Upload
dangtu
View
257
Download
5
Embed Size (px)
Citation preview
MODUL PERKULIAHAN
Audit Sistem Informasi
Fungsi Audit Sistem Informasi
Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh
Ilmu Komputer Sistem Informasi
01 18043 Tim Dosen
Abstrak Kompetensi
Semakin tingginya kebutuhan organisasi terhadap sistem informasi mendorong adopsinya di berbagai aspek organisasi. Pengendalian terhadap sistem informasi menjadi krusial, untuk mengetahui apakah pengendalian tersebut efektif diperlukanlah audit.
Mengetahui materi yang akan diberikan selama perkuliahan dan mampu memahami fungsi audit sistem informasi.
2016 2
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Tim Dosen http://www.mercubuana.ac.id
Fungsi Audit Sistem Informasi
1.1 Pengertian
Ada banyak pengertian audit menurut beberapa ahli. Menurut Ikatan Akuntan Indonesia (IAI)
pada PSAK (Pernyataan Standar Audit keuangan) sebagai berikut:
“Audit adalah suatu proses sistematik yang bertujuan untuk memperoleh dan mengevaluasi bukti
yang dikumpulkan atas pernyataan atau asersi tentang aksi-aksi ekonomi, kejadian-kejadian dan
melihat tingkat hubungan antara pernyataan atau asersi dan kenyataan, serta
mengkomunikasikan hasilnya kepada yang berkepentingan.”
Menurut Arens Loebbecke, sebagai berikut:
“Audit adalah proses pengumpulan dan pengevaluasian bahan bukti tentang informasi yang
dapat diukur mengenai suatu entitas ekonomi yang dilakukan seorang yang kompeten dan
independen untuk dapat menentukan dan melaporkan kesesuaian informasi termasuk dengan
kriteria-kriteria yang telah ditetapkan.”
Auditor adalah pemeriksa, dimana terdapat dua jenis auditor yaitu internal dan eksternal.
Auditor internal ada di dalam organisasi itu sendiri misalkan divisi kepatuhan di perusahaan dan
Inspektorat Jenderal pada instansi pemerintah. Auditor eksternal merupakan auditor yang berasal
dari luar organisasi misalkan Kantor Akuntan Publik dan Badan Pemeriksa Keuangan.
Auditee adalah pihak yang diperiksa. Pihak yang diperiksa ini adalah manajemen beserta
personil lain pada organisasi.
1.2 Jenis Audit
Beberapa jenis audit yang lazim ditemui:
1. Audit keuangan (general audit/financial audit) berfokus pada laporan keuangan
2. Audit sistem informasi berfokus pada infrastruktur sistem informasi
3. Audit operasional/manajemen (operational audit/performance audit) berfokus pada Standar
Operasi Prosedur (SOP) dan Tata Kelola
4. Audit Investigatif bertujuan pada pembuktian secara hukum, biasanya dilakukan dengan
penugasan khusus.
1.3 Perbedaan dengan Audit Keuangan
Fungsi audit keuangan mengevaluasi apakah suatu organisasi sudah mematuhi standar
akuntansi, sementara fungsi audit sistem informasi melakukan tinjauan atas desain pengendalian
sistem informasi serta efektifitasnya.
1.4 ISACA
Merupakan singkatan dari Information Systems Audit and Control Association adalah sebuah
organisasi asosiasi internasional yang berfokus pada tata kelola sistem informasi yang berdiri
pada tahun 1967 di Amerika Serikat. Saat ini ISACA memiliki lebih dari 110.000 anggota di lebih
dari 180 negara.
Sertikasi profesional yang dikeluarkan ISACA diantaranya:
- Certified Information Systems Auditor (CISA)
- Certified Information Security Manager (CISM)
- Certified in the Governance of Enterprise IT (CGEIT)
- Control Objectives for Information and Related Technology (COBIT) 5
2016 3
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Tim Dosen http://www.mercubuana.ac.id
- Certified in Risk and Information Systems Control (CRISC)
1.5 Hubungan Auditor dan Auditee
Audit merupakan praktik manajemen yang lazim dilakukan terhadap organisasi manapun di
dunia. Tetapi masih sering sekali terjadi bahwa auditee resisten terhadap pelaksanaan audit atau
terhadap personil auditor. Auditee pada awalnya cenderung bereaksi negatif terhadap auditor,
audit dipersepsikan sebagai usaha mencari-cari kesalahan belaka.
Hal ini bisa diatasi dengan meningkatkan komunikasi antara dua pihak, auditee harus
memahami standar atau aturan kerja yang melandasi pekerjaan auditor. Auditor juga harus
memahami standar operasional dan aturan auditee.
Auditee setidaknya harus memahami beberapa hal mendasar berikut:
Definsi audit
Definis temuan
Atribut temuan
Fungsi audit
Jenis bukti
Proses audit
Jenis temuan
1.6 Proses Audit
1.6.1 Perencanaan Audit
Terdiri dari tahapan-tahapan berikut:
1. Ruang lingkup
2. Tujuan Audit
3. Organisasi Tim Audit
4. Tinjauan hasil audit sebelumnya
5. Identifikasi faktor resiko
1.6.2 Pengumpulan Bukti Audit
Terdiri dari tahapan-tahapan berikut:
1. Pengamatan SOP
2. Pengamatan Operasional
3. Tinjauan dokumentasi
4. Diskusi
5. Pemeriksaan fisik
6. Konfirmasi dengan pihak ketiga
7. Trial Error Prosedur
8. Pembandingan dengan dokumen sumber
9. Pengambilan sampel audit
10. Review analisis
1.6.3 Evaluasi Bukti Audit
Terdiri dari tahapan-tahapan berikut:
1. Menilai kualitas pengendalian internal
2. Menilai kehandalan informasi
3. Menilai kualitas kerja operasional
4. Pertimbangan bukti tambahan
5. Pertimbangan faktor resiko
6. Pertimbangan faktor materialitas
7. Pendokumentasian penemuan audit
2016 4
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Tim Dosen http://www.mercubuana.ac.id
1.6.4 Komunikasi Hasil Audit
Kegiatan audit dan temuan yang diperoleh selama pemeriksaan akan dituangkan pada
suatu laporan yang nantinya dapat digunakan manajemen untuk melakukan tindakan koreksi
atas sistem pada organisasi.
Pada proses audit komunikasi hasil audit ini terdiri dari tahapan-tahapan berikut:
1. Membuat rekomendasi untuk manajemen
2. Menyiapkan laporan hasil audit
3. Menyajikan hasil audit kepada manajemen
Auditor hendaknya mengkomunikasikan hasil audit tepat waktu, laporan hasil audit
merupakan
2016 5
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Tim Dosen http://www.mercubuana.ac.id
Daftar Pustaka
1. Suswinarno, 2012. Aman dari Risiko dalam Pengadaan Barang/Jasa Pemerintah. Visimedia: Jakarta.
2. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley: New Jersey.
3. Wikipedia. 2016 “ISACA”, https://en.wikipedia.org/wiki/ISACA. 9 September 2016
MODUL PERKULIAHAN
Audit Sistem Informasi
PROSES AUDIT
Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh
Ilmu Komputer Sistem Informasi
02 18043 Tim Dosen
Abstrak Kompetensi
Semakin tingginya kebutuhan organisasi terhadap sistem informasi mendorong adopsinya di berbagai aspek organisasi. Pengendalian terhadap sistem informasi menjadi krusial, untuk mengetahui apakah pengendalian tersebut efektif diperlukanlah audit.
Mampu menjelaskan kegiatan dalam proses audit
2016 2
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Tim Dosen http://www.mercubuana.ac.id
Proses Audit
3.1 Pengendalian
Audit sistem informasi berangkat dari paradigma pengendalian = pengendalian oleh
pengelolaan (manajemen), dimana pengendalian pengelolaan tersebut dimulai dengan
tata kelola, pengelola tertinggi dapat mengendalikan semua hal dan pengendalian
tersebut ditegakkan. Tetapi kondisi lingkungan bisnis saat ini menyarankan paradigma
yang lebih tepat adalah perbaikan secara terus menerus dengan fokus pada
pengendalian pada pemilik proses.
TUGAS MANAJEMEN
resources Perencanaan
penggunaan
organisir Pengendalian
Perawatan
optimasi
2016 3
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Tim Dosen http://www.mercubuana.ac.id
3.2 Proses Pengelolaan
3.3 Identifikasi Aktivitas Kunci
Produk dan layanan utama perlu diidentifikasi.
Hal ini berkaitan erat dengan pemahaman terhadap kebutuhan konsumen, kompetitor
dan respon mereka (Pemahaman terhadap KPA).
KPA = Key Performance Area
3.4 Memutuskan Strategi Pengendalian
Resiko dikaitkan dengan kemungkinan kejadian atau keadaan yang dapat merugikan
dan mengancam pencapaian tujuan maupun sasaran organisasi. Resiko diyakini tidak
dapat dihilangkan, resiko dapat dikurangi melalui manajemen resiko.
Setelah analisa resiko selesai manajemen berada dalam posisi untuk memutuskan
mana aktifitas yang harus dipastikan, mana resiko yang dapat dikelola, mana resiko yang
harus dipindahkan. Sasaran pelaksanaan manajemen resiko adalah untuk mengurangi
resiko yang berbeda-beda terkait dengan bidang yang telah dipilih pada tingkat yang
dapat diterima oleh masyarakat.
Memahami bisnis
organisasi
Identifikasi aktivitas
kunci
Menentukan kebutuhan organisasi
2016 4
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Tim Dosen http://www.mercubuana.ac.id
3.5 Peran Audit
Audit sistem informasi dapat dilakukan oleh pihak internal, eksternal maupun
pemerintah.
Proses audit dirancang untuk menentukan bagian mana yang harus diaudit dengan
menggunakan parameter:
1. Control Strategy Assessment
2. Control Adequacy and Effectiveness
3. Performance Quality Assessment
4. Unit Performance Reporting
5. Following Up Overall the standards of audit performance must be up to a
professional level (misal mengikuti ISACA standards).
3.6 Conceptual Foundation
Dilakukan dengan mengimplementasikan analisa resiko terstruktur.
3.7 Profesionalisme
Tugas kritikal pada audit sistem informasi adalah pada saat mengkomunikasikan hasil
audit kepada manajer kunci dan pihak yang berkepentingan.
Untuk menunjukkan profesionalisme, audit sistem informasi hendaknya mengikuti
kode etik dan standar yang ada (dalam hal ini ISACA Code of Professional Ethics dan
ISACA IS Auditing Standards).
3.8 Regulasi, Pengendalian dan Standar
Akreditasi dan standarisasi audit sistem informasi harus disediakan oleh pihak
internal atau oleh pihak lain untuk memastikan pengamanan dan pengendalian
memadai.
Beberapa metode evaluasi untuk menentukan kecukupan tersedia, seperti ITSEC, TCSEC,
dan IS0 9000 dengan menggunakan standar seperti COBIT (Control Objectives for
Information and Related Technology), ISO 17799, ITIL (IT Infrastructure Library), COSO
Internal Control—Integrated Framework dan COSO Enterprise Risk Management—
Integrated Framework, dan sebagainya.
2016 5
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Tim Dosen http://www.mercubuana.ac.id
Daftar Pustaka
4. Suswinarno, 2012. Aman dari Risiko dalam Pengadaan Barang/Jasa Pemerintah. Visimedia: Jakarta.
5. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley: New Jersey.
MODUL PERKULIAHAN
Audit Sistem Informasi
RISIKO DALAM SISTEM INFORMASI DAN KONSEP DASAR AUDIT
Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh
Ilmu Komputer Sistem Informasi
03 18043 Tim Dosen
Abstrak Kompetensi
Semakin tingginya kebutuhan organisasi terhadap sistem informasi mendorong adopsinya di berbagai aspek organisasi. Pengendalian terhadap sistem informasi menjadi krusial, untuk mengetahui apakah pengendalian tersebut efektif diperlukanlah audit.
Memahami risiko dalam sistem informasi dan mengerti konsep dasar audit
2016 2
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Tim Dosen http://www.mercubuana.ac.id
Risiko dalam Sistem Informasi dan Konsep
Dasar Audit
6.1 Risiko Terkait Komputer
Semua hal melibatkan risiko dalam berbagai tingkatan. Risiko dikaitkan dengan
kemungkinan kejadian atau keadaan yang dapat merugikan dan mengancam pencapaian
tujuan maupun sasaran organisasi. Risiko dapat dikurangi tetapi tidak dapat dihilangkan.
Menurut Suswinarno (2012) manajemen risiko adalah:
“Suatu pendekatan terstruktur/metodologi dalam mengelola ketidakpastian yang
berkaitan dengan ancaman atau suatu rangkaian aktivitas manusia termasuk penilaian
risiko, pengembangan strategi untuk mengelolanya dan mitigasi risiko dengan
menggunakan pemberdayaan/pengelolaan sumber daya.”
Manajemen risiko berkaitan dengan menilai suatu produk, proses atau bisnis
melalui:
1. Identikasi proses-proses
2. Identifikasi jenis risiko untuk setiap proses
3. Identifikasi kontrol untuk setiap proses
4. Evaluasi kecukupan sistem kontrol dalam mitigasi risiko
5. Menentukan kontrol utama terkait setiap proses
6. Menentukan efektifitas kontrol utama
Semua sistem informasi memiliki risiko, seperti bahaya-bahaya berikut:
Fraud (Kecurangan/manipulasi)
Business interruption (Gangguan bisnis)
Errors (Sistem tidak berfungsi sebagaimana mestinya)
Customer dissatisfaction (Ketidakpuasan konsumen)
Poor public image (Citra yang buruk di mata masyarakat)
Ineffective and inefficient use of resources (Penggunaan sumber daya yang tidak
tepat dan pemborosan)
6.2 Jenis Risiko
Pada pendekatan audit berbasis risiko, secara umum dikenal tiga jenis risiko yaitu:
1. Risiko inheren: kemungkinan kerugian terjadi sebelum memperhitungkan faktor-
faktor pengurang risiko. Dalam mengevaluasi risiko jenis ini auditor harus
mempertimbangkan apa jenis dan sifat risiko serta faktor apa yang menunjukkan
risiko ada.
2016 3
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Tim Dosen http://www.mercubuana.ac.id
2. Risiko kontrol: mengukur kemungkinan proses kontrol yang ada untuk membatasi
atau menangani risiko inheren apakah tidak efektif. Untuk memastikan audit telah
tepat, auditor harus memahami mana kontrol yang efektif terlebih dahulu.
3. Risiko audit: risiko bahwa cakupan audit tidak menjangkau exposure bisnis yang
cukup penting. Pro-forma audit dapat dikembangkan untuk mengurangi risiko audit,
hal ini menyediakan panduan apa kontrol utama yang harus ada untuk menghadapi
risiko dan apa yang harus dipatuhi atau pengujian substantif yang harus dilakukan.
6.3 Efek dari Risiko
Efek Risiko dalam sistem informasi ditemui pada:
• Strategi (Strategic): risiko dimana sistem informasi tidak sesuai dengan tujuan
organisasi dan tidak mendukung pencapaian misi.
• Operasi (Operations): risiko dimana sistem informasi menimbulkan beban yang
terlalu besar bagi organisasi. Selain itu ketergantungan organisasi terhadap suatu
sistem informasi berarti apabila sistem tersebut tidak tersedia selama waktu
tertentu dapat menimbulkan risiko besar bagi operasional.
• Pelaporan (Reporting): risiko dimana sistem informasi tidak dapat diandalkan untuk
menghasilkan informasi yang akurat, lengkap dan tepat waktu.
• Kepatuhan (Compliance): risiko dimana sistem informasi malah menimbulkan
pelanggaran hukum dan regulasi yang merugikan bagi organisasi baik secara finansial
maupun reputasi.
6.4 Bukti Audit
Bukti adalah informasi yang dimaksudkan untuk membuktikan atau mendukung
suatu keyakinan.
Bukti audit hendaknya memenuhi kriteria berikut:
• Cukup (Sufficient). Faktual, memadai dan meyakinkan dimana seseorang yang bijak akan mengambil kesimpulan yang sama dengan auditor.
• Kompeten (Competent). Handal dan merupakan Dapat diandalkan dan hasil terbaik dari penggunaan metode audit yang tepat.
• Relevan (Relevant). Mendukung temuan dan rekomendasi audit serta konsisten dengan tujuan audit.
• Berguna (Useful). Membantu organisasi dalam mencapai tujuannya.
6.5 Jenis Bukti Audit
6.5.1 Bukti Fisik (Physical evidence). Secara umum diperoleh dari hasil
pengamatan terhadap orang, properti atau peristiwa bisa dalam bentuk foto, peta
dan sebagainya. Bukti yang diperoleh dari hasil pengamatan haruslah didukung
dengan contoh-contoh yang terdokumentasi atau bila tidak memungkinkan
hendaknya didukung pengamatan lain yang menguatkan
2016 4
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Tim Dosen http://www.mercubuana.ac.id
6.5.2 Bukti Kesaksian (Testimonial evidence). Dapat berbentuk surat, pernyataan
atau wawancara yang tidak bersifat konklusif karena merupakan pendapat
seseorang. Bukti jenis ini hendaknya didukung dokumentasi selama memungkinkan.
6.5.3 Bukti Dokumen (Documentary evidence). Merupakan bukti yang paling lazim
dalam audit bisa berupa surat, perjanjian, kontrak, perintah, memo dan berbagai
jenis dokumen bisnis lain. Bukti jenis ini dapat juga diperoleh dari arsip komputer
menggunakan alat dan teknik audit yang tepat. Sumber dokumen akan menentukan
tingkat kehandalan dan tingkat kepercayaan, tentunya kualitas proses kontrol
internal ikut dipertimbangkan.
6.5.4 Bukti Analitis (Analytical evidence). Umumnya diperoleh dari hasil
komputasi, perbandingan terhadap standar, operasi masa lalu atau operasi sejenis.
Penggunaan perangkat komputer yang tepat sangat membantu auditor pada
perolehan bukti jenis ini. Regulasi dan penalaran umum juga dapat menghasilkan
bukti jenis ini.
6.6 Prosedur Bukti Audit
Auditor sangat bergantung pada pengumpulan bukti. Hal ini dilakukan melalui
berbagai cara dan mengikuti Program Audit.
Program Audit adalah serangkaian langkah-langkah yang rinci yang harus diikuti
auditor untuk mendapatkan bukti yang tepat dan pada auditor sistem informasi hal ini
berupa penggunaan teknik komputasi tertentu walaupun bisa juga bukan.
Program audit dibutuhkan untuk menciptakan audit yang efektif dan efisien.
Menurut Jack J. Champlain (2003) selain itu masih memiliki dua keuntungan lain yaitu:
1. Membantu manajemen audit dalam perencanaan sumber daya, misal dapat dihitung
berapa total jam yang dibutuhkan untuk melaksanakan audit berdasarkan waktu
yang diharapkan untuk melaksanakan setiap langkah-langkah audit pada program
audit.
2. Membantu konsistensi dalam pengujian pengendalian yang umum.
6.7 Tanggung Jawab Terhadap Deteksi dan Pencegahan Kecurangan (Fraud)
Tanggung jawab terhadap deteksi dan pencegahan kecurangan termasuk
kecurangan dalam sistem informasi merupakan tanggungjawab dari pengelola
(operational management).
Auditor memiliki peran dalam hal membantu pengelola menerapkan sistem kontrol
dimana fraud kecil kemungkinan terjadi, tetapi apabila terjadi akan cepat dideteksi.
2016 5
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Tim Dosen http://www.mercubuana.ac.id
Daftar Pustaka
6. Suswinarno, 2012. Aman dari Risiko dalam Pengadaan Barang/Jasa Pemerintah. Visimedia: Jakarta.
7. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley: New Jersey.
8. Champlain, J, Jack. 2003. Auditing Information Systems Second Edition. Wiley: New Jersey.
MODUL PERKULIAHAN
Audit Sistem Informasi
PENGENDALIAN INTERNAL
Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh
Ilmu Komputer Sistem Informasi
04 18043 Tim Dosen
Abstrak Kompetensi
Semakin tingginya kebutuhan organisasi terhadap sistem informasi mendorong adopsinya di berbagai aspek organisasi. Pengendalian terhadap sistem informasi menjadi krusial, untuk mengetahui apakah pengendalian tersebut efektif diperlukanlah audit.
Mampu menjelaskan pengendalian internal
2016 2
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Tim Dosen http://www.mercubuana.ac.id
Pengendalian Internal
10.1 Pengertian
Pengendalian (control) adalah setiap tindakan yang dilakukan pengelola
(manajemen) untuk memperbesar peluang tujuan dan sasaran yang telah ditetapkan
dapat tercapai.
Pengendalian internal memastikan bahwa program untuk memastikan tujuan
manajemen direncanakan dan dijalankan dengan baik. Misal: pengecekan rutin terhadap
integritas data pada sistem, pelatihan terhadap tim pemasaran untuk menggunakan
teknik/alat data mining.
Sistem pengendalian internal adalah keseluruhan infrastruktur dimana setiap elemen
pengendalian akan berfungsi dan menciptakan suatu kondisi dimana pengendalian internal
dapat berjalan.
10.2 Tujuan Pengendalian Internal
4. Reliabitas dan Integritas Informasi;
5. Kepatuhan terhadap kebijakan,rencana,hukum dan regulasi;
6. Pengamanan Aset;
7. Efektifitas dan efisiensi operasi.
10.3 Jenis Pengendalian
1. Preventative controls, pencegahan (sebelum terjadi penyimpangan) sebagai contoh
berupa pembatasan tindakan pengguna, permintaan kata sandi, otorisasi terpisah.
2. Detective controls, mendeteksi penyimpangan setelah terjadi contoh: laporan
analisa log, pemantauan status parameter yang tidak sesuai standar.
3. Corrective controls, memastikan koreksi terhadap masalah yang ditemukan oleh
detective controls pada umumnya membutuhkan campur tangan manusia. Contoh
proses restorasi data backup, pembatalan transaksi. Corrective Controls memiliki
potensi menimbulkan masalah baru yang bisa jadi lebih besar daripada masalah yang
dicoba untuk diperbaiki.
4. Directive controls dirancang untuk memproduksi hasil yang baik dan mendorong
perilaku yang baik. Contoh: arahan untuk para pengguna komputer melakukan
tindakan backup terhadap data masing-masing secara periodik.
5. Compensating controls dapat ditemui pada kasus dimana kelemahan pada satu
pengendalian ditutup oleh pengendalian lain.
2016 3
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Tim Dosen http://www.mercubuana.ac.id
10.4 Elemen Pengendalian Internal
10.4.1 Akuntabilitas. Setiap keputusan, transaksi dan tindakan yang dilakukan harus
ada pengendalian yang dapat menentukan siapa yang melakukan apa.
10.4.2 Kecukupan Sumber Daya. Pengendalian yang coba dilakukan dengan sumber
daya yang kurang biasanya akan gagal ketika menghadapi tekanan.
10.4.3 Pengawasan dan review. Pada banyak kasus manusia tidak melakukan apa
yang seharusnya tetapi hanya melakukan apa yang diawasi sehingga system
pengawasan diperlukan dan perlu dilakukan evaluasi secara periodik.
10.5 Pengendalian pada Aplikasi Komputer
Memiliki tujuan:
Integritas aplikasi dan prosesnya (Integrity of programs and processing).
Pencegahan terhadap perubahan yang tidak diinginkan (Prevention of unwanted
changes).
Memastikan pengendalian perancangan dan pengembangan memadai (Ensuring
adequate design and development control).
Memastikan pengujian memadai (Ensuring adequate testing).
Mengendalikan pemindahan aplikasi (Controlled program transfer).
Memastikan sistem terus terpelihara (Ongoing maintainability of systems).
10.6 Contoh Pengendalian Pada Pengembangan Aplikasi Komputer
Penggunaan Systems Development Life Cycle (SDLC).
Melibatkan pengguna (User involvement).
Dokumentasi yang memadai.
Rencana pengujian yang diformalkan.
Konversi yang terencana.
Penggunaan post-implementation reviews.
Penetapan quality assurance (QA).
Melibatkan Auditor Internal.
2016 4
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Tim Dosen http://www.mercubuana.ac.id
Daftar Pustaka
9. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley:
New Jersey.
MODUL PERKULIAHAN
Audit Sistem Informasi
PERENCANAAN AUDIT
Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh
Ilmu Komputer Sistem Informasi
05 18043 Tim Dosen
Abstrak Kompetensi
Semakin tingginya kebutuhan organisasi terhadap sistem informasi mendorong adopsinya di berbagai aspek organisasi. Pengendalian terhadap sistem informasi menjadi krusial, untuk mengetahui apakah pengendalian tersebut efektif diperlukanlah audit.
Mampu membuat proses perencanaan audit
2016 2
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Tim Dosen http://www.mercubuana.ac.id
Perencanaan Audit
15.1.1 Manfaat Rencana Audit
Perencanaan merupakan salahsatu teknik manajemen yang paling pokok tetapi
merupakan salahsatu yang paling buruk penerapannya. Sebuah audit disebut efektif
apabila tujuannya tercapai. Sangat penting auditor memahami tujuan tersebut sebelum
menjalankan audit. Rencana audit yang terstruktur dan terdokumentasi mengidentifikasi
dan menetapkan kriteria bagaimana menilai keberhasilan audit.
15.1.2 Struktur Rencana Audit
Survei Pendahuluan
16. Rapat pembukaan antara tim audit dengan auditee/manajemen (entry meeting).
17. SOP yang ada saat ini seperti apa.
18. Pengumpulan bukti-bukti awal (dokumen SOP, struktur organisasi, kebijakan
manajemen, panduan operasi, dokumen teknis dsb). Apakah ada? Diamankan?
Dipatuhi sejauh apa?
19. Tur lokasi dan perkenalan dengan personil-personil yang ada serta
tanggungjawabnya.
Deskripsi dan Analisa Pengendalian Internal.
Apakah pengendalian internal ada?
Apakah pengendalian internal tersebut efektif? Pengujian terbatas dapat dilakukan
untuk menilai efektifitasnya.
Penilaian ulang resiko dapat dilakukan pada tahap ini.
Pengujian terhadap Pengendalian Internal.
Untuk memastikan pengendalian internal benar efektif haruslah dilakukan pengujian.
Pengujian ini nantinya akan dituangkan pada laporan hasil audit.
Contoh pengujian yang dapat dilakukan:
Pemeriksaan berkas dan dokumen;
Wawancara dengan pihak manajemen atau personil lain;
Pengamatan terhadap operasional;
Pemeriksaan aset;
Pemeriksaan berkas komputer;
Komparasi hasil audit dengan laporan auditee.
2016 3
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Tim Dosen http://www.mercubuana.ac.id
Temuan dan Rekomendasi.
Temuan audit terdiri dari 4 (empat) bagian yaitu kriteria, kondisi, akibat dan penyebab.
Rekomendasi, umumnya berbentuk:
Tidak menyarankan perubahan pada sistem pengendalian.
Peningkatan pengendalian untuk mengurangi resiko.
Pemindahan resiko ke pihak luar (pada kondisi dimana resiko cukup tinggi tetapi
pengendalian sulit dilakukan atau tidak ekonomis) misal: asuransi, alihdaya.
Laporan Hasil Audit.
20. Laporan hasil audit hendaknya diselesaikan tepat waktu.
21. Laporan hasil audit didokumentasikan dan dikomunikasikan kepada auditee.
22. Auditee diminta untuk memberikan tanggapan dan tanggapan akan dimasukkan ke
laporan hasil audit final. Hal ini untuk memastikan objektifitas audit.
Tindak Lanjut.
Tahapan untuk memastikan apakah manajemen setelah mengetahui rekomendasi:
• Menerima resiko, tanpa perbaikan;
• Tidak menerima resiko, tanpa perbaikan;
• Melakukan langkah-langkah untuk mengendalikan kelemahan.
Evaluasi Audit.
Merupakan tahapan final dimana auditor menilai proses audit yang telah dilakukan.
Langkah ini sering diabaikan, sehingga mengakibatkan audit di masa berikutnya tidak
optimal.
Daftar Pustaka
2016 4
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Tim Dosen http://www.mercubuana.ac.id
10. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley:
New Jersey.
MODUL PERKULIAHAN
Audit Sistem Informasi
MANAJEMEN AUDIT
Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh
Ilmu Komputer Sistem Informasi
06 18043 Tim Dosen
Abstrak Kompetensi
Semakin tingginya kebutuhan organisasi terhadap sistem informasi mendorong adopsinya di berbagai aspek organisasi. Pengendalian terhadap sistem informasi menjadi krusial, untuk mengetahui apakah pengendalian tersebut efektif diperlukanlah audit.
Memahami pengertian manajemen audit.
2016 2
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Tim Dosen http://www.mercubuana.ac.id
Manajemen Audit
28.1 Perencanaan
Audit sistem informasi memiliki tanggungjawab menyediakan dukungan bagi aspek
yang berhubungan dengan komputer pada audit keuangan.
Hal ini dilakukan dengan cakupan audit yang memadai pada sistem informasi yang
digunakan organisasi.
Perencanaan audit sistem informasi melibatkan bagaimana mendefinisikan area yang
diaudit. Hal ini dapat dilakukan dengan review terhadap:
28.1.1 Sistem bisnis
28.1.2 Sistem yang sedang dikembangkan
28.1.3 Manajemen fasilitas sistem informasi
28.1.4 Pengendalian keamanan dan recovery
28.1.5 Efisiensi dan efektifitas sistem informasi
28.2 Sasaran Audit Sistem Informasi
Untuk mengulas, menilai dan melaporkan :
1. Kelayakan, kecukupan dan penerapan standar operasi sistem informasi.
2. Kelayakan, kecukupan dan penerapan standar pengembangan sistem.
3. Tingkat kepatuhan terhadap standar organisasi.
4. Keamanan terhadap investasi sistem informasi organisasi.
5. Kecukupan pengaturan kontingensi.
6. Kelengkapan dan ketepatan informasi yang diproses oleh computer.
7. Apakah semua sumber daya komputer telah digunakan secara optimal.
8. Kelayakan sistem aplikasi yang dikembangkan.
28.3 Fungsi Audit Sistem Informasi
Fungsi audit sistem informasi dan fungsi audit umum terdapat berbagai pandangan
berbeda. Pandangan yang pertama yang biasanya diyakini oleh auditor sistem informasi
sendiri bahwa setiap audit terhadap pengendalian yang melibatkan komputer
hendaknya dilakukan oleh auditor sistem informasi professional
Pandangan yang berlawanan meyakini auditor sistem informasi dan auditor umum
haruslah terintegrasi seutuhnya. Diantara kedua pandangan tadi masih ada pandangan
lain yang lebih banyak diyakini secara umum. Bahwa ada keuntungan pada beberapa
area audit yang melibatkan review terhadap sistem komputer apabila dilakukan oleh
auditor umum yang memahami sistem informasi.
2016 3
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Tim Dosen http://www.mercubuana.ac.id
28.4 Audit Sistem Informasi Sebagai Fungsi Pendukung
Audit sistem informasi dapat juga dipandang sebagai fungsi pendukung terhadap
keseluruhan fungsi audit internal dan mungkin melibatkan pengembangan alat/metode
komputasi audit, membantu auditor non sistem informasi bahkan pelatihan terhadap
auditor non sistem informasi.
Auditor sistem informasi bisa juga dilibatkan dalam pengembangan prosedur
pengendalian untuk penggunaan komputer pada lingkungan internal dengan
memastikan hasil penelitian sistem informasi yang lebih modern dan teknik audit sistem
informasi diterapkan.
28.5 Sistem Informasi Bisnis
Review terhadap sistem bisnis termasuk audit terhadap aplikasi sistem, audit
kecurangan, audit kepatuhan, audit keuangan, audit operasional, recovery audits dan
audit pengembangan sistem. Dalam merancang prosedur audit, auditor harus
melakukan pengujian untuk memperoleh barang bukti. Hal ini berarti auditor harus tahu
apa yang akan dicari.
Tidak semua pengendalian diuji. Untuk menjamin audit efektif secara biaya, auditor
harus mencari pengendalian umum dimana berbagai tujuan pengendalian dicakup.
28.6 Auditee Sebagai Bagian Tim Audit
Pengendalian internal yang efektif hanya dapat dicapai apabila semua orang
menginginkan pengendalian internal yang efektif dan bekerjasama untuk mencapai hal
tersebut. Audit berbasis tim telah lama disukai dalam pendekatan audit terintegrasi.
Sebagaimana biasanya dalam kerjasama tim, kesuksesan bergantung pada tujuan
bersama dan partisipasi penuh.
Pada masa sekarang, pendekatan audit berbasis tim perlu diangkat ke level
berikutnya dimana memasukkan manajemen dan staff yang sedang dievaluasi. Audit
berbasis tim yang sesungguhnya dapat menyediakan akses bagi tim terhadap
kemampuan khusus individu yang menjadi anggotanya, sekaligus mengidentifikasi area
dimana kemampuan khusus sangat dibutuhkan tetapi tidak tersedia.
2016 4
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Tim Dosen http://www.mercubuana.ac.id
28.7 Penggunaan Audit Tools
Alat yang tersedia bagi auditor sistem informasi bukan hanya berupa CAAT
(Computer Assisted Auditing Techniques), alat standar lain seperti wawancara, kuisioner
dan dokumentasi.
Alat evaluasi pengendalian seperti CAAT, test data generators dan aplikasi
flowcharting dapat dikombinasikan dengan perangkat lunak audit khusus, perangkat
lunak audit umum, aplikasi utilitas dan berbagai aplikasi non audit seperti aplikasi
pelaporan dan general query languages. Perangkat lunak analisis risiko, perencanaan
audit dan otomatisasi kertas kerja biasanya sangat berguna juga.
28.8 Jaminan Kualitas Audit Sistem Informasi
Audit manager bertanggungjawab terhadap jaminan kualitas audit sistem informasi.
Pada prakteknya hal ini akan melibatkan review pekerjaan audit oleh auditor sistem
informasi lain atau audit secara manajemen.
Ketika jaminan kualitas tersebut tidak dapat diperoleh dari dalam (in-house), maka
sumber luar dapat digunakan. Sumber luar ini dapat datang dari berbagai tempat/organisasi
seperti perusahaan konsultan dan auditor eksternal independen.
2016 5
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Tim Dosen http://www.mercubuana.ac.id
Daftar Pustaka
11. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley:
New Jersey.
MODUL PERKULIAHAN
Audit Sistem Informasi
BUKTI AUDIT
Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh
Ilmu Komputer Sistem Informasi
07 18043 Tim Dosen
Abstrak Kompetensi
Semakin tingginya kebutuhan organisasi terhadap sistem informasi mendorong adopsinya di berbagai aspek organisasi. Pengendalian terhadap sistem informasi menjadi krusial, untuk mengetahui apakah pengendalian tersebut efektif diperlukanlah audit.
Menjelaskan proses bukti audit yang digunakan.
2016 2
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Tim Dosen http://www.mercubuana.ac.id
Bukti Audit
35.1 Prosedur Bukti Audit Sistem Informasi
Auditor mengumpulkan bukti dengan mengikuti program audit. Program audit
adalah sekumpulan langkah yang akan diikuti oleh auditor dalam memperoleh bukti
yang sesuai, pada auditor sistem informasi hal ini berarti melibatkan penggunaan teknik
komputer tertentu, walau bisa juga tidak.
Seperti rute pada peta, program audit harus memenuhi kebutuhan penggunanya.
Program audit menyatakan apa yang harus dilakukan, kapan, bagaimana, siapa dan
berapa lama. Program audit membantu auditor bekerja sesuai dengan waktu dan
anggaran yang ada. Program audit final harus disiapkan segera setelah survei
pendahuluan dilakukan, tetapi dapat dimodifikasi selama proses audit berjalan.
Persiapan program audit harus menekankan pada apa yang berbahaya bagi
organisasi.
Program ini harus bijaksan, relevan, efektif dan ekonomi. Bahwa tidak setiap item perlu
diperiksa selain itu kewajaran dan relevansi harus dipertahankan.
35.2 Sampling Statistik
Pada banyak kasus auditor dapat memperoleh keyakinan yang memadai mengenai
mitigasi risiko tanpa harus memeriksa semua arsip atau transaksi.
Sampling statistik adalah proses pengujian sebagian dari kelompok item untuk
mengevaluasi dan menarik kesimpulan tentang populasi secara keseluruhan. Dengan
melakukan hal tersebut, auditor bermaksud bahwa karakteristik yang relevan dari sampel,
seperti ukuran atau tingkat atau kesalahan, harus sebanding secara matematis dengan
populasi. Untuk melakukan hal tersebut maka metode pemilihan sampel yang tepat harus
digunakan seperti pemilihan acak dan ukuran sampel yang memadai.
35.3 Sampling Non Statistik
Dikenal juga dengan istilah judgmental sampling, auditor hanya mengandalkan
pertimbangan profesionalnya untuk menilai risiko kesalahan sampling (sampling error) dan
mengevaluasi populasi.
Karena sampel tidak dimaksudkan mewakili seluruh populasi, hasil sampel tidak dapat
diekstrapolasi untuk seluruh populasi. Pendekatan ini biasanya digunakan ketika auditor
bermaksud menggunakan sampel untuk tujuan tertentu.
2016 3
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Tim Dosen http://www.mercubuana.ac.id
35.4 Risiko Sampling
Ketika auditor memilih menggunakan sampling statistik maka auditor akan
menghadapi kemungkinan bahwa kesimpulan yang ditarik tentang populasi berisi
beberapa kesalahan materi.
Setiap penggunaan sampling juga tunduk pada risiko kesalahan non-sampling. Jenis
kesalahan ini adalah hasil dari ketidakpastian lain yang tidak disebabkan oleh proses
sampling. Penyebab kesalahan seperti ini dapat berupa:
- Kesalahan dalam memilih sampel.
- Penggunaan prosedur audit yang salah.
- Kegagalan mengenali salah saji atau penyimpangan dalam item sampel.
- Definisi yang tidak benar dari populasi.
35.5 Perencanaan Sampling
Ketika auditor memutuskan untuk menggunakan sampling, hal berikut haruslah
dipertimbangkan:
• Tujuan audit (audit objectives). Seperti lazimnya audit auditor memulai dengan
mempertimbangkan tujuan pengendalian area yang sedang diperiksa. Dari hal ini
dapat ditentukan sumber bukti dan sifat dari pengujian yang dibutuhkan untuk
mengevaluasi bukti.
• Karakteristik populasi. Tahap kedua dari perencanaan adalah menentukan populasi
dimana kesimpulan akan diambil, hal ini akan dinyatakan dalam karakteristik
populasi. Sebagai contoh: audtor dapat memilih untuk mengungkapkan pendapat
mengenai item bernilai tinggi, rendah atau semua item.
35.6 Penjadwalan Proyek
Program Evaluation Review Technique (PERT) digunakan untuk mengidentifikasi
secara diagram aktifitas yang saling bergantung (dependen) dan tidak (independen).
Critical path method (CPM) adalah sebuah metode penjadwalan yang dikembangkan
secara terpisahd ari PERT tetapi menggunakan diagram yang serupa. CPM,
menggunakan dua estimasi waktu, satu untuk normal effort and satu lagi “crash”
effort. “Crash” time adalah waktu yang dibutuhkan untuk menyelesaikan tugas
apabila seluruh sumber daya digunakan pada tugas tersebut.
GANTT atau Diagram Batang.
2016 4
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Tim Dosen http://www.mercubuana.ac.id
35.7 Computer Assisted Audit Solutions
Computer Assisted Audit Tools (CAATs), Computer Assisted Audit Techniques (CAATs).
or more correctly, Computer Assisted Audit Tools and Techniques (CAATTs)
Merupakan metode perolehan informasi, analisis program dan prosedur termasuk
aplikasi yang mengatur, menggabungkan, mengekstrak dan menganalisis informasi.
Dalam kelompok ini termasuk perangkat lunak audit umum (generalized audit software)
serta perangkat lunak terkait industri.
Information retrieval and analysis programs and procedures termasuk ke programs
that organize, combine, extract, and analyze information. This includes generalized audit
software as well as application and industry-related software. Apabila auditor memiliki
kemampuan programming, Bahasa pemrograman konvensional dapat menjadi
alternatif. Tersedianya banyak perangkat lunak yang tidak membutuhkan kemampuan
teknis di bidang programming membuat analisa data secara langsung mudah dilakukan
oleh auditor. Fokus utama adalah pada pemahaman tentang aplikasi dan bagaimana
data berhubungan.
35.8 Perangkat Lunak Audit Umum (Generalized Audit Software)
Perangkat lunak audit umum adalah perangkat lunak yang dirancang secara khusus
untuk auditor, perangkat ini menyediakan antar muka yang ramah untuk melaksanakan
berbagai tugas standar auditor seperti pemeriksaan catatan, pengujian perhitungan dan
pembuatan perhitungan.
Perangkat lunak audit umum tidak dapat menyelesaikan semua masalah auditor,
tetapi sangat membantu di masalah-masalah umum. Perangkat lunak ini dirancang
secara khusus untuk penanganan data besar. Contoh perangkat lunak ini diantaranya
Audit Control Language (ACL) dan Interactive Data Extraction and Analysis (IDEA).
35.9 Teknik Pengujian Transaksi
Teknik pengujian transaksi digunakan untuk mengkonfirmasi pengendalian proses
berfungsi dan termasuk evaluasi perubahan dan validasi pengendalian, pengujian
laporan pengecualian dan evaluasi pengendalian integritas data.
Contoh teknik pengujian transaksi:
- Test data
- Integrated Test Facility (ITF)
- Source-code review
- Embedded audit modules (SCARFs [System Collection Audit Review Files])
- Parallel simulation
2016 5
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Tim Dosen http://www.mercubuana.ac.id
Daftar Pustaka
12. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley:
New Jersey.
MODUL PERKULIAHAN
Audit Sistem Informasi
Strategic Planning
Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh
Ilmu Komputer Sistem Informasi
09 18043 Nia Rahma Kurnianda S.kom, M. Kom
Abstrak Kompetensi
Semakin tingginya kebutuhan organisasi terhadap sistem informasi mendorong adopsinya di berbagai aspek organisasi. Pengendalian terhadap sistem informasi menjadi krusial, untuk mengetahui apakah pengendalian tersebut efektif diperlukanlah audit.
Mengetahui materi yang akan diberikan selama perkuliahan dan mampu Mampu membuat perencanaan strategi.
2016 2
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Tim Dosen http://www.mercubuana.ac.id
Strategic Management Process
Proses manajemen strategis menggunakan informasi kualitatif dan kuantitatif untuk
mengintegrasikan intuisi dan analisis.
Manajemen intuisi didasarkan pada penilaian, pengalaman masa lalu, dan perasaan dan
digunakan dalam kondisi ketidakpastian atau kondisi di mana tidak ada preseden untuk membantu
manajemen dalam membuat keputusan.
Di semua tingkatan dalam organisasi, manajemen harus membuat keputusan dalam kondisi
ketidakpastian di setiap hari dan intuisi merekalah yang mempengaruhi interpretasi yang dari analisis
yang mempengaruhi keputusan strategis yang diambil.
Kunci atribut dari proses manajemen strategis adalah kemampuan beradaptasi untuk berubah,
dan organisasi harus memantau kejadian internal dan eksternal sebagai proses berulang untuk
memastikan adaptasi tepat waktu dipengaruhi.
Selama 20 tahun terakhir, besarnya tingkat perubahan teknologi informasi serta percepatan,
dikombinasikan dengan peningkatan akses ke pasar global dan peningkatan nasional dan peraturan
internasional telah memaksa perubahan pada organisasi di tingkat yang belum pernah terlihat. Ini
meningkatkan tekanan pada manajemen untuk mengembangkan strategi adaptif agar tetap dalam
persaingan dan bahkan untuk tinggal di keberadaan.
Strategi, secara keseluruhan, adalah sarana yang jangka panjang tujuan dimaksudkan untuk
dicapai dan dapat mencakup geografis diversifikasi, pengembangan produk, diferensiasi layanan,
akuisisi organisasi lain, divestasi, PHK, atau bahkan likuidasi. manajemen strategis adalah upaya
untuk memanfaatkan pengetahuan yang ada untuk meramalkan hasil dari peristiwa dan sejauh mana
mereka bisa dipengaruhi oleh tindakan manajemen.
Strategic Drivers
Dalam jangka waktu kedepan, satu-satunya arah adalah penjualan informasi. Dalam hal ini,
teknologi sebagai pendukung terkonsentrasi kepada:
1. Biaya hardware semakin murah
2. Bandwidth komunikasi semakin lebar
3. Software menjadi lebih kuat
4. User menjadi bertambah bingung
5. Kapasitas penyimpanan meroket
6. Biaya jaringan semakin menuruh hingga hampir nol
7. Sistem operasi semakin canggih
Ketika hal tersebut dikombinasikan dengan keinginan bisnis untuk merangkul teknologi sebagai
alat yang memungkinkan mengakibatkan fundamental pergeseran dari cara di mana bisnis dilakukan.
Jadi kita melihat munculnya:
1. penataan gudang data pada perusahaan untuk mendapatkan keuntungan strategis dengan
menjadi yang terbaik di sekitar mengkonversi data ke informasi dan informasi untuk wawasan
2. electronic data interchange (EDI) telah memperpendek siklus bisnis di luar pemahaman
sebelumnya.
3. E-commerce adalah revolusi seperti yang lain yang akan, selama beberapa tahun ke depan,
memiliki banyak dampak pada bisnis konvensional seperti supermarket telah di sudut kota.
2016 3
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Tim Dosen http://www.mercubuana.ac.id
Revolusi dalam Dunia Audit
Dengan cara yang sama bisnis yang merangkul teknologi baru, pemeriksaan tidak punya pilihan
selain mengikuti dan memanfaatkan teknologi untuk mengembangkan cara-cara inovatif untuk
membuat informasi dari sumber daya besar data tersedia dan begitu melanjutkan ke pengembangan
risiko dan pengendalian wawasan.
Gambar 3.1 Revolusi dalam Audit
Motivasi Re-Engineering Business Process
2016 4
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Tim Dosen http://www.mercubuana.ac.id
Bahaya dari perubahan proses: 1. Peningkatan Resiko 2. Kehilangan orang bertalenta dan berkemampuan 3. Harus dibayar mahal 4. Kesalahan interpretasi dan implikasi 5. Melepaskan ide cemerlang produk lama
Contoh Model Sistem: 1. Transaksi Operasional
Terdiri atas ORDER PROCESSING, INVENTORY, PURCHASING 2. Informasi Manajemen
terdiri atas FINANCIAL & MANUFACTURING, MARKETING, HR 3. DSS
Terdiri atas FINANCIAL, STATISTICAL ANALYSIS, PM
Strategis plan untuk IS: 1. Fleksibilitas 2. Efektivitas 3. Efisiensi 4. Reducing Cost
Steering Komite
Tujuan dari steering komite adalah mengelola proses pencapaian fleksibilitas sistem yang berharga. Komite pengarah terdiri dari keahlian manajerial di beberapa fungsional bidang bisnis serta IS sendiri. Konsepnya adalah bahwa setiap anggota komite: 1. memiliki keterampilan dan perspektif beragam 2. memastikan keselarasan strategi IS dengan perusahaan yang strategis 3. memastikan bahwa sistem informasi memberikan apa yang dibutuhkan oleh bisnis.
Strategic Audit Planning
Strategi Audit Planning terdiri atas: 1. Mendapatkan pemahaman bisnis 2. Memahami tujuan bisnis 3. Menganalisa tujuan pengendalian 4. mengidentifikasi dan mengevaluasi kritis kontrol / proses / eksposur jelas dalam sistem secara
keseluruhan 5. merancang prosedur audit yang tepat 6. pengujian aspek kritis dan evaluasi hasil
2016 5
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
Daftar Pustaka
13. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley: New Jersey.
MODUL PERKULIAHAN
Audit Sistem Informasi
Management Issue
Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh
Ilmu Komputer Sistem Informasi
10 18043 Nia Rahma Kurnianda S.kom, M. Kom
Abstrak Kompetensi
Semakin tingginya kebutuhan organisasi terhadap sistem informasi mendorong adopsinya di berbagai aspek organisasi. Pengendalian terhadap sistem informasi menjadi krusial, untuk mengetahui apakah pengendalian tersebut efektif diperlukanlah audit.
Mengetahui materi yang akan diberikan selama perkuliahan dan mampu Mampu memahami management issue
2016 2
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
Privasi
Masalah privasi terkait penggunaan sistem informasi berfokus pada pengumpulan,
penggunaan/penyalahgunaan data.
Aturan hukum pada beberapa negara berusaha mencegah pelanggaran privasi seseorang
dengan memfasilitasi:
1. Setiap individu menentukan mana saja data yg dikumpulkan, digunakan atau didistribusikan
terkait diri mereka.
2. Pencegahan penggunaan data individu digunakan atau disediakan untuk keperluan lain tanpa
izin.
Hak Cipta, Merk Dagang dan Paten
Banyak negara membuat mekanisme perlindungan hak terhadap suatu karya yang kemudian dikenal sebagai intellectual property. Dimana di dalamnya termasuk hak cipta (copyrights), merk dagang (trademarks), paten dan rahasia dagang (trade secrets).
Beberapa metode perlindungan intellectual property pada sistem informasi: 1. Cryptography 2. Akses kontrol 3. Permissions management 4. Biometric authentication 5. Digital signatures+certification authorities
Isu Etika
Pemahaman terhadap etika bisnis penting bagi Auditor SI yang akan menemui isu etika dan dilema dalam kesehariannya berinteraksi dengan manajemen dan auditee.
Etika dirancang untuk menghadapi isu baik dari secara sudut pandang praktikal maupun idealis, dimana idealisme seringkali berseberangan dengan sudut pandang praktikal.
Wheelwright mendefinisikan 3 elemen kunci dalam mengukur dampak etika terhadap pengambilan keputusan: 1. Etika melibatkan pertanyaan yang membutuhkan pilihan reflektif 2. Etika melibatkan petunjuk mana yang benar dan salah. 3. Etika memperhatikan konsekuensi dari keputusan. IT Governance IT governance merupakan tanggung jawab Direksi dan manajemen eksekutif. Dan merupakan: 1. bagian integral dari pemerintahan perusahaan 2. terdiri dari pimpinan dan organisasi dari struktur proses yang memastikan bahwa organisasi
yang TI menopang dan 3. meluas strategi organisasi dan tujuan
Kode Etik
Sebuah organisasi hendaknya memiliki dan menegakkan kode etik. Kode etik berdasarkan pada pemahaman diantaranya nilai-nilai bersama berikut: 1. Kejujuran 2. Integritas 3. Moralitas
2016 3
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
4. Keadilan 5. Kesetaraan 6. Akuntabilitas 7. Kesetiaan 8. Kehormatan
2016 4
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
Daftar Pustaka
14. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley: New Jersey.
MODUL PERKULIAHAN
Audit Sistem Informasi
Governance Technique
Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh
Ilmu Komputer Sistem Informasi
11 18043 Nia Rahma Kurnianda S.kom, M. Kom
Abstrak Kompetensi
Semakin tingginya kebutuhan organisasi terhadap sistem informasi mendorong adopsinya di berbagai aspek organisasi. Pengendalian terhadap sistem informasi menjadi krusial, untuk mengetahui apakah pengendalian tersebut efektif diperlukanlah audit.
Mengetahui materi yang akan diberikan selama perkuliahan dan mampu Mampu memahami governance technique
2016 2
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
Kontrol Perubahan
Perubahan konfigurasi hardware/software disebabkan oleh:
1. Perubahan hardware sebagai hasil dari perbaikan kinerja atau perubahan sistem lain 2. Kegagalan hardware bekerja pada operasi normal 3. Pendeteksi pada software gagal beroperasi pada operasi normal 4. Perubahan peraturan yang berimbas kepada perubahan sistem bisnis organisasi 5. Perubahan operasi bisnis yang dibutuhkan organisasi Dalam masa perubahan yang disebabkan oleh perihal pada slide sebelumnya, penting untuk menjaga agar versi produksi dari software agar terlindungi dari: 1. Perubahan yang belum disahkan. 2. Perubahan yang belum diuji 3. Perubahan yang tidak diinginkan Objektif kontrol perubahan: 1. Semua perubahan telah disahkan 2. Semua perubahan telah selesai dilaksanakan 3. Hanya yang telah disahkan yang dibuat 4. Segala perubahan spesifik 5. Semua pengeluaran efektif
Pengelolaan Permasalahan
Prosedur perubahan terencana: 1. prosedur melibatkan memastikan otorisasi untuk semua perubahan 2. pengawasan proses perubahan 3. pengujian yang memadai dari semua perubahan 4. pengguna mengetahui pada semua aspek perubahan Tujuan pengelolaan permasalahan: 1. mengontrol sistem selama situasi darurat yang timbul dari perubahan tak terduga 2. menyediakan mekanisme kontrol diluar kontrol normal 3. menyediakan kontrol secara terpisah 4. melibatkan otorisasi pengguna
Kontrol Perubahan dari Perspektif Audit IS Auditor akan mencari jaminan bahwa: 1. Prosedur Kontrol Perubahan tersedia 2. Efektif atas perubahan hardware, software, telekomunikasi, atau apapun yang mempengaruhi pengolahan
lingkungan 3. Sumber bukti untuk auditor termasuk risalah rapat komite perubahan kontrol, software, laporan pergerakan,
kontrol log akses dan catatan kegagalan sistem
Review Operasional Audit operasional mungkin meliputi evaluasi aspek sebagai berikut: 9. Kontrol Internal 10. Compliance dengan hukum, peraturan dan kebijakan perusahaan 11. Kehandalan dan integritas informasi dari keuangan operasional 12. Efektifitas dan efisiensi penggunaan sumber daya
2016 3
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
Kebutuhan Audit Operasional 1. Dimulai dengan SOP dan standar performance yang telah ditetapkan oleh manajemen 2. Jika tidak ditemukan adanya SOP atau standar maka auditor akan membangun suatu kriteria
yang akan dibandingkan dengan performance dengan bantuan IT perusahaan Pengukuran Performance: 1. Informasi yang diperoleh dari anggaran atau pengukuran kepuasan klien dapat memberikan
umpan balik digunakan untuk menilai efektivitas organisasi dari berbagai sudut pandang 2. Dengan menggunakan umpan balik adalah mungkin untuk memastikan lanjutan keunggulan
program dan layanan dalam menanggapi perubahan dalam baik lingkungan internal dan eksternal
3. Pendekatan Balanced Scorecard dapat memberikan auditor kriteria pengukuran secara terstruktur apakah sudah tepat diterapkan
ISO 9000
Dalam melakukan review terhadap perusahaan, ISO 9000 melibatkan review: 1. Metodology termasuk filosofi, panduan, kebijakan, pertanggung jawaban, tenggat waktu dan pengiriman 2. Project / Proses memastikan pemenuhan terhadap metodologi dan mengidentifikasi alasan jika ditemukan
penyimpangan
Dari perspektif audit, Auditor akan memastikan
1. Fungsi IT dan SI mencapai hasil yang diharapkan
2. Adanya bukti terdokumentasi
3. Klausul lengkap dari prosedur mutu dan proses yang membutuhkan kompetensi khusus
4. Akuisisi sumber daya termasuk perangkat keras, perangkat lunak dan layanan outsourcing
memenuhi persyaratan yang ketat
2016 4
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
Daftar Pustaka
15. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley: New Jersey.
MODUL PERKULIAHAN
Audit Sistem Informasi
Information Systems Planning
Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh
Ilmu Komputer Sistem Informasi
12 18043 Tim Dosen
Abstrak Kompetensi
Semakin tingginya kebutuhan organisasi terhadap sistem informasi mendorong adopsinya di berbagai aspek organisasi. Pengendalian terhadap sistem informasi menjadi krusial, untuk mengetahui apakah pengendalian tersebut efektif diperlukanlah audit.
Mengetahui materi yang akan diberikan selama perkuliahan dan mampu Mampu memahami governance technique
2016 2
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
Stakeholder
Stakeholder adalah semua individu dan organisasi yang memiliki hubungan langsung atau tidak langsung dengan Information Processing (IP). Yang termasuk dalam golongan stakeholder pada suatu organisasi antara lain: 1. Manajemen
Di semua tingkatan dalam organisasi dari umum manajemen untuk pengawas operasional, manajemen bergantung pada akurasi, kelengkapan, dan integritas informasi diproses melalui sistem komputer.
2. Pelanggan Pelanggan yang ingin melakukan bisnis dengan organisasi memerlukan jaminan bahwa produk dan layanan yang diberikan akan kualitas luar biasa, rentang waktu akan seperti yang dijanjikan, dan bahwa bangunan dan akun informasi akan yang diberikan akurat. Di saat yang sama mereka membutuhkan jaminan bahwa barang dan jasa akan tersedia ketika diminta dan informasi yang dimiliki pada pelanggan akan dirahasiakan.
3. Karyawan Memerlukan jaminan bahwa perusahaan akan terus ada dan fungsi dan untuk itu ketersediaan dan integritas sistem informasi harus terjamin. Mereka juga harus menjaga keyakinan bahwa informasi yang dipegang pada sistem karyawan akan dirahasiakan.
4. fungsi organisasi Memerlukan jaminan bahwa layanan IS akan memberikan fungsi yang diperlukan dalam rangka untuk memastikan bahwa mereka dapat mencapai tujuan operasional mereka.
5. Pemasok Memerlukan jaminan bahwa organisasi akan terus ada dan akan memenuhi semua hutang.
6. Audit eksternal Memerlukan jaminan bahwa organisasi akan terus eksis dan bahwa informasi keuangan dan operasional dapat diambil dari sistem informasi, di mana mereka menempatkan ketergantungan dalam membentuk pendapat mereka mengenai kewajaran penyajian dari urusan keuangan organisasi dan mencerminkan situasi yang sebenarnya.
7. Audit internal Meminta jaminan bahwa kontrol berfungsi sebagaimana dimaksudkan agar organisasi dapat memenuhi strategis dan tujuan operasional
Operation
Dalam organisasi besar dan menengah fungsi operasi difokuskan pada penyediaan layanan SI ke unit perusahaan atau bisnis. Ini termasuk pengoperasian semua peralatan yang berhubungan dengan sistem komputer termasuk mulai, berhenti, dan memelihara sistem mainframe sepenuhnya beroperasi bersama dengan peripheral. Dalam operasi berfungsi berbagai peran yang ada termasuk dari: 1. Manajemen operasi
Bertanggung jawab untuk operasi komputer personil termasuk semua staf yang terlibat dalam menjalankan efektif fasilitas pengolahan informasi (IPF). Pergeseran pengawas. Bertanggung jawab untuk pengawasan keseluruhan dari sekelompok operator menjalankan operasi sehari-hari dari IPF.
2. Operator Bertanggung jawab untuk menangani operasi sehari-hari IPF termasuk memulai dan mengakhiri pekerjaan, memuat tepat file data, menyelaraskan alat tulis khusus di printer, mengambil backup seperti yang ditentukan, dan tugas-tugas rumah tangga umum.
3. Kelompok kontrol Bertanggung jawab dalam beberapa organisasi yang lebih besar untuk pengumpulan, konversi data, dan kontrol input bersama-sama dengan distribusi output ke pengguna yang tepat.
4. Data pustakawan Bertanggung jawab untuk kontrol dan pengamanan semua program dan data file dipertahankan pada media komputer oleh IPF. Dalam organisasi besar ini mungkin menjadi karyawan penuh waktu didedikasikan untuk fungsi ini. Dalam beberapa instalasi fungsi ini memiliki telah diambil alih untuk sebagian besar oleh kontrol perpustakaan otomatis perangkat lunak.
2016 3
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
5. Entri data Dalam kebanyakan organisasi saat ini, entri data berlangsung dalam lingkungan pengguna dan di bawah kendali staf pengguna. Namun demikian, beberapa organisasi yang memiliki persyaratan untuk volume tinggi menangkap data input standar. Pada organisasi entri data biasanya berada di bawah kendali operasi berfungsi. Di mana kontrol pusat seperti ada pemeliharaan integritas dokumen sumber dari penerimaan ke kembali ke daerah pengguna tepat adalah penting.
System Development
Dengan munculnya hari ini alat pengembangan, jabatan dan fungsi peran dalam area ini mengalikan secara eksponensial. Namun demikian, masih mungkin untuk membedakan antara fungsi yang dilakukan oleh individu. Individu-individu yang terkait dengan pengembangan sistem komputer meliputi: 1. pemimpin proyek
spesialis manajemen yang mengendalikan proyek komputer dari perencanaan, melalui penugasan tugas, melalui pelaksanaan dan pemantauan, untuk penyelesaian akhir.
2. analisis sistem spesialis bisnis yang menganalisis arus informasi dalam lingkungan bisnis dalam rangka untuk memastikan bahwa sistem dirancang berdasarkan kebutuhan bisnis pengguna.
3. desainer sistem spesialis teknis yang mengambil kebutuhan bisnis dan menafsirkan mereka ke dalam desain rinci dengan informasi yang cukup untuk memastikan bahwa programmer dapat mengkodekan sistem seperti yang dibayangkan oleh para analis.
4. programmer aplikasi Bertanggung jawab untuk kedua pengembangan program komputer baru serta pemeliharaan sistem aplikasi yang ada. Mereka menyandikan program yang pada akhirnya akan menjalankan sistem aplikasi seperti yang ditentukan oleh pengguna dan seperti yang dirancang oleh desainer.
Technical Support
Dalam rangka untuk mencapai kelancaran arus informasi dalam organisasi, persyaratan teknis tertentu yang harus dipenuhi untuk memfasilitasi operasi tanpa gangguan dan integrasi dari semua komponen sistem. Pemeliharaan persyaratan teknis terletak pada tangan spesialis teknis. Fokus mereka adalah pada penyediaan bantuan pengguna di bidang hardware dan perangkat lunak akuisisi dan administrasi data. Dalam dunia IT yang kompleks saat ini tingkat spesialisasi adalah meningkat namun akan biasanya mengandung: 1. Sistem programmer. Bertanggung jawab untuk semua pemeliharaan pada perangkat lunak
sistem, khususnya sistem operasi. Individu ini memiliki kekuasaan tertinggi dalam suatu organisasi karena sifat pekerjaan itu memerlukan akses tak terbatas ke semua fasilitas dan struktur untuk tingkat teknis dalam fungsi IT. Karena kontrol pencegahan tidak dapat digunakan karena sifat dari pekerjaan sistem programmer ', sangat penting bahwa, di situs manapun, jumlah individu dengan gelar ini kekuasaan terbatas dan bahwa pekerjaan yang dilakukan dipantau tepat.
2. manajemen jaringan. Bertanggung jawab untuk infrastruktur komunikasi dan komponennya termasuk: a. Multiplexer. Memungkinkan beberapa sinyal telekomunikasi untuk ditransmisikan melalui
media komunikasi sinyal pada saat yang sama. b. Modem. Menerjemahkan data dari digital ke analog (modulasi) dan menerjemahkan dari
analog ke digital (demodulasi). Switch. perangkat keras yang memungkinkan perangkat transmisi dan menerima peralatan yang akan dihubungkan.
c. Router. Saklar internetworking beroperasi pada tingkat OSI 3, lapisan jaringan. d. Firewall. Sebuah perangkat yang dipasang pada titik di mana jaringan terhubung ke situs,
yang berlaku aturan untuk mengontrol jenis lalu lintas jaringan yang mengalir masuk dan keluar.
2016 4
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
e. Gateways. Sebuah stasiun relay utama yang menerima, switch, relay, dan mengirimkan lalu lintas mengkonversi dari satu protokol yang lain di mana diperlukan dan beroperasi pada setiap lapisan OSI diatas OSI layer 3, lapisan jaringan.
f. Proxy. Setiap fasilitas yang secara tidak langsung memberikan beberapa layanan, misalnya, proxy firewall dapat memberikan akses ke layanan Internet di sisi lain dari firewall sementara mengendalikan akses ke layanan di kedua arah. manajer jaringan mungkin juga bertanggung jawab untuk kontrol administratif atas sistem administrasi jaringan area lokal memastikan untuk hardware dan software implementasi efektif, dan tepat backup diambil.
3. administrasi keamanan. Jawab untuk memastikan bahwa pengguna mematuhi kebijakan keamanan perusahaan secara keseluruhan dan bahwa kontrol yang dirancang dan dilaksanakan secara efektif menegakkan pembagian tugas yang memadai dan pencegahan akses tidak sah ke aset perusahaan.
4. Quality Assurance. Bertanggung jawab untuk membantu dalam desain standar kualitas untuk daerah IS dan memastikan bahwa IS staf ikuti prosedur kualitas yang ditetapkan, dan perangkat lunak yang dikembangkan secara internal atau dibeli secara eksternal dan diinstal secara lokal memenuhi harapan pengguna dan bebas dari kesalahan yang signifikan.
5. database administrator. Dapat dilihat sebagai bagian dari tim pengembangan sistem atau sebagai spesialis teknis independen tergantung pada organisasi. Database administrator (DBA) mendefinisikan struktur data yang digunakan dalam sistem database perusahaan, baik fisik dan logis. Peran DBA adalah untuk mengoptimalkan penggunaan dan akses ke sistem manajemen database dan mencakup: a. Mengontrol definisi data fisik dan logis b. Menerapkan kontrol akses database, kontrol konkurensi, dan memperbarui kontrol c. penggunaan database Pemantauan untuk menyempurnakan kinerja Mendefinisikan dan
mengontrol cadangan dan pemulihan prosedur d. Memilih dan memasang alat database tuning dan utilitas e. Seperti programmer sistem, DBA, dalam rangka melaksanakan tugas-tugasnya, memiliki
akses penuh dan tak terbatas ke semua data hidup dan struktur data. Karena performa seperti tugas DBA tidak dapat dibatasi oleh kontrol pencegahan dan harus dikuasai oleh pemisahan tugas jika mungkin dan dengan supervisory review atas kegiatan dan penggunaan utilitas database yang kuat.
Segregation of Duties
Daerah mana auditor harus mencari jaminan bahwa tugas yang tidak ada tugas yang tidak kompetibel meliputi: 1. Akses ke data.
Berdasarkan kebijakan organisasi, akses harus diberikan atas dasar paling istimewa. Tidak ada pengguna harus memiliki kewenangan lebih dari yang dibutuhkan untuk melaksanakan tugas-tugas mereka. Di mana otoritas tambahan diberikan secara sementara, kontrol harus ada untuk memastikan bahwa otoritas akan dihapus pada akhir periode sementara.
2. Kontrol atas aset. Berdasarkan persyaratan organisasi, individu dengan kontrol atas aset tidak harus memiliki akses untuk memanipulasi catatan maupun kewenangan untuk melakukan rekonsiliasi. Dalam lingkungan saat ini harus diingat bahwa informasi itu sendiri merupakan aset perusahaan. Jumlah uang yang terutang untuk suatu organisasi sangat ditentukan oleh apa yang catatan komputer mengatakan berutang kepada organisasi dan aset yang dimiliki oleh organisasi ditentukan oleh apa aset daftar kata yang dimiliki oleh organisasi Sekali lagi, di mana organisasi ini terlalu kecil untuk menegakkan pembagian tugas pada tingkat operasional, hal itu tidak bisa ditegakkan secara langsung dalam sistem komputer. Membutuhkan dua ID pengguna dan password tidak berguna jika itu adalah orang yang sama yang memegang kedua. Dalam keadaan ini lebih efektif untuk menggunakan supervisory review, bahkan setelah acara.
3. tingkat otorisasi Datang dalam berbagai bentuk. Manajemen diperlukan untuk mengotorisasi akses pengguna ke informasi dan fungsi dalam Sistem Informasi. Dalam banyak kasus tidak ada pengawasan dari hak akses yang manajemen berwenang untuk hibah dan apa pun akan diterima selama itu masuk pada bentuk yang benar dengan tanda tangan yang bisa menjadi manajer. Pada otorisasi
2016 5
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
tingkat transaksional biasanya dilihat sebagai pengguna fungsi yang diberikan kepada anggota staf yang lebih senior dengan pengetahuan, pengalaman, dan wewenang untuk otorisasi transaksi tertentu. Sekali lagi, yang gagal umum adalah pemberian hak tersebut kepada individu dengan pengalaman cukup yang kemudian otorisasi transaksi yang seharusnya tidak berwenang.
Personel Practices
Dalam organisasi TI yang khas, pergantian staf dapat menjadi masalah besar dalam memastikan kelangsungan sistem yang dirancang dengan baik dan diproses. Dengan demikian, akuisisi, pelatihan, retensi, dan penghentian akhirnya staf titik kontrol kritis. Dalam organisasi besar fungsi personil IT internal tetap ada, tetapi bahkan dalam perawatan instalasi yang lebih kecil harus diambil dalam pengelolaan kawasan ini karena mereka memiliki korelasi langsung dengan kualitas staf yang digunakan dan sistem yang dihasilkan. Dalam semua kasus praktek kerja harus mematuhi undang-undang perburuhan federal yang relevan, negara bagian, dan lokal.
Object Oriented System Analysis
analisis sistem berorientasi objek (OSA) adalah teknik yang melibatkan studi dari domain tertentu berinteraksi obyek untuk tujuan pemahaman dan mendokumentasikan karakteristik penting mereka. Dalam konteks IT, itu berkaitan dengan persyaratan rekayasa perangkat lunak berkembang dan spesifikasi dinyatakan sebagai model objek suatu sistem yang terdiri dari populasi berorientasi obyek. Hal ini berbeda dengan data tradisional atau pandangan fungsional sistem, yang akan melibatkan teknik seperti dekomposisi fungsional dan analisis terstruktur dan desain. Di bawah OSA, obyek digolongkan sebagai representasi dari entitas asli atau dari abstraksi dan OSA mendefinisikan objek dengan struktur data dan perilaku bersama-sama dengan peristiwa yang memicu operasi, atau objek perubahan perilaku yang mengubah keadaan objek.
Proses analisis menganggap sistem sebagai suatu jaringan proses berinteraksi. Dengan mengikuti pendekatan ini analis akan fokus pada bagaimana sistem mungkin dirancang bukan mengenai komponen sistem dan hubungan antar obyek. Namun, OSA mengatur semua pengetahuan tentang setiap objek sistem sehingga informasi tentang objek sistem lebih mudah untuk menemukan dalam analisis berorientasi objek
dibandingkan metode analisis lainnya. Teknik memberikan bentuk abstraksi termasuk agregasi, generalisasi, dan klasifikasi. pendekatan metode-driven terdiri dari urutan tetap langkah yang diikuti, misalnya menggunakan metode waterfall atau model spiral. Dalam prakteknya, langkah ini tidak selalu dapat diikuti dengan tepat. Bila terjadi masalah dalam pengembangan proses penyesuaian mungkin perlu dilakukan untuk urutan langkah-langkah atau proses pembangunan.
Model OSA disusun dengan maksud bahwa realitas diwakili dalam sistem cara yang dirasakan bukannya dibatasi oleh beberapa bahasa pemrograman tertentu atau metodologi
ERP
ERP melampaui OSA dan adalah istilah yang digunakan untuk menggambarkan berbagai kegiatan bisnis yang didukung oleh perangkat lunak aplikasi termodulasi, yang dimaksudkan untuk membantu organisasi mengelola daerah penting dari bisnis. Daerah-daerah ini bisa meliputi perencanaan produk, pembelian bahan, inventory control, melayani pelanggan, pelacakan pesanan, dan pemasok interfacing serta menyediakan modul khusus untuk aspek sumber daya keuangan dan manusia. Mengintegrasikan informasi di seluruh fungsi dan memberikan seperangkat alat untuk perencanaan dan pemantauan fungsi-fungsi dan proses.
Banyak pemasok menawarkan suite terintegrasi aplikasi untuk memenuhi kebutuhan perusahaan dan memberikan bantuan dalam proses implementasi. Digunakan secara efektif dengan mengintegrasikan semua aspek bisnis, termasuk perencanaan, manufaktur, penjualan, dan pemasaran.. Dengan demikian, setiap organisasi berusaha untuk menerapkan solusi tersebut harus benar-benar jelas mengenai alasan, tujuan, dan kriteria pengukuran untuk pelaksanaan, dan keterlibatan audit pada tahap perencanaan sangat penting.
2016 6
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
Daftar Pustaka
16. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley: New Jersey.
MODUL PERKULIAHAN
Audit Sistem Informasi
Audit and Development of Application Controls
Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh
Ilmu Komputer Sistem Informasi
13 18043 Tim Dosen
Abstrak Kompetensi
Semakin tingginya kebutuhan organisasi terhadap sistem informasi mendorong adopsinya di berbagai aspek organisasi. Pengendalian terhadap sistem informasi menjadi krusial, untuk mengetahui apakah pengendalian tersebut efektif diperlukanlah audit.
Mengetahui materi yang akan diberikan selama perkuliahan dan mampu Mampu memahami Audit and Development of Application Controls
2016 2
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
System
Sistem dapat didefinisikan sebagai seperangkat elemen atau komponen yang saling berinteraksi untuk mencapai tujuan dan sasaran. Sistem ini dapat mengambil bentuk sistem yang melakukan kegiatan yang terkait dengan bisnis (aplikasi sistem) atau sistem yang membantu fungsi komputer itu sendiri (operasi sistem)
Karakteristik sistem yang baik meliputi atribut sebagai berikut: ■ Accuracy ■ Completeness ■ Economy ■ Reliability ■ Relevance ■ Simplicity ■ Timeliness ■ Verifiability Sistem itu sendiri datang dalam segala bentuk dan ukuran dan dapat dikategorikan atas: 1. Sederhana dibandingkan kompleks
sistem sederhana dan kompleks menghadapi normal risiko ketidakakuratan, ketidaklengkapan, dan sebagainya tapi kompleks sistem, dengan sifatnya, lebih mungkin untuk mengalami masalah ini, karena lebih kompleks sistem, semakin sulit untuk secara memadai menguji dan mudah bagi sistematis kesalahan tidak terdeteksi.
2. Buka dibandingkan tertutup. Sistem terbuka lebih rentan terhadap kedua kesalahan serta penetrasi berusaha. Ini adalah faktor yang jumlah sumber input dan output serta tingkat sistem interaktivitas.
3. Stabil vs dinamis. Semakin tinggi tingkat ketidakstabilan dari sistem, semakin besar kemungkinan itu adalah bahwa perubahan akan dilakukan untuk sistem yang tidak jelas dipikirkan dengan semua efek samping diperhitungkan. Selain itu ada kemungkinan lebih besar dari bergegas dan pengujian tidak memadai dalam sistem yang sangat dinamis.
4. Adaptive versus non-adaptif. Sistem Adaptive dirancang untuk fleksibel dan semua hal untuk semua orang. Karena itu relatif mudah untuk menyesuaikan sistem ini keliru. Dengan cara yang sama, tidak adaptif sistem dapat dijalankan dengan cara yang tidak pantas dan ditambah dengan resmi add-on sub-sistem dengan semua mereka peluang kesalahan yang melekat.
5. permanen dibandingkan sementara. sistem permanen dirancang, diimplementasikan, dan dipelihara dalam lingkungan yang terkendali sistem sementara mungkin berada di luar sistem ini pengendalian interndan mungkin undertested, tercatat, terbuka untuk semua untuk berubah, dan umumnya di luar kendali. Mereka juga memiliki kebiasaan menjadi semi-permanen tidak sengaja.
Controlling System: sistem aplikasi dapat dikendalikan dalam beberapa cara dan oleh beberapa individu. Pada tingkat makro, variabel sistem akan ditentukan oleh pembuat keputusan bisnis untuk menutupi barang-barang seperti: 1. gaji harian, mingguan, atau bulanan? 2. buku besar keuangan diproduksi bulanan atau tiap minggu?
Pada kesehariannya, parameter system dikendalikan oleh operator sistem dan digunakan untuk mengubah variabel yang memerlukan amandemen seperti tanggal laporan, tanggal file kontrol, dan sebagainya.
tahap kontrol utama akan mencakup: ■ desain Sistem ■ pengembangan Sistem
2016 3
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
■ Sistem operasi ■ pemanfaatan Sistem
Information Resources Management
Manajemen Sumber Daya Informasi didasarkan pada lima fundamental: 1. Manajemen informasi.
Informasi yang berharga dan harus dikelola seperti itu. Dalam banyak organisasi, informasi tidak muncul pada neraca atau aset mendaftar dan dengan demikian dipandang sebagai sesuatu yang, sementara penting, tidak benar-benar berharga.
2. Manajemen Teknologi. Manajemen Teknologi alamat seluruh aspek nilai teknologi untuk perusahaan. Ini termasuk dampak dan efek pada sumber daya lainnya serta memperoleh keuntungan strategis dengan bijaksana penggunaan teknologi tepat guna.
3. Distributed Management. Di mana sistem berada dapat memiliki dampak yang signifikan terhadap efektivitas sistem serta pengendalian internal dan berpikir harus diberikan kepada mempertahankan sistem yang memadai kontrol manajerial.
4. Manajemen fungsional. Seperti area fungsional lainnya, sistem informasi (IS) harus diarahkan dan dikontrol untuk memastikan penggunaan yang efektif, efisien, dan ekonomi apa, setelah semua, sumber daya yang mahal.
5. Manajemen Strategis. IS memiliki potensi untuk mendapatkan dan mempertahankan keunggulan kompetitif utama bagi organisasi. Digunakan dengan tepat IS dapat meningkatkan hambatan masuk ke kompetisi, mendapatkan eksklusivitas untuk pemegang informasi.
Control Objective of Business System
Dalam rangka mencapai potensi-potensi benefit yang seharusnya dari manajemen informasi. Maka operasionalnya harus mengikuti objektif kontrol sebagai berikut: 1. Accuracy 2. Completeness
3. Validity
4. Integrity
5. Confidentiality
Untuk mengantisipasi perbedaan tipe sistem, dapat dipilih dari salah satu jenis sistem berikut:
■ Order processing ■ Invoicing ■ Inventory control ■ Accounts receivable ■ Accounts payable ■ Purchasing ■ Shipping ■ Receiving ■ Payroll ■ General ledger
■ Specialized systems
● Banking systems
● Retail systems
● Manufacturing systems
● Electronic data interchange (EDI)
2016 4
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
Daftar Pustaka
17. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley: New Jersey.
MODUL PERKULIAHAN
Audit Sistem Informasi
Audit and Development of Application Controls...Part II
Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh
Ilmu Komputer Sistem Informasi
14 18043 Nia Rahma Kurnianda S.kom, M. Kom
Abstrak Kompetensi
Semakin tingginya kebutuhan organisasi terhadap sistem informasi mendorong adopsinya di berbagai aspek organisasi. Pengendalian terhadap sistem informasi menjadi krusial, untuk mengetahui apakah pengendalian tersebut efektif diperlukanlah audit.
Mengetahui materi yang akan diberikan selama perkuliahan dan mampu Mampu memahami Audit and Development of Application Controls
2016 2
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
CAATS
Agar auditor berhasil meraih kesimpulan tentang efektivitas sebuah lingkungan kontrol, maka dibutuhkan sebuah aplikasi automasi yang terdiri dari: 1. Data test generator 2. Flowcharting Packages 3. Specialized Audit Software 4. Generalized Audit Software 5. Utility Programs
Memilih peralatan yang tepat tergantung dari obyektif audit dan teknik yang digunakan. Teknik-teknik tersebut antara lain: 1. Source Code Review 2. Confirmation of Result 3. Test data 4. Integrated Test Facility 5. Snapshot technique 6. Sampling 7. Parallel Simulation
Permasalahan yang sering dihadapi oleh auditor menggunakan CAAT antara lain:
1. Mengambil file yang salah 2. Mengambil layout yang salah 3. Dokumentasi sudah lama tidak diperbarui 4. Hasil Audit sebelumnya
Prosedur Audit
Generik program audit yang dapat diikuti antara lain:
1. Identifikasi konsentrasi kontrol dari user
2. Identifikasi komponen sistem
3. Identifikasi komponen proses
4. Identifikasi Kontrol yang telah diketahui
5. Identifikasi kelemahan kontrol yang telah diketahui
6. Verifikasi kontrol
7. Evaluasi Lingkup Kontrol
Penggunaan CAAT diluar Area Komputasi
Tidak semua penggunaan CAAT dapat dikomputasi. Selain dapat dikomputasi, berikut area-area
yang kadang tidak tercakup komputasi antara lain:
1. Risk analysis 2. Sample selection 3. Operation modelling 4. Analytical review 5. Regression analysis 6. Trend analysis
2016 3
Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
Mendesain Program Audit Yang Sesuai
Program audit dimulai dari:
1. Menemukan obyektif bisnis
2. Mendefinisikan obyektif kontrol
3. Menentukan bukti audit yang sesuai, disaat yang sama mengidentifikasi sumber bukti
4. Menentukan Manner dalam memperoleh bukti
5. Ekstraksi bukti yang dibutuhkan
6. Evaluasi hasil
7. Reporting