Audit IT pada Domain EDM, APO, BAI, DSS, dan MEA

Audit IT pada domain EDM (Evaluate, Direct, and Monitor)

Proses tata kelola EDM berurusan dengan tujuan stakeholder dalam melakukan penilaian, optimasi risiko dan sumber daya, mencakup praktek dan kegiatan yang bertujuan untuk mengevaluasi pilihan strategis, memberikan arahan kepada IT dan pemantauan hasilnya.

Audit IT pada domain APO (Align, Plan, and Organise)

Proses manajemen APO memberikan arah untuk penyampaian solusi (BAI) dan penyediaan layanan dan dukungan (DSS). Domain ini mencakup strategi dan taktik, dan identifikasi cara terbaik agar IT dapat berkontribusi pada pencapaian tujuan bisnis.

Audit IT pada domain BAI (Build, Acquire, and Implement)

Proses manajemen BAI memberikan solusi dan mengimplementasikannya sehingga berubah menjadi layanan. Untuk mewujudkan strategi IT, solusi IT perlu diidentifikas ikan, dikembangkan, serta diimplementasikan dan diintegrasikan ke dalam proses bisnis. Perubahan dan pemeliharaan sistem yang ada juga tercakup dalam domain ini, untuk memastikan bahwa solusi dapat memenuhi tujuan bisnis.

Audit IT pada domain DSS (Deliver, Service, and Support)

Proses manajemen DSS menyampaikan solusi yang dapat digunakan bagi pengguna akhir. Domain ini berkaitan dengan penyampaian dan dukungan layanan aktual yang dibutuhkan, yang meliputi pelayanan serta pengelolaan keamanan dan keberlangsungan dukungan layanan bagi pengguna, dan manajemen data dan fasilitas operasional.

Audit IT pada domain MEA (Monitor, Evaluate, Assess)

Proses manajemen MEA memonitor semua proses untuk memastikan bahwa pengarahan yang disediakan domain yang sebelumnya diikuti. Semua proses IT perlu dinilai secara teratur dari waktu ke waktu untuk mengontrol kualitas dan kepatuhannya. Domain ini merujuk pada manajemen kinerja, pemantauan pengendalian internal, kepatuhan terhadap peraturan dan tata kelola.

Muhammad Adli Nur Sofyan 

4KA03

14116672

Sumber :

http://citrarhmdn.blogspot.com/2017/12/it-governance-dan-risk-management.html

Langkah-Langkah pada Auditing IT Governance

Ada beberapa teknik audit untuk melakukan audit pada Teknologi Informasi. Auditor dapat menggunakan tiga kategori berikut dalam menguji pengendalian, yaitu :

1. Teknik audit berbantuan computer (Computer Assisted Audit Techniques/CAAT) yang terdiri atas Auditing Around the Computer, dimana dengan teknik ini auditor menguji reliability dari computer generated information dengan terlebih dahulu menghitung hasil yang diinginkan dari transaksi yang dimasukkan dalam system, dan kemudian membandingkan hasil perhitungan dengan hasil proses atau output. Jika terbukti akurat dan valid, maka diasumsikan bahwa system pengendalian berfungsi seperti yang seharusnya. Kondisi ini cocok jika system aplikasi otomasi sederhana dan ringkas. Pendekatan ini masih relevan dipakai di perusahaan yang menggunakan software akuntansi yang bervariasi dan melakukan proses secara periodic.
2. Auditing With the Computer adalah auditing dengan pendekatan computer, menggunakan teknik yang bervariasi yang biasa juga disebut Computer Assisted Audit Technique (CAAT). Penggunaan CAAT telah meningkatkan secara dramatis kapabilitas dan efektifitas auditor, dalam melakukan susbstantif test. Salah satu CAAT yang lazim dipakai adalah general audit software (GAS). GAS sering dipakai untuk melakukan substantive test dan digunakan test of control yang terbatas. Sebagai contoh GAS sering dipakai untuk mengetes fungsi algoritma yang komplek dalam program computer. Tetapi ini memerlukan pengalaman yang luas dalam penggunaan software ini.
3. Audit Through the Computer yang merupakan teknik focus pada testing tahapan pemrosesan computerised, logic program, edit routines dan program controls. Pendekatan ini mengasumsikan bahwa jika program pemrosesan dikembangkan dengan baik, dan memenuhi edit routines dan programme check yang memadai, maka error dan kecurangan tidak akan mudah terjadi tanpa terdeteksi.

Muhammad Adli Nur Sofyan

4KA03

14116672

Sumber : 

https://donniejunior21.wordpress.com/2015/11/27/it-audit/

Contoh Dari Aspek Pada IT Governance dan Risk Managament

Persoalan mulai muncul ketika produk-produk investasi berkembang demikian cepat dan mencari celah-celah regulasi sehingga produk-produk tersebut tidak berada dalam yurisdiksi otoritas-otoritas yang selama ini bertugas mengawasi perusahaan yang menjual produk investasi.  Contoh yang paling anyar adalah kasus investasi emas bodong.

Tahun lalu Malaysia dan Singapura dikejutkan dengan skandal besar investasi emas bodong.  The Gold Guarantee Malaysia (TGG-M)  dan Asia Pacific Bullion yang berbasis di Singapura dikejutkan dengan kaburnya pemimin perusahaan itu, Lee Song Teck.  Geneva Singapura juga melakukan hal yang sama, pemimpinnya, Leow Wee Khong, tidak diketahui keberadaanya. Bank Sentral Singapura memasukkan tiga perusahaan itu dalam Daftar Waspada Investasi Perusahaan Tidak Berijin.

Bank Sentral Malaysia melakukan hal yang sama untuk Geneva Malaysia, Pageantry Gold, Caesar Gold, Worldwide Far East dan Bestino.  Sebagai taktik pemasarannya, salah satu perusahaan itu malah mengaku model penjualan emasnya telah disetujui oleh Bank Sentral, sesuai dengan prinsip syariah dan mempunyai Dewan Pengawas Syariah, bahkan menampilkan foto mantan Perdana Menteri Malaysia untuk meyakinkan calon nasabahnya.  Tiga pemimpin Geneva, Marcus Yee Yuen Seng, Ng Poh Weng, Chin Wai Leong disangkakan telah melakukan praktek bank gelap, pencucian uang dan penghindaran pajak oleh Bank Sentral Malaysia.  Tiga orang ini juga menjadi pemimpin Geneva Singapura.

Perusahaan-perusahaan investasi emas bodong ini bersembunyi di celah regulasi yang belum mengatur penjualan produk investasi emas berkedok penjualan emas.  Mekanisme bisnis mereka adalah menjual emas dengan harga 20-25% diatas harga pasar.  Katakan saja harga pasar Rp 500 ribu puriah per gram, dijual Rp 600 ribu per gram.  Nasabah mendapat dua hal untuk kelebihan harga itu.  Pertama, nasabah dapat diskon harga 2,5% per bulan dari harga beli emas.  Kedua, pada akhir periode kontrak nasabah dapat jaminan pembelian kembali emas seharga harga belinya.

Selisih harga emas itulah yang menyebabkan perusahaan sejenis ini tidak dapat dikategorikan sebagai perusahaan penjual emas, tapi masuk dalam kategori perusahaan yang menjual produk investasi.  Selisih harga emas itulah yang berpotensi menjadi money game atau dikenal luas sebagai sistem ponzi.  Itu pula yang dijadikan alasan Bank Sentral Malaysia mengenakan sangkaan “penghimpunan dana masyarakat secara ilegal”.  Dalam prakteknya, bahkan sebagian besar transaksi tidak terjadi penyerahan fisik emas, atau hanya sebagian kecil emas yang diserahkan fisiknya, atau terjadi selisih waktu antara penyerahan uang dengan penyerahan fisik emas.

Model bisnis yang persis sama kemudian ditawarkan di Indonesia. Salah satu perusahaan bahkan menggunakan taktik pemasaran yang persis sama.  Dengan menyalah-gunakan rekomendasi Dewan Syariah Nasional MUI yang seharusnya digunakan untuk mengurus kelengkapan ijin legalitas dari otoritas yang berwenang, namun digunakan untuk kepentingan pemasaran mengelabui calon nasabah.  Juga menampilkan foto Ketua DPR dan Ketua MUI untuk tujuan yang sama.  Setelah itu, giliran Indonesia dikejutkan dengan skandal yang sama, kaburnya pemilik PT GTIS warga negara Malaysia, Michael Han Cun Ong, Edward C.H. Ho, sedangkan Dato Zahari Sulaiman sebagai komisarisnya.

Kesadaran otoritas keuangan akan adanya celah regulasi ini, terlihat dari munculnya berbagai regulasi di beberapa negara tentang investasi emas.  Cina bahkan sejak tahun 1949 melarang penjualan produk investasi emas oleh swasta, baru sejak tahun 2002 diijinkan bertahap dengan aturan yang ketat.  Amerika Serikat juga telah melarang semua produk investasi emas dalam bentuk produk derivatif emas dan perak kepada investor ritel.  Bank Sentral India juga membuat regulasi tentang hal yang sama.  Otoritas Malaysia dan Singapura memasukkannya kedalam yurisdiksi mereka sebagai kegiatan shadow banking.

Itu sebabnya ketika GTIS meminta rekomendasi DSN MUI untuk kelengkapan dokumen mengurus legalitas ijin, DSN MUI memberikan sederet ketentuan dan syarat yang harus dipenuhi.  Diantara yang terpenting adalah harusnya adanya penyerahan uang dan fisik emas secara tunai pada saat yang bersamaan. Memahami adanya perbedaan harga pembelian emas dengan harga pasar, yang memasukkan perusahaan ini sebagai perusahaan yang menjual produk investasi, DSN MUI mengarahkan perusahaan ini mengurus legalitas ijinnya ke Badan Pengawas Perdagangan Berjangka Komoditi (Bappebti).  OJK tidak menjadi pilihan karena yurisdiksinya tidak mencakup produk investasi berbasis komoditi.

Ada dua alasan DSN MUI mengarahkannya ke Bappebti.  Pertama, UU No.10 tahun 2011 tentang Perdagangan Berjangka Komoditi telah mengakomodir produk syariah.  Kedua, DSN MUI telah bekerjasama dengan Bursa Berjangka Jakarta (BBJ) untuk produk syariah berdasarkan Fatwa DSN No. 82 tahun 2011.  Hal ini sangat penting karena model bisnis seperti yang ditawarkan GTIS ini memang belum dikenal dalam yurisdiksi Bappebti, BBJ, dan berbeda dengan yang digariskan dalam Fatwa No. 82.

GTIS bermain di celah regulasi yang ada.  Tidak masuk yurisdiksi Bank Indonesia, OJK, maupun Bappebti.  Yurisdiksi penjualan fisik emas juga tidak karena adanya perbedaan harga beli emas dengan harga pasar, ada diskon bulanan, ada kontrak, ada buy back guarantee.  DSN MUI jelas bukan otoritas yang memiliki yurisdiksi.  DSN MUI diberi wewenang oleh UU Perseroan Terbatas untuk memberikan rekomendasi syariah yang diperlukan dalam mengurus ijin usaha bagi perusahaan yang akan menawarkan produk berbasis syariah.

Bank Indonesia sebagai otoritas yang mengatur micro-prudential khususnya bidang perbankan, memang tidak memiliki wewenang untuk mengatur perusahaan non-bank seperti GTIS.  Namun bila GTIS melakukan kegiatan shadow banking tentu masuk dalam ranah BI.  Sebagai otoritas macro-prudential yang mencakup otoritas moneter dan sistem pembayaran, jelas berkepentingan dengan cadangan emas dan cadangan devisa, dan tentunya perdagangan emas dan valas.

Muhammad Adli Nur Sofyan
4KA03
14116672

Sumber :
http://karimconsulting.com/investasi-bodong/

Aspek-Aspek Pada IT Governance dan Risk Management

Aspek - aspek pada Risk Management:

1.  Tataran Korporasi

Aspek ini  terdiri atas tiga hal : 

Pertama, kecukupan modal minimum. Kedua, batasan portofolio investasi. Ketiga, pemisahan rekening perusahaan dan nasabah. Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan korporasi (corporate crime).

2. Tataran Pengelola Perusahaan

Aspek ini terdiri atas tiga hal juga :

Pertama, kompetensi manajemen berupa pengalaman dan keahlian. Kedua, integritas pengurus berupa rekam jejak yang tidak tercela. Ketiga, tata pengelolaan yang baik dan transparan. Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan pimpinan perusahaan (white collar crime).  

3. Tataran Pelaksana Lapangan Perusahaan

Aspek ini terdiri atas tiga hal :

Pertama, pengenalan selera risiko nasabah (risk appetite). Kedua, pengetahuan tenaga penjual akan produk investasi yang dijualnya. Ketiga, transparansi dalam menjelaskan risiko investasi. Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan tenaga pelaksana (blue collar crime). 

Muhammad Adli Nur Sofyan

4KA03

14116672

Sumber : 

http://citrarhmdn.blogspot.com/2017/12/it-governance-dan-risk-management.html

Aspek Pada Management Control Framework dan Contohnya

4. Aspek Management Control Framework

1. Planning and Organization
2. Acquisition and Implementation
3. Delivery and Support
4. Monitoring

Application control framework

Boundary controls

A. Cryptographic control

• Transposition ciphers: menggunakan permutasi urutan karakter dari sederet string
• Subtitution ciphers: mengganti karakter dengan karakter lain sesuai aturan tertentu
• Product ciphers: kombinasi transposition dan subtitution ciphers

B. Access control

• Acccess controls yang digunakan dan kemungkinan masalahnya
• Ukuran proteksi yang ditekankan pada mekanisme access controls
• Apakah organisasi menggunakan access controls yang disediakan dalam paket perangkat lunak

C. Personal Identification Numbers (PIN)

• Generasi PIN
• Penerbitan dan penyampaian PIN kepada pengguna
• Validasi PIN
• Transmisi PIN di seluruh jalur komunikasi
• Pemrosesan PIN
• Penyimpanan PIN
• Perubahan PIN
• Penggantian PIN
• Penghentian PIN

D. Digital signature

pengujian sistem manajemen yang digunakan untuk mengelola tanda tangan digital, penggunaan dan penyebarannya

E. Plastic cards

• Pengajuan kartu
• Persiapan kartu
• Penerbitan kartu
• Penggunaan kartu
• Pengembalian/ penghancuran kartu

Muhammad Adli Nur Sofyan

14116672

4KA03

Sumber :

https://faizulhamdi.wordpress.com/2013/10/28/application-control-framework/

Kendali Internal, Ruang Lingkup Kendali Internal dan Sistem Kendali Internal, Control Objectives, Control Risks, Management Control Framework dan Application Control Framework, Corporate IT Governance

3.  A. Kontrol Internal, Ruang Lingkup Kontrol internal & Sistem Kontrol Internal

• Pengendalian intern (internal control) adalah untuk membantu manajemen dengan tujuan tercapainya mekanisme kerja yang lebih efisien dan efektif. Struktur pengendalian intern sebagai suatu tipe pengawasan diperlukan karena adanya keharusan untuk mendelegasikan wewenang dan tanggung jawab dalam suatu organisasi.
• Ruang lingkup audit sistem informasi dibatasi pada pengendalian internal, sementara ruang lingkup audit operasional lebih luas, melintasi seluruh aspek manajemen sistem informasi.

Prosedur pengumpulan buktinya ?

1. Mengamati fungsi – fungsi dan kegiatan operasional.
2. Memeriksa rencana dan laporan keuangan serta operasional
3. Menguji akurasi informasi operasional
4. Menguji pengendalian

• Control is a system that prevents, detects, or corects unlawful events

1. A system : komponen-komponen yang saling berkaitan untuk
mencapai tujuan bersama
Evaluasi terhadap kontrol harus mempertimbangkan
keterkaitannya dari perspektif sistem (= IS / organization
perspective)
2. Focus on unlawful events (=kejadian tdk sah/tdk benar).
Unlawful events : unauthorized, inaccurate, incomplete,
redundant, ineffective, or inefficient input enters the system
3. Controls are used to prevents, detects, or corects unlawful
events.
Untuk mengurangi kerugian yang mungkin terjadi karena
kemunculan unlawful events dalam sistem.

B. Control Objectives, Control Risk

• Control objectives ialah sekumpulan best practices (framework) untukmanajemen IT, berupa sekumpulan ukuran, indikator, proses dan best practives untuk memaksimalkan manfaat penggunaan IT, dan melakukan tata kelola serta kontrol IT dalam perusahaan
• Control Risk audit sistem informasi tidak dapat mendeteksi kelemahan kendali

C. Management Control Framework & Application Control Framework

Management control adalah melindungi terhadap akses tidak sah atau kerusakan data & memadai backup data. Adapun control tersebut meliputi kontrol terhadap:

1. access – encryption, user authorization tables, inference controls and biometric devices are a few examples
2. backup – grandfather-father-son and direct access backup; recovery procedures

Application control adalah sistem pengendalian intern komputer yang berkaitan dengan pekerjaan atau kegiatan tertentu yang telah ditentukan.

Tujuan pengendalian aplikasi :

1. Input data akurat, lengkap, terotorisasi dan benar
2. Data diproses sebagaimana mestinya dalam periode waktu yang tepat
3. Data disimpan secara tepat dan lengkap
4. Output yang dihasilkan akurat dan lengkap
5. Adanya catatan mengenai pemrosesan data dari input sampai menjadi output

D. Corporate IT Governance

IT Governance adalah tanggung jawab dewan direksi dan manajemen eksekutif dan merupakan bagian integral dari tata kelola perusahaan.  IT governance terdiri dari kepemimpinan dan organisasi struktur dan proses yang memastikan bahwa organisasi IT ini menopang dalam arti luas strategi dan tujuan organisasi.

Muhammad Adli Nur Sofyan

14116672

4KA03

Sumber :

https://xmeizafitrianax.wordpress.com/2010/10/30/auditor-internal-perusahaan-dan-sistem-pengendalian-internal/

Konsep Dasar Kontrol dan Audit SI, Prinsip Dasar Proses Audit SI, Standar Panduan Audit SI

2. A. Konsep Dasar Kontrol dan Audit Sistem Informasi

Audit sistem informasi berbasis kendali merupakan  suatu sistem yang mencegah, mendeteksi atau memperbaiki kejadian yang tidak dibenarkan (unlawfulevents) seperti: unautorized (tidak nyambung), innacurrete(kurang baik), incomplete(tidak komplet/tidak sesuai), redundant(mubazir), ineffective, ineffeicient event.tujuanya yaitu untuk mengurangi kesalahan yang mungkin terjadi dari kejadian yang dibenarkan.

Berdasarkan standar manajemen yang dikeluarkan  oleh Internasional Standar Organization (ISO) yaitu ISO 9001-2000, penilaian kondisi sistem mutu mempunyai 4 skala yaitu:

• P (Poor) yaitu sistem mutu praktis belum terbentuk. Disarankan untuk meninjau ulang keseluruhan proses.
• W (Weak) yaitu masih banyak elemen sistem manajemen mutu yang tidak sesuai standar.
• F (Fair) yaitu beberapa elemen sistem telah sesuai standar tetapi masih ada yang belum sesuai bahkan tidak ada sama sekali.
• S (Strong) yaitu Sebagian besar persyaratan ISO 9001-2000 telah dapat dipenuhi oleh sistem.

B. Prinsip – prinsip Dasar Proses Audit SI

1. Audit dititik beratkan pada objek audit yang mempunyai peluang untuk diperbaiki.
2. Prasyarat Penilaian terhadap kegiatan objek audit.
3. Pengungkapan dalam laporan adanya temuan-temuan yang bersifat positif.
4. Identifikasi individu yang bertanggung jawab terhadap kekurangan-kekurangan yang terjadi.
5. Penentuan tindakan terhadap petugas yang seharusnya bertanggung jawab.
6. Pelanggaran hukum.
7. Penyelidikan dan pencegahan kecurangan.

C. Standar dan Panduan Audit SI

Panduan yang dipergunakan dalam Audit Sistem Informasi di Indonesia adalah Standar Atestasi, dan aturan-aturan yang dikeluarkan oleh organisasi profesi akuntansi (IAI di Indonesia, AICPA di USA, atau CICA untuk Kanada), maupun yang lebih khusus lagi, yaitu dari ISACA atau IIA. Model referensi sistem pengendalian intern (internal controls model/framework) lazimnya adalah COBIT. Audit objectives dalam audit terhadap

IT governance (menurut COBIT adalah: effectiveness, confidentiality, data integrity, availability, efficiency, dan realibility). Karena yang diperiksa adalah tata-kelola Teknologi Informasi (IT governance), maka yang diperiksa antara lain adalah Teknologi Informasi itu sendiri. Karena itu istilah audit arround the computer dan audit through the computer tidak relevan lagi di sini.

Standar Audit SI ada 3, yaitu :

1. ISACA
2. COBIT
3. ISO 1799

Muhammad Adli Nur Sofyan

14116672

4KA03

Sumber :

http://afrizalseptember.blogspot.com/2014/12/konsep-audit-sistem-informasi.html

Kelebihan dan Kekurangan Standar Audit SI

Audit SI	Kelebihan	Kekurangan
COBIT	·       Rahasia ·       Integritas ·       Dapat memberi proteksi terhadap informasi yang sensitive dari akses orang tidak bertanggung jawab	·       Cobit hanya berfokus pada kendali dan pengukuran ·       Cobit hanya memberikan panduan kendali dan tidak memberikan panduan implementasi operasional
ITIL (Information Technology Infrastructure Library)	·  Memberi deskripsi rinci sejumlah praktik penting TI dan menyediakan daftar komprehensif tugas dan prosedur        ·  Bukan merupakan standard yang memberikan prescription tetapi lebih kepada merekomendasikan, oleh karena itu implementasi antara satu organisasi dengan organisasi lain dapat dipastikan terdapat perbedaan. Dengan demikian kita tidak bisa membandingkan / melakukan benchmark secara pasti.	·  Buku-buku ITIL sulit terjangkau bagi pengguna non komersial, ITIL bersifat holistic yang mencakup semua kerangka kerja untuk tatakelola TI, pelaksanaan pedoman dalam buku ITIL memerlukan pelatihan khusus dan biaya pelatihan atau sertifikasi ITIL terlalu tinggi.
ISO/IEC 38500	·  Menjamin akuntabilitas  diberikan untuk semua Resiko IT dan aktivitasnya       ·   Memberikan panduan kepada advisor perusahaan.	·  Tidak cocok digunakan sebagai IT management framework

Muhammad Adli Nur Sofyan
14116672
4KA03

Sumber :

http://evangelino.weebly.com/blog/tugas-2-manajemen-layanan-sistem-informasi-perbandingan-framework

Lembaga-Lembaga Audit Sistem Informasi di Indonesia

1. IASII (Ikatan Audit Sistem Informasi Indonesia)

SEJARAH IASII

Terbentuknya TPP-IASII

Menyadari pesatnya pemanfaatan Teknologi Informasi dalam wujud Sistem Informasi di Indonesia, maka makin disadari juga pentingnya pelaksanaan audit atas penyelenggaraan Sistem Informasi untuk meminimumkan peluang penyimpangan yang sangat besar terjadi. Seiring dengan hal tersebut maka peranan profesi Auditor Sistem Informasi di Indonesia perlu ditingkatkan.

Untuk itu perlu dilakukan langkah-langkah pengembangan dan pembinaan berkesinambungan agar jumlah maupun mutu para Auditor Sistem Informasi semakin meningkat, sehingga tercipta posisi profesi tersebut yang tangguh dan berdaya saing, yang memungkinkan kita menjadi tuan rumah di negeri sendiri.

Atas inisiatif beberapa praktisi dan akademisi dalam bidang audit sistem informasi, maka dibentuklah Tim Persiapan Pembentukan Ikatan Auditor Sistem Informasi Indonesia (TPP-IASII).

TPP-IASII merupakan tim sementara yang bertugas untuk mengajak dan memotivasi para akuntan publik, auditor pemerintah, analis sistem, system administrator auditor internal perusahaan, dosen, mahasiswa dan masyarakat umum lainnya yang menaruh minat pada pengembangan audit dan pengendalian sistem informasi untuk bergabung membentuk Ikatan ini.

TPP-IASII beranggotakan individu-individu sebagai berikut (urut abjad) :

• Arif Gaffar
• Chandra Yulistia
• Daryanto
• Hari S. Noegroho
• Ichjar Musa (almarhum)
• Novis Pramantayabudi
• Rudy M. Harahap
• Surdiyanto Suryodarmodjo (almarhum)
• Teuku Radja Sjahnan
• Yogiyanto
• Berdirinya IASII

Pada tanggal 20 Mei 2004 IASII dibentuklah IASII. Diharapkan bahwa dengan dibentuknya Ikatan ini, profesi auditor sistem informasi akan dapat melayani kepentingan para stakeholders di Indonesia dengan sebaik-baiknya. IASII senantiasa melakukan kerja sama yang erat dengan asosiasi profesi lain yang terkait dengan bidang sistem informasi.

Kegiatan IASII direncanakan dalam berbagai bidang yang meliputi :

• Penetapan standar profesi auditor sistem informasi Indonesia
• Pemberian sertifikasi kompetensi audit sistem informasi Indonesia
• Peningkatan kemampuan dalam bidang audit sistem informasi bagi anggota
• Peningkatan kesadaran publik mengenai pentingnya audit dan pengendalian sistem informasi

2. ISACA Indonesia Chapter

ISACA adalah asosiasi profesional IS Governance, Keamanan, Risiko & Jaminan di seluruh dunia yang memiliki kredensial terkemuka seperti CISA (Audit & Jaminan IS), CISM (Keamanan Informasi), CGEIT (Tata Kelola Perusahaan & Manajemen TI), CRISC (Risiko IS & Kontrol) dan Yayasan COBIT 5, Implementasi dan Penilai. ISACA Indonesia Chapter didirikan sejak tahun 1993, tujuannya adalah untuk mensponsori seminar dan lokakarya pendidikan lokal, memberikan advokasi kepada sektor publik & swasta, melakukan pertemuan bab reguler sebagai layanan untuk anggota, dan membantu untuk lebih mempromosikan dan meningkatkan visibilitas profesi di seluruh Indonesia.

Muhammad Adli Nur Sofyan

4KA03

14116672

Sumber:

• https://iasii.id/sejarah/
• http://www.isaca.org/chapters11/Indonesia/AboutOurChapter/Pages/default.aspx

Standar dan Panduan untuk Audit Sistem Informasi

Berikut berbagai macam standar dan panduan untuk audit sistem informasi:

• ISACA

IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals

• IIA

International Professional Practices Framework / IPPF

• IASII

Standar Audit Sistem Informasi

• BI

Standar Pelaksanaan Fungsi Audit Intern Bank / SPFAIB

• BPPT

Framework, Kode Etik & Standar, Pedoman Umum Audit Teknologi

COSO

Kerangka konseptual pengendalian internal (COSO) sekarang telah menjadi standar di seluruh dunia untuk membangun pengendalian internal. The Committee of Sponsoring Organizations of the Treadway Commission’s didirikan pada tahun 1985, yang merupakan aliansi dari lima organisasi profesi di antaranya :

•Financial Executives International (FEI)

•The American Accounting Association (AAA)

•The American Institute of Certified Public Accountants (AICPA)

•The Institute of Internal Auditors (IIA)

•The Institute of Management Accountants (IMA) (formerly the National Association of Accountants).

Misi utama dari COSO adalah “Memperbaiki/meningkatkan kualitas laporan keuangan entitas melalui etika bisnis, pengendalian internal yang efektif, dan corporate governance.”

Untuk menindaklanjuti rekomendasi dari komisi treadway, COSO mengembangkan studi mengenai sebuah model untuk mengevaluasi pengendalian internal. Pada tahun 1992, menyelesaikan studi tersebut dengan memperkenalkan sebuah “kerangka kerja pengendalian internal” yang akhirnya menjadi sebuah pedoman bagi para eksekutif, dewan direksi, regulator, penyusun standar, organisasi profesi , dan lainnya sebagai kerangka kerja yang komprehensif untuk mengukur efektifitas pengendalian internal mereka.

COSO 2013 tidak mengubah lima komponen pengendalian intern yang telah dipakai sejak COSO 1992. Tentu saja penjelasannya tetap mengalami penyempurnaan. Penjelasan singkat dari komponen-komponen tersebut adalah sebagai berikut:

1. Lingkungan Pengendalian (Control Environment)

Merupakan susunan dari standar, proses dan struktur yang menyediakan dasar untuk terlaksananya pengendalian internal dalam organisasi. Lingkungan pengendalian mencakup standar, proses, dan struktur yang menjadi landasan terselenggaranya pengendalian internal di dalam organisasi secara menyeluruh. Lingkungan pengendalian tercermin dari suasana dan kesan yang diciptakan dewan komisaris dan manajemen puncak mengenai pentingnya pengendalian internal dan standar perilaku yang diharapkan. Manajemen mempertegas harapan atau ekspektasi itu pada berbagai tingkatan organisasi. Sub-komponen lingkungan pengendalian mencakup integritas dan nilai etika yang dianut organisasi; parameter-parameter yang menjadikan dewan komisaris mampu melaksanakan tanggung jawab tata kelola; struktur organisasi serta pembagian wewenang dan tanggung jawab; proses untuk menarik, mengembangkan, dan mempertahankan individu yang kompeten; serta kejelasan ukuran kinerja, insentif, dan imbalan untuk mendorong akuntabilitas kinerja. Lingkungan pengendalian berdampak luas terhadap sistem pengendalian internal secara keseluruhan.

2. Penilaian Risiko (Risk Assessment)

Penilaian risiko melibatkan proses yang dinamis dan berulang (iterative) untuk mengidentifikasi dan menganalisis risiko terkait pencapaian tujuan. COSO 2013 merumuskan definisi risiko sebagai kemungkinan suatu peristiwa akan terjadi dan berdampak merugikan bagi pencapaian tujuan. Risiko yang dihadapi organisasi bisa bersifat internal (berasal dari dalam) ataupun eksternal (bersumber dari luar). Risiko yang teridentifikasi akan dibandingkan dengan tingkat toleransi risiko yang telah ditetapkan. Penilaian risiko menjadi dasar bagaimana risiko organisasi akan dikelola. Salah satu prakondisi bagi penilaian risiko adalah penetapan tujuan yang saling terkait pada berbagai tingkat organisasi. Manajemen harus menetapkan tujuan dalam katagori operasi, pelaporan, dan kepatuhan dengan jelas sehingga risiko-risiko terkait bisa diidentifikasi dan dianalisa. Manajemen juga harus mempertimbangkan kesesuaian tujuan dengan organisasi. Penilaian risiko mengharuskan menajemen untuk memperhatikan dampak perubahan lingkungan eksternal serta perubahan model bisnis organisasi itu sendiri yang berpotensi mengakibatkan ketidakefektifan pengendalian intern yang ada.

3. Kegiatan Pengendalian (Control Activities)

Kegiatan pengendalian mencakup tindakan-tindakan yang ditetapkan melalui kebijakan dan prosedur untuk membantu memastikan dilaksanakan arahan manajemen dalam rangka meminimalkan risiko atas pencapaian tujuan. Kegiatan pengendalian dilaksanakan pada semua tingkat organisasi, pada berbagai tahap proses bisnis, dan pada konteks lingkungan teknologi. Kegiatan pengendalian ada yang bersifat preventif atau detektif dan ada yang bersifat manual atau otomatis. Contoh kegiatan pengendalian adalah otorisasi dan persetujuan, verivikasi, rekonsiliasi, dan revie kenerja. Dalam memilih dan mengembangkan kegiatan pengendalian, biasanya melekat konsep pemisahan fungsi (segregation of duties). Jika pemisah fungsi tersebut dianggap tidak praktis, manajemen harus memilih dan mengembangka altenatif kegiatan pengendalian sebagai kompensasinya.

4. Informasi dan komunikasi (information and communication)

Organisasi memerlukan informasi demi terselenggaranya fungsi pengendalian intern dalam mendukung pencapaian tujuan. . Manajemen harus memperoleh, menghasilkan, dan menggunakan informasi yang relevan dan berkualitas, baik yang berasal dari sumber internal maupun eksternal, untuk mendukung komponen-komponen pengendalian internal lainnya berfungsi sebagaimana mestinya. Komunikasi sebagaimana yang dimaksud dalam kerangka pengendalian internal COSO adalah proses iteratif dan berkelanjutan untuk memperoleh, membagikan, dan menyediakan informasi. Komunikasi internal harus menjadi sarana diseminasi informasi di dalam organisasi, baik dari atas ke bawah, dari bawah ke atas, maupun lintas fungsi.

5. Kegiatan Pemantauan (Monitoring Activites)

Komponen ini merupakan satu-satunya komponen yang berubah nama. Sebelumnya komponen ini hanya disebut pemantau (monitoring). Perubahan ini dimaksudkan untuk memeprluas persepsi pemantauan sebagai rangkaian aktivitas yang dilakukan sendiri dan juga sebagai bagian dari masing-masing empat komponen pengendalian intern lainnya. Kegiatan pemantauan mencakup evaluasi berkelanjutan, evaluasi terpisah, atau kombinasi dari keduanya yang digunakan untuk memastikan masing-masing komponen pengendlaian intern ada dan berfungsi sebagaimana mestinya. Evaluasi berkelanjutan dibagun di dalam proses bisnis pada tingkat yang berbeda-beda guna menyajikan informasi tepat waktu. Evaluasi terpisah dilakukan secara periodic, bervariasi lingkup dan frekuensinya tergantung pada hasil penilian risiko, efektivitas evaluasi berkelanjutan, dan pertimbangan manajemen lainnya.

Kelebihan dan Kekurangan Internal Control menurut COSO

Kelebihan

1. Pengendalian internal dapat membantu suatu entitas mencapai kinerja dan profitabilitas target dan mencegah hilangnya sumber daya.

2. Dapat membantu memastikan pelaporan keuangan yang dapat diandalkan.

3. Dapat membantu memastikan bahwa perusahaan sesuai dengan peraturan perundang-undangan

4. Menghindari kerusakan reputasi dan lainnya.

Kekurangan

Pengendalian intern dapat memastikan keberhasilan entitas yaitu, ia akan memastikan tercapainya dasar tujuan bisnis atau setidaknya menjamin kelangsungan hidup. Pengendalian yang efektif hanya dapat membantu entitas mencapai tujuan tersebut. Hal ini memberikan manajemen informasi tentang kemajuan entitas, atau kurang dari itu terhadap prestasi mereka. Tapi pengendalian intern tidak dapat mengubah manajer inheren buruk menjadi baik. Dan pergeseran kebijakan atau program pemerintah, tindakan pesaing atau kondisi ekonomi dapat melampaui control manajemen. Control internal tidak menjamin keberhasilan atau bahkan bertahan hidup.

Evaluasi keefektifan Pengendalian Internal

Meskipun COSO menekankan Pengendalian Internal sebagai suatu “proses” namun keefektifan dari pelaksanaannya dinyatakan sebagai sebuah kondisi dalam suatu titik waktu tertentu. Jika defisiensi Pengendalian Internal telah dikoreksi/dibetulkan pada saat pelaporan, COSO menyetujui apabila laporan manajemen pada pihak luar menyatakan bahwa Pengendalian Internal telah berjalan efektif.

Bagaimana pelaporan masalah Pengendalian Internal

COSO mendiskusikan bagaimana manajemen memperoleh dan mengolah informasi jika terjadi defisiensi Pengendalian Internal. COSO merekomendasikan kepada personil yang mengidentifikasi terjadinya defisiensi untuk segera melaporkannya kepada atasan langsungnya, namun jika informasinya sensitive maka perlu adanya jalur khusus penyampaian informasi.

ISO 17799: 2005

ISO / IEC 17799: 2005 menetapkan pedoman dan prinsip umum untuk memulai, menerapkan, memelihara, dan meningkatkan manajemen keamanan informasi dalam suatu organisasi. Tujuan yang diuraikan memberikan panduan umum tentang tujuan yang umum diterima dari manajemen keamanan informasi. ISO / IEC 17799: 2005 berisi praktik terbaik dari tujuan kontrol dan kontrol dalam bidang manajemen keamanan informasi berikut:

• kebijakan keamanan;
• organisasi keamanan informasi;
• manajemen aset;
• keamanan sumber daya manusia;
• keamanan fisik dan lingkungan;
• komunikasi dan manajemen operasi;
• kontrol akses;
• akuisisi, pengembangan, dan pemeliharaan sistem informasi;
• manajemen insiden keamanan informasi;
• manajemen kesinambungan bisnis;
• pemenuhan.

Tujuan dan kontrol kontrol dalam ISO / IEC 17799: 2005 dimaksudkan untuk diimplementasikan untuk memenuhi persyaratan yang diidentifikasi oleh penilaian risiko. ISO / IEC 17799: 2005 dimaksudkan sebagai dasar umum dan pedoman praktis untuk mengembangkan standar keamanan organisasi dan praktik manajemen keamanan yang efektif, dan untuk membantu membangun kepercayaan dalam kegiatan antar organisasi.

Muhammad Adli Nur Sofyan

4KA03 

14116672

Sumber:

• http://reza_chan.staff.gunadarma.ac.id/Downloads/files/56563/Pertemuan+2+-+Standar+Audit+SI.pdf
• https://medium.com/@khristdamay/kerangka-pengendalian-coso-f4ecca22a10f
• https://www.iso.org/standard/39612.html

Analisis Risiko

Analisis Risiko

Analisis risiko adalah sebuah teknik untuk mengidentifikasi dan menilai faktor-faktor yang dapat membahayakan keberhasilan sebuah bisnis, program, proyek, atau individu untuk mencapai tujuan. Teknik ini juga membantu menentukan tindakan pencegahan untuk mengurangi kemungkinan faktor itu terjadi dan mengidentifikasi tindakan yang berhasil menangani kendala-kendala yang berkembang.

Analisis risiko merupakan bagian dari manajemen risiko, yang terdiri dari langkah-langkah sebagai berikut:

• Identifikasi kemungkinan kondisi, peristiwa, atau situasi negatif eksternal dan internal.
• Penentuan hubungan sebab-akibat antara peluang kejadian, skalanya, dan kemungkinan dampaknya.
• Evaluasi berbagai dampak di bawah asumsi dan probabilitas yang berbeda.
• Penerapan teknik kualitatif dan kuantitatif untuk mengurangi ketidakpastian dari dampak dan biaya, kewajiban, atau kerugian.

Muhammad Adli Nur Sofyan

4KA03

14116672

Sumber:

• http://kamusbisnis.com/arti/analisis-risiko/

Jenis-Jenis Audit

1. Audit Internal

Pengertian Audit Internal Menurut Para Ahli

Audit internal memiliki beragam pengertian yang pada intinya memiliki makna yang sama. Pada artikel ini akan dipaparkan Pengertian Audit Internal menurut para ahli.

Mulyadi (2002)

Internal Audit adalah pelaksana audit/auditor yang menjalankan tugas di dalam perusahaan untuk mengetahui sejauh mana prosedur dan kebijakan yang telah dibentuk sebelumnya dipatuhi, menetapkan apakah pengelolaan akan aset organisasi/perusahaan sudah dilaksanakan dengan baik, menetapkan seberapa efektif dan efisien dari prosedur kegiatan organisasi/perusahaan, serta menilai keefektivitasan informasi yang diproduksi oleh tiap unit di dalam organisasi/perusahaan.

Sukrisno

Arti internal audit adalah pemeriksanaan yang dijalankan oleh unit audit internal yang dimiliki perusahaan terhadap finansial report dan laporan akuntansi perusahaan serta meninjau kepatuhan akan kebijakan yang ditentukan pimpinan puncak, peraturan pemerintan, dan ketentuan dari perserikatan profesi.

Lawrence B. Sawyer

Pada buku berjudul “Internal Audit Sawyer” dikemukakan bahwa pengertian audit internal menjabarkan tentang ruang lingkup audit internal modern yang lebih luas.

Arti internal audit adalah proses penilaian yang dilaksanakan secara berurutan dan bersifat obyektif yang dilaksanakan oleh auditor internal kepada aktivitas operasional dan kontrol yang berbeda di dalam organisasi. Audit internal dilaksanakan untuk menetapkan apakah :

1. Informasi mengenai finansial dan operasional perusahaan sudah tepat dan dapat dipercaya.
2. Kemungkinan hambatan yang akan dihadapi perusahaan telag diketahui dan diminimalisasi.
3. Peraturan bagi eksternal perusahaan dan kebijakan di internal dapat diteirma dan dipatuhi.
4. Aktivitas operasional sudah memuaskan.
5. Penggunaan sumber daya perusahaan dipakai secara efektif dan efisien.
6. Tujuan organisasi/perusahaan diraih secara efektif. Hal ini didiskusikan dengan pihak manajemen dan memberikan bantuan berupa saran kepada anggota untuk menjalankan tugas seefektif mungkin.

Dan Guy

Guy mendeskripsikan audit sebagai proses untuk mengidentifikasi data dan mengevaluasi bukti dengan sistem yang obyektif dalam rangka memberi penilaian kesesuaian diantara pernyataan dan kriteria yang ditentukan yang kemudian hasi tersebut disampaikan kepada pihak yang memiliki kepentingan.

Hiro Tugiman

Definisi Audit internal adalah fungsi penilaian secara independen di dalam organisasi untuk mengetes dan melakukan evaluasi terhadap kegiatan/program yang dijalankan.

Ikatan Auditor Internal (Insititute of Internal Auditors – IIA) yang dikutip Messier (2005)

IAA mendefinisikan bahwa internal audit adalah kegiatan yang independen dan objectif beserta konsultasi yang disusun untk meningkatkan nilai dan operasional organisais/perusahaan. Internal audit dapat mendukung organisasi/perusahaan dalam pencapaian tujuannya dengan cara pendekatan yang terstruktur dan disiplin. Pendekatan internal audit tersebut dilakukan dengan cara evaluasi dan meningkatkan keefektifan manajemen resiko, controlling dan proses tata kelola.

 2. Audit Sistem Informasi

Pengertian Audit Sistem Informasi

Audit Sistem Informasi (Informatin System Audit) atau EDP Audit (Electronic Data Processing Audit) atau computer audit  adalah proses pengumpulan data dan pengevaluasian bukti-bukti untuk menentukan apakah suatu sistem aplikasi komputerisasi telah menetapkan dan menerapkan sistem pengendalian internal yang memadai, semua aktiva dilindungi dengan baik atau disalahgunakan serta terjaminnya integritas data, keandalan serta efektifitas dan efesiensi penyelenggaraan sistem informasi berbasis komputer (Ron Weber 1999:10).

3. Audit Kecurangan

Definisi audit kecurangan adalah berbagai prosedur yang dilakukan untuk memeriksa apakah suatu laporan keuangan perusahaan terindikasi telah terjadi suatu bentuk kecurangan/fraud yang dilakukan secara sengaja oleh pihak-pihak tertentu sehingga menimbulkan salah saji yang material sehingga bisa menipu para pengguna laporan keuangan.

4. Audit Ekstenal

Definisi Audit Eksternal adalah review dari laporan keuangan atau laporan dari suatu entitas, biasanya pemerintah atau bisnis, oleh seseorang tidak berafiliasi dengan perusahaan atau lembaga. Audit eksternal memainkan peran utama dalam pengawasan keuangan perusahaan dan pemerintah karena mereka dilakukan oleh individu di luar dan karena itu memberikan pendapat tidak memihak. Audit eksternal biasanya dilakukan secara berkala oleh bisnis, dan biasanya diperlukan tahunan oleh hukum bagi pemerintah.

5. Audit Laporan Keuangan

Audit Laporan Keuangan adalah audit yang dilakukan oleh auditor independen terhadap laporan keuangan yang disajikan oleh kliennya untuk menyatakan pendapat mengenai kewajaran laporan keuangan tersebut.

Laporan audit adalah  media formal yang digunakan oleh aiditor dalam mengkomunikasikan kepada pihak yg berkepentingan tentang kesimpulan atas laporan keuangan yg di audit. Dalam menerbitkan laporan audit , auditor harus memenuhi 4 standar pelaporan yang di terapkan dalam standar auditing yg berlaku umum.

Muhammad Adli Nur Sofyan

4KA03

14116672

Sumber :

• https://jurnalmanajemen.com/audit-internal/#Pengertian_Audit_Internal_Menurut_Para_Ahli
• https://www.kajianpustaka.com/2014/02/audit-sistem-informasi.html
• http://www.materiakuntansi.com/pengertian-audit-kecurangan/
• https://www.kompasiana.com/danilcotseurani/5670ff73f27e61f104aed29b/membedakan-auditor-internal-dan-auditor-eksternal?page=all
• https://www.kompasiana.com/larasaties/563047f0b37a618005bf3965/audit-laporan-keuangan-dan-tanggung-jawab-auditor?page=all

Membuat Storyboard

Heyhooo pengunjung setia blog sayaaa!

Kali ini kita akan membuat storyboard niiiihhh. Kalian tau gak apaa ituuu storyboard? Gatauuu yaaa? Yaudah nih dikasih tauuu.

Apa ituu storyboard? Storyboard adalah sketsa gambar yang disusun secara berurutan sesuai naskah cerita. Nah dari storyboard ini kalian bisa membuat suatu film ataupun iklan dll. Yah kalo buat storyboard harus bisa gambar doongg. Eits jangan pasrah duluu doongg. Saya juga ga terlalu jago gambar. Untungnya di zaman yang sudah canggih ini banyak wadah untuk pembuatan storyboard ini. Salah satunya adalah melalui web storyboardthat.com gaes!

Sekarang kita masuk ke dalam web tersebut yuukk!

Pertama kali sampai ke web tersebut, kalian harus membuat akun terlebih dahuluu. Kalian bisa membuat akun melalui akun gmail kalian. Setelah kalian membuat akun, kalian pencet tuh tombol yang bertuliskan "Create a Storyboard"

Nah setelah itu sudah ada deh template buat kalian yang ga jago ngegambar. Kalian tinggal drag dan drop yang ada di sana dan kalian ulik-ulik sendiri! Wehee gampaangg kaann?

Berikut ini hasil yang telah saya buat :

Begitulah sedikit tutorial untuk membuat storyboard dari saya.

Sampai ketemu lagii di tulisan berikutnyaa yaa!

Muhammad Adli Nur Sofyan

14116672

3KA03

Membuat Animasi Stop Motion Menggunakan Stop Motion Studio

Halo pengunjung blog saya!
Kali ini saya akan membuat animasi stop motion menggunakan aplikasi Stop Motion Studio.
Aplikasi ini berbasis Android dan tentu saja dapat didownload melalu Google Play Store.

Ya langsung saja setelah didownload maka tampilan menu utama dari aplikasi tersebut adalah seperti berikut :

Untuk membuat project baru kalian langsung saja tekan "New Movie" yang terdapat pada menu.
Setelah kalian menekan "New Movie" maka akan masuk ke dalam menu berikut :

Jika kalian sudah di menu ini, kalian langsung saja tekan tombol kamera yang ada di pojok kanan atas tuh.
Kemudian akan masuk ke dalam menu berikut :

Nah, kalian foto deh tuh yang kalian mau jadikan stop motionnya.









Setelah kelar mengumpulkan beberapa foto. Untuk menyimpan foto tersebut dan dijadikan dalam bentuk video maka kalian tinggal menekan tombol export, lalu tekan lagi tombol export movie.

Itu dia cara-cara untuk membuat stop motion gaes. Gampang kan? Selamat membuat stop motion sekreatif mungkin yaa!

Ini adalah hasil stop motion yang saya buat untuk pertama kalinya!

Disarankan play videonya dari smartphone agar bisa menggunakan mode fullscreen.

Dan mohon maaf untuk nama saya di dalam video tidak terlihat dikarenakan menulis nama menggunakan spidol berwarna kuning.

Lagu didownload dari web https://metrolagu.online/download/minions-banana-song/

Muhammad Adli Nur Sofyan

3KA03

14116672

Membuat Animasi Stickman Menggunakan Drawing Cartoons 2

Pada hari ini kita akan belajar membuat animasi menggunakan Drawing Cartoons 2.

Drawing Cartoons 2 adalah aplikasi pembuat animasi yang terdapat di smartphone. Kalian dapat mendownload aplikasi tersebut melalui Google Play Store.

Pertama-pertama kita memencet tombol insert seperti ini : 

Setelah ituu, kalian bisa scroll ke bawah dan pilih apa yang mau kalian pakai untuk membuat animasi kalian.

Saya memakai karakter stickman untuk membuat animasi yang saya inginkan.

Saya memakai dua karakter stickman untuk membuat animasi saya.

Kalian dapat menggerakkan atau memindahkan bagian tubuh stickman dengan mendrag titik orange yang terdapat pada karakter.

Jika anda ingin menambahkan frame maka anda harus menekan tombol Edit frame lalu ADD.

Lakukan langkah-langkah di atas sehingga menjadi animasi yang kalian inginkan.

Berikut adalah animasi yang saya buat :

Muhammad Adli Nur Sofyan
3KA03
14116672