METODOLOGI AUDIT SI/TI

Pertemuan ke 6

Mata Kuliah Tata Kelola dan Audit Sistem Informasi

Diema Hernyka S, M.Kom

Metodologi SI/TI

Outline :

Tahapan/metodologi Audit SI/TI

Metode Audit

Teknik Audit

Metodologi Audit berdasarkan framework COBIT

Teknik Bertanya dalam Audit

“Tahapan Audit SI/TI” 1. Tahapan Perencanaan

a. Sosialisasi Tujuan Audit TI (ke institusi terkait); waktu, jumlah tim

b. Guideline; daftar pengecekan berdasarkan framework yang dipilih

2. Tahap Pengumpulan Bukti

a. Melalui berbagai teknik termasuk survei, interview, observasi dan review dokumentasi(termasuk source-code)

b. Data dalam bentuk file softcopy

c. Menggunakan CAAT (Computer Aided Auditing Technique) untuk menganalisa data

3. Tahap Pendokumentasian Bukti

4. Tahap Pembuatan Laporan Audit

“Metode Audit SI/TI”

Gabungan dari berbagai macam ilmu:

Traditional Audit

Manajemen Sistem Informasi

Sistem Informasi Akuntansi

Ilmu Komputer

Behavioral Science

Biasanya menggunakan Computer-Assisted Audit Tools

(CAATs) atau Computer-Assisted Audit Tools and Techniques

(CAATTs). CAATTs memungkinkan auditor untuk melakukan

audit through the database dan komputer

“Teknik Audit SI/TI”

Laksanakan audit sesuai sesuai rencana.

Gunakan daftar pengecekan untuk membantu mengarahkan

alur audit.

Temukan fakta dengan mengajukan pertanyaan secara

sistematik.

Cocokkan temuan-temuan fakta dengan bukti-bukti di

dilokasi.

Jadwal Audit

Dipersiapkan agar sesuai dengan lingkup setiap audit.

Mencakup semua aspek pekerjaan dalam lingkup audit.

Frekuensi audit tergantung pada status dan kepentingan

audit.

Jadwal harus diinformasikan sebelumnya kepada teraudit.

Pertemuan Pembukaan Dipimpin oleh ketua tim auditor

Memperkenalkan tim auditor kepada manajemen teraudit

Melakukan kaji ulang tujuan dan lingkup audit

Melakukan kaji ulang metode dan prosedur audit

Meminta persetujuan jadwal audit

Memastikan jalur komunikasi dengan pemandu dari teraudit

Mengkonfirmasi ketersediaan sumber daya dan fasilitas

Mengkonfirmasi kerahasiaan

Mengkonfirmasi pertemuan penutupan

Mengklasifikasi setiap masalah yang mungkin timbul

Teknik Audit Dasar

Analisis dengan cara wawancara, diskusi, atau konsultasi

dengan para penanggung jawab.

Observasi, dengan cara :

Melakukan kaji ulang dokumen, file dan catatan – catatan

Mengamati pekerjaan yang sedang berlangsung

Menguji masukan, proses, dan keluaran pekerjaan

Menguji sumber daya dan fasilitas

Permintaan informasi dengan cara investigasi, sekaligus untuk

melakukan verifikasi

Kegunaan Daftar Pengecekan

Kegiatan Audit

Membantu perencanaan audit

Memastikan kelancaran audit

Memudahkan untuk diacu saat penyusunan laporan audit

Hal – hal yang di cek auditor

Otoritas dan tanggung jawab

Buku panduan dan cara pengendalian kegiatan

Pengetahuan dan pemahaman teraudit

Orang, piranti, sumber daya dan fasilitas

Efisiensi, dan efektivitas operasi

Tindakan koreksi

Pertemuan pra penutupan

Dipimpin oleh ketua tim auditor

Mengaitkan temuan-temuan (yakinkan segala sesuatunya telah

benar)

Mengevaluasi dan melakukan kaji ulang hasil audit

Menentukan tindakan yang akan dilakukan

Mengelompokkan temuan-temuan

Memastikan laporan telah dipersiapkan dengan benar

Menyusun draf laporan akhir

Pertemuan penutupan Dipimpin oleh ketua tim auditor

Ucapkan terima kasih kepada anggota

Perkenalkan ulang tim audit

Berikan penjelasan singkat tentang audit yang dilakukan

Presentasikan ketidaksesuaian

Berikan ringkasan menyeluruh dan kesimpulan

Menyetujui tanggal tindakan perbaikan

Menjelaskan tindakan selanjutnya

Mengulang pemeriksaan untuk sebagian yang tidak disetujui oleh teraudit

Menyerahkan salinan laporan ketidaksesuaian

Mencatat persetujuan yang dicapai.

Daftar Pengecekan

Tujuan :

Mengkomunikasikan dan menjaga agar audit tetap dalam

lingkup audit

Menyediakan pendekatan terstruktur

Mamandu auditor

Mengumpulkan dan menyusun catatan-catatan selama audit

Membantu penyiapan laporan akhir

Keunggulan daftar pengecekan

Lebih siap

Penghematan waktu

Sistematis

Memorisasi

Memberi gambaran sistem mutu secara menyeluruh

Dalam membuat daftar pengecekan menggunakan

framework/best practise Audit SI/TI

“Metodologi Audit SI/TI berdasarkan framework

COBIT”

1. Penentuan Scope objectives

1. Memahami visi, misi, dan tujuan bisnis domain

2. Pemetaan BG – ITG – ITP

3. Penentuan prioritas ITP

4. Mendapatkan ITP final yang akan diaudit

5. Mengidentifikasi proses IT yang akan diaudit

Penentuan proses IT yang akan diaudit mempertimbangkan Proses TI

dengan tingkat kepentingan tinggi sebagai area yang akan diaudit.

Kelompok pertama: mengambil sekelompok domain yang sesuai dengan

kepentingan, misalkan domain DS.

Kelompok kedua: memilih IT proses yang terkait dengan tujuan bisnis organisasi.

Dilakukan dengan cara melakukan mapping dari Business Goal ke IT Goal

kemudian ke IT Process.

2. Persiapan Audit

1. Penentuan RACI Chart

RACI (Responsible, Accountable, Consulted,

Informed)

Untuk menentukan list person yang akan

diobservasi, diberi kuisioner, atau diwawancara

2. Membuat maturity level tool dan control objective tool

3. Membuat tools untuk wawancara

3. Pelaksanaan Audit

1. Wawancara

2. Observasi

3. Mengumpulkan eviden Foto kondisi eksisting

Dokumen yang dimiliki

4. Mendokumentasikan temuan

5. Menyusun Laporan awal

4. Analisis dan Penilaian

1. Konversi nilai hasil wawancara dan temuan

2. Analisis hasil wawancara dan temuan

3. Penyusunan rekomendasi

5. Menyusun Laporan Audit

1. Pembuatan draft Laporan Akhir

2. Sosialisasi dan revisi Laporan Akhir

3. Penyerahan Laporan Akhir

Hasil Audit SI/TI Laporan audit SI/TI yang berisi:

Ruang lingkup dan tujuan audit SI/TI

Kondisi eksisting sistem informasi

Metodologi / langkah-langkah yang dilakukan

Bukti (evidence) audit SI/TI yang dikumpulkan

Temuan audit dan tingkat kedewasaan proses TI

Kesimpulan hasil temuan

Rekomendasi untuk perbaikan berkelanjutan

“Teknik Bertanya Dalam Audit”

Pertanyaan

Harus memenuhi kebutuhan informasi

Tidak mengarahkan pada suatu jawaban tertentu

Tidak ada bias dari auditor

Tipe Pertanyaan Terbuka :

Jelaskan...?

Bagaimana mengerjakan...?

Jangan biarkan teraudit menjelaskan terlalu panjang

Tertutup :

Benar atau salah ?

Ya atau tidak ?

Penjelasan :

Lebih dirinci untuk sesuatu yang penting

Pertanyaan tidak dilanjut

Harus diakhir dengan “tunjukkan (catatan atau bukti)”

Kebaikan atau keburukan tipe

pertanyaan

Tipe tertutup :

Kebaikan : cepat, mudah

Keburukan : teraudit harus memutuskan apakah harus

menjawab “ya” atau “tidak” (tidak ada penjelasan)

Tipe terbuka dan penjelasan :

Kebaikan : mengetaui jawaban secara rinci

Keburukan : menghabiskan banyak waktu dan biaya

Cara berkomunikasi dengan teraudit

Auditor jangan terlalu banyak bicara

Jangan takut diam dan hanya mendengarkan teraudit

Gunakan pertanyaan terbuka

Merespon jawaban teraudit pada waktu yang tepat

Gunakan beberapa cara/media

Penyebab kegagalan berkomunikasi

Hanya mendengarkan bagian tertentu

Tanpa mengklasifikasi persoalan dalam pembahasan/diskusi

Merespon terlalu cepat

Merespon dengan emosi

Menulis berkepanjangan

Menghindar dari persoalan yang selalu sulit

Membiarkan teraudit berbicara terus

Suara bising dan gaduh dari disekitarnya

Selesai

“Terima Kasih”

“Sampai jumpa di pertemuan selanjutnya“