H. Ramlan, S.Kom.,MM.,QIA

H. Ramlan, S.Kom.,MM.,QIA

IT-Audit & Control

Universitas Pasundan

Nata Endah-II Alamanda P-114 TLP : 5413695

Telkom MCC Cisanggarung No.2 022-70712675 081321773591

IT-Audit & Control


AUDITING Proses dimana seseorang yang kompeten dan independen mengumpulkan dan menilai bukti-bukti mengenai informasi yang dapat dikuantifikasi berkaitan dengan suatu entitas ekonomi tertentu dengan tujuan untuk menentukan dan melaporkan mengenai tingkat kesesuaian antara informasi yang dapat dikuantifikasi tersebut dengan kriteria yang telah ditetapkan.

(Arens dan Loebbecke, “Auditing PDE” Anies S.M. Basalamah). TEMUAN :

Kondisi, Kriteria, Akibat, Sebab (Penyebab utama).

JENIS-JENIS AUDIT ¾

o o o o

FINANCIAL AUDIT

OPINI Unqualified (Telah terjadi kerugian yang material). Qualified. (Tidak terjadi kerugian yang material). Disclaimer (Pendapat tidak memberikan pendapat). Adverse (Menolak/ lap. Keuangan tidak sesuai PSAK ).

(Pernyataan Standar Akuntansi Keuangan) ¾ COMPLIANCE AUDIT PATUH / TIDAK PATUH ¾ OPERATIONAL / MANAJEMEN AUDIT ¾ SPESIAL AUDIT / POST AUDIT ¾ AUDIT SISTEM INFORMASI REKOMENDASI

IT-Audit & Control


CONTOH HASIL AUDIT MATRIK MATRIK TEMUAN TEMUAN HASIL HASIL KONFIRMASI KONFIRMASI

OBYEK OBYEK AUDIT AUDIT :: AUDIT AUDIT PENGELOLAAN PENGELOLAAN OPERASIONAL OPERASIONAL TUNGGAKAN TUNGGAKAN LOKASI LOKASI :: PELAYANAN PELAYANAN BANDUNG BANDUNG TIMUR TIMUR PERIOCE PERIOCE :: JANUARI JANUARI –– JUNI JUNI 2008 2008

NO.

1.

KONDISI /TEMUAN

KRITERIA

ANALISA (SEBAB-AKIBAT)

Analisa dan data Total Total kelayakan nasabah tidak tunggakan tunggakan akurat. sampai dengan maksimum Rp. Tingginya bad debt. bulan Juli-2008 500.000.000,- Tunggakan > 3 bln sebesar Rp. (KD No. ..... tidak diberitahu. 623.850.000,2007) Denda belum sepenuhnya dijalankan.

REKOMENDASI AUDITOR

Analisa dan data lebih akurat. Pelaksanaan ketentuan denda perlu dijalankan secara konsisten sesuai dengan KD..... / 2007

IT-Audit & Control


MENGAPA PERLU AUDIT SISTEM INFORMASI ? Mahalnya HW SW dan BW Computer abuse

Mahalnya komputer error

Kesalahan proses ( perhitungan)

Salah membuat keputusan

Privacy Biaya hilangnya data

Evolusi komputer perlu dikendalikan

IT-Audit & Control

H. Ramlan, S.Kom.,MM.,QIA KEJAHATAN KEJAHATAN KOMPUTER KOMPUTER

Setiap kejahatan yang memanfaatkan teknologi komputer atau komputer merupakan objek dari kejahatan tersebut : • Vandalisme atas perangkat komputer/ data. • Pencurian informasi atau fisik • Pemakaian komputer yang tidak sah Pencegahan Pencegahan Kejahatan Kejahatan Komputer Komputer

Modus Modus Operandi Operandi

Pemalsuan Pemalsuan data data input input •• Mengubah Mengubah program program •• Mengubah Mengubah isi isi database database •• Memanfaatkan Memanfaatkan output output •• Perusakan Perusakan dan dan pencurian pencurian

••

Kebijakan Kebijakan yang yang jelas jelas •• Accountig Accountig control control yang yang baik. baik. •• Pengawasan Pengawasan kepada kepada user user •• Peningkatan Peningkatan sangsi sangsi hukum hukum •• Pendidikan Pendidikan mengenai mengenai computer computer security security •• Peningkatan Peningkatan Audit Audit Sistem Sistem Indormasi Indormasi •• Proteksi Proteksi HW HW dan dan SW SW •• Pengamanan Pengamanan telekomunikasi telekomunikasi dan dan fisik fisik •• Peningkatan Peningkatan kebijakan kebijakan pegawai pegawai ••

IT-Audit & Control


TITIK TITIK RAWAN RAWAN KEJAHATAN KEJAHATAN KOMPUTER KOMPUTER

? INTERNET

?

Keamanan : o Sistem (OS) o Network o Aplikasi (db)

?HOST-Y

HOST-X

FAKTOR PENYEBAB : Tingginya kebutuhan layanan Rendahnya kemampuan membayar Adanya penyedia ilegal Keinginan menggunakan yang ilegal Merasa mendapat kepuasan sendiri

?

?

?

?

www.user.com HOST-A

www.sewa.com HOST-B

IT-Audit & Control


CONTOH CONTOH TITIK TITIK RAWAN RAWAN FRAUD FRAUD (KEHILANGAN (KEHILANGAN PENDAPATAN) PENDAPATAN)

PANGGILAN PANGGILAN TELEPON TELEPON

GAGAL GAGAL

BERHASIL BERHASIL

UNRECORDED UNRECORDED

RECORDED RECORDED

UNBILLABLE UNBILLABLE

BILLABLE BILLABLE

UNCOLLECTIBLE UNCOLLECTIBLE

COLLECTIBLE COLLECTIBLE

KREDIT KREDIT

CASH CASH

IT-Audit & Control


Landasan Sistem Informasi Audit Traditional audit

Infoamtion System Management

Information System Audit Computer Science

Behavioral Science

IT-Audit & Control


PENGARUH SISTEM INFORMASI TERHADAP AUDITING Peralihan kesalahan potensial

Alat bukti

Pemisahan fungsi

Motivasi

Konsistensi

AUDITING Akurasi


IT-Audit & Control

Audit Sistem Informasi Information Systems Auditing is a process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently” (Ron Weber) Audit Sistem Informasi adalah proses mengumpulkan dan mengevaluasi bukti untuk menentukan apakah sistem komputer dapat mengamankan asset, menjaga integritas data, mencapai tujuan organisasi secara efektif, dan menggunakan sumber daya secara efisien. (Computer Audit, EDP Audit, IT- Audit, IS-Audit )

IT-Audit & Control H. Ramlan, S.Kom.,MM.,QIA TAHAPAN AUDIT SISTEM INFORMSI & Tahap Pendahuluan : untuk memahami dan mendapatkan

gambaran sistem manual dan komputerisasi yang diterapkan.

& Tahap Detail : berfokus pada dua pengendalian yaitu pengendalian umum dan pengendalian aplikasi.

& Pengujian ketaatan : pengujian ketaatan kepada peraturan dan kebijakan yang berlaku terhadap sistem dan teknologi informasi.

& Pengujian Kendali Kompensasi : pengujian pengendalian diluar pengendalian umum dan aplikasi seperti prosedur atau proses manual.

& Pengujian Substantif : untuk mendapatkan keyakinan secara mendalam atas keandalan pengendalian yang diterapkan untuk melindingi organisasi dari kemungkina kecurangan (mengambil sampel).

& Membuat laporan : membuat laporan hasil audit. & Monitoring tindak lanjut


IT-Audit & Control

Tingkat Kematangan Manajemen Dalam Penerapan Sistem Informasi


IT-Audit & Control

• Non-existent (0) Suatu kondisi dimana perusahaan sama sekali tidak peduli terhadap pentingnya teknologi informasi untuk dikelola secara baik oleh manajemen.

•

Initial / Ad hoc (1)

Suatu kondisi dimana perusahaan secara reaktif melakukan aktivitas dan penerapan teknologi informasi sesuai dengan kebutuhan-kebutuhan yang sifatnya mendadak, tanpa didahului dengan perencanaan sebelumnya. Pada kondisi ini mempunyai karakteristik sebagai berikut : Tidak adanya manajemen proyek dan jaminan kualitas (quality assurance). Tidak adanya mekanisme manajemen perubahan. Tidak ada dokumentasi dan sangat tergantung pada kemampuan individu.

•

Repeatable (2)

Suatu kondisi dimana perusahaan telah memiliki pola yang berulang kali dilakukan dalam melakukan manajemen aktivitas terkait dengan tata kelola teknologi informasi, namun keberadaannya belum terdefinisi secara baik dan formal sehingga masih terjadi ketidak konsistenan.


IT-Audit & Control

Pada kondisi ini mempunyai karakteristik sebagai berikut : Kualitas mulai bergantung pada proses bukan orang. Ada manajemen proyek dan jaminan kualitas (quality assurance) yang sederhana. Ada dokumentasi dan konfigurasi manajemen yang sederhana. Tidak ada manajemen pengetahuan (knowledge management). Tidak ada komitmen untuk selalu mengikuti Siklus hidup pengembangan sistem (System Development Life Cycle/ SDLC). Tidak ada kendali statistik (statistical control) untuk estimasi proyek. Rentan terhadap perubahan struktur organisasi.

Defined (3) Suatu kondisi dimana perusahaan telah memiliki prosedur baku formal dan tertulis yang telah disosialisasikan ke segenap jajaran manajemen dan karyawan untuk dipatuhi dan dikerjakan dalam aktivitas sehari-hari. Pada kondisi ini mempunyai karakteristik sebagai berikut : SDLC sudah dibuat dan dilakukan. Ada komitmen untuk mengikuti SDLC dalam keadaan apapun. Kualitas proses dan produk masih bersifat kuantitatif bukan kualitatif. Tidak menerapkan pembiayaan berbasis aktivitas (Aktivity Bases Costing.). Tidak ada mekanisme umpan balik yang standar.


IT-Audit & Control

• Managed(4) Suatu kondisi dimana perusahaan telah memiliki sejumlah indikator atau ukuran kuantitatif yang dijadikan sebagai sasaran atau target maupun tujuan kinerja setiap penerapan aplikasi teknologi informasi yang ada. Pada kondisi ini mempunyai karakrerik sebagai berikut : Sudah adanya kegiatan berbasis biaya (Activity Based Costing) yang digunakan untuk estimasi proyek berikutnya. Proses penilaian kualitas dan proyek bersifat kuantitatif. Terjadi pemborosan biaya untuk pengumpulan data karena proses pengumpulan data masih dilakukan secara manual. Tidak adanya mekanisme pencegahan terhadap kerusakan. Sudah ada mekanisme umpan balik.

• Optimised (5) Suatu kondisi dimana perusahaan dianggap telah menerapkan manajemen teknologi informasi yang mengacu pada praktek-praktek terbaik (best practice). Pada kondisi ini mempunyai karakteristik sebagai berikut : Pengumpulan data secara otomatis. Adanya mekanisme pencegahan terhadap kerusakan Adanya mekanisme umpan balik yang sangat baik.


IT-Audit & Control

SUMBER DAYA SISTEM INFORMASI

DATA : Didefinisikan dalam pengertian yang paling luas, jadi bukan hanya meliputi angka, teks ataupun tanggal saja, tetapi termasuk juga obyek-obyek lain yang ditampilkan sebagai grafik,suara / bunyi, maupun video. APPLICATION SYSTEMS : Dimaksudkan di sini adalah seluruh prosedur-prosedur baik yang manual maupun yang terprogram. TECHNOLOGY : Mencakup pengertian hardware, systems, network equipment, dan sejenisnya.

operating

FACILITIES : Mencakup sumber daya yang digunakan untuk menampung dan mendukung sistem informasi. PEOPLE : Dimaksudkan sebagai individu yang terampil dan memiliki kemam-puan untuk merencanakan, mengorganisasikan, menghimpun, membagi-kan, mendukung, dan memonitor sistem serta pelayanan informasi.


Effectivnes s Efficiency

KRITERIA INFORMASI Menitikberatkan padaCOBIT sejauh mana efektifitas informasi

dikelola dari data-data yang diproses oleh sistem informasi yang dibangun Menitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh sistem

Confidentiality Integrity

IT-Audit & Control

Menitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis

Menitikberatkan pada integritas data/ informasi dalam sistem

Availability Menitikberatkan pada ketersediaan data/ informasi dalam sistem informasi

Menitikberatkan pada kesesuaian data/informasi dalam sistem

Compliance informasi Reliability

Menitikberatkan pada kemampuan/ ketangguhan sistem informasi dalam pengelolaan data/ informasi

H. Ramlan, S.Kom.,MM.,QIA ALAT DAN TEKNIK AUDIT

Test Tools Media utuk membantu auditor dlm. melakukan teknik pengujian

IT-Audit & Control

Test Techniques Cara proses pengujian dilakukan untuk mencapai tujuan audit

Bentuknya bisa berupa :

Contoh :

- Pedoman, Prosedur (SOP)

Stratifikasi, Analisa Statistik, Klasifikasi data, Rekonsiliasi

- Software (GAS) : ACL, IDEA

IT-Audit & Control


PENDEKATAN AUDIT SISTEM INFORMASI

Around the Computer - - - BLACK BOX Data Data & & Audit Audit Test Test Data Data

Through the Computer TARGET AUDIT

Laporan audit

With the Computer ALAT BANTU


IT-Audit & Control

AUDIT ARROUND THE COMPUTER (AUDIT (AUDIT DISEKITAR DISEKITAR KOMPUTER) Auditor mentrasir balikKOMPUTER) (trace-back) transaksi dari pengolahan komputer, hasil pengolahan komputer (print output) di uji dengna dokumen sumbernya yaitu bukti dasar (input), tanpa melihat proses yang dilakukan oleh komputer (komputer diperlakukan sebagai black-box).

Jejak audit (audit trail) dan sumber dokmen (source document) ke catatan yang dibukukan oleh mesin masih mudah dilihat dan ditelusuri secara visual. Keterbatasan pengetahuan dan keterampilan auditor mengenai taspek teknis komputer. Sistem komputer yang digunakan masih sederhana atau menggunakan software yang umum. Sumber dokumen (source document) yang diperiksa relatif masih sedikit.


IT-Audit & Control

AUDIT THROUGH THE COMPUTER (AUDIT (AUDIT KE KE SISTEM SISTEM KOMPUTER) KOMPUTER) Komputer dijadikan sasaran sebagi target pemeriksaan. Auditor melakukan pemeriksaan ke sistem komputer seperti pemeriksaan terhadap program-program (listing program) dengan menguji logika pemograman dan file-file yang ada dalam sistem komputer. Auditor dapat meminta penjelasan tentang spesifikasi sistem yang sedang dilakukan audit.

Sistem aplikasi komputer yang digunakan untuk memproses input cukup besar, sehingga perlu diteliti keabsahannya. Ketidakmampuan untuk melokalisir source document (sumber dokumen) karena memang rancangan sistem pengarsipan yang digunakan menghendaki demikian. Sistem komputerisasi dan komunikasi sangat kompleks dan memiliki banyak fasilitas pendukung.

IT-Audit & Control H. Ramlan, S.Kom.,MM.,QIA BATCH PARALLEL SIMULATION

REAL DATA

REAL REAL PROGRAM PROGRAM

OUTPUT OUTPUT

Compare REAL DATA

SALINAN SALINAN PROGRAM PROGRAM

OUTPUT OUTPUT

Dokumen yang diperiksa tidak lengkap (tidak memadai). Auditor ingin lebih independen. Perlu dilakukan pengujian atas fle transaksi.

IT-Audit & Control


System Control Audit Riview File (SCARF) Menempelkan software audit pada aplikasi untuk memonitor transaksi secara terus menerus (Embedded Audit Routine) Transaction Transaction File File

Input Input Master Master file file

Update Update program program (SCARF (SCARF embedded embedded audit audit routines) routines) Update Update report report

Output Output Master Master file file

SCARF SCARF SCARF SCARF Reporting Reporting system system Audit Audit report report

1. 1. Auditor Auditor membuat membuat beberapa beberapa kriteria kriteria 2. 2. Audit Audit modul modul ditempelkan ditempelkan di di titik titik kritis kritis aplikasi aplikasi dan dan transakasi transakasi direkam direkam sesuai sesuai kriteria. kriteria. 3. 3. Hasil Hasil monitoring monitoring direkam direkam pada pada file file tertentu tertentu agar agar dapat dapat direview direview oleh oleh auditor. auditor.


IT-Audit & Control

Integrated Test Fasilities (ITF) Memasukkan beberapa data (records) dummy kedalam file transaksi rill (file produksi). Auditor dapat memperoses data dummy secara tersendiri maupun bersamaan. Selanjutnya auditor membandingkan hasil proses sistem dengan hasil proses yang dilaukan auditor menggunakan data dummy.

Virtual Transaction Testing (VTT) Pengujian sistem dilakukan dalam partisi yang berbeda dengan sistem yang diuji. Sebelum dilakukan pengujian, audit mengcopy semua sistem kedalam partisi yang berbeda. Selanjutnya auditor juga membuat database untuk keperluan pengujian. Dengan prosedur ini tidak ada kehawatiran bahwa hasil transaksi pengujian akan tercapur dengan transaksi rutin, sehingga auditor dengan bebas melaukan pengujian.


IT-Audit & Control

AUDIT WITH THE COMPUTER (AUDIT (AUDIT DENGAN DENGAN DUKNGAN DUKNGAN KOMPUTER) KOMPUTER)

Komputer dan software audit digunakan sebagai alat bantu auditor dalam melakukan tugas audit. Audit dengan komputer untuk kegiatan pendukung dan administratif yang sering digunakan. Memproses atau melakukan pengujian langsung terhadap sistem komputer . Menngunakan komputer dan software audit yang terpisah dengan komputer klien (auditee) dengan mengcopy data atau file yang diperlukan untuk pengujian. Sistem aplikasi komputer yang digunakan untuk memproses input cukup besar, sehingga perlu duteliti keabsahannya. SAS (Specialized Audit Software) : Software yang dirancang sendiri oleh auditor sesuai dengan kebutuhan audit. GAS (Generalized Audit Software) : Software yang bersifat umum yang memiliki berbagai fungsi dan dibuat dibuat oleh software house.

H. Ramlan, S.Kom.,MM.,QIA Generalized Audit Software

IT-Audit & Control

Program komputer yang dirancang khusus untuk pengolahan data-data tertentu, terutama yang berkaitan dengan audit. Juga dapat digunakan untuk membantu tugas operasional lainnya. o ACL ( Audit Command language ), IDEA (Interactive Data Extraction & Analysis) dan Pan AUDIT

Kemampuan Kemampuan GAS GAS

Akses Akses data data dari dari berbagai berbagai media, media, struktur struktur dan dan format format data data (download, (download, report report file, file, dan dan Fasilitas Fasilitas ODBC ODBC = = Open Open Database Database Connectivity) Connectivity) •• Ad Ad Hoc Hoc Report Report :: Pelaporan Pelaporan ke ke manajemen manajemen yang yang sifatnya sifatnya sewaktu-waktu sewaktu-waktu atau atau yang yang tidak tidak terakomodasi terakomodasi oleh oleh aplikasi aplikasi yang yang telah telah ada. ada. •• Organisasi Organisasi data data (sort, (sort, klasifikasi, klasifikasi, dan dan ikhtisar ikhtisar data). data). •• Pemilihan Pemilihan dan dan statistik statistik data data (data (data dan dan grafik). grafik). •• Penggabungan Penggabungan dan dan Pembandingan Pembandingan data data (matematis (matematis dan dan fungsi fungsi logika). logika). ••

Keterbatasan Keterbatasan GAS GAS

Hanya Hanya untuk untuk ex-post ex-post auditing auditing (hasil (hasil yang yang lalu), lalu), tidak tidak concurrent concurrent auditing). auditing). Terbatas Terbatas untuk untuk menguji menguji logika logika pemrosesan. pemrosesan. Kesulitan Kesulitan dalam dalam menentukan menentukan kesalahan kesalahan program. program.

Karakteristik GAS : o Mudah digunakan bagi non programmer dan tidak bisa merubah data

o Dapat digunakan untuk data dari berbagai platform


IT-Audit & Control

Good Corporate Governance

Pengambilan keputusan yang efektif besumber dari budaya perusahaan, etika, nilai, sistem, proses bisnis, kebijakan dan struktur organisasi.

Mendorong dan mendukung & Pengembangan perusahaan & Pengelolaan sumberdaya dan resiko secara efektif dan efisien & Pertanggung jawaban perusahaan kepada stakeholder

Transparan, Akuntabilitas, Responsibility, Integritas, dan Fairness Internal Control : Suatu proses yang dijalankan oleh Dewan Komesaris, manajemen, dan personel lain entitas yang didesain untuk memberikan keyakinan memadai kepada : & Keandalan pelaporan keuangan & Efektifitas dan efisiensi operasi & Kepatuhan terhadap hukum dan peraturan yang berlaku.

¾ M e u ¾ ntu mpe M r ya eny k di oleh ng aj ola i tep ika h & nfo at n i di rm se nfo sa asi ca r jik in ra ma an te tep si k rn at rele epa al d isi va da an da n k m ek a n tep epa naj tern at da em al wa pih en kt ak u.


The Committee of Sponsoring Organizations of The Treadway Commission (COSO). (Sept-1992)

AAA = American Accounting Association IIA = Institute of Internal Auditors FEI = Financial Executives International IMA = Institute of Management Accountants AICPA = American Institute of Certified Public Accountants

IT-Audit & Control ¾Memonitor kualitas dan kinerja sistem dan internal control ¾Pengawasan yang langsung oleh atasan ¾Evaluasi yang dilakukan oleh internal auditor

¾Pemisahan tugas yang memadai ¾Otoritas yang semestinya atas transaksi dan aktivitas ¾Dokumen dan catatan yang memadai ¾Pengendalian fisik atau aktiva ¾ Pengendalian umum dan aplikas ¾Pengecekan independen atas kinerja

¾Resiko Bisnis ¾Resiko Operation ¾Resiko Keuangan ¾Resiko Ketaaran ¾Intergritas dan Nilai Etika ¾Kommitmen terhadap Kompetensi ¾Filosofi Manajemen dan Gaya Kepemimpinan ¾Struktur Organisasi ¾Komite Audit ¾Penugasan Wewenang dan tanggung Jawab ¾Kebijakan SDM dan Penerapannya


IT-Audit & Control

PENGENDALIAN INTERNAL TRADISIONAL & Pengorganisasian : suatu struktur yang dibuat untuk menetapkan peran dan tugas setiap individu dalam perusahaan.

& Kebijakan : ketentuan yang mengsyaratkan, mengarahkan atau membatasi tindakan.

& Prosedur : alat untuk melaksanakan kegiatan sesuai dengan kebijakan yang telah ditentukan.

& Personel : setiap personel yang ditugaskan harus memiliki kualifikasi yang diisyaratkan untuk melaksanakan tugas dan tanggung jawab yang diberikan.

& Pencatatan : alat pengendali keuangan yang sangat diperlukan atas kegiatan dan penggunaan seunber daya.


IT-Audit & Control

& Penganggaran : merupakan hasil yang diharapkan dan dinyatakan (menetapkan standar) dalam bentuk angka yang akan dicapai.

& Pelaporan : merupakan dasar yang dipakai manajemen untuk mengambil keputusan.

DEFINISI PENGENDALIAN MENURUT COBIT (Control Objectives for Information and Related Technology) ”Control adalah suatu kebijakan, prosedur, praktek dan struktur organisasi yang diciptakan untuk memberikan keyakinan yang memadai bahwa tujuan organisasi/ perusahaan akan dapat dicapai, dan hal-hal atau kejadian-kejadian yang tidak dikehendaki, dapat dicegah (prevent), dideteksi (detect), atau dikoreksi (correct).” )

Pengendalian Umum (General Control) ) Pengendalian Aplikasi (Application Control)

H. Ramlan, S.Kom.,MM.,QIA & o o o o o

IT-Audit & Control

PREVENTIF Mendeteksi masalah sebelum terjadi Memantau input dan operasi Melakukan prediksi masalah yang mungkin terjadi Mencegah kerusakan dari tindakan kejahatan Pemisahan tugas dan tanggung jawab.

& DETEKTIF Mendeteksi bahwa kesalahan, perubahan atau tindakan yang sudah terjadi serta melaporkannya (mendiskusikan, kalkulasi ulang, internal audit, laporan kinerja sistem, check point dalam rantai produksi). & KOREKTIF o Meminimalisir dampak ancaman o Mengidentifikasi sumber masalah dan memperbaikinya o Mengubah sistem agar dapat meminimalisir dampak.


IT-Audit & Control

& Contoh Preventif : Gunakan software yang sah Terapkan akses “read only” untuk seluruh software Cek software baru dengan antivrus sebelum di install Cek file baru dengan antivirussebelum digunakan. Sosialisasikan tentang bahaya virus. & Contoh Detektif Jalankan software antivirus secara reguler Amati dan bandingkan ukuran file untuk menentukan apakah ada perubahan. Amati dan bandingkan tanggal dan waktu untuk menentukan apakah ada modifikasi software. & Contoh Korektif Yakinkan bahwa backup yang ada selalu “clean” Buat rencana/ dokumentasi untuk mengatasi serangan virus Jalankan antivirus untuk menghilangkan virus.

IT-Audit & Control


Pengendalian Umum (General Control) o Pengendalian organisasi o Pengendalian keamanan komputer. o Pengendalian pengembangan sistem o Pengendalian pemprograman dan operasi o Pengendalian perangkat keras o Pengendalian akses perangkat keras dan data. o Pengendalian dokumentasi sistem Pengendalian Aplikasi (Application Control) Pengendalian Input Pengendalian Proses Pengendalian Output


IT-Audit & Control

PENGENDALIAN ORGANISASI Dalam suatu sistem informasi yang berbasis komputer, pemisahan fungsi dan wewenang tersebut sering dilakukan oleh satu orang yang berfungsi sebagai sistem analis, programmer, operator data entry karena keterbatasan sumber daya manusia dan dengan alasan efisiensi. Dalam suatu sistem informasi yang terintegrasi, perlu dilakukan pemisahan fungsi-fungsi dalam unit sistem informasi seperti sistem analisis programmer, operator komputer, librarian.

IT-Audit & Control H. Ramlan, S.Kom.,MM.,QIA SECURITY MANAGEMENT CONTROL

Hu ma n C apital

Tre a s ury

P ayroll

Ma n ufa ctu ring

Pro cu re-to-P ay

Ord er-to-Ca sh

IT Governance

Business Processes

IT Services PHYSICAL (SDM, HW, Fasilitas, Dokumen, Supplies) terhadap kebakaran, polusi, banjir, gempa, pencurian.

LOGICAL = (Database, Operating System, Application, Network)


IT-Audit & Control

Tujuannya : & Untuk menjamin agar aset sistem informasi tetap aman, baik akses fisik maupun akses non fisik. Tahap-tahapnya : & & & & &

Merencanakan dan menetapkan tujuan, lingkup dan tugas-tugas/ Identifikasi aset (HR, HW,SW, Documentation, Data) Nilai aset (Pengelolaan aset, kehilangan aset dan waktu, umur aset) Perlakukan terhadap aset dan kompetitor. Administrasi, asuransi, spesifikasi sesuai periode waktu tertentu.

& Identifikasi control, evaluasi kemungkinan gagal operasi dan ukur kehilangan hasil. & Pengelolaan laporan.

IT-Audit & Control


CONTOH HASIL AUDIT MATRIK MATRIK TEMUAN TEMUAN HASIL HASIL KONFIRMASI KONFIRMASI

OBYEK OBYEK AUDIT AUDIT :: AUDIT AUDIT PENGELOLAAN PENGELOLAAN SIM SIM TUNGGAKAN TUNGGAKAN LOKASI LOKASI :: ISC ISC BANDUNG BANDUNG PERIOCE PERIOCE :: JANUARI JANUARI –– JUNI JUNI 2008 2008

NO.

KONDISI /TEMUAN

1.

Belum dijalankan Manajemen User-ID dan Password. Fakta : Terdapat 3 user dengan level yang sama (super user)

KRITERIA

(KD No. 11/.../ISC ..... 2007) tentang Manajemen User-ID dan Pasword.

ANALISA (SEBAB-AKIBAT)

REKOMENDASI

Keterbatasan SDM, tinginya pertumbuhan pelanggan. Dapat menimbulkan penyelahgunaan hak akses sampai level super user.

Identifikasi pengguna(User-ID) dan ketentuan Manajemen user ID dan password perlu dijalankan secara konsisten sesuai dengan (KD No. 11/.../ISC ..... 2007)


IT-Audit & Control

SYSTEM DEVELOPMENT MANAGEMENT CONTROL PERAN AUDITOR DALAM PENGEMBANGAN SISTEM : BERPARTISISPASI DALAM PERANCANGAN DAN PENGEMBANGAN SISTEM. EVALUASI ULANG SISTEM YANG TELAH DITERAPKAN. EVALUASI SISTEM PENGENDALIAN YANG ADA. MODEL EVALUASI PENGEMBANGAN SISTEM : 1. PENDEKATAN SIKLUS HIDUP PENGEMBANGAN SISTEM. FEASIBILITY STUDY (PROPOSAL DAN KRITERIA BIAYA) INFORMATION ANALYSIS (USER REQUIREMENT) SYSTEM DESIGN (INTERFACE, FILE ETC). PROGRAM DEVELOPMENT (DESIGNING, CODING, COMPLING, TESTING & DOC ). PROCEDURE & FORM 2. PENDEKATAN DISAIN SOSIAL TEKNIS PENGEMBANGAN SISTEM. BERSAMA-SAMA ANTARA SOSIAL DAN TEKNIS DALAM KORDINASI PENGEMBANGAN SISTEM. 3. PENDEKATAN POLITIK PENGEMBANGAN SISTEM. PENDEKATAN TERHADAP DISTRIBUSI WEWENANG DALAM ORGANISASI. 4. PENDEKATAN SOFT SISTEM PENGEMBANGAN SISTEM. PENDEKATAN TERHADAP PERMASALAHAN YANG ADA. 5. PENDEKATAN PROTOTYPE PENGEMBANGAN SISTEM. PENDEKATAN TERHADAP SOLUSI KETIDAK PASTIAN DALAM DESIGN SISTEM. 6. PENDEKATAN KETIDAK PASTIAN PENGEMBANGAN SISTEM. ADAPTASI UNTUK SILUSI HUBUNGAN ORGANISASI PADA SISTEM YANG SEDANG DIRANCANG (SOCIAL SYSTEM IMPACT, TASK SYSTEM IMPACK, SYSTEM SIZE, COMMUNALITY, REQUIREMENT UNCERTAINTY, TECHNOLOGY UNCERTAINTY).


IT-Audit & Control

TAHAPAN EVALUASI PENGEMBANGAN SISTEM : 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13.

DEFINISIKAN PELUANG ATAU MASALAH. PELUANG YANG ADA DAN PERMASALAH (LAKUKAN SWOT). MANAJEMEN PERUBAHAN PROSES. MANAJEMEN PROYEK DAN PERUBAHAN FASILITAS. MASUKAN DAN PENILAIAN KELAYAKAN. KELAYAKAN TEKNIS, OPERASI DAN EKONOMI. ANALISA SISTEM YANG SEDANG BERJALAN. ORGANISASI, STRUKTUR, BUDAYA, DAN ALUR INFORMASI. RUMUSKAN KEBUTUHAN STRATEGIS. RUMUSKAN TUJUAN YANG DIHARAPKAN.. ORGANISASI DAN RENCANA PEKERJAAN. STRUKTUR ORGSNISASI, STAFFING DAN JOB DESIGN. DESAIN PROSES SISTEM INFORMASI DESAIN REQUIREMENT, DATABASE, PHYSICAL DAN HW/ SW PLATFORM. AKUISISI DAN PENGEMBANGAN S/W APLIKASI PEMENUHAN KECUKUPAN UNTUK PENGEMBANGAN SW APLIKASI. AKUISISI HW & SW SISTEM. PEMENUHAN KECUKUPAN UNTUK PENGEMBANGAN HW/SW SISTEM. PROSDUR PENGEMBANGAN. DESAIN, TEST, IMPLEMENTASI DAN DOKUMENTASI PROSDUR. PENERIMAAN PENGUJIAN. (PROGRAM TEST, SISTEM TEST, USER TEST DAN QUALITY ASSURANCE TEST) KONVERSI KONVERSI DARI SISTEM LAMA KE SISTEM YANG BARU OPERASI DAN PEMELIHARAAN REPAIR, ADAPTIVE AND PERFECTIVE MAINTENANCE


IT-Audit & Control

PROGRAMMING MANAGEMENT CONTROL PLANNING

PROGRAM PROGRAM DEVELOPMENT DEVELOPMENT LIFE-CYCLE LIFE-CYCLE

(PENGELOLAAN SUMBER DAYA TERHADAP DESIGN, IMPLEMENTASI, INTEGRASI, TEST, DAN ORGANISASI). CONTROL (PENGENDALIAN TERHADAP KEASLIAN, AKURASI, KELENGKAPAN). DESIGN (STRUCTURED DESIGN AND OBJECT-ORIENTED DESIGN). CODING (TOP DOWN, BUTTOM UP). TESTING (UNIT TESTING, INTEGRATION TESTING, AND PROGRAM TESTING). OPERATION AND MAINTENANCE (REPAIR MAINTENANCE, ADAPTIVE MAINTENANCE, AND PERFECTIVE MAINTENANCE).


IT-Audit & Control

OPERATION MANAGEMENT CONTROL Memfasilitas hasil sistem aplikasi Mengembangkan SDM yang dapat mendesign, implementasi dan memelihara sistem aplikasi

Fungsinya : & & & & & & & & &

Computer Operation (operation, scheduling & maintenance control) Communication network Data Prepation and entry Production Control (I/O, Job scheduling, SLA) File library (penyimpanan, penggunaan, dan pemeliharaan) Documentation and Program Library Help Desk / Technical Support Capacity Planning and Performance Monitoring Outsourced Operation (Finance, Vendor, Complaince & Cntracy)

IT-Audit & Control H. Ramlan, S.Kom.,MM.,QIA PENGENDALIAN PERANGKAT KERAS & DATA BOUNDARY (STORAGE)

Melindungi program dan data pemograman dan pengolahan data.

PROTECTION

dari

kegiatan

DUAL READ

Pembacaan berulang yang dilakukan pada tape drive dan dilakukan perbandingan.

ECHO CHECK

Pengiriman balik sinyal yang terkirim. Cntoh data yang diketik pada keyboard ditapilkan di monitor

PARITY CHECK

Menambahkan bit ke suatu karakter dan menjumlahkan seluruh bit (positif/negatif) untuk meverifkasi bahwa yang terkirim tak ada yg hilang.

OVERFOW CHECK READ-WRITE SUPPRESSION

Proses pengolahan mengandung perhitungan yang hasilnya terlalu besar atau terlalu kecil sehinga tidak tersimpan di memori komputer. Pengendalian dalam disk drve untuk mencegah membaca atau menulis ke suatu hard disk.


IT-Audit & Control

PENGENDALIAN AKSES PERANGKAT KERAS PASSWORD

ACCESS LOG

ENCRYPTION

AUTOMATIC LOG-OFF

BIOMETRIC TECHNOLOGIES

Pengendalian dengan menggunakan password ( Account locking, Aging, Complexity verification). Pengendalian menggunakan log untuk mencatat semua kegiatan penggunaan sistem.

Pengendalian dengan menggunakan algoritma atau logika tertentu mengacak atau memanifulasi data. Pengendalian yang secara otomatis memutuskan hubungan dengan terminal yang tidak aktif. Pengendalian yang mirip dengan password namun dikaitkan dengan identitas diri seperti sidik jari, telapak tangan, suara dll.


IT-Audit & Control

DATA RESOURCE MANAGEMENT CONTROL Tujuannya : & Sharebility {kemampuan untuk berbagi data kepada pengguna) & Availability (ketersediaan data) : data tersedia kapan saja, dimana saja, dan dalam bentuk apapun. & Evolvability (kemampuan untuk dapat dikembangkan) : dapat dikembangkan dengan mudah sesuai kenutuhan penguna. & Intergrity (keutuhan dan kosistensi data) : keaslian, keakuratan, kelengkapan, dan konsistensi data tetap terjaga.

Fungsinya : & Mendefinisikan, membuat, meredefinisi data. & Membuat database untuk kebutuhan user. & Menginformasikan dan melayani user. & Memelihara integritas data. (Gannguan listrik, kerusakan disk. Kesalahan SW, akses yang tak berhak, atribut, relasi dan basis data )


IT-Audit & Control

NETWORK MANAGEMENT CONTROL Pengendalian jaringan bertujuan untuk menyediakan akses kepada software system yang khusus untuk mengelola dengan fungsi sbb : & & & & & & & & &

Memulai dan menghentikan jaringan dan proses. Memonitor aktivitas jarngan Mengganti nama line komunikasi Men-generate statistic system Men-setting ulang panjangnya antrian Menambah frekwensi backup Menanyakan status system Mengirimkan system warning dan status massage Memeriksa lintasan data pada line komunikasi

IT-Audit & Control H. Ramlan, S.Kom.,MM.,QIA PENGENDALIAN DOKUMEN

o Dokumentasi standar Proses bisnis (flowchart) , spesifikasi teknis ssitem, bukti pengesahan pengembangan sistem. o Dokumentasi sistem Studi kelayakan dan proposal, diagram alir perancangan, penjelasan format input dan output. o Dokumentasi program Diagram alir fungsi program aplikasi, listing program, dan catatan perubahan program, bukti pengesahan program. o Dokumentasi operasi Sistem dan prosedur operasi, manual operation, jadwal penggunaan perangkat dan sdm. o Dokumentasi pemakai Penjelasan otoritas, bagan alir input dan output yang digunakan, user manual dan petunjuk penanganan gangguan.

IT-Audit & Control


Pengendalian INPUT Record Count

Tidak ada 'satu-record-pun' dari 'satu SET penginputan data' yang terlewat !

1/4

2/4

3/4

Total RECORD = 4

4/4

Batch Total

$500 $200

$400

$100$300

2

$600

$150 $50

4

1

3

Batch Total 4 docs = $ 1.500

IT-Audit & Control


Sequence Check

CISA-01 CISA-03 CISA-04 CISA-05

Missing CISA-02

Match with Previous Data Untuk meyakinkan bahwa DATA yang diinput berkorelasi dengan data sebelumnya !

BUDIONO (009) Saldo Awal $ 500

BUDIONO (009) Cicilan $ 125

IT-Audit & Control


Run to Run Control Eksekusi yang diikuti dengan MEDIA-control otomatis ! Tell-stroke Saldo $ 12500 Penarikan terakhir $ 1000

ATM-Bank

CHECK-DIGIT

10002500002 10002500013 10002500024

Rumus : Nilai sepuluh digit pertama / 11, kemudian diambil sisanya !

IT-Audit & Control


Reasonableness (REJECTION) Name

:

Nationality :

Djmaludin Lubis Indonesia Indonesian Australian American

IT-Audit & Control


Calculation Check Digit Kartu dengan nomor :

7365

(5x2)+(6x3)+(3x4)+(7x5)= 10+18+12+35 = 75 75 : 11 = 6, sisa 9 (modulus), 11 – 9 = 2 Tambahkan pada angka 2 diposisi kanan nomor kartu tersebut sebagai cek digitnya, sehingga kartu tersebut menggunakan nomor : 73652 Lakukan seperti langkah 1, sehingga menjadi (2x2)+(5x3)+(6x4)+(3x5)+(7x6) = 4+15+24+15+42 =100, karena 100 habis dibagi 10 maka nomor tersebut valid (sah).


IT-Audit & Control

Algoritma Luhn Check Digit Kartu dengan nomor : 1804-7025-3041-9867

1 x 2 = 2, karena 2 < 9 maka hasilnya tetap 2 0 x 2 = 0, karena 0 < 9 maka hasilnya tetap 0 7 x 2 = 14, karena 14 < 9 maka hasilnya 14 – 9 = 5 2 x 2 = 4, karena 4 < 9 maka hasilnya tetap 4 3 x 2 = 6, karena 6 < 9 maka hasilnya tetap 6 4 x 2 = 8, karena 8 < 9 maka hasilnya tetap 8 9 x 2 = 18, karena 18 < 9 maka hasilnya 18 – 9 = 9 6 x 2 = 12, karena 12 < 9 maka hasilnya 12 – 9 = 3 Jumlah 2 + 0 + 5 + 4 + 6 + 8 + 9 + 3 = 37 Menjumlahkan semua digit pada posisi genap : Jumlah = 8 + 4 + 0 + 5 + 0 + 1 + 8 + 7 = 33 Bila hasil langkah 1 dan langkah 2 dijumlahkan didapat 37 + 33 = 70, karena 70 6175-4982-3534-2013 habis dibagi 10 maka nomor tersebut sah.

7809-6394-5431-2415

Kalikan dengan 2 semua angka pada digit ganjil dan kurangi hasilnya dengan 9 jika lebih dari 9, selanjutnya jumlahkan hasilnya. Digit-digit pada posisi ganjil

IT-Audit & Control


y Pengendalian PROSES o

Diagnostic routine

(Pemeriksaan dan analisa rutin secara dini terhadap kondisi aplikasi)

o

Limit, Reasonableness & Sign test

(Seperti pada pengendalian input).

o

Posting, Crossfooting & Zero Balance Check

(Pengujian dengan membandingkan, menambah dan mengurangi setelah proses)

o

Run to Run Control

(Memverifikasi nilai data dari hasil penjumlahan melalui tahapan pemrosesan)

o

End of File Procedure

(Pengendalian sistem agar tidak berhenti sebelum berakhirnya pemrosesan)

o

Lock-out

(Tidak meng-update secara bersamaan dalam kondisi on-line).

o

Audit Trail

(Menulusuri pemrosesan transaksi)

IT-Audit & Control


y Pengendalian OUTPUT o Storage Control

(Pengendalian dengan pembatasan storage, suhu, keamanan akses)

o

Error Listing

(Daftar kesalahan agar dikendalikan sehingga tidak menggangu operasi)

o

Console Log

(Pengendalian dilakukan untuk mengetahui siapa, apa, kapan dilakukan interupsi).

o

Distribution

(Untuk menjamin bahwa keluaran tersebut diterima oleh yang terotorisasi).

o

User Review

(Melalui user review dapat dilihat status dari hasil pendistribusian laporan tersebut).

o

Destruction Control

(Pemusnahan output agar benar-benar diyakini bahwa output telah dimusnahkan sehingga tidak dimiliki atau dibaca oleh orang yang tak berhak)


IT-Audit & Control

QUALITY ASSURANCE MANAGEMENT CONTROL Memastikan bahwa sistem informasi dari fungsi sistem informasi mencapai tujuan dari mutu tertentu, pengembangan, implementasi, operasi dan pemeliharaan sistem informasi telah sesuai atau memenuhi suatu setandar mutu. Fungsinya : & & & & &

Membangun tujuan/ target kualitas (mutu). Membangun, memformulasikan dan memelihara standar. Memonitor complaince QA standar Memmuat laporan kepada manajemen. Pelatihan QA standar dan prosedur.


IT-Audit & Control

MANAJEMEN AUDIT SISTEM INFORMASI Mempertimbangkan dampak profesional dan perubahan teknologi.

PERENCANAAN : & Jangka Panjang : Merencanakan arah MASI dan menyediakan semua sumber daya yang cukup untuk menghasilkan kegiatan yang efektif dan efisien. & Jangka Pendek : Membantu manajemen dalam mencapai visi dan misi perusahaan sebagai konsultan, mitra manajemen dll.

ORGANISASI : & Menetapkan wewenang dan tanggung jawab auditor SI. & Fungsi auditor sistem informasi dalam organisasi. & Auditor sistem informasi menggunakan sentralisasi atau desentralisasi. & Menetapkan SDM audit sistem informasi


IT-Audit & Control

AKTIVITAS : & Kegiatan individu auditor sistem informasi sesuai tujuan audit sistem informasi secara keseluruhan. & Auditor sistem informasi mampu bersinerji dengan bagian lain diluar auditor sistem informasi. & Kegiatan audit sistem informasi sesuai dengan visi dan misi perusahaan

PENGENDALIAN : & & & &

Keberadaan suatu badan pengendalian. Keberadaan standar kemampuan. Penilaian dan pengujian kemampuan. Keberadaan suatu kode etik.


Terima kasih

IT-Audit & Control

H. Ramlan, S.Kom.,MM.,QIA

Recommend Documents