60
MODUL PERKULIAHAN Audit Sistem Informasi Fungsi Audit Sistem Informasi Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh Ilmu Komputer Sistem Informasi 01 18043 Tim Dosen Abstrak Kompetensi Semakin tingginya kebutuhan organisasi terhadap sistem informasi mendorong adopsinya di berbagai aspek organisasi. Pengendalian terhadap sistem informasi menjadi krusial, untuk mengetahui apakah pengendalian tersebut efektif diperlukanlah audit. Mengetahui materi yang akan diberikan selama perkuliahan dan mampu memahami fungsi audit sistem informasi.

MODUL PERKULIAHAN Audit Sistem Informasifasilkom.mercubuana.ac.id/wp-content/...AUDIT-SISTEM-INFORMASI.pdf1.1 Pengertian Ada banyak pengertian audit ... Review analisis 1.6.3 Evaluasi

  • Upload
    dangtu

  • View
    257

  • Download
    5

Embed Size (px)

Citation preview

MODUL PERKULIAHAN

Audit Sistem Informasi

Fungsi Audit Sistem Informasi

Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh

Ilmu Komputer Sistem Informasi

01 18043 Tim Dosen

Abstrak Kompetensi

Semakin tingginya kebutuhan organisasi terhadap sistem informasi mendorong adopsinya di berbagai aspek organisasi. Pengendalian terhadap sistem informasi menjadi krusial, untuk mengetahui apakah pengendalian tersebut efektif diperlukanlah audit.

Mengetahui materi yang akan diberikan selama perkuliahan dan mampu memahami fungsi audit sistem informasi.

2016 2

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Tim Dosen http://www.mercubuana.ac.id

Fungsi Audit Sistem Informasi

1.1 Pengertian

Ada banyak pengertian audit menurut beberapa ahli. Menurut Ikatan Akuntan Indonesia (IAI)

pada PSAK (Pernyataan Standar Audit keuangan) sebagai berikut:

“Audit adalah suatu proses sistematik yang bertujuan untuk memperoleh dan mengevaluasi bukti

yang dikumpulkan atas pernyataan atau asersi tentang aksi-aksi ekonomi, kejadian-kejadian dan

melihat tingkat hubungan antara pernyataan atau asersi dan kenyataan, serta

mengkomunikasikan hasilnya kepada yang berkepentingan.”

Menurut Arens Loebbecke, sebagai berikut:

“Audit adalah proses pengumpulan dan pengevaluasian bahan bukti tentang informasi yang

dapat diukur mengenai suatu entitas ekonomi yang dilakukan seorang yang kompeten dan

independen untuk dapat menentukan dan melaporkan kesesuaian informasi termasuk dengan

kriteria-kriteria yang telah ditetapkan.”

Auditor adalah pemeriksa, dimana terdapat dua jenis auditor yaitu internal dan eksternal.

Auditor internal ada di dalam organisasi itu sendiri misalkan divisi kepatuhan di perusahaan dan

Inspektorat Jenderal pada instansi pemerintah. Auditor eksternal merupakan auditor yang berasal

dari luar organisasi misalkan Kantor Akuntan Publik dan Badan Pemeriksa Keuangan.

Auditee adalah pihak yang diperiksa. Pihak yang diperiksa ini adalah manajemen beserta

personil lain pada organisasi.

1.2 Jenis Audit

Beberapa jenis audit yang lazim ditemui:

1. Audit keuangan (general audit/financial audit) berfokus pada laporan keuangan

2. Audit sistem informasi berfokus pada infrastruktur sistem informasi

3. Audit operasional/manajemen (operational audit/performance audit) berfokus pada Standar

Operasi Prosedur (SOP) dan Tata Kelola

4. Audit Investigatif bertujuan pada pembuktian secara hukum, biasanya dilakukan dengan

penugasan khusus.

1.3 Perbedaan dengan Audit Keuangan

Fungsi audit keuangan mengevaluasi apakah suatu organisasi sudah mematuhi standar

akuntansi, sementara fungsi audit sistem informasi melakukan tinjauan atas desain pengendalian

sistem informasi serta efektifitasnya.

1.4 ISACA

Merupakan singkatan dari Information Systems Audit and Control Association adalah sebuah

organisasi asosiasi internasional yang berfokus pada tata kelola sistem informasi yang berdiri

pada tahun 1967 di Amerika Serikat. Saat ini ISACA memiliki lebih dari 110.000 anggota di lebih

dari 180 negara.

Sertikasi profesional yang dikeluarkan ISACA diantaranya:

- Certified Information Systems Auditor (CISA)

- Certified Information Security Manager (CISM)

- Certified in the Governance of Enterprise IT (CGEIT)

- Control Objectives for Information and Related Technology (COBIT) 5

2016 3

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Tim Dosen http://www.mercubuana.ac.id

- Certified in Risk and Information Systems Control (CRISC)

1.5 Hubungan Auditor dan Auditee

Audit merupakan praktik manajemen yang lazim dilakukan terhadap organisasi manapun di

dunia. Tetapi masih sering sekali terjadi bahwa auditee resisten terhadap pelaksanaan audit atau

terhadap personil auditor. Auditee pada awalnya cenderung bereaksi negatif terhadap auditor,

audit dipersepsikan sebagai usaha mencari-cari kesalahan belaka.

Hal ini bisa diatasi dengan meningkatkan komunikasi antara dua pihak, auditee harus

memahami standar atau aturan kerja yang melandasi pekerjaan auditor. Auditor juga harus

memahami standar operasional dan aturan auditee.

Auditee setidaknya harus memahami beberapa hal mendasar berikut:

Definsi audit

Definis temuan

Atribut temuan

Fungsi audit

Jenis bukti

Proses audit

Jenis temuan

1.6 Proses Audit

1.6.1 Perencanaan Audit

Terdiri dari tahapan-tahapan berikut:

1. Ruang lingkup

2. Tujuan Audit

3. Organisasi Tim Audit

4. Tinjauan hasil audit sebelumnya

5. Identifikasi faktor resiko

1.6.2 Pengumpulan Bukti Audit

Terdiri dari tahapan-tahapan berikut:

1. Pengamatan SOP

2. Pengamatan Operasional

3. Tinjauan dokumentasi

4. Diskusi

5. Pemeriksaan fisik

6. Konfirmasi dengan pihak ketiga

7. Trial Error Prosedur

8. Pembandingan dengan dokumen sumber

9. Pengambilan sampel audit

10. Review analisis

1.6.3 Evaluasi Bukti Audit

Terdiri dari tahapan-tahapan berikut:

1. Menilai kualitas pengendalian internal

2. Menilai kehandalan informasi

3. Menilai kualitas kerja operasional

4. Pertimbangan bukti tambahan

5. Pertimbangan faktor resiko

6. Pertimbangan faktor materialitas

7. Pendokumentasian penemuan audit

2016 4

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Tim Dosen http://www.mercubuana.ac.id

1.6.4 Komunikasi Hasil Audit

Kegiatan audit dan temuan yang diperoleh selama pemeriksaan akan dituangkan pada

suatu laporan yang nantinya dapat digunakan manajemen untuk melakukan tindakan koreksi

atas sistem pada organisasi.

Pada proses audit komunikasi hasil audit ini terdiri dari tahapan-tahapan berikut:

1. Membuat rekomendasi untuk manajemen

2. Menyiapkan laporan hasil audit

3. Menyajikan hasil audit kepada manajemen

Auditor hendaknya mengkomunikasikan hasil audit tepat waktu, laporan hasil audit

merupakan

2016 5

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Tim Dosen http://www.mercubuana.ac.id

Daftar Pustaka

1. Suswinarno, 2012. Aman dari Risiko dalam Pengadaan Barang/Jasa Pemerintah. Visimedia: Jakarta.

2. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley: New Jersey.

3. Wikipedia. 2016 “ISACA”, https://en.wikipedia.org/wiki/ISACA. 9 September 2016

MODUL PERKULIAHAN

Audit Sistem Informasi

PROSES AUDIT

Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh

Ilmu Komputer Sistem Informasi

02 18043 Tim Dosen

Abstrak Kompetensi

Semakin tingginya kebutuhan organisasi terhadap sistem informasi mendorong adopsinya di berbagai aspek organisasi. Pengendalian terhadap sistem informasi menjadi krusial, untuk mengetahui apakah pengendalian tersebut efektif diperlukanlah audit.

Mampu menjelaskan kegiatan dalam proses audit

2016 2

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Tim Dosen http://www.mercubuana.ac.id

Proses Audit

3.1 Pengendalian

Audit sistem informasi berangkat dari paradigma pengendalian = pengendalian oleh

pengelolaan (manajemen), dimana pengendalian pengelolaan tersebut dimulai dengan

tata kelola, pengelola tertinggi dapat mengendalikan semua hal dan pengendalian

tersebut ditegakkan. Tetapi kondisi lingkungan bisnis saat ini menyarankan paradigma

yang lebih tepat adalah perbaikan secara terus menerus dengan fokus pada

pengendalian pada pemilik proses.

TUGAS MANAJEMEN

resources Perencanaan

penggunaan

organisir Pengendalian

Perawatan

optimasi

2016 3

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Tim Dosen http://www.mercubuana.ac.id

3.2 Proses Pengelolaan

3.3 Identifikasi Aktivitas Kunci

Produk dan layanan utama perlu diidentifikasi.

Hal ini berkaitan erat dengan pemahaman terhadap kebutuhan konsumen, kompetitor

dan respon mereka (Pemahaman terhadap KPA).

KPA = Key Performance Area

3.4 Memutuskan Strategi Pengendalian

Resiko dikaitkan dengan kemungkinan kejadian atau keadaan yang dapat merugikan

dan mengancam pencapaian tujuan maupun sasaran organisasi. Resiko diyakini tidak

dapat dihilangkan, resiko dapat dikurangi melalui manajemen resiko.

Setelah analisa resiko selesai manajemen berada dalam posisi untuk memutuskan

mana aktifitas yang harus dipastikan, mana resiko yang dapat dikelola, mana resiko yang

harus dipindahkan. Sasaran pelaksanaan manajemen resiko adalah untuk mengurangi

resiko yang berbeda-beda terkait dengan bidang yang telah dipilih pada tingkat yang

dapat diterima oleh masyarakat.

Memahami bisnis

organisasi

Identifikasi aktivitas

kunci

Menentukan kebutuhan organisasi

2016 4

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Tim Dosen http://www.mercubuana.ac.id

3.5 Peran Audit

Audit sistem informasi dapat dilakukan oleh pihak internal, eksternal maupun

pemerintah.

Proses audit dirancang untuk menentukan bagian mana yang harus diaudit dengan

menggunakan parameter:

1. Control Strategy Assessment

2. Control Adequacy and Effectiveness

3. Performance Quality Assessment

4. Unit Performance Reporting

5. Following Up Overall the standards of audit performance must be up to a

professional level (misal mengikuti ISACA standards).

3.6 Conceptual Foundation

Dilakukan dengan mengimplementasikan analisa resiko terstruktur.

3.7 Profesionalisme

Tugas kritikal pada audit sistem informasi adalah pada saat mengkomunikasikan hasil

audit kepada manajer kunci dan pihak yang berkepentingan.

Untuk menunjukkan profesionalisme, audit sistem informasi hendaknya mengikuti

kode etik dan standar yang ada (dalam hal ini ISACA Code of Professional Ethics dan

ISACA IS Auditing Standards).

3.8 Regulasi, Pengendalian dan Standar

Akreditasi dan standarisasi audit sistem informasi harus disediakan oleh pihak

internal atau oleh pihak lain untuk memastikan pengamanan dan pengendalian

memadai.

Beberapa metode evaluasi untuk menentukan kecukupan tersedia, seperti ITSEC, TCSEC,

dan IS0 9000 dengan menggunakan standar seperti COBIT (Control Objectives for

Information and Related Technology), ISO 17799, ITIL (IT Infrastructure Library), COSO

Internal Control—Integrated Framework dan COSO Enterprise Risk Management—

Integrated Framework, dan sebagainya.

2016 5

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Tim Dosen http://www.mercubuana.ac.id

Daftar Pustaka

4. Suswinarno, 2012. Aman dari Risiko dalam Pengadaan Barang/Jasa Pemerintah. Visimedia: Jakarta.

5. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley: New Jersey.

MODUL PERKULIAHAN

Audit Sistem Informasi

RISIKO DALAM SISTEM INFORMASI DAN KONSEP DASAR AUDIT

Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh

Ilmu Komputer Sistem Informasi

03 18043 Tim Dosen

Abstrak Kompetensi

Semakin tingginya kebutuhan organisasi terhadap sistem informasi mendorong adopsinya di berbagai aspek organisasi. Pengendalian terhadap sistem informasi menjadi krusial, untuk mengetahui apakah pengendalian tersebut efektif diperlukanlah audit.

Memahami risiko dalam sistem informasi dan mengerti konsep dasar audit

2016 2

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Tim Dosen http://www.mercubuana.ac.id

Risiko dalam Sistem Informasi dan Konsep

Dasar Audit

6.1 Risiko Terkait Komputer

Semua hal melibatkan risiko dalam berbagai tingkatan. Risiko dikaitkan dengan

kemungkinan kejadian atau keadaan yang dapat merugikan dan mengancam pencapaian

tujuan maupun sasaran organisasi. Risiko dapat dikurangi tetapi tidak dapat dihilangkan.

Menurut Suswinarno (2012) manajemen risiko adalah:

“Suatu pendekatan terstruktur/metodologi dalam mengelola ketidakpastian yang

berkaitan dengan ancaman atau suatu rangkaian aktivitas manusia termasuk penilaian

risiko, pengembangan strategi untuk mengelolanya dan mitigasi risiko dengan

menggunakan pemberdayaan/pengelolaan sumber daya.”

Manajemen risiko berkaitan dengan menilai suatu produk, proses atau bisnis

melalui:

1. Identikasi proses-proses

2. Identifikasi jenis risiko untuk setiap proses

3. Identifikasi kontrol untuk setiap proses

4. Evaluasi kecukupan sistem kontrol dalam mitigasi risiko

5. Menentukan kontrol utama terkait setiap proses

6. Menentukan efektifitas kontrol utama

Semua sistem informasi memiliki risiko, seperti bahaya-bahaya berikut:

Fraud (Kecurangan/manipulasi)

Business interruption (Gangguan bisnis)

Errors (Sistem tidak berfungsi sebagaimana mestinya)

Customer dissatisfaction (Ketidakpuasan konsumen)

Poor public image (Citra yang buruk di mata masyarakat)

Ineffective and inefficient use of resources (Penggunaan sumber daya yang tidak

tepat dan pemborosan)

6.2 Jenis Risiko

Pada pendekatan audit berbasis risiko, secara umum dikenal tiga jenis risiko yaitu:

1. Risiko inheren: kemungkinan kerugian terjadi sebelum memperhitungkan faktor-

faktor pengurang risiko. Dalam mengevaluasi risiko jenis ini auditor harus

mempertimbangkan apa jenis dan sifat risiko serta faktor apa yang menunjukkan

risiko ada.

2016 3

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Tim Dosen http://www.mercubuana.ac.id

2. Risiko kontrol: mengukur kemungkinan proses kontrol yang ada untuk membatasi

atau menangani risiko inheren apakah tidak efektif. Untuk memastikan audit telah

tepat, auditor harus memahami mana kontrol yang efektif terlebih dahulu.

3. Risiko audit: risiko bahwa cakupan audit tidak menjangkau exposure bisnis yang

cukup penting. Pro-forma audit dapat dikembangkan untuk mengurangi risiko audit,

hal ini menyediakan panduan apa kontrol utama yang harus ada untuk menghadapi

risiko dan apa yang harus dipatuhi atau pengujian substantif yang harus dilakukan.

6.3 Efek dari Risiko

Efek Risiko dalam sistem informasi ditemui pada:

• Strategi (Strategic): risiko dimana sistem informasi tidak sesuai dengan tujuan

organisasi dan tidak mendukung pencapaian misi.

• Operasi (Operations): risiko dimana sistem informasi menimbulkan beban yang

terlalu besar bagi organisasi. Selain itu ketergantungan organisasi terhadap suatu

sistem informasi berarti apabila sistem tersebut tidak tersedia selama waktu

tertentu dapat menimbulkan risiko besar bagi operasional.

• Pelaporan (Reporting): risiko dimana sistem informasi tidak dapat diandalkan untuk

menghasilkan informasi yang akurat, lengkap dan tepat waktu.

• Kepatuhan (Compliance): risiko dimana sistem informasi malah menimbulkan

pelanggaran hukum dan regulasi yang merugikan bagi organisasi baik secara finansial

maupun reputasi.

6.4 Bukti Audit

Bukti adalah informasi yang dimaksudkan untuk membuktikan atau mendukung

suatu keyakinan.

Bukti audit hendaknya memenuhi kriteria berikut:

• Cukup (Sufficient). Faktual, memadai dan meyakinkan dimana seseorang yang bijak akan mengambil kesimpulan yang sama dengan auditor.

• Kompeten (Competent). Handal dan merupakan Dapat diandalkan dan hasil terbaik dari penggunaan metode audit yang tepat.

• Relevan (Relevant). Mendukung temuan dan rekomendasi audit serta konsisten dengan tujuan audit.

• Berguna (Useful). Membantu organisasi dalam mencapai tujuannya.

6.5 Jenis Bukti Audit

6.5.1 Bukti Fisik (Physical evidence). Secara umum diperoleh dari hasil

pengamatan terhadap orang, properti atau peristiwa bisa dalam bentuk foto, peta

dan sebagainya. Bukti yang diperoleh dari hasil pengamatan haruslah didukung

dengan contoh-contoh yang terdokumentasi atau bila tidak memungkinkan

hendaknya didukung pengamatan lain yang menguatkan

2016 4

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Tim Dosen http://www.mercubuana.ac.id

6.5.2 Bukti Kesaksian (Testimonial evidence). Dapat berbentuk surat, pernyataan

atau wawancara yang tidak bersifat konklusif karena merupakan pendapat

seseorang. Bukti jenis ini hendaknya didukung dokumentasi selama memungkinkan.

6.5.3 Bukti Dokumen (Documentary evidence). Merupakan bukti yang paling lazim

dalam audit bisa berupa surat, perjanjian, kontrak, perintah, memo dan berbagai

jenis dokumen bisnis lain. Bukti jenis ini dapat juga diperoleh dari arsip komputer

menggunakan alat dan teknik audit yang tepat. Sumber dokumen akan menentukan

tingkat kehandalan dan tingkat kepercayaan, tentunya kualitas proses kontrol

internal ikut dipertimbangkan.

6.5.4 Bukti Analitis (Analytical evidence). Umumnya diperoleh dari hasil

komputasi, perbandingan terhadap standar, operasi masa lalu atau operasi sejenis.

Penggunaan perangkat komputer yang tepat sangat membantu auditor pada

perolehan bukti jenis ini. Regulasi dan penalaran umum juga dapat menghasilkan

bukti jenis ini.

6.6 Prosedur Bukti Audit

Auditor sangat bergantung pada pengumpulan bukti. Hal ini dilakukan melalui

berbagai cara dan mengikuti Program Audit.

Program Audit adalah serangkaian langkah-langkah yang rinci yang harus diikuti

auditor untuk mendapatkan bukti yang tepat dan pada auditor sistem informasi hal ini

berupa penggunaan teknik komputasi tertentu walaupun bisa juga bukan.

Program audit dibutuhkan untuk menciptakan audit yang efektif dan efisien.

Menurut Jack J. Champlain (2003) selain itu masih memiliki dua keuntungan lain yaitu:

1. Membantu manajemen audit dalam perencanaan sumber daya, misal dapat dihitung

berapa total jam yang dibutuhkan untuk melaksanakan audit berdasarkan waktu

yang diharapkan untuk melaksanakan setiap langkah-langkah audit pada program

audit.

2. Membantu konsistensi dalam pengujian pengendalian yang umum.

6.7 Tanggung Jawab Terhadap Deteksi dan Pencegahan Kecurangan (Fraud)

Tanggung jawab terhadap deteksi dan pencegahan kecurangan termasuk

kecurangan dalam sistem informasi merupakan tanggungjawab dari pengelola

(operational management).

Auditor memiliki peran dalam hal membantu pengelola menerapkan sistem kontrol

dimana fraud kecil kemungkinan terjadi, tetapi apabila terjadi akan cepat dideteksi.

2016 5

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Tim Dosen http://www.mercubuana.ac.id

Daftar Pustaka

6. Suswinarno, 2012. Aman dari Risiko dalam Pengadaan Barang/Jasa Pemerintah. Visimedia: Jakarta.

7. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley: New Jersey.

8. Champlain, J, Jack. 2003. Auditing Information Systems Second Edition. Wiley: New Jersey.

MODUL PERKULIAHAN

Audit Sistem Informasi

PENGENDALIAN INTERNAL

Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh

Ilmu Komputer Sistem Informasi

04 18043 Tim Dosen

Abstrak Kompetensi

Semakin tingginya kebutuhan organisasi terhadap sistem informasi mendorong adopsinya di berbagai aspek organisasi. Pengendalian terhadap sistem informasi menjadi krusial, untuk mengetahui apakah pengendalian tersebut efektif diperlukanlah audit.

Mampu menjelaskan pengendalian internal

2016 2

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Tim Dosen http://www.mercubuana.ac.id

Pengendalian Internal

10.1 Pengertian

Pengendalian (control) adalah setiap tindakan yang dilakukan pengelola

(manajemen) untuk memperbesar peluang tujuan dan sasaran yang telah ditetapkan

dapat tercapai.

Pengendalian internal memastikan bahwa program untuk memastikan tujuan

manajemen direncanakan dan dijalankan dengan baik. Misal: pengecekan rutin terhadap

integritas data pada sistem, pelatihan terhadap tim pemasaran untuk menggunakan

teknik/alat data mining.

Sistem pengendalian internal adalah keseluruhan infrastruktur dimana setiap elemen

pengendalian akan berfungsi dan menciptakan suatu kondisi dimana pengendalian internal

dapat berjalan.

10.2 Tujuan Pengendalian Internal

4. Reliabitas dan Integritas Informasi;

5. Kepatuhan terhadap kebijakan,rencana,hukum dan regulasi;

6. Pengamanan Aset;

7. Efektifitas dan efisiensi operasi.

10.3 Jenis Pengendalian

1. Preventative controls, pencegahan (sebelum terjadi penyimpangan) sebagai contoh

berupa pembatasan tindakan pengguna, permintaan kata sandi, otorisasi terpisah.

2. Detective controls, mendeteksi penyimpangan setelah terjadi contoh: laporan

analisa log, pemantauan status parameter yang tidak sesuai standar.

3. Corrective controls, memastikan koreksi terhadap masalah yang ditemukan oleh

detective controls pada umumnya membutuhkan campur tangan manusia. Contoh

proses restorasi data backup, pembatalan transaksi. Corrective Controls memiliki

potensi menimbulkan masalah baru yang bisa jadi lebih besar daripada masalah yang

dicoba untuk diperbaiki.

4. Directive controls dirancang untuk memproduksi hasil yang baik dan mendorong

perilaku yang baik. Contoh: arahan untuk para pengguna komputer melakukan

tindakan backup terhadap data masing-masing secara periodik.

5. Compensating controls dapat ditemui pada kasus dimana kelemahan pada satu

pengendalian ditutup oleh pengendalian lain.

2016 3

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Tim Dosen http://www.mercubuana.ac.id

10.4 Elemen Pengendalian Internal

10.4.1 Akuntabilitas. Setiap keputusan, transaksi dan tindakan yang dilakukan harus

ada pengendalian yang dapat menentukan siapa yang melakukan apa.

10.4.2 Kecukupan Sumber Daya. Pengendalian yang coba dilakukan dengan sumber

daya yang kurang biasanya akan gagal ketika menghadapi tekanan.

10.4.3 Pengawasan dan review. Pada banyak kasus manusia tidak melakukan apa

yang seharusnya tetapi hanya melakukan apa yang diawasi sehingga system

pengawasan diperlukan dan perlu dilakukan evaluasi secara periodik.

10.5 Pengendalian pada Aplikasi Komputer

Memiliki tujuan:

Integritas aplikasi dan prosesnya (Integrity of programs and processing).

Pencegahan terhadap perubahan yang tidak diinginkan (Prevention of unwanted

changes).

Memastikan pengendalian perancangan dan pengembangan memadai (Ensuring

adequate design and development control).

Memastikan pengujian memadai (Ensuring adequate testing).

Mengendalikan pemindahan aplikasi (Controlled program transfer).

Memastikan sistem terus terpelihara (Ongoing maintainability of systems).

10.6 Contoh Pengendalian Pada Pengembangan Aplikasi Komputer

Penggunaan Systems Development Life Cycle (SDLC).

Melibatkan pengguna (User involvement).

Dokumentasi yang memadai.

Rencana pengujian yang diformalkan.

Konversi yang terencana.

Penggunaan post-implementation reviews.

Penetapan quality assurance (QA).

Melibatkan Auditor Internal.

2016 4

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Tim Dosen http://www.mercubuana.ac.id

Daftar Pustaka

9. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley:

New Jersey.

MODUL PERKULIAHAN

Audit Sistem Informasi

PERENCANAAN AUDIT

Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh

Ilmu Komputer Sistem Informasi

05 18043 Tim Dosen

Abstrak Kompetensi

Semakin tingginya kebutuhan organisasi terhadap sistem informasi mendorong adopsinya di berbagai aspek organisasi. Pengendalian terhadap sistem informasi menjadi krusial, untuk mengetahui apakah pengendalian tersebut efektif diperlukanlah audit.

Mampu membuat proses perencanaan audit

2016 2

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Tim Dosen http://www.mercubuana.ac.id

Perencanaan Audit

15.1.1 Manfaat Rencana Audit

Perencanaan merupakan salahsatu teknik manajemen yang paling pokok tetapi

merupakan salahsatu yang paling buruk penerapannya. Sebuah audit disebut efektif

apabila tujuannya tercapai. Sangat penting auditor memahami tujuan tersebut sebelum

menjalankan audit. Rencana audit yang terstruktur dan terdokumentasi mengidentifikasi

dan menetapkan kriteria bagaimana menilai keberhasilan audit.

15.1.2 Struktur Rencana Audit

Survei Pendahuluan

16. Rapat pembukaan antara tim audit dengan auditee/manajemen (entry meeting).

17. SOP yang ada saat ini seperti apa.

18. Pengumpulan bukti-bukti awal (dokumen SOP, struktur organisasi, kebijakan

manajemen, panduan operasi, dokumen teknis dsb). Apakah ada? Diamankan?

Dipatuhi sejauh apa?

19. Tur lokasi dan perkenalan dengan personil-personil yang ada serta

tanggungjawabnya.

Deskripsi dan Analisa Pengendalian Internal.

Apakah pengendalian internal ada?

Apakah pengendalian internal tersebut efektif? Pengujian terbatas dapat dilakukan

untuk menilai efektifitasnya.

Penilaian ulang resiko dapat dilakukan pada tahap ini.

Pengujian terhadap Pengendalian Internal.

Untuk memastikan pengendalian internal benar efektif haruslah dilakukan pengujian.

Pengujian ini nantinya akan dituangkan pada laporan hasil audit.

Contoh pengujian yang dapat dilakukan:

Pemeriksaan berkas dan dokumen;

Wawancara dengan pihak manajemen atau personil lain;

Pengamatan terhadap operasional;

Pemeriksaan aset;

Pemeriksaan berkas komputer;

Komparasi hasil audit dengan laporan auditee.

2016 3

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Tim Dosen http://www.mercubuana.ac.id

Temuan dan Rekomendasi.

Temuan audit terdiri dari 4 (empat) bagian yaitu kriteria, kondisi, akibat dan penyebab.

Rekomendasi, umumnya berbentuk:

Tidak menyarankan perubahan pada sistem pengendalian.

Peningkatan pengendalian untuk mengurangi resiko.

Pemindahan resiko ke pihak luar (pada kondisi dimana resiko cukup tinggi tetapi

pengendalian sulit dilakukan atau tidak ekonomis) misal: asuransi, alihdaya.

Laporan Hasil Audit.

20. Laporan hasil audit hendaknya diselesaikan tepat waktu.

21. Laporan hasil audit didokumentasikan dan dikomunikasikan kepada auditee.

22. Auditee diminta untuk memberikan tanggapan dan tanggapan akan dimasukkan ke

laporan hasil audit final. Hal ini untuk memastikan objektifitas audit.

Tindak Lanjut.

Tahapan untuk memastikan apakah manajemen setelah mengetahui rekomendasi:

• Menerima resiko, tanpa perbaikan;

• Tidak menerima resiko, tanpa perbaikan;

• Melakukan langkah-langkah untuk mengendalikan kelemahan.

Evaluasi Audit.

Merupakan tahapan final dimana auditor menilai proses audit yang telah dilakukan.

Langkah ini sering diabaikan, sehingga mengakibatkan audit di masa berikutnya tidak

optimal.

Daftar Pustaka

2016 4

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Tim Dosen http://www.mercubuana.ac.id

10. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley:

New Jersey.

MODUL PERKULIAHAN

Audit Sistem Informasi

MANAJEMEN AUDIT

Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh

Ilmu Komputer Sistem Informasi

06 18043 Tim Dosen

Abstrak Kompetensi

Semakin tingginya kebutuhan organisasi terhadap sistem informasi mendorong adopsinya di berbagai aspek organisasi. Pengendalian terhadap sistem informasi menjadi krusial, untuk mengetahui apakah pengendalian tersebut efektif diperlukanlah audit.

Memahami pengertian manajemen audit.

2016 2

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Tim Dosen http://www.mercubuana.ac.id

Manajemen Audit

28.1 Perencanaan

Audit sistem informasi memiliki tanggungjawab menyediakan dukungan bagi aspek

yang berhubungan dengan komputer pada audit keuangan.

Hal ini dilakukan dengan cakupan audit yang memadai pada sistem informasi yang

digunakan organisasi.

Perencanaan audit sistem informasi melibatkan bagaimana mendefinisikan area yang

diaudit. Hal ini dapat dilakukan dengan review terhadap:

28.1.1 Sistem bisnis

28.1.2 Sistem yang sedang dikembangkan

28.1.3 Manajemen fasilitas sistem informasi

28.1.4 Pengendalian keamanan dan recovery

28.1.5 Efisiensi dan efektifitas sistem informasi

28.2 Sasaran Audit Sistem Informasi

Untuk mengulas, menilai dan melaporkan :

1. Kelayakan, kecukupan dan penerapan standar operasi sistem informasi.

2. Kelayakan, kecukupan dan penerapan standar pengembangan sistem.

3. Tingkat kepatuhan terhadap standar organisasi.

4. Keamanan terhadap investasi sistem informasi organisasi.

5. Kecukupan pengaturan kontingensi.

6. Kelengkapan dan ketepatan informasi yang diproses oleh computer.

7. Apakah semua sumber daya komputer telah digunakan secara optimal.

8. Kelayakan sistem aplikasi yang dikembangkan.

28.3 Fungsi Audit Sistem Informasi

Fungsi audit sistem informasi dan fungsi audit umum terdapat berbagai pandangan

berbeda. Pandangan yang pertama yang biasanya diyakini oleh auditor sistem informasi

sendiri bahwa setiap audit terhadap pengendalian yang melibatkan komputer

hendaknya dilakukan oleh auditor sistem informasi professional

Pandangan yang berlawanan meyakini auditor sistem informasi dan auditor umum

haruslah terintegrasi seutuhnya. Diantara kedua pandangan tadi masih ada pandangan

lain yang lebih banyak diyakini secara umum. Bahwa ada keuntungan pada beberapa

area audit yang melibatkan review terhadap sistem komputer apabila dilakukan oleh

auditor umum yang memahami sistem informasi.

2016 3

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Tim Dosen http://www.mercubuana.ac.id

28.4 Audit Sistem Informasi Sebagai Fungsi Pendukung

Audit sistem informasi dapat juga dipandang sebagai fungsi pendukung terhadap

keseluruhan fungsi audit internal dan mungkin melibatkan pengembangan alat/metode

komputasi audit, membantu auditor non sistem informasi bahkan pelatihan terhadap

auditor non sistem informasi.

Auditor sistem informasi bisa juga dilibatkan dalam pengembangan prosedur

pengendalian untuk penggunaan komputer pada lingkungan internal dengan

memastikan hasil penelitian sistem informasi yang lebih modern dan teknik audit sistem

informasi diterapkan.

28.5 Sistem Informasi Bisnis

Review terhadap sistem bisnis termasuk audit terhadap aplikasi sistem, audit

kecurangan, audit kepatuhan, audit keuangan, audit operasional, recovery audits dan

audit pengembangan sistem. Dalam merancang prosedur audit, auditor harus

melakukan pengujian untuk memperoleh barang bukti. Hal ini berarti auditor harus tahu

apa yang akan dicari.

Tidak semua pengendalian diuji. Untuk menjamin audit efektif secara biaya, auditor

harus mencari pengendalian umum dimana berbagai tujuan pengendalian dicakup.

28.6 Auditee Sebagai Bagian Tim Audit

Pengendalian internal yang efektif hanya dapat dicapai apabila semua orang

menginginkan pengendalian internal yang efektif dan bekerjasama untuk mencapai hal

tersebut. Audit berbasis tim telah lama disukai dalam pendekatan audit terintegrasi.

Sebagaimana biasanya dalam kerjasama tim, kesuksesan bergantung pada tujuan

bersama dan partisipasi penuh.

Pada masa sekarang, pendekatan audit berbasis tim perlu diangkat ke level

berikutnya dimana memasukkan manajemen dan staff yang sedang dievaluasi. Audit

berbasis tim yang sesungguhnya dapat menyediakan akses bagi tim terhadap

kemampuan khusus individu yang menjadi anggotanya, sekaligus mengidentifikasi area

dimana kemampuan khusus sangat dibutuhkan tetapi tidak tersedia.

2016 4

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Tim Dosen http://www.mercubuana.ac.id

28.7 Penggunaan Audit Tools

Alat yang tersedia bagi auditor sistem informasi bukan hanya berupa CAAT

(Computer Assisted Auditing Techniques), alat standar lain seperti wawancara, kuisioner

dan dokumentasi.

Alat evaluasi pengendalian seperti CAAT, test data generators dan aplikasi

flowcharting dapat dikombinasikan dengan perangkat lunak audit khusus, perangkat

lunak audit umum, aplikasi utilitas dan berbagai aplikasi non audit seperti aplikasi

pelaporan dan general query languages. Perangkat lunak analisis risiko, perencanaan

audit dan otomatisasi kertas kerja biasanya sangat berguna juga.

28.8 Jaminan Kualitas Audit Sistem Informasi

Audit manager bertanggungjawab terhadap jaminan kualitas audit sistem informasi.

Pada prakteknya hal ini akan melibatkan review pekerjaan audit oleh auditor sistem

informasi lain atau audit secara manajemen.

Ketika jaminan kualitas tersebut tidak dapat diperoleh dari dalam (in-house), maka

sumber luar dapat digunakan. Sumber luar ini dapat datang dari berbagai tempat/organisasi

seperti perusahaan konsultan dan auditor eksternal independen.

2016 5

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Tim Dosen http://www.mercubuana.ac.id

Daftar Pustaka

11. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley:

New Jersey.

MODUL PERKULIAHAN

Audit Sistem Informasi

BUKTI AUDIT

Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh

Ilmu Komputer Sistem Informasi

07 18043 Tim Dosen

Abstrak Kompetensi

Semakin tingginya kebutuhan organisasi terhadap sistem informasi mendorong adopsinya di berbagai aspek organisasi. Pengendalian terhadap sistem informasi menjadi krusial, untuk mengetahui apakah pengendalian tersebut efektif diperlukanlah audit.

Menjelaskan proses bukti audit yang digunakan.

2016 2

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Tim Dosen http://www.mercubuana.ac.id

Bukti Audit

35.1 Prosedur Bukti Audit Sistem Informasi

Auditor mengumpulkan bukti dengan mengikuti program audit. Program audit

adalah sekumpulan langkah yang akan diikuti oleh auditor dalam memperoleh bukti

yang sesuai, pada auditor sistem informasi hal ini berarti melibatkan penggunaan teknik

komputer tertentu, walau bisa juga tidak.

Seperti rute pada peta, program audit harus memenuhi kebutuhan penggunanya.

Program audit menyatakan apa yang harus dilakukan, kapan, bagaimana, siapa dan

berapa lama. Program audit membantu auditor bekerja sesuai dengan waktu dan

anggaran yang ada. Program audit final harus disiapkan segera setelah survei

pendahuluan dilakukan, tetapi dapat dimodifikasi selama proses audit berjalan.

Persiapan program audit harus menekankan pada apa yang berbahaya bagi

organisasi.

Program ini harus bijaksan, relevan, efektif dan ekonomi. Bahwa tidak setiap item perlu

diperiksa selain itu kewajaran dan relevansi harus dipertahankan.

35.2 Sampling Statistik

Pada banyak kasus auditor dapat memperoleh keyakinan yang memadai mengenai

mitigasi risiko tanpa harus memeriksa semua arsip atau transaksi.

Sampling statistik adalah proses pengujian sebagian dari kelompok item untuk

mengevaluasi dan menarik kesimpulan tentang populasi secara keseluruhan. Dengan

melakukan hal tersebut, auditor bermaksud bahwa karakteristik yang relevan dari sampel,

seperti ukuran atau tingkat atau kesalahan, harus sebanding secara matematis dengan

populasi. Untuk melakukan hal tersebut maka metode pemilihan sampel yang tepat harus

digunakan seperti pemilihan acak dan ukuran sampel yang memadai.

35.3 Sampling Non Statistik

Dikenal juga dengan istilah judgmental sampling, auditor hanya mengandalkan

pertimbangan profesionalnya untuk menilai risiko kesalahan sampling (sampling error) dan

mengevaluasi populasi.

Karena sampel tidak dimaksudkan mewakili seluruh populasi, hasil sampel tidak dapat

diekstrapolasi untuk seluruh populasi. Pendekatan ini biasanya digunakan ketika auditor

bermaksud menggunakan sampel untuk tujuan tertentu.

2016 3

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Tim Dosen http://www.mercubuana.ac.id

35.4 Risiko Sampling

Ketika auditor memilih menggunakan sampling statistik maka auditor akan

menghadapi kemungkinan bahwa kesimpulan yang ditarik tentang populasi berisi

beberapa kesalahan materi.

Setiap penggunaan sampling juga tunduk pada risiko kesalahan non-sampling. Jenis

kesalahan ini adalah hasil dari ketidakpastian lain yang tidak disebabkan oleh proses

sampling. Penyebab kesalahan seperti ini dapat berupa:

- Kesalahan dalam memilih sampel.

- Penggunaan prosedur audit yang salah.

- Kegagalan mengenali salah saji atau penyimpangan dalam item sampel.

- Definisi yang tidak benar dari populasi.

35.5 Perencanaan Sampling

Ketika auditor memutuskan untuk menggunakan sampling, hal berikut haruslah

dipertimbangkan:

• Tujuan audit (audit objectives). Seperti lazimnya audit auditor memulai dengan

mempertimbangkan tujuan pengendalian area yang sedang diperiksa. Dari hal ini

dapat ditentukan sumber bukti dan sifat dari pengujian yang dibutuhkan untuk

mengevaluasi bukti.

• Karakteristik populasi. Tahap kedua dari perencanaan adalah menentukan populasi

dimana kesimpulan akan diambil, hal ini akan dinyatakan dalam karakteristik

populasi. Sebagai contoh: audtor dapat memilih untuk mengungkapkan pendapat

mengenai item bernilai tinggi, rendah atau semua item.

35.6 Penjadwalan Proyek

Program Evaluation Review Technique (PERT) digunakan untuk mengidentifikasi

secara diagram aktifitas yang saling bergantung (dependen) dan tidak (independen).

Critical path method (CPM) adalah sebuah metode penjadwalan yang dikembangkan

secara terpisahd ari PERT tetapi menggunakan diagram yang serupa. CPM,

menggunakan dua estimasi waktu, satu untuk normal effort and satu lagi “crash”

effort. “Crash” time adalah waktu yang dibutuhkan untuk menyelesaikan tugas

apabila seluruh sumber daya digunakan pada tugas tersebut.

GANTT atau Diagram Batang.

2016 4

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Tim Dosen http://www.mercubuana.ac.id

35.7 Computer Assisted Audit Solutions

Computer Assisted Audit Tools (CAATs), Computer Assisted Audit Techniques (CAATs).

or more correctly, Computer Assisted Audit Tools and Techniques (CAATTs)

Merupakan metode perolehan informasi, analisis program dan prosedur termasuk

aplikasi yang mengatur, menggabungkan, mengekstrak dan menganalisis informasi.

Dalam kelompok ini termasuk perangkat lunak audit umum (generalized audit software)

serta perangkat lunak terkait industri.

Information retrieval and analysis programs and procedures termasuk ke programs

that organize, combine, extract, and analyze information. This includes generalized audit

software as well as application and industry-related software. Apabila auditor memiliki

kemampuan programming, Bahasa pemrograman konvensional dapat menjadi

alternatif. Tersedianya banyak perangkat lunak yang tidak membutuhkan kemampuan

teknis di bidang programming membuat analisa data secara langsung mudah dilakukan

oleh auditor. Fokus utama adalah pada pemahaman tentang aplikasi dan bagaimana

data berhubungan.

35.8 Perangkat Lunak Audit Umum (Generalized Audit Software)

Perangkat lunak audit umum adalah perangkat lunak yang dirancang secara khusus

untuk auditor, perangkat ini menyediakan antar muka yang ramah untuk melaksanakan

berbagai tugas standar auditor seperti pemeriksaan catatan, pengujian perhitungan dan

pembuatan perhitungan.

Perangkat lunak audit umum tidak dapat menyelesaikan semua masalah auditor,

tetapi sangat membantu di masalah-masalah umum. Perangkat lunak ini dirancang

secara khusus untuk penanganan data besar. Contoh perangkat lunak ini diantaranya

Audit Control Language (ACL) dan Interactive Data Extraction and Analysis (IDEA).

35.9 Teknik Pengujian Transaksi

Teknik pengujian transaksi digunakan untuk mengkonfirmasi pengendalian proses

berfungsi dan termasuk evaluasi perubahan dan validasi pengendalian, pengujian

laporan pengecualian dan evaluasi pengendalian integritas data.

Contoh teknik pengujian transaksi:

- Test data

- Integrated Test Facility (ITF)

- Source-code review

- Embedded audit modules (SCARFs [System Collection Audit Review Files])

- Parallel simulation

2016 5

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Tim Dosen http://www.mercubuana.ac.id

Daftar Pustaka

12. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley:

New Jersey.

MODUL PERKULIAHAN

Audit Sistem Informasi

Strategic Planning

Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh

Ilmu Komputer Sistem Informasi

09 18043 Nia Rahma Kurnianda S.kom, M. Kom

Abstrak Kompetensi

Semakin tingginya kebutuhan organisasi terhadap sistem informasi mendorong adopsinya di berbagai aspek organisasi. Pengendalian terhadap sistem informasi menjadi krusial, untuk mengetahui apakah pengendalian tersebut efektif diperlukanlah audit.

Mengetahui materi yang akan diberikan selama perkuliahan dan mampu Mampu membuat perencanaan strategi.

2016 2

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Tim Dosen http://www.mercubuana.ac.id

Strategic Management Process

Proses manajemen strategis menggunakan informasi kualitatif dan kuantitatif untuk

mengintegrasikan intuisi dan analisis.

Manajemen intuisi didasarkan pada penilaian, pengalaman masa lalu, dan perasaan dan

digunakan dalam kondisi ketidakpastian atau kondisi di mana tidak ada preseden untuk membantu

manajemen dalam membuat keputusan.

Di semua tingkatan dalam organisasi, manajemen harus membuat keputusan dalam kondisi

ketidakpastian di setiap hari dan intuisi merekalah yang mempengaruhi interpretasi yang dari analisis

yang mempengaruhi keputusan strategis yang diambil.

Kunci atribut dari proses manajemen strategis adalah kemampuan beradaptasi untuk berubah,

dan organisasi harus memantau kejadian internal dan eksternal sebagai proses berulang untuk

memastikan adaptasi tepat waktu dipengaruhi.

Selama 20 tahun terakhir, besarnya tingkat perubahan teknologi informasi serta percepatan,

dikombinasikan dengan peningkatan akses ke pasar global dan peningkatan nasional dan peraturan

internasional telah memaksa perubahan pada organisasi di tingkat yang belum pernah terlihat. Ini

meningkatkan tekanan pada manajemen untuk mengembangkan strategi adaptif agar tetap dalam

persaingan dan bahkan untuk tinggal di keberadaan.

Strategi, secara keseluruhan, adalah sarana yang jangka panjang tujuan dimaksudkan untuk

dicapai dan dapat mencakup geografis diversifikasi, pengembangan produk, diferensiasi layanan,

akuisisi organisasi lain, divestasi, PHK, atau bahkan likuidasi. manajemen strategis adalah upaya

untuk memanfaatkan pengetahuan yang ada untuk meramalkan hasil dari peristiwa dan sejauh mana

mereka bisa dipengaruhi oleh tindakan manajemen.

Strategic Drivers

Dalam jangka waktu kedepan, satu-satunya arah adalah penjualan informasi. Dalam hal ini,

teknologi sebagai pendukung terkonsentrasi kepada:

1. Biaya hardware semakin murah

2. Bandwidth komunikasi semakin lebar

3. Software menjadi lebih kuat

4. User menjadi bertambah bingung

5. Kapasitas penyimpanan meroket

6. Biaya jaringan semakin menuruh hingga hampir nol

7. Sistem operasi semakin canggih

Ketika hal tersebut dikombinasikan dengan keinginan bisnis untuk merangkul teknologi sebagai

alat yang memungkinkan mengakibatkan fundamental pergeseran dari cara di mana bisnis dilakukan.

Jadi kita melihat munculnya:

1. penataan gudang data pada perusahaan untuk mendapatkan keuntungan strategis dengan

menjadi yang terbaik di sekitar mengkonversi data ke informasi dan informasi untuk wawasan

2. electronic data interchange (EDI) telah memperpendek siklus bisnis di luar pemahaman

sebelumnya.

3. E-commerce adalah revolusi seperti yang lain yang akan, selama beberapa tahun ke depan,

memiliki banyak dampak pada bisnis konvensional seperti supermarket telah di sudut kota.

2016 3

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Tim Dosen http://www.mercubuana.ac.id

Revolusi dalam Dunia Audit

Dengan cara yang sama bisnis yang merangkul teknologi baru, pemeriksaan tidak punya pilihan

selain mengikuti dan memanfaatkan teknologi untuk mengembangkan cara-cara inovatif untuk

membuat informasi dari sumber daya besar data tersedia dan begitu melanjutkan ke pengembangan

risiko dan pengendalian wawasan.

Gambar 3.1 Revolusi dalam Audit

Motivasi Re-Engineering Business Process

2016 4

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Tim Dosen http://www.mercubuana.ac.id

Bahaya dari perubahan proses: 1. Peningkatan Resiko 2. Kehilangan orang bertalenta dan berkemampuan 3. Harus dibayar mahal 4. Kesalahan interpretasi dan implikasi 5. Melepaskan ide cemerlang produk lama

Contoh Model Sistem: 1. Transaksi Operasional

Terdiri atas ORDER PROCESSING, INVENTORY, PURCHASING 2. Informasi Manajemen

terdiri atas FINANCIAL & MANUFACTURING, MARKETING, HR 3. DSS

Terdiri atas FINANCIAL, STATISTICAL ANALYSIS, PM

Strategis plan untuk IS: 1. Fleksibilitas 2. Efektivitas 3. Efisiensi 4. Reducing Cost

Steering Komite

Tujuan dari steering komite adalah mengelola proses pencapaian fleksibilitas sistem yang berharga. Komite pengarah terdiri dari keahlian manajerial di beberapa fungsional bidang bisnis serta IS sendiri. Konsepnya adalah bahwa setiap anggota komite: 1. memiliki keterampilan dan perspektif beragam 2. memastikan keselarasan strategi IS dengan perusahaan yang strategis 3. memastikan bahwa sistem informasi memberikan apa yang dibutuhkan oleh bisnis.

Strategic Audit Planning

Strategi Audit Planning terdiri atas: 1. Mendapatkan pemahaman bisnis 2. Memahami tujuan bisnis 3. Menganalisa tujuan pengendalian 4. mengidentifikasi dan mengevaluasi kritis kontrol / proses / eksposur jelas dalam sistem secara

keseluruhan 5. merancang prosedur audit yang tepat 6. pengujian aspek kritis dan evaluasi hasil

2016 5

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id

Daftar Pustaka

13. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley: New Jersey.

MODUL PERKULIAHAN

Audit Sistem Informasi

Management Issue

Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh

Ilmu Komputer Sistem Informasi

10 18043 Nia Rahma Kurnianda S.kom, M. Kom

Abstrak Kompetensi

Semakin tingginya kebutuhan organisasi terhadap sistem informasi mendorong adopsinya di berbagai aspek organisasi. Pengendalian terhadap sistem informasi menjadi krusial, untuk mengetahui apakah pengendalian tersebut efektif diperlukanlah audit.

Mengetahui materi yang akan diberikan selama perkuliahan dan mampu Mampu memahami management issue

2016 2

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id

Privasi

Masalah privasi terkait penggunaan sistem informasi berfokus pada pengumpulan,

penggunaan/penyalahgunaan data.

Aturan hukum pada beberapa negara berusaha mencegah pelanggaran privasi seseorang

dengan memfasilitasi:

1. Setiap individu menentukan mana saja data yg dikumpulkan, digunakan atau didistribusikan

terkait diri mereka.

2. Pencegahan penggunaan data individu digunakan atau disediakan untuk keperluan lain tanpa

izin.

Hak Cipta, Merk Dagang dan Paten

Banyak negara membuat mekanisme perlindungan hak terhadap suatu karya yang kemudian dikenal sebagai intellectual property. Dimana di dalamnya termasuk hak cipta (copyrights), merk dagang (trademarks), paten dan rahasia dagang (trade secrets).

Beberapa metode perlindungan intellectual property pada sistem informasi: 1. Cryptography 2. Akses kontrol 3. Permissions management 4. Biometric authentication 5. Digital signatures+certification authorities

Isu Etika

Pemahaman terhadap etika bisnis penting bagi Auditor SI yang akan menemui isu etika dan dilema dalam kesehariannya berinteraksi dengan manajemen dan auditee.

Etika dirancang untuk menghadapi isu baik dari secara sudut pandang praktikal maupun idealis, dimana idealisme seringkali berseberangan dengan sudut pandang praktikal.

Wheelwright mendefinisikan 3 elemen kunci dalam mengukur dampak etika terhadap pengambilan keputusan: 1. Etika melibatkan pertanyaan yang membutuhkan pilihan reflektif 2. Etika melibatkan petunjuk mana yang benar dan salah. 3. Etika memperhatikan konsekuensi dari keputusan. IT Governance IT governance merupakan tanggung jawab Direksi dan manajemen eksekutif. Dan merupakan: 1. bagian integral dari pemerintahan perusahaan 2. terdiri dari pimpinan dan organisasi dari struktur proses yang memastikan bahwa organisasi

yang TI menopang dan 3. meluas strategi organisasi dan tujuan

Kode Etik

Sebuah organisasi hendaknya memiliki dan menegakkan kode etik. Kode etik berdasarkan pada pemahaman diantaranya nilai-nilai bersama berikut: 1. Kejujuran 2. Integritas 3. Moralitas

2016 3

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id

4. Keadilan 5. Kesetaraan 6. Akuntabilitas 7. Kesetiaan 8. Kehormatan

2016 4

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id

Daftar Pustaka

14. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley: New Jersey.

MODUL PERKULIAHAN

Audit Sistem Informasi

Governance Technique

Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh

Ilmu Komputer Sistem Informasi

11 18043 Nia Rahma Kurnianda S.kom, M. Kom

Abstrak Kompetensi

Semakin tingginya kebutuhan organisasi terhadap sistem informasi mendorong adopsinya di berbagai aspek organisasi. Pengendalian terhadap sistem informasi menjadi krusial, untuk mengetahui apakah pengendalian tersebut efektif diperlukanlah audit.

Mengetahui materi yang akan diberikan selama perkuliahan dan mampu Mampu memahami governance technique

2016 2

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id

Kontrol Perubahan

Perubahan konfigurasi hardware/software disebabkan oleh:

1. Perubahan hardware sebagai hasil dari perbaikan kinerja atau perubahan sistem lain 2. Kegagalan hardware bekerja pada operasi normal 3. Pendeteksi pada software gagal beroperasi pada operasi normal 4. Perubahan peraturan yang berimbas kepada perubahan sistem bisnis organisasi 5. Perubahan operasi bisnis yang dibutuhkan organisasi Dalam masa perubahan yang disebabkan oleh perihal pada slide sebelumnya, penting untuk menjaga agar versi produksi dari software agar terlindungi dari: 1. Perubahan yang belum disahkan. 2. Perubahan yang belum diuji 3. Perubahan yang tidak diinginkan Objektif kontrol perubahan: 1. Semua perubahan telah disahkan 2. Semua perubahan telah selesai dilaksanakan 3. Hanya yang telah disahkan yang dibuat 4. Segala perubahan spesifik 5. Semua pengeluaran efektif

Pengelolaan Permasalahan

Prosedur perubahan terencana: 1. prosedur melibatkan memastikan otorisasi untuk semua perubahan 2. pengawasan proses perubahan 3. pengujian yang memadai dari semua perubahan 4. pengguna mengetahui pada semua aspek perubahan Tujuan pengelolaan permasalahan: 1. mengontrol sistem selama situasi darurat yang timbul dari perubahan tak terduga 2. menyediakan mekanisme kontrol diluar kontrol normal 3. menyediakan kontrol secara terpisah 4. melibatkan otorisasi pengguna

Kontrol Perubahan dari Perspektif Audit IS Auditor akan mencari jaminan bahwa: 1. Prosedur Kontrol Perubahan tersedia 2. Efektif atas perubahan hardware, software, telekomunikasi, atau apapun yang mempengaruhi pengolahan

lingkungan 3. Sumber bukti untuk auditor termasuk risalah rapat komite perubahan kontrol, software, laporan pergerakan,

kontrol log akses dan catatan kegagalan sistem

Review Operasional Audit operasional mungkin meliputi evaluasi aspek sebagai berikut: 9. Kontrol Internal 10. Compliance dengan hukum, peraturan dan kebijakan perusahaan 11. Kehandalan dan integritas informasi dari keuangan operasional 12. Efektifitas dan efisiensi penggunaan sumber daya

2016 3

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id

Kebutuhan Audit Operasional 1. Dimulai dengan SOP dan standar performance yang telah ditetapkan oleh manajemen 2. Jika tidak ditemukan adanya SOP atau standar maka auditor akan membangun suatu kriteria

yang akan dibandingkan dengan performance dengan bantuan IT perusahaan Pengukuran Performance: 1. Informasi yang diperoleh dari anggaran atau pengukuran kepuasan klien dapat memberikan

umpan balik digunakan untuk menilai efektivitas organisasi dari berbagai sudut pandang 2. Dengan menggunakan umpan balik adalah mungkin untuk memastikan lanjutan keunggulan

program dan layanan dalam menanggapi perubahan dalam baik lingkungan internal dan eksternal

3. Pendekatan Balanced Scorecard dapat memberikan auditor kriteria pengukuran secara terstruktur apakah sudah tepat diterapkan

ISO 9000

Dalam melakukan review terhadap perusahaan, ISO 9000 melibatkan review: 1. Metodology termasuk filosofi, panduan, kebijakan, pertanggung jawaban, tenggat waktu dan pengiriman 2. Project / Proses memastikan pemenuhan terhadap metodologi dan mengidentifikasi alasan jika ditemukan

penyimpangan

Dari perspektif audit, Auditor akan memastikan

1. Fungsi IT dan SI mencapai hasil yang diharapkan

2. Adanya bukti terdokumentasi

3. Klausul lengkap dari prosedur mutu dan proses yang membutuhkan kompetensi khusus

4. Akuisisi sumber daya termasuk perangkat keras, perangkat lunak dan layanan outsourcing

memenuhi persyaratan yang ketat

2016 4

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id

Daftar Pustaka

15. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley: New Jersey.

MODUL PERKULIAHAN

Audit Sistem Informasi

Information Systems Planning

Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh

Ilmu Komputer Sistem Informasi

12 18043 Tim Dosen

Abstrak Kompetensi

Semakin tingginya kebutuhan organisasi terhadap sistem informasi mendorong adopsinya di berbagai aspek organisasi. Pengendalian terhadap sistem informasi menjadi krusial, untuk mengetahui apakah pengendalian tersebut efektif diperlukanlah audit.

Mengetahui materi yang akan diberikan selama perkuliahan dan mampu Mampu memahami governance technique

2016 2

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id

Stakeholder

Stakeholder adalah semua individu dan organisasi yang memiliki hubungan langsung atau tidak langsung dengan Information Processing (IP). Yang termasuk dalam golongan stakeholder pada suatu organisasi antara lain: 1. Manajemen

Di semua tingkatan dalam organisasi dari umum manajemen untuk pengawas operasional, manajemen bergantung pada akurasi, kelengkapan, dan integritas informasi diproses melalui sistem komputer.

2. Pelanggan Pelanggan yang ingin melakukan bisnis dengan organisasi memerlukan jaminan bahwa produk dan layanan yang diberikan akan kualitas luar biasa, rentang waktu akan seperti yang dijanjikan, dan bahwa bangunan dan akun informasi akan yang diberikan akurat. Di saat yang sama mereka membutuhkan jaminan bahwa barang dan jasa akan tersedia ketika diminta dan informasi yang dimiliki pada pelanggan akan dirahasiakan.

3. Karyawan Memerlukan jaminan bahwa perusahaan akan terus ada dan fungsi dan untuk itu ketersediaan dan integritas sistem informasi harus terjamin. Mereka juga harus menjaga keyakinan bahwa informasi yang dipegang pada sistem karyawan akan dirahasiakan.

4. fungsi organisasi Memerlukan jaminan bahwa layanan IS akan memberikan fungsi yang diperlukan dalam rangka untuk memastikan bahwa mereka dapat mencapai tujuan operasional mereka.

5. Pemasok Memerlukan jaminan bahwa organisasi akan terus ada dan akan memenuhi semua hutang.

6. Audit eksternal Memerlukan jaminan bahwa organisasi akan terus eksis dan bahwa informasi keuangan dan operasional dapat diambil dari sistem informasi, di mana mereka menempatkan ketergantungan dalam membentuk pendapat mereka mengenai kewajaran penyajian dari urusan keuangan organisasi dan mencerminkan situasi yang sebenarnya.

7. Audit internal Meminta jaminan bahwa kontrol berfungsi sebagaimana dimaksudkan agar organisasi dapat memenuhi strategis dan tujuan operasional

Operation

Dalam organisasi besar dan menengah fungsi operasi difokuskan pada penyediaan layanan SI ke unit perusahaan atau bisnis. Ini termasuk pengoperasian semua peralatan yang berhubungan dengan sistem komputer termasuk mulai, berhenti, dan memelihara sistem mainframe sepenuhnya beroperasi bersama dengan peripheral. Dalam operasi berfungsi berbagai peran yang ada termasuk dari: 1. Manajemen operasi

Bertanggung jawab untuk operasi komputer personil termasuk semua staf yang terlibat dalam menjalankan efektif fasilitas pengolahan informasi (IPF). Pergeseran pengawas. Bertanggung jawab untuk pengawasan keseluruhan dari sekelompok operator menjalankan operasi sehari-hari dari IPF.

2. Operator Bertanggung jawab untuk menangani operasi sehari-hari IPF termasuk memulai dan mengakhiri pekerjaan, memuat tepat file data, menyelaraskan alat tulis khusus di printer, mengambil backup seperti yang ditentukan, dan tugas-tugas rumah tangga umum.

3. Kelompok kontrol Bertanggung jawab dalam beberapa organisasi yang lebih besar untuk pengumpulan, konversi data, dan kontrol input bersama-sama dengan distribusi output ke pengguna yang tepat.

4. Data pustakawan Bertanggung jawab untuk kontrol dan pengamanan semua program dan data file dipertahankan pada media komputer oleh IPF. Dalam organisasi besar ini mungkin menjadi karyawan penuh waktu didedikasikan untuk fungsi ini. Dalam beberapa instalasi fungsi ini memiliki telah diambil alih untuk sebagian besar oleh kontrol perpustakaan otomatis perangkat lunak.

2016 3

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id

5. Entri data Dalam kebanyakan organisasi saat ini, entri data berlangsung dalam lingkungan pengguna dan di bawah kendali staf pengguna. Namun demikian, beberapa organisasi yang memiliki persyaratan untuk volume tinggi menangkap data input standar. Pada organisasi entri data biasanya berada di bawah kendali operasi berfungsi. Di mana kontrol pusat seperti ada pemeliharaan integritas dokumen sumber dari penerimaan ke kembali ke daerah pengguna tepat adalah penting.

System Development

Dengan munculnya hari ini alat pengembangan, jabatan dan fungsi peran dalam area ini mengalikan secara eksponensial. Namun demikian, masih mungkin untuk membedakan antara fungsi yang dilakukan oleh individu. Individu-individu yang terkait dengan pengembangan sistem komputer meliputi: 1. pemimpin proyek

spesialis manajemen yang mengendalikan proyek komputer dari perencanaan, melalui penugasan tugas, melalui pelaksanaan dan pemantauan, untuk penyelesaian akhir.

2. analisis sistem spesialis bisnis yang menganalisis arus informasi dalam lingkungan bisnis dalam rangka untuk memastikan bahwa sistem dirancang berdasarkan kebutuhan bisnis pengguna.

3. desainer sistem spesialis teknis yang mengambil kebutuhan bisnis dan menafsirkan mereka ke dalam desain rinci dengan informasi yang cukup untuk memastikan bahwa programmer dapat mengkodekan sistem seperti yang dibayangkan oleh para analis.

4. programmer aplikasi Bertanggung jawab untuk kedua pengembangan program komputer baru serta pemeliharaan sistem aplikasi yang ada. Mereka menyandikan program yang pada akhirnya akan menjalankan sistem aplikasi seperti yang ditentukan oleh pengguna dan seperti yang dirancang oleh desainer.

Technical Support

Dalam rangka untuk mencapai kelancaran arus informasi dalam organisasi, persyaratan teknis tertentu yang harus dipenuhi untuk memfasilitasi operasi tanpa gangguan dan integrasi dari semua komponen sistem. Pemeliharaan persyaratan teknis terletak pada tangan spesialis teknis. Fokus mereka adalah pada penyediaan bantuan pengguna di bidang hardware dan perangkat lunak akuisisi dan administrasi data. Dalam dunia IT yang kompleks saat ini tingkat spesialisasi adalah meningkat namun akan biasanya mengandung: 1. Sistem programmer. Bertanggung jawab untuk semua pemeliharaan pada perangkat lunak

sistem, khususnya sistem operasi. Individu ini memiliki kekuasaan tertinggi dalam suatu organisasi karena sifat pekerjaan itu memerlukan akses tak terbatas ke semua fasilitas dan struktur untuk tingkat teknis dalam fungsi IT. Karena kontrol pencegahan tidak dapat digunakan karena sifat dari pekerjaan sistem programmer ', sangat penting bahwa, di situs manapun, jumlah individu dengan gelar ini kekuasaan terbatas dan bahwa pekerjaan yang dilakukan dipantau tepat.

2. manajemen jaringan. Bertanggung jawab untuk infrastruktur komunikasi dan komponennya termasuk: a. Multiplexer. Memungkinkan beberapa sinyal telekomunikasi untuk ditransmisikan melalui

media komunikasi sinyal pada saat yang sama. b. Modem. Menerjemahkan data dari digital ke analog (modulasi) dan menerjemahkan dari

analog ke digital (demodulasi). Switch. perangkat keras yang memungkinkan perangkat transmisi dan menerima peralatan yang akan dihubungkan.

c. Router. Saklar internetworking beroperasi pada tingkat OSI 3, lapisan jaringan. d. Firewall. Sebuah perangkat yang dipasang pada titik di mana jaringan terhubung ke situs,

yang berlaku aturan untuk mengontrol jenis lalu lintas jaringan yang mengalir masuk dan keluar.

2016 4

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id

e. Gateways. Sebuah stasiun relay utama yang menerima, switch, relay, dan mengirimkan lalu lintas mengkonversi dari satu protokol yang lain di mana diperlukan dan beroperasi pada setiap lapisan OSI diatas OSI layer 3, lapisan jaringan.

f. Proxy. Setiap fasilitas yang secara tidak langsung memberikan beberapa layanan, misalnya, proxy firewall dapat memberikan akses ke layanan Internet di sisi lain dari firewall sementara mengendalikan akses ke layanan di kedua arah. manajer jaringan mungkin juga bertanggung jawab untuk kontrol administratif atas sistem administrasi jaringan area lokal memastikan untuk hardware dan software implementasi efektif, dan tepat backup diambil.

3. administrasi keamanan. Jawab untuk memastikan bahwa pengguna mematuhi kebijakan keamanan perusahaan secara keseluruhan dan bahwa kontrol yang dirancang dan dilaksanakan secara efektif menegakkan pembagian tugas yang memadai dan pencegahan akses tidak sah ke aset perusahaan.

4. Quality Assurance. Bertanggung jawab untuk membantu dalam desain standar kualitas untuk daerah IS dan memastikan bahwa IS staf ikuti prosedur kualitas yang ditetapkan, dan perangkat lunak yang dikembangkan secara internal atau dibeli secara eksternal dan diinstal secara lokal memenuhi harapan pengguna dan bebas dari kesalahan yang signifikan.

5. database administrator. Dapat dilihat sebagai bagian dari tim pengembangan sistem atau sebagai spesialis teknis independen tergantung pada organisasi. Database administrator (DBA) mendefinisikan struktur data yang digunakan dalam sistem database perusahaan, baik fisik dan logis. Peran DBA adalah untuk mengoptimalkan penggunaan dan akses ke sistem manajemen database dan mencakup: a. Mengontrol definisi data fisik dan logis b. Menerapkan kontrol akses database, kontrol konkurensi, dan memperbarui kontrol c. penggunaan database Pemantauan untuk menyempurnakan kinerja Mendefinisikan dan

mengontrol cadangan dan pemulihan prosedur d. Memilih dan memasang alat database tuning dan utilitas e. Seperti programmer sistem, DBA, dalam rangka melaksanakan tugas-tugasnya, memiliki

akses penuh dan tak terbatas ke semua data hidup dan struktur data. Karena performa seperti tugas DBA tidak dapat dibatasi oleh kontrol pencegahan dan harus dikuasai oleh pemisahan tugas jika mungkin dan dengan supervisory review atas kegiatan dan penggunaan utilitas database yang kuat.

Segregation of Duties

Daerah mana auditor harus mencari jaminan bahwa tugas yang tidak ada tugas yang tidak kompetibel meliputi: 1. Akses ke data.

Berdasarkan kebijakan organisasi, akses harus diberikan atas dasar paling istimewa. Tidak ada pengguna harus memiliki kewenangan lebih dari yang dibutuhkan untuk melaksanakan tugas-tugas mereka. Di mana otoritas tambahan diberikan secara sementara, kontrol harus ada untuk memastikan bahwa otoritas akan dihapus pada akhir periode sementara.

2. Kontrol atas aset. Berdasarkan persyaratan organisasi, individu dengan kontrol atas aset tidak harus memiliki akses untuk memanipulasi catatan maupun kewenangan untuk melakukan rekonsiliasi. Dalam lingkungan saat ini harus diingat bahwa informasi itu sendiri merupakan aset perusahaan. Jumlah uang yang terutang untuk suatu organisasi sangat ditentukan oleh apa yang catatan komputer mengatakan berutang kepada organisasi dan aset yang dimiliki oleh organisasi ditentukan oleh apa aset daftar kata yang dimiliki oleh organisasi Sekali lagi, di mana organisasi ini terlalu kecil untuk menegakkan pembagian tugas pada tingkat operasional, hal itu tidak bisa ditegakkan secara langsung dalam sistem komputer. Membutuhkan dua ID pengguna dan password tidak berguna jika itu adalah orang yang sama yang memegang kedua. Dalam keadaan ini lebih efektif untuk menggunakan supervisory review, bahkan setelah acara.

3. tingkat otorisasi Datang dalam berbagai bentuk. Manajemen diperlukan untuk mengotorisasi akses pengguna ke informasi dan fungsi dalam Sistem Informasi. Dalam banyak kasus tidak ada pengawasan dari hak akses yang manajemen berwenang untuk hibah dan apa pun akan diterima selama itu masuk pada bentuk yang benar dengan tanda tangan yang bisa menjadi manajer. Pada otorisasi

2016 5

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id

tingkat transaksional biasanya dilihat sebagai pengguna fungsi yang diberikan kepada anggota staf yang lebih senior dengan pengetahuan, pengalaman, dan wewenang untuk otorisasi transaksi tertentu. Sekali lagi, yang gagal umum adalah pemberian hak tersebut kepada individu dengan pengalaman cukup yang kemudian otorisasi transaksi yang seharusnya tidak berwenang.

Personel Practices

Dalam organisasi TI yang khas, pergantian staf dapat menjadi masalah besar dalam memastikan kelangsungan sistem yang dirancang dengan baik dan diproses. Dengan demikian, akuisisi, pelatihan, retensi, dan penghentian akhirnya staf titik kontrol kritis. Dalam organisasi besar fungsi personil IT internal tetap ada, tetapi bahkan dalam perawatan instalasi yang lebih kecil harus diambil dalam pengelolaan kawasan ini karena mereka memiliki korelasi langsung dengan kualitas staf yang digunakan dan sistem yang dihasilkan. Dalam semua kasus praktek kerja harus mematuhi undang-undang perburuhan federal yang relevan, negara bagian, dan lokal.

Object Oriented System Analysis

analisis sistem berorientasi objek (OSA) adalah teknik yang melibatkan studi dari domain tertentu berinteraksi obyek untuk tujuan pemahaman dan mendokumentasikan karakteristik penting mereka. Dalam konteks IT, itu berkaitan dengan persyaratan rekayasa perangkat lunak berkembang dan spesifikasi dinyatakan sebagai model objek suatu sistem yang terdiri dari populasi berorientasi obyek. Hal ini berbeda dengan data tradisional atau pandangan fungsional sistem, yang akan melibatkan teknik seperti dekomposisi fungsional dan analisis terstruktur dan desain. Di bawah OSA, obyek digolongkan sebagai representasi dari entitas asli atau dari abstraksi dan OSA mendefinisikan objek dengan struktur data dan perilaku bersama-sama dengan peristiwa yang memicu operasi, atau objek perubahan perilaku yang mengubah keadaan objek.

Proses analisis menganggap sistem sebagai suatu jaringan proses berinteraksi. Dengan mengikuti pendekatan ini analis akan fokus pada bagaimana sistem mungkin dirancang bukan mengenai komponen sistem dan hubungan antar obyek. Namun, OSA mengatur semua pengetahuan tentang setiap objek sistem sehingga informasi tentang objek sistem lebih mudah untuk menemukan dalam analisis berorientasi objek

dibandingkan metode analisis lainnya. Teknik memberikan bentuk abstraksi termasuk agregasi, generalisasi, dan klasifikasi. pendekatan metode-driven terdiri dari urutan tetap langkah yang diikuti, misalnya menggunakan metode waterfall atau model spiral. Dalam prakteknya, langkah ini tidak selalu dapat diikuti dengan tepat. Bila terjadi masalah dalam pengembangan proses penyesuaian mungkin perlu dilakukan untuk urutan langkah-langkah atau proses pembangunan.

Model OSA disusun dengan maksud bahwa realitas diwakili dalam sistem cara yang dirasakan bukannya dibatasi oleh beberapa bahasa pemrograman tertentu atau metodologi

ERP

ERP melampaui OSA dan adalah istilah yang digunakan untuk menggambarkan berbagai kegiatan bisnis yang didukung oleh perangkat lunak aplikasi termodulasi, yang dimaksudkan untuk membantu organisasi mengelola daerah penting dari bisnis. Daerah-daerah ini bisa meliputi perencanaan produk, pembelian bahan, inventory control, melayani pelanggan, pelacakan pesanan, dan pemasok interfacing serta menyediakan modul khusus untuk aspek sumber daya keuangan dan manusia. Mengintegrasikan informasi di seluruh fungsi dan memberikan seperangkat alat untuk perencanaan dan pemantauan fungsi-fungsi dan proses.

Banyak pemasok menawarkan suite terintegrasi aplikasi untuk memenuhi kebutuhan perusahaan dan memberikan bantuan dalam proses implementasi. Digunakan secara efektif dengan mengintegrasikan semua aspek bisnis, termasuk perencanaan, manufaktur, penjualan, dan pemasaran.. Dengan demikian, setiap organisasi berusaha untuk menerapkan solusi tersebut harus benar-benar jelas mengenai alasan, tujuan, dan kriteria pengukuran untuk pelaksanaan, dan keterlibatan audit pada tahap perencanaan sangat penting.

2016 6

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id

Daftar Pustaka

16. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley: New Jersey.

MODUL PERKULIAHAN

Audit Sistem Informasi

Audit and Development of Application Controls

Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh

Ilmu Komputer Sistem Informasi

13 18043 Tim Dosen

Abstrak Kompetensi

Semakin tingginya kebutuhan organisasi terhadap sistem informasi mendorong adopsinya di berbagai aspek organisasi. Pengendalian terhadap sistem informasi menjadi krusial, untuk mengetahui apakah pengendalian tersebut efektif diperlukanlah audit.

Mengetahui materi yang akan diberikan selama perkuliahan dan mampu Mampu memahami Audit and Development of Application Controls

2016 2

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id

System

Sistem dapat didefinisikan sebagai seperangkat elemen atau komponen yang saling berinteraksi untuk mencapai tujuan dan sasaran. Sistem ini dapat mengambil bentuk sistem yang melakukan kegiatan yang terkait dengan bisnis (aplikasi sistem) atau sistem yang membantu fungsi komputer itu sendiri (operasi sistem)

Karakteristik sistem yang baik meliputi atribut sebagai berikut: ■ Accuracy ■ Completeness ■ Economy ■ Reliability ■ Relevance ■ Simplicity ■ Timeliness ■ Verifiability Sistem itu sendiri datang dalam segala bentuk dan ukuran dan dapat dikategorikan atas: 1. Sederhana dibandingkan kompleks

sistem sederhana dan kompleks menghadapi normal risiko ketidakakuratan, ketidaklengkapan, dan sebagainya tapi kompleks sistem, dengan sifatnya, lebih mungkin untuk mengalami masalah ini, karena lebih kompleks sistem, semakin sulit untuk secara memadai menguji dan mudah bagi sistematis kesalahan tidak terdeteksi.

2. Buka dibandingkan tertutup. Sistem terbuka lebih rentan terhadap kedua kesalahan serta penetrasi berusaha. Ini adalah faktor yang jumlah sumber input dan output serta tingkat sistem interaktivitas.

3. Stabil vs dinamis. Semakin tinggi tingkat ketidakstabilan dari sistem, semakin besar kemungkinan itu adalah bahwa perubahan akan dilakukan untuk sistem yang tidak jelas dipikirkan dengan semua efek samping diperhitungkan. Selain itu ada kemungkinan lebih besar dari bergegas dan pengujian tidak memadai dalam sistem yang sangat dinamis.

4. Adaptive versus non-adaptif. Sistem Adaptive dirancang untuk fleksibel dan semua hal untuk semua orang. Karena itu relatif mudah untuk menyesuaikan sistem ini keliru. Dengan cara yang sama, tidak adaptif sistem dapat dijalankan dengan cara yang tidak pantas dan ditambah dengan resmi add-on sub-sistem dengan semua mereka peluang kesalahan yang melekat.

5. permanen dibandingkan sementara. sistem permanen dirancang, diimplementasikan, dan dipelihara dalam lingkungan yang terkendali sistem sementara mungkin berada di luar sistem ini pengendalian interndan mungkin undertested, tercatat, terbuka untuk semua untuk berubah, dan umumnya di luar kendali. Mereka juga memiliki kebiasaan menjadi semi-permanen tidak sengaja.

Controlling System: sistem aplikasi dapat dikendalikan dalam beberapa cara dan oleh beberapa individu. Pada tingkat makro, variabel sistem akan ditentukan oleh pembuat keputusan bisnis untuk menutupi barang-barang seperti: 1. gaji harian, mingguan, atau bulanan? 2. buku besar keuangan diproduksi bulanan atau tiap minggu?

Pada kesehariannya, parameter system dikendalikan oleh operator sistem dan digunakan untuk mengubah variabel yang memerlukan amandemen seperti tanggal laporan, tanggal file kontrol, dan sebagainya.

tahap kontrol utama akan mencakup: ■ desain Sistem ■ pengembangan Sistem

2016 3

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id

■ Sistem operasi ■ pemanfaatan Sistem

Information Resources Management

Manajemen Sumber Daya Informasi didasarkan pada lima fundamental: 1. Manajemen informasi.

Informasi yang berharga dan harus dikelola seperti itu. Dalam banyak organisasi, informasi tidak muncul pada neraca atau aset mendaftar dan dengan demikian dipandang sebagai sesuatu yang, sementara penting, tidak benar-benar berharga.

2. Manajemen Teknologi. Manajemen Teknologi alamat seluruh aspek nilai teknologi untuk perusahaan. Ini termasuk dampak dan efek pada sumber daya lainnya serta memperoleh keuntungan strategis dengan bijaksana penggunaan teknologi tepat guna.

3. Distributed Management. Di mana sistem berada dapat memiliki dampak yang signifikan terhadap efektivitas sistem serta pengendalian internal dan berpikir harus diberikan kepada mempertahankan sistem yang memadai kontrol manajerial.

4. Manajemen fungsional. Seperti area fungsional lainnya, sistem informasi (IS) harus diarahkan dan dikontrol untuk memastikan penggunaan yang efektif, efisien, dan ekonomi apa, setelah semua, sumber daya yang mahal.

5. Manajemen Strategis. IS memiliki potensi untuk mendapatkan dan mempertahankan keunggulan kompetitif utama bagi organisasi. Digunakan dengan tepat IS dapat meningkatkan hambatan masuk ke kompetisi, mendapatkan eksklusivitas untuk pemegang informasi.

Control Objective of Business System

Dalam rangka mencapai potensi-potensi benefit yang seharusnya dari manajemen informasi. Maka operasionalnya harus mengikuti objektif kontrol sebagai berikut: 1. Accuracy 2. Completeness

3. Validity

4. Integrity

5. Confidentiality

Untuk mengantisipasi perbedaan tipe sistem, dapat dipilih dari salah satu jenis sistem berikut:

■ Order processing ■ Invoicing ■ Inventory control ■ Accounts receivable ■ Accounts payable ■ Purchasing ■ Shipping ■ Receiving ■ Payroll ■ General ledger

■ Specialized systems

● Banking systems

● Retail systems

● Manufacturing systems

● Electronic data interchange (EDI)

2016 4

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id

Daftar Pustaka

17. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley: New Jersey.

MODUL PERKULIAHAN

Audit Sistem Informasi

Audit and Development of Application Controls...Part II

Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh

Ilmu Komputer Sistem Informasi

14 18043 Nia Rahma Kurnianda S.kom, M. Kom

Abstrak Kompetensi

Semakin tingginya kebutuhan organisasi terhadap sistem informasi mendorong adopsinya di berbagai aspek organisasi. Pengendalian terhadap sistem informasi menjadi krusial, untuk mengetahui apakah pengendalian tersebut efektif diperlukanlah audit.

Mengetahui materi yang akan diberikan selama perkuliahan dan mampu Mampu memahami Audit and Development of Application Controls

2016 2

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id

CAATS

Agar auditor berhasil meraih kesimpulan tentang efektivitas sebuah lingkungan kontrol, maka dibutuhkan sebuah aplikasi automasi yang terdiri dari: 1. Data test generator 2. Flowcharting Packages 3. Specialized Audit Software 4. Generalized Audit Software 5. Utility Programs

Memilih peralatan yang tepat tergantung dari obyektif audit dan teknik yang digunakan. Teknik-teknik tersebut antara lain: 1. Source Code Review 2. Confirmation of Result 3. Test data 4. Integrated Test Facility 5. Snapshot technique 6. Sampling 7. Parallel Simulation

Permasalahan yang sering dihadapi oleh auditor menggunakan CAAT antara lain:

1. Mengambil file yang salah 2. Mengambil layout yang salah 3. Dokumentasi sudah lama tidak diperbarui 4. Hasil Audit sebelumnya

Prosedur Audit

Generik program audit yang dapat diikuti antara lain:

1. Identifikasi konsentrasi kontrol dari user

2. Identifikasi komponen sistem

3. Identifikasi komponen proses

4. Identifikasi Kontrol yang telah diketahui

5. Identifikasi kelemahan kontrol yang telah diketahui

6. Verifikasi kontrol

7. Evaluasi Lingkup Kontrol

Penggunaan CAAT diluar Area Komputasi

Tidak semua penggunaan CAAT dapat dikomputasi. Selain dapat dikomputasi, berikut area-area

yang kadang tidak tercakup komputasi antara lain:

1. Risk analysis 2. Sample selection 3. Operation modelling 4. Analytical review 5. Regression analysis 6. Trend analysis

2016 3

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id

Mendesain Program Audit Yang Sesuai

Program audit dimulai dari:

1. Menemukan obyektif bisnis

2. Mendefinisikan obyektif kontrol

3. Menentukan bukti audit yang sesuai, disaat yang sama mengidentifikasi sumber bukti

4. Menentukan Manner dalam memperoleh bukti

5. Ekstraksi bukti yang dibutuhkan

6. Evaluasi hasil

7. Reporting

2016 4

Audit Sistem Informasi Pusat Bahan Ajar dan eLearning

Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id

Daftar Pustaka

18. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley: New Jersey.