AUDIT SISTEM INFORMASI Pertemuan ke-04 TOPIK : “PERLUNYA KONTROL AUDIT SISTEM INFORMASI”
KULIAH PENGGANTI Selasa : Jam 07:45 – 09:00 SI-7 F11 15-09-15 Rabu : Jam 07:45 – 09:00 SI-8 F11 16-09-15 Jam 09:10 – 11:00 SI-6 F11 Kamis : Jam 11:00 – 12:30 SI-1 F11 17-09-15 Jam 13:30 – 15:10 SI-2 F11 Jam 16:00 – 17:40 SI-3 F11 Jum’at : Jam 10:00 – 11:30 SI-9 F11 18-09-15 Jam 14:00 – 15:40 SI-4 F11 Jam 16:00 – 17:40 SI-5 F11
Kuliah Tetap ------------------------------------------------------------------------- Senin : Jam 11:00 – 12:30 SI-1 F11 Jam 13:30 – 15:10 SI-2 F11 Jam 16:00 – 17:40 SI-3 F11 Selasa : Jam 11:00 – 12:30 SI-9 F11 Jam 13:30 – 15:10 SI-4 F11 Jam 16:00 – 17:40 SI-5 F11 Rabu : Jam 11:00 – 12:30 SI-8 F11 Jam 13:30 – 15:10 SI-6 F11 Jam 16:00 – 17:40 SI-7 F11
BEKAL ILMU ITU PENTING
BAGAIMANA BERAQLAK MULIA 12/28/2018 BAGAIMANA BERAQLAK MULIA Kunjungilah Orang Yang Benci pada kita (At-Tahrin ayat terakhir) Ma’afkalanlah Orang yang bersalah kepada kita (An-Naml ayat 19) Memberi orang yang pelit kepada kita (Al-Qaf ayat 15) dan Al- Baqarah 261-268) David Horton (CiTR)
SDLC Tools Sys. 1 2 3 4
Methodologi Audit
Perlunya Kontrol dan Audit Christianti dan Bobby (2011), mengatakan bahwa kontrol dan audit dibutuhkan untuk meminimalkan suatu risiko atau pengeluaran serta memaksimalkan keuntungan yang diperoleh oleh perusahaan. Menurut Gondodiyoto (2007: 479), “kontrol internal dan audit sangat penting bagi suatu organisasi/perusahaan, karena : Jika data sistem komputer hilang, atau rusak maka kerugiannya akan tidak terkirakan (kerugian yang sangat besar) Bila data pada sistem komputerisasi tidak benar, atau prosesnya salah, sehingga laporan yang dihasilkan error, maka mungkin terjadi pengambilan keputusan yang tidak benar (karena menggunakan data yang salah) Nilai hardware, software, infrastructure komputer dan pegawai yang terlatih bernilai sangat tinggi. Perusahaan telah mengeluarkan investasi yang sangat besar untuk mendapatkan aset sistem informasi (data, hardware, software dan barainware) dan sekaligus merupakan sumber daya kritis dari perusahaan. Beberapa perusahaan memiliki hardware dan software yang bernilai sangat tinggi dan apabila terjadi kerusakan maka berarti kerugian besar. Selain itu terhentinya proses juga merupakan kerugian yang tak ternilai
Perlunya Kontrol dan Audit Biaya tinggi akibat error-nya komputer Pada saat ini banyak kegiatan perusahaan yang dilakukan secara terotomatisasi berbasis komputer, mengolah data, mengontrol pasien, mengontrol pesawat terbang, mengontrol misil nuklir, dan semua dilakukan secara otomatis oleh komputer. Apabila terjadi error pada komputer, atau komputer rusak sehingga organisasi tidak dapat beroperasi dengan normal, maka dapat dibayangkan apa yang akan terjadi dan berapa besar biaya yang disebabkannya Data pada sistem komputerisasi banyak yang bersifat pribadi seperti pajak, kredit, kesehatan dan sebagainya. Data pribadi yang seharusnya menjadi rahasia seseorang pada jaringan TI dapat tersebar, sehingga mengakibatkan orang-orang kehilangan hak privacy-nya. Bila perkembangan komputerisasi tidak dikelola dan dikontrol dengan baik, mungkin akan terjadi perkembangan yang makin tidak terarah. Biaya penyalahgunaan komputer bisa berakibat fatal.”
Audit TI Audit TI, bertujuan untuk mengevaluasi dan memperbaiki efektivitas proses- proses manajemen risiko, kontrol dan good governance. Nilai penting dilakukannya audit TI sejalan dengan pentingnya mencapai tujuan perusahaan. Artinya, bagaimana perusahaan dapat mengelola berbagai risiko yang dihadapinya, terutama terkait dengan penerapan TI, dalam upayanya mencapai tujuan-tujuan bisnisnya. Dengan audit TI suatu perusahaan bisa didorong melakukan perencanaan dan pengembangan secara lebih terarah dan terfokus sesuai dengan tujuan-tujuan bisnisnya.
AUDIT TEKNOLOGI INFORMASI Audit teknologi informasi (Inggris: information technology (IT) audit atau information systems (IS) audit) adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Audit teknologi informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya. http://id.wikipedia.org/wiki/Audit_teknologi_informasi
Audit teknologi informasi atau IT (information technology) audit atau juga dikenal sebagai audit sistem informasi (information system audit) merupakan aktivitas pengujian terhadap pengendalian dari kelompok-kelompok unit infrastruktur dari sebuah sistem/teknologi informasi
IT Audit? Proses pengumpulan dan evaluasi fakta/bukti untuk menentukan apakah sistem (terkomputerisasi): Menjaga aset Memelihara integritas data Memampukan komunikasi & akses informasi Mencapai tujuan operasional secara efektif Mengkonsumsi sumber daya secara efisien
Alasan Penting Mengapa Audit TI perlu dilakukan Kerugian akibat kehilangan data Kesalahan dalam pengambilan keputusan Resiko kebocoran data Penyalahgunaan komputer Kerugian akibat kesalahan proses perhitungan Tingginya nilai investasi perangkat keras dan perangkat komputer
Sedang subyek yang perlu diaudit aspek keamanan, Masalah keamanan mencakup tidak hanya keamanan file servers dan penerapan metoda cadangan, melainkan juga penerapan standar tertentu, seperti C-ICT. keandalan, Keandalan meliputi penerapan RAID V disk subsystems untuk server dengan critical applications dan prosedur penyimpanan data di file server, bukan di drive lokal C. kinerja Kinerja mencakup persoalan standarisasi PC, penggunaan LAN serta cadangan yang sesuai dengan beban kerja. manageability. manageability menyangkut penerapan standar tertentu dan pendokumentasian secara teratur dan berkesinambungan
Enam komponen Audit TI Enam komponen Audit TI : pendefinisian tujuan perusahaan; penentuan isu, tujuan dan perspektif bisnis antara penanggung jawab bagian dengan bagian TI; review terhadap pengorganisasian bagian TI yang meliputi perencanaan proyek, status dan prioritasnya, staffing levels, belanja TI dan IT change process management; assessment infrastruktur teknologi, assessment aplikasi bisnis; temuan-temuan, laporan rekomendasi.
Bidang Pekerjaan IT di perusahaan System Analyst Programmer Administrator (Network, system, database) Support (workshop, maintenance, helpdesk, dll ) Security Officer Auditor
Siapa yang Diaudit Management IT Manager IT Specialist (network, database, system analyst, programmer, dll.) User
Yang Melakukan Audit Tergantung Tujuan Audit Internal Audit (first party audit) Dilakukan oleh atau atas nama perusahaan sendiri Biasanya untuk management review atau tujuan internal perusahaan Lembaga independen di luar perusahaan Second party audit Dilakukan oleh pihak yang memiliki kepentingan thd perusahaan Third party audit Dilakukan oleh pihak independen dari luar perusahaan. Misalnya untuk sertifikasi (ISO 9001, BS7799 dll).
Tugas Auditor IT Memastikan sisi-sisi penerapan IT memiliki kontrol yang diperlukan Memastikan kontrol tersebut diterapkan dengan baik sesuai yang diharapkan
Yang Dilakukan Persiapan Review Dokumen Persiapan kegiatan on-site audit Melakukan kegiatan on-site audit Persiapan, persetujuan dan distribusi laporan audit Follow up audit
Output kegiatan Audit Hasil akhir adalah berupa laporan yang berisi: Ruang Lingkup audit Metodologi Temuan-temuan Ketidaksesuaian (sifat ketidaksesuaian, bukti2 pendukung, syarat yg tdk dipenuhi, lokasi, tingkat ketidaksesuaian) Kesimpulan (tingkat kesesuaian dengan kriteria audit, efektifitas implementasi, pemeliharaan dan pengembangan sistem manajemen, rekomendasi)
Ketrampilan yang dibutuhkan Audit skill : sampling, komunikasi, melakukan interview, mengajukan pertanyaan, mencatat Generic knowledge : pengetahuan mengenai prinsip2 audit, prosedur dan teknik, sistem manajemen dan dokumen2 referensi, organisasi, peraturan2 yang berlaku Specific knowledge : background IT/IS, bisnis, specialist technical skill, pengalaman audit sistem manajemen, perundangan
Prinsip-prinsip Audit Ethical conduct Berdasar pada profesionalisme, kejujuran, integritas, kerahasiaan dan kebijaksanaan Fair Presentation Kewajiban melaporkan secara jujur dan akurat Due professional care Implementasi dari kesungguhan dan pertimbangan yang diberikan Independence Evidence-base approach
Peraturan dan Standar Yang Biasa Dipakai ISO / IEC 17799 and BS7799 Control Objectives for Information and related Technology (CobiT) ISO TR 13335 IT Baseline Protection Manual ITSEC / Common Criteria Federal Information Processing Standard 140-1/2 (FIPS 140-1/2) The “Sicheres Internet” Task Force [Task Force Sicheres Internet] The quality seal and product audit scheme operated by the Schleswig- Holstein Independent State Centre for Data Privacy Protection (ULD) ISO 9000
Badan (Indonesia) ISACA Indonesian Chapter (isaca.or.id) ISSA (Information System Security Association) Indonesian Chapter
Sertifikasi CISA (Certified Information Systems Auditor) CISM (Certified Information Security Manager) CISSP (Certified IS Security Professional) CIA (Certified Internal Auditor) Kualifikasi : Pengalaman dan pengetahuan untuk mengidentifikasi, mengevaluasi, dan memberikan rekomendasi berupa solusi untuk mengurangi kelemahan sistem IT => Mengeluarkan sertifikasi untuk personal auditor
Kebutuhan auditor IT Internal Audit -> setiap perusahaan memerlukan Perusahaan penyedia layanan audit Perusahaan penyedia sertifikasi
Peluang Ketergantungan terhadap IT semakin besar sehingga muncul kebutuhan untuk melakukan audit IT Auditor IT yang sekarang banyak yang berasal bukan dari bidang IT Banyak permasalahan (bisnis) dalam pengelolaan IT
Tinjauan Umum dan Perkembangannya Audit – dari bahasa latin – audiere (hear) Memiliki makna hearing about the accounts’ balance oleh pihak ke tiga Disebutkan sebagai salah satu the old profession in the world Berkembang menjadi bidang audit yang lain: Audit internal Audit teknologi informasi
Jenis-Jenis Audit – berdasar bidang Audit keuangan Audit operasional (management audit) Audit ketaatan (complience audit) Audit sistem informasi Audit E-Commerce Audit Forensic
Jenis-Jenis Audit – berdasar Auditor Auditor Ekstern Independen Auditor Internal Auditor di lingkungan pemerintahan Auditor Perpajakan
Audit Sistem Informasi Meliputi: Tata kelola teknologi informasi secara menyeluruh Audit pengembangan sistem informasi (SDLC), satu jenis aplikasi tertentu
Audit Sistem Informasi – Sejarah Awal Di America Univac – Komputer yang digunakan untuk sensus 1959 – komputer digunakan untuk pembukuan IBM360 – mainframe untuk kebutuhan akuntansi Muncul istilah audit arround computer EEDPAA – electronic data processing auditors association lahir tahun 1969 Mengeluarkan control objective (sejak tahun 1994 disebut CobIT) Dianggap sebagai international set of generally accepted IT control objectives for day-to day use by business managers, users of it and IS auditors
Audit Sistem Informasi Sebagai audit tersendiri – perlu dilakukan untuk memeriksa tingkat kematangan atau kesiapan suatu organisasi dalam melakukan pengelolaan teknologi informasi Level of maturity dapat dilihat dari awareness dari para stake holder Karenanya sebuah penerapan it harus melalui tahapan perencanaan yang baik.
Kebutuhan Audit Sistem Informasi General Financial Audit Audit objective sesuai dengan standar akuntansi keuangan Referensi model adalah COSO (committee of sponsoring Organization) IT Governance Audit operasional terhadap manajemen pengelolaan sumberdaya informasi Aspek-aspek:efektifitas, efesiensi, data integrity, save guarding asset, reliability, confidentiallity, availability, security.
Audit Sistem Informasi – IT Governance Selain dapat dilakukan untuk sistem secara menyeluruh, dapat juga dilakukan terhadap: General information review Audit terhadap sistem informasi Quality Assurance Auditor (bukan anggota tim pengembang), membantu meningkatkan kualitas dari sistem. Auditor mewakili pimpinan proyek. Postimplementation Audit Apakah sistem perlu dimutakhirkan atau diperbaiki atau dihentikan. Istilah audit arround dan audit through the computer tidak berlaku lagi pada audit jenis ini
Audit Sistem Informasi Karena yang diaudit ialah tata kelola TI, maka yang diperiksa adalah ti itu sendiri Karena itu istilah audit arround the computer dan audit through the computer tidak relevan lagi Audit TI/SI tidak bersifat wajib Adanya aktifitas TI merupakan bentuk kesadaran dari pihak manajemen
Audit Sistem Informasi - Faktor Mendeteksi apakah komputer dikelola secara kurang terarah Tidak ada visi, misi, perencanaan teknologi informasi, tidak ada pelatihan Mendeteksi resiko kehilangan data Mendeteksi resiko informasi yang tidak akurat, berdasarkan data yang salah. Menjaga aset Mendeteksi error komputer
Audit Sistem Informasi – Faktor (2) Mendeteksi resiko penyalahgunaan komputer Menjaga kerahasiaan Meningkatkan pengendalian evolusi penggunaan komputer/perkembangan ke depan
HASIL EVALUASI MOTIVASI DIRI ANDA a=3,b=5,c=1 a=1,b=3,c=5 a=5,b=1,c=3 a=5,b=3,c=1 a=3,b=1,c=5 a=1,b=5,c=3 a=5,b=1,c=3 a=1,b=3,c=5 a=5,b=3,c=1 a=1,b=5,c=3 HASIL EVALUASI MOTIVASI DIRI ANDA No Nilai Keterangan 15-43 Kemampuan memotivasi diri kurang Anda perlu belajar dan melakukan evaluasi tentang apa yang telah Anda kerjakan. 2. 44-72 Kemampuan memotivasi diri sedang-sedang aja tidak telalu tinggi dan tidak terlalu rendah. Anda perlu meningkatkan motivasi diri agar Anda bias meraih sukses 3. 73-100 SELAMAT dan Berbahagia. Kesuksesan telah dan akan Anda raih. Anda senantiasa dibutuhkan dimana Anda berada.
HASIL EVALUASI MOTIVASI DIRI ANDA No Range Nilai Keterangan 15-43 Kemampuan memotivasi diri kurang Anda perlu belajar dan melakukan evaluasi tentang apa yang telah Anda kerjakan. 2. 44-72 Kemampuan memotivasi diri sedang-sedang aja tidak telalu tinggi dan tidak terlalu rendah. Anda perlu meningkatkan motivasi diri agar Anda bias meraih sukses 3. 73-100 SELAMAT dan Berbahagia. Kesuksesan telah dan akan Anda raih. Anda senantiasa dibutuhkan dimana Anda berada.