Anda di halaman 1dari 60

MODUL PERKULIAHAN

Audit Sistem
Informasi
Fungsi Audit Sistem Informasi

Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh

01
Ilmu Komputer Sistem Informasi 18043 Tim Dosen

Abstrak Kompetensi
Semakin tingginya kebutuhan Mengetahui materi yang akan diberikan
organisasi terhadap sistem informasi selama perkuliahan dan mampu
mendorong adopsinya di berbagai memahami fungsi audit sistem
aspek organisasi. Pengendalian informasi.
terhadap sistem informasi menjadi
krusial, untuk mengetahui apakah
pengendalian tersebut efektif
diperlukanlah audit.
Fungsi Audit Sistem Informasi
1.1 Pengertian
Ada banyak pengertian audit menurut beberapa ahli. Menurut Ikatan Akuntan Indonesia (IAI)
pada PSAK (Pernyataan Standar Audit keuangan) sebagai berikut:

“Audit adalah suatu proses sistematik yang bertujuan untuk memperoleh dan mengevaluasi bukti
yang dikumpulkan atas pernyataan atau asersi tentang aksi-aksi ekonomi, kejadian-kejadian dan
melihat tingkat hubungan antara pernyataan atau asersi dan kenyataan, serta
mengkomunikasikan hasilnya kepada yang berkepentingan.”

Menurut Arens Loebbecke, sebagai berikut:

“Audit adalah proses pengumpulan dan pengevaluasian bahan bukti tentang informasi yang
dapat diukur mengenai suatu entitas ekonomi yang dilakukan seorang yang kompeten dan
independen untuk dapat menentukan dan melaporkan kesesuaian informasi termasuk dengan
kriteria-kriteria yang telah ditetapkan.”

Auditor adalah pemeriksa, dimana terdapat dua jenis auditor yaitu internal dan eksternal.
Auditor internal ada di dalam organisasi itu sendiri misalkan divisi kepatuhan di perusahaan dan
Inspektorat Jenderal pada instansi pemerintah. Auditor eksternal merupakan auditor yang berasal
dari luar organisasi misalkan Kantor Akuntan Publik dan Badan Pemeriksa Keuangan.

Auditee adalah pihak yang diperiksa. Pihak yang diperiksa ini adalah manajemen beserta
personil lain pada organisasi.

1.2 Jenis Audit


Beberapa jenis audit yang lazim ditemui:
1. Audit keuangan (general audit/financial audit) berfokus pada laporan keuangan
2. Audit sistem informasi berfokus pada infrastruktur sistem informasi
3. Audit operasional/manajemen (operational audit/performance audit) berfokus pada Standar
Operasi Prosedur (SOP) dan Tata Kelola
4. Audit Investigatif bertujuan pada pembuktian secara hukum, biasanya dilakukan dengan
penugasan khusus.

1.3 Perbedaan dengan Audit Keuangan


Fungsi audit keuangan mengevaluasi apakah suatu organisasi sudah mematuhi standar
akuntansi, sementara fungsi audit sistem informasi melakukan tinjauan atas desain pengendalian
sistem informasi serta efektifitasnya.

1.4 ISACA
Merupakan singkatan dari Information Systems Audit and Control Association adalah sebuah
organisasi asosiasi internasional yang berfokus pada tata kelola sistem informasi yang berdiri
pada tahun 1967 di Amerika Serikat. Saat ini ISACA memiliki lebih dari 110.000 anggota di lebih
dari 180 negara.

Sertikasi profesional yang dikeluarkan ISACA diantaranya:


- Certified Information Systems Auditor (CISA)
- Certified Information Security Manager (CISM)
- Certified in the Governance of Enterprise IT (CGEIT)
- Control Objectives for Information and Related Technology (COBIT) 5

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


2 Tim Dosen http://www.mercubuana.ac.id
- Certified in Risk and Information Systems Control (CRISC)

1.5 Hubungan Auditor dan Auditee


Audit merupakan praktik manajemen yang lazim dilakukan terhadap organisasi manapun di
dunia. Tetapi masih sering sekali terjadi bahwa auditee resisten terhadap pelaksanaan audit atau
terhadap personil auditor. Auditee pada awalnya cenderung bereaksi negatif terhadap auditor,
audit dipersepsikan sebagai usaha mencari-cari kesalahan belaka.
Hal ini bisa diatasi dengan meningkatkan komunikasi antara dua pihak, auditee harus
memahami standar atau aturan kerja yang melandasi pekerjaan auditor. Auditor juga harus
memahami standar operasional dan aturan auditee.
Auditee setidaknya harus memahami beberapa hal mendasar berikut:
 Definsi audit
 Definis temuan
 Atribut temuan
 Fungsi audit
 Jenis bukti
 Proses audit
 Jenis temuan

1.6 Proses Audit


1.6.1 Perencanaan Audit
Terdiri dari tahapan-tahapan berikut:
1. Ruang lingkup
2. Tujuan Audit
3. Organisasi Tim Audit
4. Tinjauan hasil audit sebelumnya
5. Identifikasi faktor resiko

1.6.2 Pengumpulan Bukti Audit


Terdiri dari tahapan-tahapan berikut:
1. Pengamatan SOP
2. Pengamatan Operasional
3. Tinjauan dokumentasi
4. Diskusi
5. Pemeriksaan fisik
6. Konfirmasi dengan pihak ketiga
7. Trial Error Prosedur
8. Pembandingan dengan dokumen sumber
9. Pengambilan sampel audit
10. Review analisis

1.6.3 Evaluasi Bukti Audit


Terdiri dari tahapan-tahapan berikut:
1. Menilai kualitas pengendalian internal
2. Menilai kehandalan informasi
3. Menilai kualitas kerja operasional
4. Pertimbangan bukti tambahan
5. Pertimbangan faktor resiko
6. Pertimbangan faktor materialitas
7. Pendokumentasian penemuan audit

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


3 Tim Dosen http://www.mercubuana.ac.id
1.6.4 Komunikasi Hasil Audit
Kegiatan audit dan temuan yang diperoleh selama pemeriksaan akan dituangkan pada
suatu laporan yang nantinya dapat digunakan manajemen untuk melakukan tindakan koreksi
atas sistem pada organisasi.

Pada proses audit komunikasi hasil audit ini terdiri dari tahapan-tahapan berikut:
1. Membuat rekomendasi untuk manajemen
2. Menyiapkan laporan hasil audit
3. Menyajikan hasil audit kepada manajemen

Auditor hendaknya mengkomunikasikan hasil audit tepat waktu, laporan hasil audit
merupakan

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


4 Tim Dosen http://www.mercubuana.ac.id
Daftar Pustaka

1. Suswinarno, 2012. Aman dari Risiko dalam Pengadaan Barang/Jasa Pemerintah.


Visimedia: Jakarta.
2. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley:
New Jersey.
3. Wikipedia. 2016 “ISACA”, https://en.wikipedia.org/wiki/ISACA. 9 September 2016

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


5 Tim Dosen http://www.mercubuana.ac.id
MODUL PERKULIAHAN

Audit Sistem
Informasi
PROSES AUDIT

Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh

02
Ilmu Komputer Sistem Informasi 18043 Tim Dosen

Abstrak Kompetensi
Semakin tingginya kebutuhan Mampu menjelaskan kegiatan dalam
organisasi terhadap sistem informasi proses audit
mendorong adopsinya di berbagai
aspek organisasi. Pengendalian
terhadap sistem informasi menjadi
krusial, untuk mengetahui apakah
pengendalian tersebut efektif
diperlukanlah audit.
Proses Audit

3.1 Pengendalian
Audit sistem informasi berangkat dari paradigma pengendalian = pengendalian oleh
pengelolaan (manajemen), dimana pengendalian pengelolaan tersebut dimulai dengan
tata kelola, pengelola tertinggi dapat mengendalikan semua hal dan pengendalian
tersebut ditegakkan. Tetapi kondisi lingkungan bisnis saat ini menyarankan paradigma
yang lebih tepat adalah perbaikan secara terus menerus dengan fokus pada
pengendalian pada pemilik proses.

TUGAS MANAJEMEN

organisir Pengendalian

penggunaan Perawatan

Perencanaan resources optimasi

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


2 Tim Dosen http://www.mercubuana.ac.id
3.2 Proses Pengelolaan

Memahami Identifikasi Menentukan


bisnis aktivitas kebutuhan
organisasi kunci organisasi

3.3 Identifikasi Aktivitas Kunci


Produk dan layanan utama perlu diidentifikasi.
Hal ini berkaitan erat dengan pemahaman terhadap kebutuhan konsumen, kompetitor
dan respon mereka (Pemahaman terhadap KPA).
KPA = Key Performance Area

3.4 Memutuskan Strategi Pengendalian

Resiko dikaitkan dengan kemungkinan kejadian atau keadaan yang dapat merugikan
dan mengancam pencapaian tujuan maupun sasaran organisasi. Resiko diyakini tidak
dapat dihilangkan, resiko dapat dikurangi melalui manajemen resiko.

Setelah analisa resiko selesai manajemen berada dalam posisi untuk memutuskan
mana aktifitas yang harus dipastikan, mana resiko yang dapat dikelola, mana resiko yang
harus dipindahkan. Sasaran pelaksanaan manajemen resiko adalah untuk mengurangi
resiko yang berbeda-beda terkait dengan bidang yang telah dipilih pada tingkat yang
dapat diterima oleh masyarakat.

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


3 Tim Dosen http://www.mercubuana.ac.id
3.5 Peran Audit
Audit sistem informasi dapat dilakukan oleh pihak internal, eksternal maupun
pemerintah.
Proses audit dirancang untuk menentukan bagian mana yang harus diaudit dengan
menggunakan parameter:
1. Control Strategy Assessment
2. Control Adequacy and Effectiveness
3. Performance Quality Assessment
4. Unit Performance Reporting
5. Following Up Overall the standards of audit performance must be up to a
professional level (misal mengikuti ISACA standards).

3.6 Conceptual Foundation


Dilakukan dengan mengimplementasikan analisa resiko terstruktur.

3.7 Profesionalisme
Tugas kritikal pada audit sistem informasi adalah pada saat mengkomunikasikan hasil
audit kepada manajer kunci dan pihak yang berkepentingan.

Untuk menunjukkan profesionalisme, audit sistem informasi hendaknya mengikuti


kode etik dan standar yang ada (dalam hal ini ISACA Code of Professional Ethics dan
ISACA IS Auditing Standards).

3.8 Regulasi, Pengendalian dan Standar


Akreditasi dan standarisasi audit sistem informasi harus disediakan oleh pihak
internal atau oleh pihak lain untuk memastikan pengamanan dan pengendalian
memadai.
Beberapa metode evaluasi untuk menentukan kecukupan tersedia, seperti ITSEC, TCSEC,
dan IS0 9000 dengan menggunakan standar seperti COBIT (Control Objectives for
Information and Related Technology), ISO 17799, ITIL (IT Infrastructure Library), COSO
Internal Control—Integrated Framework dan COSO Enterprise Risk Management—
Integrated Framework, dan sebagainya.

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


4 Tim Dosen http://www.mercubuana.ac.id
Daftar Pustaka

4. Suswinarno, 2012. Aman dari Risiko dalam Pengadaan Barang/Jasa Pemerintah.


Visimedia: Jakarta.
5. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley:
New Jersey.

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


5 Tim Dosen http://www.mercubuana.ac.id
MODUL PERKULIAHAN

Audit Sistem
Informasi
RISIKO DALAM SISTEM
INFORMASI DAN KONSEP
DASAR AUDIT

Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh

03
Ilmu Komputer Sistem Informasi 18043 Tim Dosen

Abstrak Kompetensi
Semakin tingginya kebutuhan Memahami risiko dalam sistem
organisasi terhadap sistem informasi informasi dan mengerti konsep dasar
mendorong adopsinya di berbagai audit
aspek organisasi. Pengendalian
terhadap sistem informasi menjadi
krusial, untuk mengetahui apakah
pengendalian tersebut efektif
diperlukanlah audit.
Risiko dalam Sistem Informasi dan Konsep
Dasar Audit

6.1 Risiko Terkait Komputer


Semua hal melibatkan risiko dalam berbagai tingkatan. Risiko dikaitkan dengan
kemungkinan kejadian atau keadaan yang dapat merugikan dan mengancam pencapaian
tujuan maupun sasaran organisasi. Risiko dapat dikurangi tetapi tidak dapat dihilangkan.
Menurut Suswinarno (2012) manajemen risiko adalah:
“Suatu pendekatan terstruktur/metodologi dalam mengelola ketidakpastian yang
berkaitan dengan ancaman atau suatu rangkaian aktivitas manusia termasuk penilaian
risiko, pengembangan strategi untuk mengelolanya dan mitigasi risiko dengan
menggunakan pemberdayaan/pengelolaan sumber daya.”
Manajemen risiko berkaitan dengan menilai suatu produk, proses atau bisnis
melalui:
1. Identikasi proses-proses
2. Identifikasi jenis risiko untuk setiap proses
3. Identifikasi kontrol untuk setiap proses
4. Evaluasi kecukupan sistem kontrol dalam mitigasi risiko
5. Menentukan kontrol utama terkait setiap proses
6. Menentukan efektifitas kontrol utama

Semua sistem informasi memiliki risiko, seperti bahaya-bahaya berikut:

 Fraud (Kecurangan/manipulasi)
 Business interruption (Gangguan bisnis)
 Errors (Sistem tidak berfungsi sebagaimana mestinya)
 Customer dissatisfaction (Ketidakpuasan konsumen)
 Poor public image (Citra yang buruk di mata masyarakat)
 Ineffective and inefficient use of resources (Penggunaan sumber daya yang tidak
tepat dan pemborosan)

6.2 Jenis Risiko


Pada pendekatan audit berbasis risiko, secara umum dikenal tiga jenis risiko yaitu:
1. Risiko inheren: kemungkinan kerugian terjadi sebelum memperhitungkan faktor-
faktor pengurang risiko. Dalam mengevaluasi risiko jenis ini auditor harus
mempertimbangkan apa jenis dan sifat risiko serta faktor apa yang menunjukkan
risiko ada.

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


2 Tim Dosen http://www.mercubuana.ac.id
2. Risiko kontrol: mengukur kemungkinan proses kontrol yang ada untuk membatasi
atau menangani risiko inheren apakah tidak efektif. Untuk memastikan audit telah
tepat, auditor harus memahami mana kontrol yang efektif terlebih dahulu.
3. Risiko audit: risiko bahwa cakupan audit tidak menjangkau exposure bisnis yang
cukup penting. Pro-forma audit dapat dikembangkan untuk mengurangi risiko audit,
hal ini menyediakan panduan apa kontrol utama yang harus ada untuk menghadapi
risiko dan apa yang harus dipatuhi atau pengujian substantif yang harus dilakukan.

6.3 Efek dari Risiko


Efek Risiko dalam sistem informasi ditemui pada:
• Strategi (Strategic): risiko dimana sistem informasi tidak sesuai dengan tujuan
organisasi dan tidak mendukung pencapaian misi.
• Operasi (Operations): risiko dimana sistem informasi menimbulkan beban yang
terlalu besar bagi organisasi. Selain itu ketergantungan organisasi terhadap suatu
sistem informasi berarti apabila sistem tersebut tidak tersedia selama waktu
tertentu dapat menimbulkan risiko besar bagi operasional.
• Pelaporan (Reporting): risiko dimana sistem informasi tidak dapat diandalkan untuk
menghasilkan informasi yang akurat, lengkap dan tepat waktu.
• Kepatuhan (Compliance): risiko dimana sistem informasi malah menimbulkan
pelanggaran hukum dan regulasi yang merugikan bagi organisasi baik secara finansial
maupun reputasi.

6.4 Bukti Audit


Bukti adalah informasi yang dimaksudkan untuk membuktikan atau mendukung
suatu keyakinan.
Bukti audit hendaknya memenuhi kriteria berikut:
• Cukup (Sufficient). Faktual, memadai dan meyakinkan dimana seseorang yang
bijak akan mengambil kesimpulan yang sama dengan auditor.
• Kompeten (Competent). Handal dan merupakan Dapat diandalkan dan hasil
terbaik dari penggunaan metode audit yang tepat.
• Relevan (Relevant). Mendukung temuan dan rekomendasi audit serta konsisten
dengan tujuan audit.
• Berguna (Useful). Membantu organisasi dalam mencapai tujuannya.

6.5 Jenis Bukti Audit


6.5.1 Bukti Fisik (Physical evidence). Secara umum diperoleh dari hasil
pengamatan terhadap orang, properti atau peristiwa bisa dalam bentuk foto, peta
dan sebagainya. Bukti yang diperoleh dari hasil pengamatan haruslah didukung
dengan contoh-contoh yang terdokumentasi atau bila tidak memungkinkan
hendaknya didukung pengamatan lain yang menguatkan

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


3 Tim Dosen http://www.mercubuana.ac.id
6.5.2 Bukti Kesaksian (Testimonial evidence). Dapat berbentuk surat, pernyataan
atau wawancara yang tidak bersifat konklusif karena merupakan pendapat
seseorang. Bukti jenis ini hendaknya didukung dokumentasi selama memungkinkan.
6.5.3 Bukti Dokumen (Documentary evidence). Merupakan bukti yang paling lazim
dalam audit bisa berupa surat, perjanjian, kontrak, perintah, memo dan berbagai
jenis dokumen bisnis lain. Bukti jenis ini dapat juga diperoleh dari arsip komputer
menggunakan alat dan teknik audit yang tepat. Sumber dokumen akan menentukan
tingkat kehandalan dan tingkat kepercayaan, tentunya kualitas proses kontrol
internal ikut dipertimbangkan.
6.5.4 Bukti Analitis (Analytical evidence). Umumnya diperoleh dari hasil
komputasi, perbandingan terhadap standar, operasi masa lalu atau operasi sejenis.
Penggunaan perangkat komputer yang tepat sangat membantu auditor pada
perolehan bukti jenis ini. Regulasi dan penalaran umum juga dapat menghasilkan
bukti jenis ini.

6.6 Prosedur Bukti Audit


Auditor sangat bergantung pada pengumpulan bukti. Hal ini dilakukan melalui
berbagai cara dan mengikuti Program Audit.
Program Audit adalah serangkaian langkah-langkah yang rinci yang harus diikuti
auditor untuk mendapatkan bukti yang tepat dan pada auditor sistem informasi hal ini
berupa penggunaan teknik komputasi tertentu walaupun bisa juga bukan.
Program audit dibutuhkan untuk menciptakan audit yang efektif dan efisien.
Menurut Jack J. Champlain (2003) selain itu masih memiliki dua keuntungan lain yaitu:
1. Membantu manajemen audit dalam perencanaan sumber daya, misal dapat dihitung
berapa total jam yang dibutuhkan untuk melaksanakan audit berdasarkan waktu
yang diharapkan untuk melaksanakan setiap langkah-langkah audit pada program
audit.
2. Membantu konsistensi dalam pengujian pengendalian yang umum.

6.7 Tanggung Jawab Terhadap Deteksi dan Pencegahan Kecurangan (Fraud)


Tanggung jawab terhadap deteksi dan pencegahan kecurangan termasuk
kecurangan dalam sistem informasi merupakan tanggungjawab dari pengelola
(operational management).
Auditor memiliki peran dalam hal membantu pengelola menerapkan sistem kontrol
dimana fraud kecil kemungkinan terjadi, tetapi apabila terjadi akan cepat dideteksi.

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


4 Tim Dosen http://www.mercubuana.ac.id
Daftar Pustaka

6. Suswinarno, 2012. Aman dari Risiko dalam Pengadaan Barang/Jasa Pemerintah.


Visimedia: Jakarta.
7. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley:
New Jersey.
8. Champlain, J, Jack. 2003. Auditing Information Systems Second Edition. Wiley: New
Jersey.

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


5 Tim Dosen http://www.mercubuana.ac.id
MODUL PERKULIAHAN

Audit Sistem
Informasi
PENGENDALIAN INTERNAL

Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh

04
Ilmu Komputer Sistem Informasi 18043 Tim Dosen

Abstrak Kompetensi
Semakin tingginya kebutuhan Mampu menjelaskan pengendalian
organisasi terhadap sistem informasi internal
mendorong adopsinya di berbagai
aspek organisasi. Pengendalian
terhadap sistem informasi menjadi
krusial, untuk mengetahui apakah
pengendalian tersebut efektif
diperlukanlah audit.
Pengendalian Internal

10.1 Pengertian
Pengendalian (control) adalah setiap tindakan yang dilakukan pengelola
(manajemen) untuk memperbesar peluang tujuan dan sasaran yang telah ditetapkan
dapat tercapai.

Pengendalian internal memastikan bahwa program untuk memastikan tujuan


manajemen direncanakan dan dijalankan dengan baik. Misal: pengecekan rutin terhadap
integritas data pada sistem, pelatihan terhadap tim pemasaran untuk menggunakan
teknik/alat data mining.

Sistem pengendalian internal adalah keseluruhan infrastruktur dimana setiap elemen


pengendalian akan berfungsi dan menciptakan suatu kondisi dimana pengendalian internal
dapat berjalan.

10.2 Tujuan Pengendalian Internal


4. Reliabitas dan Integritas Informasi;
5. Kepatuhan terhadap kebijakan,rencana,hukum dan regulasi;
6. Pengamanan Aset;
7. Efektifitas dan efisiensi operasi.

10.3 Jenis Pengendalian


1. Preventative controls, pencegahan (sebelum terjadi penyimpangan) sebagai contoh
berupa pembatasan tindakan pengguna, permintaan kata sandi, otorisasi terpisah.
2. Detective controls, mendeteksi penyimpangan setelah terjadi contoh: laporan
analisa log, pemantauan status parameter yang tidak sesuai standar.
3. Corrective controls, memastikan koreksi terhadap masalah yang ditemukan oleh
detective controls pada umumnya membutuhkan campur tangan manusia. Contoh
proses restorasi data backup, pembatalan transaksi. Corrective Controls memiliki
potensi menimbulkan masalah baru yang bisa jadi lebih besar daripada masalah yang
dicoba untuk diperbaiki.
4. Directive controls dirancang untuk memproduksi hasil yang baik dan mendorong
perilaku yang baik. Contoh: arahan untuk para pengguna komputer melakukan
tindakan backup terhadap data masing-masing secara periodik.
5. Compensating controls dapat ditemui pada kasus dimana kelemahan pada satu
pengendalian ditutup oleh pengendalian lain.

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


2 Tim Dosen http://www.mercubuana.ac.id
10.4 Elemen Pengendalian Internal
10.4.1 Akuntabilitas. Setiap keputusan, transaksi dan tindakan yang dilakukan harus
ada pengendalian yang dapat menentukan siapa yang melakukan apa.
10.4.2 Kecukupan Sumber Daya. Pengendalian yang coba dilakukan dengan sumber
daya yang kurang biasanya akan gagal ketika menghadapi tekanan.
10.4.3 Pengawasan dan review. Pada banyak kasus manusia tidak melakukan apa
yang seharusnya tetapi hanya melakukan apa yang diawasi sehingga system
pengawasan diperlukan dan perlu dilakukan evaluasi secara periodik.

10.5 Pengendalian pada Aplikasi Komputer


Memiliki tujuan:
 Integritas aplikasi dan prosesnya (Integrity of programs and processing).
 Pencegahan terhadap perubahan yang tidak diinginkan (Prevention of unwanted
changes).
 Memastikan pengendalian perancangan dan pengembangan memadai (Ensuring
adequate design and development control).
 Memastikan pengujian memadai (Ensuring adequate testing).
 Mengendalikan pemindahan aplikasi (Controlled program transfer).
 Memastikan sistem terus terpelihara (Ongoing maintainability of systems).

10.6 Contoh Pengendalian Pada Pengembangan Aplikasi Komputer


 Penggunaan Systems Development Life Cycle (SDLC).
 Melibatkan pengguna (User involvement).
 Dokumentasi yang memadai.
 Rencana pengujian yang diformalkan.
 Konversi yang terencana.
 Penggunaan post-implementation reviews.
 Penetapan quality assurance (QA).
 Melibatkan Auditor Internal.

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


3 Tim Dosen http://www.mercubuana.ac.id
Daftar Pustaka

9. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley:


New Jersey.

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


4 Tim Dosen http://www.mercubuana.ac.id
MODUL PERKULIAHAN

Audit Sistem
Informasi
PERENCANAAN AUDIT

Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh

05
Ilmu Komputer Sistem Informasi 18043 Tim Dosen

Abstrak Kompetensi
Semakin tingginya kebutuhan Mampu membuat proses perencanaan
organisasi terhadap sistem informasi audit
mendorong adopsinya di berbagai
aspek organisasi. Pengendalian
terhadap sistem informasi menjadi
krusial, untuk mengetahui apakah
pengendalian tersebut efektif
diperlukanlah audit.
Perencanaan Audit

15.1.1 Manfaat Rencana Audit


Perencanaan merupakan salahsatu teknik manajemen yang paling pokok tetapi
merupakan salahsatu yang paling buruk penerapannya. Sebuah audit disebut efektif
apabila tujuannya tercapai. Sangat penting auditor memahami tujuan tersebut sebelum
menjalankan audit. Rencana audit yang terstruktur dan terdokumentasi mengidentifikasi
dan menetapkan kriteria bagaimana menilai keberhasilan audit.

15.1.2 Struktur Rencana Audit


Survei Pendahuluan
16. Rapat pembukaan antara tim audit dengan auditee/manajemen (entry meeting).
17. SOP yang ada saat ini seperti apa.
18. Pengumpulan bukti-bukti awal (dokumen SOP, struktur organisasi, kebijakan
manajemen, panduan operasi, dokumen teknis dsb). Apakah ada? Diamankan?
Dipatuhi sejauh apa?
19. Tur lokasi dan perkenalan dengan personil-personil yang ada serta
tanggungjawabnya.

Deskripsi dan Analisa Pengendalian Internal.


 Apakah pengendalian internal ada?
 Apakah pengendalian internal tersebut efektif? Pengujian terbatas dapat dilakukan
untuk menilai efektifitasnya.
 Penilaian ulang resiko dapat dilakukan pada tahap ini.

Pengujian terhadap Pengendalian Internal.


 Untuk memastikan pengendalian internal benar efektif haruslah dilakukan pengujian.
 Pengujian ini nantinya akan dituangkan pada laporan hasil audit.
 Contoh pengujian yang dapat dilakukan:
 Pemeriksaan berkas dan dokumen;
 Wawancara dengan pihak manajemen atau personil lain;
 Pengamatan terhadap operasional;
 Pemeriksaan aset;
 Pemeriksaan berkas komputer;
 Komparasi hasil audit dengan laporan auditee.

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


2 Tim Dosen http://www.mercubuana.ac.id
Temuan dan Rekomendasi.
Temuan audit terdiri dari 4 (empat) bagian yaitu kriteria, kondisi, akibat dan penyebab.
Rekomendasi, umumnya berbentuk:
 Tidak menyarankan perubahan pada sistem pengendalian.
 Peningkatan pengendalian untuk mengurangi resiko.
 Pemindahan resiko ke pihak luar (pada kondisi dimana resiko cukup tinggi tetapi
pengendalian sulit dilakukan atau tidak ekonomis) misal: asuransi, alihdaya.

Laporan Hasil Audit.


20. Laporan hasil audit hendaknya diselesaikan tepat waktu.
21. Laporan hasil audit didokumentasikan dan dikomunikasikan kepada auditee.
22. Auditee diminta untuk memberikan tanggapan dan tanggapan akan dimasukkan ke
laporan hasil audit final. Hal ini untuk memastikan objektifitas audit.

Tindak Lanjut.
Tahapan untuk memastikan apakah manajemen setelah mengetahui rekomendasi:
• Menerima resiko, tanpa perbaikan;
• Tidak menerima resiko, tanpa perbaikan;
• Melakukan langkah-langkah untuk mengendalikan kelemahan.

Evaluasi Audit.
Merupakan tahapan final dimana auditor menilai proses audit yang telah dilakukan.
Langkah ini sering diabaikan, sehingga mengakibatkan audit di masa berikutnya tidak
optimal.

Daftar Pustaka
2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
3 Tim Dosen http://www.mercubuana.ac.id
10. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley:
New Jersey.

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


4 Tim Dosen http://www.mercubuana.ac.id
MODUL PERKULIAHAN

Audit Sistem
Informasi
MANAJEMEN AUDIT

Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh

06
Ilmu Komputer Sistem Informasi 18043 Tim Dosen

Abstrak Kompetensi
Semakin tingginya kebutuhan Memahami pengertian manajemen
organisasi terhadap sistem informasi audit.
mendorong adopsinya di berbagai
aspek organisasi. Pengendalian
terhadap sistem informasi menjadi
krusial, untuk mengetahui apakah
pengendalian tersebut efektif
diperlukanlah audit.
Manajemen Audit

28.1 Perencanaan
Audit sistem informasi memiliki tanggungjawab menyediakan dukungan bagi aspek
yang berhubungan dengan komputer pada audit keuangan.

Hal ini dilakukan dengan cakupan audit yang memadai pada sistem informasi yang
digunakan organisasi.
Perencanaan audit sistem informasi melibatkan bagaimana mendefinisikan area yang
diaudit. Hal ini dapat dilakukan dengan review terhadap:
28.1.1 Sistem bisnis
28.1.2 Sistem yang sedang dikembangkan
28.1.3 Manajemen fasilitas sistem informasi
28.1.4 Pengendalian keamanan dan recovery
28.1.5 Efisiensi dan efektifitas sistem informasi

28.2 Sasaran Audit Sistem Informasi


Untuk mengulas, menilai dan melaporkan :
1. Kelayakan, kecukupan dan penerapan standar operasi sistem informasi.
2. Kelayakan, kecukupan dan penerapan standar pengembangan sistem.
3. Tingkat kepatuhan terhadap standar organisasi.
4. Keamanan terhadap investasi sistem informasi organisasi.
5. Kecukupan pengaturan kontingensi.
6. Kelengkapan dan ketepatan informasi yang diproses oleh computer.
7. Apakah semua sumber daya komputer telah digunakan secara optimal.
8. Kelayakan sistem aplikasi yang dikembangkan.

28.3 Fungsi Audit Sistem Informasi


Fungsi audit sistem informasi dan fungsi audit umum terdapat berbagai pandangan
berbeda. Pandangan yang pertama yang biasanya diyakini oleh auditor sistem informasi
sendiri bahwa setiap audit terhadap pengendalian yang melibatkan komputer
hendaknya dilakukan oleh auditor sistem informasi professional

Pandangan yang berlawanan meyakini auditor sistem informasi dan auditor umum
haruslah terintegrasi seutuhnya. Diantara kedua pandangan tadi masih ada pandangan
lain yang lebih banyak diyakini secara umum. Bahwa ada keuntungan pada beberapa
area audit yang melibatkan review terhadap sistem komputer apabila dilakukan oleh
auditor umum yang memahami sistem informasi.

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


2 Tim Dosen http://www.mercubuana.ac.id
28.4 Audit Sistem Informasi Sebagai Fungsi Pendukung
Audit sistem informasi dapat juga dipandang sebagai fungsi pendukung terhadap
keseluruhan fungsi audit internal dan mungkin melibatkan pengembangan alat/metode
komputasi audit, membantu auditor non sistem informasi bahkan pelatihan terhadap
auditor non sistem informasi.

Auditor sistem informasi bisa juga dilibatkan dalam pengembangan prosedur


pengendalian untuk penggunaan komputer pada lingkungan internal dengan
memastikan hasil penelitian sistem informasi yang lebih modern dan teknik audit sistem
informasi diterapkan.

28.5 Sistem Informasi Bisnis


Review terhadap sistem bisnis termasuk audit terhadap aplikasi sistem, audit
kecurangan, audit kepatuhan, audit keuangan, audit operasional, recovery audits dan
audit pengembangan sistem. Dalam merancang prosedur audit, auditor harus
melakukan pengujian untuk memperoleh barang bukti. Hal ini berarti auditor harus tahu
apa yang akan dicari.

Tidak semua pengendalian diuji. Untuk menjamin audit efektif secara biaya, auditor
harus mencari pengendalian umum dimana berbagai tujuan pengendalian dicakup.

28.6 Auditee Sebagai Bagian Tim Audit


Pengendalian internal yang efektif hanya dapat dicapai apabila semua orang
menginginkan pengendalian internal yang efektif dan bekerjasama untuk mencapai hal
tersebut. Audit berbasis tim telah lama disukai dalam pendekatan audit terintegrasi.
Sebagaimana biasanya dalam kerjasama tim, kesuksesan bergantung pada tujuan
bersama dan partisipasi penuh.

Pada masa sekarang, pendekatan audit berbasis tim perlu diangkat ke level
berikutnya dimana memasukkan manajemen dan staff yang sedang dievaluasi. Audit
berbasis tim yang sesungguhnya dapat menyediakan akses bagi tim terhadap
kemampuan khusus individu yang menjadi anggotanya, sekaligus mengidentifikasi area
dimana kemampuan khusus sangat dibutuhkan tetapi tidak tersedia.

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


3 Tim Dosen http://www.mercubuana.ac.id
28.7 Penggunaan Audit Tools
Alat yang tersedia bagi auditor sistem informasi bukan hanya berupa CAAT
(Computer Assisted Auditing Techniques), alat standar lain seperti wawancara, kuisioner
dan dokumentasi.

Alat evaluasi pengendalian seperti CAAT, test data generators dan aplikasi
flowcharting dapat dikombinasikan dengan perangkat lunak audit khusus, perangkat
lunak audit umum, aplikasi utilitas dan berbagai aplikasi non audit seperti aplikasi
pelaporan dan general query languages. Perangkat lunak analisis risiko, perencanaan
audit dan otomatisasi kertas kerja biasanya sangat berguna juga.

28.8 Jaminan Kualitas Audit Sistem Informasi

Audit manager bertanggungjawab terhadap jaminan kualitas audit sistem informasi.


Pada prakteknya hal ini akan melibatkan review pekerjaan audit oleh auditor sistem
informasi lain atau audit secara manajemen.

Ketika jaminan kualitas tersebut tidak dapat diperoleh dari dalam (in-house), maka
sumber luar dapat digunakan. Sumber luar ini dapat datang dari berbagai tempat/organisasi
seperti perusahaan konsultan dan auditor eksternal independen.

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


4 Tim Dosen http://www.mercubuana.ac.id
Daftar Pustaka

11. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley:
New Jersey.

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


5 Tim Dosen http://www.mercubuana.ac.id
MODUL PERKULIAHAN

Audit Sistem
Informasi
BUKTI AUDIT

Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh

07
Ilmu Komputer Sistem Informasi 18043 Tim Dosen

Abstrak Kompetensi
Semakin tingginya kebutuhan Menjelaskan proses bukti audit yang
organisasi terhadap sistem informasi digunakan.
mendorong adopsinya di berbagai
aspek organisasi. Pengendalian
terhadap sistem informasi menjadi
krusial, untuk mengetahui apakah
pengendalian tersebut efektif
diperlukanlah audit.
Bukti Audit

35.1 Prosedur Bukti Audit Sistem Informasi


Auditor mengumpulkan bukti dengan mengikuti program audit. Program audit
adalah sekumpulan langkah yang akan diikuti oleh auditor dalam memperoleh bukti
yang sesuai, pada auditor sistem informasi hal ini berarti melibatkan penggunaan teknik
komputer tertentu, walau bisa juga tidak.

Seperti rute pada peta, program audit harus memenuhi kebutuhan penggunanya.
Program audit menyatakan apa yang harus dilakukan, kapan, bagaimana, siapa dan
berapa lama. Program audit membantu auditor bekerja sesuai dengan waktu dan
anggaran yang ada. Program audit final harus disiapkan segera setelah survei
pendahuluan dilakukan, tetapi dapat dimodifikasi selama proses audit berjalan.

Persiapan program audit harus menekankan pada apa yang berbahaya bagi
organisasi.
Program ini harus bijaksan, relevan, efektif dan ekonomi. Bahwa tidak setiap item perlu
diperiksa selain itu kewajaran dan relevansi harus dipertahankan.

35.2 Sampling Statistik

Pada banyak kasus auditor dapat memperoleh keyakinan yang memadai mengenai
mitigasi risiko tanpa harus memeriksa semua arsip atau transaksi.

Sampling statistik adalah proses pengujian sebagian dari kelompok item untuk
mengevaluasi dan menarik kesimpulan tentang populasi secara keseluruhan. Dengan
melakukan hal tersebut, auditor bermaksud bahwa karakteristik yang relevan dari sampel,
seperti ukuran atau tingkat atau kesalahan, harus sebanding secara matematis dengan
populasi. Untuk melakukan hal tersebut maka metode pemilihan sampel yang tepat harus
digunakan seperti pemilihan acak dan ukuran sampel yang memadai.

35.3 Sampling Non Statistik


Dikenal juga dengan istilah judgmental sampling, auditor hanya mengandalkan
pertimbangan profesionalnya untuk menilai risiko kesalahan sampling (sampling error) dan
mengevaluasi populasi.

Karena sampel tidak dimaksudkan mewakili seluruh populasi, hasil sampel tidak dapat
diekstrapolasi untuk seluruh populasi. Pendekatan ini biasanya digunakan ketika auditor
bermaksud menggunakan sampel untuk tujuan tertentu.

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


2 Tim Dosen http://www.mercubuana.ac.id
35.4 Risiko Sampling
Ketika auditor memilih menggunakan sampling statistik maka auditor akan
menghadapi kemungkinan bahwa kesimpulan yang ditarik tentang populasi berisi
beberapa kesalahan materi.

Setiap penggunaan sampling juga tunduk pada risiko kesalahan non-sampling. Jenis
kesalahan ini adalah hasil dari ketidakpastian lain yang tidak disebabkan oleh proses
sampling. Penyebab kesalahan seperti ini dapat berupa:

- Kesalahan dalam memilih sampel.


- Penggunaan prosedur audit yang salah.
- Kegagalan mengenali salah saji atau penyimpangan dalam item sampel.
- Definisi yang tidak benar dari populasi.

35.5 Perencanaan Sampling

Ketika auditor memutuskan untuk menggunakan sampling, hal berikut haruslah


dipertimbangkan:

• Tujuan audit (audit objectives). Seperti lazimnya audit auditor memulai dengan
mempertimbangkan tujuan pengendalian area yang sedang diperiksa. Dari hal ini
dapat ditentukan sumber bukti dan sifat dari pengujian yang dibutuhkan untuk
mengevaluasi bukti.

• Karakteristik populasi. Tahap kedua dari perencanaan adalah menentukan populasi


dimana kesimpulan akan diambil, hal ini akan dinyatakan dalam karakteristik
populasi. Sebagai contoh: audtor dapat memilih untuk mengungkapkan pendapat
mengenai item bernilai tinggi, rendah atau semua item.

35.6 Penjadwalan Proyek


 Program Evaluation Review Technique (PERT) digunakan untuk mengidentifikasi
secara diagram aktifitas yang saling bergantung (dependen) dan tidak (independen).
 Critical path method (CPM) adalah sebuah metode penjadwalan yang dikembangkan
secara terpisahd ari PERT tetapi menggunakan diagram yang serupa. CPM,
menggunakan dua estimasi waktu, satu untuk normal effort and satu lagi “crash”
effort. “Crash” time adalah waktu yang dibutuhkan untuk menyelesaikan tugas
apabila seluruh sumber daya digunakan pada tugas tersebut.
 GANTT atau Diagram Batang.

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


3 Tim Dosen http://www.mercubuana.ac.id
35.7 Computer Assisted Audit Solutions
Computer Assisted Audit Tools (CAATs), Computer Assisted Audit Techniques (CAATs).
or more correctly, Computer Assisted Audit Tools and Techniques (CAATTs)
Merupakan metode perolehan informasi, analisis program dan prosedur termasuk
aplikasi yang mengatur, menggabungkan, mengekstrak dan menganalisis informasi.
Dalam kelompok ini termasuk perangkat lunak audit umum (generalized audit software)
serta perangkat lunak terkait industri.

Information retrieval and analysis programs and procedures termasuk ke programs


that organize, combine, extract, and analyze information. This includes generalized audit
software as well as application and industry-related software. Apabila auditor memiliki
kemampuan programming, Bahasa pemrograman konvensional dapat menjadi
alternatif. Tersedianya banyak perangkat lunak yang tidak membutuhkan kemampuan
teknis di bidang programming membuat analisa data secara langsung mudah dilakukan
oleh auditor. Fokus utama adalah pada pemahaman tentang aplikasi dan bagaimana
data berhubungan.

35.8 Perangkat Lunak Audit Umum (Generalized Audit Software)


Perangkat lunak audit umum adalah perangkat lunak yang dirancang secara khusus
untuk auditor, perangkat ini menyediakan antar muka yang ramah untuk melaksanakan
berbagai tugas standar auditor seperti pemeriksaan catatan, pengujian perhitungan dan
pembuatan perhitungan.

Perangkat lunak audit umum tidak dapat menyelesaikan semua masalah auditor,
tetapi sangat membantu di masalah-masalah umum. Perangkat lunak ini dirancang
secara khusus untuk penanganan data besar. Contoh perangkat lunak ini diantaranya
Audit Control Language (ACL) dan Interactive Data Extraction and Analysis (IDEA).

35.9 Teknik Pengujian Transaksi


Teknik pengujian transaksi digunakan untuk mengkonfirmasi pengendalian proses
berfungsi dan termasuk evaluasi perubahan dan validasi pengendalian, pengujian
laporan pengecualian dan evaluasi pengendalian integritas data.
Contoh teknik pengujian transaksi:
- Test data
- Integrated Test Facility (ITF)
- Source-code review
- Embedded audit modules (SCARFs [System Collection Audit Review Files])
- Parallel simulation

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


4 Tim Dosen http://www.mercubuana.ac.id
Daftar Pustaka

12. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley:
New Jersey.

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


5 Tim Dosen http://www.mercubuana.ac.id
MODUL PERKULIAHAN

Audit Sistem
Informasi
Strategic Planning

Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh

09
Ilmu Komputer Sistem Informasi 18043 Nia Rahma Kurnianda S.kom, M. Kom

Abstrak Kompetensi
Semakin tingginya kebutuhan Mengetahui materi yang akan diberikan
organisasi terhadap sistem informasi selama perkuliahan dan mampu Mampu
mendorong adopsinya di berbagai membuat perencanaan strategi.
aspek organisasi. Pengendalian
terhadap sistem informasi menjadi
krusial, untuk mengetahui apakah
pengendalian tersebut efektif
diperlukanlah audit.
Strategic Management Process
Proses manajemen strategis menggunakan informasi kualitatif dan kuantitatif untuk
mengintegrasikan intuisi dan analisis.
Manajemen intuisi didasarkan pada penilaian, pengalaman masa lalu, dan perasaan dan
digunakan dalam kondisi ketidakpastian atau kondisi di mana tidak ada preseden untuk membantu
manajemen dalam membuat keputusan.
Di semua tingkatan dalam organisasi, manajemen harus membuat keputusan dalam kondisi
ketidakpastian di setiap hari dan intuisi merekalah yang mempengaruhi interpretasi yang dari analisis
yang mempengaruhi keputusan strategis yang diambil.
Kunci atribut dari proses manajemen strategis adalah kemampuan beradaptasi untuk berubah,
dan organisasi harus memantau kejadian internal dan eksternal sebagai proses berulang untuk
memastikan adaptasi tepat waktu dipengaruhi.
Selama 20 tahun terakhir, besarnya tingkat perubahan teknologi informasi serta percepatan,
dikombinasikan dengan peningkatan akses ke pasar global dan peningkatan nasional dan peraturan
internasional telah memaksa perubahan pada organisasi di tingkat yang belum pernah terlihat. Ini
meningkatkan tekanan pada manajemen untuk mengembangkan strategi adaptif agar tetap dalam
persaingan dan bahkan untuk tinggal di keberadaan.
Strategi, secara keseluruhan, adalah sarana yang jangka panjang tujuan dimaksudkan untuk
dicapai dan dapat mencakup geografis diversifikasi, pengembangan produk, diferensiasi layanan,
akuisisi organisasi lain, divestasi, PHK, atau bahkan likuidasi. manajemen strategis adalah upaya
untuk memanfaatkan pengetahuan yang ada untuk meramalkan hasil dari peristiwa dan sejauh mana
mereka bisa dipengaruhi oleh tindakan manajemen.

Strategic Drivers
Dalam jangka waktu kedepan, satu-satunya arah adalah penjualan informasi. Dalam hal ini,
teknologi sebagai pendukung terkonsentrasi kepada:
1. Biaya hardware semakin murah
2. Bandwidth komunikasi semakin lebar
3. Software menjadi lebih kuat
4. User menjadi bertambah bingung
5. Kapasitas penyimpanan meroket
6. Biaya jaringan semakin menuruh hingga hampir nol
7. Sistem operasi semakin canggih

Ketika hal tersebut dikombinasikan dengan keinginan bisnis untuk merangkul teknologi sebagai
alat yang memungkinkan mengakibatkan fundamental pergeseran dari cara di mana bisnis dilakukan.
Jadi kita melihat munculnya:
1. penataan gudang data pada perusahaan untuk mendapatkan keuntungan strategis dengan
menjadi yang terbaik di sekitar mengkonversi data ke informasi dan informasi untuk wawasan
2. electronic data interchange (EDI) telah memperpendek siklus bisnis di luar pemahaman
sebelumnya.
3. E-commerce adalah revolusi seperti yang lain yang akan, selama beberapa tahun ke depan,
memiliki banyak dampak pada bisnis konvensional seperti supermarket telah di sudut kota.

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


2 Tim Dosen http://www.mercubuana.ac.id
Revolusi dalam Dunia Audit
Dengan cara yang sama bisnis yang merangkul teknologi baru, pemeriksaan tidak punya pilihan
selain mengikuti dan memanfaatkan teknologi untuk mengembangkan cara-cara inovatif untuk
membuat informasi dari sumber daya besar data tersedia dan begitu melanjutkan ke pengembangan
risiko dan pengendalian wawasan.

Gambar 3.1 Revolusi dalam Audit

Motivasi Re-Engineering Business Process

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


3 Tim Dosen http://www.mercubuana.ac.id
Bahaya dari perubahan proses:
1. Peningkatan Resiko
2. Kehilangan orang bertalenta dan berkemampuan
3. Harus dibayar mahal
4. Kesalahan interpretasi dan implikasi
5. Melepaskan ide cemerlang produk lama

Contoh Model Sistem:


1. Transaksi Operasional
Terdiri atas ORDER PROCESSING, INVENTORY, PURCHASING
2. Informasi Manajemen
terdiri atas FINANCIAL & MANUFACTURING, MARKETING, HR
3. DSS
Terdiri atas FINANCIAL, STATISTICAL ANALYSIS, PM

Strategis plan untuk IS:


1. Fleksibilitas
2. Efektivitas
3. Efisiensi
4. Reducing Cost

Steering Komite
Tujuan dari steering komite adalah mengelola proses pencapaian fleksibilitas sistem yang berharga.
Komite pengarah terdiri dari keahlian manajerial di beberapa fungsional bidang bisnis serta IS sendiri.
Konsepnya adalah bahwa setiap anggota komite:
1. memiliki keterampilan dan perspektif beragam
2. memastikan keselarasan strategi IS dengan perusahaan yang strategis
3. memastikan bahwa sistem informasi memberikan apa yang dibutuhkan oleh bisnis.

Strategic Audit Planning


Strategi Audit Planning terdiri atas:
1. Mendapatkan pemahaman bisnis
2. Memahami tujuan bisnis
3. Menganalisa tujuan pengendalian
4. mengidentifikasi dan mengevaluasi kritis kontrol / proses / eksposur jelas dalam sistem secara
keseluruhan
5. merancang prosedur audit yang tepat
6. pengujian aspek kritis dan evaluasi hasil

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


4 Tim Dosen http://www.mercubuana.ac.id
Daftar Pustaka
13. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley: New
Jersey.

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


5 Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
MODUL PERKULIAHAN

Audit Sistem
Informasi
Management Issue

Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh

10
Ilmu Komputer Sistem Informasi 18043 Nia Rahma Kurnianda S.kom, M. Kom

Abstrak Kompetensi
Semakin tingginya kebutuhan Mengetahui materi yang akan diberikan
organisasi terhadap sistem informasi selama perkuliahan dan mampu Mampu
mendorong adopsinya di berbagai memahami management issue
aspek organisasi. Pengendalian
terhadap sistem informasi menjadi
krusial, untuk mengetahui apakah
pengendalian tersebut efektif
diperlukanlah audit.
Privasi
Masalah privasi terkait penggunaan sistem informasi berfokus pada pengumpulan,
penggunaan/penyalahgunaan data.
Aturan hukum pada beberapa negara berusaha mencegah pelanggaran privasi seseorang
dengan memfasilitasi:
1. Setiap individu menentukan mana saja data yg dikumpulkan, digunakan atau didistribusikan
terkait diri mereka.
2. Pencegahan penggunaan data individu digunakan atau disediakan untuk keperluan lain tanpa
izin.

Hak Cipta, Merk Dagang dan Paten


Banyak negara membuat mekanisme perlindungan hak terhadap suatu karya yang kemudian
dikenal sebagai intellectual property. Dimana di dalamnya termasuk hak cipta (copyrights), merk
dagang (trademarks), paten dan rahasia dagang (trade secrets).

Beberapa metode perlindungan intellectual property pada sistem informasi:


1. Cryptography
2. Akses kontrol
3. Permissions management
4. Biometric authentication
5. Digital signatures+certification authorities

Isu Etika
Pemahaman terhadap etika bisnis penting bagi Auditor SI yang akan menemui isu etika dan
dilema dalam kesehariannya berinteraksi dengan manajemen dan auditee.
Etika dirancang untuk menghadapi isu baik dari secara sudut pandang praktikal maupun idealis,
dimana idealisme seringkali berseberangan dengan sudut pandang praktikal.
Wheelwright mendefinisikan 3 elemen kunci dalam mengukur dampak etika terhadap
pengambilan keputusan:
1. Etika melibatkan pertanyaan yang membutuhkan pilihan reflektif
2. Etika melibatkan petunjuk mana yang benar dan salah.
3. Etika memperhatikan konsekuensi dari keputusan.

IT Governance
IT governance merupakan tanggung jawab Direksi dan manajemen eksekutif. Dan merupakan:
1. bagian integral dari pemerintahan perusahaan
2. terdiri dari pimpinan dan organisasi dari struktur proses yang memastikan bahwa organisasi
yang TI menopang dan
3. meluas strategi organisasi dan tujuan

Kode Etik
Sebuah organisasi hendaknya memiliki dan menegakkan kode etik. Kode etik berdasarkan pada
pemahaman diantaranya nilai-nilai bersama berikut:
1. Kejujuran
2. Integritas
3. Moralitas

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


2 Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
4. Keadilan
5. Kesetaraan
6. Akuntabilitas
7. Kesetiaan
8. Kehormatan

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


3 Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
Daftar Pustaka
14. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley: New
Jersey.

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


4 Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
MODUL PERKULIAHAN

Audit Sistem
Informasi
Governance Technique

Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh

11
Ilmu Komputer Sistem Informasi 18043 Nia Rahma Kurnianda S.kom, M. Kom

Abstrak Kompetensi
Semakin tingginya kebutuhan Mengetahui materi yang akan diberikan
organisasi terhadap sistem informasi selama perkuliahan dan mampu Mampu
mendorong adopsinya di berbagai memahami governance technique
aspek organisasi. Pengendalian
terhadap sistem informasi menjadi
krusial, untuk mengetahui apakah
pengendalian tersebut efektif
diperlukanlah audit.
Kontrol Perubahan
Perubahan konfigurasi hardware/software disebabkan oleh:
1. Perubahan hardware sebagai hasil dari perbaikan kinerja atau perubahan sistem lain
2. Kegagalan hardware bekerja pada operasi normal
3. Pendeteksi pada software gagal beroperasi pada operasi normal
4. Perubahan peraturan yang berimbas kepada perubahan sistem bisnis organisasi
5. Perubahan operasi bisnis yang dibutuhkan organisasi

Dalam masa perubahan yang disebabkan oleh perihal pada slide sebelumnya, penting untuk
menjaga agar versi produksi dari software agar terlindungi dari:
1. Perubahan yang belum disahkan.
2. Perubahan yang belum diuji
3. Perubahan yang tidak diinginkan

Objektif kontrol perubahan:


1. Semua perubahan telah disahkan
2. Semua perubahan telah selesai dilaksanakan
3. Hanya yang telah disahkan yang dibuat
4. Segala perubahan spesifik
5. Semua pengeluaran efektif

Pengelolaan Permasalahan
Prosedur perubahan terencana:
1. prosedur melibatkan memastikan otorisasi untuk semua perubahan
2. pengawasan proses perubahan
3. pengujian yang memadai dari semua perubahan
4. pengguna mengetahui pada semua aspek perubahan

Tujuan pengelolaan permasalahan:


1. mengontrol sistem selama situasi darurat yang timbul dari perubahan tak terduga
2. menyediakan mekanisme kontrol diluar kontrol normal
3. menyediakan kontrol secara terpisah
4. melibatkan otorisasi pengguna

Kontrol Perubahan dari Perspektif Audit


IS Auditor akan mencari jaminan bahwa:
1. Prosedur Kontrol Perubahan tersedia
2. Efektif atas perubahan hardware, software, telekomunikasi, atau apapun yang mempengaruhi pengolahan
lingkungan
3. Sumber bukti untuk auditor termasuk risalah rapat komite perubahan kontrol, software, laporan pergerakan,
kontrol log akses dan catatan kegagalan sistem

Review Operasional
Audit operasional mungkin meliputi evaluasi aspek sebagai berikut:
9. Kontrol Internal
10. Compliance dengan hukum, peraturan dan kebijakan perusahaan
11. Kehandalan dan integritas informasi dari keuangan operasional
12. Efektifitas dan efisiensi penggunaan sumber daya

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


2 Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
Kebutuhan Audit Operasional
1. Dimulai dengan SOP dan standar performance yang telah ditetapkan oleh manajemen
2. Jika tidak ditemukan adanya SOP atau standar maka auditor akan membangun suatu kriteria
yang akan dibandingkan dengan performance dengan bantuan IT perusahaan

Pengukuran Performance:
1. Informasi yang diperoleh dari anggaran atau pengukuran kepuasan klien dapat memberikan
umpan balik digunakan untuk menilai efektivitas organisasi dari berbagai sudut pandang
2. Dengan menggunakan umpan balik adalah mungkin untuk memastikan lanjutan keunggulan
program dan layanan dalam menanggapi perubahan dalam baik lingkungan internal dan
eksternal
3. Pendekatan Balanced Scorecard dapat memberikan auditor kriteria pengukuran secara
terstruktur apakah sudah tepat diterapkan

ISO 9000
Dalam melakukan review terhadap perusahaan, ISO 9000 melibatkan review:
1. Metodology
termasuk filosofi, panduan, kebijakan, pertanggung jawaban, tenggat waktu dan pengiriman
2. Project / Proses
memastikan pemenuhan terhadap metodologi dan mengidentifikasi alasan jika ditemukan
penyimpangan

Dari perspektif audit, Auditor akan memastikan


1. Fungsi IT dan SI mencapai hasil yang diharapkan
2. Adanya bukti terdokumentasi
3. Klausul lengkap dari prosedur mutu dan proses yang membutuhkan kompetensi khusus
4. Akuisisi sumber daya termasuk perangkat keras, perangkat lunak dan layanan outsourcing
memenuhi persyaratan yang ketat

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


3 Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
Daftar Pustaka
15. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley: New
Jersey.

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


4 Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
MODUL PERKULIAHAN

Audit Sistem
Informasi
Information Systems Planning

Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh

12
Ilmu Komputer Sistem Informasi 18043 Tim Dosen

Abstrak Kompetensi
Semakin tingginya kebutuhan Mengetahui materi yang akan diberikan
organisasi terhadap sistem informasi selama perkuliahan dan mampu Mampu
mendorong adopsinya di berbagai memahami governance technique
aspek organisasi. Pengendalian
terhadap sistem informasi menjadi
krusial, untuk mengetahui apakah
pengendalian tersebut efektif
diperlukanlah audit.
Stakeholder
Stakeholder adalah semua individu dan organisasi yang memiliki hubungan langsung atau tidak
langsung dengan Information Processing (IP). Yang termasuk dalam golongan stakeholder pada
suatu organisasi antara lain:
1. Manajemen
Di semua tingkatan dalam organisasi dari umum manajemen untuk pengawas operasional,
manajemen bergantung pada akurasi, kelengkapan, dan integritas informasi diproses melalui
sistem komputer.
2. Pelanggan
Pelanggan yang ingin melakukan bisnis dengan organisasi memerlukan jaminan bahwa produk
dan layanan yang diberikan akan kualitas luar biasa, rentang waktu akan seperti yang dijanjikan,
dan bahwa bangunan dan akun informasi akan yang diberikan akurat. Di saat yang sama
mereka membutuhkan jaminan bahwa barang dan jasa akan tersedia ketika diminta dan
informasi yang dimiliki pada pelanggan akan dirahasiakan.
3. Karyawan
Memerlukan jaminan bahwa perusahaan akan terus ada dan fungsi dan untuk itu ketersediaan
dan integritas sistem informasi harus terjamin. Mereka juga harus menjaga keyakinan bahwa
informasi yang dipegang pada sistem karyawan akan dirahasiakan.
4. fungsi organisasi
Memerlukan jaminan bahwa layanan IS akan memberikan fungsi yang diperlukan dalam rangka
untuk memastikan bahwa mereka dapat mencapai tujuan operasional mereka.
5. Pemasok
Memerlukan jaminan bahwa organisasi akan terus ada dan akan memenuhi semua hutang.
6. Audit eksternal
Memerlukan jaminan bahwa organisasi akan terus eksis dan bahwa informasi keuangan dan
operasional dapat diambil dari sistem informasi, di mana mereka menempatkan ketergantungan
dalam membentuk pendapat mereka mengenai kewajaran penyajian dari urusan keuangan
organisasi dan mencerminkan situasi yang sebenarnya.
7. Audit internal
Meminta jaminan bahwa kontrol berfungsi sebagaimana dimaksudkan agar organisasi dapat
memenuhi strategis dan tujuan operasional

Operation
Dalam organisasi besar dan menengah fungsi operasi difokuskan pada penyediaan layanan SI ke
unit perusahaan atau bisnis. Ini termasuk pengoperasian semua peralatan yang berhubungan dengan
sistem komputer termasuk mulai, berhenti, dan memelihara sistem mainframe sepenuhnya
beroperasi bersama dengan peripheral. Dalam operasi berfungsi berbagai peran yang ada termasuk
dari:
1. Manajemen operasi
Bertanggung jawab untuk operasi komputer personil termasuk semua staf yang terlibat dalam
menjalankan efektif fasilitas pengolahan informasi (IPF). Pergeseran pengawas. Bertanggung
jawab untuk pengawasan keseluruhan dari sekelompok operator menjalankan operasi sehari-
hari dari IPF.
2. Operator
Bertanggung jawab untuk menangani operasi sehari-hari IPF termasuk memulai dan mengakhiri
pekerjaan, memuat tepat file data, menyelaraskan alat tulis khusus di printer, mengambil backup
seperti yang ditentukan, dan tugas-tugas rumah tangga umum.
3. Kelompok kontrol
Bertanggung jawab dalam beberapa organisasi yang lebih besar untuk pengumpulan, konversi
data, dan kontrol input bersama-sama dengan distribusi output ke pengguna yang tepat.
4. Data pustakawan
Bertanggung jawab untuk kontrol dan pengamanan semua program dan data file dipertahankan
pada media komputer oleh IPF. Dalam organisasi besar ini mungkin menjadi karyawan penuh
waktu didedikasikan untuk fungsi ini. Dalam beberapa instalasi fungsi ini memiliki telah diambil
alih untuk sebagian besar oleh kontrol perpustakaan otomatis perangkat lunak.
2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning
2 Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
5. Entri data
Dalam kebanyakan organisasi saat ini, entri data berlangsung dalam lingkungan pengguna dan
di bawah kendali staf pengguna. Namun demikian, beberapa organisasi yang memiliki
persyaratan untuk volume tinggi menangkap data input standar. Pada organisasi entri data
biasanya berada di bawah kendali operasi berfungsi. Di mana kontrol pusat seperti ada
pemeliharaan integritas dokumen sumber dari penerimaan ke kembali ke daerah pengguna tepat
adalah penting.

System Development
Dengan munculnya hari ini alat pengembangan, jabatan dan fungsi peran dalam area ini mengalikan
secara eksponensial. Namun demikian, masih mungkin untuk membedakan antara fungsi yang
dilakukan oleh individu. Individu-individu yang terkait dengan pengembangan sistem komputer
meliputi:
1. pemimpin proyek
spesialis manajemen yang mengendalikan proyek komputer dari perencanaan, melalui
penugasan tugas, melalui pelaksanaan dan pemantauan, untuk penyelesaian akhir.
2. analisis sistem
spesialis bisnis yang menganalisis arus informasi dalam lingkungan bisnis dalam rangka untuk
memastikan bahwa sistem dirancang berdasarkan kebutuhan bisnis pengguna.
3. desainer sistem
spesialis teknis yang mengambil kebutuhan bisnis dan menafsirkan mereka ke dalam desain
rinci dengan informasi yang cukup untuk memastikan bahwa programmer dapat mengkodekan
sistem seperti yang dibayangkan oleh para analis.
4. programmer aplikasi
Bertanggung jawab untuk kedua pengembangan program komputer baru serta pemeliharaan
sistem aplikasi yang ada. Mereka menyandikan program yang pada akhirnya akan menjalankan
sistem aplikasi seperti yang ditentukan oleh pengguna dan seperti yang dirancang oleh desainer.

Technical Support
Dalam rangka untuk mencapai kelancaran arus informasi dalam organisasi, persyaratan teknis
tertentu yang harus dipenuhi untuk memfasilitasi operasi tanpa gangguan dan integrasi dari semua
komponen sistem. Pemeliharaan persyaratan teknis terletak pada tangan spesialis teknis. Fokus
mereka adalah pada penyediaan bantuan pengguna di bidang hardware dan perangkat lunak akuisisi
dan administrasi data. Dalam dunia IT yang kompleks saat ini tingkat spesialisasi adalah meningkat
namun akan biasanya mengandung:
1. Sistem programmer. Bertanggung jawab untuk semua pemeliharaan pada perangkat lunak
sistem, khususnya sistem operasi. Individu ini memiliki kekuasaan tertinggi dalam suatu
organisasi karena sifat pekerjaan itu memerlukan akses tak terbatas ke semua fasilitas dan
struktur untuk tingkat teknis dalam fungsi IT. Karena kontrol pencegahan tidak dapat digunakan
karena sifat dari pekerjaan sistem programmer ', sangat penting bahwa, di situs manapun,
jumlah individu dengan gelar ini kekuasaan terbatas dan bahwa pekerjaan yang dilakukan
dipantau tepat.
2. manajemen jaringan. Bertanggung jawab untuk infrastruktur komunikasi dan komponennya
termasuk:
a. Multiplexer. Memungkinkan beberapa sinyal telekomunikasi untuk ditransmisikan melalui
media komunikasi sinyal pada saat yang sama.
b. Modem. Menerjemahkan data dari digital ke analog (modulasi) dan menerjemahkan dari
analog ke digital (demodulasi). Switch. perangkat keras yang memungkinkan perangkat
transmisi dan menerima peralatan yang akan dihubungkan.
c. Router. Saklar internetworking beroperasi pada tingkat OSI 3, lapisan jaringan.
d. Firewall. Sebuah perangkat yang dipasang pada titik di mana jaringan terhubung ke situs,
yang berlaku aturan untuk mengontrol jenis lalu lintas jaringan yang mengalir masuk dan
keluar.

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


3 Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
e. Gateways. Sebuah stasiun relay utama yang menerima, switch, relay, dan mengirimkan lalu
lintas mengkonversi dari satu protokol yang lain di mana diperlukan dan beroperasi pada
setiap lapisan OSI diatas OSI layer 3, lapisan jaringan.
f. Proxy. Setiap fasilitas yang secara tidak langsung memberikan beberapa layanan, misalnya,
proxy firewall dapat memberikan akses ke layanan Internet di sisi lain dari firewall
sementara mengendalikan akses ke layanan di kedua arah. manajer jaringan mungkin juga
bertanggung jawab untuk kontrol administratif atas sistem administrasi jaringan area lokal
memastikan untuk hardware dan software implementasi efektif, dan tepat backup diambil.
3. administrasi keamanan. Jawab untuk memastikan bahwa pengguna mematuhi kebijakan
keamanan perusahaan secara keseluruhan dan bahwa kontrol yang dirancang dan dilaksanakan
secara efektif menegakkan pembagian tugas yang memadai dan pencegahan akses tidak sah ke
aset perusahaan.
4. Quality Assurance. Bertanggung jawab untuk membantu dalam desain standar kualitas untuk
daerah IS dan memastikan bahwa IS staf ikuti prosedur kualitas yang ditetapkan, dan perangkat
lunak yang dikembangkan secara internal atau dibeli secara eksternal dan diinstal secara lokal
memenuhi harapan pengguna dan bebas dari kesalahan yang signifikan.
5. database administrator. Dapat dilihat sebagai bagian dari tim pengembangan sistem atau
sebagai spesialis teknis independen tergantung pada organisasi. Database administrator (DBA)
mendefinisikan struktur data yang digunakan dalam sistem database perusahaan, baik fisik dan
logis. Peran DBA adalah untuk mengoptimalkan penggunaan dan akses ke sistem manajemen
database dan mencakup:
a. Mengontrol definisi data fisik dan logis
b. Menerapkan kontrol akses database, kontrol konkurensi, dan memperbarui kontrol
c. penggunaan database Pemantauan untuk menyempurnakan kinerja Mendefinisikan dan
mengontrol cadangan dan pemulihan prosedur
d. Memilih dan memasang alat database tuning dan utilitas
e. Seperti programmer sistem, DBA, dalam rangka melaksanakan tugas-tugasnya, memiliki
akses penuh dan tak terbatas ke semua data hidup dan struktur data. Karena performa
seperti tugas DBA tidak dapat dibatasi oleh kontrol pencegahan dan harus dikuasai oleh
pemisahan tugas jika mungkin dan dengan supervisory review atas kegiatan dan
penggunaan utilitas database yang kuat.

Segregation of Duties
Daerah mana auditor harus mencari jaminan bahwa tugas yang tidak ada tugas yang tidak
kompetibel meliputi:
1. Akses ke data.
Berdasarkan kebijakan organisasi, akses harus diberikan atas dasar paling istimewa. Tidak ada
pengguna harus memiliki kewenangan lebih dari yang dibutuhkan untuk melaksanakan tugas-
tugas mereka. Di mana otoritas tambahan diberikan secara sementara, kontrol harus ada untuk
memastikan bahwa otoritas akan dihapus pada akhir periode sementara.
2. Kontrol atas aset.
Berdasarkan persyaratan organisasi, individu dengan kontrol atas aset tidak harus memiliki
akses untuk memanipulasi catatan maupun kewenangan untuk melakukan rekonsiliasi. Dalam
lingkungan saat ini harus diingat bahwa informasi itu sendiri merupakan aset perusahaan.
Jumlah uang yang terutang untuk suatu organisasi sangat ditentukan oleh apa yang catatan
komputer mengatakan berutang kepada organisasi dan aset yang dimiliki oleh organisasi
ditentukan oleh apa aset daftar kata yang dimiliki oleh organisasi Sekali lagi, di mana organisasi
ini terlalu kecil
untuk menegakkan pembagian tugas pada tingkat operasional, hal itu tidak bisa ditegakkan
secara langsung dalam sistem komputer. Membutuhkan dua ID pengguna dan password tidak
berguna jika itu adalah orang yang sama yang memegang kedua. Dalam keadaan ini lebih efektif
untuk menggunakan supervisory review, bahkan setelah acara.
3. tingkat otorisasi
Datang dalam berbagai bentuk. Manajemen diperlukan untuk mengotorisasi akses pengguna ke
informasi dan fungsi dalam Sistem Informasi. Dalam banyak kasus tidak ada pengawasan dari
hak akses yang manajemen berwenang untuk hibah dan apa pun akan diterima selama itu
masuk pada bentuk yang benar dengan tanda tangan yang bisa menjadi manajer. Pada otorisasi

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


4 Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
tingkat transaksional biasanya dilihat sebagai pengguna fungsi yang diberikan kepada anggota
staf yang lebih senior dengan pengetahuan, pengalaman, dan wewenang untuk otorisasi
transaksi tertentu. Sekali lagi, yang gagal umum adalah pemberian hak tersebut kepada individu
dengan pengalaman cukup yang kemudian otorisasi transaksi yang seharusnya tidak
berwenang.

Personel Practices
Dalam organisasi TI yang khas, pergantian staf dapat menjadi masalah besar dalam memastikan
kelangsungan sistem yang dirancang dengan baik dan diproses. Dengan demikian, akuisisi,
pelatihan, retensi, dan penghentian akhirnya staf titik kontrol kritis. Dalam organisasi besar fungsi
personil IT internal tetap ada, tetapi bahkan dalam perawatan instalasi yang lebih kecil harus diambil
dalam pengelolaan kawasan ini karena mereka memiliki korelasi langsung dengan kualitas staf yang
digunakan dan sistem yang dihasilkan. Dalam semua kasus praktek kerja harus mematuhi undang-
undang perburuhan federal yang relevan, negara bagian, dan lokal.

Object Oriented System Analysis


analisis sistem berorientasi objek (OSA) adalah teknik yang melibatkan studi dari domain
tertentu berinteraksi obyek untuk tujuan pemahaman dan mendokumentasikan karakteristik penting
mereka. Dalam konteks IT, itu berkaitan dengan persyaratan rekayasa perangkat lunak berkembang
dan spesifikasi dinyatakan sebagai model objek suatu sistem yang terdiri dari populasi berorientasi
obyek. Hal ini berbeda dengan data tradisional atau pandangan fungsional sistem, yang akan
melibatkan teknik seperti dekomposisi fungsional dan analisis terstruktur dan desain. Di bawah OSA,
obyek digolongkan sebagai representasi dari entitas asli atau dari abstraksi dan OSA mendefinisikan
objek dengan struktur data dan perilaku bersama-sama dengan peristiwa yang memicu operasi, atau
objek perubahan perilaku yang mengubah keadaan objek.
Proses analisis menganggap sistem sebagai suatu jaringan proses berinteraksi. Dengan
mengikuti pendekatan ini analis akan fokus pada bagaimana sistem mungkin dirancang bukan
mengenai komponen sistem dan hubungan antar obyek. Namun, OSA mengatur semua pengetahuan
tentang setiap objek sistem sehingga informasi tentang objek sistem lebih mudah untuk menemukan
dalam analisis berorientasi objek
dibandingkan metode analisis lainnya. Teknik memberikan bentuk abstraksi termasuk agregasi,
generalisasi, dan klasifikasi. pendekatan metode-driven terdiri dari urutan tetap langkah yang diikuti,
misalnya menggunakan metode waterfall atau model spiral. Dalam prakteknya, langkah ini tidak
selalu dapat diikuti dengan tepat. Bila terjadi masalah dalam pengembangan proses penyesuaian
mungkin perlu dilakukan untuk urutan langkah-langkah atau proses pembangunan.
Model OSA disusun dengan maksud bahwa realitas diwakili dalam sistem cara yang dirasakan
bukannya dibatasi oleh beberapa bahasa pemrograman tertentu atau metodologi

ERP
ERP melampaui OSA dan adalah istilah yang digunakan untuk menggambarkan berbagai
kegiatan bisnis yang didukung oleh perangkat lunak aplikasi termodulasi, yang dimaksudkan untuk
membantu organisasi mengelola daerah penting dari bisnis. Daerah-daerah ini bisa meliputi
perencanaan produk, pembelian bahan, inventory control, melayani pelanggan, pelacakan pesanan,
dan pemasok interfacing serta menyediakan modul khusus untuk aspek sumber daya keuangan dan
manusia. Mengintegrasikan informasi di seluruh fungsi dan memberikan seperangkat alat untuk
perencanaan dan pemantauan fungsi-fungsi dan proses.
Banyak pemasok menawarkan suite terintegrasi aplikasi untuk memenuhi kebutuhan
perusahaan dan memberikan bantuan dalam proses implementasi. Digunakan secara efektif dengan
mengintegrasikan semua aspek bisnis, termasuk perencanaan, manufaktur, penjualan, dan
pemasaran.. Dengan demikian, setiap organisasi berusaha untuk menerapkan solusi tersebut harus
benar-benar jelas mengenai alasan, tujuan, dan kriteria pengukuran untuk pelaksanaan, dan
keterlibatan audit pada tahap perencanaan sangat penting.

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


5 Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
Daftar Pustaka
16. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley: New
Jersey.

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


6 Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
MODUL PERKULIAHAN

Audit Sistem
Informasi
Audit and Development of
Application Controls

Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh

13
Ilmu Komputer Sistem Informasi 18043 Tim Dosen

Abstrak Kompetensi
Semakin tingginya kebutuhan Mengetahui materi yang akan diberikan
organisasi terhadap sistem informasi selama perkuliahan dan mampu Mampu
mendorong adopsinya di berbagai memahami Audit and Development of
aspek organisasi. Pengendalian Application Controls
terhadap sistem informasi menjadi
krusial, untuk mengetahui apakah
pengendalian tersebut efektif
diperlukanlah audit.
System
Sistem dapat didefinisikan sebagai seperangkat elemen atau komponen yang saling berinteraksi
untuk mencapai tujuan dan sasaran. Sistem ini dapat mengambil bentuk sistem yang melakukan
kegiatan yang terkait dengan bisnis (aplikasi sistem) atau sistem yang membantu fungsi komputer itu
sendiri (operasi sistem)

Karakteristik sistem yang baik meliputi atribut sebagai berikut:


■ Accuracy
■ Completeness
■ Economy
■ Reliability
■ Relevance
■ Simplicity
■ Timeliness
■ Verifiability

Sistem itu sendiri datang dalam segala bentuk dan ukuran dan dapat dikategorikan atas:
1. Sederhana dibandingkan kompleks
sistem sederhana dan kompleks menghadapi normal risiko ketidakakuratan, ketidaklengkapan,
dan sebagainya tapi kompleks sistem, dengan sifatnya, lebih mungkin untuk mengalami masalah
ini, karena lebih kompleks sistem, semakin sulit untuk secara memadai menguji dan mudah bagi
sistematis kesalahan tidak terdeteksi.
2. Buka dibandingkan tertutup.
Sistem terbuka lebih rentan terhadap kedua kesalahan serta penetrasi berusaha. Ini adalah
faktor yang jumlah sumber input dan output serta tingkat sistem interaktivitas.
3. Stabil vs dinamis.
Semakin tinggi tingkat ketidakstabilan dari sistem, semakin besar kemungkinan itu adalah bahwa
perubahan akan dilakukan untuk sistem yang tidak jelas dipikirkan dengan semua efek samping
diperhitungkan. Selain itu ada kemungkinan lebih besar dari bergegas dan pengujian tidak
memadai dalam sistem yang sangat dinamis.
4. Adaptive versus non-adaptif.
Sistem Adaptive dirancang untuk fleksibel dan semua hal untuk semua orang. Karena itu relatif
mudah untuk menyesuaikan sistem ini keliru. Dengan cara yang sama, tidak adaptif sistem dapat
dijalankan dengan cara yang tidak pantas dan ditambah dengan resmi add-on sub-sistem
dengan semua mereka peluang kesalahan yang melekat.
5. permanen dibandingkan sementara.
sistem permanen dirancang, diimplementasikan, dan dipelihara dalam lingkungan yang
terkendali sistem sementara mungkin berada di luar sistem ini pengendalian interndan mungkin
undertested, tercatat, terbuka untuk semua untuk berubah, dan umumnya di luar kendali. Mereka
juga memiliki kebiasaan menjadi semi-permanen tidak sengaja.

Controlling System:
sistem aplikasi dapat dikendalikan dalam beberapa cara dan oleh beberapa individu. Pada tingkat
makro, variabel sistem akan ditentukan oleh pembuat keputusan bisnis untuk menutupi barang-
barang seperti:
1. gaji harian, mingguan, atau bulanan?
2. buku besar keuangan diproduksi bulanan atau tiap minggu?

Pada kesehariannya, parameter system dikendalikan oleh operator sistem dan digunakan untuk
mengubah variabel yang memerlukan amandemen seperti tanggal laporan, tanggal file kontrol, dan
sebagainya.

tahap kontrol utama akan mencakup:


■ desain Sistem
■ pengembangan Sistem

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


2 Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
■ Sistem operasi
■ pemanfaatan Sistem

Information Resources Management


Manajemen Sumber Daya Informasi didasarkan pada lima fundamental:
1. Manajemen informasi.
Informasi yang berharga dan harus dikelola seperti itu. Dalam banyak organisasi, informasi tidak
muncul pada neraca atau aset mendaftar dan dengan demikian dipandang sebagai sesuatu
yang, sementara penting, tidak benar-benar berharga.
2. Manajemen Teknologi.
Manajemen Teknologi alamat seluruh aspek nilai teknologi untuk perusahaan. Ini termasuk
dampak dan efek pada sumber daya lainnya serta memperoleh keuntungan strategis dengan
bijaksana penggunaan teknologi tepat guna.
3. Distributed Management.
Di mana sistem berada dapat memiliki dampak yang signifikan terhadap efektivitas sistem serta
pengendalian internal dan berpikir harus diberikan kepada mempertahankan sistem yang
memadai kontrol manajerial.
4. Manajemen fungsional.
Seperti area fungsional lainnya, sistem informasi (IS) harus diarahkan dan dikontrol untuk
memastikan penggunaan yang efektif, efisien, dan ekonomi apa, setelah semua, sumber daya
yang mahal.
5. Manajemen Strategis.
IS memiliki potensi untuk mendapatkan dan mempertahankan keunggulan kompetitif utama bagi
organisasi. Digunakan dengan tepat IS dapat meningkatkan hambatan masuk ke kompetisi,
mendapatkan eksklusivitas untuk pemegang informasi.

Control Objective of Business System


Dalam rangka mencapai potensi-potensi benefit yang seharusnya dari manajemen informasi. Maka
operasionalnya harus mengikuti objektif kontrol sebagai berikut:
1. Accuracy
2. Completeness
3. Validity
4. Integrity
5. Confidentiality

Untuk mengantisipasi perbedaan tipe sistem, dapat dipilih dari salah satu jenis sistem berikut:
■ Order processing
■ Invoicing
■ Inventory control
■ Accounts receivable
■ Accounts payable
■ Purchasing
■ Shipping
■ Receiving
■ Payroll
■ General ledger
■ Specialized systems
● Banking systems

● Retail systems

● Manufacturing systems

● Electronic data interchange (EDI)

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


3 Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
Daftar Pustaka
17. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley: New
Jersey.

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


4 Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
MODUL PERKULIAHAN

Audit Sistem
Informasi
Audit and Development of
Application Controls...Part II

Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh

14
Ilmu Komputer Sistem Informasi 18043 Nia Rahma Kurnianda S.kom, M. Kom

Abstrak Kompetensi
Semakin tingginya kebutuhan Mengetahui materi yang akan diberikan
organisasi terhadap sistem informasi selama perkuliahan dan mampu Mampu
mendorong adopsinya di berbagai memahami Audit and Development of
aspek organisasi. Pengendalian Application Controls
terhadap sistem informasi menjadi
krusial, untuk mengetahui apakah
pengendalian tersebut efektif
diperlukanlah audit.
CAATS
Agar auditor berhasil meraih kesimpulan tentang efektivitas sebuah lingkungan kontrol, maka
dibutuhkan sebuah aplikasi automasi yang terdiri dari:
1. Data test generator
2. Flowcharting Packages
3. Specialized Audit Software
4. Generalized Audit Software
5. Utility Programs

Memilih peralatan yang tepat tergantung dari obyektif audit dan teknik yang digunakan. Teknik-teknik
tersebut antara lain:
1. Source Code Review
2. Confirmation of Result
3. Test data
4. Integrated Test Facility
5. Snapshot technique
6. Sampling
7. Parallel Simulation

Permasalahan yang sering dihadapi oleh auditor menggunakan CAAT antara lain:
1. Mengambil file yang salah
2. Mengambil layout yang salah
3. Dokumentasi sudah lama tidak diperbarui
4. Hasil Audit sebelumnya

Prosedur Audit
Generik program audit yang dapat diikuti antara lain:
1. Identifikasi konsentrasi kontrol dari user
2. Identifikasi komponen sistem
3. Identifikasi komponen proses
4. Identifikasi Kontrol yang telah diketahui
5. Identifikasi kelemahan kontrol yang telah diketahui
6. Verifikasi kontrol
7. Evaluasi Lingkup Kontrol

Penggunaan CAAT diluar Area Komputasi


Tidak semua penggunaan CAAT dapat dikomputasi. Selain dapat dikomputasi, berikut area-area
yang kadang tidak tercakup komputasi antara lain:
1. Risk analysis
2. Sample selection
3. Operation modelling
4. Analytical review
5. Regression analysis
6. Trend analysis

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


2 Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
Mendesain Program Audit Yang Sesuai
Program audit dimulai dari:
1. Menemukan obyektif bisnis
2. Mendefinisikan obyektif kontrol
3. Menentukan bukti audit yang sesuai, disaat yang sama mengidentifikasi sumber bukti
4. Menentukan Manner dalam memperoleh bukti
5. Ekstraksi bukti yang dibutuhkan
6. Evaluasi hasil
7. Reporting

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


3 Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id
Daftar Pustaka
18. Cascarino, Richard. 2007. Auditor’s Guide to Information Systems Auditing. Wiley: New
Jersey.

2016 Audit Sistem Informasi Pusat Bahan Ajar dan eLearning


4 Nia Rahma Kurnianda S.Kom, M.Kom http://www.mercubuana.ac.id