information system audit - unikom seminar (nov 2015)

Picture: http://www.cdcsvm.ch

Information System Audit Unikom, Nopember 2015

Dr. Basuki Rahmad

Halaman 2

Profil Singkat q  Pendidikan

–  S1 Teknik Elektro ITB (1995-‐2000) –  S2 Teknik Sistem Komputer ITB (2001-‐2004) –  S3 Teknik Elektro ITB (2005-‐2010)

q  SerLfikasi –  CerLfied InformaLon System Auditor(CISA),

2005 – sekarang –  CerLfied InformaLon Security Manager (CISM),

2006 – sekarang –  CerLfied in Risk and InformaLon System Control

(CRISC), 2011 – sekarang –  CerLfied COBIT 5 FoundaLon, 2015 –  CerLfied IT Architect FoundaLon (CITA-‐F), 2015

q  Fokus riset/kegiatan profesional: –  Enterprise/IT ArchitecLng –  IT Audit & Assurance –  IT Governance, Risk & Compliance –  IT Security –  Business/Computer Fraud –  Building/Factory HVAC/cooling System –  Building/Factory Energy Management

InformaLon System Audit Seminar -‐ Unikom, 2 Nopember 2015

q  AkLfitas Profesional –  Mengelola beberapa startup di bidang IT

ArchitecLng – Assurance – Security, HVAC System – Energy Management dan garment/buLk

–  Dewan Direksi ISACA (InformaLon System & Audit Control AssociaLon) Chapter Indonesia (2014)

–  Advisor direksi dan manajemen senior sebagai professional hire: PT. WIKA, Perum Jamkrindo, PT. Pelindo I, BPJS Ketenagakerjaan

q  Asosiasi Profesional –  IEEE Computer Society –  AIS (AssociaLon of InformaLon System) –  ISACA (IS Audit & Control AssociaLon) –  ACFE (AssocaLon of CerLfied Fraud Examiner)

q  AkLfitas akademik –  Dosen/peneliL di Telkom Univ. (2012 – sekarang) –  Dosen Pascasarjana di Universitas Komputer

Indonesia (2011-‐2013) –  Dosen Pascasarjana di UNPAD (2004) –  PeneliL di ITB (2004-‐2011)

q  Contact: [email protected]

Halaman 3

Part 1

IntroducLon to IS Audit


Halaman 4

Bayangkan relasi sebagai berikut………


Shareholder BOD

Company

Memiliki Menjalankan

Menunjuk/Mengangkat

Auditor

Men

unjuk

Melaporkan

Audit

Laporan Keuangan? Internal Control?

Fraud? …….

Halaman 5

Dan HITLER pun melakukan itu…..

hfps://www.youtube.com/watch?v=IyuBl2Rlcik


Halaman 6

Audit merupakan salah satu bentuk assurance


Non-‐AfestaLon Services

AfestaLon Services

Financial Audit

Compliance Review

InformaLon System Audit

Internal Audit

Control Self Assessment

Management ConsulLng

Assurance

Halaman 7

AfestaLon & Non AfestaLon

q  Atestasi adalah suatu pernyataan pendapat atau per+mbangan orang yang independen dan kompeten tentang apakah sebuah asersi suatu enLtas sesuai, dalam semual hal yang material, dengan kriteria yang telah ditetapkan.

q  Perikatan atestasi adalah perikatan yang di dalamnya pihak independen (KAP atau pihak independen lainnya) mengadakan perikatan untuk menerbitkan komunikasi tertulis yang menyatakan suatu kesimpulan tentang keandalan asersi tertulis yang menjadi tanggungjawab pihak lain.

–  ExaminaLon –  Review –  Agreed-‐upon procedures


q  Asersi adalah pernyataan yang dibuat dan menjadi tanggungjawab suatu pihak secara implisit dimaksudkan untuk digunakan oleh pihak lain (pihak keLga)

q  Jasa Non Atestasi adalah jasa yang diberikan pihak independen (KAP atau pihak independen lainnya) yang di dalamnya Ldak menyatakan pendapat, Lngkat keyakinan, ringkasan temuan, atau bentuk keyakinan (assurance) yang lain.

Halaman 8

ISACA Assurance Types


Halaman 9

Keberadaan IS Audit di sebuah perusahaan adalah realisasi Three Line of Defense, dimana IS Audit merupakan bagian dari Internal Audit FuncLon


Halaman 10

Basic DefiniLons…..


the process of obtaining and evalua8ng evidence to determine whether an IT system safeguards the organisa8onal assets, uses resources efficiently, maintains data security and integrity and fulfils the business objec8ves effec8vely. (INTOSAI)

the process of collec8ng and evalua8ng evidence to determine whether a computer system (informa8on system) safeguards assets, maintains data integrity, achieves organiza8onal goals effec8vely and consumes resources efficiently (Ron Webber)

Bagaimana memas+kan status efek+fitas tersebut?

Pengumpulan dan evaluasi Evidence

Analisa EfekLfitas Sistem TI atas obyekLf bisnis

Halaman 11

Kontrol TI sebagai obyek Audit SI


Halaman 12

Referensi Kontrol TI


Halaman 13

Studi Kasus #1

Pemda Kota X mengimplementasikan sebuah sistem informasi untuk memfasilitasi penerimaan siswa baru untuk SMP dan SMU. Sistem ini menangani proses pendalaran, pencatatan hasil tes dan nilai UN (dengan bobot tertentu), serta pengurutan nilai akhir dan kemudian adalah memutuskan secara otomaLs siapa yang diterima di salah satu sekolah berdasarkan hasil tes dan UN. Pada waktu pengumuman, banyak protes yang terjadi karena: q  Sistem sangat lambat keLka diakses

q  Dalar kelulusan sempat berubah dan pihak dinas terkait menyampaikan alasan “kesalahan pemasukan data”

q  Banyak selenLngan di masyarakat yang mengatakan, masih banyak indikasi LLpan dari para pejabat dan pengusaha. Karena nilai UN anak-‐anak yang Ldak masuk grade sebuah sekolah tertentu, tetapi masih bisa diterima.

Kontrol apakah yang Ldak efekLf?


Halaman 14

Studi Kasus #2

Sebuah Bank sedang melakukan upgrading Core Banking, yang dilaksanakan oleh pihak keLga. Terjadi masalah kriLkal yang sempat keluar di beberapa media nasional. Sepasang suami istri dapat menarik uang mencapai Rp 21 miliar meski total rekening mereka hanya Rp 123 ribu rupiah. Kejadian ini terjadi pada 10 April 2014 ynag menimpa salah satu bank swasta, saat terjadi upgrading system dan berakibat perubahan pada instalmen itu. Kasus baru dilaporkan setelah pihak bank mengetahui ada transfer yang melebihi saldo. "Sehingga nasabah-‐nasabah yang gunakan kartu ATM, keLka penarikan saldo di rekening Ldak berkurang. Ada pihak-‐pihak nasabah yang keterusan, ada yang sengaja ada yang Ldak sengaja," kata Direktur Tindak Pidana Ekonomi Khusus (Dit Tipid) Eksus Brigjen Arief Sulistyanto, di Mabes Polri, Jl Trunojoyo, Jakarta Selatan, Kamis (8/5/2014). Dari penyelidikan Bareskrim Polri, terdapat 7 nasabah yang melakukan transfer atau pengambilan berulang. Enam orang dilakukan pemeriksan, hasilnya keenam orang itu Ldak mengetahui dan penasaran kenapa saldo yang mereka debit Ldak berkurang satu sen pun. "Satu lagi Didik Agung Gunawan di Solo, saldo di rekening Rp 200 ribu, yang bersangkutan dan istrinya menarik Rp 4 miliar, istrinya Rp 17 miliar. Padahal saldonya Rp 100 ribu dan Rp 23 ribu," kata Arief.


Halaman 15

Tipe-‐Lpe audit SI


ARSITEKTUR TEKNOLOGI INFORMASI Aplikasi Bisnis, Data, Infrastruktur, Fasilitas

As part of Financial Audit

Compliance Audit

Control Review

Security Audit

Forensic Audit

CAAT

Integrated Audit

Value for Money Audit

Halaman 16

Part 2

IS Audit Methodology


Halaman 17

Risk-‐based IS Audit


Halaman 18

Compliance Test vs SubstanLve Test


•  Compliance test: Determines whether controls are in compliance with management policies and procedures

•  SubstanLve test: Tests the integrity of actual processing

Halaman 19

Tahapan-‐Tahapan Audit (ISACA)


1.Audit subject 2.Audit objecLve 3.Audit scope

4.Preaudit planning 5.Audit procedures 6.Procedures for evaluaLng the test

7.Procedures for communicaLon

8.Audit report preparaLon

Halaman 20



Audit Phases Descrip+on

Audit subject IdenLfy the area to be audited.

Audit objecLve IdenLfy the purpose of the audit. For example, an objecLve might be to determine whether program source code changes occur in a well-‐defined and controlled environment.

Audit scope IdenLfy the specific systems, funcLon or unit of the organizaLon to be included in the review. For example, in the previous program changes example, the scope statement might limit the review to a single applicaLon system or to a limited period of Lme.

Preaudit planning • IdenLfy technical skills and resources needed. • IdenLfy the sources of informaLon for test or review such as funcLonal flow charts, policies, standards, procedures and prior audit work papers.

• IdenLfy locaLons or faciliLes to be audited.

Halaman 21



Audit Phases Descrip+on

Audit procedures and steps for data gathering

• IdenLfy and select the audit approach to verify and test the controls.

• IdenLfy a list of individuals to interview. • IdenLfy and obtain departmental policies, standards and guidelines for review.

• Develop audit tools and methodology to test and verify control.

Procedures for evaluaLng the test or review results

OrganizaLon-‐specific

Procedures for communicaLon with management

OrganizaLon-‐specific

Audit report preparaLon • IdenLfy follow-‐up review procedures. • IdenLfy procedures to evaluate/test operaLonal efficiency and effecLveness.

• IdenLfy procedures to test controls. • Review and evaluate the soundness of documents, policies and procedures.

Halaman 22

ISACA IS Audit & Assurance Standards Framework


q  Framework for the ISACA IS AudiLng Standards www.isaca.org/ITAF: •  Standards •  Guidelines •  Tools and Techniques

The AssociaLon’s Code of Professional Ethics provides guidance for the professional and personal conduct of members of ISACA and/or cerLficaLon holders.

Halaman 23

7 Enabler pada COBIT 5 untuk melihat Assurance


Halaman 24

Studi Kasus #3

UNIKOM MISSION: Providing a modern higher educaLon based on the culture of the organizaLon UNIKOM, PIQIE (Professionalism, Integrity, Quality, InformaLon, Technology, Excellence), conducive to the educaLonal system and programs of study are based on solware (solware), hardware (hardware), and Entrepreneurship, to opLmize resources based on the principles of efficiency and effecLveness.

Bagaimana konstruksi 7 Enabler untuk merealisasikan “a modern higher educaLon system” yang berbasis TI? 1.  Principles, Policies & Framework 2.  Processes 3.  OrganisaLonal Structure 4.  Culture, Ethics & Behaviour 5.  InformaLon 6.  Services, Infrastructures & ApplicaLons 7.  People, Skills & Competencies


Halaman 25 ISAC

A Assurance Metho

dology based

on 7 en

abler

Halaman 26

Studi Kasus #4

Bagaimana kasus berikut ini bisa diselesaikan dengan pendekatan assurance berbasis 7 enabler? Pemda Kota X mengimplementasikan sebuah sistem informasi untuk memfasilitasi penerimaan siswa baru untuk SMP dan SMU. Sistem ini menangani proses pendalaran, pencatatan hasil tes dan nilai UN (dengan bobot tertentu), serta pengurutan nilai akhir dan kemudian adalah memutuskan secara otomaLs siapa yang diterima di salah satu sekolah berdasarkan hasil tes dan UN. Pada waktu pengumuman, banyak protes yang terjadi karena: q  Sistem sangat lambat keLka diakses

q  Dalar kelulusan sempat berubah dan pihak dinas terkait menyampaikan alasan “kesalahan pemasukan data”

q  Banyak selenLngan di masyarakat yang mengatakan, masih banyak indikasi LLpan dari para pejabat dan pengusaha. Karena nilai UN anak-‐anak yang Ldak masuk grade sebuah sekolah tertentu, tetapi masih bisa diterima.


Halaman 27

Menjadi IS Auditor?

q  Demand yang besar – Kebutuhan tenaga IT Assurance ke depan akan semakin besar, dengan semakin besarnya tuntutan atas implementasi TI: security, benefit, compliance. Mayoritas perusahaan di Indonesia saat ini belum memiliki IT Auditor.

–  IT Auditor –  IT Security –  IT Quality Assurance

q  Fleksibilitas Karir – IT Auditor dituntut Ldak sekedar paham metodologi audit dan kontrol TI, tetapi juga pemahaman yang kuat atas bisnis. Karena risk assessment dalam pelaksanaan Audit TI Ldak mungkin dilakukan jika Ldak memiliki pemahaman atas bisnis yang baik. Secara umum, IT Auditor memiliki karir yang lebih fleksibel di perusahaan, memungkinkan jadi orang kunci di Teknologi sekaligus Bisnis. Di banyak perusahaan, posisi Auditor TI hanya bisa dijabat oleh orang bisnis atau TI yang sudah cukup lama menjalani posisi sebagai pelaksana.

q  Salary – Silakan cek secara umum di Indonesia dan global.

q  Freelance Opportunity – Rate mandays yang menjanjikan untuk freelance

q  Kontribusi Sentral memperbaiki sistem


Halaman 28

Terima Kasih
