UNIVERSITAS PEMBANGUNAN JAYA Integrity • Professionalism • Entrepreneurship
DASAR-DASAR AUDIT SI Pertemuan - 02 PROSES AUDIT DAN PERANNYA DALAM LINGKUNGAN TEKNOLOGI INFORMASI: “Audit and Review : Its Role In Information Technology” oleh : Denny Ganjar Purnama, MTI 2016/2017
OBYEKTIF • Memahami Tata Kelola IT • Mengetahui tujuan dan fungsi IT Audit • Mengetahui penilaian risiko : tiga metodologi • IT Auditor : keterampilan, standar dan sumber daya • Memahami peran dan tanggung jawab manajemen dalam IT Audit
PENDAHULUAN • Fungsi audit teknologi informasi dianggap sebagai bagian dari lingkungan bisnis. • Perpaduan yang unik dari beberapa keahlian / keterampilan dapat membantu untuk menilai eksposur perusahaan dan untuk mengembangkan kontrol yang terkait dengan penggunaan teknologi.
TATA KELOLA TI •
Tata Kelola Perusahaan • Serangkaian proses, kebiasaan, kebijakan, hukum dan lembaga - lembaga yang mempengaruhi cara perusahaan mengarahkan atau mengendalikan bisnisnya. • Menetapkan tujuan • Menentukan hubungan antara para pemangku kepentingan kunci • Memastikan akuntabilitas individu
•
Tata Kelola TI • Sebuah disiplin subset dari tata kelola perusahaan • Berfokus pada sistem informasi
TATA KELOLA TI • Tata Kelola TI • Proses memimpin dan mengendalikan IT suatu perusahaan • Tata Kelola TI perlu memastikan : • Hubungan strategis antara TI dan tujuan perusahaan • Maksimalisasi investasi TI • Bagaimana mengukur kinerja TI • Manajemen yang efektif dari risiko yang berkaitan dengan TI
ALASAN DIPERLUKANNNYA FUNGSI IT AUDIT • Karena meningkatnya ketergantungan dan investasi dalam bidang TI • Meningkatnya dampak organisasi yang disebabkan oleh TI, baik dampak secara positif maupun negatif • Tidak memuaskannya ketergantungan antara data dan keamanan • Kemajuan pesat yang terjadi dalam teknologi
KEPENTINGAN AUDIT • Fokus pada kontrol sistem • Melihat lingkungan sistem secara total • Tujuan: apa yang kita capai • Konteks: sektor industri, struktur organisasi, hubungan bisnis • Memastikan ketentuan yang dibuat untuk : • Jalur transaksi dari awal sampai akhir • Pengecualian penanganan • Pengujian kontrol • Otorisasi atas perubahan sistem • Pelatihan personil pengguna • Keamanan yang memadai untuk melindungi data • Backup dan pemulihan prosedur
RISK ASSESSMENT : THREE METHODOLOGIES • Castellans: menggunakan "benteng" untuk sistem yang aman secara fisik • Misalnya : ruang terisolasi • Guardians: menggunakan penegakan hukum dan peraturan administratif untuk mencegah kejahatan komputer • Gatekeeper: membatasi akses • Misalnya : password, enkripsi, biometrik
IT AUDITOR – Job Outlook • Tingkat pertumbuhan untuk akuntan dan auditor (www.bls.gov) : 18% antara tahun 2006 dan 2016 • IT auditor: • Salah satu karir yang paling cepat berkembang o 11.2% meningkat pada tahun 2006 o Rata-rata pertumbuhan posisi teknologi 3% pada tahun 2006 o Kisaran gaji $ 67.000 - $ 94.250, meningkat 11% dari tahun 2005
IT AUDITOR – Pengetahuan, Keterampilan dan Kemampuan • Memahami filosofi kontrol secara keseluruhan • Keterampilan teknis o Memahami sistem manajemen informasi o Kemampuan untuk berkomunikasi informasi teknis • Pengalaman dengan industri tertentu dan / atau bisnis yang spesifik • Keterampilan komunikasi yang memungkinkan auditor untuk menjembatani kesenjangan antara profesional TI dan manajemen bisnis
IT AUDITOR INDEPENDENCE • Perlu menghargai dan mengakui integritas proses audit • Laporan audit dan opini harus bebas dari bias atau pengaruh • Sarbanes-Oxley o Rotasi auditor o Pembatasan Lingkup dari Layanan
STANDAR ETIKA IT AUDITOR • Untuk menjadi auditor, seseorang harus memiliki standar etika yang tinggi • Auditor adalah individu yang layak dipercaya • Beberapa hal mungkin tidak etis tapi masih legal • Contoh tipe dari kode etik : Menginformasikan kepada setiap organisasi, owner atau klien dari setiap hubungan bisnis, kepentingan atau afiliasi yang dapat mempengaruhi penilaian saya atau merusak karakter jasa IT Auditor Akan menghormati pendapat rekan-rekan saya dan memastikan bahwa kejujuran dan keterbukaan akan ditunjukkan dalam tim audit
LATIHAN KELAS Bob baru saja ditugaskan untuk bekerja sebagai IT Auditor eksternal pada perusahaan XYZ. Istrinya juga baru saja mendapat pekerjaan sebagai IT Junior Manager di XYZ satu bulan yang lalu. Q: Apa yang harus Bob lakukan?
IT AUDITOR RESOURCES o o o o o
Pengalaman Rekan (profesional TI dan auditor lainnya) Publikasi dan majalah di IT dan / atau audit Seminar Pelatihan-pelatihan
PERAN DARI IT AUDITOR • IT Auditor sebagai Penasihat / Counselor o Berperan aktif dalam pengembangan kebijakan auditabiliti, kontrol, pengujian, dan standar kerja o Mendidik pengguna dan personil TI tentang pentingnya pemenuhan persyaratan kontrol • IT Auditor sebagai Partner Manajemen Senior o Memberikan penilaian independen dari pengaruh keputusan TI pada bisnis o Memverifikasi bahwa semua alternatif telah dipertimbangkan, berbagai resiko sudah dinilai, solusi-solusi yang benar secara teknis, kebutuhan bisnis terpuaskan, dan biaya yang wajar
PERAN DARI IT AUDITOR • IT Auditor sebagai Penyelidik / Investigator o Dapat bekerja di bidang komputer forensik atau bekerja berdampingan dengan spesialis komputer forensik
INTERNAL VS EKSTERNAL AUDITOR • IT Auditor Internal : o Memberikan jaminan kepada manajemen bahwa kebijakan dan prosedur telah diimplementasikan dan bekerja sebagaimana diharapkan Monitoring dan reliabilitas sistem uji • IT Auditor Eksternal : o Mengevaluasi keandalan dan validitas kontrol sistem komputer, yang Meminimalkan pengujian transaksi yang diperlukan untuk membuat pendapat atas laporan keuangan o Berurusan dengan sistem manual maupun otomatis
Sertifikasi dan Asosiasi Profesional • Certified Internal Auditor (CIA), by the Institute of Internal Auditors • Information Systems Auditor and Control Association (ISACA) o Certified information systems auditor (CISA) o Certified information security manager (CISM) o ISACA Charlotte Chapter • International Information Systems Security Certification Consortium (commonly known as (ISC)²). o Certified Information Systems Security Professional (CISSP)
Kolaborasi antara IT Auditor dan IT Manager Apakah sikap ini benar ? • Manager: “Arguing with an Auditor is like mud wrestling with a pig! After a time you realize that the pig is enjoying himself.” • Manager: “Are we the evils ourselves or dealing with evils.”
Bagaimana IT Manager mendukung fungsi IT Audit • Mendukung dan berpartisipasi dalam proses perencanaan audit • Mengembangkan dan mempromosikan kesadaran akan risiko dan kontrol • Menyediakan sumber daya untuk menyelesaikan tugas audit • Menjaga auditor agar selalu bekerja sesuai dengan praktek standar mereka
Apa yang IT Manager perlu ketahui tentang Audit • • • • •
Apa tujuan dari audit ? Apa ruang lingkup dan obyektif dari audit ? Siapa yang ditugaskan untuk melakukan audit ? Bagaimana time frame untuk audit ? Apa saja sumber daya TI yang diperlukan ? o Sistem, Staf
Apa yang harus IT Manager harapkan dari Audit ? • Komunikasi yang rutin o Status Audit o Masalah-masalah yang ditemukan • Pertemuan penutupan untuk meninjau proses dan hasil audit (masalah, tindakan, rencana, dll) • Laporan audit final • Tindak lanjut audit dari rencana aksi yang diidentifikasi selama audit
LATIHAN KELAS • Dalam skenario berikut, o Bantuan apa yang bisa IT Auditor berikan ? o Bagaimana bisa manajer TI terlibat ? Skenario: Sebuah sistem baru sedang dikembangkan yang akan memungkinkan pelanggan untuk melihat status account mereka dan mengirimkan order melalui Internet. Teknologi yang digunakan adalah baru untuk perusahaan
UNIVERSITAS PEMBANGUNAN JAYA
Integrity • Professionalism • Entrepreneurship
See You Next Week !!!
THANK YOU
