Studium Generale
Audit Sistem Informasi
Yogyakarta, 12 Februari 2011
Oleh: Umar Alhabsyi, MT, CISA, CRISC.
[email protected] ©2010 by Umar Alhabsyi, MT, CISA, CRISC.
Studium Generale‐FTI‐UII: IS Audit
1
Fakta Sebuah studi dari Gartner menunjukkan bahwa 20% investasi di IT, atau tidak kurang dari USD 500 billion, terbuang percuma setiap tahunnya. (Nick Huber, ComputerWeekly, March 2002) Para Investor mau membeli saham 20% lebih mahal untuk perusahaan yang menerapkan praktik‐praktik good governance pada perusahaannya (McKinsey Investors Opinion Survey, June 2000).
©2010 by Umar Alhabsyi, MT, CISA, CRISC.
document from http://fit.uii.ac.id
Studium Generale‐FTI‐UII: IS Audit
2
Fakta Bagaimana Anda bisa yakin organisasi Anda tidak mengalami “musibah” serupa ini…? •Kesulitan Nike akibat kegagalan implementasi S/W Supply Chain mengakibatkan kerugian sekitar US$200 million. •Matinya sistem pelaporan finansial dari Interstate Bakeries menyebabkan market value nya turun 1/3 hanya dalam sehari. •Kegagalan pada sistem logistik pada MFI and Sainsbury menyebabkan kerugian jutaan GBP, penurunan profit dan kejatuhan harga saham. •Kegagalan operasional perusahaan pasca merger the Southern Pacific–Union Pacific setelah dilacak ternyata utamanya disebabkan oleh kegagalan koordinasi dari sistem‐sistem IT nya.
©2010 by Umar Alhabsyi, MT, CISA, CRISC.
Studium Generale‐FTI‐UII: IS Audit
3
Fakta ...atau melewatkan manfaat‐manfaatnya? • Transformasi supply chain dari Southwest Airlines meningkatkan kemampuan perusahaan untuk mengestimasi kebutuhan, mengurangi biaya pengadaan dan meningkatkan service levels sementara biayanya lebih rendah. • IBM menghemat US$12 billion selama 2 tahun dengan menghubungkan bagian‐bagian terpisah dari sistem supply chain nya, juga mengurangi tingkat persediaannya. • Sinergi IT yang sangat ekstensif di Great‐West Life berdampak signifikan pada sejumlah akusisi yang dilakukan perusahaan. ©2010 by Umar Alhabsyi, MT, CISA, CRISC.
document from http://fit.uii.ac.id
Studium Generale‐FTI‐UII: IS Audit
4
Fakta Changing IT Emphasis Ten years ago we were afraid of rockets destroying computing centres.......... ..........right now, we should be aware of software errors destroying rockets !
©2010 by Umar Alhabsyi, MT, CISA, CRISC.
Studium Generale‐FTI‐UII: IS Audit
5
Risiko dan Nilai • Risiko dan nilai adalah 2 sisi mata uang yang sama • Risiko bersifat inheren utnuk semua organisasi. TAPI • Organisasi perlu memastikan bahwa kesempatan untuk menciptakan nilai tidak hilang hanya karena usaha untuk menghilangkan semua risiko. p
IT provides value i Cost, time and functionality are as expected
p
IT does not provide surprises i Risks are mitigated
p
IT pushes the envelope i New opportunities and innovations for process, product and services
©2010 by Umar Alhabsyi, MT, CISA, CRISC.
document from http://fit.uii.ac.id
Studium Generale‐FTI‐UII: IS Audit
6
IS Audit Proteksi Aset?
Ev a
l ua t in
g
Bukti Co ll
Bukti
Collectin
ec tin g g
lle ct in g Co
Bukti
IS Audit
i at
Evaluating g ti n ua al g Ev tin lua Eva
cting Colle
a lu Ev
Integritas dan Ketersediaan Data dan Sistem?
ng
Informasi yang relevan dan handal yang efektif untuk mendukung obyektif bisnis dengan resource yang efisien Kontrol internal yang cukup utk memastikan obyektif bisnis, operasional dan kontrol tercapai Mencegah hal‐hal yang tidak diinginkan, bagaimana mendeteksi dan memperbaiki dalam waktu yang dapat diterima
Bukti
Studium Generale‐FTI‐UII: IS Audit
©2010 by Umar Alhabsyi, MT, CISA, CRISC.
7
Basis dalam IS Audit? Control
Risk
Tugas seorang IS Auditor adalah mengidentifikasi Risiko pada area dalam cakupan Audit, serta identifikasi kebutuhan dan evaluasi penerapan kontrol yang mengelolanya. IS Auditor harus memahami Audit Subject
©2010 by Umar Alhabsyi, MT, CISA, CRISC.
document from http://fit.uii.ac.id
Studium Generale‐FTI‐UII: IS Audit
8
Risiko dalam Proses IS Audit Audit Risk = Risiko yang diakibatkan IS Auditor tidak akurat dalam memberikan judgment terkait area yang diaudit
IS Audit Risk
Inherent Risk
Control Risk
Risiko yang melekat pada sesuatu Æ Kemungkinan terjadinya significant loss pada sesuatu tanpa mempertimbangkan adanya penerapan kontrol‐kontrol
Risiko pada kontrol Æ Kemungkinan tidak efektifnya kontrol yang diterapkan untuk membatasi atau mengelola inherent risk.
Detection Risk Risiko dimana sebuah kesalahan pada area yang diaudit tidak terdeteksi oleh Auditor.
Residual Risk = IR x CR Studium Generale‐FTI‐UII: IS Audit
©2010 by Umar Alhabsyi, MT, CISA, CRISC.
9
Tipe Kontrol Internal
Kontrol Internal
Preventive Control Kontrol yang didesain untuk mencegah terjadinya kesalahan, kelalaian atau kejadian lain yang telah diketahui dapat berdampak negatif.
©2010 by Umar Alhabsyi, MT, CISA, CRISC.
document from http://fit.uii.ac.id
Detective Control Kontrol yang digunakan untuk mengidentifikasi suatu kejadian, kesalahan atau hal lain yang terjadi dimana telah diketahui akan berdampak signifikan
Corrective Control Kontrol yang digunakan untuk melakukan perbaikan pada hal‐ hal yang berjalan tidak benar atau semestinya
Studium Generale‐FTI‐UII: IS Audit
10
Bisnis dan Kontrol TI Proses‐Proses dalam Tata Kelola Bisnis Business’s Responsibility
IT’s Responsibility
Business’s Responsibility
Business Controls
IT General Controls
Business Controls
Kontrol yang diterapkan pada seluruh proses dan aktifitas IT dalam rangka memberikan layanan pada organisasi
Proses‐Proses dalam Siklus Tata Kelola TI Apps Control Audit Application Controls
IT Gencon Audit Kontrol yang diterapkan proses bisnis, baik yang terotomasi (dengan IT) maupun yang masih manual. Studium Generale‐FTI‐UII: IS Audit
©2010 by Umar Alhabsyi, MT, CISA, CRISC.
11
Proses IS Audit Mengumpulkan Informasi dan Merencanakan (mengenal bisnis organisasi, Review audit sebelumnya, Regulasi yang berlaku, Inherent Risk Assessment)
Memahami Kontrol Internal (Control environment, control procedures, detection risk assessment, Control risk assessment, Menghitung total risiko)
Compliance Test (Indentifikasi kontrol utama yang akan diuji, Lakukan pengujian terhadap kontrol2 tsb dalam kehandalannya serta kepatuhannya pada kebijakan dan prosedur organisasi)
Substantive Test (Analisis prosedur, pengujian detail transaksi/balances, dll)
Simpulkan Hasil Audit (Buat rekomendasi, susun Laporan Audit) ©2010 by Umar Alhabsyi, MT, CISA, CRISC.
document from http://fit.uii.ac.id
Studium Generale‐FTI‐UII: IS Audit
12
IS Audit butuh Standard dan Framework • Sebagai guidelines dalam melakukan proses Audit • Untuk memastikan kelengkapan • Untuk mengambil manfaat dari best practices pengelolaan IT di dunia • Untuk menjadi alat komunikasi antara IT, bisnis dan Auditor • Untuk memastikan kapasitas dan kompetensi Auditor • Untuk memastikan standard kode etik pelaksanaan proses Audit ©2010 by Umar Alhabsyi, MT, CISA, CRISC.
Studium Generale‐FTI‐UII: IS Audit
13
Standard IT/IS Audit IT/IS Audit Standard
ISACA adalah standard dan panduan untuk IT/IS auditing dan merupakan kode etik profesional bagi auditor yang bersertifikasi CISA. ©2010 by Umar Alhabsyi, MT, CISA, CRISC.
document from http://fit.uii.ac.id
Studium Generale‐FTI‐UII: IS Audit
14