Landasan Audit Sistem Informasi

advertisement
Pengantar Audit Sistem Informasi
CDG4I3 / Audit Sistem Informasi
Angelina Prima K | Gede Ary W.
KK SIDE - 2015
ANGELINA PRIMA KURNIATI (APK)
SIDE (Software Engineering, IS/IT, Data Engineering)
F205/ F320
081322433411 (sms only)
[email protected]
2
Tujuan Perkuliahan
Matakuliah Audit Sistem Informasi berisi pengajaran mengenai
kontrol dan audit sistem informasi.
Topik yang akan dibahas meliputi konsep dasar kontrol dan audit,
tahapan audit, standar dan panduan audit SI, serta proses
pengumpulan dan evaluasi bukti.
Matakuliah ini juga memperkenalkan mahasiswa pada COBIT 5 dan
ITIL V3 sebagai standar yang dapat digunakan dalam melaksanakan
audit sistem informasi.
Di akhir perkuliahan, mahasiswa diharapkan mampu menerapkan
konsep-konsep yang telah dipelajari ke dalam proses audit
sesungguhnya pada studi kasus tertentu.
3
Silabus
1. Konsep dasar dan prinsip umum kontrol dan audit SI
2. Proses audit SI
3. Standar dan panduan audit SI
4. Konsep control internal
5. Kerangka control manajemen dan aplikasi
6. Perencanaan dan manajemen audit
7. Proses pengumpulan dan evaluasi bukti
8. Audit EDM, APO, BAI, DSS dan MEA
9. Tatakelola TI dan manajemen resiko
10. ITIL V3
4
Daftar Pustaka
1.
2.
3.
4.
5.
6.
___. Information System Control and Audit. Ron Weber,
1999.
___. Information System Audit and Assurance. DubeGulati, 2005.
Cascarino, Richard. Auditor’s Guide to Information System
Auditing. John Wiley & Sons, 2007.
CISA Review Manual 2010. Information System Audit and
Control Association.
ISACA. COBIT 5- A Business Framework for the
Governance and Management of Enterprise IT. 2012.
Senft, Sandra and Frederick Gallegos. Information
Technology Control and Audit. Third Edition. Taylor&
Francis Group. 2009.
Kontrak Belajar
Jadwal:
– 3 SKS: 3 jam kuliah, 1 jam responsi (4 x 50 menit per minggu)
– 14 minggu (28 pertemuan)
A : 80 <= NA <= 100
– Toleransi keterlambatan = 15 menit
AB: 75 <= NA < 80
Penilaian:
B : 65 <= NA < 75
– UTS
25%
BC: 60 <= NA < 65
– UAS
30%
C : 45 <= NA < 60
– Tugas besar
20%
D : 30 <= NA < 45
– Tugas, kuis
20%
E : 0 <= NA < 30
– Kehadiran
5% (>=75%)
Tidak ada kuis/ tugas/ tugas besar susulan/ perbaikan/
tambahan
Jika ditemukan indikasi plagiarism dalam tugas, nilai akhir MK
ini adalah E
6
Latar Belakang
Sistem Informasi merupakan asset bagi suatu
perusahaan yang bila diterapkan dengan baik akan
memberikan kelebihan untuk berkompetensi
sekaligus meningkatkan kemungkinan bagi
kesuksesan suatu usaha
Dalam mengimplementasikan sistem informasi
tersebut harus ada suatu tolok ukur untuk mencegah
terjadinya hal-hal di luar rencana organisasi, dan
agar pengoperasian sistem informasi bisa dilakukan
secara efektif dan efisien.
7
Tujuan Pengukuran Sistem Informasi
Tujuan pengukuran terhadap sistem informasi adalah
untuk meyakinkan manajemen bahwa apakah kinerja
sistem informasi yang ada pada organisasi nya sesuai
dengan perencanaan dan tujuan usaha yang dimilikinya.
Wujud dari pengukuran tersebut adalah
AUDIT SISTEM INFORMASI
8
Extensive use of Computers
Komputer digunakan untuk mengolah data dan
menyediakan informasi untuk membuat keputusan.
– Sebelumnya, komputer hanya digunakan oleh
perusahaan besar yang dapat menanggung biaya
membeli komputer dan biaya operasi komputer.
– Seiring perkembangan jaman, mikro komputer
dengan paket perangkat lunak menjadikan setiap
orang menggunakannya di kantor dan di rumah
dengan mudah.
9
Factors influencing
toward control and audit of computers
Costs of
incorrect
decision making
Organizational
costs of data
loss
Value of
HW,SW,
personnel
Costs of
computer abuse
Maintenance of
privacy
Controlled
evolution of
computer use
High costs of
computer error
ORGANIZATION
Control and audit of computerbased information systems
10
Need for Control and Audit of Computers (1)
Organization costs of data loss
– Contoh: Hilangnya data yang menyimpan account receivable
pelanggan yang membeli secara kredit di sebuah department
store besar, karena file-nya rusak
Incorrect decision making
– Data yang tidak benar menyebabkan keputusan yang diambil
tidak tepat bahkan sama sekali salah dan menyebabkan
kerugian organisasi.
Cost of computer abuse
– Hacking, viruses, illegal physical access, abuse of priviledges
– Konsekuensi: kerusakan/ pencurian/ modifikasi aset,
pelanggaran privasi, operasional terhambat
11
Need for Control and Audit of Computers (2)
Value of hardware, software and personnel
– Sumber daya organisasi, selain data, adalah hardware, software
dan SDM
– Organisasi menginvestasikan multimillion dollar untuk hardware
– Software sangat membantu operasi organisasi. Apabila rusak
atau dicuri maka menyebabkan kerugian finansial bagi
organisasi
– SDM selalu menjadi sumber daya paling bernilai.
High cost of computer error
– Contoh: komputer memonitor kondisi pasien selama operasi
bedah, mengarahkan peluru, mengendalikan reaktor nuklir
12
Need for Control and Audit of Computers (3)
Maintenance of privacy
– Kemampuan komputer mengolah data menyebabkan
perubahan ke arah privasi individu (dan organisasi)
Controlled evolution of computer use
– Contoh: penelitian penggunaan komputer utk
mendukung perintah dan sistem kendali senjata nuklir
– Contoh: haruskah komputer menggantikan tenaga
manusia?
– Pemerintah, badan profesi, grup, organisasi dan individu
harus mengevaluasi dan memonitoring bagaimana kita
menerapkan teknologi komputer.
13
Definisi
Audit
Independent review and examination of records and
activities to assess the adequacy of internal controls, to
ensure compliance with established policies and
operational procedures, and to recommend necessary
changes in controls, policies, or procedures.
IT/IS Audit
The process of collecting and evaluating evidence to
determine whether a computer system safeguards
assets, maintains data integrity, allows organizational
goals to be achieved effectively and uses resources
efficiently.
14
Dampak Audit Sistem Informasi
Asset
safeguarding
System
efficiency
IT/IS Audit
System
effectiveness
Data
integrity
Sasaran Audit
Auditing ditujukan untuk memastikan business assurance bagi
perusahaan, dengan memperhitungkan business risk bagi
perusahaan.
Dalam peningkatan kecepatan saat ini, transaksi terjadi antar
komputer dari perusahaan-perusahaan yang berbisnis serta
berfrekuensi tinggi, maka mulai dirasakan perlu untuk
menempatkan titik kontrol yang tepat.
Audit tidak lagi hanya dilakukan pada akhir tahun buku.
Audit dapat dilakukan bahkan untuk setiap transaksi dan saat
transaksi terjadi.
16
Peran Seorang Auditor
Untuk menempatkan titik kontrol yang tepat, maka perlu
dilakukan kerjasama dengan pegawai di Departemen Sistem
Informasi. Hal tersebut karena seluruh data transaksi terjadi
dan disimpan dalam server yang dikelola oleh departemen itu.
Selain itu, Departemen Internal Auditor juga perlu melakukan
business process reengineering, dari langkah awal yaitu proses
penerimaan auditor baru sampai pada langkah akhir yaitu
pemberian pendidikan dan pelatihan yang dibutuhkan.
Penetapan titik kontrol yang tepat, kerjasama dan business
process reengineering, tidak dapat dilakukan oleh mesin,
sehingga di sinilah peran auditor sebagai manusia dituntut
untuk tetap ada.
17
Landasan Audit Sistem Informasi
Information
Systems
Management
Traditional
Auditing
Audit
Sistem Informasi
Computer
Science
18
Behavioral
Science
Traditional Auditing
Membawa ilmu pengaruh tentang teknik kendali internal
(internal control techniques)
Traditional auditing: mengumpulkan dan menilai bukti
guna menentukan dan melaporkan kesesuaian antara
aktivitas ekonomi
Metodologi umum untuk pengumpulan dan evaluasi bukti
juga berbasis pada metodologi audit tradisional (dibahas
di pertemuan lain).
19
Information Systems Management
Sejarah membuktikan bhw SI berbasis komputer hanya membawa
kehancuran, dan menyebabkan kegagalan mencapai tujuan
organisasi
–
Setelah beberapa tahun para peneliti sibuk mencari cara yang lebih baik
utk manajemen pengembangan dan implementasi sistem informasi
Kini beberapa kemajuan telah dicapai di MIS, misal teknik manajemen
proyek telah menyebabkan suksesnya pengembangan SI.
Dokumentasi, standar, budget, dan investigasi diterapkan
Perubahan cara pengembangan dan implementasi SI mempengaruhi
audit SI
–
20
Misal: analisis/desain berbasis objek, para programmer membuat program
lbh cepat dng sedikit eror dan mudah pemeliharaan
Behavioral Science (=people problem)
SI terkadang gagal karena desainer tidak menghargai isu-isu
manusia terkait pengembangan dan implementasi sistem

Misal: resistensi terhadap SI, user mencoba mensabotase sistem,
user dan designer kurang berkomunikasi karena perbedaan konsep
mengenai domain aplikasi
Auditor hrs memahami kondisi yang berkaitan dengan
masalah perilaku, yang akan menyebabkan kegagalan sistem
Para peneliti menekankan kebutuhan desain sistem pada
tugas-tugas yg dicapai SI (teknik), dan kualitas kerja
pegawainya (sosial) di dalam organisasi.
21
Computer Science
Ilmu komputer menekankan pada pengetahuan
bagaimana membuktikan kebenaran dari perangkat
lunak, membangun sistem komputer yang toleran
pada kegagalan, mendesain sistem operasi yang
aman, dan pengiriman data secara aman melalui link
komunikasi
Pengetahuan-pengetahuan tersebut membawa cara
yang lebih baik untuk asset safeguarding, data
integrity, system effectiveness dan system efficiency.
22
Metodologi Audit SI
CobIT (Control Objectives for Information & Related
Technology) adalah panduan kerja dalam pengelolaan
teknologi informasi. Disusun oleh ISACA (Information
Systems Audit and Control Association) dan ITGI (IT
Governance Institute)
CobIT
COBIT (Control Objectives for Information and related
Technology),
merupakan salah satu metodology yang memberikan
kerangka dasar dalam menciptakan sebuah Teknologi
Informasi yang sesuai dengan kebutuhan organisasi
dengan tetap memperhatikan faktor – faktor lain
yang berpengaruh.
Sebagai model untuk organisasi sistem informasi,
maka COBIT memuat kendali yang sifatnya generik.
24
26
THANK YOU
Download