Selasa, 16 Oktober 2018

Audit Teknologi Sistem Informasi


Mata Kuliah Audit Teknologi Sistem Informasi
Dosen : Qomariyah

 
Nama : Riya Ayuning Tiyas
NPM : 16115095
Kelas : 4KA23
Tugas : Audit Teknologi Sistem Informasi (Softskill)



============================================================

TUGAS KELOMPOK


AUDIT SISTEM INFORMASI
Tugas Kelompok (Softskill)


Nama Kelompok :    Ayu Fitriana                11115183
                                   Nadifah Irbah            14115906
                                   Riya Ayuning Tiyas  16115095

       
Universitas Gundarma
2018



BAB I
PENDAHULUAN

A.     Pengertian Audit Sistem Informasi
Audit sistem informasi adalah proses pengumpulan dan penilaian bukti – bukti untuk menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya secara efisien.
Audit sistem informasi sendiri merupakan gabungan dari berbagai macam ilmu, antara lain traditional audit, manajemen sistem informasi, sistem informasi akuntansi, ilmu komputer, dan behavioral science.
Standar yang digunakan dalam mengaudit sistem informasi adalah standar yang diterbitkan oleh ISACA yaitu ISACA IS Auditing Standard. Selain itu ISACA juga menerbitkan IS Auditing Guidance dan IS Auditing Procedure.

B.       Pentingnya Audit Sistem Informasi
Program audit diperlukan untuk melakukan audit yang efektif dan efisien agar proses bisnis perusahaan tidak terganggu. Program audit pada dasarnya merupakan daftar periksa dari berbagai tes yang harus dilakukan auditor dalam lingkup audit mereka untuk menentukan apakah kontrol utama yang dimaksudkan untuk mengurangi risiko signifikan berfungsi seperti yang dirancang. Berdasarkan hasil tes yang dilakukan, auditor harus dapat menentukan kecukupan kontrol atas suatu proses tertentu.

C.     Tujuan Audit Sistem Informasi
            ·         Pengamanan Aset
            ·         Menjaga Integritas Data
            ·         Efektifitas Sistem
            ·         Efisiensi Sistem

D.     Faktor – Faktor Kontrol dan Audit
Faktor-faktor yang mendorong pentingnya kontrol dan audit sistem informasi (Weber, 1999, p.6) adalah antara lain untuk :
a.       Mendeteksi agar komputer tidak dikelola secara kurang terarah
b.      Mendeteksi resiko kehilangan data.
c.       Mendeteksi resiko pengambilan keputusan yang salah akibat informasi hasil proses sistem komputerisasi salah/lambat/tidak lengkap.
d.      Menjaga aset perusahaan karena nilai hardware, software dan personil yang lazimnya tinggi.
e.       Mendeteksi resiko error komputer.
f.        Mendeteksi resiko penyalahgunaan komputer (fraud).
g.      Menjaga kerahasiaan
h.      Meningkatkan pengendalian evolusi penggunaan komputer

E.      Control Audit Sistem Informasi
a.       Kontrol lingkungan (Environmental controls)
Pengendalian lingkungan meliputi hal-hal seperti kebijakan keamanan IS, standar, dan pedoman; struktur pelaporan dalam lingkungan pemrosesan IS (termasuk operasi komputer dan pemrograman); kondisi keuangan organisasi dan vendor jasa
b.      Kontrol keamanan fisik (Physical security  controls)
Kontrol keamanan fisik berkaitan dengan perlindungan terhadap perangkat keras komputer, komponen, dan fasilitas di mana mereka berada.
c.       Kontrol keamanan logis (Logical security controls)
Kontrol keamanan logis adalah yang telah dikerahkan dalam sistem operasi dan aplikasi untuk membantu mencegah akses tidak sah dan penghancuran yang disengaja atau disengaja terhadap program dan data.
d.      Kontrol operasi IS (IS operating controls)
Kontrol operasi sistem informasi, yang dirancang untuk membantu memastikan bahwa sistem informasi beroperasi secara efisien dan efektif. Kontrol ini termasuk penyelesaian tepat waktu dan akurat pekerjaan produksi, distribusi media output, kinerja cadangan dan prosedur pemulihan, kinerja prosedur pemeliharaan.


BAB II
PEMBAHASAN MATERI

A.     Pengertian Pengendalian Internal
Menurut Gramling Rittenberg dan Johnstone (2012: 208), “pengendalian internal adalah proses yang terkait dengan pencapaian tujuan organisasi. Organisasi mengidentifikasi risiko untuk mencapai tujuan tersebut dan menerapkan berbagai kontrol untuk mengurangi risiko tersebut”. Pengendalian internal diperlukan untuk mengidentifikasi resiko agar proses bisnis perusahaan tidak terganggu.
Jadi dapat disimpulkan bahwa pengendalian internal adalah pengendalian dalam suatu organisasi bertujuan untuk menjaga aset perusahaan, pemenuhan terhadap kebijakan dan prosedur, kehandalan dalam proses dan operasi yang efisien.

B.      Tujuan Pengendalian Internal
Tujuan disusun nya sistem control atau pengendalian internal komputer adalah sebagai berikut :
·         Meningkatkan pengamanan (improve safeguard) aset sistem informasi (data/catatan akutansi(accounting records) yang bersifat logical assets, maupun physical assets seperti : hardware, infrastructures, dan sebagainya).
·         Meningkatkan integritas data(improve data integrity), sehingga dengan data yang benar dan konsisten akan dapat dibuat laporan yang benar.
·         Meningkatkan efektifitas sistem (improve system effectiveness).
·         Meningkatkan efisiensi sistem(improve system efficiency).

C.     Penggolongan Pengendalian Internal
Pengendalian internal harus diterapkan terhadap setiap sistem aplikasi, hal ini dilakukan untuk mengurangi exure yang selalu muncul pada pencatatan yang buruk, akuntansi yang tidak tepat, interupsi bisnis, pengambilan keputusan yang buruk penipuan dan penggelapan, pelanggaran hukum terhadap peraturan, peningkatan biaya dan hilang nya aset perusahaan.
Oleh sebab itu manajemen harus menyadari penting nya pengendalian untuk mengurangi timbul nya kesalahan dan untuk memaksimalkan hasil dari sistem operasi. Pengendalian ini digolongkan menjadi 2 golongan, yaitu :
·         General control (pengendalian umum)
·         Application control (pengendalian aplikasi)


D.     Pengertian COSO
COSO adalah singkatan dari Committee of Sponsoring Organizations of the Treadway Commission, dimana merupakan suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985. Tujuan utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan keuangan dan membuat rekomendasi untuk mengurangi kejadian tersebut. COSO telah menyusun suatu definisi umum untuk pengendalian, standar, dan kriteria internal yang dapat digunakan perusahaan untuk menilai sistem pengendalian mereka.
Komisi ini disponsori oleh 5 professional association yaitu: AICPA, AAA, FEI, IIA, IMA. Tujuan komisi ini adalah melakukan riset mengenai fraud dalam pelaporan keuangan (fraudulent on financial reporting) dan membuat rekomendasi yang terkait dengannya untuk perusahaan publik, auditor independen, SEC, dan institusi pendidikan.
Walaupun disponsori sama 5 professional association, tapi pada dasarnya komisi ini bersifat independen dan orang2 yang duduk di dalamnya berasal dari beragam kalangan: industri, akuntan publik, Bursa Efek, dan investor.Poin penting dalam report COSO ‘Internal Control – Integrated Framework (1992):
Definisi internal control menurut COSO yaitu suatu proses yang dijalankan oleh dewan direksi, manajemen, dan staff, untuk membuat reasonable assurance mengenai:
·         Efektifitas dan efisiensi operasional
·         Reliabilitas pelaporan keuangan


BAB III
ANALISIS STUDY KASUS

    A.    Kasus
Aktivitas usaha PT Nusantara Surya Sakti adalah melakukan pembiayaan sepeda motor merk Honda. Dalam hal ini penjualan perusahaan adalah pemberian kredit, sehingga PT Nusantara Surya Sakti memiliki piutang usaha yang jumlahnya besar. PT Nusantara Surya Sakti sebagai perusahaan pembiayaan memiliki resiko usaha seperti resiko kredit macet, resiko tingkat bunga, resiko likuiditas adapun kecurangan yang mungkin terjadi adalah tidak mencatat pembayaran dari debitur, menunda pencatatan dengan melakukan cash lapping, melakukan pembukuan palsu atas mutasi piutang.
Survei pendahuluan yang penulis lakukan pada PT Nusantara Surya Sakti menemukan banyaknya konsumen yang menunggak atau belum melunasi angsuran, hal ini dapat mengakibatkan jumlah piutang usaha yang telah melewati tanggal jatuh tempo meningkat sehingga perusahaan dapat mengalami kerugian dan juga mempengaruhi kelangsungan hidup perusahaan.

     B.     Hasil Analisis
1.      Lingkungan Pengendalian
PT Nusantara Surya Sakti cabang amurang telah berhasil melakukan pengendalian di dalam lingkungan perusahaan dengan menerapkan sistem departementalisasi. Departementalisasi ini berfungsi untuk menjalankan tugas dari masing – masing departemen yang saling berhubungan satu sama lain. Untuk meningkatkan kualitas sumber daya PT Nusantara Surya Sakti, perusahaan melakukan pelatihan selama 3 bulan. PT Nusantara Surya Sakti memberikan tunjangan kesehatan, tunjangan hari raya dan bonus kepada karyawan untuk memberikan motivasi dan rasa loyalitas kepada perusahaan. PT Nusantara Surya Sakti juga rutin mengadakan rapat harian atau bulanan guna untuk mengukur sejauh mana perusahaan berkembang.
Namun penerapan pengendalian internal pada PT Nusantara Surya Sakti masih mengalami kekurangan karena perusahaan tidak memiliki filosofi yang mendukung arah geraknya perusahaan dan sebagai parameter bagi perusahaan dan karyawannya. Filosofi menjadi seuatu hal yang penting didalam perusahaan karena bergua untuk mengikat dan mengarahkan karyawan perusahaan memahami tujuan perusahaan. Kurangnya pemeriksaan audit internal pada perusahaan membuat sulitnya perusahaan dalam mendeteksi kecurangan yang ada di perusahaan tersebut.

2.      Penilaian Resiko
Resiko besar pada PT Nusantara Surya Sakti adalah tidak terbayarnya piutang usaha atau kredit macet. Untuk mengantisipasi hal ini perusahaan telah memiliki prosedur dan aturan kredit untuk meminimalisir resiko tersebut. Seperti seorang konsumen yang tidak dapat membayar tunggakan lebih dari 3 bulan maka barang yang dikreditkan akan ditarik oleh perusahaan dan dijual kembali untuk menutupi sisa hutang dari konsumen tersebut.

3.      Informasi dan Komunikasi
Informasi dan komunikasi pada PT Nusantara Surya Sakti dilakukan sangat efektif, hal ini ditandai dengan sistem terkomputerisasi pada perusahaan tersebut. Oleh sebab itu PT Nusantara Surya Sakti menjadi lebih mudah dan cepat dalam memperoleh data piutang usaha. Perusahaan selalu menghimbau kepada karyawan untuk memberikan informasi lengkap kepada konsumen.
Piutang usaha PT Nusantara Surya Sakti dikatakan sah jika dicatat dalam dokumen kontrak perjanjian pembiayaan yang diotoritasi kepala cabang. Informasi piutang usaha ini yang menjadi dasar evaluasi kinerja perusahaan oleh direktur dalam mengambil sebuah keputusan.

4.      Aktivitas Pengendalian
Dibawah ini merupakan beberapa aktivitas yang dilakukan PT Nusantara Surya Sakti:
a.       Pengawasan pemrosesan transaksi
Semua dokumen yang berkaitan dengan piutang usaha memiliki nomor seri dari setiap transaksi yang dilakukan.
b.      Pemisahan tugas yang memadai
Perusahaan memiliki beberapa bagian atau departemen guna untuk mengkhususkan kerja dari setiap departemen, seperti beberpa contoh dibawah ini:
·         Bagian marketing terpisah dengan bagian survei dimana bagian marketing berfungsi untuk penerimaan debitur dan bagian survei berfungsi untuk memberikan persetujuan kredit
·         Bagian yang menyetujui kredit terpisah dengan bagian yang menerima kas
·         Setiap transaksi dilaksanakan oleh bagian marketing sebagai penerimaan kas, bagian survei sebagai pemberi persetujuan kredit dan bagian kasir sebagai penerima angsuran yang belum jatuh tempo. Namun aktivitas pemisahan tugas PT Nusantara Surya Sakti belum efektif karena admin piutang dapat menerima pembayaran debitur. Menurut konsep pengendalian intern, bagian piutang tidak boleh merangkap menjadi bagian penerimaan. Hal ini dapat memungkinkan terjadi kecurangan, yakni berupa cash lapping atau adanya transaksi palsu atas piutang.
c.       Pengendalian fisik atas kekayaan dan catatan
Pengendalian fisik PT Nusantara Surya Sakti dilakukan dengan baik seperti memberikan lemari guna untuk menyimpan dokumen perusahaan.
d.      Review kinerja
Setiap kepala bagian atau departemen akan melakukan analisis terhadap laporan yang diberikan oleh karywawannya.
5.      Monitoring
Struktur dalam perusahan diterapkan untuk membantu mengawasi kinerja karyawan bagian oleh masing – masing kepala dimana masing – masing karyawan memiliki tanggung jawab melapor hanya ke kepala bagian.


Sumber :



============================================================



TUGAS INDIVIDU

Jelaskan Standar dan Panduan untuk Audit Sistem Informasi seperti : ISACA, IIACOSO, ISO1799 ?

ISACA
ISACA adalah suatu organisasi profesi internasional di bidang tata kelola teknologi informasi yang didirikan di Amerika Serikat pada tahun 1967. Awalnya dikenal dengan nama lengkap Information Systems Audit and Control Association, saat ini ISACA hanya menggunakan akronimnya untuk merefleksikan cakupan luasnya di bidang tata kelola teknologi informasi.
ISACA sebagai lembaga independen, nonprofit, asosiasi global, terlibat dalam pengembangan, penerapan dan penggunaan pengetahuan dan pengalaman yang diterima secara global mengenai sistem informasi. Sebelumnya dikenal sebagai Information Systems Audit and Control Association. Namun kini hanya menggunakan akronim ISACA, untuk merefleksikan cakupan yang luas dari IT governance.
ISACA didirikan oleh individu yang mengenali kebutuhan untuk sumber informasi terpusat dan bimbingan dalam bidang tumbuh kontrol audit untuk sistem komputer. Hari ini, ISACA memiliki lebih dari 115.000 konstituen di seluruh dunia dan telah memiliki kurang lebih 70.000 anggota yang tersebar di 140 negara. Anggota ISACA terdiri dari antara lain auditor sistem informasi, konsultan, pengajar, profesional keamanan sistem informasi, pembuat perundangan, CIO, serta auditor internal. Jaringan ISACA terdiri dari sekitar 170 cabang yang berada di lebih dari 60 negara, termasuk di Indonesia.

•      Sifat khusus audit sistem informasi, keterampilan dan pengetahuan yang diperlukan untuk melakukan audit SI memerlukan standar yang berlaku secara global
•      ISACA berperan untuk memberikan informasi untuk mendukung kebutuhan pengetahuan
•      Dalam famework ISACA terkait, audit sistem informasi terdapat Standards, Guidelines and procedures
•      Standar yang ditetapkan oleh ISACA harus diikuti oleh auditor.
•      Guidelines memberikan bantuan tentang bagaimana auditor dapat menerapkan standar dalam berbagai penugasan audit.
•      Prosedur memberikan contoh langkah-langkah auditor dapat mengikuti penugasan audit tertentu sehingga dapat menerapkan standar.
•      Namun, IS auditor harus menggunakan pertimbangan profesional ketika menggunakan pedoman dan prosedur.

ISACA mulai pada tahun 1967, ketika sekelompok kecil orang dengan kontrol pekerjaan-audit serupa di sistem komputer yang menjadi semakin penting untuk operasi mereka organisasi-duduk untuk membahas perlunya sumber informasi terpusat dan bimbingan dalam bidang. Pada tahun 1969, kelompok formal, menggabungkan sebagai Asosiasi EDP Auditor. Pada tahun 1976 asosiasi membentuk yayasan pendidikan untuk melakukan upaya penelitian besar-besaran untuk memperluas pengetahuan dan nilai tata kelola TI dan bidang kontrol. Sebelumnya dikenal sebagai Audit Sistem Informasi dan Control Association, ISACA sekarang berjalan dengan singkatan saja, untuk mencerminkan berbagai profesional TI pemerintahan yang dilayaninya.

Menurut ISACA, pemegang gelar CISA mempunyai competitive advantage dengan memastikan bahwa:
1.     Audit sistem informasi dilakukan sesuai dengan standar, panduan, dan best practises terkait
2.   Suatu perusahaan melaksanakan tata-kelola teknologi informasi (corporate governance of IT)
3. Manajemen atas sistem dan infrastruktur IT (systems and infrastructure life cycle management) dilakukan sesuai dengan tujuan perusahaan
4. Arsitektur keamanan didesain untuk menjaga prinsip kerahasiaan (confidentiality),integritas (integrity),dan ketersediaan (availability) atas information assets
5.    Program disaster recovery dan business continuity direncanakan dengan baik dan dampak resikonya diminimalisir

Berikut beberapa pengakuan atas sertifikasi CISA dari beberapa lembaga:
1. Departemen Pertahanan Amerika (US Department of Defence) mengharuskan staff information assurance-nya memiliki sertifikat tertentu, di antaranya gelar CISA
2. Undang-undang Keamanan Informasi di Korea mensyaratkan audit sistem informasi dilakukan oleh pemegang sertifikasi tertentu, misalnya CISA
3.   Bursa Efek India mengakui sertifikasi profesional CISA sebagai salah satu prasyarat untuk melakukan systems audit
4.  Menurut Undang-undang di Rumania, bank yang akan menerapkan sistem pembayaran elektronik (misalnya melalui internet) diharuskan melewati proses sertifikasi dahulu oleh auditor yang memiliki gelar CISA

Ujian CISA ini dilakukan 2 kali setahun, sekitar bulan juni dan desember. Jumlah soal ujiannya ada 200, multiple-choice dan minimal harus bener 75% supaya lulus.

Ada 6 area/topik dalam ujian CISA :
1.    Information systems audit process (sekitar 10% dari total jumlah soal)
2.    Information systems governance (15%)
3.    Systems and infrastructure life cycle management (16%)
4.    Information technology service delivery and support (14%)
5.    Protection of information assets (31%)
6.    Business continuity and disaster recovery (14%)

Supaya bisa dapat gelar CISA, gak cuma harus lulus ujian doank. Ada juga beberapa persyaratan lainnya:
1.    Harus punya pengalaman 5 tahun dalam information systems audit, control, or security (bisa disubstitusi dengan persyaratan tertentu)
2.    Mematuhi ISACA Code of Professional Ethics
3.    Menjalankan IS Auditing Standards yang dikeluarkan ISACA
4.    Ikut program CPE (Continuing Professional Education)

Syarat Kelulusan
ISACA menggunakan dan laporan nilai pada skala umum 200-800. Sebagai contoh, skor skala dari 800 mewakili nilai sempurna dengan semua pertanyaan dijawab dengan benar; skor skala dari 200 adalah skor terendah mungkin dan menandakan bahwa hanya sejumlah kecil pertanyaan yang dijawab dengan benar. Calon harus menerima skor 450 atau lebih tinggi untuk lulus ujian.Sebuah skor 450 merupakan standar yang konsisten minimal pengetahuan sebagaimana ditetapkan oleh ISACA CISA Komite Sertifikasi itu. Seorang kandidat menerima nilai kelulusan kemudian dapat mengajukan permohonan sertifikasi jika semua persyaratan lain terpenuhi.

IIA COSO
The Comitte of Sponsoring Organizations of the treadway commission’s (COSO) dibentuk pada tahun 1985 sebagai alinasi dari 5 (lima) organisasi professional. Tujuan utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan keuangan dan membuat rekomendasi untuk mengurangi kejadian tersebut. COSO telah menyusun suatu definisi umum untuk pengendalian, standar, dan kriteria internal yang dapat digunakan perusahaan untuk menilai sistem pengendalian mereka. Organisasi tersebut terdiri dari American Accounting Association (AAA), American Instititue of Certified Public Accountants (AICPA), Financial Executives International (FEI), Instititute of Management Accountants (IMA), dan The Institute of Internal Auditors (IIA). Koalisi ini didirikan untuk menyatukan pandangan dalam komunitas bisnis berkaitan dengan isu-isu seputar pelaporan keuangan yang mengandung fraud.
COSO ini ada kaitannya sama FCPA yang dikeluarkan sama SEC dan US Congress di tahun 1977 untuk melawan fraud dan korupsi yang marak di Amerika tahun 70-an. Bedanya, kalo FCPA adalah inisiatif dari eksekutif-legislatif, nah kalo COSO ini lebih merupakan inisiatif dari sektor swasta.
Secara garis besar, COSO menghadirkan suatu kerangka kerja yang integral terkait dengan definisi pengendalian intern, komponen-komponennya, dan kriteria pengendalian intern yang dapat dievaluasi. Pengendalian internal terdiri dari 5 komponen yang saling berhubungan. Komponen-komponen tersebut memberikan kerangka kerja yang efektif untuk menjelaskan dan menganalisa sistem pengendalian internal yang diimplementasikan dalam suatu organisasi. Komponen-komponen tersebut, adalah sebagai berikut:

 1. Lingkungan pengendalian
 2. Penilaian resiko
 3. Aktifitas pengendalian
 4. Informasi dan komunikasi
 5. Pemantauan
Definisi internal control menurut COSO
Suatu proses yang dijalankan oleh dewan direksi, manajemen, dan staff, untuk membuat reasonable assurance mengenai:
  • Efektifitas dan efisiensi operasional
  • Reliabilitas pelaporan keuangan
  • Kepatuhan atas hukum dan peraturan yang berlaku
Menurut COSO framework, Internal control terdiri dari 5 komponen yang saling terkait, yaitu:
  • Control Environment
  • Risk Assessment
  • Control Activities
  • Information and communication
  • Monitoring
Di tahun 2004, COSO mengeluarkan report ‘Enterprise Risk Management – Integrated Framework’, sebagai pengembangan COSO framework di atas. Dijelaskan ada 8 komponen dalam Enterprise Risk Management, yaitu:
  • Internal Environment
  • Objective Setting
  • Event Identification
  • Risk Assessment
  • Risk Response
  • Control Activities
  • Information and Communication
  • Monitoring

ISO 1799
ISO / IEC 17799: 2005 menetapkan pedoman dan prinsip umum untuk memulai, menerapkan, memelihara, dan memperbaiki manajemen keamanan informasi dalam sebuah organisasi. Tujuan yang diuraikan memberikan panduan umum mengenai tujuan umum manajemen keamanan informasi yang diterima secara umum. ISO / IEC 17799: 2005 berisi praktik terbaik pengendalian dan pengendalian pengendalian di bidang pengelolaan keamanan informasi berikut:
  • pengorganisasian keamanan informasi;
  • manajemen aset;
  • keamanan sumber daya manusia;
  • keamanan fisik dan lingkungan;
  • komunikasi dan manajemen operasi;
  • kontrol akses;
  • akuisisi sistem informasi, pengembangan dan pemeliharaan;
  • manajemen insiden keamanan informasi;
  • manajemen kontinuitas bisnis;
  • pemenuhan.
 Menghadirkan sebuah standar untuk sistem manajemen keamanan informasi yang meliputi dokumen kebijakan keamanan informasi, alokasi keamanan informasi tanggung jawab menyediakan semua pemakai dengan pendidikan dan pelatihan di dalam keamanan informasi, mengembangkan suatu sistem untuk laporan peristiwa keamanan, memperkenalkan virus kendali, mengembangkan suatu rencana kesinambungan bisnis, mengikuti kebutuhan untuk pelindungan data, dan menetapkan prosedur untuk mentaati kebijakan keamanan

Sumber :
Diakses pada tanggal : Selasa, 16 Oktober 2018, 07.30


Diakses pada tanggal : Selasa, 16 Oktober 2018, 07.50

Diakses pada tanggal : Selasa, 16 Oktober 2018, 08.35.


Tidak ada komentar:

Posting Komentar