Audit Sistem Informasi

Chapter 1
Muhammad Fachrul Azhar (09031181722015)
Mardiana (09031181722083)
Resita Oktaviani (09031281722031)
Taufik Hidayat (09031381722089)
Muhammad Imam Utama (09031181722002)
 Lingkungan Teknologi Informasi: Mengapa Kontrol dan Audit Penting?

• Awalnya, audit TI (sebelumnya disebut pemrosesan data elektronik [EDP], sistem

informasi komputer [CIS], dan audit SI) berkembang sebagai perpanjangan dari audit
tradisional.
• Pada saat itu, kebutuhan akan fungsi audit TI datang dari beberapa arah:
1. Auditor menyadari bahwa komputer telah memengaruhi kemampuan mereka untuk
melakukan fungsi pengesahan.
2. Perusahaan dan manajemen pemrosesan informasi mengakui bahwa komputer adalah
sumber daya utama untuk bersaing dalam lingkungan bisnis dan serupa dengan sumber
daya bisnis lain yang berharga dalam organisasi.
3. Asosiasi dan organisasi profesional, dan entitas pemerintah mengakui perlunya kendali
dan audit TI.
 Lingkungan Teknologi Informasi: Mengapa Kontrol dan Audit Penting?

• Komponen awal audit TI diambil dari beberapa area.

• Pertama, audit tradisional memberikan kontribusi pengetahuan tentang praktik
kontrol internal dan filosofi kontrol keseluruhan. Kontributor lain adalah
manajemen IS.
• Akhirnya, bidang ilmu komputer menyumbangkan pengetahuan tentang konsep
kontrol, disiplin, teori, dan model formal yang mendasari desain perangkat keras
dan perangkat lunak sebagai dasar untuk mempertahankan validitas data,
keandalan, dan integritas.
 Lingkungan Teknologi Informasi: Mengapa Kontrol dan Audit Penting?

• Audit TI mendukung penilaian auditor terhadap kualitas informasi yang diproses oleh
sistem computer
• Jenis kebutuhan audit dalam audit TI, seperti audit TI organisasi (kendali manajemen atas
TI), audit TI teknis (infrastruktur, pusat data, komunikasi data), audit aplikasi TI (bisnis /
keuangan / operasional), pengembangan / implementasi audit TI (spesifikasi / persyaratan,
desain, pengembangan, dan fase pasca implementasi), dan kepatuhan audit TI yang
melibatkan standar nasional atau internasional.
• Peran utama audit adalah untuk memberikan pernyataan jaminan apakah ada kontrol
internal yang memadai dan dapat diandalkan dan beroperasi dengan cara yang efisien dan
efektif.
 Lingkungan Teknologi Informasi: Mengapa Kontrol dan Audit Penting?

• Sebagai contoh, audit TI melibatkan :

1. Penerapan pendekatan audit berorientasi risiko
2. Penggunaan alat dan teknik audit berbantuan komputer
3. Penerapan standar (nasional atau internasional) seperti ISO 9000/3 dan ISO 17799.
4. Memahami peran bisnis dan harapan dalam audit sistem yang sedang dikembangkan.
5. Penilaian keamanan informasi dan masalah privasi.
6. Evaluasi SDLC atau teknik pengembangan baru.
7. Melaporkan kepada manajemen dan melakukan tinjauan tindak lanjut untuk memastikan
tindakan yang diambil di tempat kerja.
 Lingkungan Teknologi Informasi: Mengapa Kontrol dan Audit Penting?
(TI Hari ini dan Besok)

• Penekanan utama dari COBIT atau Control Objectives for Information and Related
Technology (dikeluarkan oleh Audit dan Control Sistem Informasi, 1996) adalah untuk
memastikan bahwa informasi yang dibutuhkan oleh bisnis disediakan oleh teknologi dan
kualitas jaminan yang diperlukan dari informasi keduanya.
• Pada dasarnya, teknologi telah berdampak pada tiga area penting dalam lingkungan bisnis:
1. Sebagai pendukung bisnis, meningkatkan kemampuan untuk menangkap, menyimpan,
menganalisis, dan memproses data dan informasi.
2. Mempengaruhi proses kontrol.
3. Memengaruhi profesi audit dalam hal bagaimana audit dilakukan (pengumpulan dan
analisis informasi, pengendalian masalah).
 Lingkungan Teknologi Informasi: Mengapa Kontrol dan Audit Penting?
(Integritas, Keandalan, dan Validitas Informasi: Pentingnya Lingkungan
Bisnis Global Saat Ini)

• Sifat multi-bisnis akan memungkinkan organisasi untuk merespons peluang kompetitif

dengan cepat dan dengan skala yang diperlukan, sementara, pada saat yang sama,
memungkinkan biaya dan risiko berkurang.
• Lingkup jaringan global akan memungkinkan organisasi memanfaatkan peluang pasar di
seluruh dunia. Pekerjaan akan dilakukan oleh tim multidisiplin, multi-perusahaan, yang
akan bekerja secara bersamaan, dan untuk mengurangi waktu produksi, diberikan otoritas
pengambilan keputusan yang signifikan.
• Selain jangkauan, jarak, dan responsif layanan, jaringan harus sangat saling berhubungan
sehingga orang, organisasi, dan mesin dapat berkomunikasi kapan saja, di mana pun
lokasinya. Juga, jaringan harus sangat fleksibel karena organisasi terus berubah.
 Lingkungan Teknologi Informasi: Mengapa Kontrol dan Audit Penting?
(Integritas, Keandalan, dan Validitas Informasi: Pentingnya Lingkungan
Bisnis Global Saat Ini)

• Kemampuan untuk menjangkau siapa pun di dunia memerlukan jaringan area

global. Jaringan nirkabel akan memainkan peran utama.
• Kecepatan dapat dicapai melalui jaringan broadband: secara lokal melalui Ethernet
cepat, gigabit, dan LAN Asynchronous Transfer Mode (ATM), melalui layanan
data multimegabit yang diaktifkan (SMDS) dan layanan ATM, melalui perangkat
keras / lunak yang berkualitas dan terbukti.
 Lingkungan Teknologi Informasi: Mengapa Kontrol dan Audit Penting?
(Kontrol dan Audit: Kepedulian Global)

• Masyarakat mulai dengan penggunaan primitif dari sistem barter. Sederhananya, masyarakat
melakukan pertukaran barang untuk barang. Karena banyaknya inefisiensi dan tuntutan masyarakat,
sistem ini segera digantikan oleh mekanisme pertukaran barter yang dimodifikasi.
• Pada tahap awal perkembangan ekonomi, logam mulia seperti emas dan perak memperoleh
penerimaan luas sebagai media pertukaran.
• Kemudian mengarah pada pengembangan gudang uang yang berfungsi sebagai penabung untuk
penyimpanan dana. Gudang-gudang ini mewakili sistem perbankan dasar.
• Mekanisme pembayaran uang logam, mata uang, dan giro telah hilang selama beberapa dekade
karena kenyamanan, keamanan, efisiensi, dan penerimaan yang meluas oleh publik.
• Namun, perubahan besar lain sekarang ada untuk mekanisme pembayaran: transfer dana elektronik
atau electronic funds transfers (EFT).
 Lingkungan Teknologi Informasi: Mengapa Kontrol dan Audit Penting?

E-Commerce dan Transfer Dana Elektronik

• Electronic-commerce (E-commerce) dan EFT untuk sistem pembayaran sudah ada sejak 1960-an. EFT
memungkinkan kenyamanan membayar barang dan jasa tanpa harus menggunakan cek atau mata uang.
Masa Depan Sistem Pembayaran Elektronik
• Perdagangan virtual melibatkan uang elektronik (E-cash). Transaksi virtual bekerja sangat mirip dengan uang tunai
fisik tetapi tanpa simbol fisik.
• Penggunaan E-cash memiliki aspek-aspek positif seperti kenyamanan yang lebih, fleksibilitas, kecepatan,
penghematan biaya, dan privasi yang lebih besar daripada menggunakan kartu kredit atau cek di Internet.
• Pertumbuhan sistem e-cash yang tidak terkendali dapat mengancam sistem pembayaran bank dan pemerintah yang
dikendalikan.
• Teknologi saat ini belum menganggap E-cash lebih aman daripada uang bank karena uang yang disimpan dalam
komputer pribadi (PC) dapat hilang selamanya jika sistem crash. Selain itu, E-cash dapat memungkinkan aktivitas
kriminal seperti pencucian uang dan penggelapan pajak untuk bersembunyi di balik dolar dunia maya.
 Lingkungan Teknologi Informasi: Mengapa Kontrol dan Audit Penting?
(Masa Depan Sistem Pembayaran Elektronik)

• E-commerce tergantung pada keamanan dan privasi karena, tanpa mereka, konsumen
maupun bisnis tidak akan memiliki tingkat kenyamanan yang memadai dalam transmisi
digital transaksi dan data pribadi.
• Bidang utama yang menjadi perhatian E-commerce adalah kerahasiaan, integritas, dan
otentikasi. Area ini ditangani melalui beberapa cara seperti enkripsi, kriptografi, dan
penggunaan pihak ketiga.
• Institut Nasional Standar dan Teknologi (NIST) telah melakukan beberapa pekerjaan luas
di bidang ini di bawah Laboratorium Teknologi Informasi, mencurahkan penekanan pada
Standar Kartu Cerdas dan Penelitian di http://smartcard.nist.gov/.
• E-commerce (perdagangan di Internet) akan menjadi peluang revolusioner bagi
masyarakat global untuk mengubah sistem pertukaran tradisional saat ini menjadi sistem
pembayaran elektronik.
 Lingkungan Teknologi Informasi: Mengapa Kontrol dan Audit Penting?
(Masalah Hukum yang Memengaruhi IT)

• Skandal keuangan yang melibatkan Enron dan Arthur Andersen LLP, dan lainnya
menghasilkan permintaan undang-undang baru untuk mencegah, mendeteksi, dan
memperbaiki penyimpangan tersebut.
• Sayangnya, seperti halnya terobosan apa pun dalam teknologi, kemajuan juga
memunculkan berbagai masalah baru yang harus diatasi, seperti keamanan dan privasi.
Masalah-masalah ini sering dibawa ke perhatian audit TI dan spesialis kontrol karena
dampaknya terhadap organisasi publik dan swasta.
• Peraturan perundang-undangan dan rencana pemerintah saat ini akan mempengaruhi
komunitas online dan bersama dengan peran pemerintah dalam masyarakat jaringan, akan
memiliki dampak yang langgeng dalam praktik bisnis di masa depan.
 Lingkungan Teknologi Informasi: Mengapa Kontrol dan Audit Penting?
(Undang-undang Integritas Keuangan Federal)

• Sarbanes – Oxley Act melarang semua kantor akuntan publik terdaftar menyediakan klien
audit, bersamaan dengan audit, layanan nonaudit tertentu termasuk outsourcing audit
internal, desain sistem informasi keuangan dan layanan implementasi, dan layanan ahli.
• Pembatasan ruang lingkup layanan ini melampaui peraturan independensi Komisi
Keamanan dan Pertukaran (SEC) yang ada. Semua layanan lain, termasuk layanan pajak,
hanya diizinkan jika disetujui sebelumnya oleh komite audit penerbit dan semua
persetujuan awal tersebut harus diungkapkan dalam laporan berkala penerbit kepada SEC.
• Act adalah paket reformasi besar yang mengamanatkan perubahan paling luas yang telah
diberlakukan Kongres pada dunia bisnis sejak Foreign Corrupt Practices Act 1977 dan
SEC Act 1930-an.
 Lingkungan Teknologi Informasi: Mengapa Kontrol dan Audit Penting?
(Undang-undang Keamanan Federal)

• Auditor TI harus menyadari bahwa pemerintah federal AS telah mengeluarkan

sejumlah undang-undang untuk menangani masalah kejahatan komputer dan
keamanan serta privasi SI. Contoh dari sejumlah undang-undang masa lalu yang
berlaku adalah sebagai berikut :
• Penipuan Komputer dan Tindakan Penyalahgunaan

• Penipuan komputer dan tindak penyalahgunaan pertama kali dirancang pada tahun 1984
sebagai respons terhadap kejahatan komputer. Tanggapan pemerintah terhadap keamanan
jaringan dan kejahatan terkait jaringan adalah merevisi undang-undang tersebut pada tahun
1994 di bawah Undang-Undang Amandemen Penyalahgunaan Komputer untuk mencakup
kejahatan seperti masuk tanpa izin ke dalam sistem online, melebihi akses resmi, dan bertukar
informasi tentang cara mendapatkan akses yang tidak sah.
• Di bawah undang-undang ini, hukuman tidak terlalu berat untuk "pelanggaran yang ceroboh"
daripada "pelanggaran yang disengaja“. Alasan di balik ini adalah bahwa penyerang yang
ceroboh mungkin tidak bermaksud untuk menyebabkan kerusakan, tetapi masih harus
dihukum karena mendapatkan akses ke tempat-tempat yang mereka seharusnya tidak memiliki
akses. Namun, dampak dari terminologi semacam itu nampaknya membuat beberapa
kebingungan dalam penuntutan pengganggu karena ia berada di “wilayah abu-abu”
• Undang-Undang Keamanan Komputer 1987

• Tindakan penting lainnya adalah Undang-Undang Keamanan Komputer 1987, yang dirancang
karena kekhawatiran kongres dan kesadaran publik tentang masalah-masalah yang berkaitan
dengan keamanan komputer dan karena perselisihan mengenai kontrol informasi yang tidak
rahasia. Tujuan umum dari tindakan ini adalah deklarasi dari pemerintah bahwa meningkatkan
keamanan dan privasi informasi sensitif dalam sistem komputer federal adalah untuk
kepentingan umum. Undang-undang ini membentuk program keamanan komputer pemerintah
federal yang akan melindungi informasi sensitif dalam sistem komputer pemerintah federal.
Ini juga akan mengembangkan standar dan pedoman untuk sistem komputer federal yang
tidak diklasifikasikan dan memfasilitasi perlindungan tersebut.
• Undang-undang Keamanan Komputer sangat penting karena sangat mendasar bagi
pengembangan standar federal untuk menjaga informasi yang tidak rahasia dan membangun
keseimbangan antara keamanan nasional dan masalah-masalah non-rahasia lainnya dalam
menerapkan kebijakan keamanan dan privasi di dalam pemerintah federal.
 Lingkungan Teknologi Informasi: Mengapa Kontrol dan Audit Penting?
(Privasi Pada Cepatnya Arus Informasi)

• Seperti diketahui, ada sejumlah besar informasi yang dapat diambil oleh perusahaan dan
agensi pada setiap individu. Orang, perusahaan, dan pemerintah aktif dalam perdagangan
informasi pribadi untuk keuntungan mereka sendiri.
• Sejumlah besar pengguna di Internet telah menghasilkan ketersediaan informasi pribadi yang
sangat besar di jaringan.
• Pencurian identitas informasi telah menjadi salah satu kejahatan yang paling cepat
berkembang, dan penggunaan IS Highway telah menjadi komponen utama kejahatan tersebut.
 Lingkungan Teknologi Informasi: Mengapa Kontrol dan Audit Penting?
( Legislasi Privasi dan Undang-Undang Privasi Pemerintah Federal)

• Selain hak dasar untuk privasi yang menjadi hak seseorang di bawah
Konstitusi A.S., pemerintah juga memberlakukan Undang-Undang Privasi
1974. Tujuannya adalah untuk memberikan perlindungan tertentu kepada
individu terhadap invasi privasi pribadi.
• Meskipun Undang-Undang Privasi adalah bagian penting dari melindungi
hak-hak privasi individu, penting bagi auditor TI untuk mengakui bahwa ada
banyak pengecualian di mana mungkin sah untuk mengungkapkan informasi
tertentu.
 Lingkungan Teknologi Informasi: Mengapa Kontrol dan Audit Penting?
(Undang-Undang Privasi Komunikasi Elektronik)

• Di bidang jaringan komputer, Undang-Undang Privasi Komunikasi

Elektronik adalah salah satu bagian awal undang-undang yang menentang
pelanggaran informasi pribadi sebagaimana berlaku untuk sistem online.
 Lingkungan Teknologi Informasi: Mengapa Kontrol dan Audit Penting?
(undang-undang keterbukaan komunikasi 1995)

• Communication Decency Act (CDA) melarang pemebuatan konten tidak senonoh atau
sangat terbuka untuk anak dibawah umur pada jaringan internet, dengan hukuman denda
$250.000 dan penjara hingga 2 tahun lamanya.
• CDA memang secara spesifik membebaskan tanggung jawab siapa pun yang
menyediakan akses atau koneksi atau membentuk fasilitas, sistem, atau jaringan yang
tidak di bawah kontrol orang yang melanggar tindakan, dan juga menyatakan bahwa
seorang pimpinan tidak bertanggung jawab atas tindakan karyawannya kecuali karyawan
tersebut berada di bawah ruang lingkup pekerjaannya.
 Lingkungan Teknologi Informasi: Mengapa Kontrol dan Audit Penting?
(Portabilitas Asuransi Kesehatan dan Akuntabilitas 1996)

• Pada 21 Agustus 1996, Presiden Clinton menandatangani UU Kesehatan

Portabilitas dan Akuntabilitas (HIPAA) dengan tujuan a undang-undang itu adalah
untuk memudahkan orang Amerika mempertahankan asuransi kesehatan mereka
ketika mereka berganti pekerjaan dan membatasi kemampuan perusahaan asuransi
untuk menolak berdasarkan kondisi kesehatan yang sudah ada sebelumnya.
• Pada era digital terdapat penyederhanaan administrasi yang mensyaratkan adaptasi
standar nasional untuk transaksi perawatan kesehatan elektronik. Dengan
memastikan konsistensi di seluruh industri, standar nasional ini akan memudahkan
untuk rencana kesehatan, dokter, rumah sakit, dan penyedia layanan kesehatan
lainnya untuk memproses klaim dan transaksi lainnya secara elektronik.
 Lingkungan Teknologi Informasi: Mengapa Kontrol dan Audit Penting?
(Portabilitas Asuransi Kesehatan dan Akuntabilitas 1996)

• Penyederhanaan administrasi ini mengalami kesulitan dalam implementasinya

yang disebabkan karena melibatkan masalah privasi. Selain itu kesulitan
penerapannya juga terjadi akibat dan waktu biaya dan waktu.
• Pada akhirnya Panduan terbaru dikeluarkan oleh NIST dan dukungan dari asosiasi
profesional seperti ISSA, IIA, ISACA, dan Asosiasi Auditor Internal Kesehatan telah
membantu melakukan perbaikan kontrol internal pada area ini
 Lingkungan Teknologi Informasi: Mengapa Kontrol dan Audit Penting?
(Keamanan, Privasi, dan Audit)

• Meskipun banyak produk, metode, dan Teknik keamanan tradisional

maupun baru yang cukup efisien dalam mengamankan sebagian besar
serangan pada jaringan, tidak ada satupun produk yang dapat melindungi
sistem dari setiap kemungkinan adanya penyusup dalam sistem tersebut.
• Industri jaringan komputer terus berubah. Karena itu, undang-undang,
kebijakan, prosedur, dan pedoman harus selalu berubah bersamanya; jika
tidak, mereka akan cenderung menjadi ketinggalan zaman, tidak efektif, dan
usang.
 Lingkungan Teknologi Informasi: Mengapa Kontrol dan Audit Penting?
(Keamanan, Privasi, dan Audit)

• Mengenai masalah privasi, telah terlihat bahwa di dunia online, informasi

pribadi dapat diakses oleh penjahat. Beberapa undang-undang yang disahkan
dalam beberapa tahun terakhir memang melindungi pengguna dari
pelanggaran privasi. Namun, beberapa undang-undang yang diamati
mengandung terlalu banyak pengecualian sehingga tidak efektif.
 Lingkungan Teknologi Informasi: Mengapa Kontrol dan Audit Penting?
(Keamanan, Privasi, dan Audit)

• Kebijakan yang baik dapat mencakup

• Menentukan fitur keamanan yang diperlukan
• Menentukan “ekspektasi wajar” privasi mengenai masalah seperti memantau aktivitas
orang
• Menentukan hak akses dan hak istimewa dan melindungi aset dari kehilangan,
pengungkapan, atau kerusakan dengan menetapkan pedoman penggunaan yang dapat
diterima untuk pengguna dan juga, memberikan pedoman untuk komunikasi eksternal
(jaringan)
Lingkungan Teknologi Informasi: Mengapa Kontrol dan Audit Penting?
(Keamanan, Privasi, dan Audit)

• Mendefinisikan tanggung jawab semua pengguna

• Membangun kepercayaan melalui kebijakan kata sandi yang efektif
• Menentukan prosedur pemulihan
• Memberikan informasi dukungan kepada pengguna
• Membutuhkan data pelanggaran