Bagaimana sih mengaudit IT itu
Hari ini ada email yang masuk inbox saya menanyakan seputar IT audit. Saya coba jawab dibawah. Dan apabila rekan-rekan yang mengunjungi blog saya tertarik atau masih ada pertanyaan lain seputar IT audit saya akan coba jawab, sesuai kemampuan saya tentunya, selamat membaca.
On 8/11/06, xxxxx@yahoocom wrote:
/> Ada hal yang saya ingin tanyakan terkait mungkin
/> dengan pengalaman Bapak sebagai IS Auditor. Saat ini
/> saya ada rencana untuk melakukan audit di IT tentang
/> berbagai hal yang ada di perusahaan saya seperti
/> parameter-parameter yang digunakan, bagaimana security
/> system dan levelnya, back up data, hub swicth, network
/> dsb. Saya memiliki keterbatasan dalan hal itu,
/> sehingga saya menemukan suatu kesulitan dalam
/> melakukan audit.
Jawaban:
Halo Pak xxxx,
Salam kenal, saya coba jawab ya pak. Pada dasarnya sebelum melakukan audit IT kita harus membuat skup/batasan audit itu sampai dimana. Misalnya audit ini dilakukan untuk:
1. Audit support, hanya mendukung audit keuangan. Jadi yang diperiksa hanya komponen-komponen IT yang terkait dengan transaksi keuangan. Misalnya sistem bapak menggunakan ERP, nah berarti yang perlu di periksa terkait dengan server dimana ERP itu berada, database yang digunakan ERP. Umumnya pekerjaan seperti ini ditangani oleh KAP
2. IT Assesment, misalnya bapak ingin mengukur bagaimana kinerja network bapak (network assesment), bagaimana mengukur tingkat security governance? bagaimana mengukur resiko keamanan (vulnerability assesment) atau sekedar quality control bagaimana penyelenggaraan kegiatan IT selama ini ditempat bapak.
3. Special project, biasanya ini terkait dengan keinginan perusahaan untuk memenuhi suatu standard tertentu semisal IT governance, SOX, cobit, BS7799. Nah tentunya sistem IT-nya perlu di audit agar memenuhi standard tersebut. Asumsinya sama persis seperti di industri ada penerapan ISO9001 untuk QA atau 14000 untuk lingkungan.
Nah kalau kita sudah menentukan skupnya dimana barulah kita melakukan field work. Tentunya penentuan skup ini harus disesuaikan dengan kemampuan ‘si auditor’ yang dalam hal ini bisa bapak sendiri, tim kerja, atau pihak ketiga, karena kalau melebar kemana-manapun belum tentu kita mendapatkan hasil yang kita inginkan.
Apa yang harus kita siapkan
Secara umum yang harus kita siapkan adalah terkait dengan:
1. Prosedural Control
Seperti peraturan-peraturan dalam pengelolaan IT ditempat bapak, standard, dokumentasi. Mirip ISO, ‘melakukan apa yang kita tulis dan menuliskan apa yang kita lakukan’
2. Technical Control
Nah ini mungkin lebih tepat menjawab pertanyaan bapak. Tentunya masing-masing komponen yang bapak sampaikan (switch, firewall, server) memiliki standard-standard tersendiri bagaimana best practicesnya. Di KAP, umumnya memiliki jaringan informasi bagaimana seharusnya best practices pada pengelolaan device tersebut.
Namun bagi non KAP sendiri, sebenarnya informasi mengenai bagaimana seharusnya penerapan standard security yang bener sudah bisa didapatkan dari vendor system tersebut. Namun biasanya user dan bahkan vendor sendiri tidak aware
Apa yang harus kita lakukan
Saya kurang tahu bapak bergerak dalam industri apa dan kompleksitas IT-nya seperti apa, namun saran saya sesuaikan lagi dengan kebutuhan bapak seperti apa. IT audit sebenarnya suatu hal yang harus disadari oleh pelaku kegiatan IT itu sendiri, mungkin ga perlu muluk-muluk dengan proses IT audit yang standar, tapi bisa dimulai dengan kesadaran pentingnya IT audit itu sendiri.
Anjar Priandoyo 
Salam sejahtera,
Saya tertarik dan berterima-kasih atas informasi yang saya peroleh dari blog milik Mas Anjar. Sedikit mengenai latar belakang saya : saya bekerja sebagai pemeriksa pajak di Direktorat Jenderal Pajak selama 14 tahun, latar belakang pendidikan adalah akuntansi dan manajemen. Saya berkeinginan untuk memiliki skill dan pengalaman kerja sebagai IT Auditor, karena menyadari bahwa organisasi saya sekarang ini dan kedepannya sangat membutuhkan profesi tsb. Puji Tuhan, pada bulan Juni 2006 yang lalu saya sudah lulus ujian CISA (boleh sombong dikit kalau saya orang pertama di Direktorat Jenderal Pajak yang lulus ujian tsb). Tapi sekarang saya bingung sekaligus sadar (apa sadar dulu baru bingung ya?) kalau pengetahuan saya masih kurang apalagi pengalaman yang dibutuhkan untuk menjadi IT Auditor. Untuk itu saya minta pencerahan dari Mas Anjar mengenai pelatihan-pelatihan apa saja yang perlu saya ambil agar pengetahuan saya cukup untuk menjadi IT Auditor. Matur nuwun.
Andri Puspo Heriyanto
Agustus 15, 2006 at 4:01 am
Wah luar biasa sekali pak Andri, balasannya saya kirim email ya pak
priandoyo
Agustus 15, 2006 at 4:31 am
Lha balasannya kok by japri.. kita2 juga pengen tahu..
Selamat buat Bpk Andri atas pencapain CISA nya…
Dengan itu diharapkan bisa menambah “Pundi Negara”
Mr X
Agustus 18, 2006 at 8:31 am
Halo pak Mr X, balesannya emang via japri aja soalnya IT audit tuh ‘industri spesifik’. Kalau saya biasa audit manufaktur mungkin saya agak gagap kalau harus audit di telco. Lagian dengan profil pak Andri yang sudah lebih banyak makan asam garam, saya cuman bantu ngobrol-ngobrol sama beliau saja. Beliau-nya lebih jago eh, cuman perlu sharing-sharing saja kok.
Tapi kalau pak Mr X ada pertanyaan tertentu, monggo coba disharing. Kalau saya ndak bisa mungkin temen-temen dikantor ada yang bisa pak :)
priandoyo
Agustus 22, 2006 at 1:01 am
Very Good info…
Aku pengen jadi IT Auditor aaahhh…
Mohon bimbingannya, Mas Anjar.
Truslah berkarya dan berbagi ilmu!..
oliver
Agustus 25, 2006 at 5:05 pm
Bung,
Apakah ada perbedaan yg signifikan antara Audit Sistem Informasi dengan Audit Teknologi Informasi….? Apakah yg bertanggung jawab secara legal profesi mengenai hasil Audit SI selalu Akuntan?
Buku apa yg bagus kalau mau belajar ttg Audit Sistem Informasi?
Thanks ya…!
Rendra Tris
September 7, 2006 at 5:27 am
1. Perbedaan TI dan SI
Teknologi Inf (TI) dan Sistem Inf (SI), menurut saya tidak ada bedanya. Ini untuk menjelaskan termin/istilah yang sama. Memang ada yang membedakan bahwa TI lebih pada keseluruhan baik hardware maupun software sementara SI adalah software-nya saja. Tapi menurut saya tidak perlu diperdebatkan perbedaan antara SI dan TI.
2. Hasil audit SI secara legal profesi selalu akuntan
Sama sekali tidak, akuntan adalah profesi terkait dengan keuangan, sedangkan audit SI lebih tepat dikerjakan oleh orang SI. Namun semua ini kembali pada skup-nya seperti apa, audit SI dalam skup laporan keuangan (bisnis proses) mungkin orang akuntan lebih tepat, audit dalam kerangka security mungkin orang IT lebih tepat.
Tapi mas, dalam skala industri dan bisnis, background seseorang sebenarnya tidak penting, asalkan client kita mau pakai, ga ada masalah, meskipun yang mempertanggungjawabkannya adalah sarjana kedokteran misalnya.
3. Buku untuk belajar audit sistem informasi
Tergantung kita dari background apa dan ingin mendekati proses audit seperti apa dan kebutuhan kita apa. Kalau kita akuntan, mulailah dari SAP, kalau dari IT mulailah dari firewall, kalau mahasiswa mulailah dari buku2 teks dikampus.
Menjadi auditor IT itu mudah, 2-3 bulan belajar, dapat client, belajar dilapangan kita sudah bisa ,menyandang gelar IT auditor, tapi, menjadi seorang ahli, yang berkompeten dalam bidangnya perlu waktu dan proses :)
priandoyo
September 7, 2006 at 5:45 am
Mas Anjar,
Kebetulan di tempat kerja saya, baru saja dilakukan perubahan sistem informasi manajemen dari sistem yang lama dan aktivitas ini melibatkan pihak eksternal sebagai konsultan sekaligus developer-nya. Saat ini pengerjaannya sudah mencapai tahap Develop Product dan akan segera memasuki tahap implementasi. Hal yang ingin saya tanyakan adalah apakah audit dapat dilakukan pada sistem yang masih dalam proses pengembangan seperti itu? lalu apakah aktivitas konsultan & developer sebagai penyedia aplikasi juga dapat dievaluasi? apa standar acuannya? saya pernah mendengar istilah “project audit” apakah istilah itu berbeda dengan “IT audit”?
Begitu saja dulu Mas Anjar, mohon bantuannya, Terima kasih
D. Perdana
Oktober 10, 2006 at 7:22 am
Menurut saya, secara praktis proses audit bisa dilakukan oleh siapa saja dan dalam tahap manapun juga. Intinya audit itu agar segala yang kita lakukan dapat terkendali / terkontrol dengan baik. Kalau kita punya sistem keuangan, dengan audit sistem keuangan itu tidak ada masalah. Kalau kita punya project maka project tersebut juga bisa berjalan dengan baik.
Jadi kalau pertanyaaanya seperti itu, jawabannya adalah bisa. Kita bisa cari referensi standar project management yang baik. Bisa dari PMBOOK/PMP (project management certification) atau berdasarkan best practice dari vendor atau sumber lain. Atau SLA (service level agreement) framework.
Akhirnya jangan memandang audit sebagai suatu yang wah. Audit sebenarnya tidak lebih dari memeriksa. Dan untuk memeriksa itu tergantung dengan batasan yang kita buat. Sama seperti audit IT, selalu ada referensi / acuan yang digunakan
priandoyo
Oktober 15, 2006 at 4:47 am
mau nanya neee… mas anjar
apakah standar audit itu sama antara standar audit keuangan dengan standar audit sismtem informasi??? klo berbeda, apa seh bedanya???? trus kebanyakan perusahaan pake standar yang mana???
maria
Oktober 22, 2006 at 7:56 pm
Saya tidak menguasai audit keuangan, tapi saya kira itu berbeda. gampangnya audit keuangan kan yang diperiksa keuangannya, laporannya. kalau audit SI yang diperiksa kan sistemnya (komputernya, basis datanya).
Standar yang mana? kalau perusahaannya listing di NYSE (bursa saham new york) bisa mengikuti COBIT, atau SOX. Kalau menengah, bisa mengikuti standar dari vendor misalnya Microsoft Security Baseline Analyzer
priandoyo
Oktober 30, 2006 at 1:13 am
mas………saya dapat tugas dari dosen saya, kalo ruangan server yang ideal itu… kaya gimana seehhhhhhhh? yang lengkap ya mas????????? tapi jawabnya jangan lama-lama,Pleaaaaaaaaaaaaaseeeeeeeeeez. thx b4
Eka
November 6, 2006 at 1:26 am
Halo Eka, paling engga ada physical controlnya macem temperature, raised floor, alarm, terus ada access control macem finger scan, log book dkk. Kalau versi lengkapnya mesti disiapin dulu nih. Tunggu yak, atau coba google aja harusnya banyak kok
priandoyo
November 7, 2006 at 12:35 am
maksudnya raised floor ?
bagus
November 13, 2006 at 10:30 am
Raised floor itu lantai tambahan setinggi 20-30 cm diatas lantai permanennya. Biasanya dari bahan sejenis fiber. Fungsinya biar kabling, power, ACnya ga berantakan. Biar rapih dan menghindari ‘korslet’ antar kabel. Biasanya dipakai didata center.
http://en.wikipedia.org/wiki/Raised_floor
priandoyo
November 16, 2006 at 1:41 am
mau tanya sesuatu,
kalau ingin menilai maturity tata kelola TI menggunakan COBIT, apa iya harus menilai detil hingga efektifitas IT activitiesnya, lalu efektifitas IT Process nya, lalu IT Goals nya.
soalnya dosen saya bilang gitu, tapi menurut saya lingkup maturity model ya cuma
-awareness & communication
-policies, standard & procedures
-tools & automation
-skills & expertise
-responsibility & accountability
-goal setting and measurement
sebenernya saya sudah tanya2 pendapat beberapa orang lain, tetapi tetap ada pertentangan dengan argumen2 nya sendiri. kalo boleh saya cuma pengen tahu mas pri memihak yang mana, atau punya opini sendiri ?
bagus
November 21, 2006 at 7:42 am
Mas Bagus, pada prakteknya di Industri, sebenarnya jarang ada titik temu antara konsultan COBIT (misalnya kantor akuntan publik / konsultan / akademisi) dan End User misalnya perusahaan telekomunikasi. Biasanya pihak yang pertama memandang semua proses dalam kondisi ideal dan itulah gunanya mereka dibayar. Sedangkan dari sisi End user mungkin yang berpikiran lebih praktis seperti anda :) dan (saya juga setuju)
Kalau seringkali ada benturan ada dua pihak itu memang kenyataan yang terjadi seperti ini. Apalagi kalau End User punya pertimbangan sendiri misalnya mengenai budget atau mengenai strategic plan IT-nya kedepan.
Kalau menurut saya, masing-masing pihak ini harus memandang persoalan dengan lebih luas. Konsultannya harus lebih jeli dan peka, sementara end usernya juga harus bisa bekerja sama.
Dan COBIT itu sebenarnya tidak lebih dari framework, cara berpikir, suatu konsep yang bisa berbeda-beda penerapannya.
Anjar Priandoyo
November 21, 2006 at 8:04 am
mas, saya mahasiswi lagi buat skripsi ttg audit sistem informasi penjualan suatu perusahaan. Tp saya bingung mengenai audit plan. Mas ada teori mengenai definisi serta contoh audit plan itu seperti apa ga?? Tolong dibalas ya. Kalo bisa kirimin jawabannya ke imel saya. Makasih
indah
November 29, 2006 at 5:36 am
hmmm, audit plan yang seperti apa ya? harusnya disesuaikan dengan tema skripsinya kan. kalu ga nanti melebar kemana-mana :)
priandoyo
November 30, 2006 at 3:52 am
Mas, salam kenal..
Background pendidikan saya ialah IT, sepertinya Audit SI ini akan menjadi trend pengetahuan dalam SI ke depan, tolong saya diberi referensi untuk dapat mengenal dan mengetahui secara detil tentang Audit SI ini. Kata teman saya bahwa Audit SI ini punya sertifikasi ya… atau ada ujian untuk menjadi Auditor SI. Tolong ya mas.. Kalau kepanjangan jawabannya kirim ke email saya saja..Trims banget..
Edwin
Desember 21, 2006 at 5:54 am
trend, hmmm, lebih tepatnya mengisi ceruk-ceruk yang sebelumnya tidak ada kali ya. ok, nanti saya coba ya nulis lagi. thanks comment-nya
priandoyo
Desember 22, 2006 at 1:50 am
Mas anjar, saya kul di bidang IT (Komputer Akuntansi), lulus th 2002, sekarang saya mengajar. Tapi saya ingin bekerja sesuai bidang saya, kalau bisa lebih mendalam lagi. Saya ingin belajar tentang audit baik komputer audit maupun akuntansi audit. Kira2 mana yang lebih dulu saya pelajari dan saya harus mulai dari mana. Karena ada lowongan pekerjaan sebagai auditor. Saya ingin pekerjaan itu.
Rony Idinawaty Sinurat
Januari 16, 2007 at 1:18 am
salam kenal ya pak
nama saya putri saya masih berumur 21 tahun, saya mo nanya apa yang mesti saya pelajarin kl saya ingin jadi Auditor TI, ato saya mesti nambah kuliah/pengetahuan apa, sehingga saya punya kemampuan utk jd auditor TI
putri
Januari 16, 2007 at 4:10 am
Kalo mbak putri mau belajar ttg IT Audit..sini ama aku aja…ntar tak ajarin dari basic ampe advance…tp itu kalo mas anjar mengijinkan…
salam
Mr. Playboy
Januari 16, 2007 at 5:36 am
Saya comment disini yak
https://priandoyo.wordpress.com/2007/01/19/cara-menjadi-auditor-it/
priandoyo
Januari 19, 2007 at 8:51 am
DEAR MAS ANJAR,
Saya @ mahasiswa PTN USU sedang mengerjakan skripsi tentang Komputeisasi Akuntansi dengan Branch Delivery System pada Bank BRI. Saya mau tanya menurut Mas Anjar bahan2 apa saja yang harus saya miliki/ketahui ? saya jurusan akuntansi-S1 dan sangat berkeinginan menjadi auditor TI bagaimana caranya ya Mas karena di Medan sangat sedikit auditor IT munkin belum ada sama sekali apakah saya harus pergi ke Jakarta untuk mencari pekerjaannya ? Mohon balasannya ya Mas ke e-mail saya saja.
Terima Kasih,
Sincerely Yours
DIDI TRIANTO
Januari 26, 2007 at 8:28 am
mas anjar,
saya lagi mempelajari bagaimana cara mengimplementasi cobit di universitas..
dari segi control objectives apa harus semuanya disertakan atau dipilih yang berkaitan saja..?
kalau ada referensi lebih lanjut mengenai hal ini tolong ya…
terima kasih
lisa
Januari 28, 2007 at 12:14 pm
jadi sedikit tertarik dengan penyamaan antara IT dan IS. (information technology dan information system).
kenapa disamakan ? kalo industri game raksasa seperti EA dan ubisoft.. apakah mereka itu IT dan IS ? kalo menurutku mereka itu IT tapi bukan IS.
salam kenal dari Paris. :)
hebiryu
Januari 28, 2007 at 7:29 pm
Halo Mas Hebiryu, salam kenal juga :)
balasannya di https://priandoyo.wordpress.com/2007/01/29/perbedaan-it-dan-is/
priandoyo
Januari 29, 2007 at 1:39 am
Bu Lisa, saya coba jawab di:
https://priandoyo.wordpress.com/2007/01/29/cobit-untuk-universitas/
priandoyo
Januari 29, 2007 at 2:20 am
mas anjar priandoyo yang terhormat..
saya tertarik dengan penjelasan mas anjar mengenai audit IT, saya seorang sarjana hukum, saat ini saya sedang mengerjakan compliance (kepatuhan hukum) terhadap suatu sistem IT..saya mengalami kesulitan dalam mencari peraturan perundang-undangan yang terkait dengan sistem IT..sebagai contoh apakah ada ketentuan hukum yang mengatur mengenai tuning performance atau update software? atas bantuannya saya haturkan ucapan terimakasih yang sedalam-dalamnya..
aryo
Februari 14, 2007 at 5:32 am
Ada yang bisa bantu?
Saya kurang tahu persisnya mas Aryo, setahu saya saat ini compliance terhadap sistem IT lebih karena business requirement semodel SOX (Sarbanes Oxley) yang harus dicomply perusahaan yang listing di NYSE (stock exchange)
Ada juga partial per industry seperti harus comply ke peraturan Bank Indonesia bahwa tiap bank harus memiliki sistem IT tertentu. Untuk Telco harus comply untuk memiliki backup data CDR (call detail record) selama 5 tahun terakhir.
mengenai tuning performance dan update software saya kurang paham. saya rasa undang-undang kita belum menyentuh sedalam ini
priandoyo
Februari 14, 2007 at 12:04 pm
Pak Anjar,
Perusahaan saya dalam waktu dekat akan di audit SOX, untuk itu saya mohon bantuan dari bapak apa saja yang biasanya di audit atau bahan-bahan yang bisa saya jadikan referensi.
Kesuwun..
Hadiwijoyo
Februari 15, 2007 at 2:29 am
Pak Anjar,
Saya mahasiswa akuntansi semester6 tertarik tentang audit TI & berniat semester depan membuat skripsi tentang audit TI. Tapi saya masih sedikit blank…. Bisa minta tolong dikirimi lewat email tentang pengertian dasarnya ? Trus, setahu Anda sejauh apa peran TI dalam perusahaan sektor publik di Indonesia… Soalnya, seperti PDAM, misalnya, saya pernah jadi korban kekeliruan data air yang digunakan. Masa’ pemakaian 9 meter kubik bisa bengkak jadi 109 meter kubik air !!!!
etik
Februari 20, 2007 at 1:14 am
Saya jawab disini yak
https://priandoyo.wordpress.com/2007/02/20/studi-kasus-audit-ti-pada-pdam-sektor-publik/
priandoyo
Februari 20, 2007 at 2:14 am
mas Anjar,
saya mahasiswa yang akan melakukan skripsi mengenai audit sistem informasi pembelian, yang ingin saya tanyakan hal apa saja yang harus diperhatikan dalam mengaudit sistem informasi pembelian pada suatu perusahaan.
thanks
alfri
Februari 20, 2007 at 6:38 am
Mas Alfri, sebenarnya sederhana saja, terapkan control-control pada sistem informasi tersebut :), kontrolnya seperti apa? tergantung aplikasi yang anda bakal buat. Ceritanya nanti panjang, sebenarnya lebih gampang cari aplikasi yang dah jelas (baca custom macem SAP, atau Orafin)
priandoyo
Februari 20, 2007 at 9:11 am
Salam kenal mas anjar..
Mas, saya mao nanya neh. Rencanannya saya mao bikin skripsi, judulnya “Hub. Audit Sistem Informasi Manajemen dalam kaitannya dengan penyediaan informasi yang bermutu bagi End User di PT. X”. btw, judulnya sudah di Acc terus td saya konsultasi lg sama dosen mata kuliah nah dia bilang Audit SIM itu gunanya untuk menilai kualitas SIM itu sendiri. Benar ga mas? Logika sederhananya kan, klo ga salah, ujung2nya penyediaan informasi yang bermutu kan?
Dosen ane bilang klo hub audit ke informasi yg bermutu terlalu jauh soalnya informasi yang bermutu itu di dapat dari SIM yg berkualitas.
Dari yang saya baca2, audit SIM itu juga bertujuan untuk menentukan kesesuaian antara penerapan TI dengan tujuan-tujuan perusahaan.
Singkat kata saya mao bertanya, tujuan utama di lakukan audit SIM itu apa mas?
Makasih mas atas pencerahannya..
Rommi
Februari 26, 2007 at 9:56 am
Mas Rommi salam kenal juga, kalau gitu ceritanya bisa panjang nih mas. Tapi kata kuncinya, apalagi anda sekarang didunia akademik:
“turuti pendapat dosen anda saja, it audit itu istilah yang bisa multiintrepretatif”
btw saya agak kesulitan nih menjawab coment dari temen-temen di akademisi, ada yang bisa menjembatani gimana, soalnya terlalu luas sekali.
FYI, kalau di industri pun biasanya client nurut sama auditornya, alias auditornya yang setir mau kemana arah audit IT-nya. Nah kalau dalam tataran akademik ini agak ribet, karena pemegang standar, dalam hal ini dosen pemahamannya bisa beda-beda.
Mana yang benar? menurut saya pendapat dosen anda sekarang. Karena itu tempat anda mengadu *duh maksudnya tempat anda konsultasi.
priandoyo
Februari 26, 2007 at 11:38 am
Terima Kasih Mas atas jawaban dan rekomendasinya mas.
Biar aman, mending ikutin dulu kata dosen ntar baru kita jadi rekan kerjanya.. heheh Amien..
Saya punya kabar gembira buat Mas Pri..:)
Judul saya sudah di acc lg dan cuma ganti variabel Y-nya doank, nah sekarang tinggal ngumpulin semangat, memeras otak, untuk nulis skipsi.. Kira-kira buku apa saya yang harus saya baca mas tentang audit SI? Soalnya buku Audit SI yang saya temukan terbitan tua dan judulnya masih Audit EDP atau PDE dan itu juga dari Perspektif ilmu Akuntansi. Terus buku-buku terbitan lokal ada ga ya mas yang membahas tentang audit SI soalnya saya ga menemukan..:( Apa usaha saya yang kurang neh>:P
Rommi Ariesta
Maret 8, 2007 at 12:37 pm
mas anjar, saya mahasiswa ilkomp ugm sedang menyusun skripsi. tema TA saya yaitu auditing.tapi lebih ke auditing keuangan. mas bisa kasih saya bantuan tentang bagaimana membangun suatu aplikasinya. parameter2 apa aja yang mesti ada. trims sebelumnya…
bary
Maret 9, 2007 at 9:02 am
Mas Rommi: Kitab pamungkasnya sih masih Ron Weber :( coba cari di banyak toko buku impor di Jakarta, saya pernah nemu di Taman Anggrek atau di JWC-nya Binus Senayan. Kalau anda pengen jadi auditor beneran, ada baiknya invest dibuku ini. Tapi harganya mang agak mahal 150-an rb kalu ga salah. Tapi kalau dikampus2 biasanya buku ini banyak beredar kok.
Buku-buku lama malah bikin anda bingung lho, saya sih mending pakai referensi seminimal mungkin. Ilmunya kan multiinterpretatif, seperti sudah saya bilang. Hmm gimana kalau internet? dulu saya skripsi refrensinya full dari internet bisa tuh :)
Mas Barry: Ada baiknya mas Barry jangan mengambil auditing keuangan, karena bakal mumet yakin. Memang sih ada keuntungannya dosen anda bisa diboongin karena beliau ndak ngerti juga detailnya. Saran saya switch topik TA-nya, ke auditing yang lebih ke IT security. Itu pasti dosen banyak yang bisa.
btw, untuk semua posting konsultasi skripsi lainnya. Bukannya saya pesimis ya, tapi pengalaman saya dulu lebih baik kita ngikut apa kata dosen. Ngikut pemahamannya dosen tentang ilmu tersebut dimana. Kompetensinya skripsi kan cuman 20% yang kita mikir, 80%-nya harus mbuka referensi. Cek dosen anda deh kalau ga percaya.
priandoyo
Maret 9, 2007 at 10:31 am
saya sdg melakukan penelitian utk skripsi sy ttg IT audit. populasi yg sy ambil hanya di perusahaan perbankan sj.menurut mas anjar…data apa sj yg hrs sy miliki dr perusahaan perbankan tsb?oia, perlu mas ketahui saya meneliti ttg penerapan IT audit terhadap kinerja perusahaan dan dinamika bersaing. Sy ingin mengetahui seberapa besar dampak IT audit thd prshn(berdasarkan variabel penelitian sy, yaitu: kematangan IT, strategi kompetitif, ukuran perusahaan, kinerja perusahaan), trus signifikankah perbedaannya dgn prshn yg tdk menerapkan IT audit? terima ksh atas jwbannya :)
Afroust Eshad
Maret 14, 2007 at 3:52 am
mas, masih bingung nih seputar audit TI apalagi ke sekuritinya. gimana cara mengaudit sekuriti suatu TI perusahaan mas? kalo saya boleh minta tolong, software yang digunakan untuk audit TI ada gak mas?
oia, kemaren saya sudah nyerahin judul sama pak azhari (mas taukan?). dia lebih ngarahin saya ke manajemen gitu. terutama yang berbau ekonomi. gimana saran mas? makasih mas,,,
bary
Maret 14, 2007 at 8:22 am
Afroust Eshad: Mas, sebelum menjawabnya saya harus tahu dulu skup audit TI yang mas maksud seperti apa. Kalau kita belum bicara dalam bahasa yang sama repot juga, contoh penanya berikutnya mas barry ini, audit TI-nya lebih difokuskan ke security, karena ada beberapa orang yang merefer audit TI ini kearah budgeting atau planning analis.
Mas Barry: Wah, hampir sama seperti pertanyaan diatas mulai dari skupnya aja dulu, harus dibatasi kalau tidak merembet kemana-mana.
priandoyo
Maret 16, 2007 at 1:27 pm
ps: buat penanya2 lain tentang audit TI kalau sempet baca ini dulu yak
https://priandoyo.wordpress.com/2007/03/16/seputar-skripsi-thesis-audit-ti-untuk-mahasiswa/
priandoyo
Maret 16, 2007 at 1:28 pm
selamat sore mas Anjar . . .
nanya lagi nih . . .
mas, secara sederhananya CobiT itu apa sih? soalnya skripsi saya tentang audit SI harus mengacu kepada Framework Cobit. saya sudah coba membaca tentang itu, tapi”njelimet” banget ya ? bagaimana cara menyederhanakannya ya? apakah ada suatu buku/artikel yang membahas cobit yang lengkap tapi dengan bahasa yang sederhana?
mas apakah dalam audit SI yang sebenarnya, apakah se simple apa yang sudah baca dalam contoh2 skripsi mengenai audit SI. dalam skripsi tersebut, menurut saya, intinya kita hanya menganalisa sebuah sistem pada perusahaan, dengan menggunakan pengendalian2 seperti pengendalian umum dan pengendalian aplikasi. klo dalam pengendalian umum berisi pengendalian manajemen keamanan. disana kita sebagai “auditor” memberikan suatu pertanyaan, kuisioner, observasi dengan misalnya dengan bagian MIS atau unit yang terkait yang berisikan tentang pertanyaan2 contoh : apakah sistem komputer menggunakan antivirus? dan apakah selalu diupdate? dsb. klo dalam pengendalian aplikasi berisikan boundary sistem control, input dan output control dengan memberikan pertanyaan berupa wawancara, kuisioner, observasi juga.
pada tahap akhirnya kita memberikan kesimpulan tentang efektifitas sistem informasi tersebut, dan memberikan temuan, resiko, dan rekomendasi nya.
wah . . banyak banget ya saya nanya nya ?
udah ah . . . ntar lagi . .
eh satu lagi daeh . . .
mas , apa ada buku selain bukunya weber ( klo ga salah judulnya information system control and audit ) yang bisa dijadikan acuan, soalnya saya udah baca bingung juga ya ( tebel banget dan buku itu juga sebagai buku pegangan saya dalam mata kuliah audit sisfo dan audit sisfo lanjutan )
dan terakhir . . nih . .
jadi auditor SI itu :
1. sulit apa ngga ?
2. masih jarang apa ngga ?
3. untuk kedepannya, dalam dunia kerja bagaimana ? sangat dibutuhkan ?
4. klo mau jadi auditor harus mulainya dari tahap apa ?
habis . . . thanks banget ya mas jawabannya . . .
alfri ( lagi nih . .)
April 4, 2007 at 10:29 am
Mas Alif, dimanapun namanya kuliah itu pasti njelmit :) banyak teori sana-sini, prakteknya mudah kok. Langsung aja ya pertanyaannya:
1. Sulit atau engga? gampang, yang mas sampaikan diatas sudah betul. Hanya survey, lihat sana-sini, catet, dan kasih rekomendasi berdasarkan best practicesnya kantor. yang paling sulit adalah punya ‘brand’, masalahnya bisnis penilaian, pengukuran model seperti ini jualannya nama. Sama seperti survey ICSA (customer satisfaction) caranya gampang kan, tapi membangun brand ICSA-nya sendiri, mempertahankan agar metodenya standar itu ribet.
2. jarang atau engga? jarang karena barriernya unik (profesi ini ‘hanya’ diterima dikalangan kantor audit) diluar ini -sampai saat ini paling tidak- lebih laku IT security (kendali umum) atau functional specialist (kendali aplikasi) murni.
3. Dibandingkan dengan profesi sejenis (IT/akunting) ini yang paling dibutuhkan, dibandingkan industri sejenis (development, operation) IMHO ini paling bagus
4. Sayangnya hanya mulai dari audit firm, sama kalau kita ingin jadi lawyer terkenal yang kuoya ruoya. Lawyer muda itu harus lewat law firm yang terkenal, menangin kasus gede, abis itu baru dia bisa lompat jadi corporate lawyer atau buka firm sendiri.
Pekerjaan lawyer apa sih? gampang kan cuman buka buku teks, gunakan penalaran sedikit dan selesai. Kira-kira kerjaan auditor juga seperti itu, gampang kan tapi pengalamannya yang mahal. Setiap industri punya spesifikasi sendiri.
Orang yang 10 tahun pegang Oil client, tentunya punya value yang beda dibanding orang yang pegang banking.
Saran saya mas, kalau masih kuliah, ada baiknya jangan terlalu idealis memilih suatu profesi tertentu, ada baiknya membuka kesempatan lebar-lebar pada setiap offer yang dateng, profesi apapun, kalau di jalani dengan baik pasti bisa sukses juga. Ingat tidak ada pekerjaan yang aman selamanya kan
priandoyo
April 5, 2007 at 2:06 am
pak, sy mau tanya tentang perbandingan metodologi audit TI pada cobit, BS7799, BSI, TISEC dan CC. mengenai standarisasi, independence, certifyability, applicability in practice, adaptability, extent of scope, presentation of result, effeciency, up date frequency dan ease to use.
Maaf ya pak sy tanya terlalu banyak, ini untuk tugas mata kuluah sy. terima kaih atas bantuannya.
dya
April 14, 2007 at 6:43 am
wah ini bisa satu paper sendiri nih :)
ada yang bisa bantu, googling kayaknya nemu banyak deh perbandingan kaya gini.
priandoyo
April 16, 2007 at 1:24 am
Kepada Yth Pak Anjar
Maaf pak …. langsung saja saya pengen tanya tentang panduan atau cara2 / tehnik mengaudit IT di perbankan, kalau boleh mohon diberi penjelasan dan kalau ada bukunya karangan siapa yang mudah dipelajari mengenai hal tersebut, karena disini saya sangan awam sekali tentang IT perbankan, mohon bantuannnya dan saya ucapkan terima kasih.
eny
Mei 1, 2007 at 1:07 am
Yth. Bpk Andjar
Kebetulan saya berada di posisi Audit Program / IT.
Bisnis Perusahaan adalah bisnis Retail di Jakarta dan beberapa kota lain di Pulau Jawa ini.
Kira-2 bisa ga pak beri saya arahan atau petunjuk tentang Audit dalam bidang Perusahaan tempat saya bekerja.
Apakah ada buku yang khusus pembahasan Audit IT tsb atau tempat belajar / kursus bidang ini ?
Terima kasih,
Jonny Girsang
Jonny Girsang
Juni 6, 2007 at 7:12 am
bagaimana cara bisa membuka pasword email seseorang. tlg jawab
sebelumnya dan sesudahnya saya ucapkan terima kasih banyak
bachtiar
Juni 13, 2007 at 11:51 am
Buat om bachtiar,
caranya pake “shoulder surfing” and “social engineering” … :)
ada2x saja pertanyaannya ke om Auditor nih hehehehe
dahsyat
Juni 13, 2007 at 3:01 pm
Dear Mas Anjar,
Salam kenal..:)
Saya mau tanya, biasanya untuk pelaksanaan IT Audit apakah lazim, dipisahkan antara pelaksanaan audit atas general control dengan application control (misalkan nanti outputnya hanya sampai laporan audit atas general control saja), atau justru lazimnya selalu bersamaan/ dilakukan secara sequential, karena harus berkesinambungan?
Thanks a lot
Mira
Mira
Juni 19, 2007 at 4:51 am
Karena ini bisnis, ya lazim-lazim aja, tergantung permintaan client apa. tapi idealnya memang tidak dipisahkan
priandoyo
Juni 19, 2007 at 5:08 am
Salam kenal mas Anjar..
Saya kebetulan ada project IT assesment, tapi saya belum begitu berpengalaman dalam bidang ini, dan sekarang saya masih dalam tahap pembuatan proposal untuk keperluan IT Assesment tersebut, namun saya belum ada bayangan bagaimana cara penyusunan proposal yang baik dan sampai segi mana scope yang harus saya butuhkan untuk IT Assesment?
Perusahaan yang kebetulan sedang ingin di audit bergerak dalam perusahaan pelayaran dimana kebutuhan dalam IT sangat penting dalam komunikasi melalui email.
Untuk itu saya minta pencerahannya bagaimana menyusun proposal untuk IT Assesment, atau aspek-aspek apa saja yang diperlukan dalam IT assesment. Di mana saya sudah mengumpulkan data-data dari perusahaan untuk infrastruktur IT mereka, serta kebutuhan client dalam penggunaannya.
Mohon kiranya dibalas melalui email, jika Mas Anjar kira2 punya resource atau sample dalam penyusunan IT assesment tersebut.
Terimakasih banyak atas perhatiannya
Donni Aulia
donni aulia
Juli 13, 2007 at 3:15 am
Mas Doni, jawabannya tergantung jenis projectnya. Kenapa? karena tergantung permintaan dari client juga. Kalau menurut mereka hardening server sudah cukup ya skupnya tidak perlu terlalu luas.
priandoyo
Juli 13, 2007 at 3:22 am
Salam Mas Anjar Priandoyo,
Saya dari Ikatan Audit Sistem Informasi Indonesia (www.iasii.or.id), sebagai praktisi audit TI kami sangat senang membaca tulisan Mas Anjar. Mungkin suatu saat kita bisa ngobrol-ngobrol, mungkin juga Mas Anjar bisa ikutan bantu kita di IASII bahu membahu membangun audit sistem informasi di Indonesia menjadi suatu profesi dan industri yang dapat menarik semakin banyak orang untuk berkarir di bidang ini.
Chandra Yulistia
Agustus 2, 2007 at 3:27 pm
pak..saya mau tanya…
apa sie perbedaan mendasar antara cobit 3rd edition..2nd edition..ato yang sekarang2 ini baru dimunculin cobit 4.1???
trus,,,kalau saya ingin menyusun skripsi..lebih baek pake cobit seri yang mana pak???soalnya saya masi agak bingung ni tentang cobit…tapi saya sudah mendapat sedikit referensi tentang framework cobit..dapat dari itgi pak…tinggal belajar aja…ato bapak mungkin punya referensi lain tentang cobit pak???kalau ada..saya mau juga pakk,,,siapa tau bisa menjadi masukan….heheh…
sekian dulu pertanyaannya….kalo masi bingung2 nti saya tanya lagi..he9…trima kasih pak buad jawabannya…
stephanie
Agustus 4, 2007 at 4:50 pm
selamat sore mas anjar,
saya saat ini masih kuliah di UBiNus Jur Komputerisasi Akuntansi semester 6.saat ini saya sedang mengambil matakuliah skripsi audit sistem informasi.dan rencananya saya mau mengambil tema audit sistem informasi penjualan.yang saya mau tanyakan dan mohon bantuannya adalah,bagaimana pola yang baik dalam merancang skripsi yang akan saya buat.dan jujur aku ingin sekali mas anjar mau membantu saya.karena sampai saat ini saya masih bingung menentukan judul dan isi dari bab yang akan saya buat.saya harapkan bantuannya ya mas anjar…mohon balasannya via email.atas bantuannya dan masukkannya saya ucapkan terima kasih.
micky
Agustus 9, 2007 at 10:46 am
Selamat malam mas anjar…
Salam kenal dari saya,jelly chandra s
saya mau tanya tentang masalah audit sistem informasi dalam rangka IT governance:
1.Untuk model maturity mengimplementasikannya bagaimana?
2.Saya coba masuk ke web ISACA, emang untuk jadi member kita harus bayar atau cuma isi formulir?
3.jika mau mengadakan quesioner, pertanyaan2 yang kira2 menuju sasaran bisa kasih contoh?
sebelumnya terima kasih…
coment: setelah saya membaca, mas anjar sangat membantu
pesan saya: jadikan sistem informasi pemerintahan yang on the right track
jelly chandra s
September 1, 2007 at 1:15 pm
menarik setelah membaca di web ini, terkait dengan audit it/is, adakah buku khusus secara detail membahas tentang audit sistemi informasi, dimana saya harus mendapatkanya, siapa pengarangnya dan penerbit mana yang sudah menerbitkan
terimakasih
opuji
Oktober 8, 2007 at 1:37 am
hai saya mahasiswa semester 7 yang dah mo nyusun skripsi, ada ide seger ndak soal isu audit?
nadya
Oktober 30, 2007 at 4:37 am
siang mas anjar, bisa ngasih ide gak soal isu hangat audit yang pas diangkat untk nyusun skripsi. thanks before
nadya
Oktober 30, 2007 at 4:42 am
Hello…!
Saya mau ikut nimbrung lagi nih, mau mengomentari standar Audit:
1. Audit Laporan Keuangan standarnya adalah SAK (Standar akuntansi keuangan), yaitu kump ketentuan bagaimana item lap keuangan dihitung dan disajikan. Lalu buat auditornya ada yg namanya SPAP (Standar Profesi Akuntan Publik) yg berisi kriteria auditor lap keu hrs melakukan apa.
2. Utk Audit SI standar yg banyak digunakan dewasa ini didunia (termasuk di Indonesia) adalah COBIT (Control Objective for IT Related) dan SOX (Sarbanes Oaxles). COBIT berisi kriteria bagaimana suatu IT itu di manage dan di kontrol sehingga dapat meningkatkan Corporate Value. Sedangkan SOX kriteria yg digunakan khusus utk perusahaan yg ikut bursa di New York (USA), termsk perusahaan Indonesia.
Ok, Smoga bermanfaat…..dan saya tunggu komentar dari teman2 lain…
Rendra Tris
di Bandung
——————
Rendra Tris
November 21, 2007 at 2:46 am
Oh ya…!
Kalau ada yg sedang dan mau menulis skripsi/tesis tentang Audit TI/Audit SI boleh menghubungi saya….. Saya coba bantu…..!
Saya banyak mengkoleksi artikel jurnal internasional tentang Audit SI dan berbagai referensi lainnya…
Salam,
Rendra Tris
(mhs Pasca sarjana di Bandung)
RendraTris@Hotmail.com
Rendra Tris
November 21, 2007 at 3:01 am
Assalamualaikum..
Mas anjar salam kenal…
Mas, mau nanya..
Sama gk audit EDP dengan audit IT ??
Apakah audit EDP termasuk audit IT ?? atau sebaliknya ??
Terima kasih mas..
yoyok
November 28, 2007 at 5:08 am
Mas Anjar, aku mo nanya nih pertanyaan dasar aja, apa bedanya internal IT auditor ama external IT auditor? Cara kerjanya sama ngga?
Thx yaq, met menikmati libur bsk.. ^^
unknown
Desember 19, 2007 at 10:13 am
Tolong aku nich! aku bingung soalnya dalam menyusun skripsi aku ambil judul tentang EDP auditing. Dosen pembimbing aq menyaran kan agar aq memakai ACl dalam skripsi aq nanti. tolong aq dong bagaimana audit dengan ACl Tersebut! kebetulan pada aku ngaudit pada siklus pendapatan! tolongg aq ya bagaimana cara nya! kl ada contoh audit nya ya
sri Delasmi Jayanti
Januari 25, 2008 at 3:28 am
Pak, saya baru saja bekerja di sebuah bank swasta sebagai EDP Audit. Mohon bantuan bapak mungkin bapak ada saran, buku-buku, artikel atau hal-hal apa yang perlu saya pelajari untuk memperlancar pekerjaan saya. Karena terus terang saya belum terlalu banyak tau mengenai EDP Audit.
Tx
Auck
Maret 13, 2008 at 9:10 am
pak saya mau naya soal buku cobit, kan mahal banget tuh. bisa dikasih input soal dimana ya e-book nya bisa di mail ke saya. makasih sebelumnya pak..
sel
Maret 18, 2008 at 4:45 am
Saya sedang menyusun skripsi tentang pengukuran maturity level cobit 4.0 untuk manajemen otomasi perpustakaan perguruan tinggi pada domain delivery and support. Saya diberitahu dosen saya bahwa terdapat kuisioner mengenai maturity level, tapi saya tidak menemukannya, katanya kuisioner itu bisa dibuat sendiri dari ciri-ciri tiap tingkatan. Bagaimana cara penyusunannya ya? Lalu, nanti kuisioner itu buat kita sendiri (checklist) atau disebarkan? Kalau disebarkan ke siapa saja?
Mohon Bantuannya.. Terima kasih..
Prabu
Maret 25, 2008 at 3:54 am
mas anjar yang baik, saya ni mahasiswa sistem informasi yang sedang mengambil tugas akhir. Kebetulan TA saya ttg audit sistem informasi. Dan saya mengambil tentang perencanaan audit SI itu sendiri.Mohon petunjuk dari mas bagimana tentang perencanaan audit SI? dan langkah awal apa yg harus saya lakukan. Tolong mas bantuannya segera…. trima kasih banyak
sekali lg terima kasih mas….
yola
April 2, 2008 at 5:28 am
Ikut nimbrung Mas Pri, ACL merupakan salah satu tool audit untuk kita melakukan analisis data. Ga beda juga dengan IDEA. Saya sendiri pake IDEA. Gunanya dalam audit???? hmmm. Ya untuk mempermudah auditor aja, sebetulnya analisis data pun bisa pake EXCEL or access, but mungkn kurang user friendly kli ye. Misal dalam audit siklus Order To Cash (OTC) kita ingin memastikan bahwa seluruh DO telah disetor duitnya. Nah kita akan bermain data dengan “join”;”query”; dsb… hi33xx cetek banget ya diriku…maaf
ersuss
Juni 12, 2008 at 1:48 am
Maksih sebelumnya tapi saya juga oingin nanya nih. Saya yang punya latar belakang keperawatan tapi saya kini di pindah tugas kebagian SPI nahlo bingungkan terus apayang bisa sayalakukan untuk audit tentang rumah sakit secara keseluruhan atau audit keperawatan saya mohon saran dan informasi dimana saya bisa belajar tentang audit kerumahsakitan trim
Ali Maksum
Juli 23, 2008 at 12:13 am