Dokumen tersebut membahas tentang konsep manajemen kontrol dan risiko sistem informasi sebagai bagian dari audit sistem informasi. Materi yang dibahas meliputi definisi kontrol dan risiko sistem informasi, klasifikasi kontrol, peran audit sistem informasi terkait manajemen kontrol dan risiko, serta penilaian risiko sebagai dasar penentuan kecukupan kontrol sistem informasi.
Sipi, irena fatya, prof. dr. ir. h. hapzi ali, pre m sc, mm, cma, membandingk...irenafatya
Sistem Informasi & Pengendalian Internal
Membandingkan kerangka pengendalian internal: COSO internal control integrated framework, COSO enterprise risk management dan COBIT
Sipi, irena fatya, prof. dr. ir. h. hapzi ali, pre m sc, mm, cma, membandingk...irenafatya
Sistem Informasi & Pengendalian Internal
Membandingkan kerangka pengendalian internal: COSO internal control integrated framework, COSO enterprise risk management dan COBIT
SI-PI, PASHA PINTOKITTA MADOGUCCI, HAPZI ALI, COSO dan COBIT, UNIVERSITAS MER...Pasha Madogucci
COBIT mengadopsi definisi pengendalian dari COSO yaitu : “Kebijakan, prosedur, dan praktik, dan struktur organisasi yang dirancang untuk memberikan keyakinan yang wajar bahwa tujuan organisasi dapat dicapai dan hal-hal yang tidak diinginkan dapat dicegah atau dideteksi dan diperbaiki”. Sedangkan COBIT mengadaptasi definisi tujuan pengendalian (control objective)dari SAC yaitu : “Suatu pernyataan atas hasil yang diinginkan atau tujuan yang ingin dicapai dengan mengimplementasikan prosedur pengendalian dalam aktivitas IT tertentu”.
COSO adalah Committee of Sponsoring Organizations of the Treadway Commission. COSO ini dibuat oleh sektor swasta untuk menghindari tindak korupsi yang sering terjadi di Amerika pada tahun 1970-an.
Penerapan IT (Informasi Teknologi) pada perusahaan tentunya sudah menjadi hal yang sudah menjadi hal yang sangat umum. Penggunaan IT pada perusahaan tentunya membawa banyak manfaat bagi perusahaan, contohnya seperti: meningkatkan performa bisnis, meningkatkan ROI, meminimalisasi biaya dan waktu pemasaran, dan meminimalisasi resiko dalam bisnis yang dinamis. Namun penerapan IT pada perusahaan yang bertujuan untuk meningkatkan profit dari perusahaan bisa dapat berdampak sebaliknya bila Tata Kelola IT tersebut buruk. Untuk itulah dibutuhkan IT Governance dimana penggunaan dan penerapan IT pada perusahaan dapat bekerja secara optimal. IT Governance sendiri mempunyai banyak Tools (Alat) dan salah-satunya adalah COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY) framework. Dengan adanya COBIT framework ini perusahaan dapat memanfaatkan IT dengan optimal dan sesuai dengan hasil yang diharapkan. COBIT juga diharapkan mendukung kebutuhan manajemen dalam menentukan dan monitoring tingkatan yang sesuai dengan keamanan dan kendali organisasi mereka. Dengan begitu perusahaan akan merasa bahwa investasi IT-nya membawa keuntungan maksimal bagi proses bisnis mereka.
COBIT dikembangkan oleh IT Governance Institute, yang merupakan bagian dari Information Systems Audit and Control Association (ISACA). COBIT memberikan arahan ( guidelines ) yang berorientasi pada bisnis, dan karena itu business process owners dan manajer, termasuk juga auditor dan user, diharapkan dapat memanfaatkan guideline ini dengan sebaik-baiknya.
Officeless as Platform - HSE Management System v1.0.0jojonomic
Health, safety and environment (HSE) refers to a branch, or department, within a company that is responsible for the observance and protection of occupational health and safety rules and regulations along with environmental protection. Health, safety and environment (HSE) is also often referred to as environmental health and safety (EHS) or safety, health and environment (SHE).
SI-PI, PASHA PINTOKITTA MADOGUCCI, HAPZI ALI, COSO dan COBIT, UNIVERSITAS MER...Pasha Madogucci
COBIT mengadopsi definisi pengendalian dari COSO yaitu : “Kebijakan, prosedur, dan praktik, dan struktur organisasi yang dirancang untuk memberikan keyakinan yang wajar bahwa tujuan organisasi dapat dicapai dan hal-hal yang tidak diinginkan dapat dicegah atau dideteksi dan diperbaiki”. Sedangkan COBIT mengadaptasi definisi tujuan pengendalian (control objective)dari SAC yaitu : “Suatu pernyataan atas hasil yang diinginkan atau tujuan yang ingin dicapai dengan mengimplementasikan prosedur pengendalian dalam aktivitas IT tertentu”.
COSO adalah Committee of Sponsoring Organizations of the Treadway Commission. COSO ini dibuat oleh sektor swasta untuk menghindari tindak korupsi yang sering terjadi di Amerika pada tahun 1970-an.
Penerapan IT (Informasi Teknologi) pada perusahaan tentunya sudah menjadi hal yang sudah menjadi hal yang sangat umum. Penggunaan IT pada perusahaan tentunya membawa banyak manfaat bagi perusahaan, contohnya seperti: meningkatkan performa bisnis, meningkatkan ROI, meminimalisasi biaya dan waktu pemasaran, dan meminimalisasi resiko dalam bisnis yang dinamis. Namun penerapan IT pada perusahaan yang bertujuan untuk meningkatkan profit dari perusahaan bisa dapat berdampak sebaliknya bila Tata Kelola IT tersebut buruk. Untuk itulah dibutuhkan IT Governance dimana penggunaan dan penerapan IT pada perusahaan dapat bekerja secara optimal. IT Governance sendiri mempunyai banyak Tools (Alat) dan salah-satunya adalah COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY) framework. Dengan adanya COBIT framework ini perusahaan dapat memanfaatkan IT dengan optimal dan sesuai dengan hasil yang diharapkan. COBIT juga diharapkan mendukung kebutuhan manajemen dalam menentukan dan monitoring tingkatan yang sesuai dengan keamanan dan kendali organisasi mereka. Dengan begitu perusahaan akan merasa bahwa investasi IT-nya membawa keuntungan maksimal bagi proses bisnis mereka.
COBIT dikembangkan oleh IT Governance Institute, yang merupakan bagian dari Information Systems Audit and Control Association (ISACA). COBIT memberikan arahan ( guidelines ) yang berorientasi pada bisnis, dan karena itu business process owners dan manajer, termasuk juga auditor dan user, diharapkan dapat memanfaatkan guideline ini dengan sebaik-baiknya.
Officeless as Platform - HSE Management System v1.0.0jojonomic
Health, safety and environment (HSE) refers to a branch, or department, within a company that is responsible for the observance and protection of occupational health and safety rules and regulations along with environmental protection. Health, safety and environment (HSE) is also often referred to as environmental health and safety (EHS) or safety, health and environment (SHE).
2. Kampus Inovasi
MATERI
Pertemuan
Ke-
POKOK
BAHASAN
1 - 2 Definisi, latar belakang, tujuan audit SI/TI
3 Tata kelola IT sebagai dasar audit
4-5 Konsep manajemen control dan risiko SI/TI
6
Jenis Audit berdasarkan proses
7
8. UJIAN TENGAH SEMESTER (UTS)
9 Inisiasi audit SI/TI
10
Perencanaan Audit SI sesuai metode
11
12 Analisis proses dan penemuan fakta audit SI/TI
13
Evaluasi hasil Audit
14
15 Pelaporan hasil audit SI/TI
16. UJIAN AKHIR SEMESTER (UAS)
3. Kampus Inovasi
CPMK dan Sub CPMK
• CPMK 02
Mampu memahami Kontrol
dan risiko SI/TI sebagai bagian
dari audit SI/TI
• Sub CPMK 04
Mampu memahami kontrol
dan resiko sebagai bagian dari
Audit SI/TI (B2)
4. Pokok Bahasan
1 Peran Audit SI/TI mengarah pada definisi dan pengelolaan Kontrol dan Risiko
2 Definisi dan ruang lingkup risiko SI/TI
3 Definisi, klasifikasi dan peran kontrol SI/TI
2 Klasifikasi dan kategorisasi kontrol SI/TI pada Audit SI/TI
2 Subyek Audit pada SI/TI
2 Entity Level Control
5. IS/IT Audit Role
• Advising the Audit Committee and senior management on IT internal control
issues
• Performing IT Risk Assessments (penilaian Resiko TI)
• Performing:
Institutional Risk Area Audits
General Controls Audits
Application Controls Audits
Technical IT Controls Audits
Internal Controls advisors during systems development and analysis
activities.
6. Definisi IT Risk
Risiko pada organisasi yang disebabkan oleh penggunaan TI
dalam suatu organisasi, terdiri dari semua kejadian yang terkait
dengan penggunaan TI dan memiliki potensi yang berdampak
pada organisasi (ISACA)
suatu upaya dari perencanaan, pengorganisasian memimpin dan
kegiatan untuk meminimalkan dampak dari kerugian akibat
kecelakaan pada biaya yang paling dapat diterima (Blockdijk,
dkk, 2008)
7. Definisi Resiko
Threat
Vurnerability RISK
Impact (asset
value)
Ancaman yang diakibatkan
oleh adanya kelemahan
Kelemahan yang dapat
dieksploitasi sehingga menjadi
sebuah ancaman
Dampak yang terjadi dikarenakan
adanya kelemahan yang berhasil
dieksploitasi.
8. Kampus Inovasi
Tipe Risiko
RISK
RI
SK
Strategic
RI
SK
Operational
RI
SK
Tactical
Risiko yang muncul pada
operasional harian, ini bisa
ditimbulkan dari kesalahan
teknis, atau kesalahan yang
dilakukan oleh pegawai
maupun proses yang ada
risiko yang berhubungan
dengan perencanaan
pada masa depan dalam
menangani kondisi pada
saat masalah tersebut
terjadi dalam suatu
kegiatan usaha
risiko yang mungkin muncul
ketika strategi dari
perusahaan menjadi tidak
efektif dan akhirnya
perusahaan mengalami
kesulitan dalam mencapai
tujuannya
9. DEFINISI
Control is defined as the policies, procedures, practices and organizational structures
designed to provide reasonable assurance that business objectives will be achieved and
that undesired events will be prevented or detected and corrected. (ISACA)
Yaitu kebijakan, prosedur, praktik, dan struktur organisasi yang dirancang untuk
memberikan jaminan yang dapat diterima dimana nantinya tujuan bisnis akan tercapai
dan kejadian yang tidak diinginkan akan dapat dicegah atau dideteksi dan diperbaiki.
Control is defined as a statement of the desired result or purpose to be
achieved by implementing control procedures in a particular IT activity .
(ISACA)
pernyataan hasil atau tujuan yang diinginkan untuk dicapai dengan
menerapkan prosedur pengendalian dalam aktivitas TI tertentu.
10. DEFINISI
Control is defined as the policies, procedures, practices and organizational structures
designed to provide reasonable assurance that business objectives will be achieved and
that undesired events will be prevented or detected and corrected. (ISACA)
Yaitu kebijakan, prosedur, praktik, dan struktur organisasi yang dirancang untuk
memberikan jaminan yang dapat diterima dimana nantinya tujuan bisnis akan tercapai
dan kejadian yang tidak diinginkan akan dapat dicegah atau dideteksi dan diperbaiki.
Control is defined as a statement of the desired result or purpose to be
achieved by implementing control procedures in a particular IT activity .
(ISACA)
pernyataan hasil atau tujuan yang diinginkan untuk dicapai dengan
menerapkan prosedur pengendalian dalam aktivitas TI tertentu.
11. IT Control
IT control is a process
that provides assurance
for information and
information services, and
help to mitigate risks
associated with use of
technology.
IT
Control
Understanding IT Control
Importance of IT Control
Roles and
Responsibilities
Based On
Risk
Monitoring and
Technology
Assessment
12. Understanding IT Control
A Top Down approach used
when considering IT Controls
Application Based Controls
Systrem Development Controls
System Software Controls
Physical & Environment COntrol
Organization and Management
Standards
Policies
Governance
Management
Technical
13. Understanding IT Control
Klasifkasi Kontrol
Preventive
Detective
Corrective
pengendalian internal yang dilakukan sebelum masalah tersebut
timbul/untuk mengurangi kerentanan (vulnerability).
pengendalian internal yang dilakukan untuk mendeteksi permasalahan
yang telah timbul/mendeteksi masalah dan memicu berfungsinya kontrol
yang lain.
pengendalian internal untuk mengidentifikasi dan memperbaiki masalah
serta memulihkannya dari kesalahan tersebut/untuk mengurangi sebuah
dampak dari risiko (impact).
14. Importance of IT Control
Needs for IT
controls, such
as
Controlling
Cost
Protecting
Information
Assets
Complying
with law &
Regulations
Implementing effective IT Controls will improve
Efficiency, Reliability and Flexibility
15. Roles & Responsibilities
sistem pengendalian
internal dalam
perusahaan
Define, approve &
implement IT
Controls
Evaluasi proses
kendali
16. Bases On Risk
Analyzing
Risk
Identify &
Prioritize Risk
Consider Risk ini
determining the
adequacy of IT Controls
Define Risk Mitigation
strategi
Accept/mitigate/share
17. Monitoring IT Controls
Monitoring IT
Controls
On Going
Monitoring
Special
Review
Automated
continuous
auditing
Aseessment
Assessing IT
Control
An ongoing
process
Technology
adaptif dan
berkembang
New
vulnerabilities
emerge
18. IT Control : General Control
IT
Control
Application
Control
General
Control
Physical Security
Physical Access,
Temperature Control,
Fire Protection , UPS
Change Management
Program Change
Controls, Tracking,
Change Approval
Back Up/Contingency
Plan
Data Backups, Restore
Procedures, Offsite
Storage
Disaster Recovery
Buss. Resumption Plan,
BRP Testing , Alternate
Processing
Acess Control
User Ids/Password, Data
Security,Network
Security, Sec
.Administration, Acess
Authorization
Output Control
Reconciliation,
Distribution, Acess
Input COntrol
Data Entry Control,
System Edits,
Segregation of duty,
Trasaction Authorized
Processing Control
Audit Trail , Interface
Configuration, Control
Total
20. Klasifkasi Kontrol
Source : Gantz, Stephen D., 2014, The Basics of IT Audit: Purposes, Processes, and Practical Information, Elsevier Inc., Waltham, USA
21. Kontrol Kategorisasi
Source : Gantz, Stephen D., 2014, The Basics of IT Audit: Purposes, Processes, and Practical Information, Elsevier Inc., Waltham, USA
22. IT Audit Subject
Source : Gantz, Stephen D., 2014, The Basics of IT Audit: Purposes, Processes, and Practical Information, Elsevier Inc., Waltham, USA
23.
24.
25. Tugas 2 (Pert 4-5 Blended*)
• Silakan baca tambahan literasi cara penilaian resiko pada jurnal yang
dishare .
• Penugasan dilakukan berkelompok
• Deadline pengumpulan pada pert 5
* Dapat disesuaikan oleh dosen pengampuh
Deskripsi Tugas :
Lakukan pengamatan pada objek tempat studi kasus tugas besar Anda
(sekolah/perusahaan/dinas pemerintahan.
Identifikasi resiko penggunaan IT pada tempat tersebut kemudian
klasifikasikan jenis risiko yang kalian dapatkan (berikan penjelasan
dari hasil justifikasi risk yang diberikan). Selanjutnya buat dalam
bentuk report hasil pengamatan dan penilaian resiko tersebut.
Format tugas dapat disesuaikan oleh dosen pengampuh masing-masing