Matakuliah Tahun : A0294/Audit SI Lanjutan : 2009 Application Systems Review Pertemuan 19-20 Learning Outcomes Pada akhir pertemuan ini, diharapkan mahasiswa akan mampu : • Menjelaskan berbagai jenis pengendalian • Menjelaskan 5 kompenen internal control Bina Nusantara University 2 General Controls form the foundation for Application Controls APPLICATION CONTROLS GENERAL CONTROLS Bina Nusantara University 3 Control Framework in IT Environment Applications Controls Application Systems Development Internal Controls General Controls Bina Nusantara University Computer Application Systems and Programs Computer Service Center 4 General Control Computer operations System development and maintenance Data management system Bina Nusantara University 5 General control • General Control adalah control yang berlaku secara umum untuk keseluruhan unit dari sebuah perusahaan. • Tujuan disusunnya general kontrol adalah agar potensipotensi resiko terjadinya disentegritate keamanan dapat diatasi. Bina Nusantara University 6 Tujuan audit general control • Tujuannya : memeriksa untuk mengidentifikasi resiko-resiko yang ada yang bersifat umum dan menilai apakah terhadap resiko tersebut telah dirancang sistem pengendalian internal yang reasonable assurance dan apakah sudah betul-betul ada. Bina Nusantara University 7 Boundary Control • 1. 2. 3. Jenis-jenis kontrol : Cryptographic control Nature of Crytographic Crytographic Techniques Bina Nusantara University 8 Input control • Komponen pada subsistem input bertanggung jawab untuk memasukkan data dan instruksi pada sistem aplikasi. Bina Nusantara University 9 Communcation Control • Komunikasi kontrol bertanggungn jawab untuk mengirim data keseluruh subsistem yang lain dalam sebuah sistem dan untuk mengirim dan menerima data dari sistem yang lain. Bina Nusantara University 10 Auditing Data Management Systems • Access control – Control for Flat files • Closed • Off-line • Physically stored in a separate place – Control for shared databases • Database authorization table/access control list • Passwords • Biometric devices • Data encryption Bina Nusantara University 11 Jejak Audit Jejak audit atau log audit adalah rekaman kejadian. Sebuah sistem komputer dapat memiliki beberapa jejak audit, yang masing-masing fokus pada jenis kegiatan tertentu—seperti mendeteksi pelanggaran keamanan, masalah kinerja serta mendeteksi cacat desain dan pemrograman dalam aplikasi. Bina Nusantara University 12 Lanjutan: Dalam domain keamanan fisik, jejak audit dan log kontrol akses adalah penting karena manajemen perlu mengetahui dari mana usaha akses ke sistem dilakukan dan siapa pelakunya. Bina Nusantara University 13 Life Cycle Assurance, meliputi: a. Security Testing b. Design Specification and Testing c. Configuration Management d. Trusted Distribution Bina Nusantara University 14 • IT GENERAL CONTROLS AND APPLICATION CONTROLS General controls are those controls embedded in IT processes and services. Examples include: • Systems development • Change management • Security • Computer operations Bina Nusantara University 15 • Controls embedded in business process applications are commonly referred to as application controls. Examples include: • Completeness • Accuracy • Validity • Authorisation • Segregation of duties Bina Nusantara University 16 13 Fase Pengembangan Sistem harus Dievaluasi 1. Problem / opportunity definition 2. Management of the change process 3. Entry and feasibility assessement (penilaian) 4. Analysis of the existing system 5. Formulation of strategic requirements 6. Organizational and job design 7. Information processing systems design 8. Application software acquisition and development 9. Hardware/system software acquisition 10. Procedures development 11. Acceptance testing 12. Conversion 13. Operation and maintenance Bina Nusantara University 17 KETERANGAN : 1. Problem / opportunity definition Sistem informasi dapat dikembangkan untuk membantu menyelesaikan masalah atau menggunakan kesempatan. Masalah atau kesempatan yang digunakan untuk mengembangkan system informasi dapat diakui dengan dua cara, yaitu: • Masalah dan kesempatan dapat dipahami melalui proses formal dengan rencana system informasi yang telah disiapkan; • Masalah dan kesempatan dapat dipahami melalui perubahan. Bina Nusantara University 18 2. Management of the change process Ada tiga klasifikasi aktivtitas yang diperlukan untuk perubahan management, yaitu : • Unfreezing the organization, persiapan organisasi untuk perubahan, menyediakan feedback kepada anggota organisasi atas sikap dan tingkah lakunya, menggunakan teknik sebagai suatu pendidikan, berpartisipasi dalam pengambilan keputusan dan perlunya perubahan. Aktivitas ini membantu menghindari terjadinya gangguan pada proses perubahan oleh para stakeholders • Moving the organization, perubahan ke system baru • Refreezing the organization, membantu pengguna system untuk beradaptasi dengan aturan baru dengan cara memberikan feedback Bina Nusantara University yang baik terhadap perubahan attitude dan behavior mereka 19 3. Entry and feasibility assessment (penilaian) Tujuan fase ini adalah untuk mendapatkan komitment untuk melakukan perubahan dan untuk mengevaluasi apakah penyelesaian masalah dengan metode cost-efektif dapat membuat problem dan kesempatan teridentifikasi. 4. Analysis of the existing system Jika sebuah system baru diusulkan, pada beberapa kasus system baru ini akan menggantikan system yang sudah ada. Seorang disainer harus mengerti tentang system yang sekarang bila desainer ingin memberikan suatu system baru yang akan meningkatkan high-quality work. Bina Nusantara University 20 5. Formulation of strategic requirements Kebutuhan strategic suatu system agar pencapaian semua tujuan dapat terjadi harus disiapkan, mungkin dalam batasan yang tidak begitu jelas, seperti meningkatkan kekayaan stakeholders atau sangat spesifik seperti mengurangi tingkat keluar masuk karyawan pada bagian penjualan sebesar 30%. Kebutuhan strategic diidentifikasi berdasarkan pengertian terhadap system yang sedang berjalan atau kesempatan untuk meningkatkan kemampuan dan kualitas kerja 6. Organizational and job design Pada beberapa kasus, penemuan kebutuhan strategic akan mengakibatkan terjadinya pengambilan keputusan terhadap struktur organisasi dan job deskripsi yaitu apakah akan menggunakan yang ada atau harus dilakukan desain yang baru, Bina Nusantara University 21 7. Information processing systems design Jika auditor ikut serta dalam proses pengembangan system baru maka fase ini merupakan fase yang paling utama dalam keterlibatan mereka. Dari sisi efektifitas system maka auditor harus mengajukan pertimbangan apakah desain yang dibuat telah memenuhi kebutuhan strategic seperti yang diinginkan oleh para stakeholders. Dari sisi efisiensi system maka auditor harus dapat menilai tingkat penggunaan sumber daya yang paling masuk akal untuk menjalankan system tersebut. Dalam evaluasi terhadap fase ini, apapun tingkat keterlibatannya auditor harus menguji kepemimpinan terhadap 6 aktiitas berikut: • Elicitation (mendapatkan) of detailed requirements • Design of the data / information flow • Design of the database • Design of the user interface • Physical design • Design and acquisition of the hardware / system software platform Bina Nusantara University 22 8. Application software acquisition and development Setelah fase proses desain selesai maka aplikasi software yang akan digunakan untuk menjalankan system baru tersebut dapat dibeli atau di-develop. Software umum yang tersedia mungkin dapat dibeli untuk digunakan pada system ini tetapi bila tidak software umum yang dapat digunakan untuk aplikasi system baru ini maka perlu dikembangkan sendiri. Auditor selama fase ini harus terlibat dalam pembelian atau pengembangan software untuk keperluan audit, sebagai contoh auditor harus memasukkan beberapa modul audit pada system sehingga system tersebut dapat dimonitor terus menerus. 9. Hardware / system software acquisition Jika hardware baru atau system software harus dibeli untuk menunjang system baru, maka diperlukan suatu prosposal, supplier harus dikumpulkan dan dievaluasi sebelum ditentukan siapa suppliernya. Bina Nusantara University 23 10. Procedures development Selama fase pengembangan prosedur, desainer menetapkan aktivitas yang harus dilakukan oleh user untuk menunjang operasional system dan untuk memperoleh output yang dapat digunakan secara optimal. Pengembangan prosedur ini melibatkan 4 tugas utama, yaitu : • Design of procedures; • Testing of procedures; • Implementation of procedures; • Documentation of procedures Auditor harus memperhatikan beberapa hal pada fase ini yaitu : • Auditor harus memperhatikan kualitas dari prosedur yang didisain. • Jika system ini mempunyai beberapa pengaruh terhadap behavioral, maka auditor harus melakukan pengecekan untuk melihat apakah prosedur yang didisain telah memasukkan semua hal-hal penting bagi stakeholder group; • Auditor harus melakukan evaluasi pendekatan yang digunakan untuk melakukan pengujian terhadap prosedur; • Auditor harus melakukan evaluasi kualitas dari dokumentasi prosedur. Bina Nusantara University 24 11. Acceptance testing Tujuan dari fase ini adalah untuk mengindetifikasi seberapa jauh kesalahan dan kekurangan system berpengaruh terhadap penggunaan system ini. Kesalahan atau kekurangan dapat terjadi pada system software support, user interface, procedur manual, job design, disain struktur organisasi dan lainnya, Acceptance testing adalah untuk mengetahui seberapa besar pengaruhnya bila kesalahan dan kekurangan ini terjadi. Ada empat tipe acceptance testing, yaitu: • Program testing; • System testing; • User testing; • Quality assurance testing; group QA bertanggung jawab untuk memastikan bahwa system tersebut telah memenuhi semua Bina Nusantara University 25 standard yang telah ditetapkan oleh organisasi. Auditor harus mencari jawaban dari pertanyaan dibawah ini ketika mengevaluasi fase ini, yaitu: • How was the testing process planned? • How were test data designed and developed? • What test data were used? • What test results were obtained (dihasilkan)? • What actions were taken as a result of errors or deficiencies identified? • What subsequent modifications to test data were made in light of testing experience? • How was control exercised over test data and the acceptance or testing process? Bina Nusantara University 26 12. Conversion Fase konversi ini terdiri dari aktivitas yang diambil untuk mengoperasionalkan system ini, pada beberapa kasus harus dilakukan masa transisi antara system yang sedang berjalan dengan system baru. Onversi dari system yang lama ke baru dapat dilakukan dengan 3 cara : • Sistem lama dihentikan dan langsung diganti dengan system yang baru • Sistem lama dan baru dijalankan bersamaan untuk suatu periode tertentu tetapi dengan fungsi yang berbeda dan user menggunakan output kedua system tersebut • Sistem lama dan baru dijalankan bersamaan untuk semua fungsi dan output system lama maupun yang baru digunakan bersama-sama Bina Nusantara University 27 Perubahan dari system lama ke system baru melibatkan 4 kegiatan utama yaitu : • Personnel training • Installation of new hardware and software • Conversion of files and programs • Scheduling of operations and test running Bina Nusantara University 28 Auditor biasanya memperhatikan beberapa aspek dibawah ini pada saat fase konversi, yaitu : • Jika gangguan sering terjadi maka asset safeguarding, data integrity, system effectiveness and system efficiency beresiko . • Proses konversi dapat merupakan waktu bagi timbulnya pertentangan dan user menjadi kecewa dengan system yang baru. • Kadang-kadang pertukaran harus dilakukan antara integrity data yang diambil pada system baru dan kebutuhan untuk menjalankan system. • Perencanaan aktivitas yang baik harus dilakukan selama fase konversi. 29 Bina Nusantara University 13. Operation and maintenance Selama fase operasional dan maintenance, system yang baru harus dijalankan seperti system produksi, secara periodic harus dilakukan modifikasi terhadap system untuk mencapai hasil yang lebih baik, hanya pengalaman day-to-day dengan system yang akan memperlihatkan kekuatan maupun kelemahan menjadi jelas. Ada 3 tipe perubahan yang dapat dilakukan pada system, yaitu : • Repair maintenance; kesalahan login pada system diperbaiki • Adaptive maintenance; perubahan pada lingkungan user mungkin memerlukan modifikasi system • Perfective maintenance; perubahan dapat dilakukan agar efisiensi proses dapat lebih meningkat Bina Nusantara University 30 Application controls • Programmed procedures designed to deal with potential exposures that threaten specific applications. 1. Boundary Controls 2. Input controls - Transactions are valid, accurate and complete 3. 4. 5. 6. Processing controls Database Controls Application Communication Controls Output controls Bina Nusantara University 31 1. Input controls A. B. C. D. E. F. Source document controls Data coding controls Batch controls Validation controls Input error correction Generalized data input system Bina Nusantara University 32 2. Process controls • Three categories 1. Run-to-run control 2. Operator intervention control 3. Audit trail control Bina Nusantara University 33 • Run-to-run control Use batch figures to monitor the batch as it moves from one programmed procedure (run) to another 1. Recalculate control totals 2. Transaction codes 3. Sequence checks • E.g., process of sales order – Input sales order – sales order number – a/r – customer number – Inventory – inventory number Bina Nusantara University 34 • Operator intervention control • • • entering control totals for a batch of records Providing parameters for logical operations Audit trail control – Every transaction must be traceable from its sources to its presentation in financial statements. 1. Transaction logs: - Successfully processed transactions 2. Error file: - unsuccessfully processed transactions 3. Transaction log+error file=complete transactions • Bina Nusantara University Transaction log and error logs are important audit evidence that tests “completeness” 35 3. Output controls 1. Controlling batch system output – Output spooling • Direct the output to a magnetic disc file rather than to printer • Potential problems – Access the file and change the content – Access the file and change the number of outputs – Make a copy of the file – Destroy the output file – Print programs – Bursting – Report distribution – End user control 2. Controlling real-time systems output – Possible problems: Interception, disruption, or corruption of the output messages as it passes through the communication links. Bina Nusantara University 36 Audit Trail Controls • Accounting Audit Trail : a. It must attach a unique time stamp to all transaction applied against the database. b. The database subsystem must attach before images and afterimages. c. The database subsystem must provide facilities to define, create, modify, delete, and retrive data in the audit trail. • Operations Audit Trail. Bina Nusantara University 37 The End Bina Nusantara University 38