Minggu, 22 Desember 2019

TUGAS 3B (Audit Teknologi Sistem Informasi)

Zeky Pratama Saputra
17116925
4KA19

Komponen Processing Control

a. Pengendalian Prosesor (Processor Controls)
CPU (Unit Pengadaan Utama) adalah sumber daya yang paling penting untuk mengalokasikan ke dalam sistem komputer. CPU menjalankan petunjuk program yang diambil dari memori utama. Empat (4) tipe dari pengendalian yang dapat digunakan untuk mengurangi kemungkinan kehilangan dari kesalahan dan penyimpangan  yang berhubungan dengan prosedur utama yakni :
1.Deteksi kesalahan/eror dan koreksi
2.Beberapa pilihan eksekusi
3.Pengendalian waktu
4.Replikasi komponen

b. Real Memory Controls
Memori yang nyata dari sebuah sistem komputer terdiri dari jumlah penentuan dari penyimpanan utama yang mana program/data harus di letakan untuk di eksekusi atau di sesuaikan oleh prosesor utama.

c.  Virtual Memory Control
Memori virtual sebenarnya ada pada saat ruang penyimpanan LEBIH besar dari pada ruang memori yang ada (real). Untuk mencapai hasil ini, sebuah cara kerja harus di rencanakan kedalam ruang penyimpan memori asli (real).

d. Pengendalian Jejak Audit (Audit Trail Controls)
Jejak audit dalam subsistem pengolahaan memelihara kronologis kejadian mulai dari data di terima dari input atau subsistem komunikasi sampai dari data di berangkatkan ke database, komunikasi atau subsistem pengeluaran. 

e. Kontrol Keberadaan (Existence Controls) 
Pada tahap ini kita memeriksa adanya pengendalian yang penting yang di sebut sebuah pos pengecekan/fasilitas pengolahaan. Ini adalah cadangan jangka pendek dan pengendalian pemulihan yang dapat memungkinkan sebuah sistem dapat di pulihkan jika terjadi kegagalan yang sementara dan tertentu.


Komponen Database Control 

a.  Pengendalian Konkurensi (Concurrency Controls)

Tujuan utama adalah untuk mengijinkan pengguna database untuk berbagi sumber data yang sama. Sebaliknya, beberapa versi dari data yang sama harus di pertahankan untuk mendukung para pengguna.

b.  Pengendalian Kriptografi (Cryptographic Controls)

Pengendalian kriptografi dirancang untuk mengamankan data pribadi dan untuk menjaga modifikasi data oleh orang yang tidak memiliki wewenang, kriptografi dilakukan dengan mengacak data

sehingga tidak memiliki arti bagi orang yang tidak Dapat menggunakan data tersebut.

c. Pengendalian Penanganan Berkas (File Handling Controls)

Pengendalian ini, di gunakan untuk mencegah kehancuran data yang di sengaja yang terdapat pada media penyimpanan yang di lakukan oleh perangkat keras, perangkat lunak dan operator atau

pengguna yang memuat dan membongkar media penyimpanan yang di gunakan untuk database, pembuangan database, berkas transaksi, berkas pekerjaan, log, dan jejak audit.

d.  Pengendalian Jejak Audit (Audit Trail Controls)

Peristiwa yang wajib di catat dari jejak audit: pembutan, modifikasi, penghapusan dan pemulihan. Kontrol jejak audit terdiri dari 2 macam yaitu jejak audit akutansi dan jejak audit operasional.

e. Pengendalian Keluaran (Output Control)

Menurut Weber (1999 : 615) pengendalian keluaran digunakan untuk memastikan bahwa data yang diproses tidak mengalami perubahan yang tidak sah oleh personil komputer dan memastikan hanya personil komputer yang memili wewenang yang dapat menerima output yang telah dihasilkan . Ada beberapa pengendalian yang harus di perhatikan dalam melakukan pengendalian atas output yang di hasilkan.


Contoh aplikasi untuk audit sistem informasi 

Audit sistem informasi menggunakan Microsoft Excel

Microsoft Excel adalah program aplikasi yang cukup populer, yang dapat dipastikan ada pada setiap PC, terlepas dari apakah software tersebut asli atau bajakan. Cara kerja audit berbantuan computer dengan Microsoft Excel sebenarnya hampir sama dengan software yang lain, yaitu setelah file data diimpor atau disalin, maka selanjutnya dapat dilakukan pengolahan/manipulasi data sesuai keperluan audit yang dilakukan, tentunya dengan menginputkan formula-formula yang diperlukan.


Sekalipun demikian, tetap harus diakui bahwa penggunaan Microsoft Excel untuk audit tetap memiliki kekurangan dibandingkan dengan paket software yang memang dikhususkan untuk audit. Hal ini karena file yang telah diimpor atau disalin bukanlah jenis file read only sehingga sangat rentan kesalahan yang diakibatkan kesalahan pengetikan dan pengeditan yang dilakukan. Keterbatasan lainnya adalah keterbatasannya dalam mengenali dan membaca file sumber data, jika dibandingkan dengan program seperti ACL dan IDEA yang mempunyai kemampuan membaca file dalam banyak tipe/ekstensi.


KESIMPULAN 

Kesimpulan yang dapat diambil dari penjelasan diatas adalah processing control dan database control memiliki perbedaan yang menjadikan cirikhas masing-masing. Pada processing control subbsistem pengolahan bertugas bertanggung jawab untuk menghitung, mengurutkan, mengolongkan dan meringkas data. Komponen utama adalah pengolahan pusat yang mana programakan mengeksekusi memori dan menyimpan program data, sistem operasi mengelola sumber daya sistem dan aplikasi program elaksanakan petunjuk untuk mencapai kebutuhan spesifik pengguna sedangkan pada Database control  subsistem  database  menyediakan fungsi untuk mendefinisikan, membuat, mengubah, menghapus, dan membaca data dalam suatu sistem informasi. 


DAFTAR PUSTAKA

http://library.binus.ac.id/eColls/eThesisdoc/Bab2HTML/2013100781KABab2001/body.html
http://library.binus.ac.id/eColls/eThesisdoc/Bab2HTML/2006200844KABab2.html
https://www.kompasiana.com/fatim/5535b7506ea834fa28da42e4/sistem-komunikasi
http://trisnadi169.blogspot.com/2011/07/software-audit-sistem-informasi.html

Rabu, 11 Desember 2019

TUGAS 3A (Audit Teknologi Sistem Informasi)

Nama      : Zeky pratama saputra
NPM        : 17116925
Kelas       : 4KA19


1. Komponen Boundary Kontrol

a) Pengendalian Kriptografi  
Kriptografi merupakan sistem untuk mentransformasikan data  
menjadi kode (cryptograms) sehingga tidak memiliki arti bagi orang  
yang tidak memiliki sistem untuk mengubah kembali data tersebut.  
Tujuannya untuk menjaga kerahasiaan informasi dengan mengacak  
data.  


b) Pengendalian Akses  
Pengendalian akses berfungsi untuk membatasi penggunaan sumber  
daya sistem komputer, membatasi dan memastikan user untuk  
mendapatkan sumber daya yang mereka butuhkan. Langkah-langkah  
umum untuk menunjang fungsi tersebut, yaitu:  

1. Mengesahkan user yang telah mengidentifikasikan dirinya ke  
sistem  
2. Mengesahkan sumber daya yang diminta oleh user 
3. Membatasi aktivitas yang dilakukan oleh user terhadap sistem


c) PIN (Personal Identification Number) 
 Merupakan tekhnik yang digunakan untuk mengontentifikasi pengguna. PIN harus terjaga kerahasiaannya terdapat 9 fase pada daur hidup PIN yaitu : pembuatan PIN, penerbitan dan pengiriman PIN, validasi PIN, transmisi PIN, pemrosesan PIN, penyimpanan PIN, perubahan PIN, penggantian PIN, penghentian pemakaian PIN


d) Tanda Tangan Digital
tanda tanga digital memiliki dua tujuan yaitu sebagai ontetifikasi pengguna dan menghidari penyangkalan keterlibatan pihak-pihak yang berpartisipasi dalam pembuatan kontrak.


2. Komponen Input Control

a) pengendalian kode data
Di dalam pengendalian kode data terdapat kode data yang unik yaitu untuk mengidentifikasikan entitas sebagai anggota dalam suatu grup atau set, dan lebih rapi dalam   menyusun   informasi   yang   dapat   mempengaruhi  tujuan integritas data, keefektifan serta keefisienan.


b) Cek Digit
Cek digit digunakan sebagai peralatan untuk mendeteksi kesalahan dalam banyak aplikasi, sebagai contoh : tiket pesawat, proses kartu kredit, proses rekening bank, proses pengumpulan item bank dan proses lisensi mengemudi. 


c) Pengendalian Batch
Batching  merupakan  proses  pengelompokkan  transaksi bersama-sama yang menghasilkan beberapa jenis hubungan antara yang  satu  dengan  lainnya.  Pengendalian  yang  bermacam-macam dapat digunakan pada batch untuk mencegah atau mendeteksierroratau kesalahan. Ada dua jenis batch yang digunakan yaitu batch fisik dan batch logis


d) Instruksi Masukan
dalam memasukkan instruksi kedalam sistem aplikasi sering terjadi kesalahan karena adanya Instruksi yang bermacam-macam dan kompleks. Karena itu perlu menampilkan pesan kesalahan. Pesan kesalahan   yang   ditampilkan   harus   dikomunikasikan   pada   User dengan lengkap dan jelas. 


e) Pengendalian Jejak Audit
jejak audit merupakan catatan harian yang dapat didesain untuk mencatat aktivitas  pada tingkat sistem, aplikasi, dan tingkat pengguna. Jika diirnplernentasikan dengan benar, jejak audit dapat mendukung tujuan keamanan dalam tiga cara : 
(1) mendeteksi akses yang tidak memiliki otorisasi, 
(2) memfasilitasi rekonstruksi peristiwa, dan 
(3) mempromosikan akuntabilitas pribadi.


3. Komponen Communication Control

a) Pengendalian Komponen Fisik
salah satu cara untuk mengurangi kesalahan didalam subsistem komunikasi ialah untuk memilih komponen fisik yang memiliki karakteristik yang membuat mereka dapat dipercaya dan menyediakan pengendalian atau fitur yang meringankan resiko yang ditimbulkan


b) Pengendalian Topologi Jaringan
Topologi jaringan komunikasi menjelaskan lokasi dari node didalam jaringan, bagaimana node dihubungkan dan kemampuan data transmisi dari hubungan diantar node


c) Pengendalian Keberadaan
Pengendalian yang ada untuk petunjuk input biasanya tidak lebih kritis di bandingkan data input yang di butuhkan. Terkadang sangat penting untuk mengidentifikasi siapa yang mengintrogasi sebuah database pada saat kemungkinan masalah keamanan sedang di investigasi atau database di temukan sebagai keadaan yang salah.


d) Pengendalian Ancaman Terhadap Subversi 
Terdapat 2 tipe dari pengendalian ancaman atas subversive untuk subsistem komunikasi. Pertama untuk mendirikan rintangan fisikal untuk melintasi subsistem data. Yang kedua, menerima bahwa penyusup berusaha mendapatkan akses ke data, karena itu untuk membuat data tidak berguna ketika akses tersebut terjadi, kita harus meneliti jenis kontrol dalam subbagian


 e) Pengendalian Internetworking

Internet working adalah proses dari dua sambungan atau lebih jaringan komunikasi bersama untuk menyediakan pengguna dari satu jaringan untuk menyampaikan kepada pengguna dari jaringan yang lain. Kumpulan keseluruhan jaringan yang saling berhubungan disebut internet. Tiga tipe dari alat yang di gunakan untuk menghubungkan sub jaringan dalam internet yaitu bridge, router, gateway

Kesimpulan :
Dari 3 poin diatas disimpulkan bahwa boundary control memiliki tugas menentukan hubungan antara pemakai komputer dengan sistem komputer yang digunakan, kemudian pada input control dirancang untuk mengontrol berbagai jenis metode data input, perancangan dokumen sumber, perancangan layar input, data koding, check digitbatch control, validasi dari data input dan input instruction. Untuk bagian communication control bertanggung jawab untuk mengangkut data diantara semua subsistem lainnya dalam sebuah sistem dan untuk mengangkut data untuk atau menerima data dari sistem lain.


https://www.google.com/url?sa=t&source=web&rct=j&url=http://library.binus.ac.id/eColls/eThesisdoc/Bab2/2011-1-00405-KA%25202.pdf&ved=2ahUKEwjY67WXpa3mAhXHSH0KHeUCDV8QFjABegQIBRAC&usg=AOvVaw2c3p8637oAhPuwoZ5HkcJk

http://library.binus.ac.id/eColls/eThesisdoc/Bab2HTML/2013100781KABab2001/body.html
https://www.academia.edu/18406043/Resume_Chapter_17_audit_dan_kepastian_sistem_informasi

Selasa, 12 November 2019

Audit Teknologi Sistem Informasi Tugas 2

Nama : Zeky Pratama Saputra
NPM : 17116925
Kelas : 4KA19

1. Sebutkan dan Jelaskan 5 Prinsip Dasar Dari COBIT 5

Berbicara mengenai governance, ISACA dan ITGI melalui kerangka Cobit 5 memperkenalkan lima prinsip utama yang harus dipertimbangkan dalam mempromosikan dan menerapkan aspek governance dalam sebuah perusahaan atau organisasi. Kelima prinsip utama tersebut dijelaskan sebagai berikut.

  • Meeting Stakeholder Needs. Setiap pemangku kepentingan organisasi memiliki kebutuhan akan keberadaan sistem dan teknologi informasi dalam konteksnya yang beragam. Ada yang mengharapkan terjadinya efisiensi, bertambahnya revenue, semakin transparansinya pengelolaan aset, memperbaiki kendali/control process, meningkatkan utilisasi pegawai, memberdayakan sumber daya manusia, dan lain sebagainya. Ini adalah prinsip utama dari governance, dimana keberadaan sistem dan teknologi informasi tidak boleh lepas dari konteks kebutuhan dan harapan pemangku kepentingan tertinggi dalam organisasi atau perusahaan (pemilik dan pimpinannya).
  • Covering Enterprise End-to-End. Informasi sebagai asset penting organisasi dibutuhkan oleh seluruh unit organisasi, dari yang berada dalam domain proses hulu (dekat dengan pemasok bahan baku) hingga ke domain proses hilir (dekat dengan pelanggan). Setiap proses di dalam organisasi pasti membutuhkan informasi, mengolahnya, dan kemudian menghasilkan informasi baru bagi kebutuhan proses selanjutnya. Oleh karena itulah maka domain governance harus memperhatikan kenyataan ini sehingga pendekatan yang dipergunakan perlu utuh dan lengkap, di segala lini proses dan unit organisasi.
  • Applying a Single Integrated Framework. Saat ini, begitu banyak standar best practice di bidang manajemen dan governance teknologi informasi yang dikenal di industri dan diadopsi beranekaragam organisasi maupun perusahaan, seperti: ISO-38500, TOGAF, ITIL, ISO-20000, ISO-27001, PMBOK, CMMI, dan lain sebagainya. Dalam konteks ini, Cobit telah mempertimbangkan dan mengadopsi berbagai kerangka dan konsep best practice tersebut ke dalam prinsip, model, dan strukturnya. Sehingga dapat dikatakan bahwa Cobit secara lengkap dan terpadu mengintegrasikan keseluruhan kerangka best practice tersebut.
  • Enabling a Holistic Approach. Isu governance tidak bias dilihat sepotong-sepotong, dalam arti kata hanya memandangnya dari satu sisi perspektif saja. Governance merupakan suatu tatanan konsep yang berkaitan dengan sejumlah dimensi, seperti: kebijakan, proses, sumber daya, fasilitas, teknologi, kultur, dan lain sebagainya. Masing-masing domain ini mampu menjadi pemicu (enabler) bagi terselenggarakannya praktek governance yang efektif tergantung dari situasi dan konteks organisasi.
  • Separating governance from management. Cukup banyak pihak-pihak yang mencampur adukkan kedua konsep yang secara prinsip dan hakiki berbeda ini. Di Negara yang kebanyakan organisasi atau perusahaannya menggunaka nbentuk two-layer system (misalnya: Komisaris dan Direksi), sangat penting untuk membedakan dan memisahkan pengertian governance dengan manajemen karena keduanya memiliki tujuan, alasan, dan karakteristik yang berbeda secara signifikan. Jika manajemen lebih menekankan pada rangkaian menjalankan aktivitas untuk pencapaian visi, misi, dan obyektif organisasi yang telah dicanangkan, governance lebih fokus pada cara-cara pencapaian visi, misi, dan obyektif tersebut yang sejalan dengan prinsip-prinsip nilai (value) yang dianut oleh pemilik perusahaan seperti transparansi, akuntabilitas, responsibilitas, dan lain sebagainya.

2. Sebutkan dan Jelaskan 4 Domain Pada Proses Manajemen Cobit 5

a. Plan and Organise (PO), Secara umum domain ini meliputi strategi dan taktik, serta identifikasi bagaimana TI dapat berkontribusi terhadap pencapaian sasaran bisnis. Domain ini dibagi ke dalam 10 fase dalam prosesnya, yaitu:

PO1: Mendefinisikan rencana strategis TI
PO2: Mendefinisikan arsitektur informasi
PO3: Menentukan arahan teknologi
PO4: Mendefinisikan proses TI, organisasi dan keterhubungannya
PO5: Melelola investasi TI
PO6: Mengkomunikasikan tujuan dan arahan manajemen
PO7: Mengelola sumber daya TI
PO8: Mengelola kualitas
PO9: Menaksir dan mengelola resiko TI
PO10: Mengelola proyek

b. Acquire and Implement (AI), Domain ini menggambarkan bagaimana perubahan dan pemeliharaan dari sistem yang ada selaras dengan sasaran bisnis. Domain AI terbagi menjadi tujuh proses TI yang dapat dilihat pada tabel berikut:

AI1: Mengidentifikasi Solusi Otomatis
AI2: Memperoleh dan Memelihara Software Aplikasi
AI3: Memperoleh dan Memlihara Infrastruktur Teknologi
AI4: Memungkinkan Operasional dan Penggunaan
AI5: Memenuhi Sumber Daya TI
AI6: Mengelola Perubahan
AI7: Instalasi dan Akreditasi Solusi beserta Perubahannya

c. Deliver and Support (DS), Domain ini mencakup penyampaian hasil aktual dari layanan yang diminta, termasuk pengelolaan kelancaran dan keamanan, dukungan layanan terhadap pengguna serta pengelolaan data dan operasional fasilitas, yang meliputi:

DS1: Mengidentifikasi dan Mengelola Tingkat Layanan
DS2: Mengelola Layanan Pihak Ketiga
DS3: Mengelola Kinerja dan Kapasitas
DS4: Memastikan Layanan yang Berkelanjutan
DS5: Memastikan Keamanan Sistem
DS6: Mengidentifikasi dan Mengalokasikan Biaya
DS7: Mendidik dan Melatih Pengguna
DS8: Mengelola service desk
DS9: Mengelola Konfigurasi
DS10: Mengelola Permasalahan
DS11: Mengelola Data
DS12: Mengelola Lingkungan Fisik
DS13: Mengelola Operasi

d. Monitor and Evaluate (ME), Domain ini terkait dengan kinerja manajemen, kontrol internal, pemenuhan terhadap aturan serta menyediakan tata kelola. Fungsi doman ini sendiri adalah untuk memastikan seluruh proses TI dapat dikontrol secara periodik yang bermaksud untuk menjaga kualitas dan pemenuhan kebutuhan pasar. Berbeda dari domain yang lain, ME hanya terdiri dari 4 proses TI, yaitu:

ME1: Mengawasi dan Mengevaluasi Kinerja TI
ME2: Mengawasi dan Mengevaluasi Kontrol Internal
ME3: Memastikan Pemenuhan terhadap Kebutuhan Eksternal
ME4: Menyediakan Tata Kelola TI

3. Sebutkan Kelebihan COBIT 5

Menggunakan COBIT 5 for Information Secutiry memberikan sejumlah kemampuan yang berhubungan dengan keamanan informasi untuk perusahaan sehingga dapat menghasilkan manfaat perusahaan seperti:
  • Mengurangi kompleksitas dan meningkatkan efektivitas biaya karena integrasi yang lebih baik dan lebih mudah.
  • Meningkatkan kepuasan pengguna.
  • Meningkatkan integrasi keamanan informasi dalam perusahaan.
  • Menginformasikan risiko keputusan dan risk awareness.
  • Meningkatkan pencegahan, deteksi dan pemulihan.
  • Mengurangi insiden (dampak) keamanan informasi.
  • Meningkatkan dukungan untuk inovasi dan daya saing.
  • Meningkatkan pengelolaan biaya yang berhubungan dengan fungsi keamanan informasi.
  • Pemahaman yang lebih baik dari keamanan informasi.


4. Jelaskan Masing-masing Dari 5 Bagian ITIL V3
  • Service Strategy, merupakan inti dari siklus hidup ITIL. Memberi panduan bagaimana merancang dan mengimplementasikan layanan TI sebagai bagian dari aset strategis perusahaan. Service Strategy mendefinisikan konsep utama dari ITIL, sebagai panduan dasar dalam perancangan keseluruhan siklus hidup ITIL. Service Strategy memberikan panduan dalam pengembangan Service Design, Service Transition, Service Operation dan Continual Service Improvement. 
  • Service Design, memberikan arahan untuk perancangan dan pengembangan layanan serta proses-proses manajemen layanan, mencakup prinsip dan metode untuk menerjemahkan tujuan strategis kedalam portfolio layanan dan aset layanan. Service Design dimulai dari pengaturan kebutuhan bisnis hingga selesainya pengembangan dari perancangan solusi layanan. T
  • Service Transition, fokus pada seluruh aspek layanan, memberikan arahan pengembangan dan perbaikan untuk transisi layanan baru atau perubahan layanan. Merupakan implementasi dan adaptasi dari Service Design. Service Transition merencanakan dan mengkordinasikan sumber daya (resource) sehingga menjamin kebutuhan dari Service Strategy yang dituliskan dalam Service Design untuk dirilis pada Service Operation Service Transition yang memberikan panduan kepada perusahaan untuk mengelola segala bentuk perubahan yang terjadi pada layanan dan proses manajemen layanan agar dapat mengontrol resiko dari perubahan.
  • Service Operation, memberi panduan dalam implementasi dari manajemen operasi layanan. Service Operation menyampaikan layanan kepada pelanggaran dan mengatur aplikasi, teknologi dan infrastruktur yang mendukung penyampaian layanan. Merupakan tahap yang menyampaikan nilai layanan kepada bisnis secara langsung. Service Strategy mendefinisikan nilai yang akan disampaikan pada layanan, Service Design mendefinisikan bagaimana merancang layanan agar dapat menyampaikan suatu nilai, Service Transition mengubah rancangan menjadi layanan yang sebenarnya, Service Operation menjamin bahwa layanan dan nilai dari layanan dapat tersampaikan.


5. Sebutkan Kelebihan ITIL V3

  • Pelayanan ITIL yang sudah terbukti dan digunakan secara global  
  • Peningkatan kepuasan dan hubungan pelanggan dengan perusahaan
  • Kualitas layanan yang lebih baik
  • Optimalisasi penyediaan layanan di seluruh supply chain
  • Keunggulan kompetitif melalui value creation dan agile change
  • Produktifitas yang lebih baik bagi perusahaan
  • Peningkatan quality control
  • Pemanfaatan skill dan pengalaman dari karyawan dengan lebih maksimal
  • Pemanfaatan standar industri untuk penyediaan layanan TI berkualitas tinggi sesuai dengan implentasi perusahaan berskala kecil maupun berskala besar


6. Jelaskan Apa Itu ISACA, IIASI, dan COSO

  • ISACA (The Information Systems Audit and Control Association) adalah suatu organisasi profesi internasional di bidang tata kelola teknologi informasi. Dalam tiga dekade terakhir, ISACA telah berkembang pesat. Hal ini ditandai dengan dijadikannya ISACA sebagai acuan praktik-praktik terbaik dalam hal audit, pengendalian dan keamanan sistem informasi oleh para profesional di seluruh dunia.
  • IIASI yaitu merupakan standar untuk praktik profesional audit internal yang terdiri atas 3 bagian  yaitu : Attribute Standards ( atribut organisasi dalam individu yang terlibat dalam audit ), Performance Standards ( karakteristik kegiatan audit internal dan kriteria kualitas yang diguakan dalam pengukuran, Implementation Standards ( standar penerapan tipe audit di berbagai industry dan area spesialis tertentu
  • COSO merupakan singkatan dari Comittee of Sponsoring Organization of treadway Commision, yaitu suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985. COSO merupakan model pengendalian internal yang banyak digunakan oleh auditor sebagai dasar untuk mengevaluasi dan mengembangkan pengendalian internal. Struktur pengendalian internal COSO dikenal sebagai kerangka kerja pengendalian internal yang terintegrasi dan memiliki lima komponen yang saling berhubungan. Komponen ini didapat dari cara manajemen dalam menjalankan bisnisnya dan terintegrasi dengan proses manajemen. Komponen pengendalian COSO antara lain meliputi:

  • Lingkungan Pengendalian Tindakan atau kebijakan manajemen yang mencerminkan sikap manajemen puncak secara keseluruhan dalam pengendalian manajemen. 
  • Penilaian Risiko Tindakan manajemen untuk mengidentifikasi dan menganalisis risiko-risiko yang relevan dalam penyusunan laporan keuangan dan perusahaan secara umum. 
  •  Aktivitas Pengendalian Kebijakan dan prosedur, selain yang sudah termasuk dalam empat komponen lainnya, yang membantu memastikan bahwa tindakan yang diperlukan telah diambil untuk menangani risiko guna mencapai tujuan entitas. 
  •  Informasi dan Komunikasi Tindakan untuk mencatat, memproses dan melaporkan transaksi yang sesuai untuk menjaga akuntabilitas. 
  • Pemantauan Penilaian terhadap mutu pengendalian internal secara berkelanjutan maupun periodik untuk memastikan pengendalian internal telah berjalan dan telah dilakukan penyesuaian yang diperlukan sesuai kondisi yang ada. 



6. Jelaskan Apa Itu ISACA, IIASI, dan COSO
ISACA (The Information Systems Audit and Control Association) adalah suatu organisasi profesi internasional di bidang tata kelola teknologi informasi. Dalam tiga dekade terakhir, ISACA telah berkembang pesat. Hal ini ditandai dengan dijadikannya ISACA sebagai acuan praktik-praktik terbaik dalam hal audit, pengendalian dan keamanan sistem informasi oleh para profesional di seluruh dunia.
IIASI yaitu merupakan standar untuk praktik profesional audit internal yang terdiri atas 3 bagian  yaitu : Attribute Standards ( atribut organisasi dalam individu yang terlibat dalam audit ), Performance Standards ( karakteristik kegiatan audit internal dan kriteria kualitas yang diguakan dalam pengukuran, Implementation Standards ( standar penerapan tipe audit di berbagai industry dan area spesialis tertentu
COSO merupakan singkatan dari Comittee of Sponsoring Organization of treadway Commision, yaitu suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985. COSO merupakan model pengendalian internal yang banyak digunakan oleh auditor sebagai dasar untuk mengevaluasi dan mengembangkan pengendalian internal. Struktur pengendalian internal COSO dikenal sebagai kerangka kerja pengendalian internal yang terintegrasi dan memiliki lima komponen yang saling berhubungan. Komponen ini didapat dari cara manajemen dalam menjalankan bisnisnya dan terintegrasi dengan proses manajemen. Komponen pengendalian COSO antara lain meliputi:

Lingkungan Pengendalian Tindakan atau kebijakan manajemen yang mencerminkan sikap manajemen puncak secara keseluruhan dalam pengendalian manajemen. 
Penilaian Risiko Tindakan manajemen untuk mengidentifikasi dan menganalisis risiko-risiko yang relevan dalam penyusunan laporan keuangan dan perusahaan secara umum. 
 Aktivitas Pengendalian Kebijakan dan prosedur, selain yang sudah termasuk dalam empat komponen lainnya, yang membantu memastikan bahwa tindakan yang diperlukan telah diambil untuk menangani risiko guna mencapai tujuan entitas. 
 Informasi dan Komunikasi Tindakan untuk mencatat, memproses dan melaporkan transaksi yang sesuai untuk menjaga akuntabilitas. 
Pemantauan Penilaian terhadap mutu pengendalian internal secara berkelanjutan maupun periodik untuk memastikan pengendalian internal telah berjalan dan telah dilakukan penyesuaian yang diperlukan sesuai kondisi yang ada. 

7. Sebutkan dan Jelaskan Tujuan Pengendalian Internal

  • Tujuan tujuan operasi yang berkaitan dengan efektivitas dan efisiensi operasi. Bahwa pengendalian internal dimaksudkan untuk meningkatkan efektifitas dan efisiensi dari semua operasi perusahaan sehingga dapat mengendalikan biaya yang bertujuan untuk mencapai tujuan organisasi.
  • Tujuan-tujuan pelaporan. Bahwa pengendalian internal dimaksudkan untuk meningkatkan keandalan data serta catatan catatan akuntansi dalam bentuk laporan keuangan dan laporan manajemen sehingga tidak menyesatkan pemakai laporan tersebut dan dapat diuji kebenarannya.
  • Tujuan-tujuan ketaatan terhadap hukum dan peraturan yang berlaku. Bahwa pengendalian internal dimaksudkan untuk meningkatkan ketaatan entitas terhadap hukum hukum dan peraturan yang telah ditetapkan pemerintah, pembuat aturan terkait, maupun kebijakan kebijakan entitas itu sendiri.                                                                                                                                                                               
Ketiga tujuan pengendalian internal tersebut merupakan hasil (output) dari suatu pengendalian internal yang baik, yang dapat dicapai dengan memperhatikan unsur unsur pengendalian internal yang merupakan proses untuk menghasilkan pengendalian internal yang baik

8. Sebutkan dan Jelaskan Unsur-unsur Pada Pengendalian Umum

  • Pengendalian Organisasi dan Manajemen
Meliputi pemisahan fungsi, kebijakan dan prosedur yang berkaitan dengan fungsi pengendalian pada suatu perusahaan.
  • Pengendalian terhadap Pengembangan Pemeliharaan Sistem Aplikasi
Berfungsi untuk memperoleh keyakinan bahwa sistem PDE telah dikembangkan dan dipelihara secara efisien dan ada otorisasinya.
  • Pengendalian terhadap Operasi Sistem, meliputi :

a.       Sistem yang hanya digunakan untuk hal-hal yang telah diotorisasi
b.    Akses menuju ke operasi komputer diijinkan hanya kepada mereka yang telah memiliki otorisasi
c.  Program yang digunakan juga hanya untuk progam yang telat diotorisasi pada pihak yang bersangkutan.
d.      Kesalahan pengolahan dapat dideteksi dan selanjutnya dapat dikoreksi

  • Pengendalian terhadap Perangkat Lunak Sistem

Berfungsi untuk meyakinkan bahwa perangkat lunak sistem dimiliki dan dikembangkan secara efisien, serta telah diotorisasi.
  • Pengendalian terhadap Entri Data dan Program

Struktur otorisasi ditetapkan dengan jelas atas transaksi, serat akses ke data dan program dibatasi hanya kepada mereka yang memiliki otorisasi.
  • Pengendalian terhadap Keamanan PDE

Menjaga PDE lain yang berhubungan dengan PDE bersangkutan, misalnya digunakannya salinan cadangan (backups) di tempat yang terpisah, prosedur pemulihan (recovery procedures) ataupun fasilitas pengolahan di luar perusahaan dalam hal terjadi bencana.

9. Sebutkan dan Jelaskan Unsur-unsur Pada pengendalian Aplikasi (3 saja)

Boundary control 
pengendalian batas batas sistem aplikasi / boundary control adalah tiap sistem aplikasi harus jelas desainnya mengenai:
  • ruang lingkup sistem
  • subsistem dan keterkaitannya

Pengendalian proses (processing controls)
Pengendalian proses (processing controls) ialah pengendalian intern untuk mendeteksi jangan  sampai data (khususnya data yang sesungguhnya sudah valid) menjadi error karena adanya kesalahan proses. 
        
Pengendalian Atas Keluaran (Output )
Pengendalian keluaran (output controls) ialah pengendalian intern untuk mendeteksi jangan sampai informasi yang disajikan tidak akurat, tidak lengkap, tidak mutakhir datanya, atau didistribusikan kepada orang- orang yang tidak berhak    


Kesimpulan
Cobit lebih condong kepada apa yang harus digapai organisasi dalam memenuhi suatu tujuan yaitu layanan TI. sedangkan ITIL merupakan  cara-cara mengelola TI untuk mencapai tujuan organisasi. Sehingga dapat dikatakan bahwa COBIT dan ITIL merupakan dua pendekatan dalam tata kelola TI dan tata kelola layanan teknologi informasi yang saling melengkapi. Kemudian terdapat 3 jenis unsur - unsur pengendalian yaitu : pengendalian internal, pengendalian umum dan pengendalian aplikasi


Daftar Pustaka :
http://arifinreinaldo.blog.binusian.org/files/2014/04/PAPER-05-ITIL.doc
http://scdc.binus.ac.id/isgbinus/2017/07/sertifikasi-isaca/
https://www.academia.edu/6935495/Pengendalian_Aplikasi


Senin, 14 Oktober 2019

Audit Teknologi Sistem Informasi Tugas 1

Nama : Zeky Pratama Saputra
NPM : 17116925
Kelas : 4KA19

1. Sebutkan dan jelaskan bahaya-bahaya risiko yang dimiliki Sistem Informasi?

Menurut Hughes (2006, p36), dalam penggunaan teknologi informasi berisiko terhadap kehilangan informasi dan pemulihannya yang tercakup dalam 6 kategori, yaitu keamanan, ketersediaan, daya pulih,  performa, daya skala dan ketaatan. akan dijelaskan sebagai berikut :

a. Keamanan
Risiko yang informasinya diubah atau digunakan oleh orang yang tidak berwenang. Misalnya saja kejahatan komputer, kebocoran internal dan terorisme cyber.

b. Ketersediaan
Risiko yang datanya tidak dapat diakses setelah kegagalan sistem, karena kesalahan manusia (human error), perubahan konfigurasi, dan kurangnya penggunaan arsitektur.

c. Daya Pulih
Risiko dimana informasi yang diperlukan tidak dapat dipulihkan dalam waktu yang cukup, setelah terjadinya kegagalan dalam perangkat lunak atau keras,ancaman eksternal, atau bencana alam.

d. Performa
Risiko dimana informasi tidak tersedia saat diperlukan, yang diakibatkan oleh arsitektur terdistribusi, permintaan yang tinggi dan topografi informasi teknologi yang beragam.

e. Daya Skala
Risiko yang perkembangan bisnis, pengaturan bottleneck, dan bentuk arsitekturnya membuatnya tidak mungkin menangani banyak aplikasi baru dan biaya bisnis secara efektif.

f. Ketaatan
Risiko yang manajemen atau penggunaan informasinya melanggar keperluan dari pihak pengatur. Yang dipersalahkan dalam hal ini mencakup aturan pemerintah, panduan pengaturan perusahaan dan kebijakan internal.

2. Sebutkan dan jelaskan 3 jenis risiko pada pendekatan audit berbasis risiko ?

a. Risiko inheren : kemungkinan kerugian terjadi sebelum memperhitungkan faktorfaktor pengurang risiko. Dalam mengevaluasi risiko jenis ini auditor harus mempertimbangkan apa jenis dan sifat risiko serta faktor apa yang menunjukkan risiko ada.
     
b. Risiko control : mengukur kemungkinan proses kontrol yang ada untuk membatasi atau menangani risiko inheren apakah tidak efektif. Untuk memastikan audit telah tepat, auditor harus memahami mana kontrol yang efektif terlebih dahulu.  

c. Risiko audit : risiko bahwa cakupan audit tidak menjangkau exposure bisnis yang cukup penting. Pro-forma audit dapat dikembangkan untuk mengurangi risiko audit, hal ini menyediakan panduan apa kontrol utama yang harus ada untuk menghadapi risiko dan apa yang harus dipatuhi atau pengujian substantif yang harus dilakukan. 


3. Sebutkan dan jelaskan efek risiko dalam sistem informasi?


a. Strategi  (Strategic) : risiko dimana sistem informasi tidak sesuai dengan tujuan organisasi dan tidak mendukung pencapaian misi. 

b. Operasi (Operations) : risiko dimana sistem informasi menimbulkan beban yang terlalu besar bagi organisasi. Selain itu ketergantungan organisasi terhadap suatu sistem informasi berarti apabila sistem tersebut tidak tersedia selama waktu tertentu dapat menimbulkan risiko besar bagi operasional. 

c. Pelaporan (Reporting) : risiko dimana sistem informasi tidak dapat diandalkan untuk menghasilkan informasi yang akurat, lengkap dan tepat waktu. 

d. Kepatuhan (Compliance) : risiko dimana sistem informasi malah menimbulkan pelanggaran hukum dan regulasi yang merugikan bagi organisasi baik secara finansial maupun reputasi.


4. Sebutkan dan jelaskan bahaya-bahaya risiko pada sistem informasi?

a. Fraud (Kecurangan/manipulasi) 
Fraud atau yang dikenal dengan (kecurangan) adalah salah satu perbuatan melawan hukum yang dilakukan oleh oknum-oknum yang kurang bertanggung jawab dari dalam dan atau luar organisasi/perusahaan, dengan maksud untuk mendapatkan keuntungan pribadi atau kelompoknya yang secara langsung dengan cara merugikan pihak lain.

b. Business interruption (Gangguan bisnis) 
Business interruption adalah sebuah jenis produk asuransi yang memberikan jaminan kerugian atas hilangnya keuntungan/pendapatan keuntungan yang mungkin akan diperoleh, sebagai akibat musibah karena kebakaran, bencana alam, dan lain-lain, yang dialami usaha/pabrik milik tertanggung.

c. Errors 
yaitu terjadinya suatu sistem tidak berfungsi secara normal 

d. Customer dissatisfaction 
yaitu terjadinya ketidakpuasan di pihak konsumen

e. Poor public image
yaitu terjadinya citra yang buruk di mata masyarakat 

f. Ineffective and inefficient use of resources 
yaitu terjadinya penggunaan sumber daya yang tidak tepat dan pemborosan

5.  Sebutkan dan jelaskan  kriteria bukti audit sistem informasi ?

a. Cukup (Sufficient). Faktual, memadai dan meyakinkan dimana seseorang yang bijak akan mengambil kesimpulan yang sama dengan auditor.

b. Kompeten (Competent). Handal dan merupakan  Dapat diandalkan dan hasil terbaik dari penggunaan metode audit yang tepat.

c. Relevan (Relevant). Mendukung temuan dan rekomendasi audit serta konsisten dengan tujuan audit.

d. Berguna (Useful). Membantu organisasi dalam mencapai tujuannya.

6. Sebutkan dan jelaskan jenis-jenis bukti audit sistem informasi

a. Bukti Fisik (Physical evidence). 
Secara umum diperoleh dari hasil pengamatan terhadap orang, properti atau peristiwa bisa dalam bentuk foto, peta dan sebagainya. Bukti yang diperoleh dari hasil pengamatan  haruslah didukung dengan contoh-contoh yang terdokumentasi atau bila tidak memungkinkan hendaknya didukung pengamatan lain yang menguatkan

b. Bukti Kesaksian (Testimonial evidence). 
Dapat berbentuk surat, pernyataan atau wawancara yang tidak bersifat konklusif karena merupakan pendapat seseorang. Bukti jenis ini hendaknya didukung dokumentasi selama memungkinkan. 

c. Bukti Dokumen (Documentary evidence). 
Merupakan bukti yang paling lazim dalam audit bisa berupa surat, perjanjian, kontrak, perintah, memo dan berbagai jenis dokumen bisnis lain. Bukti jenis ini dapat juga diperoleh dari arsip komputer menggunakan alat dan teknik audit yang tepat.  Sumber dokumen akan menentukan tingkat kehandalan dan tingkat kepercayaan, tentunya kualitas proses kontrol internal ikut dipertimbangkan.    
d. Bukti Analitis (Analytical evidence). 
Umumnya diperoleh dari hasil komputasi, perbandingan terhadap standar, operasi masa lalu atau operasi sejenis. Penggunaan perangkat komputer  yang tepat sangat membantu auditor pada perolehan bukti jenis ini. Regulasi dan penalaran umum  juga dapat menghasilkan bukti jenis ini.

7. Berilah kesimpulan dengan bahasa kalian sendiri

Seiring berkembangnya teknologi sistem informasi yang semakin  kompleks maka resiko - resiko akan muncul pada Sistem informasi tersebut. seperti penyalahgunaan informasi dengan cara diubah atau digunakan yang  merugikan pihak tertentu, maupun human error yang mengakibatkan kegagalan sebuah sistem yang menyebabkan data tidak dapat diakses, maka dibutuhkan suatu proses audit yaitu suatu proses dikumpulkannya data dan dievakuasinya bukti untuk menetapkan suatu sistem sudah efektif dan berjalan sesuai kebutuhan perusahaan. segala jenis resiko dan efek resiko dikaji dalam proses audit agar nantinya dapat diketahui keadaan dari sistem, mengamankan sistem dari kerusakan maupun penyalahgunaan informasi dan nantinya dapat membantu perusahaan dalam proses pengambilan keputusan. Bukti audit harus jelas yaitu berbentuk fisik, kesaksian, dokumen dan analisis.

Referensi :