Tatakelola dan audit ti - Indri Sudanawati Rozas
Download
Report
Transcript Tatakelola dan audit ti - Indri Sudanawati Rozas
Indri Sudanawati Rozas
Kehadiran
UTS
UAS
Tugas/Projek
15%
30%
35%
20%
• BAIK SEKALI > 80 A
• BAIK 73 – 80 AB
• SEDANG 65 – 72 B
• KURANG 57 – 64 BC
• KURANG SEKALI 49 - 56 C
• SANGAT KURANG SEKALI 41 - 48 D
• Mengulang = 40 E
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
Pengantar: Tatakelola & Audit TI, kontrak, overview
IT Governance: definisi, tujuan, framework
Contoh Implementasi IT Governance
Audit TI: definisi, ruang lingkup, step, framework
Implementasi Audit TI Menggunakan COBIT. COBIT 4.1
Step 1: Mapping BG – ITG – ITP
Step 2: How to analyse existing document. RACI
Step 3: How to measure ML. ML table property.
Step 4: About rekomendasi, CO Measurements
Laporan Audit
Projek: melakukan audit virtual
Konsultasi projek, ML tool
Konsultasi projek, CO tool
Presentasi projek akhir
Tata
Kelola TI
Tata Kelola TI ( IT Governance)
Framework Tatakelola TI
Audit
SI
Pengertian Audit Sistem Informasi
Tipe / fungsi Dasar Audit
Prinsip Laporan Audit
Metodologi Audit
IT Governance is the responsibility of the Board of Directors and
executive management, it is an integral part of enterprise
governance and consist of the leadership and organizational
structures and processes that ensure that the organization’s IT
sustains and extends the organization’s strategy and objectives. (IT
Governance Institute, 2001)
Specifying the decision rights and accountability framework to
encourage desirable behaviour in using IT. (Peter Weill & Jeanne W
Ross – MIT, 2004)
The system by which the current and future use of ICT is directed
and controlled. It involves evaluating and directing the plans for
the use of ICT to support the organization and monitoring this use
to achieve plans. It includes the strategy and policies for using ICT
within an organization. (Australian Standard on Corporate
Governance of ICT, 2005)
Perusahaan
Divisi
x
Divisi
x
Divisi
x
Apakah divisi IT bisa membantu
meningkatkan kinerja perusahaan?
Divisi
x
Divisi
IT
output
1. Nilai Maturity Level (1-5)
2. Rekomendasi
IT Audit sering disebut dengan:
IT
Risk Management
I.S. Risk Management
Operational Systems Risk Management
Technology & Security Risk Services
Typically a division of assurance services
Proses
pengumpulan dan evaluasi
fakta/bukti untuk menentukan apakah
sistem (terkomputerisasi):
Menjaga aset
Memelihara integritas data
Memampukan komunikasi & akses informasi
Mencapai tujuan operasional secara efektif
Mengkonsumsi sumber daya secara efisien
Planning
Organization
and Management
Policies and procedures
Security
Regulation and standard
Compliance
Kinerja
Kecurangan
Sertifikasi
System
Audit
Audit terhadap sistem terdokumentasi untuk
memastikan sudah memenuhi standar nasional
atau internasional
Compliance
Untuk menguji efektifitas implementasi dari
kebijakan, prosedur, kontrol dan unsur hukum
yang lain
Product
Audit
/ Service Audit
Untuk menguji suatu produk atau layanan telah
sesuai seperti spesifikasi yang telah ditentukan
dan cocok digunakan
Management
IT
Manager
IT Specialist (network, database, system
analyst, programmer, dll.)
User
Tergantung Tujuan Audit
Internal Audit (first party audit)
Dilakukan oleh atau atas nama perusahaan
sendiri
Biasanya untuk management review atau
tujuan internal perusahaan
Lembaga
Second party audit
independen di luar perusahaan
Dilakukan oleh pihak yang memiliki kepentingan thd
perusahaan
Third party audit
Dilakukan oleh pihak independen dari luar perusahaan.
Misalnya untuk sertifikasi (ISO 9001, BS7799 dll).
Memastikan
sisi-sisi penerapan IT memiliki
kontrol yang diperlukan
Memastikan kontrol tersebut diterapkan
dengan baik sesuai yang diharapkan
Audit
skill : sampling, komunikasi, melakukan
interview, mengajukan pertanyaan, mencatat
Generic knowledge : pengetahuan mengenai
prinsip2 audit, prosedur dan teknik, sistem
manajemen dan dokumen2 referensi,
organisasi, peraturan2 yang berlaku
Specific knowledge : background IT/IS, bisnis,
specialist technical skill, pengalaman audit
sistem manajemen, perundangan
Ethical
Berdasar pada profesionalisme, kejujuran,
integritas, kerahasiaan dan kebijaksanaan
Fair
Presentation
Kewajiban melaporkan secara jujur dan akurat
Due
conduct
professional care
Implementasi dari kesungguhan dan
pertimbangan yang diberikan
Independence
Evidence-base
approach
American
Institute of Certified Public
Accountants (AICPA)
Institute of Internal Auditor (IIA)
Internal Federation of Accountants (IFAC)
Information Systems Audit and Control
Association (ISACA)
Ikatan Akuntan Indonesia (IAI)
Ikatan Audit Sistem Informasi Indonesia
(IASII)
ISSA (Information System Security
Association) Indonesian Chapter
CISA
(Certified Information Systems Auditor)
CISM (Certified Information Security Manager)
CISSP (Certified IS Security Professional)
CIA (Certified Internal Auditor)
Kualifikasi :
Pengalaman dan pengetahuan untuk
mengidentifikasi, mengevaluasi, dan memberikan
rekomendasi berupa solusi untuk mengurangi
kelemahan sistem IT
=> Mengeluarkan sertifikasi untuk personal auditor