INFORMASI
Jenis Audit:
Internal auditing: fungsi penilaian
independen dalam sebuah organisasi
untuk memeriksa dan mengevaluasi
kegiatan2 dalam organisasi
Financial Audits
Operational Audits
Compliance Audits
Fraud Audits
IT Audits
IT Governance
Definisi
Proses tata-kelola adalah proses-proses
yang ditujukan untuk memastikan bahwa
tujuan-tujuan utama tata-kelola dapat
tercapai, terkait dengan pencapaian tujuan
organisasi, pengelolaan sumber daya, dan
manajemen risiko.
IT Governance merupakan bagian integral
dari tata kelola organisasi yang terdiri dari
kepemimpinan dan struktur organisasi
serta proses-proses, yang menjamin IT dari
organisasi dapat bertahan dan membantu
mencapai tujuan dari organisasi" (menurut
ITGI).
4.
5.
a.
b.
c.
d.
e.
Domain
CobIT mendefinisikan aktivitas TI dalam
model proses generik yang mencakup
empat domain.
Plan and Organise (PO).
Mencakup pembahasan tentang identifikasi
dan strategi investasi TI yang dapat
memberikan
yang
terbaik
untuk
mendukung pencapaian tujuan bisnis.
Selanjutnya identifikasi dan visi strategis
perlu direncanakan, dikomunikasikan, dan
diatur pelaksanaannya.
Topics
Strategi dan taktik
Merencanakan Visi
Organisasi and
Apakah IT
ditetapkan
Apakah pe
infrastruktur
Apakah
pekerja
mampu
menggunakan
penyusunan
d. AI4 Enable
operation and use.
Pengolahan sistem
sistem IT lebih produktif
dan
aman?
e. AI5 Procure IT resources.
Apakah keamanan,
integritas
dan
aplikasi
f. AI6
Manage
changes.
ketersediaan sudah pada tempatnya?
g. AI7 Install and accredit solutions and
changes.
Monitor and Evaluate (ME)
3. Pengantaran dan dukungan (deliver and
Semua proses IT yangperlu dinlai secara
support + service)
berkala agar kualitas dan dukungan TI
a. DS1 Define and manage service
tercapai, dan kelengkapannya berdasarkan
levels.
pada syarat kontol internal yang baik.
Topics
b. DS2 Manage third-party services.
c. DS3 Manage
suatu performance and
Penilaian over time, jaminan Dapatkan IT mendeteksi
capacity.
permasalahan sebelum semuanya
pengiriman
d. DS4 Ensure continuous service.
Sistem pengendalian
terlambat?
DS5 Ensure
Apakah jaminane.
kemandirian
ygsystems security.
manajemen kesalahan
Pengukuran pekerjaan
f. DS6 Identify
and allocate costs.
diperlukan dpt memastikan
bidang2
g. DS7
Educate
kritis bisa beroperasi
sesuai
dgn and
yg train users.
3
pada
Principle
1.
Meeting
Stakeholder
Needs:
Enterprises have many stakeholders,
and creating value means different
and sometimes conflictingthings
to each of them.
Governance is about negotiating and
deciding
amongst
different
stakeholders value interests.
The governance system should
consider all stakeholders when
making benefit, resource and risk
assessment decisions.
For each decision, the following can
and should be asked:
Who receives the benefits?
Who bears the risk?
What resources are required?
Prinsip COBIT
1.
2.
3.
4.
Principle
3.
Applying
a
Single
Integrated Framework:
COBIT 5 aligns with the latest
relevant
other
standards
and
frameworks used by enterprises:
Enterprise: COSO, COSO ERM,
ISO/IEC 9000, ISO/IEC 31000
IT-related: ISO/IEC 38500, ITIL,
ISO/IEC 27000 series, TOGAF,
PMBOK/PRINCE2, CMMI
Etc.
This allows the enterprise to use
COBIT
5
as
the
overarching
governance
and
management
framework integrator.
ISACA plans a capability to facilitate
COBIT user mapping of practices and
activities to third-party references.
5.
COBIT enabler
1.
2.
3.
4.
5.
6.
Principle
4.
Enabling
a
Holistic
Approach
The vehicles to translate the desired
behavior into practical guidance for dayto-day management
Principle 5. Separating
from Management
Kelebihan COBIT
1.
2.
Governance
Kelemahan COBIT
1.
Pada
dasarnya,
kerangka kerja
ITIL
bertujuan secara kelanjutan meningkatkan
efisiensi operasional TI dan kualitas layanan
pelanggan. Kerangka kerja yang diberikan
belum memberikan panduan pengelolaan TI
yang memenuhi kebutuhan ditingkat yang
lebih tinggi (high level objective) di
perusahaan sepert COBIT yang dibahas
sebelumnya.
ISO/IEC 17799
International
Organization
for
Standardization disingkat ISO atau Iso)
adalah
badan
penetap
standar
internasional yang terdiri dari wakil-wakil
dari badan standardisasi nasional setiap
negara. Pada awalnya, singkatan dari nama
lembaga tersebut adalah IOS, bukan ISO.
Tetapi sekarang lebih sering memakai
singkatan ISO, karena dalam bahasa Yunani
isos berarti sama (equal). Penggunaan ini
dapat dilihat pada kata isometrik atau
isonomi.
Meski
ISO
adalah
organisasi
nonpemerintah,
kemampuannya
untuk
menetapkan standar yang sering menjadi
hukum melalui persetujuan atau standar
nasional membuatnya lebih berpengaruh
daripada kebanyakan organisasi nonpemerintah lainnya, dan dalam prakteknya
ISO menjadi konsorsium dengan hubungan
yang
kuat
dengan
pihak-pihak
pemerintah.Peserta ISO termasuk satu
badan standar nasional dari setiap negara
dan perusahaan-perusahaan besar.
ISO bekerja sama dengan Komisi
Elektroteknik Internasional (IEC) yang
bertanggung jawab terhadap standardisasi
peralatan elektronik.
Area
COBIT
ITIL
Function
Mappin
g IT
proces
s
Mappin
g IT
service
level
manage
ment
Area
4
domai
n, 34
proces
s
9
process
Issuer
ISACA
OGC
Implemen
tation
Inform
ation
Syste
m
Audit
Mengat
ur
service
level
Consultan
t
Accoun
ting
firm, IT
firm
IT
Consulti
ng firm
ISO
17799
Inform
ation
securit
y
frame
work
10
domai
n
ISO
BOARD
Memen
uhi
aspekaspek
securit
y
standa
rd
IT
Consul
ting
firm,
securit
y firm,
networ
k
consult
ant
operasi
3. Pengendalian akses
agar hanya personil yang sah saja
yang dapat mengakses piranti keras,
program, dokumentasi program dan
file-file data
untuk memperoleh kepastian bahwa
sumber-sumber daya digunakan
secara memadai
Beberapa prinsip pengendalian akses:
akses ke piranti keras, program,
dokumentasi program dan file-file
data harus dikendalikan
kata sandi harus diubah secara
berkala
program dan file harus diacak
(encrypt)
4. Pengendalian data dan prosedural
Memberikan kerangka kerja untuk
mengendalikan aktivitas PDE seharihari
Menjaga agar tidak terjadi kesalahan
pengolahan data
Beberapa jenis pengendalian data dan
prosedur:
Control group
Pengendalian file dan database
(biasanya oleh DBA)
Prosedur-prosedur standar
b. Pengendalian
pemeliharaan
perubahan sistem dan program
dan
3. Pengendalian keluaran
Memberikan jaminan bahwa data yang
diproses adalah:
o lengkap
o akurat
o tepat waktu
o didistribusikan kepada yg berhak
serta untuk memberikan keyakinan
yang memadai bahwa
o hasil pengolahan adalah cermat
o akses terhadap keluaran dibatasi
hanya
bagi
karyawan
yang
mendapat otorisasi
o keluaran disediakan secara tepat
waktu
bagi
karyawan
yang
mendapat otorisasi
Jenis-jenisnya:
o rekonsiliasi keluaran
o penelaahan&pengujian
hasil
pengolahan
o distribusi keluaran
o record retention
Pengendalian Aplikasi
Tujuan pengendalian aplikasi adalah:
Untuk memberikan kepastian bahwa
pencatatan transaksi, pengklasifikasian
transaksi, pengikhtisaran transaksi dan
pemutakhiran
master
file
akan
menghasilkan info yang akurat, lengkap
dan tepat waktu
Agar hasil pemrosesan digunakan sesuai
maksudnya
Agar aplikasi yang ada dapat berfungsi
dengan baik
Jenis Pengendalian Aplikasi:
1. Pengendalian masukan
Memberikan jaminan bahwa data yang
akan diproses adalah:
lengkap
ada otorisasinya
diidentifikasikan
ada
langkah2
pembuatannya
(capturred)
penanganan kesalahan
2. Pengendalian pengolahan
Memberikan jaminan bahwa
pemrosesan data di dalam sistem akan
lengkap, akurat dan dapat
mencegah/mende-teksi kesalahankesalahan seperti:
gagal/salah
memproses
data
masukan
Teknik
Audit
Berbantuan
Komputer (TABK)/ Computer
Assisted
Audit
Techniques
(CAAT)
Pengertian TABK
10
Melakukan
menggunakan
audit
bantuan
dengan
komputer
dan
program-program
untuk membantu audit
komputer
1. Generalized
audit
software/GAS
(Program Pemeriksaan Umum)
a. Merupakan software khusus yang
dirancang
untuk
membantu
kegiatan audit
b. Umumnya
digunakan
untuk
pengujian
substantif,
namun
dapat juga untuk pengujian
ketaatan
c. Mudah digunakan, dan relatif
murah harganya.
Tujuan:
a. mengakses data dan informasi
yang hanya dapat dibaca oleh
program komputer
b. Menangani data yang banyak
secara efektif
c. Meningkatkan
efisiensi
dalam
pengujian substantif
d. Mengurangi
ketergantungan
auditor terhadap staf EDP dari
auditan
e. Meningkatkan
pemahaman
auditor terhadap sistem informasi
PDE dari auditan
f. Meningkatkan kualitas pekerjaaan
audit
Fungsi/tugas GAS
a. Membuat file untuk auditor
b. Mencari dan membuka record
c. Menjumlahkan dan melakukan
operasi matematis lainnya
d. Membuat ikhtisar
e. Memilih sample
f. Menyortir
g. Menggabungkan,
membandingkan mengupdate
h. Mencetak
i. Melakukan fungsi statistik
Kebaikan GAS
a. User friendly
b. Menghemat waktu
c. Dapat
mengakses
berbagai
record
d. Dapat meningkatkan keandalan
audit
e. Auditor
memegang
kendali
sepenuhnya atas software GAS
f. Pemeriksaan menjadi praktis dan
feasible
Kelemahan GAS
a. Belum tentu dapat digunakan
pada semua jenis hardware
b. Tidak seluruh pekerjaan audit
dapat dicakup oleh GAS
c. Dalam hal tertentu GAS menjadi
mahal
d. Kegunaannya terbatas
Manfaat TABK
Dapat mengakses data yang hanya
dapat dibaca dengan bahasa mesin
Memudahkan
meringkas,
mengelompokkan
dan
mengolah
data
Memudahkan menelaah data untuk
menemukan
pengecualian/kejanggalan
Menguji
hasil
perkalian
dan
penjumlaan
Melaksanakan sampling statistik dari
populasi yang ada
Memilih dan mencetak konfirmasi
Membandingkan data yang sama
dari dua sumber yang berbeda
Memudahkan penelaahan analitis
melalui identifikasi fluktuasi yang
tidak biasa
Menguji perincian transaksi dan
saldo, baik secara sensus maupun
sampling
Menguji pengendalian umum dan
pengendalian aplikasi
Mengakses file dari format yang
berbeda-beda
Mengkompilasi file
Membuat laporan
Melakukan operasi lojik, seperti AND,
OR,=,<,>,IF dan sebagainya.
Langkah-langkah Menggunakan TABK
Menetapkan tujuan penerapan TABK
Menentukan isi dan dapat tidaknya
suatu file untuk diakses
Mendefinisikan tipe transaksi
Mendefinisikan prosedur yang harus
dilaksanakan terhadap data
Mendefinisikan persyaratan keluaran
Mendefinisikan
staf
audit
dan
komputer yang dapat berpartisipasi
dalam perancangan dan penerapan
TABK
Memperhalus taksiran biaya dan
manfaat
Menjamin bahwa penggunaan TABK
dikendalikan dan didokumentasikan
semestinya
Mengatur
aktivitas
administrasi,
termasuk ketrampilan dan fasilitas
komputer yang diperlukan
Melaksanakan aplikasi TABK
Mengevaluasi hasil
Jenis-jenis Software untuk Auditing
11
o
o
o
Pengertian ERP
12
tersebut
Agar
sebuah
perusahaan
dapat
menerapkan konsep ERP dengan baik,
setiap aspek dari organisasi, manusia,
informasi, dan teknologi harus dipersiapkan
dengan baik. Dengan demikian penerapan
tata kelola perusahaan yang baik dapat
diimplementasikan pada industri sehingga
dapat meningkatkan daya saing di pasar.
Berikut akan dibahas beberapa komponen
yang mempengaruhi implementasi ERP.
a. Pihak Manajemen dan karyawan
Dukungan
dari
pihak
manajemen
merupakan
faktor
utama
kesuksesan
implementasi IT dalam perusahaan. Para
eksekutif
perusahaan
harus
memiliki
pengertian bahwa IT adalah membutuhkan
strategi pengembangan yang dinamis dan
berkesinambungan, IT harus berjalan
seiring dengan proses bisnis perusahaan,
selain itu pihak eksekutif harus membawa
CIO ke jalan yang sama dengan jalannya
perusahaan7. Selain itu, karyawan juga
memegang peranan yang penting dalam
keberhasilan implementasi ERP. Sebaiknya,
sebelum
implementasi
dijalankan,
karyawan dipersiapkan untuk perubahan
besar yang akan terjadi, bila perlu
karyawan diikut sertakan dalam tahap
analisis proses bisnis, sehingga terbangun
rasa memiliki yang kuat terhadap sistem
baru.
Dengan
demikian,
ketika
implementasi
benar-benar
dijalankan,
karyawan telah siap dan memiliki kemauan
untuk belajar dan mendukung keberhasilan
ERP tersebut. ERP tidak selalu identik
dengan perampingan karyawan. Pemikiran
ini yang dapat menyebabkan karyawan
antipasti terhadap perubahan ke sistem
ERP, karena merasa posisinya terancam
dengan kemudahan yang ditawarkan ERP.
b. Bisnis proses
Untuk membangun sistem ERP, bisnis
proses harus disusun dengan jelas dan
tepat. Tanpa proses bisnis yang benar,
sistem apapun yang diterapkan tidak akan
mampu memperbaiki keadaan perusahaan.
Dalam membangun sistem ERP, sebaiknya
batasan sistem yang akan dibangun jelas,
13
sehingga
implementasi
berkembang
ke
hal-hal
diperlukan.
ERP
yang
tidak
tidak
c. Vendor
Vendor
adalah
perusahaan
yang
menyediakan paket sistem ERP yang akan
diimplementasikan di perusahaan. Selain
menyediakan software dan hardware,
vendor juga harus memberikan pelatihan
pada
karyawan
perusahaan
yang
menggunakan jasanya, agar karyawan
terbiasa dengan sistem IT yang baru, dan
memastikan sistem yang baru ini berjalan
sesuai dengan permintaan perusahaan dan
sesuai dengan proses bisnisnya. Vendor
yang baik memiliki respon yang cepat
terhadap
masalah
yang
dihadapi
perusahaan maupun error yang terjadi
pada sistem. Sebelum menentukan vendor
mana yang akan digunakan, sebaiknya
perusahaan benar-benar menyelidiki latar
belakang dan profil dari vendor tersebut.
Hal ini perlu dilakukan karena kerja sama
ini biasanya dilakukan dalam jangka
panjang, dan jika perusahaan salah memilih
vendor, akan merugikan bagi perusahaan
itu sendiri.
dengan
kenyataan
di
lapangan.
Perusahaan sebaiknya menentukan dari
awal,
apakah
perusahaan
akan
mengikuti standar ERP atau sebaliknya.
Kesalahan proses seleksi software,
karena penyelidikan software yang tidak
lengkap atau terburu-buru memutuskan.
Hal
ini
bisa
berakibat
pada
membengkaknya waktu dan biaya yang
dibutuhkan.
Tidak
cocoknya
software
dengan
business process perusahaan.
Kurangnya
sumber
daya,
seperti
manusia,
infrastruktur
dan
modal
perusahaan.
Terbentuknya budaya organisasi yang
berada dalam zona nyaman dan tidak
mau berubah atau merasa terancam
dengan keberadaan software (takut
tidak dipekerjakan lagi).
15