8/29/2014. IS Audit Process. CDG4I3 / Audit Sistem Informasi. Angelina Prima K Gede Ary W. KK SIDE Agenda

Transkripsi

1 IS Audit Process CDG4I3 / Audit Sistem Informasi Angelina Prima K Gede Ary W. KK SIDE Agenda 1. Introduction to IS audit process 2. Risk analysis 3. Internal controls 4. Performing an IS audit 5. Control self-assessment 6. Emerging change in the IS audit process 1

2 1. Introduction Proses audit: serangkaian kegiatan audit untuk memastikan bahwa organisasi telah melakukan langkah-langkah yang diperlukan untuk menghadapi perubahan regulasi dan kondisi pasar. Audit Stages 2

3 Audit Stages Audit Objectives Sasaran audit: berasal dari eksekutif, regulasi, atau standar industri tergantung pada task departemen, topik, atau langkah tertentu dalam aliran proses bisnis Harus dapat: memberikan jaminan kepada manajemen tentang ketercapaian kontrol menunjukkan kelemahan kontrol dan dampak resikonya memberikan saran aksi korektif bagi manajemen 3

4 Audit Charter Peran dan fungsi audit Si harus disepakati di audit charter. Audit SI dapat menjadi bagian dari audit internal, maka audit charter dapat mencakup fungsi audit lainnya. Audit charter harus menyatakan dengan jelas tanggung jawab manajemen, serta tujuan dan pendelegasian wewenang kepada fungsi audit SI. Dokumen ini menjelaskan ruang lingkup kewenangan dan tanggung jawab keseluruhan fungsi audit. Audit Planning Rencana audit meliputi: Lingkup audit: proses apa saja yang akan diaudit +lokasi, ukuran, aktivitas, waktu, proses Kriteria audit: berdasarkan kebijakan/ prosedur/ kebutuhan Tim audit Internal audit (pihak pertama) Eksternal audit (pihak kedua) customer/ vendor/ else Independent eksternal audit (pihak ketiga) Integrated/ combined audit (2 fungsi atau lebih sekaligus) Joint audit (2 organisasi auditor atau lebih sekaligus) 4

5 Audit Stages Risk Analysis Resiko: ancaman yang berpotensi menimbulkan kerentanan aset dan menyebabkan kerugian/ kerusakan aset. Elemen resiko: Ancaman dan kerentanan dari proses/ aset (termasuk aset fisik dan informasi) Dampak ancaman dan kerentanan terhadap aset Probabilitas ancaman (kombinasi kemungkinan dan frekuensi kejadian) 5

6 Risk Analysis Purposes Membantu auditor mengidentifikasi resiko dan ancaman di lingkungan SI/TI yang perlu diatasi dengan kontrol manajemen dan sistem internal spesifik Membantu auditor dalam menentukan tujuan audit Mengambil keputusan pendukung audit berbasis resiko 2. Internal Controls Kendali internal: kebijakan, prosedur, mekanisme, sistem, dan ukuran lain yang memastikan bahwa proses-proses dalam perusahaan berfungsi dengan baik serta menekan resiko Pengelompokan kendali internal: Tipe Fisik Teknis Administratif Kelas Preventif Detektif Korektif Kategori Otomatis Manual 6

7 Internal Control Objectives Pernyataan kondisi atau keluaran yang diinginkan dari operasional bisnis. Contoh: Perlindungan aset TI Akurasi transaksi Kerahasiaan dan privasi Perubahan sistem TI yang terkendali Kesesuaian dengan kebijakan perusahaan Audit Stages 7

8 3. Performing IS Audit Tipe-tipe audit: Operational audit Financial audit Integrated audit (operational + financial) IS audit Administrative audit Compliance audit Forensic audit Service provider audit Pre-audit Tiap tipe audit tersebut memiliki prosedur yang sesuai. Audit Procedures Mencakup: Daftar orang yang akan diwawancara Pertanyaan wawancara Dokumentasi (kebijakan, prosedur, dll) yang akan diminta saat wawancara Perangkat audit yang digunakan Tingkat sampling dan metodologi yang dipakai Bagaimana dan dimana pengarsipan bukti Bagaimana evaluasi bukti 8

9 Audit Evidence Evidence: informasi yang dikumpulkan oleh auditor selama audit untuk menarik kesimpulan tentang efektivitas kontrol dan sasaran kontrol. Berupa: Hasil observasi Catatan tertulis Korespondensi Proses internal dan dokumentasi prosedur Rekaman bisnis Audit Stages 9

10 Report Preparation Auditor perlu merencanakan format dan mekanisme pelaporan hasil audit. Sesuai dengan laporan standar audit, misal ISACA IS audit standards Jika perlu internal review, identifikasi pihak-pihak yang akan melakukan review dan pastikan komitmen mereka terhadap review laporan audit Example of Report Structure Cover letter Introduction Summary Description of the audit Listing of interviewees Explanation of sampling techniques Description of findings and recommendations 10

11 Reporting Aktivitas yang dilakukan: Sampaikan laporan kepada auditee Jadwalkan closing meeting Untuk audit internal, kirimkan tagihan ke auditee Kumpulkan dan arsipkan seluruh dokumen dan berkas Update dokumen untuk kebutuhan audit lanjutan Kumpulkan feedback dari auditee Audit Stages 11

12 Post-audit Follow-up Setelah waktu tertentu (beberapa hari/ bulan), auditor perlu menghubungi auditee untuk mengetahui progress yang telah dicapai oleh auditee. Perlu dilakukan: Sebagai bentuk perhatian untuk mengetahui keseriusan auditee dalam menindaklanjuti hasil audit. Untuk membantu auditee dalam menindaklanjuti hasil audit, jika diperlukan. Agar auditor bisa lebih memahami komitmen manajemen. Bagi auditor eksternal, dapat meningkatkan citra dan prospek kerjasama bisnis lanjutan. 5. Control Self-Assessment (CSA) CSA adalah metodologi yang digunakan organisasi untuk meninjau tujuan bisnis utama, resiko yang terlibat dalam mencapai tujuan bisnis dan kontrol internal untuk mengelola resiko bisnis dalam proses formal dan kolaboratif yang didokumentasikan Sasaran: Pemilik kontrol ikut bertanggung jawab mengawasi kontrol Mengurangi perkecualian sekaligus meningkatkan performansi 12

13 CSA Advantages and Disadvantages Advantages: Resiko dapat dideteksi lebih awal Perbaikan kontrol internal Meningkatkan kesadaran pekerja tentang kontrol Disadvantages: Bisa disalahartikan sebagai pengganti internal audit Dapat dianggap sebagai pekerjaan tambahan Jika keterlibatan pekerja kurang, perbaikan proses tidak optimal Tugas Besar Tiap kelompok orang Topik: Tahap 1: Proposal Lokasi yang dianalisis/ diaudit Gambaran umum sistem perijinan di lokasi tsb Apakah sudah pernah diaudit? Jika sudah, dengan standar apa? Surat ijin penelitian/ pengumpulan data Kumpulkan dalam bentuk hardcopy pada perkuliahan tanggal 13

14 THANK YOU 14