Isu dan poin penting audit dan

control TI
Fathiah, S.T.,M.Eng
Universitas Ubudiyah Indonesia
fathiah@uui.ac.id

2017
 Definisi

• Audit adalah sistematis, pemeriksaan obyektif dari satu atau lebih aspek dari
suatu organisasi yang membandingkan apa yang organisasi lakukan untuk
satu set kriteria atau persyaratan

Standardisasi (ISO) pedoman audit menggunakan istilah untuk audit berarti

"sistematis, proses independen dan terdokumentasi untuk memperoleh bukti
audit dan mengevaluasinya secara objektif untuk menentukan sejauh mana
kriteria audit terpenuhi”

• Information Tech. Infrastructure Library (ITIL) mendefinisikan audit sebagai

"pemeriksaan formal dan verifikasi untuk memeriksa apakah standar atau set
pedoman sedang diikuti, bahwa catatan yang akurat, atau bahwa efisiensi
dan efektivitas target terpenuhi “ [2].
• IT audit membantu organisasi memahami, menilai, dan
meningkatkan penggunaan kontrol untuk menjaga IT, mengukur
dan kinerja yang benar, dan mencapai tujuan dan hasil yang
dimaksudkan.
• IT audit terdiri dari penggunaan metodologi audit yang formal
untuk memeriksa IT - spesifik proses, kemampuan, aset dan
peran mereka dalam memungkinkan proses bisnis organisasi
• IT audit juga membahas komponen atau kemampuan yang
mendukung domain lainnya tunduk pada audit, seperti
manajemen keuangan dan akuntansi, kinerja operasional,
jaminan kualitas, dan tata kelola, manajemen risiko, dan
kepatuhan (GRC) IT.
Perhatian utama Audit TI atas penggunaan sistem TI: RISIKO

Seiring dengan semakin masifnya adopsi TI, kebutuhan akan Audit TI juga meningkat.
Auditor memiliki kebutuhan untuk menilai potensi risiko atas sistem yang digunakan
organisasinya.

 Perubahan lingkungan kontrol internal

 Potensi berkurangnya akuntabilitas karena sifat anonim user
 Kemungkinan amandemen data yang tanpa terotorisasi atau tanpa tercatat
 Perubahan-perubahan dalam audit evidence
 Kemungkinan duplikasi atau non-inklusi data
 New Opoortunities & mechanism untuk fraud dan error
 Penyimpanan dan pemrosesan data terdistribusi
 Kerahasiaan dan integrity informasi kunci bisnis
 ……..
 Perlukah (Pentingkah) Audit Teknologi Informasi?
• Untuk menilai apakah perlu atau tidaknya dilakukan IT audit atau IS
audit mungkin dapat dilihat pada sejarah adanya kegiatan tersebut.
• Sejak tahun 1977 beberapa aturan mengenai IT audit sudah
disusun di Amerika Serikat yang meliputi beberapa aturan penting
seperti the Gramm Leach Bliley Act, the Sarbanes-Oxley Act, the
Health Insurance Portability and Accountability Act, the London
Stock Exchange Combined Code, King II serta the Foreign Corrupt
Practices Act.
• Dengan melihat keseriusan pemerintahan di negara-negara maju
dalam pengembangan IT audit seperti tersebut di atas maka dapat
dibayangkan betapa tidak seriusnya mengertinya Pemerintah
Republik Indonesia atas kegiatan tersebut .
 Perlukah (Pentingkah) Audit Teknologi Informasi?

• Padahal sudah 30 tahun sejak negara-negara maju tersebut

menetapkan aturan kewajiban IT audit di lembaga-lembaganya
• IT audit merupakan hal yang sangat penting dalam implementasi
sebuah sistem informasi bagi organisasi yang mengembangkannya.
• Terlebih pada saat ini pemanfaatan teknologi/sistem informasi
merupakan hal yang sangat penting bagi sebuah organisasi dalam
pencapaian tujuan/visi/misi lembaganya. Namun di sisi lain
kepentingan tersebut berimbas pada meningkatnya indeks kerawanan
dari pengembangan/pembangunan sistem informasi.
• Untuk menekan titik-titik rawan tersebut diperlukan seperangkat
batasan-batasan dan tolok-ukur (parameter) yang dapat dijadikan
dasar dalam melakukan evaluasi terhadap kegiatan
pembangunan/pengembangan sistem informasi
 Perlukah (Pentingkah) Audit Teknologi Informasi?

• Dengan dilakukannya IT audit yang

dilakukan secara transparan dan dapat
dipertanggungjawabkan hasilnya maka
pelaksanaan penerapan teknologi
informasi di dalam suatu institusi dapat
memberikan hasil terbaiknya serta
menyerap investasi yang tepat guna dan
berdaya guna.
Alasan perusuhaan belum melakukan audit TI

– perusahaan merasa bahwa TI yang diterapkan masih

berperan sebatas support tools, belum menjadi
strategic tools
– kebijakan dan tujuan-tujuan penerapan TI-nya tidak
begitu jelas
– nilai investasi TI yang belum dianggap cukup berarti
dibandingkan nilai keuangan perusahaan.
– banyaknya jargon teknis TI yang sulit dipahami oleh
manajemen puncak.
 Audit TI
• Audit TI, bertujuan untuk mengevaluasi dan memperbaiki
efektivitas proses-proses manajemen risiko, kontrol dan good
governance.
• Nilai penting dilakukannya audit TI sejalan dengan pentingnya
mencapai tujuan perusahaan. Artinya, bagaimana perusahaan
dapat mengelola berbagai risiko yang dihadapinya, terutama
terkait dengan penerapan TI, dalam upayanya mencapai
tujuan-tujuan bisnisnya.
• Dengan audit TI suatu perusahaan bisa didorong
melakukan perencanaan dan pengembangan secara lebih
terarah dan terfokus sesuai dengan tujuan-tujuan bisnisnya.
 Alasan Penting Mengapa Audit TI perlu dilakukan

• Kerugian akibat kehilangan data

• Kesalahan dalam pengambilan keputusan
• Resiko kebocoran data
• Penyalahgunaan komputer
• Kerugian akibat kesalahan proses
perhitungan
• Tingginya nilai investasi perangkat keras
dan perangkat komputer
 Sedang subyek yang perlu diaudit
• aspek keamanan,
Masalah keamanan mencakup tidak hanya keamanan file servers
dan penerapan metoda cadangan, melainkan juga penerapan
standar tertentu, seperti C-ICT.
• keandalan,
Keandalan meliputi penerapan RAID V disk subsystems untuk
server dengan critical applications dan prosedur penyimpanan
data di file server, bukan di drive lokal C.
• kinerja
Kinerja mencakup persoalan standarisasi PC, penggunaan LAN
serta cadangan yang sesuai dengan beban kerja.
• manageability.
manageability menyangkut penerapan standar tertentu dan
pendokumentasian secara teratur dan berkesinambungan
 Enam komponen Audit TI
• Enam komponen Audit TI :
– pendefinisian tujuan perusahaan;
– penentuan isu, tujuan dan perspektif bisnis antara
penanggung jawab bagian dengan bagian TI;
– review terhadap pengorganisasian bagian TI yang meliputi
perencanaan proyek, status dan prioritasnya, staffing
levels, belanja TI dan IT change process management;
– assessment infrastruktur teknologi, assessment aplikasi
bisnis;
– temuan-temuan,
– laporan rekomendasi.
 Bidang Pekerjaan IT di perusahaan
• System Analyst
• Programmer
• Administrator (Network, system,
database)
• Support (workshop, maintenance,
helpdesk, dll )
• Security Officer
• Auditor
 http://id.wikipedia.org/wiki/Audit_teknologi_informasi

Audit teknologi informasi

Audit teknologi informasi (Inggris: information technology (IT) audit
atau information systems (IS) audit) adalah bentuk pengawasan dan
pengendalian dari infrastruktur teknologi informasi secara
menyeluruh.
Audit teknologi informasi ini dapat berjalan bersama-sama dengan
audit finansial dan audit internal, atau dengan kegiatan pengawasan
dan evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal
dengan audit pemrosesan data elektronik, dan sekarang audit
teknologi informasi secara umum merupakan proses pengumpulan
dan evaluasi dari semua kegiatan sistem informasi dalam
perusahaan itu.
Istilah lain dari audit teknologi informasi adalah audit komputer
yang banyak dipakai untuk menentukan apakah aset sistem
informasi perusahaan itu telah bekerja secara efektif, dan integratif
dalam mencapai target organisasinya.
 Definisi Audit
Menurut Mulyadi :
“Suatu proses sistematik untuk memperoleh
dan mengevaluasi bukti secara obyektif
mengenai pernyataan-pernyataan tentang
kegiatan dan kejadian ekonomi, dengan tujuan
untuk menetapkan tingkat kesesuaian antara
pernyataan-pernyataan tersebut dengan kriteria
yang telah ditetapkan, serta penyampaian hasil-
hasilnya kepada pemakai yang berkepentingan”.
• Audit teknologi informasi atau IT
(information technology) audit atau juga
dikenal sebagai audit sistem informasi
(information system audit) merupakan
aktivitas pengujian terhadap
pengendalian dari kelompok-kelompok
unit infrastruktur dari sebuah
sistem/teknologi informasi
 IT Audit?
• Proses pengumpulan dan evaluasi
fakta/bukti untuk menentukan apakah
sistem (terkomputerisasi):
– Menjaga aset
– Memelihara integritas data
– Memampukan komunikasi & akses informasi
– Mencapai tujuan operasional secara efektif
– Mengkonsumsi sumber daya secara efisien
 Keuntungan Audit
Menilai keefektifan aktivitas aktifitas dokumentasi dalam
organisasi
Memonitor kesesuaian dengan kebijakan, sistem, prosedur dan
undang-undang perusahaan
Mengukur tingkat efektifitas dari sistem
Mengidentifikasi kelemahan di sistem yang mungkin
mengakibatkan ketidaksesuaian di masa datang
Menyediakan informasi untuk proses peningkatan
Meningkatkan saling memahami antar departemen dan antar
individu
Melaporkan hasil tinjauan dan tindakan berdasarkan resiko ke
Manajemen
 IT Audit Area
• Planning
• Organization and Management
• Policies and procedures
• Security
• Regulation and standard
 Jenis Audit (umum)
• Compliance/penyesuaian
• Kinerja
• Kecurangan
• Sertifikasi
 Jenis Audit (IT)
System Audit
Audit terhadap sistem terdokumentasi untuk memastikan
sudah memenuhi standar nasional atau internasional
Compliance Audit
Untuk menguji efektifitas implementasi dari kebijakan,
prosedur, kontrol dan unsur hukum yang lain
Product / Service Audit
Untuk menguji suatu produk atau layanan telah sesuai
seperti spesifikasi yang telah ditentukan dan cocok
digunakan
 Siapa yang Diaudit

• Management
• IT Manager
• IT Specialist (network, database, system
analyst, programmer, dll.)
• User
 Yang Melakukan Audit
Tergantung Tujuan Audit
Internal Audit (first party audit)
Dilakukan oleh atau atas nama perusahaan sendiri
Biasanya untuk management review atau tujuan internal
perusahaan
Lembaga independen di luar perusahaan
Second party audit
Dilakukan oleh pihak yang memiliki kepentingan thd perusahaan
Third party audit
Dilakukan oleh pihak independen dari luar perusahaan.
Misalnya untuk sertifikasi (ISO 9001, BS7799 dll).
 Tugas Auditor IT
• Memastikan sisi-sisi penerapan IT
memiliki kontrol yang diperlukan
• Memastikan kontrol tersebut diterapkan
dengan baik sesuai yang diharapkan
 Yang Dilakukan
• Persiapan
• Review Dokumen
• Persiapan kegiatan on-site audit
• Melakukan kegiatan on-site audit
• Persiapan, persetujuan dan distribusi
laporan audit
• Follow up audit
 Output kegiatan Audit
Hasil akhir adalah berupa laporan yang berisi:
Ruang Lingkup audit
Metodologi
Temuan-temuan
Ketidaksesuaian (sifat ketidaksesuaian, bukti2
pendukung, syarat yg tdk dipenuhi, lokasi, tingkat
ketidaksesuaian)
Kesimpulan (tingkat kesesuaian dengan kriteria
audit, efektifitas implementasi, pemeliharaan dan
pengembangan sistem manajemen, rekomendasi)
 Ketrampilan yang dibutuhkan
Audit skill : komunikasi, melakukan interview,
mengajukan pertanyaan, mencatat
Generic knowledge : pengetahuan mengenai
prinsip2 audit, prosedur dan teknik, sistem
manajemen dan dokumen2 referensi, organisasi,
peraturan2 yang berlaku
Specific knowledge : background IT/IS, bisnis,
specialist technical skill, pengalaman audit
sistem manajemen, perundangan
 Prinsip-prinsip Audit
• Ethical conduct
– Berdasar pada profesionalisme, kejujuran, integritas,
kerahasiaan dan kebijaksanaan
• Fair Presentation
– Kewajiban melaporkan secara jujur dan akurat
• Due professional care
– Implementasi dari kesungguhan dan pertimbangan
yang diberikan
• Independence
• Evidence-base approach
Peraturan dan Standar Yang Biasa Dipakai
ISO / IEC 17799 and BS7799
Control Objectives for Information and related Technology
(CobiT)
ISO TR 13335
IT Baseline Protection Manual
ITSEC / Common Criteria
Federal Information Processing Standard 140-1/2 (FIPS 140-1/2)
The “Sicheres Internet” Task Force [Task Force Sicheres Internet]
The quality seal and product audit scheme operated by the
Schleswig-Holstein Independent State Centre for Data Privacy
Protection (ULD)
ISO 9000
 Dunia Industri

• CobiT
Control Objectives for Information
and Related Technology
• BS7799
 CobiT
Control Objectives for Information and Related Technology
 CobiT
• Dibuat oleh organisasi ISACA (Information
Systems Audit and Control Association)
dan dikembangkan oleh IT Governance
Institute
-> focus on audit, control and security
issues
 Badan (Indonesia)
• ISACA Indonesian Chapter (isaca.or.id)
• ISSA (Information System Security
Association) Indonesian Chapter
 Sertifikasi
CISA (Certified Information Systems Auditor)
CISM (Certified Information Security Manager)
CISSP (Certified IS Security Professional)
CIA (Certified Internal Auditor)

Kualifikasi :
Pengalaman dan pengetahuan untuk mengidentifikasi,
mengevaluasi, dan memberikan rekomendasi berupa
solusi untuk mengurangi kelemahan sistem IT
=> Mengeluarkan sertifikasi untuk personal auditor
 Misi CobiT
Melakukan penelitian, pengembangan,
publikasi dan promosi terhadap control
objective dari teknologi informasi yang
secara umum diterima di lingkungan
internasional untuk pemakaian sehari-hari
oleh manager dan auditor
 Lingkup CobiT -> 4 domains
• Planning & Organization
• Acquisition & Implementation
• Delivery & Support
• Monitoring
 CobiT -> Control Objectives
• Defining controls that should be in place
• 34 processes
• 3-30 detailed IT Control Objectives
Pola Pikir
 Kebutuhan auditor IT
• Internal Audit -> setiap perusahaan
memerlukan
• Perusahaan penyedia layanan audit
• Perusahaan penyedia sertifikasi
 Peluang

• Ketergantungan terhadap IT semakin

besar sehingga muncul kebutuhan untuk
melakukan audit IT
• Auditor IT yang sekarang banyak yang
berasal bukan dari bidang IT
• Banyak permasalahan (bisnis) dalam
pengelolaan IT
 Survei Responden

Survey dilakukan pada 300 organisasi pada 20 negara (Eropa,

Timur Tengah dan Afrika)
 Survey terhadap framework

COBIT diadopsi hampir 75% di organisasi responden, sebagai framework Audit TI.
Survey: Koordinasi Audit Internal dengan Entitas
Governance Lain
 Survey: Pergeseran dari tradisional ke lebih proaktif, pemberian nilai
tambah dari Audit TI, bekerja lebih dekat dengan TI dan fungsi bisnis.

Tetapi survey juga memperliihatkan bahwa hilangnya independensi merupakan ancaman nyata
dimana 38% responden melaporkan bahwa Audit orTI mereka terlibat dalam verifikasi/otorisas
sistem informasi baru.
 Survey: Kepada siapa Head of Audit Melaporkan?

Best Practices mengatakan bahwa pelaporan kepada BoD atau Audit Committee.
berdasarkan survey, hanya sekitar 30% yang sesuai. Dan ternyata masih ada
10% Audit Plan yang harus disetujui oleh fungsi TI.
 Survey: Skill yang paling dibutuhkan

Tantangan terbesar bagi Head of Internal Audit/IT Audit adalah menyeimbangkan ketrampilan
teknis staff dengan pengetahuan yang luas ttg bisnis. Strategi yang digunakan adalah mix antara
Audit orTI dan Auditor non-TI, 60% melakukan hal ini.
 Survey: Training untuk Auditor TI

Secara umum waktu training yang dialokasikan masih rendah, 29% organisasi menyediakan
waktu kurang dari 1 minggu dalam setahun untuk training. Lebih jauh lagi, training lebih banyak
ke sertifikasi, bukan pada bagaimana melakukan kegiatan audit.
Survey: Penggunaan Automated Tools dalam
proses Audit TI
Tools yang digunakan
 Survey :siapa yang mendapat lap. Audit TI

80% tidak menyertakan executive summary yg menyajikan temuan-temuan utama. 55% kasus
tidak menyertakan komentar manajemen pada laporan (seberapa seriuskan Audit TI?). 98%
rekomendasi di-follow-up.
 Resume Survey

 Filosofi paling mendasar dari Audit TI adalah melakukan evaluasi atas Kontrol
TI, dan bagaimana konsekuensinya atas ketercapaian obyektif bisnis:
Strategic Alignment, Benefit Maximization, Resource Management, Risk
Management

 Pengetahuan dan ketrampilan tentang Kontrol TI menjadi kunci dalam

melakukan tahapan-tahapan Audit TI. Kelemahan dalam penguasaan Kontrol
TI adalah sebab terbesar terjadinya Audit Risk.

 Best Practices seperti metoda efektif perencanaan & pengorganisasian,

staffing dan peningkatan skill dan pengelolaan follow-up dapat dirujuk untuk
meningkatkan kematangan audit internal
 Ruang Lingkup Audit

• Audit operasional mengetahui efektivitas dari satu

atau lebih proses bisnis atau fungsi organisasi dan
efisiensi penggunaan sumber daya dalam
mendukung tujuan dan sasaran organisasi.

Teknologi informasi (IT) audit meneliti proses, aset

TI, dan kontrol pada beberapa tingkatan dalam suatu
organisasi untuk menentukan sejauh mana organisasi
mematuhi standar yang berlaku atau persyaratan.
• Auditor membandingkan subjek audit-proses,
sistem, komponen, perangkat lunak, atau organisasi
secara keseluruhan-eksplisit dengan yang standar
yang telah ditetapkan untuk menentukan apakah
subjek memenuhi kriteria.

Temuan audit mengidentifikasi kekurangan di mana,

apa yang diamati auditor atau ditemukan melalui
analisis bukti audit berbeda dari apa yang
diharapkan atau dibutuhkan sehingga subjek audit
yang tidak dapat memenuhi persyaratan.
 Pahami Bisnis Anda

• Langkah awal untuk menerapkan audit berbasis resiko

adalah memahami bisnis yang sedang dijalankan. Apakah
bisnis anda ?
• Apa fungsi dan tujuan perusahaan? Apakah bisnis yang
ada termasuk umum ?
• Apakah beberapa resiko yang ada termasuk baru dalam
tipe bisnis saat ini?
• Bagaimana manajemen bereaksi terhadap berita negative?
• Bagaimana control kesalahan dikenali dan di laporkan?
 Keuntungan Audit
• Menilai keefektifan aktivitas aktifitas dokumentasi dalam
organisasi
• Memonitor kesesuaian dengan kebijakan, sistem, prosedur dan
undang-undang perusahaan
• Mengukur tingkat efektifitas dari sistem
• Mengidentifikasi kelemahan di sistem yang mungkin
mengakibatkan ketidaksesuaian di masa datang
• Menyediakan informasi untuk proses peningkatan
• Meningkatkan saling memahami antar departemen dan antar
individu
• Melaporkan hasil tinjauan dan tindakan berdasarkan resiko ke
Manajemen
 Elemen kontrol
• Elemen kontrol TI internal dapat diaudit dalam isolasi atau
bersama-sama. Meskipun ketika audit IT berfokus sempit
pada satu aspek dari IT, auditor perlu mempertimbangkan
konteks yang lebih luas dalam hal teknis, operasional, dan
lingkungan.

IT audit juga mengatasi proses pengendalian internal dan

fungsi, seperti operasi dan prosedur pemeliharaan,
kelangsungan bisnis dan pemulihan bencana, penanganan
insiden, jaringan dan pemantauan keamanan, manajemen
konfigurasi, pengembangan sistem, dan manajemen proyek
Contoh kategori kontrol
References
[1] ISO 19011:2011. Guidelines for auditing management systems.
[2] ITIL glossary and abbreviations. London (UK): Cabinet Office; 2011.
[3] Sarbanes–Oxley Act of 2002, Pub. L. No. 107-204, 116 Stat. 745.
[4] Committee of Sponsoring Organizations of the Treadway Commission.
Internal control—Integrated framework. New York (NY): Committee of
Sponsoring Organizations of the Treadway Commission; 2013.
[5] IT Governance Institute. COBIT 4.1. Rolling Meadows (IL): IT Governance
Institute; 2007.
Terima kasih