02-IS CONTROL AND AUDIT GENERAL PRINCIPLES

IS4453-AUDIT SISTEM INFORMASI IT Telkom/RNA-riniastuti

Dealing with Complexity

2

Auditor menangani kompleksitas saat mengaudit sistem informasi dengan cara (1) membagi sistem ke subsistem-subsistem, kemudian mengevaluasi kehandalan kendali pada setiap subsistem Lalu (2) menentukan kehandalan setiap level subsistem untuk mendukung kehandalan sistem scr keseluruhan Tujuan membagi-bagi sistem mjd subsistem adlh utk memahami sistem dng lebih mudah shg mudah pula mengevaluasinya.

Subsystems
3

Level 0

Level 1

Level 2

Contoh Subsystem
4

Management subsystem: 1. Top management 2. Information syst management 3. Syst developm manag 4. Programming manag 5. Data administration 6. QA management 7. Security administration 8. Operation management

Application subsystem 1. Boundary 2. Input 3. Communication 4. Processing 5. Database 6. Output

Major Steps in an Audit

5

1.

2.

3.

4.

5.

Planning the audit : auditor menetapkan pemahaman kendali internal yg digunakan dlm organisasi Test of controls : auditor menguji kendali utk evaluasi dimana operasi bekerja efektif Test of transactions : auditor menguji dimana kerugian material terjadi (atau mungkin terjadi),kemudian mengevaluasinya Test of balance or overall result : auditor mencari bukti cukup utk membuat penilaian final pada kerugian yang terjadi atau mungkin terjadi Completion of the audit : auditor memberi pendapat ttg dimana atau bgm kerugian bisa terjadi.

Audit Risks
6

1. 2.

3.

Selama proses audit, terdapat beberapa resiko yg mengakibatkan prosedur audit gagal Resiko tsb : Inherent risk : resiko terselubung Control risk : dimana audit sistem informasi tidak dapat mendeteksi kelemahan kendali Detection risk : audit gagal mendeteksi kerugian.

Auditing around or through computer, which one is better ?

7

Selama phase tests of controls, satu keputusan penting yg auditor buat adalah melakukan pengujian kendali dng mengaudit di sekitar atau melalui komputer Auditor akan mengaudit di sekitar komputer apabila sistem aplikasinya sederhana, inherent resikonya rendah, dan kehandalan pengolahan internal sistem mudah diduga Auditor akan / harus mengaudit melalui komputer apabila resiko inherent aplikasinya tinggi dan sulit diduga bagaimana proses internal sistemnya.

Lapisan Kendali
8

Contoh Kendali Internal pada Proses Prosuksi

9

Feedback Signals

Production Manager

Feedback Signals Control Signals

Control Signals

Raw Materials

Production

Product

internal external
ENVIRONMENT: Supplier

Definisi Kendali (Control)

10

A Control is a system that prevents, detects, or corects unlawful events.

1.

A system : interrelated components that function together to achieve some overall purpose. When we evaluate a control, therefore, we must consider its reliability from a systems perspective (= IS / organization perspective) Focus on unlawful events (=kejadian tdk sah/tdk benar). A password menjadi sebuah kendali saat menangani keamanan seperti choice of password, correct validation of password, secure storage of password, follow-up on illicit use of password Unlawful events : unauthorized, inaccurate, incomplete, redundant, ineffective, or inefficient input enters the system.

2.

3.

Contoh
11

Kendali Pencegahan (Preventive control)

 Instruksi

yang ditempatkan pada dokumen dasar (sumber) untuk mencegah kemungkinan petugas salah DALAM mengisi dokumen (out incorrectly). dapat mengidentifikasi kesalahan pemasukan data ke dalam sistem melalui terminal (alat masukan). menggunakan kode khusus yang memungkinkan sistem dapat mengkoreksi kesalahan data akibat gangguan (noise) komunikasi.

Kendali Detektif (Detective control)

 Program

Kendali Koreksi (Corrective control)

 Program

12

Tujuan Pengendalian Internal

13

1.

2.

3.

4.

Memeriksa ketelitian dan kebenaran data yang akan menghasilkan laporan-laporan yang dapat diandalkan Efektivitas dan efisiensi dalam operasi, yaitu efektif dalam mencapai tujuan organisasi secara keseluruhan dan efisien dalam pemakaian sumberdaya yang tersedia Membantu agar tidak terjadi penyimpangan terhadap hukum dan peraturan yang berlaku Mengamankan harta milik organisasi atau perusahaan termasuk data yang tersedia.

Tugas Auditor
14

Hello, Im Auditor

Auditor internal dan/atau eksternal Memahami kendali-kendali internal organisasi (atau sistem informasi), sehingga paham bukti2 apa yg harusnya dikumpulkan, dan bagaimana mengeveluasi bukti2 tsb. Kemudian, auditor akan memberi kan rekomendasi kpd organisasi.

Dua Pendekatan Pengendalian Internal

15

1. 2.

Pendekatan Statis Pendekatan Dinamis

Pendekatan Statis
16

1.

Berdasarkan pertimbangan pada pembagian wewenang di dalam pengelolaan perusahaan atau entitas pada masa lalu yg bersifat sentralisasi. Metoda sentralisasi artinya jika kita telusuri bahwa intelektualitas berada pd pucuk pimpinan perusahaan. Semakin rendah posisi seseorang, maka semakin sedikit pengetahuannya ttg pencapaian tujuan perusahaan, artinya hanya sekedar menjalankan perintah atasanya. Artinya bahwa pendekatan statis akan berorientasi pada sistem yg dpt dg mudah ditelusuri keberadaannya.

2.

3.

Pendekatan Dinamis
17

1. 2.

3.

4.

Pengendalian internal sbg sebuah proses Konsep ini terkait dg perkembangan metoda pengelolaan sumber daya manusia pada organisasi yg bersangkutan. Perubahan metoda pengelolaan tersebut adalah perubahan ke metoda pengelolaan manajemen melalui tujuan (management by objective) menggantikan manajemen melalui kekuasaan (management by drive). Hal tersebut di dorong oleh : Peningkatan kualitas SDM, sehingga intensitas pengendalian intern dpt di kurangi Spesialisasi dpt meningkatkan kinerja seseorang Kepuasan kerja dpt meningkatkan produktivitas. Persaingan yg semakin ketat, membutuhkan pengambilan keputusan yg cepat.

Pendekatan Dinamis (2)

18

Berdasarkan perkembangan di bidang manajemen SDM tersebut, konsep pengendalian intern jg mengalami perubahan dari konsep ketersediaan pengendalian inetern beralih ke konsep proses pencapaian tujuan. Dg konsep baru tersebut disadari bahwa intelektualitas tdk lg terletak pd pucuk pimpinan, tetapi terletak dilapisan bawah. Mereka yg deket dg konsumenlah yg paling mengerti dg kebutuhan pasar. Pengorganisasian yg paling tepat untuk kondisi seperti ini adalah seperti pengorganisasian orkes simponi.

Pendekatan Dinamis (3)

19

Organisasi ini sepenuhnya akan digerakan oleh dinamika para pekerja (ujung tombak) sesuai spesialisai masing-masing. Untuk menjaga kekompakan agar terjadi irama yg serasi dibutuhkan seorang manajer yg berfungsi sbg konduktor. Manajer tersebut tdk lg hrs memiliki pengetahuan teknis seperti yg dimiliki pemain orkesnya, tetapi yg diperlukan hanya seorang yg mampu mengatur tempo dan menguasai tingkatan nada.

Pengaruh Komputer dalam Pengendalian

20

1.

2.

Perubahan dalam Pengumpulan fakta (Changes to Evidence Collection) Perubahan dalam Evaluasi Fakta (Changes to Evidence Evaluation)

Pengaruh Komputer dalam Pengendalian Internal (#1)

21

Tujuan dari perlindungan aset, integritas data, efektivitas sistem, dan efisiensi sistem dapat dicapai dengan baik jika manajemen organisasi meningkatkan sistem pengendalian internalnya, yaitu dengan cara :

Pengaruh Komputer dalam Pengendalian Internal (#2)

22

1. 2.

3.

4. 5.

Pemisahan Tanggung Jawab (Separation of Duties) Pendelegasian Wewenang dan Tanggung Jawab (Delegation of Authority and Responsibility) Personal yang Kompeten dan Dapat dipercaya (Competent and Trustworthy Personnel) Otorisasi Sistem (System of Authorizations) Kecukupan Catatan dan Dokumen (Adequate Documents and Records).

Pengaruh Komputer dalam Pengendalian Internal (#3)

23

6. 7. 8. 9.

Pengendalian Fisik atas banyaknya Rekord dan Aset (Physical Control over Assets and Records) Kecukupan Supervisi dari pihak Manajemen (Adequate Management Supervision) Bentuk Pengecekan yang Independen (independent Checks on Performance) Perbandingan Akuntabilitas Rekord dengan Aset (Comparing Recorded Accountability with Assets).

Kerangka Kendali Internal

(Ron Weber, Information System Control & Audit, 1999)
24

Management Control 1. Top Management Controls 2. Systems Development Management Controls 3. Programming Management Controls 4. Data Resource Management Controls 5. Security Managements Controls 6. Operations Management Control 7. Qality Assurence Management Controls

Application Control
1.

Boundary Controls Input Controls Communication Controls Processing Controls Database Controls Output Controls

2.

3.

4.

5.

6.

Dua Pendekatan Pengendalian

25

Kerangka Kendali Manajemen

Top Management Controls Discusses top manags role in planning, organizing, leading & controlling the IS function Provide perspective on models of the IS development process that auditors can use as a basis for evidence collection and evaluation

Systems Development Management Controls

26

Kerangka Kendali Manajemen (2)

Programming Management Controls Discusses the major phases in the program life cycle and the important controls that sould be exercised in each phase Discusses the roles of the data administrator and the database administrator and the controls that should be exercised over the functions they perform
27

Data Resource Management Controls

Kerangka Kendali Manajemen (3)

Security Management Discusses the major functions Controls performed by security administrators to identify major threats to the IS function and to design, implement, operate and maintain controls that reduce expected losses form these threats to an acceptable level Discusses the major function Operations performed by operations management Management to ensure the day-to-day operations of Controls the IS function are well controlled
28

Kerangka Kendali Manajemen (4)

Quality Assurance Management Controls Discusses the major functions that quality assurance management should perform to ensure that the development, implementation, operation and maintenance of information systems conform to quality standards.

29

Kerangka Kendali Aplikasi

Sub-sistem Aplikasi Pembatasan (Boundary) Input Penjelasan Berupa komponen yang menetapkan (pembatasan) antara user dan sistem. hubungan

Berupa komponen yang menangkap (capture), menyiapkan, dan memasukan perintah dan data kedalam sistem. Berupa komponen yang mengirimkan data antar sub-sistem dan sistem. Berupa komponen yang melaksanakan (memproses) pengambilan keputusan, perhitungan, klasifikasi, pemesanan, peringkasan data dalam sistem. Berupa komponen yang mendefinisikan, menambah, mengakses,memodifikasi, dan menghapus data dalam sistem. Berupa komponen yang mengambil dan mempresentasikan data untuk user dari sistem. 30

Communication Processing

Database

Output

Cooperation of public auditors

31

The Information Technology Security Evaluation Criteria (ITSEC) is a structured set of criteria for evaluating computer security within products and systems. Trusted Computer System Evaluation Criteria (TCSEC) is a United States Government Department of Defense (DoD) standard that sets basic requirements for assessing the effectiveness of computer security controls built into a computer system.

Cooperation of public auditors-2

32

ISO9000 evaluations using standards such as ISO 17799 is often used as a generic term to describe what are actually two different documents: ISO17799 (aka ISO 27002), which is a set of security controls (a code of practice), and ISO 27001 (formerly BS7799-2), which is a standard 'specification' for an Information Security Management System (an ISMS).

Cooperation of public auditors-3

33

The Control Objectives for Information and related Technology (COBIT) is a set of best practices (framework) for information technology (IT) management, created by ISACA and the IT Governance Institute (ITGI) in 1996. COBIT provides managers, auditors, and IT users with a set of generally accepted measures, indicators, processes and best practices, to assist them in maximizing the benefits derived through the use of information technology, and developing appropriate IT governance and control in a company.

Cooperation of public auditors-4

34

The Information Technology Infrastructure Library (ITIL) is a set of concepts and practices for Information Technology Services Management (ITSM), Information Technology (IT) development and IT operations. Committee of Sponsoring Organizations of the Treadway Commission, atau disingkat COSO, adalah suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985. Tujuan utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan keuangan dan membuat rekomendasi untuk mengurangi kejadian tersebut. COSO telah menyusun suatu definisi umum untuk pengendalian, standar, dan kriteria internal yang dapat digunakan perusahaan untuk menilai sistem pengendalian mereka. CISA/Certified Information Systems Auditor - IT Certification