Audit Sistem Informasi Dan Jaminan Kualitas Perangkat Lunak

Topic outline

• 

  General

  • Announcements Forum
  • Rachmah Agus Putri, S.Kom., M.MT. TEKNIK INFORMATIKA STITEK BONTANG	Pitrasacha Adytia, S.T., M.T SISTEM INFORMASI STMIK WIDYA CIPTA DHARMA

  • Pertemuan ke	link zoom
    4	https://us06web.zoom.us/j/81147523694?pwd=etA8Gi8XG81tbeCLMAZ7RZGNG8u5Qh.1
    5	https://us06web.zoom.us/j/81147523694?pwd=etA8Gi8XG81tbeCLMAZ7RZGNG8u5Qh.1
    6	https://us06web.zoom.us/j/81147523694?pwd=etA8Gi8XG81tbeCLMAZ7RZGNG8u5Qh.1
    7	https://us06web.zoom.us/j/81147523694?pwd=etA8Gi8XG81tbeCLMAZ7RZGNG8u5Qh.1

• 

  1: RPS , Kontrak Kuliah dan Dasar Audit

  • Kontrak kuliah 

    1. Nilai Tugas Besar : 50%
    2. Nilai UTS : 20%
    3. Nilai UAS : 30%

    Tips : selalu kerjakan tugas dan kerjakan quiz yang diberikan. Jangan lupa absen Aturan lainnya yang perlu diperhatikan

    1. Tugas dan quiz dibuka selama 1 minggu sejak di publish
    2. Absensi bisa dilakukan sesuai jadwal kuliah
  • RPS Mata Kuliah Audit dan Jaminan Kualitas Sistem Informasi File 542.8KB PDF document
  • Buku yang digunakan :

    1. Standard for Information System Auditing - Information System Audit and Control Association (ISACA)
    2. S. Senft & F. Gallegos, Information Technology Control and Audit, 3rd ed., CRC Press, 2009 
    3. COBIT version 4.1 – Information Technology Governance Institute (ITGI) (www.itgi.org)

  • slide risiko File
  • quiz 1
• 

  2:RISK MANAGEMENT

  • Berikut adalah definisi manajemen risiko menurut beberapa ahli:

    1. Harold Kerzner: Manajemen risiko adalah proses sistematis yang digunakan untuk mengidentifikasi, mengukur, dan merespons risiko proyek agar mencapai tujuan dengan lebih baik.

    2. Dionne (2013): Manajemen risiko adalah pendekatan yang terdiri dari identifikasi, pengukuran, pengendalian, dan pengelolaan risiko yang dapat mempengaruhi nilai dan keberhasilan suatu organisasi.

    3. Hubbard (2009): Manajemen risiko melibatkan pengukuran risiko yang didukung data untuk membuat keputusan terbaik dalam mengurangi ketidakpastian.

    Pendekatan ini umumnya melibatkan langkah-langkah proaktif untuk meminimalkan dampak risiko dalam berbagai situasi.

  • Slide Manajemen Risiko File
  • quiz2
• 

  3: RISK MANAGEMENT : RISK MITIGATION (MITIGASI RESIKO)

  • Mitigasi risiko adalah proses identifikasi, analisis, dan pengendalian risiko untuk mengurangi dampak negatif dari potensi ancaman terhadap suatu proyek, organisasi, atau sistem. Berikut adalah beberapa langkah dalam mitigasi risiko:

    1. Identifikasi Risiko: Langkah pertama adalah mengenali dan mencatat semua potensi risiko yang dapat mempengaruhi tujuan.

    2. Analisis Risiko: Setelah risiko diidentifikasi, setiap risiko dianalisis berdasarkan seberapa besar kemungkinan terjadinya dan seberapa besar dampaknya.

    3. Prioritas Risiko: Risiko diberi prioritas berdasarkan tingkat keparahan dan kemungkinannya untuk menentukan mana yang memerlukan tindakan segera.

    4. Perencanaan Tindakan: Langkah ini melibatkan pengembangan strategi untuk mengurangi atau menghilangkan risiko. Beberapa strategi meliputi:

       • Menghindari Risiko: Mengubah rencana agar risiko tidak terjadi.
       • Mengurangi Risiko: Mengambil tindakan untuk menurunkan kemungkinan atau dampak risiko.
       • Mentransfer Risiko: Mengalihkan risiko ke pihak lain, misalnya melalui asuransi.
       • Menerima Risiko: Memutuskan untuk menerima risiko jika dampaknya kecil atau tidak dapat dihindari.

    5. Implementasi Tindakan: Strategi yang telah direncanakan kemudian diterapkan untuk mengurangi dampak risiko.

    6. Pemantauan dan Evaluasi: Risiko yang telah diidentifikasi dan ditangani harus terus dipantau untuk memastikan efektivitas strategi mitigasi. Pemantauan memungkinkan deteksi dini jika risiko berubah atau meningkat.

    Proses mitigasi risiko sangat penting dalam berbagai bidang seperti manajemen proyek, teknologi informasi, bisnis, dan keuangan untuk memastikan keberlangsungan dan kesuksesan suatu tujuan.

    Mitigasi risiko dan kontrol adalah dua konsep yang saling terkait dalam manajemen risiko, yang berfokus pada pengurangan atau pengendalian dampak dari potensi risiko. Berikut adalah penjelasan lebih rinci tentang keduanya:

    1. Mitigasi Risiko

    Mitigasi risiko adalah upaya untuk mengurangi atau mengelola dampak dan kemungkinan terjadinya risiko melalui berbagai strategi. Tujuannya adalah untuk meminimalisir efek buruk yang dapat ditimbulkan oleh risiko yang telah diidentifikasi.

    Strategi Mitigasi Risiko:

    • Menghindari Risiko: Mengubah rencana atau menghentikan kegiatan yang berisiko untuk menghindari terjadinya risiko.
    • Mengurangi Risiko: Mengambil langkah-langkah untuk menurunkan peluang terjadinya risiko atau dampaknya, misalnya dengan memperkenalkan kontrol tambahan atau memodifikasi proses.
    • Mentransfer Risiko: Mengalihkan tanggung jawab atas risiko kepada pihak lain, seperti dengan mengambil asuransi atau membuat kontrak yang memindahkan risiko ke pihak ketiga.
    • Menerima Risiko: Menyadari dan menerima risiko tersebut karena dianggap kecil atau dampaknya dapat ditoleransi.

    2. Kontrol Risiko

    Kontrol risiko adalah tindakan konkret yang diterapkan untuk mencegah atau mengurangi dampak risiko. Kontrol biasanya diterapkan setelah strategi mitigasi risiko dipilih dan bertujuan untuk mengelola risiko secara efektif. Kontrol juga bisa bersifat preventif, detektif, atau korektif.

    Jenis Kontrol Risiko:

    • Kontrol Preventif: Bertujuan untuk mencegah terjadinya risiko. Contoh: kebijakan keamanan, pelatihan karyawan, firewall untuk keamanan siber, atau prosedur standar operasi.
    • Kontrol Detektif: Digunakan untuk mendeteksi kapan suatu risiko telah terjadi atau hampir terjadi. Contoh: audit berkala, pemantauan sistem, log keamanan, dan sensor.
    • Kontrol Korektif: Bertujuan untuk memperbaiki situasi setelah risiko terjadi atau mendekati terjadinya. Contoh: backup data, disaster recovery plan, atau prosedur penanganan insiden.

    Hubungan Mitigasi Risiko dan Kontrol

    Mitigasi risiko biasanya mencakup pengambilan keputusan mengenai kontrol mana yang harus diterapkan. Kontrol adalah tindakan spesifik yang dimaksudkan untuk mendukung mitigasi risiko. Dengan kata lain, mitigasi risiko adalah langkah strategis, sementara kontrol adalah tindakan taktis yang diterapkan untuk memastikan strategi tersebut efektif.

    Sebagai contoh:

    • Mitigasi Risiko: Mengurangi risiko kegagalan sistem IT dengan memastikan adanya cadangan.
    • Kontrol Risiko: Mengimplementasikan kebijakan backup harian, pemantauan kesehatan server, dan pengujian pemulihan bencana secara berkala.

    Gabungan mitigasi risiko dan kontrol yang baik akan menciptakan sistem manajemen risiko yang lebih kuat dan lebih adaptif terhadap perubahan atau potensi ancaman yang muncul.

  • quiz 3
  • Forum diskusi contoh mitigasi risiko

    Forum diskusi contoh mitigasi risiko

• 

  4: Identifikasi Internal Control

  • Identifikasi pengendalian internal adalah proses menilai dan menentukan langkah-langkah yang diambil oleh organisasi untuk memastikan bahwa operasionalnya berjalan sesuai dengan kebijakan, prosedur, dan regulasi yang berlaku. Pengendalian internal bertujuan untuk melindungi aset organisasi, mencegah penipuan, memastikan keandalan laporan keuangan, dan meningkatkan efisiensi operasional.

    Berikut adalah beberapa langkah dalam identifikasi pengendalian internal:

    1. Evaluasi Lingkungan Pengendalian: Menilai budaya dan sikap manajemen serta struktur organisasi terkait etika, kebijakan, dan pengawasan. Ini termasuk apakah manajemen mendukung nilai-nilai transparansi dan kepatuhan.

    2. Identifikasi Risiko: Mengenali dan mengevaluasi potensi risiko yang dapat mempengaruhi tujuan organisasi. Ini termasuk risiko keuangan, operasional, dan kepatuhan.

    3. Aktivitas Pengendalian: Memahami prosedur yang ada untuk menangani risiko tersebut, seperti pemisahan tugas, persetujuan transaksi, rekonsiliasi akun, atau kontrol fisik terhadap aset.

    4. Informasi dan Komunikasi: Menilai bagaimana informasi yang relevan dikumpulkan, diproses, dan dikomunikasikan dalam organisasi. Komunikasi yang efektif sangat penting untuk pengendalian internal yang baik.

    5. Pemantauan: Memastikan bahwa sistem pengendalian internal dipantau secara terus-menerus melalui audit internal atau tinjauan reguler, dan bahwa perbaikan dilakukan saat diperlukan.

    6. Dokumentasi: Mendokumentasikan kebijakan, prosedur, dan aktivitas pengendalian internal untuk audit dan evaluasi yang lebih lanjut.

    Proses identifikasi ini penting dalam rangka meminimalkan potensi risiko, meningkatkan efisiensi, dan memastikan bahwa organisasi mematuhi peraturan yang berlaku.

  • PPT identifikasi internal control File
  • Mengidentifikasi Internal Control Forum

    Mengklasifikasikan  Internal Control

• 

  5: General IS Audit Procedure

  • Tahapan umum dalam prosedur audit sistem informasi biasanya mengikuti langkah-langkah berikut untuk memastikan keamanan, efisiensi, dan kepatuhan sistem informasi:

    1. Perencanaan Audit

       • Pengumpulan informasi awal: Mengumpulkan informasi terkait sistem informasi yang akan diaudit, termasuk kebijakan, prosedur, dan standar yang berlaku.
       • Penentuan ruang lingkup audit: Menentukan area, sistem, atau proses yang akan diaudit serta menetapkan tujuan audit.
       • Identifikasi risiko: Menilai risiko-risiko yang terkait dengan sistem informasi yang akan diaudit.
       • Penyusunan rencana audit: Membuat rencana pelaksanaan audit yang mencakup jadwal, tim, dan metodologi yang digunakan.

    2. Penilaian Pengendalian Internal

       • Evaluasi pengendalian umum (general controls): Mengaudit pengendalian umum dalam lingkungan IT seperti manajemen akses, keamanan data, backup, dan pemulihan bencana.
       • Evaluasi pengendalian aplikasi (application controls): Mengaudit kontrol pada aplikasi-aplikasi spesifik yang digunakan dalam proses bisnis.

    3. Pengujian dan Evaluasi

       • Pengumpulan bukti: Menggunakan teknik seperti wawancara, pengamatan, dan pengujian untuk memperoleh bukti yang mendukung evaluasi sistem.
       • Pengujian kontrol: Melakukan pengujian terhadap kontrol yang ada untuk memastikan efektivitasnya.
       • Penilaian risiko lanjutan: Berdasarkan hasil pengujian, auditor akan menilai apakah ada risiko yang memerlukan perhatian lebih lanjut.

    4. Analisis dan Pelaporan

       • Analisis hasil temuan: Menganalisis hasil audit untuk menentukan apakah ada kesenjangan atau kelemahan dalam sistem informasi.
       • Penyusunan laporan audit: Membuat laporan yang merangkum temuan-temuan, analisis risiko, dan rekomendasi perbaikan.
       • Penyajian laporan: Menyampaikan laporan audit kepada manajemen atau pihak yang bertanggung jawab untuk tindakan lebih lanjut.

    5. Tindak Lanjut (Follow-up)

       • Pelaksanaan tindakan korektif: Memastikan bahwa manajemen telah mengambil langkah-langkah untuk memperbaiki kelemahan atau kesenjangan yang ditemukan dalam audit.
       • Re-audit: Jika diperlukan, melakukan audit ulang pada area yang dianggap masih berisiko tinggi setelah tindakan korektif.

    Tahapan-tahapan ini memberikan struktur dalam proses audit sistem informasi dan memastikan semua aspek yang terkait dengan integritas, kerahasiaan, dan ketersediaan sistem informasi telah diperiksa.

  • File presentasi
  • Diskusi Prosedur Umum Audit Mengumpulkan Kelompok Tugas Besar Audit Forum
  • Menguraikan Lima Langkah untuk Merencanakan Program Audit IS yang Efektif Assignment

    Buatlah uraian rangkuman lima langkah merencanakan program audit menurut ISACA.

    Buku ISACA bisa kalian download di link https://community.mis.temple.edu/mis5201sec001sp2017/files/2017/03/IS-Auditing-Tools-and-Techniques-Creating-Audit-Programs.pdf

    uraikan dengan baik, ringkas dan pada. Anda dapat menggunakan AI translate untuk yang kesulitan dalam bahasa inggris.

    Jawaban di tulis dalam bentuk online text, bukan dalam bentuk pdf atau word.

• 

  6: Compliance Test & Substantive Test

  • Dalam audit, compliance test (uji kepatuhan) dan substantive test (uji substantif) adalah dua jenis pengujian yang digunakan untuk memastikan keandalan laporan keuangan serta kepatuhan terhadap kebijakan dan prosedur internal. Berikut adalah penjelasan dari kedua tes tersebut:

    1. Compliance Test (Uji Kepatuhan)

    • Tujuan: Uji kepatuhan dilakukan untuk menilai apakah sistem pengendalian internal perusahaan telah diimplementasikan dengan benar dan diikuti secara konsisten oleh semua pihak.
    • Fokus: Fokus pada pengujian efektivitas pengendalian internal, prosedur operasional, dan kepatuhan terhadap aturan dan regulasi yang berlaku.
    • Contoh Pengujian:
      • Memeriksa apakah persetujuan manajerial dilakukan sesuai dengan kebijakan perusahaan.
      • Mengecek apakah transaksi penjualan telah diproses sesuai dengan prosedur standar.
      • Meninjau apakah ada pemisahan tugas (segregation of duties) dalam proses keuangan.
    • Manfaat: Uji kepatuhan membantu auditor menilai tingkat risiko bahwa kontrol internal mungkin gagal. Jika uji kepatuhan menunjukkan bahwa pengendalian internal kuat, maka auditor dapat mengurangi jumlah substantive test yang diperlukan.

    2. Substantive Test (Uji Substantif)

    • Tujuan: Uji substantif dilakukan untuk memverifikasi keakuratan dan validitas transaksi keuangan serta memastikan tidak ada salah saji material dalam laporan keuangan.
    • Fokus: Fokus pada pengujian detail transaksi dan saldo akun untuk mendeteksi kesalahan atau ketidakberesan.
    • Jenis Pengujian:
      • Pengujian rinci transaksi (Test of details): Memverifikasi dokumen-dokumen seperti faktur, bukti kas, dan kontrak untuk memastikan keabsahan dan keakuratan transaksi.
      • Analytical procedures (Prosedur analitik): Menganalisis tren, rasio, dan hubungan yang tidak wajar dalam laporan keuangan untuk mendeteksi potensi anomali.
    • Contoh Pengujian:
      • Membandingkan saldo kas di buku besar dengan laporan bank (rekonsiliasi bank).
      • Memeriksa faktur penjualan untuk memastikan bahwa semua transaksi telah dicatat dengan benar.
      • Menguji nilai persediaan untuk memastikan keakuratan pencatatan nilai dan jumlah persediaan.
    • Manfaat: Uji substantif langsung berkaitan dengan pengujian angka dan informasi dalam laporan keuangan. Tes ini penting untuk mengidentifikasi kesalahan atau kecurangan yang mungkin tidak terdeteksi oleh uji kepatuhan.

    Hubungan Antara Compliance Test dan Substantive Test:

    • Complementary: Keduanya saling melengkapi. Jika hasil uji kepatuhan menunjukkan bahwa pengendalian internal yang ada kuat dan efektif, auditor dapat memilih untuk mengurangi uji substantif. Namun, jika kontrol internal lemah atau tidak ada, auditor perlu melakukan uji substantif yang lebih ekstensif.
    • Risiko Audit: Compliance test membantu auditor menilai risiko kontrol, sedangkan substantive test membantu auditor menilai risiko salah saji material dalam laporan keuangan.

    Jadi, kedua jenis tes ini penting dalam audit, di mana uji kepatuhan membantu mengevaluasi efektivitas kontrol internal, dan uji substantif digunakan untuk memverifikasi keakuratan informasi keuangan.

  • Compliance & substantive Test File

  • Diskusi Compliance and Substantive Test Forum
• 

  7: Evidence (Bukti)

  • Dalam audit sistem informasi, evidence (bukti) adalah informasi atau data yang dikumpulkan oleh auditor untuk mendukung kesimpulan tentang kondisi sistem informasi dan proses pengendalian yang ada. Bukti ini digunakan untuk menentukan apakah sistem informasi yang diaudit beroperasi dengan efektif, aman, dan sesuai dengan kebijakan dan peraturan yang berlaku. Berikut adalah jenis-jenis evidence yang umum dalam audit sistem informasi:

    1. Physical Evidence (Bukti Fisik)

    • Definisi: Bukti fisik melibatkan pengamatan langsung oleh auditor terhadap komponen fisik dari sistem informasi.
    • Contoh:
      • Melihat fisik perangkat keras seperti server, workstation, dan jaringan komputer.
      • Mengamati pengaturan fisik ruang server dan fasilitas penyimpanan data untuk memastikan keamanan fisik (misalnya, akses yang dibatasi, sistem pendingin, perlindungan kebakaran).
      • Pengawasan langsung saat auditor memeriksa prosedur backup dan pemulihan sistem.

    2. Documentary Evidence (Bukti Dokumen)

    • Definisi: Dokumen-dokumen yang digunakan untuk mendukung proses audit, mencatat kebijakan, prosedur, transaksi, dan catatan lainnya terkait sistem informasi.
    • Contoh:
      • Kebijakan keamanan informasi, manual pengguna, dan prosedur operasi standar.
      • Log audit sistem, log aktivitas pengguna, dan log akses.
      • Dokumen backup data, kebijakan pemulihan bencana, serta rencana pemeliharaan dan peningkatan sistem.
      • Kontrak layanan dengan vendor IT atau penyedia layanan pihak ketiga.

    3. Testimonial Evidence (Bukti Testimonial)

    • Definisi: Testimoni atau informasi yang diperoleh melalui wawancara atau diskusi dengan karyawan yang terlibat dalam operasional atau pengelolaan sistem informasi.
    • Contoh:
      • Wawancara dengan tim IT untuk memahami prosedur pengelolaan sistem, seperti pemeliharaan perangkat lunak atau prosedur penanganan insiden keamanan.
      • Wawancara dengan pengguna untuk menilai kepatuhan terhadap kebijakan penggunaan sistem atau apakah ada keluhan terkait fungsionalitas sistem.
      • Diskusi dengan manajer TI mengenai strategi implementasi kebijakan keamanan dan kepatuhan terhadap regulasi yang relevan.

    4. Analytical Evidence (Bukti Analitis)

    • Definisi: Analisis yang dilakukan oleh auditor berdasarkan data dan informasi yang tersedia untuk mengidentifikasi pola, tren, atau anomali dalam sistem informasi.
    • Contoh:
      • Analisis pola akses pengguna untuk mendeteksi aktivitas yang mencurigakan atau tidak biasa.
      • Perbandingan antara data transaksi dengan data historis atau standar untuk menemukan ketidaksesuaian.
      • Penggunaan teknik analisis risiko untuk menilai area-area yang paling rentan terhadap pelanggaran keamanan atau kegagalan sistem.

    5. Re-performance Evidence (Bukti Pengulangan Prosedur)

    • Definisi: Bukti yang diperoleh melalui pengulangan atau simulasi prosedur atau kontrol oleh auditor untuk memastikan bahwa prosedur tersebut berfungsi sesuai dengan desainnya.
    • Contoh:
      • Auditor mengulang pengujian pengendalian akses untuk memastikan bahwa hanya pengguna yang berwenang yang memiliki akses ke sistem tertentu.
      • Pengulangan proses backup dan pemulihan data untuk memverifikasi bahwa proses tersebut berjalan sesuai dengan kebijakan yang ditetapkan.
      • Pengujian ulang pengaturan firewall atau enkripsi data untuk memastikan konfigurasi keamanan yang benar.

    6. Electronic Evidence (Bukti Elektronik)

    • Definisi: Bukti yang diperoleh dari sistem informasi dalam bentuk elektronik, termasuk data yang dihasilkan, disimpan, atau diakses secara digital.
    • Contoh:
      • Log audit yang menunjukkan aktivitas pengguna atau perubahan dalam sistem.
      • Metadata dari sistem yang mencatat siapa yang mengakses data, kapan, dan dari mana akses dilakukan.
      • File konfigurasi perangkat keras dan perangkat lunak yang menunjukkan pengaturan keamanan dan pengendalian yang diterapkan.
      • Hasil dari alat monitoring sistem seperti SIEM (Security Information and Event Management).

    7. Corroborative Evidence (Bukti Penguat)

    • Definisi: Bukti tambahan yang mendukung atau memperkuat bukti lainnya, yang diperoleh dari berbagai sumber atau metode.
    • Contoh:
      • Informasi dari pihak ketiga yang independen, seperti laporan audit pihak ketiga atau sertifikasi keamanan sistem dari vendor eksternal.
      • Laporan insiden keamanan dari otoritas eksternal atau regulator.
      • Review eksternal dari pengendalian sistem oleh perusahaan konsultan IT.

    Karakteristik Bukti Audit yang Baik:

    1. Relevan: Bukti harus relevan dengan tujuan audit dan mampu mendukung kesimpulan yang ingin diambil.
    2. Valid: Bukti harus akurat dan sah, serta berasal dari sumber yang terpercaya.
    3. Reliable: Bukti yang diperoleh harus dapat diandalkan, seperti dari dokumen yang disimpan secara konsisten atau melalui wawancara dengan pihak yang memiliki pengetahuan langsung.
    4. Sufficient: Bukti yang dikumpulkan harus memadai dalam jumlah dan kualitas untuk mendukung kesimpulan yang akurat.

    Bukti audit dalam audit sistem informasi sangat penting untuk memastikan bahwa sistem yang diaudit telah berjalan dengan baik, aman, dan sesuai dengan kebijakan serta peraturan yang berlaku.

  • PPT evidence File
  • Audit Evidence File

• 

  Topic 8

  • Aspek Penilaian	Kriteria	Skor 1 (Kurang)	Skor 2 (Cukup)	Skor 3 (Baik)	Skor 4 (Sangat Baik)
    1. Pemahaman Tahapan Audit	Pemahaman tentang setiap tahapan dalam proses audit TI (perencanaan, pelaksanaan, pelaporan, tindak lanjut)	Tidak memahami tahapan audit atau salah kaprah dalam menjelaskan proses audit.	Memahami sebagian tahapan, namun kurang detail dalam menjelaskan.	Memahami tahapan audit dengan jelas, namun kurang mendalam pada beberapa aspek.	Memahami seluruh tahapan audit dengan sangat jelas dan mendalam, serta menjelaskan secara komprehensif.
    2. Penyampaian Materi	Kemampuan menyampaikan materi presentasi dengan terstruktur dan mudah dipahami.	Penyampaian tidak terstruktur dan sulit dipahami oleh audiens.	Penyampaian materi cukup terstruktur, tetapi beberapa bagian sulit dipahami.	Penyampaian materi terstruktur dan mudah dipahami, meskipun ada beberapa bagian yang kurang jelas.	Penyampaian sangat terstruktur, runtut, dan mudah dipahami oleh audiens.
    3. Analisis Risiko dan Kontrol	Kemampuan mengidentifikasi dan menganalisis risiko serta kontrol dalam audit sistem informasi.	Tidak mampu mengidentifikasi risiko dan kontrol yang relevan.	Mengidentifikasi sebagian risiko dan kontrol, namun analisis kurang tepat.	Mengidentifikasi dan menganalisis risiko dan kontrol dengan cukup baik.	Mengidentifikasi dan menganalisis risiko serta kontrol dengan sangat baik dan tepat.
    4. Relevansi dengan Tata Kelola TI	Kesesuaian audit dengan prinsip tata kelola TI, seperti COBIT, ITIL, atau ISO 27001.	Tidak relevan dengan prinsip tata kelola TI.	Menyebutkan beberapa prinsip tata kelola TI, tetapi kurang relevan dengan topik audit.	Menjelaskan relevansi audit dengan prinsip tata kelola TI, tetapi kurang mendalam.	Sangat relevan dengan prinsip tata kelola TI dan dijelaskan dengan mendalam.
    5. Visualisasi dan Desain Slide	Kualitas dan efektivitas penggunaan slide presentasi untuk mendukung penyampaian materi.	Desain slide buruk dan tidak membantu pemahaman.	Desain slide cukup baik, namun tidak mendukung sepenuhnya materi yang disampaikan.	Desain slide baik, menarik, dan mendukung penyampaian materi.	Desain slide sangat baik, menarik, dan mendukung penyampaian materi secara optimal.
    6. Keterampilan Komunikasi	Kemampuan berkomunikasi, menjaga kontak mata, intonasi suara, dan bahasa tubuh.	Tidak ada keterampilan komunikasi yang baik, tidak ada kontak mata, dan intonasi tidak jelas.	Keterampilan komunikasi cukup, namun ada beberapa kekurangan seperti intonasi suara atau kontak mata.	Keterampilan komunikasi baik, intonasi jelas, kontak mata cukup baik.	Keterampilan komunikasi sangat baik, dengan intonasi suara yang jelas, kontak mata baik, dan bahasa tubuh mendukung.
    7. Kemampuan Menjawab Pertanyaan	Kemampuan menjawab pertanyaan dari audiens secara tepat dan mendalam.	Tidak dapat menjawab pertanyaan atau jawaban tidak relevan.	Menjawab pertanyaan dengan benar, namun kurang mendalam.	Menjawab pertanyaan dengan baik dan cukup mendalam.	Menjawab pertanyaan dengan sangat baik, mendalam, dan memberikan penjelasan tambahan yang relevan.
    8. Ketepatan Waktu	Kesesuaian durasi presentasi dengan waktu yang telah ditentukan.	Melebihi waktu yang ditentukan dengan signifikan atau terlalu singkat.	Melebihi waktu sedikit atau kurang memanfaatkan waktu dengan baik.	Waktu cukup tepat, namun ada sedikit penyimpangan.	Waktu sangat tepat sesuai dengan batasan yang diberikan.
    9. Kolaborasi Tim (Jika Berkelompok)	Kekompakan dan kolaborasi antar anggota tim dalam penyampaian materi.	Tidak ada kolaborasi, satu anggota terlalu dominan atau kurang berbagi peran.	Kolaborasi cukup baik, tetapi masih ada ketidakseimbangan peran di antara anggota tim.	Kolaborasi baik, dengan pembagian peran yang jelas antar anggota.	Kolaborasi sangat baik, pembagian peran seimbang dan komunikasi antar anggota lancar.

  • Template Laporan File

    Gunakan Template Laporan

  • Presentasi Tahapan Audit Workshop

    Membuat laporan audit

  • Pembagian room presentasi 

    No	Kelompok	Room	Dosen
    1	Detektif	room1	Pitra
    2	Evidence	room1	Pitra
    3	IT Auditing	room1	Pitra
    4	Korektif	room1	Pitra
    5	Low risk	room1	Pitra
    6	Matrik	room1	Pitra
    7	Minor team	room1	Pitra
    8	Moderate	room2	Rachmah
    9	Preventif	room2	Rachmah
    10	Risk Mitigation	room2	Rachmah
    11	Risk Team	room2	Rachmah
    12	Sentinel	room2	Rachmah
    13	The verifier	room2	Rachmah

• 

  9. Introduction to COBIT (Control Objectives for Information Technologies)

  • COBIT (Control Objectives for Information Technologies) File

    1. Pengertian COBIT (Control Objectives for Information and Related Technologies)

    COBIT (Control Objectives for Information and Related Technologies) adalah sebuah framework yang dikembangkan oleh ISACA untuk membantu organisasi mengelola dan mengontrol teknologi informasi (TI) sesuai dengan tujuan bisnis. COBIT memberikan pedoman untuk memastikan bahwa TI dapat memberikan nilai maksimal, mengurangi risiko, dan membantu pencapaian tujuan organisasi. 

    Sejak peluncurannya pertama kali pada tahun 1996, COBIT telah diubah beberapa kali. Yang paling baru, COBIT 5, yang dirilis pada tahun 2012, adalah yang paling lengkap dan menyeluruh.

    2. Tujuan COBIT (Control Objectives for Information and Related Technologies)

    • Memastikan TI mendukung tujuan bisnis: COBIT menghubungkan strategi TI dengan tujuan bisnis organisasi.
    • Meningkatkan efisiensi dan efektivitas TI: COBIT memungkinkan organisasi untuk mengidentifikasi dan mengelola risiko TI
    • Memastikan kepatuhan: COBIT membantu organisasi memenuhi persyaratan peraturan dan standar industri dengan menerapkan kontrol yang tepat.
    • Mengoptimalkan penggunaan sumber daya TI: COBIT membantu mengelola sumber daya TI dengan memberikan struktur yang jelas.

    3. Komponen Utama Kerangka Kerja COBIT adalah:

    • Proses: COBIT menetapkan 37 proses yang mengatur seluruh siklus hidup TI dalam lima domain utama.
    • Struktur Organisasi: Memastikan bahwa ada tugas dan tanggung jawab yang jelas di sekitar manajemen TI. Informasi: Menjamin bahwa informasi yang digunakan dalam manajemen TI akurat, tepat waktu, dan relevan. 
    • Aset: Mengelola aset TI dengan baik untuk mendukung tujuan perusahaan.
    • Keahlian: Pastikan semua orang yang terlibat dalam pengelolaan TI memiliki keterampilan dan pengetahuan yang diperlukan. 
    • Budaya dan Perilaku: Menciptakan budaya dan tindakan yang mendukung keberhasilan pengelolaan TI di seluruh organisasi.

    4. Domain COBIT 5 membagi prosesnya ke dalam lima domain utama:

    • Domain EDM (Evaluate, Direct, and Monitor) berkonsentrasi pada menjamin bahwa TI memberikan nilai, mengelola risiko, dan memastikan bahwa TI sesuai dengan strategi bisnis.
    • Domain APO— (Align, Plan, and Organize) Domain ini mencakup perencanaan dan pengorganisasian sumber daya TI untuk mencapai tujuan strategis dan operasional perusahaan.
    • Domain BAI— (Build, Acquire, and Implement) berbicara tentang bagaimana organisasi membangun, memperoleh, dan menerapkan TI.
    • Domain Deliver, Service, and Support (DSS) bertanggung jawab untuk memastikan bahwa layanan TI diberikan secara efisien dan efektif dan bahwa mereka mendukung operasional organisasi dengan baik.
    • Domain MEA - Monitor, Evaluate, and Assess, berkonsentrasi pada pemantauan dan evaluasi kinerja TI untuk memastikan bahwa kontrol TI membantu mencapai tujuan bisnis.

• 

  10. Introduction to ITIL (Information Technology Infrastructure Library)

  • ITIL V3 (Information Technology Infrastructure Library) File

    What is ITIL ?

    1. ITIL = Information Technology Infrastructure Library

    ITIL adalah best practice atau panduan terbaik yang digunakan untuk mengelola layanan teknologi informasi (TI) di suatu organisasi. ITIL pertama kali dikembangkan pada akhir 1980-an oleh pemerintah Inggris untuk meningkatkan pengelolaan layanan TI di sektor publik dan sekarang digunakan oleh banyak organisasi di sektor publik dan swasta di seluruh dunia untuk memenuhi kebutuhan dan tujuan bisnis.

    2. ITIL V3 (versi 3)

    ITIL V3, pembaruan dari framework ITIL yang dirilis pada tahun 2007, memperkenalkan konsep service lifecycle (siklus hidup layanan), yang terdiri dari lima fase utama/domain, dan lebih menekankan pendekatan berbasis layanan dalam manajemen layanan TI. Tujuan ITIL V3 adalah untuk memberikan pedoman yang lebih lengkap dan terorganisir untuk manajemen layanan TI dengan fokus pada nilai bisnis dan hubungan antara layanan TI dan pengguna. 

    3. Domain ITIL V3

    1. Service Strategy, memiliki 3 area: 
       •Demand Management: memahami dan mengelola permintaan layanan TI yang dibutuhkan pelanggan.

       •Service Portfolio Management: mengelola portofolio layanan untuk memastikan bahwa layanan yang disediakan memenuhi kebutuhan dan harapan bisnis.

       •Financial Management
    2. Service Design, memiliki 7 area:  
       •Service Catalog Management:  

       •Service Level Management: menetapkan dan mengelola kesepakatan tingkat layanan (SLA) dengan pelanggan.

       •Supplier Management, 

       •Information Security Management, 

       •Availability Management: memastikan bahwa layanan TI selalu tersedia dan dapat diakses oleh pengguna sesuai dengan kebutuhan.

       •Capacity Management: merencanakan kapasitas layanan TI agar dapat memenuhi permintaan di masa depan.

       •IT Service Continuity Management: menyusun rencana untuk melanjutkan layanan TI dalam kondisi darurat atau kegagalan.
    3. Service Transition, memiliki 4 area: 
       •Change Management: mengelola perubahan dalam layanan TI dengan cara yang terstruktur dan terkendali.

       •Release & Deployment  Management: mengelola pengujian dan penerapan perubahan layanan TI yang baru.

       •Service Asset and Configuration Management
       

       •Knowledge Management
    4. Service Operation, memiliki 9 area:
       •Service Desk, 

       •Incident Management: menangani gangguan layanan dan memastikan layanan pulih dengan cepat.

       •Event Management: memantau peristiwa (event) yang terjadi dalam sistem dan meresponsnya sesuai kebutuhan. 

       •Request Fulfillment, 

       •Access Management, 

       •Problem Management: mengidentifikasi penyebab dasar masalah dan mencegah masalah yang berulang.

       •Technical Management, 

       •IT Operation Management, 

       •Application Management 
    5. Continual Service Improvement, memiliki 7 step improvement process

    • Define what you should measure
    • Define what you can measure
    • Gather the data
    • Process the data
    • Analyze the data
    • Present and use the information
    • Implement corrective actions

     

     

• 

  12 : BUSINESS APPLICATION DEVELOPMENT PROCESS PHASE 1 & 2

  • Video penjelasan business app dev :

     

     

  • Tugas Rangkuman Assignment

    Buatlah rankuman dari video feasibilty dan requirement di atas, gunakan gambar jika dibutuhkan,

    Kumpulkan file dalam bentuk pdf

• 13: Introduction to ITIL (Information Technology Infrastructure Library): case study is not available
• 14: BUSINESS APPLICATION DEVELOPMEN PROCESS PHASE 3 & 4 : post implementation review is not available
• 10: BUSINESS APPLICATION DEVELOPMENT AND ROLES OF IS AUDITOR is not available
• 15: Resiko tahapan business application development dan summary role of IS di SDLC is not available
• 

  Topic 16
• 

  Topic 17
• 

  Topic 18
• 

  Topic 19
• 

  Topic 20
• 

  Topic 21
• 

  Topic 22
• 

  Topic 23
• 

  Topic 24
• 

  Topic 25
• 

  Topic 26
• 

  Topic 27
• 

  Topic 28