Pengetahuan dasar Audit TEKNOLOGI SISTEM INFORMASI

Presentasi berjudul: "Pengetahuan dasar Audit TEKNOLOGI SISTEM INFORMASI"— Transcript presentasi:

1 Pengetahuan dasar Audit TEKNOLOGI SISTEM INFORMASI

2 Apa itu Audit TEKNOLOGI Sistem Informasi
Audit adalah : Proses sistematis dan objektif dalam memperoleh dan mengevaluasi bukti-bukti tindakan ekonomi, guna memberikan asersi dan menilai seberapa jauh tindakan ekonomi sudah sesuai dengan kriteria berlaku, dan mengkomunikasikan hasilnya kepada pihak terkait.

3 tiga jenis audit Audit keuangan Audit operasional
Audit sistem informasi (teknologi informasi)

4 Audit TI Merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien. Audit SI/TI relatif baru ditemukan dibanding audit keuangan, seiring dengan meningkatnya penggunan TI untuk mensupport aktifitas bisnis.

5 aspek yang diperiksa pada audit teknologi SISTEM informasi
Audit secara keseluruhan menyangkut efektifitas, efisiensi, availability system, reliability, confidentiality, dan integrity, serta aspek security. Selanjutnya adalah audit atas proses, modifikasi program, audit atas sumber data, dan data file. Audit TI sendiri merupakan gabungan dari berbagai macam ilmu, antara lain: Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science.

6 Tujuan Audit Sistem Informasi
4 (empat) tujuan audit sistem informasi, yaitu : Mengamankan aset Menjaga integritas data Menjaga efektivitas sistem Mencapai efisiensi sumberdaya.

7 Tujuan (mengamankan aset)‏
Mengamankan aset, aset (aktiva) yang berhubungan dengan instalasi sistem informasi mencakup: perangkat keras (hardware), perangkat lunak (software), manusia (people), file data, dokumentasi sistem, dan peralatan pendukung lainnya.

8 Tujuan (integritas data)‏
Integritas data berarti data memiliki atribut: kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian. Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan potret dirinya dengan benar atau kejadian yang ada tidak terungkap seperti apa adanya. keputusan maupun langkah-langkah penting di organisasi salah sasaran karena tidak didukung dengan data yang benar. perlu pengorbanan biaya. Oleh karena itu, upaya untuk menjaga integritas data, dengan konsekuensi akan ada biaya prosedur pengendalian yang dikeluarkan harus sepadan dengan manfaat yang diharapkan.

9 Tujuan (efektifitas sistem)‏
Menjaga efektivitas sistem, sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya. perlu upaya untuk mengetahui kebutuhan pengguna sistem tersebut (user). apakah sistem menghasilkan laporan atau informasi yang bermanfaat bagi user (misal pengambil keputusan), auditor perlu mengetahui karakteristik user berikut proses pengambilan keputusannya. Biasanya audit efektivitas sistem dilakukan setelah suatu sistem berjalan beberapa waktu. Manajemen dapat meminta auditor untuk melakukan post audit guna menentukan sejauh mana sistem telah mencapai tujuan Evaluasi ini akan memberikan masukan bagi pengambil keputusan apakah kinerja sistem layak dipertahankan; harus ditingkatkan atau perlu dimodifikasi; atau sistem sudah usang, sehingga harus ditinggalkan dan dicari penggantinya

10 Tujuan (efektifitas sistem) -2
Audit efektivitas sistem dapat juga dilaksanakan pada tahap perencanaan sistem (system design). User tidak dapat mengungkapkan kebutuhan sistem Dirasa perlu untuk mereview kembali spesifikasi sistem yang telah dibuat

11 Tujuan (efesiensi sumber daya)‏
Dikatakan efisien jika ia menggunakan sumberdaya seminimal mungkin untuk menghasilkan output yang dibutuhkan. Pada kenyataannya, sistem informasi menggunakan berbagai sumberdaya, seperti mesin, dan segala perlengkapannya, perangkat lunak, sarana komunikasi dan tenaga kerja yang mengoperasikan sistem tersebut. harus berkompetisi untuk memberdayakan sumberdaya yang ada tersebut.

12 Mengapa Audit Sistem Informasi diperlukan?

13 Keuntungan Audit Menilai keefektifan aktifitas dokumentasi dalam organisasi Memonitor kesesuaian dengan kebijakan, sistem, prosedur dan undang-undang perusahaan Mengukur tingkat efektifitas dari sistem Mengidentifikasi kelemahan di sistem yang mungkin mengakibatkan ketidaksesuaian di masa datang Menyediakan informasi untuk proses peningkatan Meningkatkan saling memahami antar departemen dan antar individu Melaporkan hasil tinjauan dan tindakan berdasarkan resiko ke Manajemen

14 6 Alasan Mengapa Audit TI Diperlukan
1. Kerugian akibat kehilangan data 2. Kesalahan dalam pengambilan keputusan 3. Risiko kebocoran data 4. Penyalahgunaan Komputer 5. Kerugian akibat kesalahan proses perhitungan 6. Tingginya nilai investasi perangkat keras dan perangkat lunak komputer

15 1. Kerugian akibat kehilangan data
data telah menjadi salah satu aset terpenting bagi suatu perusahaan. Bayangkan, jika Anda pimpinan perusahaan yang sebagian besar penjualan yang Anda raih dilakukan dengan cara kredit dimana para pembeli akan membayar tagihannya di kemudian hari. Untuk mencatat penjualan, Anda menggunakan bantuan TI. Akibat terjadinya gangguan virus atau terjadi kebakaran pada ruangan komputer yang Anda miliki, misalnya, maka seluruh data tagihan tersebut hilang. Kehilangan data tersebut mungkin saja akan mengakibatkan perusahaan Anda tidak dapat melakukan penagihan kepada para pelanggan. Atau, kalaupun masih dapat dilakukan, waktu yang dibutuhkan menjadi sangat lama karena Anda harus melakukan verifikasi manual atas dokumen penjualan yang Anda miliki.

16 2. Kesalahan dalam pengambilan keputusan
Banyak kalangan usaha yang saat ini telah menggunakan bantuan Decision Support System (DSS) untuk mengambil keputusan-keputusan penting. Dalam bidang kedokteran, misalnya, keputusan dokter untuk melakukan tindakan operasi dapat saja ditentukan dengan menggunakan bantuan perangkat lunak tersebut. Dapat dibayangkan risiko yang mungkin dapat ditimbulkan apabila sang dokter salah memasukkan data pasien ke sistem TI yang digunakan. Taruhannya bukan lagi material, melainkan nyawa seseorang.

17 3. Risiko kebocoran data Data bagi sebagian besar sektor usaha merupakan sumber daya yang tidak ternilai harganya. Informasi mengenai pelanggan, misalnya, bisa jadi merupakan kekuatan daya saing suatu perusahaan. Bayangkan, Anda seorang direktur suatu perusahaan telekomunikasi yang memiliki 5 juta pelanggan. Tanpa Anda sadari, satu persatu pelanggan perusahaan Anda telah beralih ke perusahaan pesaing. Setelah melalui proses audit, akhirnya diketahui bahwa data pelanggan perusahaan Anda telah jatuh ke tangan perusahaan pesaing. Berdasarkan data tersebut, perusahaan pesaing kemudian menawarkan jasa yang sama dengan jasa yang Anda tawarkan ke pelanggan yang sama, tetapi dengan biaya yang sedikit lebih rendah. Kebocoran data ini tidak saja berdampak terhadap kehilangan sejumlah pelanggan, akan tetapi lebih jauh lagi bisa mengganggu kelangsungan hidup perusahaan Anda.

18 4. Penyalahgunaan Komputer (1)
Alasan lain perlunya dilakukan audit TI adalah tingginya tingkat penyalahgunaan komputer. Pihak-pihak yang dapat melakukan kejahatan komputer dikenal dengan nama hackers dan crackers. Hackers merupakan orang yang dengan sengaja memasuki suatu sistem teknologi informasi secara tidak sah. Biasanya mereka melakukan aktivitas hacking untuk kebanggaan diri sendiri atau kelompoknnya, tanpa bermaksud merusak atau mengambil keuntungan atas tindakannya itu. Sedang, Crackers di sisi lain melakukan aktivitasnya dengan tujuan mengambil keuntungan sebanyak-banyaknya dari tindakannya tersebut, misalnya mengubah atau merusak atau, bahkan, menghancurkan sistem komputer.

19 4. Penyalahgunaan Komputer (2)
Kejahatan komputer juga bisa dilakukan oleh karyawan yang merasa tidak puas dengan kebijakan perusahaan, baik yang saat ini masih aktif bekerja di perusahaan yang bersangkutan maupun yang telah keluar. Sayangnya, tidak semua perusahaan siap mengantisipasi adanya risiko-risiko tersebut. Survei yang dilakukan oleh Ernst & Young (Global Information Security Survey 2003) menemukan bahwa 34% dari total perusahaan yang ada saat ini tidak memiliki mekanisme yang memadai untuk mendeteksi kemungkinanan adanya serangan terhadap sistem mereka. Lebih dari 33%, bahkan menyatakan bahwa mereka tidak memiliki kemampuan yang cukup untuk menindaklanjuti ancaman-ancaman yang mungkin timbul.

20 5. Kerugian akibat kesalahan proses perhitungan
TI digunakan untuk melakukan perhitungan yang rumit. Salah satu alasan digunakannya TI adalah kemampuannya untuk mengolah data secara cepat dan akurat (misalnya, penghitungan bunga bank). Penggunaan TI untuk mendukung proses penghitungan bunga bukannya tanpa risiko kesalahan. Risiko ini akan semakin besar, misalnya ketika bank tersebut baru saja berganti sistem dari sistem yang sebelumnya mereka gunakan. Tanpa adanya mekanisme pengembangan sistem yang memadai, mungkin saja terjadi kesalahan penghitungan atau, bahkan, fraud. Kesalahan yang ditimbulkan oleh sistem baru ini akan sulit terdeteksi tanpa adanya audit terhadap sistem tersebut.

21 6. Tingginya nilai investasi perangkat keras dan perangkat lunak komputer
Investasi yang dikeluarkan untuk suatu proyek TI seringkali sangat besar. Bahkan, dari penelitian yang pernah dilakukan (Willcocks, 1991), tercatat bahwa 20% pengeluaran TI terbuang secara percuma, 30-40% proyek TI tidak mendatangkan keuntungan. Selan itu, sulit mengukur manfaat yang dapat diberikan TI. Untuk Indonesia , alokasi anggaran untuk investasi di bidang TI relatif tidak lebih besar dibandingkan di luar negeri. Di Indonesia besarnya alokasi anggaran berkisar 5-10%, sementara di luar negeri bisa mencapai 30% dari total anggaran belanja perusahaan. Namun, bila dilihat dari nilai absolut besarnya Rupiah yang dikeluarkan, jumlahnya sangat besar. Perusahaan-perusahaan besar nasional, seperti Garuda Indonesia, Telkom, dan Pertamina semuanya, saat ini, sudah menerapkan sistem ERP (Enterprise Resource Planning) dan bahkan berbagai aplikasi lainnya yang melibatkan investasi yang signifikan.

22 Jenis Audit pada TI Jenis audit pada Teknologi Informasi terbagi 2(dua), yaitu : Audit around the computer Audit through the computer

23 Audit around the computer
Hanya memeriksa dari sisi user saja dan pada masukan dan keluaranya tanpa memeriksa lebih terhadap program atau sistemnya

24 Audit around the computer dilakukan pada saat:
Dokumen sumber tersedia dalam bentuk kertas (bahasa non-mesin), artinya masih kasat mata dan dilihat secara visual Dokumen-dokumen disimpan dalam file dengan cara yang mudah ditemukan. Keluaran dapat diperoleh dari daftar yang terinci dan auditor mudah menelusuri setiap transaksi dari dokumen sumber kepada keluaran dan sebaliknya.

25 Kelebihan dan Kelemahan dari metode Audit Around The Computer
Proses audit tidak memakan waktu lama karena hanya melakukan audit tidak secara mendalam. Tidak harus mengetahui seluruh proses penanganan sistem Umumnya database mencakup jumlah data yang banyak dan sulit untuk ditelusuri secara manual Tidak membuat auditor memahami sistem komputer lebih baik Mengabaikan pengendalian sistem, sehingga rawan terhadap kesalahan dan kelemahan potensial dalam sistem  Lebih berkenaan dengan hal yang lalu daripada audit yang preventif Kemampuan komputer sebagai fasilitas penunjang audit tidak terpakai Tidak mencakup keseluruhan maksud dan tujuan audit

26 AUDIT THROUGH THE COMPUTER
Dimana auditor selain memeriksa data masukan dan keluaran, juga melakukan uji coba proses program dan sistemnya atau yang disebut dengan white box, sehinga auditor merasakan sendiri langkah demi langkah pelaksanaan sistem serta mengetahui sistem bagaimana sistem dijalankan pada proses tertentu

27 Audit around the computer dilakukan pada saat
Sistem aplikasi komputer memproses input yang cukup besar dan menghasilkan output yang cukup besar pula, sehingga memperluas audit untuk meneliti keabsahannya Bagian penting dari struktur pengendalian intern perusahaan terdapat di dalam komputerisasi yang digunakan

28 Kelebihan dan Kelemahan dari metode Audit Through The Computer
Dapat meningkatkan kekuatan pengujian system aplikasi secara efektif Dapat memeriksa secara langsung logika pemprosesan dan system aplikasi Kemampuan system dapat menangani perubahan dan kemungkinan kehilangan yang terjadi pada masa yang akan dating Auditor memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian terhadap system computer Auditor merasa lebih yakin terhadap kebenaran hasil kerjanya

29 Kelebihan dan Kelemahan dari metode Audit Through The Computer
Biaya yang dibutuhkan relative tinggi karena jumlah jam kerja yang banyak untuk dapat lenih memahami struktur pengendalian intern dari pelaksanaan system aplikasi Butuh keahlian teknis yang mendalam untuk memahami cara kerja sistem

30 Perbedaan

31 Tahapan-tahapan dalam audit TI
Tahapan perencanaan, yang  menghasilkan suatu program audit yang didesain sedemikian rupa, sehingga pelaksanaannya akan berjalan efektif dan efisien, dan dilakukan oleh orang-orang yang kompeten, serta dapat diselesaikan dalam waktu sesuai yang disepakati. Pada tahap perencanaan ini penting sekali menilai aspek internal kontrol, yang mana dapat memberikan masukan terhadap aspek resiko, yang pada akhirnya akan menentukan luasnya pemeriksaan yang akan terlihat pada audit program. Pengumpulan bukti (evidence), pendokumentasian bukti tersebut dan mendiskusikan dengan auditee tentang temuan apabila jika ditemukan masalah yang memerlukan tindakan perbaikan dari auditee. Membuat laporan audit.

32 Siapa yang Melakukan Audit?
Siapakah sebaiknya yang melakukan audit sistem informasi? Audit sistem informasi dapat dilakukan sebagai bagian dari pengendalian internal yang dilakukan oleh fungsi TI. Tapi jika dibutuhkan opini publik tentang kesiapan sistem tersebut, audit dapat dilakukan dengan mengundang pihak ketiga (auditor independent) untuk melakukannya.