POSTTEST TSI BANK

Langkah-langkah apa saja yang perlu dilakukan untuk melakukan audit TSI? Jelaskan.

Jawab :

●Kontrol lingkungan:

Apakah kebijakan keamanan (security policy) memadai dan efektif ?

Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dr external auditor

Jika sistem dibeli dari vendor, periksa kestabilan finansial

Memeriksa persetujuan lisen (license agreement)

●Kontrol keamanan fisik

Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai

Periksa apakah backup administrator keamanan sudah memadai (trained,tested)

Periksa apakah rencana kelanjutan bisnis memadai dan efektif

Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai

● Kontrol keamanan logikal

Periksa apakah password memadai dan perubahannya dilakukan reguler

Apakah administrator keamanan memprint akses kontrol setiap user

Memeriksa dan mendokumentasikan parameter keamanan default

Menguji fungsionalitas sistem keamanan (password, suspend userID, etc)

Memeriksa apakah password file / database disimpan dalam bentuk tersandi dan tidak dapat dibuka oleh pengguna umum

Memeriksa apakah data sensitif tersandi dalam setiap phase dalam prosesnya

Memeriksa apakah prosedur memeriksa dan menganalisa log memadai

Memeriksa apakah akses kontrol remote (dari tempat yang lain) memadai: (VPN, CryptoCard, SecureID, etc)

●Menguji Kontrol Operasi

Memeriksa apakah tugas dan job description memadai  dalam semua tugas dalam operasi tsb

Memeriksa apakah ada problem yang signifikan

Memeriksa apakah control  yang menjamin fungsionalitas sistem informasi telah memadai

PRETEST TSI BANK

Apa saja yang perlu diperhatikan untuk melakukan audit Teknologi Sistem Informasi (TSI)?

Jawab :

Teknologi Sistem Informasi (TSI) adalah suatu sistem pengolahan data keuangan dan pelayanan jasa perbankan secara elektronis dengan menggunakan sarana komputer, telekomunikasi, dan sarana elektronis lainnya.

Penggunaan TSI adalah untuk meningkatkan efektivitas dan efisiensi dalam pelaksanaan tugas dan pelayanan kepada masyarakat.

1. Penggunaan Teknologi Informasi Dalam Sistem Informasi Akuntansi

2. Penggunaan Sistem dan Teknologi Informasi Untuk Usaha Kecil

3. Teknologi Sistem Informasi (TSI) Perbankan

Audit system informasi merupakan proses mengumpulkan dan mengevaluasi fakta/temuan/evidence untuk menentukan apakah suatu sistem komputer dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya secara efisien.

Didalam TSI, hal-hal yang perlu diperhatikan salah satunya adalah penilaian resiko. Konsep resiko dalam hal ini meliputi ancaman, kelemahan dan dampak dari penilaian resiko. Ancaman yang sering terjadi salah satunya adalah adanya kompleksitas dari TSI itu sendiri. Berbagai macam elemen dan variasi yang terdapat dalam TSI mewarnai perkembangan TSI kedepannya.

Yang Berperan Dalam Penggunaan Teknologi Sistem Informasi

1. Dalam Hal Penyelenggaraan TSI Dilakukan Oleh Bank Sendiri :

- Menerapkan Pengendalian Manajemen TSI

- Melaksanakan fungsi AUDIT INTERN TSI

- Memiliki alat monitor

- Menerapkan prinsip2 sistem pengawasan dan pengamanan

- Memiliki Disaster Recovery Plan (DRP)

2. Dalam Hal Penyelenggaraan TSI Dilakukan Oleh Pihak Ketiga :

- Memastikan semua hal pada butir III.1 dipenuhi oleh pihak penyelenggara jasa TSI

- Melakukan evaluasi secara berkala atas kehandalan penyelenggara jasa TSI

- Membuat perjanjian tertulis

- Menyampaikan laporan kepada BI

Keamanan dan pengendalian TSI dewasa ini menjadi kelemahan dalam penilaian resiko. Dalam hal ini, kedua hal tersebut menjadi suatu hal yang patut disorot dan diperhatikan agar dapat berkembang menjadi semakin baik. Memang hal ini bukan suatu hal yang mudah untuk dapat dilakukan, namun dengan melakukannya secara bersama-sama, saling menjaga, merawat dan memeliharanya, niscaya kelemahan ini dapat dikurangi bahkan dihilangkan. Adapun dampaknya adalah aset yang ada dapat terlindungi.

Tipe-tipe resiko terdiri dari:

1. Resiko pengembangan

2. Resiko Kesalahan

3. Resiko Terhentinya Bisnis

4. Resiko Pengungkapan Informasi

5. Resiko Penggelapan

Proses perencanaan audit terdiri dari:

Penetapan tipe resiko

Untuk setiap tipe resiko, ancaman, kelemahan system, dampak diberi skor/skala tinggi, cukup, rendah atau tidak ada

Hitung skor resiko:Resiko = ancaman x kelemahan x dampak

Urutkan resiko berdasarkan skor

Kaji ulang dan penyesuaian jika diperlukan

Buat rencana audit dengan prioritas resiko

Kaji ulang rencana dan penyesuaiannya

Laksanakan audit

Proses pemeriksaan Teknologi Sistem Informasi (TSI), dilakukan melalui tahap-tahap sebagai berikut:

Identifikasi spesifikasi system

Penilaian kompleksitas TSI

Penilaian resiko pra pemeriksaan

Pemeriksaan around the computer

Pemeriksaan through the computer

Pemeriksaan keuangan.

Sumber:

http://cheryslearning.blogspot.com/2013/01/hal-hal-yang-perlu-diperhatikan-untuk.html

http://kadandia.blogspot.com/

http://lanilautner.blogspot.com/

POSTTEST COBIT

Adakah tools lain untuk melakukan audit TI (Teknologi Informasi)? Jika ada sebutkan.

Jawab :

IT Audit Tools (Software)

Tool-tool yang dapat digunakan untuk membantu pelaksanaan Audit Teknologi Informasi. Tidak dapat dipungkiri, penggunaan tool-tool tersebut memang sangat membantu Auditor Teknologi Informasi dalam menjalankan profesinya, baik dari sisi kecepatan maupun akurasinya.

Berikut beberapa software yang dapat dijadikan alat bantu dalam pelaksanaan audit teknologi informasi

a. ACL

ACL (Audit Command Language) merupakan sebuah software CAAT (Computer Assisted Audit Techniques) yang sudah sangat populer untuk melakukan analisa terhadap data dari berbagai macam sumber.

ACL for Windows (sering disebut ACL) adalah sebuah software TABK (TEKNIK AUDIT BERBASIS KOMPUTER) untuk membantu auditor dalam melakukan pemeriksaan di lingkungan sistem informasi berbasis komputer atau Pemrosesan Data Elektronik.

b. Picalo

Picalo merupakan sebuah software CAAT (Computer Assisted Audit Techniques) seperti halnya ACL yang dapat dipergunakan untuk menganalisa data dari berbagai macam sumber.Picalo bekerja dengan menggunakan GUI Front end, dan memiliki banyak fitur untuk ETL sebagai proses utama dalam mengekstrak dan membuka data, kelebihan utamanya adalah fleksibilitas dan front end yang baik hingga Librari Python numerik.

Berikut ini beberapa kegunaannya :

· Menganalisis data keungan, data karyawan

· Mengimport file Excel, CSV dan TSV ke dalam databse

· Analisa event jaringan yang interaktif, log server situs, dan record sistem login

· Mengimport email kedalam relasional dan berbasis teks database

· Menanamkan kontrol dan test rutin penipuan ke dalam sistem produksi.

c. Powertech Compliance Assessment

Powertech Compliance Assessment merupakan automated audit tool yang dapat dipergunakan untuk mengaudit dan mem-benchmark user access to data, public authority to libraries, user security, system security, system auditing dan administrator rights (special authority) sebuah serverAS/400.

d. Nipper

Nipper merupakan audit automation software yang dapat dipergunakan untuk mengaudit dan mem-benchmark konfigurasi sebuah router.

Nipper (Jaringan Infrastruktur Parser) adalah alat berbasis open source untuk membantu profesional TI dalam mengaudit, konfigurasi dan mengelola jaringan komputer dan perangkat jaringan infrastruktur.

e. Nessus

Nessus merupakan sebuah vulnerability assessment software, yaitu sebuah software yang digunakan untuk mengecek tingkat vulnerabilitas suatu sistem dalam ruang lingkup keamanan yang digunakan dalam sebuah perusahaan

f. Metasploit

Metasploit Framework merupakan sebuah penetration testing tool, yaitu sebuah software yang digunakan untuk mencari celah keamanan.

g. NMAP

NMAP merupakan open source utility untuk melakukan security auditing. NMAP atau Network Mapper, adalah software untuk mengeksplorasi jaringan, banyak administrator sistem dan jaringan yang menggunakan aplikasi ini menemukan banyak fungsi dalam inventori jaringan, mengatur jadwal peningkatan service, dan memonitor host atau waktu pelayanan. Secara klasik Nmap klasik menggunakan tampilan command-line, dan NMAP suite sudah termasuk tampilan GUI yang terbaik dan tampilan hasil (Zenmap), fleksibel data transfer, pengarahan ulang dan tools untuk debugging (NCAT) , sebuah peralatan untuk membandingan hasil scan (NDIFF) dan sebuah paket peralatan analisis untuk menggenerasikan dan merespon (NPING)

h. Wireshark

Wireshark merupakan aplikasi analisa netwrok protokol paling digunakan di dunia, Wireshark bisa mengcapture data dan secara interaktif menelusuri lalu lintas yang berjalan pada jaringan komputer, berstandartkan de facto dibanyak industri dan lembaga pendidikan.

Sumber http://henindya.blogspot.com/2011/10/it-audit-tools.html

http://billymerkava.blogspot.com/2013/01/adakah-tools-lain-untuk-melakukan-audit.html

PRETEST COBIT

Apa COBIT (Control Objective for Information and Related Technology)?

Jawab :

COBIT adalah merupakan kerangka panduan tata kelola TI dan atau bisa juga disebut sebagai toolset pendukung yang bisa digunakan untuk menjembatani gap antara kebutuhan dan bagaimana teknis pelaksanaan pemenuhan kebutuhan tersebut dalam suatu organisasi. COBIT memungkinkan pengembangan kebijakan yang jelas dan sangat baik digunakan untuk IT kontrol seluruh organisasi, membantu meningkatkan kualitas dan nilai serta menyederhanakan pelaksanaan alur proses sebuah organisasi dari sisi penerapan IT. Cobit berorientasi proses, dimana secara praktis Cobit dijadikan suatu standar panduan untuk membantu mengelola suatu organisasi mencapai tujuannya dengan memanfaatkan IT. Cobit memberikan panduan kerangka kerja yang bisa mengendalikan semua kegiatan organisasi secara detail dan jelas sehingga dapat membantu memudahkan pengambilan keputusan di level top dalam organisasi.

POSTTEST KENDALI DAN AUDIT SISTEM INFORMASI (KASI)

Pengendalian TI didefinisikan sebagai suatu pernyataan hasil yang diinginkan atau maksud yang dicapai oleh prosedur pengendalian implementasi dalam kegiatan TI khusus.

Terdapat 15 area pengendalian, sebut dan jelaskan.

Jawab :

Area Pengendalian ada 15 yaitu :

1. Integritas Sistem

2. Manajemen Sumber Daya (Perencanaan Kapasitas)

3. Pengendalian Perubahan S/W Aplikasi dan S/W sistem

4. Backup dan Recovery

5. Contigency Planning

6. System S/W Support

7. Dokumentasi

8. Pelatihan atau Training

9. Administrasi

10.Pengendalian Lingkungan dan Keamanan Fisik

11.Operasi

12.Telekomunikasi

13.Program Libraries

14.Application Support (SDLC)

15.Pengendalian Mikrokomputer

Penjelasan :

1. Integritas Sistem

a. Ketersediaan dan kesinambungan sistem komputer untuk user

b. Kelengkapan, Keakuratan, Otorisasi, serta proses yg auditable

c. Persetujuan dari user atas kinerja sistem yang di inginkan

d. Preventive maintenance agreements untuk seluruh perlengkapan

e. Kesesuaian kinerja antara S/W dan jaringan dengan yang diharapkan

f. Serta adanya program yang disusun untuk operasi secara menyeluruh

AKS – Bab VII Halaman : 8

2. Manajemen Sumber Daya

a. Faktor-faktor yang melengkapi integritas sistem

b. Yaitu meyakini kelangsungan (ongoing) H/W, S/W, SO, S/W aplikasi, dan komunikasi

jaringan komputer, telah di pantau dan dikelola pada kinerja yang maksimal namun

tetap dengan biaya yang wajar.

c. Hal-hal tersebut di dokumentasikan secara formal, demi proses yang

berkesinambungan

3. Pengendalian Perubahan S/W Aplikasi dan S/W sistem

a. Menentukan adanya keterlibatan dan persetujuan user dalam hal adanya perubahan

terhadap s/w aplikasi dan s/w sistem

b. Setiap pengembangan dan perbaikan aplikasi harus melalui proses formal dan di

dokumentasikan serta telah melalui tahapan-tahapan pengembangan sistem yang

dibakukan dan disetujui.

4. Backup dan Recovery

a. Demi kelangsungan usaha, harus tersedia data processing disaster recovery planning

(rencana pemulihan data dan pusat sistem informasi apabila terjadi kehancuran),

b. Baik berupa backup dan pemulihan normal, maupun rencana contingency untuk

kerusakan pusat SI (lokasi gedung, peralatanya, SDM-nya maupun manualnya).

5. Contigency Planning

a. Perencanaan yang komprehenshif di dalam mengantisipasi terjadinya ancaman

b. terhadap fasilitas pemrosesan SI

c. Dimana sebagian besar komponen utama dari disaster recovery plan telah

dirumuskan dengan jelas, telah di koordinasikan dan disetujui, seperti critical

application systems, identifikasi peralatan dan fasilitas penunjang H/W, sistem S/W

dan sebagainya.

6. System S/W Support

a. Pengukuran pengendalian dalam pengembangan, penggunaan, dan pemeliharaan

dari S/W SO, biasanya lebih canggih dan lebih cepat perputarannya dibandingkan

dengan S/W aplikasiDengan ketergantungan yang lebih besar kepada staf teknik

untuk integritas fungsionalnya

b. Pengukuran kendali pengamanan aplikasi individu maupun pengamanan logika

sistem secara menyeluruh (systemwide logical security)

AKS – Bab VII Halaman : 9

7. Dokumentasi

a. Integritas dan ketersediaan dokumen operasi, pengembangan aplikasi, user dan S/W

sistem

b. Diantaranya dokumentasi program dan sistem, buku pedoman operasi dan schedule

operasi,

c. Untuk setiap aplikasi sebaiknya tersedia dokumentasi untuk tiap jenjang user.

8. Pelatihan atau Training

a. Adanya penjenjagan berdasarkan kemampuan untuk seluruh lapisan manajemen dan

staf, dalam hal penguasaannya atas aplikasi-aplikasi dan kemampuan teknisnya

b. Serta rencana pelatihan yang berkesinambungan

9. Administrasi

a. Struktur organisasi dan bagannya, rencana strategis, tanggungjawab fungsional, job

description, sejalan dengan metoda job accounting dan/atau charge out yang

digunakan

b. Termasuk didalamnya pengukuran atas proses pengadaan dan persetujuan untuk

semua sumber daya SI.

10. Pengendalian Lingkungan dan Keamanan Fisik

a. Listrik, peyejuk udara, penerang ruangan, pengaturan kelembaban, serta kendali

akses ke sumber daya informasi

b. Pencegahan kebakaran, ketersediaan sumber listrik cadangan,

c. Juga pengendalian dan backup sarana telekomunikasi

11. Operasi

a. Diprogram untuk merespon permintaan/keperluan SO

b. Review atas kelompok SO berdasarkan job schedulling, review yang terus-menerus

terhadap operator, retensi terhadap console log message, dokumentasi untuk

run/restore/backup atas seluruh aplikasi

c. Daftar personel, dan nomor telepon yang harus dihubungi jika muncul masalah SO,

penerapan sistem sift dan rotasi serta pengambilan cuti untuk setiap operator.

12. Telekomunikasi

a. Review terhadap logical and physical access controls,

AKS – Bab VII Halaman : 10

b. Metodologi pengacakan (encryption) terhadap aplikasi electronic data interchange

(EDI)

c. Adanya supervisi yang berkesinambungan terhadap jaringan komputer dan

komitmen untuk ketersediaan jaringan tersebut dan juga redundansi saluran

telekomunikasi.

13. Program Libraries

a. Terdapat pemisahan dan prosedur pengendalian formal untuk application source

code dan compiled production program code dengan yang disimpan di application

test libraries development

b. Terdapat review atas prosedur quality assurance.

14. Application Support

a. Bahwa proses tetap dapat berlangsung walaupun terjadi kegagalan sistem

b. Sejalan dengan kesinambungan proses untuk inisiasi sistem baru, manajemen

c. proyek, proses pengujian yang menyeluruh antara user dan staf SI

d. Adanya review baik formal maupun informal terhadap tingkat kepuasan atas SDLC

yang digunakan.

15. Microcomputer Controls

a. Pembatasan yang ketat dalam pengadaan, pengembangan aplikasi, dokumentasi atas

aplikasi produksi maupun aplikasi dengan misi yang kritis, sekuriti logika, dan fisik

terhadap microcomputer yang dimiliki,

b. Serta pembuatan daftar inventaris atas H/W, S/W, serta legalitas dari S/W untuk

menghindari tuntutan pelanggaran hak cipta.

PRETEST KENDALI DAN AUDIT SISTEM INFORMASI (KASI)

Pengendalian internal telah mengalami perubahan dari konsep 'ketersediaan pengendalian' ke konsep 'proses pencapaian tujuan'.

Apakah maksud dari konsep 'Proses Pencapaian Tujuan' tersebut?

Jawab :

Dg konsep baru tersebut disadari bahwa intelektualitas tdk lg terletak pd pucuk pimpinan,

tetapi terletak dilapisan bawah.

Mereka yg deket dg konsumenlah yg paling mengerti dg kebutuhan pasar.

Pengorganisasian yg paling tepat untuk kondisi seperti ini adalah seperti pengorganisasian

orkes simponi.

Organisasi ini sepenuhnya akan digerakan oleh dinamika para pekerja (ujung tombak)

sesuai spesialisai masing-masing.

Untuk menjaga kekompakan agar terjadi irama yg serasi dibutuhkan seorang manajer yg

berfungsi sbg konduktor.

Manajer tersebut tdk lg hrs memiliki pengetahuan teknis seperti yg dimiliki pemain

orkesnya, tetapi yg diperlukan hanya seorang yg mampu mengatur tempo dan menguasai

tingkatan nada.

POSTTEST MANAJEMEN KONTROL KEAMANAN

Aset Sistem Informasi harus dilindungi melalui sistem keamanan yang baik. Sebut dan jelaskan langkah-langkah utama pelaksanaan program keamanan tsb.

Jawab :

Aset : Perlindungan aset merupakan hal yang penting dan merupakan langkah awal dari berbagai implementasi keamanan komputer. Contohnya: ketika mendesain sebuah website e-commerce yang perlu dipikirkan adalah keamanan konsumen. Konsumen merupakan aset yang penting, seperti pengamanan naman alamat ataupun nomor kartu kredit.

Analisi Resiko : adalah tentang identifikasi akan resiko yang mungkin terjadi, sebuah even yang potensial yang bisa mengakibatkan suatu sistem dirugikan.

Perlindungan : Kita dapat melindungi jaringan internet dengan pengaturan Internet Firewall yaitu suatu akses yang mengendalikan jaringan internet dan menempatkan web dan FTP server pada suatu server yang sudah dilindungi oleh firewall.

Alat : alat atau tool yang digunakan pada suatu komputer merupakan peran penting dalam hal keamanan karena tool yang digunakan harus benar-benar aman.

Prioritas : Jika keamanan jaringan merupakan suatu prioritas, maka suatu organisasi harus membayar harga baik dari segi material maupun non material. Suatu jaringan komputer pada tahap awal harus diamankan dengan firewall atau lainnya yang mendukung suatu sistem keamanan.

Sumber : http://queenzha-globaltechnology.blogspot.com/2012/11/post-test.html

PRETEST MANAJEMEN KONTROL KEAMANAN

Untuk mengamankan suatu Sistem Informasi menurut anda apa saja yang perlu dilindungi?

Jawab :

Keamanan sistem mengacu pada perlindungan terhadap semua sumberdaya informasi organisasi dari ancaman oleh pihak-pihak yang tidak berwenang. Institusi/organisasi menerapkan suatu program keamanan sistem yang efektif dengan mengidentifikasi berbagai kelemahan dan kemudian menerapkan perlawanan dan perlindungan yang diperlukan. Keamanan sistem dimaksudkan untuk mencapai tiga tujuan utama yaitu; kerahasiaan, ketersediaan dan integritas.

Keamanan sistem Informasi terdiri dari perlindungan terhadap aspek-aspek berikut:

1.      Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan.

2.      Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin pihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integrity ini.

3.      Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana diperlukan).

Keamanan informasi diperoleh dengan mengimplementasi seperangkat alat kontrol yang layak, yang dapat berupa kebijakan-kebijakan, praktek-praktek, prosedur-prosedur, struktur-struktur organisasi dan piranti lunak.

sumber : https://felixdeny.wordpress.com/2013/11/06/untuk-mengamankan-suatu-sistem-informasi-apa-saja-yang-perlu-dilindungi/

POSTTEST MANAJEMEN KONTROL PROGRAMMING

Cara  seorang  programmer  dalam  menangani  pekerjaan  mereka  sangat  berpengaruh  pada  kualitas software  yang  mereka  buat.  Alternatifnya, para programmer bisa  diorganisasikan  sebagai  satu kesatuan   team.   Mereka   bekerja   untuk   periode   waktu   tertentu   untuk   menyelesaikan   suatu proyek.

Sebut dan jelaskan  struktur team yang digunakan untuk mengorganisasikan para programmer, sebutkan juga tugas masing-masing anggota team!

Jawab :

Ada 3 struktur team yang digunakan untuk mengorganisasikan para programmer:

1.       Chief Programmer Teams

Fungsi dan Cirinya :

Chief Programmer :

• Bertanggung jawab secara total/penuh untuk sistem dimana team bekerja

• Harus seorang ahli

• Seorang programmer yang sangat produktif

• Bertanggungjawab dalam mendesain, coding, dan mengintegrasikan bagian yang

kritis dalam sistem

• Memberikan perintah kerja pada bagian back-up dan support programmers.

Back-up Programmers :

• Seorang programmer senior yang bertanggungjawab dalam memberikan dukungan

penuh pada chief programmer

• Harus bisa mengambil alih tugas chief programmer setiap saat

Support Programmers:

• Diperlukan pada saat proyek besar yang tidak bisa dikerjakan oleh chief programmer

dan back-up programmer saja.

• Menyediakan dukungan

• Bekerja dalam pembuatan coding dan uji coba modul tingkat rendah ( testing lowerlevel)

Librarian (penyedia data) :

• Bertanggungjawab dalam perawatan program production library.

• Menyediakan input dan mengumpulkan keluaran untuk para programmer, file

output dari hasil kompilasi dan ujicoba, mempertahankan agar source code dan

object-code library tetap up to date.

Sruktur “ The Chief Programmer team “ ini di desain untuk mengurangi kebutuhan

proses informasi antara anggota team dan untuk meningkatkan kapasitas dari proses

informasi.

2.       Adaptives Teams

Struktur ini diperuntukan untuk melayani 2 kebutuhan, yaitu:

1. Keinginan organisasi untuk meningkatkan kualitas program

2. Memenuhi kebutuhan sosial/ psikologi dari setiap anggota programmer dalam team.

Perbedaan dari struktur ini dengan struktur sebelumnya adalah:

• Adaptive team tidak punya tigkat otoritas, dimana kepemimpinan dalam team ada

di tangan para anggota.

• Dalam Adaptive team, tugas diberikan pada anggota dari team daripada ditentukan

lewat posisi.

• Adaptive team tidak mempunyai aturan formal librarian (penyedia data)

dalam mengkoordinasikan fungsi team.

3.       Controlled-Decentralized Teams

Struktur ini mempunyai junior programmer yang akan melaporkan hasil program pada

senior programmer, kemudian oleh senior programmer dilaporkan juga pada ketua proyek.

Dengan struktur ini,manfaat/keuntungan dari struktur sebelumnya akan didapatkan.

Keuntungannya : dapat memecahkan masalah yang kompleks, dimana struktur dari grup

ini akan memfasillitasi pemecahan masalah.

Kerugian : strukur ini tidak bisa bekerja dengan baik apabila tugas dari programmer

tersebut tidak bisa di bagi-bagi, dan dengan waktu deadline yang sangat

ketat.

PRETEST MANAJEMEN KONTROL PROGRAMMING

Terdapat 5 tahapan pengembangan program, sebut dan jelaskan, dan tuliskan juga tugas/keterlibatan auditor pada masing-masing tahap.

Jawab :

1. Perencanaan (planning)

Ada 5 teknik perencanaan yang harus dimanfaatkan oleh manajemen untuk perencanaan biaya yang dibuat oleh Boehm pada tahun 1984, diantaranya :

1. Algorithmic Models (Model Algoritma)

Model ini akan memperkirakan jumlah sumber daya yang dibutuhkan berdasar pada faktor biaya, sebagai contoh memperkirakan jumlah instruksi yang harus di ketik (di tulis), bahasa pemrograman yang digunakan, dan perubahan pada permintaan kebutuhan. Dengan menggunakan model COCOMO (Boehm’s (1981)).

2. Expert Judgement

Seorang ahli dapat memperkirakan kebutuhan sumber daya yang diperlukan dalam proyek atau pembuatan program. Menurut penelitian Vicinanza et el’s (1991), seorang ahli dapat menjadi pembuat perkiraan yang lebih baik untuk menentukan sumber daya jika dibanding dengan model algoritma.

3. Analogy (Analogi)

Jika proyek software yang sama pernah dibuat, penentuan sumber daya yang dibutuhkan dapat di dasarkan pada pengalaman sebelumnya.

4. Top-Down Estimation (Perkiraan atas-bawah)

Proyek di pecah kedalam beberapa tugas (pekerjaan), dan penentuan sumber daya yang dibutuhkan oleh setiap tugas tersebut baru dibuat.

5. Bottom-Up Estimation (Perkiraan bawah-atas)

Jika tugas-tugas sudah di buat terlebihdahulu, kebutuhan sumber daya untuk masing-masing dapat diperkirakan dan disatukan atau dikumpulkan untuk keperluan seluruh kebutuhan proyek.

   Dari penjelasan tentang perencanaan diatas, lalu apakah tugas/keterlibatan para auditor pada tahapan perencanaan ini ?.

         Tugas para auditor pada tahapan perencanaan ialah untuk memperkirakan kebutuhan besarnya sumber daya (khususnya jam kerja) yang dibutuhkan dalam pengembangan, pengadaan, dan penerapan software. Sebagai contoh, software yang  di buat di rumah (in house), manajemen harus berusaha untuk memperkirakan berapa jumlah baris kode (program) yang di ketik atau banyaknya fungsi yang di buat.

     Selain memperkirakan kebutuhan sumber daya, manajemen juga harus memutuskan tujuan dari keputusan penting yang dibuat selama fase perencanaan seperti :

Tabel 1 keputusan dalam fase perencanaan

    Pengendalian (Control)

Pada tahap kontrol ini, ada dua tujuan utama yaitu :

1. Untuk memonitor kemajuan dan beberapa tahap pada siklus hidup s/w agar tidak bertentangan dengan rencana awal.

2. Mengontrol tugas pengembangan, pengadaan dan implementasi s/w, agar s/w dapat di produksi secara autentik, akurat dan lengkap.

Untuk memonitor agar kontrol tidak bertentangan dengan rencana awal, beberapa teknik dapat digunakan seperti :

a. Work Breakdown Structures (WBS)

Teknik ini dapat mengidentifikasi tugas-tugas yang spesifik untuk pengembangan, pengadaan, dan implementasi s/w yang dibutuhkan.

b. Gantt Chart

Teknik ini dapat digunakan untuk membantu mengatur tugas (schedule).

c. Program Evaluation and review technique (PERT)

Menunjukan tugas-tugas yang harus diselesaikan, bagaimana hubungannya, kebutuhan sumber daya apa untuk setiap tugas tugasnya.

       Tugas dari seorang auditor yaitu harus mempunyai perhatian khusus pada kendali dan tahap kontrol ini. Yang harus diberikan perhatian khusus yaitu auditor diharuskan dapat mengevaluasi apakah fungsi dari aktivitas kontrol dapat diterapkan juga pada software yang berbeda. Hal kedua yang harus diberikan perhatian khusus oleh auditor harus dapat mengumpulkan bukti apakah prosedur dari suatu kontrol sudah dijalankan dengan benar dan dapat dipercaya.

2. Perancangan (Design)

       Pada tahapan perancangan, seorang programmer bertugas untuk menspesifikasikan struktur dan operasi dari program untuk menemukan artikulasi yang dibutuhkan selama tahap proses informasi sistem desain dari pengembangan sistem.

       Pada tahapan perancangan ini, perhatian utama seorang auditor adalah untuk menentukan apakah programmer menggunakan suatu tipe khusus dari pendekatan sistematik untuk desain. Auditor harus mengubah keinginannya berdasarkan beberapa faktor seperti ukuran dan bahan dari suatu program. Seorang auditor juga dapat memperoleh bukti dari proses desain dengan melakukan interview, observasi, dan review dari dokumentasi. Mereka dapat berkomunikasi dengan programmer, apakah mereka dapat memahami tentang kebutuhan dengan menggunakan pendekatan yang sistematik untuk desain, jika ya, bagaimana menggunakannya. Auditor juga dapat mengamati apakah programmer menggunakan pendekatan sistematik untuk mendesain program. Mereka juga dapat meninjau dokumentasi program, apakah memiliki struktur chart sebagai bukti programmer menggunakan pendekatan yang sistematik untuk mendesain.

3. Pengkodean (Coding)

Pada tahapan pengkodean atau biasa disebut dengan koding, adalah menuliskan program (software) yang akan dibuat atau dimodifikasi. Selama tahap ini, programmer akan menulis dan mendokumentasikan source code (program sumber) dalam bahasa pemrograman untuk mengimplementasikan desain program.

Strategi Implementasi modul dan integrasi

Tiga strategi utama dari implementasi modul dan integrasi adalah sbb :

1. Top-Down

Strategi ini digunakan jika, modul level atas (high-level modules) dibuat (coding), di test, dan diintegrasikan sebelum modul level bawah (low-level modules).  Keuntungannya adalah kesalahan pada modul level atas dapat teridentifikasi lebih dini, kerugiannya adalah pada saat uji coba program akan menemui kesulitan ketika modul level bawah menemukan kesalahan fungsi input-output yang sangat sulit.

2. Bottom up

Strategi ini digunakan jika, modul level bawah di buat (coding), di test, dan diintegrasikan sebelum modul level atas di buat. Keuntungannya adalah modul level rendah yang merupakan operasi yang paling sulit di implementasikan dan diuji terlebih dahulu. Kerugiannya adalah pendekatan ini sangat sulit untuk di teliti seluruh operasinya, sebelum programnya selesai dibuat.

3. Threads (rangkaian / untaian)

Strategi ini digunakan jika, keputusan dibuat terlebih dahulu untuk fungsi program yang akan dibuat, kemudian modul yang akan mendukungnya baru dibuat dan kemudian diimplementasikan untuk menghasilkan fungsi yang penting. Keuntungannya adalah fungsi yang paling penting di implementasikan terlebih dahulu. Kerugiannya adalah integrasi dari modul yang  berikutnya mungkin akan lebih sulit, jika dibandingkan dengan pendekatan top-down atau bottom-up.

Auditor perlu mencari bukti yang benar dengan cara uji coba oleh manajemen program dalam memilih strategi implementasi modul dan integrasi. Khususnya pada program yang besar, penggunaan strategi yang salah (jelek) dapat mengakibatkan program yang dihasilkan menjadi kurang berkualitas.

Auditor dapat melakukan wawancara untuk menguji apakah manajemen menggunakan pendekatan sistematik untuk memilih strategi implementasi modul dan integrasi. Mereka juga dapat menguji dokumentasi program untuk memperoleh bukti tipe strategi yang telah di adopsi (di pilih).

Strategi Coding

Menurut konvensi (kesepakatan) program terstruktur, terdapat tiga dasar struktur utama dalam struktur kontrol yaitu :

1. Urutan sederhana (simple sequence - SEQUENCE)

2. Pemilihan dengan seleksi (selection based on a test – IF-THEN-ELSE)

3. Pengulangan kondisi (conditional repetition-DO WHILE)

   Auditor dapat mencari bukti untuk memastikan apakah manajemen programming di jamin di buat oleh programmer mengikuti struktur programming yang telah di sepakati. Mereka dapat melakukan wawancara dengan manager atau programmer tentang tugas dan cara yang dilakukannya dalam membuat program.

   Auditor juga dapat mengecek apakah programmer dalam membuat programnya menyediakan fasilitas otomatis sebagai alat bantu untuk mereka.

Strategi Dokumentasi

Pedoman untuk menghasilkan dokumentasi yang berkualiatas adalah sbb :

1. Sediakan petunjuk yang menunjukan proes pembuatan program ke dalam beberapa tahap dan komponen secara keseluruhan dan hubungan antara komponen-komponen tersebut.

2. Gunakan baris komentar dalam program secara bebas untuk menerangkan jalannya (logika)program.

3. Beri nama untuk variabel, konstanta tipe, paragraf, modul, dan seksi yang berarti kepada parapembaca source-code program.

4. Buat lay-out dari source-program sehingga mudah untuk dibaca.

5. Kelompokan tipe kode yang saling berhubungan.

4. Pengujian (Testing)

 Proses menganalisa suatu entitas software untuk mendeteksi perbedaan antara kondisi yang ada dengan kondisi yang diinginkan (defect / error / bugs) dan mengevaluasi fitur-fitur dari entitas software (standar IEEE1059). Testing akan melakukan Verifikasi, Deteksi Error, Validasi.

Verifikasi adalah pengecekan atau pengetesan entitas-entitas, termasuk software, untuk pemenuhan dan konsistensi dengan melakukan evaluasi hasil terhadap kebutuhan yang telah ditetapkan.

Validasi melihat kebenaran sistem, apakah proses yang telah ditulis dalam spesifikasi adalah apa yang sebenarnya diinginkan atau dibutuhkan oleh pengguna.

Deteksi error: Testing seharusnya berorientasi untuk membuat kesalahan secara intensif, untuk menentukan apakah suatu hal tersebut terjadi bilamana tidak seharusnya terjadi atau suatu hal tersebut tidak terjadi dimana seharusnya mereka ada.

Manfaat Testing

•         Meningkatkan kepercayaan, tingkat resiko yang dapat diterima

•         Menyediakan informasi untuk deteksi error secara dini

•         Menyediakan informasi yang dapat mencegah terjadinya error

•         Mencari error dan kelemahan sistem

•         Mencari sejauh apa kemampuan dari sistem

•         Menyediakan informasi untuk kualitas produk software

5. Pengoperasian dan Pemeliharaan (Operation and Maintenance)

Dalam sudut pandang Sistem Audit, perhatian utama pada operasional program adalah bagaimana performance program tersebut dapat dimonitor setiap saat. Seseorang harus bertanggung jawab untuk mengidentifikasi apabila program perlu perawatan, kemungkinan lain adalah identifikasi dari kebutuhan perawatan mungkin tidak terjadi. Akibatnya, bisa terjadi kekeliruan pada database program, kegagalan dalam pencapaian keinginan user, atau operasi program tidak efisien. Mekanisme formal dalam monitoring status operasional program sangat diperlukan, ketika pengguna dari program adalah seluruh anggota organisasi yang terdiri dari berbagai macam latar belakang.

Ada 3 macam tipe dari perawatan (maintenance) yang diperlukan agar program tetap beroperasi:

1. Repair-maintenance-errors, perawatan dengan cara memperbaiki kesalahan.

2. Adaptive maintenance-users needs, perawatan dengan mengadaptasi pada keinginan user.

3. Perfective maintenance, perawatan dengan maksud agar diperoleh program yang sempurna.

Sumber :

http://liapsa.staff.gunadarma.ac.id/Downloads/folder/0.5

POSTTEST GAMBARAN PEMERIKSAAN SI

Sebutkan 4 saja dari 7 dan jelaskan mengapa dibutuhkan pengendalian dan audit komputer.

Jawab :

• Organizational Cost of Data Loss

o Data dapat menyebabkan kebutuhan sumber daya menjadi kritis untuk keberlangsungan operasional organisasi (baik untuk memberikan gambaran masa lalu,masa kini dan masa yang akan datang).

o Jika data akurat, maka organisasi akan mempunyai kemampuan untuk beradaptasi dan bertahan dalam lingkungan yang berubah. Jika tidak (data hilang), maka organisasi akan mengalami kehilangan data yang cukup penting.

o Contoh jika data master barang di suatu toko swalayan rusak, maka kasir tidak dapat melakukan transaksi pembelian yang dilakukan oleh konsumen

• Cost of Incorrect Decision Making

o Untuk membuat keputusan yang berkualitas dan dapat dipercaya, maka perlu di dukung oleh data yang akurat melalui sistem informasi berbasis computer

o Termasuk : deteksi, investigasi, dan koreksi proses yang diluar control (connection of out-of- control process)

o Akibat data yang salah akan mempunyai dampak terhadap minat investor terhadap perusahaan. Contoh : jika penyediaan laporan keuangan salah (inaccurate financial information), maka investor akan membatalkan atas keputusan investasinya

o Penting juga diperhatikan tentang ‘aturan-aturan keputusan yang akurat (accurate decision rules).

Contoh jika aturan pengambilan keputusan (decision rule) dalam system pakar untuk mendukung diagnosis, salah, mengakibatkan dokter akan salah dalam memberikan keputusan / pemberian resep kepada pasiennya, ini akan berakibat fatal

• High cost of computer error

− Komputer saat ini mempunyai peranan / fungsi penting dengan lingkungan sosial.

Contoh monitor digunakan untuk memantau pasien, memonitor missile, pengendali reaktor nuklir, dll. Akibatnya jika komputer ‘error’, maka akan mengakibatkan kerugian yang sangat besar (mahal).

− Komputer saat ini mempunyai peranan / fungsi penting dengan lingkungan sosial.

Contoh monitor digunakan untuk memantau pasien, memonitor missile, pengendali reaktor nuklir, dll. Akibatnya jika komputer ‘error’, maka akan mengakibatkan kerugian yang sangat besar (mahal).

− Contoh : 257 orang meninggal di pegunungan antartika, akibat error pada sistem yang diakibatkan oleh pekerjaan ‘iseng’ seseorang yang mengganti isi / data sistem komputer yang terkait dengan penerbangan

• Maintenance of privacy

Sebagian besar data dikumpulkan, merupakan data individu seperti: data pembayar pajak, credit, medical, educational, employment, dan yang lainnya. Data ini dikumpulkan sebelum proses komputerisasi, dan data privasi ini harus dilindungi. Agar hak-hak privasinya terjaga.

• Controlled evolution of computer use

Konflik, satu sisi komputer digunakan untuk hal-hal yang berguna, tapi di sisi lain komputer digunakan untuk pengendalian nuklir yang mungkin saja digunakan untuk hal-hal yang tidak berguna.

PRETEST GAMBARAN PEMERIKSAAN SI

Jelaskan yang dimaksud dengan Audit Sistem Informasi.

Jawab :

Audit sistem informasi adalah proses pengumpulan dan penilaian bukti – bukti untuk menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya secara efisien.

Ada beberapa aspek yang diperiksa pada audit sistem informasi yakni audit secara keseluruhan menyangkut efektifitas, efisiensi, availability system, reliability, confidentiality, dan integrity, aspek security, audit atas proses, modifikasi program, audit atas sumber data, dan data file.

Audit sistem informasi sendiri merupakan gabungan dari berbagai macam ilmu, antara lain traditional audit, manajemen sistem informasi, sistem informasi akuntansi, ilmu komputer, dan behavioral science.

Standar yang digunakan dalam mengaudit sistem informasi adalah standar yang diterbitkan oleh ISACA yaitu ISACA IS Auditing Standard. Selain itu ISACA juga menerbitkan IS Auditing Guidance dan IS Auditing Procedure.