Embed Size (px)
Citation preview
kontrol dan Auditkontrol dan AuditSistem InformasiSistem Informasi
SYUL AMRISYUL AMRI1125310197611253101976SISTEM INFORMASI UIN SUSKA RIAUSISTEM INFORMASI UIN SUSKA RIAU
Kontrol Sistem Informasi Preventif Control adalah suatu langkah
pencegahan yang diambil sebelum keadaan darurat, kehilangan, atau masalah terjadi. Ini termasuk penggunaan alarm dan kunci, pemisahan tugas (untuk mencegah perekam uang tunai dari kas dan mengendalikan persediaan personil dari pengendalian persediaan) ditambah umum lainnya dan kebijakan-kebijakan otorisasi khusus.
Detective control adalah sesuatu yang dirancang untuk menemukan kesalahan atau penyimpangan setelah mereka telah terjadi (missalnya : departemen memeriksa tagihan telepon untuk panggilan pribadi).
Corrective control adalah program yang dibuat khusus untuk memperbaiki kesalahan pada data yang mungkin timbul akibat gangguan pada jaringan, komputer ataupun kesalahan user.
Secara umum, fungsi dari kontrol adalah untuk menekan kerugian yang mungkin timbul akibat kejadian yang tidak diharapkan yang mungkin terjadi pada sebuah sistem.
AuditMenurut pendapat Ron Weber (1999, p.10) “Audit sistem informasi adalah proses mengumpulkan dan mengevalusi bukti untuk menentukan kemampuan sistem komputer dalam melindungi aset, merawat integritas data, mencapai tujuan organisasi dan menggunakan sumber daya dengan efisien”.
Keuntungan dari Audit Menilai keefektifan aktivitas-aktifitas dokumentasi
dalam organisasi. Mengidentifikasi kelemahan di sistem yang
mungkin mengakibatkan ketidaksesuaian di masa datang.
Memonitor kesesuaian dengan kebijakan, sistem, prosedur dan undang-undang perusahaan.
Melaporkan hasil tinjauan dan tindakan berdasarkan resiko ke Manajemen.
Menyediakan informasi untuk proses peningkatan. Mengukur tingkat efektifitas dari sistem.
Jenis Audit (IT)System Audit
Audit terhadap sistem terdokumentasi untuk memastikan sudah memenuhi standar nasional atau internasional
Product / Service Audit Untuk menguji suatu produk atau layanan
telah sesuai seperti spesifikasi yang telah ditentukan dan cocok digunakan
Compliance Audit Untuk menguji efektifitas implementasi
dari kebijakan, prosedur, kontrol dan unsur hukum yang lain.
Siapa yang Diaudit Management IT Manager IT Specialist (network, database,
system analyst, programmer, dll.) User
Yang Melakukan Audit Internal Audit (first party audit)
Dilakukan oleh atau atas nama perusahaan sendiri Biasanya untuk management review atau tujuan
internal perusahaanLembaga independen di luar
perusahaan Second party audit
Dilakukan oleh pihak yang memiliki kepentingan thd perusahaan
Third party audit Dilakukan oleh pihak independen dari luar
perusahaan. Misalnya untuk sertifikasi (ISO 9001, BS7799 dll).
Tugas Auditor IT Memastikan sisi-sisi penerapan IT
memiliki kontrol yang diperlukan
Memastikan kontrol tersebut diterapkan dengan baik sesuai yang diharapkan
Yang Dilakukan dalam AuditPersiapanReview DokumenPersiapan kegiatan on-site auditMelakukan kegiatan on-site auditPersiapan, persetujuan dan
distribusi laporan auditFollow up audit
Output kegiatan AuditHasil akhir adalah berupa laporan yang berisi:
Ruang Lingkup audit.Mekanisme Audit.Temuan-temuan.Ketidaksesuaian (sifat ketidaksesuaian, bukti2 pendukung, syarat yang tidak dipenuhi, lokasi, tingkat ketidaksesuaian).
Kesimpulan (tingkat kesesuaian dengan kriteria audit, efektifitas implementasi, pemeliharaan dan pengembangan sistem manajemen, rekomendasi).
Prinsip-prinsip AuditEthical conduct
Berdasar pada profesionalisme, kejujuran, integritas, kerahasiaan dan kebijaksanaan
Fair Presentation Kewajiban melaporkan secara jujur dan
akurat Independence
Lanjutan...Due professional care
Implementasi dari kesungguhan dan pertimbangan yang diberikan.
Evidence-base approachpendekatan berdasarkan fakta.
Standar yang Biasa Digunakan dalam Audit ISO / IEC 17799 and BS7799 Control Objectives for Information and
related Technology (CobiT) ISO TR 13335 IT Baseline Protection Manual ITSEC / Common Criteria Federal Information Processing Standard
140-1/2 (FIPS 140-1/2) ISO 9000 CobiT
