Wednesday, October 25, 2017

2.4 Pengendalian Jaringan Komputer

Alat bantu (tools) penting yang dapat digunakan oleh operator untuk mengolah wide area network adalah network control terminal. Network control terminal menyediakan akses kepada software system yang khusus untuk mengelolah jenis fungsi, 
Beberapa cara pengendalian jaringan komputer :
·         Memonitor aktivitas jaringan
·         Mengganti nama line komunikasi
·         Mengenerate statistic system
·         Mensetting ulang panjangnya antrian
·         Menambah frekuensi backup
·         Menanyakan status sistem
·         Mengirimkan system warning dan status message
·         Memeriksa lintasan data pada line komunikasi
Contoh : Monitoring jaringan, management trafict networking.
Network control terminal juga dapatdigunakan untuk menjalankan fungsi yang sejenis ke peralatan individual yang terhubung dengan jaringan, karena itu dari sudut pengamanan harta dan data integrity, network control terminal adalah komponen yang sangat penting pada suatu jaringan.

2.3 Pengendalian Perangkat Lunak

Menurut Ruppel (2008, hal 53.7-538) adalah sistem pengendalian intern (internal control) pada sistem informasi berbasis teknologi informasi yang berkaitan dengan pekerjaan/kegiatan/aplikasi tertentu ( setiap aplikasi memiliki karekteristik dan kebutuhan pengendalian yang berbeda ).
  •          Boundary : User dengan sistem berbasis teknologi informasi tujuannya untuk mengenal identitas dan otentik/tidaknya pemakai sistem.
  •           Otoritas akses ke sistem aplikasi
  •            Identifikasi dan otentisitas pengguna
  •       Pengendalian masukan yang dirancang dengan tujuan untuk mendapatkan keyakinan bahwa data transaksi input adaah valid, lengkap, serta bebas dari kesalahan dan penyalagunaan
Contoh :
Pengendalian transaksi, karena didesain berkaitan dengan transaksi pada aplikasi tertentu.

2.2 Pengendalian Perangkat Keras

Suatu perangkat keras atau hardware sangat berpengaruh dalam infrastruktur TI dalam suatu instansi dan sangat penting dalam operasional kinerja manajemen internal, lalu ada beberapa cara bagaimana cara pengendalian perangkat keras tersebut.
  •        Pengawasan terhadap akses fisik  : untuk menjaga perangkat komputer dari kemungkinan penyalahgunaan, akses fisik terhadap perangkat komputer perlu diawasi.
  •       Pengaturan Lokasi Fisik : Lokasi ruang komputer merupakan pertimbangan yang pentin dalam pengendalian keamana komputer.
  •           Penggunaan alat pengamanan : Alat – alat penggunaantambahan diperlukan untuk menjaga keamanan komputer dari kemungkinan kerusakan
  •     Pengendalian operasi perangkat : merupakan bentuk pengendalian untuk menjaga perangkat keras dari kemungkinan kerusakan akibat kesalahan pengoperasian perangkat tersebut
Contoh : penjadwalan perawatan perangkat keras, pengamanan lokasi perangkat keras, akses masuk ruangan perangkat keras, maintenance perangkat keras

2.1 Pengendalian Personil (User Pengguna TI)

Personil dalam suatu perusahan atau instansi mempunyai peranan penting dalam pengendalian sistem. Cara pengendalian personil dapat diindikasikan oleh hal-hal berikut :
  •         Adanya Prosedur penerimaan dan pemelihan pegawai
  •   Adanya program peningkatan keahlian pegawai melalui pelatihan yang berubungan dengan bidang tugasnya.
  •         Adanya evaluasi atas pekerjaan  yang dilakukan pegawai
  •          Administrasi atas gaji dan prosedur promosi yang jelas
  •         Penggunaan uraian tugas
  •         Pemilihan dan pelatihan pegawai
  •         Penyediaan dan pelatihan
  •         Penggiliran pekerjaan (job rotation) dan keharusan mengambil cuti
  •          Adanya jenjang karier serta sarana dan aturan untuk mencapainya
Contoh : manajemen perekrutan, promosi, pelatihan pegawai. Sebuah perusahaan membuka lowoangan pekerjaan bagi umum. Untuk meningkatkan semangat pegawai diadakan promosi bagi para pegawainya. Untuk mendapatkan kemampuan skill bagi para pegawai maka diadakan pelatihan di perusahaan.

Wednesday, October 11, 2017

1.3 Teknologi yang dilakukan untuk Audit SI

cobit-5
Apa itu COBIT? COBIT (Control Objective for Information & Related Technology) adalah sekumpulan dokumentasi best practice untuk IT Governance (tata kelola TI) yang dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT (Sasongko, 2009). Sampai saat ini, COBIT masih dipandang sebagai teknologi terbaik yang digunakan dalam audit sistem informasi.

Lalu apakah ada teknologi lain selain COBIT? Jawabannya adalah ada. Sebelum COBIT, dikenal ITIL (Information Technology Infrastructure Library). Keduanya sama-sama kerangka kerja (framework) dalam audit sistem informasi.
resize-1480057217-COBIT vs ITIL
COBIT merupakan a set of best practice (framework) bagi pengelolaan teknologi informasi (IT management) yang secara lengkap terdiri dari: executive summary, framework, control objectives, audit guidelines, implementation tool set serta management guidelines yang sangat berguna untuk proses sistem informasi strategis. COBIT berguna bagi IT users dalam memperoleh keyakinan atas kehandalan sistem aplikasi yang dipergunakan. Sedangkan para manajer memperoleh manfaat dalam keputusan saat menyusun strategic IT plan, menentukan information architecture, dan keputusan atas procurement (pengadaan/pembelian) inventaris organisasi.
(Hariyanto, 2013) Menjelaskan mengenai domain terbagi dalam 34 Control Objective:
1. Plan and Organise (PO), Secara umum domain ini meliputi strategi dan taktik, serta identifikasi bagaimana TI dapat berkontribusi terhadap pencapaian sasaran bisnis. Domain ini dibagi ke dalam 10 fase dalam prosesnya, yaitu:
  • PO1: Mendefinisikan rencana strategis TI
  • PO2: Mendefinisikan arsitektur informasi
  • PO3: Menentukan arahan teknologi
  • PO4: Mendefinisikan proses TI, organisasi dan keterhubungannya
  • PO5: Melelola investasi TI
  • PO6: Mengkomunikasikan tujuan dan arahan manajemen
  • PO7: Mengelola sumber daya TI
  • PO8: Mengelola kualitas
  • PO9: Menaksir dan mengelola resiko TI
  • PO10: Mengelola proyek
2. Acquire and Implement (AI), Domain ini menggambarkan bagaimana perubahan dan pemeliharaan dari sistem yang ada selaras dengan sasaran bisnis. Domain AI terbagi menjadi tujuh proses TI yang dapat dilihat pada tabel berikut:
  • AI1: Mengidentifikasi Solusi Otomatis
  • AI2: Memperoleh dan Memelihara Software Aplikasi
  • AI3: Memperoleh dan Memlihara Infrastruktur Teknologi
  • AI4: Memungkinkan Operasional dan Penggunaan
  • AI5: Memenuhi Sumber Daya TI
  • AI6: Mengelola Perubahan
  • AI7: Instalasi dan Akreditasi Solusi beserta Perubahannya
3. Deliver and Support (DS), Domain ini mencakup penyampaian hasil aktual dari layanan yang diminta, termasuk pengelolaan kelancaran dan keamanan, dukungan layanan terhadap pengguna serta pengelolaan data dan operasional fasilitas, yang meliputi:
  • DS1: Mengidentifikasi dan Mengelola Tingkat Layanan
  • DS2: Mengelola Layanan Pihak Ketiga
  • DS3: Mengelola Kinerja dan Kapasitas
  • DS4: Memastikan Layanan yang Berkelanjutan
  • DS5: Memastikan Keamanan Sistem
  • DS6: Mengidentifikasi dan Mengalokasikan Biaya
  • DS7: Mendidik dan Melatih Pengguna
  • DS8: Mengelola service desk
  • DS9: Mengelola Konfigurasi
  • DS10: Mengelola Permasalahan
  • DS11: Mengelola Data
  • DS12: Mengelola Lingkungan Fisik
  • DS13: Mengelola Operasi
4. Monitor and Evaluate (ME), Domain ini terkait dengan kinerja manajemen, kontrol internal, pemenuhan terhadap aturan serta menyediakan tata kelola. Fungsi doman ini sendiri adalah untuk memastikan seluruh proses TI dapat dikontrol secara periodik yang bermaksud untuk menjaga kualitas dan pemenuhan kebutuhan pasar. Berbeda dari domain yang lain, ME hanya terdiri dari 4 proses TI, yaitu:
  • ME1: Mengawasi dan Mengevaluasi Kinerja TI
  • ME2: Mengawasi dan Mengevaluasi Kontrol Internal
  • ME3: Memastikan Pemenuhan terhadap Kebutuhan Eksternal
  • ME4: Menyediakan Tata Kelola TI
Implementasi COBIT dipercaya dapat membantu perusahaan dalam hal meningkatkan pendekatan/program audit, mendukung audit kerja dengan arahan audit secara rinci, memberikan petunjuk untuk IT governance, sebagai penilaian benchmark untuk kendali IS/IT, meningkatkan control IS/IT, dan sebagai standarisasi pendekatan/program audit.
Sumber Referensi
Fajar Himawan, Hendra. Pengertian COBIT [online]. Tersedia: https://haendra.wordpress.com/2012/06/08/pengertian-cobit/ [10 Oktober 2017]
Proxsisgroup. Pentingnya Implementasi COBIT bagi IT Perusahaan [online]. Tersedia: https://www.proxsisgroup.com/articles/pentingnya-implementasi-cobit-bagi-perusahaan/ [10 Oktober 2017]

1.2 Tujuan Audit Sistem Informasi pada Tata Kelolanya & Contohnya

Audit Sistem Informasi memiliki beberapa fokus tujuan, salah satunya adalah pada tata kelola TI atau IT Governance. Tata kelola TI adalah suatu cabang dari tata kelola perusahaan yang terfokus pada sistem teknologi informasi (TI) serta manajemen kinerja dan risikonya. IT governance adalah istilah inklusif yang mencakup sistem informasi,
teknologi, dan komunikasi, bisnis, masalah hukum dan lainnya, dan semua stakeholderbersangkutan, direktur, manajemen senior, pemilik proses, TI pemasok, pengguna dan auditor.
governance_3
Tujuan audit sistem informasi pada tata kelola TI diantaranya adalah:
  1. Meningkatkan pengamanan aset
    Asset (aktiva) yang berhubungan dengan instalasi sistem informasi mencakup: perangkat keras, perangkat lunak, fasilitas, manusia, file data, dokumentasi sistem, dan peralatan pendukung lainnya. Sama halnya dngan aktiva – aktiva lainnya, maka aktiva ini juga perlu dilindungi dengan memasang pengendalian internal. Perangkat keras bisa rusak karena unsur kejahatan ataupun sebab-sebab lain. Perangkat lunak dan isi file data dapat dicuri. Peralatan pendukung dapat dihancurkan atau digunakan untuk tujuan yang tidak diotorisasi. Karena konsentrasi aktiva tersebut berada pada lokasi pusat sistem informasi, maka pengamanannya pun menjadi perhatian dan tujuan yang sangat penting.
  2. Menjaga integritas data
    Integritas data merupakan konsep dasar audit sistem informasi. Integritas data berarti data memiliki atribut: kelengkapan (completeness), sehat dan jujur (soundness), kemurnian (purity), ketelitian (veracity). Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan potret dirinya dengan benar akibatnya, keputusan maupun langkah-langkah penting di organisasi salah sasaran karena tidak didukung dengan data yang benar.
  3. Meningkatkan efektivitas sistem
    Sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya. Untuk menilai efektivitas sistem, auditor sistem informasi harus tahu mengenai kebutuhan pengguna sistem atau pihak-pihak pembuat keputusan yang terkait dengan layanan sistem tersebut. Selanjutnya, untuk menilai apakah sistem menghasilkan laporan / informasi yang bermanfaat bagi penggunanya, auditor perlu mengetahui karakteristik user berikut proses pengambilan keputusannya.
  4. Mengingkatkan efisiensi sumber daya
    Suatu sistem sebagai fasilitas pemrosesan informasi dikatakan efisien jika ia menggunakan sumber daya seminimal mungkin untuk menghasilkan output yang dibutuhkan. Efisiensi sistem pengolahan data menjadi penting apabila tidak ada lagi kapasitas sistem yang menganggur.
Audit sistem informasi pada tata kelola TI yang sering dilakukan adalah menggunakan kerangka kerja COBIT. Contoh penerapannya dapat disimak pada paper Setia Wardani dan Mita Puspita Sari dari Fakultas Teknik Universitas PGRI Yogyakarta (UPY) tahun 2014 dengan judul “Audit Tata Kelola Teknologi Informasi Menggunakan Framework COBIT Dengan Model Maturity Level”, dapat diunduh di sini.
Sumber Referensi
Sari, Ratna. Pentingnya Audit Sistem Informasi Bagi Organisasi [online]. Tersedia: https://sis.binus.ac.id/2015/06/24/pentingnya-audit-sistem-informasi-bagi-organisasi/ [10 Oktober 2017]
Tri Suswanto Saptadi, N. Konsep Tata Kelola TI [online]. Tersedia: http://fti.uajm.ac.id/ajar/Audit%20Sistem%20Informasi/01%20Konsep%20Tata%20Kelola.pdf [10 Oktober 2017]
Wardani, Setia dan Mita Puspitasari. 2014. Audit Tata Kelola Teknologi Informasi Menggunakan Framework COBIT Dengan Model Maturity Level. Yogyakarta: Repository Universitas PGRI Yogyakarta.

1.1 Audit Sistem Informasi

Dijabarkan dari kata penyusunnya, audit dan sistem informasi. Arti kata audit menurut Kamus Besar Bahasa Indonesia (KBBI) adalah pemeriksaan pembukuan tentang keuangan (perusahaan, bank, dan sebagainya) secara berkala; pengujian efektivitas keluar masuknya uang dan penilaian kewajaran laporan yang dihasilkannya. Sistem informasi yaitu suatu sistem yang menyediakan informasi untuk manajemen dalam mengambil keputusan dan juga untuk menjalankan operasional perusahaan, di mana sistem tersebut merupakan kombinasi dari orang-orang, teknologi informasi dan prosedur-prosedur yang tergorganisasi. Biasanya suatu perusahan atau badan usaha menyediakan semacam informasi yang berguna bagi manajemen.
BSAAudit
Karena yang diaudit adalah sistem informasi pada sebuah instansi, maka apa saja yang diperiksa, diukur dan diuji? Secara garis besar perlunya pelaksanaan audit dalam sebuah perusahaan yang telah mempunyai keahlian dalam bidang teknologi informasi yaitu antara lain: Kerugian akibat kehilangan data, kerugian akibat kesalahan pemrosesan komputer, pengambilan keputusan yang salah akibat informasi yang salah, kerugian karena penyalahgunaan komputer (Computer Abused), Nilai hardware, software dan personil sistem informasi, dan terakhir pemeliharaan kerahasiaan informasi.
Tujuan audit sistem informasi dapat dikelompokkan ke dalam dua aspek utama, yaitu:
  1. Conformance (Kesesuaian). Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu: confidentiality(kerahasiaan), integrity (integritas), availability (ketersediaan), dan compliance (kepatuhan).
  2. Performance (Kinerja). Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu : effectiveness (efektifitas), efficiency (efisiensi), reliability (kehandalan).
Dalam melakukan audit sistem informasi, perlu dilakukan perencaan terlebih dahulu. Dimulai dari penentuan ruang lingkup, menentukan instrumen audit, penetapan bobot kuesioner, penghitungan tingkat risiko.
Dalam audit sistem informasi, dikenal kerangka kerja bernama COBIT. Control Objective for Information & Related Technology (COBIT) adalah sekumpulan dokumentasi best practice untuk IT Governance yang dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT (Sasongko, 2009).
COBIT mendukung tata kelola TI dengan menyediakan kerangka kerja untuk mengatur keselarasan TI dengan bisnis. Selain itu, kerangka kerja juga memastikan bahwa TI memungkinkan bisnis, memaksimalkan keuntungan, resiko TI dikelola secara tepat, dan sumber daya TI digunakan secara bertanggung jawab (Tanuwijaya dan Sarno, 2010).
COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara dibangun chapter yang dapat mengelola para profesional tersebut.
Sumber Referensi
Fajar Himawan, Hendra. Pengertian COBIT [online]. Tersedia: https://haendra.wordpress.com/2012/06/08/pengertian-cobit/ [10 Oktober 2017]
Gusti Made Karmawan, I. Audit Sistem Informasi [online]. Tersedia: http://sis.binus.ac.id/2017/01/17/audit-sistem-informasi/ [9 Oktober 2017]
ISG Binus University. Apa Itu Audit Sistem Informasi [online]. Tersedia: http://scdc.binus.ac.id/isgbinus/2016/04/apa-itu-audit-sistem-informasi/ [9 Oktober 2017]
ISG Binus University. Pengertian Sistem Informasi [online]. Tersedia: http://scdc.binus.ac.id/himsisfo/2016/07/pengertian-sistem-informasi/ [10 Oktober 2017]