Audit Sistem Informasi Teknologi Informa
Audit Sistem
Informasi (AUSI)
1
Perkenalan
1. H. Sumijan, Ir, M.Sc
2. Lulus (APSI, Konsep SI, SIM, PTI,
Analisis Proses Bisnis)
3. KKKI72210 (2 SKS)
4. 08126607355 (sms only)
5. soe@upiyptk.org
6. www.upi-yptk.ac.id/pascasarjana
2
Perkuliahan
1. Mahasiswa
memahami konsep dan
metodologi kontrol dan audit sistem
informasi.
2. Mahasiswa juga mengetahui standar
yang digunakan dalam proses audit
sistem
informasi,
serta
mampu
menerapkan prosedur-prosedur yang
diperlukan dalam melakukan audit
sistem informasi.
3
Silabus
1.Konsep dasar Information System Control and Audit
2.IS Control and Audit general principles
3.IS Audit Process
4.Standard and Guidelines for IS Auditing
5.Konsep kontrol internal
6.Management control framework
7.Application control framework
8.Perencanaan dan manajemen audit
9.Evidence collection process
10.Evidence evaluation process
11.IT Governance
12.System and Infrastructure Lifecycle
13.IT Service Delivery & Support
14.Protection of Information assets
15.Business continuity and disaster recovery
4
Daftar Pustaka
1. Information System Control and Audit. Ron
Weber, 1999.
2. Information System Audit and Assurance. DubeGulati, 2005.
3. Cascarino,
Richard.
Auditor’s
Guide
to
Information System Auditing. John Wiley & Sons,
2007.
4. CISA Review Manual 2010. Information System
Audit and Control Association.
5
Kontrak Belajar
Jadwal:
2 SKS: 2 jam kuliah, 1 jam responsi (2 x 45 menit per minggu)
14 minggu (16 pertemuan)
15 menit sebelum dimulai sudah berada di Kelas
Ruang B5 (Jam : SI-8 13:30-15:10, SI-7 16:00-17:40)
Penilaian:
UTS
25%
UAS
45%
Tugas, kuis 10%
Softskill
10%
Kehadiran
10% (>=75%)
Batas nilai akhir fleksibel (sesuai distribusi nilai tiap kelas)
Tidak ada kuis/ tugas/ susulan/ perbaikan/ tambahan
Jika ditemukan indikasi plagiarism dalam tugas, nilai akhir MK ini
adalah E
6
[Review] Aturan Akademik UPI-YPTK
1 SKS =
1. 1 jam interaksi terjadwal (tatap muka di kelas)
2. 1 jam kegiatan terstruktur
(menjawab soal, menyusun
makalah, dll)
3. 1 jam kegiatan mandiri (membaca pustaka, praktikum
mandiri, dll)
Syarat minimum perkuliahan:
1. Dosen harus menyelenggarakan minimal 98%
2. Mahasiswa harus hadir minimal 75%
Pakaian seragam harian:
1.
2.
Tidak memperbolehkan mahasiswa masuk kuliah yang berambut
gondrong, rambut dicat warna dan memakai anting bagi laki-laki,
bagi wanita mengenakanan pakaian ketat/rok diatas lutut.
Bersepatu (bukan sepatu sandal) dan berkaos kaki Kejahatan
akademik (pencontekan, plagiat, pemalsuan) pelanggaran
berat
7
Latar Belakang
1. Sistem Informasi merupakan asset bagi suatu
perusahaan yang bila diterapkan dengan baik
akan
memberikan
kelebihan
untuk
berkompetensi
sekaligus
meningkatkan
kemungkinan bagi kesuksesan suatu usaha
2. Dalam mengimplementasikan sistem informasi
tersebut harus ada suatu tolok ukur untuk
mencegah terjadinya hal-hal di luar rencana
organisasi, dan
3. Agar pengoperasian sistem informasi bisa
dilakukan secara efektif dan efisien.
8
Tujuan Pengukuran Sistem
Informasi
1. Tujuan pengukuran terhadap sistem
informasi
adalah
untuk
meyakinkan
manajemen bahwa apakah kinerja sistem
informasi yang ada pada organisasi nya
sesuai dengan perencanaan dan tujuan
usaha yang dimilikinya.
2. Wujud dari pengukuran tersebut adalah
AUDIT SISTEM
INFORMASI
9
Computers
1. Komputer digunakan untuk mengolah data dan
menyediakan informasi untuk membuat keputusan.
a) Sebelumnya, komputer hanya digunakan oleh
perusahaan besar yang dapat menanggung
biaya membeli komputer dan biaya operasi
komputer.
b) Seiring perkembangan jaman, mikro komputer
dengan paket perangkat lunak menjadikan
setiap orang menggunakannya di kantor dan di
rumah dengan mudah.
10
control and audit of
computers
Costs of
incorrect
decision
making
Organization
al costs of
data loss
Value of
HW,SW,
personnel
Costs of
computer
abuse
Maintenance
of privacy
High costs of
computer
error
Controlled
evolution of
computer
use
ORGANIZATION
Control and audit of
computer-based
information systems
11
Need for Control and Audit of
Computers (1)
1. Organization costs of data loss
Contoh: Hilangnya data yang menyimpan account receivable
pelanggan yang membeli secara kredit di sebuah
department store besar, karena file-nya rusak
2. Incorrect decision making
Data yang tidak benar menyebabkan keputusan yang
diambil tidak tepat bahkan sama sekali salah dan
menyebabkan kerugian organisasi.
3. Cost of computer abuse
a) Hacking, viruses, illegal physical access, abuse of
priviledges
b) Konsekuensi: kerusakan/ pencurian/ modifikasi aset,
pelanggaran privasi, operasional terhambat
12
Need for Control and Audit of
Computers (2)
Value of hardware, software and personnel
Sumber daya organisasi, selain data, adalah hardware,
software dan SDM
Organisasi menginvestasikan multimillion dollar untuk
hardware
Software sangat membantu operasi organisasi. Apabila
rusak atau dicuri maka menyebabkan kerugian finansial
bagi organisasi
SDM selalu menjadi sumber daya paling bernilai.
High cost of computer error
Contoh: komputer untuk memonitor kondisi pasien selama
operasi bedah, mengarahkan peluru, mengendalikan
reaktor nuklir
13
Need for Control and Audit of
Computers (3)
Maintenance of privacy
Kemampuan komputer mengolah data menyebabkan
perubahan ke arah privasi individu (dan organisasi)
Controlled evolution of computer use
Contoh: penelitian penggunaan komputer utk
mendukung perintah dan sistem kendali senjata nuklir
Contoh: haruskah komputer menggantikan tenaga
manusia?
Pemerintah, badan profesi, grup, organisasi dan
individu harus mengevaluasi dan memonitoring
bagaimana kita menerapkan teknologi komputer.
14
Definisi
Audit
Review independen dan pemeriksaan catatan dan kegiatan
untuk menilai kecukupan pengendalian internal, untuk
memastikan kepatuhan terhadap kebijakan yang ditetapkan
dan prosedur operasional, dan merekomendasikan perubahan
yang diperlukan dalam kontrol, kebijakan, atau prosedur.
IT/IS Audit
Proses pengumpulan dan evaluasi bukti-bukti untuk
menentukan apakah sistem komputer aset perlindungan,
memelihara integritas data, memungkinkan tujuan organisasi
dapat dicapai secara efektif dan menggunakan sumber daya
secara efisien.
15
Dampak Audit Sistem Informasi
16
Sasaran Audit
Auditing
ditujukan untuk memastikan business
assurance
bagi
perusahaan,
dengan
memperhitungkan business risk bagi perusahaan.
Dalam peningkatan kecepatan saat ini, transaksi
terjadi antar komputer dari perusahaan-perusahaan
yang berbisnis serta berfrekuensi tinggi, maka mulai
dirasakan perlu untuk menempatkan titik kontrol
yang tepat.
Audit tidak lagi hanya dilakukan pada akhir tahun
buku.
Audit dapat dilakukan bahkan untuk setiap transaksi
dan saat transaksi terjadi.
17
Peran Seorang
Auditor
Untuk menempatkan titik kontrol yang tepat, maka perlu
dilakukan kerjasama dengan pegawai di Departemen
Sistem Informasi. Hal tersebut karena seluruh data
transaksi terjadi dan disimpan dalam server yang dikelola
oleh departemen itu.
Selain itu, Departemen Internal Auditor juga perlu
melakukan business process reengineering, dari langkah
awal yaitu proses penerimaan auditor baru sampai pada
langkah akhir yaitu pemberian pendidikan dan pelatihan
yang dibutuhkan.
Penetapan titik kontrol yang tepat, kerjasama dan business
process reengineering, tidak dapat dilakukan oleh mesin,
sehingga di sinilah peran auditor sebagai manusia dituntut
untuk tetap ada.
18
Landasan Audit Sistem
Informasi
Information
Systems
Management
Traditional
Auditing
Audit Sistem Informasi
Computer
Science
Behavioral
Science
19
Traditional Auditing
1. Membawa
ilmu pengaruh tentang teknik
kendali
internal
(internal
control
techniques)
2. Traditional
auditing: mengumpulkan dan
menilai bukti guna menentukan dan
melaporkan kesesuaian antara aktivitas
ekonomi
3. Metodologi umum untuk pengumpulan dan
evaluasi bukti juga berbasis pada metodologi
audit tradisional (dibahas di pertemuan lain).
20
Management
Sejarah
membuktikan bhw SIberbasis komputer hanya
membawa kehancuran, dan menyebabkan kegagalan
mencapai tujuan organisasi
Setelah beberapa tahun para peneliti sibuk mencari cara yang lebih
baik utk manajemen pengembangan dan implementasi sistem
informasi
Kini beberapa kemajuan telah dicapai di MIS, misal teknik
manajemen
proyek
telah
menyebabkan
suksesnya
pengembangan SI. Dokumentasi, standar, budget, dan
investigasi diterapkan
Perubahan cara pengembangan dan implementasi SI
mempengaruhi audit SI
Misal: analisis/desain berbasis objek, para programmer membuat
program lbh cepat dng sedikit eror dan mudah pemeliharaan
21
problem)
SI terkadang gagal karena desainer tidak menghargai
isu-isu
manusia
implementasi sistem
terkait
pengembangan
dan
Misal: resistensi terhadap SI, user mencoba mensabotase sistem, user
dan designer kurang berkomunikasi karena perbedaan konsep
mengenai domain aplikasi
hrs memahami kondisi yang berkaitan dengan
masalah perilaku, yang akan menyebabkan kegagalan
sistem
Para peneliti menekankan kebutuhan desain sistem
pada tugas-tugas yg dicapai SI (teknik), dan kualitas
kerja pegawainya (sosial) di dalam organisasi.
Auditor
22
Computer Science
Ilmu
komputer menekankan pada pengetahuan
bagaimana membuktikan kebenaran dari perangkat
lunak, membangun sistem komputer yang toleran
pada kegagalan, mendesain sistem operasi yang
aman, dan pengiriman data secara aman melalui
link komunikasi
Pengetahuan-pengetahuan tersebut membawa cara
yang lebih baik untuk asset safeguarding, data
integrity, system effectiveness dan system
efficiency.
23
SI
CobIT (Control Objectives for Information
& Related Technology) adalah panduan
kerja
dalam
pengelolaan
teknologi
informasi.
Disusun
oleh
ISACA
(Information Systems Audit and Control
Association) dan ITGI (IT Governance
Institute)
24
CobIT
COBIT (Control Objectives for Information and related
Technology),
merupakan
salah
satu
metodology yang
memberikan kerangka dasar dalam menciptakan
sebuah Teknologi Informasi yang sesuai dengan
kebutuhan organisasi dengan tetap memperhatikan
faktor – faktor lain yang berpengaruh.
Sebagai model untuk organisasi sistem informasi,
maka COBIT memuat kendali yang sifatnya generik.
25
26
Informasi (AUSI)
1
Perkenalan
1. H. Sumijan, Ir, M.Sc
2. Lulus (APSI, Konsep SI, SIM, PTI,
Analisis Proses Bisnis)
3. KKKI72210 (2 SKS)
4. 08126607355 (sms only)
5. soe@upiyptk.org
6. www.upi-yptk.ac.id/pascasarjana
2
Perkuliahan
1. Mahasiswa
memahami konsep dan
metodologi kontrol dan audit sistem
informasi.
2. Mahasiswa juga mengetahui standar
yang digunakan dalam proses audit
sistem
informasi,
serta
mampu
menerapkan prosedur-prosedur yang
diperlukan dalam melakukan audit
sistem informasi.
3
Silabus
1.Konsep dasar Information System Control and Audit
2.IS Control and Audit general principles
3.IS Audit Process
4.Standard and Guidelines for IS Auditing
5.Konsep kontrol internal
6.Management control framework
7.Application control framework
8.Perencanaan dan manajemen audit
9.Evidence collection process
10.Evidence evaluation process
11.IT Governance
12.System and Infrastructure Lifecycle
13.IT Service Delivery & Support
14.Protection of Information assets
15.Business continuity and disaster recovery
4
Daftar Pustaka
1. Information System Control and Audit. Ron
Weber, 1999.
2. Information System Audit and Assurance. DubeGulati, 2005.
3. Cascarino,
Richard.
Auditor’s
Guide
to
Information System Auditing. John Wiley & Sons,
2007.
4. CISA Review Manual 2010. Information System
Audit and Control Association.
5
Kontrak Belajar
Jadwal:
2 SKS: 2 jam kuliah, 1 jam responsi (2 x 45 menit per minggu)
14 minggu (16 pertemuan)
15 menit sebelum dimulai sudah berada di Kelas
Ruang B5 (Jam : SI-8 13:30-15:10, SI-7 16:00-17:40)
Penilaian:
UTS
25%
UAS
45%
Tugas, kuis 10%
Softskill
10%
Kehadiran
10% (>=75%)
Batas nilai akhir fleksibel (sesuai distribusi nilai tiap kelas)
Tidak ada kuis/ tugas/ susulan/ perbaikan/ tambahan
Jika ditemukan indikasi plagiarism dalam tugas, nilai akhir MK ini
adalah E
6
[Review] Aturan Akademik UPI-YPTK
1 SKS =
1. 1 jam interaksi terjadwal (tatap muka di kelas)
2. 1 jam kegiatan terstruktur
(menjawab soal, menyusun
makalah, dll)
3. 1 jam kegiatan mandiri (membaca pustaka, praktikum
mandiri, dll)
Syarat minimum perkuliahan:
1. Dosen harus menyelenggarakan minimal 98%
2. Mahasiswa harus hadir minimal 75%
Pakaian seragam harian:
1.
2.
Tidak memperbolehkan mahasiswa masuk kuliah yang berambut
gondrong, rambut dicat warna dan memakai anting bagi laki-laki,
bagi wanita mengenakanan pakaian ketat/rok diatas lutut.
Bersepatu (bukan sepatu sandal) dan berkaos kaki Kejahatan
akademik (pencontekan, plagiat, pemalsuan) pelanggaran
berat
7
Latar Belakang
1. Sistem Informasi merupakan asset bagi suatu
perusahaan yang bila diterapkan dengan baik
akan
memberikan
kelebihan
untuk
berkompetensi
sekaligus
meningkatkan
kemungkinan bagi kesuksesan suatu usaha
2. Dalam mengimplementasikan sistem informasi
tersebut harus ada suatu tolok ukur untuk
mencegah terjadinya hal-hal di luar rencana
organisasi, dan
3. Agar pengoperasian sistem informasi bisa
dilakukan secara efektif dan efisien.
8
Tujuan Pengukuran Sistem
Informasi
1. Tujuan pengukuran terhadap sistem
informasi
adalah
untuk
meyakinkan
manajemen bahwa apakah kinerja sistem
informasi yang ada pada organisasi nya
sesuai dengan perencanaan dan tujuan
usaha yang dimilikinya.
2. Wujud dari pengukuran tersebut adalah
AUDIT SISTEM
INFORMASI
9
Computers
1. Komputer digunakan untuk mengolah data dan
menyediakan informasi untuk membuat keputusan.
a) Sebelumnya, komputer hanya digunakan oleh
perusahaan besar yang dapat menanggung
biaya membeli komputer dan biaya operasi
komputer.
b) Seiring perkembangan jaman, mikro komputer
dengan paket perangkat lunak menjadikan
setiap orang menggunakannya di kantor dan di
rumah dengan mudah.
10
control and audit of
computers
Costs of
incorrect
decision
making
Organization
al costs of
data loss
Value of
HW,SW,
personnel
Costs of
computer
abuse
Maintenance
of privacy
High costs of
computer
error
Controlled
evolution of
computer
use
ORGANIZATION
Control and audit of
computer-based
information systems
11
Need for Control and Audit of
Computers (1)
1. Organization costs of data loss
Contoh: Hilangnya data yang menyimpan account receivable
pelanggan yang membeli secara kredit di sebuah
department store besar, karena file-nya rusak
2. Incorrect decision making
Data yang tidak benar menyebabkan keputusan yang
diambil tidak tepat bahkan sama sekali salah dan
menyebabkan kerugian organisasi.
3. Cost of computer abuse
a) Hacking, viruses, illegal physical access, abuse of
priviledges
b) Konsekuensi: kerusakan/ pencurian/ modifikasi aset,
pelanggaran privasi, operasional terhambat
12
Need for Control and Audit of
Computers (2)
Value of hardware, software and personnel
Sumber daya organisasi, selain data, adalah hardware,
software dan SDM
Organisasi menginvestasikan multimillion dollar untuk
hardware
Software sangat membantu operasi organisasi. Apabila
rusak atau dicuri maka menyebabkan kerugian finansial
bagi organisasi
SDM selalu menjadi sumber daya paling bernilai.
High cost of computer error
Contoh: komputer untuk memonitor kondisi pasien selama
operasi bedah, mengarahkan peluru, mengendalikan
reaktor nuklir
13
Need for Control and Audit of
Computers (3)
Maintenance of privacy
Kemampuan komputer mengolah data menyebabkan
perubahan ke arah privasi individu (dan organisasi)
Controlled evolution of computer use
Contoh: penelitian penggunaan komputer utk
mendukung perintah dan sistem kendali senjata nuklir
Contoh: haruskah komputer menggantikan tenaga
manusia?
Pemerintah, badan profesi, grup, organisasi dan
individu harus mengevaluasi dan memonitoring
bagaimana kita menerapkan teknologi komputer.
14
Definisi
Audit
Review independen dan pemeriksaan catatan dan kegiatan
untuk menilai kecukupan pengendalian internal, untuk
memastikan kepatuhan terhadap kebijakan yang ditetapkan
dan prosedur operasional, dan merekomendasikan perubahan
yang diperlukan dalam kontrol, kebijakan, atau prosedur.
IT/IS Audit
Proses pengumpulan dan evaluasi bukti-bukti untuk
menentukan apakah sistem komputer aset perlindungan,
memelihara integritas data, memungkinkan tujuan organisasi
dapat dicapai secara efektif dan menggunakan sumber daya
secara efisien.
15
Dampak Audit Sistem Informasi
16
Sasaran Audit
Auditing
ditujukan untuk memastikan business
assurance
bagi
perusahaan,
dengan
memperhitungkan business risk bagi perusahaan.
Dalam peningkatan kecepatan saat ini, transaksi
terjadi antar komputer dari perusahaan-perusahaan
yang berbisnis serta berfrekuensi tinggi, maka mulai
dirasakan perlu untuk menempatkan titik kontrol
yang tepat.
Audit tidak lagi hanya dilakukan pada akhir tahun
buku.
Audit dapat dilakukan bahkan untuk setiap transaksi
dan saat transaksi terjadi.
17
Peran Seorang
Auditor
Untuk menempatkan titik kontrol yang tepat, maka perlu
dilakukan kerjasama dengan pegawai di Departemen
Sistem Informasi. Hal tersebut karena seluruh data
transaksi terjadi dan disimpan dalam server yang dikelola
oleh departemen itu.
Selain itu, Departemen Internal Auditor juga perlu
melakukan business process reengineering, dari langkah
awal yaitu proses penerimaan auditor baru sampai pada
langkah akhir yaitu pemberian pendidikan dan pelatihan
yang dibutuhkan.
Penetapan titik kontrol yang tepat, kerjasama dan business
process reengineering, tidak dapat dilakukan oleh mesin,
sehingga di sinilah peran auditor sebagai manusia dituntut
untuk tetap ada.
18
Landasan Audit Sistem
Informasi
Information
Systems
Management
Traditional
Auditing
Audit Sistem Informasi
Computer
Science
Behavioral
Science
19
Traditional Auditing
1. Membawa
ilmu pengaruh tentang teknik
kendali
internal
(internal
control
techniques)
2. Traditional
auditing: mengumpulkan dan
menilai bukti guna menentukan dan
melaporkan kesesuaian antara aktivitas
ekonomi
3. Metodologi umum untuk pengumpulan dan
evaluasi bukti juga berbasis pada metodologi
audit tradisional (dibahas di pertemuan lain).
20
Management
Sejarah
membuktikan bhw SIberbasis komputer hanya
membawa kehancuran, dan menyebabkan kegagalan
mencapai tujuan organisasi
Setelah beberapa tahun para peneliti sibuk mencari cara yang lebih
baik utk manajemen pengembangan dan implementasi sistem
informasi
Kini beberapa kemajuan telah dicapai di MIS, misal teknik
manajemen
proyek
telah
menyebabkan
suksesnya
pengembangan SI. Dokumentasi, standar, budget, dan
investigasi diterapkan
Perubahan cara pengembangan dan implementasi SI
mempengaruhi audit SI
Misal: analisis/desain berbasis objek, para programmer membuat
program lbh cepat dng sedikit eror dan mudah pemeliharaan
21
problem)
SI terkadang gagal karena desainer tidak menghargai
isu-isu
manusia
implementasi sistem
terkait
pengembangan
dan
Misal: resistensi terhadap SI, user mencoba mensabotase sistem, user
dan designer kurang berkomunikasi karena perbedaan konsep
mengenai domain aplikasi
hrs memahami kondisi yang berkaitan dengan
masalah perilaku, yang akan menyebabkan kegagalan
sistem
Para peneliti menekankan kebutuhan desain sistem
pada tugas-tugas yg dicapai SI (teknik), dan kualitas
kerja pegawainya (sosial) di dalam organisasi.
Auditor
22
Computer Science
Ilmu
komputer menekankan pada pengetahuan
bagaimana membuktikan kebenaran dari perangkat
lunak, membangun sistem komputer yang toleran
pada kegagalan, mendesain sistem operasi yang
aman, dan pengiriman data secara aman melalui
link komunikasi
Pengetahuan-pengetahuan tersebut membawa cara
yang lebih baik untuk asset safeguarding, data
integrity, system effectiveness dan system
efficiency.
23
SI
CobIT (Control Objectives for Information
& Related Technology) adalah panduan
kerja
dalam
pengelolaan
teknologi
informasi.
Disusun
oleh
ISACA
(Information Systems Audit and Control
Association) dan ITGI (IT Governance
Institute)
24
CobIT
COBIT (Control Objectives for Information and related
Technology),
merupakan
salah
satu
metodology yang
memberikan kerangka dasar dalam menciptakan
sebuah Teknologi Informasi yang sesuai dengan
kebutuhan organisasi dengan tetap memperhatikan
faktor – faktor lain yang berpengaruh.
Sebagai model untuk organisasi sistem informasi,
maka COBIT memuat kendali yang sifatnya generik.
25
26