COBIT

A.    Komponen COBIT meliputi:

Framework atau Kerangka: bertujuan mengatur tata kelola IT dan praktek yang baik oleh TI domain dan proses, dan menghubungkan dengan kebutuhan bisnis

·         Process descriptions atau Proses deskripsi: Sebuah model proses referensi dan bahasa umum untuk semua orang dalam suatu organisasi. Proses peta untuk wilayah tanggung jawab merencanakan, membangun, menjalankan dan memantau.

·         Control objectives atau Tujuan pengendalian: Menyediakan satu set lengkap persyaratan tingkat tinggi untuk dipertimbangkan oleh manajemen untuk kontrol yang efektif dari setiap proses TI.

·         Management guidelines atau Pedoman manajemen: Bantuan menetapkan tanggung jawab, menyepakati tujuan, mengukur kinerja, dan menggambarkan keterkaitan dengan proses lainnya

·         Maturity models atau Model Kematangan: Menilai kematangan dan kemampuan per proses dan membantu untuk mengatasi kesenjangan.

B.     Pengguna COBIT

COBIT dirancang untuk digunakan oleh tiga pengguna berbeda yaitu :

·         Manajemen
Dengan penerapan COBIT, manajemen dapat terbantu dalam proses penyeimbangan resiko dan pengendalian investasi dalam lingkungan IT yang tidak dapat diprediksi.

·         User
Pengguna dapat menggunakan COBIT untuk memperoleh keyakinan atas layanan keamanan dan pengendalian IT yang disediakan oleh pihak internal atau pihak ketiga.

·         Auditor
Dengan penerapan COBIT, auditor dapat memperoleh dukungan dalam opini yang dihasilkan dan untuk memberikan saran kepada manajemen atas pengendalian internal yang ada.

C.    Kerangka Kerja COBIT

Di dalam kerangka kerja COBIT  terdapat tujuh persyaratan informasi bisnis, atau kriteria: effectiveness, efficiency, confidentiality, integrity, availability, compliance, dan reliability.

1.      Efektivitas (Effectiveness)

Informasi yang relevan terhadap proses bisnis, misal : informasi dikirimkan dengan cara tepat waktu, benar, dapat dipakai dan konsisten.

2.      Efisiensi (Efficiency)

Berhubungan dengan informasi yang optimal terhadap penggunaan sumber daya.

3.      Kerahasiaan (Confidentiality)

Berhubungan dengan perlindungan terhadap informasi yang sensitip dari penyalahgunaan.

4.      Integritas (Integrity)

Berhubungan dengan kelengkapan dan ketelitian informasi seperti halnya kebenaran terhadap satuan nilai-nilai bisnis.

5.      Ketersediaan (Availability)

Berhubungan dengan informasi yang tersedia ketika diperlukan oleh proses bisnis, dan ada berhubungan dengan perlindungan sumber daya.

6.      Pemenuhan (Compliance)

Berhubungan dengan pengaturan yang sesuai bagi proses bisnis adalah pokok.

7.      Keandalan (Reliability)

Informasi Berhubungan dengan sistem yang menyediakan informasi untuk manajemen yang sesuai dengan pengoperasiannya, misalnya : pelaporan keuangan kepada para pemakai informasi keuangan.

Kerangka kerja COBIT, terdiri dari tujuan pengendalian tingkat tinggi dan struktur klasifikasi keseluruhan. Terdapat tiga tingkat (level) usaha pengaturan TI yang menyangkut manajemen sumberdaya TI. Mulai dari bawah, yaitu kegiatan dan tugas (activities and task) yang diperlukan untuk mencapai hasil yang dapat diukur. Dalam aktivitas terdapat konsep siklus hidup yang didalamnya terdapat kebutuhan pengendalian khusus. Kemudian satu lapis di atasnya terdapat proses yang merupakan gabungan dari kegiatan dan tugas (activities and task) dengan keuntungan atau perubahan (pengendalian) alami. Pada tingkat yang lebih tinggi, proses biasanya dikelompokkan bersama kedalam domain.

Selanjutnya, konsep kerangka kerja dapat dilihat dari tiga sudut pandang, yaitu :

[1]   kriteria informasi (information criteria)

[2]   sumberdaya TI (IT resource)

[3]   proses TI (IT processes).

Ketiga sudut pandang tersebut digambar dalam kubus COBIT.

Gambar 1. Kubus COBIT

COBIT kemudian menspesifikasikan sumber daya IT yang harus disediakan untuk memberikan kebutuhan bisnis oleh proses bisnis, yaitu: people, application systems,
technology, facilities, dan data. COBIT mengelompokan aktivitas individual di dalam lingkungan IT kedalam 34 proses dan kemudian mengelompokan proses tersebut menjadi 4 domain. Keempat domain tersebut adalah: Planning and Organization, Acquisition and Implementation, Delivery and Support, dan Monitoring. Berikut ini dijelaskan 4 domain dari COBIT adalah sebagai berikut :

1.      Planning & Organisasion (PO)

Mencakup masalah strategi, taktik, dan identifikasi cara terbaik TI untuk memberikan kontribusi maksimal terhadap pencapaian tujuan bisnis organisasi. Realisasi strategi perlu direncanakan, dikomunikasikan dan dikelola dengan berbagai sudut pandang yang berbeda. Implementasi strategi harus disertai infrastruktur yang memadai dan dapat mendukung kegiatan bisnis organisasi.

2.      Acquisition & Implementation (AI)

Realisasi strategi yang telah ditetapkan harus disertai solusi-solusi TI yang sesuai, kemudian solusi TI tersebut diadakan diimplementasikan dan diintegrasikan ke dalam proses bisnis organisasi. Domain ini juga meliputi perubahan dan perawatan yang dibutuhkan sistem yang sedang berjalan, untuk memastikan daur hidup sistem tersebut tetap terjaga.

3.      Delivery & Support (DS)

Mencakup proses pemenuhan layanan TI, keamanan sistem, kontinuitas layanan, pelatihan dan pendidikan untuk pengguna, dan pemrosesan data yang sedang berjalan.

4.      Monitoring (M)

Untuk menjaga kualitas dan ketaatan terhadap kendali yang diterapkan, seluruh proses IT harus diawasi dan dinilai kelayakannya secara regular. Domain ini berfokus pada masalah kendali-kendali yang diterapkan dalam organisasi, pemeriksaan intern dan ekstern (internal & external audit) dan jaminan independent dari proses pemeriksaan yang dilakukan.

D.    Orientasi Bisnis Cobit

·         Dimulai dengan business objectives pada Framework,

·         Pilih proses2 TI dan pengendalian2 sesuai dengan perusahaan dari Control
Objectives,

·         Operasikan dari business plan,

·         Assess prosedure2 dan hasil2 dengan Audit Guidelines, assess status dari organisasi, Identifikasi critical activities yang memimpin keberhasilan dan ukur kinerja dalam pencapaian enterprise goals dengan Management Guidelines

Strategi Pengujian Perangkat Lunak

Keberhasilan dalam pengujian perangkat lunak merupakan tujuan yang ingin dicapai dalam mebangun sebuah sistem. Untuk itu diperlukan startegi dalam pengujian pernagkat lunak, diantaranya :

a.       Pengujian Unit Program

Pengujian difokuskan pada unit terkecil dari suatu modul program. Dilaksanakan dengan menggunakan driver dan stub. Driver adalah suatu program utama yang berfungsi mengirim atau menerima data kasus uji dan mencetak hasil dari modul yang diuji. Stub adalah modul yang menggantikan modul sub-ordinat dari modul yang diuji.

b.      Pengujian Integrasi

Pengujian terhadap unit-unit program yang saling berhubungan (terintegrasi) dengan fokus pada masalah interfacing. Dapat dilaksanakan secara top-down integration atau bottom-up integration.

c.       Pengujian Validasi

Pengujian ini dimulai jika pada tahap integrasi tidak ditemukan kesalahan. Suatu validasi dikatakan sukses jika perangkat lunak berfungsi pada cara yang diharapkan oleh pemakai.

d.      Pengujian Sistem

Pengujian yang dilakukan sepenuhnya pada sistem berbasis komputer. Jenis pengujian yang dilakukan pada saat melakukan pengujian sistem, yaitu :

·         Recovery testing

Sistem testing yang memaksa perangkat lunak mengalami kegagalan dalam bermacam-macam cara dan apakah perbaikan dilakukan dengan tepat.

·         Security testing

Pengujian yang melakukan verifikasi dari mekanisme perlindungan yangg akan dibuat oleh sistem dan melindungi dari hal-hal yang gmungkin terjadi.

·         Stress testing

Dirancang untuk menghadapi situasi yg tidak normalpada saat program diuji. Testing ini dilakukan oleh system untuk kondisi seperti volume data yg tidak normal (melebihiatau kurang dari batasan) atau fekuensi.

·         Performance testing

Pengujian dilakukan untuk mengetahui kinerja dari sistem. 

Faktor Pengujian Perangkat Lunak

Faktor pengujian adalah factor yang perlu diperhatikan dalam melakukan pengujian. Terdapat 15 faktor dalam pengujian, diantaranya :

a.       Reliability

Berkaitan aplikasi atau sistem yang dibuat sesuai dengan periode waktu yang diminta. Selain itu perbaikan proses kemampuan sistem untuk memvalidasi proses secara benar.

b.      Authorization

Berkaitan dengan hak akses proses transaksi secara umum dan khusus.

c.       File Integrity

Data yang dimassukkan tidak dapat berubah dan memaastikan file yang digunakan benar dan disimpan secara sekuensial dan benar.

d.      Audit Trail

Mengevaluasi proses yang terjadi berdasarkan kejadian yang mendukung keakuratan, kelengkapan, batas waktu, dan otorisasi data.

e.       Continuity of Processing

Kemampuan meneruskan proses dengan prosedur back up untuk melindungi operasi yang mungkin hilang.

f.       Service Levels

Berfokus pada hasil yang dinginkan sesuai dengan waktu yang diinginkan user, dengan melakukan penyesuai anatara keinginan user dan sumber daya yang tersedia.

g.      Access Control

Sumber daya sistem harus terlindungi dai kemungkinan modifikasi, perusakan, dan penyalahgunaan. Prosedur ini dilakukan untuk menjamin ntegritas data.

h.      Metodology

Aplikasi yang dirancang sesuai dengan strategi organisasi, kebijaksanaan, prosedur, dan standar.

i.        Correctness

Menjamin data yang diinputkan, proses, dan output akurat dan lengkap. Hal tersebut dilakukan melalui control transaksi dan elemen data.

j.        Ease of Use

Faktor ini menyangkut denan usability sistem terhadap interaksi anatara manusia dengan sistem.

k.      Maintainable

Memperbaiki suatu error dalam pengoperasian sistem.

l.        Portable

Berkaitan mengirimkan sistem program dari lingkungan datu ke lingkungan yang lain menggunakan suatu konfigurasi. Termasuk konversi data, perubahan program, sistem operasi da perubahan dokumentasi.

m.    Coupling

Menubungkan komponen sistem aplikasi dan dengan sistem aplikasi lain dalam lingkungan pemrosesan.

n.      Performance

Perhitungan sumber daya dank ode yang dimminta untuk melakukan fungsinya termasuk kerja manual dan otomatis.

o.      Ease of Operations

Mengintegrasikan sistem ke dalam lingkungan operasi dan lingkungan sistem aplikasi berupa manual atau otomatis.

Teknik Pengujian Perangkat Lunak

Teknik pengujian perangkat lunak merupakan teknik atau metode atau cara yang digunakan pada tahap ujicoba suatu sistem atau perangkat lunak sebelum pada akhirnya diimplementasikan. Terdapat 3 teknik yang digunakan dalam pengujian perangkat lunak, diantaranya :

a.       White Box Testing

Pengujian white box dapat disebut juga dengan pengujian glass box. Pengujian  white  box  adalah  menguji  alur logika dalam program yang berhubungan dengan source code.  Pengujian white box meliputi pengujian terhadap input, proses, dan output.  Pengujian dilakukan dengan melihat ke dalam modul lalu memperhatikan dan menganalisi kode program apakah terdapat kesalahan atau tidak. Dalam pengujian white box, struktur internal sistem yang diuji diketahui oleh penguji.

b.      Black Box Testing

Pengujian black box berkaitan dengan pengujian yang dilakukan pada interface perangkat lunak berupat input dan output saja. Dan berfokus pada persyaratana fungsional perangkat lunak. Dalam pengujian blackbox, struktur internal sistem yang diuji tidak diketahui oleh penguji.

c.       Grey Box Testing

Merupakan gabungan  metode pengujian perangkat lunak white box dan black box. Strktur internal dari sistem sebagian diketahui oleh penguji.

System Development Life Cycle (SDLC)

Siklus hidup pengembangan sistem atau yang lebih dikenal dengan System Development Life Cycle (SDLC) adalah metode yang digunakan untuk membuat danatau mengembangkan sebuah rancangan sistem yang terdiri atas beberapa tahapan. Terdapat empat tahapan dalam SDLC diantaranya :

a.       Perencanaan

Merupakan tahapan awal yang dilakukan dalam membangun sebuah sistem. Pada tahap merencanakan sistem seperti apa yang akan dibuat mulai dari menentukan masalah yang digunakan hingga mencari data yang berkaitan dengan masalah tersebut.

b.      Analisa

Masalah yang telah dipilih pada tahapan sebelumnya kemudian diidentifikasi dan diklasifikasikan. Selain itu pada tahap ini dianalisa kebutuhan fungsional dan non fungsional yang dibutuhkan untuk membangun sistem.

c.       Rancangan

Pada tahapan ini dilakukan merancang tampilan antar muka, merancang database, dan merancang jaringan.

d.      Uji Coba dan Implementasi

Tahapan ini merupakan tahapn yang penting dalam membangun sistem karena pada tahap ini-lah sistem yang telah dibangun diuji coba. Dari hasil uji coba tersebut menentukan apakah sistem tersebut dapat berjalan dengan baik sesuai dengan keinginan atau tidak. Uji coba dilakukan untuk mengetahui apakah sistem tersebut terdapat kesalahan atau error. Apabila tidak berjalan dengan baik, maka sistem tersebut terlebih dahulu diperbaiki hingga diuji coba kembali dan dapat berjalan dengan baik. Apabila pada sat uji coba dapat berjalan denan baik maka sistem tersebut dapat diimplementasikan dengan melakukan instalasi kepada pengguna.

Review ACL (Audit Command Language)

Audit Sistem Informasi

TUGAS SOFTSKILL

AUDIT TEKNOLOGI SISTEM INFORMASI

"Paper Audit Sistem Informasi"

Dosen : Budi Setiawan

Oleh :

Puspita Dwi Septiyani / 18114561

4KA17

SISTEM INFORMASI

FAKULTAS ILMU KOMPUTER DAN TEKNOLOGI INFORMASI

UNIVERSITAS GUNADARMA

Oktober 2017

1.                  Definisi Audit

            Audit teknologi informasi (Inggris: information technology (IT) audit atau information systems (IS) audit) adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Audit teknologi informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya.

2.                  Perkembangan Pendekatan Audit Sistem Informasi

            Perkembangan teknologi informasi, perangkat lunak, sistem jaringan dan komunikasi dan otomatisasi dalam pengolahan data berdampak perkembangan terhadap pendekatan audit yang dilakukan, tiga pendekatan yang dilakukan oleh auditor dalam memeriksa laporan keuangan klien yang telah mempergunakan Sistem Informasi Akuntansi yaitu (Watne, 1990) :

a.       Auditing Around The Computer. Pendekatan ini merupakan pendekatan yang mula-mula ditempuh oleh auditor. Dengan pendekatan ini komputer yang digunakan oleh perusahaan diperlakukan sebagai Black Box. Asumsi yang digunakan dalam pendekatan ini adalah bila sampel output dari suatu sistem ternyata benar berdasarkan masukan sistem tadi, maka pemrosesannya tentunya dapat diandalkan. Dalam pemeriksaan dengan pendekatan ini, auditor melakukan pemeriksaan di sekitar komputer saja.

b.      Auditing With The Computer. Pendekatan ini digunakan untuk mengotomatisati banyak kegiatan audit. Auditor memanfaatkan komputer sebagai alat bantu dalam melakukan penulisan, perhitungan, pembandingan dan sebagainya. Pendekatan ini menggunakan perangkat lunak Generalized Audit Software, yaitu program audit yang berlaku umum untuk berbagai klien.

c.       Auditing Through The Computer. Pendekatan ini lebih menekankan pada langkah pemrosesan serta pengendalian program yang dilakukan oleh sistem komputer. Pendekatan ini mengasumsikan bahwa jika program pemrosesan dirancang dengan baik dan memiliki aspek pengendalian yang memadai, maka kesalahan dan penyimpangan kemungkinan besar tidak terjadi.pendekatan ini biasanya diterapkan pada sistem pengolahan data on-line yang tidak memberikan jejak audit yang memadai.

3.                  Tujuan Audit Sistem Informasi

a.       Pengamanan aset

            Aset informasi suatu perusahaan seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia, dan data harus dijaga dengan sistem pengendalian intern yang baik agar tidak ada penyalahgunaan aset perusahaan.

b.      Efektifitas sistem

            Efektifitas sistem informasi perusahaan memiliki peranan penting dalam proses pengmbilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi tersebut sudah dirancang dengan benar (doing the right thing), telah sesuai dengan kebutuhan user. Informasi yang dibutuhkan oleh para manajer dapat dipenuhi dengan baik.

c.       Efisiensi sistem

            Efisiensi menjadi sangat penting ketika sumber daya kapasitasnya terbatas. Jika cara kerja dari sistem aplikasi komputer menurun maka pihak manajemen harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memnuhi kebutuhan user dengan sumber daya informasi yang minimal. Cara kerja sistem benar (doing thing right).

d.      Ketersediaan (Availability)

            Berhubungan dengan ketersediaan dukungan/layanan teknologi informasi (TI). TI hendaknya dapat mendukung secara kontinyu terhadap proses bisnis kegiatan perusahaan. Makin sering terjadi gangguan (system down) maka berarti tingkat ketersediaan sistem rendah.

e.       Kerahasiaaan (Confidentiality)

            Fokusnya ialah pada proteksi terhadap informasi dan supaya terlindungi dari akses dari pihak yang idak berwenang.

f.       Kehandalan (Realibility)

            Berhubungan dengan kesesuaian dan kekuratan bagi manajemen dalam pengolahan organisasi, pelaporan dan pertanggungjawaban.

g.      Menjaga integritas data

            Integritas data (data integrity) adalah salah satu konsep dasar sistem informasi. Data memiliki atribut-atribut seperti kelengkapan kebenaran dan keakuratan

4.                  Tools Audit Sistem Informasi

a.       ACL

            ACL (Audit Command Language) merupakan sebuah software CAAT (Computer Assisted Audit Techniques) yang sudah sangat populer untuk melakukan analisa terhadap data dari berbagai macam sumber.

b.      ACL for Windows

            (sering disebut ACL) adalah sebuah software TABK (TEKNIK AUDIT BERBASIS KOMPUTER) untuk membantu auditor dalam melakukan pemeriksaan di lingkungan sistem informasi berbasis komputer atau Pemrosesan Data Elektronik.

c.       Picalo

            Picalo merupakan sebuah software CAAT (Computer Assisted Audit Techniques) seperti halnya ACL yang dapat dipergunakan untuk menganalisa data dari berbagai macam sumber.Picalo bekerja dengan menggunakan GUI Front end, dan memiliki banyak fitur untuk ETL sebagai proses utama dalam mengekstrak dan membuka data, kelebihan utamanya adalah fleksibilitas dan front end yang baik hingga Librari Python numerik.

d.      Powertech Compliance Assessment

            Powertech Compliance Assessment merupakan automated audit tool yang dapat dipergunakan untuk mengaudit dan mem-benchmark user access to data, public authority to libraries, user security, system security, system auditing dan administrator rights (special authority) sebuah serverAS/400.

e.       Nipper

            Nipper merupakan audit automation software yang dapat dipergunakan untuk mengaudit dan mem-benchmark konfigurasi sebuah router.

f.       Nipper (Jaringan Infrastruktur Parser)

            Adalah alat berbasis open source untuk membantu profesional TI dalam mengaudit, konfigurasi dan mengelola jaringan komputer dan perangkat jaringan infrastruktur.

g.      Nessus

            Nessus merupakan sebuah vulnerability assessment software, yaitu sebuah software yang digunakan untuk mengecek tingkat vulnerabilitas suatu sistem dalam ruang lingkup keamanan yang digunakan dalam sebuah perusahaan

h.      Metasploit

            Metasploit Framework merupakan sebuah penetration testing tool, yaitu sebuah software yang digunakan untuk mencari celah keamanan.

i.        NMAP

            NMAP merupakan open source utility untuk melakukan security auditing. NMAP atau Network Mapper, adalah software untuk mengeksplorasi jaringan, banyak administrator sistem dan jaringan yang menggunakan aplikasi ini menemukan banyak fungsi dalam inventori jaringan, mengatur jadwal peningkatan service, dan memonitor host atau waktu pelayanan. Secara klasik Nmap klasik menggunakan tampilan command-line, dan NMAP suite sudah termasuk tampilan GUI yang terbaik dan tampilan hasil (Zenmap), fleksibel data transfer, pengarahan ulang dan tools untuk debugging (NCAT) , sebuah peralatan untuk membandingan hasil scan (NDIFF) dan sebuah paket peralatan analisis untuk menggenerasikan dan merespon (NPING)

j.        Wireshark

            Wireshark merupakan aplikasi analisa netwrok protokol paling digunakan di dunia, Wireshark bisa mengcapture data dan secara interaktif menelusuri lalu lintas yang berjalan pada jaringan komputer, berstandartkan de facto dibanyak industri dan lembaga pendidikan.

Referensi :

https://id.wikipedia.org/wiki/Audit_teknologi_informasi

http://henindya.blogspot.co.id/2011/10/it-audit-tools.html

http://blog.pasca.gunadarma.ac.id/2012/06/07/audit-sistem-informasi-akuntansi-teknologi-sistem-informasi/

http://fitharikhadir.blogspot.com/2016/01/audit-sistem-informasi-dan-prosedur.html