Pengenalan Alat Ukur /Tools

untuk tingkat Penerimaan User

(AUDIT TEKNOLOGI INFORMASI)
MMTC, 31 Maret 2011
 Agenda

 IT Audit
 CobiT
 Audit Sistem Informasi
 Software untuk Audit TI
 Bidang Pekerjaan IT
di Organisasi Publik

 System Analyst
 Programmer
 Administrator (Network, system, database)
 Support (workshop, maintenance,
helpdesk, dll )
 Security Officer
 Auditor
 AUDITING
Auditing  proses sistematik
dengan tujuan untuk mendapatkan dan
mengevaluasi fakta yang berkaitan
dengan asersi mengenai kejadian dan
tindakan ekonomi untuk memastikan
kesesuaian antara asersi dengan
kriteria yang ditetapkan dan
mengkomunikasikan hasilnya kepada
pemakai yang berkepentingan.
 AUDITING
Wikipedia (id) - summary
evaluasi terhadap suatu
  organisasi,
  sistem,
  proses, atau
  Produk.
dilaksanakan oleh
  pihak yang kompeten,
  objektif, dan
  tidak memihak,
disebut auditor.
 AUDITING

Wikipedia – summary (2)

Tujuannya adalah
  verifikasi bahwa subjek dari audit telah
 diselesaikan atau
  berjalan sesuai dengan standar, regulasi, dan
 praktik yang telah disetujui dan diterima.
 Keuntungan Audit
 Menilai keefektifan aktivitas aktifitas dokumentasi dalam
organisasi
 Memonitor kesesuaian dengan kebijakan, sistem, prosedur dan
undang-undang perusahaan
 Mengukur tingkat efektifitas dari sistem
 Mengidentifikasi kelemahan di sistem yang mungkin
mengakibatkan ketidaksesuaian di masa datang
 Menyediakan informasi untuk proses peningkatan
 Meningkatkan saling memahami antar departemen dan antar
individu
 Melaporkan hasil tinjauan dan tindakan berdasarkan resiko ke
Manajemen
 IT Audit Area

 Planning
 Organization and Management
 Policies and procedures
 Security
 Regulation and standard
 Jenis Audit (umum)

 Compliance
 Kinerja
 Kecurangan
 Sertifikasi
 Pengelolaan TI – Level of
Maturity
 Non Existence
– Tahap awal, komputerisasi dilakukan secara alamiah,
tidak ada metodologi
 Initial
– Ada kegiatan penyusunan sistem yang terarah, masih
bersifat ad hoc
 Repeatable
– Sudah menemukan pola pengembangan yang terarah,
berjalan dengan pola yang sama.
 Pengelolaan TI – Level of
Maturity
 Defined
– Seluruh proses telah didokumentasikan dan telah
dikomunikasikan dan dilaksanakan berdasarkan
suatu metoda tertentu
 Managed
– Proses komputerisasi telah dapat diukur dan
dimonitor.
 Optimized
– Best Practices telah diikuti dan diotomatisasi pada
sistem.
 Audit E-Commerce

 Audit dalam bidang yang cukup baru

 Diperlukan karena besarnya resiko yang

ada
– Pengungkapan praktek bisnis,
– perlu keyakinan dan keandalan sistem,
– perlindungan atas informasi
 Audit E-Commerce

 Merupakan bidang yang spesifik

 Bersifat front office system

– System berbasis teknologi informasi yang
langsung berkaitan dengan transaction
processing
 E-Commerce - kendala

 Penjual dan pembeli tidak bertemu secara

langsung
 Ada keraguan apakah barang akan benar-benar
terkirim
 Berapa lama barang dapat diterima
 Ada keraguan apakah barang dapat ditukar
kembali (garansi)
 Apakah transaksinya aman
 Webtrust

 Sebagai jawaban atas kendala-kendala

yang ada, diciptakan program webtrust
– Diciptakan oleh AICPA dan CICA sejak tahun
1997

 Tujuannya adalah untuk mengurangi

kelemahan pada sistem e-business dengan
assurance standard
 Webtrust - pembagian

 Online Privacy
– Situs perlu menjamin kerahasiaan ,
• Konsekuensinya, harus ada kontrol efektif,
pengungkapan bagaimana informasi diperoleh,
digunakan, serta cookie
 Business practices and Transaction Integrity
– Proses transaksi harus lengkap akurat. Tanggung
jawab atas mutu barang, waktu pengiriman dan
aturan lainnya
 Webtrust - pembagian

 Security
– Situs harus melakukan penganmanan data (enkripsi,
backup)
 Non Repudiation
– Situs harus melakukan proses pemeliharaan dan
pengawasan bukti secra baik
 Confidentiality
– Situs harus dapat menunjukkan bahwa prosedur yang
dirancang sudah memadai untuk mengakomodasi
faktor kerahasiaan
 Webtrust - pembagian

 Availability
– Ada jaminan sistem dan data telah sesuai dengan
yang diungkapkan,
– harus terdapat ketentuan mengenai term and
condition
– Ada sistem backup/replikasi jika terdapat kerusakan
hardware/software
 Customized Disclosure
– Hal-hal khusus yang berlaku harus dinyatakan
 Jenis Audit (IT)
 System Audit
– Audit terhadap sistem terdokumentasi untuk memastikan
sudah memenuhi standar nasional atau internasional
 Compliance Audit
– Untuk menguji efektifitas implementasi dari kebijakan,
prosedur, kontrol dan unsur hukum yang lain
 Product / Service Audit
– Untuk menguji suatu produk atau layanan telah sesuai
seperti spesifikasi yang telah ditentukan dan cocok
digunakan
 Siapa yang Diaudit

 Management
 IT Manager
 IT Specialist (network, database, system
analyst, programmer, dll.)
 User
 Yang Melakukan Audit
Tergantung Tujuan Audit
 Internal Audit (first party audit)
– Dilakukan oleh atau atas nama perusahaan sendiri
– Biasanya untuk management review atau tujuan internal
perusahaan
 Lembaga independen di luar perusahaan
– Second party audit
• Dilakukan oleh pihak yang memiliki kepentingan thd perusahaan
– Third party audit
• Dilakukan oleh pihak independen dari luar perusahaan. Misalnya
untuk sertifikasi (ISO 9001, BS7799 dll).
 Tugas Auditor IT

 Memastikan sisi-sisi penerapan IT

memiliki kontrol yang diperlukan
 Memastikan kontrol tersebut diterapkan
dengan baik sesuai yang diharapkan
 Yang Dilakukan

 Persiapan
 Review Dokumen
 Persiapan kegiatan on-site audit
 Melakukan kegiatan on-site audit
 Persiapan, persetujuan dan distribusi
laporan audit
 Follow up audit
 Output kegiatan Audit
Hasil akhir adalah berupa laporan yang berisi:
Ruang Lingkup audit
Metodologi
Temuan-temuan
Ketidaksesuaian (sifat ketidaksesuaian, bukti2
pendukung, syarat yg tdk dipenuhi, lokasi, tingkat
ketidaksesuaian)
Kesimpulan (tingkat kesesuaian dengan kriteria audit,
efektifitas implementasi, pemeliharaan dan
pengembangan sistem manajemen, rekomendasi)
 Ketrampilan yang dibutuhkan

 Audit skill : sampling, komunikasi, melakukan

interview, mengajukan pertanyaan, mencatat
 Generic knowledge : pengetahuan mengenai
prinsip2 audit, prosedur dan teknik, sistem
manajemen dan dokumen2 referensi, organisasi,
peraturan2 yang berlaku
 Specific knowledge : background IT/IS, bisnis,
specialist technical skill, pengalaman audit sistem
manajemen, perundangan
 Prinsip-prinsip Audit
 Ethical conduct
– Berdasar pada profesionalisme, kejujuran, integritas,
kerahasiaan dan kebijaksanaan
 Fair Presentation
– Kewajiban melaporkan secara jujur dan akurat
 Due professional care
– Implementasi dari kesungguhan dan pertimbangan yang
diberikan
 Independence
 Evidence-base approach
 AUDIT TI
 IT audits: pemeriksaan terhadap proses atau data
yang melekat dengan teknologi informasi.
 Berkaitan dengan internal, external, dan fraud audits
 Jangkauan pemeriksaan IT semakin meningkat
 Teknik Audit Berbantuan Komputer (TABK)  CAATTs
(Computer Assisted Audit Tools and Techniques)  audit
through computer
 IT governance as part of corporate governance
 Sertifikasi  CISA (Certified Information Systems
Auditor)
 Standar, pedoman dan sertifikasi dikelola oleh:
ISACA (Information Systems Audit and Control
Association)
 Peraturan dan Standar Yang Biasa
Dipakai
 ISO / IEC 17799 and BS7799
 Control Objectives for Information and related Technology
(CobiT)
 ISO TR 13335
 IT Baseline Protection Manual
 ITSEC / Common Criteria
 Federal Information Processing Standard 140-1/2 (FIPS 140-1/2)
 The “Sicheres Internet” Task Force [Task Force Sicheres Internet]
 The quality seal and product audit scheme operated by the
Schleswig-Holstein Independent State Centre for Data Privacy
Protection (ULD)
 ISO 9000
 CobiT
Control Objectives for Information
and Related Technology
 CobiT

 Dibuat oleh organisasi ISACA

(Information Systems Audit and Control
Association) dan dikembangkan oleh IT
Governance Institute
-> focus on audit, control and security issues
 Badan (Indonesia)
 ISACA Indonesian Chapter (isaca.or.id)
 ISSA (Information System Security
Association) Indonesian Chapter
 Sertifikasi
CISA (Certified Information Systems Auditor)
CISM (Certified Information Security Manager)
CISSP (Certified IS Security Professional)
CIA (Certified Internal Auditor)

Kualifikasi :
Pengalaman dan pengetahuan untuk mengidentifikasi,
mengevaluasi, dan memberikan rekomendasi berupa
solusi untuk mengurangi kelemahan sistem IT
=> Mengeluarkan sertifikasi untuk personal auditor
 Apa itu Cobit…?
 Cobit dirancang sebagai alat
penguasaan IT yang membantu dalam
pemahaman dan memanage resiko,
manfaat serta evaluasi yang
berhubungan dengan IT
 Visi & Misi CobiT
Visi: Sebagai model untuk penguasaan IT
Misi: Melakukan penelitian, pengembangan,
publikasi dan promosi terhadap control
objective dari teknologi informasi yang
secara umum diterima di lingkungan
internasional untuk pemakaian sehari-hari
oleh manager dan auditor
 Lingkup CobiT -> 4 domains

 Planning & Organization

 Acquisition & Implementation
 Delivery & Support
 Monitoring
 CobiT -> Control Objectives

 Defining controls that should be in place

 34 processes
 3-30 detailed IT Control Objectives
 COBIT Framework
How do they relate?

IT IT Business
Resources Processes Requirements

 Data  Plan and Organise  Effectiveness(efektifitas)

(Perencanaan & Org.)
 Information
Systems  Acquire and Implement
(Pengadaan & Implementasi)
 Technology
 Deliver and Support
 Facilities (Pengantaran & dukungan)
 Monitor and Evaluate
 Human Resources
(Pengawasan &Evaluasi)

Efficiency (Efisiensi)
 Confidentiality (Rahasia)
 Integrity (Integritas)
 Availability (Ketersediaan)
 Compliance (Pemenuhan)
 Information Reliability
(Kehandalan Informasi)
 COBIT Framework
Bagaimana
BagaimanaITIT Apa
Tersidianya
Tersidianya Apayang
yang
diorganisir
diorganisirunt
unt stakeholders
sumber
sumberdaya
dayaITIT bereaksi thd suatu stakeholders
bereaksi thd suatu harapkan
harapkandari
dariITIT
kebutuhan
kebutuhan
How do they relate?

IT IT Business
Resources Processes Requirements

 Data  Planning and  Effectiveness

organisation  Efficiency
 Information
Systems  Acquisition and  Confidentiality
implementation  Integrity
 Technology
 Delivery and Support  Availability
 Facilities
 Monitoring  Compliance
 Human
Resources  Information
Reliability
 COBIT Framework

Plan and Organise Acquire and Implement

Domains

Topics
 Strategi dan taktik
 Merencanakan Visi
 Organisasi and infrastruktur
Questions
 Apakah IT dan strategi bisnis sudah
ditetapkan?
 Apakah perusahaan sudah menggunakan
secara maksimum sumber dayanya?
 Apakah semua orang di dlm org. sudah
memahami sasaran IT?
 Apakah resiko IT sudah dipahami & diatur?
 Apakah mutu sistem IT sudah sesuai dgn
kebutuhan bisnis?
Topics
 IT solutions
 Perubahan dan Pemeliharaan
Questions
 Apakah proyek baru dapat
memberikan solusi terhadap
kebutuhan bisnis?
 Apakah proyek baru dapat
selesai tepat waktu dan sesuai
anggaran?
 Apakah sistem kerja yg baru
bisa diterapkan dgn baik?
 Apakah perubahan yg dibuat tdk
merepotkan kegiatan bisnis yg
berjalan?
COBIT Domains
Deliver and Support Monitor and Evaluate

Topics Topics
Domains

 Layanan pengantaran& dukungan  Penilaian over time,

 Dukungan proses penyusunan jaminan pengiriman
 Pengolahan sistem aplikasi  Sistem pengendalian
Questions manajemen kesalahan
 Apakah layanan IT yg diberikan  Pengukuran pekerjaan
sesuai dgn prioritas bisnis?
Questions
 Apakah biaya IT dapat dioptimalkan?

 Dapatkan IT mendeteksi
Apakah pekerja mampu menggunakan
sistem IT lebih produktif dan aman? suatu permasalahan
 Apakah keamanan, integritas dan sebelum semuanya
ketersediaan sudah pada tempatnya? terlambat?
 Apakah jaminan
kemandirian yg diperlukan
dpt memastikan bidang2
kritis bisa beroperasi sesuai
dgn yg diharapkan?
Pola Pikir
Control Domain Planning &
Organisation
Control Domain Acquisition &
Implementation
Control Domain Delivery &
Support
Control Domain Monitoring
 COBIT Business Objectives PO1 Define a strategic IT plan (menggambarkan)
PO2 Define the information architecture

Framework
Criteria PO3 Determine the technological direction (menentukan)
•• Effectiveness PO4 Define the IT organisation and relationships
•• Efficiency PO5 Manage the IT investment
•• Confidentiality PO6 Communicate management aims and direction
•• Integrity PO7 Manage human resources
•• Availability
•• Compliance PO8 Ensure compliance with external requirements (memas
•• Reliability PO9 Assess risks (menilai)
PO10 Manage projects
M1 Monitor the process IT PO11 Manage quality
M2 Assess internal control adequacy RESOURCES
M3 Obtain independent assurance
M4 Provide for independent audit • Data
• Application systems
• Technology
• Facilities
• People PLAN AND
ORGANISE

MONITOR AND
EVALUATE
ACQUIRE AND
IMPLEMENT
DS1 Define service levels
DS2 Manage third-party services
DS3 Manage performance and capacity
DS4 Ensure continuous service
DS5 Ensure systems security
DS6 Identify and attribute costs
DS7 Educate and train users DELIVER AND
DS8 Assist and advise IT customers SUPPORT AI1 Identify automated solutions
DS9 Manage the configuration
AI2 Acquire and maintain application software
DS10 Manage problems and incidents
AI3 Acquire and maintain technology infrastructure
DS11 Manage data
AI4 Develop and maintain IT procedures
DS12 Manage facilities
AI5 Install and accredit systems
DS13 Manage operations
AI6 Manage changes
Audit Sistem Informasi
 Sistem Informasi

Wikipedia
  Sistem informasi adalah aplikasi
komputer untuk mendukung operasi dari
suatu organisasi: operasi, instalasi, dan
perawatan komputer, perangkat lunak, dan
data.
 Sistem Informasi, contohnya

Sistem Informasi Manajemen adalah bidang yang

menekankan finansial dan personal manajemen.

Sistem Informasi Pelayanan Publik adalah suatu

sistem informasi yang mengorganisasikan
serangkaian prosedur dan metode yang dirancang
untuk menghasilkan, menganalisa, menyebarkan
dan memperoleh informasi guna mendukung
pengambilan keputusan mengenai pelayanan
publik.
 Sistem Informasi - Summary

Sistem Informasi adalah sekumpulan

  hardware,
  software,
  brainware,
  prosedur
yang diorganisasikan secara integral untuk
mengolah data menjadi informasi yang
bermanfaat guna memecahkan masalah dan
pengambilan keputusan
 Audit Sistem Informasi

 Meliputi:
– Tata kelola teknologi informasi secara
menyeluruh
– Audit pengembangan sistem informasi
(SDLC), satu jenis aplikasi tertentu
 Audit Sistem Informasi
Ron Weber (1999,10)
 Information systems auditing is the process of collecting
and evaluating evidence to determine whether a computer
system safeguards assets, maintains data integrity, allows
organizational goals to be achieved effectively, and uses
resources efficiently.

 (Audit sistem informasi adalah proses pengumpulan dan

 penilaian bukti – bukti untuk menentukan apakah sistem
komputer dapat mengamankan aset, memelihara
integritas data, dapat mendorong pencapaian tujuan
organisasi secara efektif dan menggunakan sumberdaya
secara efisien).
 Audit SI – Ukuran Nilai

 Strategic Alignment
– Apakah penerapan it sudah sesuai dengan yang
diaharapkan, apakah sudah sesuai kebutuhan

 Value Delivery
– Komputerisasi bukan hanya untuk memenuhi
kebutuhan tapi juga sudah dimaksudkan untuk
memberikan nilai tambah, ex: penghematan biaya,
meningkatkan kinerja.
 Audit SI – Ukuran Nilai

 Risk Management
– Sudah ada penaksiran resiko, ada jaminan
kelangsungan operasi.

 Resources Management
– Pengelolaan sumber daya, termasuk
pengembangan pengetahuan sudah dilakukan
secara efesien
 Tujuan Audit Sistem Informasi

4 (empat) tujuan audit sistem

informasi,yaitu:
  Mengamankan asset
  Menjaga integritas data
  Menjaga efektivitas sistem
  Mencapai efisiensi sumberdaya.
 Pendekatan Audit Sistem
Informasi
Pendekatan temuan (Exposures Approach),
  fokus utama ditekankan pada jenis kesalahan
(losses) yang terjadi dalam suatu sistem informasi.
Setelah itu ditentukan kendali (controls) yang
dapat digunakan untuk mengurangi kesalahan
tersebut sampai pada batas yang dapat diterima
(acceptable levels).

Pendekatan kendali (Control Approach),

  fokus utamanya adalah kendali-kendali di dalam
suatu sistem informasi yang dapat digunakan
untuk mengurangi kesalahan sampai pada level
yang dapat diterima (acceptable levels).
 Standar Audit SI

 Standar Atestasi dan standar pemeriksaan

akuntan (IAI)
 ISACA – standards, guidelines, and
procedures
– Secara teknis mengacu kepada guidelines dan
prosedur yang diatur dalam CObIT:
• CObIT executive summary, CObIT framework, CObIT
Control Objectives, CObIT Control Practice, CObIT
Management Guidelines, CObIT Security Baseline
 Audit Sistem Informasi –
Sejarah Awal
 Di America
– Univac – Komputer yang digunakan untuk sensus
– 1959 – komputer digunakan untuk pembukuan
– IBM360 – mainframe untuk kebutuhan akuntansi
• Muncul istilah audit arround computer
– EEDPAA – electronic data processing auditors association
lahir tahun 1969
• Mengeluarkan control objective (sejak tahun 1994 disebut CobIT)
• Dianggap sebagai international set of generally accepted IT
control objectives for day-to day use by business managers, users
of it and IS auditors
 Audit Sistem Informasi

 Sebagai audit tersendiri – perlu dilakukan

untuk memeriksa tingkat kematangan atau
kesiapan suatu organisasi dalam melakukan
pengelolaan teknologi informasi
 Level of maturity dapat dilihat dari
awareness dari para stake holder
– Karenanya sebuah penerapan it harus melalui
tahapan perencanaan yang baik.
 Kebutuhan Audit Sistem
Informasi
 General Financial Audit
– Audit objective sesuai dengan standar akuntansi keuangan
– Referensi model adalah COSO (committee of sponsoring
Organization)
 IT Governance
– Audit operasional terhadap manajemen pengelolaan
sumberdaya informasi
– Aspek-aspek:efektifitas, efesiensi, data integrity, save
guarding asset, reliability, confidentiallity, availability,
security.
 Audit Sistem Informasi – IT
Governance
 Selain dapat dilakukan untuk sistem secara
menyeluruh, dapat juga dilakukan terhadap:
– General information review
• Audit terhadap sistem informasi
– Quality Assurance
• Auditor (bukan anggota tim pengembang), membantu meningkatkan
kualitas dari sistem. Auditor mewakili pimpinan proyek.
– Postimplementation Audit
• Apakah sistem perlu dimutakhirkan atau diperbaiki atau
dihentikan.
• Istilah audit arround dan audit through the computer tidak
berlaku lagi pada audit jenis ini
 Audit Sistem Informasi

 Karena yang diaudit ialah tata kelola TI,

maka yang diperiksa adalah ti itu sendiri
– Karena itu istilah audit arround the computer
dan audit through the computer tidak relevan
lagi
 Audit TI/SI tidak bersifat wajib
– Adanya aktifitas TI merupakan bentuk
kesadaran dari pihak manajemen
Audit Sistem Informasi - Faktor

 Mendeteksi apakah komputer dikelola secara

kurang terarah
– Tidak ada visi, misi, perencanaan teknologi
informasi, tidak ada pelatihan
 Mendeteksi resiko kehilangan data
 Mendeteksi resiko informasi yang tidak akurat,
berdasarkan data yang salah.
 Menjaga aset
 Mendeteksi error komputer
Audit Sistem Informasi – Faktor

 Mendeteksi resiko penyalahgunaan

komputer
 Menjaga kerahasiaan
 Meningkatkan pengendalian evolusi
penggunaan komputer/perkembangan ke
depan
 Aspek Yang Diperiksa
Audit secara keseluruhan menyangkut efektifitas,
 efisiensi,
  availability system,
  reliability,
  confidentiality, dan
  integrity, serta aspek security.

Selanjutnya adalah audit atas proses, modifikasi program,

audit atas sumber data, dan data file.

Audit TI sendiri merupakan gabungan dari berbagai macam

ilmu, antara lain: Traditional Audit, Manajemen Sistem
Informasi, Sistem Informasi Akuntansi, Ilmu Komputer,
dan Behavioral Science.
Tahapan Audit Sistem Informasi

Menurut Ron Weber terdapat 5 (lima) langkah atau

tahapan audit sistem informasi yaitu:

 Perencanaan Audit (Planning the Audits)

 Pengetesan Kendali (Tests of Controls)
 Pengetesan Transaksi (Tests of Transactions)
 Pengetesan Keseimbangan atau Keseluruhan
Hasil (Tests of Balances or Overall Results) dan
 Pengakhiran (penyelesaian) Audit (Completion
of the Audit)
Tahapan Audit Sistem Informasi

menurut Gallegos Cs. tahapan audit sistem

informasi mencakup aktivitas :
 Perencanaan (Planning)
 Pemeriksaan Lapangan (Fieldwork)
 Pelaporan (Reporting) dan
 Tindak Lanjut (Follow Up)
 Pengumpulan Data (evidence)

melalui berbagai teknik termasuk

  survei,
  interview,
  observasi dan review dokumentasi

(termasuk review source-code bila diperlukan).

  Bisa jadi bukti-bukti audit yang diambil oleh auditor
 mencakup bukti elektronis (data dalam bentuk file
 softcopy).
 Pengumpulan Data (evidence) -
Method

Dalam proses pengumpulan bukti ini ada

beberapa cara yang sering dipakai yaitu,

  audit around computer,

  audit trought computer dan
  audit with computer.
 Audit Around The Computer
 Seperti audit manual
 Hanya memeriksa input dan output saja,
tanpa pemeriksaan lebih dalam terhadap
penggunaan program. Jika input dan output
benar  dianggap benar
 Dilakukan jika sebagian besar pengolahan
data masih manual dan penggunaan
komputer hanya ut beberapa bagian saja
 Audit With The Computer
 Selain input dan output juga diperiksa
proses pada komputer, dapat digunakan
file-file transaksi yang berkaitan
 Audit Through The Computer
 Melaksanakan pekerjaan audit dengan
bantuan komputer
 Pengumpulan Data (evidence) -
Method
Jika tingkat pemakaian TI tinggi maka audit yang
dominan digunakan adalah audit with computer 
biasa disebut dengan teknik audit berbantuan computer
atau menggunakan CAAT (Computer Aided Auditing
Technique).

Untuk menganalisa data, misalnya saja data transaksi

penjualan, pembelian, transaksi aktivitas persediaan,
aktivitas nasabah, dan lain lain.

Tentunya untuk aspek sekuriti adakalanya auditor

dituntut mempunyai keahlian teknis yang cukup
memadai untuk menguji keamanan sistem.
 Audit Sistem Informasi

 Tujuan audit SI adalah untuk meninjau dan

mengevaluasi pengendalian internal yang
melindungi sistem tersebut.
 Ketika melaksanakan audit sistem informasi, para
auditor harus memastikan tujuan-tujuan berikut
ini dipenuhi :
1 Perlengkapan keamanan melindungi perlengkapan
komputer, program, komunikasi, dan data dari akses
yang tidak sah, modifikasi, atau penghancuran.
 Audit Sistem Informasi

2 Pengembangan dan perolehan program

dilaksanakan sesuai dengan otorisasi khusus
dan umum dari pihak manajemen.
3 Modifikasi program dilaksanakan dengan
otorisasi dan persetujuan pihak manajemen.
4 Pemrosesan transaksi, file, laporan, dan
catatan komputer lainnya telah akurat dan
lengkap.
 Audit Sistem Informasi

5 Data sumber yang tidak akurat atau yang tidak

memiliki otorisasi yang tepat diidentifikasi
dan ditangani sesuai dengan kebijakan
manajerial yang telah ditetapkan.
6 File data komputer telah akurat, lengkap, dan
dijaga kerahasiaannya.
 Audit Operasional Atas Suatu SI
Berbagai teknik dan prosedur yang digunakan
dalam audit operasional hampir sama dengan
yang diterapkan dalam audit sistem informasi dan
keuangan.
 Perbedaan utamanya adalah bahwa lingkup audit
sistem informasi dibatasi pada pengendalian
internal, sementara lingkup audit keuangan
dibatasi pada output sistem.
 Sebaliknya, lingkup audit operasional lebih luas,
melintasi seluruh aspek manajemen sistem
informasi.
 Audit Operasional Atas Suatu SI

 Tujuan audit operasional mencakup

faktor-faktor seperti: efektivitas, efisiensi,
dan pencapaian tujuan.
 Pengumpulan bukti mencakup kegiatan-
kegiatan berikut ini :
– Meninjau kebijakan dokumentasi operasional
– Melakukan konfirmasi atas prosedur dengan
pihak manajemen serta personil operasional
 Audit Operasional Atas Suatu SI

Prosedur pengumpulan bukti, contoh.

– Mengamati fungsi-fungsi dan kegiatan
operasional
– Memeriksa rencana dan laporan keuangan
serta operasional
– Menguji akurasi informasi operasional
– Menguji pengendalian
 Pendekatan Audit Berdasarkan
Risiko
 Pendekatan berdasarkan risiko untuk audit
memberikan para auditor pemahaman yang jelas
atas kesalahan dan ketidak berturan yang dapat
terjadi dan risiko serta penyingkapan yang
terkait.
 Pemahaman atas hal ini memberikan dasar yang
kuat untuk mengembangkan rekomendasi pada
pihak manajemen mengenai bagaimana sistem
pengendalian SIA seharusnya ditingkatkan.
 Pendekatan Audit Berdasarkan
Risiko
 Apakah pendekatan empat tahap evaluasi
pengendalian internal itu ?
1 Tentukan ancaman-ancaman yang dihadapi SIA.
2 Identifikasi prosedur pengendalian yang
diimplementasikan untuk meminimalkan setiap
ancaman dengan mencegah atau mendeteksi kesalahan
dan ketidak beraturan.
3 Evaluasi prosedur pengendalian.
4 Evaluasi kelemahan (kesalahan dan ketidak-beraturan
yang tidak terungkap oleh prosedur pengendalian).
 Kerangka untuk Audit Keamanan
Komputer
Jenis-jenis Kesalahan dan Penipuan:
– Pencurian atau kerusakan yang tidak disengaja
atas hardware dan file
– Kehilangan, pencurian, atau akses tidak sah ke
program, file data, dan sumber daya sistem
lainnya
– Modifikasi atau penggunaan secara tidak sah
program dan file data
 Kerangka untuk Audit Keamanan
Komputer
Jenis-jenis Prosedur Pengendalian :
– Rencana keamanan/perlindungan informasi
– Pembatasan atas akses secara fisik ke perlengkapan
komputer
– Pengendalian penyimpanan dan pengiriman data
seperti enkripsi
– Prosedur perlindungan dari virus
– Menggunakan firewall
– Rencana pemulihan dari bencana
– Pemeliharaan pencegahan
– Asuransi sistem informasi
 Kerangka untuk Audit Keamanan
Komputer
Prosedur Audit: Tinjauan atas Sistem
– Menginspeksi lokasi komputer
– Wawancara dengan personil sistem informasi
mengenai prosedur keamanan
– Meninjau kebijakan dan prosedur
– Memeriksa kebijakan asuransi apabila terjadi bencana
atas sistem informasi
– Memeriksa daftar akses sistem
– Memeriksa rencana pemulihan dari bencana
 Kerangka untuk Audit Keamanan
Komputer
Prosedur Audit: Uji Pengendalian
– Mengamati prosedur akses ke lokasi komputer
– Memverifikasi bahwa terdapat pengendalian dan
pengendalian tersebut berfungsi seperti dengan yang
diharapkan
– Menginvestigasi berbagai kesalahan atau masalah
untuk memastikan mereka ditangani dengan benar
– Memeriksa berbagai uji yang sebelumnya telah
dilaksanakan
 Kerangka untuk Audit Keamanan
Komputer
Pengendalian Pengimbang:
– Kebijakan yang baik dalam hal personalia
– Penggunaan pengendalian secara efektif
– Pemisahan pekerjaan yang tidak boleh
disatukan
Software Computer
untuk Audit TI
 Software Komputer

 Beberapa program komputer, yang disebut

computer audit software (CAS) atau
generalized audit software (GAS), telah
dibuat secara khusus untuk auditor.
 CAS adalah program komputer yang,
berdasarkan spesifikasi dari auditor,
menghasilkan program yang melaksanakan
fungsi-fungsi audit.
 Pemakaian Software komputer

 Langkah pertama auditor adalah

memutuskan tujuan-tujuan audit,
mempelajari file serta databse yang akan
diaudit, merancang laporan audit, dan
menetapkan bagaimana cara
menghasilkannya.
 Informasi ini akan dicatat dalam lembar
spesifikasi dan dimasukkan ke dalam sistem
melalui program input data.
 Pemakaian Software komputer

 Program ini membuat catatan spesifikasi

yang digunakan CAS untuk menghasilkan
satu atau lebih program audit.
 Program audit memproses file-file sumber
dan melaksanakan operasional audit yang
dibutuhkan untuk menghasilkan laporan
audit yang telah ditentukan.
Fungsi Umum Software Audit Komputer

– Pemformatan ulang
– Manipulasi file
– Perhitungan
– Pemilihan data
– Analisis data
– Pemrosesan file
– Statistik
– Pembuatan laporan
 Hasil Audit? Siapa yang
Melakukan Audit?
Auditor Sistem Informasi pada dasarnya melakukan
penilaian (assurance) tentang kesiapan sistem
berdasarkan kriteria tertentu.
Kemudian berdasarkan pengujian Auditor akan memberikan
rekomendasi perbaikan yang diperlukan.
Adakalanya judgement diperlukan berdasarkan kriteria yang
disepakati bersama.
Penanggung jawab sistem yang diaudit tetap berada pada
pengelola sistem, bukan di tangan auditor. Atas
rekomendasi yang diberikan tentunya diharapkan ada
tindak lanjut perbaikan bagi manajemen.
 Hasil Audit? Siapa yang
Melakukan Audit?

Siapakah sebaiknya yang melakukan audit sistem informasi?

Audit sistem informasi dapat dilakukan sebagai bagian dari
pengendalian internal yang dilakukan oleh fungsi TI.

Tapi jika dibutuhkan opini publik tentang kesiapan sistem

tersebut, audit dapat dilakukan dengan mengundang pihak
ketiga (auditor independent) untuk melakukannya.

Jika sebuah hasil audit TI perlu dipublikasikan, tentunya

perlu perangkat hukum yang mengatur tata cara pelaporan
tersebut
 Kebutuhan auditor IT

 Internal Audit -> setiap perusahaan

memerlukan
 Perusahaan penyedia layanan audit
 Perusahaan penyedia sertifikasi
 Peluang

 Ketergantungan terhadap IT semakin besar

sehingga muncul kebutuhan untuk
melakukan audit IT
 Auditor IT yang sekarang banyak yang
berasal bukan dari bidang IT
 Banyak permasalahan (bisnis) dalam
pengelolaan IT
Terima kasih