Pengelolaan Sistem Informasi

Audit Sistem Informasi

KPK adalah lembaga negara yang bertugas untuk
menjalankan amanat undang-undang. "KPK
bukan LSM (Iembaga swadaya masyarakat),
Komisi Pemberantasan Korupsi (KPK) adalah
lembaga negara yang bersifat independen dan
berkaitan dengan kekuasaan kehakiman tetapi
tidak berada di bawah kekuasaan kehakiman.

Sumber: http://id.shvoong.com/law-and-
politics/constitutional-law/2065503-analisis-
status-dan-kedudukan-kpk/#ixzz1NM2FgEgP
TUGAS dan WEWENAng
Komisi Pemberantasan Korupsi mempunyai tugas:
koordinasi dengan instansi yang berwenang melakukan pemberantasan tindak
pidana korupsi;
supervisi terhadap instansi yang berwenang melakukan pemberantasan tindak
pidana korupsi;
melakukan penyelidikan, penyidikan, dan penuntutan terhadap tindak pidana
korupsi;
melakukan tindakan-tindakan pencegahan tindak pidana korupsi; dan
melakukan monitor terhadap penyelenggaraan pemerintahan negara.
Dalam melaksanakan tugas koordinasi, Komisi Pemberantasan Korupsi berwenang :
mengkoordinasikan penyelidikan, penyidikan, dan penuntutan tindak pidana
korupsi;
menetapkan sistem pelaporan dalam kegiatan pemberantasan tindak pidana
korupsi;
meminta informasi tentang kegiatan pemberantasan tindak pidana korupsi
kepada instansi yang terkait;
melaksanakan dengar pendapat atau pertemuan dengan instansi yang berwenang
melakukan pemberantasan tindak pidana korupsi; dan
meminta laporan instansi terkait mengenai pencegahan tindak pidana korupsi.

PERLUKAH DILAKUKAN
EVALUASI DAN PENGAWASAN
TERHADAP PENERAPAN SI/TI!
MENGAPA?????
Karakteristik Sistem
Kumpulan elemen, terintegrasi, ada tujuan
Terdiri dari input, proses, output
Perlu pengendalian
Ada pengguna
Ada batasan

Informasi Mc Leod
Informatiois processed data or meaningful data
Kualitas Informasi
Authenticity
Accuracy
Completeness
Uniqueness
Timeliness
Relevance
Kualitas Informasi - 2
Comprehensibility
Precision
Conciseness
Informativeness

Sistem Informasi
Sekumpulan elemen, terintegrasi, bertujuan
untuk mengolah data menjadi informasi

United Kingdom Academy of Information
System :
the means by which people and organization,
utilizing technology, gather store, use and
disseminate information.
Definisi Audit
Menurut Mulyadi :
Suatu proses sistematik untuk memperoleh dan
mengevaluasi bukti secara obyektif mengenai
pernyataan-pernyataan tentang kegiatan dan
kejadian ekonomi, dengan tujuan untuk
menetapkan tingkat kesesuaian antara
pernyataan-pernyataan tersebut dengan kriteria
yang telah ditetapkan, serta penyampaian hasil-
hasilnya kepada pemakai yang berkepentingan.
Definisi Audit
Audit teknologi informasi atau IT (information
technology) audit atau juga dikenal sebagai audit
sistem informasi (information system audit)
merupakan aktivitas pengujian terhadap
pengendalian dari kelompok-kelompok unit
infrastruktur dari sebuah sistem/teknologi
informasi
Faktor-faktor yang harus diperhatikan dalam
melaksanakan audit
Dalam melaksanakan audit faktor-faktor berikut harus
diperhatikan:
Dibutuhkan informasi yang dapat diukur dan sejumlah kriteria
(standar) yang dapat digunakan sebagai panduan untuk
mengevaluasi informasi tersebut,
Penetapan entitas ekonomi dan periode waktu yang diaudit harus
jelas untuk menentukan lingkup tanggungjawab auditor,
Bahan bukti harus diperoleh dalam jumlah dan kualitas yang cukup
untuk memenuhi tujuan audit,
Kemampuan auditor memahami kriteria yang digunakan serta sikap
independen dalam mengumpulkan bahan bukti yang diperlukan
untuk mendukung kesimpulan yang akan diambilnya.
Tipe-tipe Audit secara umum
Audit laporan keuangan (financial statement audit). Audit laporan
keuangan adalah audit yang dilakukan oleh auditor eksternal maupun
internal terhadap laporan keuangan auditee untuk memberikan pendapat
apakah laporan keuangan tersebut disajikan sesuai dengan kriteria-kriteria
yang telah ditetapkan. Hasil audit lalu dibagikan kepada pihak luar
perusahaan seperti kreditor, pemegang saham, dan kantor pelayanan pajak.
Audit kepatuhan (compliance audit). Audit ini bertujuan untuk menentukan
apakah yang diperiksa sesuai dengan kondisi, peratuan, dan undang-
undang tertentu. Kriteria-kriteria yang ditetapkan dalam audit kepatuhan
berasal dari sumber-sumber yang berbeda. Contohnya ia mungkin
bersumber dari manajemen dalam bentuk prosedur-prosedur pengendalian
internal. Audit kepatuhan dapat dilakukan oleh auditor internal maupun
eksternal.
Audit operasional (operational audit). Audit operasional merupakan
penelahaan secara sistematik aktivitas operasi organisasi dalam
hubungannya dengan tujuan tertentu. Dalam audit operasional, auditor
diharapkan melakukan pengamatan yang obyektif dan analisis yang
komprehensif terhadap operasional-operasional tertentu.
Jenis Audit (IT)
System Audit
Audit terhadap sistem terdokumentasi untuk
memastikan sudah memenuhi standar nasional atau
internasional
Compliance Audit
Untuk menguji efektifitas implementasi dari kebijakan,
prosedur, kontrol dan unsur hukum yang lain
Product / Service Audit
Untuk menguji suatu produk atau layanan telah sesuai
seperti spesifikasi yang telah ditentukan dan cocok
digunakan
Tujuan audit operasional adalah
untuk :
Menilai kinerja, kinerja dibandingkan dengan kebijakan-
kebijakan, standar-standar, dan sasaran-sasaran yang
ditetapkan oleh manajemen
Mengidentifikasikan peluang dan
Memberikan rekomendasi untuk perbaikan atau
tindakan lebih lanjut. Pihak-pihak yang mungkin
meminta dilakukannya audit operasional adalah
manajemen dan pihak ketiga. Hasil audit operasional
diserahkan kepada pihak yang meminta
dilaksanakannya audit tersebut.

IT Audit?
Proses pengumpulan dan evaluasi
fakta/bukti untuk menentukan apakah
sistem (terkomputerisasi):
Menjaga aset
Memelihara integritas data
Memampukan komunikasi & akses informasi
Mencapai tujuan operasional secara efektif
Mengkonsumsi sumber daya secara efisien


Keuntungan Audit
Menilai keefektifan aktivitas aktifitas dokumentasi
dalam organisasi
Memonitor kesesuaian dengan kebijakan, sistem,
prosedur dan undang-undang perusahaan
Mengukur tingkat efektifitas dari sistem
Mengidentifikasi kelemahan di sistem yang
mungkin mengakibatkan ketidaksesuaian di masa
datang
Menyediakan informasi untuk proses peningkatan
Meningkatkan saling memahami antar departemen
dan antar individu
Melaporkan hasil tinjauan dan tindakan
berdasarkan resiko ke Manajemen
Audit SI
Audit sebuah system teknologi informasi untuk
saat ini adalah sebuah keharusan. Audit perlu
dilakukan agar sebuat system mampu memenuhi
syarat IT Governance. Audit system informasi
adalah cara untuk melakukan pengujian terhadap
system informasi yang ada di dalam organisasi
untuk mengetahui apakah system informasi yang
dimiliki telah sesuai dengan visi, misi dan tujuan
organisasi, menguji performa system informasi
dan untuk mendeteksi resiko-resiko dan efek
potensial yang mungkin timbul.
Metodologi Audit IT
Dalam pelaksanaanya, auditor TI mengumpulkan bukti-
bukti yang memadai melalui berbagai teknik termasuk
survey, wawancara, observasi dan review dokumentasi.
Satu hal yang unik, bukti-bukti audit yang diambil oleh
auditor biasanya mencakup pula bukti elektronis.
Biasanya, auditor TI menerapkan teknik audit
berbantuan computer, disebut juga dengan CAAT
(Computer Aided Auditing Technique). Teknik ini
digunakan untuk menganalisa data, misalnya saja data
transaksi penjualan, pembelian, transaksi aktivitas
persediaan, aktivitas nasabah, dan lain-lain.

Langkah dasar Audit SI
Audit dalam konteks teknologi informasi adalah memeriksa
apakah sistem komputer berjalan semestinya. Tujuh langkah
proses audit:
Implementasikan sebuah strategi audit berbasis manajemen
risiko serta control practice yang dapat disepakati semua
pihak.
Tetapkan langkah-langkah audit yang rinci.
Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta
bermanfaat.
Buatlah laporan beserta kesimpulannya berdasarkan fakta
yang dikumpulkan.
Telaah apakah tujuan audit tercapai.
Sampaikan laporan kepada pihak yang berkepentingan.
Pastikan bahwa organisasi mengimplementasikan managemen
risiko serta control practice.

Tahap-tahap Audit Sistem Informasi
Audit Sistem Informasi dapat dilakukan dengan
berbagai macam tahap-tahap. Tahap-tahap
audit terdiri dari 5 tahap sebagai berikut :
Tahap pemeriksaan pendahuluan
Tahap pemeriksaan rinci.
Tahap pengujian kesesuaian.
Tahap pengujian kebenaran bukti.
Tahap penilaian secara umum atas hasil
pengujian.

Siapa yang Diaudit
Management
IT Manager
IT Specialist (network, database, system
analyst, programmer, dll.)
User

Yang Melakukan Audit
Tergantung Tujuan Audit
Internal Audit (first party audit)
Dilakukan oleh atau atas nama perusahaan sendiri
Biasanya untuk management review atau tujuan
internal perusahaan
Lembaga independen di luar perusahaan
Second party audit
Dilakukan oleh pihak yang memiliki kepentingan thd
perusahaan
Third party audit
Dilakukan oleh pihak independen dari luar perusahaan.
Misalnya untuk sertifikasi (ISO 9001, BS7799 dll).
Tugas Auditor IT
Memastikan sisi-sisi penerapan IT memiliki
kontrol yang diperlukan
Memastikan kontrol tersebut diterapkan
dengan baik sesuai yang diharapkan

Yang Dilakukan
Persiapan
Review Dokumen
Persiapan kegiatan on-site audit
Melakukan kegiatan on-site audit
Persiapan, persetujuan dan distribusi
laporan audit
Follow up audit

Output kegiatan Audit
Hasil akhir adalah berupa laporan yang berisi:
Ruang Lingkup audit
Metodologi
Temuan-temuan
Ketidaksesuaian (sifat ketidaksesuaian, bukti2
pendukung, syarat yg tdk dipenuhi, lokasi, tingkat
ketidaksesuaian)
Kesimpulan (tingkat kesesuaian dengan kriteria
audit, efektifitas implementasi, pemeliharaan dan
pengembangan sistem manajemen, rekomendasi)
Ketrampilan yang dibutuhkan
Audit skill : sampling, komunikasi, melakukan
interview, mengajukan pertanyaan, mencatat
Generic knowledge : pengetahuan mengenai
prinsip2 audit, prosedur dan teknik, sistem
manajemen dan dokumen2 referensi, organisasi,
peraturan2 yang berlaku
Specific knowledge : background IT/IS, bisnis,
specialist technical skill, pengalaman audit sistem
manajemen, perundangan

Kebutuhan auditor IT
Internal Audit -> setiap perusahaan
memerlukan
Perusahaan penyedia layanan audit
Perusahaan penyedia sertifikasi

Peluang
Ketergantungan terhadap IT semakin besar
sehingga muncul kebutuhan untuk
melakukan audit IT
Auditor IT yang sekarang banyak yang
berasal bukan dari bidang IT
Banyak permasalahan (bisnis) dalam
pengelolaan IT
Prinsip-prinsip Audit
Ethical conduct
Berdasar pada profesionalisme, kejujuran,
integritas, kerahasiaan dan kebijaksanaan
Fair Presentation
Kewajiban melaporkan secara jujur dan akurat
Due professional care
Implementasi dari kesungguhan dan
pertimbangan yang diberikan
Independence
Evidence-base approach

Peraturan dan Standar Yang Biasa
Dipakai
ISO / IEC 17799 and BS7799
Control Objectives for Information and related
Technology (CobiT)
ISO TR 13335
IT Baseline Protection Manual
ITSEC / Common Criteria
Federal Information Processing Standard 140-1/2
(FIPS 140-1/2)
The Sicheres Internet Task Force [Task Force
Sicheres Internet]
The quality seal and product audit scheme operated
by the Schleswig-Holstein Independent State Centre
for Data Privacy Protection (ULD)
ISO 9000
Pentingnya Evaluasi
Dana yang dibutuhkan besar
Investasi yang dilakukan tidak langsung terlihat
hasilnya
Manfaat bersifat intangible
Pandangan pengguna terhadap TI berbeda-beda
Hanya 9% dari average performing companies
yang menggunakan sistem informasi sebagai
bahan analisa/forecasting
Tantangan Dalam Evaluasi TI
Manfaat TI yang intangible
Manfaat baru dirasakan dalam jangka panjang
Sulit untuk mengukur secara kuantitatif
Teori yang ada tidak mencukupi
Ruang lingkup sistem sulit ditentukan
Too narrow
Too general

Pengukuran Kelayakan Biaya
Sulit dilakukan,
Beberapa aspeknya:
Teknis
Ekonomis
Operasional
Legal
Non ekonomis
Biaya Pengadaan TI
Pengadaan mesin (hardware, software)
Pelatihan brainware
Evaluasi Biaya
Bila investasi ditujukan untuk diferensiasi
Apakah TI dapat adding information pada produk
Apakah TI dapat mempermudah proses transaksi
Apakah proses bisnis dapat terhindar dari
kesalahan
Evaluasi Biaya - 2
Bila strategi lebih pada cost leadership
Apakah aplikasi TI akan langsung menurunkan
cost
Apakah terjadi penghematan tenga kerja

Penentuan Target Perbaikan
Kurang Baik:
Meningkatkan laba
Mengurangi kesalahan
Meningkatkan motivasi personil
Meningkatkan kemampuan bersaing
Baik:
Meningkatkan ROI sebesar 1% pada akhir tahun
Menurunkan tingkat umur piutan dari 3 bulan
menjadi 2 bulan.
Meningkatkan keterampilan staf, berdasar survey job
statisfaction pada akhir tahun ini.

Kualitas Sistem Informasi
Dari Sudut Pandang Pengguna
Efektif, sebagai bahan analisa, dan memberikan
alternatif
Efesien, mesin dan
Ekonomisbrainware




Kualitas Sistem Informasi - 2

Layak secara teknis, legal, operasional, sesuai
yang jadwal
Terdiri dari sub sistem yang kecil dan mudah
dikelola
Ada dokumentasi, user manual
Program
User interface baik

Faktor Keberhasilan Implementasi
Organizational Fit
Dukungan management
Process of change management
Unfreezing
Moving
Refreezing
Peran Pengguna

Keberhasilan Implementasi - 2
Motivated and trained user
Tingkat kompleksitas dan resiko
Ukuran Kesuksesan Sistem Informasi
Tingkat Kegunaan Sistem
Kepuasan pelanggan
Tingkat pencapaian tujuan
Kualitas Informasi