PAPER PENGAUDITAN SISTEM INFORMASI 4

Disusun Oleh :
KHOIRUDDIN HASIBUAN (0702193200)
KHARISMA FADILLAH (0702191092)
MARISSA GUSMAN TAMBUNAN (07021910878)
NADILA ALYA RAHMAH (0702193206)

Mata Kuliah : Pengauditan

Dosen Pengampu : Sumi Khairani

PROGRAM STUDI KEAHLIAN SISTEM INFORMASI

UNIVERSITAS ISLAM NEGERI SUMATERA UTARA
MEDAN
2022
 TENTANG ISACA (INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION)

MATA KULIAH PENGAUDITAN SISTEM INFORMASI

ABSTRACT

This paper aims to explain in detail the role of auditing in the IT world, especially regarding the ISACA
association. Audit is an activity of reviewing concrete data in a report to be accurate. The data written in
the report is examined in detail whether there is any deviation or is in accordance with the existing
reality. In addition, the data was re-evaluated the reason for the occurrence. Broadly speaking, the
purpose of an audit is to make a company even better in the future. In addition, there are other things that
are the purpose of the audit, which are also called assertions. The purpose of a report audit is to assess
the fairness or appropriateness of the presentation of the financial statements prepared by the company.
The feasibility and fairness refers to generally accepted accounting principles and subsequently the
assessment will be reflected in the audit opinion.

ABSTRAK

Paper ini bertujuan untuk menjelaskan secara rinci peran pengauditan dalam dunia IT khususnya
tentang asosiasi ISACA. Audit adalah kegiatan peninjauan kembali data-data konkrit dalam suatu
laporan agar akurat. Data yang tertulis dalam laporan diperiksa secara detail apakah ada yang
melenceng atau sudah sesuai dengan kenyataan yang ada. Selain itu, data-data tadi dievaluasi kembali
alasan terjadinya.Secara garis besar, tujuan dilakukannya audit adalah agar suatu perusahaan menjadi
lebih baik lagi ke depannya. Selain itu, ada hal-hal lain yang menjadi tujuan dilakukannya audit, yang
disebut juga dengan asersi.Tujuan audit laporan adalah untuk menilai kewajaran atau kelayakan
penyajian laporan keuangan yang dibuat oleh perusahaan. Adapun kelayakan dan kewajaran ini
mengacu pada prinsip akuntansi yang berterima umum dan selanjutnya atas penilaian tersebut akan
tercermin pada opini audit.
 BAB 1

PENDAHULUAN

A. Latar belakang

ISACA adalah suatu organisasi profesi internasional di bidang tata kelola teknologi informasi yang
didirikan di Amerika Serikat pada tahun 1967. Awalnya dikenal dengan nama lengkap Information
Systems Audit and Control Association, saat ini ISACA hanya menggunakan akronimnya untuk
merefleksikan cakupan luasnya di bidang tata kelola teknologi informasi.

ISACA didirikan oleh individu yang mengenali kebutuhan untuk sumber informasi terpusat dan
bimbingan dalam bidang tumbuh kontrol audit untuk sistem komputer. Hari ini, ISACA memiliki lebih
dari 115.000 konstituen di seluruh dunia dan telah memiliki kurang lebih 70.000 anggota yang tersebar di
140 negara. Anggota ISACA terdiri dari antara lain auditor sistem informasi, konsultan, pengajar,
profesional keamanan sistem informasi, pembuat perundangan, CIO, serta auditor internal. Jaringan
ISACA terdiri dari sekitar 170 cabang yang berada di lebih dari 60 negara, termasuk di Indonesia.

ISACA mulai pada tahun 1967, ketika sekelompok kecil orang dengan kontrol pekerjaan-audit
serupa di sistem komputer yang menjadi semakin penting untuk operasi mereka organisasi-duduk untuk
membahas perlunya sumber informasi terpusat dan bimbingan dalam bidang. Pada tahun 1969, kelompok
formal, menggabungkan sebagai Asosiasi EDP Auditor. Pada tahun 1976 asosiasi membentuk yayasan
pendidikan untuk melakukan upaya penelitian besar-besaran untuk memperluas pengetahuan dan nilai
tata kelola TI dan bidang kontrol. Sebelumnya dikenal sebagai Audit Sistem Informasi dan Control
Association, ISACA sekarang berjalan dengan singkatan saja, untuk mencerminkan berbagai profesional
TI pemerintahan yang dilayaninya.

B. ISI

Menurut ISACA, pemegang gelar CISA mempunyai competitive advantage dengan memastikan
bahwa:

1. Audit sistem informasi dilakukan sesuai dengan standar, panduan, dan best practises terkait

2. Suatu perusahaan melaksanakan tata-kelola teknologi informasi (corporate governance of IT)

3. Manajemen atas sistem dan infrastruktur IT (systems and infrastructure life cycle management)
dilakukan sesuai dengan tujuan perusahaan

4. Arsitektur keamanan didesain untuk menjaga prinsip kerahasiaan (confidentiality),integritas

(integrity),dan ketersediaan (availability) atas information assets

5. Program disaster recovery dan business continuity direncanakan dengan baik dan dampak
resikonya diminimalisir
 Berikut beberapa pengakuan atas sertifikasi CISA dari beberapa lembaga:

1. Departemen Pertahanan Amerika (US Department of Defence) mengharuskan staff information

assurance-nya memiliki sertifikat tertentu, di antaranya gelar CISA

2. Undang-undang Keamanan Informasi di Korea mensyaratkan audit sistem informasi dilakukan

oleh pemegang sertifikasi tertentu, misalnya CISA

3. Bursa Efek India mengakui sertifikasi profesional CISA sebagai salah satu prasyarat untuk
melakukan systems audit

4. Menurut Undang-undang di Rumania, bank yang akan menerapkan sistem pembayaran elektronik
(misalnya melalui internet) diharuskan melewati proses sertifikasi dahulu oleh auditor yang memiliki
gelar CISA

Ujian CISA ini dilakukan 2 kali setahun, sekitar bulan juni dan desember. Jumlah soal ujiannya ada
200, multiple-choice dan minimal harus bener 75% supaya lulus.

Ada 6 area/topik dalam ujian CISA :

1. Information systems audit process (sekitar 10% dari total jumlah soal)

2. Information systems governance (15%)

3. Systems and infrastructure life cycle management (16%)

4. Information technology service delivery and support (14%)

5. Protection of information assets (31%)

6. Business continuity and disaster recovery (14%)

Supaya bisa dapat gelar CISA, gak cuma harus lulus ujian doank. Ada juga beberapa persyaratan
lainnya:

1. Harus punya pengalaman 5 tahun dalam information systems audit, control, or security (bisa
disubstitusi dengan persyaratan tertentu)

2. Mematuhi ISACA Code of Professional Ethics

3. Menjalankan IS Auditing Standards yang dikeluarkan ISACA

4. Ikut program CPE (Continuing Professional Education)

 Syarat Kelulusan

ISACA menggunakan dan laporan nilai pada skala umum 200-800. Sebagai contoh, skor skala dari
800 mewakili nilai sempurna dengan semua pertanyaan dijawab dengan benar; skor skala dari 200 adalah
skor terendah mungkin dan menandakan bahwa hanya sejumlah kecil pertanyaan yang dijawab dengan
benar. Calon harus menerima skor 450 atau lebih tinggi untuk lulus ujian.Sebuah skor 450 merupakan
standar yang konsisten minimal pengetahuan sebagaimana ditetapkan oleh ISACA CISA Komite
Sertifikasi itu. Seorang kandidat menerima nilai kelulusan kemudian dapat mengajukan permohonan
sertifikasi jika semua persyaratan lain terpenuhi.

IIA COSO(The Comitte of Sponsoring Organizations of the threadway commision's) : pengendalian

intern, yang penggunaannya mencakup penentuan tujuan pengendalian pelaporan keuangan dan proses
operasional dalam konteks organisasional, sehingga perbaikan dan kontrol dapat dilakukan secara
menyeluruh.

ISO 1799 : Menghadirkan sebuah standar untuk sistem manajemen keamanan informasi yang
meliputi dokumen kebijakan keamanan informasi, alokasi keamanan informasi tanggung jawab
menyediakan semua pemakai dengan pendidikan dan pelatihan di dalam keamanan informasi,
mengembangkan suatu sistem untuk laporan peristiwa keamanan, memperkenalkan virus kendali,
mengembangkan suatu rencana kesinambungan bisnis, mengikuti kebutuhan untuk pelindungan data, dan
menetapkan prosedur untuk mentaati kebijakan keamanan.

C. HASIL DAN PEMBAHASAN

Tentukan dan terapkan kriteria dan prosedur untuk melaporkan masalah atau keluhan yang
diidentifikasi, termasuk klarifikasi masalah, kategorisasi dan prioritas. Laporkan status masalah
yang diidentifikasi ke meja layanan sehingga pelanggan dan manajemen TI dapat terus
menerima informasi terbaru. Perusahaan mengidentifikasi masalah pengaduan yang diajukan
melalui aplikasi, kemudian mengidentifikasi tingkat masalah, masalah akan ditangani sesuai
dengan tingkat kesulitan dan urgensi masalah, misalnya jika terjadi kesalahan dalam sistem
produksi yang akan mengganggu proses produksi, prioritas tertinggi adalah. Hanya saja
identifikasi masalah dilakukan secara manual karena aplikasi melaporkan semua keluhan sebagai
kejadian. Sub-proses ini memiliki pencapaian atribut proses yang berhenti pada penyebaran
proses 3.1, sehingga kemampuan level dalam sub-proses ini adalah proses yang dikelola level 2.
Rekomendasi untuk sub-bagian ini adalah bahwa perusahaan menambahkan aplikasi bantuan
atau mengganti dengan aplikasi lain yang lebih sesuai sehingga aplikasi yang diterapkan dapat
digunakan secara maksimal.

DSS03.02 investigate and diagnose problems

Selidiki dan diagnosa masalah dengan menggunakan pakar manajemen subjek yang relevan
untuk menilai dan menganalisis masalah inti. Setiap pengaduan yang dilaporkan melalui aplikasi
akan segera dianalisis pengaduan yang akan mengganggu kegiatan kerja perusahaan, jika
pengaduan tersebut merupakan masalah yang rumit maka akan diperiksa pada setiap data dan
dokumen terkait untuk menemukan solusi yang tepat. Karyawan yang bertugas akan memberikan
laporan pada setiap tahap penyelesaian masalah yang saat ini dilakukan melalui email atau
WhatsApp. Sub-proses ini memiliki pencapaian atribut proses yang

berhenti pada 4,1 pengukuran proses, maka tingkat kemampuan dalam sub-proses ini adalah
tingkat 3 proses yang ditetapkan. Rekomendasi untuk sub-bab ini adalah untuk mengembangkan
aplikasi untuk bagian pelaporan untuk setiap tahap penyelesaian, sehingga dapat di
dokumentasikan secara langsung langsung oleh aplikasi.

DSS03.03 raise known error

Setelah akar penyebab masalah telah diidentifikasi, catat kesalahan yang diketahui dan solusi
yang sesuai kemudian identifikasi solusi yang paling potensial. Perusahaan menyimpan
dokumentasi masalah yang telah diselesaikan untuk ditangani jika masalah serupa terjadi di masa
depan. Perusahaan juga mengembangkan solusi dalam menghadapi masalah dalam pertemuan
untuk membahas identifikasi, evaluasi, prioritas dan solusi untuk masalah yang mempengaruhi
pekerjaan perusahaan. sub-proses ini memiliki pencapaian atribut proses yang berhenti pada 4,1
pengukuran proses, maka tingkat kemampuan dalam sub-proses ini adalah tingkat 3 proses yang
ditetapkan. Rekomendasi untuk sub-bagian ini adalah untuk melakukan penilaian kuantitatif
terkait dengan manajemen risiko TI dan mengukur besarnya implikasi yang dapat terjadi.

DSS03.04 resolve and close problems

Identifikasi dan mulai solusi berkelanjutan yang mengatasi inti masalah, tingkatkan permintaan
untuk perubahan melalui proses manajemen perubahan yang mapan jika diperlukan untuk
menyelesaikan kesalahan. Perusahaan selalu mengidentifikasi dan menemukan solusi terbaik
dalam menyelesaikan masalah dan keluhan dalam aktivitas kerja perusahaan. Hanya saja tidak
ada penjadwalan dalam hal ini, konfirmasi dilakukan melalui email dan whatsapp. Sub-proses ini
memiliki atribut proses yang berhenti pada penyebaran proses 3,2, sehingga kemampuan level
dalam sub- proses ini adalah proses yang dikelola level. Rekomendasi untuk sub-bagian ini
adalah bahwa perusahaan perlu memperhatikan pembuatan penjadwalan konfirmasi masalah
penutupan.

DSS03.05 perform proactive problem management

Kumpulkan dan analisis data operasional (terutama catatan dan perubahan) untuk
mengidentifikasi tren yang muncul yang mungkin mengidentifikasi masalah. Catat catatan
masalah untuk mengaktifkan peringkat. Perusahaan telah mengkomunikasikan tentang log
dengan para pemangku kepentingan, masalah pelaporan telah dilakukan sesuai dengan prosedur
yang ada dan tindakan untuk mengoptimalkan sumber daya telah dilakukan. Hanya saja tidak
ada pelaporan biaya yang harus dilakukan untuk menghadapi masalah. Sub- proses ini memiliki
atribut proses yang berhenti pada penyebaran proses 3,2, sehingga kemampuan level dalam sub-
proses ini adalah proses yang dikelola level 3.

Rekomendasi untuk sub-proses ini adalah bagi perusahaan untuk membuat pelaporan biaya,
terutama di divisi HDS, sehingga semua data dapat saling terbuka di antara divisi dan
memfasilitasi koordinasi. Dalam Tabel 2 mapping process attributes form DSS03, itu
menjelaskan proses pemetaan atribut DSS03 Proses IT dan penentuan nilai kapabilitas.

Tabel 2. Mapping Process Attributes Form DSS03

IT Processes PA PA PA PA PA PA PA PA PA

1.1 2.1 2.2 3.1 3.2 4.1 4.2 5.1 5.2

DSS03. 01 F F F F N N N N N

DSS03. 02 F F F F F F N N N

DSS03. 03 F F F F F L N N N

DSS03. 04 F F F F F N N N N

DSS03. 05 F F F F F N N N N
Tabel 3. Process Capability Domain DSS03 Manage Operation

Domain Description Process Capability Expected

Attributes Level Level

DSS03. 01 identify and 3.1 2 3

classify
problems

DSS03. 02 investigate 4.1 3 4

and diagnose

problems

DSS03. 03 raise known 4.1 3 4

error

DSS03. 04 resolve and 3.2 3 4

close
problems

DSS03. 05 perform 3.2 3 4

proactive
problem

management

Average 2.8

Hasil DSS03 (Kelola Permintaan Layanan dan insiden) menunjukkan tingkat kemampuan secara
keseluruhan dalam sub- proses DSS03 dan hasil rata-rata untuk Proses TI DSS03 itu sendiri
ditunjukkan pada tabel 3 process capability domain DSS03 manage operatio
 D. KESIMPULAN

Dari pembahasan yang telah diulas, dapat kita ketahui perusahaan telah melakukan
pemeliharaan, optimalisasi sistem dan manajemen masalah dengan baik. Perusahaan tahu apa
yang harus dilakukan dengan jika terjadi eror pada sistem dan menangani keluhan dengan baik.
Dalam sub-domian DSS03 perusahaan berhasil mencapai tingkat kemampuan 2.8. perusahaan
mampu memanajemen masalah dengan baik, mengidentifikasi masalah lalu melakukan
penyelesaian masalah sesuai dengan prosedur yang telah ditetapkan oleh perusahaan, serta
melakukan evaluasi untuk penanganan masalah yang telah dilakukan secara berkala. Namun
perusahaan masih memiliki kelemahan pada aplikasi yang digunakan karena mengkategori
seluruh keluhan sebagai insiden sehingga pengelompokan jenis masalah dilakukan secara
manual.
 REFERENSI

http://dokumen.tips/documents/sejarah-isaca.html

https://mukhsonrofi.wordpress.com/2008/10/23/cisa-gelar-it-auditor-bernilai-jual-tinggi/

1-Konsep%20Audit%20Sistem%20Informasi.pdf

http://denytrihartadi.blogspot.com/2017/10/icasa-iia-coso-dan-iso-1779.html?m=1