Motorcycle Vespa Dimas Prapanca: Januari 2015

dim

Senin, 19 Januari 2015

FORUM KONTROL DAN AUDIT SI

Dalam teori akuntansi dan organisasi, pengendalian intern atau kontrol intern didefinisikan sebagai suatu proses, yang dipengaruhi oleh sumber daya manusia dan sistem teknologi informasi, yang dirancang untuk membantu organisasi mencapai suatu tujuan atau objektif tertentu. Pengendalian intern merupakan suatu cara untuk mengarahkan, mengawasi, dan mengukur sumber daya suatu organisasi. Ia berperan penting untuk mencegah dan mendeteksi penggelapan (fraud) dan melindungi sumber daya organisasi baik yang berwujud (seperti mesin dan lahan) maupun tidak berwujud (seperti reputasi atau hak kekayaan intelektual seperti merek dagang).
Adanya sistem akuntansi yang memadai, menjadikan akuntan perusahaan dapat menyediakan informasi keuangan bagi setiap tingkatan manajemen, para pemilik atau pemegang saham, kreditur dan para pemakai laporan keuangan (stakeholder) lain yang dijadikan dasar pengambilan keputusan ekonomi. Sistem tersebut dapat digunakan oleh manajemen untuk merencanakan dan mengendalikan operasi perusahaan. Lebih rinci lagi, kebijakan dan prosedur yang digunakan secara langsung dimaksudkan untuk mencapai sasaran dan menjamin atau menyediakan laporan keuangan yang tepat serta menjamin ditaatinya atau dipatuhinya hukum dan peraturan, hal ini disebut Pengendalian Intern, atau dengan kata lain bahwa pengendalian intern terdiri atas kebijakan dan prosedur yang digunakan dalam operasi perusahaan untuk menyediakan informasi keuangan yang handal serta menjamin dipatuhinya hukum dan peraturan yang berlaku.
Pada tingkatan organisasi, tujuan pengendalian intern berkaitan dengan keandalan laporan keuangan, umpan balik yang tepat waktu terhadap pencapaian tujuan-tujuan operasional dan strategis, serta kepatuhan pada hukum dan regulasi. Pada tingkatan transaksi spesifik, pengendalian intern merujuk pada aksi yang dilakukan untuk mencapai suatu tujuan tertentu (mis. memastikan pembayaran terhadap pihak ketiga dilakukan terhadap suatu layanan yang benar-benar dilakukan). Prosedur pengedalian intern mengurangi variasi proses dan pada gilirannya memberikan hasil yang lebih dapat diperkirakan. Pengendalian intern merupakan unsur kunci pada Foreign Corrupt Practices Act (FCPA) tahun 1977 dan Sarbanes-Oxley tahun 2002 yang mengharuskan peningkatan pengendalian intern pada perusahaan-perusahaan publik Amerika Serikat.
Tujuan pengendalian intern adalah menjamin manajemen perusahaan/organisasi/entitas agar:
·         Tujuan perusahaan yang ditetapkan akan dapat dicapai.
·         Laporan keuangan yang dihasilkan perusahaan dapat dipercaya
·         Kegiatan perusahaan sejalan dengan hukum dan peraturan yang berlaku.
Pengendalian intern dapat mencegah kerugian atau pemborosan pengolahan sumber daya perusahaan. Pengendalian intern dapat menyediakan informasi tentang bagaimana menilai kinerja perusahaan dan manajemen perusahaan serta menyediakan informasi yang akan digunakan sebagai pedoman dalam perencanaan.

POST TEST KENDALI DAN AUDIT SI

Soal :

Pengendalian TI didefinisikan sebagai suatu pernyataan hasil yang diinginkan atau maksud yang dicapai oleh prosedur pengendalian implementasi dalam kegiatan TI khusus.
Terdapat 15 area pengendalian, sebut dan jelaskan.
Jawaban :
Area Pengendalian ada 15 yaitu :
1. Integritas Sistem
2. Manajemen Sumber Daya (Perencanaan Kapasitas)
3. Pengendalian Perubahan S/W Aplikasi dan S/W sistem
4. Backup dan Recovery
5. Contigency Planning
6. System S/W Support 
7. Dokumentasi
8. Pelatihan atau Training
9. Administrasi
10. Pengendalian Lingkungan dan Keamanan Fisik
11. Operasi
12. Telekomunikasi
13. Program Libraries
14. Application Support (SDLC)
15. Pengendalian Mikrokomputer
Penjelasan :

1. Integritas Sistem
a. Ketersediaan dan kesinambungan sistem komputer untuk user
b. Kelengkapan, Keakuratan, Otorisasi, serta proses yg auditable
c. Persetujuan dari user atas kinerja sistem yang di inginkan
d. Preventive maintenance agreements untuk seluruh perlengkapan
e. Kesesuaian kinerja antara S/W dan jaringan dengan yang diharapkan
f. Serta adanya program yang disusun untuk operasi secara menyeluruh
2. Manajemen Sumber Daya
a. Faktor-faktor yang melengkapi integritas sistem
b. Yaitu meyakini kelangsungan (ongoing) H/W, S/W, SO, S/W aplikasi, dan komunikasi
jaringan komputer, telah di pantau dan dikelola pada kinerja yang maksimal namun
tetap dengan biaya yang wajar.
c. Hal-hal tersebut di dokumentasikan secara formal, demi proses yang
berkesinambungan
3. Pengendalian Perubahan S/W Aplikasi dan S/W sistem
a. Menentukan adanya keterlibatan dan persetujuan user dalam hal adanya perubahan
terhadap s/w aplikasi dan s/w sistem
b. Setiap pengembangan dan perbaikan aplikasi harus melalui proses formal dan di
dokumentasikan serta telah melalui tahapan-tahapan pengembangan sistem yang
dibakukan dan disetujui.
4. Backup dan Recovery
a. Demi kelangsungan usaha, harus tersedia data processing disaster recovery planning
(rencana pemulihan data dan pusat sistem informasi apabila terjadi kehancuran),
b. Baik berupa backup dan pemulihan normal, maupun rencana contingency untuk
kerusakan pusat SI (lokasi gedung, peralatanya, SDM-nya maupun manualnya).
5. Contigency Planning
a. Perencanaan yang komprehenshif di dalam mengantisipasi terjadinya ancaman
b. terhadap fasilitas pemrosesan SI
c. Dimana sebagian besar komponen utama dari disaster recovery plan telah
dirumuskan dengan jelas, telah di koordinasikan dan disetujui, seperti critical
application systems, identifikasi peralatan dan fasilitas penunjang H/W, sistem S/W
dan sebagainya.
6. System S/W Support
a. Pengukuran pengendalian dalam pengembangan, penggunaan, dan pemeliharaan
dari S/W SO, biasanya lebih canggih dan lebih cepat perputarannya dibandingkan
dengan S/W aplikasiDengan ketergantungan yang lebih besar kepada staf teknik
untuk integritas fungsionalnya
b. Pengukuran kendali pengamanan aplikasi individu maupun pengamanan logika
sistem secara menyeluruh (systemwide logical security) 
7. Dokumentasi
a. Integritas dan ketersediaan dokumen operasi, pengembangan aplikasi, user dan S/W
sistem
b. Diantaranya dokumentasi program dan sistem, buku pedoman operasi dan schedule
operasi,
c. Untuk setiap aplikasi sebaiknya tersedia dokumentasi untuk tiap jenjang user.
8. Pelatihan atau Training
a. Adanya penjenjagan berdasarkan kemampuan untuk seluruh lapisan manajemen dan
staf, dalam hal penguasaannya atas aplikasi-aplikasi dan kemampuan teknisnya
b. Serta rencana pelatihan yang berkesinambungan
9. Administrasi
a. Struktur organisasi dan bagannya, rencana strategis, tanggungjawab fungsional, job
description, sejalan dengan metoda job accounting dan/atau charge out yang
digunakan
b. Termasuk didalamnya pengukuran atas proses pengadaan dan persetujuan untuk
semua sumber daya SI.
10. Pengendalian Lingkungan dan Keamanan Fisik
a. Listrik, peyejuk udara, penerang ruangan, pengaturan kelembaban, serta kendali
akses ke sumber daya informasi
b. Pencegahan kebakaran, ketersediaan sumber listrik cadangan,
c. Juga pengendalian dan backup sarana telekomunikasi
11. Operasi
a. Diprogram untuk merespon permintaan/keperluan SO
b. Review atas kelompok SO berdasarkan job schedulling, review yang terus-menerus
terhadap operator, retensi terhadap console log message, dokumentasi untuk
run/restore/backup atas seluruh aplikasi
c. Daftar personel, dan nomor telepon yang harus dihubungi jika muncul masalah SO,
penerapan sistem sift dan rotasi serta pengambilan cuti untuk setiap operator.
12. Telekomunikasi
a. Review terhadap logical and physical access controls
b. Metodologi pengacakan (encryption) terhadap aplikasi electronic data interchange
(EDI)
c. Adanya supervisi yang berkesinambungan terhadap jaringan komputer dan
komitmen untuk ketersediaan jaringan tersebut dan juga redundansi saluran
telekomunikasi.
13. Program Libraries
a. Terdapat pemisahan dan prosedur pengendalian formal untuk application source
code dan compiled production program code dengan yang disimpan di application
test libraries development
b. Terdapat review atas prosedur quality assurance.
14. Application Support
a. Bahwa proses tetap dapat berlangsung walaupun terjadi kegagalan sistem
b. Sejalan dengan kesinambungan proses untuk inisiasi sistem baru, manajemen
c. proyek, proses pengujian yang menyeluruh antara user dan staf SI
d. Adanya review baik formal maupun informal terhadap tingkat kepuasan atas SDLC
yang digunakan.
15. Microcomputer Controls
a. Pembatasan yang ketat dalam pengadaan, pengembangan aplikasi, dokumentasi atas
aplikasi produksi maupun aplikasi dengan misi yang kritis, sekuriti logika, dan fisik
terhadap microcomputer yang dimiliki,
b. Serta pembuatan daftar inventaris atas H/W, S/W, serta legalitas dari S/W untuk
menghindari tuntutan pelanggaran hak cipta.

FORUM COBIT

Control Objectives for Information and related Technology (COBIT) adalahsuatu panduan standar praktik manajemen teknologi informasi yang dimana menjadi sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen dan user untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis.

COBIT dikembangkan oleh IT Governance Institute, yang merupakan bagian dariInformation Systems Audit and Control Association (ISACA). COBIT memberikan arahan ( guidelines ) yang berorientasi pada bisnis, dan karena itu business process owners dan manajer, termasuk juga auditor dan user, diharapkan dapat memanfaatkan guideline ini dengan sebaik-baiknya.
Lingkup kriteria informasi yang sering menjadi perhatian dalam COBIT adalah:
§  Effectiveness
Menitikberatkan pada sejauh mana efektifitas informasi dikelola dari data-data yang diproses oleh sistem informasi yang dibangun.
§  Efficiency
Menitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh sistem.
§  Confidentiality
Menitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis.
§  Integrity
Menitikberatkan pada integritas data/informasi dalam sistem.
§  Availability
Menitikberatkan pada ketersediaan data/informasi dalam sistem informasi.
§  Compliance
Menitikberatkan pada kesesuaian data/informasi dalam sistem informasi.
§  Reliability
Menitikberatkan pada kemampuan/ketangguhan sistem informasi dalam pengelolaan data/informasi.
Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi dalam COBIT adalah pada:
§  Applications
§  Information
§  Infrastructure
§  People
Hal yang menarik dari COBIT adalah adanya versi khusus untuk skala usaha kecil-menengah (UKM) yang disebut COBIT Quickstart.

Kerangka kerja COBIT ini terdiri atas beberapa arahan ( guidelines ), yakni:
Control Objectives: Terdiri atas 4 tujuan pengendalian tingkat-tinggi ( high-level control objectives ) yang tercermin dalam 4 domain, yaitu: planning & organization ,acquisition & implementation , delivery & support , dan monitoring .
Audit Guidelines: Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci (detailed control objectives ) untuk membantu para auditor dalam memberikanmanagement assurance dan/atau saran perbaikan.
Management Guidelines: Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut:
§  Sejauh mana Anda (TI) harus bergerak, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.
§  Apa saja indikator untuk suatu kinerja yang bagus?
§  Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses (critical success factors )?
§  Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan?
§  Bagaimana dengan perusahaan lainnya – apa yang mereka lakukan?
§  Bagaimana Anda mengukur keberhasilan dan bagaimana pula membandingkannya.
The COBIT Framework memasukkan juga hal-hal berikut ini:
§  Maturity Models – Untuk memetakan status maturity proses-proses TI (dalam skala 0 – 5) dibandingkan dengan “the best in the class in the Industry” dan juga International best practices
§  Critical Success Factors (CSFs) – Arahan implementasi bagi manajemen agar dapat melakukan kontrol atas proses TI.
§  Key Goal Indicators (KGIs) – Kinerja proses-proses TI sehubungan dengan business requirements

§  Key Performance Indicators (KPIs) – Kinerja proses-proses TI sehubungan denganprocess goals 

POSTEST COBIT

Soal :
Adakah tools lain untuk melakukan audit TI (Teknologi Informasi)? Jika ada sebutkan.
Jawaban :


Secara umum Audit IT adalah suatu proses kontrol pengujian terhadap infrastruktur teknologi informasi dimana berhubungan dengan masalah audit finansial dan audit internal. Audit IT lebih dikenal dengan istilah EDP Auditing (Electronic Data Processing), biasanya digunakan untuk menguraikan dua jenis aktifitas yang berkaitan dengan komputer. Salah satu penggunaan istilah tersebut adalah untuk menjelaskan proses penelahan dan evaluasi pengendalian-pengendalian internal dalam EDP. Jenis aktivitas ini disebut sebagai auditing melalui komputer. Penggunaan istilah lainnya adalah untuk menjelaskan pemanfaatan komputer oleh auditor untuk melaksanakan beberapa pekerjaan audit yang tidak dapat dilakukan secara manual. Jenis aktivitas ini disebut audit dengan komputer.
Audit IT sendiri merupakan gabungan dari berbagai macam ilmu, antara lain Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science. Audit IT bertujuan untuk meninjau dan mengevaluasi faktor-faktor ketersediaan (availability), kerahasiaan (confidentiality), dan keutuhan (integrity) dari sistem informasi organisasi.
Tool-tool yang dapat digunakan untuk membantu pelaksanaan Audit Teknologi Informasi. Tidak dapat dipungkiri, penggunaan tool-tool tersebut memang sangat membantu Auditor Teknologi Informasi dalam menjalankan profesinya, baik dari sisi kecepatan maupun akurasinya. Berikut beberapa software yang dapat dijadikan alat bantu dalam pelaksanaan audit teknologi informasi.

a. ACL
ACL (Audit Command Language) merupakan sebuah software CAAT (Computer Assisted Audit Techniques) yang sudah sangat populer untuk melakukan analisa terhadap data dari berbagai macam sumber.
ACL for Windows (sering disebut ACL) adalah sebuah software TABK (TEKNIK AUDIT BERBASIS KOMPUTER) untuk membantu auditor dalam melakukan pemeriksaan di lingkungan sistem informasi berbasis komputer atau Pemrosesan Data Elektronik.
b. Picalo
Picalo merupakan sebuah software CAAT (Computer Assisted Audit Techniques) seperti halnya ACL yang dapat dipergunakan untuk menganalisa data dari berbagai macam sumber.Picalo bekerja dengan menggunakan GUI Front end, dan memiliki banyak fitur untuk ETL sebagai proses utama dalam mengekstrak dan membuka data, kelebihan utamanya adalah fleksibilitas dan front end yang baik hingga Librari Python numerik.

Berikut ini beberapa kegunaannya :
· Menganalisis data keungan, data karyawan
· Mengimport file Excel, CSV dan TSV ke dalam databse
· Analisa event jaringan yang interaktif, log server situs, dan record sistem login
· Mengimport email kedalam relasional dan berbasis teks database
· Menanamkan kontrol dan test rutin penipuan ke dalam sistem produksi.
c. Powertech Compliance Assessment
Powertech Compliance Assessment merupakan automated audit tool yang dapat dipergunakan untuk mengaudit dan mem-benchmark user access to data, public authority to libraries, user security, system security, system auditing dan administrator rights (special authority) sebuah serverAS/400.
d. Nipper
Nipper merupakan audit automation software yang dapat dipergunakan untuk mengaudit dan mem-benchmark konfigurasi sebuah router. Nipper (Jaringan Infrastruktur Parser) adalah alat berbasis open source untuk membantu profesional TI dalam mengaudit, konfigurasi dan mengelola jaringan komputer dan perangkat jaringan infrastruktur.

e. Nessus
Nessus merupakan sebuah vulnerability assessment software, yaitu sebuah software yang digunakan untuk mengecek tingkat vulnerabilitas suatu sistem dalam ruang lingkup keamanan yang digunakan dalam sebuah perusahaan
f. Metasploit
Metasploit Framework merupakan sebuah penetration testing tool, yaitu sebuah software yang digunakan untuk mencari celah keamanan.
g. NMAP
NMAP merupakan open source utility untuk melakukan security auditing. NMAP atau Network Mapper, adalah software untuk mengeksplorasi jaringan, banyak administrator sistem dan jaringan yang menggunakan aplikasi ini menemukan banyak fungsi dalam inventori jaringan, mengatur jadwal peningkatan service, dan memonitor host atau waktu pelayanan. Secara klasik Nmap klasik menggunakan tampilan command-line, dan NMAP suite sudah termasuk tampilan GUI yang terbaik dan tampilan hasil (Zenmap), fleksibel data transfer, pengarahan ulang dan tools untuk debugging (NCAT) , sebuah peralatan untuk membandingan hasil scan (NDIFF) dan sebuah paket peralatan analisis untuk menggenerasikan dan merespon (NPING)
h. Wireshark

Wireshark merupakan aplikasi analisa netwrok protokol paling digunakan di dunia, Wireshark bisa mengcapture data dan secara interaktif menelusuri lalu lintas yang berjalan pada jaringan komputer, berstandartkan de facto dibanyak industri dan lembaga pendidikan.

PRETEST COBIT

Soal :
Apa yang Anda ketahui mengenai COBIT (Control Ojective for Information and Related Technology)?

Jawaban :

COBIT, adalah suatu panduan standar praktik manajemen teknologi informasi. Standar COBIT dikeluarkan oleh IT Governance Institute yang merupakan bagian dari ISACA. COBIT 4.1 merupakan versi terbaru. 
COBIT memiliki 4 cakupan domain, yaitu :

  • Perencanaan dan organisasi (plan and organise)
  • Pengadaan dan implementasi (acquire and implement)
  • Pengantaran dan dukungan (deliver and support)
  • Pengawasan dan evaluasi (monitor and evaluate)
Maksud utama COBIT ialah menyediakan kebijakan yang jelas dan good practice untuk IT governance, membantu manajemen senior dalam memahami dan mengelola resiko-resiko yang berhubungan dengan IT.
COBIT menyediakan kerangka IT governance dan petunjuk control objective yang detail untuk manajemen, pemilik proses bisnis, user dan auditor.

Ringkasan Konsep Pengendalian Internal COBIT dilihat dari berbagai sudut pandang 


Pengguna Utama
COBIT di rancang untuk digunakan oleh tiga pengguna yang berbeda yaitu :
·         Manajemen : untuk membantu mereka menyeimbangkan antara resiko dan investasi pengendalian dalam sebuah lingkungan IT yang sering tidak dapat diprediksi.
·         User : untuk memperoleh keyakinan atas layanan keamanan dan pengendalian IT  yang disediakan oleh pihak internal atau pihak ketiga.
·         Auditor : untuk medukung/memperkuat opini yang dihasilkan dan/atau untuk memberikan saran kepada manajemen atas pengendalian internal yang ada.
Tujuan Pengendalian Internal bagi Organisasi
1.      Operasi yang efektif dan efisien
Keefektifan berkenaan dengan informasi yang diperoleh harus relevan dan berkaitan dengan proses bisnis yang ada dan juga dapat diperoleh tepat waktu, benar, konsisten, dan bermanfaat. Sedangkan keefisienan berkaitan dengan penyediaan informasi melalui sumber daya (yang paling produktif dan ekonomis) yang optimal.
2.      Kerahasiaan
Menyangkut perhatian atas perlindungan informasi yang sensitif dari pihak-pihak yang tidak berwenang.
3.      Integritas
Berkaitan dengan akurasi dan kelengkapan dari informasi dan juga validitasnya sesuai nilai-nilai dan harapan bisnis.
4.      Ketersedian Informasi
Berkaitan dengan informasi harus dapat tersedia ketika dibutuhkan oleh suatu proses bisnis baik sekarang maupun di masa yang akan datang. Ini juga terkait dengan pengamanan atas sumber daya yang perlu dan kemampuan yang terkait.
5.      Pelaporan keuangan yang handal
Berkaitan dengan pemberian informasi yang tepat bagi manajemen untuk mengoperasikan perusahaan dan juga pemenuhan kewajiban mereka untuk membuat pelaporan keuangan.
6.      Ketaatan terhadap ketentuan hukum dan peraturan
Terkait dengan pemenuhan sesuai dengan ketentuan hukum, peraturan, perjanjian kontrak, dimana dalam hal ini proses bisnis dipandang sebagai suatu subjek.
7.      Domain
a. Planning and organization
Domain ini mencakup strategi dan taktik, dan perhatian atas identifikasi bagaimana IT secara maksimal dapat berkontribusi dalam pencapaian tujuan bisnis. Selain itu, realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan dikelola untuk berbagai perspektif yang berbeda. Terakhir, sebuah pengorganisasian yang baik serta infrastruktur teknologi harus di tempatkan di tempat yang semestinya.
b. Acquisition dan implementation
Untuk merealisasikan strategi IT, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta diimplementasikan, dan terintegrasi ke dalam proses bisnis. Selain itu, perubahan serta pemeliharaan sistem yang ada harus di cakup dalam domain ini untuk memastikan bahwa siklus hidup akan terus berlangsung untuk sistem-sisteem ini.
c. Delivery and Support
Domain ini memberikan fokus utama pada aspek penyampaian/pengiriman dari IT. Domain ini mencakup area-area seperti pengoperasian aplikasi-aplikasi dalam sistem IT dan hasilnya, dan juga, proses dukungan yang memungkinkan pengoperasian sistem IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk isu/masalah keamanan dan juga pelatihan.
d. Monitoring

Semua proses IT perlu dinilai secara teratur sepanjang waktu untuk menjaga kualitas dan pemenuhan atas syarat pengendalian. Domain ini menunjuk pada perlunya pengawasan manajemen atas proses pengendalian dalam organisasi serta penilaian independen yang dilakukan baik auditor internal maupun eksternal atau diperoleh dari sumber-sumber anternatif lainnya.