PORTOFOLIO PERKULIAHAN Audit dan Kontrol Teknologi Informasi Semester Genap – 2015/2016 Dosen : Mardhani Riasetiawan, MT (1120130041/771) Departmen Ilmu Komputer dan Elektronika Fakultas Matematika dan Ilmu Pengetahuan Alam Universitas Gadjah Mada 2016 Pendahuluan Dokumen portofilo perkuliahan untuk matakuliah Audit dan Kontrol Teknologi Informasi merupakan dokumen evaluasi pelaksanakaan perkulaiahn pada Semester Genap tahun akademik 2015/2016. Mata kuliah Audit dan Kontrol Teknologi Informasi dilaksanakan ada kelas regular program studi ilmu computer yang diambil oleh mahasiswa. Dokumen portofolio perkuliahan ini terdiri atas 2 bab dan lampiran. Bab 1 menguraikan metode perkulaiahan, metode evaluasi, sistem penilaian, uraian hasil statistic kelas, dan refleksi/self evalution perkuliahan. Bab 2 membahas silabus perkuliahan, relasi kompetensi perkuliahan menurut kriteria ASIIN dam realisasi pelaksnaan kuliah. Lampiran terdiri atas handout perkuliahan, ujian tengah semester dan akhir semester. 1 Bab 1. Portofolio Audit dan kontrol pada Teknologi Informasi diperlukan untuk memastikan organisasi memiliki kemampuan untuk memaksimalkan sumber daya teknologi informasi dan komunikasi dan meminimalkan munculnya resiko. Audit dan kontrol teknologi informasi menjadi penting karena organisasi membutuhkan acuan, parameter dan kontrol untuk memastikan semua sumber daya perusahaan menuju pada pencapaian tujuan organisasi secara terintegratif dan komprehensif. Organisasi juga membutuhkan rambu-rambu untuk memastikan penerapan dan implementasi teknologi informasi dan komunikasi tidak menimbulkan resiko-resiko yang menganggu tercapainya tujuan organisasi. Organisasi, perusahaan, lembaga dan instansi pemerintah dalam penerapan system dan teknologi informasi mengharapkan manfaat sebesar-besarnya dan meminmalkan resiko yang potensial timbul. Organisasi menempatkan system dan teknologi informasi sebagai alat utama dalam menjalankan proses bisnis dan menjalankan roda operasional perusahaan. Mereka membutuhkan jaminan ketersediaan, kehandalan dan kualitas dalam implementasi dan dukungan sumber daya system teknologi informasi. 1.1 Metode Perkuliahan Mata kuliah IT Audit dan Kontrol menjelaskan sebuah proses untuk mereview dan memposisikan IT sebagai instrument penting dalam pencapaian usaha/bisnis korporasi. Audit IT dan control melakukan proses sistematik, terencana, dan menggunakan keahlian IT untuk mengetahui tingkat kepatuhan, kinerja, nilai, dan resiko dari implementasi teknologi. Kemampuan mengetahui pengetahuan dan skill pada IT Audit dan control selain juga menunjukkan jenjang professional tertentu dalam professional, juga membuat seseorang akan menganalisa, merancang, membangun, mengimplementasikan, memonitor dan melakukan pengembangan berkelanjutan TIK tidak sekedar beroperasi tetapi juga mengikuti kaidah industri dan standar internasional. Mata Kuliah ini ditujukan salah satunya untuk mengajak peserta mata kuliah melihat IT sebagai asset penting bagi organisasi dan korporasi. Pada semester Genal tahun ajaran 2015/2016 ini, perkulaiah di kelas berlangsung dalam bentuk presentasi materi, diskusi kasus, pengerjaan tugas individu dan kelompok, dan aktivitas studi kasus di luar kampus. Kuliah dilengkapi dengan dukungan pembelajaran elektronik dengan menggunakan http://www.elisa.ugm.ac.id, seperti yang ditunjukkan pada Gambar 1 dan website dosen http://mardhani.staff.ugm.ac.id yang ditunjukkan pada Gambar 2. 2 Gambar 1. Elisa Gambar 2. Website Personal Perkuliahan menggunakan buku teks Information Technology Auditing(Hall, A. James and Singleton, Tommie, 3thedition, Thompson Learning, September 3 2010), Auditor's Guide to Information Systems Auditing (Cascarino, E Richard, John Wiley and Sons, March 2007), Core Concept of Information Technology Auditing (Hunton, E. James,, 1sted., John Wiley & Sons, 2004) dan Audit dan Kontrol Teknologi Informasi (Mardhani Riasetiawan, Inside technology Publiher .Book 2016). Saya mengampu kuliah selama 14 pertemuan ditambah dengan 2 pertemuan untuk Ujian Tengah Semester dan Ujian Akhir Semester yang diikuti oleh 22 mahasiswa dari angkatan 2013, 2014 kelas regular Ilmu Komputer. Perkuliahan disampaikan secara interaktif dengan membagi setiap pertemuan kedalam 3 sesi, yaitu sesi pemaparan teori/materi dari dosen yang disarikan dari litertur, standar, dan best practices yang ada. Sesi berikutnya dengan memantik daya kritis mahasiswa utuk mengeluarkan ide dan pendapat dengan melakukan diskusi berbasis kasus yang dijadikan contoh dalam materi, dan sesi terakhir adalah sesi interaksi baik untuk presentasi dan Tanya jawab antar mahasiswa. Pada minggu ke 8 dan ke 16 dilaksanakan Ujian Tengah Semester dan Ujian Akhir Semester dengan memberikan soal yang berorientasi pada eksplorasi pemahaman mahasiswa terhadap teori dan studi kasus. Perkuliahan secara khusus memberikan porsi penugasan kelompok yang dibuat sejak awal perkuliahan dengan mengenali subjek studi kasus sampai melakukan setiap tahapan proses audit sampai akhir. Penugasan ini diawal semester mengalami sedikit kendala karena keterbatasan waktu pengerjaan dan proses yang dilakukan mahasiswa yang membutuhkan adaptasi model perkuliahan yang berbasis eksplorasi. 1.2 Metode Evaluasi Metode evaluasi pada perkuliahan ini menggunakan komponen Ujian Tengah Semester, Ujian Tengah Semester, Tugas 1, Tugas 2, Tugas 3, Tugas 4, Quiz dan Absensi. UJian Tengah Semester dan Ujian Akhir Semester menggunakan model studi kasus yang kemudian pertanyaan muncul dari kasus yang disajikan untuk diselesaikan oleh mahasiswa. Tugas dilakukan dalam durasi 2 pertemuan 1 kali, dengan model pengerjaan kelompok dan individu dikelas dan dipresentasikan pada akhir sesi dan atau pada pertemuan berikutnya. Quiz dilaksanakan secara random, yang pada semester ini dilakukan pada pertemuan ke 4 dan ke 9 perkuliahan. Pencapaian Learning Outcome yang menjadi target pada perkuliahan ini sebagai berikut Deskripsi Mampu menjelaskan dan mendiskripsikan definisi, lingkup dan proses audit dan kontrol TI. Mampu menganalisa dan mendefinisikan standar yang digunakan PLO PLO2 PLO3 dalam proses audit dan kontrol TI 4 Deskripsi Mampu mengikuti dan menginterprestasikan proses dan hasil PLO PLO3 audit TI menjadi sebuah langkah strategis perbaikan dan rekomendasi bagi organisasi Mampu menggunakan beberapa teknik data science, dan algoritma analisa yang diterapkan pada proses audit Mampu menjadi team leader, mengorganisasikan dan bekerjasama dalam tim. PLO3 PLO4 Adapun pengukuran pencapaian outcome dengan proporsi sebagai berikut Evaluasi Metode 2 soal UTS (10%) (LO-1) Mampu menjelaskan dan mendiskripsikan definisi, lingkup Paper review (5%) dan proses audit dan kontrol TI. (LO-2) Mampu menganalisa dan mendefinisikan standar yang digunakan dalam proses audit dan kontrol TI 2 soal UTS (10%) Tugas 1 (5%) (LO-3) Mampu mengikuti dan menginterprestasikan proses dan hasil audit TI menjadi sebuah langkah strategis perbaikan dan rekomendasi bagi organisasi 2 soal UTS (10%) Tugas 3 – studi kasus (5%) Tugas 4 – studi kasus (5%) Tugas 5 – studi kasus (5%) 3 soal UAS (15%) (LO-4) Mampu menggunakan beberapa teknik data science, dan algoritma analisa yang diterapkan pada proses audit 2 soal UAS (10%) 2 soal UTS (10%) Final Project 1 (5%) Final Project 2 (5%) (LO-5) Mampu menjadi team leader, mengorganisasikan dan bekerjasama dalam tim. Presentasi Final Project 1 (7.5%) Presentasi Final Project 2 (7.5%) 1.3 Sistem Penilaian Kriteria penilaian menggunakan komponen sebagai berikut Komponen Persentase Penilaian 2 soal UTS (10%) Paper review (5%) 15% 2 soal UTS (10%) Tugas 1 (5%) 15% 5 2 soal UTS (10%) Tugas 3 – studi kasus (5%) Tugas 4 – studi kasus (5%) Tugas 5 – studi kasus (5%) 3 soal UAS (15%) 2 soal UAS (10%) 2 soal UTS (10%) Final Project 1 (5%) Final Project 2 (5%) Presentasi Final Project 1 (7.5%) Presentasi Final Project 2 (7.5%) 25% 30% 15% Kriteria Nilai didasarkan pada sebagai berikut Nilai A diberikan dengan skor antara 100 sd 75 Nilai B diberikan dengan skor antara 60 sd 74,9 Nilai C diberikan dengan skor antara 50 sd 59,9 Nilai D diberikan dengan skor antara 49,99 ke bawah 1.4 Uraian Terhadap Statistik Kelas Uraian terhadap statistic kelas dilakukan dalam kontribusi mahasiswa dalam beberapa komponen sebagai berikut Tingkat keaktifkan kelas yang direfleksikan dengan tingkat kehadiran dan keaktifan dalam interaksi kelas. Grafik 1. Tingkat Partisipasi Kelas Pada grafik 1 menunjukkan tingkat partisipasi kelas per pertemuan mencapai rata-rata 19 mahasiswa pertemuan yang berarti hampir 86,36% dari jumlah keseluruhan peserta perkuliahan Tingkat partisipasi per mahasiswa setiap pertemuan 6 Grafik 2. Partisipasi mahasiswa pada pertemuan Grafik 2 menunjukkan jumlah partisipasi per mahasiswa pada pertemuan yang diadakan. rata-rata mahasiswa masuk 9, 72 pertemuan dalam 1 semester. Terdapat 1 mahasiswa yang tidak pernah hadir dikarenakan membatalkan mengikuti matakuliah ini. 1.5 Uraian Pencapaian Learning Outcome & Program Learning Outcomes Pada pencapaian Learning Outcome mata kuliah mendapatkan hasil yang disajikan pada Grafik 3. Grafik 3. Pencapaian Learning outcome matakuliah Pada perkuliahan mata kuliah ini pencapaian LO mencapai sebagai berikut: Kemampuan menjelaskan dan mendiskripsika definisi, lingkup dan proses audit mencapai 3.8 Kemampuan menganalisa dan mendefinsisikan standar yang digunakan dalam proses audit dan control TI mencapai 3,6 7 kemampuan mengikuti dan menginterprestasikan proses dan hasil audit TI menjadi sebuah langkah strategis perbaikan dan rekomendasi bagi organisasi mencapai 4 Kemampuan menggunakan beberapa teknik data science, dan algoritma analisa yang diterapkan pada proses audit mencapau 3.9 Kemampuan menjadi team leader, mengorganisaisikan dan bekerjasama dalam tim mencapai 4.2 Pencapaian Program learning Outcome menunjukkan pencapaian yang signifikan terhadap item outcome yang disasar untuk mata kuliah ini. Grafik 4 menunjukkan tingkat pencapaian dalam skala 0-5. Grafik 4. Capaian Program Learning Outcomes Sebaran Nilai Kuliah yang dihasilkan disajikan pada Grafik 5 sebagai berikut Grafik 5. Sebaran Nilai Kuliah Peserta matakuliah ini mendapatkan sebaran nilai A sebanyakn 7,33%, Nilai B sebanyak 11,52%, Nilai C sebanyak 2,10% dan Nilai D sebanyak 1,5%. 8 1.6 Evaluasi Diri Perkuliahan Pada masa akhir perkuliahan dilaksanakan evaluasi diri pelaksanaan sebagai berikut: Hasil partisipasi mahasiswa dalam perkuliahan perlu ditingkatkan untuk meningkatkan daya serap materi yang disampaikan. Hasil partisipasi ratarata meskipun menunjukkan sudah cukup tinggi tetapi perlu ditingkatkan Hasil keaktifan mahasiswa per pertemuan juga perlu ditingkatkan untuk merefleksikan keaktifan mahasiswa dalam perkuliahan. Penyiapan materi dan bahan kuliah sudah dilaksanakan sebelum semester berjalan dan dilakukan review untuk memastikan sesuai dengan perencanaan. Pengayaan dengan studi kasus dan penjelasan dengan contoh untuk membuat lebih jelas konsep yang ingin dijalankan. Proses pelaksanaan dan pemberian perkulaiah sesuai dengan rencana dan cukup membuat mahasiswa antusias dan dengan kombinasi ice breaking yang bisa memecah kejenuhan dalam menempuh seri kuliah sebanyak 16 pertemuan. Hasil nilai perkuliahan juga menunjukkan hasil yang normal dan hamper merata kecuali ada 1 -2 mahasiswa yang memang karena tidak aktif sejak perkulaihan berlangsung mendapatkan hasil yang tidak memuaskan. 1.7 Rencana Tindaklanjut Sebagai perbaikan pada semester berikutnya, apabila mata kuliah ini diselenggarakan adalah dengan mempertahankan model perkuliahan dan menambah porsi aktivitas mahasiswa berinteraksi dan mengeluarkan ide terhadap kasus yang diberikan Perkuliahan juga memberika perhatian lebih pada keaktifan dan partisipasi kelas dalam bentuk kehadiran, absen fisik dan Tanya jawab Pembagian proporsi penyampaian materi dalam 1 sesi memperhatikan banyaknya bobot materi sehingga cukup Membantuk tim asisten didalam kelas untuk memudahkan distribusi dan asistensi pengerjaan tugas. 9 Bab 2. Module, Silabus, Kompetensi Perkuliahan Menurut ASIIN dan Realisasi 2.1 Module Module name Module level Code Courses (if applicable) Semester Contact person Lecturer Language Relation to curriculum Type of teaching, contact hours Workload Credit points Requirements according to the examination regulations Recommended prerequisites Learning outcomes and their corresponding PLOs Content Audit & Control TI Undergraduate MII-4501 Audit & Control TI Fall (Gasal) Mardhani Riasetiawan, MT Mardhani Riasetiawan, MT Bahasa Indonesia and English 1. Undergraduate degree program, elective, 5th or 7th semester. 2. International undergraduate program, elective, 5th or 7th semester. 1. Undergraduate degree program: lectures, < 60 students, Thursdays, 14.30-17.00. 2. International undergraduate program: lectures, < 30 student, Tuesdays, 10.30-13.00. 1. Lectures: 3 x 50 = 150 minutes (2.5 hours) per week. 2. Exercises and Assignments: 3 x 60 = 180 minutes (3 hours) per week. 3. Private study: 3 x 60 = 180 minutes (3 hours) per week. 3 credit points (sks). A student must have attended at least 75% of the lectures to sit in the exams. Software Engineering After completing this module, a student is expected to: PLO2 LO1 be able to explain and describe the definition, scope and audit processes and IT control. LO2 Be capable of analyzing and defining the PLO3 standards used in the audit process and IT control. LO3 Be ableto follow and interpret results of the audit process and IT becomes a strategic step PLO3 improvements and recommendations for the organization. LO4 be able to use some of the techniques of data PLO4 science and analysis algorithms are applied to the audit process. LO5 be able to be a team leader, organize and work in teams. IT Audit and Control describes a process for reviewing and 10 Study and examination requirements and forms of examination Media employed Assessments and Evaluation Reading List position IT as an important instrument in achieving business / corporate business . IT audit and control the process of systematic , planned, and use IT skills to determine the level of compliance , performance, value , and risk of technology implementations . The ability to know the knowledge and skills on IT Audit and control as well as show a certain professional level in a professional , also makes a person will analyze, design , build, deploy , monitor and sustainable development of ICT not only operate but also follow the rules of the industry and international standards . Course is intended in part to encourage participants subjects viewed IT as an important asset for organizations and corporations Mid-terms examination and Final examination. LCD, blackboard, websites, and ACL tools. LO1: problem 1 ,2 in midterm and paper resview task (15%). LO2: problem 3, 4 in midterm (10%), and task 2 (5%). LO3: problem 5, 6 in midterm (10%), task3 (5%), task 4 (5%), task 5 (5%), problem 1,2,3 in final term (15%). LO4: problem in 7,8 in midterm (10%), problem 4, 5 in final (5%), and task 6 (5%). LO5: problem 6, 7 in final (5%), final project 1 (5%), and final final project 1 (5%), final project 2 (5%). LO6: final project 1 (7,5%), final project 2 7,5%) Hall, A. James and Singleton, Tommie, Information Technology Auditing, 3thedition, Thompson Learning, September 2010. Cascarino, E Richard, Auditor's Guide to Information Systems Auditing, John Wiley and Sons, March 2007 Hunton, E. James, Core Concept of Information Technology Auditing, 1sted., John Wiley & Sons, 2004 Mardhani Riasetiawan, Audit Technology Publishing, 2016 & Kontrol TI, Inside 2.2 Silabus 11 UN IVE RSITAS GAD JAH MAD A FMIPA/DIKE/S1 ILMU KOMPUTER Gedung SIC Lantai, Sekip, Bulaksumur, 55281, Yogyakarta Rencana Program dan Kegiatan Pembelajaran Semester (RPKPS) Audit & Control IT Gasal/3/ MII-4501 oleh Mardhani Riasetiawan, MT. Tahun Ajaran 2016/2017 Juli 2016 12 RPKPS (RANCANGAN PROGRAM KEGIATAN PEMBELAJARAN SEMESTER) 1. Course Name : Audit & Control IT 2. Course Code/Credits : MII-4501 / 3 credits 3. Prerequisites : Software Engineering 4. Course Type : Elective 5. Short Description IT Audit and Control describes a process for reviewing and position IT as an important instrument in achieving business / corporate business . IT audit and control the process of systematic , planned, and use IT skills to determine the level of compliance , performance, value , and risk of technology implementations . The ability to know the knowledge and skills on IT Audit and control as well as show a certain professional level in a professional , also makes a person will analyze, design , build, deploy , monitor and sustainable development of ICT not only operate but also follow the rules of the industry and international standards . Course is intended in part to encourage participants subjects viewed IT as an important asset for organizations and corporations. 6. Learning Objective This course is designed to foster students' critical attitude in understanding the problems associated with the impact of information technology in the area of business , social and community. Understanding the characteristics and scope of IT audit & Control. Understanding the concepts , techniques and tools in the IT audit. Being able to analyze the characteristics , scope and computer assisted audit techniques including understanding the existing standards in the industry and international institutions. Able to carry out computer-assisted audit and certain computational techniques f . Capable and have the knowledge in designing , designing , developing, implementing and monitoring as well as the continued development of ICT -oriented longterm. 7. Learning Outcomes After completing this course, a student is expected to: LO Description LO 1 LO 2 LO 3 be able to explain and describe the definition, scope and audit processes and IT control Be capable of analyzing and defining the standards used in the audit process and IT control Be ableto follow and interpret results of the audit process and IT becomes a strategic step improvements and recommendations for the organization be able to use some of the techniques of data science and analysis algorithms are applied to the audit process . LO 4 Supported PLO PLO2 PLO3 PLO3 PLO3 13 LO LO 5 Description Supported PLO PLO4 be able to be a team leader, organize and work in teams . 8. Topics No Scope Times (minutes) 1 x 150 Competence s LO - 1 1 Introduction of IT Audit and Control Environmental technology Business environment Scientific Environment Issues and important points of audit and control IT The difference between EDP audit , IT audit and IS audit 2 Area and Type of Audit Area Audit Audit Type Object Audit Actors Audit Auditor Stages Expected results Skill required Audit Processing Standards , the difference with the feasibility study , analysis and comparative study / benchmarking 1 x 150 LO - 1 3 Standard an Audit Procedures IT Governance Maturity Model COBIT ITIL COSO ISO 2x 150 LO - 2 4 Compliance & Subtantive Business Process Audit o Audit on ecommerce o Audit on ERP system o Audit on business process o Audit on enterprise system Network & infrastructure audit o Pusat data o Akses Node o Remote area 8 x 150 LO – 4, LO-3 14 Security Audit o cyber security o critical infrastructure Database Integrity Audit Application/ information system audit o operational application o core application Special audit on: o Investigasi o Crime scene investigation o Digital crime Case study Establishment of the audit team Team management audit Division of tasks Formulation of audit focus Making the case Sampling Audit hand –on Learn Documentation and reporting 5 2 x 150 LO - 5 9. Evaluation and Assessment on Learning Outcomes No. Evaluation Method Precentage 1 ( LO - 1 ) Being able to explain and describe the definition , scope and audit processes and IT control . 2 questions UTS (10%) Paper review (5%) 15% 2 ( LO - 2 ) Capable of analyzing 2 questions UTS (10%) and defining the standards Task 2 (5%) used in the audit process and IT control 15% 3 ( LO - 3 ) Ability to follow and interpret results of the audit process and IT becomes a strategic step improvements and recommendations for the organization 2 questions UTS (10%) Task 3 – case study (5%) Task 4 – case study (5%) Task 5 – case study (5%) 3 soal UAS (15%) 25% 4 ( LO - 4 ) Being able to use some of the techniques of data science and analysis algorithms are applied to the audit process ( LO - 5 ) able to be a team leader , organize and work in 2 questions UAS (10%) 2 questions UTS (10%) Final Project 1 (5%) Final Project 2 (5%) Presentasi Final Project 1 (7.5%) 30% 5 15% 15 teams Presentasi Final Project 2 (7.5%) 10. References A. Hall, A. James and Singleton, Tommie, Information Technology Auditing, 3thedition, Thompson Learning, September 2010. B. Cascarino, E Richard, Auditor's Guide to Information Systems Auditing, John Wiley and Sons, March 2007 C. Hunton, E. James, Core Concept of Information Technology Auditing, 1sted., John Wiley & Sons, 2004 D. Mardhani Riasetiawan, Audit & Kontrol TI, Inside Technology Publishing, 2016 16 11. Weekly Learning Activities Plan Introduction EDP, IT and IS Audit 4 4 4 2 ( LO - 1 ) Being able to explain and describe the definition , scope and audit processes Introduction Business Need for audit 4 4 … 4 Aktivitas Mahasiswa questioner scoring 0-100 (PAN) Student do discussion to solve a case study … … Contribution score on discussion 010 Student listening and discussion (1) join the elisa and course channel (2) learn the material (3) fill the survey (1) learn the materia ls (2) add the Web4 ( LO - 1 ) Being able to explain and describe the definition , scope and audit processes and IT control . Metode Evaluasi dan Penilaian2 Metode Ajar (STAR)3 Soal-tugas 1 Gambar Presentasi Topik (pokok, subpokok bahasan, alokasi waktu) Teks Tujuan Ajar/ Keluaran/ Indikator Audio/Video Pertemuan ke Media Ajar1 4 Aktivitas Dosen/ Nama Pengajar Sumber Ajar Presentatio n and discussion All references Presentatio n and discussion All references Masing-masing media ajar disertakan dalam bentuk handout setiap minggu/pertemuan. Evaluasi mahasiswa dapat berupa: Kuis, Tugas, Self-Test, Tes formatif, Tes sumatif. Evaluasi mahasiswa ditujukan untuk mengukur ketercapaian tujuan (pada Kolom 2). 3 UGM menggunakan sistem pembelajaran STAR (Student Teacher Aesthetic Role-Sharing): kombinasi optimal antara SCL (Student Centered Learning) dan TCL (Teacher Centered Learning). 4 Tautan di internet disajikan dalam kolom terakhir (Sumber Ajar). Untuk materi online yang dikembangkan sendiri gunakan LMS eLisa http://elisa.ugm.ac.id/ 1 2 17 and IT control . 3 4 5 ( LO - 1 ) Being able to explain and describe the definition , scope and audit processes and IT control . Area and Type of Audit ( LO - 1 ) Being able to explain and describe the definition , scope and audit processes and IT control . Area and Type of Audit ( LO - 2 ) Capable Standard and of analyzing and Procedure Audit defining the standards used in the audit process and IT control 4 4 4 Contribution score on discussion 010 Student do discussion to solve a case study Contribution score on discussion 010 Student do discussion to solve a case study Contribution score on discussion 010 Student do discussion to solve a case study materia l related from several sources learn the materials add the material related from several sources learn the materials add the material related from several sources, learn the materials add the material related Presentatio n and discussion All References Presentatio n and discussion All References Presentatio n and discussion All References 18 6 7 ( LO - 2 ) Capable Standard and of analyzing and Procedure Audit defining the standards used in the audit process and IT control ( LO - 2 ) Capable Standard and of analyzing and Procedure Audit defining the standards used in the audit process and IT control mid Sem 8 ( LO - 3 ) Standard and Ability to Procedure Audit follow and interpret results of the audit process and IT becomes a 4 4 Contribution score on discussion 010 Student do discussion to solve a case study Contribution score on discussion 010 Student do discussion to solve a case study Written test (PAN) 4 Contribution score on discussion 010 Student do discussion to solve a case study from several sources learn the materials add the material related from several sources learn the materials add the material related from several sources Students study for test learn the materials add the material related Presentatio n and discussion All References Presentatio n and discussion All References All References Presentatio n and discussion All References 19 strategic step improvements and recommendations for the organization 9 10 11 ( from several sources LO - 3 ) Compliance & Ability to Substantive follow and interpret results of the audit process and IT becomes a strategic step improvements and recommendations for the organization ( LO - 3 ) Compliance & Ability to Substantive follow and interpret results of the audit process and IT becomes a strategic step improvements and recommendations for the organization ( LO - 4 ) Being able Compliance & to use some of the Substantive techniques of data 4 4 4 Contribution score on discussion 010 Student do discussion to solve a case study learn the materials Contribution score on discussion 010 Student do discussion to solve a case study learn the materials Contribution score on discussion 0- Student do discussion to add the material related from several sources add the material related from several sources learn the materials Presentatio n and discussion All References Presentatio n and discussion All References Presentatio n and discussion All References 20 science and analysis algorithms are applied to the audit process 12 ( LO - 4 ) Being able Compliance & to use some of the Substantive techniques of data science and analysis algorithms are applied to the audit process 13 ( LO - 5 ) able to be Student project a team leader , organize and work in teams . 14 ( LO - 5 ) able to be Student project a team leader , organize and work in teams . Final Test 4 4 4 10 solve a case study Contribution score on discussion 010 Student do discussion to solve a case study Contribution score on discussion 010 Student do discussion to solve a case study add the material related from several sources Student project do, presentatio n Contribution score on discussion 010 Student do discussion to solve a case study Written test (PAN) add the material related from several sources learn the materials Presentatio n and discussion All References Presentatio n All References Student project do, presentatio n Presentatio n All References Preparing for final test s preparing All References 21 Lampiran 1. Handout Kuliah Handout Kuliah dapat didownload pada link http://mardhani.staff.ugm.ac.id/files/2016/08/MODUL-UTAMA.docx berikut: 22 Lampiran 2. Soal UTS dan UAS Departemen Ilmu Komputer dan Elektronika Fakultas Matematika dan Ilmu Pengetahuan Alam Universitas Gadjah Mada Ujian Tengan Semester Mata Kuliah : Audit dan Kontrol Teknologi Informasi Dosen : Mardhani Riasetiawan, MT Peraturan 1. Sifat Ujian adalah Open Book dan Laptop 2. Kerjakan soal secara berurutan sesuai nomor soal 3. Waktu Pengerjaan maksimal 90 menit I. Baca dan pelajari studi kasus berikut ini untuk menjawab soal-soal pada bagian II. Salah satu contoh perusahaan yang ikut mengimplementasikan sistem enterprise adalah PT. PLN (Persero). Penerapan ERP di perusahaan ini adalah mengintegrasikan seluruh kantor PLN baik pusat maupun daerah secara online. Selain itu, seluruh kantor PLN tersebut akan terstandarisasi secara internasional. Pada tahun 2005 PT. PLN (Persero) memanfaatkan aplikasi ERP yang diterapkan di tiga proses bisnis, yaitu Manajemen Keuangan (Financial Management), Sumber Daya Manusia (Human Resource) dan Pergudangan (Material Management). Salah satu unit perintis penerapan ERP yang dilakukan perusahaan ini adalah distribusi Bali. Setelah dipaparkan pendahuluan dari studi kasus seperti tertuang di atas, maka dapat dirumuskan masalah studi kasus adalah sejauh mana penerapan sistem enterprise yang telah digunakan oleh PT. PLN (Persero). Sejalan dengan rumusan masalah di atas, tujuan studi kasus ini adalah untuk mengetahui sejauh mana penerapan sistem enterprise yang telah digunakan oleh PT. PLN (Persero). Sistem enterprise diharapkan dapat diterapkan oleh lebih banyak perusahaan maupun instansi, karena melalui sistem enterprise inilah dilakukan pemaksimalan sumber daya untuk mendapatkan keuntungan dan peminimalan risiko untuk mengurangi kerugian. Selain itu, sistem enterprise merupakan salah satu usaha dalam meningkatkan produktivitas perusahaan untuk memberikan pelayanan yang lebih baik kepada konsumen. Sebagai salah satu perusahaan besar di Indonesia, PT. PLN (Persero) telah menerapkan konsep sistem enterprise sebagai langkah pencapaian visi dan misi perusahaan. Tujuan (goals) sistem enterprise PT. PLN (Persero) Dalam usaha PLN untuk mencapai performa terbaik dalam hal kinerja operasi 23 pembangkitan, transmisi dan distribusi, sistem enterprise PLN diharapkan dapat memanajemen Keuangan (Financial Management), Sumber Daya Manusia (Human Resource), dan Pergudangan (Material Management). Selain itu, PLN pun melakukan penandatangan kontrak pengembangan dan implementasi Enterprise Asset Management (EAM). Tujuan implementasi EAM adalah untuk memonitor kinerja aset, evaluasi kinerja vendor terkait pemeliharaan, proses bisnis yang terintergrasi dengan sistem informasi SAP (System Aplication and Product), informasi bagi manajemen untuk pengambilan keputusan yang akurat dan cepat, mekanisme kontrol dan monitoring sistem pemeliharaan yang lebih baik dan terukur. Keseluruhan langkah strategis tersebut tengah dilakukan dalam upaya pencapaian Visi dan Misi Perusahaan yaitu “Diakui sebagai Perusahaan Kelas Dunia yang Bertumbuh-kembang, Unggul dan Terpercaya dengan bertumpu pada Potensi Insani". BP (Bisnis Proses) sistem enterprise PT. PLN (Persero) Salah satu bisnis proses EAM adalah tentang pemeliharaan distribusi. Pemeliharaan Distribusi berarti melakukan pemeriksaan atau perbaikan yang menyebabkan perlunya pemadaman listrik atau tidak. Dalam pelaksanaan pemeliharaan maka memerlukan koordinasi dengan pihak operasi agar tidak sampai terjadi gangguan atau kecelakaan kerja pada saat pembukaan alat hubung yang akan dipelihara maupun penormalannya kembali. Hasil dari pemeliharaan adalah berupa kondisi / unjuk kerja peralatan harus memenuhi ketentuannya, yaitu aman dioperasikan kembali. Maka untuk itu perlu diatur cara melakukan pemeliharaan, peralatan untuk mengukur kondisi peralatan kubikel, perkakas kerja yang digunakan pada waktu pemeliharaan. Penyimpangan dari ketentuan berarti hasil pemeliharaan tidak sesuai dengan ketentuan dan dampaknya akan menyebabkan permasalahan dalam pengoperasian bahkan dapat terjadi kecelakaan kerja. Data dan Informasi sistem enterprise PT. PLN (Persero) Data dan informasi yang diolah dalam sistem enterprise PT. PLN (Persero) yaitu Manajemen Keuangan (Financial Management), Sumber Daya Manusia (Human Resource), dan Pergudangan (Material Management). Data dan informasi Manajemen Keuangan (Financial Management) salah satunya Administrasi pegawai yang mencakup tanggal pada surat penggajian harus konsisten, pengelolaan informasi keluhan dan kedisiplinan pegawai dapat dilakukan di dalam system, dan perpindahan pegawai dapat dimonitor di dalam system. Data dan informasi Sumber Daya Manusia (Human Resource) salah satunya Administrasi Waktu Kerja yang mencakup manajemen data berkaitan dengan waktu kerja pegawai termasuk waktu lembur dan lain sebagainya dilakukan tersentralisasi di dalam sistem. Oleh karena itu, proses penggajian akan dipusatkan di kantor pusat tiap unit, data tentang administrasi penggajian di kerjakan di kantor unit bersangkutan, data tentang penggajian harus diintegrasikan dengan bagian keuangan, agar memudahkan bagian pembukuan untuk mencatat penggajian pegawai. Human Resource 24 Kesulitan yang paling besar dari penerapan ERP adalah merubah pola pikir yang selama ini terbentuk dari seluruh karyawan untuk menerima sebuah perubahan. Dibutuhkan kemauan yang besar dari seluruh pegawai untuk beradaptasi dengan perubahan sistem yang selama ini telah berjalan. Tanpa adanya pola pikir yang baru, ERP tidak akan memberikan manfaat bagi perusahaan. Karena sesempurna apapun rancangan dan penerapan ERP, tidak akan berguna apabila tidak didukung oleh sumber daya manusianya. Selain itu, PLN membentuk Tim Imbangan ERP yang terdiri dari orang-orang yang ahli di bidangnya terutama pada bisnis proses. Tim Imbangan ini bertanggungjawab langsung kepada Direksi PLN via Direktur keuangan dan direktur niaga dan pelayanan pelanggan. Mereka dituntut untuk bekerja keras dalam melakukan perubahan serta menyediakan waktu untuk melaksanakan proyek tersebut di luar waktu sebagai karyawan. Tugas Utama dari Tim Imbangan ini adalah menyukseskan pelaksanaan penerapan ERP di PLN pusat beserta ujicoba di 3 kantor PLN yang telah disebutkan di atas, dan mempersiapkan kebutuhan akan pengembangan lanjutan yaitu integrasi antar sistem. Tim ini terdiri atas 2 tim: 1. Tim Sentral, beroperasi di kantor pusat, beranggotakan atas wakil dari PLN pusat dan unit pelaksana. 2. Tim Roll-Out, merupakan representasi dari Tim Sentral, yang beranggotakan atas wakil-wakil dari unit PLN yang bekerja di lokasinya masing-masing. Hardware dan Software Untuk mendukung Strategi Bisnis PLN, maka diperlukan solusi ERP yang akan diimplementasikan ke seluruh unit PLN. Hal ini sesuai dengan Perencanaan IT Master Plan PLN (ITMP) dimana ERP merupakan salah satu alat untuk melakukan transformasi PLN menjadi perusahaan listrik kelas dunia yang cost competitive. Salah satu perangkat lunak ERP adalah SAP (System Applications and Products) yang telah digunakan oleh banyak perusahaan di Indonesia. Melalui pertimbangan khusus PLN juga memiliki SAP sebagai paket perangkat lunak ERP. Keputusan untuk menerapkan SAP bukanlah keputusan yang mudah karena penerapan SAP membutuhkan biaya yang tinggi. Mengingat kebutuhan biaya bukan hanya diperlukan untuk pembelian aplikasi SAP saja, tetapi juga untuk pembelian hardware, database, jaringan komunikasi data dan juga biaya konsultan yang membantu pekerjaan penerapan sistem. Setelah sistem SAP diterapkan, manajemen perlu mengetahui apakah penerapan sistem tersebut berhasil atau tidak. Pengukuran keberhasilan penerapan sistem informasi sangat diperlukan bagi manajemen untuk mengetahui apakah investasi yang telah dikeluarkan memberikan nilai tambah bagi perusahaan. Beberapa hal yang menjadi alasan implementasi SAP ERP di PT. PLN (Persero) antara lain : 1. PT. PLN (Persero) membutuhkan standarisasi proses bisnis melalui sistem “back office” yang terpadu (integrated system) 25 2. Untuk mengadopsi Utility Best Practices PT. PLN (Persero) Mendapatkan pengoperasian dan mekanisme pengawasan dan pengendalian proses bisnis yang lebih baik dengan adanya sistem “back office” yang standard Untuk memperoleh akses informasi dari unit-unit bisnis terkait secara real time Saat ini Implementasi SAP ERP di PT. PLN (Persero) sudah meliputi Kantor Pusat, P3B Jawa Bali, Distribusi Bali, Distribusi Jakarta Raya & Tangerang, Distribusi Jawa Tengah & DI Yogyakarta, Distribusi Jawa Timur, dan Distribusi Jawa Barat & Banten. II. Pertanyaan 1. Dari kasus diatas identifikasikan dan bedakan komponen sistem informasi yang dimiliki oleh PLN, sebagai berikut a. Goals b. Business Process c. Data dan Informasi d. Sumber Daya Manusia e. Teknologi Informasi 2. Sebutkan perbedaan antara EDP audit, IT audit dan IS audit berdasarkan studi kasus diatas! 3. Menurut anda, perlukan kasus diatas memerlukan pekerjaan audit dan control TI, apabila ya atau tidak, sebutkan minimal 5 alasannya! 4. Sebut dan identifikasi, apa saja resiko yang ada di kasus tersebut a. resiko inherent b. resiko control c. resiko detection 5. Berikan contoh mekanisme control preventive, detective, dan corrective yang dapat dipakai untuk memperkecil resiko pada poin 4. 6. Bagaimana tahapan untuk melaksanakan proses audit yang sesuai dengan studi kasus diatas! 7. Berikan penjelasan minimal 1 paragraf (minimal 6 kalimat) mengenai artikel yang anda kerjakan dalam penugasan kelompok dikelas sebagai berikut a. tema : ___________________________ b. penjelasan : selamat mengerjakan 26 SOAL UJIAN AKHIR Program Studi Ilmu Komputer Departemen Ilmu Komputer dan Elektronika Fakultas Matematika dan Ilmu Pengetahuan Alam Universitas Gadjah Mada Mata Kuliah Kode Mata Kuliah Waktu Kondisi Lecturer Audit dan Kontrol Teknologi Informasi MIK-4555 / 3 sks Studi Kasus Kasus: Rekening Bersama 90 menit Open Book (catatan, handout dan computer – tanpa internet) Mardhani Riasetiawan, MT Rekening Bersama pertama kali berdiri di pada awal 2006, ketika jual beli online di Kaskus makin ramai yang juga diiringi dengan penipuanpenipuan. Dampaknya signifikan, reputasi penjual di Kaskus menjadi hancur. Pembeli enggan mencari barang di Kaskus. Akhirnya, para pengguna atau penjual di Forum Jual-Beli Kaskus (FJB) mencari solusi untuk menarik kembali kepercayaan pembeli. Dimulai dengan diskusi-diskusi intensif melalui sms, telepon dan konferens di Yahoo! Messenger, para penjual dibantu dengan masukan dan saran dari pembeli-pembeli reguler di Kaskus pun sepakat memulai Rekening Bersama Forum Jual Beli. Transaksi dengan menggunakan rekening bersama ini tidak hanya membantu di kelancaran transaksi, tetapi juga membantu para pihak yang ingin mentransfer uang lintas bank dalam waktu cepat. Sehingga para pihak yang berkepentingan tidak perlu antri atau tidak perlu keluar rumah, karena transaksi dilakukan melalui Rekening Bersama. Adapun transaksi yang dilakukan melalui fasilitas rekening bersama (RekBer) ini menggunakan ketentuan sebagai berikut: 1. Rekening Bersama tidak bertanggung jawab atas barang yang ditransaksikan. Barang dikirim langsung oleh penjual ke pembeli tanpa melewati Rekening Bersama. 2. Pembeli dan penjual sudah menyepakati semua detail barang yang ditransaksikan. Budayakan untuk menjadi pembeli yang cerdas yang bertanya pada detail, dan menjadi penjual yang jujur 27 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. terhadap kondisi barang sebenar-benarnya. Pembeli WAJIB memperhatikan detail nomor rekening, nomor telepon, email & Yahoo Messenger pemilik Rekening Bersama yang dipilih dengan cermat. Mohon tidak mentransfer dana terlebih dahulu tanpa ada informasi awal dari crew Rekening Bersama yang ditunjuk. Waspadalah terhadap pihak-pihak yang mengatasnamakan Rekening Bersama. Pengiriman barang WAJIB menggunakan kurir logistik yang bisa melacak lokasi dan status pengiriman barang berdasarkan nomor resi (JNE, RPX, Tiki, dll). Penjual WAJIB menulis keterangan isi paket dengan benar, sesuai dengan isinya pada resi kurir logistik. Untuk barang berharga atau bernilai diatas Rp 500.000,- WAJIB menggunakan asuransi. Rata-rata nilai asuransi adalah sebesar 0,2% dari nilai barang. Tanyakan detail asuransi pada logistik yang Anda pilih. Pada saat penerimaan barang, pembeli WAJIB membuka paket di depan kurir logistik. Hal ini dilakukan agar minimal ada saksi dari dua pihak (pembeli dan logistik) apabila terjadi hal hal yang tidak diinginkan. Resiko kehilangan dan kerusakan akibat pengiriman dan atau deskripsi barang yang tidak sesuai dengan isi ketika dikirim menjadi tanggung jawab penjual dan kurir logistik yang dipakai ketika mengirim barang tersebut (mengacu pada poin 4, 5, 6 dan 7). Rekening Bersama tidak menerima transaksi chip poker, ijazah palsu, identitas palsu (KTP, KK, SIM, Surat Nikah, Paspor dll), narkoba dan barang serta jasa yang melanggar hukum di wilayah NKRI. Agar memenuhi unsur validitas, maka setiap kali bertransaksi pembeli WAJIB untuk posting konfirmasi sesuai format maupun konfirmasi penerimaan barang di thread Rekening Bersama di kaskus atau di website kami www.rekeningbersama.com Apabila terjadi pembatalan transaksi dengan alasan apapun baik oleh pembeli maupun penjual, dana akan dikembalikan penuh ke pembeli setelah dipotong fee yang berlaku. Pembatalan transaksi yang telah masuk ke Rekening Bersama harus dengan konfirmasi kedua belah pihak baik penjual maupun pembeli sehingga refund dana dapat dilakukan oleh pemilik Rekening Bersama yang ditunjuk dengan dipotong fee yang berlaku. Apabila terjadi sengketa antara pembeli dan penjual dikarenakan suatu hal, Rekening Bersama akan menahan dana sampai terjadi kesepakatan antara penjual dan pembeli. Jika sampai 1 bulan dari tanggal transfer ke Rekening Bersama tidak terjadi kesepakatan, Rekening Bersama berhak menyumbangkan ke lembaga sosial yang akan ditentukan oleh Rekening Bersama dan hasilnya akan dipublikasikan sehingga khalayak ramai dapat mengetahuinya. Crew Rekening Bersama berhak untuk menolak transaksi yang akan dilakukan melalui Rekening Bersama dengan alasan dan 28 pertimbangannya sendiri. 15. Transaksi yang sudah CLOSED dimana pembayaran sudah dilakukan oleh crew Rekening Bersama kepada penjual menurut instruksi atau konfirmasi dari pembeli maka segala hal yang berkaitan dengan transaksi tersebut sudah tidak lagi menjadi tanggung jawab dari Rekening Bersama 16. Jangka waktu maksimal lamanya transaksi di Rekening Bersama adalah 3 bulan sejak tanggal transfer. 17. Ketentuan ini mengikat tanpa terkecuali dan akan diupdate sesuai perkembangan yang dirasakan perlu untuk dirubah atau ditambahkan. Prosedurnya yang dilakukan pada Rekening Bersama relatif sederhana. Meskipun memakan waktu lebih banyak daripada transaksi konvensional, pembeli tidak perlu khawatir ketika telah mengirimkan sejumlah uang atau melakukan pembayaran. Hasilnya sangat efektif. Pembeli mulai berdatangan dan jual-beli di Kaskus pun marak kembali. Resiko penipuan pun dapat diturunkan, karena pembeli kerap menginginkan penggunaan Rekening Bersama pada transaksinya dengan penjual. Rekening Bersama pun mempermudah penjual untuk membangun reputasinya, karena penjual baru di dunia online biasanya mendapatkan kesulitan untuk menjual barangnya karena tidak ada yang percaya padanya. Pertanyaan Berdasarkan studi kasus diatas, jawab pertanyaan ini dengan detail dan sesuai dengan tahapan yang benar. 1. Sebutkan 5 alasan masing-masing, apabila anda sebagai auditor TI menyatakan bahwa kasus diatas layak dan tidak layak untuk diterapkan audit investigative dengan metode Digital Crime Scene Investigation/ digital forensic. (15 poin) – LO1. 2. Jelaskan dalam bentuk penjelasan dan diagram, langkah immediate response yang anda lakukan pada penanganan awal kasus (20 poin) – LO2 3. Identifikasikan tahapan audit yang akan anda kerjakan sesuai dengan standar yang ada, dan identifikasi evidence yang mungkin anda kumpulkan untuk mendukungnya. (10 poin) – LO3 4. Sebutkan komponen yang akan menjadi object langkah substantive test, dan sebutkan minimal masing-masing 5 parameter yang perlu di verifikasi. (15 poin) – LO4 5. Apakah perbedaan mendasar dari standar yang digunakan dalam pekerjaan audit secara umum, antara a. b. c. d. COBIT ITIL COSO ISO 29 (20 poin) – LO4 6. Berdasarkn penugasan kelompok anda (video CSI) berikan penjelasan mengenai kronologi kasus, dan pemcahan yang dilakukan dalam video tersebut ! Kemudian jelaskan apa yang related dengan materi Forensic Digital! (20 poin) – LO5 Lampiran 3. Soal Quiz dan Jawaban Mahasiswa 30 Hasil Pengerjaan Mahasiswa : TUGAS IT AUDIT DAN KONTROL – ARTIKEL ILMIAH PENERAPAN METODOLOGI AUDITING BERBASIS KOMPUTER PADA SEKTOR BANK DAN INDUSTRI KEUANGAN Disusun oleh : SUHARTONO SITI HARDIYANTI 13950 15846 NOORMAN ARTA W.15919 M. ASADUDDIN HAZAZI 16185 31 JURUSAN ILMU KOMPUTER DAN ELEKTRONIKA FAKULTAS MATEMATIKA DAN ILMU PENGETAHUAN ALAM UNIVERSITAS GADJAH MADA YOGYAKARTA 2016 32 Abstrak - Artikel ini membahas tentang permasalahan yang ditemukan dalam penerapan audit, terutama IT audit pada sektor perbankan dan industri keuangan serta bagaimana masalah yang ada dapat ditangani sesuai dengan standar IT audit yang berlaku; Artikel kali ini juga lebih berfokus kepada penerapan dan keefektifan dari IT audit. Dengan semakin berkembangnya jumlah transaksi yang diproses oleh berbagai bank yang ada tentunya membutuhkan sebuah strategi audit yang tidak hanya tepat, tetapi juga efisien. Beberapa yang akan dibahas adalah kelemahan dalam audit internal bank komersial, sehingga mempengaruhi audit internal berfungsi efektif; Kegunaan dari audit sampling dan CAATs di sektor perbankan. Studi kasus diadopsi dari sektor bank Afrika Selatan yang masih banyak menggunakan audit sampling dibandingkan CAATs; OS audit yang dilakukan pada bank di Oman; Dalam sebagian besar perusahaan di Filipina, temuan audit dan hasil dimonitor secara manual yang memiliki beberapa kekurangan; I. Pendahuluan Dunia bisnis saat ini memiliki ciri dimana sangat pesatnya pertumbuhan jumlah data dan transaksi yang terus terjadi dibandingkan dengan dunia bisnis tahun tahun sebelumnya. Saat ini juga banyak perusahaan yang melakukan ekspansi keluar dari negaranya. Melonjaknya jumlah transaksi dan data dari klien yang ada ini berdampak langsung terhadap profesi auditor. Auditor harus memikirkan cara dimana mereka dapat mengumpulkan bukti bukti audit agar target yang ditentukan dapat tercapai, dengan cara yang seefisien mungkin. Tentu saja tidak hanya dari segi transaksi dan data saja yang berkembang, tetapi juga dari strategi strategi audit yang ada. Contohnya seperti penggunaan CAATs (Computer-assisted Audit Techniques) untuk membantu auditor dalam melakukan audit. Walau saat ini belum banyak digunakan, tetapi beberapa bank dan industri keuangan sedang mempertimbangkan untuk menerapkannya secara penuh dalam beberapa waktu mendatang. Walau begitu, penerapan CAATs juga masih memiliki kendala dikarenakan dalam penggunaannya, auditor membutuhkan pengetahuan khusus tentang tools yang digunakannya. Program CAATs sendiri bermacam macam, sehingga dalam pengoperasiannya pun memiliki cara yang berbeda – beda. II. Penjelasan Seiring dengan meningkatnya pembaruan dan kompleksitas operasional perbankan komersial, audit internal menjadi semakin penting. Tidak ada bank-bank komersial internasional di negara-negara maju yang sistem pengawasan audit internalnya belum independen, sangat resmi, dan kuat. Bagaimana memperkuat manajemen audit internal bank komersial dan 33 mengambil keuntungan dari peran audit internal dalam tata kelola perusahaan telah semakin menjadi kebutuhan mendesak yang dihadapi bank komersial China. International Institute of Internal auditors memposisikan peran dari auditing internal sebagai “sebuah organisasi yang didesain untuk meningkatkan nilai dan independensi dengan pendekatan yang sistematis dan terstandarisasi untuk mengevaluasi dan meningkatkan manajemen resiko, kontrol internal dan efisiensi pemerintahan demi membantu mencapai tujuan organisasi” Walau sudah melakukan banyak hal, auditing internal di china masih memiliki beberapa masalah, diantaranya a) Kurangnya independensi Auditing internal dari bank komersil Padahal independensi merupakan salah satu hal penting yang harus dimiliki dalam auditing untuk membuat pekerjaan auditor objektif dan tidak dapat diganggu gugat b) Pembatasan dari ide dan metode internal auditing pada bank komersil Dengan semakin berkembangnya bank komersil, hampir semua kegiatan dari bank komersil harusnya diselesaikan menggunakan komputer terutama internet banking. China saat ini masih jauh tertinggal dalam internal auditing metodologi. c) Perlunya peningkatan hukum dan regulasi untuk internal auditing bank komersil Penerapan hukum di china tentang internal auditing sangatlah lamban. Ini membuat banyaknya celah untuk auditor memanfaatkan kurangnya hukum untuk keuntungan pribadi. d) Lemahnya internal auditing pada bank komersil Berdasarkan statistic, ada 25000 staff internal audit di bank komersil milik china. Jumlah tersebut hanya 1.24% dari praktisi di institusi bank komersil, sementara biasanya jumlah staff pada internal auditing adalah 5% dari semua pegawai bank. Berdasarkan hal hal diatas, untuk meningkatkan kualitas internal auditing pada bank komersil di china bisa dilakukan beberapa hal, yaitu : a) Menerapkan sebuah sistem baru pada internal auditing yang menjamin keindependenan dari internal auditing b) Meningkatkan konstruksi elektronik pada internal auditing dan inovasi dalam pendekatan audit c) Pengenalan tentang sebuah hukum internal audit yang membuat sistem yang terstandarisasi d) Membuat sebuah tim khusus audit dengan skill yang tinggi 34 Banyak badan usaha saat ini memiliki perwakilan di lebih dari satu negara. Saat ini banyak perbankan melakukan transaksi lintas batas di beberapa negara. Peningkatan transaksi dan data klien ini memiliki dampak langsung pada profesi audit. Dalam prakteknya, auditor internal dapat mengumpulkan audit evidence dengan 3 cara berikut : • Full population testing (contohnya, pemeriksaan 100 persen dari semua item yang ada di poupulasi) • Purposeful testing (contohnya penngelompokkan item dari sebuah populasi yang ada dengan suatu kriteria tertentu) • Audit sampling Sebuah pemeriksaan 100 persen dari semua item di sebuah populasi dapat dilakukan dengan menggunakan alat berbasis teknologi seperti Computerassisted audit techniques (CAATs). CAATs bisa didefinisikan sebagai “alat berbasis computer dan teknik yang mengakibatkan meningkatnya produktivitas dari sang auditor dan juga fungsi audit.” Namun, riset saat ini mengindikasikan bahwa CAATs masih tidak dipergunakan hingga potensi maksimalnya. Berdasarkan hasil riset pada paper “The use of sampling and CAATs within internal audit functions in the South African banking industry,” audit sampling masih menjadi elemen penting dari alat auditor internal walau keberadaan teknik yang lebih maju seperti penggunaan CAATs karena teknik teknik serperti itu memerlukan kemampuan yang spesifik dalam memilih sampel darimana suatu hasil akan didapatkan. Di Filipina, sebagian besar perusahaan manufaktur dan industri memantau, update dan memberitahukan hasil audit secara manual. Dimana audit manual memiliki lebih banyak kelemahan. Tapi sekarang, ini tidak lagi terjadi. Teknologi Informasi berfungsi sebagai saluran globalisasi. Dengan berkembangnya teknologi, ketergantungan organisasi pemerintah maupun non-pememerintah terhadap teknologi sistem informasi untuk melakukan perintah operasi, proses, manajemen dan pelaporan juga meningkat. Perkembangan pesat dari kebergantungan terhadap teknologi dan kegunaan mereka dalam pemrosesan informasi berguna menjadi salah satu perhatian besar untuk audit di setiap organisasi. Penerapan IT audit sendiri dibentuk pada pertengahan 1960-an dan sejak saat itu telah berubah spesifikasi nya berkali-kali karena perkembangan pesat teknologi dan penggabungan ke dalam bisnis. Audit teknologi selalu mengacu pada pemeriksaan kontrol dalam infrastruktur TI. Praktek Audit menjamin kelangsungan bisnis dengan mengidentifikasi integritas data organisasi, operasi efektivitas dan tindakan perlindungan untuk melindungi 35 aset IT. IT audit dapat dicapai secara paralel dengan audit keuangan organisasi, audit internal atau bentuk lain dari keterlibatan atestasi. Auditor IT sering kali menghadapi beberapa hambatan ketika melakukan OS audit, mulai dari perspektif teknis hingga manajerial. Tantangan-tantangan ini meluas ketika melakukan audit di negara-negara berkembang seperti Oman. Meskipun infrastruktur TI Oman berkembang sangat cepat dan standar internasional sedang dipraktekkan, namun mereka gagal untuk mengeksekusi dan menerapkan standar tersebut secara ketat. Ada beberapa framework yang digunakan dalam industri yang dianggap sebagai patokan untuk audit IT. Pada paper “Business Perception To Learn The Art Of Operating System Auditing: A Case Of A Local Bank Of Oman” menemukan bahwa hanya COBIT, ITIL dan ISO 27001 cocok untuk lingkungan OS audit. Semua framework ini membangun dasar untuk praktek audit TI. COBIT digunakan untuk memetakan proses TI dan mengelola kontrol akses. Hal ini banyak digunakan dalam konsultasi TI dan perusahaan akuntansi. Selain itu, dilaksanakan oleh perusahaan IS audit. ITIL paling cocok untuk pemetaan IT manajemen tingkat layanan di organisasi. Secara umum, COBIT dan ITIL dianggap sebagai kerangka kerja, ISO 27001 dianggap sebagai standar keamanan. Sebagian besar organisasi yang pertama diimplementasikan adalah COBIT karena mencakup sistem informasi tingkat tinggi dan biasanya didanai melalui anggaran audit internal. Kemudian, organisasi mempertimbangkan ITIL atau ISO standar 27001 untuk manajemen atau audit keamanan dan biasanya didanai melalui anggaran departemen IT. Pemilihan kerangka audit semata-mata tergantung pada kebijakan organisasi daripada pertimbangan teknologi. Ada dua jenis OS yang banyak digunakan di hampir setiap organisasi di Kesultanan Oman yaitu Windows dan Linux. Dalam Windows OS audit, sangat penting untuk menentukan kontrol akses yang tepat untuk berbagai jenis kegiatan dengan menggunakan framework ITIL dan COBIT. Audit pada dasarnya berisi fungsi seperti memeriksa apakah server perusahaan berada di bawah firewall perusahaan, menentukan apakah klien memiliki versi terbaru dari antivirus yang ditetapkan dan menentukan apakah klien menjalankan patch management yang ditetapkan perusahaan. Ini juga menjamin bahwa klien memiliki standar Minimum Base Line Security (MBS). Selain itu, memeriksa kontrol keamanan fisik selama berjalan dan kontrol manajemen akses pengguna kontrol pada sistem. Linux adalah platform open source. Tantangan terbesar dalam lingkungan Linux adalah pemisahan tingkat kontrol dan akses root untuk persyaratan administrasi yang sederhana. Ada beberapa tindakan pencegahan yang dapat diimplementasikan pada platform Linux seperti mencegah sistem di belakang firewall, enkripsi password di jaringan dan mendelegasikan kontrol akses yang tepat berdasarkan peran untuk setiap administrator. Dalam keamanan jaringan Linux, root dan akun khusus dapat dilindungi dari kerusakan atau disalahgunakan dengan memberdayakan administrator situs 36 untuk selektif mendelegasikan hak akses administratif. Linux sebagian besar difokuskan pada sisi kontrol akses sementara sisi audit dari Linux diabaikan. Ada upaya besar untuk dilakukan oleh auditor IT dan administrator TI untuk mengamankan lingkungan open source yang pada gilirannya mengurangi kesenjangan antara kedua pihak. administrator IT tidak diharapkan untuk menyembunyikan kegiatan yang tidak biasa dari auditor IT dan mereka harus selalu mencoba untuk menjadi transparan dengan IT auditor demi keselamatan dan keamanan organisasi. III. Argumen Berdasarkan penguraiian diatas, dapat kita simpulkan bahwa saat ini penerapan metode audit dengan bantuan computer sangatlah penting dikarenakan semakin masifnya jumlah data dan transaksi yang harus di control setiap harinya. Bayangkan saja jika kita masih menerapkan manual auditing, betapa banyaknya resource yang harus digunakan dan betapa tidak efisiennya itu. Walau begitu, memang transisi penerapan metode auditing menggunakan computer masih memerlukan waktu. jumlah SDM yang mampu menggunakannya, infrastuktur yang ada, dan urgensi perusahaan perlu menjadi perhatian dalam penerapan kedepannya. Pembentukan hukum yang kuat tentang auditing dan sebuah tim auditing dengan kualitas tinggi juga patut mendapat perhatian yang besar agar penerapan auditing dengan metode komputer dapat berjalan dengan lancer saat tiba saatnya. IV. Referensi Caldo, Rionel Belen. 2012. Design and Development of Audit Central Data Bank at Ibiden Philippines, Inc. (IPI). Fenghua, Wang. 2010. Research on the internal auditing of commercial banks Based on Corporate Governance. Khoudh, Al. 2015. Business Perception To Learn The Art Of Operating System Auditing: A Case Of A Local Bank Of Oman. Li, Zhang. 2012. Design on Control Test of Information Systems in Commercial Bank IPO Audit. Smidt, Louis. 2011. The use of sampling and CAATs within internal audit functions in the South African banking industry. 37