AUDIT SISTEM INFORMASI

GENERAL DAN APLICATION CONTROL

General Control Tests
General Control/ IT General Control(ITGC) adalah kebijakan dan prosedur yang berhubungan dengan
aplikasi sistem informasi dan mendukung fungsi dari application control dengan cara membantu
menjamin keberlangsungan sistem informasi yang ada.
Tujuannya untuk menjamin pengembangan dan implementasi aplikasi secara tepat, serta menjamin
integritas dari program, data files dan operasi komputer.
Bentuk ITGC yang sering digunakan : IT Organization Structure, Logical access controls over system,
applications, and data, System development life cycle controls, Program change management
controls., Data center physical security controls, System and data backup and recovery controls, dan
Computer operation controls.
General Control berlaku untuk semua komponen sistem , proses , dan data untuk sebuah
organisasi atau sistem lingkungan tertentu , termasuk : tata kelola TI , manajemen
risiko , manajemen sumber daya , operasional TI , pengembangan aplikasi dan
pemeliharaan , manajemen pengguna , keamanan logis , keamanan fisik , manajemen
perubahan , backup dan recovery , dan kelangsungan usaha. Tujuan utamanya adalah
untuk memahami :
a.

tujuan audit di setiap daerah kontrol umum dan

b.

sifat dari tes dimana auditor melakukan untuk mencapai tujuan tersebut .
Jenis Jenis General Control
1. operating system controls
memverifikasi bahwa kebijakan dan pengendalian prosedur keamanan cukup ketat
untuk melindungi sistem operasi terhadap hardware failure, software efforts,
destructive acts by employees or hackers, virus infection
2. data management controls
Tujuan dari data management control adalah melindungi terhadap akses tidak sah
atau kerusakan data & memadai backup data. Adapun control tersebut meliputi
kontrol terhadap:

access - encryption, user authorization tables, inference controls and biometric

devices are a few examples

backup - grandfather-father-son and direct access backup; recovery procedures

3. organizational structure controls
Tujuan dari organizational structure control adalah:
menentukan apakah fungsi telah diidentifikasi dan dipisahkan sesuai dengan
tingkat paparan potensial

Tmenentukan apakah pemisahan ditopang lingkungan kerja yang mempromosikan hubungan formal
antara tugas-tugas yang tidak kompatibel
control terhadap: review organizational & systems documentation, observe behavior, and review
database authority tables

4. systems development controls

Tujuan dari system development control adalah untuk memastikan bahwa :
Kegiatan SDLC diterapkan secara konsisten dan sesuai dengan kebijakan manajemen
sistem diterapkan bebas dari kesalahan bahan dan penipuan
sistem ini dinilai tidak diperlukan dan dibenarkan di berbagai pos pemeriksaan di seluruh SDLC
dokumentasi sistem cukup akurat dan lengkap untuk memfasilitasi kegiatan audit dan pemeliharaan
Controls: systems authorization techniques, good development procedures, internal audit team
participation, appropriate testing of system
5. systems maintenance controls
Tujuan system maintenance controls : mendeteksi program pemeliharaan yang tidak sah dan
menentukan bahwa ...
prosedur perawatan melindungi aplikasi dari perubahan yang tidak sah
aplikasi bebas dari kesalahan bahan
perpustakaan Program dilindungi dari akses yang tidak sah
Controls: authorization requirements for program maintenance, appropriate documentation of
changes, adequate testing of program changes, reconciling program version numbers, review
programmer authority table, test authority table
6. computer center security and control
Computer center objectives: menentukan bahwa
kontrol keamanan fisik yang memadai melindungi organisasi dari eksposur fisik
pertanggungan asuransi pada peralatan yang memadai untuk mengkompensasi organisasi dari
penghancuran , atau kerusakan
dokumentasi Operator yang memadai untuk menangani operasi rutin serta kegagalan sistem
rencana pemulihan bencana organisasi memadai dan layak
Controls: well-planned physical layout, backup and disaster recovery planning, review critical
application list
7. Internet and Intranet controls
Internet & Intranet objectives: menentukan bahwa pengendalian komunikasi...
dapat mendeteksi dan memperbaiki pesan yang benar akibat kerugian dan kegagalan peralatan
dapat mencegah dan mendeteksi akses ilegal baik secara internal maupun dari Internet
akan membuat sia-sia data yang berhasil ditangkap oleh pelaku
cukup untuk menjaga integritas dan keamanan data yang terhubung ke jaringan
Controls:

equipment failure: line checks (parity & echo),and backups

subversive threats: access controls, encryption of data, and firewalls

message control: sequence numbering, authentication, transaction logs, request-response polling

8. electronic data interchange (EDI) controls

semua transaksi EDI diautorisasi, divalidasi, dan sesuai dengan kebijakan organisasi
tidak ada organisasi yang tidak sah yang mendapatkan akses ke catatan data base
mitra dagang resmi hanya memiliki akses ke data yang disetujui
kontrol yang memadai di tempat untuk memastikan transaksi EDI lengkap
Controls: sophisticated authorization & validation techniques, access controls, audit trail modules and
controls
9. personal computer controls

 pengawasan dan operasi prosedur yang memadai untuk mengkompensasi kurangnya pemisahan
antara tugas pengguna , programmer , dan operator
akses ke mikrokomputer , file data , dan file program dibatasi untuk petugas yang berwenang
prosedur cadangan berada di tempat untuk mencegah data dan kehilangan program dari kegagalan
hardware
sistem seleksi dan akuisisi prosedur menghasilkan aplikasi yang berkualitas tinggi , bebas dari
kesalahan , dan dilindungi dari perubahan yang tidak sah
Controls: increased supervision, access & security controls, backup controls, systems development
and maintenance controls, systems development and acquisition controls
Aplication Control
Aplication control adalah sistem pengendalian intern komputer yang berkaitan dengan pekerjaan atau
kegiatan tertentu yang telah ditentukan.
Tujuan pengendalian aplikasi :
1. Input data akurat, lengkap, terotorisasi dan benar
2. Data diproses sebagaimana mestinya dalam periode waktu yang tepat
3. Data disimpan secara tepat dan lengkap
4. Output yang dihasilkan akurat dan lengkap
5. Adanya catatan mengenai pemrosesan data dari input sampai menjadi output
Aplication Control berkaitan dengan ruang lingkup proses bisnis individu atau sistem aplikasi,
termasuk : suntingan data, pemisahan fungsi bisnis ( misalnya , transc inisiasi terhadap otorisasi ) ,
menyeimbangkan total pengolahan , transc logging , dan pelaporan kesalahan .
Teknik untuk aplikasi komputer audit dibagi ke dalam dua kelas :
1 ) teknik untuk pengendalian aplikasi pengujian
2 ) teknik untuk memeriksa rincian transaksi dan saldo akun - substantif pengujian
1) Testing Aplication Control

Black Box Approach - understanding flowcharts,

input procedures, & output results

White Box Approach - understanding the internal logic of the application : authenticity (access)
tests, accuracy tests, completeness tests, redundancy tests,audit trail tests, rounding error tests

Metode pengujian Data : pengujian untuk logika atau kontrol masalah - baik untuk sistem baru atau
sistem yang telah mengalami perawatan baru-baru ini

 Base Case System Evaluation ( BCSE ) - menggunakan seperangkat transaksi uji

tracing - menunjukkan elektronik logika internal aplikasi
Uji Metode Data are not fool - proof
snapshot - satu titik dalam pemeriksaan kali
tingginya biaya pengembangan data uji yang memadai
White Box Testing Techniques

Integrated Test Facility ( ITF ) : sebuah otomatis , on- akan teknik yang memungkinkan auditor untuk
menguji logika aplikasi dan kontrol selama operasi normal

Parallel Simulation : auditor menulis program simulasi dan menjalankan transaksi yang sebenarnya
dari klien melalui sistem

2) Substantive Test
Substantive Test Techniques
Menelusuri kewajiban yang tidak tercatat
Konfirmasi piutang untuk memastikan mereka tidak dilebih-lebihkan
Menentukan nilai yang benar dari persediaan , dan memastikan mereka tidak dilebih-lebihkan
Menentukan ketepatan akrual untuk biaya yang dikeluarkan , namun belum menerima ( juga
pendapatan jika sesuai )
Embedded Audit Module
Modul yang sedang berlangsung yang menyaring transaksi non - materi
Dipilih , transaksi material yang digunakan untuk pengambilan sampel dalam tes substantif
Membutuhkan sumber daya tambahan komputasi oleh klien
Sulit untuk mempertahankan sistem dengan pemeliharaan yang tinggi

Generalized Audit Software (GAS)

Very popular & widely used
Can access data files & perform operations on them:

screen data

statistical sampling methods

foot & balance

format reports

compare files and fields

recalculate data fields

GOVERNANCE DAN KAITANNYA DENGAN COBIT
Definisi
Governance / Proses tata-kelola adalah proses-proses yang ditujukan untuk memastikan bahwa
tujuan-tujuan utama tata-kelola dapat tercapai, terkait dengan pencapaian tujuan organisasi,
pengelolaan

sumber

daya,

dan

manajemen

risiko.

IT Governance adalah tanggung jawab dewan direksi dan manajemen eksekutif dan merupakan
bagian integral dari tata kelola perusahaan. IT governance terdiri dari kepemimpinan dan organisasi
struktur dan proses yang memastikan bahwa organisasi IT ini menopang dalam arti luas strategi dan
tujuan organisasi.

Mengapa IT Governance Penting?

Bisnis yang bertanggung jawab untuk menetapkan arah ke mana organisasi diarahkan dan dikelola. Ini
dalam rangka menetapkan tujuan, sasaran dan budaya dan nilai-nilai organisasi .
Banyak perusahaan berjuang dengan pemahaman dan tata kelola IT, mengatur proses IT dan dan
kegiatan IT .
IT Governance menciptakan suatu lingkungan di mana perusahaan secara efektif dapat
memanfaatkan keuntungan di IT untuk secara efektif mendukung organisasi dalam mencapai tujuan
strategis mereka.
Issu dan Risiko IT Governance
Kurangnya strategi tata kelola IT yang komprehensif
Kurangnya dukungan terhadap rencana tata kelola IT
Visi IT dan kontribusinya dan nilai dapat diberikan untuk entitas tidak dipahami dengan baik
Tata kelola IT tidak memiliki ruang lingkup atau penetrasi yang tepat di seluruh organisasi
Kurangnya penyelarasan inisiatif IT dengan tujuan dan sasaran perusahaan
Praktek pemantauan belum diimplementasikan
Kegiatan pemantauan tidak dicatat dan selanjutnya dilaporkan
IT belum mengadopsi pendekatan portofolio untuk mengelola sumber daya dan proyek IT
IT tidak memiliki kesempatan atau tidak memanfaatkan kesempatan untuk menyajikan dan berinteraksi
dengan Direksi
Rencana IT tidak termasuk nilai dan manajemen risiko

Fokus Area IT Governance

COBIT Framework

The COBIT Framework

a. control framework for IT Governance

defines the reasons IT Governance is needed,

the stakeholders and

what it needs to accomplish.

b. Now to the higher level of enterprise governance of IT emphasizing

Stakeholder needs

End-to-end coverage

COBIT merupakan kepanjangan dari Control Objectives for Information and Related Technology yang
dikembangkan oleh IT Governance Institute atas promosi atau saran dari ISACA, yang diartikan
sebagai sebuah standar pengaturan di bidang informasi tata kelola , kontrol , dan keamanan bagi
para profesional.
COBIT ini dibuat dengan tujuan:
Untuk meneliti, mengembangkan , mempublikasikan dan mempromosikan otoritatif , up - to-date , yang
diterima secara internasional sebagai IT Governance Control Framework
untuk diadopsi oleh perusahaan dan digunakan secara rutin oleh manajer bisnis , profesional TI dan
assurance profesional
Keberhasilan COBIT diterima secara internasional sebagai bahan panduan untuk tata kelola TI yang
telah menghasilkan penciptaan hubungan dalam peningkatan publikasi dan produk yang dirancang
untuk membantu dalam pelaksanaan tata kelola TI yang efektif di seluruh perusahaan
Komponen IT Governance (COBIT)
1. Keselarasan strategi, IT selaras dengan kondisi dan jenis bisnis
2. Pencapaian nilai, IT mendukung organisasi dan memaksimalkan keuntungan
3. Pengelolaan sumber daya, Sumber daya IT digunakan secara bertanggungjawab
4. Manajemen risiko, Risiko IT dikelola dengan baik
5. Pengukuran kinerja, transparansi IT dicapai melalui pengukuran kinerja

COBIT/ the IT Governance Institute (ITGI)

COBIT adalah framework untuk informasi manajemen Risiko IT, atau merupakan "kerangka kerja dan
tool set pendukung yang memungkinkan manajer untuk menjembatani kesenjangan antara kebutuhan
pengendalian permasalahan teknis dan risiko bisnis, pertama dirilis 1996 oleh Information System
Audit and Control Association (ISACA). Versi terbarunya adalah COBIT 5.
Tujuan utama COBIT adalah menyediakan kebijakan yang jelas dan best practice untuk IT
governance, membantu manajemen senior dalam memahami dan mengelola risiko yang
berhubungan dengan IT

Karakteristik Utama COBIT Framework

business-focused,

process-oriented,

controls-based, and

measurement-driven.

Empat Domain utama COBIT 4.1 (+COBIT 5)

Perencanaan dan organisasi (plan and organize + align)

Pengadaan dan implementasi (acquire and implement + build)

Pengantaran dan dukungan (deliver and support + service)

Monitoring dan evaluasi (+assess)

Prinsip COBIT

1.

Memenuhi kebutuhan stakeholder, Menciptakan nilai bagi para

stakeholdernya dengan menjaga keseimbangan antara realisasi keuntungan dan optimasi risiko dan
penggunaan sumber daya.
2. Melingkupi seluruh perusahaan, mengintegrasikan tata kelola TI perusahaan kedalam tata kelola
perusahaan
3.

Menerapkan satu kerangka tunggal yang terintegrasi, prinsip ini menyatukan semua pengetahuan
yang sebelumnya tersebar dalam berbagai framework ISACA (COBIT, VAL IT, Risk IT, BMIS, ITAF, dll)

4.

Menggunakan sebuah pendekatan menyeluruh(holistic approach), memandang bahwa setiap

enabler saling memperngaruhi satu sama lain dan menentukan apakah penerapan COBIT 5 akan
berhasil.

5.

Pemisahan tata kelola dari manajemen, membuat perbedaan yang cukup jelas antara tata kelola dan
manajemen. Kedua hal tersebut mencakup brbagai kegiatan yang berbeda, memerlukan struktur
organisasi yang berbeda, dan melayani untuk tujuan yang berbeda pula.
Kelebihan COBIT

1.

Efektif dan Efisien

2.

Berhubungan dengan informasi yang relevan dan berkenaan dengan proses bisnis, dan sebaik
mungkin informasi dikirim tepat waktu, benar, konsisten, dan berguna.

3.

Rahasia

4.

Proteksi terhadap informasi yang sensitif dari akses yang tidak bertanggung jawab.

5.

Integritas

6.

Berhubungan dengan ketepatan dan kelengkapan dari sebuah informasi.

7.

Ketersediaan

8.

Berhubungan dengan tersedianya informasi ketika dibutuhkan oleh proses bisnis sekarang dan
masa depan.

9.

Kepatuhan Nyata

10. Berhubungan dengan penyediaan informasi yang sesuai untuk manajemen.

Kelemahan COBIT
1.

COBIT hanya memberikan panduan kendali dan tidak memberikan panduan implementasi
operasional.

Dalam memenuhi kebutuhan COBIT dalam lingkungan operasional, maka perlu

diadopsi berbagai framework tata kelola operasional seperti ITIL (The Information Technology
Infrastructure Library) yang merupakan sebuah kerangka pengelolaan layanan TI yang terbagi ke
dalam proses dan fungsi.
2.

Kerumitan penerapan. Apakah semua control objective dan detailed control objective harus
diadopsi, ataukah hanya sebagian saja? Bagaimana memilihnya?

3.

COBIT hanya berfokus pada kendali dan pengukuran.

4.

COBIT kurang dalam memberikan panduan keamanan namun memberikan wawasan umum atas
proses TI pada organisasi daripada ITIL misalnya.
Jenis-jenis IT Governance Framework

a.
b.

Control Objectives for Information and related Technology (COBIT)

IT Infrastructure Library (ITIL)

c.

ISO 27002 2013

IT Infrastructure Library (ITIL)
ITIL bukan merupakan standar dalam audit TI. ITIL lebih merupakan framework/best practice bagi IT
service management untuk menciptakan layanan teknologi informasi yang bermutu tinggi.
Dikembangkan oleh The Office of Government Commerce (OGC)suatu badan dibawah pemerintah
Inggris, dengan bekerja sama dengan TheIT Service Management Forum (itSMF) suatu organisasi
independen mengenai manajemen pelayanan TI dan British Standard Institute (BSI) suatu badan
penetapan standar pemerintah Inggris.
ITIL terdiri dari : Service delivery, Service support, Planning to impelement service management, ICT
Infrastructure

management, Software

asset

management,The

business

perspective, Security

managemen, Application management

ISO 17799
ISO 17799 adalah 'kode praktek', yang berarti bahwa ISO ini berisi daftar sejumlah besar kontrol
keamanan

khusus

yang mungkin

dapat

diterapkan ke lingkungan

IT. Seleksi dari kontrol

ini

biasanya dilakukan melalui penilaian risiko. Dikembangkan oleh The International Organization for

Standardization (ISO) dan The International Electrotechnical Commission (IEC) dengan titel
"Information Technology - Code of Practice for Information Security Management". ISO/IEC 17799
dirilis pertama kali pada bulan desember 2000.
ISO 17799 terdiri dari : Security policy, Organizational security, Asset calssification, Human
resources, Physical and environmental, Communcation and operations, Access control, System
development, Business continuity, Compliance, Risk asessment, Information System acquisition
Perbandingan antar Framework
Area
Function
Area

COBIT
Mapping

IT

process
4

domain,

ISACA

Implementatio

Information

System Audit
Accounting

Mapping IT service level

management

34

process

Issuer

Consultant

ITIL

IT firm

Information security framework

9 process

10 domain

OGC

ISO BOARD

Mengatur service level

firm,

ISO 17799

IT Consulting firm

Memenuhi aspek-aspek security

standard
IT Consulting firm, security firm,
network consultant

KASUS COMPUTER ASSISTED AUDIT TECHNIQUE (CAAT)

Three types of CAAT:
Data testing
Systems testing
Information modeling and analysis security.
Other Consideration
a.

Kapan digunakan

b.

menangani dan menyelesaikan masalah teknis ;

c.

memastikan integritas proses CAAT , termasuk keamanan selama software CAAT ,

d.

file dari item yang dipilih dan proses seleksi .

e.

masalah perencanaan , penyimpanan data , integritas data dan kelengkapan , privasi dan
kerahasiaan kekhawatiran

f.

penghapusan file atau catatan yang dipilih ke komputer auditor dan berpotensi offsite .

g.

penggunaan CAATs di berbagai lingkungan , termasuk audit kontinu .

Audit Information System Process

1.

Planning

Merupakan bagian integral dari perencanaan untuk memahami lingkungan sistem informasi
organisasi : sampai batas yang cukup untuk IS auditor untuk menentukan :
ukuran dan kompleksitas sistem dan
tingkat ketergantungan organisasi pada sistem informasi . IS auditor harus memperoleh pemahaman
tentang misi dan tujuan bisnis organisasi ,
tingkat dan cara di mana teknologi informasi dan sistem informasi yang digunakan untuk mendukung
organisasi , dan
risiko dan eksposur yang terkait dengan tujuan organisasi dan sistem informasinya .
Juga , pemahaman tentang struktur organisasi termasuk peran dan tanggung jawab kunci IS staf dan
pemilik proses bisnis dari sistem aplikasi harus diperoleh .
2.

Performance of Audit Work

2.1 Documenting the Flow of Transactions

2.2 Identifying and Testing the Application System Controls
3.

Reporting
Weakness
IT Control

General IT controls
kontrol yang meminimalkan risiko dengan fungsi keseluruhan sistem IT organisasi dan infrastruktur
dan untuk satu set luas solusi otomatis ( aplikasi ) .

Application controls
seperangkat kontrol tertanam dalam aplikasi .

Pervasive IT controls
kontrol TI umum yang dirancang untuk mengelola dan memantau lingkungan TI dan , karena itu ,
mempengaruhi semua kegiatan yang berhubungan dengan IT .

Detailed IT controls
terdiri dari pengendalian aplikasi ditambah IT kontrol umum yang tidak termasuk dalam pervasive IT
Control .