Studium Generale Audit Sistem Informasi Yogyakarta, 12 Februari 2011 Oleh: Umar Alhabsyi, MT, CISA, CRISC. umar.alhabsyi@gmail.com 1 Fakta Sebuah studi dari Gartner menunjukkan bahwa 20% investasi di IT, atau tidak kurang dari USD 500 billion, terbuang percuma setiap tahunnya. (Nick Huber, ComputerWeekly, March 2002) Para Investor mau membeli saham 20% lebih mahal untuk perusahaan yang menerapkan praktik praktik good governance pada perusahaannya (McKinsey Investors Opinion Survey, June 2000). 2
Fakta Bagaimana Anda bisa yakin organisasi Anda tidak mengalami musibah serupa ini? Kesulitan Nike akibat kegagalan implementasi S/W Supply Chain mengakibatkan kerugian sekitar US$200 million. Matinya sistem pelaporan finansial dari Interstate Bakeries menyebabkan market value nya turun 1/3 hanya dalam sehari. Kegagalan pada sistem logistik pada MFI and Sainsbury menyebabkan kerugian jutaan GBP, penurunan profit dan kejatuhan harga saham. Kegagalan operasional perusahaan pasca merger the Southern Pacific Union Pacific setelah dilacak ternyata utamanya disebabkan oleh kegagalan koordinasi dari sistem sistem IT nya. 3 Fakta...atau melewatkan manfaat manfaatnya? Transformasi supply chain dari Southwest Airlines meningkatkan kemampuan perusahaan untuk mengestimasi kebutuhan, mengurangi biaya pengadaan dan meningkatkan service levels sementara biayanya lebih rendah. IBM menghemat US$12 billion selama 2 tahun dengan menghubungkan bagian bagian terpisah dari sistem supply chain nya, juga mengurangi tingkat persediaannya. Sinergi IT yang sangat ekstensif di Great West Life berdampak signifikan pada sejumlah akusisi yang dilakukan perusahaan. 4
Fakta Changing IT Emphasis Ten years ago we were afraid of rockets destroying computing centres......right now, we should be aware of software errors destroying rockets! 5 Risiko dan Nilai Risiko dan nilai adalah 2 sisi mata uang yang sama Risiko bersifat inheren utnuk semua organisasi. TAPI Organisasi perlu memastikan bahwa kesempatan untuk menciptakan nilai tidak hilang hanya karena usaha untuk menghilangkan semua risiko. p IT provides value i Cost, time and functionality are as expected p IT does not provide surprises i Risks are mitigated p IT pushes the envelope i New opportunities and innovations for process, product and services 6
IS Audit Proteksi Aset? IS Audit Integritas dan Ketersediaan Data dan Sistem? Informasi yang relevan dan handal yang efektif untuk mendukung obyektif bisnis dengan resource yang efisien Kontrol internal yang cukup utk memastikan obyektif bisnis, operasional dan kontrol tercapai Mencegah hal hal yang tidak diinginkan, bagaimana mendeteksi dan memperbaiki dalam waktu yang dapat diterima 7 Basis dalam IS Audit? Control Risk Tugas seorang IS Auditor adalah mengidentifikasi Risiko pada area dalam cakupan Audit, serta identifikasi kebutuhan dan evaluasi penerapan kontrol yang mengelolanya. IS Auditor harus memahami Audit Subject 8
Risiko dalam Proses IS Audit Audit Risk = Risiko yang diakibatkan IS Auditor tidak akurat dalam memberikan judgment terkait area yang diaudit IS Audit Risk Inherent Risk Risiko yang melekat pada sesuatu Kemungkinan terjadinya significant loss pada sesuatu tanpa mempertimbangkan adanya penerapan kontrol kontrol Control Risk Risiko pada kontrol Kemungkinan tidak efektifnya kontrol yang diterapkan untuk membatasi atau mengelola inherent risk. Detection Risk Risiko dimana sebuah kesalahan pada area yang diaudit tidak terdeteksi oleh Auditor. Residual Risk = IR x CR 9 Tipe Kontrol Internal Kontrol Internal Preventive Control Kontrol yang didesain untuk mencegah terjadinya kesalahan, kelalaian atau kejadian lain yang telah diketahui dapat berdampak negatif. Detective Control Kontrol yang digunakan untuk mengidentifikasi suatu kejadian, kesalahan atau hal lain yang terjadi dimana telah diketahui akan berdampak signifikan Corrective Control Kontrol yang digunakan untuk melakukan perbaikan pada halhal yang berjalan tidak benar atau semestinya 10
Bisnis dan Kontrol TI Proses Proses dalam Tata Kelola Bisnis Business s Responsibility Business Controls IT s Responsibility IT General Controls Business s Responsibility Business Controls Apps Control Audit Proses Proses dalam Siklus Tata Kelola TI Kontrol yang diterapkan pada seluruh proses dan aktifitas IT dalam rangka memberikan layanan pada organisasi Application Controls IT Gencon Audit Kontrol yang diterapkan proses bisnis, baik yang terotomasi (dengan IT) maupun yang masih manual. 11 Proses IS Audit Mengumpulkan Informasi dan Merencanakan (mengenal bisnis organisasi, Review audit sebelumnya, Regulasi yang berlaku, Inherent Risk Assessment) Memahami Kontrol Internal (Control environment, control procedures, detection risk assessment, Control risk assessment, Menghitung total risiko) Compliance Test (Indentifikasi kontrol utama yang akan diuji, Lakukan pengujian terhadap kontrol2 tsb dalam kehandalannya serta kepatuhannya pada kebijakan dan prosedur organisasi) Substantive Test (Analisis prosedur, pengujian detail transaksi/balances, dll) Simpulkan Hasil Audit (Buat rekomendasi, susun Laporan Audit) 12
IS Audit butuh Standard dan Framework Sebagai guidelines dalam melakukan proses Audit Untuk memastikan kelengkapan Untuk mengambil manfaat dari best practices pengelolaan IT di dunia Untuk menjadi alat komunikasi antara IT, bisnis dan Auditor Untuk memastikan kapasitas dan kompetensi Auditor Untuk memastikan standard kode etik pelaksanaan proses Audit 13 Standard IT/IS Audit IT/IS Audit Standard ISACA adalah standard dan panduan untuk IT/IS auditing dan merupakan kode etik profesional bagi auditor yang bersertifikasi CISA. 14