BAB I Overview of Information System Auditing

AUDIT SISTEM INFORMASI BERBASIS KOMPUTER Audit adalah sebuah proses sistematis untuk secara objektif mendapatkan dan mengevaluasi bukti mengenai pernyataan perihal tindakan dan transaksi bernilai ekonomi, untuk memastikan tingkat kesesuaian antara pernyataan tersebut dengan criteria yang telah ditetapkan, serta mengkomunikasikan hasil-hasilnya pada para pemakai yang berkepentingan. Para auditor biasanya mengaudit di luar computer (audit around the computer) dan tidak menghiraukan computer dengan program-programnya. Mereka hanya mempelajari catatan dan output dari system tersebut, dan berpikir jika output telah dengan benar dihasilkan dari input system, maka pemrosesan pastilah andal. Pendekatan yang lebih baru, yaitu audit melalui computer (audit through the computer), menggunakan computer untuk memeriksa kecukupan pengendalian system, data dan output.

Lima standar lingkup audit Institute of internal auditor memberikan garis besar atas tanggung jawab auditor internal : Melakukan tinjauan atas keandalan dan integritas informasi operasional dan keuangan, serta bagaimana hal tersebut diidentifikasi, diukur, diklasifikasi dan dilaporkan menetapkan apakah system telah didesaian untuk sesuai dengan kebijakan operasional dan pelaporan, perencanaan, prosedur, hokum dan peraturan yang berlaku Melakukan tinjauan mengenai bagaimana asset dijaga, dan memverifikasi keberadaan aset tersebut Mempelajari sumber daya perusahaan untuk menetapkan seberapa efektif dan efisien mereka digunakan Melakukan tinjauan atas operasional dan program perusahaan, untuk menetapkan apakah mereka telah dilaksanakan sesuai rencana dan apakah mereka dapat memenuhi tujuan-tujuan mereka

Tiga jenis kegiatan audit internal Audit keuangan memeriksa keandalan dan integritas catatan-catatan akuntansi (baik informasi keuangan dan operasional). Audit sistem informasi melakukan tinjauan atas pengendalian SIA untuk menilai kesesuaiannya dengan kebijakan dan prosedur pengendalian serta efektivitas dalam menjaga aset perusahaan. Audit operasional atau manajemen berkaitan dengan penggunaan secara ekonomis dan efisien sumber daya, serta pencapaian sasaran dan tujuan yang telah ditetapkan.

Performance Analysis Information System Performance Information System Reasons Performance Analysis Information System Other reasons Plan-do-check or Plan-Controlling Kebutuhan User Standard Quality Indicator Pengukuran Master Planning Error Checking Quality Control Gbr. 1.1. Performance Information System Reason

Information Systems Auditing Defined Information systems auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently. (Audit SI adalah proses mengumpulkan dan mengevaluasi fakta untuk memutuskan apakah sistem komputer yang merupakan aset bagi perusahaan terlindungi, integritas data terpelihara, sesuai dengan tujuan organisasi untuk mencapai efektifitas, dan efisiensi dalam penggunaan sumber daya).

Need For Control and Audit of Computers Organizational Costs of data lost Cost of computer abuse Cost of incorrect decision making Value of H/W,S/W and Personnel High cost of computer error Maintenance of privacy Controlled evolution of computer use ORGANIZATIONS Control and Audit of computer- based information systems Gbr. 1.2 Factors influencing an organization toward control and audit of computers

Organizational Costs of Data Loss (Kerugian apabila data organisasi hilang) Data dapat menyebabkan kebutuhan sumber daya menjadi kritis untuk keberlangsungan operasional organisasi (baik untuk memberikan gambaran masa lalu,masa kini dan masa yang akan datang. Jika data akurat, maka organisasi akan mempunyai kemampuan untuk beradaptasi dan bertahan dalam lingkungan yang berubah. Jika tidak (data hilang), maka organisasi akan mengalami kehilangan data yang cukup penting. Contoh : jika data master barang di suatu toko swalayan rusak, maka kasir tidak dapat melakukan transaksi pembelian yang dilakukan oleh konsumen.

Cost of Incorrect Decision Making (Biaya Pengambilan Keputusan Salah) Untuk membuat keputusan yang berkualitas dan dapat dipercaya, maka perlu di dukung oleh data yang akurat melalui sistem informasi berbasis komputer. Termasuk : deteksi, investigasi, dan koreksi proses yang diluar kontrol (connection of out-of-control process) Akibat data yang salah akan mempunyai dampak terhadap minat investor terhadap perusahaan. Contoh : jika penyediaan laporan keuangan salah (inaccurate financial information), maka investor akan membatalkan atas keputusan investasinya. Penting juga diperhatikan tentang ‘aturan-aturan keputusan yang akurat (accurate decision rules). Contoh jika aturan pengambilan keputusan (decision rule) dalam sistem pakar untuk mendukung diagnosis, salah, mengakibatkan dokter akan salah dalam memberikan keputusan / pemberian resep kepada pasiennya, ini akan berakibat fatal.

Illegal physical access Cost of computer abuse Hacking Viruses Abuse of Privilages Illegal physical access Gbr. 1.3 Cost of computer abuse Consequences of Abuse Destruction of asset Theft of assets Modification of assets Privacy violations Physical harm to personal Discruption of operations Unauthorized use of assets Gbr. 1.4 Consequences of Abuse

Cost of Computer Abuse (Biaya Penyalahgunaan Komputer) Sebagian besar sebab yang mendorong pengembangan fungsi audit SI di perusahaan adalah akibat seringnya terjadi penyalahgunaan komputer. Penyalahgunaan komputer : “segala kejadian yang berhubungan dengan teknologi komputer yang mengakibatkan kerugian pada korban atau mengakibatkan kehilangan yang diakibatkan oleh pelaku kejahatan untuk mencari keuntungan” Sebagian besar tipe penyalahgunaan komputer adalah : Hacking : seseorang yang tidak mempunyai akses otoritas terhadap sistem komputer untuk membaca, memodifikasi atau menghapus program atau data untuk mengacaukan proses. Virus : adalah program yang menyerang file executable, area sistem atau disk, atau file data yang berisi macro yang mengakibatkan kekacauan operasi komputer atau kerusakan data / program. Illegal Physical Access : seseorang yang mengambil keuntungan melalui akses fisik secara ilegal terhadap fasilitas komputer. Contoh memasuki ruang komputer atau ruang terminal secara ilegal, merusak H/W, atau copy program dan data yang bukan merupakan wewenangnya. Abuse of Privilages : seseorang yang menggunakan hak-hak istimewanya untuk maksud dan tujuan yang bukan merupakan otoritasnya. Contoh : membuat copy data yang rahasia (sensitif) akan tetapi tidak meminta ijin atau persetujuan kepada yang berwenangnya.

Konsekuensi Penyalahgunaan Komputer Destruction of asset (perusakan aset) : Hardware, software, data, fasilitas, dokumentasi atau persediaan barang dapat dirusak. Theft of asset (pencurian asset): Hardware, software, data, dokumentasi, atau persediaan barang dapat dipindahkan secara ilegal. Modification of asset : Hardware, software, data atau dokumentasi dimodifikasi dengan cara yang tidah syah Privacy violaction (pelanggaran privasi) : privasi mengenai data seseorang atau organisasi di gunakan untuk kepentingan yang tidak sah. Disruption of Operations (pengacauan operasi) : operasi fungsi sehari-hari (‘day-to-day’) SI dapat terhenti sementara yang diakibatkan oleh operasi yang dikacaukan. Unauthorized use of asset (penyalahgunaan otorisasi aset) : Hardware, software, data, fasilitas, dokumentasi atau persediaan barang digunakan untuk maksud yang tidak sah. contoh penggunaan komputer dinas di kantor untuk maksud private atau konsultasi. Physical harm to personnel (kejahatan fisik terhadap personal) : personal / pegawai dapat menderita akibat kejahatan fisik.

Value of computer H/W,S/W, Personnel : Data, H/W, S/W dan personal adalah merupakan sumber daya kritis organisasi Beberapa organisasi telah menginvestasikan ratusan miliar dollar untuk itu. High Cost of Computer Error Komputer saat ini mempunyai peranan / fungsi penting dengan lingkungan sosial. Contoh monitor digunakan untuk memantau pasien, memonitor missile, pengendali reaktor nuklir, dll. Akibatnya jika komputer ‘error’, maka akan mengakibatkan kerugian yang sangat besar (mahal). Contoh : 257 orang meninggal di pegunungan antartika, akibat error pada sistem yang diakibatkan oleh pekerjaan ‘iseng’ seseorang yang mengganti isi/data sistem komputer yang terkait dengan penerbangan.

Maintenance of Privacy Sebagian besar data dikumpulkan, merupakan data individu seperti: data pembayar pajak, credit, medical, educational, employment, dan yang lainnya. Data ini dikumpulkan sebelum proses komputerisasi, dan data privasi ini harus dilindungi. Agar hak-hak privasinya terjaga. Controlled of Evolution of Computer Use Konflik, satu sisi komputer digunakan untuk hal-hal yang berguna, tapi di sisi lain komputer digunakan untuk pengendalian nuklir yang mungkin saja digunakan untuk hal-hal yang tidak berguna.

Information System Auditing Improved data integrity Information System Auditing ORGANIZATIONS Improved safeguarding of assets Improved system effectiveness Improved system efficiency Gbr. 1.5 Impact of the IS audit function on organization

Gbr. 1.6 Evaluate of the System Analysis

Tinjauan menyeluruh proses audit : Merencanakan audit : Tetapkan lingkup dan tujuan organisir tim audit Kembangkan pengetahuan mengenai operasional bisnis Tinjauan hasil audit sebelumnya Identifikasi faktor2 risiko Siapkan program audit Mengumpulkan bukti audit Pengamatan atas kegiatan2 operasional Tinjauan dokumentasi Berdiskusi dengan para pegawai Kuesioner Pemeriksaan fisik aset Konfirmasi melalui pihak ketiga Melakukan ulang prosedur Pembuktian dengan dokumen sumber Review analitis Pengambilan sampel audit

Mengevaluasi bukti audit nilai kualitas pengendalian internal nilai keandalan informasi nilai kinerja operasional pertimbangkan kebutuhan atas bukti tambahan pertimbangkan faktor2 risiko pertimbangkan faktor materialitas dokumentasikan penemuan2 audit Mengkomunikasikan hasil audit memformulasikan kesimpulan audit membuat rekomendai bagi pihak manajemen mempersiapkan laporan audit menyajikan hasil2 audit ke pihak manajemen

Tujuan yang harus dipenuhi seorang auditor ketika melaksanakan audit system informasi : Perlengkapan keamanan melindungi perlengkapan komputer, program, komunikasi, dan data dari akses yang tidak sah, modifikasi, atau penghancuran Pengembangan dan perolehan program dilaksanakan sesuai dengn otorisasi khusus dan umum dari pihak manajemen Modifikasi program dilaksanakan dengan otorisasi dan persetujuan pihak manajemen Pemrosesan transaksi, file, laporan, dan catatan komputer lainnya telah akurat dan lengkap Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang tepat diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah ditetapkan File data komputer telah akurat, lengkap, dan dijaga kerahasiaanya

Tugas 1 Cari artikel di majalah / internet tentang kejahatan / kasus2 penyalahgunaan komputer Analisa Kasus tersebut dengan menggunakan Teori Audit Information diatas Kirim by Email paling lambat minggu depan