Audit TI dan Tata Kelola Resiko

DTETI
2017
 Introduction

Definisi
"Periksalah dengan saksama ketepatan dengan maksud verifikasi"
"Pemeriksaan atau pengkajian metodis mengenai suatu kondisi atau situasi"

Mengapa Audit?
Siapa?

System Management

Informasi Informasi System

Organization
Management

Linked System Internal System

 IS/IT Audit

Information Systems (IS)

Involve more than just computers
Success application requires understanding
Business
Environment
Computer-Based Information Systems (CBIS)
Computer utilization (hardware/software/database/network)
Technology to perform tasks (procedures/people/etc)

Collection of IS and often times interchangeable in terminology with Information

Technology (IT)
 SI/IT AUDIT
Sistem Informasi (IS)
- Libatkan lebih dari sekedar komputer
- Aplikasi sukses membutuhkan pemahaman
Bisnis
Lingkungan Hidup
Sistem Informasi Berbasis Komputer (CBIS)
- Pemanfaatan komputer (perangkat keras / perangkat lunak /
database / jaringan)
- Teknologi untuk melakukan tugas (prosedur / orang / dll)

Koleksi IS dan sering kali saling dipertukarkan dalam

terminologi dengan Teknologi Informasi (TI)
 IT Audit
Independent review and examination of records and activities to assess the
adequacy of internal controls, to ensure compliance with established policies and
operational procedures, and to recommend necessary changes in controls,
policies, or procedures
The process of collecting and evaluating evidence to determine whether computer
system safeguards assets, maintain data availability/integrity/confidentiality,
achieves organisational goals effectively and consumes resources effectively.
involves evaluating the computers role in achieving
audit objectives
control objectives
means proving data and information are
reliable
confidential
secure
available
includes attest objectives like
safeguarding of assets and data integrity,
operational effectiveness
 Independen meninjau dan memeriksa catatan dan kegiatan untuk menilai kecukupan pengendalian
internal, untuk memastikan kepatuhan terhadap kebijakan dan prosedur operasional yang telah
ditetapkan, dan untuk merekomendasikan perubahan yang diperlukan dalam pengendalian,
kebijakan, atau prosedur
Proses pengumpulan dan evaluasi bukti untuk mengetahui apakah aset pengamanan sistem
komputer, menjaga ketersediaan data / integritas / kerahasiaan, mencapai tujuan organisasi secara
efektif dan mengkonsumsi sumber daya secara efektif.
- melibatkan evaluasi peran komputer dalam mencapai
tujuan audit
tujuan pengendalian
- berarti membuktikan data dan informasi tersebut
dapat diandalkan
rahasia
aman
tersedia
- termasuk tujuan obyektif seperti
menjaga aset dan integritas data,
efektivitas operasional

Auditor dipandu dalam tanggung jawab profesional mereka berdasarkan
standar auditing yang berlaku umum (GAAS)
General Standards
Auditor harus memiliki pelatihan
teknis dan kemampuan yang
memadai untuk melakukan audit.
Auditor harus menjaga
independensi dalam sikap mental
dalam segala hal yang berkaitan
dengan audit.
Auditor harus menggunakan
asuhan profesional selama audit
dan penyusunan laporan.
Standards
Generally Accepted Auditing Standards
Standards of Field Work
Pekerjaan audit harus direncanakan
secara memadai
Auditor harus memperoleh
pemahaman yang cukup tentang
struktur pengendalian internal
Auditor harus memperoleh bukti yang
cukup dan kompeten
Standards of Reporting
Auditor harus menyatakan dalam
laporan auditor apakah laporan
keuangan disajikan sesuai dengan
prinsip akuntansi yang berlaku
umum.
Laporan tersebut harus
mengidentifikasi keadaan di mana
prinsip akuntansi yang berlaku
umum tidak diterapkan
Laporan harus mengidentifikasi item
yang tidak memiliki pengungkapan
informatif yang memadai
Laporan tersebut memuat
pernyataan opini auditor terhadap
laporan keuangan secara
keseluruhan
 Auditing Aims

Internal
Responsibility of Performance
Companys own employees
External of the department being audited
Audit Purpose
Employee compliance with policies and procedures
Development and evaluation of internal controls
External
Responsibility of Performance
Those outside the organization
Accountants working for independent CPA
Audit Purpose
Performance of the attest function
Evaluate the accuracy and fairness of the financial statements relative to
GAAP
 Tujuan audit
Intern
Tanggung Jawab Kinerja
- Karyawan perusahaan sendiri
- Eksternal dari departemen yang diaudit
Tujuan Audit
- Kepatuhan karyawan terhadap kebijakan dan prosedur
- Pengembangan dan evaluasi pengendalian internal
Luar
Tanggung Jawab Kinerja
- Mereka yang berada diluar organisasi
- Akuntan yang bekerja untuk CPA independen
Tujuan Audit
- Kinerja fungsi atasan
- Mengevaluasi keakuratan dan kewajaran laporan keuangan relatif terhadap
GAAP
 Audit Type
Internal audit External audit
company personnel reporting to Independent
evaluate the risks
top management and/or
the integrity of accounting data
the Audit Committee of the Board of make recommendations
Directors to managers
external to the corporate department or to improve these controls
division being audited conducted in the context of GAAP
concerns employee adherence to check if financial statements
company policies and procedures, are free of erroneous materials
evaluation of internal controls do not contain fraudulent
misstatements
relatively broad in scope, including includes a variety of assurance services
auditing for fraud,
ensuring that employees are not
copying software programs illegally
provide assurance to a companys top
management about
the efficiency of its organization and
effectiveness of its organization
Audit internal
personil perusahaan melapor
kepada
- manajemen puncak dan / atau
- Komite Audit Direksi
diluar departemen atau divisi
perusahaan yang diaudit
kekhawatiran kepatuhan karyawan
terhadap
- kebijakan dan prosedur perusahaan,
evaluasi pengendalian internal
cakupannya relatif luas, termasuk
- audit atas kecurangan,
- memastikan bahwa karyawan tidak?
menyalin program perangkat lunak
secara ilegal
memberikan kepastian kepada
manajemen puncak perusahaan
- efisiensi organisasinya dan
- efektivitas organisasinya
Audit eksternal
Independen
mengevaluasi risikonya
- integritas data akuntansi
membuat rekomendasi
- untuk manajer
- untuk memperbaiki kontrol ini
dilakukan dalam konteks
GAAP
periksa apakah laporan
keuangan
- bebas dari bahan yang salah
- tidak mengandung salah saji
palsu
termasuk berbagai layanan
penjaminan
 IT Audit Function
Elemen

Scope 1. Fisik dan Lingkungan

2. Sistem administrasi
3. Aplikasi perangkat lunak
4. Pengembangan Aplikasi
5. Keamanan jaringan
6. Keberlangsungan bisnis
7. Integritas data

Objectives
Improved Data
Integrity

Safeguarding of IT/IS Improved

Assets Audit System
Effectiveness

Improved
System
Efficiency
 Policies, Standards,
Guidelines, and Procedures
Organisasi biasanya Policy
Provide emphasis
memiliki empat jenis Sets directions
dokumen yang ada: Signed by management
authority
- Kebijakan
- Standar
Standard
- Pedoman Specifies uniform method Change control process
of support for policy to review and revise
- Prosedur Compliance as mandatory

Guideline
Suggested actions to consider in
absence of applicable standard
Discretionary usage
Can be used to create new standard

Procedure
Step-by-step instruction to perform Ineffective
desired actions Result?
Provides support for standard
Compliance is mandatory
 IT Governance

Proses untuk mengendalikan sumber daya TI sebuah organisasi, termasuk sistem

informasi dan komunikasi, dan teknologi.
Pemanfaatan TI adalah untuk mempromosikan tujuan organisasi dan
memungkinkan proses bisnis dan mengelola dan mengendalikan risiko terkait TI.

Kontrol Umum
- Konsepnya tergolong baru
- Memastikan bahwa prinsip dan kebijakan pengelolaan, keamanan, dan proses TI
yang efektif dengan alat pengukuran kepatuhan yang sesuai tersedia
- Mengharuskan komite audit yang aktif
Tujuan Pengendalian Informasi dan Teknologi Terkait / Pedoman COBIT
- Mengidentifikasi faktor keberhasilan kritis, sasaran utama dan indikator kinerja, dan
model kedewasaan tata kelola TI.
- Kerangka tata kelola TI dimulai dengan menetapkan tujuan dan ukuran TI dan
membandingkan kinerja terhadapnya
- Menilai risiko bisnis,
- Mengendalikan risiko bisnis, dan
- Mengevaluasi efektivitas pengendalian
 Controls Hierarchy

General and Application of

Information Technology Governance
Policies

IT Standards

Management
Management and
Organization

Physical and Environmental

Controls

Systems Software Controls

Technical
Systems Development Controls

Application based controls

 Auditing Structure

CEO/CIO Financial Auditor

Board Audit
Committee Support for Financial Auditors

Application Information Systems

Auditor
Head of Audit
Dept Database

Middleware

Head of IT Head of Non- IT Auditor Operating System

Audit IT Audit
Network Intra

Physical Facility
IT Audit Team Non-IT Audit
Members Entity-Level Controls
Team Members
 IT Auditors Specialist

Member of Enterprise Audit Organization

Follows and adhere standards and principles of Institute of Internal Auditors
(IIA) and Information Systems Audit and Control Association (ISACA)
Professional Certification
Certified Information Systems Auditor CISA certification
by completing an examination given by ISACA
meeting specific experience requirements
complying with a Code of Professional Ethics
undergoing continuing professional education
complying with the Information Systems Auditing Standards
Certified Information Security Managers (CISM)
granted by ISACA
evaluates knowledge
in information security governance
information security program management
risk management
information security management
response management.
Anggota Organisasi Audit Perusahaan
Mengikuti dan mematuhi standar dan prinsip Institute of Internal Auditor (IIA) dan Audit Sistem
Informasi dan Pengendalian (ISACA)
sertifikasi profesional
Sertifikasi Certified Information System Auditor CISA
- dengan menyelesaikan ujian yang diberikan oleh ISACA
- memenuhi persyaratan pengalaman tertentu
- mematuhi Kode Etik Profesi
- menjalani pendidikan profesional berkelanjutan
- sesuai dengan Standar Audit Sistem Informasi
Manajer Keamanan Informasi Bersertifikat (CISM)
- diberikan oleh ISACA
- mengevaluasi pengetahuan
dalam tata kelola keamanan informasi
pengelolaan program keamanan informasi
manajemen risiko
manajemen keamanan informasi
manajemen respon
 Auditors Must Have

Pengetahuan, keterampilan dan kemampuan

- Pengetahuan tentang audit, IS dan keamanan jaringan
- Investigasi dan keterampilan analisis aliran proses
- Keterampilan hubungan interpersonal / manusia
- Keterampilan komunikasi lisan dan tulisan
- Kemampuan untuk melakukan penilaian yang baik
- Kemampuan menjaga kerahasiaan
- Kemampuan untuk menggunakan alat kantor desktop TI, alat analisis
kerentanan, dan alat TI lainnya
Banyak langkah audit tidak teknis
- Mampu bekerja dalam tim dan auditor lainnya
- Mampu berinteraksi dengan klien dan membutuhkan hubungan
interpersonal yang kuat
- Ingin mewawancarai CIO
 Auditors Roles and Responsibilities

Ensure IT governance by assessing risks and monitoring controls over those risks
Works as either internal or external auditor
Works on many kind of audit engagements
Reviewing and assessing enterprise management controls
Review and perform test of enterprise internal controls
Report to management
Job Tasks
Design a technology-based audit approaches; analyzes and evaluates
enterprise IT processes
Works independently or in a team to review enterprise IT controls
Examines the effectiveness of the information security policies and procedures
Develops and presents training workshops for audit staff
Conduct and oversees investigation of inappropriate computer use
Performs special projects and other duties as assigned
 Memastikan tata kelola TI dengan menilai risiko dan pengendalian pemantauan
atas risiko tersebut
Bekerja sebagai auditor internal atau eksternal
Bekerja pada banyak jenis keterlibatan audit
Menelaah dan menilai kontrol manajemen perusahaan
Tinjau dan lakukan uji pengendalian internal perusahaan
Laporkan ke manajemen
Tugas pekerjaan
- Merancang pendekatan audit berbasis teknologi; menganalisis dan mengevaluasi
proses TI perusahaan
- Bekerja secara independen atau dalam tim untuk meninjau kontrol TI perusahaan
- Memeriksa keefektifan kebijakan dan prosedur keamanan informasi
- Mengembangkan dan menyajikan lokakarya pelatihan untuk staf audit
- Melakukan dan mengawasi penyelidikan penggunaan komputer yang tidak tepat
- Melakukan proyek khusus dan tugas lainnya yang ditugaskan
 Financial vs IT Audit
Develop an
Auditor TI dapat mengerjakan understanding and
perform preliminary
perikatan audit keuangan audit work
Auditor TI dapat mengerjakan setiap
langkah keterlibatan audit keuangan Develop audit plan
Standar, seperti SAS No. 94,
Evaluate the internal
membimbing pekerjaan auditor TI control system
mengenai keterlibatan audit keuangan
Pekerjaan audit TI pada keterlibatan Determine degree of
reliance on internal
audit keuangan cenderung meningkat controls
karena evaluasi pengendalian internal
menjadi lebih penting Perform substantive
testing

Review work and

issue audit report

The Role of IT Auditors in the Financial Audit Process

Conduct follow-up
work
 Effective IT Audit

Keterlibatan awal
Audit informal
Berbagi pengetahuan
Penilaian diri
 Peran Komputer dalam Pengendalian Internal

Pemisahan tugas
Delegasi wewenang dan tanggung jawab
Personel yang kompeten dan terpercaya
Sistem otorisasi
Dokumen dan catatan yang memadai
Kontrol fisik atas aset dan catatan
Pengawasan manajemen yang memadai
Pemeriksaan independen terhadap kinerja
Membandingkan akuntabilitas tercatat dengan
aset