8/28/2014 1 Pengantar Audit Sistem Informasi ANGELINA PRIMA
advertisement
8/28/2014 Pengantar Audit Sistem Informasi CDG4I3 / Audit Sistem Informasi Angelina Prima K | Gede Ary W. 12-CRS-0106 REVISED 8 FEB 2013 KK SIDE - 2014 ANGELINA PRIMA KURNIATI (APK) SIDE (Software Engineering, IS/IT, Data Engineering) F205/ F320 [email protected] 2 12-CRS-0106 REVISED 8 FEB 2013 081322433411 (sms only) 1 8/28/2014 Tujuan Perkuliahan Matakuliah Audit Sistem Informasi berisi pengajaran mengenai kontrol dan audit sistem informasi . Topik yang akan dibahas meliputi konsep dasar kontrol dan audit, tahapan audit, standar dan panduan audit SI, serta proses pengumpulan dan evaluasi bukti. Matakuliah ini juga memperkenalkan mahasiswa pada COBIT 5 dan ITIL V3 sebagai standar yang dapat digunakan dalam melaksanakan Di akhir perkuliahan, mahasiswa diharapkan mampu menerapkan konsep-konsep yang telah dipelajari ke dalam proses audit sesungguhnya pada studi kasus tertentu. 3 12-CRS-0106 REVISED 8 FEB 2013 audit sistem informasi. 1. Konsep dasar dan prinsip umum kontrol dan audit SI 2. Proses audit SI 3. Standar dan panduan audit SI 4. Konsep control internal 5. Kerangka control manajemen dan aplikasi 6. Perencanaan dan manajemen audit 7. Proses pengumpulan dan evaluasi bukti 8. Audit EDM, APO, BAI, DSS dan MEA 9. Tatakelola TI dan manajemen resiko 10. ITIL V3 4 12-CRS-0106 REVISED 8 FEB 2013 Silabus 2 8/28/2014 Daftar Pustaka 2. 3. 4. 5. 6. ___. Information System Control and Audit. Ron Weber, 1999. ___. Information System Audit and Assurance. DubeGulati, 2005. Cascarino, Richard. Auditor’s Guide to Information System Auditing. John Wiley & Sons, 2007. CISA Review Manual 2010. Information System Audit and Control Association. ISACA. COBIT 5- A Business Framework for the Governance and Management of Enterprise IT. 2012. Senft, Sandra and Frederick Gallegos. Information Technology Control and Audit. Third Edition. Taylor& Francis Group. 2009. 12-CRS-0106 REVISED 8 FEB 2013 1. Kontrak Belajar Tidak ada kuis/ tugas/ tugas besar susulan/ perbaikan/ tambahan Jika ditemukan indikasi plagiarism dalam tugas, nilai akhir MK ini adalah E 6 12-CRS-0106 REVISED 8 FEB 2013 Jadwal: – 3 SKS: 3 jam kuliah, 1 jam responsi (4 x 50 menit per minggu) – 14 minggu (28 pertemuan) A : 80 <= NA <= 100 – Toleransi keterlambatan = 15 menit AB: 75 <= NA < 80 Penilaian: B : 65 <= NA < 75 – UTS 25% BC: 60 <= NA < 65 – UAS 30% C : 45 <= NA < 60 – Tugas besar 20% D : 30 <= NA < 45 – Tugas, kuis 20% E : 0 <= NA < 30 – Kehadiran 5% (>=75%) 3 8/28/2014 [Review] Aturan Akademik 1 SKS = – 1 jam interaksi terjadwal (tatap muka di kelas) – 1 jam kegiatan terstruktur (menjawab soal, menyusun makalah, dll) – 1 jam kegiatan mandiri (membaca pustaka, praktikum mandiri, dll) Syarat minimum perkuliahan: – Dosen harus menyelenggarakan minimal 96% – Mahasiswa harus hadir minimal 75% Pakaian seragam harian: – Kemeja/ blouse warna putih – Celana panjang/ rok warna biru (bukan jeans) – Bersepatu (bukan sepatu sandal) dan berkaos kaki pelanggaran berat 7 12-CRS-0106 REVISED 8 FEB 2013 Kejahatan akademik (pencontekan, plagiat, pemalsuan) Latar Belakang Sistem Informasi merupakan asset bagi suatu perusahaan yang bila diterapkan dengan baik akan memberikan kelebihan untuk berkompetensi sekaligus meningkatkan kemungkinan bagi kesuksesan suatu usaha 8 12-CRS-0106 REVISED 8 FEB 2013 Dalam mengimplementasikan sistem informasi tersebut harus ada suatu tolok ukur untuk mencegah terjadinya hal-hal di luar rencana organisasi, dan agar pengoperasian sistem informasi bisa dilakukan secara efektif dan efisien. 4 8/28/2014 Tujuan Pengukuran Sistem Informasi Tujuan pengukuran terhadap sistem informasi adalah untuk meyakinkan manajemen bahwa apakah kinerja sistem informasi yang ada pada organisasi nya sesuai dengan perencanaan dan tujuan usaha yang dimilikinya. AUDIT SISTEM INFORMASI 9 12-CRS-0106 REVISED 8 FEB 2013 Wujud dari pengukuran tersebut adalah Extensive use of Computers Komputer digunakan untuk mengolah data dan menyediakan informasi untuk membuat keputusan. – Sebelumnya, komputer hanya digunakan oleh perusahaan besar yang dapat menanggung biaya membeli komputer dan biaya operasi komputer. 10 12-CRS-0106 REVISED 8 FEB 2013 – Seiring perkembangan jaman, mikro komputer dengan paket perangkat lunak menjadikan setiap orang menggunakannya di kantor dan di rumah dengan mudah. 5 8/28/2014 Factors influencing toward control and audit of computers Costs of incorrect decision making Organizational costs of data loss Value of HW,SW, personnel Costs of computer abuse Maintenance of privacy Controlled evolution of computer use High costs of computer error Control and audit of computerbased information systems 11 12-CRS-0106 REVISED 8 FEB 2013 ORGANIZATION Need for Control and Audit of Computers (1) Organization costs of data loss – Contoh: Hilangnya data yang menyimpan account receivable pelanggan yang membeli secara kredit di sebuah department store besar, karena file-nya rusak Incorrect decision making – Data yang tidak benar menyebabkan keputusan yang diambil tidak tepat bahkan sama sekali salah dan menyebabkan kerugian organisasi. – Hacking, viruses, illegal physical access, abuse of priviledges – Konsekuensi: kerusakan/ pencurian/ modifikasi aset, pelanggaran privasi, operasional terhambat 12 12-CRS-0106 REVISED 8 FEB 2013 Cost of computer abuse 6 8/28/2014 Need for Control and Audit of Computers (2) Value of hardware, software and personnel – Sumber daya organisasi, selain data, adalah hardware, software dan SDM – Organisasi menginvestasikan multimillion dollar untuk hardware – Software sangat membantu operasi organisasi. Apabila rusak atau dicuri maka menyebabkan kerugian finansial bagi organisasi – SDM selalu menjadi sumber daya paling bernilai. – Contoh: komputer memonitor kondisi pasien selama operasi bedah, mengarahkan peluru, mengendalikan reaktor nuklir 13 12-CRS-0106 REVISED 8 FEB 2013 High cost of computer error Need for Control and Audit of Computers (3) Maintenance of privacy – Kemampuan komputer mengolah data menyebabkan perubahan ke arah privasi individu (dan organisasi) Controlled evolution of computer use – Contoh: penelitian penggunaan komputer utk mendukung perintah dan sistem kendali senjata nuklir – Pemerintah, badan profesi, grup, organisasi dan individu harus mengevaluasi dan memonitoring bagaimana kita menerapkan teknologi komputer. 14 12-CRS-0106 REVISED 8 FEB 2013 – Contoh: haruskah komputer menggantikan tenaga manusia? 7 8/28/2014 Definisi Audit Independent review and examination of records and activities to assess the adequacy of internal controls , to ensure compliance with established policies and operational procedures, and to recommend necessary changes in controls, policies, or procedures. The process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively and uses resources efficiently. 15 12-CRS-0106 REVISED 8 FEB 2013 IT/IS Audit Dampak Audit Sistem Informasi Asset safeguarding IT/IS Audit System effectiveness Data integrity 12-CRS-0106 REVISED 8 FEB 2013 System efficiency 8 8/28/2014 Sasaran Audit Auditing ditujukan untuk memastikan business assurance bagi perusahaan, dengan memperhitungkan business risk bagi perusahaan. Dalam peningkatan kecepatan saat ini, transaksi terjadi antar komputer dari perusahaan-perusahaan yang berbisnis serta berfrekuensi tinggi, maka mulai dirasakan perlu untuk menempatkan titik kontrol yang tepat. Audit dapat dilakukan bahkan untuk setiap transaksi dan saat transaksi terjadi. 17 12-CRS-0106 REVISED 8 FEB 2013 Audit tidak lagi hanya dilakukan pada akhir tahun buku. Peran Seorang Auditor Untuk menempatkan titik kontrol yang tepat, maka perlu dilakukan kerjasama dengan pegawai di Departemen Sistem Informasi. Hal tersebut karena seluruh data transaksi terjadi dan disimpan dalam server yang dikelola oleh departemen itu. Penetapan titik kontrol yang tepat, kerjasama dan business process reengineering, tidak dapat dilakukan oleh mesin, sehingga di sinilah peran auditor sebagai manusia dituntut untuk tetap ada. 18 12-CRS-0106 REVISED 8 FEB 2013 Selain itu, Departemen Internal Auditor juga perlu melakukan business process reengineering, dari langkah awal yaitu proses penerimaan auditor baru sampai pada langkah akhir yaitu pemberian pendidikan dan pelatihan yang dibutuhkan. 9 8/28/2014 Landasan Audit Sistem Informasi Information Systems Management Traditional Auditing Audit Sistem Informasi Behavioral Science 12-CRS-0106 REVISED 8 FEB 2013 Computer Science 19 Traditional Auditing Membawa ilmu pengaruh tentang teknik kendali internal (internal control techniques) Traditional auditing: mengumpulkan dan menilai bukti guna menentukan dan melaporkan kesesuaian antara aktivitas ekonomi Metodologi umum untuk pengumpulan dan evaluasi bukti 20 12-CRS-0106 REVISED 8 FEB 2013 juga berbasis pada metodologi audit tradisional (dibahas di pertemuan lain). 10 8/28/2014 Information Systems Management Sejarah membuktikan bhw SI berbasis komputer hanya membawa kehancuran, dan menyebabkan kegagalan mencapai tujuan organisasi – Setelah beberapa tahun para peneliti sibuk mencari cara yang lebih baik utk manajemen pengembangan dan implementasi sistem informasi Kini beberapa kemajuan telah dicapai di MIS, misal teknik manajemen proyek telah menyebabkan suksesnya pengembangan SI. Dokumentasi, standar, budget, dan investigasi diterapkan – Misal: analisis/desain berbasis objek, para programmer membuat program lbh cepat dng sedikit eror dan mudah pemeliharaan 21 12-CRS-0106 REVISED 8 FEB 2013 Perubahan cara pengembangan dan implementasi SI mempengaruhi audit SI Behavioral Science (=people problem) SI terkadang gagal karena desainer tidak menghargai isu-isu manusia terkait pengembangan dan implementasi sistem Misal: resistensi terhadap SI, user mencoba mensabotase sistem, user dan designer kurang berkomunikasi karena perbedaan konsep mengenai domain aplikasi Para peneliti menekankan kebutuhan desain sistem pada tugas-tugas yg dicapai SI (teknik), dan kualitas kerja pegawainya (sosial) di dalam organisasi. 22 12-CRS-0106 REVISED 8 FEB 2013 Auditor hrs memahami kondisi yang berkaitan dengan masalah perilaku, yang akan menyebabkan kegagalan sistem 11 8/28/2014 Computer Science Ilmu komputer menekankan pada pengetahuan bagaimana membuktikan kebenaran dari perangkat lunak, membangun sistem komputer yang toleran pada kegagalan, mendesain sistem operasi yang aman, dan pengiriman data secara aman melalui link komunikasi 12-CRS-0106 REVISED 8 FEB 2013 Pengetahuan-pengetahuan tersebut membawa cara yang lebih baik untuk asset safeguarding, data integrity, system effectiveness dan system efficiency. 23 Metodologi Audit SI 12-CRS-0106 REVISED 8 FEB 2013 CobIT (Control Objectives for Information & Related Technology) adalah panduan kerja dalam pengelolaan teknologi informasi. Disusun oleh ISACA (Information Systems Audit and Control Association) dan ITGI (IT Governance Institute) 12 8/28/2014 CobIT 25 12-CRS-0106 REVISED 8 FEB 2013 Sebagai model untuk organisasi sistem informasi, maka COBIT memuat kendali yang sifatnya generik. 12-CRS-0106 REVISED 8 FEB 2013 COBIT (Control Objectives for Information and related Technology), merupakan salah satu metodology yang memberikan kerangka dasar dalam menciptakan sebuah Teknologi Informasi yang sesuai dengan kebutuhan organisasi dengan tetap memperhatikan faktor – faktor lain yang berpengaruh. 13 8/28/2014 Perkenalan 1. Nama? NIM? 2. Apa yang dimaksud dengan Audit Sistem Informasi? 3. (Pilih salah satu) a) Mengapa organisasi merasa perlu menerapkan audit sistem informasi? b) Apa peran auditor SI dalam organisasi? c) Ilmu apa saja yang berkaitan dengan audit SI? 12-CRS-0106 REVISED 8 FEB 2013 Apa yang Anda harapkan akan dipelajari dalam kuliah ini? 27 THANK YOU 28 12-CRS-0106 REVISED 8 FEB 2013 4. 14
