Beruflich Dokumente
Kultur Dokumente
Why ?
Adanya resiko bisnis yang dapat/tidak ditanggung
What ?
suatu sistem yang melakukan mencegah(prevents), menemukan (detects) dan memperbaiki (corrects) kejadian yang tidak sesuai aturan ( misalnya : unauthorized, inaccurate, incomplete input to the system)
General Control
Physical Security Physical Access HVAC Fire Protection UPS Backup/Contingency Planning Data Backups Restore Procedures Offsite Storage Change Management Program Change Controls Tracking Change Approvals Disaster Recovery Business Resumption Plans BRP Testing Alternate Processing
IT Controls
General Controls
Application Controls
IT Controls
General Controls
Application Controls
Input Controls Data Entry Controls System Edits Segregation of Duties Transaction Authorization
Access Controls User-IDs/Passwords Data Security Network Security Security Administration Access Authorization
Processing Controls Audit Trails Interface Controls Control Totals Output Controls Reconciliation Distribution Access
Auditing
Memahami : filosofi pengendalian, teknisk pengendalian intern, metodologi pengumpulan dan pengevaluasian bukti
Teknik Komputer
Pengetahuan teknis : aspek pengamanan aset, integritas data, efektifitas sistem dan efisiensi sistem\
Perilaku Organisasi
Menangani isu-isu dan permasalahan yang bersifat humanitas (SDM)
Dulu
sebagai watchdog
Auditor vs Auditee
`
Now
internal audit
Mendampingi Memperbaiki
Audit Planning
Informasi bisnis, dokumentasi pemahaman TI, finansial (pendapatan, biaya, laba, aktiva), indikator organisasi (struktur, jumlah, lokasi, affiliasi) Tujuan dan lingkup Audit audit charter Risiko Audit Tim Audit Program dan Jadwal Audit
Control Evaluation
Kebijakan, standar, pedoman, prosedur, struktur
Terdokumentasi / ada / tidak ada ?
Control Testing
Review pengendalian internal
Effektif ?
Substantive Testing
Test of details of transactions
extended / limited
` `
Audit Reporting
Temuan audit Periodical (?) rekomendasi make sure they do the recomendations
Audit Follow-up
CAATTs Computer Assisted Audit Techniques & Tools (Teknik Audit berbantuan Komputer)
Pengendalian Intern TI
Umum
` ` `
SASI (Standar Audit Sistem Informasi) dari Ikatan Audit Sistem Informasi Indonesia (IASII)
` ` `
S-1 S-1.1
Tanggung jawab, wewenang, dan akuntabilitas dari auditor sistem informasi harus dinyatakan dengan jelas secara formal dan tertulis dalam piagam atau surat tugas audit sistem informasi serta disetujui secara bersama oleh auditor sistem informasi dan pemberi tugas. S-2 S-2.1 Independensi & Obyektifitas Independensi
` ` `
Dalam berbagai hal yang berkaitan dengan audit sistem informasi, auditor sistem informasi harus menjaga independensinya, baik secara faktual maupun penampilan, dari organisasi atau hal yang diaudit. S-2.2 Obyektifitas Auditor sistem informasi harus menjaga obyektifitasnya dalam merencanakan, melaksanakan dan melaporkan audit sistem informasi. S-3 S-3.1 Profesionalisme & Kompetensi Profesionalisme
` `
` ` `
Auditor sistem informasi harus memenuhi berbagai standar audit yang berlaku serta menerapkan kecermatan dan ketrampilan profesionalnya dalam merencanakan, melaksanakan, dan melaporkan audit sistem informasi. S-3.2 Kompetensi Auditor sistem informasi, secara kolektif, harus memiliki atau memperoleh pengetahuan dan keahlian yang diperlukan untuk melaksanakan audit sistem informasi. S-3.3 Pendidikan Profesi Berkelanjutan Auditor sistem informasi harus meningkatkan pengetahuan dan keahlian yang diperlukan untuk melaksanakan audit sistem informasi melalui pendidikan profesi berkelanjutan.
` `
` `
` ` `
S-4 S-4.1
Auditor sistem informasi harus merencanakan audit sistem informasi dengan baik agar dapat mencapai tujuan audit serta memenuhi standar audit yang berlaku. S-5 S-5.1 Pelaksanaan Pengawasan
` ` `
Staf audit sistem informasi harus disupervisi dengan baik untuk memberikan keyakinan yang memadai bahwa tujuan audit sistem informasi dapat tercapai dan standar audit yang berlaku dapat dipenuhi. S-5.2 Bukti-bukti Audit Dalam melaksanakan audit sistem informasi, auditor sistem informasi harus memperoleh bukti-bukti audit yang cukup, dapat diandalkan dan bermanfaat untuk mencapai tujuan audit sistem informasi secara efektif. Temuan dan kesimpulan audit sistem informasi harus didukung oleh analisis dan interpretasi yang memadai atas bukti-bukti audit tersebut. S-5.3 Kertas Kerja Audit Dalam melaksanakan audit sistem informasi, auditor sistem informasi harus mendokumentasikan secara sistematis seluruh bukti-bukti audit yang diperoleh serta analisis yang dilakukannya. S-6 S-6.1 Pelaporan Laporan Audit
` `
` `
` ` `
Setelah menyelesaikan pelaksanaan audit sistem informasi, auditor sistem informasi harus memberikan suatu laporan audit sistem informasi dalam bentuk yang memadai kepada pihak-pihak yang berhak menerima. Laporan audit sistem informasi harus menyatakan lingkup, tujuan, sifat penugasan, temuan, kesimpulan, rekomendasi, indentitas organisasi, penerima dan batasan distribusi laporan, serta batasan atau pengecualian yang berkaitan dengan pelaksanaan audit sistem informasi. S-7 S-7.1 Tindak Lanjut Pemantauan Tindak Lanjut
` ` `
Auditor sistem informasi harus meminta dan mengevaluasi informasi yang dipandang perlu sehubungan dengan temuan, kesimpulan dan rekomendasi audit yang terkait dari audit sebelumnya untuk menentukan apakah tindak lanjut yang layak telah dilaksanakan dengan tepat waktu.
Management Guidelines :
x Identification of automated solutions linkages with other processes x RACI charts of activities vs functions (posisi) Responsible, Accountable, Consulted and/or Informed. x Goals & Metrics
x x x Activities goals Process goals IT goals KPI IT KGI Process KGI
Maturity Model
x x x x x x 0 Non existent 1 Initial/Ad hoc 2 Repeatable but intuitive 3 Defined Process 4 Managed and Measurable 5 - Optimised
Audit Guidelines
COBIT is a control framework with audit guidelines
x For each COBIT process there is audit guidelines
But COBIT :
x Is not audit plan x Is not a workprogram x It does NOT provide for audit steps / techniques / procedures x It does NOT define standards x It does NOT define acceptable levels for IT processes
Information Systems Audit and Control Association (ISACA) ISACA IT Audit & Assurance
Standards (~16 standards) Guidelines (~42 guidelines) Tools & Techniques (~11 TT)