Introduction to Information System Audit

7/25/2019 Introduction to Information System Audit

1/42

12010 by Umar Alhabsyi, MT, CISA, CRISC. Studium Generale-TI-UII! ISAudit

Audit Sistem Informasi

"leh!

Umar Alhabsyi, MT, CISA, CRISC.

[email protected]

Studium Generale

Yogyakarta, 12 Februari 2011
mailto:[email protected]:[email protected]


2/42


Fata

Sebuah studi dari !artner menun"uanbah#a $%& in'estasi di IT, atau tidaurang dari US( )%% billion, terbuang

*ercuma setia* tahunnya.

+#i$% &uber, ComputerWeekly, March2002)

ara In'estor mau membeli saham $%&lebih mahal untu *erusahaan yang

menera*an *rati-*rati goodgo'ernance *ada *erusahaannya

+McKinsey Investors Opinion Survey,une 2000.


3/42

'2010 by Umar Alhabsyi, MT, CISA, CRISC. Studium Generale-TI-UII! ISAudit

Fata

(a)aimana Anda bisa ya%in *r)anisasi Anda tida%

men)alami +musibah serua ini/

/esulitan 0ie aibat egagalan im*lementasi S12 Su**lyChain mengaibatan erugian seitar US3$%% million.

Matinya sistem *ela*oran 4nansial dari Interstate 5aeriesmenyebaban market valuenya turun 617 hanya dalamsehari.

/egagalan *ada sistem logisti *ada MFI and Sainsburymenyebaban erugian "utaan !5, *enurunan *ro4t dane"atuhan harga saham.

/egagalan o*erasional *erusahaan *asca merger theSouthern aci4c8Union aci4c setelah dilaca ternyatautamanya disebaban oleh egagalan oordinasi darisistem-sistem IT nya.


4/42


Fata

...atau meleat%an manaat-manaatnya/

Transformasi su**ly chain dari South#est Airlinesmeningatan emam*uan *erusahaan untumengestimasi ebutuhan, mengurangi biaya*engadaan dan meningatan ser'ice le'els

sementara biayanya lebih rendah. I5M menghemat US36$ billion selama $ tahun

dengan menghubungan bagian-bagian ter*isahdari sistem su**ly chain nya, "uga mengurangi

tingat *ersediaannya. Sinergi IT yang sangat estensif di !reat-2est 9ife

berdam*a signi4an *ada se"umlah ausisi yangdilauan *erusahaan.


5/42


Changing IT :m*hasis

Ten years ago #e #ere afraidof rocets destroying

com*uting centres..........

..........right no#, #e should

be a#are of soft#are errorsdestroying rocets ;

Fata


6/42


Risio dan 0ilai

Risio dan nilai adalah $ sisi mata uang yang

sama Risio bersifat inheren utnu semua organisasi.

TAI


7/42


IS Audit

IS Audit

5uti

5uti

5uti

5uti

C*lle$t

in)

C*lle$tin)

C*lle$tin)

C

*lle$

tin)

6r*te%si Aset/

Inte)ritas dan7etersediaan (ata

dan Sistem>

In*rmasi yang

rele8an dan handalyang efetif untu

menduung obyetifbisnis dengan

resource yang e4sien7*ntr*l internalyang cuu* ut

memastian obyetif

bisnis, o*erasionaldan ontrol terca*aiMen$e)ah hal-hal

yang tida diinginan,bagaimana

mendete%si danmemerbai%idalam

#atu yang da*at

diterima

98alu

atin)

98alua

tin)

98aluatin)98a

luatin

)

98aluatin

)


8/42

:2010 by Umar Alhabsyi, MT, CISA, CRISC. Studium Generale-TI-UII! ISAudit

5asis dalam IS Audit>

RisRis

C*ntr*l

Tugas seorang IS Auditor adalah men)identi;%asi Risi%* *adaarea dalam cau*an Audit, serta identi;%asi %ebutuhan dane8aluasi eneraan %*ntr*l yang mengelolanya.

IS Audit*r harusmemahami Audit

Sub


9/42

=2010 by Umar Alhabsyi, MT, CISA, CRISC. Studium Generale-TI-UII! ISAudit

Risio dalam roses ISAudit

Inherent Ris% C*ntr*l Ris%

Risio yang meleat *adasesuatu /emunginan

ter"adinya signifcant loss*ada sesuatu tan*amem*ertimbanganadanya *enera*anontrol-ontrol

Risio *ada ontrol /emunginan tida

efetifnya ontrol yangditera*an untumembatasi ataumengelola inherent ris.

ResidualRis% ? IR =

CR

>ete$ti*n Ris%

Risio dimana sebuahesalahan *ada area yang

diaudit tida terdetesioleh Auditor.

IS Audit Ris%

Audit Risk = Risiko yang diakibatkan IS Auditor tidakakurat dalam memberikan judgment terkait area yang

diaudit


10/42

10


Tie 7*ntr*l Internal

/ontrol yang didesain untumen$e)ah ter"adinyaesalahan, elalaian ataue"adian lain yang telahdi%etahui da*at berdam*a

negatif.

6re8enti8e C*ntr*l >ete$ti8e C*ntr*l

/ontrol yang digunaan untumengidenti4asi suatu e"adian,

esalahan atau hal lain yangter"adi dimana telah dietahui

aan berdam*a signi4an

C*rre$ti8e C*ntr*l

/ontrol yang digunaanuntu melauan

*erbaian *ada hal-halyang ber"alan tida benar

atau semestinya

7*ntr*l Internal


11/42

11


5isnis dan /ontrol TI

roses-roses dalamSilus Tata /elola TI

6r*ses-6r*ses dalam Tata 7el*la (isnis

IT?s Res*nsibility(usiness?s Res*nsibility (usiness?s Res*nsibility(usiness

C*ntr*ls

(usiness

C*ntr*ls

IT GeneralC*ntr*ls

Ali$ati*n

C*ntr*ls

/ontrol yang ditera*an *adaseluruh *roses dan ati4tas ITdalam ranga memberian

layanan *ada organisasi

/ontrol yang ditera*an *rosesbisnis, bai yang terotomasi+dengan IT mau*un yang

masih manual.

IT !enconAudit

A**s ControlAudit


12/42

12


roses IS Audit

Mengum*ulan Informasi dan Merencanaan@men)enal bisnis *r)anisasi, Re8ie audit sebelumnya, Re)ulasi

yan) berla%u, Inherent Ris% Assessment

Memahami /ontrol Internal@C*ntr*l en8ir*nment, $*ntr*l r*$edures, dete$ti*n ris% assessment,

C*ntr*l ris% assessment, Men)hitun) t*tal risi%*

Com*liance Test@Indenti;%asi %*ntr*l utama yan) a%an diu


13/42

1'


IS Audit butuhStandard dan Frame#or

Sebagai guidelines dalammelauan *roses Audit

Untu memastian elenga*an

Untu mengambil manfaat daribest *ractices *engelolaan IT didunia

Untu men"adi alat omuniasiantara IT, bisnis dan Auditor

Untu memastian a*asitas danom*etensi Auditor

Untu memastian standard odeeti *elasanaan *roses Audit


14/42

1


Standard IT1IS Audit

ITIS Audit Standard

ISACAadalah standard dan *anduan untu IT1ISauditing dan meru*aan ode eti *rofesional bagiauditor yang berserti4asi CISA.


15/42

13


CobiT-The IT !o'ernanceFrame#or

Meru*aan um*ulan best *ractices yangditerima secara Internasional

5erorientasi mana"emen

Tersedia secara gratis di www.itgi.org

Terus diembangan

(ielola oleh organisasi non ro4t yang

re*utable(i*etaan 6%%& dengan C


16/42

14


CobiT diantara Standard9ain

6E


17/42

15


rocess eli8er D Su*rt, M*nit*r D98aluate

C*nt*h! In$ident Mana)ement, 6r*blemMana)ement, IT Strate)y 6lan, Chan)eMana)ement, dst.

C*nt*h! re$*rd ne r*blem, r**ses*luti*n, analisis, m*nit*r s*luti*n, dst.


18/42

1:


(e4nition of Control

The olicies, rocedures, ractices and


19/42

20


C

9HABUAT9

ACUIR9A#>

IM6B9M9#T

I#"RMATI"#

ITR9S"URC9S

C " ( I T R A M 9 J " R 7

:Gecti'eness

Con4dentiality

Integrity

A'ailability

Com*liance

>S1 (e4ne and manageser'ice le'els.

>S2 Manage third-*artyser'ices.

>S' Manage *erformance andca*acity.

>S :nsure continuousser'ice.

>S3 :nsure systems security.>S4 Identify and allocate

costs.>S5 :ducate and train users.>S: Manage ser'ice des and

incidents.>S= Manage the con4guration.>S10 Manage *roblems.>S11 Manage data.>S12 Manage the

*hysical en'ironment.>S1' Manage o*erations.

M91 Monitor and e'aluate IT*erformance.

M92 Monitor and e'aluateinternal control.

M9' :nsure com*liance #ithe=ternal reHuirements.

M9 ro'ide IT go'ernance.

6"1 (e4ne a strategic IT *lan.6"2 (e4ne the information

architecture.6"' (etermine technological

direction.6" (e4ne the IT *rocesses,

organisation andrelationshi*s.

6"3 Manage the IT in'estment.6"4 Communicate

management aims anddirection.

6"5 Manage IT humanresources.

6": Manage Huality.6"= Assess and manage IT

riss.6"10 Manage *ro"ects.AI1 Identify automated

solutions.

AI2 AcHuire and maintaina**lication soft#are.

AI' AcHuire and maintaintechnology infrastructure.

AI :nable o*eration and use.AI3 rocure IT resources.AI4 Manage changes.AI5 Install and accredit

solutions and changes.

6BA#A#>

"RGA#IS9

Reliability


20/42

21


CobiT 2aterfall Model

The control o

that satisy

is enabled by

considering

(omains - 7 rocesses - $6% Control


21/42

22


Contoh (S$ 2aterfall

roses TI

/ey Control

/ey erformance


22/42

2'


Contoh (S$ Management!uidelines

$7

Dari mana saja Input

roses ini!

"asil #ari roses ini menja#iinput untuk proses mana!

$kti%tas apa yan& ter#apat#alam proses ini! Siapa yan&'ertan&&un&(jaa'!


23/42

2


Control ractices

etunjuk #etail untuk setiap *ontrol O'jectives!

Contoh >S2- Mana)e Third-arty Ser8i$es

C*ntr*l "b


24/42

23


Assurance1Audit !uide

$)

+a&aimana men&uji ke'erjalanan kontrol pa#a setiap proses!

Contoh >S2- Mana)e Third-arty Ser8i$es

C*ntr*l "besi)n:nHuire #hether and con4rm that a register of su**lier relationshi* is maintained.


25/42

24


rocess MaturityAssessment

0Kn*n-eListent tida teridenti4asi ada *roses.


26/42

25


Materiality

Risio bisa terda*at di banya area, a*a*un "enisnya


27/42

2:


ro4l Risio TI

/ey Control Analysis/ey Control Analysisro4l Risio roses TI, utamanyamem*ertimbangan

(a*at diombinasian dengan standard1frame#or lain untumelihat dalam *ers*etif yang lain..

M t it


28/42

2=


rocess MaturityAssessment


29/42

'0


/ey Control Analysis

IT 6r*$ess 7ey C*ntr*l

6arameter Analisis untu% 7ey C*nt


30/42

'1


ro4l Risio TI

Contoh Audit rogram


31/42

'2


Contoh Audit rogramUntu S*esi4 Sistem

Aa$he Jeb Ser8i$es Ser8erAuditAssuran$e 6r*)ram

Contoh Audit rogram


32/42

''


Contoh Audit rogramUntu S*esi4 Sistem

MySB Ser8er AuditAssuran$e 6r*)ram


33/42

'


Aku tidak tahu sia!a !enemu air" teta!i yang

!asti bukan ikan# $arshall $c%uhan

7


34/42

'3


Than JouMerci bien

Matur Nuwun

Hatur Nuhun

Matur se 7elan)%*n)

Syuron

/heili Mamnun

(ane

!raKias

Terima asih


35/42

'4


Ada Pertanyaan??????


36/42

'5


PO1 Define a strategic IT plan

PO3 Deterine t!e tec!nological "irection

PO# $anage t!e IT in%estent

PO& 'ssess risks

PO10 $anage pro(ects

'I1 I"entify solutions'I2 'c)uire an" aintain applications s*+

'I# Install an" accre"it systes

'I $anage c!anges

D-1 Define ser%ice le%els

D-. /nsure continuous ser%ice

D-# /nsure syste securityD-10 $anage probles an" inci"ents

D-11 $anage "ata

$1 $onitor t!e processes

The Most Im*ortant ITrocesses

34

15

7

Survey


37/42


38/42


39/42


40/42


41/42


42/42

Documents

Introduction to Information System Audit