SOAL UJIAN TENGAH SEMESTER GENAP 2019 /2020

Program Studi Teknik Informatika

& Sistem Informasi
Fakultas Ilmu Komputer
Universitas ESA UNGGUL
Kode/Mata Kuliah : CSA322 Audit dan Kendali Sistem Informasi
Dosen : Arief Ichwani, M.T.
Hari : Kamis Waktu : 12 Jam
Tanggal : 23 April 2020 Sesi : CR10
Sifat Ujian : Take Home (Online)
Nama : Fajri pangestu
Nim : 20170803091
Kolom Verifikasi Soal
Tanggal dan Tanda Tangan Dosen Tanggal dan Tanda Tangan Ketua
Jurusan

Petunjuk Umum:
1. Berdoalah sebelum mengerjakan soal
2. Periksa dan bacalah soal-soal dengan teliti sebelum anda mengerjakan
3. Dahulukan menjawab soal yang anda anggap mudah
4. Dilarang mencontek, saling bertukar lembar jawaban/soal.
5. Bagi yang melanggar tata tertib ujian akan diberikan sanksi oleh pengawas dan dicatat dalam berita acara ujian.
6. Lembar jawaban & Soal Wajib dikumpulkan kembali ke pengawas.

SOAL :
1. Apa yang anda ketahui dari definisi dan landasan dari Audit Sistem Informasi?
2. Jelaskan dan gambarkan faktor-faktor yang mempengaruhi untuk menuju audit dan
dan kendali sistem informasi?
3. Apa yang anda ketahui definisi dari sub-system sebagai berikut, serta berikan
contohnya :
a) Decomposition
b) Simplification
c) Decoupling
4. Sebutkan dan jelaskan elemen dari pengendalian internal (Internal Control)
5. Sebutkan dan jelaskan 3 (tiga) jenis framework atau standar untuk Audit Sistem
Informasi
6. System Development Management Control merupakan bagian dari Managemen
tControl Framework.
a) Sebutkan model normatif untuk mengevaluasi Proses Pengembangan Sistem
(System Development Management)
b) Sebutkan Cakupan dari Evaluasi Fase-fase utama proses pengembangan
sistem (System Development Management)
7. Apa yang anda ketahui dari Operations Management Control, Jelaskan!

Selamat mengerjakan!
 Jawaban

5.1 Audit sistem informasi merupakan proses pengumpulan dan penilaian bukti – bukti
untuk menentukan apakah sistem komputer dapat mengamankan aset, memelihara
integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan
menggunakan sumberdaya secara efisien.
5.2 faktor-faktor yang mempengaruhi untuk menuju audit dan dan kendali sistem
informasi
Pengamanan Aset
Aset informasi suatu perusahaan seperti perangkat keras (hardware), perangkat lunak
(software), sumber daya manusia, file data harus dijaga oleh suatu sistem
pengendalian internal yang baik agar tidak terjadi penyalahgunaan aset perusahaan.
Dengan demikian sistem pengamanan aset merupakan suatu hal yang sangat penting
yang harus dipenuhi oleh perusahaan.

Menjaga Integritas Data

Integritas data (data integrity) adalah salah satu konsep dasar sistem informasi. Data
memiliki atribut-atribut tertentu seperti: kelengkapan, kebenaran, dan keakuratan. Jika
integritas data tidak terpelihara, maka suatu perusahaan tidak akan lagi memilki hasil
atau laporan yang benar bahkan perusahaan dapat mengalami kerugian.

Efektifitas Sistem
Efektifitas sistem informasi perusahaan memiliki peranan penting dalam proses
pengambilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem
informasi tersebut telah sesuai dengan kebutuhan user.

Efisiensi Sistem
Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi memilki
kapasitas yang memadai atau harus mengevaluasi apakah efisiensi sistem masih
memadai atau harus menambah sumber daya, karena suatu sistem dapat dikatakan
efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya
informasi yang minimal.
3. A. Decomposition
Seorang perancang sistem harus mempertimbangkan sistem secara keseluruhan. Akan
tetapi, keseluruhan sistem mungkin terlalu luas untuk analisis secara rinci. Oleh
karena itu sistem, dibagi atau difaktorkan menjadi subsistem-subsistem. Boundary
(batas) dan interface dipelajari dengan cermat untuk meyakinkan hubungan diantara
subsistem-subsistem telah ditentukan dengan jelas, dan jumlah subsistem merupakan
sistem keseluruhan.
Proses factoring ini dilanjutkan dengan subsistem-subsistem yang dibagi menjadi
subsistem-subsistem yang lebih kecil sampai subsistem-subsistem tersebut cukup
untuk dapat dikendalikan.
Subsistem yang berasal dari proses factoring ini biasanya membentuk struktur
hierarkis.
B. Simplification
Simplification (Penyederhanaan)
Proses pemfactoran dapat menyebabkan penentuan jumlah interface dalam subsistem
menjadi banyak. Sebagai contoh, 4 buah subsistem yang semuanya terhubung satu
dengan yang lainnya akan memiliki 6 keterhubungan.
 Pada umumnya jumlah keterhubungan adalah ½ n (n-1), dimana n = jumlah
subsistem. Untunglah tidak semua subsistem mengadakan keterhubungan satu sama
lain, hal ini mengurangi keterhungan yang jumlahnya banyak.
C. Decoupling (Pemisahan)
Apabila dua subsistem yang berlainan dihubungkan secara erat (tightly coupled),
maka diperlukan koordinasi dan persyaratan penjadwalan yang tepat bagi kedua
sistem tersebut. Misal bahan baku ditaruh secara langsung ke dalam produksi, bahan
baku (masukan bagi sistem produksi dan keluaran dari sistem bahan baku) harus
ditentukan waktu-nya dengan tepat untuk menghindari penangguhan atau untuk
mencegah bahan baku datang terlalu cepat tanpa ada tempat untuk penyimpanan.
(“just in time”) Karena keduanya agak bebas, maka sulit mengoperasikan secara tepat
dan serentak. Pemecahannya adalah memi-sahkan atau melonggarkan hubungan
(decoupling) tersebut sedemikian rupa sehingga kedua subsistem dapat beroperasi
dalam jangka waktu singkat secara bebas.

4. Pengendalian intern terdiri dari lima komponen yang saling berkaitan sebagai berikut:
Lingkungan Pengendalian
Lingkungan pengendalian menetapkan corak suatu organisasi, mempengaruhi
kesadaran pengendalian orang-orangnya. Lingkungan pengendalian merupakan dasar
untuk semua komponen pengendalian intern, menyediakan disiplin dan
struktur. Lingkungan pengendalian menyediakan arahan bagi organisasi dan
mempengaruhi kesadaran pengendalian dari orang-orang yang ada di dalam
organisasi tersebut. Beberapa faktor yang berpengaruh di dalam lingkungan
pengendalian antara lain integritas dan nilai etik, komitmen terhadap kompetensi,
dewan direksi dan komite audit, gaya manajemen dan gaya operasi, struktur
organisasi, pemberian wewenang dan tanggung jawab, praktik dan kebijkan SDM.
Auditor harus memperoleh pengetahuan memadai tentang lingkungan pengendalian
untuk memahami sikap, kesadaran, dan tindakan manajemen, dan dewan komisaris
terhadap lingkungan pengendalian intern, dengan mempertimbangkan baik substansi
pengendalian maupun dampaknya secarakolektif.
Penaksiran Risiko
Penaksiran risiko adalah identifikasi entitas dan analisis terhadap risiko yang relevan
untuk mencapai tujuannya, membentuk suatu dasar untuk menentukan bagaimana
risiko harus dikelola. Penentuan risiko tujuan laporan keuangan adalah identifkasi
organisasi, analisis, dan manajemen risiko yang berkaitan dengan pembuatan laporan
keuangan yang disajikan sesuai dengan PABU. Manajemen risiko menganalisis
hubungan risiko asersi spesifik laporan keuangan dengan aktivitas seperti pencatatan,
pemrosesan, pengikhtisaran, dan pelaporan data-data keuangan. Risiko yang relevan
dengan pelaporan keuangan mencakup peristiwa dan keadaan intern maupun ekstern
yang dapat terjadi dan secara negatif mempengaruhi kemampuan entitas untuk
mencatat, mengolah, meringkas, dan melaporkan data keuangan konsisten dengan
asersi manajemen dalam laporan keuangan. Risiko dapat timbul atau berubah karena
berbagai keadaan, antara lain perubahan dalam lingkungan operasi, personel baru,
sistem informasi yang baru atau yang diperbaiki, teknologi baru, lini produk, produk,
atau aktivitas baru, restrukturisasi korporasi, operasi luar negeri, dan standar
akuntansi baru.
Aktivitas Pengendalian
Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu menjamin
bahwaarahan manajemen dilaksanakan. Aktivitas tersebut membantu memastikan
bahwa tindakan yang diperlukan untuk menanggulangi risiko dalam pencapaian
 tujuan entitas. Aktivitas pengendalian memiliki berbagai tujuan dan diterapkan di
berbagai tingkat organisasi dan fungsi. Umumnya aktivitas pengendalian yang
mungkin relevan dengan audit dapat digolongkan sebagai kebijakan dan prosedur
yang berkaitan dengan review terhadap kinerja, pengolahan informasi, pengendalian
fisik, dan pemisahan tugas. Aktivitas pengendalian dapat dikategorikan sebagai
berikut.
a) Pengendalian Pemrosesan Informasi
• pengendalian umum
• pengendalian aplikasi
• otorisasi yang tepat
• pencatatan dan dokumentasi
• pemeriksaan independen
• Pemisahan tugas
• Pengendalian fisik
• Telaah kinerja
Informasi Dan Komunikasi
Informasi dan komunikasi adalah pengidentifikasian, penangkapan, dan pertukaran
informasi dalam suatu bentuk dan waktu yang memungkinkan orang melaksanakan
tanggung jawab mereka. Sistem informasi yang relevan dalam pelaporan keuangan
yang meliputi sistem akuntansi yang berisi metode untuk mengidentifikasikan,
menggabungkan, menganalisa, mengklasikasi, mencatat, dan melaporkan transaksi
serta menjaga akuntabilitas asset dan kewajiban. Komunikasi meliputi penyediaan
deskripsi tugas individu dan tanggung jawab berkaitan dengan struktur pengendalian
intern dalam pelaporan keuangan. Auditor harus memperoleh pengetahuan memadai
tentang sistem informasi yang relevan dengan pelaporan

5. 1. ITIL – The IT Infrastructure Library

ITIL dikembangkan oleh The Office of Government Commerce (OGC) suatu badan
dibawah pemerintah Inggris, dengan bekerja sama dengan The IT Service
Management Forum (itSMF) – suatu organisasi independen mengenai manajemen
pelayanan TI – dan British Standard Institute (BSI) – suatu badan penetapan standar
pemerintah Inggris.
ITIL merupakan suatu framework pengelolaan layanan TI (IT Service Management –
ITSM) yang sudah diadopsi sebagai standar industri pengembangan industri
perangkat lunak di dunia.
ITIL framework terdiri dari dua bagian utama, yaitu:
1. Service Support
a. Service Desk.
b. Incident Management.
c. Problem Management.
d. Configuration Management.
e. Change Management.
f. Release Management.
2. Service Delivery
a. Availability Management.
b. Capacity Management.
c. IT Service Continuity Management.
d. Service Level Management.
e. Financial Management for TI Services.
 f. Security Management.
Standar ITIL berfokus kepada pelayanan customer, dan sama sekali tidak
menyertakan proses penyelarasan strategi perusahaan terhadap strategi TI yang
dikembangkan.

2. ISO/IEC 17799
ISO/IEC 17799 dikembangkan oleh The International Organization for
Standardization (ISO) dan The International Electrotechnical Commission (IEC)
dengan titel "Information Technology - Code of Practice for Information Security
Management". ISO/IEC 17799 dirilis pertama kali pada bulan desember 2000.
ISO/IEC 17799 bertujuan memperkuat 3 (tiga) element dasar keamanan informasi
(1), yaitu
1. Confidentiality – memastikan bahwa informasi hanya dapat diakses oleh yang
berhak.
2. Integrity – menjaga akurasi dan selesainya informasi dan metode pemrosesan.
3. Availability – memastikan bahwa user yang terotorisasi mendapatkan akses
kepada informasi dan aset yang terhubung dengannya ketika memerlukannya.
ISO/IEC 17799 terdiri dari 10 domain (1), yaitu:

1. Security Policy – memberikan panduan dan masukan pengelolaan dalam

meningkatkan keamanan informasi.
2. Organizational Security – memfasilitasi pengelolaan keamanan informasi
dalam organisasi.
3. Asset Classification and Control – melakukan inventarisasi aset dan
melindungi aset tersebut dengan efektif.
4. Personnel Security – meminimalisasi risiko human error, pencurian,
pemalsuan atau penggunaan peralatan yang tidak selayaknya.
5. Physical and Environmental Security –
menghindarkan violation, deterioration atau disruption dari data yang
dimiliki.
6. Communications and Operations Management – memastikan penggunaan
yang baik dan selayaknya dari alat-alat pemroses informasi.
7. Access Control – mengontrol akses informasi.
8. Systems Development and Maintenance – memastikan bahwa keamanan telah
terintegrasi dalam sistem informasi yang ada.
9. Business Continuity Management – meminimalkan dampak dari terhentinya
proses bisnis dan melindungi proses-proses perusahaan yang mendasar dari
kegagalam dan kerusakan yang besar.
10. Compliance – menghindarkan terjadinya tindakan pelanggaran atas hukum,
kesepakatan atau kontrak, dan kebutuhan keamanan.

3. COBIT – Control Objectives forInformation and related Technology

COBIT Framework dikembangkan oleh IT Governance Institute, sebuah
organisasi yang melakukan studi tentang model pengelolaan TI yang berbasis di
Amerika Serikat.
COBIT Framework terdiri atas 4 domain utama:

1. Planning & Organisation.

 Domain ini menitikberatkan pada proses perencanaan dan penyelarasan strategi
TI dengan strategi perusahaan.

2. Acquisition & Implementation.

Domain ini menitikberatkan pada proses pemilihan, pengadaaan dan penerapan
teknologi informasi yang digunakan.

3. Delivery & Support.

Domain ini menitikberatkan pada proses pelayanan TI dan dukungan teknisnya.
4. Monitoring.
Domain ini menitikberatkan pada proses pengawasan pengelolaan TI pada
organisasi.

Masing-masing domain terdiri dari high-level control-objectives sebagai berikut:

Domain Planning & Organisation

1. PO1 Define a Strategic TI Plan
2. PO2 Define the Information Architecture
3. PO3 Determine Technological Direction
4. PO4 Define the TI Organisation and Relationships
5. PO5 Manage the TI Investment
6. PO6 Communicate Management Aims and Direction
7. PO7 Manage IT Human Resources
8. PO8 Manage Quality
9. PO9 Assess and Manage IT Risks
10. PO10 Manage Projects
Domain Acquisition & Implementation
1. AI1 Identify Automated Solutions
2. AI2 Acquire and Maintain Application Software
3. AI3 Acquire and Maintain Technology Infrastructure
4. AI4 Enable Operation and use
5. AI5 Procure IT Resources
6. AI6 Manage Changes
7. AI7 Install and Accredit Solutions and changes
 Domain Delivery & Support
1. DS1 Define and Manage Service Levels
2. DS2 Manage Third-party Services
3. DS3 Manage Performance and Capacity
4. DS4 Ensure Continous Services
5. DS5 Ensure System Security
6. DS6 Indentify and Allocate Cost
7. DS7 Educate and Train Users
8. DS8 Manage Service desk and incidents
9. DS9 Manage the Configurations
10. DS10 Manage Problems
11. DS11 Manage Data
12. DS12 Manage the Physical Environment
13. DS13 Manage Operations
Domain Monitoring
1. M1 Monitor and Evaluate IT Performance
2. M2 Monitor and Evaluate IInternal Controll
3. M3 Ensure Compliance with external requirements
4. M4 Provide IT Governance
COBIT mempunyai model kematangan (maturity models) untuk mengontrol proses-proses TI
dengan menggunakan metode penilaian (scoring) sehingga suatu organisasi dapat menilai
proses-proses TI yang dimilikinya dari skala non-existent sampai dengan optimised (dari 0
sampai 5). Maturity models ini akan memetakan:
1. Current status dari organisasi – untuk melihat posisi organisasi saat ini.
2. Current status dari kebanyakan industri saat ini – sebagai perbandingan.
3. Current status dari standar internasional – sebagai perbandingan tambahan.
4. Strategi organisasi dalam rangka perbaikan – level yang ingin dicapai oleh
organisasi.

6. A. Pengembangan sistem informasi adalah Pengembangan sistem Informasi sering

disebut sebagai proses pengembangan sistem (system development) Pengembangan
sistem informasi didefinisikan sebagai aktivitas untuk menghasilkan sistem informasi
bebrbasis computer untuk menyelesaikan persoalan organisasi atau memanfaatkan
kesempatan (oppurtinities) yang timbulSebenarnya untuk menghasilkan sistem
informasi tersebut terdiri dari :

• System analisis : upaya mendapatkan gambaran bagaimana sistem bekerja dan

masalah-masalah apa saja yang ada pada sistem.
• System development adalah langkah-langkah mengembangkan sistem informasi
yang baru berdasarkan gambaran cara kerja sistem dan permasalahan yang ada

B.A. Perencanaan Sistem (Systems Planning)

Lebih menekankan pada aspek studi kelayakan pengembangan sistem (feasibility
study).Aktivitas-aktivitas yang ada meliputi :
• Pembentukan dan konsolidasi tim pengembang.
• Mendefinisikan tujuan dan ruang lingkup pengembangan.
• Mengidentifikasi apakah masalah-masalah yang ada bisa diselesaikan melalui
pengembangan sistem.
• Menentukan dan evaluasi strategi yang akan digunakan dalam pengembangan
 sistem. Penentuan prioritas teknologi dan pemilihan aplikasi.

B. Analisis Sistem (Systems Analysis)

Analisa sistem adalah tahap di mana dilakukan beberapa aktivitas berikut:
• Melakukan studi literatur untuk menemukan suatu kasus yang bisa ditangani oleh
sistem.
• Brainstorming dalam tim pengembang mengenai kasus mana yang paling tepat
dimodelkan dengan sistem.
• Mengklasifikasikan masalah, peluang, dan solusi yang mungkin diterapkan untuk
kasus tersebut.
• Analisa kebutuhan pada sistem dan membuat batasan sistem.
• Mendefinisikan kebutuhan sistem.

C. Perancangan Sistem (Systems Design)

Pada tahap ini, features dan operasi-operasi pada sistem dideskripsikan secara detail.
Aktivitas-aktivitas yang dilakukan adalah:
• Menganalisa interaksi obyek dan fungsi pada sistem.
• Menganalisa data dan membuat skema database.
• Merancang user interface.

D. Implementasi Sistem (Systems Implementation)

Tahap berikutnya adalah implementasi yaitu mengimplementasikan rancangan dari
tahap-tahap sebelumnya dan melakukan uji coba.
Dalam implementasi, dilakukan aktivitas-aktivitas sebagai berikut:
• Pembuatan database sesuai skema rancangan.
• Pembuatan aplikasi berdasarkan desain sistem.
• Pengujian dan perbaikan aplikasi (debugging).

E. Pemeliharaan Sistem (Systems Maintenance)

Dilakukan oleh admin yang ditunjuk untuk menjaga sistem tetap mampu beroperasi
secara benar melalui kemampuan sistem dalam mengadaptasikan diri sesuai dengan
kebutuhan.

7. Kontrol manajemen operasi dapat didefinisikan sebagai upaya sistematis oleh manajemen
bisnis untuk membandingkan kinerja dengan standar yang telah ditentukan, rencana, atau
tujuan untuk menentukan apakah kinerja sejalan dengan standar tersebut dan mungkin untuk
mengambil tindakan perbaikan yang diperlukan untuk melihat bahwa manusia dan sumber
daya perusahaan lainnya yang digunakan dengan cara yang paling efektif dan efisien
mungkin dalam mencapai tujuan perusahaan.