#01

FUNDAMENTAL IT AUDIT
MK IT AUDIT FRAMEWORK
solikin@binainsani.ac.id
 Agenda

1. Filosofi Audit IT
2. Tipe / fungsi dasar Audit
3. Prinsip laporan Audit
4. Metodologi Audit
5. Cobit / ISACA / CISA
6. Tata Kelola IT ( IT Governance)
 Filosofi Audit IT

• the process of finding and evaluating evidence to determine whether an

IT system safeguards the organisational assets, uses resources efficiently,
maintains data security and integrity and fulfils the business objectives
effectively. (INTOSAI).
• the process of collecting and evaluating evidence to determine whether
a computer system (information system) safeguards assets, maintains
data integrity, achieves organizational goals effectively and consumes
resources efficiently (Ron Webber)

Pengumpulan dan evaluasi Analisa Efektifitas Sistem TI atas obyektif Bagaimana memastikan status
Evidence bisnis efektifitas tersebut?
 Apa saja obyektif bisnis yang relevan dengan TI dan bagaimana hubungannya dengan
efektifitas sistem TI?

Prinsip dasar Audit TI adalah melakukan pengumpulan bukti dan evaluasi atas IT Control. Jika dia efektif maka obyektif
bisnis akan dapat tercapai, atau sebaliknya.
 Definisi
• Audit adalah sistematis, pemeriksaan obyektif dari satu atau lebih aspek dari
suatu organisasi yang membandingkan apa yang organisasi lakukan untuk satu
set kriteria atau persyaratan

Standardisasi (ISO) pedoman audit menggunakan istilah untuk audit berarti

"sistematis, proses independen dan terdokumentasi untuk memperoleh bukti
audit dan mengevaluasinya secara objektif untuk menentukan sejauh mana
kriteria audit terpenuhi”

• Information Tech. Infrastructure Library (ITIL) mendefinisikan audit sebagai

"pemeriksaan formal dan verifikasi untuk memeriksa apakah standar atau set
pedoman sedang diikuti, bahwa catatan yang akurat, atau bahwa efisiensi dan
efektivitas target terpenuhi “ [2].
• IT audit membantu organisasi memahami, menilai, dan meningkatkan
penggunaan kontrol untuk menjaga IT, mengukur dan kinerja yang benar,
dan mencapai tujuan dan hasil yang dimaksudkan.
• IT audit terdiri dari penggunaan metodologi audit yang formal untuk
memeriksa IT - spesifik proses, kemampuan, aset dan peran mereka dalam
memungkinkan proses bisnis organisasi
• IT audit juga membahas komponen atau kemampuan yang mendukung
domain lainnya tunduk pada audit, seperti manajemen keuangan dan
akuntansi, kinerja operasional, jaminan kualitas, dan tata kelola, manajemen
risiko, dan kepatuhan (GRC) IT.
 Perhatian utama Audit TI atas penggunaan
sistem TI: RISIKO

Seiring dengan semakin masifnya adopsi TI, kebutuhan akan Audit TI juga meningkat. Auditor memiliki kebutuhan
untuk menilai potensi risiko atas sistem yang digunakan organisasinya.

Perubahan lingkungan kontrol internal

Potensi berkurangnya akuntabilitas karena sifat anonim user
Kemungkinan amandemen data yang tanpa terotorisasi atau tanpa tercatat
Perubahan-perubahan dalam audit evidence
Kemungkinan duplikasi atau non-inklusi data
New Opportunities & mechanism untuk fraud dan error
Penyimpanan dan pemrosesan data terdistribusi
Kerahasiaan dan integrity informasi kunci bisnis
……..
 Survei Responden

Survey dilakukan pada 300 organisasi pada 20 negara (Eropa, Timur Tengah
dan Afrika)
 Survey terhadap framework

COBIT diadopsi hampir 75% di organisasi responden, sebagai framework Audit TI.
Survey: Koordinasi Audit Internal dengan Entitas Governance Lain
 Survey: Pergeseran dari tradisional ke lebih proaktif, pemberian nilai
tambah dari Audit TI, bekerja lebih dekat dengan TI dan fungsi bisnis.

Tetapi survey juga memperliihatkan bahwa hilangnya independensi merupakan ancaman nyata, dimana 38% responden
melaporkan bahwa Audit orTI mereka terlibat dalam verifikasi/otorisasi sistem informasi baru.
 Survey: Kepada siapa Head of Audit Melaporkan?

Best Practices mengatakan bahwa pelaporan kepada BoD atau Audit Committee. berdasarkan
survey, hanya sekitar 30% yang sesuai. Dan ternyata masih ada 10% Audit Plan yang harus
disetujui oleh fungsi TI.
 Survey: Skill yang paling dibutuhkan

Tantangan terbesar bagi Head of Internal Audit/IT Audit adalah menyeimbangkan ketrampilan teknis staff dengan pengetahuan
yang luas ttg bisnis. Strategi yang digunakan adalah mix antara Audit orTI dan Auditor non-TI, 60% melakukan hal ini.
 Survey: Training untuk Auditor TI

Secara umum waktu training yang dialokasikan masih rendah, 29% organisasi menyediakan waktu kurang dari 1 minggu dalam
setahun untuk training. Lebih jauh lagi, training lebih banyak ke sertifikasi, bukan pada bagaimana melakukan kegiatan audit.
Survey: Penggunaan Automated Tools dalam
proses Audit TI
Tools yang digunakan
 Survey :siapa yang mendapat lap. Audit TI

80% tidak menyertakan executive summary yg menyajikan temuan-temuan utama. 55% kasus tidak menyertakan komentar
manajemen pada laporan (seberapa seriuskan Audit TI?). 98% rekomendasi di-follow-up.
 Resume Survey
Filosofi paling mendasar dari Audit TI adalah melakukan evaluasi atas Kontrol TI, dan
bagaimana konsekuensinya atas ketercapaian obyektif bisnis: Strategic Alignment,
Benefit Maximization, Resource Management, Risk Management

Pengetahuan dan ketrampilan tentang Kontrol TI menjadi kunci dalam melakukan

tahapan-tahapan Audit TI. Kelemahan dalam penguasaan Kontrol TI adalah sebab
terbesar terjadinya Audit Risk.

Best Practices seperti metoda efektif perencanaan & pengorganisasian, staffing dan
peningkatan skill dan pengelolaan follow-up dapat dirujuk untuk meningkatkan
kematangan audit internal
 Ruang Lingkup Audit

• Audit operasional mengetahui efektivitas dari satu atau lebih proses

bisnis atau fungsi organisasi dan efisiensi penggunaan sumber daya
dalam mendukung tujuan dan sasaran organisasi.

Teknologi informasi (IT) audit meneliti proses, aset TI, dan kontrol pada
beberapa tingkatan dalam suatu organisasi untuk menentukan sejauh
mana organisasi mematuhi standar yang berlaku atau persyaratan.
• Auditor membandingkan subjek audit-proses, sistem, komponen, perangkat
lunak, atau organisasi secara keseluruhan-eksplisit dengan yang standar yang
telah ditetapkan untuk menentukan apakah subjek memenuhi kriteria.

Temuan audit mengidentifikasi kekurangan di mana, apa yang diamati

auditor atau ditemukan melalui analisis bukti audit berbeda dari apa yang
diharapkan atau dibutuhkan sehingga subjek audit yang tidak dapat
memenuhi persyaratan.
 Pahami Bisnis Anda
• Langkah awal untuk menerapkan audit berbasis resiko adalah
memahami bisnis yang sedang dijalankan. Apakah bisnis anda ?
• Apa fungsi dan tujuan perusahaan? Apakah bisnis yang ada termasuk
umum ?
• Apakah beberapa resiko yang ada termasuk baru dalam tipe bisnis
saat ini?
• Bagaimana manajemen bereaksi terhadap berita negative?
• Bagaimana control kesalahan dikenali dan di laporkan?
 Overlap Audit

IT auditing has much in common with other types of audit and overlaps in many respects with
financial, operational, and quality audit practices.
 Keuntungan Audit
• Menilai keefektifan aktivitas aktifitas dokumentasi dalam organisasi
• Memonitor kesesuaian dengan kebijakan, sistem, prosedur dan undang-undang
perusahaan
• Mengukur tingkat efektifitas dari sistem
• Mengidentifikasi kelemahan di sistem yang mungkin mengakibatkan ketidaksesuaian di
masa datang
• Menyediakan informasi untuk proses peningkatan
• Meningkatkan saling memahami antar departemen dan antar individu
• Melaporkan hasil tinjauan dan tindakan berdasarkan resiko ke Manajemen
 Elemen kontrol

• Elemen kontrol TI internal dapat diaudit dalam isolasi atau bersama-

sama. Meskipun ketika audit IT berfokus sempit pada satu aspek dari IT,
auditor perlu mempertimbangkan konteks yang lebih luas dalam hal
teknis, operasional, dan lingkungan.

IT audit juga mengatasi proses pengendalian internal dan fungsi, seperti

operasi dan prosedur pemeliharaan, kelangsungan bisnis dan pemulihan
bencana, penanganan insiden, jaringan dan pemantauan keamanan,
manajemen konfigurasi, pengembangan sistem, dan manajemen proyek
Contoh kategori kontrol
 IT Audit Area

1. Planning
2. Organization and Management
3. Policies and procedures
4. Security
5. Regulation and standard
 Jenis Audit (Secara Umum)

1. Compliance
2. Kinerja
3. Kecurangan
4. Sertifikasi
 Jenis Audit (IT)

• System Audit
• Audit terhadap sistem terdokumentasi untuk memastikan sudah memenuhi
standar nasional atau internasional
• Compliance Audit
• Untuk menguji efektifitas implementasi dari kebijakan, prosedur, kontrol
dan unsur hukum yang lain
• Product / Service Audit
• Untuk menguji suatu produk atau layanan telah sesuai seperti spesifikasi
yang telah ditentukan dan cocok digunakan
 Siapa yang Diaudit

1. Management
2. IT Manager
3. IT Specialist (network, database, system analyst, programmer, dll.)
4. User
 Siapa yang Meng-Audit

Tergantung Tujuan Audit

• Internal Audit (first party audit)
• Dilakukan oleh atau atas nama perusahaan sendiri
• Biasanya untuk management review atau tujuan internal perusahaan
• Lembaga independen di luar perusahaan
• Second party audit
• Dilakukan oleh pihak yang memiliki kepentingan thd perusahaan
• Third party audit
• Dilakukan oleh pihak independen dari luar perusahaan. Misalnya untuk sertifikasi (ISO
9001, BS7799 dll).
Tugas Auditor IT
• Memastikan sisi-sisi penerapan IT memiliki kontrol yang diperlukan
• Memastikan kontrol tersebut diterapkan dengan baik sesuai yang
diharapkan
Hal-hal yang dilakukan auditor
• Persiapan
• Review Dokumen
• Persiapan kegiatan on-site audit
• Melakukan kegiatan on-site audit
• Persiapan, persetujuan dan distribusi laporan audit
• Follow up audit
 Output kegiatan Audit

Hasil akhir adalah berupa laporan yang berisi:

• Ruang Lingkup audit
• Metodologi
• Temuan-temuan
• Ketidaksesuaian (sifat ketidaksesuaian, bukti2 pendukung, syarat yg
tdk dipenuhi, lokasi, tingkat ketidaksesuaian)
• Kesimpulan (tingkat kesesuaian dengan kriteria audit, efektifitas
implementasi, pemeliharaan dan pengembangan sistem manajemen,
rekomendasi)
 Ketrampilan yang dibutuhkan

• Audit skill : sampling, komunikasi, melakukan interview, mengajukan

pertanyaan, mencatat
• Generic knowledge : pengetahuan mengenai prinsip2 audit, prosedur
dan teknik, sistem manajemen dan dokumen2 referensi, organisasi,
peraturan2 yang berlaku
• Specific knowledge : background IT/IS, bisnis, specialist technical skill,
pengalaman audit sistem manajemen, perundangan
Prinsip-prinsip Audit
• Ethical conduct
• Berdasar pada profesionalisme, kejujuran, integritas, kerahasiaan dan
kebijaksanaan
• Fair Presentation
• Kewajiban melaporkan secara jujur dan akurat
• Due professional care
• Implementasi dari kesungguhan dan pertimbangan yang diberikan
• Independence
• Evidence-base approach
Scope Audit
 Internal Auditor

• Audit kontrol internal TI membutuhkan pengetahuan yang luas IT,

keterampilan, dan kemampuan dan keahlian dalam prinsip-prinsip umum dan
khusus IT audit, praktik, dan proses.
Organisasi perlu mengembangkan atau memperoleh tenaga dengan
pemahaman khusus tujuan pengendalian dan pengalaman dalam operasi IT
yang diperlukan untuk secara efektif melakukan audit TI.

Jenis organisasi dan individu yang melakukan audit IT meliputi:

Auditor internal, yang terdiri baik karyawan organisasi yang melakukan audit
internal IT atau kontraktor, konsultan, atau spesialis outsourcing yang disewa
oleh organisasi untuk melaksanakan audit internal;
 Alasan Auditor internal
• Alasan yang digunakan untuk membenarkan audit TI internal dapat lebih
bervariasi di seluruh organisasi, tetapi meliputi:

Sesuai dengan surat aturan pertukaran yang perusahaan memiliki fungsi

audit internal;
- mengevaluasi efektivitas pengendalian yang dilakukan;
- mengkonfirmasikan kepatuhan terhadap kebijakan internal, proses, dan
prosedur;
- memeriksa kesesuaian dengan tata kelola TI atau kontrol kerangka kerja
dan standar;
- menganalisis kerentanan dan pengaturan konfigurasi untuk mendukung
pemantauan terus menerus;
mengidentifikasi kelemahan dan kekurangan sebagai bagian dari
manajemen risiko awal atau berkelanjutan
 Eksternal Auditor
• Audit TI eksternal, menurut definisi, dilakukan oleh auditor dan entitas luar
subjek organisasi untuk audit. Tergantung pada ukuran organisasi dan ruang
lingkup dan kompleksitas audit TI, audit eksternal dapat dilakukan oleh
auditor tunggal atau tim.
• Auditor mandiri penting bagi audit internal dan eksternal, tetapi dalam
konteks audit eksternal mandiri tersebut sering tidak diperlukan.
• Sementara perusahaan yang menyediakan jasa audit eksternal tunduk
peraturan organisasi dan pengawasan, auditor individu melakukan audit
eksternal biasanya harus menunjukkan pengetahuan yang memadai dan
keahlian dan kualifikasi yang sesuai.

• Sertifikasi profesional menyediakan satu indikator kualifikasi auditor,

terutama di mana sertifikasi yang spesifik sesuai dengan jenis audit
eksternal yang dilakukan.
 Keahlian

• Auditor TI internal juga perlu keterampilan non-teknis yang tepat dan

karakteristik, termasuk integritas pribadi dan profesional dan standar
etika.
• Auditor TI internal dapat menunjukkan kualifikasi yang memenuhi
kombinasi kemampuan yang berkaitan dengan IT dan sifat-sifat
profesional individu dengan mencapai sertifikasi yang relevan.
• Terutama termasuk Institut Certified Internal Auditor (CIA) credential
Auditor Internal dan CISA ISACA atau Sistem Informasi Bersertifikat
Manager (CISM).
 Apa yang diaudit
• Audit TI dapat mengevaluasi seluruh organisasi, unit bisnis individu, fungsi
misi dan proses bisnis, jasa, sistem, infrastruktur, atau komponen teknologi.

Terlepas dari metode IT audit secara keseluruhan digunakan, IT audit selalu

mengatasi satu atau lebih bidang studi yang berkaitan dengan teknologi,
termasuk kontrol yang berkaitan dengan hal berikut:

Pusat data dan fasilitas fisik lainnya seperti :

Server Virtualisasi dan Lingkungan layanan dan operasi outsourcing - infrastruktur
jaringan
Telekomunikasi - web dan server aplikasi
Sistem operasi - Software dan paket aplikasi
Database - Pengguna dan Aplikasi interface
Storage - Perangkat Mobile
Apa yang diaudit
Scope
 Peraturan dan Standar Yang Biasa Dipakai

• ISO / IEC 17799 and BS7799

• Control Objectives for Information and related Technology (CobiT)
• ISO TR 13335
• IT Baseline Protection Manual
• ITSEC / Common Criteria
• Federal Information Processing Standard 140-1/2 (FIPS 140-1/2)
• The “Sicheres Internet” Task Force [Task Force Sicheres Internet]
• The quality seal and product audit scheme operated by the Schleswig-Holstein
Independent State Centre for Data Privacy Protection (ULD)
• ISO 9000
CobiT…
Control Objectives for Information and
Related Technology
 CobiT

• Dibuat oleh organisasi ISACA (Information Systems Audit and Control

Association) dan dikembangkan oleh IT Governance Institute
• Focus pada audit, control dan security issues
Badan (Indonesia)
• ISACA Indonesian Chapter (isaca.or.id)
• ISSA (Information System Security Association) Indonesian Chapter
 Sertifikasi
•CISA (Certified Information Systems Auditor)
•CISM (Certified Information Security Manager)
•CISSP (Certified IS Security Professional)
•CIA (Certified Internal Auditor)

Kualifikasi :
Pengalaman dan pengetahuan untuk mengidentifikasi, mengevaluasi, dan
memberikan rekomendasi berupa solusi untuk mengurangi kelemahan sistem
IT
=> Mengeluarkan sertifikasi untuk personal auditor
 Misi CobiT

Melakukan penelitian, pengembangan, publikasi dan promosi terhadap

control objective dari teknologi informasi yang secara umum diterima
di lingkungan internasional untuk pemakaian sehari-hari oleh manager
dan auditor
 Lingkup CobiT -> 4 domains

• Planning & Organization

• Acquisition & Implementation
• Delivery & Support
• Monitoring
 CobiT -> Control Objectives

• Defining controls that should be in place

• 34 processes
• 3-30 detailed IT Control Objectives
Pola Pikir
BS7799
 What’s BS7799

• Sebuah pendekatan berbasis ‘resiko’ dalam mendefinisikan kebijakan

dan prosedur serta untuk memilih kontrol yang memadai untuk
mengelola resiko
• ISO/IEC 17799
• Information technology – code of practice for information security
management
• BS 7799
• Information security management systems – Specification with guidance for
use
 Kebutuhan auditor IT

• Internal Audit -> setiap perusahaan memerlukan

• Perusahaan penyedia layanan audit
• Perusahaan penyedia sertifikasi
 Peluang

• Ketergantungan terhadap IT semakin besar sehingga muncul kebutuhan

untuk melakukan audit IT
• Auditor IT yang sekarang banyak yang berasal bukan dari bidang IT
• Banyak permasalahan (bisnis) dalam pengelolaan IT
References
[1] ISO 19011:2011. Guidelines for auditing management systems.
[2] ITIL glossary and abbreviations. London (UK): Cabinet Office; 2011.
[3] Sarbanes–Oxley Act of 2002, Pub. L. No. 107-204, 116 Stat. 745.
[4] Committee of Sponsoring Organizations of the Treadway Commission. Internal control—
Integrated framework. New York (NY): Committee of Sponsoring Organizations of the Treadway
Commission; 2013.
[5] IT Governance Institute. COBIT 4.1. Rolling Meadows (IL): IT Governance Institute; 2007.