Agenda
1. Fungsi AUDIT
2. Introduction to IS audit process
3. Risk analysis
4. Internal controls
5. Performing an IS audit
6. Control self-assessment
26/01/2024 05.34
2
Fungsi Audit
0 Untuk memastikan apakah sistem informasi telah
dirancang dan diterapkan sesuai dengan prosedur dan
standar yang telah ditetapkan
0 (Ron Weber)
1.
2.
3.
4.
Mengamankan asset
Menjaga integritas data
Menjaga efektivitas system
Mencapai efisiensi sumberdaya.
26/01/2024 05.34
3
Standar Profesi auditor & Prosedur
Operasional
0 Standar Profesi
0 Knowledge, skill dan professional attitude yang harus
dimiliki untuk dapat melakukan kegiatan profesinya
0 Prosedur Operasional
0 Instruksi yang dibakukan untuk menyelesaikan suatu
prosedur kerja rutin tertentu
26/01/2024 05.34
4
Organisasi Akuntan
0 IIA – institue of Internal Auditors
0 AAA – American Accounting Association
0 ISACA – Information System Audit and Control
Association
0 Satu-satunya asosasi bagi profesi audit sistem informasi.
0 Mengeluarkan sertifikasi CISA
26/01/2024 05.34
5
Siapa yang melakukan Audit
0 Kegiatan general audit/financial statements dilakukan
oleh akuntan
0 Dengan berkembangnya teknologi informasi, maka
auditor harus memiliki kemampuan di bidang tersebut
0 Hal ini diakomodasi oleh bidang sistem informasi dan
komputer akuntansi
0 Diharapkan kedua jurusan tadi memiliki kompetensi di
bidang teknologi informasi dan akuntansi
0 Technical Skill/hard skill & soft skill
26/01/2024 05.34
6
Audit Sistem Informasi
0 Meliputi:
0 Tata kelola teknologi informasi secara
menyeluruh
0 Audit dari pengembangan sistem informasi
(SDLC) satu jenis aplikasi tertentu
0 Sebagai audit tersendiri – perlu dilakukan untuk
memeriksa tingkat kematangan atau kesiapan
suatu organisasi dalam melakukan pengelolaan
teknologi informasi
0 Level of maturity dapat dilihat dari awareness dari para
stake holder
0 Karenanya sebuah penerapan TI harus melalui
tahapan perencanaan yang baik.
26/01/2024 05.34
7
Audit Sistem Informasi
0 Karena yang diaudit ialah tata kelola TI, maka yang
diperiksa adalah SI/TI
0 Audit SI/TI tidak bersifat wajib
0 Adanya aktifitas TI merupakan bentuk kesadaran dari
pihak manajemen
26/01/2024 05.34
8
Kebutuhan Audit Sistem
Informasi
0 General Financial Audit
0 Audit objective sesuai dengan standar akuntansi
keuangan
0 Referensi model adalah COSO (committee of sponsoring
Organization)
0 IT Governance
0 Audit operasional terhadap manajemen pengelolaan
sumberdaya informasi
0 Aspek-aspek:efektifitas, efesiensi, data integrity, save
guarding asset, reliability, confidentiallity, availability,
security.
26/01/2024 05.34
9
Audit Sistem Informasi – IT
Governance
0 Selain dapat dilakukan untuk sistem secara
menyeluruh, dapat juga dilakukan terhadap:
0 General information review
0 Audit terhadap sistem informasi
0 Quality Assurance
0 Auditor (bukan anggota tim pengembang), membantu
meningkatkan kualitas dari sistem. Auditor mewakili pimpinan
proyek.
0 Postimplementation Audit
0 Apakah sistem perlu dimutakhirkan atau diperbaiki atau
dihentikan.
0 Istilah audit arround dan audit through the computer tidak
berlaku lagi pada audit jenis ini
26/01/2024 05.34
10
Audit Sistem Informasi - Faktor
0 Mendeteksi apakah komputer dikelola secara kurang
terarah
0 Tidak ada visi, misi, perencanaan teknologi informasi,
tidak ada pelatihan
0 Mendeteksi resiko kehilangan data
0 Mendeteksi resiko informasi yang tidak akurat,
berdasarkan data yang salah.
0 Menjaga aset
0 Mendeteksi error computer
0 Mendeteksi resiko penyalahgunaan komputer
0 Menjaga kerahasiaan
0 Meningkatkan pengendalian evolusi penggunaan
komputer/perkembangan ke depan
26/01/2024 05.34
11
Pengelolaan TI – Level of Maturity
26/01/2024 05.34
Sumber : CMMI/ Capability Maturity Model Integration
12
Pengelolaan TI – Level of Maturity
Non Existence
0 Tahap awal, komputerisasi dilakukan secara alamiah, tidak
ada metodologi
2. Initial
0 Ada kegiatan penyusunan sistem yang terarah, masih bersifat
ad hoc
3. Repeatable
0 Sudah menemukan pola pengembangan yang terarah,
berjalan dengan pola yang sama.
4. Defined
0 Seluruh proses telah didokumentasikan dan telah
dikomunikasikan dan dilaksanakan berdasarkan suatu
metoda tertentu
5. Managed
0 Proses komputerisasi telah dapat diukur dan dimonitor.
6. Optimized
0 Best Practices
telah diikuti dan diotomatisasi pada sistem.
26/01/2024
05.34
1.
Sumber : CMMI/ Capability Maturity Model Integration
13
Process Capability Model-COBIT 5
26/01/2024 05.34
14
Process Capability Model-COBIT 5
26/01/2024 05.34
15
Audit SI – Ukuran Nilai
0 Strategic Alignment
0 Apakah penerapan TI sudah sesuai dengan yang diaharapkan,
apakah sudah sesuai kebutuhan
0 Value Delivery
0 Komputerisasi bukan hanya untuk memenuhi kebutuhan tapi
juga sudah dimaksudkan untuk memberikan nilai tambah, ex:
penghematan biaya, meningkatkan kinerja.
0 Risk Management
0 Sudah ada penaksiran resiko, ada jaminan kelangsungan
operasi.
0 Resources Management
0 Pengelolaan sumber daya, termasuk pengembangan
pengetahuan sudah dilakukan secara efesien
26/01/2024 05.34
16
Standar Audit SI
0 Standar Atestasi dan standar pemeriksaan akuntan
(IAI)
0 ISACA – standards, guidelines, and procedures
0 Secara teknis mengacu kepada guidelines dan prosedur
yang diatur dalam CObIT:
0 CObIT executive summary, CObIT framework, CObIT
Control Objectives, CObIT Control Practice, CObIT
Management Guidelines, CObIT Security Baseline
0 Lainnya
26/01/2024 05.34
17
2. Audit proses
26/01/2024 05.34
18
1. Introduction
0 Proses audit: serangkaian kegiatan audit untuk
memastikan bahwa organisasi telah melakukan
langkah-langkah yang diperlukan untuk menghadapi
perubahan regulasi dan kondisi pasar.
26/01/2024 05.34
19
Audit Stages
26/01/2024 05.34
20
Audit Objectives
0 Sasaran audit:
0 berasal dari eksekutif, regulasi, atau standar industri
0 tergantung pada task departemen, topik, atau langkah
tertentu dalam aliran proses bisnis
0 Harus dapat:
0 memberikan jaminan kepada manajemen tentang
ketercapaian kontrol
0 menunjukkan kelemahan kontrol dan dampak resikonya
0 memberikan saran aksi korektif bagi manajemen
26/01/2024 05.34
21
Audit Charter
0 Peran dan fungsi audit Si harus disepakati di audit
charter.
0 Audit SI dapat menjadi bagian dari audit internal, maka
audit charter dapat mencakup fungsi audit lainnya.
0 Audit charter harus menyatakan dengan jelas tanggung
jawab manajemen, serta tujuan dan pendelegasian
wewenang kepada fungsi audit SI. Dokumen ini
menjelaskan ruang lingkup kewenangan dan
tanggung jawab keseluruhan fungsi audit.
26/01/2024 05.34
22
Audit Planning
0 Rencana audit meliputi:
0 Tujuan Audit :menjelaskan tujuan dilakukannya audit
0 Lingkup audit: proses apa saja yang akan diaudit
+lokasi, ukuran, aktivitas, waktu, proses
0 Kriteria audit: berdasarkan kebijakan/ prosedur/
kebutuhan
0 Tim audit
0 Internal audit (pihak pertama)
0 Eksternal audit (pihak kedua)  customer/ vendor/ else
0 Independent eksternal audit (pihak ketiga)
0 Integrated/ combined audit (2 fungsi atau lebih sekaligus)
0 Joint audit (2 organisasi auditor atau lebih sekaligus)
0 Teknik Pengumpulan bukti audit :
0 Sampling, wawancara, questioner, dll.
26/01/2024 05.34
23
3. Risk Analysis
0 Resiko: ancaman yang berpotensi menimbulkan
kerentanan aset dan menyebabkan kerugian/
kerusakan aset.
0 Elemen resiko:
0 Ancaman dan kerentanan dari proses/ aset (termasuk
aset fisik dan informasi)
0 Dampak ancaman dan kerentanan terhadap aset
0 Probabilitas ancaman (kombinasi kemungkinan dan
frekuensi kejadian)
26/01/2024 05.34
24
Risk Analysis Purposes
0 Membantu auditor mengidentifikasi resiko dan
ancaman di lingkungan SI/TI yang perlu diatasi
dengan kontrol manajemen dan sistem
internal spesifik
0 Membantu auditor dalam menentukan tujuan
audit
0 Mengambil keputusan pendukung audit berbasis
resiko
26/01/2024 05.34
25
26/01/2024 05.34
26
4. Internal Controls
0 Kendali internal: kebijakan, prosedur,
mekanisme, sistem, dan ukuran lain yang
memastikan bahwa proses-proses dalam perusahaan
berfungsi dengan baik serta menekan resiko
0 Pengelompokan kendali internal:
Tipe
• Fisik
• Teknis
• Administratif
26/01/2024 05.34
Kelas
• Preventive
• Detective
• Corrective
Kategori
• Otomatis
• Manual
27
Internal Control Objectives
0 Pernyataan kondisi atau keluaran yang
diinginkan dari operasional bisnis.
0 Contoh:
0 Perlindungan aset TI
0 Akurasi transaksi
0 Kerahasiaan dan privasi
0 Perubahan sistem TI yang terkendali
0 Kesesuaian dengan kebijakan perusahaan
26/01/2024 05.34
28
5. Performing IS Audit
0 Tipe-tipe audit:
0
0
0
0
0
0
0
0
0
Operational audit
Financial audit
Integrated audit (operational + financial)
IS audit
Administrative audit
Compliance audit
Forensic audit
Service provider audit
Pre-audit
0 Tiap tipe audit tersebut memiliki prosedur yang sesuai.
26/01/2024 05.34
29
Audit Procedures
0 Mencakup:
0 Daftar orang yang akan diwawancara
0 Pertanyaan wawancara
0 Dokumentasi (kebijakan, prosedur, dll) yang akan
diminta saat wawancara
0 Perangkat audit yang digunakan
0 Tingkat sampling dan metodologi yang dipakai
0 Bagaimana dan dimana pengarsipan bukti
0 Bagaimana evaluasi bukti
26/01/2024 05.34
30
Audit Evidence
0 Evidence: informasi yang dikumpulkan oleh auditor
selama audit untuk menarik kesimpulan tentang
efektivitas kontrol dan sasaran kontrol.
0 Berupa:
0 Hasil observasi
0 Catatan tertulis
0 Korespondensi
0 Proses internal dan dokumentasi prosedur
0 Rekaman bisnis
26/01/2024 05.34
31
Report Preparation
0 Auditor perlu merencanakan format dan
mekanisme pelaporan hasil audit.
0 Sesuai dengan laporan standar audit, misal ISACA IS
audit standards
0 Jika perlu internal review, identifikasi pihak-pihak
yang akan melakukan review dan pastikan
komitmen mereka terhadap review laporan audit
26/01/2024 05.34
32
Example of Report Structure
0 Cover letter
0 Introduction
0 Summary
0 Description of the audit
0 Listing of interviewees
0 Explanation of sampling techniques
0 Description of findings and recommendations
26/01/2024 05.34
33
Reporting
0 Aktivitas yang dilakukan:
0 Sampaikan laporan kepada auditee
0 Jadwalkan closing meeting
0 Untuk audit internal, kirimkan tagihan ke auditee
0 Kumpulkan dan arsipkan seluruh dokumen dan berkas
0 Update dokumen untuk kebutuhan audit lanjutan
0 Kumpulkan feedback dari auditee
26/01/2024 05.34
34
Post-audit Follow-up
0 Setelah waktu tertentu (beberapa hari/ bulan), auditor
perlu menghubungi auditee untuk mengetahui progress
yang telah dicapai oleh auditee.
0 Perlu dilakukan:
0 Sebagai bentuk perhatian untuk mengetahui keseriusan
auditee dalam menindaklanjuti hasil audit.
0 Untuk membantu auditee dalam menindaklanjuti hasil audit,
jika diperlukan.
0 Agar auditor bisa lebih memahami komitmen manajemen.
0 Bagi auditor eksternal, dapat meningkatkan citra dan prospek
kerjasama bisnis lanjutan.
26/01/2024 05.34
35
6. Control Self-Assessment (CSA)
0 CSA adalah metodologi yang digunakan organisasi
untuk meninjau tujuan bisnis utama, resiko yang
terlibat dalam mencapai tujuan bisnis dan kontrol
internal untuk mengelola resiko bisnis dalam
proses formal dan kolaboratif yang didokumentasikan
0 Sasaran:
0 Pemilik kontrol ikut bertanggung jawab mengawasi
kontrol
0 Mengurangi perkecualian sekaligus meningkatkan
performansi
26/01/2024 05.34
36
CSA Advantages and Disadvantages
0 Advantages:
0 Resiko dapat dideteksi lebih awal
0 Perbaikan kontrol internal
0 Meningkatkan kesadaran pekerja tentang kontrol
0 Disadvantages:
0 Bisa disalahartikan sebagai pengganti internal audit
0 Dapat dianggap sebagai pekerjaan tambahan
0 Jika keterlibatan pekerja kurang, perbaikan proses tidak
optimal
26/01/2024 05.34
37
26/01/2024 05.34
38
Thank You
- RNA-
26/01/2024 05.34
39