10/11/2012

1

AUDIT SISTEM INFORMASI

~ OVERVIEW ~

Fakultas Informatika , IT Telkom

APK - 2012

Perkenalan

ANGELINA PRIMA KURNIATI (APK)

SIDE (Software Engineering, IS/IT, Data Engineering) F205

022-70442089 (sms only)

apk@ittelkom.ac.id

apk.blog.ittelkom.ac.id/blog

mailto:apk@ittelkom.ac.id

10/11/2012

2

Tujuan Perkuliahan

Mahasiswa mampu:

1. Memahami dan menjelaskan kembali konsep audit SI dengan COBIT 5

2. Memahami prinsip-prinsip dalam COBIT 5 dan implementasinya dalam

studi kasus

3. Menyusun panduan audit SI berdasarkan COBIT 5

4. Bekerja sama dalam kelompok untuk mengimplementasikan audit SI

dengan COBIT 5, menuliskan proses dan hasilnya, serta

mempresentasikannya di kelas

5. Mengerti beberapa standar lain yang dapat diterapkan dalam audit SI

Silabus

1. COBIT 5 Overview

2. COBIT 5 Principles

3. Implementation Guidance

4. COBIT 5 Process Capability Model

5. COBIT 5 Enabler

6. COBIT 5 enabling processes

7. COBIT 5 Comparison with Other Standards

10/11/2012

3

Daftar Pustaka

1. ISACA. COBIT 5- A Business Framework for the Governance and

Management of Enterprise IT. 2012.

2. ISACA. COBIT 5- Enabling Processes. 2012.

3. ISACA. COBIT 5- Implementation. 2012.

4. ISACA. CISA Review Manual. 2008.

Kontrak Belajar

Jadwal: 3 SKS: 3 jam kuliah, 1 jam responsi (4 x 50 menit per minggu) 14 minggu (28 pertemuan) Toleransi keterlambatan = 15 menit

Penilaian: UTS 20% UAS 25% Kuis 15% Presentasi 15% Tugas harian 10% Presentasi tubes 15% Batas nilai akhir fleksibel (sesuai distribusi nilai tiap kelas)

Tidak ada kuis/ tugas/ tugas besar susulan/ perbaikan/ tambahan Jika ditemukan indikasi plagiarism dalam tugas, nilai akhir MK ini adalah E

10/11/2012

4

[Review] Aturan Akademik ITTelkom

1 SKS

1 jam interaksi terjadwal (tatap muka di kelas)

1 jam kegiatan terstruktur (menjawab soal, menyusun makalah, dll)

1 jam kegiatan mandiri (membaca pustaka, praktikum mandiri, dll)

Syarat minimum perkuliahan

Dosen harus menyelenggarakan minimal 96%

Mahasiswa harus hadir minimal 75%

Pakaian seragam harian

Kemeja/ blouse warna putih

Celana panjang/ rok warna biru (bukan jeans)

Bersepatu (bukan sepatu sandal) dan berkaos kaki

Kejahatan akademik (pencontekan, plagiat, pemalsuan) pelanggaran berat

Latar Belakang

Sistem Informasi merupakan asset bagi suatu perusahaan yang bila diterapkan dengan baik akan memberikan kelebihan untuk berkompetensi sekaligus meningkatkan kemungkinan bagi kesuksesan suatu usaha

Dalam mengimplementasikan sistem informasi tersebut harus ada suatu tolok ukur untuk mencegah terjadinya hal-hal di luar rencana organisasi, dan

Agar pengoperasian sistem informasi bisa dilakukan secara efektif dan efisien.

10/11/2012

5

Tujuan Pengukuran Sistem Informasi

9

Tujuan pengukuran terhadap sistem informasi adalah untuk

meyakinkan manajemen bahwa apakah kinerja sistem

informasi yang ada pada organisasi nya sesuai dengan

perencanaan dan tujuan usaha yang dimilikinya.

Wujud dari pengukuran tersebut adalah

AUDIT SISTEM INFORMASI

Extensive use of Computers

10

Komputer digunakan untuk mengolah data dan menyediakan

informasi untuk membuat keputusan.

Sebelumnya, komputer hanya digunakan oleh perusahaan besar yang

dapat menanggung biaya membeli komputer dan biaya operasi

komputer.

Seiring perkembangan jaman, mikro komputer dengan paket perangkat

lunak menjadikan setiap orang menggunakannya di kantor dan di

rumah dengan mudah.

10/11/2012

6

Factors influencing

toward control and audit of computers

11

ORGANIZATION

Control and audit of computer-based information

systems

Organizational costs of data

loss

Costs of incorrect

decision making

Costs of computer abuse

Value of HW,SW,

personnel

High costs of computer error

Maintenance of privacy

Controlled evolution of

computer use

Need for Control and Audit of Computers (1)

12

Organization costs of data loss

Contoh: Hilangnya data yang menyimpan account receivable

pelanggan yang membeli secara kredit di sebuah department

store besar, karena file-nya rusak

Incorrect decision making

Data yang tidak benar menyebabkan keputusan yang diambil

tidak tepat bahkan sama sekali salah dan menyebabkan kerugian

organisasi.

Cost of computer abuse

Hacking, viruses, illegal physical access, abuse of priviledges

Konsekuensi: kerusakan/ pencurian/ modifikasi aset,

pelanggaran privasi, operasional terhambat

10/11/2012

7

Need for Control and Audit of Computers (2)

13

Value of hardware, software and personnel

Sumber daya organisasi, selain data, adalah hardware, software dan SDM

Organisasi menginvestasikan multimillion dollar untuk hardware

Software sangat membantu operasi organisasi. Apabila rusak atau dicuri maka menyebabkan kerugian finansial bagi organisasi

SDM selalu menjadi sumber daya paling bernilai.

High cost of computer error

Contoh: komputer untuk memonitor kondisi pasien selama operasi

bedah, mengarahkan peluru, mengendalikan reaktor nuklir

Need for Control and Audit of Computers (3)

14

Maintenance of privacy

Kemampuan komputer mengolah data menyebabkan perubahan ke arah

privasi individu (dan organisasi)

Controlled evolution of computer use

Contoh: penelitian penggunaan komputer utk mendukung perintah dan

sistem kendali senjata nuklir

Contoh: haruskah komputer menggantikan tenaga manusia?

Pemerintah, badan profesi, grup, organisasi dan individu harus

mengevaluasi dan memonitoring bagaimana kita menerapkan teknologi

komputer.

10/11/2012

8

Definisi

15

Audit

Independent review and examination of records and activities

to assess the adequacy of internal controls , to ensure

compliance with established policies and operational procedures,

and to recommend necessary changes in controls, policies, or

procedures.

IT/IS Audit

The process of collecting and evaluating evidence to determine

whether a computer system safeguards assets, maintains data

integrity, allows organizational goals to be achieved effectively and

uses resources efficiently.

Review Materi Lalu

1. Faktor-faktor apakah yang mempengaruhi organisasi

untuk mengendalikan dan melaksanakan audit sistem

informasi?

2. Apa dampak yang diharapkan dari pelaksanaan audit

sistem informasi dalam organisasi?

10/11/2012

9

Dampak Audit Sistem Informasi

IT/IS Audit

Asset safeguarding

Data integrity

System effectiveness

System efficiency

Sasaran Audit

18

Auditing ditujukan untuk memastikan business assurance bagi

perusahaan, dengan memperhitungkan business risk bagi

perusahaan.

Dalam peningkatan kecepatan saat ini, transaksi terjadi antar

komputer dari perusahaan-perusahaan yang berbisnis serta

berfrekuensi tinggi, maka mulai dirasakan perlu untuk

menempatkan titik kontrol yang tepat.

Audit tidak lagi hanya dilakukan pada akhir tahun buku.

Audit dapat dilakukan bahkan untuk setiap transaksi dan saat

transaksi terjadi.

10/11/2012

10

Peran Seorang Auditor

19

Untuk menempatkan titik kontrol yang tepat, maka perlu dilakukan kerjasama dengan pegawai di Departemen Sistem Informasi. Hal tersebut karena seluruh data transaksi terjadi dan disimpan dalam server yang dikelola oleh departemen itu.

Selain itu, Departemen Internal Auditor juga perlu melakukan business process reengineering, dari langkah awal yaitu proses penerimaan auditor baru sampai pada langkah akhir yaitu pemberian pendidikan dan pelatihan yang dibutuhkan.

Penetapan titik kontrol yang tepat, kerjasama dan business process reengineering, tidak dapat dilakukan oleh mesin, sehingga di sinilah peran auditor sebagai manusia dituntut untuk tetap ada.

Landasan Audit Sistem Informasi

20

Audit Sistem

Informasi

Traditional

Auditing

Computer

Science

IS Management

Behavioral

Science

10/11/2012

11

Traditional Auditing

21

Membawa ilmu pengaruh tentang teknik kendali internal

(internal control techniques )

Traditional auditing: mengumpulkan dan menilai bukti guna

menentukan dan melaporkan kesesuaian antara aktivitas

ekonomi

Metodologi umum untuk pengumpulan dan evaluasi bukti juga

berbasis pada metodologi audit tradisional (dibahas di pertemuan

lain).

Information Systems Management

22

Sejarah membuktikan bhw SI berbasis komputer hanya membawa

kehancuran , dan gagal mencapai tujuan organisasi

Setelah beberapa tahun para peneliti sibuk mencari cara yang lebih baik utk

manajemen pengembangan dan implementasi sistem informasi

Kini beberapa kemajuan telah dicapai di MIS, misal teknik

manajemen proye k telah menyebabkan suksesnya

pengembangan SI. Dokumentasi, standar, budget, dan investigasi

diterapkan

Perubahan cara pengembangan dan implementasi SI

mempengaruhi audit SI

Misal: analisis/desain berbasis objek, para programmer membuat program

lbh cepat dng sedikit eror dan mudah pemeliharaan

10/11/2012

12

Behavioral Science (=people problem)

23

SI terkadang gagal karena desainer tidak menghargai isu-isu

manusia terkait pengembangan dan implementasi sistem

Misal: resistensi terhadap SI, user mencoba mensabotase sistem, user dan

designer kurang berkomunikasi karena perbedaan konsep mengenai domain

aplikasi

Auditor hrs memahami kondisi yang berkaitan dengan masalah

perilaku, yang akan menyebabkan kegagalan sistem

Para peneliti menekankan kebutuhan desain sistem pada tugas-

tugas yg dicapai SI (teknik ), dan kualitas kerja pegawainya

(sosial) di dalam organisasi.

Computer Science

24

Ilmu komputer menekankan pada pengetahuan bagaimana

membuktikan kebenaran dari perangkat lunak, membangun

sistem komputer yang toleran pada kegagalan, mendesain

sistem operasi yang aman , dan pengiriman data secara aman

melalui link komunikasi

Pengetahuan-pengetahuan tersebut membawa cara yang lebih

baik untuk asset safeguarding, data integrity, system effectiveness

dan system efficiency.

10/11/2012

13

Cobit 5 overview

COBIT

CobIT (Control Objectives for Information & Related Technology)

adalah panduan kerja dalam pengelolaan teknologi informasi.

Disusun oleh ISACA (Information Systems Audit and Control

Association) dan ITGI (IT Governance Institute)

COBIT 5 menyediakan kerangka komprehensif yang membantu

enterprise meraih sasaran dalam tata kelola dan manajemen TI

di enterprise

COBIT 5 bersifat umum dan dapat diterapkan pada berbagai

ukuran enterprise, baik bersifat komersial, non-proft maupun

pada sektor publik

10/11/2012

14

COBIT 5 Principles

7 Phases of the Implementation Lifecycle