Application Systems Review Pertemuan 19-20 Matakuliah : A0294/Audit SI Lanjutan

advertisement
Matakuliah
Tahun
: A0294/Audit SI Lanjutan
: 2009
Application Systems Review
Pertemuan 19-20
Learning Outcomes
Pada akhir pertemuan ini, diharapkan mahasiswa
akan mampu :
• Menjelaskan berbagai jenis pengendalian
• Menjelaskan 5 kompenen internal control
Bina Nusantara University
2
General Controls form the foundation for
Application Controls
APPLICATION CONTROLS
GENERAL CONTROLS
Bina Nusantara University
3
Control Framework in IT Environment
Applications
Controls
Application
Systems
Development
Internal
Controls
General
Controls
Bina Nusantara University
Computer
Application
Systems and
Programs
Computer
Service
Center
4
General
Control
Computer operations
System development and maintenance
Data management system
Bina Nusantara University
5
General control
• General Control adalah control yang berlaku secara
umum untuk keseluruhan unit dari sebuah perusahaan.
• Tujuan disusunnya general kontrol adalah agar potensipotensi resiko terjadinya disentegritate keamanan dapat
diatasi.
Bina Nusantara University
6
Tujuan audit general control
• Tujuannya :
memeriksa untuk mengidentifikasi resiko-resiko yang
ada yang bersifat umum dan menilai apakah terhadap
resiko tersebut telah dirancang sistem pengendalian
internal yang reasonable assurance dan apakah sudah
betul-betul ada.
Bina Nusantara University
7
Boundary Control
•
1.
2.
3.
Jenis-jenis kontrol :
Cryptographic control
Nature of Crytographic
Crytographic Techniques
Bina Nusantara University
8
Input control
• Komponen pada subsistem input bertanggung jawab
untuk memasukkan data dan instruksi pada sistem
aplikasi.
Bina Nusantara University
9
Communcation Control
• Komunikasi kontrol bertanggungn jawab untuk mengirim
data keseluruh subsistem yang lain dalam sebuah
sistem dan untuk mengirim dan menerima data dari
sistem yang lain.
Bina Nusantara University
10
Auditing Data Management Systems
• Access control
– Control for Flat files
• Closed
• Off-line
• Physically stored in a separate place
– Control for shared databases
• Database authorization table/access control list
• Passwords
• Biometric devices
• Data encryption
Bina Nusantara University
11
Jejak Audit
Jejak audit atau log audit adalah rekaman kejadian.
Sebuah sistem komputer dapat memiliki beberapa jejak
audit, yang masing-masing fokus pada jenis
kegiatan tertentu—seperti mendeteksi pelanggaran
keamanan, masalah kinerja
serta mendeteksi cacat desain dan pemrograman dalam
aplikasi.
Bina Nusantara University
12
Lanjutan:
Dalam domain keamanan fisik, jejak audit dan log
kontrol akses adalah penting karena manajemen perlu
mengetahui dari mana usaha akses ke sistem dilakukan
dan siapa pelakunya.
Bina Nusantara University
13
Life Cycle Assurance, meliputi:
a. Security Testing
b. Design Specification and Testing
c. Configuration Management
d. Trusted Distribution
Bina Nusantara University
14
• IT GENERAL CONTROLS AND APPLICATION
CONTROLS
General controls are those controls embedded in IT
processes and services. Examples include:
• Systems development
• Change management
• Security
• Computer operations
Bina Nusantara University
15
• Controls embedded in business process applications are
commonly referred to as application controls. Examples
include:
• Completeness
• Accuracy
• Validity
• Authorisation
• Segregation of duties
Bina Nusantara University
16
13 Fase Pengembangan Sistem harus
Dievaluasi
1. Problem / opportunity definition
2. Management of the change process
3. Entry and feasibility assessement (penilaian)
4. Analysis of the existing system
5. Formulation of strategic requirements
6. Organizational and job design
7. Information processing systems design
8. Application software acquisition and development
9. Hardware/system software acquisition
10. Procedures development
11. Acceptance testing
12. Conversion
13. Operation and maintenance
Bina Nusantara University
17
KETERANGAN :
1. Problem / opportunity definition
Sistem informasi dapat dikembangkan untuk membantu
menyelesaikan
masalah atau menggunakan kesempatan. Masalah atau
kesempatan
yang digunakan untuk mengembangkan system informasi dapat
diakui
dengan dua cara, yaitu:
• Masalah dan kesempatan dapat dipahami melalui proses formal
dengan rencana system informasi yang telah disiapkan;
• Masalah dan kesempatan dapat dipahami melalui perubahan.
Bina Nusantara University
18
2. Management of the change process
Ada tiga klasifikasi aktivtitas yang diperlukan untuk perubahan
management, yaitu :
• Unfreezing the organization, persiapan organisasi untuk
perubahan,
menyediakan feedback kepada anggota organisasi atas
sikap dan
tingkah lakunya, menggunakan teknik sebagai suatu
pendidikan,
berpartisipasi dalam pengambilan keputusan dan perlunya
perubahan. Aktivitas ini membantu menghindari terjadinya
gangguan pada proses perubahan oleh para stakeholders
• Moving the organization, perubahan ke system baru
• Refreezing the organization, membantu pengguna system
untuk
beradaptasi dengan aturan baru dengan cara memberikan
feedback
Bina Nusantara University
yang baik terhadap perubahan attitude dan behavior mereka
19
3. Entry and feasibility assessment (penilaian)
Tujuan fase ini adalah untuk mendapatkan komitment untuk melakukan
perubahan dan untuk mengevaluasi apakah penyelesaian masalah
dengan metode cost-efektif dapat membuat problem dan kesempatan
teridentifikasi.
4. Analysis of the existing system
Jika sebuah system baru diusulkan, pada beberapa kasus system
baru ini akan menggantikan system yang sudah ada. Seorang disainer
harus mengerti tentang system yang sekarang bila desainer ingin
memberikan suatu system baru yang akan meningkatkan
high-quality work.
Bina Nusantara University
20
5. Formulation of strategic requirements
Kebutuhan strategic suatu system agar pencapaian semua tujuan dapat
terjadi harus disiapkan, mungkin dalam batasan yang tidak begitu jelas,
seperti meningkatkan kekayaan stakeholders atau sangat spesifik
seperti mengurangi tingkat keluar masuk karyawan pada bagian
penjualan sebesar 30%. Kebutuhan strategic diidentifikasi berdasarkan
pengertian terhadap system yang sedang berjalan atau kesempatan
untuk meningkatkan kemampuan dan kualitas kerja
6. Organizational and job design
Pada beberapa kasus, penemuan kebutuhan strategic akan
mengakibatkan terjadinya pengambilan keputusan terhadap struktur
organisasi dan job deskripsi yaitu apakah akan menggunakan yang
ada atau harus dilakukan desain yang baru,
Bina Nusantara University
21
7. Information processing systems design
Jika auditor ikut serta dalam proses pengembangan system baru maka
fase ini merupakan fase yang paling utama dalam keterlibatan mereka.
Dari sisi efektifitas system maka auditor harus mengajukan
pertimbangan apakah desain yang dibuat telah memenuhi kebutuhan
strategic seperti yang diinginkan oleh para stakeholders.
Dari sisi efisiensi system maka auditor harus dapat menilai tingkat
penggunaan sumber daya yang paling masuk akal untuk menjalankan
system tersebut.
Dalam evaluasi terhadap fase ini, apapun tingkat keterlibatannya
auditor harus menguji kepemimpinan terhadap 6 aktiitas berikut:
• Elicitation (mendapatkan) of detailed requirements
• Design of the data / information flow
• Design of the database
• Design of the user interface
• Physical design
• Design and acquisition of the hardware / system software platform
Bina Nusantara University
22
8. Application software acquisition and development
Setelah fase proses desain selesai maka aplikasi software yang akan
digunakan untuk menjalankan system baru tersebut dapat dibeli atau
di-develop. Software umum yang tersedia mungkin dapat dibeli untuk
digunakan pada system ini tetapi bila tidak software umum yang dapat
digunakan untuk aplikasi system baru ini maka perlu dikembangkan
sendiri. Auditor selama fase ini harus terlibat dalam pembelian atau
pengembangan software untuk keperluan audit, sebagai contoh auditor
harus memasukkan beberapa modul audit pada system sehingga
system tersebut dapat dimonitor terus menerus.
9. Hardware / system software acquisition
Jika hardware baru atau system software harus dibeli untuk menunjang
system baru, maka diperlukan suatu prosposal, supplier harus
dikumpulkan dan dievaluasi sebelum ditentukan siapa suppliernya.
Bina Nusantara University
23
10. Procedures development
Selama fase pengembangan prosedur, desainer menetapkan aktivitas
yang harus dilakukan oleh user untuk menunjang operasional system
dan untuk memperoleh output yang dapat digunakan secara optimal.
Pengembangan prosedur ini melibatkan 4 tugas utama, yaitu :
• Design of procedures;
• Testing of procedures;
• Implementation of procedures;
• Documentation of procedures
Auditor harus memperhatikan beberapa hal pada fase ini yaitu :
• Auditor harus memperhatikan kualitas dari prosedur yang didisain.
• Jika system ini mempunyai beberapa pengaruh terhadap behavioral,
maka auditor harus melakukan pengecekan untuk melihat apakah
prosedur yang didisain telah memasukkan semua hal-hal penting
bagi stakeholder group;
• Auditor harus melakukan evaluasi pendekatan yang digunakan untuk
melakukan pengujian terhadap prosedur;
• Auditor harus melakukan evaluasi kualitas dari dokumentasi prosedur.
Bina Nusantara University
24
11. Acceptance testing
Tujuan dari fase ini adalah untuk mengindetifikasi seberapa jauh
kesalahan dan kekurangan system berpengaruh terhadap penggunaan
system ini. Kesalahan atau kekurangan dapat terjadi pada system
software support, user interface, procedur manual, job design, disain
struktur organisasi dan lainnya, Acceptance testing adalah untuk
mengetahui seberapa besar pengaruhnya bila kesalahan dan
kekurangan ini terjadi.
Ada empat tipe acceptance testing, yaitu:
•
Program testing;
•
System testing;
•
User testing;
•
Quality assurance testing; group QA bertanggung jawab
untuk memastikan bahwa system tersebut telah memenuhi semua
Bina Nusantara University
25
standard yang telah ditetapkan oleh organisasi.
Auditor harus mencari jawaban dari pertanyaan dibawah ini ketika
mengevaluasi fase ini, yaitu:
•
How was the testing process planned?
•
How were test data designed and developed?
•
What test data were used?
•
What test results were obtained (dihasilkan)?
•
What actions were taken as a result of errors or deficiencies
identified?
•
What subsequent modifications to test data were made in light of testing
experience?
•
How was control exercised over test data and the acceptance or testing
process?
Bina Nusantara University
26
12. Conversion
Fase konversi ini terdiri dari aktivitas yang diambil untuk
mengoperasionalkan system ini, pada beberapa kasus harus
dilakukan masa transisi antara system yang sedang berjalan dengan
system baru.
Onversi dari system yang lama ke baru dapat dilakukan dengan 3 cara :
• Sistem lama dihentikan dan langsung diganti dengan system yang
baru
• Sistem lama dan baru dijalankan bersamaan untuk suatu periode
tertentu tetapi dengan fungsi yang berbeda dan user menggunakan
output kedua system tersebut
• Sistem lama dan baru dijalankan bersamaan untuk semua fungsi dan
output system lama maupun yang baru digunakan bersama-sama
Bina Nusantara University
27
Perubahan dari system lama ke system baru
melibatkan 4 kegiatan utama yaitu :
• Personnel training
• Installation of new hardware and software
• Conversion of files and programs
• Scheduling of operations and test running
Bina Nusantara University
28
Auditor biasanya memperhatikan beberapa aspek dibawah ini
pada saat fase konversi, yaitu :
•
Jika gangguan sering terjadi maka asset safeguarding,
data integrity, system effectiveness and system efficiency
beresiko .
•
Proses konversi dapat merupakan waktu bagi timbulnya
pertentangan dan user menjadi kecewa dengan system
yang baru.
•
Kadang-kadang pertukaran harus dilakukan antara
integrity data yang diambil pada system baru dan
kebutuhan untuk menjalankan system.
•
Perencanaan aktivitas yang baik harus dilakukan selama
fase konversi.
29
Bina Nusantara University
13. Operation and maintenance
Selama fase operasional dan maintenance, system yang baru harus
dijalankan seperti system produksi, secara periodic harus dilakukan
modifikasi terhadap system untuk mencapai hasil yang lebih baik,
hanya pengalaman day-to-day dengan system yang akan
memperlihatkan kekuatan maupun kelemahan menjadi jelas.
Ada 3 tipe perubahan yang dapat dilakukan pada system, yaitu :
•
Repair maintenance; kesalahan login pada system diperbaiki
•
Adaptive maintenance; perubahan pada lingkungan user mungkin
memerlukan modifikasi system
•
Perfective maintenance; perubahan dapat dilakukan agar efisiensi
proses dapat lebih meningkat
Bina Nusantara University
30
Application controls
•
Programmed procedures designed to deal with
potential exposures that threaten specific applications.
1. Boundary Controls
2. Input controls
- Transactions are valid, accurate and complete
3.
4.
5.
6.
Processing controls
Database Controls
Application Communication Controls
Output controls
Bina Nusantara University
31
1. Input controls
A.
B.
C.
D.
E.
F.
Source document controls
Data coding controls
Batch controls
Validation controls
Input error correction
Generalized data input system
Bina Nusantara University
32
2. Process controls
•
Three categories
1. Run-to-run control
2. Operator intervention control
3. Audit trail control
Bina Nusantara University
33
• Run-to-run control
Use batch figures to monitor the batch as it moves
from one programmed procedure (run) to another
1.
Recalculate control totals
2.
Transaction codes
3.
Sequence checks
•
E.g., process of sales order
–
Input sales order – sales order
number
–
a/r – customer number
–
Inventory – inventory number
Bina Nusantara University
34
•
Operator intervention control
•
•
•
entering control totals for a batch of records
Providing parameters for logical operations
Audit trail control
– Every transaction must be traceable from its sources to its presentation
in financial statements.
1. Transaction logs:
- Successfully processed transactions
2. Error file:
- unsuccessfully processed transactions
3. Transaction log+error file=complete transactions
•
Bina Nusantara University
Transaction log and error logs are important audit evidence that tests
“completeness”
35
3. Output controls
1.
Controlling batch system output
–
Output spooling
•
Direct the output to a magnetic disc file rather than to printer
•
Potential problems
– Access the file and change the content
– Access the file and change the number of outputs
– Make a copy of the file
– Destroy the output file
–
Print programs
–
Bursting
–
Report distribution
–
End user control
2. Controlling real-time systems output
–
Possible problems: Interception, disruption, or corruption of the output messages as it
passes through the communication links.
Bina Nusantara University
36
Audit Trail Controls
•
Accounting Audit Trail :
a.
It must attach a unique time stamp to all transaction applied
against the database.
b. The database subsystem must attach before images and
afterimages.
c. The database subsystem must provide facilities to define,
create, modify, delete, and retrive data in the audit trail.
•
Operations Audit Trail.
Bina Nusantara University
37
The End
Bina Nusantara University
38
Download