Top Banner
Audit Audit Sistem Informasi Sistem Informasi Ramlan, Ramlan, S.Kom.,MM.,QIA S.Kom.,MM.,QIA P OLITEKNIK PRAKTISI OLITEKNIK PRAKTISI Nata Endah-II Alamanda P-114 TLP : 5413695 Telkom MCC Cisanggarung No.2 022-70712675 081321773591 1
61

Audit Si Praktisi

Dec 02, 2015

Download

Documents

zyjumpers
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Page 1: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

Nata Endah-IIAlamanda P-114TLP : 5413695

Telkom MCCCisanggarung No.2

022-70712675081321773591

1

Page 2: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

TEMUAN : Kondisi, Kriteria, Akibat, Sebab (Penyebab utama).

Proses dimana seseorang yang kompeten dan independen mengumpulkan dan menilai bukti-bukti mengenai informasi yang dapat dikuantifikasi berkaitan dengan suatu entitas ekonomi tertentu dengan tujuan untuk menentukan dan melaporkan mengenai tingkat kesesuaian antara informasi yang dapat dikuantifikasi tersebut dengan kriteria yang telah ditetapkan.

(Arens dan Loebbecke, “ Auditing PDE” Anies S.M. Basalamah).

2

AUDITING

Proses sistematis mengenai mendapatkan dan mengevaluasi secara objektif bukti yang berkaitan dengan penilaian mengenai berbagai kegiatan dan peristiwa ekonomi untuk memastikan tingkat keseuaian antara penilaian-penilaian tersebut dan membentuk kriteria serta menyampaikan hasilnya ke para pengguna yang berkepentingan .

( Hall Singleton “Information Technology Auditing & Assurance”)

Page 3: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

CONTOH HASIL AUDIT

NO.KONDISI/TEMUAN

KRITERIAANALISA

(SEBAB-AKIBAT)REKOMENDASI

AUDITOR

1.

Total tunggakan

sampai dengan bulan Juli-2008

sebesar Rp. 623.850.000,-

Total tunggakan

maksimum Rp. 500.000.000,- (KD No. .....

2007)

Analisa dan data kelayakan nasabah tidak akurat. Tingginya bad debt.Tunggakan > 3 bln tidak diberitahu.Denda belum sepenuh-nya dijalankan.

Analisa dan data lebih akurat.Pelaksanaan

ketentuan denda perlu dijalankan secara konsisten

sesuai dengan KD..... / 2007

MATRIK TEMUAN HASIL KONFIRMASIOBJEK AUDIT : AUDIT PENGELOLAAN OPERASIONAL TUNGGAKAN

LOKASI : PELAYANAN BANDUNGPERIOCE : JANUARI – JUNI 2008

MATRIK TEMUAN HASIL KONFIRMASIOBJEK AUDIT : AUDIT PENGELOLAAN OPERASIONAL TUNGGAKAN

LOKASI : PELAYANAN BANDUNGPERIOCE : JANUARI – JUNI 2008

3

Page 4: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

JENIS-JENIS AUDIT

FINANCIAL AUDIT : atestasi (pembuktian) independen yang dilakukan oleh seorang ahli yang menyatakan pendapatnya atas penyajian laporan keuangan.

Unqualified (Telah terjadi kerugian yang material). Qualified. (Tidak terjadi kerugian yang material). Disclaimer (Pendapat tidak memberikan pendapat). Adverse (Menolak/ lap. Keuangan tidak sesuai PSAK ).

MANAGEMENT AUDIT (OPERATIONAL AUDIT) : audit terhadap kegiatan oprasi suatu perusahaan, ternasuk kebijakan akuntansi dan kebijakan operasional yang ditentukan oleh manajemen, untuk mengetahui apakah kegiatan operasi tersebut sudah dilakukan secara efektif, efisien, dan ekonomis.COMPLAIN AUDIT : audit untuk mengetahui apakah perusahaan sudah mentaati peraturan dan kebijakan yang berlaku, baik yang ditetapkan oleh internal perusahaan maupun eksternal perusahaan.

Page 5: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

INTERNAL AUDIT : audit yang dilakukan oleh bagian internal audit perusahaan baik terhadap laporan keuangan perusahaan maupun laporan manajemen (operasional).

FRAUD AUDIT : merupakan area audit terbaru akibat dari penipuan yang menjadi-jadi oleh karyawan serta penipuan keuangan besar.

EKSTERNAL AUDIT : audit yang dilakukan oleh auditor independen yang bekerja di luar perusahaan yang diaudit. Auditor eksternal adalah auditor independen dan disertifikasi sebagai akuntan publik yang bersetifikasi

SEGITIGA KECURANGAN

Page 6: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

Information System Audit

ComputerScience

Traditional audit

BehavioralScience

InfoamtionSystem

Management

6

LATAR BELAKANG ADANYAAUDIT SISTEM INFORMASILATAR BELAKANG ADANYAAUDIT SISTEM INFORMASI

Page 7: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

Salah membuatkeputusan

Mahalnya HWSW dan BW

Mahalnya

komputer

error

Evolusi komputerperlu dikendalikan

Privacy

Biaya hilangnya data

Computer abuse

KEBUTUHAN TERHADAP KEBUTUHAN TERHADAP

PENGENDALIAN & PENGENDALIAN & AUDIT SISTEM INFORMASI AUDIT SISTEM INFORMASI

Kesalahan proses

( perhitungan)

7

Page 8: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

Information Systems Auditing is a process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently” (Ron Weber)

Audit Sistem Informasi adalah proses mengumpulkan dan mengevaluasi bukti untuk menentukan apakah sistem komputer dapat mengamankan asset, menjaga integritas data, mencapai tujuan organisasi secara efektif, dan menggunakan sumber daya secara efisien. (Computer Audit, EDP Audit, IT- Audit, IS-Audit )

8

DEFINISI

AUDIT SISTEM INFORMASI

Page 9: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

IS Auditing

Organizations

ImprovedSafeguarding

of Assets

ImprovedData Integrity

ImprovedSystem

Effectiveness

ImprovedSystem

Efficiency

TUJUAN AUDIT SISTEM INFORMASI

(sumber : Ron Weber “Information Systems Control & Audit”)

Page 10: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

10

No Audit phase Penjelasan

1. Subjek audit Menentukan apa yang akan diaudit

2. Tujuan audit Menentukan tujuan dari audit.

3. Ruang lingkup audit Menentukan sistem, fungsi dan bagian dari organisasi yang secara spesifik akan diaudit.

4. Perencanan awal audit Mengidentifikasi sumber daya yang dibutuhkanMenentukan dokumen apa yang diperlukan untuk audit

5. Prosedur audit & tahapan pengumpulan data

Menentukan cara melakukan audit untuk memeriksa dan menguji kontrolMenentukan siapa yang akan diwawancara

6. Evaluasi hasil pengujian dan pemeriksaan

Evaluasi hasil pengujian secara spesifik pada tiap organisasi

7. Prosedur komunikasi dengan pihak manajemen

Mengkomunikasi hasil audit secara spesifik pada tiap organisasi

8. Penyajian laporan audit Menentukan bagaimana cara mereview hasil auditEvaluasi kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari orgnisasi yang diaudit

METODOLOGI AUDIT SISTEM INFORMASI

Page 11: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

Laporan Audit

Laporan Audit

Kaji Kebijakan Praktik, dan

Struktut Perusahaan

Kaji Kebijakan Praktik, dan

Struktut Perusahaan

MULAI

Kaji Pengendalian Umum dan

Pengendalian Aplikasi

Kaji Pengendalian Umum dan

Pengendalian Aplikasi

Pelaksanaan Prosedur Uji

Pengendalian dan Uji Prosedur

Pelaksanaan Prosedur Uji

Pengendalian dan Uji Prosedur

Lakukan Uji PengendalianLakukan Uji Pengendalian

Tentukan Tingkat Keandalan

Pengendalian

Tentukan Tingkat Keandalan

Pengendalian

Evaluasi Hasil Pengujian

Evaluasi Hasil Pengujian

Evaluasi Hasil dan Keluarkan Laporan

Audit

Evaluasi Hasil dan Keluarkan Laporan

Audit

Lakukan Uji Substantif

Lakukan Uji Substantif

TAHAPAN AUDIT SISTEM INFORMASITAHAPAN AUDIT SISTEM INFORMASI

TahapPerencanaan

Audit

Tahap Pengujian

Pengendalian

Tahap PengujianSubstantif

Sumber : Information Technogi Auditing and Assurance : Hall singleton

11

Page 12: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

Tahap Pendahuluan : untuk memahami dan mendapatkan gambaran sistem manual dan komputerisasi yang diterapkan.

Tahap Detail : berfokus pada dua pengendalian yaitu pengendalian umum dan pengendalian aplikasi.

Pengujian ketaatan : pengujian ketaatan kepada peraturan dan kebijakan yang berlaku terhadap sistem dan teknologi informasi.

Pengujian Kendali Kompensasi : pengujian pengendalian diluar pengendalian umum dan aplikasi seperti prosedur atau proses manual.

Pengujian Substantif : untuk mendapatkan keyakinan secara mendalam atas keandalan pengendalian yang diterapkan untuk melindingi organisasi dari kemungkina kecurangan (mengambil sampel).

Membuat laporan : membuat laporan hasil audit.

Monitoring tindak lanjut

12

TAHAPAN AUDIT SISTEM INFORMASI (2)TAHAPAN AUDIT SISTEM INFORMASI (2)

Page 13: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

KONSEP RISIKOKONSEP RISIKO

RISIKO : suatu keadaan yang tidak pasti yang dihadapi seseorang atau perusahaan yang dapat memberikan dampak yang merugikan.Menurut Jones dan Rama mengelompokkan risiko dalam 4 :

Execution Risk : risiko yang berkaitan dengan tidak tercapainya sesuatu yang seharusnya dilakukan.

Information risk : risiko yang berkaitan dengan kemungkinan kesalahan atau penyalahgunaan data/ informasi.

Asset protection risk : risiko kerusakan, hilang, atau aset tidak digunakan sebagaimana mestinya, maupun risiko yang dapat timbul terhadap aset akibat dari salah dalam mengambil keputusan.

Performance risk : risiko yang berkaitan dengan kinerja yang tidak dapat dilaksanakan sesuai dengan tujuan/ standar yang telah ditetapkan.

Page 14: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

RISIKO AUDIT : probabilitas bahwa auditor akan memberikan pendapat yang wajar (bersih) atas laporan keuangan yang pada kenyataannya salah saji secara material. Komponen Risiko Audit :

Risiko Inheren (risiko bawaan)

Risiko Pengendalian Risko Deteksi

RISIKO INHEREN : berhubungan dengan karakteristik unik dar bisnis atau industri klien. Potensi kesalahaan (penyalahagunaan) yang melekat pada suatu kegiatan, jika tidak ada pengendalian internal. RISIKO PENGENDALIAN : kemungkinan struktur pengendalian salah karena tidak adanya atau tidak memadainya pengendalian untuk mencegah atau mendeteksi dalam berbagai kesalahan.

RISIKO AUDIT

RISIKO DETEKSI : risiko yang bersedia diambil oleh auditor atas berbagai kesalahan yang tidak terdeteksi atau dicegah oleh struktur pengendalian yang juga tidak terdeteksi oleh auditor .

Page 15: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

RUMUS (MODEL) RISIKO AUDIT

AR = Audit Rsik.

Inherent Risk Control Risk Detection

RiskMisalkan risiko audit dinilai dengan nilai 5% = keperayaan internal (confidence internal) 95% dalam statistik. Asumsikan IR dinilai pada tingkat 40% dan CR dinilai 60%. Berapa DR ?5% = 40% x 60% x DR maka DR = 4.8%

AR = IR x CR x DR

Hubungan Uji pengendalian dengan Uji substantif

Asumsikan bahwa audit tahun lalu melalui penilaian risiko IR 40% dan CR 60%, serta DR 4.8%. Asumsikan bahwa pengendalian tahun ini lebh ditingkatkan , segingga angka risiko pengendalian (CR) dapat diturunkan menjadi 40%, sehingga DR diperoleh hasil sbb :5% = 40% x 40% x DR maka DR = 3,2%

Makin handal pengendalian internal semakin rendah probabilitas DR.

Page 16: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

SISTEM PENGENDALIAN INTERNALPembentukan dan pemeliharaan sistem pengendalian internal adalah kewajiban pihak manajemen yang penting. Aspek fundamental dari tanggung jawab pelayanan pihak manajemen adalah untuk memberikan para pemegang saham jaminan yang wajar bahwa bisnis telah cukup terkendali. Selain itu pihak manajemen memiliki tanggung jawab untuk melengkapi pemegang saham dan calon investor lainnya dengan informasi keuangan yang dapat diandalkan secara tepat waktu. Sistem pengendalian internal yang memadai sangat dibutuhkan agar pihak manajemen dapat melaksanakan berbagai kewajiban ini.

Mengamankan aktiva perusahaanMemastikan akurasi dan keandalan berbagai catatan dan informasi akuntansiMenyebarluaskan efisiensi dalam operasi perusahaanMengukur keataatan dengan berbagai kebijakan dan prosedur yang ditetapkan oleh pihak manajemen.

( American Institute of Certified Public Accountans-AICPA)SISTEM PENGENDALIAN INTERNAL : terdiri atas kebijakan, praktek, dan prosedur yang digunakan oleh perusahaan untuk mencapai empat tuuan umum :

Page 17: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

TINGKAT PENGENDALIAN INTERNALPENGENDALIAN PREVENTIF : teknik pasif yang didesain untuk mengurangi frekwensi terjadinya peristiwa yang tidak diinginkan.Mencegah kesalahan dan penipuan jauh lebih efektif dari segi biaya daripada mendeteksi dan memperbaiki masalah setelah masalah tersebut terjadi.PENGENDALIAN DETEKTIF : barbagai alat, teknik, dan prosedur yang didesain untuk mengidentifikasi dan mengekspos peristiwa yang tidak diinginkan yang lolos dari pengendalian preventif.Ketika pengendalian detektif mengidentifikasi adanya penyimpangan dari standar, maka akan terdengar peringatan untuk menarik perhatian ke masalah terkait.PENGENDALIAN KOREKTIF : tindakan perbaikan yang dilakukan terhadap masalah dari hasil deteksi. PENGENDALIAN PREDIKTIF : pengembangan berbagai teknik untuk benar-benar memprediksi peristiwa menyimpang tertentu.Proses ini mengarah pada sistem peringatan dni yang memperingati pihak-pihak terkait mengenai virus, worm, serangan penolakan layanan, dan aktivitas perusak lainnya.( Hall Singleton “Information Technology Auditing &

Assurance”)

Page 18: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

Pengendalian Umum (General Control) o Pengendalian organisasi (manajemen)o Pengendalian keamanan komputer.o Pengendalian pengembangan sistemo Pengendalian pemprograman dan operasio Pengendalian jaringan (network)o Pengendalian akses database.o Pengendalian dokumentasi sistem

Pengendalian Aplikasi (Application Control) Pengendalian Input

Pengendalian Proses Pengendalian Output

PENGENDALIAN SISTEM INFORMASI

Page 19: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

Intergritas dan Nilai EtikaKommitmen terhadap KompetensiFilosofi Manajemen dan Gaya KepemimpinanStruktur OrganisasiKomite AuditPenugasan Wewenang dan tanggung JawabKebijakan SDM dan Penerapannya

Resiko BisnisResiko OperationResiko KeuanganResiko Ketaaran

Memonitor kualitas dan kinerja sistem dan internal controlPengawasan yang langsung oleh atasan Evaluasi yang dilakukan oleh internal auditor

The Committee of Sponsoring Organizations of The Treadway Commission (COSO). (Sept-1992)

Pemisahan tugas yang memadaiOtoritas yang semestinya atas transaksi dan aktivitasDokumen dan catatan yang memadaiPengendalian fisik atau aktiva Pengendalian umum dan aplikasPengecekan independen atas kinerja

Mem

pero

leh

info

rmas

i int

erna

l dan

ekte

rnal

un

tuk

diol

ah &

disa

jikan

kep

ada

man

ajem

en

Men

yajik

an in

form

asi r

elev

an k

epad

a pi

hak

yan

g te

pat s

ecar

a te

pat i

si da

n te

pat w

aktu

.

AAA = American Accounting AssociationIIA = Institute of Internal AuditorsFEI = Financial Executives InternationalIMA = Institute of Management AccountantsAICPA = American Institute of Certified Public Accountants

PENGENDALIAN

INTERNAL

COSO

Page 20: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

BUSINESS OBJECTIVES ANDGOVERNANCE OBJECTIVES

Efficiency

ApplicationsInformation

InfrastructurePeople

DELIVER AND

SUPPORT

MONITORAND

EVALUATE

ACQUIREAND

IMPLEMENT

INFORMATION

ITRESOURCES

C O B I TF R A M E W O R K

EffectivenessConfidentiality

Integrity

AvailabilityCompliance

DS1 Define and manage service levels.DS2 Manage third-party services.DS3 Manage performance and

capacity.DS4 Ensure continuous service.DS5 Ensure systems security.DS6 Identify and allocate costs.DS7 Educate and train users.DS8 Manage service desk and

incidents.DS9 Manage the configuration.DS10 Manage problems.DS11 Manage data.DS12 Manage the physical environment.DS13 Manage operations.

ME1 Monitor and evaluate IT performance.

ME2 Monitor and evaluate internal control.

ME3 Ensure compliance with external requirements.

ME4 Provide IT governance.

PO1 Define a strategic IT plan.PO2 Define the information

architecture.PO3 Determine technological

direction.PO4 Define the IT processes,

organisation and relationships.PO5 Manage the IT investment.PO6 Communicate management

aims and direction.PO7 Manage IT human resources.PO8 Manage quality.PO9 Assess and manage IT risks.PO10 Manage projects.

AI1 Identify automated solutions.AI2 Acquire and maintain

application software.AI3 Acquire and maintain

technology infrastructure.AI4 Enable operation and use.AI5 Procure IT resources.AI6 Manage changes.AI7 Install and accredit solutions

and changes.

PLANAND

ORGANISE

Reliability

Page 21: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

COBIT (Control Objectives for Information and Related Technology) adalah sekumpulan dokumentasi best practices untuk IT governance (tata kelola) yang dapat membantu auditor, manajemen and pengguna ( user ) untuk menjembatani celah antara risiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis. COBIT adalah framework dan tool pendukung yang memungkinkan manajer untuk menjembatani gap sehubungan dengan kebutuhan control, isu teknis dan resiko bisnis, dan menyampaikan level control tersebut pada stakeholder. Didefinisikan dalam pengertian yang paling luas, jadi

bukan hanya meliputi angka, teks ataupun tanggal saja, tetapi termasuk juga obyek-obyek lain yang ditampilkan sebagai grafik,suara / bunyi, maupun video.

seluruh prosedur-prosedur baik yang manual maupun yang terprogram.

individu yang terampil dan memiliki kemampuan merencanakan, mengorganisasikan, menghimpun, membagikan, mendukung, dan memonitor sistem serta pelayanan informasi.

INFORMATIO

N

APPLICATIO

N INFRASTRUCTUR

E

PEOPLE

Mencakup teknologi dan fasilitas yang digunakan untuk menampung dan mendukung sistem informasi.

IT Resources

Page 22: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

DEFINISI PENGENDALIAN MENURUT COBIT ”Control adalah suatu kebijakan, prosedur, praktek dan struktur organisasi yang diciptakan untuk memberikan keyakinan yang memadai bahwa tujuan organisasi/ perusahaan akan dapat dicapai, dan hal-hal atau kejadian-kejadian yang tidak dikehendaki, dapat dicegah (prevent), dideteksi (detect), atau dikoreksi (correct).”

DEFINISI PENGENDALIAN MENURUT COBIT ”Control adalah suatu kebijakan, prosedur, praktek dan struktur organisasi yang diciptakan untuk memberikan keyakinan yang memadai bahwa tujuan organisasi/ perusahaan akan dapat dicapai, dan hal-hal atau kejadian-kejadian yang tidak dikehendaki, dapat dicegah (prevent), dideteksi (detect), atau dikoreksi (correct).”

Menitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis

Menitikberatkan pada integritas data dalam sistem

Menitikberatkan pada ketersediaan data/ informasi dalam sistem informasi

Menitikberatkan pada kesesuaian data/informasi dalam sistem informasi

Menitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh sistem

Effectivnes

s Efficiency

Confidentiality

Integrity

Availability

Compliance

Reliability

Menitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh sistem

Menitikberatkan pada kemampuan/ ketangguhan sistem informasi dalam pengelolaan data/ informasi

Information Critera

Page 23: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

Mendeteksi bahwa ke-salahan, perubahan/ tindakan yang sudah terjadi serta melapor-kan ,mendiskusikan, kalkulasi ulang, Laporan kinerja sistem, Check point dalam rantai produksi.

Memperkecil dampak ancaman Mengidentifikasi sumber masalah dan memperbaikinyaMengubah sistem agar meminimalisir dampak.

Mendeteksi sebelum ter-jadi, memantau input dan operasi, melakukan pre-diksi masalah yg mungkin terjadi, mencegah kesrusa-kan dari tindakan kejahatan, pemisahan tugas dan tanggungjawab

Page 24: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

Contoh Preventif : Gunakan software yang sah Terapkan akses “read only” untuk seluruh software Cek software baru dengan antivrus sebelum di install Cek file baru dengan antivirussebelum digunakan. Sosialisasikan tentang bahaya virus. Contoh Detektif Jalankan software antivirus secara reguler Amati dan bandingkan ukuran file untuk menentukan

apakah ada perubahan. Amati dan bandingkan tanggal dan waktu untuk

menentukan apakah ada modifikasi software.

Contoh Korektif Yakinkan bahwa backup yang ada selalu “clean” Buat rencana/ dokumentasi untuk mengatasi serangan virus Jalankan antivirus untuk menghilangkan virus.

Page 25: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

PENGENDALIAN

INTERNAL

SAC

Systems Auditability and Control / Systems Assurance and Control dipublikasikan 1977 oleh the Institute of Internal Auditor.

Menurut SAC pengendalian internal teknologi informasi mencakup 3 (tiga) area :

Computer-based information systems control

Computer service center controls Systems development controls

Tujuan pengendalian internal pada sistem berbasis komputer dalam kajian SAC (IIA-1975) :

Mengkaji secara komperenhensip mengenai kondisi dan perkembangan teknologi informasi, kebutuhan kontrol dan auditnya.

Mendorong peningkatan kesadaran pimpinan tentang pengelolaan lingkungan teknologi informasi, dampaknya terhadap kontrol dan audit internal.

Meletakkan dasar-dasar kontrol internal teknologi informasi dalam perspektifnya (di dalam konteks sistem secara keseluruhan).

Page 26: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

PENGENDALIAN ORGANISASI DAN MANAJEMEN

Pemisahan fungsi Departemen teknologi informasi dan non teknologi informasi.

Pemisahan fungsi dalam Departemen teknologi informasi

Otorisasi transaksi

Pengendalian personil

Perencanaan, penganggaran dan sistem pembebanan kepada pemakai (user).

Page 27: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

PERAN AUDITOR DALAM PENGEMBANGAN SISTEM : BERPARTISISPASI DALAM PERANCANGAN DAN PENGEMBANGAN SISTEM. EVALUASI ULANG SISTEM YANG TELAH DITERAPKAN. EVALUASI SISTEM PENGENDALIAN YANG ADA.

MODEL EVALUASI PENGEMBANGAN SISTEM :1. PENDEKATAN SIKLUS HIDUP PENGEMBANGAN SISTEM.

FEASIBILITY STUDY (PROPOSAL DAN KRITERIA BIAYA)INFORMATION ANALYSIS (USER REQUIREMENT)SYSTEM DESIGN (INTERFACE, FILE ETC).PROGRAM DEVELOPMENT (DESIGNING, CODING, COMPLING, TESTING & DOC ).

PROCEDURE & FORM2. PENDEKATAN DISAIN SOSIAL TEKNIS PENGEMBANGAN SISTEM.

BERSAMA-SAMA ANTARA SOSIAL DAN TEKNIS DALAM KORDINASI PENGEMBANGAN SISTEM.

3. PENDEKATAN POLITIK PENGEMBANGAN SISTEM.PENDEKATAN TERHADAP DISTRIBUSI WEWENANG DALAM ORGANISASI.

4. PENDEKATAN SOFT SISTEM PENGEMBANGAN SISTEM.PENDEKATAN TERHADAP PERMASALAHAN YANG ADA.

5. PENDEKATAN PROTOTYPE PENGEMBANGAN SISTEM.PENDEKATAN TERHADAP SOLUSI KETIDAK PASTIAN DALAM DESIGN SISTEM.

6. PENDEKATAN KETIDAK PASTIAN PENGEMBANGAN SISTEM.ADAPTASI UNTUK SILUSI HUBUNGAN ORGANISASI PADA SISTEM YANG SEDANG DIRANCANG (SOCIAL SYSTEM IMPACT, TASK SYSTEM IMPACK, SYSTEM SIZE, COMMUNALITY, REQUIREMENT UNCERTAINTY, TECHNOLOGY UNCERTAINTY).

PENGENDALIAN TERHADAP SIKLUS PENGEMBANGAN SISTEM

Page 28: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

1. DEFINISIKAN PELUANG ATAU MASALAH.PELUANG YANG ADA DAN PERMASALAH (LAKUKAN SWOT).

2. MANAJEMEN PERUBAHAN PROSES.MANAJEMEN PROYEK DAN PERUBAHAN FASILITAS.

3. MASUKAN DAN PENILAIAN KELAYAKAN.KELAYAKAN TEKNIS, OPERASI DAN EKONOMI.

4. ANALISA SISTEM YANG SEDANG BERJALAN.ORGANISASI, STRUKTUR, BUDAYA, DAN ALUR INFORMASI.

5. RUMUSKAN KEBUTUHAN STRATEGIS.RUMUSKAN TUJUAN YANG DIHARAPKAN..

6. ORGANISASI DAN RENCANA PEKERJAAN.STRUKTUR ORGSNISASI, STAFFING DAN JOB DESIGN.

7. DESAIN PROSES SISTEM INFORMASIDESAIN REQUIREMENT, DATABASE, PHYSICAL DAN HW/ SW PLATFORM.

8. AKUISISI DAN PENGEMBANGAN S/W APLIKASIPEMENUHAN KECUKUPAN UNTUK PENGEMBANGAN SW APLIKASI.

1. AKUISISI HW & SW SISTEM.PEMENUHAN KECUKUPAN UNTUK PENGEMBANGAN HW/SW SISTEM.

2. PROSDUR PENGEMBANGAN.DESAIN, TEST, IMPLEMENTASI DAN DOKUMENTASI PROSDUR.

3. PENERIMAAN PENGUJIAN.(PROGRAM TEST, SISTEM TEST, USER TEST DAN QUALITY ASSURANCE TEST)

4. KONVERSIKONVERSI DARI SISTEM LAMA KE SISTEM YANG BARU

5. OPERASI DAN PEMELIHARAAN REPAIR, ADAPTIVE AND PERFECTIVE MAINTENANCE

TAHAPAN EVALUASI PENGEMBANGAN SISTEM

Page 29: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

Business Processes

LOGICAL = (Database, Operating System, Application, Network)

Ord

er-t

o-C

as h

Hu

ma

n C

a pit

a l

Tre

as u

ry

Pa y

roll

Pro

cure

-to

-Pa y

Ma n

ufa

ctu

ring

ITGovernance

IT Services

SECURITY MANAGEMENT CONTROLSECURITY MANAGEMENT CONTROL

PHYSICAL (SDM, HW, Fasilitas, Dokumen, Supplies) terhadap kebakaran, polusi, banjir, gempa, pencurian.

Page 30: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

Tahap-tahapnya : Merencanakan dan menetapkan tujuan, lingkup dan tugas-tugas/ Identifikasi aset (HR, HW,SW, Documentation, Data) Nilai aset (Pengelolaan aset, kehilangan aset dan waktu, umur aset) Perlakukan terhadap aset dan kompetitor. Administrasi, asuransi, spesifikasi sesuai periode waktu tertentu.

Identifikasi control, evaluasi kemungkinan gagal operasi dan ukur kehilangan hasil.

Pengelolaan laporan.

Tujuannya : Untuk menjamin agar aset sistem informasi tetap aman,

baik akses fisik maupun akses non fisik.

Page 31: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

CONTOH HASIL AUDIT

NO.KONDISI/TEMUAN

KRITERIAANALISA

(SEBAB-AKIBAT)REKOMENDASI

1.

Belum dijalankan Manajemen User-ID dan Password.

Fakta : Terdapat 3 user

dengan level yang sama

(super user)

(KD No. 11/.../ISC ..... 2007) tentang Manajemen User-ID dan

Pasword.

Keterbatasan SDM, tinginya pertumbu-han pelanggan.Dapat menimbulkan penyelahgunaan hak akses sampai level super user.

Identifikasi pengguna(User-ID)

dan ketentuan Manajemen user ID dan password perlu dijalankan secara konsisten sesuai dengan (KD No.

11/.../ISC ..... 2007)

MATRIK TEMUAN HASIL KONFIRMASIOBYEK AUDIT : AUDIT PENGELOLAAN SIM TUNGGAKAN

LOKASI : ISC BANDUNG PERIOCE : JANUARI – JUNI 2008

MATRIK TEMUAN HASIL KONFIRMASIOBYEK AUDIT : AUDIT PENGELOLAAN SIM TUNGGAKAN

LOKASI : ISC BANDUNG PERIOCE : JANUARI – JUNI 2008

Page 32: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

Fungsinya : Computer Operation (operation, scheduling & maintenance

control) Communication network Data Prepation and entry Production Control (I/O, Job scheduling, SLA) File library (penyimpanan, penggunaan, dan

pemeliharaan) Documentation and Program Library Help Desk / Technical Support Capacity Planning and Performance Monitoring Outsourced Operation (Finance, Vendor, Complaince &

Cntracy)

OPERATION MANAGEMENT CONTROLOPERATION MANAGEMENT CONTROL Memfasilitas hasil sistem aplikasi Mengembangkan SDM yang dapat mendesign,

implementasi dan memelihara sistem aplikasi

Page 33: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

PASSWORD

PENGENDALIAN AKSES PERANGKAT KERASPENGENDALIAN AKSES PERANGKAT KERAS

ACCESS LOG

ENCRYPTION

BIOMETRICTECHNOLOGIES

AUTOMATICLOG-OFF

Pengendalian dengan menggunakan password( Account locking, Aging, Complexity verification).

Pengendalian yang mirip dengan password namun dikaitkan dengan identitas diri seperti sidik jari, telapak tangan, suara dll.

Pengendalian menggunakan log untuk mencatat semua kegiatan penggunaan sistem.

Pengendalian dengan menggunakan algoritma atau logika tertentu mengacak atau memanifulasi data.Pengendalian yang secara otomatis memutuskan hubungan dengan terminal yang tidak aktif.

Page 34: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

DATA RESOURCE MANAGEMENT CONTROLDATA RESOURCE MANAGEMENT CONTROL

Fungsinya : Mendefinisikan, membuat, meredefinisi data. Membuat database untuk kebutuhan user. Menginformasikan dan melayani user.

Memelihara integritas data. (Gannguan listrik, kerusakan disk. Kesalahan SW, akses yang tak berhak, atribut, relasi dan basis data )

Tujuannya : Sharebility {kemampuan untuk berbagi data kepada pengguna) Availability (ketersediaan data) : data tersedia kapan saja, dimana

saja, dan dalam bentuk apapun. Evolvability (kemampuan untuk dapat dikembangkan) : dapat

dikembangkan dengan mudah sesuai kenutuhan penguna.

Intergrity (keutuhan dan kosistensi data) : keaslian, keakuratan, kelengkapan, dan konsistensi data tetap terjaga.

Page 35: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

Record CountRecord Count

Tidak ada 'satu-record-pun' dari 'satu SET penginputan data' yang terlewat ! 1/4 2/4

3/4 Total RECORD = 44/4

Batch TotalBatch Total$500

$200

$100

$50$150

1Batch Total 4 docs = $ 1.500$600

$300

$400

43

2

Pengendalian INPUT

Page 36: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

Sequence CheckSequence Check CISA-01

Missing CISA-02

CISA-03CISA-04CISA-05

Match with Previous DataMatch with Previous Data

Untuk meyakinkan bahwa DATA yang diinput berkorelasi dengan data sebelumnya !

BUDIONO (009)Saldo Awal

$ 500

BUDIONO (009)Cicilan$ 125

Page 37: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

Run to Run ControlRun to Run Control

Eksekusi yang diikuti dengan MEDIA-control otomatis !

ATM-Bank

Tell-strokeSaldo

$ 12500Penarikan

terakhir$ 1000

CHECK-DIGITCHECK-DIGIT

1000250000210002500013

10002500024

Rumus : Nilai sepuluh digit pertama / 11,

kemudian diambil sisanya !

Page 38: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

Reasonableness (REJECTION)Reasonableness (REJECTION)

Name :

Nationality :

IndonesianAustralianAmerican

Djmaludin Lubis

Indonesia

Page 39: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

Kartu dengan nomor : 7365(5x2)+(6x3)+(3x4)+(7x5)= 10+18+12+35 = 75

75 : 11 = 6, sisa 9 (modulus), 11 – 9 = 2Tambahkan pada angka 2 diposisi kanan nomor

kartu tersebut sebagai cek digitnya, sehingga kartu tersebut menggunakan nomor : 73652

Lakukan seperti langkah 1, sehingga menjadi (2x2)+(5x3)+(6x4)+(3x5)+(7x6)

= 4+15+24+15+42 =100, karena 100 habis dibagi 10

maka nomor tersebut valid (sah).

Calculation Check DigitCalculation Check Digit

Page 40: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

Kartu dengan nomor : 1804-7025-3041-9867Kalikan dengan 2 semua angka pada digit ganjil dan kurangi

hasilnya dengan 9 jika lebih dari 9, selanjutnya jumlahkan hasilnya.Digit-digit pada posisi ganjil

1 x 2 = 2, karena 2 < 9 maka hasilnya tetap 20 x 2 = 0, karena 0 < 9 maka hasilnya tetap 0

7 x 2 = 14, karena 14 < 9 maka hasilnya 14 – 9 = 52 x 2 = 4, karena 4 < 9 maka hasilnya tetap 43 x 2 = 6, karena 6 < 9 maka hasilnya tetap 64 x 2 = 8, karena 8 < 9 maka hasilnya tetap 8

9 x 2 = 18, karena 18 < 9 maka hasilnya 18 – 9 = 96 x 2 = 12, karena 12 < 9 maka hasilnya 12 – 9 = 3

Jumlah 2 + 0 + 5 + 4 + 6 + 8 + 9 + 3 = 37 Menjumlahkan semua digit pada posisi genap :

Jumlah = 8 + 4 + 0 + 5 + 0 + 1 + 8 + 7 = 33Bila hasil langkah 1 dan langkah 2 dijumlahkan didapat 37 + 33 = 70, karena 70

habis dibagi 10 maka nomor tersebut sah. 6175-4982-3534-2013

Algoritma Luhn Check DigitAlgoritma Luhn Check Digit7809-6394-5431-2415

Page 41: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

o Diagnostic routine

(Pemeriksaan dan analisa rutin secara dini terhadap kondisi aplikasi)

o Limit, Reasonableness & Sign test

(Seperti pada pengendalian input).

o Posting, Crossfooting & Zero Balance Check

(Pengujian dengan membandingkan, menambah dan mengurangi setelah proses)

o Run to Run Control

(Memverifikasi nilai data dari hasil penjumlahan melalui tahapan pemrosesan)

o End of File Procedure

(Pengendalian sistem agar tidak berhenti sebelum berakhirnya pemrosesan)

o Lock-out

(Tidak meng-update secara bersamaan dalam kondisi on-line).

o Audit Trail

(Menulusuri pemrosesan transaksi)

Pengendalian PROSES

Page 42: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI Pengendalian OUTPUT

o Storage Control

(Pengendalian dengan pembatasan storage, suhu, keamanan akses)

o Error Listing

(Daftar kesalahan agar dikendalikan sehingga tidak menggangu operasi)

o Console Log

(Pengendalian dilakukan untuk mengetahui siapa, apa, kapan dilakukan interupsi).

o Distribution

(Untuk menjamin bahwa keluaran tersebut diterima oleh yang terotorisasi).

o User Review

(Melalui user review dapat dilihat status dari hasil pendistribusian laporan tersebut).

o Destruction Control

(Pemusnahan output agar benar-benar diyakini bahwa output telah dimusnahkan sehingga tidak dimiliki atau dibaca oleh orang yang

tak berhak)

Page 43: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

NETWORK NETWORK MANAGEMENT CONTROLMANAGEMENT CONTROL

Memulai dan menghentikan jaringan dan proses. Memonitor aktivitas jarngan Mengganti nama line komunikasi Men-generate statistic system Men-setting ulang panjangnya antrian Menambah frekwensi backup Menanyakan status system Mengirimkan system warning dan status massage Memeriksa lintasan data pada line komunikasi

Pengendalian jaringan bertujuan untuk menyediakan akses kepada software system yang khusus untuk mengelola dengan fungsi sbb :

Page 44: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

AUDIT E-Commerce

Webtrust : program yang memberikan jaminan menyeluruh terhadap bisnis yang berbasis e-business/ e-commerce dengan membangun kepercayaan dan keandalan website tersebut. 7 assurance standard webtrust :

Online Privacy : keamanan dalam melakukan transaksiBusiness Practice and Transaction Integrity : proses transaksi harus lengkap dan akuratSecurity : tanggung jawab situs terhadap keamanan transaksiNon-reproduction : pengungkapan sistem terpelihara, bukti yang diperlukan dikemudian hari ada secara elektronisConfidentiality : sistem mengungkat kerahasiaan dalam transaksi, menghindari akses yang tak behak.Availability : situs menjamin sistem dan data telah sesuai dengan yang diungkapkan, tersedia HW dan SW yang teruji keandalannyaCustimized Disclosure : situs harus mengungkap hal-hal khusus yang ada padanya.

Webtrust : program yang memberikan jaminan menyeluruh terhadap bisnis yang berbasis e-business/ e-commerce dengan membangun kepercayaan dan keandalan website tersebut. 7 assurance standard webtrust :

Online Privacy : keamanan dalam melakukan transaksiBusiness Practice and Transaction Integrity : proses transaksi harus lengkap dan akuratSecurity : tanggung jawab situs terhadap keamanan transaksiNon-reproduction : pengungkapan sistem terpelihara, bukti yang diperlukan dikemudian hari ada secara elektronisConfidentiality : sistem mengungkat kerahasiaan dalam transaksi, menghindari akses yang tak behak.Availability : situs menjamin sistem dan data telah sesuai dengan yang diungkapkan, tersedia HW dan SW yang teruji keandalannyaCustimized Disclosure : situs harus mengungkap hal-hal khusus yang ada padanya.

Page 45: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

Test ToolsTest Tools Test TechniquesTest Techniques

Media utuk membantu Media utuk membantu auditor dlm. melakukan auditor dlm. melakukan

teknik pengujianteknik pengujian

Cara proses pengujian Cara proses pengujian dilakukan untuk mencapai dilakukan untuk mencapai

tujuan audittujuan audit

Bentuknya bisa berupa :Bentuknya bisa berupa :

- Pedoman, Prosedur (SOP)Pedoman, Prosedur (SOP)

- Software (GAS) : ACL, IDEASoftware (GAS) : ACL, IDEA

Contoh : Contoh :

Stratifikasi, Analisa Stratifikasi, Analisa Statistik, Klasifikasi data, Statistik, Klasifikasi data, RekonsiliasiRekonsiliasi

ALAT DAN TEKNIK AUDITALAT DAN TEKNIK AUDIT

45

Page 46: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

Computer Assisted Audit Techniques (CAAT)

Computer Assisted Audit Techniques (CAAT)

Teknik Audit Berbantuan Komputer adalah alat yang cukup penting dan esensial untuk membantu tugas auditor sejenis tools seperti Generalized Audit Software (GAS). Beberapa pertimbangan penggunaan CAAT sebagai pendukung prosedur manual, adalah :

Pengetahuan, keahlian, keterampilan dan pengalaman auditor dibidang komputer

Tersedianya sarana dipihak auditee yang memang mendukung untuk menggunakan CAAT

Efisiensi dan efektivitas CAAT dibanding dengan prosedur manual

Kendala waktu (cukup atau tidak) Integritas lingkungan sistem dan teknologi informasi

setempat Tingkat risiko audit

Pengetahuan, keahlian, keterampilan dan pengalaman auditor dibidang komputer

Tersedianya sarana dipihak auditee yang memang mendukung untuk menggunakan CAAT

Efisiensi dan efektivitas CAAT dibanding dengan prosedur manual

Kendala waktu (cukup atau tidak) Integritas lingkungan sistem dan teknologi informasi

setempat Tingkat risiko audit

46

Page 47: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

Generalized Audit Software

Generalized Audit Software Program komputer yang dirancang khusus untuk pengolahan data-data

tertentu, terutama yang berkaitan dengan audit. Juga dapat digunakan untuk membantu tugas operasional lainnya.

o ACL ( Audit Command language ), IDEA (Interactive Data Extraction & Analysis)

Audit Common Language (ACL) adalah pengektrasi data dan penganalisa produk yang paling banyak digunakan dalam mekanisme audit, untuk

mendeteksi dan mencegah terjadinya kecurangan (fraud). Kemampuan GAS

• Akses data dari berbagai media, struktur dan format data (download, report file, dan Fasilitas ODBC = Open Database Connectivity)• Ad Hoc Report : Pelaporan ke manajemen yang sifatnya sewaktu-waktu atau yang tidak terakomodasi oleh aplikasi yang telah ada.• Organisasi data (sort, klasifikasi, dan ikhtisar data).• Pemilihan dan statistik data (data dan grafik).• Penggabungan dan Pembandingan data (matematis dan fungsi logika).

Kemampuan GAS• Akses data dari berbagai media, struktur dan format data (download, report file, dan Fasilitas ODBC = Open Database Connectivity)• Ad Hoc Report : Pelaporan ke manajemen yang sifatnya sewaktu-waktu atau yang tidak terakomodasi oleh aplikasi yang telah ada.• Organisasi data (sort, klasifikasi, dan ikhtisar data).• Pemilihan dan statistik data (data dan grafik).• Penggabungan dan Pembandingan data (matematis dan fungsi logika).

Keterbatasan GAS Hanya untuk ex-post auditing (hasil yang lalu), tidak concurrent auditing).

Terbatas untuk menguji logika pemrosesan. Kesulitan dalam menentukan kesalahan program.

Keterbatasan GAS Hanya untuk ex-post auditing (hasil yang lalu), tidak concurrent auditing).

Terbatas untuk menguji logika pemrosesan. Kesulitan dalam menentukan kesalahan program.

47

Page 48: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

48

Specialized Audit Software

Specialized Audit Software

SAS merupakan satu atau lebih program khusus yang dirancang oleh auditor agar sesuai dengan situasi audit tertentu. Alasan digunakannya SAS:

o Tidak ada software laino Keterbatasan kemampuan software yg adao Efisiensio Meningkatkan pemahaman sistemo Mempermudah persiapano Meningkatkan idependensi auditor

SAS merupakan satu atau lebih program khusus yang dirancang oleh auditor agar sesuai dengan situasi audit tertentu. Alasan digunakannya SAS:

o Tidak ada software laino Keterbatasan kemampuan software yg adao Efisiensio Meningkatkan pemahaman sistemo Mempermudah persiapano Meningkatkan idependensi auditor

Karakteristik GAS :o Mudah digunakan bagi non programmer dan tidak bisa merubah datao Dapat digunakan untuk data dari berbagai platform

Page 49: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

PENDEKATAN BATCH PROCESSING ENVIRONMENTPENDEKATAN BATCH PROCESSING ENVIRONMENT

MasterFile

MasterFile

Predeterminasiresult

Predeterminasiresult

Update Master file

Update Master file

Error reportError report

TestTransaction

TestTransaction

Transactionreport

Transactionreport

Compare

SISTEM DATA UJISISTEM DATA UJI

Page 50: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

OUTPUTOUTPUT

SALINANPROGRAMSALINAN

PROGRAM OUTPUTOUTPUT

Compare

REALPROGRAM

REALPROGRAM

REALDATAREALDATA

REALDATAREALDATA

Dokumen yang diperiksa tidak lengkap (tidak memadai). Auditor ingin lebih independen. Perlu dilakukan pengujian atas fle transaksi.

PARALLEL SIMULATIONPARALLEL SIMULATION

Page 51: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

TransactionFile

TransactionFile

Audit reportAudit report

Update program (SCARF embedded

audit routines)

Update program (SCARF embedded

audit routines)

Input Master file

Input Master file

SCARFSCARF

SCARFReporting

system

SCARFReporting

systemUpdate report

Update report Output

Master fileOutput

Master file

1. Auditor membuat beberapa kriteria

2. Audit modul ditempelkan di titik kritis aplikasi dan transakasi direkam sesuai kriteria.3. Hasil monitoring direkam pada file tertentu agar dapat direview oleh auditor.

1. Auditor membuat beberapa kriteria

2. Audit modul ditempelkan di titik kritis aplikasi dan transakasi direkam sesuai kriteria.3. Hasil monitoring direkam pada file tertentu agar dapat direview oleh auditor.

System Control Audit Riview File (SCARF)Menempelkan software audit pada aplikasi untuk memonitor transaksi secara terus menerus (Embedded Audit Routine)

PENDEKATAN ONLINE REAL-TIME ENVIRONMENTPENDEKATAN ONLINE REAL-TIME ENVIRONMENT

Page 52: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISIIntegrated Test Fasilities (ITF)

Memasukkan beberapa data (records) dummy kedalam file transaksi rill (file produksi). Auditor dapat memperoses data dummy secara tersendiri maupun bersamaan. Selanjutnya auditor membandingkan hasil proses sistem dengan hasil proses yang dilaukan auditor menggunakan data dummy.Virtual Transaction Testing (VTT)

Pengujian sistem dilakukan dalam partisi yang berbeda dengan sistem yang diuji. Sebelum dilakukan pengujian, audit mengcopy semua sistem kedalam partisi yang berbeda. Selanjutnya auditor juga membuat database untuk keperluan pengujian.Dengan prosedur ini tidak ada kehawatiran bahwa hasil transaksi pengujian akan tercapur dengan transaksi rutin, sehingga auditor dengan bebas melaukan pengujian.

Pricess Tracing SoftwareMapping

Page 53: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

Pengumpulan & Penilaian Bukti Audit

Pengumpulan & Penilaian Bukti Audit

Prosedur penilaian alat buktiObservasi atas kegiatan operasional perusahaanPemeriksaan fisik atas kuantitas aktivaKonfirmasi atas ketelitian informasiMengajukan pertanyaan kepada auditeeMengkalkulasi atas perhitungan kembai informasi

kuantitatif atas catatan atau laporanPemeriksan bukti atau dokumenPemeriksaan analitis hubungan informasi

keuangan dan oprasional untuk ditindak lanjuti.

Kualitas bukti audit ditentukan oleh :Relevansi : terkait dengan tujuan auditMateriality : berkaitan dengan laporan keuanganCompetency : berkaitan dengan absahan alat buktiKecekupan alat bukti

Page 54: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

Metode Pengumpulan Data

Metode Pengumpulan Data

Metode pengumpulan data dalam proses audit dilakukan sbb :Survey Pendahuluan

Untuk mendapatkan informasi mengenai gambaran perusahaan dan permasalahan yang dihadapi perusahaan.Survey Lapangan

Interview : teknik pengumpulan data (informasi sistem yang ada) dengan cara melakukan tanya jawab langsung kepada pihak-pihak yang berkepentingan dengan perusahaan.

Observasi : merupakan pendekatan dengan melbatkan meninjau dan mengamati langsung objek yang akan diteliti (diaudit).

Page 55: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

Dokementasi : merupakan data arsip yang diperlukan untuk mendukung (sebagai salah satu alat bukti) dalam melakukan pemeriksaan dengan mempelajari atau menggunakan catatan yang ada dalam perusahaan.

Kuesioner : digunakan dengan menyusun beberapa pertanyaan yang lebih spesifik dan terinci dengan menggunakan pertanyaan terbuka maupun pertanyaan tertutup.

Test of control (pengujian pengendalian) : digunakan unuk menentukan apakah pengendalian internal yang ada telah memadai dan berfungsi secara efektif. Biasanya menggunakan alat bantu komputer seperti ACL (Audit Command Language).

Page 56: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

Evaluasi Efektivitas dan Efisiensi Sistem

Evaluasi Efektivitas dan Efisiensi Sistem Tahap evaluasi efektivitas sistem:

Evaluasi tujuan/ manfaat sistem yang ingin dicapaiPilih pengukuran yang digunakanIdentifikasi sumber datanyaTentukan ex-ante valuee dalam pengukuran Tenukan ex-post values pengukuranMengukur dampak sistem berdasarkan perbandingan penilaian ex-ante dan ex-post tersebut.

Tahap evaluasi efektivitas sistem:Evaluasi tujuan/ manfaat sistem yang ingin dicapaiPilih pengukuran yang digunakanIdentifikasi sumber datanyaTentukan ex-ante valuee dalam pengukuran Tenukan ex-post values pengukuranMengukur dampak sistem berdasarkan perbandingan penilaian ex-ante dan ex-post tersebut.

Tahap evaluasi efisiensi sistem:Indikator ketepatan waktu, waktu yang dibutuhkan user dalam penyajian outputMengukur seberapa banyak yang dilakukan sistem dalam periode waktu tertentuMengukur tingkat kesibukan sistemMengukur ktersediaan/ kesiapan sistem dalam proses beban kerja sistem

Tahap evaluasi efisiensi sistem:Indikator ketepatan waktu, waktu yang dibutuhkan user dalam penyajian outputMengukur seberapa banyak yang dilakukan sistem dalam periode waktu tertentuMengukur tingkat kesibukan sistemMengukur ktersediaan/ kesiapan sistem dalam proses beban kerja sistem

Page 57: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

57

Kerta Kerja AuditKerta Kerja AuditStatement on Auditing Standards (SAS) No. 41 menyatakan bahwa : Kertas Kerja Audit merupakan catatan tertulis yang dibuat auditor mengenai bukti-bukti yang dikmpulkan, bernagai metoda dan prosedur yang diterapkan serta simpulan-simpulan yang dibuat selama melakukan audit. Fungsi Kerta Kerja Audit

Membantu auditor untuk memperoleh kepastian bahwa seluruh prosedur audit telah dilakukan atau ditempuh, serta telah memenuhi syarat memadai (memuaskan) sesuai dengan standar audit yang berlaku.

Isi Kertas Kerja Audito Dasar Pelaksanaan Audito Ruang Lingkup Audito Tinjauan kondisi sistem, termasuk informasi yang berkaitan dengan

pemakaian perankat keras dan perangkat lunak.o Analisis sistem serta hasilnyao Informasi-informasi penting lainnya yang diperlukan sesuai dengan

kondisinya.

Fungsi Kerta Kerja AuditMembantu auditor untuk memperoleh kepastian bahwa seluruh prosedur audit telah dilakukan atau ditempuh, serta telah memenuhi syarat memadai (memuaskan) sesuai dengan standar audit yang berlaku.

Isi Kertas Kerja Audito Dasar Pelaksanaan Audito Ruang Lingkup Audito Tinjauan kondisi sistem, termasuk informasi yang berkaitan dengan

pemakaian perankat keras dan perangkat lunak.o Analisis sistem serta hasilnyao Informasi-informasi penting lainnya yang diperlukan sesuai dengan

kondisinya.

Page 58: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

58

Standar Pelaporan Audit Sisetem Informasi (1)Standar Pelaporan Audit Sisetem Informasi (1)

Bab-I : Simpulan Hasil Audit Sistem InformasiMerupakan ikhtisar simpulan hasil audit sistem informasi yang isinya memaparkan tingkat keandalan sistem yang bersangkutan dan rekomendasi secara ringkas. Bab ini dapat juga berfungsi sebagai laoran ringkas untuk eksekutif (executive summary).

Bab-II : Uraian Hasil Audit Sistem InformasiMerupakan uraian secara rinci mengenai hasil audit sistem informasi, yang isinya terdiri dari beberapa sub-bab, sebagai berikut :II.1 : Dasar Pelaksanaan AuditMemuat dasar atau landasan hukum untuk melakukan audit sistem informasi.

II.2 : UmumMeliputi organisasi pusat sistem informasi yang diaudit dan kebijakan manajemen yang berkaitan dengan sistem informasi.

Bab-I : Simpulan Hasil Audit Sistem InformasiMerupakan ikhtisar simpulan hasil audit sistem informasi yang isinya memaparkan tingkat keandalan sistem yang bersangkutan dan rekomendasi secara ringkas. Bab ini dapat juga berfungsi sebagai laoran ringkas untuk eksekutif (executive summary).

Bab-II : Uraian Hasil Audit Sistem InformasiMerupakan uraian secara rinci mengenai hasil audit sistem informasi, yang isinya terdiri dari beberapa sub-bab, sebagai berikut :II.1 : Dasar Pelaksanaan AuditMemuat dasar atau landasan hukum untuk melakukan audit sistem informasi.

II.2 : UmumMeliputi organisasi pusat sistem informasi yang diaudit dan kebijakan manajemen yang berkaitan dengan sistem informasi.

Page 59: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

59

Laporan Hasil AuditLaporan Hasil Audit

Isi laporan audit :o Tujuan audito Standar audit yang digunakano Lingkup audito Metodologi yang digunakano Tenuan audito Simpulan dan saran

Isi laporan audit :o Tujuan audito Standar audit yang digunakano Lingkup audito Metodologi yang digunakano Tenuan audito Simpulan dan saran

Hasil audit sistem informasi dapat digunakan sebagai salah satu pembuktian dalam audit keuangan (Financial Audit), sebagai bahan untuk penyusunan memorandum pengendalian intern, atau dapat pula dipakai untuk penyusuan laporan hasil audit sistem informasi yang akan diterbitkan dan didisribusikan kepada pihak tertentu.

Page 60: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

60

Standar Pelaporan Audit Sisetem Informasi (2)Standar Pelaporan Audit Sisetem Informasi (2)II.3 : Ruang Lingkup Audit

Menguraikan tentang tujuan dan pembatasan audit, berikut ruang lingkup audit sistem informasi : area audit, periode audit.

II.4 : Tinnjauan Umum SistemBerisi informasi perangkat keras dan perangkat lunak, serta perangkat lnak lainnya yang digunakan oleh auditee, termasuk cara pemerosesan data dan sistem konukasi data yang dimiliki.

II.5 : Uraian Hasil Audit Sistem InformasiDapat diuraikan dalam beberapa butir, seperti :

a. Temuan (berisi uraian mengenai ) :oKondisi sistem yang ada (kelemahan dan keandalan).oPermasalahan yang ada.oMengapa permasalahan itu dianggap penting.oStandar penilaian yang berlakuoPenyebab yimbulnya masalahoDampak yang ditimbulkan

II.3 : Ruang Lingkup AuditMenguraikan tentang tujuan dan pembatasan audit, berikut ruang lingkup audit sistem informasi : area audit, periode audit.

II.4 : Tinnjauan Umum SistemBerisi informasi perangkat keras dan perangkat lunak, serta perangkat lnak lainnya yang digunakan oleh auditee, termasuk cara pemerosesan data dan sistem konukasi data yang dimiliki.

II.5 : Uraian Hasil Audit Sistem InformasiDapat diuraikan dalam beberapa butir, seperti :

a. Temuan (berisi uraian mengenai ) :oKondisi sistem yang ada (kelemahan dan keandalan).oPermasalahan yang ada.oMengapa permasalahan itu dianggap penting.oStandar penilaian yang berlakuoPenyebab yimbulnya masalahoDampak yang ditimbulkan

Page 61: Audit Si Praktisi

Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA

PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI

61

Standar Pelaporan Audit Sisetem Informasi (3)

Standar Pelaporan Audit Sisetem Informasi (3)

b. SaranMemuat saran atau rekmendasi dari auditor yang berisi langkah-langkah perbaikan yang perlu ditempuh manajemen atau auditee guna memperbaiki kelemahan sistem yang telah dioperasikan, serta solusi-solusi praktis yang diperlukan untuk memecahkan masalah yang ada.

c. Tanggapan ManajemenMemuat tanggapan serta kesanggupan manajemen atau auditee untuk melaksanakan rekomendasi auditor, ataupun sanggahan atau keberatan (kalau ada).

b. SaranMemuat saran atau rekmendasi dari auditor yang berisi langkah-langkah perbaikan yang perlu ditempuh manajemen atau auditee guna memperbaiki kelemahan sistem yang telah dioperasikan, serta solusi-solusi praktis yang diperlukan untuk memecahkan masalah yang ada.

c. Tanggapan ManajemenMemuat tanggapan serta kesanggupan manajemen atau auditee untuk melaksanakan rekomendasi auditor, ataupun sanggahan atau keberatan (kalau ada).