Ahmad Yusuf

benefit realisation

other Framework
stakeholder needs risk optimisation

new ISACA guidancematerial resource optimisation

COBIT, VAL IT, Risk IT, BMIS, ITAF

stakeholder driver
result combine 5G cascade
enterprise goal

IT-related goal
principles,policies &
framework
3. apply a single integrited enabler goal
framework 1. meting stakeholder
processes
need def relevant tangible goal

org structure Benefit filter the konowledge based on cobit

culture,ethic,behav ident & comm how enablers are important

enterprise enablers

diferrent firm diferrent goal

information
!!!
not distinguish size
service,infrastruktur COBIT 5
4. enabling a holistic care framework
FRAMEWORK Gov enablers

people skill & principle

competency
2. Covering enterprise end to end enterprise
enablers dimention Gov Scope
entity

role, activity & relationship

stakeholder
5. separating
goals
governance &
life cycle
management
good practise
Governance

Management
 Auditing and internal control
Computer assisted Audit tools and techniques

Auditing IT Governance Control

Data structure CAATTs for data extraction

Security Part 1:
Auditing Operating systems and networks
Auditing the revenue cycle

IT AUDITING
security II:
Auditing the expenditure cycle
Auditing Database System

Enterprise resource planning systems

System development and program change activities

Business ethics, fraud, and fraud detection

Transaction processing and financial
reporting systems overview
 Bab 1. Audit dan Pengendalian Internal

jasa atestasi
opini
audit eksternal 7an: keyakinan memadai
menjaga aset
CPA independen dari KAP
memastiakn keandalan & keakuratan umum
informasi akuntansi mengikuti standar
tujuan rencana
meningkatkan efisiensi & operasi manaj atestasi
jasa atestasi vs pekerjaan pemahaman
mengukur kepatuhan manj pd SOP/kebij jasa advisory meningkatkan lapangan IC
Tinjauan auditing efisiensi
advisory
preventif &efektifitasstandar audit bukti cukup
operasional
detektif PDC sesuai PABU
membantu
korektif audit internal id tidak
auditor eksternal
diterapkan
struktur org,nilai auditor eksternal vs internal pabu
lingkungan pelaporan
etika,integritas,budaya
Pengendalian internal investigasi anomali id
pengkuran audit fraud pengungkapan
dan mencari bukti
yg kurang
pengend umum
IT opini
pengend aplikasi COSO
aktivitas
Auditing and Pengendalian proses sistematis
Fisik komponen audit keuangan
inf & komunikasi
internal keberadaan/keterjadian
kelengkapan
monitoring
asersi manajemen hak & kewajiban
sblm ada SOX aud eks vs tujuan audit
dampak SOX thd audit
tdk wjb menguji IC penilaian & alokasi
penyajian &
pengungkapan
review kebijakan, praktik mendapatkan bukti
&struktur
materialitas
reviu pengendalian umum dan perencanaan
aplikasi mengkomunikasikan hasil
perencanaan Toc dan St
pelaksanaan TOC komponen risiko audit
struktur audit IT Audit IT risiko inheren
evaluasi hasil TOC

menentukan tingk keandalan control Risiko audit risiko deteksi

pelaksanaan perantara auditor internal dan eksternal model audit risiko

evaluasi ST sebelum SOX-dipekerjalan manajemen Peran komite audit TOC vs SToT

peny lap audit stelah SOX-dipekerjakan komite audit

 Company/Title
Bab II. Audit atas pengendalian tata kelola IT Title/Company
Date/Description

struktur org fungsi IT

vendor wan prestasi
Tata kelola IT pengelolaan
computer center operation
tata kelola IT
eksplitasi vendor
disaster recovery planning
biaya melebihi manfaat Risiko bawaannya semua layanan IT(database, input,
pengembangan sistem,dll)
dipegang fungsi IT
keamanan berkurang Pemrosesan
data terpusat pisahkan hak otorisasi dari yg melakukan proses
Outsorcing fungsi IT
no sinkron dgn sasaran strategi perusahaan Pemisahan tugas IT pisahkan tugas pencatan dari tugas menjaga aset
yg tidak boleh disatukan
Aud internal harus mengetahuiefektifitas IC vendor dgn cara pisahkan tugas pencatat jurnal, sub ledger dan
dampak thd audit
memperdpt lap audit atas vendor general jurnal
fungsi IT seperti database sistem, pengembangan
lokasi fisik-konstruksi-akses pegawai-AC-pencegah kebakaran terpusat sistem dan pemrosesan masih terpusat tp users
bisa menginput
alternatif
UPS yg harus diperhatikan
terdistribusi distribusi semua fungsi IT nya ke users
fault tolerance
Mencegah kehilangan data
biaya rendah (data diinput sendiri oleh user)
mengev pengelolaan keamanan computer center
meningkatkan pengendalian biaya(user menentukan
sumberdaya IY yg dibutuhkan)
pengendalian keamanan fisik cukup memadai tujuan audit keuntungan
Computer center meningkatkan kepuasaan users
cek apakah ada asuransi
mudah dilakukan backup
uji konstruksi fisik
AUDIT ATAS ketidakefisienan penggunaan sumberdaya
uji sistem deteksi kebakaran PENGENDALIAN Struktur Org fungsi IT model terdistribusi

uji pengendalian akses prosedur audit

TATA KELOLA IT jejak audit risiko rusak

risiko pemisahan tugas yg kurang baik

uji RAID
kurangnya kualitas SDM yg menggunakan
uji UPS
kurangnya standardisasi (user boleh mengembangkan sistem)

kebakaran,banjir,tornado natural
membentuk fungsi IT yg membantu pelaksanaan IT bagi
user (guidance)
sabotase, error manusia jenis
pengendalian fungsi IT sbg pengujian terpusat atas software dan
lingkungan DDP hardware yg akan digunakan
power outage - drive failure - OS crash kegagalan sistem
seleksi pegawai yg akan menjadi users oleh fungsi IT

ident aplikasi penting

tujuan audit atas struktur fungsi IT memverifikasi bahwa telah dilakukan pemisahan tugas

pembentukan tim pemulihan bencana must do

reviu dokumen terkait( struktur org, jobdesk)

penyediaan lokasi back up Disaster Recovery planning

Prosedur audit reviu dokumen sistem dan catatan pemeliharaan
ver disaster rec plan nya cukup memadai 7an audit
verifikasi bahwa operator tidak memiliki akses untuk mengubah sistem

eval lokasi back up

periksa daftar aplikasi yg penting

prosedur audit
ver backup software

eval backupdata

evaluasi tim disaster rec

 Bab III: Keamanan bag 1 :
Audit Atas OS dan Jaringan
apakah OS terlindungi dari kerusakan yang
Tujuan audit OS
ditimbulkan pengguna dan lingkungannnya

Prosedur Log on

Sistem akses dengan token

Penyalahgunaan hak akses Keamanan OS
Daftar pengendalian akses
risiko Intranet
database perusahaan diubah
pegawai Discrecionary acces privileges (pd DDP user
dapat memberi hak tertantu bagi user lainnya
IP spoofing (ganti Ip lalu
ngehack) Penyalahgunaan hak akses

Denial of service attack Ancaman terhadap integritas Hacking

(mencgah web server u Risiko internet
melayani pengguna resminya) Virus
Audit atas OS
Network failure (kegagalan Verivikasi bahwa akses
tujuan audit
hardware/software/kabel) diberikan sesuai kebijakan org
Bab 3. Akses
Firewall Riview kebijakan org
Audit atas jaringan
Keamanan bag 1 Prosedur audit
Enkripsi data Audit Atas OS riview daftar pengendalian akses
Mengelola risiko dan
ancaman subversif
dan Jaringan
Digital signature Reusaable password : pasw email
Jenis audit
Digital certificate one time password : token

Memverifikasi bahwa memastikan bahwa org memiliki kebij efektif dan

pengendalian atas jaringan 7-an memadai terkait password untuk mengendalikan
Tujuan audit akses ke OS
memberikan keamanan dan
integritas transaksi keuangan Password
Verifikasi bahwa untuk mengakses butuh
Reviu ketersediaan firewall Pengujian password
audit atas OS
Reviu prosedur kemanan melalui Reviu prosedur pengendalian password bahwa
prosedur password harus diganti berkala
data enkripsi
Prosedur
Reviu message transaction logs Reviu file passworduntuk mengecek kekuatan
pasword (panjang, angka huruf)

Reviu kebij lock out setelah gagal memasukkan

password ber-x

7-an Memverifikasi bahwa kebijakan dan prosedur

manajemen sudah efektif u mencegah virus

wawancara pegawai mengenai

Virus
pemahaman merekan akan virus

Prosedur ver bahwa software baru sudah di tes

di komp lain sebelm diinstal

Ver bahwa software abtivirus

memutakhirkan
Bab IV : Audit atas sistem DB

Flat file Penyusnan data 2 dimensi dalam kolom2 dan baris2

Pendekatan
manajemen Data Kumpulan inf yg disimpan dalam komputer secara sistematik sehingga dapat diperiksa
Database
menggunakan suatu program komputer unt memperolh inf dari baris tersebut
Perangkat lunak yg digunakan untuk mengelola dan memanggil query basis data
Definisi

Pengembangan program

Fitur Backup dan recovery

Database
management system pelaporan penggunaan database

datbase definition language bahasa pemrograman u mendefinisikan database u DBMS

Database manipulation
language bahasa pemrograman u mengambil, mengolah, dan menyimpan data

Elemen kunci
Bertanggungjawab menangani database
dari lingkungan
database Administrator DB Planning
database
DB design
Tugas
DB implementation, operation, maintenance

DB growth and change

Kemanan Bag II:
database fisik Operasi pemrosesan file retrieve,insert, update,read, find,scan,delete
Audit atas
sistem
Database Tujuan audit Memverifikasibahwa hak akses terhadap DB diberikan sesuai kebijakan

verify appropriate acces authority

Pengendalian akses
evaluasi biometrik control

Verivy inference control

Prosedur
verivy encription controls
Audit atas
Sub Topic verivy backup controls
Mangements system
verivy offsite storage

Memverifikasi bahwa pengendalian atas data cukup untuk menjaga integritas dan
Tujuan kemanan fisik atas Db
Pengendalian backup
periksa apakah backup dilakukan secara rutin
Prosedur
periksa pakah ada prosedur backup otomatis yg berjalan dengan baik dan hasilnya salinannya
disimpan di lkasi lain untuk meningkatkan kemanan