Mata kuliah Audit Sistem Informasi

Pertemuan 4: Objek audit

Program Studi Sistem Informasi

Fransiska Prihatini Sihotang, S.SI., M.T.I.

09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 2

Pokok Bahasan
Audit terhadap Substantive
proses dan/atau testing
hasil dan compliance
dari proses testing

Audit data
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 3

Menentukan objek audit

Auditor Auditor siap, pak.

Bapak mau audit apa?
IT general control review atau application control
review?

Bukan keduanya. Kami perlu network

audit.

Penerima laporan audit

Cobit 5
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 5

Contoh pembagian area audit

• IT governance (tata kelola TI)
– Ranah tata kelola strategis.
• IT management (tata laksana TI)
– Ranah perencanaan dan organisasi.
– Ranah pengadaan dan pengembangan.
– Ranah operasi.
– Ranah pemantauan dan assurance.

Audit dapat dilakukan terhadap salah satu atau beberapa unit ranah tersebut.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 6

Proses pada ranah perencanaan dan organisasi

Pendefinisian kerangka kerja manajemen TI secara keseluruhan,
termasuk kerangka kerja untuk quality assurance/ management,
manajemen risiko, sekuriti, IT compliance, dan IT conformance. Struktur organisasi, SDM, dan deskripsi jabatan.

Perencanaan
strategis dan Manajemen portofolio, manajemen program, dan manajemen proyek (proyek-
taktis. proyek yang terkait serta layanan dikelola dalam manajemen portofolio).

Arsitektu Administras
r SI dan i umum.
TI.

Pemantauan pencapaian objektif,

kinerja, proses, dan pelaporannya.
Kebijakan, prosedur, dan instruksi kerja
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 7

Proses pada ranah pengadaan dan pengembangan

Software development life cycle (SDLC)
• Termasuk studi kelayakan (feasibility study)
• Pendefenisian kebutuhan fungsional dan nonfungsional
• Analisis dan desain
• Pengembangan dan pengujian sistem
• Sertifikasi dan akreditasi
• Implementasi

Pengadaan barang dan jasa.

09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 8

Proses pada ranah operasi

Manajemen operasi, termasuk manajemen data, manajemen fisik, dan security operations.
• Menjaga ketersediaan, integritas, dan kerahasiaan layanan dan informasi, termasuk data leak/ loss prevention (DLP).
• Manajemen dan proteksi aset dan media.
• Manajemen identitas dan akses.
• Pemisahan tugas.
• Manajemen insiden dan problem.
• Proteksi terhadap malware.
• Vulnerability and patch management.

Manajemen layanan, termasuk pemantauan layanan, manajemen tingkat layanan, manajemen ketersediaan, dan manajemen
kapasitas.

Manajemen perubahan.

Disaster recovery.

Manajemen dan aset konfigurasi.

09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 9

Proses pada ranah pemantauan dan assurance

• Proses-proses dalam ranah ini merupakan kelanjutan dari proses
dalam ranah perencanaan dan organisasi.

Pemeriksaan kepatuhan kebijakan dan peraturan TI terhadap peraturan perundangan yang berlaku (IT compliance) serta
pemeriksaan kesesuaian pelaksanaan proses-proses TI terhadap arahan manajemen puncak, prinsip-prinsip TI, panduan TI,
dll (IT conformance).

Pemeriksaan implementasi manajemen risiko TI yang dilakukan oleh tim-tim proyek dan semua unit TI, termasuk
manajemen kontrol internal agar risiko berada di bawah batas yang dapt diterima, yaitu implementasi kontrol-kontrol baru
dan pengelolaan, pemantauan, dan evaluasi efektivitas dan efisiensi kontrol-kontrol yang ada (IT risk management).

Pemeriksaan implementasi manajemen kualitas TI yang dilakukan oleh tim proyek dan semua unit TI (IT quality assurance/
management) termasuk dari sisi pencapaian objektif, kinerja, batasan waktu, dan kesesuaian sumber daya.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 10

Audit terhadap proses dan/atau hasil dari proses

Setelah menetapkan proses-proses yang akan diaudit, ditetapkan lebih jauh apakah audit
memeriksa proses-proses atau memeriksa ‘produk’ yang dihasilkan dari proses-proses
tersebut (seperti data/ laporan dan dokumen lainnya).
• Ranah perencanaan dan organisasi.
– Audit dapat dilakukan terhadap manajemen proyek TI, hasil dari manajemen proyek TI tsb, atau keduanya.
• Ranah pengadaan dan pengembangan.
– Audit dapat dilakukan terhadap proses pengembangan aplikasi, aplikasi yang dihasilkan (audit aplikasi),
atau keduanya.
• Ranah operasi.
– Audit dapat dilakukan terhadap proses pemantauan server dan jaringan, terhadap hasil-hasil
pantauannya, atau keduanya.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I.
Contoh
Ranah Proses Contoh audit proses
Perencanaan Manajemen • Audit terhadap kebijakan dan
dan organisasi proyek TI prosedur manajemen proyek
TI.
• Standar yang digunakan sebagai
acuan adalah PMBOK, Prince2,
dan ISO 21500.
• Audit dilakukan dengan kajian
dokumentasi terhadap
kebijakan dan prosedur
manajemen proyek TI.
11
Contoh audit ‘produk’
• Audit terhadap penerapan
manajemen proyek TI dan hasilnya.
• Standar yang digunakan adalah
kebijakan dan prosedur
manajemen proyek TI.
• Audit dilakukan antara lain dengan
kajian dokumentasi terhadap
dokumen rencana proyek,
manajemen risiko proyek, hasil
post-implementation review, dan
dokumen manajemen proyek
lainnya. Dilakukan pula wawancara
dengan manajer proyek.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 12

Contoh
Ranah Proses Contoh audit proses Contoh audit ‘produk’
Pengadaan dan Pengembangan • Audit terhadap kebijakan dan • Audit terhadap operasionalisasi
pengembangan aplikasi prosedur SDLC serta aplikasi: aspek ketersediaan
praktiknya. aplikasi, integritas aplikasi dan
• Standar yang digunakan kontrol akses, serta kerahasiaan
sebagai acuan adalah seri data.
ISO/IEC 12270, seri ISO/IEC • Standar yang digunakan adalah
33000, atau SWEBOK. seri ISO/IEC 25000.
• Audit dilakukan antara lain • Audit dilakukan antara lain dengan
dengan kajian dokumentasi source code review, kajian
kebijakan dan prosedur SDLC, dokumentasi terhadap hasil
serta mewawancarai analis pemantauan aplikasi, pencapaian
sistem, programmer, dan service level agreement, dll.
tester aplikasi. Dilakukan pula wawancara
dengan manajer proyek.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 13

Contoh
Ranah Proses Contoh audit proses
Operasi Availability & • Audit terhadap proses
capacity pemantauan server dan jaringan,
management proses pembuatan laporan
ringkasan bulanan, dan proses
pembuatan/ pembaruan rencana
kapasitas (capacity plan).
• Audit dilakukan antara lain dengan
mewawancarai tim operasi dan
administrator dari monitoring tools
serta observasi.
Contoh audit ‘produk’
• Audit terhadap laporan hasil
pemantauan, laporan ringkasan
bulanan, dan rencana kapasitas.
• Audit dilakukan dengan kajian
dokumentasi terhadap laporan hasil
pemantauan, laporan ringkasan
bulanan, dan rencana kapasitas.

Fokus terhadap proses atau produk dapat menimbulkan perbedaan standar acuan yang digunakan,
dokumen yang dikaji, dan pihak yang diwawancarai.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 14

Substantive testing dan compliance testing

Objek yang diaudit adalah proses, kontrol terhadap proses, dan isi/ substansi atau hasil dari
proses.
– Pengujian terhadap kontrol disebut compliance testing.
– Pengujian terhadap isi/ substansi disebut substantive testing.
• Compliance test dilakukan untuk menentukan apakah kontrol berjalan sesuai kebijakan dan
prosedur serta desainnya.
– Contoh: log untuk keluar-masuk ruangan server.
• Pengecekan terhadap log tersebut akan memperlihatkan apakah kontrol detektif ini berjalan dengan baik atau
tidak.
• Substantive test dilakukan untuk memverifikasi kualitas kriteria dari hasil proses misalnya
kriteria kelengkapan (completeness), keakuratan (accuracy), kebaruan (curentness), dan
kriteria lainnya.
– Contoh substantive test untuk kriteria keakuratan: menghitung ulang suatu kalkulasi untuk memverifikasi
total (internal validity test) dan melakukan pemeriksaan fisik terhadap fixed asset untuk memverifikasi
fixed asset records (external validity test).
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 15

Substantive testing dan compliance testing

• Jika kontrol-kontrol terhadap proses berjalan dengan baik,
seharusnya hasil dari proses terjaga validitas dan integritasnya.
• Jika compliance test memverifikasi hal ini, substantive test biasa
tidak dilakukan secara komprehensif.
• Jika ternyata kontrol-kontrol tidak berjalan dengan efektif,
substantive test dapat dilakukan terhadap lebih banyak sampel.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 16

Audit data
• Untuk membuat informed decision, orang yang tepat perlu mendapatkan
informasi yang tepat di saat yang tepat (the right people getting the right
information at the right time).
• Untuk itu, entry, pemrosesan, penggunaan, pengiriman, dan penyimpanan
data harus dikelola dengan baik.
• Termasuk menjalankan manajemen risiko dan implementasi kontrol-kontrol
yang tepat terhadap proses, sistem, dan pelaku/ penggunanya.
• Hal ini disebut dengan Information Assurance (IA).
• Untuk mendapatkan reasonable assurance terkait hal ini, audit data dapat
dilakukan.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 17

Data audit
• Audit data dapat merupakan audit terhadap hasil/ produk dari proses, atau
audit terhadap proses, atau keduanya.
• Untuk pemeriksaan yang lebih lengkap, dapat digunakan beberapa referensi
seperti Data Management Association Data Management Body of Knowledge
(DaMA DMBOK), CObIT 5 Enabling Information, dan ISO/IEC 25012,
• Untuk proses auditnya, dapat digunakan referensi dari Data Audit Framework
Methodology dari Humanities Technology and Information Institute (HATII).
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 18

Aspek yang dapat diperiksa dalam audit data

Data governance and management

Data quality

Data classification, ownership, and responsibility

Data security

Data compliance
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 19

Data governance and management

• Kerangka kerja (framework), termasuk tujuan, sasaran, dan nilai/
manfaat yang hendak dicapai.
• Prinsip-prinsip terkait data.
Merupakan ‘payung’ • Kebijakan dan prosedur.
bagi aspek-aspek terkait • Struktur organisasi dan peran setiap pihak.
data lainnya)
• Tata kelola sumber daya termasuk tools.
• Tata kelola terkait risiko data.
• Promosi nilai dan manfaat dari data yang terkelola dengan baik.

• Perencanaan, penerapan, kontrol, pengawasan, pengukuran, dan

pelaporan terhadap pengelolaan dan penggunaan data sesuai
Cakupan
kerangka kerja, prinsip-prinsip, serta kebijakan dan prosedur terkait
data.

• Memastikan jumlah staf mencukupi, deskripsi jabatan lengkap dan

Termasuk dalam
jelas, serta memiliki pengetahuan dan keterampilan yang diperlukan
manajemen data
untuk menjalankan proses-proses terkait data.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 20

Data quality
Pemeriksaan substantif dapat dilakukan terhadap kualitas dari data. Kualitas dari data
yang dapat diperiksa, antara lain:

• Kelengkapan data (completeness)

• Contoh: pemeriksaan mandatory fields yang tidak terisi.
• Validitas-akurasi dan konsistensi data
• Contoh: duplicate detection dan gap detection terhadap unique ID serta pembandingan data dengan nilai
yang mungkin, sesuai pendefenisian di data dictionary, misalnya basis data yang seharusnya tidak
memiliki nilai negatif.
• Keterbaruan data (currentness/ currency)

Pemeriksaan terhadap kontrol kualitas data juga dapat dilakukan dengan

pemeriksaan terhadap input control, process control, dan output control, serta proses
untuk penyelesaian masalah terkait data.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 21

Data classification, ownership, and responsibility

Perusahaan perlu memiliki klasifikasi sistem dan data untuk menjadi basis penyediaan sistem
dan data serta pengamanannya.
• Sistem dan data yang penting disediakan secara cermat dengan kontrol berlapis, sedangkan yang kurang penting
disediakan dan diamankan secukupnya saja.

Klasifikasi sistem data seringkali dibuat hanya berdasarkan sensitivitas data (aspek
kerahasiaan), atau terkadang ditambah dengan data criticality.

Perusahaan dapat mengembangkan klasifikasi sistem dan data dengan mengacu pada NIST SP
800-60 yang tidak hanya menggunakan availability dan confidentiality, tapi juga integrity.
• Sistem dan data yang ada dikategorikan berdasarkan klasifikasi tersebut, termasuk penetapan pemilik data dan
penanggung jawab data.
• Pengelolaan sistem dan data beserta kontrolnya dilakukan sesuai dengan klasifikasinya.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 22

Data security

Pemeriksaan • Availability: data harus tersedia dan dapat diakses pada saat
diperlukan, serta terdapat replikasi data (data recoverability).
mencakup • Jika sudah melewati masa retensi berdasarkan persyaratan
kontrol peraturan peundangan dan regulasi serta persyaratan
availability, perusahaan, data dihapus.
• Jika klasifikasinya tinggi, data dimusnahkan secara aman
integrity, dan (secure disposal).
confidentiality • Integrity: pemeriksaan terhadap validitas internal dari proses
sistem dan dan kontrol, termasuk log (data traceability) untuk
data sesuai accountability, serta validitas eksternal dari data.
• Confidentiality: pemeriksaan terhadap kontrol akses,
dengan pemeriksaan data rahasia dan pribadi sudah diidentifikasi dan
klasifikasinya. dienkripsi saat disimpan maupu saat dikirim.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 23

Data compliance

Pemeriksaan mengenai kepatuhan terhadap peraturan

perundangan dan regulasi serta kesesuaian pengelolaan
sistem dan data terhadap prinsip-prinsip data dan kebijakan
serta prosedur terkait data.
• Contoh: peraturan dan regulasi mengenai identifikasi data
rahasia dan data pribadi, enkripsinya, serta masa retensi
data.
09/09/2022 Audit Sistem Informasi | STMIK GI MDP | Fransiska Prihatini Sihotang, S. SI., M.T.I. 24

Audit data

• Disesuaikan dengan tujuan dan

Audit data cakupan audit, antara lain dengan
dapat melakukan:
dilakukan • Pemeriksaan terhadap arsitektur data
dengan • Struktur basis data
lebih • Data warehouse
lengkap. • Document and content management
• dll.
 Ada pertanyaan?

Akhir dari presentasi.

Fransiska Prihatini Sihotang, S.SI., M.T.I.