Modul Matakuliah

Audit Teknologi Informasi

Oleh:

Dosen : Hadi Asnal, S.Kom., M.Kom

NIDN : 1027078902
Program Studi : Teknik Informatika

Sekolah Tinggi Manajemen Informatika dan Komputer Amik Riau

STMIK Amik Riau
2019
 Prinsip-prinsip Audit
• Ethical conduct
– Berdasar pada profesionalisme, kejujuran, integritas,
kerahasiaan dan kebijaksanaan
• Fair Presentation
– Kewajiban melaporkan secara jujur dan akurat
• Due professional care
– Implementasi dari kesungguhan dan pertimbangan yang
diberikan
• Independence/independensi
• Evidence-base approach/ Pendekatan
berdasarkan bukti
 Pengertian Audit IT.

Audit teknologi informasi (Inggris: information technology (IT)

audit atau information systems (IS) audit) adalah bentuk
pengawasan dan pengendalian dari infrastruktur teknologi
informasi secara menyeluruh.
Audit teknologi informasi ini dapat berjalan bersama-sama
dengan audit finansial dan audit internal, atau dengan kegiatan
pengawasan dan evaluasi lain yang sejenis.
Pada mulanya istilah ini dikenal dengan audit pemrosesan data
elektronik, dan sekarang audit teknologi informasi secara umum
merupakan proses pengumpulan dan evaluasi dari semua
kegiatan sistem informasi dalam perusahaan itu.
Istilah lain dari audit teknologi informasi adalah audit komputer
yang banyak dipakai untuk menentukan apakah aset sistem
informasi perusahaan itu telah bekerja secara efektif, dan
integratif dalam mencapai target organisasinya.
 Sejarah singkat Audit IT
Audit IT yang pada awalnya lebih dikenal sebagai EDP Audit
(Electronic Data Processing) telah mengalami perkembangan
yang pesat. Perkembangan Audit IT ini didorong oleh
kemajuan teknologi dan sistem keuangan, meningkatnya
kebutuhan akan kontrol IT, dan pengaruh dari komputer itu
sendiri untuk menyelesaikan tugas-tugas penting.
Pemanfaatan teknologi komputer ke dalam sistem keuangan
telah mengubah cara kerja sistem keuangan, yaitu dalam
penyimpanan data, pengambilan kembali data, dan
pengendalian.
Sistem keuangan pertama yang menggunakan teknologi
komputer muncul pertama kali tahun 1954. Selama periode
1954 sampai dengan 1960-an profesi audit masih
menggunakan komputer. Pada pertengahan 1960-an terjadi
perubahan pada mesin komputer, dari mainframe menjadi
komputer yang lebih kecil dan murah.
Jenis Audit IT.
1. Sistem dan aplikasi.
Memeriksa apakah sistem dan aplikasi sesuai dengan kebutuhan
organisasi, berdayaguna, dan memiliki kontrol yang cukup baik untuk
menjamin keabsahan, kehandalan, tepat waktu, dan keamanan pada
input, proses, output pada semua tingkat kegiatan sistem.
2. Fasilitas pemrosesan informasi.
Memeriksa apakah fasilitas terkendali untuk menjamin ketepatan waktu,
ketelitian.
3. Pengembangan sistem.
Memeriksa apakah sistem yang dikembangkan mencakup kebutuhan
organisasi.
4. Arsitektur perusahaan dan manajemen TI
Memeriksa apakah manajemen TI dapat mengembangkan struktur
organisasi dan prosedur yang menjamin kontrol dan lingkungan yang
berdaya guna untuk pemrosesan informasi.
5. Client/Server, telekomunikasi, intranet, dan ekstranet
Memeriksa apakah kontrol-kontrol berfungsi pada client, server, dan
jaringan yang menghubungkan client dan server.
Metodologi Audit IT.
Dalam praktiknya, tahapan-tahapan dalam audit IT tidak berbeda dengan audit
pada umumnya, sebagai berikut :
1. Tahapan Perencanaan.
Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal
benar obyek yang akan diperiksa, fokus komponen yang akan diaudit, SDM yang
diperlukan, jadwal kegiatan, anggaran/biaya, dan kebutuhan lainnya .
2. Mengidentifikasikan resiko dan kendali.
Untuk memastikan bahwa qualified resource sudah dimiliki, dalam hal ini aspek
SDM yang berpengalaman.
3. Mengevaluasi kendali dan mengumpulkan bukti-bukti.
Melalui berbagai teknik termasuk survei, interview, observasi, dan review
dokumentasi.
4. Mendokumentasikan.
Mengumpulkan temuan-temuan dan mengidentifikasikan .
5. Menyusun laporan dan followup.
Mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yang
dilakukan.
Alasan dilakukannya Audit IT.

Ron Webber, Dekan Fakultas Teknologi Informasi, monash

University, dalam salah satu bukunya Information System Controls
and Audit (Prentice-Hall, 2000) menyatakan beberapa alasan
penting mengapa Audit IT perlu dilakukan, antara lain :

1. Kerugian akibat kehilangan data.

2. Kesalahan dalam pengambilan keputusan.
3. Resiko kebocoran data.
4. Penyalahgunaan fasilitas TI.
5. Kerugian akibat kesalahan proses perhitungan.
6. Tingginya nilai investasi perangkat keras dan perangkat
lunak komputer.
 Siapa yang Diaudit?

• Management
• IT Manager
• IT Specialist (network, database, system
analyst, programmer, dll.)
• User
 Yang Melakukan Audit

Tergantung Tujuan Audit

Internal Audit (first party audit)
 Dilakukan oleh atau atas nama perusahaan sendiri
 Biasanya untuk management review atau tujuan
internal perusahaan
Lembaga independen di luar perusahaan
 Second party audit
Dilakukan oleh pihak yang memiliki kepentingan thd
perusahaan
 Third party audit
Dilakukan oleh pihak independen dari luar perusahaan.
Lanjutan pertemuan
yang lalu

Prinsip-prinsip Audit

• Ethical conduct
• Berdasarkan pada profesionalisme,
kejujuran, integritas, kerahasiaan dan
kebijaksanaan
• Fair Presentation
• Kewajiban melaporkan secara jujur dan
akurat
• Due professional care
• Implementasi dari kesungguhan dan
pertimbangan yang diberikan
• Independence/independensi
• Evidence-base approach/ Pendekatan berdasarkan
bukti
Pertemuan 4
Pengendalian Internal
 Tujuan Pengendalian Internal
Tujuan disusunnya system control atau pengendalian internal komputer
adalah sebagai berikut:
•Meningkatkan pengamanan (improve safeguard) aset sistem informasi
(data) yang hardware, infrastructures, dan sebagainya).
•Meningkatkan integritas data (improve data integrity), sehingga
dengan data yang benar dan konsisten akan dapat dibuat laporan yang
benar.
•Meningkatkan efektifitas sistem (improve system effectiveness).
•Meningkatkan efisiensi sistem (improve system efficiency).
•Mendorong dipatuhinya kebijakan manajemen
Penggolongan Pengendalian
Internal
Pengendalian internal harus diterapkan terhadap setiap sistem dan aplikasi, hal ini
dilakukan untuk mengurangi masalah yang selalu muncul misalnya :
•pencatatan yang buruk
•perhitungan yang tidak tepat
•interupsi / penghentian bisnis
•Pengambilan keputusan yang buruk
•penipuan dan penggelapan
•pelanggaran hukum terhadap peraturan
•peningkatan biaya dan hilangnya aset perusahaan.
Oleh sebab itu manajemen harus menyadari pentingnya pengendalian untuk menjaga
sistem dari penggunaan secara tidak tepat, untuk mengurangi timbulnya kesalahan dan
untuk memaksimalkan hasil dari sistem yang ada. Pengendalian ini digolongkann
menjadi 2 golongan yaitu :
– General controls (pengendalian umum).
– Application controls (pengendalian aplikasi).
Alur
Penggolongan Pengendalia Pemisahan Tugas dan
Pengendalian n Fungsi
Internal
Manajemen
Operasi Pengendalian Personil

Pengendalian Perangkat
Keras
Pengendali
an Umum Pengendalian Jaringan

Penggolong Pengendalia Security Management

an n Control 1
Pengendalia Manajemen Security Management
n Internal Keamanan Control 2
Security Management
Control 3
Pengendali
an Aplikasi
?
Contoh Pengendalian Umum

Pengendalian umum juga dapat diartikan sebagai pengendalian yang tidak

terkait langsung ke suatu aplikasi tertentu.
Misalnya dalam contoh di ATM, ketentuan bahwa masuk ke ruang ATM
tidak boleh memakai helm. Adanya CCTV di ruang ATM dan ketentuan
adanya SATPAM di ATM adalah dapat dikategorikan dengan pengendalian
umum (ketentuan-ketentuan tersebut tidak langsung dengan transaksi
pengambilan uang di mesin ATM).
Pengendalian Management
Operasi / Operational
Management Controls
Pengendalian Perangkat Keras
Pengawasan terhadap akses fisik
Untuk menjaga perangkat komputer dari kemungkinan penyalahgunaan, akses
fisik terhadap perangkat komputer perlu diawasi.
Pengaturan lokasi fisik
Lokasi ruang komputer merupakan pertimbangan yang penting dalam
pengendalian keamanan komputer
Penggunaan alat pengamanan
Alat–alat penggunaan tambahan diperlukan untuk menjaga keamanan
komputer dari kemungkinan kerusakan
Pengendalian operasi perangkat keras
Pengendalian operasional perangkat keras merupakan bentuk pengendalian
untuk menjaga perangkat keras dari kemungkinan kerusakan akibat kesalahan
pengoperasian perangkat tersebut
Pengendalian perangkat lunak
Pengendalian perangkat lunak didesain untuk memastikan keamanan dan
kehandalan sistem
Pengendalian keamanan data
Pengendalian keamanan data merupakan suatu tindakan pengendalian
untuk menjaga keamanan data yang tersimpan didalam media penyimpanan
agar tidak hilang dan rusak, atau diakses oleh orang yang tidak berhak
 Pengendalian jaringan
– Memulai dan menghentikan jaringan dan proses
– Memonitor aktivitas jaringan
– Mensetting ulang panjangnya antrian
– Memeriksa lintasan data pada line komunikasi
Security Management Controls (1)

Menurut Gondodiyoto (2007, hal. 345)

pengendalian internal terhadap manajemen
keamanan (security managemen controls)
dimaksudkan untuk menjamin agar aset sistem
informasi tetap aman. Aset sumber daya informasi
mencakup fisik (perangkat mesin dan fasilitas
penunjangnya) serta aset tak berwujud (non fisik,
misalnya data/informasi, dan program aplikasi
komputer).
– Kebijakan keamanan IT (IT security policy)
– Beberapa aspek serangan potensial
– Kebijakan keamanan komputer
– Personil dan kebijakan keamanan komputer
Security Management Controls (2)
Menurut Weber (1999:256), Pengendalian Manajemen Keamanan meliputi
perlindungan terhadap asset dan fungsi sistem informasi, yang dapat
diimplementasi. Berikut beberapa ancaman terhadap sistem informasi beserta cara
penanganannya:
Kebakaran
• Tindakan pengamanan untuk ancaman kebakaran adalah :
• Memiliki alarm kebakaran otomatis yang diletakkan di ruangan dimana
aset –aset sistem informasi berada.
• Memiliki tabung kebakaran yang diletakkan pada lokasi yang mudah dijangkau.
• Gedung tempat penyimpanan aset sistem informasi dibangun dari bahan yang
tahan api.
Banjir
• Tindakan pengamanan untuk ancaman kebanjiran, antara lain :
• Memiliki atap, dinding dan lantai yang dibuat dari bahan yangtahan air.
Perubahan tegangan sumber energi
• Tindakan pengamanan untuk mengatasi perubahan tegangan sumber
energi listrik, dapat menggunakan stabilizer ataupun Uninterruptible Power
Supply (UPS) yang mampu mengatasi masalah yang terjadi ketika
tegangan listrik tiba–tiba turun.
Security Management Controls (3)
Polusi
• Tindakan pengamanan untuk mengantisipasi polusi adalah
dengan membuat situasi kantor bebas debu, tidak
memperbolehkan membawa binatang peliharaan serta melarang
pegawai membawa atau meletakkan minuman didekat peralatan
komputer.
Virus dan Worm
• Tindakan pengamanan untuk mengantisipasi virus dan worm
adalah :
• Preventif, dapat dengan menginstal anti virus dan di-update
secara berkala, Melakukanscan atas file yang akan digunakan
• Detektif, melakukan scan secara ruangan untuk
mendeteksi
adanya virus maupun worm.
• Korektif, memastikan back up data bebas virus dan worm,
pemakaian anti virus terhadap file yang terinfeksi.
Pertemuan 5
Pengendalian Aplikasi
 Menurut Ruppel (2008, hal. 537-
538)

Pengendalian aplikasi (application

controls) adalah sistem
pengendalian intern (internal control)
pada sistem informasi berbasis
teknologi informasi yang berkaitan
dengan pekerjaan/ kegiatan/ aplikasi
tertentu,
(setiap aplikasi memiliki karakteristik
dan kebutuhan pengendalian yang
berbeda).
 Contoh Pengendalian Aplikasi
• Pengendalian aplikasi disebut juga
pengendalian transaksi, karena didesain
berkaitan dengan transaksi pada aplikasi
tertentu.

•  Misalnya apabila nasabah akan mengambil

uang di ATM,
setelah memasukkan kartu akan diminta
PIN, atau setelah
memasukkan nilai uang yang akan diambil, ATM
akan
mengecek apakah saldo cukup atau
jumlahnya diijinkan
sesuai dengan mengecek apakah saldo cukup,
atau jumlahnya diijinkan sesuai dengan
ketentuan bank. Pengendalian berupa PIN dan
limit pengambilan uang tersebut hanya berlaku
di ATM, tidak berlaku dikegiatan lain.
Boundary Controls / Kontrol Batas
Autentikasi bertujuan untuk membuktika siapa
anda sebenarnya, apakah anda benar-benar
orang yang anda klaim sebagai dia (who you
claim to be). Ada banyak cara untuk
membuktikan siapa anda.
Metode autentikasi bisa dilihat dalam 4 kategori
metode:

a. Something you know

Ini adalah metode autentikasi yang paling umum.
Cara ini mengandalkan kerahasiaan informasi,
contohnya adalah password dan PIN. Cara ini
berasumsi bahwa tidak ada seorangpun yang
mengetahui rahasia itu kecuali anda seorang.

b. Something you have

Cara ini biasanya merupakan faktor tambahan
untuk membuat autentikasi menjadi lebih aman.
Cara ini mengandalkan barang yang sifatnya
unik, contohnya adalah kartu magnetic/smartcard
dan sebagainya. Cara ini berasumsi bahwa tidak
 c. Something you are
Ini adalah metode yang paling jarang
dipakai karena faktor teknologi dan
manusia juga. Cara ini menghandalkan
keunikan bagian-bagian tubuh anda yang
tidak mungkin ada pada orang lain seperti
sidik jari, suara atau sidik retina. Cara ini
berasumsi bahwa bagian tubuh anda
seperti sidik jari dan sidik retina, tidak
mungkin sama dengan orang lain.

d. Something you do
Melibatkan bahwa setiap user dalam
melakukan sesuatu dengan cara yang
berbeda. Contoh : Penggunaan analisis
suara (voice recognation), dan analisis
tulisan tangan.
 Batch system (delayed
processing systems)

Contoh:  (formulir sensus, kartu

pencoblosan pemilihan ketua umum,
atau answer
sheet ujian calon mahasiswa)
dibundel dalam jumlah lembar
tertentu untuk direkam. Jadi
pengolahan datanya tertunda
(delayed processing). Pada sistem
batch ini orientasi utamanya adalah
sistem pengolahan data
Ethics - Fraud

CPFrom Slideshare/Kelompok Fraud

 A. Ethics / Etika
Etika Profesi Dalam lingkup IT adalah hal-hal yang
terkait dengan prinsip atau norma- norma dalam kaitannya
dengan hubungan antara professional atau developer IT
dengan klien, antara para proffesional sendiri, antara
organisasi profesi dengan pemerintah. Salah satu bentuk
hubungan seorang profesional dengan klien (pengguna Jasa)
misalnya pembuatan sebuah program aplikasi. Seorang
profesional tidak dapat membuat program semaunya, ada
beberapa hal yang harus ia perhatikan seperti untuk apa
program tersebut nantinya digunakan oleh kliennya atau
user dapat menjamin keamanan (security) sistem kerja
program aplikasi tersebut dari pihak-pihak yang dapat
mengacaukan sistem kerjanya (misalnya : Hacker, Cracker
dll)
Etika Penggunaan Internet Adapun kode etik dalam
penggunaan internet adalah:
• 1. Menghindari dan tidak mempublikasikan informasi yang secara
langsung berkaitan dengan masalah pornograf dalam segala
bentuk.
• 2. Menghindari dan tidak mempublikasikan infomasi yang memiliki
potensi menyinggung secara langsung dan negatif masalah suku,
agama, dan ras (SARA), termasuk di dalamnya usaha penghinaan,
pelecehan, pendiskreditan, penyiksaan serta segala bentuk
pelanggaran hak atas perseorangan, kelompok/ lembaga/ institusi
lain.
• 3. Menghindari dan tidak mempublikasikan informasi yang berisi
instruksi untuk melakukan perbuatan melawan hukum (ilegal) positif
di indonesia dan ketentuan internasional umumnya.
• 4. Tidak menampilkan segala bentuk eksploitasi terhadap anak-
anak di bawah umur.
• 6. Bila menggunakan script, program, tulisan, gambar/ foto,
animasi. Suara atau bentuk materi dan informasi lainnya
yang bukan hasil karya sendiri harus mencantumkan
identitas sumber dan pemilik hak cipta bila ada dan
bersedia untuk melakukan pencabutan bila ada yang
mengajukan keberatan serta bertanggung jawab atas segala
konsekuensi yang mungkin timbul karenanya.
• 7. Tidak berusaha atau melakukan serangan teknis
terhadap produk, sumber daya (resource) dan
peralatan yang di miliki pihak lain.
• 8. Menghormati etika dan segala macam peraturan yang
berlaku di masyarakat internet umumunya dan bertanggung
jawab sepenuhnya terhadap segala muatan/ isi situsnya.
Etika Proggrammer Adapun kode etik yang di harapkan bagi
para programmer adalah:
• 1. Seorang programmer tidak boleh membuat atau
mendistribusikan malware.
• 2. Seroang programmer tidak boleh menulis kode yang sulit
diikuti dengan sengaja.
• 3. Seorang programmer tidak boleh menulis dokumentasi
yang dengan sengaja untuk memingungkan atau tidak akurat.
• 4. Seorang programmer tidak boleh menggunakan ulang kode
dengan hak cipta kecuali telah membeli atau meminta ijin.
• 5. Tidak boleh mencari keuntungan tambahan dari proyek
yang di danai oleh pihak kedua tanpa ijin.
• 6. Tidak boleh menerima dana tambahan dari berbagai pihak
eksternal dalam suatu proyek secara bersamaan kecuali
mendapat ijin.
• 7. Tidak boleh menulis kode yang dengan sengaja menjatuhkan
kode programmer lain untuk mengambil keuntungan dalam
menaikkan status.
• 8. Tidak boleh membeberkan data-data penting karyawan dalam
perusahaan.
• 9. Tidak boleh memberitahu masalah keuangan pada pekerja.
• 10. Tidak boleh mempermalukan profesinya.
• 11. Tidak boleh secara asal-asalan menyangkal adanya bug di
dalam software yang nantinya programmer akan mendapatkan
keuntungan dalam membetulkan bug.
• 12. Terus mengikuti perkembangan ilmu komputer.
B. Fraud / Kecurangan
• Fraud adalah istilah dalam bidang
IT yang artinya sebuah perbuatan
kecurangan yang melanggar
hukum (illegal-acts) yang di
lakukan secara sengaja dan
sifatnya dapat merugikan pihak
lain.
Jenis-Jenis Fraud Dalam Perusahaan :
1. Fraud terhadap cash (Cash
Missapproapriation)
2. Fraud terhadap Laporan keuangan
(Fraudulent
Statements)
3. Korupsi (corruption)
4. Tipologi fraud,cybercrime
Fraud terhadap Aset (Asset
Misapproapriation) Singkatnya, penyalahgunaan
aset perusahaan (institusi), entah itu dicuri atau
digunakan untuk keperluan pribadi tanpa izin dari
perusahaan seperti kita ketahui, aset perusahaan
bisa berbentuk kas (uang tunai) dan non-kas
sehingga, asset misapproapriation di kelompokkan
menjadi dua macam:
a) Cash Missapproapriation Penyelewengan
Terhadap aset yang berupa kas
b) b) Non cash Missapproapriation Penyelewengan
terhadap aset non kas
Fraud terhadap Laporan keuangan (Fraudulent Statements),
jenis fraud ini menjadi dua macam yaitu financial dan non financial.
Kelompok fraud terhadap laporan keuangan misalnya:
a) Memalsukan bukti transaksi
b) Mengakui suatu transaksi lebih besar atau lebih kecil dari yang
seharusnya.
c) Menerapkan metode akuntansi tertentu secara tidak konsisten
untuk menaikkan atau menurunkan laba.
d) Menerapkan metode pengakuan aset sedemikian rupa sehingga
aset menjadi nampak lebih besar dibandingkan yang seharusnya.
e) Menerapkan metode pengakuan liabilitass sedemikian rupa
sehingga liabilitass menjadi nampak lebih kecil dibandingkan
seharusnya.
Korupsi (corruption), jenis tindakan korupsi
menjadi dua kelompok, yaitu:
1. Konflik kepentingan (conflict of interext) Ketika
perusahaan bertransaksi dengan pihak luar ini,
apabila seorang manajer / eksekutif mengambil
keputusan tertentu untuk melindungi
kepentingannya itu.
2. 2. Menyuap atau menerima suap, imbal balik
(bribes and excoration) Suap, apapun jenisnya dan
kepada siapapun, adalah tindakan fraud. Menyuap
dan menerima suap, Merupakan tindakan fraud
Tipologi fraud, cybercrime Ini adalah jenis
fraud yang paling canggih dan di lakukan oleh
pihak yang mempunyai keahlian khusus dan tidak
selalu dimiliki oleh pihak lain.
1. Fraudster secara sengaja melakukan
kecurangan-kecurangan untuk mendapatkan
berbagai fasilitas yang di sediakan oleh penyedia
jasa telekomunikasi. 2. Fraud pada kartu kredit
atau biasa juga di sebut carding pelaku melakukan
transaksi dengan menggunakan kartu kredit palsu
yang di dalam nya terdapat data diri korban.
Faktor Pemicu Terjadinya Fraud
Terdapat empat faktor pendorong
seseorang untuk kecurangan, yang di
sebut juga dengan teori GONE, yaitu:
1. Greed (Keserakahan)
2. Opportunity (Kesempatan)
3. Need (Kebutuhan)
4. Exposure (Pengungkapan)
Pencegahan Fraud Fraud dapat di cegah
dengan pengendalian yang memadai, dengan
membentuk sistem pengendalian yang baik dan
efektif serta secara berkala melakukan audit atas
seluruh bagian, hal ini di dukung dengan adanya
fungsi internal audit di dalam perusahaan.
1. Pengendalian Internal
2. Peran Auditor Internal
3. Sistem Pengendalian Internal
4. Komponen Pengendalian Internal
• Hukum Yang Mengatur Tantang Fraud Dalam Dunia
Informasi teknologi Bentuk sanksi terhadap pelaku
dapat berupa sanksi administrasi, tuntutan ganti
rugi, ataupun ancaman pidana. Oleh karena itu,
auditor perlu mengantisipasinya dengan memahami
tentang dasar- dasar ketentuan yang berkaitan
dengan hukum di indonesia, khususnya terhadap
kasus yang di tangani termasuk kasus perdata atau
kasus pidana.
1. Hukum Perdata
2. Hukum Pidana
3. Penegakan Hukum
• Hukum perdata adalah hukum yang
mengatur hubungan hukum antara
orang yang satu dengan orang
lainnya sebagai anggota
masyarakat dan menitik
beratkan kepentingan
perorangan yang bersifat
pribadi. Suatu kasus perdata baru
timbul bila pihak yang merasa
dirugikan melakukan gugatan.
Kebenaran formil merupakan hal
yang sangat dominan pada kasus
• Hukum pidana merupakan hukum
publik yaitu hukum yang mengatur
kepentingan umum, yakni mengatur
hubungan hukum antara orang
dengan kepentingan masyarakat
dengan Negara, antar badan
atau lembaga Negara satu sama
lain dengan menitikberatkan
kepada kepentingan masyarakat
dengan Negara.
 Dasar Hukum

• Penegakan Hukum Undang-undang Nomor 11

Tahun 2008 tentang internet dan transaksi
elektronik (ITE) Undang-undang ini yang telah
disahkan dan diundangkan pada tanggal 21 April
2008, walaupun sampai dengan hari ini belum
ada sebuah PP yang mengatur mengenai teknis
pelaksanaanya, namun diharapkan dapat
menjadi sebuah undang- undang cyber atau
cyberlaw guna menjerat pelaku-pelaku
cybercrime yang tidak bertanggung jawab dan
menjadi dan menjadi sebuah kepastian hukum.
• Pasal 27 UU ITE Tahun 2008: setiap orang dengan sengaja dan tanpa
hak mendistribusikan dan atau mentransmisikan dan atau membuat
dapat di aksesnya informasi elektronik dan atau dokumen elektronik
yang memiliki muatan yang melanggar kesusilaan. Ancaman pidana
pasal 45(1) KUHP. Pidana penjara paling lama 6 (enam) tahun dan atau
denda paling banyak Rp 1.000.000.000,00 (satu miliar rupiah). Diatur
pula dalam KUHP pasal 282 mengenai kejahatan terhadap kesusilaan.
• Pasal 30 UU ITE Tahun 2008 ayat 3: setiap orang dengan sengaja dan
tanpa hak atau melawan hukum mengakses computer dan atau sistem
elektronik dengan cara apapun dengan melanggar, menerobos,
melampaui, atau menjebol sistem pengaman (cracking, hacking,
ilegal acces).
• Pasal 34 UU ITE Tahun 2008 : Setiap orang dengan sengaja dan tanpa
hak atau melawan hukum memproduksi, menjual, mengadakan untuk
digunakan, mengimpor, mendistribusikan, menyediakan atau memiliki.
• Pasal 35 UU ITE Tahun 2008 : Setiap orang dengan sengaja dan tanpa
hak atau melawan hukum melakukan manipulasi, penciptaan,
perubahan, penghilangan, pengrusakan informasi elektronik
dan atau dokumen elektronik dengan tujuan agar informasi
elektronik dan atau dokumen elektronik tersebut seolah-olah
data yang otentik (Phising = penipuan situs).
• Kitab Undang-Undang Hukum Pidana
• Pasal 362 KUHP yang dikenakan untuk kasus carding.
• Pasal 378 KUHP dapat dikenakan untuk penipuan.
• Pasal 335 KUHP dapat dikenakan untuk kasus pengancaman
dan pemerasan yang dilakukan melalui e-mail yang
dikirimkan oleh pelaku untuk memaksa korban melakukan
sesuatu sesuai dengan apa yang di inginkannya.
• Pasal 311 KUHP dapat dikenakan untuk kasus pencemaran
nama baik dengan menggunakan media internet.
• Pasal 303 KUHP dapat dikenakan untuk menjerat permainan
judi yang di lakukan secara online di internet.
• Pasal 282 KUHP dapat dikenakan untuk penyebaran
pornograf.
• Pasal 282 dan 311 KUHP dapat dikenakan untuk kasus
penyebaran foto atau flm pribadi seseorang.
• Pasal 406 KUHP dapat dikenakan pada kasus deface atau
hacking yang membuat sistem milik orang lain rusak.
 Framework
Control Objectives for Information and Related Technology
(COBIT)
Framework COBIT (Control Objectives for Information and
Related Technology) adalah sekumpulan dokumentasi
best practices untuk IT Governance yang dapat membantu
auditor, pengguna (user), dan manajemen, untuk
menjembatani gap/jarak antara risiko bisnis, kebutuhan
control dan masalah-masalah teknis IT.
Framework COBIT dalam bahas lain adalah kerangka
panduan tata kelola TI dan atau bisa juga disebut sebagai
alat pendukung yang bisa digunakan untuk
menjembatani gap antara kebutuhan dan bagaimana
teknis pelaksanaan pemenuhan kebutuhan tersebut
dalam suatu organisasi

https://itgid.org/framework-c
obit/
Maksud utama dari COBIT :
• 1. Menyediakan kebijakan yang jelas dan praktik2 yang
baik untuk IT governance dalam organisasi tingkatan
dunia.
• 2. Membantu senior management memahami dan
memanage resiko2 terkait dengan TI. COBIT
melaksanakannya dengan menyediakan satu kerangka
IT governance dan petunjuk
tujuan kontrol yang rinci untuk managemen, pemilik
proses business , users, dan auditors.
Tujuan Cobit
• Diharapkan dapat membantu menemukan berbagai
kebutuhan manajemen yang berkaitan dengan TI.

Adapun manfaat jika tujuan tersebut adalah :

• 1. Dapat membantu manajemen dalam pengambilan
keputusan.
• 2. Dapat mendukung pencapian tujuan bisnis.
• 3. Dapat meminimalisir adanya tindak kecurangan/
fraud yang merugikan perusahaan yang bersangkutan.
Kerangka Kerja Cobit
• 1. Control Objectives
Terdiri atas 4 tujuan pengendalian tingkat tinggi (high level control
objectives) yang tercermin dalam 4 domain, yaitu : planning & organization,
acquisition & implementation, delivery & support, dan monitoring.
• 2. Audit Guidelines
Berisi sebanyak 318 tujuan-tujuan pengendali rinci (detailed control
objectives) untuk membantu para auditor dalam memberikan management
assurance atau saran perbaikan.
• 3. Management Guidelines
Berisi arahan baik secara umum maupun spesifik mengenai apa saja yang
mesti dilakukan, seperti : apa saja indicator untuk suatu kinerja yang
bagus, apa saja resiko yang timbul, dan lain-lain.
• 4. Maturity Models
Untuk memetakan status maturity proses-proses IT (dalam skala 0 – 5).
Cobit and IT Governance
COBIT berfokus pada peningkatan tata kelola TI dalam
organisasi. COBIT memberikan kerangka untuk mengelola dan
mengendalikan kegiatan TI dan mendukung lima syarat untuk
kerangka kontrol
1. Fokus Bisnis
• COBIT mencapai fokus bisnis yang lebih tajam dengan
menyelaraskan TI dengan tujuan bisnis.
• Pengukuran kinerja TI harus fokus pada kontribusi TI
untuk memungkinkan dan memperluas strategi bisnis.
2. Proses Orientasi
• Ketika organisasi menerapkan COBIT, fokus mereka
lebih berorientasi proses.
• Insiden dan masalah tidak lagi mengalihkan perhatian
dari proses.
3. Penerimaan umum
• COBIT adalah standar yang
terbukti dan diterima secara
global untuk meningkatkan
kontribusi TI untuk keberhasilan
organisasi.
• Kerangka kerja ini terus
ditingkatkan dan dikembangkan
untuk mengikuti praktek yang baik.
4. Peraturan Persyaratan
• Banyak manajer TI, penasehat dan auditor yang beralih
ke COBIT sebagai respon de facto untuk regulasi TI.
5. Umum Bahasa
• Sebuah framework yang membantu mendapatkan
semua keperluan pada halaman yang sama dengan
mendefinisikan hal hal penting dan menyediakan daftar
istilah.
Lanjutan Framework COBIT
COBIT terdiri atas 4 tujuan pengendalian tingkat-
tinggi (high-level control objectives), yaitu :
• Perencanaan dan Pengorganisasian / Planning &
Organization (PO)
• Pengadaan dan Implementasi / Acquition &
Implementation (AI)
• Penyampaian layanan dan Dukungan / Delivery &
Support ( DS )
• Monitor dan Evaluasi / Monitoring & Evaluation
( ME )
1. Planning & Organization ( PO )

Mencakup strategi, taktik dan perhatian atas identifikasi

bagaimana IT secara maksimal dapat berkontribusi
dalam pencapaian tujuan bisnis. Selain itu, realisasi dari
visi strategis perlu direncanakan, dikomunikasikan, dan
dikelola untuk berbagai perspektif yang berbeda.
Terakhir, sebuah pengorganisasian yang baik serta
infrastruktur teknologi harus di tempatkan di tempat
yang semestinya.
Proses dalam domain Planning & Organization adalah :
1. Menetapkan rencana stratejik TI
2. Menetapkan susunan informasi
3. Menetapkan kebijakan teknologi
4. Menetapkan hubungan dan organisasi TI
5. Mengelola investasi IT
6. Mengkomunikasikan arah dan tujuan manajemen
7. Mengelola sumberdaya manusia
8. Memastikan pemenuhan keperluan pihak eksternal
9. Menaksir risiko
10.Mengelola proyek
11.Mengelola kualitas
• Lingkup:
- Apakah perusahaan mencapai penggunaan optimal
dari sumber
dayanya?
- Apakah setiap orang dalam organisasi memahami
tujuan TI?
- Apakah risiko TI dipahami dan dikelola?
- Apakah kualitas sistem TI tepat untuk kebutuhan
bisnis?
2. Acquition & Implementation ( AI )

Untuk merealisasikan strategi IT, solusi TI perlu

diidentifikasi, dikembangkan atau diperoleh, serta
diimplementasikan, dan terintegrasi ke dalam proses
bisnis. Selain itu, perubahan serta pemeliharaan sistem
yang ada harus di cakup dalam domain ini untuk
memastikan bahwa siklus hidup akan terus berlangsung
untuk sistem-sistem ini.
Proses dalam domain Acquition & Implementation
adalah :
1. Mengidentifikasi solusi
2. Mendapatkan dan memelihara software aplikasi
3. Mendapatkan dan memelihara infrastruktur teknologi
4. Mengembangkan dan memelihara prosedur
5. Memasang dan mengakui sistem
6. Mengelola perubahan
• Lingkup:
- Apakah proyek baru mungkin untuk memberikan solusi
yang
memenuhi kebutuhan bisnis?
- Apakah proyek baru kemungkinan akan tepat waktu dan
sesuai anggaran?
- Apakah sistem baru bekerja dengan baik bila
diimplementasikan?
- Akankah perubahan dilakukan tanpa mengganggu
operasi bisnis saat
ini?
3. Delivery & Support ( DS )

Domain ini berfokus utama pada aspek

penyampaian/pengiriman dari IT. Domain ini mencakup
area-area seperti pengoperasian aplikasi-aplikasi dalam
sistem IT dan hasilnya, dan juga, proses dukungan yang
memungkinkan pengoperasian sistem IT tersebut
dengan efektif dan efisien. Proses dukungan ini
termasuk isu/masalah keamanan dan juga pelatihan.
Proses dalam domain Delivery & Support ( DS ) adalah :
1. Menetapkan dan mengelola tingkat pelayanan
2. Mengelola pelayanan kepada pihak lain
3. Mengelola kinerja dan kapasitas
4. Memastikan pelayanan yang kontinyu
5. Memastikan keamanan sistem
6. Melakukan identifikasi terhadap atribut biaya
7. Memberi pelatihan kepada user
8. Melayani konsumen IT
9. Mengelola konfigurasi/susunan
10. Mengelola masalah dan kecelakaan
11. Mengelola data
12. Mengelola fasilitas
13. Mengelola operasi
• Lingkup:
- Apakah layanan TI yang disampaikan sesuai dengan
prioritas bisnis?
- Apakah tenaga kerja dapat menggunakan sistem IT
secara produktif
dan aman?
- Apakah kerahasiaan yang memadai dan integritas
sudah dimiliki?
- Apakah biaya TI optimal?
4. Monitoring & Evaluation ( ME )

Semua proses IT perlu dinilai secara teratur sepanjang

waktu untuk menjaga kualitas dan pemenuhan atas
syarat pengendalian. Domain ini menunjuk pada
perlunya pengawasan manajemen atas proses
pengendalian dalam organisasi serta penilaian
independen yang dilakukan baik auditor internal maupun
eksternal atau diperoleh dari sumber-sumber anternatif
lainnya.
Proses dalam domain Monitoring & Evaluation
sebagai berikut :
1. Memonitor proses.
2. Menaksir kecukupan pengendalian internal.
3. Mendapatkan kepastian yang independen.
4. Menyediakan IT Governance/Audit Independen
• Lingkup:
- Apakah kinerja TI diukur untuk mendeteksi masalah
sebelum terlalu
terlambat?
- Apakah manajemen menjamin bahwa pengendalian
internal yang
efektif dan efisien?
- Dapatkah kinerja TI dihubungkan dengan tujuan bisnis?
- Apakah risiko, pengendalian, kepatuhan dan kinerja
diukur dan
dilaporkan?
 Planning &
Organizatio
11
n (PO) Proses
Acquition &
Implementa
6
COBIT
tion (AI) Proses 34
Delivery Prose
4.1
& Support 13 s

Proses
( DS )
Monitorin
g& 4
Evaluatio
n Proses
( ME )
Pertanyaan :
Apakah dalam melakukan audit semua domain / semua
proses dalam domain harus digunakan?

Jawab :
Tidak, tergantung pada kebutuhan.
 MATURITY MODEL
Skala maturity dari Framework COBIT
 Maturity model adalah suatu metode untuk
mengukur level pengembangan manajemen
proses, yang berarti adalah mengukur sejauh
mana kapabilitas (Kemampuan ) manajemen
tersebut.
Maturity model dapat digunakan untuk memetakan :
1. Status pengelolaan TI perusahaan pada saat itu.
2. Status standart industri dalam bidang TI saat ini
(sebagai pembanding)
3. strategi pengelolaan TI perusahaan (ekspetasi
perusahaan terhadap posisi pengelolaan TI perusahaan)
 Tingkat kemampuan pengelolaan TI pada skala maturity dibagi
menjadi 6 level :

A.   Level 0 (Non-existent) / Belum Ada ; perusahaan tidak

mengetahui sama sekali proses teknologi informasi di
perusahaannya. 

B. Level 1 (Initial Level) / Rintisan; pada level ini, organisasi pada

umumnya tidak menyediakan lingkungan yang stabil untuk
mengembangkan suatu produk baru. Kinerja tergantung pada
kemampuan individual dengan keahlian yang dimilikinya. 
C. Level 2 (Repeatable Level) / Berkembang; pada level ini, kebijakan untuk
mengatur pengembangan suatu proyek dan prosedur
dalammengimplementasikan kebijakan tersebut ditetapkan.

D. Level 3 (Defined Level) / Terdefenisi; pada level ini, proses standar dalam
pengembangan suatu produk baru didokumentasikan, proses ini didasari
pada proses pengembangan produk yang telah diintegrasikan. Proses-
proses ini digunakan untuk membantu manejer, ketua tim dan anggota tim
pengembangan sehingga bekerja dengan lebih efektif. Suatu proses yang
telah didefenisikan dengan baik mempunyai karakteristik; criteria, inputs,
standar dan prosedur dalam mengerjakan suatu proyek, mekanisme
verifikasi, output dan kriteria selesainya suatu proyek. Aturan dan tanggung
jawab yang didefinisikan jelas dan dimengerti. Karena proses perangkat
lunak didefinisikan dengan jelas, maka manajemen mempunyai
pengatahuan yang baik mengenai kemajuan proyek tersebut. Biaya, jadwal
dan kebutuhan proyek dalam pengawasan dan kualitas produk yang
diawasi. 
E. Level 4 (Managed Level) Terkelola dan Terstrukutr ; Pada level ini,
organisasi membuat suatu matrik untuk suatu produk, proses dan
pengukuran hasil. Proyek mempunyai kontrol terhadap produk dan proses
untuk mengurangi variasi kinerja proses sehingga terdapat batasan
yang dapat diterima. Resiko perpindahan teknologi produk, prores
manufaktur, dan pasar harus diketahui dan diatur secara hati-hati. Proses
pengembangan dapat ditentukan karena proses diukur dan dijalankan
dengan limit yang dapat diukur.

D. Level 5 (Optimized Level) / Optimum; Pada level ini, seluruh organisasi

difokuskan pada proses peningkatan secara terus-menerus. Teknologi
informasi sudah digunakan terintegrasi untuk otomatisasi proses kerja
dalam perusahaan, meningkatkan kualitas,efektifitas, serta kemampuan
beradaptasi perusahaan. Tim pengembangan produk menganalisis
kesalahan dan defects untuk menentukan penyebab kesalahannya. Proses
pengembangan melakukan evaluasi untuk mencegah kesalahan yang telah
diketahui dan defects agar tidak terjadi lagi. 
Interval Skor Maturity
 Teknik Audit Berbantuan
Komputer (TABK) / Computer
Assisted Audit Tecnique (CAAT)

1
 TABK

Merupakan pelaksanaan pengumpulan

bukti audit dengan menggunakan komputer

TABK melibatkan komputer atau software

audit untuk membantu pengujian serta
evaluasi file/data perusahaan.

2
 Kegiatan – kegiatan yang dapat
dilakukan dengan TABK :
• Komputer berperan dalam menghitung
parameter sample, memilih sample, dan
menilai hasil sample.
• Simulasi,komputer digunakan dalam
menilai software yg dimiliki oleh klien.
• Pengumpulan data yang akan diuji.
• Penelaahan analisis
• Kalkulasi, pembandingan dan manipulasi
data.

3
• Cek kelengkapan data, konsistensi, alokasi
dan ketepatan.
• Cek rumus.
• Membanding integritas data.
• Ikhtisar, sort, merge, ratio untuk analisis
data.
• Membandingkan data antar berbagai
prosedur audit yang dilakukan.

4
 Pengendalian dan Prosedur Audit
N Bidang Pengendalian yg Dengan Bukti Audit
o Diaudit
1 Perencanaan organisasi,IT- Manual Dokumen
Plan,dan organisasi planning,memo
rapat.
2 Prosedur pengembangan Manual Hasil
aplikasi,sis.dok,review,testin observasi,cek
g. dokumentasi,ha
sil wawancara

3 Pengendalian mesin Komputer Software house

sdh dilengkapi
pengendalian
4 Pengendalian access Manual/komputer Hasil interview
equipment dan data file dgn teknisi
5 Pengendalian menyeluruh Manual Observasi,doku
mentasi,SOP
5
 Contoh audit software :

• Audex-100 (arthur Anderson&Co)

• Auditape (Deloitte,Haskins&sells)
• Audipak II (Coopers&Lybrand)
• Autronic 32 (Ernst&Young)
• Strata (Touche Ross & Co)
• ACL (audit command language,ACL Service Ltd)
• Pan Audit Plus IDEA (Idea Ltd)
• Friend Software
• dll

6
 Tips Memilih Software Audit

Identifikasi kebutuhan
Perhatikan features-nya
Perkembangan software, berapa kali versi
terbaru

7
 Aplikasi ACL / Audit Command
Language
• ACL secara khusus dirancang untuk menganalisa data,
memanipulasi data dan mengekspor data sehingga
membuatnya menjadi lebih berguna bagi auditor.
• ACL (Audit Command Language) adalah aplikasi yang
hanya ‘read-only’, ACL tidak pernah mengubah data
sumber asli sehingga aman untuk menganalisis jenis live-
data.

8
Beberapa kemampuan ACL :

• Mudah dalam penggunaan. ACL for Windows sesuai

dengan namanya adalah softwere berbasis
windows, dimana sistem operasi windows telah
dikenal user Friendly (mudah dipengguna).
Kemudahan ini ditunjukan dengan user hanya
melakukan click pda gambar-gambar tertentu (icon)
untuk melakukan suatu pekerjaan dan didukung
pula fasilitas Wizard untuk mendefinisikan data
yang akan dianalisis.
• Built-in audit dan analisis data secara fungsional.
ACL for Windows didukung dengan kemampuan
analisis untuk keperluan audit / pemeriksaan seperti
: Analisis Statistik, menghitung total, sortir, dll

9
• Kemampuan menangani file yang tidak terbatas.
ACL for Windows mampu menangani berbagai
jenis file dengan ukuran file yang tidak terbatas.
• Kemampuan untuk membaca berbagai macam
tipe data. ACL for Windows dapat membaca file
yang berasal dari berbagai format antara lain :
Flate Sequential dBase (DBS). Text (TXT),
Delimited, ODBC (Microsoft Acces database,
Oracle) dll.
• Kemampuan untuk mengeksport hasil audit ke
berbagai macam format data antara lain: Plain
Text (TXT), dBase III (DBF), Delimited (DEL), Excel
(XLS),Lotus (WKS), Word (DOC) dan WordPerfect
(WP).

10
1
2
3
 Fictitious : samaran
Predeterminated : Telah ditentukan sebelumnya
Compare : bandingkan 4
5
6
7
8
 establish that the program being tested is
the one the client regularly uses : Menetapkan bahwa
program yang sedang diuji adalah Yang sering
digunakan klien 9
10
11
12
13
14
15
16
 Complaince test : tes kepatuhan
17
18
19
20
21
22
23
24
25
26
27
1
 Laporan hasil pemeriksaan hendaknya
mempunyai makna penting dan sungguh –
sungguh diperlukan dan hasilnya
bermanfaat bagi pimpinan dan auditor itu
sendiri.
 Laporan hasil audit disusun dan
didistribusikan tepat waktu.

2
 Ketepatan dan kecukupan bukti
pendukung
 Temuan yang dicantumkan pada laporan

hasil pemeriksaan mempunyai sifat

meyakinkan.
 Laporan disajikan jelas dan sederhana
 Laporan disajikan secara ringkas dengan

bahasa yang lugas dan lengkap.

 Laporan hasil pemeriksaan harus
menyajikan temuan dan rekomendasi
dengan nada konstruktif.

3
Memuat hal – hal :
 Temuan dan kesimpulan secara singkat

dan jelas.
 Saran dan rekomendasi (gunakan kalimat

yang singkat dan jelas, gunakan kata –

kata yang sederhana dan tidak bersifat
teknis,gunakan sub judul, garis bawahi
ungkapan yang penting,memberikan
motivasi)

4
 Informasi Umum, disajikan dengan
tujuan untuk menyediakan informasi
bagi pembaca tentang program atau
kegiatan yang diaudit dan sifat audit
 Dibagi menjadi beberapa sub bagian
yaitu informasi mengenai sifat kegiatan
audit, informasi tentang kegiatan yang
diaudit,pernyataan2
pengimbang,informasi sifat kegiatan
audit.

5
 Sifat audit (audit keuangan,audit TI).
 Ruang lingkup audit,periode
 Penjelasan keterbatasan dan ungkapan

bila ada pembatasan

 Lokasi audit

6
 Pernyataan tentang tujuan dan latar
belakang dilakukannya audit
 Metodologi yang dilakukan dalam audit
 Referensi terhadap laporan – laporan lain

dengan menyebutkan judul nomor dan

tanggal laporan tsb.
 Pernyataan pengimbang agar pembaca

tidak menarik kesan yang buruk.

7
 Latar belakang dan tujuan audit
 Sifat dan ukuran kegiatan yang diaudit
 Organisasi dan manajemen
 Informasi singkat tentang latar belakang

bidang yang diaudit

 Laporan hasil audit (sifat dan ukuran
kegiatan yang diaudit)

8
 Organisasi dan manajemen objek audit
 Menyatakan dengan singkat cara
pengelolaan yang dilakukan objek audit
dalam melaksanakan tanggung
jawabnya.
 Untuk tujuan khusus misalnya
menjelaskan siapa saja yang
bertanggung jawab (nama pejabat yang
terkait dapat dikemukakan dalam laporan
hasil audit).

9
 Pengumpulan bukti audit dapat dilakukan
dengan berbagai instrumen, yaitu
pengamatan, wawancara, penelaahan (studi
dokumentasi), penelusuran transaksi, tes
atau pengujian prosedur, penjelasan ahli,
kuesioner.

10
 Merupakan temuan berdasar bahan bukti
audit bahwa ternyata terdapat :
 Ketidaktaatan terhadap ketentuan atau
peraturan
 Pengeluaran uang yang tidak seharusnya
 Ketidakhematan
 Ketidakefisienan
 Ketidakefektifan
 Ketidakcocokan
Yang pada akhirnya dapat merugikan
perusahaan.

11
 Merupakan temuan berdasarkan
bahan bukti audit bahwa ternyata
terdapat hal – hal positif dan perlu
dikemukakan sebagai penghargaan
atau apresiasi terhadap auditee.
 Format penyajian terdiri dari :

 Temuan
 Resiko
 Rekomendasi

12