Slide 1

Audit Sistem Informasi (AUSI)1

Perkenalan2H. Sumijan, Ir, M.ScLulus (APSI, Konsep SI, SIM, PTI, Analisis Proses Bisnis)KKKI72210 (2 SKS)08126607355 (sms only)soe@upiyptk.org www.upi-yptk.ac.id/pascasarjana

Tujuan PerkuliahanMahasiswa memahami konsep dan metodologi kontrol dan audit sistem informasi. Mahasiswa juga mengetahui standar yang digunakan dalam proses audit sistem informasi, serta mampu menerapkan prosedur-prosedur yang diperlukan dalam melakukan audit sistem informasi. 3

SilabusKonsep dasar Information System Control and AuditIS Control and Audit general principlesIS Audit Process Standard and Guidelines for IS AuditingKonsep kontrol internalManagement control frameworkApplication control frameworkPerencanaan dan manajemen auditEvidence collection processEvidence evaluation processIT GovernanceSystem and Infrastructure LifecycleIT Service Delivery & SupportProtection of Information assetsBusiness continuity and disaster recovery4

Daftar PustakaInformation System Control and Audit. Ron Weber, 1999.Information System Audit and Assurance. Dube-Gulati, 2005.Cascarino, Richard. Auditors Guide to Information System Auditing. John Wiley & Sons, 2007.CISA Review Manual 2010. Information System Audit and Control Association.5

Kontrak BelajarJadwal:2 SKS: 2 jam kuliah, 1 jam responsi (2 x 45 menit per minggu)14 minggu (16 pertemuan)15 menit sebelum dimulai sudah berada di KelasRuang B5 (Jam : SI-8 13:30-15:10, SI-7 16:00-17:40)Penilaian:UTS25%UAS45%Tugas, kuis10%Softskill10%Kehadiran10% (>=75%)Batas nilai akhir fleksibel (sesuai distribusi nilai tiap kelas)

Tidak ada kuis/ tugas/ susulan/ perbaikan/ tambahanJika ditemukan indikasi plagiarism dalam tugas, nilai akhir MK ini adalah E6

[Review] Aturan Akademik UPI-YPTK1 SKS = 1 jam interaksi terjadwal (tatap muka di kelas)1 jam kegiatan terstruktur (menjawab soal, menyusun makalah, dll)1 jam kegiatan mandiri (membaca pustaka, praktikum mandiri, dll)Syarat minimum perkuliahan:Dosen harus menyelenggarakan minimal 98%Mahasiswa harus hadir minimal 75%Pakaian seragam harian:Tidak memperbolehkan mahasiswa masuk kuliah yang berambut gondrong, rambut dicat warna dan memakai anting bagi laki-laki, bagi wanita mengenakanan pakaian ketat/rok diatas lutut.Bersepatu (bukan sepatu sandal) dan berkaos kaki Kejahatan akademik (pencontekan, plagiat, pemalsuan) pelanggaran berat

7

Latar BelakangSistem Informasi merupakan asset bagi suatu perusahaan yang bila diterapkan dengan baik akan memberikan kelebihan untuk berkompetensi sekaligus meningkatkan kemungkinan bagi kesuksesan suatu usahaDalam mengimplementasikan sistem informasi tersebut harus ada suatu tolok ukur untuk mencegah terjadinya hal-hal di luar rencana organisasi, danAgar pengoperasian sistem informasi bisa dilakukan secara efektif dan efisien.8

Tujuan Pengukuran Sistem InformasiAUDIT SISTEM INFORMASITujuan pengukuran terhadap sistem informasi adalah untuk meyakinkan manajemen bahwa apakah kinerja sistem informasi yang ada pada organisasi nya sesuai dengan perencanaan dan tujuan usaha yang dimilikinya.Wujud dari pengukuran tersebut adalah9

Extensive use of ComputersKomputer digunakan untuk mengolah data dan menyediakan informasi untuk membuat keputusan. Sebelumnya, komputer hanya digunakan oleh perusahaan besar yang dapat menanggung biaya membeli komputer dan biaya operasi komputer.Seiring perkembangan jaman, mikro komputer dengan paket perangkat lunak menjadikan setiap orang menggunakannya di kantor dan di rumah dengan mudah.10

Factors influencing toward control and audit of computersORGANIZATIONControl and audit of computer-based information systems

Organizational costs of data lossCosts of incorrect decision makingCosts of computer abuseValue of HW,SW, personnelHigh costs of computer errorMaintenance of privacyControlled evolution of computer use11

Need for Control and Audit of Computers (1)Organization costs of data lossContoh: Hilangnya data yang menyimpan account receivable pelanggan yang membeli secara kredit di sebuah department store besar, karena file-nya rusakIncorrect decision makingData yang tidak benar menyebabkan keputusan yang diambil tidak tepat bahkan sama sekali salah dan menyebabkan kerugian organisasi.Cost of computer abuseHacking, viruses, illegal physical access, abuse of priviledgesKonsekuensi: kerusakan/ pencurian/ modifikasi aset, pelanggaran privasi, operasional terhambat12

Need for Control and Audit of Computers (2)Value of hardware, software and personnelSumber daya organisasi, selain data, adalah hardware, software dan SDMOrganisasi menginvestasikan multimillion dollar untuk hardwareSoftware sangat membantu operasi organisasi. Apabila rusak atau dicuri maka menyebabkan kerugian finansial bagi organisasiSDM selalu menjadi sumber daya paling bernilai. High cost of computer errorContoh: komputer untuk memonitor kondisi pasien selama operasi bedah, mengarahkan peluru, mengendalikan reaktor nuklir13

Need for Control and Audit of Computers (3)Maintenance of privacyKemampuan komputer mengolah data menyebabkan perubahan ke arah privasi individu (dan organisasi)Controlled evolution of computer useContoh: penelitian penggunaan komputer utk mendukung perintah dan sistem kendali senjata nuklirContoh: haruskah komputer menggantikan tenaga manusia?Pemerintah, badan profesi, grup, organisasi dan individu harus mengevaluasi dan memonitoring bagaimana kita menerapkan teknologi komputer.

14

DefinisiAuditReview independen dan pemeriksaan catatan dan kegiatan untuk menilai kecukupan pengendalian internal, untuk memastikan kepatuhan terhadap kebijakan yang ditetapkan dan prosedur operasional, dan merekomendasikan perubahan yang diperlukan dalam kontrol, kebijakan, atau prosedur. IT/IS AuditProses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer aset perlindungan, memelihara integritas data, memungkinkan tujuan organisasi dapat dicapai secara efektif dan menggunakan sumber daya secara efisien.15

Dampak Audit Sistem Informasi16Safeguarding assets16

Sasaran AuditAuditing ditujukan untuk memastikan business assurance bagi perusahaan, dengan memperhitungkan business risk bagi perusahaan. Dalam peningkatan kecepatan saat ini, transaksi terjadi antar komputer dari perusahaan-perusahaan yang berbisnis serta berfrekuensi tinggi, maka mulai dirasakan perlu untuk menempatkan titik kontrol yang tepat. Audit tidak lagi hanya dilakukan pada akhir tahun buku. Audit dapat dilakukan bahkan untuk setiap transaksi dan saat transaksi terjadi. 17

Peran Seorang AuditorUntuk menempatkan titik kontrol yang tepat, maka perlu dilakukan kerjasama dengan pegawai di Departemen Sistem Informasi. Hal tersebut karena seluruh data transaksi terjadi dan disimpan dalam server yang dikelola oleh departemen itu. Selain itu, Departemen Internal Auditor juga perlu melakukan business process reengineering, dari langkah awal yaitu proses penerimaan auditor baru sampai pada langkah akhir yaitu pemberian pendidikan dan pelatihan yang dibutuhkan. Penetapan titik kontrol yang tepat, kerjasama dan business process reengineering, tidak dapat dilakukan oleh mesin, sehingga di sinilah peran auditor sebagai manusia dituntut untuk tetap ada. 18

Landasan Audit Sistem InformasiAudit Sistem InformasiTraditional AuditingComputer ScienceInformation Systems ManagementBehavioral Science19

Traditional AuditingMembawa ilmu pengaruh tentang teknik kendali internal (internal control techniques)Traditional auditing: mengumpulkan dan menilai bukti guna menentukan dan melaporkan kesesuaian antara aktivitas ekonomiMetodologi umum untuk pengumpulan dan evaluasi bukti juga berbasis pada metodologi audit tradisional (dibahas di pertemuan lain).

20

Information Systems ManagementSejarah membuktikan bhw SIberbasis komputer hanya membawa kehancuran, dan menyebabkan kegagalan mencapai tujuan organisasiSetelah beberapa tahun para peneliti sibuk mencari cara yang lebih baik utk manajemen pengembangan dan implementasi sistem informasiKini beberapa kemajuan telah dicapai di MIS, misal teknik manajemen proyek telah menyebabkan suksesnya pengembangan SI. Dokumentasi, standar, budget, dan investigasi diterapkanPerubahan cara pengembangan dan implementasi SI mempengaruhi audit SIMisal: analisis/desain berbasis objek, para programmer membuat program lbh cepat dng sedikit eror dan mudah pemeliharaan21

Behavioral Science (=people problem)SI terkadang gagal karena desainer tidak menghargai isu-isu manusia terkait pengembangan dan implementasi sistemMisal: resistensi terhadap SI, user mencoba mensabotase sistem, user dan designer kurang berkomunikasi karena perbedaan konsep mengenai domain aplikasiAuditor hrs memahami kondisi yang berkaitan dengan masalah perilaku, yang akan menyebabkan kegagalan sistemPara peneliti menekankan kebutuhan desain sistem pada tugas-tugas yg dicapai SI (teknik), dan kualitas kerja pegawainya (sosial) di dalam organisasi.22

Computer ScienceIlmu komputer menekankan pada pengetahuan bagaimana membuktikan kebenaran dari perangkat lunak, membangun sistem komputer yang toleran pada kegagalan, mendesain sistem operasi yang aman, dan pengiriman data secara aman melalui link komunikasiPengetahuan-pengetahuan tersebut membawa cara yang lebih baik untuk asset safeguarding, data integrity, system effectiveness dan system efficiency. 23

Metodologi Audit SICobIT (Control Objectives for Information & Related Technology) adalah panduan kerja dalam pengelolaan teknologi informasi. Disusun oleh ISACA (Information Systems Audit and Control Association) dan ITGI (IT Governance Institute)24

CobITCOBIT (Control Objectives for Information and related Technology),merupakan salah satu metodology yang memberikan kerangka dasar dalam menciptakan sebuah Teknologi Informasi yang sesuai dengan kebutuhan organisasi dengan tetap memperhatikan faktor faktor lain yang berpengaruh.

Sebagai model untuk organisasi sistem informasi, maka COBIT memuat kendali yang sifatnya generik.25

26