FUNDAMENTAL IT AUDIT
MK IT AUDIT FRAMEWORK
solikin@binainsani.ac.id
Agenda
1. Filosofi Audit IT
2. Tipe / fungsi dasar Audit
3. Prinsip laporan Audit
4. Metodologi Audit
5. Cobit / ISACA / CISA
6. Tata Kelola IT ( IT Governance)
Filosofi Audit IT
Pengumpulan dan evaluasi Analisa Efektifitas Sistem TI atas obyektif Bagaimana memastikan status
Evidence bisnis efektifitas tersebut?
Apa saja obyektif bisnis yang relevan dengan TI dan bagaimana hubungannya dengan
efektifitas sistem TI?
Prinsip dasar Audit TI adalah melakukan pengumpulan bukti dan evaluasi atas IT Control. Jika dia efektif maka obyektif
bisnis akan dapat tercapai, atau sebaliknya.
Definisi
• Audit adalah sistematis, pemeriksaan obyektif dari satu atau lebih aspek dari
suatu organisasi yang membandingkan apa yang organisasi lakukan untuk satu
set kriteria atau persyaratan
Seiring dengan semakin masifnya adopsi TI, kebutuhan akan Audit TI juga meningkat. Auditor memiliki kebutuhan
untuk menilai potensi risiko atas sistem yang digunakan organisasinya.
Survey dilakukan pada 300 organisasi pada 20 negara (Eropa, Timur Tengah
dan Afrika)
Survey terhadap framework
COBIT diadopsi hampir 75% di organisasi responden, sebagai framework Audit TI.
Survey: Koordinasi Audit Internal dengan Entitas Governance Lain
Survey: Pergeseran dari tradisional ke lebih proaktif, pemberian nilai
tambah dari Audit TI, bekerja lebih dekat dengan TI dan fungsi bisnis.
Tetapi survey juga memperliihatkan bahwa hilangnya independensi merupakan ancaman nyata, dimana 38% responden
melaporkan bahwa Audit orTI mereka terlibat dalam verifikasi/otorisasi sistem informasi baru.
Survey: Kepada siapa Head of Audit Melaporkan?
Best Practices mengatakan bahwa pelaporan kepada BoD atau Audit Committee. berdasarkan
survey, hanya sekitar 30% yang sesuai. Dan ternyata masih ada 10% Audit Plan yang harus
disetujui oleh fungsi TI.
Survey: Skill yang paling dibutuhkan
Tantangan terbesar bagi Head of Internal Audit/IT Audit adalah menyeimbangkan ketrampilan teknis staff dengan pengetahuan
yang luas ttg bisnis. Strategi yang digunakan adalah mix antara Audit orTI dan Auditor non-TI, 60% melakukan hal ini.
Survey: Training untuk Auditor TI
Secara umum waktu training yang dialokasikan masih rendah, 29% organisasi menyediakan waktu kurang dari 1 minggu dalam
setahun untuk training. Lebih jauh lagi, training lebih banyak ke sertifikasi, bukan pada bagaimana melakukan kegiatan audit.
Survey: Penggunaan Automated Tools dalam
proses Audit TI
Tools yang digunakan
Survey :siapa yang mendapat lap. Audit TI
80% tidak menyertakan executive summary yg menyajikan temuan-temuan utama. 55% kasus tidak menyertakan komentar
manajemen pada laporan (seberapa seriuskan Audit TI?). 98% rekomendasi di-follow-up.
Resume Survey
Filosofi paling mendasar dari Audit TI adalah melakukan evaluasi atas Kontrol TI, dan
bagaimana konsekuensinya atas ketercapaian obyektif bisnis: Strategic Alignment,
Benefit Maximization, Resource Management, Risk Management
Best Practices seperti metoda efektif perencanaan & pengorganisasian, staffing dan
peningkatan skill dan pengelolaan follow-up dapat dirujuk untuk meningkatkan
kematangan audit internal
Ruang Lingkup Audit
Teknologi informasi (IT) audit meneliti proses, aset TI, dan kontrol pada
beberapa tingkatan dalam suatu organisasi untuk menentukan sejauh
mana organisasi mematuhi standar yang berlaku atau persyaratan.
• Auditor membandingkan subjek audit-proses, sistem, komponen, perangkat
lunak, atau organisasi secara keseluruhan-eksplisit dengan yang standar yang
telah ditetapkan untuk menentukan apakah subjek memenuhi kriteria.
IT auditing has much in common with other types of audit and overlaps in many respects with
financial, operational, and quality audit practices.
Keuntungan Audit
• Menilai keefektifan aktivitas aktifitas dokumentasi dalam organisasi
• Memonitor kesesuaian dengan kebijakan, sistem, prosedur dan undang-undang
perusahaan
• Mengukur tingkat efektifitas dari sistem
• Mengidentifikasi kelemahan di sistem yang mungkin mengakibatkan ketidaksesuaian di
masa datang
• Menyediakan informasi untuk proses peningkatan
• Meningkatkan saling memahami antar departemen dan antar individu
• Melaporkan hasil tinjauan dan tindakan berdasarkan resiko ke Manajemen
Elemen kontrol
1. Planning
2. Organization and Management
3. Policies and procedures
4. Security
5. Regulation and standard
Jenis Audit (Secara Umum)
1. Compliance
2. Kinerja
3. Kecurangan
4. Sertifikasi
Jenis Audit (IT)
• System Audit
• Audit terhadap sistem terdokumentasi untuk memastikan sudah memenuhi
standar nasional atau internasional
• Compliance Audit
• Untuk menguji efektifitas implementasi dari kebijakan, prosedur, kontrol
dan unsur hukum yang lain
• Product / Service Audit
• Untuk menguji suatu produk atau layanan telah sesuai seperti spesifikasi
yang telah ditentukan dan cocok digunakan
Siapa yang Diaudit
1. Management
2. IT Manager
3. IT Specialist (network, database, system analyst, programmer, dll.)
4. User
Siapa yang Meng-Audit
Kualifikasi :
Pengalaman dan pengetahuan untuk mengidentifikasi, mengevaluasi, dan
memberikan rekomendasi berupa solusi untuk mengurangi kelemahan sistem
IT
=> Mengeluarkan sertifikasi untuk personal auditor
Misi CobiT