is control and audit general principles - telkom...
TRANSCRIPT
12-C
RS-0
106
REV
ISED
8FE
B 2
013
IS Control and Audit General Principles
CDG4I3 / Audit Sistem Informasi
Angelina Prima K | Gede Ary W.
KK SIDE - 2014
12-C
RS-0
106
REV
ISED
8FE
B 2
013
1
Angelina Prima K | Gede Ary W.
KK SIDE - 2014
12-C
RS-0
106
REV
ISED
8FE
B 2
013
Review
1.Mengapa implementasi IT dalam organisasiperlu dikontrol dan diaudit?
2.Apa dampak audit SI dalam organisasi?
12-C
RS-0
106
REV
ISED
8FE
B 2
013
1.Mengapa implementasi IT dalam organisasiperlu dikontrol dan diaudit?
2.Apa dampak audit SI dalam organisasi?
2
12-C
RS-0
106
REV
ISED
8FE
B 2
013
Definisi Kendali (Control)A Control is a system that prevents, detects, or corectsunlawful events.1. A system : komponen-komponen yang saling berkaitan untuk
mencapai tujuan bersamaEvaluasi terhadap kontrol harus mempertimbangkanketerkaitannya dari perspektif sistem (= IS / organizationperspective)
2. Focus on unlawful events (=kejadian tdk sah/tdk benar).
Unlawful events : unauthorized, inaccurate, incomplete,redundant, ineffective, or inefficient input enters the system
3. Controls are used to prevents, detects, or corects unlawfulevents.
Untuk mengurangi kerugian yang mungkin terjadi karenakemunculan unlawful events dalam sistem.
12-C
RS-0
106
REV
ISED
8FE
B 2
013
A Control is a system that prevents, detects, or corectsunlawful events.1. A system : komponen-komponen yang saling berkaitan untuk
mencapai tujuan bersamaEvaluasi terhadap kontrol harus mempertimbangkanketerkaitannya dari perspektif sistem (= IS / organizationperspective)
2. Focus on unlawful events (=kejadian tdk sah/tdk benar).
Unlawful events : unauthorized, inaccurate, incomplete,redundant, ineffective, or inefficient input enters the system
3. Controls are used to prevents, detects, or corects unlawfulevents.
Untuk mengurangi kerugian yang mungkin terjadi karenakemunculan unlawful events dalam sistem.
3
12-C
RS-0
106
REV
ISED
8FE
B 2
013
Lapisan Kendali
12-C
RS-0
106
REV
ISED
8FE
B 2
013
4
12-C
RS-0
106
REV
ISED
8FE
B 2
013
Contoh Kendali InternalProses Produksi
ProductionManager
FeedbackSignals
Control
FeedbackSignals
12-C
RS-0
106
REV
ISED
8FE
B 2
013
5
RawMaterials
Manager
ProductProduction
ControlSignals
ControlSignals
ENVIRONMENT:Supplier
internalexternal
12-C
RS-0
106
REV
ISED
8FE
B 2
013
ContohKendali Pencegahan (Preventive control) Instruksi ditempatkan pada dokumen dasar (sumber) untuk
mencegah kemungkinan petugas salah dalam mengisi dokumen(out incorrectly).
Kendali Detektif (Detective control) Program dapat mengidentifikasi kesalahan pemasukan data kedalam sistem melalui terminal (alat masukan).
Kendali Koreksi (Corrective control) Program menggunakan kode khusus yang memungkinkan sistem
dapat mengkoreksi kesalahan data akibat gangguan (noise)komunikasi.
12-C
RS-0
106
REV
ISED
8FE
B 2
013
Kendali Pencegahan (Preventive control) Instruksi ditempatkan pada dokumen dasar (sumber) untuk
mencegah kemungkinan petugas salah dalam mengisi dokumen(out incorrectly).
Kendali Detektif (Detective control) Program dapat mengidentifikasi kesalahan pemasukan data kedalam sistem melalui terminal (alat masukan).
Kendali Koreksi (Corrective control) Program menggunakan kode khusus yang memungkinkan sistem
dapat mengkoreksi kesalahan data akibat gangguan (noise)komunikasi.
6
12-C
RS-0
106
REV
ISED
8FE
B 2
013
12-C
RS-0
106
REV
ISED
8FE
B 2
013
7
12-C
RS-0
106
REV
ISED
8FE
B 2
013
Dealing with Complexity
1. Subsystem factoringTujuan membagi-bagi sistem menjadi subsistem adalah untukmemahami sistem dengan lebih mudah sehingga mudah pulamengevaluasinya.
2. Assessing subsystem reliabilityPenilaian dilakukan dari level terendah dan bergerak naiksampai level tertinggi.Identifikasi fungsi-fungsi utama, kejadian-kejadian, dantransaksi-transaksi dalam subsistem untuk menentukancontrols yang diperlukan.
12-C
RS-0
106
REV
ISED
8FE
B 2
013
1. Subsystem factoringTujuan membagi-bagi sistem menjadi subsistem adalah untukmemahami sistem dengan lebih mudah sehingga mudah pulamengevaluasinya.
2. Assessing subsystem reliabilityPenilaian dilakukan dari level terendah dan bergerak naiksampai level tertinggi.Identifikasi fungsi-fungsi utama, kejadian-kejadian, dantransaksi-transaksi dalam subsistem untuk menentukancontrols yang diperlukan.
8
12-C
RS-0
106
REV
ISED
8FE
B 2
013
Subsystems
Level 0 System
12-C
RS-0
106
REV
ISED
8FE
B 2
013
9
Level 2
Level 1 Subsistem
Subsistem Subsistem
Subsistem
Susbsistem Subsistem
12-C
RS-0
106
REV
ISED
8FE
B 2
013
Application subsystem1. Boundary2. Input3. Communication4. Processing5. Database6. Output
Management subsystem1. Top management2. IS management3. System development
management4. Programming management5. Data administration6. QA management7. Security administration8. Operation management
Contoh Subsystem
12-C
RS-0
106
REV
ISED
8FE
B 2
013
Application subsystem1. Boundary2. Input3. Communication4. Processing5. Database6. Output
Management subsystem1. Top management2. IS management3. System development
management4. Programming management5. Data administration6. QA management7. Security administration8. Operation management
10
12-C
RS-0
106
REV
ISED
8FE
B 2
013
Kerangka Kendali Manajemen
Mengendalikan peran topmanagement dalam perencanaan,
organisasi, kepemimpinan, danpengendalian fungsi SI
Mengendalikan peran topmanagement dalam perencanaan,
organisasi, kepemimpinan, danpengendalian fungsi SIMenyediakan perspektif dari berbagai
model proses pengembangan SI yangdapat digunakan sebagai dasarpengumpulan dan evaluasi bukti
Menyediakan perspektif dari berbagaimodel proses pengembangan SI yangdapat digunakan sebagai dasarpengumpulan dan evaluasi buktiTentang fase-fase utama dalam siklus
hidup program dan kontrol-kontrolpenting yang harus diuji dalam setiapfase
Tentang fase-fase utama dalam siklushidup program dan kontrol-kontrolpenting yang harus diuji dalam setiapfaseTentang peran administrator data danbasis data serta kontrol yang harusdiuji dalam fungsi-fungsi yangdilakukannya
Tentang peran administrator data danbasis data serta kontrol yang harusdiuji dalam fungsi-fungsi yangdilakukannyaTentang fungsi-fungsi utamayang harus dilakukan olehmanajemen penjaminankualitas untuk memastikanbahwa pengembangan,implementasi, operasi danpemeliharaan SI sesuaidengan standar kualitas
12-C
RS-0
106
REV
ISED
8FE
B 2
013
11
Tentang fase-fase utama dalam siklushidup program dan kontrol-kontrolpenting yang harus diuji dalam setiapfase
Tentang fase-fase utama dalam siklushidup program dan kontrol-kontrolpenting yang harus diuji dalam setiapfaseTentang peran administrator data danbasis data serta kontrol yang harusdiuji dalam fungsi-fungsi yangdilakukannya
Tentang peran administrator data danbasis data serta kontrol yang harusdiuji dalam fungsi-fungsi yangdilakukannyaTentang fungsi-fungsi utama
yang dilakukan olehadministrator keamananuntuk mengidentifikasiancaman terhadap fungsi SIserta untuk merancang,implementasi, operasi danmerawat kontrol yangmengurangi kerugian yangmungkin ditimbulkannya
Tentang fungsi-fungsi utamayang dilakukan olehadministrator keamananuntuk mengidentifikasiancaman terhadap fungsi SIserta untuk merancang,implementasi, operasi danmerawat kontrol yangmengurangi kerugian yangmungkin ditimbulkannya
Tentang fungsi utama yangdilakukan oleh manajemenoperasi untuk memastikanoperasi harian dari fungsi SIterkendali dengan baik
Tentang fungsi utama yangdilakukan oleh manajemenoperasi untuk memastikanoperasi harian dari fungsi SIterkendali dengan baik
Tentang fungsi-fungsi utamayang harus dilakukan olehmanajemen penjaminankualitas untuk memastikanbahwa pengembangan,implementasi, operasi danpemeliharaan SI sesuaidengan standar kualitas
Tentang fungsi-fungsi utamayang harus dilakukan olehmanajemen penjaminankualitas untuk memastikanbahwa pengembangan,implementasi, operasi danpemeliharaan SI sesuaidengan standar kualitas
12-C
RS-0
106
REV
ISED
8FE
B 2
013
Kerangka Kendali Aplikasi
Sub-sistemAplikasi
Penjelasan
Batasan(Boundary)
Berupa komponen yang menetapkan hubungan (batasan)antara user dan sistem.
Input Berupa komponen yang menangkap (capture), menyiapkan,dan memasukan perintah dan data kedalam sistem.
Communication
Berupa komponen yang mengirimkan data antar sub-sistemdan sistem.
12-C
RS-0
106
REV
ISED
8FE
B 2
013
Communication
Berupa komponen yang mengirimkan data antar sub-sistemdan sistem.
Processing Berupa komponen yang melaksanakan (memproses)pengambilan keputusan, perhitungan, klasifikasi,pemesanan, peringkasan data dalam sistem.
Database Berupa komponen yang mendefinisikan, menambah,mengakses,memodifikasi, dan menghapus data dalamsistem.
Output Berupa komponen yang mengambil dan mempresentasikandata untuk user dari sistem.
12
12-C
RS-0
106
REV
ISED
8FE
B 2
013
Tujuan Pengendalian Internal1. Memeriksa ketelitian dan kebenaran data yang akan
menghasilkan laporan-laporan yang dapat diandalkan2. Efektivitas dan efisiensi dalam operasi, yaitu efektif
dalam mencapai tujuan organisasi secara keseluruhandan efisien dalam pemakaian sumberdaya yang tersedia
3. Membantu agar tidak terjadi penyimpangan terhadaphukum dan peraturan yang berlaku
4. Mengamankan aset milik organisasi atau perusahaantermasuk data yang tersedia.
12-C
RS-0
106
REV
ISED
8FE
B 2
013
1. Memeriksa ketelitian dan kebenaran data yang akanmenghasilkan laporan-laporan yang dapat diandalkan
2. Efektivitas dan efisiensi dalam operasi, yaitu efektifdalam mencapai tujuan organisasi secara keseluruhandan efisien dalam pemakaian sumberdaya yang tersedia
3. Membantu agar tidak terjadi penyimpangan terhadaphukum dan peraturan yang berlaku
4. Mengamankan aset milik organisasi atau perusahaantermasuk data yang tersedia.
13
12-C
RS-0
106
REV
ISED
8FE
B 2
013
Tugas AuditorAuditor internal dan/atau eksternal
Memahami kendali-kendaliinternal organisasi (atausistem informasi), sehinggapaham bukti2 apa yg harusnyadikumpulkan, dan bagaimanamengevaluasi bukti2 tsb.
Kemudian, auditor akan memberikanrekomendasi kepada organisasi.
Hello,I’m Auditor
12-C
RS-0
106
REV
ISED
8FE
B 2
013
Auditor internal dan/atau eksternal
Memahami kendali-kendaliinternal organisasi (atausistem informasi), sehinggapaham bukti2 apa yg harusnyadikumpulkan, dan bagaimanamengevaluasi bukti2 tsb.
Kemudian, auditor akan memberikanrekomendasi kepada organisasi.
14
12-C
RS-0
106
REV
ISED
8FE
B 2
013
Maj
or S
tep
s in
an
IS
Au
dit
12-C
RS-0
106
REV
ISED
8FE
B 2
013
Maj
or S
tep
s in
an
IS
Au
dit
15
12-C
RS-0
106
REV
ISED
8FE
B 2
013
Major Steps in an Audit
1. Planning the audit: auditor menetapkan pemahaman kendaliinternal yang digunakan dlm organisasi
2. Test of controls: auditor menguji kendali untuk mengevaluasiefektivitas operasi
3. Test of transactions: auditor menguji transaksi untukmenentukan dimana kerugian material terjadi (atau mungkinterjadi), kemudian mengevaluasinya
4. Test of balance or overall result: auditor mencari buktiuntuk menilai kerugian yang terjadi atau mungkin terjadi
5. Completion of the audit: auditor memberi pendapat tentangperbaikan yang mungkin dilakukan berdasarkan bukti yangdiperoleh.
12-C
RS-0
106
REV
ISED
8FE
B 2
013
1. Planning the audit: auditor menetapkan pemahaman kendaliinternal yang digunakan dlm organisasi
2. Test of controls: auditor menguji kendali untuk mengevaluasiefektivitas operasi
3. Test of transactions: auditor menguji transaksi untukmenentukan dimana kerugian material terjadi (atau mungkinterjadi), kemudian mengevaluasinya
4. Test of balance or overall result: auditor mencari buktiuntuk menilai kerugian yang terjadi atau mungkin terjadi
5. Completion of the audit: auditor memberi pendapat tentangperbaikan yang mungkin dilakukan berdasarkan bukti yangdiperoleh.
16
12-C
RS-0
106
REV
ISED
8FE
B 2
013
Audit Risks
Selama proses audit, terdapat beberapa resikoyg mengakibatkan prosedur audit gagal
Resiko tsb:1. Inherent risk: resiko terselubung2. Control risk: audit sistem informasi tidak dapat
mendeteksi kelemahan kendali3. Detection risk: audit gagal mendeteksi kerugian
12-C
RS-0
106
REV
ISED
8FE
B 2
013
Selama proses audit, terdapat beberapa resikoyg mengakibatkan prosedur audit gagal
Resiko tsb:1. Inherent risk: resiko terselubung2. Control risk: audit sistem informasi tidak dapat
mendeteksi kelemahan kendali3. Detection risk: audit gagal mendeteksi kerugian
17
12-C
RS-0
106
REV
ISED
8FE
B 2
013
Auditing around or through computer?• Auditor dapat melakukan audit around computer, jika:– Sistemnya sederhana dan batch-oriented– Sistem aplikasi menggunakan paket umum sesuai platform– Sistem menekankan peran perlindungan aset, pengelolaan
integritas data, serta pencapaian tujuan efektivitas dan efisiensipada pengguna, bukan komputer
• Auditor dapat melakukan audit through computer, jika:– Inherent risk yang berkaitan dengan aplikasi tinggi– Input dan output aplikasi besar dan sulit diukur validitasnya– Bagian penting dari kontrol internal sistem berada di aplikasi– Proses logik dalam aplikasi cukup kompleks
12-C
RS-0
106
REV
ISED
8FE
B 2
013
• Auditor dapat melakukan audit around computer, jika:– Sistemnya sederhana dan batch-oriented– Sistem aplikasi menggunakan paket umum sesuai platform– Sistem menekankan peran perlindungan aset, pengelolaan
integritas data, serta pencapaian tujuan efektivitas dan efisiensipada pengguna, bukan komputer
• Auditor dapat melakukan audit through computer, jika:– Inherent risk yang berkaitan dengan aplikasi tinggi– Input dan output aplikasi besar dan sulit diukur validitasnya– Bagian penting dari kontrol internal sistem berada di aplikasi– Proses logik dalam aplikasi cukup kompleks
18
12-C
RS-0
106
REV
ISED
8FE
B 2
013
Dua pendekatan pengendalian internal1. Pendekatan statis
– Berdasarkan pembagian wewenang di dalam pengelolaanperusahaan atau entitas pada masa lalu yg bersifat sentralisasi.
– Jika kita telusuri bahwa intelektualitas berada pada pucukpimpinan perusahaan. Semakin rendah posisi seseorang, makasemakin sedikit pengetahuannya ttg pencapaian tujuanperusahaan, artinya hanya sekedar menjalankan perintahatasannya.
2. Pendekatan dinamis– Pengendalian internal sebagai sebuah proses– Konsep ini terkait dg perkembangan metoda pengelolaan
sumber daya manusia pada organisasi yg bersangkutan.– Perubahan metoda pengelolaan tersebut adalah perubahan ke
metoda pengelolaan manajemen melalui tujuan (managementby objective) menggantikan manajemen melalui kekuasaan(management by drive).
12-C
RS-0
106
REV
ISED
8FE
B 2
013
1. Pendekatan statis– Berdasarkan pembagian wewenang di dalam pengelolaan
perusahaan atau entitas pada masa lalu yg bersifat sentralisasi.– Jika kita telusuri bahwa intelektualitas berada pada pucuk
pimpinan perusahaan. Semakin rendah posisi seseorang, makasemakin sedikit pengetahuannya ttg pencapaian tujuanperusahaan, artinya hanya sekedar menjalankan perintahatasannya.
2. Pendekatan dinamis– Pengendalian internal sebagai sebuah proses– Konsep ini terkait dg perkembangan metoda pengelolaan
sumber daya manusia pada organisasi yg bersangkutan.– Perubahan metoda pengelolaan tersebut adalah perubahan ke
metoda pengelolaan manajemen melalui tujuan (managementby objective) menggantikan manajemen melalui kekuasaan(management by drive).
19
12-C
RS-0
106
REV
ISED
8FE
B 2
013
Pendekatan Dinamis• Didorong oleh peningkatan kualitas SDM, spesialisasi dpt
meningkatkan kinerja seseorang, kepuasan kerja dptmeningkatkan produktivitas, serta bahwa persaingan makinketat, perlu keputusan yang cepat.
• Konsep pengendalian internal juga mengalami perubahan darikonsep ketersediaan pengendalian internal beralih kekonsep proses pencapaian tujuan.
• Dg konsep baru tersebut disadari bahwa intelektualitas tidaklagi terletak pada pucuk pimpinan, tetapi di lapisan bawah.Mereka yg dekat dengan konsumenlah yang paling mengertikebutuhan pasar.
• Pengorganisasian yg paling tepat adalah seperti orkessimponi (pekerja sebagai ujung tombak dengan spesialisasimasing-masing, manajer sebagai konduktor)
12-C
RS-0
106
REV
ISED
8FE
B 2
013
• Didorong oleh peningkatan kualitas SDM, spesialisasi dptmeningkatkan kinerja seseorang, kepuasan kerja dptmeningkatkan produktivitas, serta bahwa persaingan makinketat, perlu keputusan yang cepat.
• Konsep pengendalian internal juga mengalami perubahan darikonsep ketersediaan pengendalian internal beralih kekonsep proses pencapaian tujuan.
• Dg konsep baru tersebut disadari bahwa intelektualitas tidaklagi terletak pada pucuk pimpinan, tetapi di lapisan bawah.Mereka yg dekat dengan konsumenlah yang paling mengertikebutuhan pasar.
• Pengorganisasian yg paling tepat adalah seperti orkessimponi (pekerja sebagai ujung tombak dengan spesialisasimasing-masing, manajer sebagai konduktor)
20
12-C
RS-0
106
REV
ISED
8FE
B 2
013
Pengaruh Komputer dalamPengendalian
1. Perubahan dalam Pengumpulan fakta (Changes toEvidence Collection)
2. Perubahan dalam Evaluasi Fakta (Changes to EvidenceEvaluation)
12-C
RS-0
106
REV
ISED
8FE
B 2
013
1. Perubahan dalam Pengumpulan fakta (Changes toEvidence Collection)
2. Perubahan dalam Evaluasi Fakta (Changes to EvidenceEvaluation)
21
12-C
RS-0
106
REV
ISED
8FE
B 2
013
Pengaruh Komputer dalam PengendalianInternal
Tujuan audit SI dapat dicapai dengan baik jika manajemenmeningkatkan sistem kendali internalnya, yaitu dengan:1. Separation of Duties2. Delegation of Authority and Responsibility3. Competent and Trustworthy Personnel4. System of Authorizations5. Adequate Documents and Records6. Physical Control over Assets and Records7. Adequate Management Supervision8. Independent Checks on Performance9. Comparing Recorded Accountability with Assets
12-C
RS-0
106
REV
ISED
8FE
B 2
013
Tujuan audit SI dapat dicapai dengan baik jika manajemenmeningkatkan sistem kendali internalnya, yaitu dengan:1. Separation of Duties2. Delegation of Authority and Responsibility3. Competent and Trustworthy Personnel4. System of Authorizations5. Adequate Documents and Records6. Physical Control over Assets and Records7. Adequate Management Supervision8. Independent Checks on Performance9. Comparing Recorded Accountability with Assets
22
12-C
RS-0
106
REV
ISED
8FE
B 2
013
Cooperation of public auditors (#1)The Information Technology Security EvaluationCriteria (ITSEC): sekumpulan kriteria untuk mengevaluasi keamanankomputer dalam produk dan sistem
Trusted Computer System Evaluation Criteria(TCSEC): standar US DoD (Department of Defense) berupa sekumpulanrequirements untuk menilai efektivitas kontrol keamanan komputer dalamsistem
ISO 17799: terdiri atas ISO17799 (aka ISO 27002), yang merupakansekumpulan kontrol keamanan (a code of practice), dan ISO 27001 (dahuluBS7799-2), yang merupakan spesifikasi standar untuk Information SecurityManagement System (ISMS).
CISA/Certified Information Systems Auditor: sertifikasiIT
12-C
RS-0
106
REV
ISED
8FE
B 2
013
The Information Technology Security EvaluationCriteria (ITSEC): sekumpulan kriteria untuk mengevaluasi keamanankomputer dalam produk dan sistem
Trusted Computer System Evaluation Criteria(TCSEC): standar US DoD (Department of Defense) berupa sekumpulanrequirements untuk menilai efektivitas kontrol keamanan komputer dalamsistem
ISO 17799: terdiri atas ISO17799 (aka ISO 27002), yang merupakansekumpulan kontrol keamanan (a code of practice), dan ISO 27001 (dahuluBS7799-2), yang merupakan spesifikasi standar untuk Information SecurityManagement System (ISMS).
CISA/Certified Information Systems Auditor: sertifikasiIT
23
12-C
RS-0
106
REV
ISED
8FE
B 2
013
Cooperation of public auditors-2Control Objectives for Information and relatedTechnology (COBIT): sekumpulan best practices (framework) untukmanajemen IT, berupa sekumpulan ukuran, indikator, proses dan best practivesuntuk memaksimalkan manfaat penggunaan IT, dan melakukan tata kelola sertakontrol IT dalam perusahaan
Information Technology Infrastructure Library (ITIL):sekumpulan konsep dan praktek Information Technology Services Management(ITSM), pengembangan Information Technology (IT) dan operasi IT.
Committee of Sponsoring Organizations of the TreadwayCommission, atau disingkat COSO, adalah suatu inisiatif untukmengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan keuangandan membuat rekomendasi untuk mengurangi kejadian tersebut. COSO telahmenyusun suatu definisi umum untuk pengendalian, standar, dan kriteria internalyang dapat digunakan perusahaan untuk menilai sistem pengendalian mereka.
12-C
RS-0
106
REV
ISED
8FE
B 2
013
Control Objectives for Information and relatedTechnology (COBIT): sekumpulan best practices (framework) untukmanajemen IT, berupa sekumpulan ukuran, indikator, proses dan best practivesuntuk memaksimalkan manfaat penggunaan IT, dan melakukan tata kelola sertakontrol IT dalam perusahaan
Information Technology Infrastructure Library (ITIL):sekumpulan konsep dan praktek Information Technology Services Management(ITSM), pengembangan Information Technology (IT) dan operasi IT.
Committee of Sponsoring Organizations of the TreadwayCommission, atau disingkat COSO, adalah suatu inisiatif untukmengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan keuangandan membuat rekomendasi untuk mengurangi kejadian tersebut. COSO telahmenyusun suatu definisi umum untuk pengendalian, standar, dan kriteria internalyang dapat digunakan perusahaan untuk menilai sistem pengendalian mereka.
24
12-C
RS-0
106
REV
ISED
8FE
B 2
013
12-C
RS-0
106
REV
ISED
8FE
B 2
013THANK YOU
25