Ringkasan dokumen tersebut adalah sebagai berikut: 1. Dokumen tersebut membahas tentang materi perkuliahan ISI4P3 Teknik Audit dan Kontrol Sistem Informasi yang mencakup konsep dasar sistem informasi, audit, dan kontrol serta metode pengujian kontrol sistem informasi. 2. Terdapat 16 topik pertemuan yang membahas berbagai aspek terkait perencanaan, pelaksanaan, dan pelaporan hasil audit sistem informasi. 3. Dokumen memberikan

1. 1
Information
System
Assurance
ISI4P3 Teknik Audit dan
Kontrol Sistem Informasi
By: Team Teaching IS Management
Information Systems | School of Industrial
Engineering | Telkom University

2. 2
Week Materi CLO Deskripsi
1 Information system assurance and audit
2 Metodologi audit sistem informasi
3 Kontrol sistem informasi --> Contoh dengan SOX
4 Risk assessment dan penentuan scope audit --> Pakai contoh ITGC RA Telkom
5 Penyusunan program audit
6 Penyusunan kegiatan audit
7 Penyusunan kebutuhan logistik audit
8 Testing atas general control terkait dengan tata kelola dan manajemen TI
9 Testing atas technical control pada sistem informasi dan infrastruktur
10 Testing atas application control yang selaras dengan profil risiko pada level proses bisnis
11 Teknik kompilasi berbagai temuan sesuai dengan subject area: tata kelola/manajemen TI
12 Teknik kompilasi berbagai temuan sesuai dengan subject area: sistem informasi dan infrastruktur TI
13 Teknik kompilasi berbagai temuan sesuai dengan subject area: application control
14 Good practices dalam penyusunan laporan audit
15 Presentasi Tugas
16 Presentasi Tugas
CLO4 Menyimpulkan hasil audit dan
menyusun laporan kegiatan audit
sistem informasi
CLO1 Konsep Assurance, audit, kontrol,
dan metode pengujian kontrol SI
CLO2 Perencanaan dan Scoping audit SI
berdasarkan pendekatan Risk
Assessment
CLO3 Melakukan pengujian kontrol
berdasarkan studi kasus yang
diberikan atau diajukan
Desain Perkuliahan

3. Agenda
1. Konsep audit dan assurance
2. Komponen dan kriteria assurance
3. Perbandingan tipe assurance engagement
4. Three lines of defense
5. Tugas dan evolusi peran IS Auditor
6. IS Auditor knowledge requirements
7. IS Auditor tools
3

4. Non-Attestation Services
Assurance
Attestation Services
Financial Audit
Compliance
Review
Information
System Audit
Internal
Audit
Control Self
Assessment
Management
Consulting
ASSURANCE
*atestasi: suatu pernyataan pendapat atau pertimbangan yang diberikan oleh seorang yang independen dan kompeten yang menyatakan
apakah asersi (assertion) suatu entitas telah sesuai dengan kriteria yang telah ditetapkan.
*asersi adalah suatu pernyataan yang dibuat oleh satu pihak yang dimaksudkan untuk digunakan oleh pihak lain, contoh asersi dalam laporan
keuangan historis adalah adanya pernyataan manajemen bahwa laporan keuangan sesuai dengan prinsip akuntansi yang berlaku umum.
Assurance: “Independent
professional services that
improve the quality of
information, or its context for
decision makers.” (American
Institute of Certified Public
Accountants)

5. Ilustrasi Assurance
5
Source: COBIT 5 for Assurance

6. Komponen dan Kriteria Assurance
• Tiga komponen utama Assurance:
• Provider assurance, misalnya CPA/KAP, auditor, konsultan manajemen, regulator, dsb.
• Informasi atau proses yang di-assure, mulai dari informasi laporan keuangan tradisional sampai dengan
informasi berbasis sistem, dsb, disebut dengan subject matter.
• Pengguna/ beneficiaries yang mendapatkan value dari layanan assurance, misalnya perusahaan,
pelanggan, investor/ pemegang saham, dsb.
• Kriteria Assurance:
• Objectivity (tidak bias)
• Measurability (pengukuran konsisten, baik kualitatif maupun kuantitatif)
• Understandability (komunikasi jelas dan tidak menimbulkan salah tafsir)
• Completeness (pemenuhan faktor terkait)
• Relevance (relevan dengan subject matter)

7. Audit
“The process of obtaining and evaluating evidence to determine
whether an IT system safeguards the organisational assets, uses
resources efficiently, maintains data security and integrity, and fulfils
the business objectives effectively.” (INTOSAI)
“formal, independent, and objective examination of an organization’s
information systems to determine whether the activities (e.g.,
procedures, controls, etc.) involved in gathering, processing, storing,
distributing, and using information comply with guidelines, safeguard
assets, maintain data integrity, and operate effectively and efficiently
to achieve the organization’s objectives.” (Otero, Angel R., 2019)
Bagaimana memastikan status efektifitas tersebut?
Pengumpulan dan
evaluasi Evidence
Analisa Efektifitas Sistem
Informasi atas obyektif bisnis
“Formal inspection and verification to check whether a standard or
set of guidelines is being followed, records are accurate, or efficiency
and effectiveness targets are being met regarding the combination of
strategic, managerial, and operational activities involved in gathering,
processing, storing, distributing and using information and its related
technologies (I&T).” (ISACA)

8. Apa saja obyektif bisnis yang relevan dengan SI dan
bagaimana hubungannya dengan efektifitas SI?
Prinsip dasar IS Audit adalah melakukan pengumpulan bukti dan pelaksanaan evaluasi atas efektifitas desain dan
keberjalanan IT Control. Jika efektif maka obyektif bisnis akan dapat tercapai, atau sebaliknya.
Source: COBIT 4.1

9. Tugas IS Auditor
• IT Control Review
• Risk Analysis & Consulting
• Internal Consulting, misal dalam konteks pengembangan/modifikasi sistem informasi:
▫ IS Auditor dapat membantu memberikan masukan terkait internal control yang memadai dalam sistem informasi beserta
penggunaan metode yang sesuai seperti SDLC (System Development Life-Cycle), juga memberikan masukan terkait proses
testing dan mekanisme manajemen perubahan yang memadai
▫ IS Auditor tidak boleh terlibat secara langsung dalam proses design, development, dan instalasi sistem baru/modifikasi
tersebut
• Investigasi Fraud berbasis Sistem Informasi
• Benchmarking
• Technology expertise yang terkait dengan business
• Business expertise yang terkait dengan technology
• Trusted, objective dan independent advise terhadap manajemen/unit pelaksana
• “Peer Reviews” unit/tim auditor lainnya
• Membantu pelaksanaan Control Self Assessments (CSA) oleh Auditee

10. Audit
Activities

11. Tugas dan Evolusi Peran IS Auditor
11
Traditional Role New Role
Detection Prevention
Policeman Business Partner
Focus on audit Focus on business
Focus on cost Focus on customer
Focus on function Focus on process
Auditor Risk manager
Hierarchical Team
Quill Pen Technology

12. Perbandingan Tipe Assurance Engagement
12
Source: COBIT 5 for Assurance

13. Best Practice: Three Lines of Defense
(sumber: IIA, ISACA)
Risk Ownership Risk management Risk Assurance

14. Survey IS Audit: Responden & Referensi
Framework
Survey dilakukan pada 300 organisasi pada 20
negara (Eropa, Timur Tengah dan Afrika)
COBIT diadopsi hampir 75% di organisasi
responden, sebagai framework IS Audit
Source: KPMG

15. ***Perkembangan COBIT

16. Perhatian Utama IS AuditRISIKO TI
• Perubahan lingkungan kontrol internal
• Potensi berkurangnya akuntabilitas karena sifat anonim user
• Kemungkinan amandemen data yang tidak terotorisasi atau
tidak tercatat
• Modifikasi terhadap audit evidence
• Kemungkinan duplikasi data
• New Opportunities & mechanism untuk fraud dan error
• Penyimpanan dan pemrosesan data terdistribusi
• Kerahasiaan dan integritas informasi kunci bisnis
▪ …….. 16
Seiring dengan semakin masifnya adopsi TI dan makin cepatnya perkembangan TI, kebutuhan akan IS Audit
juga semakin meningkat. Auditor memiliki kebutuhan untuk menilai potensi risiko atas sistem yang digunakan
1. Keamanan system secara
keseluruhan
2. Pengembangan dan akuisisi system
informasi
3. Modifikasi system informasi
4. Proses yang dilakukan system
informasi
5. Data
6. Arsip, pencatatan, dan
dokumentasi
Sumber: Modul CA - Sistem Informasi dan
Pengendalian Internal, 2015, IAI

17. Konsep Dasar Pengendalian Risiko TI:
Berdasarkan ISO 27005, Risiko TI adalah kemungkinan
Threat (ancaman) untuk mengeksploitasi Vulnerability
(kerentanan) yang ada pada aset/resources
perusahaan/organisasi (proses bisnis, data/informasi,
infrastruktur: hardware, network, site, aplikasi/software,
organisasi & SDM) dan menghasilkan business impact
yang dapat menghambat pencapaian tujuan organisasi.
Risk-based audit approach
suatu teknik audit dimana semua kegiatan audit yang dimulai dari perencanaan audit, pelaksanaan
audit, dan pelaporan hasil audit berbasis pada prioritas risiko perusahaan yang telah ditetapkan
bersama manajemen operasional dengan melakukan risk assessment.
Risk assessment: proses identifikasi dan analisis risiko bisnis yang dihadapi perusahaan dibandingkan
dengan risk acceptance criteria.

18. Gartner, Nov 2020
Focus of Risk-based audit
Enterprise Risk Profile according to
COBIT 2019
Audit hot spots

19. Integrated Audit
 considers the relationship between information technology, financial
and operational controls in establishing an effective and efficient
internal control environment.
 evaluates the interplay between financial, operational and technology
processes on the achievement of control objectives.
(https://rmas.fad.harvard.edu/faq/what-integrated-audit)
Benefits:
1. Lower costs,
2. Improve reporting
3. More effective and efficient audit processes
4. Increase auditor confidence
5. Wider scope
6. Increase audit activities credibility
7. More consistent objectives across multiple systems
Financial IS
Operational

20. Survey: Pergeseran dari IS Audit tradisional menuju lebih proaktif,
pemberian nilai tambah, bekerja lebih dekat dengan TI dan fungsi
bisnis.
20
Source: KPMG

21. Survey: Kepada siapa Head of IS Audit Melapor?
21
Masih ada sekitar 10% pelaporan hasil audit kepada IS Manager (Auditee)
Source: KPMG

22. IS Auditor Knowledge Requirements
Traditional Auditing IS Management
Computer Science Behavioral Science
IS AUDIT
Internal Control
Philosophy
Computer
Domain
Project
Management
Organizational
Behavior
Domain BOK (Body of Knowledge) CISA:
1. Domain 1— The Process of Auditing
Information Systems (21%)
2. Domain 2— Governance and
Management of IT (16%)
3. Domain 3— Information Systems
Acquisition, Development and
Implementation (18%)
4. Domain 4— Information Systems
Operations, Maintenance and Service
Management (20%)
5. Domain 5— Protection of Information
Assets (25%)

23. Survey: Skill dan Training IS Auditor
23
Tantangan terbesar bagi Head of IS Audit adalah
menyeimbangkan ketrampilan teknis staff dengan
pengetahuan yang luas ttg bisnis. Strategi yang
digunakan adalah mix antara IS Auditor dan non IS-
Auditor, 60% melakukan hal ini.
Secara umum waktu training yang dialokasikan masih
rendah, 29% organisasi menyediakan waktu kurang dari 1
minggu dalam setahun untuk training.
Source: KPMG

24. IS Auditor Tools: Tools yang digunakan untuk Audit Test
Walaupun tools paling banyak digunakan untuk
Data Analysis, breakdown atas tipe-tipe tools
memperlihatkan bahwa 33% organisasi secara
aktual belum menggunakan tool data analysis
atau data sampling
Source: KPMG

25. 25
DISKUSI

26. 26

27. Tugas 1
▪ Tugas Kelompok
▪ Studi Literatur: Implementasi data analytics dalam proses IT audit
▪ Metodologi: Structured Literature Review
▪ Referensi:
▫ Webster, 2002, Analyzing the past to prepare for the future: Writing a literature
review
▫ Wadesango N, et.all., LITERATURE REVIEW OF THE EFFECTS OF THE ADOPTION
OF DATA ANALYTICS ON GATHERING AUDIT EVIDENCE. Academy of Accounting
and Financial Studies Journal. 2021
▪ Deadline: 10 Maret 2022, 23:59 WIB