AUSI-01

Report
Audit Sistem
Informasi (AUSI)
1
Perkenalan
1. H. Sumijan, Ir, M.Sc
2. Lulus (APSI, Konsep SI, SIM, PTI,
Analisis Proses Bisnis)
3. KKKI72210 (2 SKS)
4. 08126607355 (sms only)
5. [email protected]
6. www.upi-yptk.ac.id/pascasarjana
2
Tujuan Perkuliahan
1. Mahasiswa memahami konsep dan metodologi
kontrol dan audit sistem informasi.
2. Mahasiswa juga mengetahui standar yang
digunakan dalam proses audit sistem informasi,
serta mampu menerapkan prosedur-prosedur
yang diperlukan dalam melakukan audit sistem
informasi.
3
Silabus
1. Konsep dasar Information System Control and Audit
2. IS Control and Audit general principles
3. IS Audit Process
4. Standard and Guidelines for IS Auditing
5. Konsep kontrol internal
6. Management control framework
7. Application control framework
8. Perencanaan dan manajemen audit
9. Evidence collection process
10. Evidence evaluation process
11. IT Governance
12. System and Infrastructure Lifecycle
13. IT Service Delivery & Support
14. Protection of Information assets
15. Business continuity and disaster recovery
4
Daftar Pustaka
1. Information System Control and Audit. Ron
Weber, 1999.
2. Information System Audit and Assurance. DubeGulati, 2005.
3. Cascarino,
Richard.
Auditor’s
Guide
to
Information System Auditing. John Wiley & Sons,
2007.
4. CISA Review Manual 2010. Information System
Audit and Control Association.
5
Kontrak Belajar
 Jadwal:
 2 SKS: 2 jam kuliah, 1 jam responsi (2 x 45 menit per minggu)
 14 minggu (16 pertemuan)
 15 menit sebelum dimulai sudah berada di Kelas
 Ruang B5 (Jam : SI-8 13:30-15:10, SI-7 16:00-17:40)
 Penilaian:
 UTS
25%
 UAS
45%
 Tugas, kuis
10%
 Softskill
10%
 Kehadiran
10% (>=75%)
 Batas nilai akhir fleksibel (sesuai distribusi nilai tiap kelas)
 Tidak ada kuis/ tugas/ susulan/ perbaikan/ tambahan
 Jika ditemukan indikasi plagiarism dalam tugas, nilai akhir MK ini
adalah E
6
[Review] Aturan Akademik UPI-YPTK
 1 SKS =
1. 1 jam interaksi terjadwal (tatap muka di kelas)
2. 1 jam kegiatan terstruktur
(menjawab soal, menyusun
makalah, dll)
3. 1 jam kegiatan mandiri (membaca pustaka, praktikum
mandiri, dll)
 Syarat minimum perkuliahan:
1. Dosen harus menyelenggarakan minimal 98%
2. Mahasiswa harus hadir minimal 75%
 Pakaian seragam harian:
1.
2.
Tidak memperbolehkan mahasiswa masuk kuliah yang berambut
gondrong, rambut dicat warna dan memakai anting bagi laki-laki,
bagi wanita mengenakanan pakaian ketat/rok diatas lutut.
Bersepatu (bukan sepatu sandal) dan berkaos kaki Kejahatan
akademik (pencontekan, plagiat, pemalsuan)  pelanggaran
berat
7
Latar Belakang
1. Sistem Informasi merupakan asset bagi suatu
perusahaan yang bila diterapkan dengan baik
akan
memberikan
kelebihan
untuk
berkompetensi
sekaligus
meningkatkan
kemungkinan bagi kesuksesan suatu usaha
2. Dalam mengimplementasikan sistem informasi
tersebut harus ada suatu tolok ukur untuk
mencegah terjadinya hal-hal di luar rencana
organisasi, dan
3. Agar pengoperasian sistem informasi bisa
dilakukan secara efektif dan efisien.
8
Tujuan Pengukuran Sistem Informasi
1. Tujuan
pengukuran
terhadap
sistem
informasi
adalah
untuk
meyakinkan
manajemen bahwa apakah kinerja sistem
informasi yang ada pada organisasi nya
sesuai dengan perencanaan dan tujuan
usaha yang dimilikinya.
2. Wujud dari pengukuran tersebut adalah
9
Extensive use of Computers
1. Komputer digunakan untuk mengolah data dan
menyediakan informasi untuk membuat keputusan.
a) Sebelumnya, komputer hanya digunakan oleh
perusahaan besar yang dapat menanggung
biaya membeli komputer dan biaya operasi
komputer.
b) Seiring perkembangan jaman, mikro komputer
dengan paket perangkat lunak menjadikan
setiap orang menggunakannya di kantor dan di
rumah dengan mudah.
10
Factors influencing toward control and
audit of computers
Costs of
incorrect
decision making
Organizational
costs of data
loss
Value of
HW,SW,
personnel
Costs of
computer abuse
Maintenance of
privacy
High costs of
computer error
Controlled
evolution of
computer use
Control and audit of computerbased information systems
11
Need for Control and Audit of Computers (1)
1. Organization costs of data loss
Contoh: Hilangnya data yang menyimpan account receivable
pelanggan yang membeli secara kredit di sebuah
department store besar, karena file-nya rusak
2. Incorrect decision making
Data yang tidak benar menyebabkan keputusan yang
diambil tidak tepat bahkan sama sekali salah dan
menyebabkan kerugian organisasi.
3. Cost of computer abuse
a) Hacking, viruses, illegal physical access, abuse of
priviledges
b) Konsekuensi: kerusakan/ pencurian/ modifikasi aset,
pelanggaran privasi, operasional terhambat
12
Need for Control and Audit of Computers (2)
 Value of hardware, software and personnel
 Sumber daya organisasi, selain data, adalah hardware,
software dan SDM
 Organisasi menginvestasikan multimillion dollar untuk
hardware
 Software sangat membantu operasi organisasi. Apabila
rusak atau dicuri maka menyebabkan kerugian finansial
bagi organisasi
 SDM selalu menjadi sumber daya paling bernilai.
 High cost of computer error
 Contoh: komputer untuk memonitor kondisi pasien selama
operasi bedah, mengarahkan peluru, mengendalikan
reaktor nuklir
13
Need for Control and Audit of Computers (3)
 Maintenance of privacy
 Kemampuan komputer mengolah data menyebabkan
perubahan ke arah privasi individu (dan organisasi)
 Controlled evolution of computer use
 Contoh:
penelitian penggunaan komputer utk
mendukung perintah dan sistem kendali senjata nuklir
 Contoh: haruskah komputer menggantikan tenaga
manusia?
 Pemerintah, badan profesi, grup, organisasi dan
individu harus mengevaluasi dan memonitoring
bagaimana kita menerapkan teknologi komputer.
14
Definisi
 Audit
Review independen dan pemeriksaan catatan dan kegiatan
untuk menilai kecukupan pengendalian internal, untuk
memastikan kepatuhan terhadap kebijakan yang ditetapkan
dan prosedur operasional, dan merekomendasikan perubahan
yang diperlukan dalam kontrol, kebijakan, atau prosedur.
 IT/IS Audit
Proses pengumpulan dan evaluasi bukti-bukti untuk
menentukan apakah sistem komputer aset perlindungan,
memelihara integritas data, memungkinkan tujuan organisasi
dapat dicapai secara efektif dan menggunakan sumber daya
secara efisien.
15
Dampak Audit Sistem Informasi
Asset
safeguarding
System
efficiency
IT/IS Audit
Data
integrity
System
effectiveness
16
Sasaran Audit
 Auditing
ditujukan untuk memastikan business
assurance
bagi
perusahaan,
dengan
memperhitungkan business risk bagi perusahaan.
 Dalam peningkatan kecepatan saat ini, transaksi
terjadi antar komputer dari perusahaan-perusahaan
yang berbisnis serta berfrekuensi tinggi, maka mulai
dirasakan perlu untuk menempatkan titik kontrol
yang tepat.
 Audit tidak lagi hanya dilakukan pada akhir tahun
buku.
 Audit dapat dilakukan bahkan untuk setiap transaksi
dan saat transaksi terjadi.
17
Peran Seorang Auditor
Untuk menempatkan titik kontrol yang tepat, maka perlu
dilakukan kerjasama dengan pegawai di Departemen
Sistem Informasi. Hal tersebut karena seluruh data
transaksi terjadi dan disimpan dalam server yang dikelola
oleh departemen itu.
 Selain itu, Departemen Internal Auditor juga perlu
melakukan business process reengineering, dari langkah
awal yaitu proses penerimaan auditor baru sampai pada
langkah akhir yaitu pemberian pendidikan dan pelatihan
yang dibutuhkan.
 Penetapan titik kontrol yang tepat, kerjasama dan business
process reengineering, tidak dapat dilakukan oleh mesin,
sehingga di sinilah peran auditor sebagai manusia dituntut
untuk tetap ada.

18
Landasan Audit Sistem Informasi
Information
Systems
Management
Traditional
Auditing
Audit Sistem Informasi
Computer
Science
Behavioral
Science
19
Traditional Auditing
1. Membawa ilmu pengaruh tentang teknik
kendali
internal
techniques)
(internal
control
2. Traditional
auditing: mengumpulkan dan
menilai bukti guna menentukan dan
melaporkan kesesuaian antara aktivitas
ekonomi
3. Metodologi umum untuk pengumpulan dan
evaluasi bukti juga berbasis pada metodologi
audit tradisional (dibahas di pertemuan lain).
20
Information Systems Management

Sejarah membuktikan bhw SIberbasis komputer hanya
membawa kehancuran, dan menyebabkan kegagalan
mencapai tujuan organisasi

Setelah beberapa tahun para peneliti sibuk mencari cara yang lebih
baik utk manajemen pengembangan dan implementasi sistem
informasi

Kini beberapa kemajuan telah dicapai di MIS, misal teknik
manajemen
proyek
telah
menyebabkan
suksesnya
pengembangan SI. Dokumentasi, standar, budget, dan
investigasi diterapkan

Perubahan cara pengembangan
mempengaruhi audit SI

dan
implementasi
SI
Misal: analisis/desain berbasis objek, para programmer membuat
program lbh cepat dng sedikit eror dan mudah pemeliharaan
21
Behavioral Science (=people problem)
 SI terkadang gagal karena desainer tidak menghargai
isu-isu
manusia
implementasi sistem


terkait
pengembangan
dan
Misal: resistensi terhadap SI, user mencoba mensabotase sistem, user
dan designer kurang berkomunikasi karena perbedaan konsep
mengenai domain aplikasi
Auditor hrs memahami kondisi yang berkaitan dengan
masalah perilaku, yang akan menyebabkan kegagalan
sistem
 Para peneliti menekankan kebutuhan desain sistem
pada tugas-tugas yg dicapai SI (teknik), dan kualitas
kerja pegawainya (sosial) di dalam organisasi.
22
Computer Science
 Ilmu
komputer menekankan pada pengetahuan
bagaimana membuktikan kebenaran dari perangkat
lunak, membangun sistem komputer yang toleran
pada kegagalan, mendesain sistem operasi yang
aman, dan pengiriman data secara aman melalui
link komunikasi
 Pengetahuan-pengetahuan tersebut membawa cara
yang lebih baik untuk asset safeguarding, data
integrity, system effectiveness dan system
efficiency.
23
Metodologi Audit SI
CobIT (Control Objectives for Information
& Related Technology) adalah panduan
kerja
dalam
pengelolaan
teknologi
informasi.
Disusun
oleh
ISACA
(Information Systems Audit and Control
Association) dan ITGI (IT Governance
Institute)
24
CobIT
 COBIT (Control Objectives for Information and related
Technology),
merupakan salah satu metodology yang memberikan
kerangka dasar dalam menciptakan sebuah Teknologi
Informasi yang sesuai dengan kebutuhan organisasi
dengan tetap memperhatikan faktor – faktor lain yang
berpengaruh.
 Sebagai model untuk organisasi sistem informasi, maka
COBIT memuat kendali yang sifatnya generik.
25
26

similar documents