bab 2 tkati

Upload: herareallychuckyshit-whatthevuckbloodyfreak

Post on 29-Feb-2016

6 views

Category:

Documents


0 download

DESCRIPTION

TKATI

TRANSCRIPT

COBIT ver 4.0 Control Objectives for Information and related Technology (COBIT, saat ini edisi ke-4) adalah sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen and pengguna ( user ) untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis.

BAB IIPanduan Audit Sistem Informasi

Pengertian Pengendalian InternalMenurut Ikatan Akuntan Indonesia : Sistem Pengendalian Intern meliputi organisasi, semua metode dan ketentuan terkoordinasi yang dianut suatu perusahaan untuk melindungi asset-nya, mengecek kecermatan dan kehandalan data, meningkatnya efisiensi usaha, dan mendorong ditaatinya kebijakan manajemen yang telah ditentukan.Menurut ISACA (Information System Audit and Control Association) : The policies, procedures, practices, and organizational structure, designed to provide reasonable assurance that business objectives will be achieved and that undesired events will be prevented, or detected and corrected.

Fase 1 : Perencanaan AuditAktivitas perencanaan audit meliputi :Penetapan ruang lingkup dan tujuan audit.Pengorganisasian tim audit.Pemahaman mengenai operasi bisnis klien.Kaji ulang hasil audit sebelumnya.Penyiapan program audit.

Fase 2 : Identifikasi Resiko dan KendaliPenetapan resiko dalam lingkungan audit dimana inherent risk, control risk, dan detection risk dalam sebuah on-line processing, dan networks, serta teknologi maju lainnya akan lebih besar daripada sebuah sistem akuntansi manual. Fase 2 : Identifikasi Resiko dan KendaliJenis jenis resiko :Resiko Bawaan (inherent risks)Potensi kesalahan atau penyalahgunaan yang melekat pada suatu kegiatan jika tidak ada pengendalian intern.Contoh : tidak ada absensi/daftar kehadiran kuliah akan menyebabkan banyak mahasiswa yang tidak disiplin.

Resiko Pengendalian (control risks)Masih adanya resiko walaupun sudah ada pengendalian. Contoh : Ada mahasiswa yang titip absen walaupun sudah ada absensi/daftar kehadiran.Fase 2 : Identifikasi Resiko dan KendaliResiko Deteksi (detection risks)Resiko yang terjadi karena prosedur audit yang dilakukan mungkin tidak dapat mendeteksi adanya error yang cukup materialitas atau adanya kemungkinan fraud.Contoh : sistem pengendalian intern yang tidak baik

Resiko Audit (audit risks)Kombinasi dari resiko bawaan, resiko pengendalian, dan resiko deteksi. Resiko dimana hasil pemeriksaan auditor ternyata belum dapat mencerminkan keadaan yang sesungguhnya.

Preliminary Audit WorkObtaining UnderstandingAssessControl RiskRely on Control ?Test of ControlReassessControl RiskStill rely on Control ?Increase reliance on control ?Limited SubstantiveTestExtended SubstantiveTestForm Audit Opinion &Issue Audit ReportNoYesNoYesYesNoFase 3 : Evaluasi Kendali & Kumpulkan BuktiFase 3 : Evaluasi Kendali & Kumpulkan BuktiLangkah-langkah pengumpulan bukti audit : identifikasi daftar individu untuk direview, mengembangkan instrumen audit dan metodologi pengujian dan pemeriksaan kontrol internal, identifikasi prosedur evaluasi atas tes efektifitas dan efisiensi sistem, evaluasi dokumen, kebijakan dan prosedur yang di-audit.

Fase 4 : Mendokumentasikan Temuan dan mendiskusikan dengan AuditeeAuditor menyiapkan beberapa laporan temuan dan merekomendasikan beberapa usulan yang terkait dengan pemeriksaan yang didukung oleh bukti. Pelaporan Hasil Audit : Siapkan laporan yang objektif, konstruktif, dan menampung penjelasan auditee.

Fase 5 : Laporan Akhir & Presentasi Hasil 3. Jenis-jenis prosedur auditProsedur-prosedur audit :Prosedur untuk memahami berbagai jenis pengendalianPengujian terhadap pengendalianPengujian substantif terhadap transaksiProsedur pengujian analisis

4. Lapisan Pengendali AplikasiLapisan Area FungsionalKeteranganTop Management- Top management harus yakin bahwa TI dikelola dengan baik- Direksi harus bertanggungjawab pada rencana jangka panjang (Bagaimana fungsi TI sekarang dan masa depan)Information Systems Management- Bertanggungjawab atas planning/control kegiatan-kegiatan sistem informasi, - Membantu top management dalam kaitannya dengan kebijakan jangka panjang, serta menjabarkan menjadi short-run goals dan objectives. System Development Management - Bertanggungjawab terhadap rancangan, implementasi dan pemeliharaan sistem aplikasi.Programming Management- Bertanggungjawab atas kegiatan programming.4. Lapisan Pengendali AplikasiLapisan Area FungsionalKeteranganData Administration- Bertanggungjawab atas planning dan control terkait penggunaan data pada organisasi tersebut.Quality Assurance Management- Bertanggungjawab terhadap pengembangan sistem aplikasi yang dilaksanakan telah sesuai dengan standar kualitas yang ditentukan. Security Administration- Bertanggungjawab atas access controls dan physical security fungsi sistem informasi. Operations Management- Bertanggungjawab atas planning dan control atas operasi sehari-hari pusat komputer suatu organisasi.Penggunaan teknologi secara tidak layak.Kesalahan berantai atau pengulangan kesalahan.Logika pemrograman yang salah.Ketidakmampuan sistem analis/desainer dalam menterjemahkan kebutuhan calon pemakai.Konsentrasi data pada satu lokasi atau satu orang.Konsentrasi tanggungjawab pada petugas teknis komputer.Kerusakan sistem komunikasi dapat menyebabkan lumpuhnya operasi perusahaan bila dari awal tidak dipersiapkan sistem cadangan back upData input tidak akurat.5. Resiko Sistem Berbasis KomputerKetidakmampuan mengendalikan teknologi karena terlalu canggih.Praktek pengamanan sistem informasi yang tidak efektif, kurang memadai, bahkan tidak direncanakan dengan baik.Penyalahggunaan data.Akses sistem yang tidak terkendali.Terjadi bencana alam.Akibat sesuatu hal, sistem komputer tidak dapat berfungsi sehingga dapat mengakibatkan operasional perusahaan menjadi terbengkalai.5. Resiko Sistem Berbasis KomputerBeberapa contoh Penyalahgunaan Komputer Hacking yaitu kegiatan orang yang memasuki sistem komputer secara tidak sah atau tidak memiliki otorisasi dan merusak sistem maupun data.Virus yaitu program yang masuk ke dalam sistem tanpa diketahui yang dapat merusak sistem maupun data.Akses fisik yang tidak sah yaitu orang yang secara ilegal melakukan akses secara fisik ke komputer.Perusakan asset (hardware, software, data, fasilitas, dan dokumentasi). Pencurian dan pengubahan asset dan penggunaan asset tanpa ijin.Pelanggaran privasi.(membuka dokumen yang bukan haknya)

Beberapa contoh Penyalahgunaan Komputer