Auditor menangani kompleksitas saat mengaudit sistem informasi dengan cara (1) membagi sistem ke subsistem-subsistem, kemudian mengevaluasi kehandalan kendali pada setiap subsistem Lalu (2) menentukan kehandalan setiap level subsistem untuk mendukung kehandalan sistem scr keseluruhan Tujuan membagi-bagi sistem mjd subsistem adlh utk memahami sistem dng lebih mudah shg mudah pula mengevaluasinya.
Subsystems
3
Level 0
Level 1
Level 2
Contoh Subsystem
4
Management subsystem: 1. Top management 2. Information syst management 3. Syst developm manag 4. Programming manag 5. Data administration 6. QA management 7. Security administration 8. Operation management
1.
2.
3.
4.
5.
Planning the audit : auditor menetapkan pemahaman kendali internal yg digunakan dlm organisasi Test of controls : auditor menguji kendali utk evaluasi dimana operasi bekerja efektif Test of transactions : auditor menguji dimana kerugian material terjadi (atau mungkin terjadi),kemudian mengevaluasinya Test of balance or overall result : auditor mencari bukti cukup utk membuat penilaian final pada kerugian yang terjadi atau mungkin terjadi Completion of the audit : auditor memberi pendapat ttg dimana atau bgm kerugian bisa terjadi.
Audit Risks
6
1. 2.
3.
Selama proses audit, terdapat beberapa resiko yg mengakibatkan prosedur audit gagal Resiko tsb : Inherent risk : resiko terselubung Control risk : dimana audit sistem informasi tidak dapat mendeteksi kelemahan kendali Detection risk : audit gagal mendeteksi kerugian.
Selama phase tests of controls, satu keputusan penting yg auditor buat adalah melakukan pengujian kendali dng mengaudit di sekitar atau melalui komputer Auditor akan mengaudit di sekitar komputer apabila sistem aplikasinya sederhana, inherent resikonya rendah, dan kehandalan pengolahan internal sistem mudah diduga Auditor akan / harus mengaudit melalui komputer apabila resiko inherent aplikasinya tinggi dan sulit diduga bagaimana proses internal sistemnya.
Lapisan Kendali
8
Feedback Signals
Production Manager
Control Signals
Raw Materials
Production
Product
internal external
ENVIRONMENT: Supplier
A system : interrelated components that function together to achieve some overall purpose. When we evaluate a control, therefore, we must consider its reliability from a systems perspective (= IS / organization perspective) Focus on unlawful events (=kejadian tdk sah/tdk benar). A password menjadi sebuah kendali saat menangani keamanan seperti choice of password, correct validation of password, secure storage of password, follow-up on illicit use of password Unlawful events : unauthorized, inaccurate, incomplete, redundant, ineffective, or inefficient input enters the system.
2.
3.
Contoh
11
yang ditempatkan pada dokumen dasar (sumber) untuk mencegah kemungkinan petugas salah DALAM mengisi dokumen (out incorrectly). dapat mengidentifikasi kesalahan pemasukan data ke dalam sistem melalui terminal (alat masukan). menggunakan kode khusus yang memungkinkan sistem dapat mengkoreksi kesalahan data akibat gangguan (noise) komunikasi.
12
1.
2.
3.
4.
Memeriksa ketelitian dan kebenaran data yang akan menghasilkan laporan-laporan yang dapat diandalkan Efektivitas dan efisiensi dalam operasi, yaitu efektif dalam mencapai tujuan organisasi secara keseluruhan dan efisien dalam pemakaian sumberdaya yang tersedia Membantu agar tidak terjadi penyimpangan terhadap hukum dan peraturan yang berlaku Mengamankan harta milik organisasi atau perusahaan termasuk data yang tersedia.
Tugas Auditor
14
Hello, Im Auditor
Auditor internal dan/atau eksternal Memahami kendali-kendali internal organisasi (atau sistem informasi), sehingga paham bukti2 apa yg harusnya dikumpulkan, dan bagaimana mengeveluasi bukti2 tsb. Kemudian, auditor akan memberi kan rekomendasi kpd organisasi.
1. 2.
Pendekatan Statis
16
1.
Berdasarkan pertimbangan pada pembagian wewenang di dalam pengelolaan perusahaan atau entitas pada masa lalu yg bersifat sentralisasi. Metoda sentralisasi artinya jika kita telusuri bahwa intelektualitas berada pd pucuk pimpinan perusahaan. Semakin rendah posisi seseorang, maka semakin sedikit pengetahuannya ttg pencapaian tujuan perusahaan, artinya hanya sekedar menjalankan perintah atasanya. Artinya bahwa pendekatan statis akan berorientasi pada sistem yg dpt dg mudah ditelusuri keberadaannya.
2.
3.
Pendekatan Dinamis
17
1. 2.
3.
4.
Pengendalian internal sbg sebuah proses Konsep ini terkait dg perkembangan metoda pengelolaan sumber daya manusia pada organisasi yg bersangkutan. Perubahan metoda pengelolaan tersebut adalah perubahan ke metoda pengelolaan manajemen melalui tujuan (management by objective) menggantikan manajemen melalui kekuasaan (management by drive). Hal tersebut di dorong oleh : Peningkatan kualitas SDM, sehingga intensitas pengendalian intern dpt di kurangi Spesialisasi dpt meningkatkan kinerja seseorang Kepuasan kerja dpt meningkatkan produktivitas. Persaingan yg semakin ketat, membutuhkan pengambilan keputusan yg cepat.
Berdasarkan perkembangan di bidang manajemen SDM tersebut, konsep pengendalian intern jg mengalami perubahan dari konsep ketersediaan pengendalian inetern beralih ke konsep proses pencapaian tujuan. Dg konsep baru tersebut disadari bahwa intelektualitas tdk lg terletak pd pucuk pimpinan, tetapi terletak dilapisan bawah. Mereka yg deket dg konsumenlah yg paling mengerti dg kebutuhan pasar. Pengorganisasian yg paling tepat untuk kondisi seperti ini adalah seperti pengorganisasian orkes simponi.
Organisasi ini sepenuhnya akan digerakan oleh dinamika para pekerja (ujung tombak) sesuai spesialisai masing-masing. Untuk menjaga kekompakan agar terjadi irama yg serasi dibutuhkan seorang manajer yg berfungsi sbg konduktor. Manajer tersebut tdk lg hrs memiliki pengetahuan teknis seperti yg dimiliki pemain orkesnya, tetapi yg diperlukan hanya seorang yg mampu mengatur tempo dan menguasai tingkatan nada.
1.
2.
Perubahan dalam Pengumpulan fakta (Changes to Evidence Collection) Perubahan dalam Evaluasi Fakta (Changes to Evidence Evaluation)
Tujuan dari perlindungan aset, integritas data, efektivitas sistem, dan efisiensi sistem dapat dicapai dengan baik jika manajemen organisasi meningkatkan sistem pengendalian internalnya, yaitu dengan cara :
1. 2.
3.
4. 5.
Pemisahan Tanggung Jawab (Separation of Duties) Pendelegasian Wewenang dan Tanggung Jawab (Delegation of Authority and Responsibility) Personal yang Kompeten dan Dapat dipercaya (Competent and Trustworthy Personnel) Otorisasi Sistem (System of Authorizations) Kecukupan Catatan dan Dokumen (Adequate Documents and Records).
6. 7. 8. 9.
Pengendalian Fisik atas banyaknya Rekord dan Aset (Physical Control over Assets and Records) Kecukupan Supervisi dari pihak Manajemen (Adequate Management Supervision) Bentuk Pengecekan yang Independen (independent Checks on Performance) Perbandingan Akuntabilitas Rekord dengan Aset (Comparing Recorded Accountability with Assets).
Management Control 1. Top Management Controls 2. Systems Development Management Controls 3. Programming Management Controls 4. Data Resource Management Controls 5. Security Managements Controls 6. Operations Management Control 7. Qality Assurence Management Controls
Application Control
1.
Boundary Controls Input Controls Communication Controls Processing Controls Database Controls Output Controls
2.
3.
4.
5.
6.
26
29
Berupa komponen yang menangkap (capture), menyiapkan, dan memasukan perintah dan data kedalam sistem. Berupa komponen yang mengirimkan data antar sub-sistem dan sistem. Berupa komponen yang melaksanakan (memproses) pengambilan keputusan, perhitungan, klasifikasi, pemesanan, peringkasan data dalam sistem. Berupa komponen yang mendefinisikan, menambah, mengakses,memodifikasi, dan menghapus data dalam sistem. Berupa komponen yang mengambil dan mempresentasikan data untuk user dari sistem. 30
Communication Processing
Database
Output
The Information Technology Security Evaluation Criteria (ITSEC) is a structured set of criteria for evaluating computer security within products and systems. Trusted Computer System Evaluation Criteria (TCSEC) is a United States Government Department of Defense (DoD) standard that sets basic requirements for assessing the effectiveness of computer security controls built into a computer system.
ISO9000 evaluations using standards such as ISO 17799 is often used as a generic term to describe what are actually two different documents: ISO17799 (aka ISO 27002), which is a set of security controls (a code of practice), and ISO 27001 (formerly BS7799-2), which is a standard 'specification' for an Information Security Management System (an ISMS).
The Control Objectives for Information and related Technology (COBIT) is a set of best practices (framework) for information technology (IT) management, created by ISACA and the IT Governance Institute (ITGI) in 1996. COBIT provides managers, auditors, and IT users with a set of generally accepted measures, indicators, processes and best practices, to assist them in maximizing the benefits derived through the use of information technology, and developing appropriate IT governance and control in a company.
The Information Technology Infrastructure Library (ITIL) is a set of concepts and practices for Information Technology Services Management (ITSM), Information Technology (IT) development and IT operations. Committee of Sponsoring Organizations of the Treadway Commission, atau disingkat COSO, adalah suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985. Tujuan utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan keuangan dan membuat rekomendasi untuk mengurangi kejadian tersebut. COSO telah menyusun suatu definisi umum untuk pengendalian, standar, dan kriteria internal yang dapat digunakan perusahaan untuk menilai sistem pengendalian mereka. CISA/Certified Information Systems Auditor - IT Certification