ANGELINA PRIMA KURNIATI (APK)

Transkripsi

1 Pengantar Audit Sistem Informasi CDG4I3 / Audit Sistem Informasi Angelina Prima K Gede Ary W. KK SIDE ANGELINA PRIMA KURNIATI (APK) SIDE (Software Engineering, IS/IT, Data Engineering) F205/ F (sms only) angelina@telkomuniversity.ac.id 2 1

2 Tujuan Perkuliahan Matakuliah Audit Sistem Informasi berisi pengajaran mengenai kontrol dan audit sistem informasi. Topik yang akan dibahas meliputi konsep dasar kontrol dan audit, tahapan audit, standar dan panduan audit SI, serta proses pengumpulan dan evaluasi bukti. Matakuliah ini juga memperkenalkan mahasiswa pada COBIT 5 dan ITIL V3 sebagai standar yang dapat digunakan dalam melaksanakan audit sistem informasi. Di akhir perkuliahan, mahasiswa diharapkan mampu menerapkan konsep-konsep yang telah dipelajari ke dalam proses audit sesungguhnya pada studi kasus tertentu. 3 Silabus 1. Konsep dasar dan prinsip umum kontrol dan audit SI 2. Proses audit SI 3. Standar dan panduan audit SI 4. Konsep control internal 5. Kerangka control manajemen dan aplikasi 6. Perencanaan dan manajemen audit 7. Proses pengumpulan dan evaluasi bukti 8. Audit EDM, APO, BAI, DSS dan MEA 9. Tatakelola TI dan manajemen resiko 10. ITIL V3 4 2

3 Daftar Pustaka 1.. Information System Control and Audit. Ron Weber, Information System Audit and Assurance. Dube- Gulati, Cascarino, Richard. Auditor s Guide to Information System Auditing. John Wiley & Sons, CISA Review Manual Information System Audit and Control Association. 5. ISACA. COBIT 5- A Business Framework for the Governance and Management of Enterprise IT Senft, Sandra and Frederick Gallegos. Information Technology Control and Audit. Third Edition. Taylor& Francis Group Kontrak Belajar Jadwal: 3 SKS: 3 jam kuliah, 1 jam responsi (4 x 50 menit per minggu) 14 minggu (28 pertemuan) Toleransi keterlambatan = 15 menit Penilaian: UTS 25% UAS 30% Tugas besar 20% Tugas, kuis 20% Kehadiran 5% (>=75%) A : 80 <= NA <= 100 AB: 75 <= NA < 80 B : 65 <= NA < 75 BC: 60 <= NA < 65 C : 45 <= NA < 60 D : 30 <= NA < 45 E : 0 <= NA < 30 Tidak ada kuis/ tugas/ tugas besar susulan/ perbaikan/ tambahan Jika ditemukan indikasi plagiarism dalam tugas, nilai akhir MK ini adalah E 6 3

4 [Review] Aturan Akademik 1 SKS = 1 jam interaksi terjadwal (tatap muka di kelas) 1 jam kegiatan terstruktur (menjawab soal, menyusun makalah, dll) 1 jam kegiatan mandiri (membaca pustaka, praktikum mandiri, dll) Syarat minimum perkuliahan: Dosen harus menyelenggarakan minimal 96% Mahasiswa harus hadir minimal 75% Pakaian seragam harian: Kemeja/ blouse warna putih Celana panjang/ rok warna biru (bukan jeans) Bersepatu (bukan sepatu sandal) dan berkaos kaki Kejahatan akademik (pencontekan, plagiat, pemalsuan) pelanggaran berat 7 Latar Belakang Sistem Informasi merupakan asset bagi suatu perusahaan yang bila diterapkan dengan baik akan memberikan kelebihan untuk berkompetensi sekaligus meningkatkan kemungkinan bagi kesuksesan suatu usaha Dalam mengimplementasikan sistem informasi tersebut harus ada suatu tolok ukur untuk mencegah terjadinya hal-hal di luar rencana organisasi, dan agar pengoperasian sistem informasi bisa dilakukan secara efektif dan efisien. 8 4

5 Tujuan Pengukuran Sistem Informasi Tujuan pengukuran terhadap sistem informasi adalah untuk meyakinkan manajemen bahwa apakah kinerja sistem informasi yang ada pada organisasi nya sesuai dengan perencanaan dan tujuan usaha yang dimilikinya. Wujud dari pengukuran tersebut adalah AUDIT SISTEM INFORMASI 9 Extensive use of Computers Komputer digunakan untuk mengolah data dan menyediakan informasi untuk membuat keputusan. Sebelumnya, komputer hanya digunakan oleh perusahaan besar yang dapat menanggung biaya membeli komputer dan biaya operasi komputer. Seiring perkembangan jaman, mikro komputer dengan paket perangkat lunak menjadikan setiap orang menggunakannya di kantor dan di rumah dengan mudah. 10 5

6 Factors influencing toward control and audit of computers Costs of incorrect decision making Value of HW,SW, personnel Maintenance of privacy Organizational costs of data loss Costs of computer abuse High costs of computer error Controlled evolution of computer use ORGANIZATION Control and audit of computerbased information systems 11 Need for Control and Audit of Computers (1) Organization costs of data loss Contoh: Hilangnya data yang menyimpan account receivable pelanggan yang membeli secara kredit di sebuah department store besar, karena file-nya rusak Incorrect decision making Data yang tidak benar menyebabkan keputusan yang diambil tidak tepat bahkan sama sekali salah dan menyebabkan kerugian organisasi. Cost of computer abuse Hacking, viruses, illegal physical access, abuse of priviledges Konsekuensi: kerusakan/ pencurian/ modifikasi aset, pelanggaran privasi, operasional terhambat 12 6

7 Need for Control and Audit of Computers (2) Value of hardware, software and personnel Sumber daya organisasi, selain data, adalah hardware, software dan SDM Organisasi menginvestasikan multimillion dollar untuk hardware Software sangat membantu operasi organisasi. Apabila rusak atau dicuri maka menyebabkan kerugian finansial bagi organisasi SDM selalu menjadi sumber daya paling bernilai. High cost of computer error Contoh: komputer memonitor kondisi pasien selama operasi bedah, mengarahkan peluru, mengendalikan reaktor nuklir 13 Need for Control and Audit of Computers (3) Maintenance of privacy Kemampuan komputer mengolah data menyebabkan perubahan ke arah privasi individu (dan organisasi) Controlled evolution of computer use Contoh: penelitian penggunaan komputer utk mendukung perintah dan sistem kendali senjata nuklir Contoh: haruskah komputer menggantikan tenaga manusia? Pemerintah, badan profesi, grup, organisasi dan individu harus mengevaluasi dan memonitoring bagaimana kita menerapkan teknologi komputer. 14 7

8 Definisi Audit Independent review and examination of records and activities to assess the adequacy of internal controls, to ensure compliance with established policies and operational procedures, and to recommend necessary changes in controls, policies, or procedures. IT/IS Audit The process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively and uses resources efficiently. 15 Dampak Audit Sistem Informasi Asset safeguarding System efficiency IT/IS Audit Data integrity System effectiveness 8

9 Sasaran Audit Auditing ditujukan untuk memastikan business assurance bagi perusahaan, dengan memperhitungkan business risk bagi perusahaan. Dalam peningkatan kecepatan saat ini, transaksi terjadi antar komputer dari perusahaan-perusahaan yang berbisnis serta berfrekuensi tinggi, maka mulai dirasakan perlu untuk menempatkan titik kontrol yang tepat. Audit tidak lagi hanya dilakukan pada akhir tahun buku. Audit dapat dilakukan bahkan untuk setiap transaksi dan saat transaksi terjadi. 17 Peran Seorang Auditor Untuk menempatkan titikkontrol yang tepat, maka perlu dilakukan kerjasama dengan pegawai di Departemen Sistem Informasi. Hal tersebut karena seluruh data transaksi terjadi dan disimpan dalam server yang dikelola oleh departemen itu. Selain itu, Departemen Internal Auditor juga perlu melakukan business process reengineering, dari langkah awal yaitu proses penerimaan auditor baru sampai pada langkah akhir yaitu pemberian pendidikan dan pelatihan yang dibutuhkan. Penetapan titik kontrol yang tepat, kerjasama dan business process reengineering, tidak dapat dilakukan oleh mesin, sehingga di sinilah peran auditor sebagai manusia dituntut untuk tetap ada. 18 9

10 Landasan Audit Sistem Informasi Traditional Auditing Computer Science Audit Sistem Informasi Information Systems Management Behavioral Science 19 Traditional Auditing Membawa ilmu pengaruh tentang teknik kendali internal (internal control techniques) Traditional auditing: mengumpulkan dan menilai bukti guna menentukan dan melaporkan kesesuaian antara aktivitas ekonomi Metodologi umum untuk pengumpulan dan evaluasi bukti juga berbasis pada metodologi audit tradisional (dibahas di pertemuan lain)

11 Information Systems Management Sejarah membuktikan bhw SI berbasis komputer hanya membawa kehancuran, dan menyebabkan kegagalan mencapai tujuan organisasi Setelah beberapa tahun para peneliti sibuk mencari cara yang lebih baik utk manajemen pengembangan dan implementasi sistem informasi Kini beberapa kemajuan telah dicapai di MIS, misal teknik manajemen proyek telah menyebabkan suksesnya pengembangan SI. Dokumentasi, standar, budget, dan investigasi diterapkan Perubahan cara pengembangan dan implementasi SI mempengaruhi audit SI Misal: analisis/desain berbasis objek, para programmer membuat program lbh cepat dng sedikit eror dan mudah pemeliharaan 21 Behavioral Science (=people problem) SI terkadang gagal karena desainer tidak menghargai isu-isu manusia terkait pengembangan dan implementasi sistem Misal: resistensi terhadap SI, user mencoba mensabotase sistem, user dan designer kurang berkomunikasi karena perbedaan konsep mengenai domain aplikasi Auditor hrs memahami kondisi yang berkaitan dengan masalah perilaku, yang akan menyebabkan kegagalan sistem Para peneliti menekankan kebutuhan desain sistem pada tugas-tugas yg dicapai SI (teknik), dan kualitas kerja pegawainya (sosial) di dalam organisasi

12 Computer Science Ilmu komputer menekankan pada pengetahuan bagaimana membuktikan kebenaran dari perangkat lunak, membangun sistem komputer yang toleran pada kegagalan, mendesain sistem operasi yang aman, dan pengiriman data secara aman melalui link komunikasi Pengetahuan-pengetahuan tersebut membawa cara yang lebih baik untuk asset safeguarding, data integrity, system effectiveness dan system efficiency. 23 Metodologi Audit SI CobIT (Control Objectives for Information & Related Technology) adalah panduan kerja dalam pengelolaan teknologi informasi. Disusun oleh ISACA (Information Systems Audit and Control Association) dan ITGI (IT Governance Institute) 12

13 CobIT COBIT (Control Objectives for Information and related Technology), merupakan salah satu metodology yang memberikan kerangka dasar dalam menciptakan sebuah Teknologi Informasi yang sesuai dengan kebutuhan organisasi dengan tetap memperhatikan faktor faktor lain yang berpengaruh. Sebagai model untuk organisasi sistem informasi, maka COBIT memuat kendali yang sifatnya generik

14 Perkenalan 1. Nama? NIM? 2. Apa yang dimaksud dengan Audit Sistem Informasi? 3. (Pilih salah satu) a) Mengapa organisasi merasa perlu menerapkan audit sistem informasi? b) Apa peran auditor SI dalam organisasi? c) Ilmu apa saja yang berkaitan dengan audit SI? 4. Apa yang Anda harapkan akan dipelajari dalam kuliah ini? 27 THANK YOU 28 14