8/29/2014
IS Audit Process CDG4I3 / Audit Sistem Informasi
Angelina Prima K | Gede Ary W.
12-CRS-0106 REVISED 8 FEB 2013
KK SIDE - 2014
1.
Introduction to IS audit process
2.
Risk analysis
3.
Internal controls
4.
Performing an IS audit
5.
Control self-assessment
6.
Emerging change in the IS audit process 12-CRS-0106 REVISED 8 FEB 2013
Agenda
1
8/29/2014
1. Introduction
12-CRS-0106 REVISED 8 FEB 2013
Proses audit: serangkaian kegiatan audit untuk memastikan bahwa organisasi telah melakukan langkah-langkah yang diperlukan untuk menghadapi perubahan regulasi dan kondisi pasar.
12-CRS-0106 REVISED 8 FEB 2013
Audit Stages
2
8/29/2014
12-CRS-0106 REVISED 8 FEB 2013
Audit Stages
Audit Objectives Sasaran audit: – berasal dari eksekutif, regulasi, atau standar industri – tergantung pada task departemen, topik, atau langkah tertentu dalam aliran proses bisnis
Harus dapat: – memberikan jaminan kepada manajemen tentang ketercapaian kontrol – memberikan saran aksi korektif bagi manajemen
12-CRS-0106 REVISED 8 FEB 2013
– menunjukkan kelemahan kontrol dan dampak resikonya
3
8/29/2014
Audit Charter Peran dan fungsi audit Si harus disepakati di
charter.
audit
Audit SI dapat menjadi bagian dari audit internal, maka audit charter dapat mencakup fungsi audit lainnya. Audit charter harus menyatakan dengan jelas tanggung jawab manajemen, serta tujuan dan pendelegasian wewenang kepada fungsi audit SI. Dokumen ini
ruang lingkup kewenangan dan tanggung jawab keseluruhan fungsi audit.
12-CRS-0106 REVISED 8 FEB 2013
menjelaskan
Audit Planning Rencana audit meliputi:
– Lingkup audit: proses apa saja yang akan diaudit +lokasi, ukuran, aktivitas, waktu, proses
– Kriteria audit: berdasarkan kebijakan/ prosedur/ kebutuhan
– Tim audit Internal audit (pihak pertama) Eksternal audit (pihak kedua) customer/ vendor/ else
Integrated/ combined audit (2 fungsi atau lebih sekaligus) Joint audit (2 organisasi auditor atau lebih sekaligus)
12-CRS-0106 REVISED 8 FEB 2013
Independent eksternal audit (pihak ketiga)
4
8/29/2014
12-CRS-0106 REVISED 8 FEB 2013
Audit Stages
Risk Analysis Resiko: ancaman yang berpotensi menimbulkan kerentanan aset dan menyebabkan kerugian/ kerusakan aset.
Elemen resiko: – Ancaman dan kerentanan dari proses/ aset (termasuk aset fisik dan informasi) – Probabilitas ancaman (kombinasi kemungkinan dan frekuensi kejadian)
12-CRS-0106 REVISED 8 FEB 2013
– Dampak ancaman dan kerentanan terhadap aset
5
8/29/2014
Risk Analysis Purposes auditor mengidentifikasi resiko dan ancaman di lingkungan SI/TI yang perlu diatasi dengan kontrol manajemen dan sistem internal spesifik Membantu
Membantu auditor dalam menentukan
audit Mengambil keputusan pendukung
audit berbasis 12-CRS-0106 REVISED 8 FEB 2013
resiko
tujuan
2. Internal Controls Kendali internal: kebijakan, prosedur,
mekanisme, sistem, dan ukuran lain yang memastikan bahwa proses-proses dalam perusahaan berfungsi dengan baik serta menekan resiko
Pengelompokan kendali internal: • Fisik • Teknis • Administratif
Kelas • Preventif • Detektif • Korektif
Kategori • Otomatis • Manual 12-CRS-0106 REVISED 8 FEB 2013
Tipe
6
8/29/2014
Internal Control Objectives Pernyataan kondisi atau keluaran yang diinginkan dari operasional bisnis.
Contoh: – Perlindungan aset TI – Akurasi transaksi – Kerahasiaan dan privasi – Perubahan sistem TI yang terkendali 12-CRS-0106 REVISED 8 FEB 2013
– Kesesuaian dengan kebijakan perusahaan
12-CRS-0106 REVISED 8 FEB 2013
Audit Stages
7
8/29/2014
3. Performing IS Audit Tipe-tipe audit: Operational audit Financial audit Integrated audit (operational + financial) IS audit Administrative audit Compliance audit Forensic audit Service provider audit Pre-audit
Tiap tipe audit tersebut memiliki prosedur yang sesuai.
12-CRS-0106 REVISED 8 FEB 2013
– – – – – – – – –
Audit Procedures Mencakup: – Daftar orang yang akan diwawancara – Pertanyaan wawancara – Dokumentasi (kebijakan, prosedur, dll) yang akan diminta saat wawancara – Perangkat audit yang digunakan – Tingkat sampling dan metodologi yang dipakai
– Bagaimana evaluasi bukti
12-CRS-0106 REVISED 8 FEB 2013
– Bagaimana dan dimana pengarsipan bukti
8
8/29/2014
Audit Evidence Evidence: informasi yang dikumpulkan oleh
auditor selama audit untuk menarik kesimpulan tentang efektivitas kontrol dan sasaran kontrol. Berupa: – Hasil observasi – Catatan tertulis – Korespondensi – Rekaman bisnis
12-CRS-0106 REVISED 8 FEB 2013
– Proses internal dan dokumentasi prosedur
12-CRS-0106 REVISED 8 FEB 2013
Audit Stages
9
8/29/2014
Report Preparation Auditor perlu merencanakan
format dan
mekanisme pelaporan hasil audit.
Jika perlu internal review, identifikasi pihak-pihak yang akan melakukan review dan pastikan komitmen mereka terhadap review laporan audit
12-CRS-0106 REVISED 8 FEB 2013
– Sesuai dengan laporan standar audit, misal ISACA IS audit standards
Example of Report Structure Cover letter Introduction Summary Description of the audit Listing of interviewees
Description of findings and recommendations
12-CRS-0106 REVISED 8 FEB 2013
Explanation of sampling techniques
10
8/29/2014
Reporting Aktivitas yang dilakukan: – Sampaikan laporan kepada auditee – Jadwalkan closing meeting – Untuk audit internal, kirimkan tagihan ke auditee – Kumpulkan dan arsipkan seluruh dokumen dan berkas – Update dokumen untuk kebutuhan audit lanjutan 12-CRS-0106 REVISED 8 FEB 2013
– Kumpulkan feedback dari auditee
12-CRS-0106 REVISED 8 FEB 2013
Audit Stages
11
8/29/2014
Post-audit Follow-up
Perlu dilakukan: – Sebagai bentuk perhatian untuk mengetahui keseriusan auditee dalam menindaklanjuti hasil audit. – Untuk membantu auditee dalam menindaklanjuti hasil audit, jika diperlukan. – Agar auditor bisa lebih memahami komitmen manajemen. – Bagi auditor eksternal, dapat meningkatkan citra dan prospek kerjasama bisnis lanjutan.
12-CRS-0106 REVISED 8 FEB 2013
Setelah waktu tertentu (beberapa hari/ bulan), auditor perlu menghubungi auditee untuk mengetahui progress yang telah dicapai oleh auditee.
5. Control Self-Assessment (CSA) CSA adalah metodologi yang digunakan organisasi untuk meninjau tujuan bisnis utama, resiko yang terlibat dalam mencapai tujuan bisnis dan kontrol internal untuk mengelola resiko bisnis dalam proses formal dan kolaboratif yang didokumentasikan
Sasaran: – Mengurangi perkecualian sekaligus meningkatkan performansi
12-CRS-0106 REVISED 8 FEB 2013
– Pemilik kontrol ikut bertanggung jawab mengawasi kontrol
12
8/29/2014
CSA Advantages and Disadvantages Advantages: – Resiko dapat dideteksi lebih awal
– Perbaikan kontrol internal – Meningkatkan kesadaran pekerja tentang kontrol
Disadvantages: – Bisa disalahartikan sebagai pengganti internal audit – Jika keterlibatan pekerja kurang, perbaikan proses tidak optimal
12-CRS-0106 REVISED 8 FEB 2013
– Dapat dianggap sebagai pekerjaan tambahan
Tugas Besar Tiap kelompok max @6 orang Topik: … Tahap 1: Proposal – Lokasi yang dianalisis/ diaudit – Gambaran umum sistem perijinan di lokasi tsb – Apakah sudah pernah diaudit? Jika sudah, dengan standar apa? – Surat ijin penelitian/ pengumpulan data
12-CRS-0106 REVISED 8 FEB 2013
Kumpulkan dalam bentuk hardcopy pada perkuliahan tanggal …
13
THANK YOU 12-CRS-0106 REVISED 8 FEB 2013
8/29/2014
14
