Post on 04-Mar-2019
document from http://fit.uii.ac.id
1©2010 by Umar Alhabsyi, MT, CISA, CRISC. Studium Generale‐FTI‐UII: IS Audit
Audit Sistem Informasi
Oleh:Umar Alhabsyi, MT, CISA, CRISC.umar.alhabsyi@gmail.com
Studium Generale
Yogyakarta, 12 Februari 2011
2©2010 by Umar Alhabsyi, MT, CISA, CRISC. Studium Generale‐FTI‐UII: IS Audit
Fakta
Sebuah studi dari Gartner menunjukkan bahwa 20% investasi di IT, atau tidak kurang dari USD 500 billion,
terbuang percuma setiap tahunnya. (Nick Huber, ComputerWeekly, March 2002)
Para Investor mau membeli saham 20% lebih mahal untuk perusahaan yang menerapkan praktik‐praktik
good governance pada perusahaannya (McKinsey Investors Opinion Survey, June 2000).
document from http://fit.uii.ac.id
3©2010 by Umar Alhabsyi, MT, CISA, CRISC. Studium Generale‐FTI‐UII: IS Audit
Fakta
Bagaimana Anda bisa yakin organisasi Anda tidak mengalami “musibah” serupa ini…?
•Kesulitan Nike akibat kegagalan implementasi S/W Supply Chain mengakibatkan kerugian sekitar US$200 million.•Matinya sistem pelaporan finansial dari Interstate Bakeries menyebabkan market value nya turun 1/3 hanya dalam sehari.•Kegagalan pada sistem logistik pada MFI and Sainsbury menyebabkan kerugian jutaan GBP, penurunan profit dan kejatuhan harga saham.•Kegagalan operasional perusahaan pasca merger the Southern Pacific–Union Pacific setelah dilacak ternyata utamanya disebabkan oleh kegagalan koordinasi dari sistem‐sistem IT nya.
4©2010 by Umar Alhabsyi, MT, CISA, CRISC. Studium Generale‐FTI‐UII: IS Audit
Fakta
...atau melewatkan manfaat‐manfaatnya?• Transformasi supply chain dari Southwest Airlines
meningkatkan kemampuan perusahaan untuk mengestimasi kebutuhan, mengurangi biaya pengadaan dan meningkatkan service levels sementara biayanya lebih rendah.
• IBM menghemat US$12 billion selama 2 tahun dengan menghubungkan bagian‐bagian terpisah dari sistem supply chain nya, juga mengurangi tingkat persediaannya.
• Sinergi IT yang sangat ekstensif di Great‐West Life berdampak signifikan pada sejumlah akusisi yang dilakukan perusahaan.
document from http://fit.uii.ac.id
5©2010 by Umar Alhabsyi, MT, CISA, CRISC. Studium Generale‐FTI‐UII: IS Audit
Changing IT Emphasis
Ten years ago we were afraid of rockets destroying computing centres..........
..........right now, we should be aware of software errors destroying rockets !
Fakta
6©2010 by Umar Alhabsyi, MT, CISA, CRISC. Studium Generale‐FTI‐UII: IS Audit
Risiko dan Nilai• Risiko dan nilai adalah 2 sisi mata uang yang sama
• Risiko bersifat inheren utnuk semua organisasi.
TAPI
• Organisasi perlu memastikan bahwa kesempatan untuk menciptakan nilai tidak hilang hanya karena usaha untuk menghilangkan semua risiko.
p IT provides valuei Cost, time and functionality are as expected
p IT does not provide surprisesi Risks are mitigated
p IT pushes the envelopei New opportunities and innovations for process,
product and services
document from http://fit.uii.ac.id
7©2010 by Umar Alhabsyi, MT, CISA, CRISC. Studium Generale‐FTI‐UII: IS Audit
IS Audit
IS Audit
Bukti
Bukti
Bukti
Bukti
Collecting
Collecting
Collecting
Collecting
Proteksi Aset?
Integritas dan Ketersediaan Data dan
Sistem?
Informasi yang relevan dan handal yang efektif untuk mendukung obyektif bisnis dengan resource yang
efisien
Kontrol internal yang cukup utk memastikan
obyektif bisnis, operasional dan kontrol tercapai
Mencegah hal‐hal yang tidak diinginkan,
bagaimana mendeteksi dan memperbaiki dalam waktu yang dapat diterima
Evaluating
Evaluating
Evaluating
Evaluating
Evaluating
8©2010 by Umar Alhabsyi, MT, CISA, CRISC. Studium Generale‐FTI‐UII: IS Audit
Basis dalam IS Audit?
Risk
Control
Tugas seorang IS Auditor adalah mengidentifikasi Risiko pada area dalam cakupan Audit, serta identifikasi kebutuhan dan evaluasi penerapan kontrol yang mengelolanya.
IS Auditor harus memahami Audit Subject
document from http://fit.uii.ac.id
9©2010 by Umar Alhabsyi, MT, CISA, CRISC. Studium Generale‐FTI‐UII: IS Audit
Risiko dalam Proses IS Audit
Inherent RiskInherent RiskInherent Risk Control RiskControl RiskControl RiskRisiko yang melekat pada sesuatu Kemungkinan terjadinya significant loss pada sesuatu tanpa mempertimbangkan adanya penerapan kontrol‐kontrol
Risiko yang melekat pada sesuatu Kemungkinan terjadinya significant loss pada sesuatu tanpa mempertimbangkan adanya penerapan kontrol‐kontrol
Risiko pada kontrol Kemungkinan tidak efektifnya kontrol yang diterapkan untuk membatasi atau mengelola inherent risk.
Risiko pada kontrol Kemungkinan tidak efektifnya kontrol yang diterapkan untuk membatasi atau mengelola inherent risk.
Residual Risk = IR x CR
Detection RiskDetection RiskDetection Risk
Risiko dimana sebuah kesalahan pada area yang diaudit tidak terdeteksi oleh Auditor.
Risiko dimana sebuah kesalahan pada area yang diaudit tidak terdeteksi oleh Auditor.
IS Audit RiskIS Audit RiskIS Audit Risk
Audit Risk = Risiko yang diakibatkan IS Auditor tidak akurat dalam memberikan judgment terkait area yang diaudit
10©2010 by Umar Alhabsyi, MT, CISA, CRISC. Studium Generale‐FTI‐UII: IS Audit
Tipe Kontrol InternalTipe Kontrol Internal
Kontrol yang didesain untuk mencegah terjadinya kesalahan, kelalaian atau kejadian lain yang telah diketahui dapat berdampak negatif.
Preventive ControlPreventive ControlPreventive Control Detective ControlDetective ControlDetective ControlKontrol yang digunakan untukmengidentifikasi suatu kejadian, kesalahan atau hal lain yang terjadi dimana telah diketahui akan berdampak signifikan
Corrective ControlCorrective ControlCorrective Control
Kontrol yang digunakan untuk melakukan perbaikan pada hal‐hal yang berjalan tidak benar atau semestinya
Kontrol InternalKontrol Internal
document from http://fit.uii.ac.id
11©2010 by Umar Alhabsyi, MT, CISA, CRISC. Studium Generale‐FTI‐UII: IS Audit
Bisnis dan Kontrol TI
Proses‐Proses dalam Siklus Tata Kelola TI
Proses‐Proses dalam Siklus Tata Kelola TI
Proses‐Proses dalam Tata Kelola Bisnis
IT’s ResponsibilityBusiness’s Responsibility Business’s Responsibility
Business ControlsBusiness Controls
Business ControlsBusiness ControlsIT General Controls
Application Controls
Kontrol yang diterapkan pada seluruh proses dan aktifitas IT dalam rangka memberikan layanan pada
organisasi
Kontrol yang diterapkan pada seluruh proses dan aktifitas IT dalam rangka memberikan layanan pada
organisasi
Kontrol yang diterapkan proses bisnis, baik yang terotomasi (dengan IT) maupun yang masih manual.
Kontrol yang diterapkan proses bisnis, baik yang terotomasi (dengan IT) maupun yang masih manual.
IT Gencon AuditIT Gencon Audit
Apps Control Audit
Apps Control Audit
12©2010 by Umar Alhabsyi, MT, CISA, CRISC. Studium Generale‐FTI‐UII: IS Audit
Proses IS Audit
Mengumpulkan Informasi dan Merencanakan(mengenal bisnis organisasi, Review audit sebelumnya, Regulasi yang berlaku, Inherent Risk
Assessment)
Mengumpulkan Informasi dan Merencanakan(mengenal bisnis organisasi, Review audit sebelumnya, Regulasi yang berlaku, Inherent Risk
Assessment)
Memahami Kontrol Internal(Control environment, control procedures, detection risk assessment, Control risk assessment,
Menghitung total risiko)
Memahami Kontrol Internal(Control environment, control procedures, detection risk assessment, Control risk assessment,
Menghitung total risiko)
Compliance Test(Indentifikasi kontrol utama yang akan diuji, Lakukan pengujian terhadap kontrol2 tsb dalam
kehandalannya serta kepatuhannya pada kebijakan dan prosedur organisasi)
Compliance Test(Indentifikasi kontrol utama yang akan diuji, Lakukan pengujian terhadap kontrol2 tsb dalam
kehandalannya serta kepatuhannya pada kebijakan dan prosedur organisasi)
Substantive Test(Analisis prosedur, pengujian detail transaksi/balances, dll)
Substantive Test(Analisis prosedur, pengujian detail transaksi/balances, dll)
Simpulkan Hasil Audit(Buat rekomendasi, susun Laporan Audit)
Simpulkan Hasil Audit(Buat rekomendasi, susun Laporan Audit)
document from http://fit.uii.ac.id
13©2010 by Umar Alhabsyi, MT, CISA, CRISC. Studium Generale‐FTI‐UII: IS Audit
IS Audit butuh Standard dan Framework
• Sebagai guidelines dalam melakukan proses Audit
• Untuk memastikan kelengkapan• Untuk mengambil manfaat dari best practices pengelolaan IT di dunia
• Untuk menjadi alat komunikasi antara IT, bisnis dan Auditor
• Untuk memastikan kapasitas dan kompetensi Auditor
• Untuk memastikan standard kode etik pelaksanaan proses Audit
14©2010 by Umar Alhabsyi, MT, CISA, CRISC. Studium Generale‐FTI‐UII: IS Audit
Standard IT/IS Audit
IT/IS Audit StandardIT/IS Audit Standard
ISACA adalah standard dan panduan untuk IT/IS auditing dan merupakan kode etik profesional bagi auditor yang bersertifikasi CISA.