Embed Size (px)
Citation preview
Pengawasan SIA Bank dengan COBIT
Annisa Hartati (200812014)Astri Ratnasari (200812015) Christiana Parendrarti (200812016) Cantik Mudia Ramadian(200812020) Irmayanti Kusuma (200812035)
1
Pembahasan
Audit Definisi Auditing dan Audit SI Fungsi Audit SI Alasan Organisasi Perlu Melakukan Audit dan Pengendalian SI Pendekatan Audit SI dan Tahapan Audit SI Pengumpulan Fakta
COBIT Definisi Cobit COBIT Framework Keunggulan COBIT Alasan Perusahaan Mengadopsi COBIT Contoh Implementasi COBIT Pada Bank Umum
2
ULASAN SINGKAT AUDIT
3
Definisi Auditing dan Audit SI
Auditing : proses pengumpulan dan evaluasi bahan bukti tentang informasi untuk mengukur derajat kesesuaian antara informasi dan kriteria yang telah ditetapkan. • Audit dilakukan oleh
orang yang kompeten dan independen.
Audit SI : proses pengumpulan dan penilaian bukti - bukti untuk menentukan apakah ‘sistem komputer’ dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumber daya secara efisien
4
Fungsi Audit SI
Meliputi beberapa obyek, antara lain: Perlindungan asset Integritas data Efektivitas sistem Afisiensi sistem
5
Kenapa Organisasi Perlu Melakukan Audit dan Pengendalian SI?
Alasan Organisasi Perlu Melakukan
Audit dan Pengendalian SI
Organizational Costs of Data Lost
Cost of Incorrect Decision Making
Cost of Computer Abuse
Value of H/W, S/W, and PersonnelHigh Cost of
Computer ErrorMaintenance of
Privacy
Controlled Evolution of Computer Use
6
Pendekatan Audit dan Tahapan Audit SI
7
Pendekatan Audit
• Auditing around the computer
• Auditing with the computer
• Auditing through the computer
4 Tahapan Audit SI menurut Gallegos Cs
• Perencanaan• Pemeriksaan
Lapangan• Pelaporan• Tindak Lanjut
Pengumpulan Fakta
Alat dan teknik yang digunakan dalam pengumpulan fakta, antara lain:
1. Audit Software
2. Code Review, Test Data, and Code Comparison
3. Concurrent Auditing Techniques
4. Interviews, Questionnaires, and Control Flowcharts
5. Performance Monitoring Tools
8
COBIT(Control OBjective for
Information and related Technology)
9
Apa itu COBIT…?
COBIT merupakan sekumpulan dokumen best practices untuk IT Governance yang dapat membantu auditor, pengguna, dan manajemen untuk menjembatani gap antara resiko bisnis, kebutuhan control, dan masalah-masalah teknis TI.
10
COBIT: An IT Control Framework
11
Visi COBIT
• Sebagai model untuk penguasaan TI
Misi COBIT• Melakukan penelitian, pengembangan, publikasi, dan
promosi terhadap control objective dari TI yang secara umum diterima di lingkungan internasional untuk pemakaian sehari-hari oleh manager dan auditor
Fokus COBIT• Meningkatkan nilai tambah melalui penggunaan TI dan
mengurangi resiko-resiko inheren yang teridentifikasi di dalamnya
Pengguna COBIT• Manajemen• User• Auditor
IT Processes
IT Processes
IT Resources
IT Resources
Business Requirements
Business Requirements
Data Information
Systems Technology Facilities Human
Resources
Plan and Organise (Perencanaan & Org.)
Acquire and Implement (Pengadaan & Implementasi)
Deliver and Support (Pengantaran & dukungan)
Monitor and Evaluate (Pengawasan &Evaluasi)
Effectiveness(efektifitas) Efficiency (Efisiensi) Confidentiality (Rahasia) Integrity (Integritas) Availability (Ketersediaan) Compliance (Pemenuhan) Information Reliability
(Kehandalan Informasi)
COBIT Framework
How do they relate?
12
IT Processes
IT Processes
IT Resources
IT Resources
Business Requirements
Business Requirements
Data Information
Systems Technology Facilities Human
Resources
Planning and organisation
Acquisition and implementation
Delivery and Support
Monitoring
Effectiveness Efficiency Confidentiality Integrity Availability Compliance Information
Reliability
COBIT Framework H
ow
do t
hey r
ela
te?
Bagaimana IT diorganisir unt
bereaksi thd suatu kebutuhan
Bagaimana IT diorganisir unt
bereaksi thd suatu kebutuhan
Apa yang stakeholders
harapkan dari IT
Apa yang stakeholders
harapkan dari IT
Tersedianya sumber daya IT
Tersedianya sumber daya IT
13
Topics Strategi dan taktik Merencanakan Visi Organisasi and infrastruktur
Questions Apakah IT dan strategi bisnis sudah
ditetapkan? Apakah perusahaan sudah menggunakan
secara maksimum sumber dayanya? Apakah semua orang di dlm org. sudah
memahami sasaran IT? Apakah resiko IT sudah dipahami &
diatur? Apakah mutu sistem IT sudah sesuai
dengan kebutuhan bisnis?
Plan and Organise
Topics IT solutions Perubahan dan Pemeliharaan
Questions Apakah proyek baru dapat
memberikan solusi terhadap kebutuhan bisnis?
Apakah proyek baru dapat selesai tepat waktu dan sesuai anggaran?
Apakah sistem kerja yg baru bisa diterapkan dgn baik?
Apakah perubahan yg dibuat tidak merepotkan kegiatan bisnis yang berjalan?
Acquire and Implement
COBIT Framework
Domains 14
Topics Layanan pengantaran& dukungan Dukungan proses penyusunan Pengolahan sistem aplikasi
Questions Apakah layanan IT yg diberikan sesuai
dgn prioritas bisnis? Apakah biaya IT dapat dioptimalkan? Apakah pekerja mampu menggunakan
sistem IT lebih produktif dan aman? Apakah keamanan, integritas dan
ketersediaan sudah pada tempatnya?
Deliver and Support
Topics Penilaian over time, jaminan
pengiriman Sistem pengendalian manajemen
kesalahan Pengukuran pekerjaanQuestions Dapatkan IT mendeteksi suatu
permasalahan sebelum semuanya terlambat?
Apakah jaminan kemandirian yg diperlukan dpt memastikan bidang2 kritis bisa beroperasi sesuai dgn yg diharapkan?
Monitor and Evaluate
COBIT Domains
Dom
ains
15
The control of (kendali)
IT Processeswhich satisfy(yang mencakupi)
is enabled by(dimungkinkan)
Control Statements
Considering (mempertimbangkan)
ControlPractices
COBIT Framework W
aterfall Model
BusinessRequirements
16
AI1 Identify automated solutionsAI2 Acquire and maintain application softwareAI3 Acquire and maintain technology infrastructure AI4 Develop and maintain IT proceduresAI5 Install and accredit systemsAI6 Manage changes
M1 Monitor the processM2 Assess internal control adequacyM3 Obtain independent assuranceM4 Provide for independent audit
DS1 Define service levelsDS2 Manage third-party servicesDS3 Manage performance and capacityDS4 Ensure continuous serviceDS5 Ensure systems securityDS6 Identify and attribute costsDS7 Educate and train usersDS8 Assist and advise IT customersDS9 Manage the configurationDS10 Manage problems and incidentsDS11 Manage dataDS12 Manage facilitiesDS13 Manage operations
IT RESOURCES
IT RESOURCES
• Data• Application systems• Technology• Facilities• People
• Data• Application systems• Technology• Facilities• People PLAN AND
ORGANISEPLAN AND ORGANISE
ACQUIRE ANDIMPLEMENT
ACQUIRE ANDIMPLEMENT
DELIVER AND SUPPORT
DELIVER AND SUPPORT
MONITOR AND EVALUATE
MONITOR AND EVALUATE
• Effectiveness• Efficiency• Confidentiality• Integrity• Availability• Compliance• Reliability
• Effectiveness• Efficiency• Confidentiality• Integrity• Availability• Compliance• Reliability
Criteria
Business ObjectivesCOBITFramework
PO1 Define a strategic IT plan (menggambarkan)PO2 Define the information architecturePO3 Determine the technological direction (menentukan)PO4 Define the IT organisation and relationshipsPO5 Manage the IT investmentPO6 Communicate management aims and directionPO7 Manage human resourcesPO8 Ensure compliance with external requirements (memastikan)PO9 Assess risks (menilai)PO10 Manage projectsPO11 Manage quality
17
Cont’d
Kerangka kerja COBIT juga memasukkan hal-hal, seperti:
Maturity Models Critical Success Factors (CSFs) Key Goal Indicators (KGIs) Key Performance Indicators (KPIs)
18
Keunggulan COBIT
Akseptansi secara internasional, karena didasarkan atas pengalaman praktik dan profesionalitas para ahli di seluruh dunia.
Memenuhi standar ISO17799, COSO I dan II, dan standarstandar terkait lainnya.
COBIT menjadi jembatan komunikasi antara fungsi IT, bisnis dan auditor dengan menyediakan suatu pendekatan umum yang dapat dimengerti oleh semua pihak.
COBIT berorientasi kepada manajemen, dapat diaplikasikan,
dan mudah digunakan.
COBIT menyediakan dukungan yang kuat untuk audit IT, meminimalisasi biaya resiko audit, dan dapat meningkatkan kualitas audit dan opini audit.
COBIT dapat menghemat waktu dalam mengimplementasikan praktek-praktek yang efektif.
COBIT bersifat fleksibel dan mudah beradaptasi untuk menyesuaikan dengan ukuran dan budaya organisasi, serta kebutuhan khusus lainnya.
COBIT adalah sebuah konsep yang lengkap dan terintegrasi, dan dikelola oleh organisasi non profit yang sudah memiliki reputasi, yakni ISACA.
19
Alasan Perusahaan Mengadopsi COBIT
COBIT memberikan perhatian kepada tata kelola IT yang baik (Good IT Governance).
Untuk menguji akuntabilitas manajemen terhadap sumber daya teknologi informasi.
Adanya kebutuhan khusus untuk pengendalian sumber daya TI. Sebuah solusi yang berorientasi bisnis, karena COBIT mengedepankan
penggunaan sumber daya TI yang efektif dan efisien. COBIT menyediakan kerangka untuk penilaian resiko atas IT. Berbasis otorisasi. Meningkatkan komunikasi antara manajemen, pengguna
(users), dan auditor.
20
Contoh Implementasi COBIT Pada Bank Umum
Topic: Pengukuran Kinerja TI Menggunakan Framework COBIT Versi 4.1, Ping Test, dan CAAT pada PT. Bank X
Tujuan: untuk memastikan kinerja IT yang meliputi efektivitas dan efisiensi serta keamanan IT pada bank umum.
Dasar Hukum: PBI No. 9/15/2007 tentang Penerapan Manajemen Resiko Dalam Penggunaan TI Oleh Bank Umum
Alat Penelitian: COBIT framework, Ping test, dan CAAT Obyek Penelitian: Manajemen IT, Jaringan ATM, dan Data Akuntansi Bank Metodologi Penelitian:
1. Memahami PBI No. 9/15/2007
2. Pengujian melalui kuisioner
3. Pengujian jaringan dengan menggunakan Ping Test
4. Pengujian data analisis perbankan dengan menggunakan CAAT
21
Hasil Penelitian
22
Tabel 1 Ringkasan Hasil Pengujian Manajemen dan Pengendalian TI
No Kode Kelompok (Domain) Hasi Pengujian
Rata-RataTingkat
Maturity
1. PO Perencanaan dan pengorganisasian (Plan and Organize)
3,9 Manage
2. AI Pengadaan dan Implementasi (Acquire and Iimplement)
3,7 Manage
3. DS Pengantaran dan Dukungan (Delivery and Support)
3,4 Defined
4. ME Pengawasan dan Evaluasi (Monitor and Evaluate)
3,8 Manage
Rata-rata Keseluruhan Domain 3,7 Manage
Cont’d Tabel 2 Hasil Pengujian Time Delay Antara Kantor Pusat dengan Kantor Cabang
Tabel 3 Hasil Pengujian CAAT
23
No Jenis Pengujian Hasil Pengujian Waktu Reply Dalam miliseconds (ms)
Nilai Standar
Keterangan
1. Ping 250 byte < 100 ms Baik Baik (dengan catatan)
2. Ping 500 byte < 500 ms Baik Baik
No Jenis Pengujian Jenis Data Hasil Pengujian Nilai Standar
Keterangan
1. Pengujian Data Perhitungan Tabungan,Deposito, Funding
Akurasi,/ Tidak adakesalahan (Baik)
Baik Baik
2. Fasilitas Terpadu Fasilitas Hardware,Software
Sesuai Konfigurasi(Baik)
Baik Baik
3. Simulasi Sejajar Perhitungan data Tidak terdapatkesalahan (Baik)
Baik Baik
Cont’d
Tabel 4 Hasil Pengujian Keamanan IT Melalui Manajemen IT, Jaringan, dan CAAT
24
No Janis Pengujian Teknik Pengujian
Hasil Pengujian
Nilai Standar
Keterangan
1. Manajemen IT COBIT versi 4.1
3,7 5,0 Baik (dengan catatan)
2. Jaringan ATM Ping Test 100-150 ms <500 ms Baik
3. Data Akuntansi Bank CAAT Baik Baik Baik
Kesimpulan Contoh
PT Bank X Tbk, telah memiliki Blue print kemanan sistem informasi seperti yang di tentukan oleh Peraturan Bank Indonesia, telah dikelola dengan efektifitas, dan efisiensi serta terkendali dengan baik dari aspek manjemen, dengan hasil 3,7 artinya TI telah di dikelola dengan baik, keamanan sistem jaringan, telah dilakukan dengan baik, dengan catatan, serta pemrosesan data akuntansi telah diproses dengan
standar yang baik.
25
Referensi
http://www.managementfile.com/journal.php?sub=journal&awal=180&page=finance&id=10
http://www.eko-indrajit.com
26
