dan Batas Waktu
Rencana audit harus mencakup bagian yang
mencantumkan anggota audit, jabatan dan
tugas umum yang akan mereka miliki.
Misalnya, audit tipikal melibatkan anggota UNDER
staf, senior, manajer, atau manajer senior,
dan mitra, kepala sekolah, atau direktur
(PPD) yang akan mengawasi seluruh audit.

Proses Audit
Audit mengikuti serangkaian
langkah logis dan teratur, masing-
masing dirancang untuk mencapai
hasil akhir yang spesifik.
 Ulasan Pendahuluan
Auditor harus mendapatkan dan Risk assessment Audit Plan
meninjau informasi tingkat
ringkasan dan mengevaluasinya
sehubungan dengan tujuan audit. Preliminary
Tujuan dari fase tinjauan Communication review
pendahuluan dari perikatan audit
TI adalah untuk mengumpulkan
pemahaman tentang lingkungan
TI, termasuk kontrol yang ada
Design audit
yang penting untuk memenuhi Document procedurs
tujuan audit secara keseluruhan. result

Test control
Substantive
testing
 Informasi Umum Tentang Lingkungan TI

TI didefinisikan sebagai perangkat keras, perangkat lunak, komunikasi, dan fasilitas lain
yang digunakan untuk memasukkan, menyimpan, memproses, mengirim, dan mengeluarkan
data dalam bentuk apa pun. Lingkungan TI mengacu pada kebijakan, prosedur, dan praktik
yang diterapkan oleh organisasi untuk memprogram, menguji, mengirim, memantau,
mengontrol, dan mendukung infrastruktur TI.

Pengendalian yang tersedia

Kebijakan dan prosedur yang
diterapkan organisasi dan
infrastruktur TI serta
perangkat lunak aplikasi yang
digunakannya untuk
mendukung operasi bisnis dan
mencapai strategi bisnis.
untuk mendukung area
operasi sistem informasi,
seperti: mendukung
penjadwalan pekerjaan,
data, restorasi, cadangan
dan penyimpanan.
Kontrol yang mendukung area
keamanan informasi, seperti
mendukung teknik otentikasi (mis.,
Kata sandi), akses baru atau
prosedur terminasi, penggunaan
firewall dan bagaimana cara
mengkonfigurasi, keamanan fisik.
Kontrol yang mendukung bidang
manajemen kontrol perubahan,
seperti yang mendukung
implementasi perubahan ke dalam
aplikasi, sistem operasi, dan basis
data; menguji apakah akses
programmer cukup;
Prosedur Desain Audit
Pada fase ini, auditor TI harus menyiapkan program audit
untuk daerah yang diaudit, pengendalian berlaku untuk
masing-masing daerah yang dipilih, dan mengidentifikasi
prosedur atau kegiatan untuk menilai tujuan tersebut

Mengidentifikasi aplikasi keuangan

Identifikasi aplikasi keuangan dapat dicapai dengan pemahaman
auditor terhadap prosedur akuntansi dan proses organisasi
Test Kontrol

Auditor IT mengeksekusi beberapa prosedur untuk menguji

kontrol, proses, dan eksposur dengan jelas. prosedur audit ini
mungkin termasuk memeriksa bukti dokumenter, wawancara,
inspeksi, dan pengamatan pribadi.

Bukti Dokumenter Wawancara

Dapat terdiri dari berbagai merupakan bagian dari proses
bentuk dokumentasi pada pengujian
sistem aplikasi di bawah
ulasan. Contohnya catatan
programer

Inspeksi Pengamatan Pribadi

COMPUTER REPAIR & SUPPORT

Pengujian Substantif
Di mana kontrol ditentukan tidak efektif, pengujian

01 substantif mungkin diperlukan untuk menentukan apakah

ada masalah bahan dengan informasi keuangan yang
dihasilkan

Dalam audit IT, pengujian substantif digunakan untuk

02 menentukan akurasi dan kelengkapan informasi yang
dihasilkan oleh proses atau aplikasi

Tes pemeriksaan substantif dirancang dan dilakukan untuk

03 memverifikasi fungsional akurasi, efisiensi, dan kontrol dari
subjek audit. Selama audit aplikasi keuangan, misalnya,
auditor IT akan membangun dan data uji proses untuk
memverifikasi langkah-langkah pengolahan dari aplikasi
tersebut.
 HASIL DOKUMEN

Tahap berikutnya dari audit melibatkan hasil

mendokumentasikan dari pekerjaan yang
dilakukan, serta ing laporan-temuan. Hasil audit
harus mencakup deskripsi temuan audit,
kesimpulan, dan rekomendasi.
 Temuan Audit
Istilah Temuan, pengecualian, kekurangan, penyimpangan, masalah, dan masalah
pada dasarnya identik dalam dunia audit, dan berarti auditor mengidentifikasi
situasi di mana kontrol, prosedur, atau ketidakefisienan effi- dapat ditingkatkan.
Temuan mengidentifikasi dan menjelaskan tidak akurat, tidak efisien, atau tidak
cukup dikendalikan subyek audit

Temuan audit harus secara individual didokumentasikan dan setidaknya harus mencakup sebagai berikut:

• Nama lingkungan TI (hosting sistem aplikasi keuangan yang relevan operasi (s)) dievaluasi
• bidang IT yang terkena (IS operasi, keamanan informasi, manajemen perubahan kontrol)
• Bekerja referensi kertas tes di mana temuan itu diidentifikasi
• pengendalian umum tujuan (s) dan aktivitas (ies) yang gaga
• Penjelasan singkat dari temuan
• Dimana temuan secara resmi dikomunikasikan kepada manajemen (ini harus referensi
(Surat manajemen dalam Laporan Auditor)

COMPUTER REPAIR & SUPPORT

 Kesimpulan dan
rekomendasi

Kesimpulan pendapat auditor, berdasarkan

bukti-bukti yang terdokumentasi, yang
menentukan apakah suatu wilayah subjek
audit yang memenuhi tujuan audit.
Rekomendasi harus disediakan oleh auditor
untuk setiap audit menemukan laporan yang
akan berguna untuk manajemen.
 Komunikasi

Nilai audit tergantung, sebagian besar, pada

seberapa efisien dan efektif hasilnya
dikomunikasikan
 Proses Audit IT
1. Rencana Audit
tim audit,
tujuan anggaran
Pemahaman tugas, Your Text Here
Tugas jadwal audit
secara dan dan
beresiko Audit dan You can simply impress your audience and add a
menyeluruh konteks tenggat
scoping unique zing and appeal to your Presentations.
waktu

2. Penilaian resiko Your Text Here

You can simply impress your audience and add a
Kerentanan unique zing and appeal to your Presentations.
karakterisasi dan kemungkinan analisis penentuan rekomendasi
asset sistem ancaman tekad dampak risiko kontrol
identifikasi
Your Text Here
You can simply impress your audience and add a
unique zing and appeal to your Presentations.

Your Text Here

You can simply impress your audience and add a
unique zing and appeal to your Presentations.

COMPUTER REPAIR & SUPPORT

 Proses Audit IT
3. Prosedur Audit
Ya Uji

Tinjauan awal Mengevaluasi

dan pengendalian
Prosedur audit ?
desain Substantif
Tidak kontrol

4. Hasil dan komunikasi

Hasil dokumen dan memastikan kertas kerja yang konsisten dengan kesimpulan
audit

temuan audit rancangan dan rekomendasi, dan berkomunikasi dengan manajemen

untuk meninjau

manajemen dan mendokumentasikan rencana respon dan koreksi mereka

Laporan masalah auditor

COMPUTER REPAIR & SUPPORT

 Jenis lain dari IT Audit

! Manajemen TI harus mengembangkan prosedur

organisasi untuk memastikan arsitektur dikendalikan
dan efisien untuk pengolahan informasi
Enterprise
Architecture

COMPUTER REPAIR & SUPPORT

 Sistem komputerisasi dan Aplikasi
Sesuai dengan kebutuhan pengguna, Efisien, dan Memadai
dikendalikan untuk memastikan valid, terpercaya, tepat waktu,
dan masukan aman, pengolahan, dan output pada level saat
ini dan proyeksi aktivitas sistem.

Informasi Fasilitas Pengolahan

Pengembangan sistem
audit memastikan bahwa aplikasi dan sistem ditulis, diuji, dan
diinstal sesuai dengan standar yang berlaku umum untuk
pengembangan sistem.

Business Continuity Planning / Disaster Recovery Planning

Audit ini juga mengkuantifikasi dampak dari kelemahan dari

rencana dan menawarkan rekomendasi untuk perbaikan
rencana kesinambungan bisnis.

COMPUTER REPAIR & SUPPORT

Thank You