3/3/2011
Referensi Audit Sistem&Teknologi Informasi (Riyanarto Sarno)
Strategi Sukses Bisnis dengan Teknologi Informasi (Riyanarto Sarno)
Audit Sistem Informasi
Sistem Manajemen j Keamanan Informasi ((Riyanarto y Sarno))
Indra Tobing
Audit Sistem Informasi (Sanyoto Gondodiyoto)
IT Auditing: Using Controls to Protect Information Assets byChris Davis, Mike SchillerandKevin Wheeler McGraw-Hill 2007 (387 pages)
1
Sistem Informasi
2
Sistem Informasi (contoh)
Wikipedia
Sistem Informasi Manajemen adalah bidang yang menekankan finansial dan personal manajemen.
Sistem informasi adalah aplikasi komputer untuk mendukung operasi dari suatu organisasi: operasi, instalasi, dan perawatan komputer, perangkat lunak, dan data.
3
Sistem Sistem Informasi Penjualan adalah suatu sistem informasi yang mengorganisasikan serangkaian prosedur dan metode yang dirancang untuk menghasilkan, menganalisa, menyebarkan dan memperoleh informasi guna mendukung pengambilan keputusan mengenai penjualan.
4
1
3/3/2011
Model IO dan Komponen Aplikasi Sistem Informasi
Sistem Informasi (Summary) Sistem Informasi adalah sekumpulan hardware, software, brainware, brainware prosedur yang diorganisasikan secara integral untuk mengolah data menjadi informasi yang bermanfaat guna memecahkan masalah dan pengambilan keputusan 5
6
Pendahuluan
Pendahuluan (lanjutan)
Seiring dengan semakin banyaknya institusi, baik pemerintahan maupun swasta, yang mengandalkan teknologi informasi untuk g jjalannya y operasional p sehari-hari,, mendukung maka kesadaran akan perlunya dilakukan review atas pengembangan suatu sistem informasi semakin meningkat.
Risiko-risiko yang mungkin ditimbulkan sebagai akibat dari gagalnya pengembangan suatu sistem informasi, antara lain: •Biaya pengembangan sistem melampaui anggaran yang ditetapkan. •Sistem tidak dapat diimplementasikan sesuai dengan jadwal yang ditetapkan.
7
•Sistem yang telah dibangun tidak memenuhi kebutuhan pengguna.
8
2
3/3/2011
Pendahuluan (lanjutan)
Pendahuluan (lanjutan)
• Sistem yang dibangun tidak memberikan dampak effisiensi dan nilai ekonomis terhadap jalannya operasi institusi, baik pada masa g maupun p masa datang. g sekarang
Untuk mengantisipasi hal tersebut, perusahaan menginginkan adanya jaminan dari pihak yang berkompeten dan independen g kondisi sistem informasi yyang g akan mengenai atau sedang mereka gunakan.
• Sistem yang berjalan tidak menaati perjanjian dengan pihak ketiga atau memenuhi aturan yang berlaku.
Pihak yang paling berkompeten dan memiliki keahlian untuk melakukan review tersebut adalah Auditor Sistem Informasi. 9
Audit Sistem Informasi
10
Tujuan Audit Sistem Informasi
Ron Weber (1999,10) Audit sistem informasi adalah proses pengumpulan dan penilaian bukti – bukti untuk menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian i ttujuan j organisasi i i secara efektif f ktif d dan menggunakan sumberdaya secara efisien.
4 (empat) tujuan audit sistem informasi, yaitu : Mengamankan asset Menjaga integritas data Menjaga efektivitas sistem Mencapai efisiensi sumberdaya.
11
12
3
3/3/2011
Tujuan (Integritas data)
Tujuan (Mengamankan aset) Mengamankan aset, aset (aktiva) yang berhubungan dengan instalasi sistem informasi mencakup: perangkat keras (hardware), perangkat lunak (software), manusia (people), file data, dokumentasi sistem, dan peralatan pendukung lainnya lainnya.
Integritas data berarti data memiliki atribut: Kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian.
13
Tujuan (Integritas data)
Tujuan (Efektifitas sistem) Menjaga efektivitas sistem, sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya.
Tanpa integritas data, organisasi tidak dapat memperlihatkan potret dirinya dengan benar atau kejadian yang ada tidak terungkap seperti p adanya. y apa
perlu upaya untuk mengetahui kebutuhan pengguna sistem tersebut (user).
Keputusan maupun langkah-langkah penting di organisasi salah sasaran karena tidak didukung dengan data yang benar. Jadi, upaya untuk menjaga integritas data, dengan konsekuensi akan ada biaya prosedur pengendalian yang dikeluarkan harus sepadan dengan manfaat yang diharapkan.
14
apakah sistem menghasilkan laporan atau informasi yang bermanfaat bagi user (misal pengambil keputusan), 15
auditor perlu mengetahui karakteristik user berikut proses pengambilan keputusannya.
16
4
3/3/2011
Tujuan (Efektifitas sistem)
Tujuan (Efektifitas sistem)
Biasanya audit efektivitas sistem dilakukan setelah suatu sistem berjalan beberapa waktu.
Audit efektivitas sistem dapat juga dilaksanakan pada tahap perencanaan sistem (system design).
Manajemen dapat meminta auditor untuk melakukan post audit guna menentukan sejauh mana sistem telah mencapai tujuan Evaluasi ini akan memberikan masukan bagi pengambil keputusan apakah kinerja sistem layak dipertahankan; harus ditingkatkan atau perlu dimodifikasi; atau sistem sudah usang, sehingga harus ditinggalkan dan dicari penggantinya
User tidak dapat mengungkapkan kebutuhan sistem Dirasa perlu untuk mereview kembali spesifikasi sistem yang telah dibuat
17
18
Disiplin Ilmu Audit Sistem Informasi
Tujuan (efesiensi sumber daya) Bisa menggunakan sumberdaya seminimal mungkin untuk menghasilkan output yang dibutuhkan.
Audit Sistem Informasi sendiri merupakan gabungan dari berbagai macam disiplin ilmu, antara lain:
Pada Pada kenyataannya, sistem informasi menggunakan berbagai sumberdaya, seperti mesin, dan segala perlengkapannya, perangkat lunak, sarana komunikasi dan tenaga kerja yang mengoperasikan sistem tersebut.
•Traditional Audit,
harus berkompetisi untuk memberdayakan sumberdaya yang ada tersebut.
•Manajemen Sistem Informasi, •Sistem Informasi Akuntansi, •Ilmu Komputer dan •Behavioral Science. 19
20
5
3/3/2011
Kategori pada Audit SI
Kategori pada Audit SI
Pada dasarnya, Audit SI dapat dibedakan menjadi dua kategori, yaitu: •Pengendalian Aplikasi (Application Control), dan •Pengendalian Pengendalian Umum (General Control).
Tujuan pengendalian umum lebih menjamin integritas data yang terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas program atau aplikasi yang digunakan untuk melakukan pemrosesan data data. Sementara, tujuan pengendalian aplikasi dimaksudkan untuk memastikan bahwa data diinput secara benar ke dalam aplikasi, diproses secara benar, dan terdapat pengendalian yang memadai atas output yang dihasilkan.
21
22
Kategori pada Audit SI Notes: Dalam audit terhadap aplikasi, biasanya, pemeriksaan atas pengendalian umum juga dilakukan mengingat pengendalian umum memiliki iliki kkontribusi ib i terhadap h d efektifitas f k ifi atas pengendalian-pengendalian aplikasi.
Ada beberapa hal yang harus diperhatikan pada audit SI.
23
24
6
3/3/2011
Harus diperhatikan pada Audit SI
Harus diperhatikan pada Audit SI
1. Perlengkapan keamanan yang melindungi komputer, program, komunikasi, dan data dari akses yang tidak sah, modifikasi atau penghancuran.
1. Pemrosesan transaksi, file laporan dan catatan komputer lainnya telah akurat dan lengkap. 2. Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang tepat diidentifikasi dan di ditangani i sesuaii d dengan kkebijakan bij k manajerial j i l yang telah ditetapkan.
2 P 2. Pengembangan b d dan perolehan l h program dilaksanakan sesuai dengan otorisasi khusus dan umum dari pihak manajemen. 3. Modifikasi program dilaksanakan dengan otorisasi dan persetujuan dari pihak manajemen.
3. File data komputer telah akurat, lengkap dan dijaga kerahasiaannya. 25
26
Pendekatan pada Audit SI
Hal-hal tersebut diatas berkaitan dengan komponen dari sistem informasi, seperti gambar b ik t berikut.
Pendekatan temuan (Exposures Approach),
Pendekatan kendali (Control Approach),
27
fokus utama ditekankan pada jenis kesalahan (losses) yang terjadi dalam suatu sistem informasi. Setelah itu ditentukan kendali (controls) yang dapat digunakan untuk mengurangi kesalahan tersebut sampai pada batas yang dapat diterima (acceptable levels). fokus utamanya adalah kendali-kendali di dalam suatu sistem informasi yang dapat digunakan untuk 28 mengurangi kesalahan sampai pada level yang dapat diterima (acceptable levels).
7
3/3/2011
Tahapan Audit SI
Aspek Yang Diperiksa
Audit secara keseluruhan menyangkut efektifitas, efisiensi,
Menurut Ron Weber terdapat 5 (lima) langkah atau tahapan audit sistem informasi yaitu :
availability system, y reliability, confidentiality, dan integrity, serta aspek security.
Perencanaan Audit (Planning the Audits)
Pengetesan Kendali (Tests of Controls)
Pengetesan Transaksi (Tests of Transactions)
Selanjutnya adalah audit atas proses, modifikasi program, audit atas sumber data, dan data file.
Pengetesan Keseimbangan atau Keseluruhan Hasil (Tests of Balances or Overall Results) dan Pengakhiran (penyelesaian) Audit (Completion of the Audit)
29
Tahapan Audit SI
30
Pengumpulan Data (evidence)
Menurut Gallegos Cs. tahapan audit sistem informasi mencakup aktivitas :
Melalui berbagai teknik termasuk survei, interview,
Perencanaan (Planning) p g ((Fieldwork)) Pemeriksaan Lapangan
observasi dan review dokumentasi
Pelaporan (Reporting) dan
(termasuk review source-code bila diperlukan).
Tindak Lanjut (Follow Up)
Bisa jadi bukti-bukti audit yang diambil oleh auditor mencakup bukti elektronis (data dalam bentuk file softcopy). 31
32
8
3/3/2011
Pengumpulan Data (evidence) Method
Pengumpulan Data (evidence)
Jika tingkat pemakaian TI tinggi maka audit yang dominan digunakan adalah audit dengan computer
Metode Dalam proses pengumpulan bukti ini ada beberapa cara yang sering dipakai yaitu,
biasa disebut dengan teknik audit berbantuan computer atau menggunakan CAAT (Computer Aided Auditing T h i Technique). )
audit around computer computer, audit trought computer dan
untuk menganalisa data, misalnya saja data transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain.
audit with computer.
Tentunya untuk aspek sekuriti adakalanya auditor dituntut mempunyai keahlian teknis yang cukup memadai untuk menguji keamanan sistem.
33
Standard
Standard
Standard yang digunakan dalam mengaudit SI/TI adalah standar yang diterbitkan oleh ISACA yaitu
ISACA IS Auditing Standard.
Selain itu ISACA juga menerbitkan IS Auditing Guidance dan IS Auditing Procedure.
34
35
Guidelines memberi penjelasan bagaimana auditor bisa penuhi standar dalam berbagai penugasan audit, dan
Prosedur memberikan contoh langkah-langkah yang perlu dilalui auditor dalam penugasan audit tertentu sehingga sesuai dengan standar.
Bagaimanapun IS auditor harus bisa menggunakan judgement profesional ketika menggunakan guidance dan procedure. 36
9
3/3/2011
Hasil Audit
Waktu Pelaksanaan Audit
Auditor Sistem Informasi pada dasarnya melakukan penilaian (assurance) tentang kesiapan sistem berdasarkan kriteria tertentu.
Dalam proses pengembangan suatu sistem informasi yang signifikan, perlu dilakukan audit, baik itu sebelum atau pada saat implementasi (pre-implementation system), maupun setelah sistem “live” live (post-implementation system). system)
Kemudian berdasarkan pengujian Auditor akan memberikan rekomendasi perbaikan yang diperlukan.
Adakalanya judgement diperlukan berdasarkan kriteria yang disepakati bersama.
Penanggung jawab sistem yang diaudit tetap berada pada pengelola sistem, bukan di tangan auditor. Atas rekomendasi yang diberikan tentunya diharapkan ada tindak lanjut perbaikan bagi manajemen.
37
Waktu Pelaksanaan Audit
38
Waktu Pelaksanaan Audit
Manfaat audit Pre-Implementation System:
Manfaat audit Post-Implementation System:
• Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengankebutuhan ataupun memenuhi acceptance criteria.
1. Institusi mendapat masukan atas risiko-risiko yang masih ada dan saran untukpenanganannya.
• Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
2. Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis dan anggaran pada periode berikutnya.
• Mengetahui apakah outcome sesuai dengan harapan manajemen. 39
3. Bahan untuk perencanaan strategis dan rencana anggaran di masa datang.
40
10
3/3/2011
Waktu Pelaksanaan Audit
Siapa yang Melakukan Audit Audit sistem informasi dapat dilakukan sebagai bagian dari pengendalian internal yang dilakukan oleh fungsi TI.
4. Memberikan reasonable assurance bahwa SI telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan.
5. Membantu memastikan bahwa jejak pemeriksaan ik (audit ( di trail) il) telah l h di diaktifkan k ifk d dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwenang untuk melakukan pemeriksaan. 6. Membantu dalam penilaian apakah initial proposed values telah terealisasi dan saran tindak lanjutnya.
Tapi jika dibutuhkan opini publik tentang kesiapan sistem tersebut, audit dapat dilakukan dengan mengundang pihak ketiga p g ((auditor independent) p ) untuk melakukannya. y Jika sebuah hasil audit TI perlu dipublikasikan, tentunya perlu perangkat hukum yang mengatur tata cara pelaporan tersebut
41
Fungsi Auditor SI 1.Memimpin pelaksanaan audit dan review prosedur sistem. (seperti: sistem aplikasi, hardware, kebijaksanaan dan prosedur sekuriti, integritas DBMS, software, prosedur komunikasi / jaringan komputer, komputer operasi komputer) berdasarkan pertimbangan kepada: hukum yang berkaitan dengan teknologi Informasi, kebijaksanaan organisasi, metodologi, praktek profesional, dan lainnya. 2.Memimpin pelaksanaan review sistem komputer 43 dan informasi berkaitan dengan kehandalan, efisiensi, dan efektifitas biaya.
42
Fungsi Auditor SI 3. Memimpin audit/review produktivitas sumber daya manusia teknologi Informasi. 4. Merencakan, menjadwal sumber daya untuk aktifitas audit. 5. Memimpin audit/review sistem informasi yang sedang dikembangkan untuk menjamin agar sesuai dengan standard. 6. Mengembangkan dan merawat objektif dan prosedur audit organisasi. 44
11
3/3/2011
Hasil Audit SI
Keahlian Auditor SI
1. Dokumentasi obyektif , perencanaan, prosedur dan laporan audit.
Untuk dapat melaksanakan tugasnya dengan baik, seorang spesialis audit sistem informasi harus memiliki pengetahuan dan ketrampilan sebagai berikut:
2. Review secara berkala untuk memeriksa peningkatan kemampuan sistem.
1 Sikl 1. Siklus pengembangan b sistem i iinformasi f i 2. Analisis sistem dan teknik disain tingkat lanjutan serta metodologi pengembangan sistem. 45
3. Pemahaman yang baik, menangani sistem aplikasi, protokol komunikasi dan jaringan, dan operasi komputer.
46
Keahlian Auditor SI 4. Pemahaman yang baik mengenai standard kualitas internasional, aturan-aturan teknologi Informasi, kebijaksanaan organisasi, metodologi dan lain sebagainya. 5 Ketrampilan 5. K il iintepersonall yang b baik. ik 6. Harus dapat berargumentasi secara persuasif pada pertemuan informal dan formal.
47
12
