tugas audit sistem sebelum revisi.ppt
TRANSCRIPT
Pengorganisasian, perencanaan, penyusunan staf, pengaturan dan pengawasan
Pengenalan Standar Audit Berbasis Computer
YuswadiAris SudarmonoMuhajibDwi Purwanto
Padahal sudah 30 tahun sejak negara-negara maju tersebut menetapkan aturan kewajiban IT audit di lembaga-lembaganya
IT audit merupakan hal yang sangat penting dalam implementasi sebuah sistem informasi bagi organisasi yang mengembangkannya.
Terlebih pada saat ini pemanfaatan teknologi/sistem informasi merupakan hal yang sangat penting bagi sebuah organisasi dalam pencapaian tujuan/visi/misi lembaganya. Namun di sisi lain kepentingan tersebut berimbas pada meningkatnya indeks kerawanan dari pengembangan/pembangunan sistem informasi.
Untuk menekan titik-titik rawan tersebut diperlukan seperangkat batasan-batasan dan tolok-ukur (parameter) yang dapat dijadikan dasar dalam melakukan evaluasi terhadap kegiatan pembangunan/pengembangan sistem informasi
Perlukah (Pentingkah) Audit Teknologi Informasi?
Dengan dilakukannya IS audit yang dilakukan secara transparan dan dapat dipertanggungjawabkan hasilnya maka pelaksanaan penerapan teknologi informasi di dalam suatu institusi dapat memberikan hasil terbaiknya serta menyerap investasi yang tepat guna dan berdaya guna.
Perlukah (Pentingkah) Audit Sistem Informasi?
Alasan perusahaan belum melakukan audit IS
perusahaan merasa bahwa IS yang diterapkan masih berperan sebatas support tools, belum menjadi strategic tools
kebijakan dan tujuan-tujuan penerapan IS-nya tidak begitu jelas
nilai investasi IS yang belum dianggap cukup berarti dibandingkan nilai keuangan perusahaan.
banyaknya jargon teknis IS yang sulit dipahami oleh manajemen puncak.
Tujuan Audit Sistem InformasiTujuan Audit Sistem Informasi dapat dikelompokkan
ke dalam dua aspek utama, yaitu: Conformance (Kesesuaian) – Pada kelompok tujuan
ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu : Confidentiality (Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan) dan Compliance (Kepatuhan).
Performance (Kinerja) - Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu : Effectiveness (Efektifitas), Efficiency (Efisiensi), Reliability (Kehandalan).
Keuntungan Audit Menilai keefektifan aktivitas aktifitas dokumentasi
dalam organisasi Memonitor kesesuaian dengan kebijakan, sistem,
prosedur dan undang-undang perusahaan Mengukur tingkat efektifitas dari sistem Mengidentifikasi kelemahan di sistem yang mungkin
mengakibatkan ketidaksesuaian di masa datang Menyediakan informasi untuk proses peningkatan Meningkatkan saling memahami antar departemen
dan antar individu Melaporkan hasil tinjauan dan tindakan berdasarkan
resiko ke Manajemen
Letak Audit Sistem Informasi
Pengelolaan Sistem Informasi
AuditSistem Informasi
Pengembangan Sistem Informasi
Sistem Informasi
1. Standar2. Regulasi3. Praktek4. Aturan
Enam komponen Audit TI/ISEnam komponen Audit :
pendefinisian tujuan perusahaan;penentuan isu, tujuan dan perspektif bisnis antara
penanggung jawab bagian dengan bagian TI; review terhadap pengorganisasian bagian TI yang
meliputi perencanaan proyek, status dan prioritasnya, staffing levels, belanja TI dan IT change process management;
assessment infrastruktur teknologi, assessment aplikasi bisnis;
temuan-temuan, laporan rekomendasi.
Bidang Pekerjaan IT/IS di perusahaan
System AnalystProgrammerAdministrator (Network, system,
database)Support (workshop, maintenance,
helpdesk, dll )Security OfficerAuditor
Siapa yang DiauditManagementIT ManagerIT Specialist (network, database, system
analyst, programmer, dll.)User
Yang Melakukan AuditTergantung Tujuan AuditInternal Audit (first party audit)
Dilakukan oleh atau atas nama perusahaan sendiriBiasanya untuk management review atau tujuan
internal perusahaanLembaga independen di luar perusahaan
Second party auditDilakukan oleh pihak yang memiliki kepentingan thd
perusahaanThird party audit
Dilakukan oleh pihak independen dari luar perusahaan. Misalnya untuk sertifikasi (ISO 9001, BS7799 dll).
Tugas Auditor ITMemastikan sisi-sisi penerapan IT memiliki
kontrol yang diperlukan Memastikan kontrol tersebut diterapkan
dengan baik sesuai yang diharapkan
Yang DilakukanPersiapanReview DokumenPersiapan kegiatan on-site auditMelakukan kegiatan on-site auditPersiapan, persetujuan dan distribusi
laporan auditFollow up audit
Output kegiatan AuditHasil akhir adalah berupa laporan yang berisi:Ruang Lingkup auditMetodologiTemuan-temuanKetidaksesuaian (sifat ketidaksesuaian, bukti2 pendukung, syarat yg tdk dipenuhi, lokasi, tingkat ketidaksesuaian)
Kesimpulan (tingkat kesesuaian dengan kriteria audit, efektifitas implementasi, pemeliharaan dan pengembangan sistem manajemen, rekomendasi)
Ketrampilan yang dibutuhkan Audit skill : sampling, komunikasi,
melakukan interview, mengajukan pertanyaan, mencatat
Generic knowledge : pengetahuan mengenai prinsip2 audit, prosedur dan teknik, sistem manajemen dan dokumen2 referensi, organisasi, peraturan2 yang berlaku
Specific knowledge : background IT/IS, bisnis, specialist technical skill, pengalaman audit sistem manajemen, perundangan
Prinsip-prinsip Audit
Ethical conductBerdasar pada profesionalisme, kejujuran,
integritas, kerahasiaan dan kebijaksanaanFair Presentation
Kewajiban melaporkan secara jujur dan akurat
Due professional careImplementasi dari kesungguhan dan
pertimbangan yang diberikanIndependenceEvidence-base approach
SertifikasiCISA (Certified Information Systems Auditor)CISM (Certified Information Security Manager)CISSP (Certified IS Security Professional)CIA (Certified Internal Auditor)
Kualifikasi :Pengalaman dan pengetahuan untuk mengidentifikasi, mengevaluasi, dan memberikan rekomendasi berupa solusi untuk mengurangi kelemahan sistem IT=> Mengeluarkan sertifikasi untuk personal auditor
Audit Sistem InformasiMeliputi:
Tata kelola teknologi informasi secara menyeluruhAudit pengembangan sistem informasi (SDLC),
satu jenis aplikasi tertentu
Audit Sistem InformasiSebagai audit tersendiri – perlu dilakukan untuk
memeriksa tingkat kematangan atau kesiapan suatu organisasi dalam melakukan pengelolaan teknologi informasi
Level of maturity dapat dilihat dari awareness dari para stake holderKarenanya sebuah penerapan it harus melalui
tahapan perencanaan yang baik.
Kebutuhan Audit Sistem InformasiGeneral Financial Audit
Audit objective sesuai dengan standar akuntansi keuangan
Referensi model adalah COSO (committee of sponsoring Organization)
IT GovernanceAudit operasional terhadap manajemen pengelolaan
sumberdaya informasiAspek-aspek:efektifitas, efesiensi, data integrity, save
guarding asset, reliability, confidentiallity, availability, security.
Audit Sistem Informasi – IT GovernanceSelain dapat dilakukan untuk sistem secara
menyeluruh, dapat juga dilakukan terhadap:General information review
Audit terhadap sistem informasiQuality Assurance
Auditor (bukan anggota tim pengembang), membantu meningkatkan kualitas dari sistem. Auditor mewakili pimpinan proyek.
Postimplementation Audit Apakah sistem perlu dimutakhirkan atau diperbaiki atau
dihentikan. Istilah audit arround dan audit through the computer tidak
berlaku lagi pada audit jenis ini
Flowchart Langkah-Langkah Utama dalam Audit Sistem Informasi
Faktor Penentu Efektivitas Sistem Informasi terdapat sembilan faktor penentu efektivitas sistem informasi yang dapat digunakan
sebagai kerangka pengukuran dan analisis efektivitas sistem informasi, yaitu: System quality, adalah karakteristik internal sistem informasi itu sendiri. Information quality, adalah kualitas dari informasi yang merupakan output dari sebuah
sistem informasi, suatu informasi harus merupakan representasi dari kenyataan. Perceived usefulness, adalah pandangan user mengenai kegunaan sistem informasi,
apabila user memiliki pandangan yang baik mengenai sistem informasi, maka akan meningkatkan penggunaan dan efektivitas sistem informasi.
omputer self-efficacy, adalah keyakinan user bahwa dirinya mampu berperan baik dalam organisasi yang berbasis sistem informasi, berhubungan dengan kemampuan user dalam menggunakan komputer.
Perceived ease of use, adalah pandangan user mengenai seberapa mudah sistem informasi untuk digunakan.
Information system use, adalah tingkat pengunaan sistem informasi dalam suatu organisasi.
Information system satisfaction, adalah tingkat kepuasan user terhadap keberadaan berbagai aspek sistem informasi dalam pekerjaan mereka.
Individual impact, adalah pengaruh sistem informasi terhadap user secara individual. Organizational impact, adalah pengaruh sistem informasi terhadap
organisasi secara keseluruhan.
Evaluasi Efektivitas Sistem Informasi
Evaluasi efektivitas terhadap suatu sistem informasi terdiri dari 6 langkah:Identifikasi tujuan dari sistem informasi.Pilih alat ukur yang akan digunakan.Identifikasi sumber data.Dapatkan keadaan sebelum sistem informasi
diimplementasikan.Dapatkan keadaan setelah sistem informasi
diimplementasikan.Menilai pengaruh dari sistem.
Evaluasi Efektivitas Sistem InformasiIdentifikasi tujuan dari sistem informasi
Tujuan dari sistem informasi umumnya telah ditekankan dengan jelas pada tahap pengembangan software, namun terkadang tujuan ini dibuat dengan salah dan tidak memadai. Pihak lain yang berhubungan dengan sistem informasi pun juga bisa memberi definisi yang berbeda mengenai tujuan dari sistem informasi ini, namun auditor harus mengambil kesimpulan dari masukan-masukan yang ada mengenai tujuan dari sistem informasi untuk melakukan evaluasi tujuan mana yang telah tercapai dan yang belum tercapai.
Pilih alat ukur yang akan digunakan.Auditor harus memiliki alat ukur untuk menentukan sejauh mana tujuan dari sistem informasi telah tercapai, dalam beberapa kasus digunakan kuisioner untuk mendapatkan jawaban satu arah dari user, dalam kasus lain digunakan pengukuran kualitatif melalui wawancara dan observasi.
Evaluasi Efektivitas Sistem InformasiDapatkan keadaan setelah sistem informasi
diimplementasikan.Setelah sistem diimplementasikan, auditor harus mengumpulkan data yang berhubungan dengan pengukuran yang dilakukan untuk mengevaluasi tingkat efektivitas.
Menilai pengaruh dari sistem.Apabila auditor telah memiliki data mengenai keadaan proses bisnis perusahaan sebelum ada sistem dan setelah ada sistem, auditor dapat membandingkan nilai-nilai yang terdapat pada dua hasil pengukuran ini.
Evaluasi Efektivitas Sistem InformasiIdentifikasi sumber data.Setelah memilih alat ukur yang akan digunakan, auditor harus
mengidentifikasi sumber data yang akan digunakan untuk diukur, misalnya adalah berbagai macam user sebagai subyek kuisioner, dalam kasus lain adalah data manufaktur mengenai produktifitas dan tingkat kerusakan barang.
Dapatkan keadaan sebelum sistem informasi diimplementasikan.
Setelah auditor menentukan alat ukur dan mengindentifikasi sumber data untuk melakukan pengukuran, maka auditor harus menentukan keadaan sebelum implementasi dilakukan, sebagai basis pengukuran seberapa besar pengaruh dari sistem informasi terhadap pencapaian tujuan perusahaan. Basis pengukuran ini dapat juga didapatkan saat implementasi sistem informasi dilakukan, akan sulit untuk mendapatkannya apabila sistem telah beroperasi.
Tahapan Audit Sistem InformasiTahapan Perencanaan
Sosialisasi Tujuan Audit SI (ke institusi terkait); waktu, jumlah tim
Guideline; daftar pengecekan berdasarkan framework yang dipilih
Tahap Pengumpulan Bukti Melalui berbagai teknik termasuk survei, interview,
observasi dan review dokumentasi (termasuk source-code) Data dalam bentuk file softcopy Menggunakan CAAT (Computer Aided Auditing Technique)
untuk menganalisa data
Tahap Pendokumentasian Bukti Tahap Pembuatan Laporan Audit
Metode Audit SIGabungan dari berbagai macam ilmu:
Traditional AuditManajemen Sistem InformasiSistem Informasi AkuntansiIlmu KomputerBehavioral ScienceBiasanya menggunakan Computer-Assisted
Audit Tools (CAATs) atau Computer-Assisted Audit Tools and Techniques (CAATTs). CAATTs memungkinkan auditor untuk melakukan audit through the database dan komputer
Teknik Audit SILaksanakan audit sesuai rencana.Gunakan daftar pengecekan untuk
membantu mengarahkan alur audit.Temukan fakta dengan mengajukan
pertanyaan secara sistematik.Cocokkan temuan-temuan fakta dengan
bukti-bukti di lokasi.
Jadwal AuditDipersiapkan agar sesuai dengan lingkup
setiap audit.Mencakup semua aspek pekerjaan dalam
lingkup audiit.Frekuensi audit tergantung pada status
dan kepentingan audiit.Jadwal harus diinformasikan sebelumnya
kepada teraudit.
PROSES AUDIT HARUS MEMILIKI OBYEK YANG JELAS DAN TERUKUR DENGAN TARGET HASIL YANG JUGA
HARUS JELAS DAN TERUKUR
Web Terkait Audit SI/TIhttp://auditti.comhttp://iasii.or.id
FrameworkFramework merupakan sekumpulan perintah/fungsi dasar
yang dapat membantu dalam menyelesaikan proses-proses yang lebih kompleks, menangani berbagai masalah dalam pemrograman seperti koneksi database, pemanggilan variable, dll. Sehingga developer lebih fokus dan lebih cepat membangun aplikasi.
Secara sederhana dapat dijelaskan bahwa framework adalah kumpulan fungsi-fungsi yang sudah ada sehingga programmer tidak perlu lagi membuat fungsi-fungsi (kumpulan library) dari awal, yang tentunya tinggal memanggil kumpulan library tersebut didalam framework.
Fungsi-fungsi standar yang telah tersedia dalam suatu framework adalah fungsi enkripsi, session, security, manipulasi gambar, grafik, validasi, upload, template dan lain-lain.
FrameworkSebenarnya dalam melaksanakan IT/IS Audit
terdapat berbagai tools yang sudah siap digunakan saat ini. Tools tersebut dikembangkan dan distandarisasikan oleh berbagai badan di dunia.
Standard tools tersebut dikembangkan sebagai framework yang disusun berdasarkan best pratices dari hasil riset serta pengalaman bertahun-tahun dalam kegiatan audit TI. Framework tersebut tentunya mengalami penyempurnaan yang berkelanjutan sebagai upaya menciptakan standar yang semakin baik, efektif dan efisien.
Standard Tools/Framework COBIT® (Control Objectives for Information and related
Technology) COSO (Committee of Sponsoring Organisations of the Treadway
Commission) Internal Control—Integrated Framework ISO/IEC 17799:2005 Code of Practice for Information Security
Management FIPS PUB 200 ISO/IEC TR 13335 ISO/IEC 15408:2005/Common Criteria/ITSEC PRINCE2 PMBOK TickIT CMMI TOGAF 8.1 IT Baseline Protection Manual NIST 800-14
COBIT® (Control Objectives for Information and related Technology)
PendahuluanDisusun oleh Information Systems Audit and Control Foundation
(ISACF®) pada tahun 1996. Edisi kedua dari COBIT diterbitkan pada tahun 1998. Pada tahun 2000 dirilis COBIT 3.0 oleh ITGI (Information Technology Governance Institute) dan COBIT 4.0 pada tahun 2005.
Rilis terakhir COBIT 4.1 dirilis pada tahun 2007.COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara dibangun chapter yang dapat mengelola para profesional tersebut.
Target pengguna dari framework COBIT adalah organisasi/perusahaan dari berbagai latar belakang dan para profesional external assurance. Secara manajerial target pengguna COBIT adalah manajer, pengguna dan profesional TI serta pengawas/pengendali profesional.
CCOBIOBIT’s MissionT’s Mission
CCOBIOBIT’s Vision T’s Vision
Melakukan penelitian, pengembangan, publikasi dan promosi terhadap control objective dari teknologi informasi yang secara umum diterima di lingkungan internasional untuk pemakaian sehari-hari oleh manager dan auditor
COBIT: Sebuah kerangka kontrol TI
Sebagai model untuk penguasaan IT
IT Processes
IT Processes
IT Resources
IT Resources
Business Requirements
Business Requirements
Data
Information Systems
Technology
Facilities
Human Resources
Plan and Organise (Perencanaan & Org.)
Acquire and Implement (Pengadaan & Implementasi)
Deliver and Support (Pengantaran & dukungan)
Monitor and Evaluate (Pengawasan &Evaluasi)
Effectiveness(efektifitas) Efficiency (Efisiensi) Confidentiality (Rahasia) Integrity (Integritas) Availability (Ketersediaan) Compliance (Pemenuhan) Information Reliability
(Kehandalan Informasi)
COBIT Framework B
ag
aim
an
a
hu
bu
nan
nya ?
COSO (Committee of Sponsoring Organisations of the Treadway Commission) Internal Control—Integrated Framework
PendahuluanCOSO adalah organisasi swasta yang menyusun Internal Control –
Integrated Network bagi peningkatan kualitas penyampaian laporan keuangan dan pengawasan internal untuknya yang lebih efektif.
Tujuan dari penyusunan framework ini adalah peningkatan sistem pengawasan terpadu untuk pengendalian perusahaan/organisasi dalam beberapan langkah. Hal ini diarahkan untuk memberikan para pemegang kebijakan di organisasi dapat melakukan pengawasan internal dalam pelaksanaan tugas kepada para eksekutif, mencapai laba yang menguntungkan serta mengelola resiko-resiko yang timbul.
Internal Control – Integrated Framework yang disusun oleh COSO diterbitkan pertama kali pada tahun 1992 dan masih diperbarui hingga saat ini. Hingga saat ini COSO maupun organisasi lainnya tidak melakukan/menerbitkan sertifikasi keahlian/profesional bagi framework ini.
Lingkup kriteria informasi COSO Lingkup kriteria informasi yang sering menjadi perhatian dalam
Internal Control – Integrated Framework COSO adalah: Effectiveness Efficiency Confidentiality Integrity Availability Compliance Reliability
Jika dilihat dari lingkup kriteria informasi di atas maka dapat dilihat bahwa komponen-komponen yang menjadi perhatian dalam Internal Control – Integrated Framework COSO identik dengan COBIT.Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi pun dalam Internal Control – Integrated Framework COSO identik dengan COBIT.
ISO/IEC 17799:2005 Code of Practice for Information Security Management
Pendahuluan ISO/IEC 17799:2005 Code of Practice for Information Security Management
adalah standar internasional. Tujuan utama dari penyusunan standar ini adalah penerapan keamanan informasi dalam organisasi. Framework ini diarahkan untuk mengembangkan dan memelihara standar keamanan dan praktek manajemen dalam organisasi untuk meningkatkan ketahanan (reliability) bagi keamanan informasi dalam hubungan antar organisasi.
Dalam framework ini didefinisikan 11 (sebelas) bagian besar yang dibagi dalam 132 (seratus tigapuluh dua) strategi kontrol keamanan. Standar ini lebih menekankan pada pentingnya manajemen resiko dan tidak menuntut penerapan pada setiap komponen tapi dapat memilih pada bagian-bagian yang terkait saja.
Edisi pertama dari ISO/IEC 17799:2005 Code of Practice for Information Security Management diterbitkan pada tahun 2000 dan edisi keduanya terbit pada tahun 2005.Sejak edisi kedua tersebut ISO/IEC 17799:2005 Code of Practice for Information Security Management menjadi standar resmi ISO yang berdampak pada diperlukannya revisi dan pemutakhiran setiap tiga hingga lima tahun sekali.
ISOPada bulan April 2007, ISO memasukkan framework ini ke
dalam ISO 2700x series, Information Security Management System sebagai ISO 27002. Standar tersebut dapat digolongkan dalam best practice termutakhir dalam lingkup sistem manajemen keamanan informasi.
Secara langsung tidak ada sertifikasi untuk ISO/IEC 17799:2005. Namun terdapat sertifikasi yang sesuai dengan ISO/IEC 27001 (BS 7799-2).
Pada standar ini terdapat perbedaan perhatian lingkup kriteria informasi dibandingkan dengan COBIT. Dimana dalam ISO/IEC 17799:2005 tidak memfokuskan pada effectiveness dan efficiency serta hanya memberikan sedikit perhatian pada reliability.Sedangkan pada pengelolaan sumber daya TI dalam ISO/IEC 17799:2005 tidak terlalu memfokuskan pada infrastructure.
Capability Maturity Model Integration® (CMMI)
PendahuluanCapability Maturity Model Integration® (CMMI) adalah
dokumentasi best-practice yang diarahkan sebagai panduan dalam pemberdayaan proses pengembangan teknologi informasi.
Dokumentasi CMMI menyajikan model-model rekayasa sistem (system engineering), produk terpadu, pengembangan proses dan pengelolaan sumber daya dari pihak penyalur (supplier).
CMMI dipublikasikan oleh Software Engineering Institute (SEI) of Carnegie Mellon University. Dimana standar CMMI tersebut secara generik didasarkan pada Capability Maturity Model (CMM).
Tujuan dari panduan dokumentasi CMMI meliputi peningkatan proses dalam membangun produk yang lebih baik yang berbasiskan proses pengembangannya.
CMMI CMMI secara fungsional diterapkan pada kasus-kasus berikut:
Penilaian studi kualitas (assessing) atas proses kematangan (maturity) terkini. Meningkatkan kualitas struktur organisasi dan pemrosesan dengan mengikuti
pendekatan best-practice. Digunakan dalam proses uji-kinerja (benchmarking) dengan organisasi
lainnya. Meningkatkan produktivitas dan menekan resiko proyek. Menekan resiko dalam pengembangan perangkat lunak. Meningkatkan kepuasan pelanggan.
Target pengguna dari CMMI adalah pengembang perangkat lunak (software developer), manajer sistem, program dan perangkat lunak, praktisi dari berbagai latar belakang yang terkait dengan sistem dan perangkat lunak serta pemerintah dan industri yang terkait dengan sistem intensif perangkat lunak.
Versi pertama dari dokumentasi CMMI dipublikasikan pertama kali pada tahun 2002 dan masih terus dimutakhirkan sampai sekarang.
Sertifikasi untuk CMMI diterbitkan oleh beberapa organisasi. Sedangkan process maturity appraisals diproses oleh beberapa organisasi dengan menggunakan standar SEI’s Standard CMMI Appraisal Method for Process Improvement (SCAMPI) or ISO/IEC 15504.