Picture: http://www.cdcsvm.ch
Information System Audit Unikom, Nopember 2015
Dr. Basuki Rahmad
Halaman 2
Profil Singkat q Pendidikan
– S1 Teknik Elektro ITB (1995-‐2000) – S2 Teknik Sistem Komputer ITB (2001-‐2004) – S3 Teknik Elektro ITB (2005-‐2010)
q SerLfikasi – CerLfied InformaLon System Auditor(CISA),
2005 – sekarang – CerLfied InformaLon Security Manager (CISM),
2006 – sekarang – CerLfied in Risk and InformaLon System Control
(CRISC), 2011 – sekarang – CerLfied COBIT 5 FoundaLon, 2015 – CerLfied IT Architect FoundaLon (CITA-‐F), 2015
q Fokus riset/kegiatan profesional: – Enterprise/IT ArchitecLng – IT Audit & Assurance – IT Governance, Risk & Compliance – IT Security – Business/Computer Fraud – Building/Factory HVAC/cooling System – Building/Factory Energy Management
InformaLon System Audit Seminar -‐ Unikom, 2 Nopember 2015
q AkLfitas Profesional – Mengelola beberapa startup di bidang IT
ArchitecLng – Assurance – Security, HVAC System – Energy Management dan garment/buLk
– Dewan Direksi ISACA (InformaLon System & Audit Control AssociaLon) Chapter Indonesia (2014)
– Advisor direksi dan manajemen senior sebagai professional hire: PT. WIKA, Perum Jamkrindo, PT. Pelindo I, BPJS Ketenagakerjaan
q Asosiasi Profesional – IEEE Computer Society – AIS (AssociaLon of InformaLon System) – ISACA (IS Audit & Control AssociaLon) – ACFE (AssocaLon of CerLfied Fraud Examiner)
q AkLfitas akademik – Dosen/peneliL di Telkom Univ. (2012 – sekarang) – Dosen Pascasarjana di Universitas Komputer
Indonesia (2011-‐2013) – Dosen Pascasarjana di UNPAD (2004) – PeneliL di ITB (2004-‐2011)
q Contact: [email protected]
Halaman 3
Part 1
IntroducLon to IS Audit
InformaLon System Audit Seminar -‐ Unikom, 2 Nopember 2015
Halaman 4
Bayangkan relasi sebagai berikut………
InformaLon System Audit Seminar -‐ Unikom, 2 Nopember 2015
Shareholder BOD
Company
Memiliki Menjalankan
Menunjuk/Mengangkat
Auditor
Men
unjuk
Melaporkan
Audit
Laporan Keuangan? Internal Control?
Fraud? …….
Halaman 5
Dan HITLER pun melakukan itu…..
hfps://www.youtube.com/watch?v=IyuBl2Rlcik
InformaLon System Audit Seminar -‐ Unikom, 2 Nopember 2015
Halaman 6
Audit merupakan salah satu bentuk assurance
InformaLon System Audit Seminar -‐ Unikom, 2 Nopember 2015
Non-‐AfestaLon Services
AfestaLon Services
Financial Audit
Compliance Review
InformaLon System Audit
Internal Audit
Control Self Assessment
Management ConsulLng
Assurance
Halaman 7
AfestaLon & Non AfestaLon
q Atestasi adalah suatu pernyataan pendapat atau per+mbangan orang yang independen dan kompeten tentang apakah sebuah asersi suatu enLtas sesuai, dalam semual hal yang material, dengan kriteria yang telah ditetapkan.
q Perikatan atestasi adalah perikatan yang di dalamnya pihak independen (KAP atau pihak independen lainnya) mengadakan perikatan untuk menerbitkan komunikasi tertulis yang menyatakan suatu kesimpulan tentang keandalan asersi tertulis yang menjadi tanggungjawab pihak lain.
– ExaminaLon – Review – Agreed-‐upon procedures
InformaLon System Audit Seminar -‐ Unikom, 2 Nopember 2015
q Asersi adalah pernyataan yang dibuat dan menjadi tanggungjawab suatu pihak secara implisit dimaksudkan untuk digunakan oleh pihak lain (pihak keLga)
q Jasa Non Atestasi adalah jasa yang diberikan pihak independen (KAP atau pihak independen lainnya) yang di dalamnya Ldak menyatakan pendapat, Lngkat keyakinan, ringkasan temuan, atau bentuk keyakinan (assurance) yang lain.
Halaman 8
ISACA Assurance Types
InformaLon System Audit Seminar -‐ Unikom, 2 Nopember 2015
Halaman 9
Keberadaan IS Audit di sebuah perusahaan adalah realisasi Three Line of Defense, dimana IS Audit merupakan bagian dari Internal Audit FuncLon
InformaLon System Audit Seminar -‐ Unikom, 2 Nopember 2015
Halaman 10
Basic DefiniLons…..
InformaLon System Audit Seminar -‐ Unikom, 2 Nopember 2015
the process of obtaining and evalua8ng evidence to determine whether an IT system safeguards the organisa8onal assets, uses resources efficiently, maintains data security and integrity and fulfils the business objec8ves effec8vely. (INTOSAI)
the process of collec8ng and evalua8ng evidence to determine whether a computer system (informa8on system) safeguards assets, maintains data integrity, achieves organiza8onal goals effec8vely and consumes resources efficiently (Ron Webber)
Bagaimana memas+kan status efek+fitas tersebut?
Pengumpulan dan evaluasi Evidence
Analisa EfekLfitas Sistem TI atas obyekLf bisnis
Halaman 11
Kontrol TI sebagai obyek Audit SI
InformaLon System Audit Seminar -‐ Unikom, 2 Nopember 2015
Halaman 12
Referensi Kontrol TI
InformaLon System Audit Seminar -‐ Unikom, 2 Nopember 2015
Halaman 13
Studi Kasus #1
Pemda Kota X mengimplementasikan sebuah sistem informasi untuk memfasilitasi penerimaan siswa baru untuk SMP dan SMU. Sistem ini menangani proses pendalaran, pencatatan hasil tes dan nilai UN (dengan bobot tertentu), serta pengurutan nilai akhir dan kemudian adalah memutuskan secara otomaLs siapa yang diterima di salah satu sekolah berdasarkan hasil tes dan UN. Pada waktu pengumuman, banyak protes yang terjadi karena: q Sistem sangat lambat keLka diakses
q Dalar kelulusan sempat berubah dan pihak dinas terkait menyampaikan alasan “kesalahan pemasukan data”
q Banyak selenLngan di masyarakat yang mengatakan, masih banyak indikasi LLpan dari para pejabat dan pengusaha. Karena nilai UN anak-‐anak yang Ldak masuk grade sebuah sekolah tertentu, tetapi masih bisa diterima.
Kontrol apakah yang Ldak efekLf?
InformaLon System Audit Seminar -‐ Unikom, 2 Nopember 2015
Halaman 14
Studi Kasus #2
Sebuah Bank sedang melakukan upgrading Core Banking, yang dilaksanakan oleh pihak keLga. Terjadi masalah kriLkal yang sempat keluar di beberapa media nasional. Sepasang suami istri dapat menarik uang mencapai Rp 21 miliar meski total rekening mereka hanya Rp 123 ribu rupiah. Kejadian ini terjadi pada 10 April 2014 ynag menimpa salah satu bank swasta, saat terjadi upgrading system dan berakibat perubahan pada instalmen itu. Kasus baru dilaporkan setelah pihak bank mengetahui ada transfer yang melebihi saldo. "Sehingga nasabah-‐nasabah yang gunakan kartu ATM, keLka penarikan saldo di rekening Ldak berkurang. Ada pihak-‐pihak nasabah yang keterusan, ada yang sengaja ada yang Ldak sengaja," kata Direktur Tindak Pidana Ekonomi Khusus (Dit Tipid) Eksus Brigjen Arief Sulistyanto, di Mabes Polri, Jl Trunojoyo, Jakarta Selatan, Kamis (8/5/2014). Dari penyelidikan Bareskrim Polri, terdapat 7 nasabah yang melakukan transfer atau pengambilan berulang. Enam orang dilakukan pemeriksan, hasilnya keenam orang itu Ldak mengetahui dan penasaran kenapa saldo yang mereka debit Ldak berkurang satu sen pun. "Satu lagi Didik Agung Gunawan di Solo, saldo di rekening Rp 200 ribu, yang bersangkutan dan istrinya menarik Rp 4 miliar, istrinya Rp 17 miliar. Padahal saldonya Rp 100 ribu dan Rp 23 ribu," kata Arief.
InformaLon System Audit Seminar -‐ Unikom, 2 Nopember 2015
Halaman 15
Tipe-‐Lpe audit SI
InformaLon System Audit Seminar -‐ Unikom, 2 Nopember 2015
ARSITEKTUR TEKNOLOGI INFORMASI Aplikasi Bisnis, Data, Infrastruktur, Fasilitas
As part of Financial Audit
Compliance Audit
Control Review
Security Audit
Forensic Audit
CAAT
Integrated Audit
Value for Money Audit
Halaman 16
Part 2
IS Audit Methodology
InformaLon System Audit Seminar -‐ Unikom, 2 Nopember 2015
Halaman 17
Risk-‐based IS Audit
InformaLon System Audit Seminar -‐ Unikom, 2 Nopember 2015
Halaman 18
Compliance Test vs SubstanLve Test
InformaLon System Audit Seminar -‐ Unikom, 2 Nopember 2015
• Compliance test: Determines whether controls are in compliance with management policies and procedures
• SubstanLve test: Tests the integrity of actual processing
Halaman 19
Tahapan-‐Tahapan Audit (ISACA)
InformaLon System Audit Seminar -‐ Unikom, 2 Nopember 2015
1.Audit subject 2.Audit objecLve 3.Audit scope
4.Preaudit planning 5.Audit procedures 6.Procedures for evaluaLng the test
7.Procedures for communicaLon
8.Audit report preparaLon
Halaman 20
Tahapan-‐Tahapan Audit (ISACA)
InformaLon System Audit Seminar -‐ Unikom, 2 Nopember 2015
Audit Phases Descrip+on
Audit subject IdenLfy the area to be audited.
Audit objecLve IdenLfy the purpose of the audit. For example, an objecLve might be to determine whether program source code changes occur in a well-‐defined and controlled environment.
Audit scope IdenLfy the specific systems, funcLon or unit of the organizaLon to be included in the review. For example, in the previous program changes example, the scope statement might limit the review to a single applicaLon system or to a limited period of Lme.
Preaudit planning • IdenLfy technical skills and resources needed. • IdenLfy the sources of informaLon for test or review such as funcLonal flow charts, policies, standards, procedures and prior audit work papers.
• IdenLfy locaLons or faciliLes to be audited.
Halaman 21
Tahapan-‐Tahapan Audit (ISACA)
InformaLon System Audit Seminar -‐ Unikom, 2 Nopember 2015
Audit Phases Descrip+on
Audit procedures and steps for data gathering
• IdenLfy and select the audit approach to verify and test the controls.
• IdenLfy a list of individuals to interview. • IdenLfy and obtain departmental policies, standards and guidelines for review.
• Develop audit tools and methodology to test and verify control.
Procedures for evaluaLng the test or review results
OrganizaLon-‐specific
Procedures for communicaLon with management
OrganizaLon-‐specific
Audit report preparaLon • IdenLfy follow-‐up review procedures. • IdenLfy procedures to evaluate/test operaLonal efficiency and effecLveness.
• IdenLfy procedures to test controls. • Review and evaluate the soundness of documents, policies and procedures.
Halaman 22
ISACA IS Audit & Assurance Standards Framework
InformaLon System Audit Seminar -‐ Unikom, 2 Nopember 2015
q Framework for the ISACA IS AudiLng Standards www.isaca.org/ITAF: • Standards • Guidelines • Tools and Techniques
The AssociaLon’s Code of Professional Ethics provides guidance for the professional and personal conduct of members of ISACA and/or cerLficaLon holders.
Halaman 23
7 Enabler pada COBIT 5 untuk melihat Assurance
InformaLon System Audit Seminar -‐ Unikom, 2 Nopember 2015
Halaman 24
Studi Kasus #3
UNIKOM MISSION: Providing a modern higher educaLon based on the culture of the organizaLon UNIKOM, PIQIE (Professionalism, Integrity, Quality, InformaLon, Technology, Excellence), conducive to the educaLonal system and programs of study are based on solware (solware), hardware (hardware), and Entrepreneurship, to opLmize resources based on the principles of efficiency and effecLveness.
Bagaimana konstruksi 7 Enabler untuk merealisasikan “a modern higher educaLon system” yang berbasis TI? 1. Principles, Policies & Framework 2. Processes 3. OrganisaLonal Structure 4. Culture, Ethics & Behaviour 5. InformaLon 6. Services, Infrastructures & ApplicaLons 7. People, Skills & Competencies
InformaLon System Audit Seminar -‐ Unikom, 2 Nopember 2015
Halaman 25 ISAC
A Assurance Metho
dology based
on 7 en
abler
Halaman 26
Studi Kasus #4
Bagaimana kasus berikut ini bisa diselesaikan dengan pendekatan assurance berbasis 7 enabler? Pemda Kota X mengimplementasikan sebuah sistem informasi untuk memfasilitasi penerimaan siswa baru untuk SMP dan SMU. Sistem ini menangani proses pendalaran, pencatatan hasil tes dan nilai UN (dengan bobot tertentu), serta pengurutan nilai akhir dan kemudian adalah memutuskan secara otomaLs siapa yang diterima di salah satu sekolah berdasarkan hasil tes dan UN. Pada waktu pengumuman, banyak protes yang terjadi karena: q Sistem sangat lambat keLka diakses
q Dalar kelulusan sempat berubah dan pihak dinas terkait menyampaikan alasan “kesalahan pemasukan data”
q Banyak selenLngan di masyarakat yang mengatakan, masih banyak indikasi LLpan dari para pejabat dan pengusaha. Karena nilai UN anak-‐anak yang Ldak masuk grade sebuah sekolah tertentu, tetapi masih bisa diterima.
InformaLon System Audit Seminar -‐ Unikom, 2 Nopember 2015
Halaman 27
Menjadi IS Auditor?
q Demand yang besar – Kebutuhan tenaga IT Assurance ke depan akan semakin besar, dengan semakin besarnya tuntutan atas implementasi TI: security, benefit, compliance. Mayoritas perusahaan di Indonesia saat ini belum memiliki IT Auditor.
– IT Auditor – IT Security – IT Quality Assurance
q Fleksibilitas Karir – IT Auditor dituntut Ldak sekedar paham metodologi audit dan kontrol TI, tetapi juga pemahaman yang kuat atas bisnis. Karena risk assessment dalam pelaksanaan Audit TI Ldak mungkin dilakukan jika Ldak memiliki pemahaman atas bisnis yang baik. Secara umum, IT Auditor memiliki karir yang lebih fleksibel di perusahaan, memungkinkan jadi orang kunci di Teknologi sekaligus Bisnis. Di banyak perusahaan, posisi Auditor TI hanya bisa dijabat oleh orang bisnis atau TI yang sudah cukup lama menjalani posisi sebagai pelaksana.
q Salary – Silakan cek secara umum di Indonesia dan global.
q Freelance Opportunity – Rate mandays yang menjanjikan untuk freelance
q Kontribusi Sentral memperbaiki sistem
InformaLon System Audit Seminar -‐ Unikom, 2 Nopember 2015
Halaman 28
Terima Kasih
InformaLon System Audit Seminar -‐ Unikom, 2 Nopember 2015