- Tabel Perbandingan +/- Standar Audit SI
| Audit SI | Kelebihan | Kekurangan |
| COBIT | · Rahasia · Integritas · Dapat memberi proteksi terhadap informasi yg sensitif dari akses orang tidak bertanggung jawab | · Cobit hanya berfokus pada kendali dan pengukuran · Cobit hanya memberikan panduan kendali dan tidak memberikan panduan implementasi operasional |
| ITIL (Information Technology Infrastructure Library) | · Memberi deskripsi rinci sejumlah praktik penting TI dan menyediakan daftar komprehensif tugas dan prosedur · bukan merupakan standard yang memberikan prescription tetapi lebih kepada merekomendasikan, oleh karena itu implementasi antara satu organisasi dengan organisasi lain dapat dipastikan terdapat perbedaan. Dengan demikian kita tidak bisa membandingkan / melakukan benchmark secara pasti. | · buku-buku ITIL sulit terjangkau bagi pengguna non komersial, ITIL bersifat holistic yang mencakup semua kerangka kerja untuk tatakelola TI, pelaksanaan pedoman dalam buku ITIL memerlukan pelatihan khusus dan biaya pelatihan atau sertifikasi ITIL terlalu tinggi. |
| ISO/IEC 38500 | · Menjamin akuntabilitas diberikan untuk semua Resiko IT dan aktivitasnya · Memberikan panduan kepada advisor perusahaan. · Memberikan prinsip panduan bagi direksi organisasi (termasuk pemilik, anggota dewan, direktur, mitra, eksekutif senior, atau yang sejenisnya) mengenai penggunaan Teknologi Informasi (TI) yang efektif, efisien, dan dapat diterima di dalam organisasi mereka. | · Tidak cocok digunakan sebagai IT management framework |
A. Konsep Dasar Kontrol dan Audit Sistem Informasi
Audit sistem informasi berbasis kendali merupakan suatu sistem yang mencegah, mendeteksi atau memperbaiki kejadian yang tidak dibenarkan (unlawfulevents) seperti: unautorized (tidak nyambung), innacurrete(kurang baik), incomplete(tidak komplet/tidak sesuai), redundant(mubazir), ineffective, ineffeicient event.tujuanya yaitu untuk mengurangi kesalahan yang mungkin terjadi dari kejadian yang dibenarkan.
Berdasarkan standar manajemen yang dikeluarkan oleh Internasional Standar Organization (ISO) yaitu ISO 9001-2000, penilaian kondisi sistem mutu mempunyai 4 skala yaitu:
- P (Poor) yaitu sistem mutu praktis belum terbentuk. Disarankan untuk meninjau ulang keseluruhan proses.
- W (Weak) yaitu masih banyak elemen sistem manajemen mutu yang tidak sesuai standar.
- F (Fair) yaitu beberapa elemen sistem telah sesuai standar tetapi masih ada yang belum sesuai bahkan tidak ada sama sekali.
- S (Strong) yaitu Sebagian besar persyaratan ISO 9001-2000 telah dapat dipenuhi oleh sistem.
B. Prinsip – prinsip Dasar Proses Audit SI
- Audit dititik beratkan pada objek audit yang mempunyai peluang untuk diperbaiki.
- Prasyarat Penilaian terhadap kegiatan objek audit.
- Pengungkapan dalam laporan adanya temuan-temuan yang bersifat positif.
- Identifikasi individu yang bertanggung jawab terhadap kekurangan-kekurangan yang terjadi.
- Penentuan tindakan terhadap petugas yang seharusnya bertanggung jawab.
- Pelanggaran hukum.
- Penyelidikan dan pencegahan kecurangan.
C. Standar dan Panduan Audit SI
Panduan yang dipergunakan dalam Audit Sistem Informasi di Indonesia adalah Standar Atestasi, dan aturan-aturan yang dikeluarkan oleh organisasi profesi akuntansi (IAI di Indonesia, AICPA di USA, atau CICA untuk Kanada), maupun yang lebih khusus lagi, yaitu dari ISACA atau IIA. Model referensi sistem pengendalian intern (internal controls model/framework) lazimnya adalah COBIT. Audit objectives dalam audit terhadap
IT governance (menurut COBIT adalah: effectiveness, confidentiality, data integrity, availability, efficiency, dan realibility). Karena yang diperiksa adalah tata-kelola Teknologi Informasi (IT governance), maka yang diperiksa antara lain adalah Teknologi Informasi itu sendiri. Karena itu istilah audit arround the computer dan audit through the computer tidak relevan lagi di sini.
Standar Audit SI ada 3, yaitu :
- ISACA
- COBIT
- ISO 1799
D. Kontrol Internal, Ruang Lingkup Kontrol internal & Sistem Kontrol Internal
- Pengendalian intern (internal control) adalah untuk membantu manajemen dengan tujuan tercapainya mekanisme kerja yang lebih efisien dan efektif. Struktur pengendalian intern sebagai suatu tipe pengawasan diperlukan karena adanya keharusan untuk mendelegasikan wewenang dan tanggung jawab dalam suatu organisasi.
- Ruang lingkup audit sistem informasi dibatasi pada pengendalian internal, sementara ruang lingkup audit operasional lebih luas, melintasi seluruh aspek manajemen sistem informasi.
prosedur pengumpulan buktinya ?
- Mengamati fungsi – fungsi dan kegiatan operasional.
- Memeriksa rencana dan laporan keuangan serta operasional
- Menguji akurasi informasi operasional
- Menguji pengendalian
- Control is a system that prevents, detects, or corects unlawful events .
1. A system : komponen-komponen yang saling berkaitan untuk
mencapai tujuan bersama
Evaluasi terhadap kontrol harus mempertimbangkan
keterkaitannya dari perspektif sistem (= IS / organization
perspective)
2. Focus on unlawful events (=kejadian tdk sah/tdk benar).
Unlawful events : unauthorized, inaccurate, incomplete,
redundant, ineffective, or inefficient input enters the system
3. Controls are used to prevents, detects, or corects unlawful
events.
Untuk mengurangi kerugian yang mungkin terjadi karena
kemunculan unlawful events dalam sistem.
E. Control Objectives, Control Risk
- Control objectives ialah sekumpulan best practices (framework) untukmanajemen IT, berupa sekumpulan ukuran, indikator, proses dan best practives untuk memaksimalkan manfaat penggunaan IT, dan melakukan tata kelola serta kontrol IT dalam perusahaan
- Control Risk audit sistem informasi tidak dapat mendeteksi kelemahan kendali
F. Management Control Framework & Application Control Framework
Application control adalah sistem pengendalian intern komputer yang berkaitan dengan pekerjaan atau kegiatan tertentu yang telah ditentukan.
Tujuan pengendalian aplikasi :
- Input data akurat, lengkap, terotorisasi dan benar
- Data diproses sebagaimana mestinya dalam periode waktu yang tepat
- Data disimpan secara tepat dan lengkap
- Output yang dihasilkan akurat dan lengkap
- Adanya catatan mengenai pemrosesan data dari input sampai menjadi output
management control adalah melindungi terhadap akses tidak sah atau kerusakan data & memadai backup data. Adapun control tersebut meliputi kontrol terhadap:
- access – encryption, user authorization tables, inference controls and biometric devices are a few examples
- backup – grandfather-father-son and direct access backup; recovery procedures
G. Corporate IT Governance
IT Governance adalah tanggung jawab dewan direksi dan manajemen eksekutif dan merupakan bagian integral dari tata kelola perusahaan. IT governance terdiri dari kepemimpinan dan organisasi struktur dan proses yang memastikan bahwa organisasi IT ini menopang dalam arti luas strategi dan tujuan organisasi.
- Aspek Management Control Framework
- Planning and Organization
- Acquisition and Implementation
- Delivery and Support
- Monitoring
Application control framework
Boundary controls
A. Cryptographic control
- Transposition ciphers: menggunakan permutasi urutan karakter dari sederet string
- Subtitution ciphers: mengganti karakter dengan karakter lain sesuai aturan tertentu
- Product ciphers: kombinasi transposition dan subtitution ciphers
B. Access control
- Acccess controls yang digunakan dan kemungkinan masalahnya
- Ukuran proteksi yang ditekankan pada mekanisme access controls
- Apakah organisasi menggunakan access controls yang disediakan dalam paket perangkat lunak
C. Personal Identification Numbers (PIN)
- Generasi PIN
- Penerbitan dan penyampaian PIN kepada pengguna
- Validasi PIN
- Transmisi PIN di seluruh jalur komunikasi
- Pemrosesan PIN
- Penyimpanan PIN
- Perubahan PIN
- Penggantian PIN
- Penghentian PIN
D. Digital signature
pengujian sistem manajemen yang digunakan untuk mengelola tanda tangan digital, penggunaan dan penyebarannya
E. Plastic cards
- Pengajuan kartu
- Persiapan kartu
- Penerbitan kartu
- Penggunaan kartu
- Pengembalian/ penghancuran kartu
