EVALUASI dan AUDIT SISTEM INFORMASI

Slides:



Advertisements
Presentasi serupa
Audit Sistem Informasi
Advertisements

Pendahuluan Audit Sektor Publik
Audit Wikipedia (id)‏ Audit atau pemeriksaan dalam arti luas bermakna evaluasi terhadap suatu organisasi, sistem, proses, atau produk. Audit dilaksanakan.
PELAKSANAAN PENUGASAN AUDIT
Audit Sumber Daya Manusia
Audit Sistem Informasi Berbasis Komputer
TINJAUAN UMUM AUDIT KEUANGAN NEGARA
Audit Sistem Informasi
Sejarah & Pemahaman Audit Sistem/Teknologi Informasi
Memahami Audit Sistem/Teknologi Informasi
TUJUAN AUDIT SI/TI Pertemuan 2.
AUDIT SISTEM KEPASTIAN MUTU
BAGIAN I MENGENAL PROFESI AUDIT
AUDIT MANAJEMEN.
SEJARAH DAN PEMAHAMAN AUDIT SISTEM/TEKNOLOGI INFORMASI
Konsep Risiko & Sistem Pengendalian Intern
AUDIT SISTEM INFORMASI
PROSEDUR AUDIT.
AUDIT MANAJEMEN Yulazri M.Ak., CPA Universitas Esa Unggul.
AUDITING DAN PROFESI AKUNTAN PUBLIK
SOP dan Audit Keamanan Keamanan Jaringan Pertemuan 12
Definisi Auditing Internal:  Auditing internal adalah aktivitas pemberian keyakinan serta konsultasi yang independen dan objektif, yang dirancang untuk.
Audit Teknologi Informasi
Manajemen Sumber Daya Teknologi Informasi
PEMAHAMAN ATAS PENGENDALIAN INTERN
Metodologi Audit Sistem Informasi
Audit Sistem Informasi berbasis Komputer
Materi – 03 Sistem Kantor.
OVERVIEW AUDIT SISTEM/TEKNOLOGI INFORMASI
AUDIT MUTU INTERNAL TIM GAMA SOLUTION.
Oleh :Tim Dosen MK Pengantar Audit SI
Wisnu Haryo Pramudya, S.E., M.Si., Ak., CA
AUDIT SISTEM INFORMASI BERBASIS KOMPUTER
PEMERIKSAAN AKUNTANSI 2
LATAR BELAKANG & PEMAHAMAN MENYELURUH
UNIVERSITAS MERCU BUANA 2012 RESKINO, SE, M.Si, AK
Pertemuan 1 – Pengantar Audit Teknologi Sistem Informasi
AUDIT MANAJEMEN Asas asas manajemen.
PELAKSANAAN PENUGASAN AUDIT
PENGERTIAN TSI Teknologi Sistem Informasi (TSI) adalah suatu sistem pengolahan data keuangan dan pelayanan jasa perbankan secara elektronis dengan menggunakan.
Audit Sistem Informasi
BAGIAN I MENGENAL PROFESI AUDIT
AUDIT MANAJEMEN.
Audit Sistem Informasi
AUDIT SISTEM KEPASTIAN MUTU
AUDIT MANAJEMEN Asas asas manajemen.
Audit Produksi dan Operasi
TEMUAN KEKURANGAN (DEFICIENCY FINDINGS) DAN PELAPORAN HASIL AUDIT MANAJEMEN Defisiensi atau kekurangan dalam hal ini adalah kekurangan yang dimiliki oleh.
OVERVIEW AUDIT SISTEM INFORMASI
Djodi Setiawan,S.E.,M.M.,Ak.,CA Prodi Akuntansi
AUDIT TEKNOLOGI SISTEM INFORMASI BANK XYZ
Audit Teknologi Informasi Pertemuan 11
AUDIT PRODUKSI Yulazri M.Ak., CPA.
CobiT Control Objectives for Information and Related Technology
AUDIT MANAJEMEN. AUDIT MANAJEMEN KONSEP DASAR AUDIT Perencanaan, Pengorganisasian Pengarahan Sumber Daya Informasi Tujuan Perusahaan Teknologi Tujuan.
ETIKA PROFESI Sesi 7.
Manajemen Resiko Dalam Pengembangan SI
PEMERIKSAAN AKUNTANSI
PARADIGMA BARU PENGAWASAN INTERNAL
Pengetahuan dasar Audit TEKNOLOGI SISTEM INFORMASI
Pentingnya Audit Sistem Informasi
Kelompok 7 : Adora Aline alfiana (01) Dinda Rakhmawati Setiani (06)
PEMAHAMAN ATAS PENGENDALIAN INTERN
Sistem informasi manajemen
Referensi Audit Sistem&Teknologi Informasi (Riyanarto Sarno) Strategi Sukses Bisnis dengan Teknologi Informasi (Riyanarto Sarno) Sistem Manajemen Keamanan.
Pemahaman Struktur pengendalian intern
 Audit Sistem&Teknologi Informasi › (Riyanarto Sarno)  Strategi Sukses Bisnis dengan Teknologi Informasi › (Riyanarto Sarno)  Sistem Manajemen Keamanan.
Konsep Audit Siwidyah DL. Kenapa Auditing Diperlukan? Adanya hubungan ekonomi di dalam entitas, dan hubungan antara entitas dengan pihak lain yang memiliki.
1. Pokok Bahasan Pengertian audit Pengertian audit Jenis audit Jenis audit Pengertian audit internal Pengertian audit internal Manfaat audit internal.
Pertemuan 6 Audit Teknologi Informasi Kel 4 : - Aditya pratama.
Transcript presentasi:

EVALUASI dan AUDIT SISTEM INFORMASI

EVALUASI SISTEM INFORMASI Evaluasi Sistem Informasi : usaha untuk mengetahui kondisi nyata suatu penyelenggaraan Sistem Informasi. Dengan evaluasi maka capaian kegiatan dapat diketahui dan tindakan lebih lanjut dapat direncanakan untuk memperbaiki kinerja suatu kegiatan.

TUJUAN EVALUASI SISTEM INFORMASI Perlunya diketahui efektivitas penyelenggaraan Sistem Informasi Mengetahui kekuatan, kelemahan, peluang dan ancaman pada SI

MODEL EVALUASI TECHNOLOGY ACCEPTANCE MODEL (TAM) TASK TECHNOLOGY FIT (TTF) END USER COMPUTING (EUC) SATISFACTION HUMAN, ORGANIZATION AND TECHNOLOGY FIT (HOT FIT) DELONE MCCLEAN

TECHNOLOGY ACCEPTANCE MODEL

END USER COMPUTING SATISFACTION

TASK TECHNOLOGY FIT

HOT FIT

DELONE MCCLEAN

TEKNIK EVALUASI METODE KUANITATIF METODE KUALITATIF

METODE KUANTITATIF MENGGUNAKAN STATISTIK UNTUK MEMBUKTIKAN BAHWA SUATU VARIABEL DIPENGARUHI VARIABEL YANG LAIN MENGGUNAKAN KUESIONER YANG DIOLAH SECARA KUANTITATIF KEKUATANNYA TERLETAK PADA TES STATISTIK WAWASAN SEMPIT DAN TAJAM

METODE KUALITATIF MENGGUNAKAN WAWANCARA TIDAK HARUS PAKAI DATA STATISTIK UNTUK OBYEKTIF DILAKUKAN TRIANGULASI WAWASAN KOMPREHENSIF DAN LUAS

PENGERTIAN AUDIT SECARA UMUM Audit adalah : proses sistematis dan objektif dalam memperoleh dan mengevaluasi bukti-bukti guna memberikan asersi dan menilai seberapa jauh suatu kegiatan sudah sesuai dengan kriteria berlaku, dan mengkomunikasikan hasilnya kepada pihak terkait.

Mengapa Audit Sistem Informasi diperlukan?

KEBUTUHAN AUDIT Kita seringkali sulit untuk dapat menjawab beberapa pertanyaan ini : 1. Apakah aset Teknologi Informasi & Komunikasi (TIK) yang kita miliki sudah dilindungi dengan layak dari risiko kerusakan, kehilangan, kesalahan atau penyalahgunaan ? 2. Apakah informasi yang diolah melalui TIK tersebut sudah dapat kita yakini integritasnya (kelengkapan dan akurasi) ? 3. Apakah solusi TIK yang kita kembangkan sudah dapat mencapai tujuannya dan membantu pencapaian tujuan lembaga kita dengan efektif ? 4. Apakah sumber daya TIK yang kita miliki sudah dimanfaatkan dengan efisien dan bertanggung jawab ? 15

6 Alasan Mengapa Audit TI Diperlukan 1. Kerugian akibat kehilangan data 2. Kesalahan dalam pengambilan keputusan 3. Risiko kebocoran data 4. Penyalahgunaan Komputer 5. Kerugian akibat kesalahan proses perhitungan 6. Tingginya nilai investasi perangkat keras dan perangkat lunak komputer

1. Kerugian akibat kehilangan data data telah menjadi salah satu aset terpenting bagi suatu perusahaan. Bayangkan, jika Anda pimpinan perusahaan yang sebagian besar penjualan yang Anda raih dilakukan dengan cara kredit dimana para pembeli akan membayar tagihannya di kemudian hari. Untuk mencatat penjualan, Anda menggunakan bantuan TI. Akibat terjadinya gangguan virus atau terjadi kebakaran pada ruangan komputer yang Anda miliki, misalnya, maka seluruh data tagihan tersebut hilang. Kehilangan data tersebut mungkin saja akan mengakibatkan perusahaan Anda tidak dapat melakukan penagihan kepada para pelanggan. Atau, kalaupun masih dapat dilakukan, waktu yang dibutuhkan menjadi sangat lama karena Anda harus melakukan verifikasi manual atas dokumen penjualan yang Anda miliki.

2. Kesalahan dalam pengambilan keputusan Banyak kalangan usaha yang saat ini telah menggunakan bantuan Decision Support System (DSS) untuk mengambil keputusan-keputusan penting. Dalam bidang kedokteran, misalnya, keputusan dokter untuk melakukan tindakan operasi dapat saja ditentukan dengan menggunakan bantuan perangkat lunak tersebut. Dapat dibayangkan risiko yang mungkin dapat ditimbulkan apabila sang dokter salah memasukkan data pasien ke sistem TI yang digunakan. Taruhannya bukan lagi material, melainkan nyawa seseorang.

3. Risiko kebocoran data Data bagi sebagian besar sektor usaha merupakan sumber daya yang tidak ternilai harganya. Informasi mengenai pelanggan, misalnya, bisa jadi merupakan kekuatan daya saing suatu perusahaan. Bayangkan, Anda seorang direktur suatu perusahaan telekomunikasi yang memiliki 5 juta pelanggan. Tanpa Anda sadari, satu persatu pelanggan perusahaan Anda telah beralih ke perusahaan pesaing. Setelah melalui proses audit, akhirnya diketahui bahwa data pelanggan perusahaan Anda telah jatuh ke tangan perusahaan pesaing. Berdasarkan data tersebut, perusahaan pesaing kemudian menawarkan jasa yang sama dengan jasa yang Anda tawarkan ke pelanggan yang sama, tetapi dengan biaya yang sedikit lebih rendah. Kebocoran data ini tidak saja berdampak terhadap kehilangan sejumlah pelanggan, akan tetapi lebih jauh lagi bisa mengganggu kelangsungan hidup perusahaan Anda.

4. Penyalahgunaan Komputer (1) Alasan lain perlunya dilakukan audit TI adalah tingginya tingkat penyalahgunaan komputer. Pihak-pihak yang dapat melakukan kejahatan komputer dikenal dengan nama hackers dan crackers. Hackers merupakan orang yang dengan sengaja memasuki suatu sistem teknologi informasi secara tidak sah. Biasanya mereka melakukan aktivitas hacking untuk kebanggaan diri sendiri atau kelompoknnya, tanpa bermaksud merusak atau mengambil keuntungan atas tindakannya itu. Sedang, Crackers di sisi lain melakukan aktivitasnya dengan tujuan mengambil keuntungan sebanyak-banyaknya dari tindakannya tersebut, misalnya mengubah atau merusak atau, bahkan, menghancurkan sistem komputer.

4. Penyalahgunaan Komputer (2) Kejahatan komputer juga bisa dilakukan oleh karyawan yang merasa tidak puas dengan kebijakan perusahaan, baik yang saat ini masih aktif bekerja di perusahaan yang bersangkutan maupun yang telah keluar. Sayangnya, tidak semua perusahaan siap mengantisipasi adanya risiko-risiko tersebut. Survei yang dilakukan oleh Ernst & Young (Global Information Security Survey 2003) menemukan bahwa 34% dari total perusahaan yang ada saat ini tidak memiliki mekanisme yang memadai untuk mendeteksi kemungkinanan adanya serangan terhadap sistem mereka. Lebih dari 33%, bahkan menyatakan bahwa mereka tidak memiliki kemampuan yang cukup untuk menindaklanjuti ancaman-ancaman yang mungkin timbul.

5. Kerugian akibat kesalahan proses perhitungan TI digunakan untuk melakukan perhitungan yang rumit. Salah satu alasan digunakannya TI adalah kemampuannya untuk mengolah data secara cepat dan akurat (misalnya, penghitungan bunga bank). Penggunaan TI untuk mendukung proses penghitungan bunga bukannya tanpa risiko kesalahan. Risiko ini akan semakin besar, misalnya ketika bank tersebut baru saja berganti sistem dari sistem yang sebelumnya mereka gunakan. Tanpa adanya mekanisme pengembangan sistem yang memadai, mungkin saja terjadi kesalahan penghitungan atau, bahkan, fraud. Kesalahan yang ditimbulkan oleh sistem baru ini akan sulit terdeteksi tanpa adanya audit terhadap sistem tersebut.

6. Tingginya nilai investasi perangkat keras dan perangkat lunak komputer Investasi yang dikeluarkan untuk suatu proyek TI seringkali sangat besar. Bahkan, dari penelitian yang pernah dilakukan (Willcocks, 1991), tercatat bahwa 20% pengeluaran TI terbuang secara percuma, 30-40% proyek TI tidak mendatangkan keuntungan. Selan itu, sulit mengukur manfaat yang dapat diberikan TI. Untuk Indonesia , alokasi anggaran untuk investasi di bidang TI relatif tidak lebih besar dibandingkan di luar negeri. Di Indonesia besarnya alokasi anggaran berkisar 5-10%, sementara di luar negeri bisa mencapai 30% dari total anggaran belanja perusahaan. Namun, bila dilihat dari nilai absolut besarnya Rupiah yang dikeluarkan, jumlahnya sangat besar. Perusahaan-perusahaan besar nasional, seperti Garuda Indonesia, Telkom, dan Pertamina semuanya, saat ini, sudah menerapkan sistem ERP (Enterprise Resource Planning) dan bahkan berbagai aplikasi lainnya yang melibatkan investasi yang signifikan.

SERTIFIKASI Pendidikan yang mendapat pengakuan internasional dan masyarakat CISA (Certified Information System Auditor) CPA (Certified Public Accountant) CIA (Certified Internal Auditor) CITP (Certified Information Technology Professional) PIA (Professional Internal Auditor) 24

Definisi Audit Sistem Informasi suatu proses pengumpulan dan pengevalusian bukti-bukti yang dilakukan oleh pihak yang independen dan kompeten untuk mengetahui apakah suatu sistem informasi dan sumber daya terkait, secara memadai telah dapat : melindungi aset, menjaga integritas dan ketersediaan sistem dan data, menyediakan informasi yang relevan dan handal, mencapai tujuan organisasi dengan efektif, menggunakan sumber daya dengan efisien, 25

Tahapan-tahapan dalam audit TI tahapan perencanaan, yang  menghasilkan suatu program audit yang didesain sedemikian rupa, sehingga pelaksanaannya akan berjalan efektif dan efisien, dan dilakukan oleh orang-orang yang kompeten, serta dapat diselesaikan dalam waktu sesuai yang disepakati. Pada tahap perencanaan ini penting sekali menilai aspek internal kontrol, yang mana dapat memberikan masukan terhadap aspek resiko, yang pada akhirnya akan menentukan luasnya pemeriksaan yang akan terlihat pada audit program. pengumpulan bukti (evidence), pendokumentasian bukti tersebut dan mendiskusikan dengan auditee tentang temuan apabila jika ditemukan masalah yang memerlukan tindakan perbaikan dari auditee. membuat laporan audit. 26

PERENCANAAN Survei pendahuluan pahami seluruh sumber daya TIK memperoleh gambaran umum dari lingkungan TIK yang akan diaudit. pahami seluruh sumber daya TIK infrastruktur, aplikasi, informasi, personil – yang termasuk ke dalam lingkup audit Pahami sistem pengendalian intern TIK struktur organisasi, kebijakan, prosedur, standar, parameter, dan alat bantu kendali lainnya. 27

PENGUMPULAN BUKTI lakukan analisis risiko pendahuluan Jika layak: melakukan pengujian dari pelaksanaan kendali-kendali tersebut Jika tidak layak: lakukan pengujian terinci terhadap risiko TIK secara mendalam (dengan jumlah sampel yang cukup besar). 28

PENGUMPULAN BUKTI lakukan pengujian pengendalian intern TIK Untuk memperoleh bukti yang memadai bahwa pengendalian intern TIK telah dilaksanakan sesuai rancangannya maka selanjutnya auditor akan melakukan pengujian terinci atas risiko TIK secara terbatas (dengan jumlah sampel yang terbatas). jika hasil pengujian pengendalian intern TIK menunjukkan bahwa pelaksanaan pengendalian intern TIK tidak sesuai dengan rancangannya maka auditor akan melakukan pengujian terinci risiko TIK secara mendalam. 29

PELAPORAN Susun laporan audit sistem informasi yang memuat kesimpulan audit beserta tanggapan dari pihak yang diaudit atas rekomendasi yang disampaikan oleh auditor dalam rangka peningkatan pengendalian intern TIK Berdasarkan Bukti-bukti yang diperoleh auditor dari hasil analisis risiko dan rancangan kendali serta pengujian pengendalian intern TIK dan pengujian terinci risiko TIK 30

Cara Audit Sistem Informasi Uji Compliance/Conformance (Kepatuhan/Kesesuaian) – difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu : Confidentiality (Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan) dan Compliance (Kepatuhan). Uji Substansi/Performance (Kepatutan/Kinerja) difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu : Effectiveness (Efektifitas), Efficiency (Efisiensi), Reliability (Kehandalan). 31

Lingkup Audit Sistem Informasi pada umumnya difokuskan kepada seluruh sumber daya TIK yang ada, yaitu : Aplikasi, Informasi, Infrastruktur dan Personil. 32

Standar Audit Teknologi Informasi Adalah standar yang diterbitkan oleh ISACA yaitu ISACA IS Auditing Standard. Selain itu ISACA juga menerbitkan IS Auditing Guidance dan IS Auditing Procedure. Standar adalah sesuatu yang harus dipenuhi oleh IS Auditor. Guidelines memberikan penjelasan bagaimana auditor dapat memenuhi standar dalam berbagai penugasan audit. Prosedur memberikan contoh langkah-langkah yang perlu dilalui auditor dalam penugasan audit tertentu sehingga sesuai dengan standar. IS auditor harus bisa menggunakan judgement profesional ketika menggunakan guidance dan procedure.

Standar yang aplicable untuk audit TI adalah terdiri dari 11 standar yaitu; S1. Audit charter, S2. Audit Independent, S3. Profesional Ethic and standard, S4.Profesional competence, S5. Planning, S6. Performance of Audit Work, S7. Reporting. S8.Follow-Up Activity, F9. Irregularities and Irregular Act, S10. IT Governance dan S11. Use of Risk Assestment in Audit Planning.

IS Auditing Guideline terdiri dari 32 guidance dalam mengaudit TI yang mengcover petunjuk mengaudit area-area penting. IS Audit Procedure terdiri dari 9 prosedur yang menunjukan langkah-langkah yang dilakukan auditor dalam penugasan audit yang spesifik seperti prosedur melakukan bagaimana melakukan risk assestment, mengetes intrution detection system, menganalisis firewall dan sebagainya. Jika dibandingkan dengan audit keuangan, maka standar dari Isaca ini adalah setara dengan Standar Profesional Akuntan Publik (SPAP) yaitu menyangkut tata cara bagaimana audit dilakukan. Sedangkan bagaimana kondisi apa yang diaudit diberikan penilaian berdasarkan standar tersendiri yaitu Cobit.

Hasil Audit? Auditor Sistem Informasi pada dasarnya melakukan penilaian (assurance) tentang kesiapan sistem berdasarkan kriteria tertentu. Kemudian berdasarkan pengujian Auditor akan memberikan rekomendasi perbaikan yang diperlukan. Adakalanya judgement diperlukan berdasarkan kriteria yang disepakati bersama. Penanggung jawab sistem yang diaudit tetap berada pada pengelola sistem, bukan di tangan auditor. Atas rekomendasi yang diberikan tentunya diharapkan ada tindak lanjut perbaikan bagi manajemen.

Hasil Audit? Di AS hasil audit sistem informasi terhadap bank harus dipublikasikan kepada publik. Dengan demikian pengguna jasa, nasabah mengetahui kondisi layanan sistem informasi pada bank tersebut. Jika sebuah hasil audit TI perlu dipublikasikan, tentunya perlu perangkat hukum yang mengatur tata cara pelaporan tersebut.

Siapa yang Melakukan Audit? Siapakah sebaiknya yang melakukan audit sistem informasi? Audit sistem informasi dapat dilakukan sebagai bagian dari pengendalian internal yang dilakukan oleh fungsi TI. Tapi jika dibutuhkan opini publik tentang kesiapan sistem tersebut, audit dapat dilakukan dengan mengundang pihak ketiga (auditor independent) untuk melakukannya.