METODOLOGI AUDIT SI/TI Pertemuan ke 6 Mata Kuliah Tata Kelola dan Audit Sistem Informasi
Diema Hernyka S, M.Kom
Metodologi SI/TI Outline : Tahapan/metodologi Audit SI/TI Metode Audit Teknik Audit Metodologi Audit berdasarkan framework COBIT Teknik Bertanya dalam Audit
“Tahapan Audit SI/TI” 1.
Tahapan Perencanaan a. b.
2.
Tahap Pengumpulan Bukti a. b. c.
3. 4.
Sosialisasi Tujuan Audit TI (ke institusi terkait); waktu, jumlah tim Guideline; daftar pengecekan berdasarkan framework yang dipilih Melalui berbagai teknik termasuk survei, interview, observasi dan review dokumentasi(termasuk source-code) Data dalam bentuk file softcopy Menggunakan CAAT (Computer Aided Auditing Technique) untuk menganalisa data
Tahap Pendokumentasian Bukti Tahap Pembuatan Laporan Audit
“Metode Audit SI/TI” Gabungan dari berbagai macam ilmu: Traditional Audit Manajemen Sistem Informasi Sistem Informasi Akuntansi Ilmu Komputer Behavioral Science Biasanya menggunakan Computer-Assisted Audit Tools (CAATs) atau Computer-Assisted Audit Tools and Techniques (CAATTs). CAATTs memungkinkan auditor untuk melakukan audit through the database dan komputer
“Teknik Audit SI/TI” Laksanakan audit sesuai sesuai rencana. Gunakan daftar pengecekan untuk membantu mengarahkan
alur audit. Temukan fakta dengan mengajukan pertanyaan secara sistematik. Cocokkan temuan-temuan fakta dengan bukti-bukti di dilokasi.
Jadwal Audit Dipersiapkan agar sesuai dengan lingkup setiap audit. Mencakup semua aspek pekerjaan dalam lingkup audit. Frekuensi audit tergantung pada status dan kepentingan
audit. Jadwal harus diinformasikan sebelumnya kepada teraudit.
Pertemuan Pembukaan Dipimpin oleh ketua tim auditor Memperkenalkan tim auditor kepada manajemen teraudit Melakukan kaji ulang tujuan dan lingkup audit Melakukan kaji ulang metode dan prosedur audit Meminta persetujuan jadwal audit Memastikan jalur komunikasi dengan pemandu dari teraudit Mengkonfirmasi ketersediaan sumber daya dan fasilitas Mengkonfirmasi kerahasiaan Mengkonfirmasi pertemuan penutupan Mengklasifikasi setiap masalah yang mungkin timbul
Teknik Audit Dasar Analisis dengan cara wawancara, diskusi, atau konsultasi
dengan para penanggung jawab. Observasi, dengan cara : Melakukan kaji ulang dokumen, file dan catatan – catatan Mengamati pekerjaan yang sedang berlangsung Menguji masukan, proses, dan keluaran pekerjaan Menguji sumber daya dan fasilitas
Permintaan informasi dengan cara investigasi, sekaligus untuk
melakukan verifikasi
Kegunaan Daftar Pengecekan Kegiatan Audit Membantu perencanaan audit Memastikan kelancaran audit Memudahkan untuk diacu saat penyusunan laporan audit
Hal – hal yang di cek auditor Otoritas dan tanggung jawab Buku panduan dan cara pengendalian kegiatan Pengetahuan dan pemahaman teraudit
Orang, piranti, sumber daya dan fasilitas Efisiensi, dan efektivitas operasi Tindakan koreksi
Pertemuan pra penutupan Dipimpin oleh ketua tim auditor Mengaitkan temuan-temuan (yakinkan segala sesuatunya telah
benar) Mengevaluasi dan melakukan kaji ulang hasil audit Menentukan tindakan yang akan dilakukan Mengelompokkan temuan-temuan Memastikan laporan telah dipersiapkan dengan benar Menyusun draf laporan akhir
Pertemuan penutupan Dipimpin oleh ketua tim auditor Ucapkan terima kasih kepada anggota Perkenalkan ulang tim audit Berikan penjelasan singkat tentang audit yang dilakukan Presentasikan ketidaksesuaian Berikan ringkasan menyeluruh dan kesimpulan Menyetujui tanggal tindakan perbaikan Menjelaskan tindakan selanjutnya Mengulang pemeriksaan untuk sebagian yang tidak disetujui oleh teraudit Menyerahkan salinan laporan ketidaksesuaian Mencatat persetujuan yang dicapai.
Daftar Pengecekan Tujuan : Mengkomunikasikan dan menjaga agar audit tetap dalam lingkup audit Menyediakan pendekatan terstruktur Mamandu auditor Mengumpulkan dan menyusun catatan-catatan selama audit Membantu penyiapan laporan akhir
Keunggulan daftar pengecekan Lebih siap Penghematan waktu Sistematis
Memorisasi Memberi gambaran sistem mutu secara menyeluruh
Dalam membuat daftar pengecekan menggunakan framework/best practise Audit SI/TI
“Metodologi Audit SI/TI berdasarkan framework COBIT”
1. Penentuan Scope objectives 1. 2. 3. 4.
5.
Memahami visi, misi, dan tujuan bisnis domain Pemetaan BG – ITG – ITP Penentuan prioritas ITP Mendapatkan ITP final yang akan diaudit Mengidentifikasi proses IT yang akan diaudit Penentuan proses IT yang akan diaudit mempertimbangkan Proses TI dengan tingkat kepentingan tinggi sebagai area yang akan diaudit. Kelompok pertama: mengambil sekelompok domain yang sesuai dengan
kepentingan, misalkan domain DS. Kelompok kedua: memilih IT proses yang terkait dengan tujuan bisnis organisasi. Dilakukan dengan cara melakukan mapping dari Business Goal ke IT Goal kemudian ke IT Process.
2. Persiapan Audit 1. Penentuan RACI Chart RACI
(Responsible, Accountable, Consulted, Informed) Untuk menentukan list person yang akan diobservasi, diberi kuisioner, atau diwawancara 2. Membuat maturity level tool dan control objective tool 3. Membuat tools untuk wawancara
3. Pelaksanaan Audit 1. Wawancara 2. Observasi 3. Mengumpulkan eviden
Foto kondisi eksisting Dokumen yang dimiliki
4. Mendokumentasikan temuan
5. Menyusun Laporan awal
4. Analisis dan Penilaian 1. 2. 3.
Konversi nilai hasil wawancara dan temuan Analisis hasil wawancara dan temuan Penyusunan rekomendasi
5. Menyusun Laporan Audit 1. 2. 3.
Pembuatan draft Laporan Akhir Sosialisasi dan revisi Laporan Akhir Penyerahan Laporan Akhir
Hasil Audit SI/TI Laporan audit SI/TI yang berisi: Ruang lingkup dan tujuan audit SI/TI Kondisi eksisting sistem informasi Metodologi / langkah-langkah yang dilakukan Bukti (evidence) audit SI/TI yang dikumpulkan Temuan audit dan tingkat kedewasaan proses TI Kesimpulan hasil temuan Rekomendasi untuk perbaikan berkelanjutan
“Teknik Bertanya Dalam Audit”
Pertanyaan Harus memenuhi kebutuhan informasi Tidak mengarahkan pada suatu jawaban tertentu Tidak ada bias dari auditor
Tipe Pertanyaan Terbuka : Jelaskan...? Bagaimana mengerjakan...? Jangan biarkan teraudit menjelaskan terlalu panjang
Tertutup : Benar atau salah ? Ya atau tidak ?
Penjelasan : Lebih dirinci untuk sesuatu yang penting Pertanyaan tidak dilanjut Harus diakhir dengan “tunjukkan (catatan atau bukti)”
Kebaikan atau pertanyaan
keburukan
Tipe tertutup : Kebaikan : cepat, mudah Keburukan : teraudit harus memutuskan apakah harus
menjawab “ya” atau “tidak” (tidak ada penjelasan) Tipe terbuka dan penjelasan : Kebaikan : mengetaui jawaban secara rinci Keburukan : menghabiskan banyak waktu dan biaya
tipe
Cara berkomunikasi dengan teraudit Auditor jangan terlalu banyak bicara Jangan takut diam dan hanya mendengarkan teraudit Gunakan pertanyaan terbuka
Merespon jawaban teraudit pada waktu yang tepat Gunakan beberapa cara/media
Penyebab kegagalan berkomunikasi Hanya mendengarkan bagian tertentu Tanpa mengklasifikasi persoalan dalam pembahasan/diskusi Merespon terlalu cepat
Merespon dengan emosi Menulis berkepanjangan Menghindar dari persoalan yang selalu sulit
Membiarkan teraudit berbicara terus Suara bising dan gaduh dari disekitarnya
Selesai “Terima Kasih” “Sampai jumpa di pertemuan selanjutnya“