Audit Sistem Informasi (AUSI)

Perkenalan H. Sumijan, Ir, M.Sc Lulus (APSI, Konsep SI, SIM, PTI, Analisis Proses Bisnis) KKKI72210 (2 SKS) 08126607355 (sms only) soe@upiyptk.org www.upi-yptk.ac.id/pascasarjana

Tujuan Perkuliahan Mahasiswa memahami konsep dan metodologi kontrol dan audit sistem informasi. Mahasiswa juga mengetahui standar yang digunakan dalam proses audit sistem informasi, serta mampu menerapkan prosedur-prosedur yang diperlukan dalam melakukan audit sistem informasi. 3

Silabus Konsep dasar Information System Control and Audit IS Control and Audit general principles IS Audit Process Standard and Guidelines for IS Auditing Konsep kontrol internal Management control framework Application control framework Perencanaan dan manajemen audit Evidence collection process Evidence evaluation process IT Governance System and Infrastructure Lifecycle IT Service Delivery & Support Protection of Information assets Business continuity and disaster recovery 4

Daftar Pustaka Information System Control and Audit. Ron Weber, 1999. Information System Audit and Assurance. Dube-Gulati, 2005. Cascarino, Richard. Auditor’s Guide to Information System Auditing. John Wiley & Sons, 2007. CISA Review Manual 2010. Information System Audit and Control Association.

Kontrak Belajar Jadwal: 2 SKS: 2 jam kuliah, 1 jam responsi (2 x 45 menit per minggu) 14 minggu (16 pertemuan) 15 menit sebelum dimulai sudah berada di Kelas Ruang B5 (Jam : SI-8 13:30-15:10, SI-7 16:00-17:40) Penilaian: UTS 25% UAS 45% Tugas, kuis 10% Softskill 10% Kehadiran 10% (>=75%) Batas nilai akhir fleksibel (sesuai distribusi nilai tiap kelas) Tidak ada kuis/ tugas/ susulan/ perbaikan/ tambahan Jika ditemukan indikasi plagiarism dalam tugas, nilai akhir MK ini adalah E 6

[Review] Aturan Akademik UPI-YPTK 1 SKS = 1 jam interaksi terjadwal (tatap muka di kelas) 1 jam kegiatan terstruktur (menjawab soal, menyusun makalah, dll) 1 jam kegiatan mandiri (membaca pustaka, praktikum mandiri, dll) Syarat minimum perkuliahan: Dosen harus menyelenggarakan minimal 98% Mahasiswa harus hadir minimal 75% Pakaian seragam harian: Tidak memperbolehkan mahasiswa masuk kuliah yang berambut gondrong, rambut dicat warna dan memakai anting bagi laki-laki, bagi wanita mengenakanan pakaian ketat/rok diatas lutut. Bersepatu (bukan sepatu sandal) dan berkaos kaki Kejahatan akademik (pencontekan, plagiat, pemalsuan)  pelanggaran berat 7

Latar Belakang Sistem Informasi merupakan asset bagi suatu perusahaan yang bila diterapkan dengan baik akan memberikan kelebihan untuk berkompetensi sekaligus meningkatkan kemungkinan bagi kesuksesan suatu usaha Dalam mengimplementasikan sistem informasi tersebut harus ada suatu tolok ukur untuk mencegah terjadinya hal-hal di luar rencana organisasi, dan Agar pengoperasian sistem informasi bisa dilakukan secara efektif dan efisien. 8

Tujuan Pengukuran Sistem Informasi Tujuan pengukuran terhadap sistem informasi adalah untuk meyakinkan manajemen bahwa apakah kinerja sistem informasi yang ada pada organisasi nya sesuai dengan perencanaan dan tujuan usaha yang dimilikinya. Wujud dari pengukuran tersebut adalah AUDIT SISTEM INFORMASI 9

Extensive use of Computers Komputer digunakan untuk mengolah data dan menyediakan informasi untuk membuat keputusan. Sebelumnya, komputer hanya digunakan oleh perusahaan besar yang dapat menanggung biaya membeli komputer dan biaya operasi komputer. Seiring perkembangan jaman, mikro komputer dengan paket perangkat lunak menjadikan setiap orang menggunakannya di kantor dan di rumah dengan mudah. 10

Factors influencing toward control and audit of computers Costs of incorrect decision making Value of HW,SW, personnel Maintenance of privacy Costs of computer abuse High costs of computer error Organizational costs of data loss Controlled evolution of computer use ORGANIZATION Control and audit of computer-based information systems

Need for Control and Audit of Computers (1) Organization costs of data loss Contoh: Hilangnya data yang menyimpan account receivable pelanggan yang membeli secara kredit di sebuah department store besar, karena file-nya rusak Incorrect decision making Data yang tidak benar menyebabkan keputusan yang diambil tidak tepat bahkan sama sekali salah dan menyebabkan kerugian organisasi. Cost of computer abuse Hacking, viruses, illegal physical access, abuse of priviledges Konsekuensi: kerusakan/ pencurian/ modifikasi aset, pelanggaran privasi, operasional terhambat 12

Need for Control and Audit of Computers (2) Value of hardware, software and personnel Sumber daya organisasi, selain data, adalah hardware, software dan SDM Organisasi menginvestasikan multimillion dollar untuk hardware Software sangat membantu operasi organisasi. Apabila rusak atau dicuri maka menyebabkan kerugian finansial bagi organisasi SDM selalu menjadi sumber daya paling bernilai. High cost of computer error Contoh: komputer untuk memonitor kondisi pasien selama operasi bedah, mengarahkan peluru, mengendalikan reaktor nuklir 13

Need for Control and Audit of Computers (3) Maintenance of privacy Kemampuan komputer mengolah data menyebabkan perubahan ke arah privasi individu (dan organisasi) Controlled evolution of computer use Contoh: penelitian penggunaan komputer utk mendukung perintah dan sistem kendali senjata nuklir Contoh: haruskah komputer menggantikan tenaga manusia? Pemerintah, badan profesi, grup, organisasi dan individu harus mengevaluasi dan memonitoring bagaimana kita menerapkan teknologi komputer. 14

Definisi Audit IT/IS Audit Review independen dan pemeriksaan catatan dan kegiatan untuk menilai kecukupan pengendalian internal, untuk memastikan kepatuhan terhadap kebijakan yang ditetapkan dan prosedur operasional, dan merekomendasikan perubahan yang diperlukan dalam kontrol, kebijakan, atau prosedur. IT/IS Audit Proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer aset perlindungan, memelihara integritas data, memungkinkan tujuan organisasi dapat dicapai secara efektif dan menggunakan sumber daya secara efisien. 15

Dampak Audit Sistem Informasi IT/IS Audit Asset safeguarding Data integrity System effectiveness System efficiency Safeguarding assets

Sasaran Audit Auditing ditujukan untuk memastikan business assurance bagi perusahaan, dengan memperhitungkan business risk bagi perusahaan. Dalam peningkatan kecepatan saat ini, transaksi terjadi antar komputer dari perusahaan-perusahaan yang berbisnis serta berfrekuensi tinggi, maka mulai dirasakan perlu untuk menempatkan titik kontrol yang tepat. Audit tidak lagi hanya dilakukan pada akhir tahun buku. Audit dapat dilakukan bahkan untuk setiap transaksi dan saat transaksi terjadi. 17

Peran Seorang Auditor Untuk menempatkan titik kontrol yang tepat, maka perlu dilakukan kerjasama dengan pegawai di Departemen Sistem Informasi. Hal tersebut karena seluruh data transaksi terjadi dan disimpan dalam server yang dikelola oleh departemen itu. Selain itu, Departemen Internal Auditor juga perlu melakukan business process reengineering, dari langkah awal yaitu proses penerimaan auditor baru sampai pada langkah akhir yaitu pemberian pendidikan dan pelatihan yang dibutuhkan. Penetapan titik kontrol yang tepat, kerjasama dan business process reengineering, tidak dapat dilakukan oleh mesin, sehingga di sinilah peran auditor sebagai manusia dituntut untuk tetap ada. 18

Landasan Audit Sistem Informasi Information Systems Management Traditional Auditing Audit Sistem Informasi Behavioral Science Computer Science 19

Traditional Auditing Membawa ilmu pengaruh tentang teknik kendali internal (internal control techniques) Traditional auditing: mengumpulkan dan menilai bukti guna menentukan dan melaporkan kesesuaian antara aktivitas ekonomi Metodologi umum untuk pengumpulan dan evaluasi bukti juga berbasis pada metodologi audit tradisional (dibahas di pertemuan lain). 20

Information Systems Management Sejarah membuktikan bhw SIberbasis komputer hanya membawa kehancuran, dan menyebabkan kegagalan mencapai tujuan organisasi Setelah beberapa tahun para peneliti sibuk mencari cara yang lebih baik utk manajemen pengembangan dan implementasi sistem informasi Kini beberapa kemajuan telah dicapai di MIS, misal teknik manajemen proyek telah menyebabkan suksesnya pengembangan SI. Dokumentasi, standar, budget, dan investigasi diterapkan Perubahan cara pengembangan dan implementasi SI mempengaruhi audit SI Misal: analisis/desain berbasis objek, para programmer membuat program lbh cepat dng sedikit eror dan mudah pemeliharaan 21

Behavioral Science (=people problem) SI terkadang gagal karena desainer tidak menghargai isu-isu manusia terkait pengembangan dan implementasi sistem Misal: resistensi terhadap SI, user mencoba mensabotase sistem, user dan designer kurang berkomunikasi karena perbedaan konsep mengenai domain aplikasi Auditor hrs memahami kondisi yang berkaitan dengan masalah perilaku, yang akan menyebabkan kegagalan sistem Para peneliti menekankan kebutuhan desain sistem pada tugas-tugas yg dicapai SI (teknik), dan kualitas kerja pegawainya (sosial) di dalam organisasi. 22

Computer Science Ilmu komputer menekankan pada pengetahuan bagaimana membuktikan kebenaran dari perangkat lunak, membangun sistem komputer yang toleran pada kegagalan, mendesain sistem operasi yang aman, dan pengiriman data secara aman melalui link komunikasi Pengetahuan-pengetahuan tersebut membawa cara yang lebih baik untuk asset safeguarding, data integrity, system effectiveness dan system efficiency. 23

Metodologi Audit SI CobIT (Control Objectives for Information & Related Technology) adalah panduan kerja dalam pengelolaan teknologi informasi. Disusun oleh ISACA (Information Systems Audit and Control Association) dan ITGI (IT Governance Institute)

CobIT COBIT (Control Objectives for Information and related Technology), merupakan salah satu metodology yang memberikan kerangka dasar dalam menciptakan sebuah Teknologi Informasi yang sesuai dengan kebutuhan organisasi dengan tetap memperhatikan faktor – faktor lain yang berpengaruh. Sebagai model untuk organisasi sistem informasi, maka COBIT memuat kendali yang sifatnya generik. 25