NAMA : SITI RAHMI HIDAYATULLAH

NO BP: 17101155110092
KELAS : A-2
TUGAS TOOLS AUDIT SISTEM INFORMASI

1. Pengertian Audit Sistem Informasi

Adalah suatu bentuk pengawasan dan pengendalian dari infrastruktur
teknologi informasi atas suatu entitas atau instansi yang diperiksa secara
menyeluruh. Audit sistem informasibiasanya dapat dilakukan bersama-sama
dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan
dan evaluasi lain yang sejenis. Secara umum audit sistem informasi adalah
suatu proses pengawasan dan pengujian terhadap infrastruktur teknologi
informasi yang berhubungan dengan masalah audit finansial dan audit
internal.

2. Pengertian Framework/ Tools Audit Sistem Informasi

Framework adalah sekumpulan fungsi atau perintah dasar yang bisa
digunakan untuk menyelesaikan proses-proses yang kompleks, menyelesaikan
berbagai masalah dalam program seperti koneksi database, pemanggilan
variabel, dan lainnya. Sehingga dengan adanya framework ini developer dapat
lebih mudah dan fokus dalam membangun aplikasi.

Dapat disimpulkan bahwa framework adalah kumpulan fungsi-fungsi

yang telah ada guna untuk memudahkan programmer karena programmer
tidak perlu membuat fungsi-fungsi yang baru lagi dan hanya tinggal
memanggil kumpulan fungsi tersebut di dalam framework. Fungsi-fungsi yang
standar dan telah tersedia dalam suatu framework adalah fungsi security,
enkripsi, session, manipulasi gambar, garfik, validasi, upload, template, dan
lainnya.

Sedangkan Tools merupakan fungsi yang dapat digunakan untuk

membantu pelaksanaan Audit sistem informasi. Tools ini biasanya memang
diperlukan karena tool-tool tersebut dapat membantu Auditor Teknologi
Informasi dalam menjalankan profesinya, baik dari sisi kecepatan maupun
akurasinya.

3. Contoh Framework / Tools Audit Sistem Informasi

Dalam melakukan audit terhadap TI terdapat berbagai tools yang
sudah siap digunakan. Tools tersebut telah dikembangkan dan
distandardisasikan oleh berbagai badan di dunia. Standard tools tersebut telah
dikembangkan menjadi framework yang disusun dengan best practices yang
merupakan hasil riset dan pengamatan di bidang TI selama bertahun-tahun.
Framework ini kemudian dilakukan penyempurnaan berkelanjutan sebagai
bentuk usaha menciptakan standar yang lebih baik, efektif dan efisien.
Berikut Standard Tools / Framework:
a) COBIT (Control Objectives for Informastion and Related Technology)
COBIT disusun oleh Information System Audit and Control
Foundation (ISACF) pada tahun 1996. COBIT merupakan standar yang
dinilai paling lengkap dan menyeluruh sebagai framework IT audit karena
dikembankan secara berkelanjutan oleh lembaga swadaya profesional
auditor yang tersebar di seluruh negara. Target pengguna framework
COBIT adalah organisasi atau perusahaan dari berbagai latar belakang dan
para profesional external assurance. Secara manajerial target pengguna
COBIT ialah para manajer, pengguna dan profesional TI serta pengawas
profesional.
Berikut 4 domain COBIT sebagai tahapan pengelolan TI:
1. Perencanaan dan organisasi (planning and organization)
2. Pengadaan dan implementasi (Acquire and Implementation)
3. Pengantaran dan dukungan (Delivery and Support)
4. Pengawasan dan evaluasi (Monitoring and Evaluate)

Berikut fungsi-fungsi dari COBIT:

 1. Meningkatkan program audit
2. Mendukung kerja audit dengan arahan audit yang terperinci
3. Memberikan petunjuk bagi IT governance
4. Sebagai alat penilaian benchmark untuk kendali IS/IT
5. Meningkatkan control IS / IT
6. Sebagai standarisasi program audit

Sedangkan lingkup kriteria informasi dari COBIT adalah sebagai

berikut:
1. Effectiveness : menitikberatkan pada sejauh mana efektivitas
informasi yang dikelola dari data-data yang diproses oleh sistem
informasi yang dibangun
2. Efficiency : menitikberatkan pada sejauh mana efisiensi
investasi terhadap informasi yang diproses oleh sistem
3. Confidentiality: memperhatikan bagian pengelolaan kerahasiaan
informasi secara hierarki
4. Integrity : memperhatikan integritas data/informasi dalam
sistem
5. Availability : memperhatikan pada ketersediaan data/informasi
dalam sistem informasi
6. Compliance : memfokuskan pada kesesuaian data/informasi
dalam sistem informasi
7. Reliability : memfokuskan pada kemampuan/ketangguhan
sistem informasi pada pengelolaan data dan informasi.

b) COSO (Committee of Sponsoring organization of the Treadway

Commission)
COSO adalah organisasi swasta befungsi menyusun Internal
Control-Integrated Network bagi peningkatan kualitas penyampaian
laporan keuangan dan pengwasan internal agar lebih efektif. Tujuan utama
dari penyusunan framework ini yaitu untuk meningkatkan sistem
 pengawasan yang terpadu guna untuk pengendalian perusahaan atau
organisasi dalam beberapa langkah. Hal ini bermaksud untuk memberi
pemegang kebijakan dalam organisasi agar dapat melakukan pengawasan
internal dalam pelaksanaan tugas kepada para eksekutif , untuk mencapai
laba dan keuntungan serta untuk mengelola risiko-risiko yang akan timbul.
Internal Control - Integrated Network yang disusun oleh COSO ini
pertama kali diterbitkan pada tahun 1992 dan masih mengalami
pembaruan hingga saat ini. Hingga saat ini baik COSO maupun organisasi
lainnya tidak menerbitkan sertifikasi keahlian/profesional bagi framework
ini.
Lingkup kriteria informasi yang sering menjadi perhatian dalam
Internal Control - Integrated Network COSO ini adalah:
1. Effectiveness
2. Efficiency
3. Confindentiality
4. Integrity
5. Availability
6. Compliance
7. Reliability
Berdasarkan lingkup kriteria informasi di atas maka dapat
disimpulkan bahwa komponen-komponen yang menjadi perhatian dalam
Internal Control - Integrated Network COSO sangat identik dengan
COBIT. Sedangkan fokus pada pengelolaan sumber daya teknologi
informasi dalam Internal Control - Integrated Network COSO juga identik
dengan COBIT.

c) ISO / IEC 17799:2005 code of practice for information Security

management
Merupakan standar internasional yang memiliki tujuan utama
untuk penerapan keamanan informasi dalam organisasi. Framework ini
dimaksudkan untuk mengembangkan dan memelihara standar kemaanan
 dan praktek manajemen dalam organisasi untuk meningkatkan ketahanan
(reliability) untuk keamanan informasi dalam hubungan antar organisasi.
Dalam framework ini terdapat 132 strategi kontrol keamanan
dimana standar ini lebih menakankan kepada manajemen risiko dan tidak
menuntut penerapan pada setiap komponen melainkan dapat memilih pada
bagian yang terkait saja.
Edisi pertama dari ISO / IEC 17799:2005 code of practice for
information Security management diterbitkan pada tahun 2000, sedangkan
edisi keduanya diterbitkan pada tahun 2005. sejak edisi kedua tersebut
framework ini menjadi standar resmi ISO yang mengakibatkan
diperlukannya revisi dan pemutakhiran setiap 3-5 tahun sekali. Pada
standar ini terdapat perbedaan perhatian lingkup kriteria dengan COBIT.
Dimana dalam standar ini tidak berfokus pada Effectiveness dan efficiency
serta sedikit perhatian pada reliability. Kemudian pada pengelolaan
sumber daya TI dalam ISO / IEC 17799:2005 tidak terlalu fokus pada
infrastructure.
d) CMMI (Capability maturity Model Integration)
Adalah dokumentasi best-practices yang diarahkan sebagai
panduan dalam pemberdayaan proses pengembangan teknologi informasi.
Dokumentasi CMMI didalamnya disajikan model-model rekayasa sistem,
produk terpadu, pengembangan proses dan pengelolaan sumber daya dari
pihak supplier/penyalur. Tujuan dari dokumentasi CMMI ini antara lain
meliputi peningkatan proses dalam membangun produk yang lebih baik
yang berdasarkan proses pengembangannya.
CMMI dipublikasikan oleh software Engineering Institute (SEI) of
Carnegie Mellon University. Dimana standar cmmi tersebut secara generik
didasarkan pada Copability maturity Model (CMM). CMMI secara
fungsional dapat diterapkan pada kasus-kasus berikut ini:
1. Penilaian studi kualitas atas proses kematangan (maturity)
terkini
 2. Meningkatkan kualitas struktur organisai dan pemrosesan
dengan mengikuti pendekatan best-practices
3. Digunakan dalam proses uji-kinerja (benchmarking) dengan
organsasi lainnya
4. Meningkatkan produktivitas dan menekan terjadinya risiko pada
proyek
5. Meminimalisir terjadinya risiko dalam pengembangan pernagkat
lunak
6. Meningkatkan kepuasan pelanggan

Target pengguna dari CMMI adalah pengembang perangkat lunak

(software developer), manajer sistem, program dan perangkat lunak,
praktisi dari berbagai latar belakang yang berhubungan dengan sistem dan
pernagkat lunak serta pemerintah dan industri yang berhubungan dengan
sistem intensif perangkat lunak.
Selain tools-tools di atas, terdapat lagi tools-tools lainnya yang
dapat digunakan dalam audit sistem informasi, yaitu sebagai berikut:
1. Audit Command Language (ACL) adalah sebuah software CAAT
(computer assisted audit techniques) yang telah dikenal luas dalam
melakukan analisa terhadap data dari berbagai macam sumber. ACL for
windows atau biasa disebut ACL merupakan sebuah software TABK
(teknik audit berbasis komputer) yang dapat membantu auditor dalam
melakukan pemeriksaan lingkungan sisteminformasi berbasis komputer
atau pemrosesan data elektronik.
2. Picalo, adalah sebuah software CAAT yang bisa digunakan untuk
menganalisa data dari berbagai macam sumber. Picalo bekerja dengan
menggunakan GUI Front end, dan memiliki banyak fitur untuk ETL
sebagai proses utama dalam mengekstrak dan membuka data,
kelebihannya adalah fleksibelitas dan froen end yang baik serta librari
python numerik.
3. Powertech Compliance Assessment, adalah automated audit tool yang
dapat digunakan untuk mengaudit dan mem-benchmark user access to
data, public authority to libraries, user security, system security, system
auditing dan administrator rights (special authority).
4. Nipper
Merupakan audit automation software yang dapat digunakan untuk
mengaudit atau membenchmark konfigruasi sebuah router. Nipper adalah alat
berbasis open source untuk membantu profesional IT dalam mengaudit,
konfigurasi dan mengelola jaringan komputer dan perangkat jaringan
infrastruktur.
5. Nessus
Merupakan sebuah vulnerability assessment software, yaitu sebuah
software yang digunakan untuk memeriksa tingkat vulnerabilitas suatu sistem
dalam ruang lingkup kemanan yang digunakan dalam sebuah perusahaan.

4. Contoh Kasus Framework atau Tools Audit Sistem Informasi

menggunakan framework COBIT 5 pada Balai Besar Perikanan
Budidaya Laut Lampung

Berikut contoh kasus penggunaan salah satu frame work dalam audit
sistem informasi, yaitu “Audit Tata Kelola Teknologi Informasi Menggunakan
Framework COBIT 5 pada Balai Besar Perikanan Budidaya Laut Lampung”.
Dengan dilakukannya audit terhadap tata kelola kemanan informasi
menggunakan framework COBIT 5 maka akan bermanfaat untuk memberikan
informasi kepada Balai besar Perikanan Budiddaya Laut Lampung mengenai
hasil analisis yang akan digunakan untuk melakukan peningkatan terhadap
sistem e-SKP (Elektronik Sasaran Kinerja Pegawai).
a) COBIT 5
Merupakan generasi terbaru dari panduan ISACA yang dibuat
berdasarkan pengalaman penggunaan COBIT selama 15 tahun lebih oleh
berbagai perusahaan dan berbagai bidang bisnis, komunitas, It, risiko,
 asuransi, dan keamanan. COBIT 5 menjelaskan secara terperinci mengenai
sejumlah tata kelola dan manajemen proses. COBIT menyedeikan
kerangka kerja yang komprehensif yang dapat membantu perusahaan
untuk mencapai tujuan mereka. Kemudian juga untuk membantu
perusahaan dalam menciptakan nilai TI yang optimal dengan cara menjaga
keseimbangan antara mewujudkan manfaat dan mengoptimalkan tingkat
risiko dan penggunaan sumber daya.
b) Prinsip Dasar COBIT 5
Secara umum COBIT 5 memiliki lima prinsip dasar yaitu:
1) Meeting stakeholder needs
Adanya usaha dari perusahaan untuk menciptakan nilai
bagi para pihak berkepentingan dengan menjaga keseimbangan
antara realisasi manfaat, optimalisasi risiko, dan penggunaan
sumber daya.
2) Convering the enterprise end to end
Berfungsi untuk mengintegrasikan tata kelola TI perusahaan
ke dalam tata kelola perusahaan. Pada COBIT 5, sistem tata kelola Ti
dapat menyatu dengan sistem tata kelola perusahaan dengan lancar.
Prinsip ini diperlukan karena berfungsi untuk mengatur dan
mengelola TI perusahaan dimanapun informasi diproses, baik
layanan TI internal ataupun eksternal.
3) Applying a single integrated framework
Adanya bnayak standar yang berhubungan dengan TI yang
masing-masing memilikipanduan pada subset dari kegiatan TI.
Namun, COBIT 5 dapat sejalan dengan standar lain yang relevan dan
kerangka pad a tingkat tinggi. Sehingga COBIT 5 dapat menjadi
kerangka yang menyeluruh untuk tata kelola dan manajemen
perusahaan.
4) Enalbling a holistic approach
Tata kelola manajemen perusahaan yang efektif dan efisien
biasanya membutuhkan pendekatan holistic, dengan
 mempertimbangkan beberapa komponen yang dapat saling
berinteraksi.
5) Separating governance from management
COBIT dapat menjelaskan perbedaan yang jelas antara tata
kelola dan manajemen. Karena kedua hal tersebut mencakup
berbagai kegiatan yang berbeda, memerlukan struktur orgnasisasi
yang berbeda, dan melayani untuk tujuan yang berbeda juga.

c) Domain COBIT 5
Framework ini dirancang dengan meliputi 5 domain yang masing-
masing mencakup penjelasan terperinci dan termasuk panduan secara luas
dan bertujuan sebagai tata kelola dan manjemen TI perusahaan. Dimana 5
domain yang terdapat dalam COBIT 5 adalah:
1. EDM (Evaluate, Direct, and Monitor)
2. APO (Align, Plan and Organise)
3. BAI (Build, Acquire and implement)
4. DSS (Deliver, Service,and Support)
5. MEA (Monitor, Evaluate, and Assets)

d) Pengukuran Tingkat Kematangan (maturity level)

Salah satu alat ukur dari kinerja sistem teknologi informasi adalah
model kematangan (maturity level), model kematangan dapat digunakan
untuk mengontrol proses-proses teknologi informasi menggunakan
framework COBIT dengan informasi menggunakan metode penilaian/scoring.
Ini bertujuan agar organisasi dpaar mengetahui posisi kematangan teknologi
informasi saat ini dan agar organisasi dapat terus menerus berkesinambungan
untuk melakukan peningkatan level sampai tingkat tertinggi sehingga aspek
governance terhadap TI dapat berjalan secara lancar.

e) Tahapan dan Hasil

 Tahapan yang dilakukan dalam penggunaan COBIT 5 pada Balai
Besar Perikanan Budidaya laut Lampung ini adalah :
1. Identifikasi masalah
2. Pengumpulan data
3. Analisis data
4. Pengumpulan bukti
5. Identifikasi domain COBIT
6. Hasil dan pembahasan

Sedangkan hasil yang didapat dari penggunaan framework COBIT 5

pada e-SKP Balai Besar Perikanan Budidaya Laut Lampung adalah :
a. Balai Besar Perikanan Budidaya Laut Lampung telah menerapkan
proses pengamatan data dan informasi pada rata-rata level Defined process
b. Hasil pengolahan kuesioner mendapati nilai rata-rata untuk domain
MEA, APO, BAI, DSS, dan MEA adalah 2,8 dari rentang nilai 0-5. ini berarti
bahwa Balai Besar Perikanan Budidaya Laut Lampung telah melakukan
proses pengamanan dan baku atau sudah mengikuti standar yang ada
c. Terdapat beberapa kelemahan yang fatal yaitu belum adanya
prosedur yang baku dalam proses pengamann data dan informasi, sehingga
perlunya rekomendasi untuk mencapai tujuan yang diharapkan
d. Hasil audit kemanan menggunakan aplikasi Nessus scanner
didapatkan pada aplikasi e-SKP terdapat kategori medium sebanyak 8
kelemahan, kategori low sebanyak 4 kelemahan, kategori info sebanyak 33
kelemahan. Sedangkan hasil testing menggunakan aplikasi tester Apache
jmeter didapatkan hasil bahwa performa aplikasi hasilnya throghput yaitu
102.366/menit dan deviasi 3781, kemudian juga didapat hasil Respon Time
sistem e-SKP rata-rata 797 ms.
e. Disimpulkan bahwa aplikasi e-SKP pada Balai Besar Perikanan
Budidaya Laut Lampung perlu ditingkatkan keamanannya, throghput dan
performa juga perlu ditingkatkan, sehingga aplikasi dapat berjalan secara
maksimal, aman, dan efisien.