A.

Alasan penting mengapa audit Sistem Informasi perlu dilakukan dalam suatu perusahaan:

1.Mencegah kerugian akibat kehilangan data

2.Menghindari kesalahan dalam pengambilan keputusan

3.Mencegah timbulnya masalah yang disebabkan oleh kesalahan pemrosesan computer

4.Mencegah penyalahgunaan komputer / sistem

5.Mencegah kesalahan pada proses perhitungan

6.Mengurangi biaya investasi untuk perangkat keras dan perangkat lunak komputer
pendukung sistem informasi

Audit sistem informasi berguna untuk mendapatkan pengawasan dan penilaian terhadap proses
dan modifikasi perangkat lunak, pengawasan atas sumber data, dan data file yang ada. Jadi audit
sistem informasi bertujuan agar sistem informasi dalam suatu perusahaan dapat diandalkan,
akurat, dan valid sehingga operasional perusahaan dapat berjalan dengan lancar.

Audit sistem informasi dapat ditujukan untuk mengamankan aset-aset perusahaan, menjaga
integritas data, menjaga efektivitas sistem, dan mencapai efisiensi sumber daya. Mengamankan
aset yang berhubungan dengan instalasi sistem informasi mencakup: perangkat keras (hardware),
perangkat lunak (software), manusia (people), file data, dokumentasi sistem, dan peralatan
pendukung lainnya. Integritas data merupakan data yang memenuhi aspek kelengkapan, baik dan
dipercaya, kemurnian, dan ketelitian. Data yang berintegritas merupakan langkah awal yang
penting untuk mendapatkan hasil yang akurat. Sistem informasi dikatakan efektif hanya jika
sistem tersebut dapat mencapai tujuannya.

"IS" digunakan secara luas untuk memproses data dan memberikan informasi untuk pengambilan
keputusan. Karena itu organisasi harus memastikan bahwa "IS" berfungsi dengan baik.
Akibatnya, kebutuhan akan Auditor “IS” juga meningkat. Auditor “IS” mengevaluasi sistem
informasi entitas organisasi, yang mencakup teknologi informasi, data dan informasi, dan sistem
komunikasi. Evaluasi ini kemungkinan melibatkan meneliti dokumen, dan mewawancarai orang-
orang serta memasukkan atau memanipulasi data di komputer.

Auditor "IS" perlu melakukan keduanya karena proses bisnis menggunakan "IS" untuk berfungsi
dan karena "IS" cenderung menjadi bagian integral dari kelangsungan hidup suatu perusahaan.

Pengendalian Aplikasi melibatkan memastikan bahwa sistem aplikasi individual melindungi aset,
menjaga integritas data, dan mencapai tujuannya secara efektif dan efisien. Dengan kata lain,
tujuan Kontrol Aplikasi adalah untuk memastikan bahwa masing-masing sistem aplikasi
mencapai tujuan sistem aplikasi atau untuk memastikan sistem aplikasi berjalan dengan baik.

Pekerjaan Auditor “IS”

1. Mengevaluasi kontrol atas aplikasi spesifik. Ini akan memerlukan analisis risiko dan
kontrol atas aplikasi, seperti e-bisnis, ERP, atau perangkat lunak lain.
2. Memberikan jaminan atas proses tertentu. Ini mungkin audit "prosedur yang disepakati"
di mana klien dan Auditor "IS" menentukan ruang lingkup jaminan.
3. Memberikan jaminan pihak ketiga. Auditor “IS” sering harus mengevaluasi risiko dan
mengendalikan sistem informasi pihak ketiga dan memberikan jaminan kepada yang lain.
4. Pengujian penetrasi. Ini melibatkan upaya untuk mendapatkan akses ke sumber daya
informasi untuk menemukan kelemahan keamanan.
5. Mendukung audit keuangan. Ini mencakup evaluasi risiko dan kontrol "IS" yang dapat
memengaruhi keandalan sistem pelaporan keuangan.
6. Mencari penipuan berbasis "IS". Auditor “IS” dapat dipanggil untuk membantu
menyelidiki catatan komputer dalam investigasi penipuan.

Selain dapat melakukannya dalam penugasan terpisah, audit "IS" juga dapat dilakukan sebagai
bagian dari audit keuangan. Dalam hal audit "IS" sebagai bagian dari audit Keuangan, peran
audit "IS" adalah untuk mendukung audit keuangan yang mengevaluasi risiko dan kontrol "IS"
yang dapat memengaruhi keandalan sistem pelaporan keuangan.

B. Etika Komputer

Etika komputer adalah “analisis sifat dan dampak sosial dari teknologi komputer dan
formulasi serta pembenaran kebijakan yang sesuai untuk penggunaan etis teknologi
tersebut…. [Ini termasuk] kekhawatiran tentang perangkat lunak serta perangkat keras
dan kekhawatiran tentang jaringan yang menghubungkan komputer serta komputer itu
sendiri.

Beberapa Masalah Etika Komputer:

 Privasi: Orang-orang ingin memiliki kendali penuh atas apa dan seberapa banyak
informasi tentang diri mereka tersedia bagi orang lain, dan kepada siapa informasi
itu tersedia.
 Keamanan (Akurasi & Kerahasiaan): Keamanan komputer adalah upaya untuk
menghindari peristiwa yang tidak diinginkan seperti hilangnya kerahasiaan atau
integritas data. Masalah etika yang melibatkan keamanan muncul dari
kemunculan bersama, database yang terkomputerisasi yang berpotensi
menyebabkan kerusakan yang tidak dapat diperbaiki bagi individu dengan
menyebarluaskan informasi yang tidak akurat kepada pengguna yang berwenang,
seperti melalui pelaporan kredit yang salah.

Bagian 406 dari SOX (Kode Etik untuk Petugas Keuangan Senior) mengharuskan
perusahaan publik untuk mengungkapkan kepada SEC (Otoritas Bursa Efek) apakah
mereka telah mengadopsi kode etik yang berlaku untuk CEO, CFO, pengontrol, atau
orang yang menjalankan fungsi serupa di organisasi. . Kepatuhan dengan Bagian 406 dari
SOA mengharuskan kode etik tertulis yang membahas masalah etika berikut.
 Benturan Kepentingan: Kode etik perusahaan harus menjabarkan prosedur untuk
menangani konflik kepentingan yang nyata atau yang tampak antara hubungan
pribadi dan profesional.

 Pengungkapan Penuh dan Adil: Organisasi harus menyediakan pengungkapan

penuh, adil, akurat, tepat waktu, dan dapat dipahami dalam dokumen, laporan,
dan laporan keuangan yang disampaikannya kepada SEC dan kepada publik.

 Kepatuhan Hukum: Kode etik harus mewajibkan karyawan untuk mengikuti

hukum, peraturan, dan peraturan pemerintah yang berlaku.
  Pelaporan Internal tentang Pelanggaran Kode. Kode etik harus menyediakan
mekanisme untuk memungkinkan pelaporan internal yang cepat atas pelanggaran
etika.
 Akuntabilitas: Program etika yang efektif harus mengambil tindakan yang tepat
ketika terjadi pelanggaran kode. Ini akan mencakup berbagai tindakan disipliner,
termasuk pemecatan

C. Pengendalian Umum

Kontrol Umum adalah kontrol yang mengatur lingkungan di mana "IS" dikembangkan,
dipelihara, dan dioperasikan, dan di mana kontrol aplikasi beroperasi. Kontrol ini meliputi
standar pengembangan sistem yang dioperasikan oleh organisasi, kontrol yang berlaku untuk
operasi instalasi komputer, dan kontrol yang mengatur fungsi perangkat lunak sistem. Mereka
memiliki efek meresap pada semua sistem aplikasi.

Unsur kontrol umum:

 Kontrol Manajemen Top
Auditor dapat mengevaluasi kontrol manajemen puncak dengan memeriksa seberapa baik
mereka melakukan empat fungsi utama: Perencanaan - menentukan tujuan fungsi sistem
informasi dan sarana untuk mencapai tujuan ini, Mengorganisir - mengumpulkan,
mengalokasikan, dan mengoordinasikan sumber daya yang diperlukan untuk mencapai
tujuan, Memimpin - memotivasi, membimbing, dan berkomunikasi dengan personel, dan
Mengontrol - membandingkan kinerja aktual dengan kinerja yang direncanakan sebagai
dasar untuk mengambil tindakan korektif yang diperlukan
 Kontrol Pengembangan Sistem
Auditor melakukan tiga jenis tinjauan proses pengembangan sistem. Pertama, mereka
dapat berpartisipasi sebagai anggota tim pengembangan sistem. Tujuannya adalah untuk
meningkatkan kualitas sistem spesifik seperti yang dirancang dan diimplementasikan.
Kedua, mereka dapat melakukan tinjauan pasca-implementasi di mana evaluasi sistem
spesifik setelah diterapkan. Tujuannya adalah untuk meningkatkan kualitas proses
 pengembangan sistem secara umum dan sistem khusus pada khususnya. Ketiga, mereka
dapat mengevaluasi proses pengembangan sistem secara umum. Tujuannya adalah untuk
menentukan apakah dalam terang kualitas kontrol pengembangan sistem mereka dapat
mengurangi tingkat pengujian substantif yang diperlukan untuk mencapai dan mengaudit
pendapat.
 Kontrol Pemrograman
Kontrol pemrograman adalah kontrol yang diterapkan untuk memastikan siklus hidup
pengembangan program melakukan dengan benar sehingga menghasilkan program
berkualitas tinggi.
 Kontrol Keamanan
Kontrol Keamanan "IS" adalah kontrol yang diterapkan untuk memastikan aset "IS"
aman. Aset aman ketika kerugian yang diharapkan yang akan terjadi selama beberapa
waktu berada pada level yang dapat diterima.Ada dua jenis keamanan "IS": Keamanan
Fisik dan Keamanan Logis.
 Kontrol sumber daya
Kontrol sumber daya adalah kontrol yang diterapkan untuk memastikan sumber daya data
/ informasi mengelola dengan benar untuk mencapai tujuannya.
 Kontrol Operasi
Kontrol operasi adalah kontrol yang diterapkan untuk memastikan pengoperasian
perangkat keras dan perangkat lunak setiap hari sehingga (a) sistem aplikasi produksi
dapat menyelesaikan pekerjaannya dan (b) staf pengembangan dapat merancang,
mengimplementasikan, dan memelihara sistem aplikasi.
 Kontrol Jaminan Kualitas
Quality Assurance Control adalah kontrol yang diterapkan untuk memastikan "IS" yang
dihasilkan oleh fungsi "IS" mencapai tujuan kualitas tertentu dan bahwa pengembangan,
implementasi, operasi, dan pemeliharaan "IS" memenuhi seperangkat standar kualitas.

D. Elemen Kontrol Aplikasi adalah:

 Kontrol Batas;
 Kontrol Input;
 Kontrol Pemrosesan;
  Kontrol Keluaran;
 Kontrol Basis Data;
 Kontrol Jaringan Komunikasi.

Boundary Control adalah kontrol yang diterapkan untuk membangun antarmuka antara calon
pengguna sistem aplikasi dan sistem aplikasi itu sendiri.

Tujuan dari Kontrol Batas adalah:

Untuk menetapkan identitas dan keaslian calon pengguna sistem aplikasi (kontrol harus
memastikan bahwa ia memiliki pengguna yang otentik).
Untuk menetapkan identitas dan keaslian sistem aplikasi yang ingin dipekerjakan pengguna
(pengguna harus memastikan bahwa mereka diberikan sistem aplikasi otentik).
Untuk membatasi tindakan yang dilakukan oleh pengguna yang memperoleh sistem aplikasi
untuk serangkaian tindakan yang diotorisasi (pengguna mungkin diizinkan untuk menggunakan
sistem aplikasi hanya dengan cara terbatas).

Jenis-jenis Kontrol Batas adalah: Kontrol Kriptografis, Kontrol Akses, Nomor Identifikasi
Pribadi (PIN), Tanda Tangan Digital, Kartu Plastik.

1. Kontrol Kriptografis dirancang untuk melindungi privasi data dan informasi dan untuk
mencegah modifikasi data dan informasi yang tidak sah.
2. Kontrol Akses adalah kontrol yang diterapkan untuk membatasi penggunaan "IS" untuk
pengguna yang berwenang, membatasi tindakan yang dapat diambil pengguna dengan "IS", dan
memastikan bahwa pengguna hanya memperoleh "IS" asli.

Contoh Kontrol Akses dalam sistem tertutup adalah Penghalang Fisik dan dalam sistem bersama
adalah Mekanisme Kontrol Akses.

Mekanisme Kontrol Akses memiliki tiga langkah / proses:identifikasi, otentikasi, otorisasi

3. PIN hanyalah jenis kata sandi. Ini adalah nomor rahasia yang diberikan kepada seseorang
yang, bersama dengan beberapa cara mengidentifikasi orang tersebut, berfungsi untuk
memverifikasi keaslian orang tersebut.
4. Tanda tangan digital adalah otentikasi elektronik yang tidak bisa dipalsukan. Ini memastikan
bahwa pesan atau dokumen yang dikirim pengirim tidak dirusak setelah tanda tangan diterapkan.
5. Kartu Plastik digunakan terutama untuk tujuan identifikasi.Siklus Hidup Kartu Plastik
(Aplikasi untuk Kartu, Persiapan Kartu, Penerbitan Kartu, Penggunaan kartu, Pengembalian /
Penghancuran Kartu)

 Jejak Audit Akuntansi:

Identitas calon pengguna "IS".
Informasi otentikasi disediakan.
Sumber daya (aplikasi) diminta.
Tindakan diminta.
Pengidentifikasi terminal.
Mulai dan selesaikan waktu.
Jumlah upaya masuk.
Sumber daya (aplikasi) yang disediakan / ditolak.
Tindakan diizinkan / ditolak.
 Jejak Audit Operasi: Banyak data yang dikumpulkan dalam jejak audit akuntansi juga
melayani tujuan jejak audit operasi. Contoh, pencatatan waktu mulai dan selesai dan sumber
daya yang diminta juga memfasilitasi analisis penggunaan sumber daya.

Pentingnya Pengembangan Sistem

Salah satu aset paling berharga dari organisasi bisnis modern adalah sistem informasi yang
berorientasi pengguna dan responsif. Sistem yang dirancang dengan baik dapat meningkatkan
produktivitas, mengurangi inventaris, menghilangkan aktivitas yang tidak bernilai tambah,
meningkatkan layanan pelanggan dan keputusan manajemen, dan mengoordinasikan kegiatan di
seluruh organisasi. Untuk alasan ini, pengembangan sistem memiliki arti penting bagi organisasi.
 E. SDLC
Sistem Komersial
Keuntungan
 Waktu Implementasi. Sistem kustom seringkali membutuhkan waktu lama untuk
dikembangkan. Berbulan-bulan atau bahkan bertahun-tahun mungkin berlalu sebelum
sistem bea cukai dapat dikembangkan melalui prosedur internal. Namun, perangkat lunak
komersial dapat diimplementasikan segera setelah kebutuhan dikenali.
 Biaya. Seorang pengguna harus sepenuhnya menyerap biaya pengembangan in-house.
Namun, karena biaya perangkat lunak komersial tersebar di banyak pengguna, biaya unit
dikurangi menjadi sebagian kecil dari biaya sistem yang dikembangkan di rumah.
 Keandalan. Sebagian besar paket perangkat lunak komersial terkemuka diuji secara
menyeluruh sebelum dirilis ke pasar konsumen. Perangkat lunak komersial cenderung
memiliki kesalahan daripada sistem in-house yang setara.
Kerugian
 Kemerdekaan. Membeli sistem yang didukung vendor membuat perusahaan bergantung
pada vendor untuk pemeliharaan. Pengguna menjalankan risiko bahwa vendor akan
berhenti mendukung sistem atau bahkan keluar dari bisnis.

 Kebutuhan akan sistem yang disesuaikan. Keuntungan utama dari pengembangan in-
house adalah kemampuan untuk menghasilkan aplikasi dengan spesifikasi yang tepat.
Keuntungan ini juga menggambarkan kelemahan dari perangkat lunak komersial.
Terkadang, kebutuhan pengguna adalah unik dan kompleks, dan perangkat lunak yang
tersedia secara komersial terlalu umum atau tidak fleksibel.

 Pemeliharaan. Sistem informasi bisnis sering mengalami perubahan. Jika kebutuhan

pengguna berubah, mungkin sulit atau bahkan tidak mungkin untuk memodifikasi
perangkat lunak komersial. Pengembangan in-house, bagaimanapun, menyediakan
pengguna dengan aplikasi eksklusif yang dapat dikelola secara ekonomis.
Daur Hidup Pengembangan Sistem (SDLC):
1. Perencanaan Sistem
Tujuan perencanaan sistem adalah untuk mengalokasikan sumber daya ke aplikasi individual
dalam kerangka rencana strategis. Ini melibatkan identifikasi bidang kebutuhan pengguna,
menyiapkan proposal, mengevaluasi kelayakan masing-masing proposal dan kontribusi untuk
rencana bisnis, memprioritaskan masing-masing proyek, dan menjadwalkan pekerjaan yang
harus dilakukan.

Proposal proyek memberikan dasar kepada manajemen untuk memutuskan apakah akan
melanjutkan proyek.

Jadwal proyek mewakili komitmen manajemen terhadap proyek. Jadwal proyek adalah anggaran
waktu dan biaya untuk semua fase SDLC.

Peran Auditor dalam Perencanaan Sistem: Auditor secara rutin memeriksa fase perencanaan
sistem SDLC. Perencanaan sangat mengurangi risiko bahwa organisasi telah menghasilkan
sistem yang tidak dibutuhkan, tidak efisien, tidak efektif, dan curang. Oleh karena itu, baik
auditor internal maupun eksternal tertarik untuk memastikan bahwa perencanaan sistem yang
memadai terjadi.

2. Analisis sistem
Analisis sistem sebenarnya adalah proses dua langkah yang melibatkan pertama survei
sistem saat ini dan kemudian analisis kebutuhan pengguna.

Laporan Analisis Sistem menyajikan temuan analisis dan rekomendasi untuk sistem baru.

Peran Auditor dalam Analisis Sistem: Akuntan / auditor harus dilibatkan dalam analisis
kebutuhan sistem yang diusulkan untuk menentukan apakah itu merupakan kandidat yang
baik untuk fitur-fitur audit lanjutan dan, jika demikian, fitur-fitur mana yang paling cocok
untuk sistem tersebut.
 3. Desain Konseptual
Tujuan dari fase desain konseptual adalah untuk menghasilkan beberapa sistem
konseptual alternatif yang memenuhi persyaratan sistem yang diidentifikasi selama
analisis sistem.

Pengguna akan mengevaluasi model konseptual ini dan menentukan alternatif yang
tampak paling masuk akal dan menarik.

Dua pendekatan untuk desain sistem konseptual: pendekatan terstruktur dan pendekatan
berorientasi objek. Pendekatan terstruktur mengembangkan setiap sistem baru dari awal
dari atas ke bawah. Desain berorientasi objek (OOD) membangun sistem dari bawah ke
atas melalui perakitan modul yang dapat digunakan kembali daripada membuat setiap
sistem dari awal ..

Peran Auditor dalam Desain Sistem Konseptual: Auditor adalah pemangku kepentingan
dalam semua sistem keuangan dan, dengan demikian, memiliki minat pada tahap desain
konseptual sistem. Auditabilitas suatu sistem sebagian tergantung pada karakteristik
desainnya. Beberapa teknik audit komputer membutuhkan sistem untuk dirancang dengan
fitur audit khusus yang merupakan bagian integral dari sistem. Fitur audit ini harus
ditentukan pada tahap desain konseptual.
4. Evaluasi dan seleksi
Evaluasi dan seleksi sistem mewakili titik kritis dalam SDLC. Pada titik ini, ada banyak
ketidakpastian tentang sistem, dan keputusan yang buruk di sini bisa menjadi bencana.

Tujuan dari evaluasi formal dan prosedur seleksi adalah untuk menyusun proses pengambilan
keputusan ini dan dengan demikian mengurangi ketidakpastian dan risiko membuat keputusan
yang buruk.

Proses evaluasi dan seleksi melibatkan dua langkah: melakukan studi kelayakan terperinci dan
melakukan analisis biaya-manfaat.
Peran Auditor dalam Evaluasi & Pemilihan Sistem: Perhatian utama untuk auditor adalah bahwa
kelayakan ekonomi dari sistem yang diusulkan diukur seakurat mungkin.

5. Desain yg rinci
Tujuan dari fase desain terperinci adalah untuk menghasilkan deskripsi terperinci tentang
sistem yang diusulkan yang memenuhi persyaratan sistem yang diidentifikasi selama
analisis sistem dan sesuai dengan desain konseptual.

Output dari fase ini disajikan secara formal dalam laporan desain terperinci yang
merupakan seperangkat cetak biru yang menentukan format layar input, tata letak laporan
output, struktur database, dan logika proses.

6. Pemrograman dan Pengujian Aplikasi

Pada fase ini, profesional sistem memilih bahasa pemrograman dari antara berbagai
bahasa yang tersedia dan cocok untuk aplikasi tersebut. Sistem profesional akan membuat
keputusan berdasarkan standar in-house, arsitektur, dan kebutuhan pengguna. Semua
modul program harus diuji secara menyeluruh sebelum diterapkan.
7. Implementasi sistem
Dalam fase implementasi sistem dari proses pengembangan sistem, struktur basis data
dibuat dan diisi dengan data, peralatan dibeli dan diinstal, karyawan dilatih, sistem
didokumentasikan, dan sistem baru dipasang.

Proses implementasi melibatkan upaya perancang, pemrogram, administrator basis data,

pengguna, dan akuntan.

Fase ini melibatkan: menguji seluruh sistem, mendokumentasikan sistem, mengonversi

basis data, mengonversi ke sistem baru.

Peran Auditor dalam Implementasi Sistem: Menjadi pemangku kepentingan dalam semua
sistem keuangan, auditor internal harus meminjamkan keahlian mereka pada proses ini
untuk memandu dan membentuk sistem yang sudah jadi.
 8. Pemeliharaan sistem
Pemeliharaan sistem adalah proses formal dimana program aplikasi mengalami
perubahan untuk mengakomodasi perubahan dalam kebutuhan pengguna.

Beberapa perubahan aplikasi sepele, seperti memodifikasi sistem untuk menghasilkan

laporan baru atau mengubah panjang bidang data.

Pemeliharaan juga bisa ekstensif, seperti membuat perubahan besar pada logika aplikasi
dan antarmuka pengguna. Tergantung pada organisasi, periode pemeliharaan sistem dapat
bertahan 5 tahun atau lebih. Sistem dalam lingkungan bisnis yang sangat kompetitif
melihat masa hidup sistem yang jauh lebih pendek. Ketika tidak lagi layak bagi
organisasi untuk terus mempertahankan sistem penuaan, itu dihilangkan, dan siklus hidup
pengembangan sistem baru dimulai.

Tujuan Audit Terkait dengan Pengembangan Sistem Baru

1. Verifikasi bahwa kegiatan SDLC diterapkan secara konsisten dan sesuai dengan
kebijakan manajemen.
2. Menentukan bahwa sistem yang semula diterapkan bebas dari kesalahan materi dan
penipuan.
3. Konfirmasikan bahwa sistem dinilai perlu dan dibenarkan di berbagai pos pemeriksaan di
seluruh SDLC.
4. Verifikasi bahwa dokumentasi sistem cukup akurat dan lengkap untuk memfasilitasi
kegiatan audit dan pemeliharaan.