Mata kuliah Audit Sistem Informasi

Pertemuan 5: Rencana Audit Individual

Program Studi Sistem Informasi

Fransiska Prihatini Sihotang, S.SI., M.T.I.

09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 2

Pokok bahasan

Rencana audit
Metodologi
individual
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 3

Menentukan objek audit

Auditor
Kami akan audit berdasarkan international best
practice standards dan pengalaman kami. Tenang,
Pak, Kami bukan checklist auditor. Ha ha ha!

Ooh..!

Penerima laporan audit

09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 4

Checklist
• Audit dilakukan secara disiplin dan sistematis mengikuti langkah-
langkah audit mulai dari perencanaan sampai penyelesaian audit.
– Daftar pertanyaan atau checklist perlu disiapkan secara terstruktur untuk
mengarahkan dan memastikan bahwa hal-hal yang akan diperiksa tidak
terlewat untuk dicek, terutama untuk audit kepatuhan.
• Ilustrasi: dalam audit keamanan informasi berdasarkan ISO/IEC 27002 yang cukup
detail, jika wawancara dilakukan dengan tidak menggunakan checklist tapi hanya
berdasarkan ingatan auditor terhadap standar tersebut, maka besar kemungkinan
ada yang akan terlewat.
– Namun, tidak bisa juga hanya mengandalkan checklist saja, jika ada yang tidak terdapat dalam
checklist tapi menurut auditor perlu diperiksa, maka hal tersebut harus diperiksa.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 5

Tahapan pelaksanaan audit

Pembuatan Pembuatan
Pelaksanaan
rencana laporan
audit dan
audit audit dan
supervisi
individual tindak lanjut
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 6

Rencana audit individual

Guna • Untuk mendefenisikan tujuan audit, pendekatannya,

pengembangan hal yang harus dilakukan untuk mencapai tujuan audit,
rencana audit dsb.

• Pendekatan berbasis risiko ini memprioritaskan objek-

Rencana audit
objek audit dari yang paling berdampak buruk bagi
yang
perusahaan jika terganggu dan kemungkinan
direkomendasikan
terganggu itu cukup besar  sampai ke objek audit
adalah rencana
yang jika terganggu dampaknya tidak terlalu material/
audit berbasis
signifikan dan kemungkinan terjadinya gangguan juga
risiko
relatif kecil.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 7

Contoh audit berbasis risiko

Pada suatu system developer, hasil risk assessment
memberikan prioritas tinggi kepada proses SDLC dibanding
proses pendidikan dan pelatihan SDM TI-nya.

• Maka audit difokuskan pada proses SDLC-nya dulu.

Di suatu perusahaan, Transaction Processing System (TPS)

mendapatkan prioritas lebih tinggi daripada video
conference-nya.

• Maka audit diutamakan ke TPS tersebut, baru kemudian hal yang lain termasuk
video conference.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 8

Informasi untuk membuat rencana audit

Untuk membuat rencana audit, perlu dikumpulkan berbagai informasi
berikut:
• Latar belakang diperlukannya audit.
• Tujuan audit.
• Cakupan audit.
• Peraturan perundangan yang relevan.
• Kondisi industri secara umum dan kondisi perusahaan secara khusus.
• Hasil penilaian risiko.
• Hasil audit sebelumnya, dll.

Pengumpulan informasi dapat dilakukan dengan membaca dokumen peraturan

perundangan, dokumen perusahaan, dan berdiskusi dengan pihak terkait
(pihak penerima laporan, penghubung, dan manajer dari pihak auditee).
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 9

Membuat rencana audit individual

• Hasil dari pengumpulan informasi untuk memahami objek audit tsb (termasuk
risk assessment-nya), akan memberikan gambaran umum dari rencana audit
yang akan menjadi dasar pembuatan rencana audit individual yang detail, yang
mencakup:
– Penjelasan mengenai latar belakang audit, tujuan, cakupan, batasan, dan periode audit.
– Pihak penerima laporan dan profil auditee.
– Kriteria, metodologi, dan alat bantu yang akan digunakan.
– Tahapan audit dan jadwal audit yang detail
– Tim dan SDM yang memiliki kualifikasi sesuai dengan kemampuan dan keahlian yang
diperlukan.
– Daftar dokumen yang akan dikaji, pihak yang akan diwawancarai, serta objek yang akan
diobservasi dan diuji.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 10

Bagian pendahuluan dalam rencana audit individual

• Pihak yang berkepentingan untuk mendapatkan
Latar belakang assurance serta alasannya (peraturan perundangan,
persyaratan internal perusahaan, dll).
• Berisi tujuan jangka pendek dan jangka panjang.
Misal jangka pendek: mendapatkan hasil audit TI
Tujuan tahunan sesuai persyaratan kebijakan perusahaan.
Jangka panjang: mendapatkan masukan untuk
perencanaan TI di masa mendatang.

Cakupan dan • Objek yang akan diaudit, ranah TI yang akan

batasan audit diperiksa, proses/ produk yang akan diperiksa.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 11

Tujuan, cakupan, dan batasan audit

• Audit terhadap database akan

Akan
mensyaratkan kemampuan dan keahlian
memunculkan
auditor yang berbeda dengan kemampuan
persyaratan
dan keahlian auditor untuk audit terhadap
untuk auditor.
arsitektur informasi.

Memberikan • Mengenai kriteria dan metodologi yang

arahan tepat.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 12

Bagian metodologi dalam rencana audit internal

• Terdapat risiko terkait audit yang
perlu direspon dan ditanggapi.
– Biasanya tidak dibahas secara langsung
dalam metodologi maupun rencana
audit.
– Tetapi respon terhadap risiko tersebut
1. Kriteria
2. Teknik
4. Tahapan
3. audit
Sampling
audit akan memengaruhi rencana audit
individual.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 13

1. Kriteria
• Sumber kriteria nomor 1 adalah dari peraturan perundangan termasuk dari badan
regulator.
• Jika TI perusahaan tidak diatur oleh peraturan dari regulator, maka dapat digunakan best
practice
Cakupanstandards. Perusahaan
Contoh: Kriteria
Bank • UU no. 28 tahun 2014 tentang Hak Cipta (termasuk lisensi perangkat
lunak)
• UU no. 11 tahun 2008 tentang informasi dan transaksi elektronik
• POJK no 38/POJK,03/2016
BUMN • UU no. 28 tahun 2014
Audit TI umum
• UU no. 11 tahun 2008
• PerMen BUMN
Bukan bank dan bukan • UU no. 28 tahun 2014
BUMN • UU no. 11 tahun 2008
• Dapat juga menggunakan CObIT
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 14

Kriteria
Cakupan Kriteria
• Project in Controlled Environment (Prince)
Audit manajemen Project Management Body of Knowledge (PMBOK)
proyek TI •
• ISO 21500
Audit SDLC • ISO/IEC 12207
• ISO/IEC 33000
• CMMI-DEV
• SWEBOK
Audit aplikasi • ISO/IEC 25000
• ISO/IEC 15408 Evaluation Criteria for Information Technology
Security (common criteria).
Arsitektur informasi TOGAF
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 15

Kriteria
Cakupan Kriteria
Ranah operasi • IT Infrastructure Library
• ISO/IEC 20000
• CMMI-SVC
• Microsoft Operation Framework (MOF)
Ranah sekuriti • SNI ISO/IEC 27001 (disyaratkan Permen Kominfo no. 4 tahun
2016)
• ISO/IEC 27000
• NIST SP 800-53 dan -53 A
• Critical Security Controls (CIS)
Perlindungan data PerMen Kominfo no. 20 tahun 2016
pribadi
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 16

Memilih sumber kriteria

Sesuai • Mempertimbangkan kualitas kriteria

dengan • Relevan, kredibel, terbaru, lengkap
objek • Valid, spesifik, realistis, terukur

• Penjelasan singkat mengenai kriteria

Harus • Institusi yang merilis
dijelaskan • Alasan penggunaan kriteria
• Informasi relevan lainnya
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 17

2. Teknik audit yang akan digunakan

• Selain mengenai penjelasan kriteria yang akan digunakan, bagian metodologi juga
menjelaskan teknik audit/ pemeriksaan dengan lebih detail. Bagian ini mencakup:
Kajian dokumen Observasi
Dokumen yang akan Dilakukan di tempat
diperiksa kerja auditee seperti
ruang server, data
center, dll.

Wawancara Pengujian
Dilakukan dengan Bisa manual/
wakil yang menggunakan alat
representatif dari bantu.
setiap bagian
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 18

3. Sampling
• Jika dokumen yang akan diperiksa, orang yang akan diwawancarai,
objek yang akan diobservasi/ diuji sangat banyak, maka dapat
dilakukan teknik sampling yang dapat mewakili populasi. Contoh:
– Dari 100 dokumen checklist harian, dipilih 20-25 dokumen saja yang akan
diperiksa.
– Dari puluhan cabang perusahaan di seluruh Indonesia, dipilih 10 cabang saja
untuk dikunjungi/ diobservasi.
– Dari belasan staf suatu divisi, dipilih beberapa orang saja untuk
diwawancarai.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 19

3. Sampling
• Populasi didefinisikan terlebih dahulu.
Pemilihan • sampel terpilih harus merepresentasikan
sampel populasi.

• Misal dari 50 dokumen sampel yang

Pengambilan diperiksa dari ratusan dokumen,
kesimpulan terdapat 5 dokumen yang bermasalah.
dari
• Maka dapat disimpulkan bahwa
pemeriksaan
sampel terdapat sekitar 10% dari keseluruhan
dokumen bermasalah.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 20

4. Tahapan audit
• Bagian metodologi yang berisi tahapan dalam pelaksanaan audit.
Perencanaan audit Pelasanaan audit dan Pembuatan laporan
individual supervisi audit

Pemahaman terhadap Kajian awal terhadap Pembuatan laporan

objek audit objek audit audit dan rekomendasi

Risk assessment dan Evaluasi mendalam

Tindak lanjut
gambaran umum audit terhadap objek audit

Pembuatan rencana Evaluasi kontrol dan

audit yang detail compliance testing

Substantive testing
 Ada pertanyaan?

Akhir dari presentasi.

Fransiska Prihatini Sihotang, S.SI., M.T.I.