H. Ramlan, S.Kom.,MM.,QIA
IT-Audit & Control
Universitas Pasundan
Nata Endah-II Alamanda P-114 TLP : 5413695
Telkom MCC Cisanggarung No.2 022-70712675 081321773591
IT-Audit & Control
H. Ramlan, S.Kom.,MM.,QIA
AUDITING Proses dimana seseorang yang kompeten dan independen mengumpulkan dan menilai bukti-bukti mengenai informasi yang dapat dikuantifikasi berkaitan dengan suatu entitas ekonomi tertentu dengan tujuan untuk menentukan dan melaporkan mengenai tingkat kesesuaian antara informasi yang dapat dikuantifikasi tersebut dengan kriteria yang telah ditetapkan.
(Arens dan Loebbecke, “Auditing PDE” Anies S.M. Basalamah). TEMUAN :
Kondisi, Kriteria, Akibat, Sebab (Penyebab utama).
JENIS-JENIS AUDIT ¾
o o o o
FINANCIAL AUDIT
OPINI Unqualified (Telah terjadi kerugian yang material). Qualified. (Tidak terjadi kerugian yang material). Disclaimer (Pendapat tidak memberikan pendapat). Adverse (Menolak/ lap. Keuangan tidak sesuai PSAK ).
(Pernyataan Standar Akuntansi Keuangan) ¾ COMPLIANCE AUDIT PATUH / TIDAK PATUH ¾ OPERATIONAL / MANAJEMEN AUDIT ¾ SPESIAL AUDIT / POST AUDIT ¾ AUDIT SISTEM INFORMASI REKOMENDASI
IT-Audit & Control
H. Ramlan, S.Kom.,MM.,QIA
CONTOH HASIL AUDIT MATRIK MATRIK TEMUAN TEMUAN HASIL HASIL KONFIRMASI KONFIRMASI
OBYEK OBYEK AUDIT AUDIT :: AUDIT AUDIT PENGELOLAAN PENGELOLAAN OPERASIONAL OPERASIONAL TUNGGAKAN TUNGGAKAN LOKASI LOKASI :: PELAYANAN PELAYANAN BANDUNG BANDUNG TIMUR TIMUR PERIOCE PERIOCE :: JANUARI JANUARI –– JUNI JUNI 2008 2008
NO.
1.
KONDISI /TEMUAN
KRITERIA
ANALISA (SEBAB-AKIBAT)
Analisa dan data Total Total kelayakan nasabah tidak tunggakan tunggakan akurat. sampai dengan maksimum Rp. Tingginya bad debt. bulan Juli-2008 500.000.000,- Tunggakan > 3 bln sebesar Rp. (KD No. ..... tidak diberitahu. 623.850.000,2007) Denda belum sepenuhnya dijalankan.
REKOMENDASI AUDITOR
Analisa dan data lebih akurat. Pelaksanaan ketentuan denda perlu dijalankan secara konsisten sesuai dengan KD..... / 2007
IT-Audit & Control
H. Ramlan, S.Kom.,MM.,QIA
MENGAPA PERLU AUDIT SISTEM INFORMASI ? Mahalnya HW SW dan BW Computer abuse
Mahalnya komputer error
Kesalahan proses ( perhitungan)
Salah membuat keputusan
Privacy Biaya hilangnya data
Evolusi komputer perlu dikendalikan
IT-Audit & Control
H. Ramlan, S.Kom.,MM.,QIA KEJAHATAN KEJAHATAN KOMPUTER KOMPUTER
Setiap kejahatan yang memanfaatkan teknologi komputer atau komputer merupakan objek dari kejahatan tersebut : • Vandalisme atas perangkat komputer/ data. • Pencurian informasi atau fisik • Pemakaian komputer yang tidak sah Pencegahan Pencegahan Kejahatan Kejahatan Komputer Komputer
Modus Modus Operandi Operandi
Pemalsuan Pemalsuan data data input input •• Mengubah Mengubah program program •• Mengubah Mengubah isi isi database database •• Memanfaatkan Memanfaatkan output output •• Perusakan Perusakan dan dan pencurian pencurian
••
Kebijakan Kebijakan yang yang jelas jelas •• Accountig Accountig control control yang yang baik. baik. •• Pengawasan Pengawasan kepada kepada user user •• Peningkatan Peningkatan sangsi sangsi hukum hukum •• Pendidikan Pendidikan mengenai mengenai computer computer security security •• Peningkatan Peningkatan Audit Audit Sistem Sistem Indormasi Indormasi •• Proteksi Proteksi HW HW dan dan SW SW •• Pengamanan Pengamanan telekomunikasi telekomunikasi dan dan fisik fisik •• Peningkatan Peningkatan kebijakan kebijakan pegawai pegawai ••
IT-Audit & Control
H. Ramlan, S.Kom.,MM.,QIA
TITIK TITIK RAWAN RAWAN KEJAHATAN KEJAHATAN KOMPUTER KOMPUTER
? INTERNET
?
Keamanan : o Sistem (OS) o Network o Aplikasi (db)
?HOST-Y
HOST-X
FAKTOR PENYEBAB : Tingginya kebutuhan layanan Rendahnya kemampuan membayar Adanya penyedia ilegal Keinginan menggunakan yang ilegal Merasa mendapat kepuasan sendiri
?
?
?
?
www.user.com HOST-A
www.sewa.com HOST-B
IT-Audit & Control
H. Ramlan, S.Kom.,MM.,QIA
CONTOH CONTOH TITIK TITIK RAWAN RAWAN FRAUD FRAUD (KEHILANGAN (KEHILANGAN PENDAPATAN) PENDAPATAN)
PANGGILAN PANGGILAN TELEPON TELEPON
GAGAL GAGAL
BERHASIL BERHASIL
UNRECORDED UNRECORDED
RECORDED RECORDED
UNBILLABLE UNBILLABLE
BILLABLE BILLABLE
UNCOLLECTIBLE UNCOLLECTIBLE
COLLECTIBLE COLLECTIBLE
KREDIT KREDIT
CASH CASH
IT-Audit & Control
H. Ramlan, S.Kom.,MM.,QIA
Landasan Sistem Informasi Audit Traditional audit
Infoamtion System Management
Information System Audit Computer Science
Behavioral Science
IT-Audit & Control
H. Ramlan, S.Kom.,MM.,QIA
PENGARUH SISTEM INFORMASI TERHADAP AUDITING Peralihan kesalahan potensial
Alat bukti
Pemisahan fungsi
Motivasi
Konsistensi
AUDITING Akurasi
H. Ramlan, S.Kom.,MM.,QIA
IT-Audit & Control
Audit Sistem Informasi Information Systems Auditing is a process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently” (Ron Weber) Audit Sistem Informasi adalah proses mengumpulkan dan mengevaluasi bukti untuk menentukan apakah sistem komputer dapat mengamankan asset, menjaga integritas data, mencapai tujuan organisasi secara efektif, dan menggunakan sumber daya secara efisien. (Computer Audit, EDP Audit, IT- Audit, IS-Audit )
IT-Audit & Control H. Ramlan, S.Kom.,MM.,QIA TAHAPAN AUDIT SISTEM INFORMSI & Tahap Pendahuluan : untuk memahami dan mendapatkan
gambaran sistem manual dan komputerisasi yang diterapkan.
& Tahap Detail : berfokus pada dua pengendalian yaitu pengendalian umum dan pengendalian aplikasi.
& Pengujian ketaatan : pengujian ketaatan kepada peraturan dan kebijakan yang berlaku terhadap sistem dan teknologi informasi.
& Pengujian Kendali Kompensasi : pengujian pengendalian diluar pengendalian umum dan aplikasi seperti prosedur atau proses manual.
& Pengujian Substantif : untuk mendapatkan keyakinan secara mendalam atas keandalan pengendalian yang diterapkan untuk melindingi organisasi dari kemungkina kecurangan (mengambil sampel).
& Membuat laporan : membuat laporan hasil audit. & Monitoring tindak lanjut
H. Ramlan, S.Kom.,MM.,QIA
IT-Audit & Control
Tingkat Kematangan Manajemen Dalam Penerapan Sistem Informasi
H. Ramlan, S.Kom.,MM.,QIA
IT-Audit & Control
• Non-existent (0) Suatu kondisi dimana perusahaan sama sekali tidak peduli terhadap pentingnya teknologi informasi untuk dikelola secara baik oleh manajemen.
•
Initial / Ad hoc (1)
Suatu kondisi dimana perusahaan secara reaktif melakukan aktivitas dan penerapan teknologi informasi sesuai dengan kebutuhan-kebutuhan yang sifatnya mendadak, tanpa didahului dengan perencanaan sebelumnya. Pada kondisi ini mempunyai karakteristik sebagai berikut : Tidak adanya manajemen proyek dan jaminan kualitas (quality assurance). Tidak adanya mekanisme manajemen perubahan. Tidak ada dokumentasi dan sangat tergantung pada kemampuan individu.
•
Repeatable (2)
Suatu kondisi dimana perusahaan telah memiliki pola yang berulang kali dilakukan dalam melakukan manajemen aktivitas terkait dengan tata kelola teknologi informasi, namun keberadaannya belum terdefinisi secara baik dan formal sehingga masih terjadi ketidak konsistenan.
H. Ramlan, S.Kom.,MM.,QIA
IT-Audit & Control
Pada kondisi ini mempunyai karakteristik sebagai berikut : Kualitas mulai bergantung pada proses bukan orang. Ada manajemen proyek dan jaminan kualitas (quality assurance) yang sederhana. Ada dokumentasi dan konfigurasi manajemen yang sederhana. Tidak ada manajemen pengetahuan (knowledge management). Tidak ada komitmen untuk selalu mengikuti Siklus hidup pengembangan sistem (System Development Life Cycle/ SDLC). Tidak ada kendali statistik (statistical control) untuk estimasi proyek. Rentan terhadap perubahan struktur organisasi.
Defined (3) Suatu kondisi dimana perusahaan telah memiliki prosedur baku formal dan tertulis yang telah disosialisasikan ke segenap jajaran manajemen dan karyawan untuk dipatuhi dan dikerjakan dalam aktivitas sehari-hari. Pada kondisi ini mempunyai karakteristik sebagai berikut : SDLC sudah dibuat dan dilakukan. Ada komitmen untuk mengikuti SDLC dalam keadaan apapun. Kualitas proses dan produk masih bersifat kuantitatif bukan kualitatif. Tidak menerapkan pembiayaan berbasis aktivitas (Aktivity Bases Costing.). Tidak ada mekanisme umpan balik yang standar.
H. Ramlan, S.Kom.,MM.,QIA
IT-Audit & Control
• Managed(4) Suatu kondisi dimana perusahaan telah memiliki sejumlah indikator atau ukuran kuantitatif yang dijadikan sebagai sasaran atau target maupun tujuan kinerja setiap penerapan aplikasi teknologi informasi yang ada. Pada kondisi ini mempunyai karakrerik sebagai berikut : Sudah adanya kegiatan berbasis biaya (Activity Based Costing) yang digunakan untuk estimasi proyek berikutnya. Proses penilaian kualitas dan proyek bersifat kuantitatif. Terjadi pemborosan biaya untuk pengumpulan data karena proses pengumpulan data masih dilakukan secara manual. Tidak adanya mekanisme pencegahan terhadap kerusakan. Sudah ada mekanisme umpan balik.
• Optimised (5) Suatu kondisi dimana perusahaan dianggap telah menerapkan manajemen teknologi informasi yang mengacu pada praktek-praktek terbaik (best practice). Pada kondisi ini mempunyai karakteristik sebagai berikut : Pengumpulan data secara otomatis. Adanya mekanisme pencegahan terhadap kerusakan Adanya mekanisme umpan balik yang sangat baik.
H. Ramlan, S.Kom.,MM.,QIA
IT-Audit & Control
SUMBER DAYA SISTEM INFORMASI
DATA : Didefinisikan dalam pengertian yang paling luas, jadi bukan hanya meliputi angka, teks ataupun tanggal saja, tetapi termasuk juga obyek-obyek lain yang ditampilkan sebagai grafik,suara / bunyi, maupun video. APPLICATION SYSTEMS : Dimaksudkan di sini adalah seluruh prosedur-prosedur baik yang manual maupun yang terprogram. TECHNOLOGY : Mencakup pengertian hardware, systems, network equipment, dan sejenisnya.
operating
FACILITIES : Mencakup sumber daya yang digunakan untuk menampung dan mendukung sistem informasi. PEOPLE : Dimaksudkan sebagai individu yang terampil dan memiliki kemam-puan untuk merencanakan, mengorganisasikan, menghimpun, membagi-kan, mendukung, dan memonitor sistem serta pelayanan informasi.
H. Ramlan, S.Kom.,MM.,QIA
Effectivnes s Efficiency
KRITERIA INFORMASI Menitikberatkan padaCOBIT sejauh mana efektifitas informasi
dikelola dari data-data yang diproses oleh sistem informasi yang dibangun Menitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh sistem
Confidentiality Integrity
IT-Audit & Control
Menitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis
Menitikberatkan pada integritas data/ informasi dalam sistem
Availability Menitikberatkan pada ketersediaan data/ informasi dalam sistem informasi
Menitikberatkan pada kesesuaian data/informasi dalam sistem
Compliance informasi Reliability
Menitikberatkan pada kemampuan/ ketangguhan sistem informasi dalam pengelolaan data/ informasi
H. Ramlan, S.Kom.,MM.,QIA ALAT DAN TEKNIK AUDIT
Test Tools Media utuk membantu auditor dlm. melakukan teknik pengujian
IT-Audit & Control
Test Techniques Cara proses pengujian dilakukan untuk mencapai tujuan audit
Bentuknya bisa berupa :
Contoh :
- Pedoman, Prosedur (SOP)
Stratifikasi, Analisa Statistik, Klasifikasi data, Rekonsiliasi
- Software (GAS) : ACL, IDEA
IT-Audit & Control
H. Ramlan, S.Kom.,MM.,QIA
PENDEKATAN AUDIT SISTEM INFORMASI
Around the Computer - - - BLACK BOX Data Data & & Audit Audit Test Test Data Data
Through the Computer TARGET AUDIT
Laporan audit
With the Computer ALAT BANTU
H. Ramlan, S.Kom.,MM.,QIA
IT-Audit & Control
AUDIT ARROUND THE COMPUTER (AUDIT (AUDIT DISEKITAR DISEKITAR KOMPUTER) Auditor mentrasir balikKOMPUTER) (trace-back) transaksi dari pengolahan komputer, hasil pengolahan komputer (print output) di uji dengna dokumen sumbernya yaitu bukti dasar (input), tanpa melihat proses yang dilakukan oleh komputer (komputer diperlakukan sebagai black-box).
Jejak audit (audit trail) dan sumber dokmen (source document) ke catatan yang dibukukan oleh mesin masih mudah dilihat dan ditelusuri secara visual. Keterbatasan pengetahuan dan keterampilan auditor mengenai taspek teknis komputer. Sistem komputer yang digunakan masih sederhana atau menggunakan software yang umum. Sumber dokumen (source document) yang diperiksa relatif masih sedikit.
H. Ramlan, S.Kom.,MM.,QIA
IT-Audit & Control
AUDIT THROUGH THE COMPUTER (AUDIT (AUDIT KE KE SISTEM SISTEM KOMPUTER) KOMPUTER) Komputer dijadikan sasaran sebagi target pemeriksaan. Auditor melakukan pemeriksaan ke sistem komputer seperti pemeriksaan terhadap program-program (listing program) dengan menguji logika pemograman dan file-file yang ada dalam sistem komputer. Auditor dapat meminta penjelasan tentang spesifikasi sistem yang sedang dilakukan audit.
Sistem aplikasi komputer yang digunakan untuk memproses input cukup besar, sehingga perlu diteliti keabsahannya. Ketidakmampuan untuk melokalisir source document (sumber dokumen) karena memang rancangan sistem pengarsipan yang digunakan menghendaki demikian. Sistem komputerisasi dan komunikasi sangat kompleks dan memiliki banyak fasilitas pendukung.
IT-Audit & Control H. Ramlan, S.Kom.,MM.,QIA BATCH PARALLEL SIMULATION
REAL DATA
REAL REAL PROGRAM PROGRAM
OUTPUT OUTPUT
Compare REAL DATA
SALINAN SALINAN PROGRAM PROGRAM
OUTPUT OUTPUT
Dokumen yang diperiksa tidak lengkap (tidak memadai). Auditor ingin lebih independen. Perlu dilakukan pengujian atas fle transaksi.
IT-Audit & Control
H. Ramlan, S.Kom.,MM.,QIA
System Control Audit Riview File (SCARF) Menempelkan software audit pada aplikasi untuk memonitor transaksi secara terus menerus (Embedded Audit Routine) Transaction Transaction File File
Input Input Master Master file file
Update Update program program (SCARF (SCARF embedded embedded audit audit routines) routines) Update Update report report
Output Output Master Master file file
SCARF SCARF SCARF SCARF Reporting Reporting system system Audit Audit report report
1. 1. Auditor Auditor membuat membuat beberapa beberapa kriteria kriteria 2. 2. Audit Audit modul modul ditempelkan ditempelkan di di titik titik kritis kritis aplikasi aplikasi dan dan transakasi transakasi direkam direkam sesuai sesuai kriteria. kriteria. 3. 3. Hasil Hasil monitoring monitoring direkam direkam pada pada file file tertentu tertentu agar agar dapat dapat direview direview oleh oleh auditor. auditor.
H. Ramlan, S.Kom.,MM.,QIA
IT-Audit & Control
Integrated Test Fasilities (ITF) Memasukkan beberapa data (records) dummy kedalam file transaksi rill (file produksi). Auditor dapat memperoses data dummy secara tersendiri maupun bersamaan. Selanjutnya auditor membandingkan hasil proses sistem dengan hasil proses yang dilaukan auditor menggunakan data dummy.
Virtual Transaction Testing (VTT) Pengujian sistem dilakukan dalam partisi yang berbeda dengan sistem yang diuji. Sebelum dilakukan pengujian, audit mengcopy semua sistem kedalam partisi yang berbeda. Selanjutnya auditor juga membuat database untuk keperluan pengujian. Dengan prosedur ini tidak ada kehawatiran bahwa hasil transaksi pengujian akan tercapur dengan transaksi rutin, sehingga auditor dengan bebas melaukan pengujian.
H. Ramlan, S.Kom.,MM.,QIA
IT-Audit & Control
AUDIT WITH THE COMPUTER (AUDIT (AUDIT DENGAN DENGAN DUKNGAN DUKNGAN KOMPUTER) KOMPUTER)
Komputer dan software audit digunakan sebagai alat bantu auditor dalam melakukan tugas audit. Audit dengan komputer untuk kegiatan pendukung dan administratif yang sering digunakan. Memproses atau melakukan pengujian langsung terhadap sistem komputer . Menngunakan komputer dan software audit yang terpisah dengan komputer klien (auditee) dengan mengcopy data atau file yang diperlukan untuk pengujian. Sistem aplikasi komputer yang digunakan untuk memproses input cukup besar, sehingga perlu duteliti keabsahannya. SAS (Specialized Audit Software) : Software yang dirancang sendiri oleh auditor sesuai dengan kebutuhan audit. GAS (Generalized Audit Software) : Software yang bersifat umum yang memiliki berbagai fungsi dan dibuat dibuat oleh software house.
H. Ramlan, S.Kom.,MM.,QIA Generalized Audit Software
IT-Audit & Control
Program komputer yang dirancang khusus untuk pengolahan data-data tertentu, terutama yang berkaitan dengan audit. Juga dapat digunakan untuk membantu tugas operasional lainnya. o ACL ( Audit Command language ), IDEA (Interactive Data Extraction & Analysis) dan Pan AUDIT
Kemampuan Kemampuan GAS GAS
Akses Akses data data dari dari berbagai berbagai media, media, struktur struktur dan dan format format data data (download, (download, report report file, file, dan dan Fasilitas Fasilitas ODBC ODBC = = Open Open Database Database Connectivity) Connectivity) •• Ad Ad Hoc Hoc Report Report :: Pelaporan Pelaporan ke ke manajemen manajemen yang yang sifatnya sifatnya sewaktu-waktu sewaktu-waktu atau atau yang yang tidak tidak terakomodasi terakomodasi oleh oleh aplikasi aplikasi yang yang telah telah ada. ada. •• Organisasi Organisasi data data (sort, (sort, klasifikasi, klasifikasi, dan dan ikhtisar ikhtisar data). data). •• Pemilihan Pemilihan dan dan statistik statistik data data (data (data dan dan grafik). grafik). •• Penggabungan Penggabungan dan dan Pembandingan Pembandingan data data (matematis (matematis dan dan fungsi fungsi logika). logika). ••
Keterbatasan Keterbatasan GAS GAS
Hanya Hanya untuk untuk ex-post ex-post auditing auditing (hasil (hasil yang yang lalu), lalu), tidak tidak concurrent concurrent auditing). auditing). Terbatas Terbatas untuk untuk menguji menguji logika logika pemrosesan. pemrosesan. Kesulitan Kesulitan dalam dalam menentukan menentukan kesalahan kesalahan program. program.
Karakteristik GAS : o Mudah digunakan bagi non programmer dan tidak bisa merubah data
o Dapat digunakan untuk data dari berbagai platform
H. Ramlan, S.Kom.,MM.,QIA
IT-Audit & Control
Good Corporate Governance
Pengambilan keputusan yang efektif besumber dari budaya perusahaan, etika, nilai, sistem, proses bisnis, kebijakan dan struktur organisasi.
Mendorong dan mendukung & Pengembangan perusahaan & Pengelolaan sumberdaya dan resiko secara efektif dan efisien & Pertanggung jawaban perusahaan kepada stakeholder
Transparan, Akuntabilitas, Responsibility, Integritas, dan Fairness Internal Control : Suatu proses yang dijalankan oleh Dewan Komesaris, manajemen, dan personel lain entitas yang didesain untuk memberikan keyakinan memadai kepada : & Keandalan pelaporan keuangan & Efektifitas dan efisiensi operasi & Kepatuhan terhadap hukum dan peraturan yang berlaku.
¾ M e u ¾ ntu mpe M r ya eny k di oleh ng aj ola i tep ika h & nfo at n i di rm se nfo sa asi ca r jik in ra ma an te tep si k rn at rele epa al d isi va da an da n k m ek a n tep epa naj tern at da em al wa pih en kt ak u.
H. Ramlan, S.Kom.,MM.,QIA
The Committee of Sponsoring Organizations of The Treadway Commission (COSO). (Sept-1992)
AAA = American Accounting Association IIA = Institute of Internal Auditors FEI = Financial Executives International IMA = Institute of Management Accountants AICPA = American Institute of Certified Public Accountants
IT-Audit & Control ¾Memonitor kualitas dan kinerja sistem dan internal control ¾Pengawasan yang langsung oleh atasan ¾Evaluasi yang dilakukan oleh internal auditor
¾Pemisahan tugas yang memadai ¾Otoritas yang semestinya atas transaksi dan aktivitas ¾Dokumen dan catatan yang memadai ¾Pengendalian fisik atau aktiva ¾ Pengendalian umum dan aplikas ¾Pengecekan independen atas kinerja
¾Resiko Bisnis ¾Resiko Operation ¾Resiko Keuangan ¾Resiko Ketaaran ¾Intergritas dan Nilai Etika ¾Kommitmen terhadap Kompetensi ¾Filosofi Manajemen dan Gaya Kepemimpinan ¾Struktur Organisasi ¾Komite Audit ¾Penugasan Wewenang dan tanggung Jawab ¾Kebijakan SDM dan Penerapannya
H. Ramlan, S.Kom.,MM.,QIA
IT-Audit & Control
PENGENDALIAN INTERNAL TRADISIONAL & Pengorganisasian : suatu struktur yang dibuat untuk menetapkan peran dan tugas setiap individu dalam perusahaan.
& Kebijakan : ketentuan yang mengsyaratkan, mengarahkan atau membatasi tindakan.
& Prosedur : alat untuk melaksanakan kegiatan sesuai dengan kebijakan yang telah ditentukan.
& Personel : setiap personel yang ditugaskan harus memiliki kualifikasi yang diisyaratkan untuk melaksanakan tugas dan tanggung jawab yang diberikan.
& Pencatatan : alat pengendali keuangan yang sangat diperlukan atas kegiatan dan penggunaan seunber daya.
H. Ramlan, S.Kom.,MM.,QIA
IT-Audit & Control
& Penganggaran : merupakan hasil yang diharapkan dan dinyatakan (menetapkan standar) dalam bentuk angka yang akan dicapai.
& Pelaporan : merupakan dasar yang dipakai manajemen untuk mengambil keputusan.
DEFINISI PENGENDALIAN MENURUT COBIT (Control Objectives for Information and Related Technology) ”Control adalah suatu kebijakan, prosedur, praktek dan struktur organisasi yang diciptakan untuk memberikan keyakinan yang memadai bahwa tujuan organisasi/ perusahaan akan dapat dicapai, dan hal-hal atau kejadian-kejadian yang tidak dikehendaki, dapat dicegah (prevent), dideteksi (detect), atau dikoreksi (correct).” )
Pengendalian Umum (General Control) ) Pengendalian Aplikasi (Application Control)
H. Ramlan, S.Kom.,MM.,QIA & o o o o o
IT-Audit & Control
PREVENTIF Mendeteksi masalah sebelum terjadi Memantau input dan operasi Melakukan prediksi masalah yang mungkin terjadi Mencegah kerusakan dari tindakan kejahatan Pemisahan tugas dan tanggung jawab.
& DETEKTIF Mendeteksi bahwa kesalahan, perubahan atau tindakan yang sudah terjadi serta melaporkannya (mendiskusikan, kalkulasi ulang, internal audit, laporan kinerja sistem, check point dalam rantai produksi). & KOREKTIF o Meminimalisir dampak ancaman o Mengidentifikasi sumber masalah dan memperbaikinya o Mengubah sistem agar dapat meminimalisir dampak.
H. Ramlan, S.Kom.,MM.,QIA
IT-Audit & Control
& Contoh Preventif : Gunakan software yang sah Terapkan akses “read only” untuk seluruh software Cek software baru dengan antivrus sebelum di install Cek file baru dengan antivirussebelum digunakan. Sosialisasikan tentang bahaya virus. & Contoh Detektif Jalankan software antivirus secara reguler Amati dan bandingkan ukuran file untuk menentukan apakah ada perubahan. Amati dan bandingkan tanggal dan waktu untuk menentukan apakah ada modifikasi software. & Contoh Korektif Yakinkan bahwa backup yang ada selalu “clean” Buat rencana/ dokumentasi untuk mengatasi serangan virus Jalankan antivirus untuk menghilangkan virus.
IT-Audit & Control
H. Ramlan, S.Kom.,MM.,QIA
Pengendalian Umum (General Control) o Pengendalian organisasi o Pengendalian keamanan komputer. o Pengendalian pengembangan sistem o Pengendalian pemprograman dan operasi o Pengendalian perangkat keras o Pengendalian akses perangkat keras dan data. o Pengendalian dokumentasi sistem Pengendalian Aplikasi (Application Control) Pengendalian Input Pengendalian Proses Pengendalian Output
H. Ramlan, S.Kom.,MM.,QIA
IT-Audit & Control
PENGENDALIAN ORGANISASI Dalam suatu sistem informasi yang berbasis komputer, pemisahan fungsi dan wewenang tersebut sering dilakukan oleh satu orang yang berfungsi sebagai sistem analis, programmer, operator data entry karena keterbatasan sumber daya manusia dan dengan alasan efisiensi. Dalam suatu sistem informasi yang terintegrasi, perlu dilakukan pemisahan fungsi-fungsi dalam unit sistem informasi seperti sistem analisis programmer, operator komputer, librarian.
IT-Audit & Control H. Ramlan, S.Kom.,MM.,QIA SECURITY MANAGEMENT CONTROL
Hu ma n C apital
Tre a s ury
P ayroll
Ma n ufa ctu ring
Pro cu re-to-P ay
Ord er-to-Ca sh
IT Governance
Business Processes
IT Services PHYSICAL (SDM, HW, Fasilitas, Dokumen, Supplies) terhadap kebakaran, polusi, banjir, gempa, pencurian.
LOGICAL = (Database, Operating System, Application, Network)
H. Ramlan, S.Kom.,MM.,QIA
IT-Audit & Control
Tujuannya : & Untuk menjamin agar aset sistem informasi tetap aman, baik akses fisik maupun akses non fisik. Tahap-tahapnya : & & & & &
Merencanakan dan menetapkan tujuan, lingkup dan tugas-tugas/ Identifikasi aset (HR, HW,SW, Documentation, Data) Nilai aset (Pengelolaan aset, kehilangan aset dan waktu, umur aset) Perlakukan terhadap aset dan kompetitor. Administrasi, asuransi, spesifikasi sesuai periode waktu tertentu.
& Identifikasi control, evaluasi kemungkinan gagal operasi dan ukur kehilangan hasil. & Pengelolaan laporan.
IT-Audit & Control
H. Ramlan, S.Kom.,MM.,QIA
CONTOH HASIL AUDIT MATRIK MATRIK TEMUAN TEMUAN HASIL HASIL KONFIRMASI KONFIRMASI
OBYEK OBYEK AUDIT AUDIT :: AUDIT AUDIT PENGELOLAAN PENGELOLAAN SIM SIM TUNGGAKAN TUNGGAKAN LOKASI LOKASI :: ISC ISC BANDUNG BANDUNG PERIOCE PERIOCE :: JANUARI JANUARI –– JUNI JUNI 2008 2008
NO.
KONDISI /TEMUAN
1.
Belum dijalankan Manajemen User-ID dan Password. Fakta : Terdapat 3 user dengan level yang sama (super user)
KRITERIA
(KD No. 11/.../ISC ..... 2007) tentang Manajemen User-ID dan Pasword.
ANALISA (SEBAB-AKIBAT)
REKOMENDASI
Keterbatasan SDM, tinginya pertumbuhan pelanggan. Dapat menimbulkan penyelahgunaan hak akses sampai level super user.
Identifikasi pengguna(User-ID) dan ketentuan Manajemen user ID dan password perlu dijalankan secara konsisten sesuai dengan (KD No. 11/.../ISC ..... 2007)
H. Ramlan, S.Kom.,MM.,QIA
IT-Audit & Control
SYSTEM DEVELOPMENT MANAGEMENT CONTROL PERAN AUDITOR DALAM PENGEMBANGAN SISTEM : BERPARTISISPASI DALAM PERANCANGAN DAN PENGEMBANGAN SISTEM. EVALUASI ULANG SISTEM YANG TELAH DITERAPKAN. EVALUASI SISTEM PENGENDALIAN YANG ADA. MODEL EVALUASI PENGEMBANGAN SISTEM : 1. PENDEKATAN SIKLUS HIDUP PENGEMBANGAN SISTEM. FEASIBILITY STUDY (PROPOSAL DAN KRITERIA BIAYA) INFORMATION ANALYSIS (USER REQUIREMENT) SYSTEM DESIGN (INTERFACE, FILE ETC). PROGRAM DEVELOPMENT (DESIGNING, CODING, COMPLING, TESTING & DOC ). PROCEDURE & FORM 2. PENDEKATAN DISAIN SOSIAL TEKNIS PENGEMBANGAN SISTEM. BERSAMA-SAMA ANTARA SOSIAL DAN TEKNIS DALAM KORDINASI PENGEMBANGAN SISTEM. 3. PENDEKATAN POLITIK PENGEMBANGAN SISTEM. PENDEKATAN TERHADAP DISTRIBUSI WEWENANG DALAM ORGANISASI. 4. PENDEKATAN SOFT SISTEM PENGEMBANGAN SISTEM. PENDEKATAN TERHADAP PERMASALAHAN YANG ADA. 5. PENDEKATAN PROTOTYPE PENGEMBANGAN SISTEM. PENDEKATAN TERHADAP SOLUSI KETIDAK PASTIAN DALAM DESIGN SISTEM. 6. PENDEKATAN KETIDAK PASTIAN PENGEMBANGAN SISTEM. ADAPTASI UNTUK SILUSI HUBUNGAN ORGANISASI PADA SISTEM YANG SEDANG DIRANCANG (SOCIAL SYSTEM IMPACT, TASK SYSTEM IMPACK, SYSTEM SIZE, COMMUNALITY, REQUIREMENT UNCERTAINTY, TECHNOLOGY UNCERTAINTY).
H. Ramlan, S.Kom.,MM.,QIA
IT-Audit & Control
TAHAPAN EVALUASI PENGEMBANGAN SISTEM : 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13.
DEFINISIKAN PELUANG ATAU MASALAH. PELUANG YANG ADA DAN PERMASALAH (LAKUKAN SWOT). MANAJEMEN PERUBAHAN PROSES. MANAJEMEN PROYEK DAN PERUBAHAN FASILITAS. MASUKAN DAN PENILAIAN KELAYAKAN. KELAYAKAN TEKNIS, OPERASI DAN EKONOMI. ANALISA SISTEM YANG SEDANG BERJALAN. ORGANISASI, STRUKTUR, BUDAYA, DAN ALUR INFORMASI. RUMUSKAN KEBUTUHAN STRATEGIS. RUMUSKAN TUJUAN YANG DIHARAPKAN.. ORGANISASI DAN RENCANA PEKERJAAN. STRUKTUR ORGSNISASI, STAFFING DAN JOB DESIGN. DESAIN PROSES SISTEM INFORMASI DESAIN REQUIREMENT, DATABASE, PHYSICAL DAN HW/ SW PLATFORM. AKUISISI DAN PENGEMBANGAN S/W APLIKASI PEMENUHAN KECUKUPAN UNTUK PENGEMBANGAN SW APLIKASI. AKUISISI HW & SW SISTEM. PEMENUHAN KECUKUPAN UNTUK PENGEMBANGAN HW/SW SISTEM. PROSDUR PENGEMBANGAN. DESAIN, TEST, IMPLEMENTASI DAN DOKUMENTASI PROSDUR. PENERIMAAN PENGUJIAN. (PROGRAM TEST, SISTEM TEST, USER TEST DAN QUALITY ASSURANCE TEST) KONVERSI KONVERSI DARI SISTEM LAMA KE SISTEM YANG BARU OPERASI DAN PEMELIHARAAN REPAIR, ADAPTIVE AND PERFECTIVE MAINTENANCE
H. Ramlan, S.Kom.,MM.,QIA
IT-Audit & Control
PROGRAMMING MANAGEMENT CONTROL PLANNING
PROGRAM PROGRAM DEVELOPMENT DEVELOPMENT LIFE-CYCLE LIFE-CYCLE
(PENGELOLAAN SUMBER DAYA TERHADAP DESIGN, IMPLEMENTASI, INTEGRASI, TEST, DAN ORGANISASI). CONTROL (PENGENDALIAN TERHADAP KEASLIAN, AKURASI, KELENGKAPAN). DESIGN (STRUCTURED DESIGN AND OBJECT-ORIENTED DESIGN). CODING (TOP DOWN, BUTTOM UP). TESTING (UNIT TESTING, INTEGRATION TESTING, AND PROGRAM TESTING). OPERATION AND MAINTENANCE (REPAIR MAINTENANCE, ADAPTIVE MAINTENANCE, AND PERFECTIVE MAINTENANCE).
H. Ramlan, S.Kom.,MM.,QIA
IT-Audit & Control
OPERATION MANAGEMENT CONTROL Memfasilitas hasil sistem aplikasi Mengembangkan SDM yang dapat mendesign, implementasi dan memelihara sistem aplikasi
Fungsinya : & & & & & & & & &
Computer Operation (operation, scheduling & maintenance control) Communication network Data Prepation and entry Production Control (I/O, Job scheduling, SLA) File library (penyimpanan, penggunaan, dan pemeliharaan) Documentation and Program Library Help Desk / Technical Support Capacity Planning and Performance Monitoring Outsourced Operation (Finance, Vendor, Complaince & Cntracy)
IT-Audit & Control H. Ramlan, S.Kom.,MM.,QIA PENGENDALIAN PERANGKAT KERAS & DATA BOUNDARY (STORAGE)
Melindungi program dan data pemograman dan pengolahan data.
PROTECTION
dari
kegiatan
DUAL READ
Pembacaan berulang yang dilakukan pada tape drive dan dilakukan perbandingan.
ECHO CHECK
Pengiriman balik sinyal yang terkirim. Cntoh data yang diketik pada keyboard ditapilkan di monitor
PARITY CHECK
Menambahkan bit ke suatu karakter dan menjumlahkan seluruh bit (positif/negatif) untuk meverifkasi bahwa yang terkirim tak ada yg hilang.
OVERFOW CHECK READ-WRITE SUPPRESSION
Proses pengolahan mengandung perhitungan yang hasilnya terlalu besar atau terlalu kecil sehinga tidak tersimpan di memori komputer. Pengendalian dalam disk drve untuk mencegah membaca atau menulis ke suatu hard disk.
H. Ramlan, S.Kom.,MM.,QIA
IT-Audit & Control
PENGENDALIAN AKSES PERANGKAT KERAS PASSWORD
ACCESS LOG
ENCRYPTION
AUTOMATIC LOG-OFF
BIOMETRIC TECHNOLOGIES
Pengendalian dengan menggunakan password ( Account locking, Aging, Complexity verification). Pengendalian menggunakan log untuk mencatat semua kegiatan penggunaan sistem.
Pengendalian dengan menggunakan algoritma atau logika tertentu mengacak atau memanifulasi data. Pengendalian yang secara otomatis memutuskan hubungan dengan terminal yang tidak aktif. Pengendalian yang mirip dengan password namun dikaitkan dengan identitas diri seperti sidik jari, telapak tangan, suara dll.
H. Ramlan, S.Kom.,MM.,QIA
IT-Audit & Control
DATA RESOURCE MANAGEMENT CONTROL Tujuannya : & Sharebility {kemampuan untuk berbagi data kepada pengguna) & Availability (ketersediaan data) : data tersedia kapan saja, dimana saja, dan dalam bentuk apapun. & Evolvability (kemampuan untuk dapat dikembangkan) : dapat dikembangkan dengan mudah sesuai kenutuhan penguna. & Intergrity (keutuhan dan kosistensi data) : keaslian, keakuratan, kelengkapan, dan konsistensi data tetap terjaga.
Fungsinya : & Mendefinisikan, membuat, meredefinisi data. & Membuat database untuk kebutuhan user. & Menginformasikan dan melayani user. & Memelihara integritas data. (Gannguan listrik, kerusakan disk. Kesalahan SW, akses yang tak berhak, atribut, relasi dan basis data )
H. Ramlan, S.Kom.,MM.,QIA
IT-Audit & Control
NETWORK MANAGEMENT CONTROL Pengendalian jaringan bertujuan untuk menyediakan akses kepada software system yang khusus untuk mengelola dengan fungsi sbb : & & & & & & & & &
Memulai dan menghentikan jaringan dan proses. Memonitor aktivitas jarngan Mengganti nama line komunikasi Men-generate statistic system Men-setting ulang panjangnya antrian Menambah frekwensi backup Menanyakan status system Mengirimkan system warning dan status massage Memeriksa lintasan data pada line komunikasi
IT-Audit & Control H. Ramlan, S.Kom.,MM.,QIA PENGENDALIAN DOKUMEN
o Dokumentasi standar Proses bisnis (flowchart) , spesifikasi teknis ssitem, bukti pengesahan pengembangan sistem. o Dokumentasi sistem Studi kelayakan dan proposal, diagram alir perancangan, penjelasan format input dan output. o Dokumentasi program Diagram alir fungsi program aplikasi, listing program, dan catatan perubahan program, bukti pengesahan program. o Dokumentasi operasi Sistem dan prosedur operasi, manual operation, jadwal penggunaan perangkat dan sdm. o Dokumentasi pemakai Penjelasan otoritas, bagan alir input dan output yang digunakan, user manual dan petunjuk penanganan gangguan.
IT-Audit & Control
H. Ramlan, S.Kom.,MM.,QIA
Pengendalian INPUT Record Count
Tidak ada 'satu-record-pun' dari 'satu SET penginputan data' yang terlewat !
1/4
2/4
3/4
Total RECORD = 4
4/4
Batch Total
$500 $200
$400
$100$300
2
$600
$150 $50
4
1
3
Batch Total 4 docs = $ 1.500
IT-Audit & Control
H. Ramlan, S.Kom.,MM.,QIA
Sequence Check
CISA-01 CISA-03 CISA-04 CISA-05
Missing CISA-02
Match with Previous Data Untuk meyakinkan bahwa DATA yang diinput berkorelasi dengan data sebelumnya !
BUDIONO (009) Saldo Awal $ 500
BUDIONO (009) Cicilan $ 125
IT-Audit & Control
H. Ramlan, S.Kom.,MM.,QIA
Run to Run Control Eksekusi yang diikuti dengan MEDIA-control otomatis ! Tell-stroke Saldo $ 12500 Penarikan terakhir $ 1000
ATM-Bank
CHECK-DIGIT
10002500002 10002500013 10002500024
Rumus : Nilai sepuluh digit pertama / 11, kemudian diambil sisanya !
IT-Audit & Control
H. Ramlan, S.Kom.,MM.,QIA
Reasonableness (REJECTION) Name
:
Nationality :
Djmaludin Lubis Indonesia Indonesian Australian American
IT-Audit & Control
H. Ramlan, S.Kom.,MM.,QIA
Calculation Check Digit Kartu dengan nomor :
7365
(5x2)+(6x3)+(3x4)+(7x5)= 10+18+12+35 = 75 75 : 11 = 6, sisa 9 (modulus), 11 – 9 = 2 Tambahkan pada angka 2 diposisi kanan nomor kartu tersebut sebagai cek digitnya, sehingga kartu tersebut menggunakan nomor : 73652 Lakukan seperti langkah 1, sehingga menjadi (2x2)+(5x3)+(6x4)+(3x5)+(7x6) = 4+15+24+15+42 =100, karena 100 habis dibagi 10 maka nomor tersebut valid (sah).
H. Ramlan, S.Kom.,MM.,QIA
IT-Audit & Control
Algoritma Luhn Check Digit Kartu dengan nomor : 1804-7025-3041-9867
1 x 2 = 2, karena 2 < 9 maka hasilnya tetap 2 0 x 2 = 0, karena 0 < 9 maka hasilnya tetap 0 7 x 2 = 14, karena 14 < 9 maka hasilnya 14 – 9 = 5 2 x 2 = 4, karena 4 < 9 maka hasilnya tetap 4 3 x 2 = 6, karena 6 < 9 maka hasilnya tetap 6 4 x 2 = 8, karena 8 < 9 maka hasilnya tetap 8 9 x 2 = 18, karena 18 < 9 maka hasilnya 18 – 9 = 9 6 x 2 = 12, karena 12 < 9 maka hasilnya 12 – 9 = 3 Jumlah 2 + 0 + 5 + 4 + 6 + 8 + 9 + 3 = 37 Menjumlahkan semua digit pada posisi genap : Jumlah = 8 + 4 + 0 + 5 + 0 + 1 + 8 + 7 = 33 Bila hasil langkah 1 dan langkah 2 dijumlahkan didapat 37 + 33 = 70, karena 70 6175-4982-3534-2013 habis dibagi 10 maka nomor tersebut sah.
7809-6394-5431-2415
Kalikan dengan 2 semua angka pada digit ganjil dan kurangi hasilnya dengan 9 jika lebih dari 9, selanjutnya jumlahkan hasilnya. Digit-digit pada posisi ganjil
IT-Audit & Control
H. Ramlan, S.Kom.,MM.,QIA
y Pengendalian PROSES o
Diagnostic routine
(Pemeriksaan dan analisa rutin secara dini terhadap kondisi aplikasi)
o
Limit, Reasonableness & Sign test
(Seperti pada pengendalian input).
o
Posting, Crossfooting & Zero Balance Check
(Pengujian dengan membandingkan, menambah dan mengurangi setelah proses)
o
Run to Run Control
(Memverifikasi nilai data dari hasil penjumlahan melalui tahapan pemrosesan)
o
End of File Procedure
(Pengendalian sistem agar tidak berhenti sebelum berakhirnya pemrosesan)
o
Lock-out
(Tidak meng-update secara bersamaan dalam kondisi on-line).
o
Audit Trail
(Menulusuri pemrosesan transaksi)
IT-Audit & Control
H. Ramlan, S.Kom.,MM.,QIA
y Pengendalian OUTPUT o Storage Control
(Pengendalian dengan pembatasan storage, suhu, keamanan akses)
o
Error Listing
(Daftar kesalahan agar dikendalikan sehingga tidak menggangu operasi)
o
Console Log
(Pengendalian dilakukan untuk mengetahui siapa, apa, kapan dilakukan interupsi).
o
Distribution
(Untuk menjamin bahwa keluaran tersebut diterima oleh yang terotorisasi).
o
User Review
(Melalui user review dapat dilihat status dari hasil pendistribusian laporan tersebut).
o
Destruction Control
(Pemusnahan output agar benar-benar diyakini bahwa output telah dimusnahkan sehingga tidak dimiliki atau dibaca oleh orang yang tak berhak)
H. Ramlan, S.Kom.,MM.,QIA
IT-Audit & Control
QUALITY ASSURANCE MANAGEMENT CONTROL Memastikan bahwa sistem informasi dari fungsi sistem informasi mencapai tujuan dari mutu tertentu, pengembangan, implementasi, operasi dan pemeliharaan sistem informasi telah sesuai atau memenuhi suatu setandar mutu. Fungsinya : & & & & &
Membangun tujuan/ target kualitas (mutu). Membangun, memformulasikan dan memelihara standar. Memonitor complaince QA standar Memmuat laporan kepada manajemen. Pelatihan QA standar dan prosedur.
H. Ramlan, S.Kom.,MM.,QIA
IT-Audit & Control
MANAJEMEN AUDIT SISTEM INFORMASI Mempertimbangkan dampak profesional dan perubahan teknologi.
PERENCANAAN : & Jangka Panjang : Merencanakan arah MASI dan menyediakan semua sumber daya yang cukup untuk menghasilkan kegiatan yang efektif dan efisien. & Jangka Pendek : Membantu manajemen dalam mencapai visi dan misi perusahaan sebagai konsultan, mitra manajemen dll.
ORGANISASI : & Menetapkan wewenang dan tanggung jawab auditor SI. & Fungsi auditor sistem informasi dalam organisasi. & Auditor sistem informasi menggunakan sentralisasi atau desentralisasi. & Menetapkan SDM audit sistem informasi
H. Ramlan, S.Kom.,MM.,QIA
IT-Audit & Control
AKTIVITAS : & Kegiatan individu auditor sistem informasi sesuai tujuan audit sistem informasi secara keseluruhan. & Auditor sistem informasi mampu bersinerji dengan bagian lain diluar auditor sistem informasi. & Kegiatan audit sistem informasi sesuai dengan visi dan misi perusahaan
PENGENDALIAN : & & & &
Keberadaan suatu badan pengendalian. Keberadaan standar kemampuan. Penilaian dan pengujian kemampuan. Keberadaan suatu kode etik.
H. Ramlan, S.Kom.,MM.,QIA
Terima kasih
IT-Audit & Control