ASPEK-ASPEK DI DALAM APPLICATION CONTROL FRAMEWORK

                                                   Disusun Oleh :

                                                    Ahmad Abdul Muin
                                                    Ricard Soaduan
                                                    Roffi  Aditya
                                                    Prisma Prasetyo
                                                    Tegar Pratama ps








Kelas : 4KA24

Fakultas Ilmu Komputer & Teknologi Informasi Universitas Gunadarma
2019

Pengendalian Aplikasi (Application Control)

Menurut Ruppel (2008, hal. 537-538) Pengendalian Aplikasi membantu memastikan kelengkapan dan keakuratan pemrosesan trans aksi, otorisasi, dan pemeriksaan edit validitas, pemeriksaan urutan numerik, dan tindak lanjutmanual dari laporan merupakan contoh dari Pengendalian Aplikasi.

Menurut Gondodiyoto (2007: 372), Pengendalian Aplikasi adalah sistem pengendalian intern pada sistem informasi berbasis teknologi informasi yang berkaitan dengan pekerjaan atau aplikasi tertentu (setiap aplikasi memiliki karakteristik dan kebutuhan pengendalian yang berbeda).
Pengendalian aplikasi diperlukan untuk mengurangi terjadinya risiko, atau jika risiko ternyata terjadi juga, hendaknya tingkat kerugiannya seminimal mungkin.

Pengendalian Aplikasi (Application Control) adalah sistem pengendalian intern (internal control) pada sistem informasi berbasis teknologi informasi yang berkaitan dengan pekerjaan atau kegiatan aplikasi tertentu (karena setiap aplikasi memiliki karakteristik dan kebutuhan pengendalian yang berbeda-beda). Pengendalian aplikasi terdiri dari :
Pengendalian Batas-Batas (Boundary Control)

Pengendalian Input (Input Control)

Pengendalian Proses (Processing Control)

Pengendalian Komunikasi Aplikasi (Communication Control)




Penanggungjawab atau yang menentukan tipe pengendalian aplikasi ialah penanggungjawab teknis tim aplikasi yaitu desainer sistem atau sistem analisisnya. Unsur-unsur sistem pengendalian intern aplikasi ialah
:



PENGENDALIAN BATAS-BATAS (BOUNDARY CONTROL)

Pengendalian batas-batas sistem aplikasi / boundary control adalah interface antara users dengan sistem berbasis teknologi informasi. Tujuan utama Boundary Controls adalah antara lain :

Untuk mengenal identitas dan otentik atau tidaknya pemakai sistem, artinya suatu sistem yang didesain dengan baik seharusnya dapat mengidentifikasi dengan tepat siapa users tersebut, dan apakah identitas diri yang dipakainya otentik.
Untuk menjaga agar sumber daya sistem informasi digunakan oleh user dengan cara yang telah ditetapkan.

Contoh dari pengendalian batas :

Otoritas akses ke sistem aplikasi

Identitas dan otentisitas pengguna


PENGENDALIAN MASUKAN (INPUT CONTROL)
Pengendalian masukan (input control) dirancang dengan tujuan untuk mendapat keyakinan bahwa data transaksi input adalah valid, lengkap, serta bebas dari kesalahan dan peyalahgunaan. Input control ini merupakan pengendalian aplikasi yang penting karena input yang salah akan menyebabkan output yang juga akan keliru. Mekanisme masukan data input ke sistem dapat dikategorikan ke dalam dua cara yaitu :

Batch System (Delayed Processing Systems)

Online Transaction Processing System (Pada umumnya bersifat real time system)


Batch system



Dalam sistem ini, data diolah dengan satuan kelompok dokumen, dan delayed processing system (pengolahan bersifat tertunda). Contoh pengendalian input dengan sistem batch :

Data capturing

Batch data preparation

Batch data entry

Validation

Online Transaction Processing System

Pada sistem tersebut data masukan dientri dengan workstation/terminal atau jenis input device seperti ATM (automatic teller machine) dan POS (point of sales). Meskipun online tetapi bisa saja dengan memakai pola batch, tetapi biasanya online dikaitkan dengan real time system, artinya updating data di komputer bersamaan dengan terjadinya transaksi.
Contoh dari pengendalian input :

Otoritas dan validasi masukan

Transmisi dan konversi data

Penanganan kesalahan


PENGENDALIAN PROSES (PROCESSING CONTROL)
Pengendalian proses diperlukan dalam pengendalian intern utntuk mendeteksi terjadinya perubahan data yang sudah valid menjadi error karena kesalahan proses. Kesalahan yang paling mungkin terjadi adalah kesalahan logika program, salah rumus, salah urutan program, dan sebagainya. Contoh pengendalian proses antara lain :
Dokumentasi program dan tes secara lengkap

Source code dijadikan absolute code

Prosedur program change request yang formal



Count untuk read and write

Processing logic check

Run to run check

Inter subsystems check

File and program check

Audit trail linkage

Data reasonable test

Cross footing test


PENGENDALIAN KOMUNIKASI APLIKASI (COMMUNICATION CONTROL)
Pengendalian komunikasi aplikasi diperlukan untuk manajemen jaringan. Misalnya :

Cryptographic control

Pengaturan tentang digital signature


SIFAT-SIFAT PENGENDALIAN INTERNAL
Pengendalian internal digolongkan dalam preventive, detection dan corrective :
Preventive control, yaitu pengendalian internal yang dirancang dengan maksud untuk mengurangi kemungkinan atau mencegah dan menjaga jangan sampai terjadi kesalahan, kekeliruan, kelalaian dan juga error maupun penyalahgunaan (kecurangan, fraud).

Detection control, yaitu pengendalian yang didesain dengan tujuan agar apabila data direkam (dientry) atau dikonversi dari media sumber (media input) untuk ditransfer ke sistem komputer dapat dideteksi



apabila terjadi kesalahan (tidak sesuai dengan kriteria yang telah ditetapkan).
Corrective control, ialah pengendalian yang sifatnya jika terdapat data yang sebenarnya error tetapi tidak terdeteksi oleh program validasi, maka harus ada prosedur yang jelas tentang bagaimana melakukan perbaikan terhadap data yang salah, dengan maksud untuk mengurangi kemungkinan kerugian.
Pengendalian bersifat prevention objective

Manual book

Pelatihan

Lingkungan kerja

Bentuk layar

Pembatasan akses fisik

    Otorisasi dengan password Pengendalian bersifat detection objective
Validasi kesesuaian kode entri dengan kode yang sudah tersimpan

Uji field (jenis data yang diinput)

Limit test

Check digit test

Pengendalian bersifat correction objective

Keying error diatasi dengan merekam ulang data

Source error datasi dengan klarifikasi dengan data sumber

AKTIVITAS PENGENDALIAN
Menurut Weygandt (2011), terdapat enam prinsip aktivitas pengendalian, yaitu :



Penetapan tanggung jawab

Pembagian tugas

Prosedur dokumentasi

Pengendalian fisik

Verifikasi internal yang dilakukan secara independen

Pengendalian sumber daya manusia

-

FUNGSI INTERNAL AUDITOR
Menurut Hunton et.al. dalam Basalamah (2011: 17), seorang auditor TI sebaiknya mampu melakukan pekerjaan-pekerjaan sebagai berikut:

Mengevaluasi pengendalian atas aplikasi-aplikasi tertentu, yang mencakup analisis terhadap risiko dan pengendalian atas aplikasi- aplikasi seperti ebusiness, sistem perencanaan sumber daya perusahaan.

Memberikan asersi (assurance) atas proses-proses tertentu, seperti audit dengan prosedur-prosedur tertentu yang disepakati bersama dengan auditee mengenai lingkup asersi.
Memberikan asersi atas aktifitas pengolahan data pihak ketiga dengan tujuan untuk memberikan asersi bagi pihak lain yang memerlukan informasi mengenai aktifitas pengendalian data yang dilakukan oleh pihak ketiga tersebut.

Pengujian penetrasi, yaitu upaya untuk mengakses sumber daya informasi guna menemukan kelemahan-kelemahan yang ada dalam pengolahan data tersebut.

Memberikan dukungan atas pekerjaan audit keuangan yang mencakup evaluasi atas risiko dan pengendalian TI yang dapat mempengaruhi kehandalan sistem pelaporan keuangan.

Mencari kecurangan yang berbasis TI, yaitu menginvestigasi catatan-catatan komputer dalam investigasi kecurangan.



Tujuan

Menurut Mulyadi (2002:178) tujuan pengendalian intern
terbagi atas dua yaitu:

MENJAGA KEKAYAAN PERUSAHAAN
Penggunaan kekayaan perusahaan hanya melalui sistem otorisasi yang telah ditetapkan,

Pertanggungjawaban kekayaan perusahaan yang dicatat dibandingkan dengan kekayaan yang sesungguhnya.

MENGECEK KETELITIAN DAN KEANDALAN DATA AKUNTANSI
Pelaksanaan transaksi melalui sistem otorisasi yang telah ditetapkan,
Pencatatan transaksi yang terjadi tercatat dengan benar di dalam catatan akuntansi perusahaan.

Contoh Aplikasi
Berdasarkan unsur-unsur yang terdapat dari pengendalian internal aplikasi diatas salah satu Contoh dari aplikasinya yaitu mesin ATM.

Ketika nasabah melakukan proses pengambilan uang di ATM, kemudian nasabah tersebut akan memasukkan kartu dan diminta PIN (password). Setelah memasukkan pin maka nasabah tersebut akan memasukkan nominal atau jumlah uang yang akan diambil, lalu ATM tersebut akan memproses permintaan nasabah dan memeriksa apakah saldo tersebut cukup sesuai dengan ketentuan bank.






Kesimpulan



Kesimpulan yang dapat diambil adalah:

Pengendalian Aplikasi membantu memastikan kelengkapan dan keakuratan pemrosesan transaksi, otorisasi, dan pemeriksaan edit validitas, pemeriksaan urutan numerik, dan tindak lanjut manual. Mengevaluasi pengendalian atas aplikasi-aplikasi tertentu, yang mencakup analisis terhadap risiko dan pengendalian atas aplikasi- aplikasi seperti e-business, sistem perencanaan sumber daya perusahaan.




Daftar Pustaka :

https://www.academia.edu/6935495/Pengendalian_Aplikasi

https://library.binus.ac.id/eColls/eThesisdoc/Bab2/2012-1-01325- KA%20Bab2001.pdf
https://repository.bsi.ac.id/index.php/unduh/item/1999/Sri_Wasiyanti_Ju rnal_Perspektif_September_2014_Ok-5.pdf

https://slideplayer.info/slide/12078601/

                      ASPEK-ASPEK PADA MANAGEMENT CONTROL FRAMEWORK
                                                
                                         Disusun Oleh :


                                         Ahmad Abdul Muin      
                                         Ricard Soaduan      
                                         Roffi Aditya      
                                         Prisma Prasetyo      
                                         Tegar Pratama Ps   

                                         Kelas : 4KA24











Audit Sistem Informasi


Pengendalian Umum (General Control)
Menurut Sawyer, Dittenhofer, & Scheiner (2005, hal.549), Pengendalian Umum terdiri dari kontrol-kontrol dalam sistem informasi dan lingkungan pengguna yang masuk ke semua atau sebagian besar aplikasi. mereka termasuk kontrol seperti pemisahan tugas yang tidak kompatibel, prosedur pengembangan sistem, keamanan data, semua kontrol administratif, dan kemampuan pemulihan bencana.

Menurut Gondodiyoto (2007: 301), pengendalian umum adalah sistem pengendalian intern komputer yang berlaku umum meliputi seluruh kegiatan komputerisasi sebuah organisasi secara menyeluruh. Ruang lingkup dalam pengendalian umum adalah sebagai berikut:

PENGENDALIAN TOP MANAGEMENT
Dalam lingkup ini termasuk pengendalian manajemen sistem operasi (information system management controls). Pengendalian top level management adalah sistem pengendalian internal yang ada pada suatu organisasi yang mendorong keterlibatan, kepedulian dan tanggung jawab pucuk pimpinan organisasi terhadap kegiatan teknologi informasi pada organisasi tersebut.

PENGENDALIAN MANAJEMEN PENGEMBANGAN SISTEM
Pengendalian Manajemen Pengembangan Sistem (system development management controls termasuk manajemen program (programming management controls). Pengendalian pengembangan dan pemeliharan sistem diperlukan untuk mencegah dan
mendeteksi kemungkinan kesalahan pada waktu pengembangan dan pemeliharaan sistem (system development maintenance), serta untuk memperoleh keyakinan memadai bahwa sistem berbasis teknologi informasi dikembangkan dan dipelihara dengan cara yang efisien dan melalui proses otorisasi yang semestinya.

PENGENDALIAN MANAJEMEN SISTEM INFORMASI
Pengendalian Manajemen Sistem Informasi (Information System Management Controls). Mengendalikan alternatif model pengembangan proses sistem informasi sehingga digunakan sebagai dasar pengumpulan dan pengevaluasian bukti.

PENGENDALIAN MANAJEMEN SUMBER DATA
Pengendalian Manajemen Sumber Data (data resources management controls).
Di dalam suatu sistem berbasis teknologi informasi, pengendalian sumber data (data resources management controls) yang baik adalah:
User harus dapat berbagi data (data sharing among users)
Data harus tersedia untuk digunakan kapan saja, di manapun, dan dalam bentuk apapun (sudah tentu dengan aturan akses/wewenang yang jelas)
Sistem manajemen data harus menjamin adanya sistem penyimpanan yang efisien, tidak terjadi redudansi data, adanya data security, data integrity, dan data independence.
Data harus dapat dimodifikasi dengan mudah (user friendly) oleh yang berwenang seusuai dengan kebutuhan user.


PENGENDALIAN MANAJEMEN OPERASI
Pengendalian Manajemen Operasi (operational management controls).
Merupakan jenis pengendalian intern yang didesain untuk menciptakan kerangka kerja organisasi, pendayagunaan sumber daya informasi, dan pembagian tugas yang baik dalam suatu organisasi yang menggunakan sistem berbasis teknologi informasi. Sumber daya informasi meliputi hardware, software, netware, brainware, data itu sendiri dan seluruh komponen yang diperlukan untuk mendukung berlangsungnya operasi sistem informasi yang baik.

PENGENDALIAN MANAJEMEN KEAMANAN
Pengendalian Manajemen Keamanan (security management controls).
Pengendalian ini dimaksudkan untuk menjamin agar aset sistem informasi tetap aman. Aset sumber daya informasi mencakup fisik (perangkat mesin dan fasilitas penunjangnya) serta aset tak berwujud (non fisik, misalnya data/informasi, dan program aplikasi komputer). Keamanan sistem komputer mencakup keamanan perangkat keras, perangkat lunak, data/informasi, sistem prosedur dan manusia.

Menurut Weber (1999: 257) pengendalian terhadap manajemen keamanan secara garis besar bertanggung jawab dalam menjamin aset sistem informasi tetap aman. Ancaman utama terhadap keamanan dapat bersifat karena alam, oleh manusia yang bersifat kelalaian maupun kesengajaan, antara lain:
Ancaman kebakaran
Beberapa pelaksanaan pengamanan untuk ancaman kebakaran adalah:
Memiliki alarm kebakaran otomatis yang diletakkan pada tempat dimana aset-aset sistem informasi berada.
Memiliki tabung kebakaran yang diletakkan pada lokasi yang mudah diambil.
Ancaman banjir
Beberapa pelaksanaan pengamanan untuk ancaman banjir adalah:
Semua material aset sistem informasi diletakkan di tempat yang tinggi.
Perubahan tegangan sumber energi
Pelaksanaan pengamanan untuk mengantisipasi perubahan tegangan sumber energi listrik, misalnya menggunakan stabilizer ataupun uninteruptable power supply (UPS) yang memadai yang mampu meng-cover tegangan listrik jika tiba-tiba turun.
Kerusakan struktural
Kerusakan struktural biasanya terjadi karena bencana alam seperti gempa, angin ribut.
Hacker
Pelaksanaan pengamanan terhadap hacker, yaitu:
Penggunaan kontrol logika seperti penggunaan password yang sulit untuk ditebak.
Penggunaan firewall.
Virus dan worm
Pelaksanaan pengamanan terhadap virus dan worm, yaitu:
Tindakan preventive, seperti meng-install anti virus dan meng-update secara rutin, melakukan scan file yang akan digunakan.
Tindakan detective, seperti melakukan scan secara rutin.

Tindakan corrective, seperti memastikan back up data bebas virus, pemakaian antivirus terhadap file yang terinfeksi.

QUALITY ASSURANCE
Pengertian Quality Assurance (QA)
Pengertian Quality Assurance (QA) apabila diterjemahkan langsung ke dalam bahasa Indonesia artinya adalah Penjaminan Kualitas. Istilah “Assurance” atau jaminan menyatakan suatu kepastian ataupun kepercayaan terhadap produk yang dihasilkan oleh suatu perusahaan.
Tujuan dari Quality Assurance (QA) adalah menjamin kualitas produk yang dihasilkan dan memastikan proses pembuatan produk tersebut sesuai dengan standar dan persyaratan yang telah ditentukan.Quality Assurance atau disingkat dengan QA merupakan proses yang pro-aktif yaitu melakukan penekanan terhadap perencanaan, dokumentasi dan penentuan panduan kualitas pada awal proyek dimulai untuk memahami persyaratan dan standar kualitas yang diharapkan.Setelah semua persyaratan dan standar kualitas yang diinginkan tersebut di-identifikasikan, maka diperlukan pengembangan perencanaan untuk memenuhi persyaratan dan standar kualitas yang diinginkan tersebut.Sehingga dapat disimpulkan bahwa pengertian Quality Assurance (QA) adalah mencakup monitoring, uji-tes dan memeriksa semua proses produksi yang terlibat dalam produksi suatu produk. Guna memastikan semua standar kualitas dipenuhi oleh setiap komponen dari produk atau layanan yang disediakan oleh perusahaan untuk memberikan jaminan kualitas sesuai standar yang diberikan oleh perusahaan.

QUALITY AUDIT
Pada Quality Audit, suatu tim ahli yang berasal dari pihak ketiga eksternal (bukan dari internal perusahaan) akan melakukan peninjauan proses dan prosedur yang telah ditentukan oleh perusahaan.Jika ditemukan perbedaan antara apa yang dilakukan dengan apa yang dinyatakan dalam prosedur atau proses maka perusahaan yang bersangkutan (perusahaan yang diaudit) diminta untuk melakukan tindakan perbaikan (Corrective Action).Pihak ketiga dari eksternal tersebut juga akan memberikan saran-saran untuk perbaikan pada proses-prosesnya. Quality Audit ini memastikan proses dan prosedur yang telah disetujui dan yang telah ditentukan tersebut telah dilaksanakan dengan baik dan diikuti oleh pihak yang bersangkutan.
MANFAAT QUALITY ASSURANCE (QA)
Diantaranya manfaat dari Quality Assurance adalah :
Memberikan kepuasan kepada pelanggan.
Memotivasi tim dalam bekerja lebih baik dengan kualitas yang tinggi.
Menghasilkan produk yang berkualitas tinggi.
Menghindari pemborosan (waste).
Mengurangi pekerjaan ulang yang merugikan perusahaan dalam segi finansial maupun waktu.
Meningkatkan efisiensi operasional.
Meningkatkan kepercayaan pelanggan.
KEAHLIAN QUALITY ASSURANCE (QA)

Berikut adalah beberapa keahlian yang harus dimiliki seorang Qualitu Assurance (QA) :
Detail.
Mampu bekerja sama.
Mampu dalam pengumpulan data.
Manajemen dan analisis.
Menganalisis masalah dan pemecahan masalah perencanaan dan pengorganisasian keputusan Pengambilan keputusan.
Orientasi layanan pelanggan.
Pandai untuk komunikasi secara lisan dan tertulis.
Teliti.

Contoh Aplikasi
The Application Control Framework (1-2) CDG4I3 / Audit Sistem InformasiAngelina Prima K | Gede Ary W.
KK SIDE

Kesimpulan


Sistem pengendalian intern komputer yang berlaku umum meliputi seluruh kegiatan komputerisasi sebuah organisasi secara menyeluruh. Ruang lingkup. manajemen keamanan secara garis besar bertanggung jawab dalam menjamin aset sistem informasi tetap aman.
Ancaman utama terhadap keamanan dapat bersifat karena alam,

Daftar Pustaka :
https://www.sumberpengertian.id/pengertian-quality-assurance http://fardanalghipari.blogspot.com/2019/12/aspek-aspek-pada-management-control.html

AUDIT TEKNOLOGI SISTEM INFORMASI

TUGAS 3

AUDIT TEKNOLOGI SISTEM INFORMASI

AHMAD ABDUL MUIN

RICAD SOADUAN

ROFFI ADITYA

PRISMA PRASETYO

TEGAR PRATAMA PS

4KA24

Fakultas Ilmu Komputer & Teknologi Informasi 

Universitas Gunadarma

2019

Audit Sistem Informasi Menggunakan COBIT 4.1 pada PT. IMI

Kemajuan disetiap bidang tak lepas dari teknologi sebagai penunjangnya, terutama teknologi informasi. Akan tetapi hal tersebut harus dimbangi dengan adanya sebuah evaluasi atau audit terhadap penggunaan Teknologi informasi itu sendiri sehingga ancaman atau kerugian dapat diminimalkan ataupun dicegah.

Pada Penelitian ini penulis berupaya menemukan dan mengetahui apakah tata kelola Teknologi informasi sudah di terapkan dengan baik dan efektif sesuai dengan visi dan misi perusahaan. Karena hal ini sangat penting mengingat besarnya biaya yang harus di keluarkan oleh perusahaan dalam menerapkan teknologi informasi khususnya pada PT.IMI agar biaya yang dikeluarkan tidaklah sia-sia dan memberikan manfaat sesuai target yang diinginkan oleh perusahaan dalam rangka mewujudkan visi dan misi. Penelitian ini bertujuan mengetahui sejauh mana kinerja sistem informasi administrasi logistik dan juga memberikan rekomendasi tata kelola perbaikan setelah mengetahui kesenjangan antara tata kelola saat ini dengan tata kelola yang diharapkan atau standard-standard yang diharapkan perusahaan pada proses bisnisnya sesuai dengan framework yang digunakan. Framework yang digunakan dalam penelitian ini adalah COBIT versi 4.1 khusus pada domain Deliver and Support (DS).

Teknik pengumpulan datanya dilakukan dengan observasi, kuesioner dan wawancara dengan narasumber yang telah ditentukan sesuai dengan domain dan Control Objective yang digunakan. Metode yang di gunakan penulis dalam menganalisa data menggunakan 4 tahapan, yaitu menentukan level domain, menentukan proses kendali, menentukan indikator dan pemetaan tingkat kematangannya. Sehingga hasil dari penelitian ini nantinya dapat diketahui tingkat kematangan (maturity level) pada proses bisnis yang berjalan di PT.IMI khusus pada Domain DS, yaitu berada pada level 4 yang berarti sudah terukur dan terintegrasi antar proses yang berlangsung dan memberikan rekomendasi kepada perusahaan agar penerapan Teknologi Informasi dapat lebih baik, efektif dan efisien.

Di ujung peradaban manusia yang kian sempurna ini, ilmu pengetahuan dan teknologi menempati posisi yang sangat penting. Hampir semua sektor usaha manusia diwarnai dengan penggunaan berbagai macam ilmu pengetahuan dan teknologi yang semakin canggih untuk menghadapi persaingan usaha yang ketat. Perkembangan teknologi dan informasi yang pesat mulai mempengaruhi berbagai aspek kehidupan, terutama dalam perusahaan untuk menjalankan proses bisnisnya. Dengan adanya teknologi dan informasi yang semakin canggih ini, tentunya dapat meningkatkan laba perusahaan dan menghadapi persaingan dalam pangsa pasar yang dinamis ini. Beberapa perusahaan di Indonesia telah menerapkan teknologi dan informasi dalam proses bisnisnya, salah satunya adalah PT.IMI Perusahaan ini merupakan perusahaan berkembang yang terletak di Green Sedayu Bispark Daan Mogot DM 11 No.62, Jl.Daan Mogot Km.18 RT.006 RW.012,Kalideres Jakarta Barat DKI Jakarta 11840, yang telah menerapkan teknologi informasi dalam menunjang kegiatan operasionalnya, baik dalam bidang penjualan, pembelian, inventory (persediaan), dan akuntansi.

Tentukan obyek audit yang akan dilakukan

    Obyek audit yang akan digunakan adalah pada studi kasus audit sistem informasi PT.IMI. menggunakan COBIT 4.1. Metode objek audit yang digunakan dalam kasus ini adalah Audit Around The Computer, karena kami tidak menguji langkah-langkah proses secara langsung tetapi membandingkan input dan output dari sistem.

1.   COBIT (Control Objective for Information and Related Technology)

   COBIT merupakan cara atau metode yang dapat ditempuh untuk dapat menganalisa, mengembangkan, mempublikasikan, dan mempromosikan suatu otorisasi. COBIT ini dapat membuat up-to-date suatu sistem perusahaan serta dapat diterima oleh tata kelola TI profesional. Tata kelola TI yang dikontrol dibawah naungan COBIT merupakan tata kelola TI bertaraf internasional. Menurut IT Governance Institute COBIT (Control Objective for Information and Related Technology) adalah sekumpulan dokumentasi best practices untuk IT Governance yang dapat membantu auditor, manajemen, dan pengguna (user) untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan permasalahan teknis.

     COBIT berorientasi pada bagaimana menghubungkan tujuan bisnis dengan tujuan TI, menyediakan metric dan maturity model untuk mengukur pencapaiannya, dan mengidentifikasi tanggung jawab terkait bisnis dan pemilik proses TI. Penilaian capability process berdasarkan maturity model COBIT merupakan bagian penting dari implementasi IT Governance setelah mengidentifikasi proses kritis TI dan pengendaliannya, maturity modeling memungkinkan gap teridentifikasi dan ditujukan pada manajemen. Dengan mengetahui gap tersebut maka selanjutnya rencana kerja dapat dikembangkan untuk membawa proses ini sampai dengan sasaran capability level yang diharapkan. Dengan demikian, COBIT mendukung pengelolaan TI dengan menyediakan kerangka untuk memastikan bahwa :

1. TI berjalan dengan bisnis

2. TI memungkinkan bisnis dan memakismalkan keuntungan

3. Sumber daya TI digunakan secara bertanggung jawab

4. Risiko TI dikelola dengan tepat

2.   Fungsi COBIT

     COBIT memiliki fungsi antara lain :

1.    Meningkatkan pendekatan/program audit.

2.    Mendukung audit kerja dengan arahan audit secara rinci

3.    Memberikan petunjuk untuk IT governance.

4.    Sebagai penilaian benchmark untuk kendali Sistem Informasi/Teknologi Informasi.

5.    Meningkatkan kontrol Sistem Informasi/Teknologi Informasi.

6.    Sebagai standarisasi pendekatan/program audit.

    COBIT menyediakan langkah-langkah praktis terbaik yang dapat diambil dan lebih difokuskan pada pengendalian (control), yang selanjutnya dijelaskan dalam tahap dan framework proses. Manfaat dari langkah-langkah praktis terbaik yang dapat diambil tersebut antara lain :

1. Membantu mengoptimalkan investasi teknologi informasi yang mungkin dapat dilakukan.

2. Menjamin pengiriman service.

3. Framework COBIT menggambarkan antara business dan aplikasi yang ditunjukkan pada gambar 2 Boundaries of General and Application Controls.

3.   Kelebihan Metode COBIT

    Pemilihan kerangka kerja dengan metode COBIT dikarenakan mempunyai beberapa kelebihan diantaranya:

1.    Memiliki konsep yang searah dengan pengelolaan perusahaan.

2.   Memiliki definisi yang lengkap, rinci dan terarah untuk pengelolaan sebuah perusahaan.

3. Memiliki konsep hubungan kausal yang erat, sehingga mudah untuk mengarahkan perusahaan, dari sasaran teknis ke strategis dan sebaliknya serta mampu menelusuri masalah dari lingkup yang besar ke lingkup yang lebih detil.

4.   Stuktur COBIT

  Struktur COBIT terdiri dari Excetive Summary, yang didukung dengan perangkat implementasi, kemudian framework yang dijabarkan menjadi 3 bagian yaitu Management Guidelines, Audit Guidelines, Detailed Control Objectives. Untuk Management Guidelines terdapat 4 indikator pengukuran yaitu Maturity Models, Control Success Faktor, Key Goal Indicators, dan Key Performance Indicators. Sedangkan Detailed Control Objectives dijabarkan dalam beberapa Control Practice.

5.    Kerangka Kerja COBIT

   Kerangka kerja COBIT terdiri atas beberapa arahan/pedoman, yakni:

Control Objectives

Terdiri atas 4 tujuan pengendalian tingkat-tinggi (high-level control objectives) yang terbagi dalam 4 domain, yaitu : Planning & Organization , Acquisition & Implementation , Delivery & Support , dan Monitoring & Evaluation.

1.   Planning and Organizing (PO), domain ini mencakup level strategis dan taktis, dan konsennya pada identifikasi cara TI yang dapat menambah pencapaian terbaik tujuan-tujuan bisnis.

2.    Acquisition and Implementation (AI), solusi TI yang perlu diidentifikasikan, dikembangkan atau diperlukan, serta diimplementasikan dan diintegrasikan dalam proses bisnis.selain itu perubahan sistem dan pemeliharaannya dilindungi untuk memastikan solusi TI memenuhi tujuan bisnis.

3.   Deliver and Support (DS), domain ini menyangkut pencapaian aktual dari layanan yang diperlukan dengan menyusun operasi tradisional terhadap keamanan dan aspek kontinuitas sampai pada pelatihan. Domain ini termasuk data aktual melalui sistem aplikasi, yang sering diklasifikasikan dalam pengendalian aplikasi.

4.   Monitor and Evaluate (ME), semua proses TI perlu dinilai secara teratur atas suatu waktu untuk kualitas dan pemenuhan kebutuhan pengendalian. Domain ini mengarahkan kesalahan manajemen pada proses pengendalian organisasi dan penjaminan independen yang disediakan oleh audit internal dan eksternal atau diperoleh dari sumber alternatif.

   Keempat domain tersebut diatas kemudian dijabarkan menjadi 34 faktor resiko yang harus dievaluasi jika ingin diperoleh suatu kesimpulan mengenai seberapa besar kepedulian manajemen terhadap teknologi informasi, serta bagaimana teknologi informasi dapat memenuhi kebutuhan manajemen akan informasi. Keempat Domain tersebut dapat pula digambarkan dalam bentuk gambar dibawah ini yang juga terdapat 34 High level objectives dan 6 Publikasi.

         

Audit Guidelines

Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci (detailed control objectives) untuk membantu para auditor dalam memberikan management assurance dan/atau saran perbaikan.

Management Guidelines

Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut :

v  Sejauh mana TI harus bergerak atau digunakan, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.

v  Apa saja indikator untuk suatu kinerja yang bagus.

v  Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses ( critical success factors ).

v  Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan.

v  Bagaimana dengan perusahaan lainnya, apa yang mereka lakukan.

v  Bagaimana mengukur keberhasilan dan bagaimana pula membandingkannya.

6.    Skala Maturity dari Kerangka Kerja COBIT

   Maturity model adalah suatu metode untuk mengukur level pengembangan manajemen proses, yang berarti adalah mengukur sejauh mana kapabilitas manajemen tersebut. Seberapa bagusnya pengembangan atau kapabilitas manajemen tergantung pada tercapainya tujuan-tujuan COBIT yang. Sebagai contoh adalah ada beberapa proses dan sistem kritikal yang membutuhkan manajemen keamanan yang lebih ketat dibanding proses dan sistem lain yang tidak begitu kritikal. Di sisi lain, derajat dan kepuasan pengendalian yang dibutuhkan untuk diaplikasikan pada suatu proses adalah didorong pada selera resiko Enterprise dan kebutuhan kepatuhan yang diterapkan.

   Penerapan yang tepat pada tata kelola TI di suatu lingkungan Enterprise, tergantung pada pencapaian tiga aspek maturity (kemampuan, jangkauan dan kontrol). Peningkatan maturity akan mengurangi resiko dan meningkatkan efisiensi, mendorong berkurangnya kesalahan dan meningkatkan kuantitas proses yang dapat diperkirakan kualitasnya dan mendorong efisiensi biaya terkait dengan penggunaan sumber daya TI.

    Maturity model dapat digunakan untuk memetakan :

1.  Status pengelolaan TI perusahaan pada saat itu.

2.  Status standart industri dalam bidang TI saat ini (sebagai pembanding)

3.  Status standart internasional dalam bidang TI saat ini (sebagai pembanding)

4. Strategi pengelolaan TI perusahaan (ekspetasi perusahaan terhadap posisi pengelolaan TI perusahaan)

7. Rencana Audit yang Dilakukan

  Rencana audit yang akan kami lakukan adalah Melakukan studi kepustakaan, Melakukan perencanaan pemeriksaan, Melakukan penelitianan pendahuluan, elakukan identifikasi dan analisis masalah, Melakukan pelaksanan pemeriksaan, dan Membuat laporan hasil pemeriksaan dimana kami akan menjabarkan temuan audit.

1. Melakukan studi kepustakaan, yaitu pembelajaran mengenai audit sistem informasi, khususnya mengenai metode audit COBIT 4.1, yang mencakup Plan and Organise, Acquire and Implement, Deliver and Support, dan Monitor and Evaluate.

2. Melakukan perencanaan pemeriksaan, yaitu melakukan observasi awal; merumuskan masalah yang akan diteliti; dan mengajukan permohonan penelitian kepada pihak terkait.

3. Melakukan penelitian pendahuluan, yaitu merumuskan program audit yang akan dijalankan.

4. Melakukan identifikasi dan analisis masalah, yaitu menganalisa efektivitas pelaksanaan pengendalian aplikasi.

5. Melakukan pelaksanan pemeriksaan, yaitu dengan mengajukan kuesioner; melakukan wawancara, observasi lapangan, dan dokumentasi; melakukan evaluasi atas penerapan pengendalian aplikasi tersebut.

6. Membuat laporan hasil pemeriksaan dimana kami akan menjabarkan temuan audit, memberikan rekomendasi dan saran-saran perbaikan, serta menyimpulkan hasil penelitian.

8. Susun Instrumen Audit yang akan Digunakan

    Pada tahapan ini kami melaksanakan program audit dengan mengumpulkan bukti-bukti. Teknik pengumpulan data yang digunakan adalah metode penelitian lapangan, yang dilakukan dengan cara mendatangi langsung obyek yang akan diteliti untuk memperoleh data primer. Sehubungan untuk mendapat data sekunder yang berhubungan dengan masalah yang menjadi obyek penelitian, maka Instrumen audit yang akan kami gunakan adalah :

1.    Dokumentasi

2.    Observasi

3.    Komunikasi dengan Wawancara dan Kuesioner

9. Petunjuk Penggunaan Instrumen Audit yang Akan Digunakan

     Berikut ini adalah petunjuk instrumen audit yang akan kami gunakan :

1.      Dokumentasi

   Upaya mendapatkan informasi, kami mengumpulkan data tertulis atau dokumen-dokumen dari perusahaan, yaitu bagan struktur organisasi, uraian tugas serta tanggung jawab, jenis software yang digunakan, printscreen dari software yang digunakan, serta dokumen lain yang berkaitan dengan penerapan sistem aplikasi ERP pada PT. IMI.

2.      Observasi

  Kami melakukan observasi langsung di perusahaan PT. IMI yang berhubungan dengan sistem aplikasi ERP perusahaan. Pengamatan yang dilakukan adalah sebagai berikut:

a.       Analisis catatan (record analysis), meliputi catatan historis atau masa kini dan catatan umum atau pribadi, berupa tertulis, dalam bentuk print-out.

b.         Analisis kondisi fisik (physical condition analysis), analisis kondisi fisik dari obyek yang diteliti, menganalisa hardware yang digunakan oleh PT. IMI.

c.  Analisis proses atau aktivitas (process or activity analysis), kami menganalisa aktivitas pelaksanaan input dan output yang dihasilkan serta aktivitas pengendalian aplikasi terhadap proses tersebut. Aktivitas ini menggunakan pendekatan auditing around the computer, suatu pendekatan dengan memperlakukan komputer sebagai black box. Kami tidak menguji langkah-langkah proses secara langsung tetapi membandingkan input dan output dari sistem. Diasumsikan bahwa jika input benar akan diwujudkan pada output, sehingga pemrosesannya juga benar dan tidak melakukan pengecekan terhadap pemrosesan komputer secara langsung.

3.      Komunikasi dengan Wawancara dan Kuesioner.

     Wawancara yang dilakukan yaitu wawancara secara personal kepada pihak manajerial TI dengan Bpk Rencana Ginting (Cana), dan wawancara yang dilakukan dengan cara menyebarkan kuesioner. Pembuatan kuesioner menggunakan pendekatan COBIT 4.1. Setelah melakukan penyebaran kuisioner dilakukan mapping / pengidentifikasian pertanyaan tiaptiap proses TI. Hal ini bertujuan agar informasi tiap-tiap proses TI COBIT dapat terpenuhi.         Penyebaran kuesioner berjumlah 5 responden yang tersebar di divisi TI sebanyak 1 responden, divisi Finance sebanyak 1 responden, divisi Sales sebanyak 1 responden, divisi Warehouse sebanyak 1 responden, dan divisi Purchasing sebanyak 1 responden, maka didapatkan jawaban yang sama untuk pertanyaan ya dan tidak, dengan komentar yang sedikit berbeda untuk setiap responden.

       Kuesioner memiliki 2 jenis yaitu kuesioner untuk TI dan kuesioner untuk non-TI. Kuesioner untuk TI terdiri dari 88 pertanyaan, yaitu 11 pertanyaan kuesioner pengendalian umum (General Controls), 17 pertanyaan pengendalian batasan (Boundary Controls), 12 pertanyaan pengendalian masukan (Input Controls), 10 pertanyaan pengendalian proses (Process Controls), 4 pertanyaan pengendalian keluaran (Output Controls), 17 pertanyaan pengendalian basisdata (Database Controls), 12 pertanyaan pengendalian komunikasi aplikasi (Application Communication Controls), dan 5 pertanyaan pengendalian sistem operasi (Operating System Controls).

     Sedangkan kuesioner untuk non-TI terdiri dari 65 pertanyaan, yaitu 8 pertanyaan kuesioner pengendalian umum (General Controls), 12 pertanyaan pengendalian batasan (Boundary Controls), 22 pertanyaan pengendalian masukan (Input Controls), 8 pertanyaan pengendalian proses (Process Controls), 14 pertanyaan pengendalian keluaran (Output Controls), dan 1 pertanyaan pengendalian komunikasi aplikasi (Application Communication Controls).

TUGAS 1 (mandiri)

AUDIT TEKNOLOGI SISTEM INFORMASI

Disusun oleh :

Prisma Prasetyo

18116402

Fakultas Ilmu Komputer & Teknologi Informasi

Universitas Gunadarma

2019

           

           1.      Jelaskan perbedaan masing - masing auditor berdasarkan jenis - jenis auditor.

          Auditor Internal (Internal Auditor)

Auditor internal adalah auditor yang dipekerjakan oleh suatu entitas usaha dan bekerja untuk perusahaan tersebut. Auditor internal hanya memeriksa dokumen – dokumen keuangan internal yang diberikan oleh pihak – pihak manajemen dalam ruang lingkup yang terbatas. Auditor internal juga membantu perusahaan untuk meningkatkan akurasi data keuangan mereka dan menghindari masalah hukum atau keuangan.

          Auditor Independen (Independent Auditor)

Auditor independen adalah auditor eksternal yang pada umumnya merupakan anggota kantor akuntan publik yang memberikan jasa audit profesional untuk masing – masing klien. Di luar negeri sebutan auditor independen adalah CPA. Auditor independen haruslah benar – benar independen yang tidak dipengaruhi oleh pihak – pihak manapun.

          Auditor Pemerintah (Government Auditor)

Auditor pemerintah adalah auditor yang bekerja pada sektor – sektor pemerintahan. Auditor pemerintah pada umumnya meninjau keuangan dan praktek lembaga – lembaga pemerintahan. Hasilnya akan dijadikan acuan dalam membuat dan mengelola beberapa kebijakan dan anggaran.

          Auditor Forensik (Forensic Auditor)

Auditor forensik adalah auditor yang mempunyai spesialisi dalam tindakan kriminal keuangan. Biasanya mereka memeriksa beberapa dokumen yang terkait dengan tindakan kriminal seperti kejahatan perbankan, fraud, money laundry, serta melacak uang yang diguankan untuk mencari tahu di mana uang itu berasal dan dimana uang itu tersimpan.

2.      Cari tau standar profesi auditor SI dan jelaskan organisasi yang mengeluarkan standar tersebut.

Standar auditor SI tidak lepas dari standar profesional seorang auditor SI. Standar profesional adalah ukuran mutu pelaksanaan kegiatan profesi yang menjadi pedoman bagi para anggota profesi dalam menjalankan tanggung jawab profesinya. Standar profesional adalah batasan kemampuan (knowledge, technical skill and professional attitude) minimal yang harus dikuasai oleh seseorang individu untuk dapat melakukan kegiatan profesionalnya pada masyarakat secara mandiri yang aturan – aturannya dibuat oleh organisasi profesi yang bersangkutan. Beberapa standar audit SI yang biasa digunakan adalah sebagai berikut :

         ISACA : IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals.

          IIA : International Professional Practices Framework / IPPF.

          IASII : Standar Audit Sistem Informasi.

          BI : Standar Pelaksanaan Fungsi Audit Intern Bank / SPFAIB.

          BPPT : Framework, Kode Etik & Standar, Pedoman Umum Audit Teknologi.

 3.     Menurut anda seberapa penting audit TI dan SI perlu dilakukan terhadap suatu organisasi.

Menurut saya dalam hal proses data menjadi suatu informasi merupakan sebuah kegiatan dalam organisasi yang bersifat repetitif sehingga harus dilaksanakan secara sistematis dan otomatis. Dengan demikian, sangatlah diperlukan adanya pengelolaan yang baik dalam sistem yang mendukung proses pengolahan data tersebut. Dalam sebuah organisasi tata kelola sistem dilakukan dengan melakukan audit. audit sistem informasi merupakan tinjauan pengendalian umum dan aplikasi untuk menilai pemenuhan kebijakan dan prosedur pengendalian internal serta keefektivitasannya untuk menjaga asset.

https://www.akuntansilengkap.com/akuntansi/jenis-jenis-audit-dan-auditor/