Chapter I
Basic Concepts
of Information
System Auditing
Rafael Rodríguez de Cora
INTRODUCTION
Such a fast change is affecting the whole world and its understanding is
fundamental for all kinds of organizations, especially in relation to Information
Systems and Related Tech- nologies. Forbetter orworst, thewholeSociety
ismoreandmore dependent on information and communication systems.
Secara umum, situasi Sistem Informasi saat ini sering ditandai dengan
kurangnya asimilasi teknologi baru, penggunaan informasi dan sumber daya
teknologi yang buruk, ketidakpuasan umum pengguna, aplikasi usang, dan
kurangnya Perencanaan. Aplikasi di masa lalu belum terintegrasi tetapi
dirancang sebagai solusi parsial, dan telah berfungsi sebagai pulau otomatis
atau manual yang independen. Proses manual sulit dikendalikan dan mahal
pemeliharaannya. Akhirnya dewasa ini kurangnya standar dan metode, dan
kurangnya pelatihan dan budaya umum mengenai keseluruhan aspek
Pengendalian dan Keamanan Informasi.
LATAR BELAKANG
Industri Teknologi Informasi, dimulai dari perangkat awal pertama, dan telah
melalui beberapa tahap dari tahun enam puluhan hingga saat ini. (Gambar 1)
Tahun sembilan puluhan dicirikan oleh apa yang disebut "Komputasi Jaringan" di
mana pengguna dapat memiliki akses ke semua jenis komputer melalui jaringan
komunikasi global, seperti yang ditunjukkan di bawah ini pada Gambar 2:
EKONOMIS ORGANISASI
STRATEGI STRATEGI
(PEREKONOMIAN GLOBAL
INTEGRASI
PERUBAHAN
PENGELOLAAN
INFORMASI
STRATEGI
SISTEM
HR
STRATEGI
6 Rodriguez de Cora
Secara umum, ketika berbicara tentang audit, kita berbicara tentang alat
kontrol, yang melibatkan metodologi untuk menetapkan kriteria, sehingga kita dapat
mengukur keefektifan, efisiensi dan kemungkinan penyimpangan dari tujuan yang
ditetapkan dari sistem tertentu.
• Audit Keuangan
• Audit Produksi
• Audit Sumber Daya Manusia
• Audit Lingkungan
• Dll
The type of auditing that is best known applied by organi- zations and
established as compulsory by law is the Financial Auditing. According to its
definition it concerns the “Indepen- dent investigationof the financial situationof
an entity, with the intention of expressing an opinion about the financial status
in compliance with norms and established procedures and gener- ally
accepted accounting principles “.
MANUAL OTOMATIS
Murah Mahal
Fleksibel Tidak fleksibel
• Orientation on systems.
• Orientation on data.
Salah satu hal yang paling sulit untuk ditentukan adalah tujuan dan ruang
lingkup Audit. Sebagai panduan, seseorang dapat memperhitungkan variabel berikut
untuk menentukan cakupan tersebut:
• Perluasan dan ruang lingkup Audit Keuangan yang sedang berlangsung.
• Durasi dan sifat tinjauan, Audit Internal atau Eksternal.
Teknik Audit
Teknik Audit terdiri dari berbagai jenis tetapi dapat dikelompokkan dalam
dua jenis bukti:
• Tes Kepatuhan: They verify the correct execution or registration of an
operation or process through its repeti- tion or observation. (Test data,
logic reviews, and sample of a file).
• Substantive Tests: They make analytic review of real data, to test its
quality, by using certain audit software or packages. (C.A.A.T.).
review controls).
• Organizational structure, flow charts (of manual and automated
operations), file interrelations.
Untuk alasan teknis, Sistem Informasi Audit telah melalui beberapa fase
yang terkadang membingungkan, semakin memperbesar jarak dengan Audit
Keuangan, dan mengintegrasikan dirinya dalam Sistem Informasi yang
kompleks dan canggih saat ini.Tanpa batas waktu yang dibatasi dengan jelas,
kita dapat mendefinisikan fase berikut:
What was done, in practice, was just to review manually what the
computer produced, since this was fairly easy to do as it concerned almost
only batch processes.
Dalam konteks ini, kami dapat mengutip beberapa teknologi canggih, yang
memerlukan, untuk desain mereka sendiri dan untuk kebijakan industri dan pasar,
penggabungan kontrol atau mekanisme keamanan:
• Perangkat keras
- Prosesor atau cluster paralel
- Sistem dengan catu daya internal yang tidak terputus
- Sistem Toleransi Kesalahan
• Sistem operasi
- Keamanan dan mekanisme akses di berbagai tingkatan
- Tingkat keamanan C2 dan Sistem UNIX V ("Buku Oranye- DOD")
• Database
- Pencadangan On-line
- Mirroring
- Komit dua fase
- Bahasa Generasi Keempat (4GL)
- Keamanan dan mekanisme akses di berbagai tingkatan
- Generator Transaksi untuk tujuan Audit
• Komunikasi
- Perpindahan pesan
- Enkripsi
- Tembok Api
- Dll
KONSEP KONTROL
and automated systems. But the scope, the emphasis on every type of control,
and the methods and procedures do vary sub- stantially with every kind and
level of the system automation.
ISACF (Information Systems Audit and Control Foundation) merilis pada tahun
1996 sebuah produk yang disebut CobiT: "Objektif Kontrol untuk Informasi dan
Teknologi terkait", untuk mendefinisikan metodologi pengendalian yang dapat
diterapkan. Pada tahun 1998 versi kedua dari CobiT dirilis, yang sekarang telah
tersedia.
Tujuan Pengendalian
• Pengamanan aset
• Menjamin keakuratan, keandalan, dan otorisasi data
• Efisiensi operasi
• Kepatuhan dengan kebijakan dan prosedur organisasi
(ISACA, 1998)
Control Environment
A B
USERS D.P.
Lingkup Kontrol
Ruang Lingkup Kontrol menentukan sumber daya mana yang diterapkan pada
saat tertentu dalam Audit, seperti fasilitas, sistem, atau data tertentu. Secara khusus,
CobiT mendefinisikan sumber daya berikut:
up.
Domains, which are groups of processes naturally grouped together.
(ISACA, 1998)
Pemantauan
Semua proses TI perlu secara teratur dinilai dari waktu ke waktu oleh audit
internal dan eksternal, sesuai dengan kualitas dan kepatuhannya terhadap
persyaratan kontrol.
(ISACA, 1998)
Konsep Dasar Auditing Sistem Informasi 17
• Evaluasi awal dari Audit untuk menentukan tujuan dan ruang lingkup.
Dalam Tim Kerja Audit, orang-orang dengan level yang berbeda biasanya
menggunakan kertas kerja:
• Manajer: Bertanggung jawab atas Audit dan kendali mutu, untuk menjamin
bahwa pekerjaan telah selesai dan telah dilakukan sesuai dengan standar
dan prosedur, dan kesimpulan didokumentasikan dengan baik.
18 Rodriguez de Cora
Tugas beresiko
• Kesalahan manipulasi.
• Penipuan yang Disengaja.
• Sabotase.
• Penyaringan informasi rahasia.
• Bencana alam.
• Kecelakaan lingkungan umum.
Riskevaluationandquantificationshouldalways takeplace,
although total securitydoes not exist. There is always a trade-off between the
cost of risk and the cost of control.
Basic Concepts of Information System Auditing 19
For the administration of the Audit, the Audit Teammust use a standard
set of work papers. To carry out the Audit and serve as a support of opinions
and evidence, the Auditors must prepare the following set of documents:
• Laporan perkembangan
Setidaknya satu atau lebih laporan kemajuan berkala harus dibuat selama pekerjaan
Audit: Mereka mengidentifikasi masalah atau insiden masa lalu atau masa depan, mengusulkan
solusi. Mereka juga berguna dalam melaporkan penyimpangan ruang lingkup dan kemungkinan
perubahan dalam perencanaan dan anggaran.
“File Permanen”
"File permanen" berisi informasi yang menarik bagi auditor tentang suatu
sistem atau area tertentu. Informasi yang diperoleh dan tanggal audit perlu
diperbarui dalam audit sistem selanjutnya.
• Laporan Pendahuluan
Draf laporan, yang akan didiskusikan dengan klien untuk kemungkinan
komentar dan observasi.
Ini harus berisi rekomendasi khusus yang dihasilkan dari Audit, dan
menjelaskan dampak dari kurangnya kontrol yang terdeteksi. Isi kertas kerja
sangat mendasar karena digunakan untuk mendukung opini.
• Informasi Lengkap.
• Informasi Yang Tepat.
• Informasi yang relevan
• Format standar dan struktur seragam.
Konsep Dasar Auditing Sistem Informasi 21
ASPEK ORGANISASI
Organisasi
Ukuran dan struktur organisasi dari Fungsi Audit Sistem Informasi akan
bergantung pada ukuran organisasi dan untuk pertimbangan teknis atau
kebijakan dapat dipisahkan secara fungsional dari Departemen Audit
Keuangan dan Operasional.
Rencana Pendidikan
• Sarana akademis
Daftar perguruan tinggi dan universitas yang menawarkan kursus dan gelar
dalam kontrolISsekarang tersedia. Informasi ini juga akan digunakan untuk
menyebarkan informasi tentang ISACA, bertukar pikiran dengan siswa dan guru yang
tertarik untuk mempelajari lebih lanjut.
22 Rodriguez de Cora
tentang profesi audit IS, mendorong Standar ISACA dan Kode Etik, dan
menyediakan forum untuk ide dan saran dari komunitas akademis.
• Pengalaman profesional
Pelatihan dan pengalaman ISAudit yang diperoleh "di tempat kerja" telah
menjadi keterlibatan dasar dalam profesi mayoritas Auditor IS saat ini.
• Asosiasi profesional
Beberapa asosiasi profesional ada di seluruh dunia di bidang Audit, Kontrol,
dan Keamanan IS. Mereka menetapkan dan mengesahkan standar kompetensi,
menerapkan etika profesional dan norma perilaku, serta menyelenggarakan
kursus dan seminar.
Salah satu yang paling penting adalah ISACA, yang menganggap dirinya
sebagai asosiasi profesional untuk Tata Kelola TI, Audit, Kontrol, dan Keamanan.
• Seminar Khusus
Beberapa kursus dan seminar khusus terus ditawarkan yang terdiri dari mata
pelajaran teknologi dan bidang terkait Audit, untuk mempromosikan kebijakan
pendidikan berkelanjutan ISACA. Ini adalah bagian dari program sertifikasi untuk
Auditor IS yang disebut CISA - (Certified Information Systems Auditor).
Norma perilaku
• ComplyingwithInformationSystemAuditingstandards
seperti yang diadopsi oleh Information Systems and Control Association
(ISACA)
• Melayani untuk kepentingan pemberi kerja, pemegang saham, klien, dan
masyarakat umum dengan cara yang rajin, setia, dan jujur dan tidak
secara sengaja menjadi pihak dalam aktivitas ilegal atau tidak pantas.
• Memberi tahu pihak yang tepat tentang hasil pekerjaan audit yang
dilakukan.
REFERENSI
Alonso Rivas, G. (1988). Auditoría Informática. Ed. Díaz de Santos.
McClure, Carma. (1992) “Perangkat lunak case la automatización del”. Ed. Rama.
SITUS WEB
http://www.isaca.org
http://www.theiia.org
http://www.securityforum.org
http://www.itauditor.org
http://www.sans.org