12 -CRS -0 1 0 6 RE V IS E D 8 F E B 2 0 1 3
Pengantar Audit Sistem Informasi
CDG4I3 / Audit Sistem Informasi
Angelina Prima K | Gede Ary W. KK SIDE - 2014 V IS E D 8 F E B 2 0 1 3
ANGELINA PRIMA KURNIATI (APK)
SIDE(Software Engineering, IS/IT, Data Engineering)
F205/ F320
081322433411 (sms only)
12 -CRS -0 1 0 6 RE V IS E D 8 F E B 2 0 1 3
Tujuan Perkuliahan
Matakuliah Audit Sistem Informasi berisi pengajaran mengenai
kontrol dan audit sistem informasi.
Topik yang akan dibahas meliputi konsep dasar kontrol dan audit, tahapan audit, standar dan panduan audit SI, serta proses
pengumpulan dan evaluasi bukti.
Matakuliah ini juga memperkenalkan mahasiswa pada COBIT 5dan
ITIL V3 sebagai standar yang dapat digunakan dalam melaksanakan
audit sistem informasi.
Di akhir perkuliahan, mahasiswa diharapkan mampu menerapkan konsep-konsep yang telah dipelajari ke dalam proses audit
sesungguhnya padastudi kasustertentu. 3 -0 1 0 6 RE V IS E D 8 F E B 2 0 1 3
Silabus
1.
Konsep dasar dan prinsip umum kontrol dan audit SI2.
Proses audit SI3.
Standar dan panduan audit SI4.
Konsep control internal5.
Kerangka control manajemen dan aplikasi6.
Perencanaan dan manajemen audit7.
Proses pengumpulan dan evaluasi bukti8.
Audit EDM, APO, BAI, DSS dan MEA9.
Tatakelola TI dan manajemen resiko12 -CRS -0 1 0 6 RE V IS E D 8 F E B 2 0 1 3
Daftar Pustaka
1.
___. Information System Control and Audit. Ron Weber,1999.
2.
___. Information System Audit and Assurance.Dube-Gulati, 2005.
3.
Cascarino, Richard. Auditor’s Guide to Information SystemAuditing. John Wiley & Sons, 2007.
4.
CISA Review Manual 2010. Information System Audit andControl Association.
5.
ISACA. COBIT 5- A Business Framework for the Governance and Management of Enterprise IT. 2012.6.
Senft, Sandra and Frederick Gallegos. Information Technology Control and Audit. Third Edition. Taylor& Francis Group. 2009. V IS E D 8 F E B 2 0 1 3Kontrak Belajar
Jadwal:–3 SKS: 3 jam kuliah, 1 jam responsi (4 x 50 menit per minggu)
–14 minggu (28 pertemuan)
–Toleransi keterlambatan = 15 menit Penilaian: –UTS 25% –UAS 30% –Tugas besar 20% –Tugas, kuis 20% –Kehadiran 5% (>=75%)
Tidak ada kuis/ tugas/ tugas besar susulan/ perbaikan/ tambahan
Jika ditemukan indikasi plagiarism dalam tugas, nilai akhir MK ini adalah E A : 80 <= NA <= 100 AB: 75 <= NA < 80 B : 65 <= NA < 75 BC: 60 <= NA < 65 C : 45 <= NA < 60 D : 30 <= NA < 45 E : 0 <= NA < 30
12 -CRS -0 1 0 6 RE V IS E D 8 F E B 2 0 1 3
[Review]
Aturan Akademik
1 SKS =–1 jam interaksi terjadwal (tatap muka di kelas)
–1 jam kegiatan terstruktur (menjawab soal, menyusun makalah, dll)
–1 jam kegiatan mandiri (membaca pustaka, praktikum mandiri, dll) Syarat minimum perkuliahan:
–Dosen harus menyelenggarakan minimal 96%
–Mahasiswa harus hadir minimal 75% Pakaian seragam harian:
–Kemeja/ blouse warna putih
–Celana panjang/ rok warna biru (bukan jeans)
–Bersepatu (bukan sepatu sandal) dan berkaos kaki
Kejahatan akademik (pencontekan, plagiat, pemalsuan) pelanggaran berat 7 -0 1 0 6 RE V IS E D 8 F E B 2 0 1 3
Latar Belakang
Sistem Informasi merupakan asset bagi suatu
perusahaan yang bila diterapkan dengan baik akan memberikan kelebihan untuk berkompetensi sekaligus meningkatkan kemungkinan bagi kesuksesan suatu usaha
Dalam mengimplementasikan sistem informasi
tersebut harus ada suatu tolok ukur untuk mencegah
terjadinya hal-hal di luar rencana organisasi, dan agar pengoperasian sistem informasi bisa dilakukan
12 -CRS -0 1 0 6 RE V IS E D 8 F E B 2 0 1 3
Tujuan Pengukuran Sistem Informasi
Tujuan pengukuran terhadap sistem informasi adalah
untuk meyakinkan manajemen bahwa apakah
kinerjasistem informasi yang ada pada organisasi nya sesuai
dengan
perencanaandan
tujuan usahayang dimilikinya.
Wujud dari pengukuran tersebut adalah
9
AUDIT SISTEM INFORMASI
V IS E D 8 F E B 2 0 1 3
Extensive use of Computers
Komputer digunakan untuk
mengolah datadan
menyediakan informasi
untuk membuat keputusan.
– Sebelumnya, komputer hanya digunakan oleh perusahaan besar yang dapat menanggung biaya membeli komputer dan biaya operasi komputer. – Seiring perkembangan jaman, mikro komputer
dengan paket perangkat lunak menjadikan setiap orang menggunakannya di kantor dan di rumah dengan mudah.
12 -CRS -0 1 0 6 RE V IS E D 8 F E B 2 0 1 3
Factors influencing
toward control and audit of computers
11
ORGANIZATION
Control and audit of computer-based information systems Organizational costs of data loss Costs of incorrect decision making Costs of computer abuse Value of HW,SW, personnel High costs of computer error Maintenance of privacy Controlled evolution of computer use -0 1 0 6 RE V IS E D 8 F E B 2 0 1 3
Need for Control and Audit of Computers (1)
Organization costs of data loss
–Contoh: Hilangnya data yang menyimpan account receivable pelanggan yang membeli secara kredit di sebuah department
store besar, karena file-nya rusak
Incorrect decision making
–Data yang tidak benar menyebabkan keputusan yang diambil tidak tepat bahkan sama sekali salah dan menyebabkan kerugian organisasi.
Cost of computer abuse
–Hacking, viruses, illegal physical access, abuse of priviledges –Konsekuensi: kerusakan/ pencurian/ modifikasi aset,
12 -CRS -0 1 0 6 RE V IS E D 8 F E B 2 0 1 3
Need for Control and Audit of Computers (2)
Value of hardware, software and personnel
–Sumber daya organisasi, selain data, adalah hardware, software dan SDM
–Organisasi menginvestasikan multimillion dollar untukhardware
–Software sangat membantu operasi organisasi. Apabila rusak atau dicuri maka menyebabkan kerugian finansial bagi organisasi
–SDM selalu menjadi sumber daya paling bernilai.
High cost of computer error
–Contoh: komputer memonitor kondisi pasien selama operasi bedah, mengarahkan peluru, mengendalikan reaktor nuklir 13 V IS E D 8 F E B 2 0 1 3
Need for Control and Audit of Computers (3)
Maintenance of privacy
–Kemampuan komputer mengolah data menyebabkan perubahan ke arah privasi individu (dan organisasi)
Controlled evolution of computer use –Contoh: penelitian penggunaan komputer utk
mendukung perintah dan sistem kendali senjata nuklir –Contoh: haruskah komputer menggantikan tenaga
manusia?
–Pemerintah, badan profesi, grup, organisasi dan individu harus mengevaluasi dan memonitoring bagaimana kita menerapkan teknologi komputer.
12 -CRS -0 1 0 6 RE V IS E D 8 F E B 2 0 1 3
Definisi
AuditIndependent review and examination of records and activities to assess the adequacy of internal controls, to ensure compliance with established policies and
operational procedures, and to recommendnecessary changes in controls, policies, or procedures.
IT/IS Audit
The process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively and uses resources efficiently. 15 -0 1 0 6 RE V IS E D 8 F E B 2 0 1 3
Dampak Audit Sistem Informasi
IT/IS Audit Asset safeguarding Data integrity System effectiveness System efficiency
12 -CRS -0 1 0 6 RE V IS E D 8 F E B 2 0 1 3
Sasaran Audit
Auditing ditujukan untuk memastikanbusiness assurance bagi
perusahaan, dengan memperhitungkan business risk bagi
perusahaan.
Dalam peningkatan kecepatan saat ini, transaksi terjadi antar komputer dari perusahaan-perusahaan yang berbisnis serta berfrekuensi tinggi, maka mulai dirasakan perlu untuk
menempatkantitik kontrolyang tepat.
Audit tidak lagi hanya dilakukan pada akhir tahun buku.
Audit dapat dilakukan bahkan untuksetiap transaksidan saat
transaksi terjadi. 17 V IS E D 8 F E B 2 0 1 3
Peran Seorang Auditor
Untuk menempatkan titik kontrolyang tepat, maka perlu
dilakukan kerjasama dengan pegawai di Departemen Sistem Informasi. Hal tersebut karena seluruh data transaksi terjadi dan disimpan dalam server yang dikelola oleh departemen itu. Selain itu, Departemen Internal Auditor juga perlu melakukan
business process reengineering, dari langkah awal yaitu proses
penerimaan auditor baru sampai pada langkah akhir yaitu pemberian pendidikan dan pelatihan yang dibutuhkan. Penetapan titik kontrol yang tepat, kerjasama dan business
process reengineering, tidak dapat dilakukan oleh mesin,
sehingga di sinilahperan auditor sebagai manusia dituntut
12 -CRS -0 1 0 6 RE V IS E D 8 F E B 2 0 1 3
Landasan Audit Sistem Informasi
19
Audit
Sistem Informasi
Traditional Auditing Computer Science Information Systems Management Behavioral Science -0 1 0 6 RE V IS E D 8 F E B 2 0 1 3Traditional Auditing
Membawa ilmu pengaruh tentang teknik kendali internal
(
internal control techniques)
Traditional auditing: mengumpulkan dan menilai bukti
guna menentukan dan melaporkan
kesesuaianantara
aktivitas ekonomi
Metodologi umum
untuk pengumpulan dan evaluasi bukti
juga berbasis pada metodologi audit tradisional (dibahas
di pertemuan lain).
12 -CRS -0 1 0 6 RE V IS E D 8 F E B 2 0 1 3
Information Systems Management
Sejarah membuktikan bhw SI berbasis komputer hanya membawa
kehancuran, dan menyebabkan kegagalan mencapai tujuan
organisasi
– Setelah beberapa tahun para peneliti sibuk mencari cara yang lebih baik utk manajemen pengembangan dan implementasi sistem informasi Kini beberapa kemajuan telah dicapai di MIS, misalteknik manajemen proyektelah menyebabkan suksesnya pengembangan SI.
Dokumentasi, standar, budget, dan investigasi diterapkan
Perubahan cara pengembangan dan implementasi SI mempengaruhi audit SI
– Misal: analisis/desain berbasis objek, para programmer membuat program lbh cepat dng sedikit eror dan mudah pemeliharaan
21 V IS E D 8 F E B 2 0 1 3
Behavioral Science (=people problem)
SI terkadang gagal karena desainer tidak menghargai isu-isu
manusiaterkait pengembangan dan implementasi sistem
Misal: resistensi terhadap SI, user mencoba mensabotase sistem, user dan designer kurang berkomunikasi karena perbedaan konsep mengenai domain aplikasi
Auditorhrs memahami kondisi yang berkaitan dengan
masalah perilaku, yang akan menyebabkan kegagalan sistem Para peneliti menekankan kebutuhan desain sistem pada
tugas-tugas yg dicapai SI (teknik), dan kualitas kerja
12 -CRS -0 1 0 6 RE V IS E D 8 F E B 2 0 1 3
Computer Science
Ilmu komputer menekankan pada pengetahuan
bagaimana membuktikan kebenarandari perangkat
lunak, membangun sistem komputer yang toleran
pada kegagalan, mendesain sistem operasi yang
aman, dan pengiriman data secara aman melalui link
komunikasi
Pengetahuan-pengetahuan tersebut membawa cara
yang lebih baik untuk asset safeguarding, data
integrity, system effectiveness dansystem efficiency.
23 -0 1 0 6 RE V IS E D 8 F E B 2 0 1 3
Metodologi Audit SI
CobIT (Control Objectives for Information & Related Technology) adalah panduan kerja dalam pengelolaan
teknologi informasi. Disusun oleh ISACA (Information
Systems Audit and Control Association) dan ITGI (IT Governance Institute)
12 -CRS -0 1 0 6 RE V IS E D 8 F E B 2 0 1 3
CobIT
COBIT (Control Objectives for Information and related Technology),
merupakan salah satu metodologyyang memberikan
kerangka dasar dalam menciptakan sebuah Teknologi Informasi yang sesuai dengan kebutuhan organisasi dengan tetap memperhatikan faktor – faktor lain yang berpengaruh.
Sebagai model untuk organisasi sistem informasi,
maka COBIT memuat kendali yang sifatnya generik.
25 V IS E D 8 F E B 2 0 1 3
12 -CRS -0 1 0 6 RE V IS E D 8 F E B 2 0 1 3
Perkenalan
1.
Nama? NIM?2.
Apa yang dimaksud dengan Audit Sistem Informasi?3.
(Pilih salah satu)a) Mengapa organisasi merasa perlu menerapkan audit sistem informasi?
b) Apa peran auditor SI dalam organisasi? c) Ilmu apa saja yang berkaitan dengan audit SI?
4.
Apa yang Anda harapkan akan dipelajari dalam kuliah ini?27 -0 1 0 6 RE V IS E D 8 F E B 2 0 1 3