Melakukan Audit Teknologi Informasi
Empower Your Auditor
Topik Melakukan Audit TI Perencanaan Audit TI o Pemahaman, Dokumentasi, Penilaian Resiko o Penyusunan Rencana Audit
Pelaksanaan Audit TI o Pengujian Pengendalian & Terinci o Kertas Kerja Audit
Pelaporan Audit TI o Pengevaluasian Bukti Audit o Temuan & Kesimpulan o Laporan Audit 2
Perencanaan Audit TI Pemahaman Bisnis Informasi Bisnis o Produk dan Jasa (termasuk tren industri & pangsa pasar) o Indikator Finansial (Pendapatan, Biaya, Laba, Aktiva) o Indikator Organisasi (Struktur, Jumlah, Lokasi, Afiliasi)
Dokumentasi Pemahaman Bisnis o Profil perusahaan (naratif) o Proses bisnis (naratif & visual)
Penilaian Resiko Bisnis o Resiko bawaan bisnis (Business Inherent Risk) 3
Perencanaan Audit TI Pemahaman TI Informasi TI o Lingkungan TI (sistem aplikasi, infrastruktur, komunikasi) o Pengendalian TI (organisasi, perencanaan, pengembangan, operasional & pemeliharaan, evaluasi)
Dokumentasi Pemahaman TI o Diagram Sistem Aplikasi (Data/Application Flow Diagram) o Diagram Infrastruktur & Jaringan (Network Diagram) o Proses Pengendalian TI (Process Flowchart)
Penilaian Resiko TI o Resiko Umum TI (IT Inherent Risk) o Resiko Pengendalian TI (IT Control Riks) 4
Perencanaan Audit TI Penyusunan Rencana Audit Program Audit o Tujuan Audit o Lingkup Audit o Prosedur Audit
Penjadwalan o Waktu pelaksanaan o Lingkup waktu pengujian
Pengalokasian o Jumlah auditor o Keahlian auditor 5
Perencanaan Audit TI Penyusunan Rencana Audit Alat Bantu Audit o Alat bantu komputasi o Alat bantu dokumentasi
Organisasi Tim o o o o
Pemimpin Tim Pengawas Mutu Anggota Tim Tenaga Ahli
6
Pelaksaan Audit TI Pengujian Pengendalian & Pengujian Terinci Pengujian atas Perencanaan TI o Reviu prosedur perencanaan dan kelengkapan rencana TI o Reviu kegiatan yang tidak direncanakan atau tidak sesuai rencana
Pengujian atas Organisasi TI o Reviu kelayakan struktur organisasi dan pemisahan fungsi o Reviu adanya perangkapan fungsi dan pelaksanaan tugas yang tidak sesuai
7
Pelaksaan Audit TI Pengujian Pengendalian & Pengujian Terinci Pengujian atas Pengadaan TI o Reviu kebijakan dan prosedur pengadaan TI o Reviu aktifitas pengadaan yang tidak sesuai dengan prosedur
Pengujian atas Pengembangan & Pemeliharaan TI o o o o
Reviu kebijakan dan prosedur pengembangan TI Reviu pengembangan yang tidak sesuai prosedur Reviu aktifitas pemeliharaan yang tidak sesuai prosedur Reviu aktifitas pengembangan yang gagal atau tidak sesuai kebutuhan/permintaan
8
Pelaksaan Audit TI Pengujian Pengendalian & Pengujian Terinci Pengujian atas Operasional TI o Reviu kebijakan dan prosedur operasional TI o Reviu aktifitas operasional yang tidak sesuai dengan prosedur
Pengujian atas Keamanan TI o Reviu kebijakan dan prosedur keamanan fisik, lingkungan dan logik serta kontinuitas layanan TI o Uji keamanan fisik, lingkungan dan logik serta kontinuitas layanan TI
9
Pelaksaan Audit TI Pengujian Pengendalian & Pengujian Terinci Pengujian atas Aplikasi o Tentukan aplikasi yang diuji berdasarkan analisis resiko dan prioritas dari sudut pandang bisnis o Tentukan metode dan skenario pengujian aplikasi sesuai dengan kondisi yang ada o Reviu dan uji kelayakan pengendalian akses logik (batasan) o Reviu dan uji pengendalian input, proses, output secara simultan dan satu kesatuan o Reviu kelayakan pengendalian komunikasi o Lakukan analisis database sebagai bagian dari pengujian pengendalian input, proses dan output.
10
Pelaksaan Audit TI Kertas Kerja Audit Syarat-syarat Kertas Kerja o Auditor harus mendokumentasikan seluruh kegiatan auditnya, termasuk tujuan, prosedur dan hasil dari setiap aktifitas audit. o Dokumentasi tersebut harus dapat ditelusuri kembali, khususnya siapa yang melaksanakan, siapa yang mereview, bukti-bukti apa yang ada dan kesimpulan apa yang diambil.
Manfaat Kertas Kerja o Sebagai dokumentasi pelaksanaan audit o Sebagai pendukung temuan dan kesimpulan audit o Sebagai media peer-review 11
Pelaksaan Audit TI Kertas Kerja Audit Bentuk
o Hardcopy ¾ Dokumen formal (surat-surat) ¾ Dokumen legal (bukti keuangan & bukti hukum) ¾ Dokumen dari pihak ketiga
o Softcopy ¾ Data dari klien atau pihak ketiga ¾ Data hasil analisis auditor ¾ Dokumentasi audio visual 12
Pelaporan Audit Pengevaluasian Bukti Audit Kriteria Evaluasi o o o o
Pengamanan Aset Integritas Data Efektifitas Efisiensi
Dasar Evaluasi o o o o
Bukti-bukti yang diperoleh dari hasil audit Perbandingan dengan lembaga sejenis (benchmarking) Perbandingan dengan best practices Penilaian residual risk berdasarkan efektifitas pengendalian 13
Pelaporan Audit Temuan & Kesimpulan Audit Temuan Audit o o o o o o
Kondisi – Hasil pengujian auditor Kriteria – Praktik atau hasil yang seharusnya Sebab – Masalah yang menjadi penyebab adanya kondisi Akibat – Masalah yang telah/mungkin terjadi karena kondisi Rekomendasi – Tindakan yang dapat menghilangkan sebab Tanggapan – Komentar klien atas keseluruhan temuan
Kesimpulan Audit o Sesuai dengan tujuan audit dan disusun berdasarkan temuan audit serta dibuktikan dengan kertas kerja audit 14
Pelaporan Audit Laporan Audit Isi Laporan o o o o
Lingkup audit, tujuan audit, periode audit Sifat, waktu dan cakupan pelaksanaan pengujian Temuan, kesimpulan dan rekomendasi audit Penjelasan tambahan jika terjadi pengecualian atau adanya halhal yang tidak sesuai dengan standar audit
Penyampaian o Harus jelas ditujukan kepada siapa serta sifat kerahasiaannya o Diberi nomor, tanggal, dan tanda tangan serta didistribusikan sesuai dengan audit charter 15
Pelaporan Audit Laporan Audit Hal-hal yang perlu diperhatikan o o o o o
Seluruh permasalahan valid dan telah dikonfirmasi Gunakan bahasa yang tidak teknikal dan mudah dimengerti Tidak membesar-besarkan atau meremehkan kondisi yang ada Hati-hati dalam mencantumkan informasi sensitif dan rahasia Sesuaikan keringkasan atau kejelasan pembahasan dengan pembaca laporan o Upayakan untuk membahas seluruh permasalahan dari sudut pandang klien, bukan sudut pandang auditor o Laporan tertulis akan lebih baik jika disertai dengan presentasi visual dan pembahasan lisan o Pantau pelaksanaan tindak lanjut atas rekomendasi secara periodik dan terstruktur 16
Melakukan Audit TI
DISKUSI
17
Terima kasih
Empower Your Auditor