S.S.W.

Wardhani Jakarta, 2 Maret 2011

Why ?
Adanya resiko bisnis yang dapat/tidak ditanggung

What ?
suatu sistem yang melakukan mencegah(prevents), menemukan (detects) dan memperbaiki (corrects) kejadian yang tidak sesuai aturan ( misalnya : unauthorized, inaccurate, incomplete input to the system)

IT Concerns and Issues

General Control
Physical Security Physical Access HVAC Fire Protection UPS Backup/Contingency Planning Data Backups Restore Procedures Offsite Storage Change Management Program Change Controls Tracking Change Approvals Disaster Recovery Business Resumption Plans BRP Testing Alternate Processing

IT Controls

General Controls

Application Controls
IT Controls

General Controls

Application Controls

Input Controls Data Entry Controls System Edits Segregation of Duties Transaction Authorization

Access Controls User-IDs/Passwords Data Security Network Security Security Administration Access Authorization

Processing Controls Audit Trails Interface Controls Control Totals Output Controls Reconciliation Distribution Access

Ron Weber, IS Control & Audit 1999

IS Auditing is the process of collecting and evaluating evidence to determine whether a computer system :
x x x x x safeguards assets, data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently. (and sometimes IS auditing has another objective) which is ensuring that an organization complies with some regulation.

ISACA, CISA Review Manual

The process of collecting and evaluating evidence to determine whether IS and related resources :
x x x x x x adequately safeguards assets, maintain data and system integrity, provide relevant and reliable information, achieve organizational goals effectively, consume resources efficiently, and have in effect internal controls

that provide reasonable assurance that :

x operational and control objectives will be meet x and that undesired events will be prevented, or detected and corrected, in a timely manner

Auditing
Memahami : filosofi pengendalian, teknisk pengendalian intern, metodologi pengumpulan dan pengevaluasian bukti

Manajemen Teknologi Informasi

Memahami : metodologi pengembangan dan implementasi TI, teknik manajemen proyek, dokumentasi, standar dan penganggaran

Teknik Komputer
Pengetahuan teknis : aspek pengamanan aset, integritas data, efektifitas sistem dan efisiensi sistem\

Perilaku Organisasi
Menangani isu-isu dan permasalahan yang bersifat humanitas (SDM)

Dulu

sebagai watchdog

Auditor vs Auditee
`

Now

internal audit

Mendampingi Memperbaiki

Audit Planning
Informasi bisnis, dokumentasi pemahaman TI, finansial (pendapatan, biaya, laba, aktiva), indikator organisasi (struktur, jumlah, lokasi, affiliasi) Tujuan dan lingkup Audit audit charter Risiko Audit Tim Audit Program dan Jadwal Audit

Control Evaluation
Kebijakan, standar, pedoman, prosedur, struktur
Terdokumentasi / ada / tidak ada ?

Control Testing
Review pengendalian internal
Effektif ?

Substantive Testing
Test of details of transactions
extended / limited

` `

Audit Reporting
Temuan audit Periodical (?) rekomendasi make sure they do the recomendations

Audit Follow-up

Around the computer

Bila :
Resiko bawaan rendah Logika aplikasi sederhana Input batch & prosedurnya manual Proses sederhana hanya sorting & updating master file secara berurutan x Jejak audit jelas x Lingkungan sistem cenderung konstan x Jarang dilakukan modifikasi x x x x

Around the computer

Bila :
Resiko bawaan tinggi Logika proses kompleks Volume transaksi, input, output besar Adanya pengendalian intern yg sec. signifikan melekat pada sistem x Jejak audit tidak substansial x x x x

CAATTs Computer Assisted Audit Techniques & Tools (Teknik Audit berbantuan Komputer)

Pengendalian Intern TI
Umum

COBIT (Control Objective for Information and Related Technology)

` ` `

Pemahaman Lingkungan TI IT Risk Management etc

SASI (Standar Audit Sistem Informasi) dari Ikatan Audit Sistem Informasi Indonesia (IASII)
` ` `

S-1 S-1.1

Penugasan Audit Tanggung Jawab, Wewenang dan Akuntabilitas

Tanggung jawab, wewenang, dan akuntabilitas dari auditor sistem informasi harus dinyatakan dengan jelas secara formal dan tertulis dalam piagam atau surat tugas audit sistem informasi serta disetujui secara bersama oleh auditor sistem informasi dan pemberi tugas. S-2 S-2.1 Independensi & Obyektifitas Independensi

` ` `

Dalam berbagai hal yang berkaitan dengan audit sistem informasi, auditor sistem informasi harus menjaga independensinya, baik secara faktual maupun penampilan, dari organisasi atau hal yang diaudit. S-2.2 Obyektifitas Auditor sistem informasi harus menjaga obyektifitasnya dalam merencanakan, melaksanakan dan melaporkan audit sistem informasi. S-3 S-3.1 Profesionalisme & Kompetensi Profesionalisme

` `

` ` `

Auditor sistem informasi harus memenuhi berbagai standar audit yang berlaku serta menerapkan kecermatan dan ketrampilan profesionalnya dalam merencanakan, melaksanakan, dan melaporkan audit sistem informasi. S-3.2 Kompetensi Auditor sistem informasi, secara kolektif, harus memiliki atau memperoleh pengetahuan dan keahlian yang diperlukan untuk melaksanakan audit sistem informasi. S-3.3 Pendidikan Profesi Berkelanjutan Auditor sistem informasi harus meningkatkan pengetahuan dan keahlian yang diperlukan untuk melaksanakan audit sistem informasi melalui pendidikan profesi berkelanjutan.

` `

` `

` ` `

S-4 S-4.1

Perencanaan Perencanaan Audit

Auditor sistem informasi harus merencanakan audit sistem informasi dengan baik agar dapat mencapai tujuan audit serta memenuhi standar audit yang berlaku. S-5 S-5.1 Pelaksanaan Pengawasan

` ` `

Staf audit sistem informasi harus disupervisi dengan baik untuk memberikan keyakinan yang memadai bahwa tujuan audit sistem informasi dapat tercapai dan standar audit yang berlaku dapat dipenuhi. S-5.2 Bukti-bukti Audit Dalam melaksanakan audit sistem informasi, auditor sistem informasi harus memperoleh bukti-bukti audit yang cukup, dapat diandalkan dan bermanfaat untuk mencapai tujuan audit sistem informasi secara efektif. Temuan dan kesimpulan audit sistem informasi harus didukung oleh analisis dan interpretasi yang memadai atas bukti-bukti audit tersebut. S-5.3 Kertas Kerja Audit Dalam melaksanakan audit sistem informasi, auditor sistem informasi harus mendokumentasikan secara sistematis seluruh bukti-bukti audit yang diperoleh serta analisis yang dilakukannya. S-6 S-6.1 Pelaporan Laporan Audit

` `

` `

` ` `

Setelah menyelesaikan pelaksanaan audit sistem informasi, auditor sistem informasi harus memberikan suatu laporan audit sistem informasi dalam bentuk yang memadai kepada pihak-pihak yang berhak menerima. Laporan audit sistem informasi harus menyatakan lingkup, tujuan, sifat penugasan, temuan, kesimpulan, rekomendasi, indentitas organisasi, penerima dan batasan distribusi laporan, serta batasan atau pengecualian yang berkaitan dengan pelaksanaan audit sistem informasi. S-7 S-7.1 Tindak Lanjut Pemantauan Tindak Lanjut

` ` `

Auditor sistem informasi harus meminta dan mengevaluasi informasi yang dipandang perlu sehubungan dengan temuan, kesimpulan dan rekomendasi audit yang terkait dari audit sebelumnya untuk menentukan apakah tindak lanjut yang layak telah dilaksanakan dengan tepat waktu.

For each IT Process :

Pemahaman proses :
x x x x x Allignment with business, focus of process, how to achieve, how to measure Kriteria informasi yang berkaitan dgn process Aset TI yang terkait Aspek IT Governance yang terkait Detailed control objectives.

Management Guidelines :
x Identification of automated solutions linkages with other processes x RACI charts of activities vs functions (posisi) Responsible, Accountable, Consulted and/or Informed. x Goals & Metrics
x x x Activities goals Process goals IT goals KPI IT KGI Process KGI

Maturity Model
x x x x x x 0 Non existent 1 Initial/Ad hoc 2 Repeatable but intuitive 3 Defined Process 4 Managed and Measurable 5 - Optimised

Audit Guidelines
COBIT is a control framework with audit guidelines
x For each COBIT process there is audit guidelines

But COBIT :
x Is not audit plan x Is not a workprogram x It does NOT provide for audit steps / techniques / procedures x It does NOT define standards x It does NOT define acceptable levels for IT processes

Information Systems Audit and Control Association (ISACA) ISACA IT Audit & Assurance
Standards (~16 standards) Guidelines (~42 guidelines) Tools & Techniques (~11 TT)

More ready to use tools :

ICQ (Internal Control Questionaire) Audit Checklists