What is Supply Chain Management?

The concept of Supply Chain Management is based on two core ideas. The first is that practically every product that reaches an end user represents the cumulative effort of multiple organizations. These organizations are referred to collectively as the supply chain.
The second idea is that while supply chains have existed for a long time, most organizations have only paid attention to what was happening within their “four walls.” Few businesses understood, much less managed, the entire chain of activities that ultimately delivered products to the final customer. The result was disjointed and often ineffective supply chains.

Supply chain management, then, is the active management of supply chain activities to maximize customer value and achieve a sustainable competitive advantage. It represents a conscious effort by the supply chain firms to develop and run supply chains in the most effective & efficient ways possible. Supply chain activities cover everything from product development, sourcing, production, and logistics, as well as the information systems needed to coordinate these activities.

The organizations that make up the supply chain are “linked” together through physical flows and information flows. Physical flows involve the transformation, movement, and storage of goods and materials. They are the most visible piece of the supply chain. But just as important are information flows. Information flows allow the various supply chain partners to coordinate their long-term plans, and to control the day-to-day flow of goods and material up and down the supply chain.

sumber : http://scm.ncsu.edu/scm-articles/article/what-is-supply-chain-management

ANALISIS SYTEM

Langkah-langkah Analisis Sistem

Didalam tahap analisis sistem terdapat langkah-langkah dasar yang harus dilakukan oleh analisis sistem sebagai berikut :

1. Identify, yaitu mengidentifikasi masalah.
2. Understand, yaitu memahami kerja dari sistem yang ada.
3. Analyze, yaitu menganalisis sistem.
4. Report, yaitu membuat laporan hasil analisis.

 Pendekatan Sistem Terhadap Analisis dan Perancangan Sistem Informasi.

Suatu sistem informasi cukup tersatu padukan dan saling berhubungan sehingga sistem informasi tersebut dipandang sebagai sistem tunggal,tetapi juga cukup kompleks sehingga perlu diuraikan menjasi subsistem-subsistem untuk perencanaan dan pengendalian pengembangan serta untuk pengendalian operasinya.

Hakikat proyek sistem dari penerapan pengolahan informasi berarti bahwa

Pendekatan sistem terhadap pengendalian proyek pada umumnya tepat.

Hal ini menunjukan penerapan paham sistem dalam pengembangan proyek sistem informasi :

1. Sistem informasi dirumuskan dan tanggung jawab sepenuhnya dibebankan pada

satu Orang.

2. Subsistem-subsistem pengolahan informasi yang penting dirumuskan.Batas-

batas dan interface-interface diuraikan dengan jelas.

3. Suatu penjadwalan pengembangan disiapkan.

4. Setiap subsistem, apabila tellah siap untuk dikembangkan, diserahkan kepada

suatu proyek.

5. Sistem kontrol dipergunakan untuk memonitor proses pengembangannya.

 Perancangan sistem

T       perancangan sistem dilakukan setelah tahapan analisis sistem dilakukan, maka analisis sistem telah mendapat gambaran dengan jelas apa yang harus dikerjakan. Dan bagi analisis untuk memikirkan bagaimana membentuk suatu sistem tersebut.

Definisi perancangan sistem menurut para ahli :

“Perancangan sistem adalah Menentukan bagaimana mencapai sasaran yang ditetapkan yang melibatkan pembentukan (configuring) perangkat lunak dan komponen perangkat keras sistem dimana setelah pemasangan sistem akan memenuhi spesifikasi yang dibuat pada akhir fase analisis sistem.”. (Prinsip-prinsip sistem informasi manajemen : George M.Scott,2001.534).

 Tujuan perancangan sistem

1. untuk memenuhi kebutuhan kepada pemakai sistem.
2. untuk memberikan gambaran yang jelas dan rancang bangun yang lengkap kepada pemograman komputer dan ahli-ahli teknik lainnya yang terlibat.
3. membentuk sistem agar dapat diterima dengan baik oleh pengguna sistem maupun operator

 Kondisi Masalah yang dihadapi Objek Penelitian

Sekolah merupakan suatu lembaga pendidikan yang berfungsi sebagai Unit Pelaksanaan Teknis (UPT) pendidikan jalur sekolah, dimana sekolah tersebut terbagi atas dua bagian yaitu sekolah negeri dan sekolah swasta, pengelola dari sekolah negeri adalah pihak pemerintah dan sedangkan sekolah swasta dikelola oleh sebuah yayasan.Pada dasarnya sekolah negeri maupun sekolah swasta mempunyai misi yang sama yaitu untuk mencerdaskan bangsa Indonesia. Jadi bersekolah di sekolah negeri ataupun swasta bukanlah suatu masalah, yang menjadi masalah adalah kualitas dari sekolah itu sendiri.Tidak sedikit sekolah negeri yang tertinggal dari sekolah swasta padahal sekolah negeri merupakan sekolah yang dikelola pemerintah, dan sebaliknya banyak sekolah swasta yang menjadi unggulan khususnya diBandung,akibatnya untuk sekarang ini sekolah negeri menjadi pilihan kedua bagi peserta didik setelah mereka mencoba masuk kesekolah swasta.

INFORMATION SYSTEM

1 Pengertian Data

Data adalah bahan yang akan diolah atau diproses yang bisa berupa angka-angka,huruf-huruf, simbol-simbol yang menunjukan suatu situasi dan lain-lain yang berdiri sendiri atau merupakan kenyataan yang menggambarkan suatu kejadian-kejadian dan kesatuan nyata.

Menurut Robert N.antony dan John Dearden , Data adalah :

‘ Bentuk jamak dari bentuk tunggal datum atau data-item’.

dan

“ Data Merupakan kenyataan yang menggambarkansuatu kejadian-kejadian dan kesatuan nyata.” (Jogyanto, Analisis dan desain Sistem Informasi;8 ).

Keberadaan suatu data sangat menunjang terhadap informasi ,karena data merupakan bahan mentah yang diperlukan oleh pengambil keputusan . untuk lebih meeyakinkan bahwa data tidak dapat terlepas dari dari informasi dapat dilihat dari definisi mengenai informasi.

2. Pengertian sistem

Suatu sistem sangatlah dibutuhkan dalam suatu perusahaan atau instansi pemerintahan , karena sistem sangatlah menunjang terhadap kinerja perusahaan atau instansi pemerintah , baik yang berskala kecil maupun besar. Supaya dapat berjalan dengan baik diperlukan kerjasama diantara unsure-unsur yang terkait dalam sistem tersebut.

Ada berbagai pendapat yang mendefinisikan pengertian sistem ,seperti dibawah ini :

“Sistem adalah suatu jaringan kerja dari prosedur-prosedur yang saling berhubungan , berkumpul bersama-sama untuk melakukan suatu kegiatan atau untuk menyelesaikan suatu sasaran yang tertentu”.(Jogiyanto,2005,1).

Masih dalam buku ‘Analisia dan Desain sistem informasi’ karangan jogiyanto menerangkan:

“Sistem adalah kumpulan dari elemen-elemen yang berinteraksi untuk mencapai suatu tujuan tertentu”.(Jogiyanto,2005,2).

3.Pengertian informasi

Dalam manajemen , informasi merupakan data yang telah diproses sehingga mempunyai arti tertentu bagi penerimanya.Sumber dari informasi adalah Data, sedangkan Data itu sendiri adalah Kenyataan yang menggambarkanm suatu kejadian, sedangkan kejadian itu merupakan suatu peristiwa yang terjadi pada waktu tertentu .dalam hal ini informasi dan data saling berkaitan.

Menurut Jogiyanto dalam buku ‘Analisis dan desain sistem informasi’

adalah :

“Informasi diartikan sebagai data yang diolah menjadi bentuk yang lebih berguna dan lebih berarti bagi yang menerimanya” . (Jogiyanto,2005; 8).

Menurut George M.Scott dalam buku ‘prinsip-prinsip Sistem Informasi Manajemen’ pengertian sistem informasi adalah;

‘Sistem informasi adalah sistem yang diciptakan oleh para analisis dan manajer guna melaksanakan tugas khusus tertentu yang sangat esensial bagi berfungsinya organisasi’. (George M.Scott,2001;4)

Sedangkan definisi dari Robert A.leitch dan K.Roscoe davis sebagai berikut:

‘Sistem informasi adalah suatu sistem didalam suatu organisasi yang mempertemukan kebutuhan pengolahan transaksi harian , mendukung operasi ,bersifat manajerial dan kegiatan strategi dari suatu organisasi dan menyediakan pihak luar tertentu dengan laporan-laporan yang diperlukan’. (Jogiyanto,2005;11)

Pengertian Informasi selalu dikaitkan dengan data, namun arti dari masing-masing kata dalam pengertian tersebut berbeda. Keberadaan suatu data sangat menunjang terhadap informasi , karena data merupakan bahan mentah yang diperlukan untuk mengambil keputusan.

4 Komponen sistem informasi

Komponen – komponen yang ada dalam sistem informasi meliputi beberapa blok, yaitu :

1. Blok masukan (input)

Blok masukan ini mewakili data yang masuk kedalam sistem informasi.

Input disini termasuk Metode-metode dan media untuk menangkap data yang akan dimasukan , yang dapat berupa dokumen - dokumen dasar.

2 . Blok Model

Blok ini terdiri dari kombinasi prosedur,logika dan model matematika yang akan memanipulasi data input dan data yang tersimpan di basis data dengan cara yang sudah tertentu untuk menghasilkan keluaran yang diinginkan.

3. Blok keluaran (output)

Produk dari sistem informasi adalah keluaran yang merupakan informasi yang berkualitas dan dokumentasi yang berguna untuk semua tingkat manajemen serta semua pemakai sistem.

4. Blok Teknologi

Teknologi merupakan alat yang digunakan untuk menerima masukan,menjalankan model,menyimpan dan mengakses data,menghasilkan dan mengirimkan keluaran dan membantu pengendalian dari sistem secara keseluruhan. Teknologi terdiri dari 3 bagian utama, yaitu Teknisi,perangkat lunak (software) dan perangkat keras (hardware).

5. Blok Basis Data.

Basis data merupakan kumpulan data yang saling berhubungan satu dengan yang lainnya, tersimpan diperangkat keras computer, basis data diakses atau dimanipulasi dengan menggunakan paket perangkat lunak yang disebut data base manajemen sistem ( DBMS ).

6. Blok kendali

Beberapa pengendalian perlu dirancang dan diterapkan untuk meyakinkan bahwa hal-hal yang dapat merusak sistem bisa dicegah ataupun bila terlanjur terjadi kesalahan-kesalahan dapat langsung cepat diatasi.

5 Sistem informasi manajemen

Menurut Barry E.Cushing, SIM adalah :

‘Suatu sistem informasi manajemen adalah Kumpulan dari manusia dan sumber daya modal di dalam suatu organisasi yang bertanggung jawab mengumpulkan dan mengolah data untuk mengahasilkan informasi yang berguna untuk semua tingkatan manajemen di dalam kegiatan perencanaan dan pengendalian’. (Jogiyanto,2005,14).

Menurut Frederick H.Wu SIM adalah :

‘Sistem Informasi Manajemen adalah kumpulan-kumpulan dari sistem-sistem yang menyediakan informasi untuk mendukung manajemen’.(Jogiyanto,2005,14).

Menurut Gordon B.Davis dalam buku ‘Kerangka dasar SIM’, SIM adalah :

‘ Sistem Informasi Manajemen adalah Suatu serapan teknologi baru kepada persoalan keorganisasian dalam pengolahan transaksi dan pemberian informasi bagi kepentingan keorganisasian’. (Gordon B.Davis,1985;23).

Masih menurut Gordon.B Davis, dalam buku ‘Analisis dan Desain informasi’ SIM’, adalah :

‘Sistem Informasi Manajemen merupakan suatu sistem yang melakukan fungsi-fungsi untuk menyediakan semua informasi yang mempengaruhi semua operasi organisas’i.Jjogiyanto,2005,15).

Menurut George M.Scott, dalam buku ‘Prinsip-prinsip SIM’ adalah :

‘Sistem Informasi Manajemen adalah serangkaian Sub-sistem informasi yang menyeluruh dan terkoordinasi dan secara rasional terpadu yang mampu yang mampu mentransformasi data sehingga menjadi informasi lewat serangkaian cara guna meningkatkan produktivitas yang sesuai dengan gaya dan sifat manajer atas dasar criteria mutu yang telah ditetapkan’.

Jadi dari beberapa definisi tersebut,dapat dirangkum bahwa Sistem Informasi Manajemen adalah kumpulan dari interaksi sistem-sistem informasi yang menghasilkan informasi yang berguna untuk semua tingkatan manajemen.

6 Peranan sistem informasi bagi manajemen

Manajemen menbutuhkan informasi untuk mendukung pengambilan keputusan yang akan dilakukan sumber informasi eksternal dan informasi internal. Informasi internal dapat diperoleh dari sistem informasi berupainformasi yang dihasilkan dari operasi pengolahan data elektrnik (PDE) dan informasi Non PDE.

2.1.7 Analisis sistem

Tahap analisis dilakukan setelah tahap perencanaan sistem (system planing)

Dan sebelum tahap perancangan.Tahap analisis sistem merupakan tahap yang kritis dan sangat penting , karena kesalahan didalam tahap ini akan menyebabkan kesalahan ditahap berikutnya.

Analisis sistem (system analisis) dapat didefinisikan sebagai :

“ Analisis Sistem yaitu Penguraian dari suatu sistem informasi yang utuh kedalam bagian-bagian komponennya dengan maksud untuk mengidentifikasi dan mengevaluasi permasalahan-permasalahan , kesempatan-kesempatan, hambatan-hambatan yang terjadi dan kebutuhan-kebutuhan yang diharapkan sehingga dapat diusulkan perbaikan-perbaikannya”. (jogiyanto,2005;129).

Juga dapat didefinisikan juga seperti dalam buku Prinsip-prinsip SIM sebagai berikut.

“Analisis sistem (systems analysis) adalah kegiatan yang berorientasi pada manusia dan bersifat tidak terstuktur ,yang melibatkan perkiraan (estimates) dan negoisasi,”(George M.Scott,2001; 535).

Interaksi manusia-komputer

Interaksi manusia dan komputer (bahasa Inggris: human–computer interaction, HCI) adalah disiplin ilmu yang mempelajari hubungan antara manusia dan komputer yang meliputi perancangan, evaluasi, dan implementasi antarmuka pengguna komputer agar mudah digunakan oleh manusia. Ilmu ini berusaha menemukan cara yang paling efisien untuk merancang pesan elektronik. ^[1] Sedangkan interaksi manusia dan komputer sendiri adalah serangkaian proses, dialog dan kegiatan yang dilakukan oleh manusia untuk berinteraksi dengan komputer yang keduanya saling memberikan masukan dan umpan balik melalui sebuah antarmuka untuk memperoleh hasil akhir yang diharapkan.^[1]

Sistem harus sesuai dengan kebutuhan manusia dan dirancang berorientasi kepada manusia sebagai pemakai. ^[2]

Sub bidang studi interaksi manusia dengan komputer

Ada tiga sub-bidang studi yang berhubungan dengan interaksi dengan komputer :^[3]

1. Ergonomi dimana interaksi manusia-komputer berkaitan dengan bentuk fisik dari mesin.
2. Faktor manusia berkaitan dengan masalah- masalah psikologis.
3. Interaksi manusia dan komputer mengkaji bagaimana hubungan-hubungan yang terjadi antar ilmu komputer desain terkait dengan manusia dengan komputer.^[3]

bagi para perancangnya alat fisik interaksi antarmuka komputer sering diuji, sehingga memungkinkan pertukaran informasi.^[3]

Beberapa aspek yang menjadi fokus dalam perancangan sebuah antarmuka adalah :^[3]

1. Metodologi dan proses yang digunakan dalam perancangan sebuah antarmuka.
2. Metode implementasi antarmuka.
3. Metode evaluasi dan perbandingan antarmuka.
4. Pengembangan antarmuka baru.
5. Mengembangkan sebuah deskripsi dan prediksi atau teori dari sebuah antarmuka baru.

[sunting]Contoh

dalam interaksi manusia dengan komputer terdapat beberapa panca indera digunakan untuk dapat berinteraksi----: Manusia mewujudkan fisiologi yang diperlukan untuk menyerap informasi dalam bentuk suara. ^[4] Sama seperti mata dapat melihat berbagai variasi cahaya - rona, briteness, kontras - telinga mampu penginderaan array yang luas dari suara melalui perubahan timbre, kenyaringan, dan pitch.^[4] Pikiran kemudian dapat mengasosiasikan suara ini dengan peristiwa, objek, atau gagasan abstrak.^[4] Paling sering, suara-sebagai-informasi ada sebagai pidato atau musik, dan memang ini akan terus di Internet.^[4] Audio konten juga umumnya dihasilkan oleh mesin untuk menyampaikan informasi, dan penggunaan ini juga akan terus di Internet.^[4]

Contoh: Dalam sebuah rumah sakit, suara Mengenal dari elektrokardiograf (EKG) berbunyi 'bip' dalam irama ke jantung; pager alert wanita di sebuah sudut jalan, telegraf memancarkan klik merata-spasi dalam kode Morse.^[4] Semua ini adalah contoh menampilkan pendengaran, suara yang dibuat oleh sebuah mesin dalam rangka berhubungan informasi.^[4] Di zaman ketika bahasa telah menjadi bentuk komunikasi dominan, suara memainkan peran penting dalam hidup kita.^[4]

[sunting]8 aturan emas desain antarmuka

• Upayakan untuk konsistensi.
  • urutan tindakan yang konsisten harus diminta dalam situasi yang mirip.^[1]
  • terminologi identik harus digunakan pada prompt, menu, dan membantu layar.^[1]
  • warna yang konsisten, tata letak, kapitalisasi, font, dan sebagainya harus digunakan seluruhnya.^[1]
• Memungkinkan pengguna sering untuk menggunakan jalan pintas
  • untuk meningkatkan laju singkatan menggunakan interaksi, tombol khusus, perintah tersembunyi, dan makro.^[1]
• Penawaran informatif umpan balik
  • untuk setiap tindakan pengguna, sistem harus merespon dalam beberapa cara (dalam desain web, hal ini dapat dicapai denganDHTML - misalnya, tombol akan membuat suara klik atau mengubah warna saat diklik untuk menampilkan sesuatu yang pengguna telah terjadi).^[1]
• Desain dialog untuk menghasilkan penutupan.
  • Urutan tindakan harus diatur ke dalam kelompok dengan awal, tengah, dan akhir. Umpan balik yang informatif pada penyelesaian sekelompok pengguna tindakan menunjukkan aktivitas mereka telah selesai dengan sukses.^[1]
• Penawaran kesalahan pencegahan dan penanganan kesalahan sederhana.
  • desain bentuk sehingga pengguna tidak dapat membuat kesalahan serius, misalnya, lebih memilih pilihan menu untuk membentuk mengisi dan tidak mengizinkan karakter abjad di bidang entri numerik.^[1]
  • jika pengguna melakukan kesalahan, instruksi harus ditulis untuk mendeteksi kesalahan dan menawarkan instruksi sederhana, konstruktif, dan khusus untuk pemulihan.^[1]
  • segmen panjang formulir dan mengirimkan bagian terpisah, sehingga pengguna tidak dikenakan sanksi karena harus mengisi formulir lagi - tapi pastikan Anda menginformasikan kepada user bahwa beberapa bagian yang datang
• Izin tindakan pemulihan.^[1]
• Dukungan internal lokus kontrol
  • Pengguna yang berpengalaman ingin bertanggung jawab.^[1] Mengejutkan sistem tindakan, urutan membosankan data, ketidakmampuan untuk memasukan atau kesulitan dalam mendapatkan informasi yang diperlukan, dan ketidakmampuan untuk menghasilkan tindakan yang diinginkan semua membangun kecemasan dan ketidakpuasan.^[1]
• Kurangi beban memori jangka pendek.
  • Sebuah studi menunjukkan bahwa manusia terkenal dapat menyimpan hanya 7 buah (plus atau minus 2) informasi dalam memori jangka pendek mereka.^[1] Anda dapat mengurangi beban memori jangka pendek dengan merancang layar di mana pilihan yang jelas terlihat, atau menggunakan pull-down menu dan ikon.^[1]

[sunting]Media antarmuka manusia dan komputer

• Media Tekstual

Adalah ”bentuk sederhana dialog atau komunikasi antara manusia dan komputer yang hanya berisi teks dan kurang menarik”.^[5] Salah satu contoh antarmuka manusia dan komputer berbentuk teks yang menggunakan bahasa pemrograman PASCAL adalah readln danwriteln.^[5]

• Media GUI (Graphical User Interface)

Adalah ”bentuk dialog atau komunikasi antara manusia dan komputer yang berbentuk grafis dan sangat atraktif”.^[5] Contoh antarmuka manusia dan komputer yang berbentuk grafis menggunakan pemrograman visual (Visual Basic, Visual Foxpro, Delphi dan lain-lain).^[5]

[sunting]Tujuan interaksi manusia dengan komputer

• Tujuan utama disusunnya berbagai cara interaksi manusia & komputer :

untuk mempermudah manusia dalam mengoperasikan komputer dan mendapatkan berbagai umpan balik yang ia perlukan selama ia bekerja pada sebuah sistem komputer.^[5] Para perancang antarmuka manusia dan komputer berharap agar sistem komputer yang dirancangnya dapat bersifat akrab dan ramah dengan penggunanya (user friendly).^[5]

• Sebagai contoh, misalnya sebuah komputer lengkap dipasang pada sebuah tempat yang tidak nyaman bagi seorang pengguna yang menggunakan. ^[5] Atau keyboard yang digunakan pada komputer tersebut tombol-tombolnya keras sehingga susah untuk mengetik sesuatu. ^[5]

Contoh-contoh diatas merupakan beberapa hal mengapa kita membutuhkan mempelajari Interaksi Manusia dan Komputer.^[5]

Kita butuh Interaksi manusia komputer adalah agar kita lebih cepat dalam menyelesaikan suatu pekerjaan. serta dapat membuat waktu pengerjaannya lebih cepat dan tidak membutuhkan banyak biaya dalam membuat suatu pekerjaan.

sumber :Dari Wikipedia bahasa Indonesia, ensiklopedia bebas

"AUDIT INFORMATION SYSTEM ..."

Introduction

An information system (IS) audit or information technology(IT) audit is an examination of the controls within an entity's Information technology infrastructure. These reviews may be performed in conjunction with a financial statement audit, internal audit, or other form of attestation engagement. It is the process of collecting and evaluating evidence of an organization's information systems, practices, and operations. Obtained evidence evaluation can ensure whether the organization's information systems safeguard assets, maintains data integrity, and are operating effectively and efficiently to achieve the organization's goals or objectives.

An IS audit is not entirely s

PHASE 1: Audit Planning

In this phase we plan the information system coverage to comply with the audit objectives specified by the Client and ensure compliance to all Laws and Professional Standards. The first thing is to obtain an Audit Charter from the Client detailing the purpose of the audit, the management responsibility, authority and accountability of the Information Systems Audit function as follows:

1. Responsibility: The Audit Charter should define the mission, aims, goals and objectives of the Information System Audit. At this stage we also define the Key Performance Indicators and an Audit Evaluation process;
2. Authority: The Audit Charter should clearly specify the Authority assigned to the Information Systems Auditors with relation to the Risk Assessment work that will be carried out, right to access the Client’s information, the scope and/or limitations to the scope, the Client’s functions to be audited and the auditee expectations; and
3. Accountability: The Audit Charter should clearly define reporting lines, appraisals, assessment of compliance and agreed actions.

The Audit Charter should be approved and agreed upon by an appropriate level within the Client’s Organization.

See Template for an Audit Charter/ Engagement Letter here.

In addition to the Audit Charter, we should be able to obtain a written representation (“Letter of Representation”) from the Client’s Management acknowledging:

1. Their responsibility for the design and implementation of the Internal Control Systems affecting the IT Systems and processes
2. Their willingness to disclose to the Information Systems Auditor their knowledge of irregularities and/or illegal acts affecting their organisation pertaining to management and employees with significant roles within the internal audit department.
3. Their willingness to disclose to the IS Auditor the results of any risk assessment that a material misstatement may have occurred

See a Template for a Letter of Representation here.

PHASE 2 – Risk Assessment and Business Process Analysis

Risk is the possibility of an act or event occurring that would have an adverse effect on the organisation and its information systems. Risk can also be the potential that a given threat will exploit vulnerabilities of an asset or group of assets to cause loss of, or damage to, the assets. It is ordinarily measured by a combination of effect and likelihood of occurrence.

More and more organisations are moving to a risk-based audit approach that can be adapted to develop and improve the continuous audit process. This approach is used to assess risk and to assist an IS auditor’s decision to do either compliance testing or substantive testing. In a risk based audit approach, IS auditors are not just relying on risk. They are also relying on internal and operational controls as well as knowledge of the organisation. This type of risk assessment decision can help relate the cost/benefit analysis of the control to the known risk, allowing practical choices.

The process of quantifying risk is called Risk Assessment. Risk Assessment is useful in making decisions such as:

1. The area/business function to be audited
2. The nature, extent and timing of audit procedures
3. The amount of resources to be allocated to an audit

The following types of risks should be considered:

Inherent Risk: Inherent risk is the susceptibility of an audit area to error which could be material, individually or in combination with other errors, assuming that there were no related internal controls. In assessing the inherent risk, the IS auditor should consider both pervasive and detailed IS controls. This does not apply to circumstances where the IS auditor’s assignment is related to pervasive IS controls only. A pervasive IS Control are general controls which are designed to manage and monitor the IS environment and which therefore affect all IS-related activities. Some of the pervasive IS Controls that an auditor may consider include:

• The integrity of IS management and IS management experience and knowledge
• Changes in IS management
• Pressures on IS management which may predispose them to conceal or misstate information (e.g. large business-critical project over-runs, and hacker activity)
• The nature of the organisation’s business and systems (e.g., the plans for electronic commerce, the complexity of the systems, and the lack of integrated systems)
• Factors affecting the organisation’s industry as a whole (e.g., changes in technology, and IS staff availability)
• The level of third party influence on the control of the systems being audited (e.g., because of supply chain integration, outsourced IS processes, joint business ventures, and direct access by customers)
• Findings from and date of previous audits

A detailed IS control is a control over acquisition, implementation, delivery and support of IS systems and services. The IS auditor should consider, to the level appropriate for the audit area in question:

• The findings from and date of previous audits in this area
• The complexity of the systems involved
• The level of manual intervention required
• The susceptibility to loss or misappropriation of the assets controlled by the system (e.g., inventory, and payroll)
• The likelihood of activity peaks at certain times in the audit period
• Activities outside the day-to-day routine of IS processing (e.g., the use of operating system utilities to amend data)
• The integrity, experience and skills of the management and staff involved in applying the IS controls

Control Risk: Control risk is the risk that an error which could occur in an audit area, and which could be material, individually or in combination with other errors, will not be prevented or detected and corrected on a timely basis by the internal control system. For example, the control risk associated with manual reviews of computer logs can be high because activities requiring investigation are often easily missed owing to the volume of logged information. The control risk associated with computerised data validation procedures is ordinarily low because the processes are consistently applied. The IS auditor should assess the control risk as high unless relevant internal controls are:

• Identified
• Evaluated as effective
• Tested and proved to be operating appropriately

Detection Risk: Detection risk is the risk that the IS auditor’s substantive procedures will not detect an error which could be material, individually or in combination with other errors. In determining the level of substantive testing required, the IS auditor should consider both:

• The assessment of inherent risk
• The conclusion reached on control risk following compliance testing

The higher the assessment of inherent and control risk the more audit evidence the IS auditor should normally obtain from the performance of substantive audit procedures.imilar to a financial statement audit. An evaluation of internal controls may or may not take place in an IS audit. Reliance on internal controls is a unique characteristic of a financial audit. An evaluation of internal controls is necessary in a financial audit, in order to allow the auditor to place reliance on the internal controls, and therefore, substantially reduce the amount of testing necessary to form an opinion regarding the financial statements of the company. An IS audit, on the other hand, tends to focus on determining risks that are relevant to information assets, and in assessing controls in order to reduce or mitigate these risks. An IT audit may take the form of a "general control review" or an "specific control review". Regarding the protection of information assets, one purpose of an IS audit is to review and evaluate an organization's information system's availability, confidentiality, and integrity by answering the following questions:

1. Will the organization's computerized systems be available for the business at all times when required? (Availability)
2. Will the information in the systems be disclosed only to authorized users? (Confidentiality)
3. Will the information provided by the system always be accurate, reliable, and timely? (Integrity).

The performance of an IS Audit covers several facets of the financial and organizational functions of our Clients. The diagram to the right gives you an overview of the Information Systems Audit flow: From Financial Statements to the Control Environment and Information Systems Platforms.

Information Systems Audit Methodology

Our methodology has been developed in accordance with International Information Systems Audit Standards e.g ISACA Information Systems Audit Standards and Guidelines and the Sabarne Oxley COSO Standard. The beginning point of this methodology is to carry out planning activities that are geared towards integrating a Risk Based Audit Approach to the IS Audit.

Our Risk Based Information Systems Audit Approach

A risk based approach to an Information Systems Audit will enable us to develop an overall and effective IS Audit plan which will consider all the potential weaknesses and /or absence of Controls and determine whether this could lead to a significant deficiency or material weakness.

In order to perform an effective Risk Assessment, we will need to understand the Client’s Business Environment and Operations. Usually the first phase in carrying out a Risk Based IS Audit is to obtain an understanding of the Audit Universe. In understanding the Audit Universe we perform the following:

• Identify areas where the risk is unacceptably high
• Identify critical control systems that address high inherent risks
• Assess the uncertainty that exists in relation to the critical control systems

In carrying out the Business Process Analysis we:

• Obtain an understanding of the Client Business Processes
• Map the Internal Control Environment
• Identify areas of Control Weaknesses

The Chat to the right summarises the business process analysis phase.

The template xxx will provide you with a guideline to document an Organisations Business Sub Processes identified during the risk analysis phase.For each of the sub-processes, we identify a list of What Could Go Wrong (WCGW). This WCGW represent the threat existing on a particular process. A single process would have multiple WCGW’s. For each of the WCGW’s identified in the prior phase we will determine the Key Activities within that process.For each Key Activity:

1. We will identify the Information Systems Controls
2. For each of the Controls Identified, we would rate the impact/effect of the lack of that control (on a rating of 1 - 5, with 5 indicating the highest impact),we will then determine the likelyhood of the threat occuring( also on a rating of 1 - 5 with 5 representing the highest likelyhood).

<< Outline specific risk assessment methodology here>>

PHASE 3 – Performance of Audit Work

In the performance of Audit Work the Information Systems Audit Standards require us t o provide supervision, gather audit evidence and document our audit work. We achieve this objective through:

• Establishing an Internal Review Process where the work of one person is reviewed by another, preferably a more senior person.
• We obtain sufficient, reliable and relevant evidence to be obtained through Inspection, Observation, Inquiry, Confirmation and recomputation of calculations
• We document our work by describing audit work done and audit evidence gathered to support the auditors’ findings.

Based on our risk assessment and upon the identification of the risky areas, we move ahead to develop an Audit Plan and Audit Program. The Audit Plan will detail the nature, objectives, timing and the extent of the resources required in the audit.

See Template for a Sample Audit Plan.

Based on the compliance testing carried out in the prior phase, we develop an audit program detailing the nature, timing and extent of the audit procedures. In the Audit Plan various Control Tests and Reviews can be done. They are sub-divided into:

1. General/ Pervasive Controls
2. Specific Controls

The Chat below to the left shows the Control Review Tests that can be performed in the two Control Tests above.

Control Objectives for Information and related Technology (COBIT)

The Control Objectives for Information and related Technology (COBIT) is a set of best practices (framework) for information (IT) management created by the Information Systems Audit and Control Association (ISACA), and the IT Governance Institute (ITGI) in 1992.

COBIT provides managers, auditors, and IT users with a set of generally accepted measures, indicators, processes and best practices to assist them in maximizing the benefits derived through the use of information technology and developing appropriate IT governance and control in a company.

COBIT helps meet the multiple needs of management by bridging the gaps between business risks, control needs and technical issues. It provides a best practices framework for managing IT resources and presents management control activities in a manageable and logical structure. This framework will help optimise technology information investments and will provide a suitable benchmark measure.

The Framework comprises a set of 34 high-level Control Objectives, one for each of the IT processes listed in the framework. These are then grouped into four domains: planning and organisation, acquisition and implementation, delivery and support, and monitoring. This structure covers all aspects of information processing and storage and the technology that supports it. By addressing these 34 high-level control objectives, we will ensure that an adequate control system is provided for the IT environment. A diagrammatic representation of the framework is shown below.

We shall apply the COBIT framework in planning, executing and reporting the results of the audit. This will enable us to review the General Controls Associated with IT Governance Issues. Our review shall cover the following domains;

• Planning and organisation of information resources;
• The planning and acquisition of systems and path in stage growth model of information systems;
• The delivery and support of the IS/IT including facilities, operations, utilisation and access;
• Monitoring of the processes surrounding the information systems;
• The level of effectiveness, efficiency, confidentiality, integrity, availability, compliance and reliability associated with the information held in; and
• The level of utilisation of IT resources available within the environment of the IS including people, the application systems of interface, technology, facilities and data.

The above control objectives will be matched with the business control objectives to apply specific audit procedures that will provide information on the controls built in the application, indicating areas of improvement that we need to focus on achieving.

Application Control Review

An Application Control Review will provide management with reasonable assurance that transactions are processed as intended and the information from the system is accurate, complete and timely. An Application Controls review will check whether:

• Controls effectiveness and efficiency
• Applications Security
• Whether the application performs as expected

A Review of the Application Controls will cover an evaluation of a transaction life cycle from Data origination, preparation, input, transmission, processing and output as follows:

1. Data Origination controls are controls established to prepare and authorize data to be entered into an application. The evaluation will involve a review of source document design and storage, User procedures and manuals, Special purpose forms, Transaction ID codes, Cross reference indices and Alternate documents where applicable. It will also involve a review of the authorization procedures and separation of duties in the data capture process.
2. Input preparation controls are controls relating to Transaction numbering, Batch serial numbering, Processing, Logs analysis and a review of transmittal and turnaround documents
3. Transmission controls involve batch proofing and balancing, Processing schedules, Review of Error messages, corrections monitoring and transaction security
4. Processing controls ensure the integrity of the data as it undergoes the processing phase including Relational Database Controls, Data Storage and Retrieval
5. Output controls procedures involve procedures relating to report distribution, reconciliation, output error processing, records retention.

The use of Computer Aided Audit Techniques (CAATS) in the performance of an IS Audit

The Information Systems Audit Standards require us that during the course of an audit, the IS auditor should obtain sufficient, reliable and relevant evidence to achieve the audit objectives. The audit findings and conclusions are to be supported by the appropriate analysis and interpretation of this evidence. CAATs are useful in achieving this objective.

Computer Assisted Audit Techniques (CAATs) are important tools for the IS auditor in performing audits.They include many types of tools and techniques, such as generalized audit software, utility software, test data, application software tracing and mapping, and audit expert systems.For us, our CAATs include ACL Data Analysis Software and the Information Systems Audit Toolkit(ISAT).

CAATs may be used in performing various audit procedures including:

• Tests of details of transactions and balances(Substantive Tests)
• Analytical review procedures
• Compliance tests of IS general controls
• Compliance tests of IS application controls

CAATs may produce a large proportion of the audit evidence developed on IS audits and, as a result, the IS auditor should carefully plan for and exhibit due professional care in the use of CAATs.The major steps to be undertaken by the IS auditor in preparing for the application of the selected CAATs are:

• Set the audit objectives of the CAATs
• Determine the accessibility and availability of the organisation’s IS facilities, programs/system and data
• Define the procedures to be undertaken (e.g., statistical sampling, recalculation, confirmation, etc.)
• Define output requirements
• Determine resource requirements, i.e., personnel, CAATs, processing environment (organisation’s IS facilities or audit IS facilities)
• Obtain access to the clients’s IS facilities, programs/system, and data, including file definitions
• Document CAATs to be used, including objectives, high-level flowcharts, and run instructions
• Make appropriate arrangements with the Auditee and ensure that:

1. Data files, such as detailed transaction files are retained and made available before the onset of the audit.
2. You have obtained sufficient rights to the client’s IS facilities, programs/system, and data
3. Tests have been properly scheduled to minimise the effect on the organisation’s production environment.
4. The effect that changes to the production programs/system have been properly consideered.

See Template here for example tests that you can perform with ACL

PHASE 4: Reporting

Upon the performance of the audit test, the Information Systems Auditor is required to produce and appropriate report communicating the results of the IS Audit. An IS Audit report should:

1. Identify an organization, intended recipients and any restrictions on circulation
2. State the scope, objectives, period of coverage, nature, timing and the extend of the audit work
3. State findings, conclusions, recommendations and any reservations, qualifications and limitations
4. Provide audit evidence