Sfebgadp | Make Your Imagination Come True: AUDIT TEK. SISTEM INFORMASI

1. PENGENDALIAN UMUM DALAM AUDIT SISTEM INFROMASI

PENDAHULUAN

Pengelolaan dokumen pada dasarnya merupakan salah satu kegiatan yang ditujukan untuk mengelola segala dokumen-dokumen yang ada dalam suatu organisasi atau instansi yang dapat digunakan sebagai penunjang aktivitas organisasi tersebut dalam mencapai tujuannya. Terkait dengan pengelolaan kearsipan di Indonesia diatur dalam Undang-undang Republik Indonesia Nomor 43 Tahun 2009 tentang Kearsipan menerangkan bahwa yang dimaksud dengan kearsipan adalah hal-hal yang berkenaan dengan arsip.

Pada dasarnya arsip merupakan rekaman kegiatan atau peristiwa dalam berbagai bentuk dan media sesuai dengan perkembangan teknologi informasi dan komunikasi yang dibuat dan diterima oleh lembaga negara, pemerintah daerah, lembaga pendidikan, perusahaan, organisasi politik, organisasi kemasyarakatan dan perseorangan dalam pelaksanaan kehidupan bermasyarakat, berbangsa, dan bernegara.

Dengan demikian, maka dapat diketahui arti pengtingnya kearsipan yaitu mempunyai jangkauan yang amat luas. Di mana kearsipan mempunyai peranan sebagai pusat ingatan, sumber informasi serta sebagai alat pengawasan yang sangat diperlukan dalam setiap organisasi dalam rangka melaksanakan segala kegiatannya baik pada kantor-kantor lembaga negara dan swasta. Dalam proses penyajian imformasi agar pimpinan dapat membuat keputusan dan merencanakan kebijakan, maka harus ada sistem dan prosedur kerja yang baik di bidang kearsipan. Suatu lembaga baik itu lembaga negara atau swasta tidak akan sanggup memberikan data informasi yang baik, lengkap dan akurat, jika lembaga tersebut tidak memiliki manajemen kearsipan yang baik dan teratur. Arsip dapat dikatakan suatu sistem dimana satu sama yang lain saling berkaitan dalam satu ikatan yang utuh, karena arsip dapat menunjang suatu program kegiatan organisasi, baik dari segi perencanaan, pelaksanaan maupun pengendalian tugas organisasi yang bersangkutan.

TEORI

1) Definisi Pengendalian Umum

Menurut Sawyer, Ditienhofer, & Scheiner (2005, hal. 549), general control consist of those controls in the IS and user environment that are pervasive over all or most application. They include such controls as segregation of incompatible duties, system development procedures, data security, all administrative controls, and disaster recovery capabilities.

Pengendalian umum didefinisikan sebagai sistem pengendalian internal komputer yang berlaku umum meliputi seluruh kegiatan komputerisasi sebuah organisasi secara menyeluruh. arahnya ketentuan – ketentuan dalam pengendalian tersebut berlaku untuk seluruh kegiatan komputerisasi yang digunakan di perusahaan tersebut.

2) Tujuan Audit Pengendalian Umum

Tujuan pengendalian umum lebih menjamin integritas data yang terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas program atau aplikasi yang digunakan untuk melakukan pemrosesan data.

3) Contoh Pengendalian Umum

Pengendalian umum juga dapat diartikan sebagai pengendalian yang tidak terkait langsung ke suatu aplikasi tertentu. Misalnya dalam contoh ATM di atas, ketentuan bahwa masuk ke ruang ATM Adak boleh memakai helm. Adanya CCTV di ruang ATM dan ketentuan adanya SATPAM di situ adalah dapat dikategorikan dengan pengendalian umum (ketentuan-‐ketentuan tersebut tidak langsung dengan transaksi pengambilan uang di mesin ATM).

4) Ruang Lingkup Pengendalian Umum

Ruang lingkup yang termasuk dalam pengendalian umum (pengendalian perspektif manajemen) diantaranya adalah :

· Pengendalian manajemen puncak (top management controls).

· Pengendalian manajemen pengembangan sistem (information system management controls).

· Pengendalian manajemen sumber data (data resources management controls).

· Pengendalian manajemen operasi (operations management controls).

· Pengendalian manajemen keamanan (security administration management controls).

· Pengendalian manajemen jaminan kualitas (quality assurance management controls).

5) Unsur Pengendalian Umum

Dari beberapa pengendalian umum tersebut, berdasarkan ruang lingkup, maka yang akan dibahas adalah :

· Pengendalian Manajemen Operasi (Operasional Management Controls)

· Pengendalian Manajemen Keamanan (Security Management Controls)

Operasional Management Controls

Pengendalian manajemen operasi merupakan jenis pengendalian internal yang didesain untuk pengelolaan sumber daya dan operasi IT pada suatu organisasi. Pengendalian manajemen operasi disusun dengan tujuan untuk menciptakan kerangka kerja organisasi, pendayagunaan sumber daya informasi, dan pembagian tugas yang baik bagi suatu organisasi yang menggunakan sistem berbasis teknologi informasi.

· Pemisahan tugas dan fungsi

· Pengendalian personil

· Pengendalian perangkat keras

· Pengendalian jaringan

· Manajemen operasi

Pemisahan Tugas Dan Fungsi

Pemisahan tugas dan fungsi didesain untuk memastikan bahwa fungsi fungsi yang tidak sejalan (atau seharusnya -‐ cek), seperti : fungsi analisis/desain dan pemprograman dengan operasi komputer (mencakup penyiapan transaksi, otorisasi, proses entri, dan pelaporan) telah dipisahkan. Terdapat dua pemisahan fungsi yaitu :

a) Pemisahan fungsi departement IT dengan non IT (users) Pemisahan fungsi ini bertujuan untuk memisahkan antara pemakai dengan departement IT sehingga meningkatkan pengendalian terhadap akAvitas IT.

b) Pemisahan fungsi dalam departement IT Fungsi – fungsi departement IT dapat dipisahkan berdasarkan fungsi sistem dan pemrograman, operasi komputer, pengendalian dan penjadwalan input/output, pemeliharaan media (library).

Pengendalian Personil

Personil mempunyai peranan penting dalam pengendalian sistem. Pengendalian personil dapat diindikasikan oleh hal-‐hal berikut :

a) Adanya prosedur penerimaan dan pemilihan pegawai

b) Adanya program peningkatan keahlian pegawai melalui pelaAhan yang berhubungan dengan bidang tugasnya

c) Adanya evaluasi atas pekerjaan yang dilakukan pegawai

d) Administrasi atas gaji dan prosedur promosi yang jelas

e) Penggunaan uraian tugas (job descrip5on)

f) Pemilihan dan pelaAhan pegawai

g) Penyediaan (supervisi) dan penilaian

h) Penggiliran pekerjaan (job rota5on) dan keharusan mengambil cuA

i) Adanya jenjang karier serta sarana dan aturan untuk mencapainya

Pengendalian Perangkat Keras

a) Pengawasan terhadap akses fisik Untuk menjaga perangkat komputer dari kemungkinan penyalahgunaan, akses fisik terhadap perangkat komputer perlu diawasi.

b) Pengaturan lokasi fisik Lokasi ruang komputer merupakan perAmbangan yang penAng dalam pengendalian keamanan komputer

c) Penggunaan alat pengamanan Alat – alat penggunaan tambahan diperlukan untuk menjaga keamanan komputer dari kemungkinan kerusakan

d) Pengendalian operasi perangkat keras Pengendalian operasional perangkat keras merupakan bentuk pengendalian untuk menjaga perangkat keras dari kemungkinan kerusakan akibat kesalahan pengoperasian perangkat tersebut

e) Pengendalian perangkat lunak Pengendalian perangkat lunak didesain untuk memasAkan keamanan dan kehandalan sistem

f) Pengendalian keamanan data Pengendalian keamanan data merupakan suatu Andakan pengendalian untuk menjaga keamanan datayang tersimpan didalam media penyimpanan agar Adak hilang dan rusak, atau diakses oleh orang yang Adak berhak

Pengendalian Jaringan

Alat bantu (tools) penAng yang dapat digunakan oleh operator untuk mengelolawide area network adalah network control terminal. Network control terminalmenyediakan akses kepada soLware system yang khusus untuk mengelola jenis fungsi dibawah ini agar dapat berjalan dengan baik, yaitu :

a) Memulai dan menghenAkan jaringan dan proses

b) Memonitor aktivitas jaringan

c) Mengganti nama line komunikasi

d) Mengenerate statistic system

e) Menseting ulang panjangnya antrian

f) Menambah frekuensi backup

g) Menanyakan status sistem

h) Mengirimkan system warning dan status message

i) Memeriksa lintasan data pada line komunikasi

Network control terminal juga dapat digunakan untuk menjalankan fungsi yang sejenis ke peralatan individual yang terhubung dengan jaringan, karena itu dari sudut pengamanan harta dan data integrity, network control terminal adalah komponen yang sangat penAng pada suatu jaringan.

Manajemen Operasi

Saat ini fungsi sistem yang sekarang digunakan pada manajemen operasi adalah komputer mikro secara stand alone, multi user atau jaringan (network) atau dalam bentuk client server.

a) Service level agreements

b) Kepustakaan file

c) Fungsi help desk

d) Capacity planning

e) Outsource

Security Management Controls (1)

Menurut Gondodiyoto (2007, hal. 345) pengendalian internal terhadap manajemen keamanan (security management controls) dimaksudkan untuk menjamin agar aset sistem informasi tetap aman. Aset sumber daya informasi mencakup fisik (perangkat mesin dan fasilitas penunjangnya) serta aset tak berwujud (non fisik, misalnya data/informasi, dan program aplikasi komputer).

a) Kebijakan keamanan IT (IT security policy)

b) Beberapa aspek serangan potensial

c) Mitos-‐mitos seputar keamanan komputer

d) Kebijakan keamanan komputer

e) Personil dan kebijakan keamanan computer

Security Management Controls (2)

Menurut Weber (1999 : 256), Pengendalian Manajemen Keamanan meliputi perlindungan terhadap asset dan fungsi sistem informasi, yang dapat diimplementasi. Berikut beberapa ancaman terhadap sistem informasi beserta cara penanganannya:

a) Kebakaran

· Tindakan pengamanan untuk ancaman kebakaran adalah :

· Memiliki alarm kebakaran otomaAs yang diletakkan di ruangan dimana aset – asetsistem informasi berada.

· Memiliki tabung kebakaran yang diletakkan pada lokasi yang mudah dijangkau.

· Gedung tempat penyimpanan aset sistem informasi dibangun dari bahan yang tahanapi.

b) Banjir

· Tindakan pengamanan untuk ancaman kebanjiran, antara lain :

· Memiliki atap, dinding dan lantai yang dibuat dari bahan yang tahan air. – Perubahan tegangan sumber energi

· Tindakan pengamanan untuk mengatasi perubahan tegangan sumber energi listrik,dapat menggunakan stabilizer ataupun Uninterruptible Power Supply (UPS) yang mampu mengatasi masalah yang terjadi keAka tegangan listrik Aba – Aba turun.

Security Management Controls (3)

a) Polusi

Tindakan pengamanan untuk menganAsipasi polusi adalah dengan membuat situasikantor bebas debu, tidak memperbolehkan membawa binatang peliharaan serta melarang pegawai membawa atau meletakkan minuman di dekat peralatan komputer.

b) Virus dan Worm

· Tindakan pengamanan untuk mengantisipasi virus dan worm adalah :

· Preventif, dapat dengan menginstal anti virus dan di-‐update secara berkala, melakukan scan atas file yang akan digunakan.

· Detektif, melakukan scan secara rutin untuk mendeteksi adanya virus maupun worm.

· Korektif, Akan backup data bebas virus dan worm,pemakaian anti virus terhadap file yang terinfeksi.

ANALISIS

Pada PT.XYZ yang bergerak pada bidang Pengelolaan dokumen dengan dasarnya merupakan salah satu kegiatan yang ditujukan untuk mengelola segala dokumen-dokumen yang ada dalam suatu organisasi atau instansi yang dapat digunakan sebagai penunjang aktivitas organisasi tersebut dalam mencapai tujuannya.

Di sisi lain kondisi sumber daya manusia (SDM) sebagian organisasi atau intansi belum mempunyai kemampuan yang memadai di bidang keamanan informasi dokumen, rendahnya keamanan informasi dan motivasi kerja karena bagian pekerjaan ini merupakan jenis pekerjaan yang tidak banyak diminati bagi kebanyakan pegawai. Diperlukannya audit pihak kedua yang bekerja di bidang pengelolaan dokumen untuk memproses dan menjaga informasi keamanan data pada aktivitas suatu organisasi atau instansi tersebut.

Dengan demikian, PT.XYZ bekerja sama dengan salah satu instansi yaitu Bank ABC. Dengan adanya audit pengendalian umum di dalam instansi Bank ABC, bertujuan agar menjamin integritas data informasi customer Bank ABC yang terdapat di dalam sistem komputer dan sekaligus menjaga keamanan informasi serta integritas program atau aplikasi yang digunakan untuk melakukan aktivitas pemrosesan data customer pada Bank ABC.

Refrensi :

https://tiositumorang.wordpress.com/2017/12/01/audit-sistem-informasi-pengendalian-internal-umum-dan-aplikasi/ (15 Okt 18, 11 : 32)

https://rnhalimah.wordpress.com/2013/10/06/sistem-pengendalian-intern/ (15 Okt 18, 23 : 32)

eprints.ums.ac.id/37435/3/BAB%20I.pdf (19 Okt 18, 16:30)

http://devifitrianaaa.blogspot.com/2016/11/perbedaan-pengendalian-umum-dan.html (19 Okt 18, 18 : 22)

2. STANDAR DAN PANDUAN UNTUK ADIT SISTEM INFORMASI

ISACA

ISACA sebagai lembaga independen, nonprofit, asosiasi global, terlibat dalam pengembangan, penerapan dan penggunaan pengetahuan dan pengalaman yang diterima secara global mengenai sistem informasi. Sebelumnya dikenal sebagai Information Systems Audit and Control Association. Namun kini hanya menggunakan akronim ISACA, untuk merefleksikan cakupan yang luas dari IT governance.

ISACA didirikan oleh individu yang mengenali kebutuhan untuk sumber informasi terpusat dan bimbingan dalam bidang tumbuh kontrol audit untuk sistem komputer. ISACA memiliki lebih dari 115.000 konstituen di seluruh dunia dan telah memiliki kurang lebih 70.000 anggota yang tersebar di 140 negara. Anggota ISACA terdiri dari antara lain auditor sistem informasi, konsultan, pengajar, profesional keamanan sistem informasi, pembuat perundangan, CIO, serta auditor internal. Jaringan ISACA terdiri dari sekitar 170 cabang yang berada di lebih dari 60 negara, termasuk di Indonesia.

Gelar CISA ini dikeluarkan oleh ISACA (Information Systems Audit and Control Association). Selain CISA, ISACA juga mengeluarkan sertifikasi atu gelar CISM(Certified Information Systems Manager) dan CGEIT (Certified in the Governance of Enterprise IT).

IIA COSO

COSO kepanjangan dari Committee of Sponsoring Organizations of the Treadway Commission. COSO ini ada kaitannya sama FCPA yang dikeluarkan sama SEC dan US Congress di tahun 1977 untuk melawan fraud dan korupsi yang marak di Amerika tahun 70-an. Bedanya, kalo FCPA adalah inisiatif dari eksekutif-legislatif, nah kalo COSO ini lebih merupakan inisiatif dari sektor swasta.

Definisi internal control menurut COSO

Suatu proses yang dijalankan oleh dewan direksi, manajemen, dan staff, untuk membuat reasonable assurance mengenai:

a) Efektifitas dan efisiensi operasional

b) Reliabilitas pelaporan keuangan

c) Kepatuhan atas hukum dan peraturan yang berlaku

Menurut COSO framework, Internal control terdiri dari 5 komponen yang saling terkait, yaitu:

a) Control Environment

b) Risk Assessment

c) Control Activities

d) Information and communication

e) Monitoring

Di tahun 2004, COSO mengeluarkan report ‘Enterprise Risk Management – Integrated Framework’, sebagai pengembangan COSO framework di atas. Dijelaskan ada 8 komponen dalam Enterprise Risk Management, yaitu:

a) Internal Environment

b) Objective Setting

c) Event Identification

d) Risk Assessment

e) Risk Response

f) Control Activities

g) Information and Communication

h) Monitoring

ISO 1799

ISO / IEC 17799: 2005 menetapkan pedoman dan prinsip umum untuk memulai, menerapkan, memelihara, dan memperbaiki manajemen keamanan informasi dalam sebuah organisasi. Tujuan yang diuraikan memberikan panduan umum mengenai tujuan umum manajemen keamanan informasi yang diterima secara umum. ISO / IEC 17799: 2005 berisi praktik terbaik pengendalian dan pengendalian pengendalian di bidang pengelolaan keamanan informasi berikut:

a) Pengorganisasian keamanan informasi;

b) Manajemen aset;

c) Keamanan sumber daya manusia;

d) Keamanan fisik dan lingkungan;

e) Komunikasi dan manajemen operasi;

f) Kontrol akses;

g) Akuisisi sistem informasi, pengembangan dan pemeliharaan;

h) Manajemen insiden keamanan informasi;

i) Manajemen kontinuitas bisnis;

j) Pemenuhan.

Refrensi :

https://www.scribd.com/document/342764160/AUDIT-Sistem-Informasi-pdf (15 Okt 18, 23 : 32)