EVALUASI dan

AUDIT SISTEM
INFORMASI

1
EVALUASI SISTEM
INFORMASI
Evaluasi Sistem Informasi : usaha untuk
mengetahui kondisi nyata suatu
penyelenggaraan Sistem Informasi.
Dengan evaluasi maka capaian kegiatan
dapat diketahui dan tindakan lebih lanjut
dapat direncanakan untuk memperbaiki
kinerja suatu kegiatan.

2
 TUJUAN EVALUASI
SISTEM INFORMASI
• Perlunya diketahui efektivitas penyelenggaraan Sistem
Informasi
• Mengetahui kekuatan, kelemahan, peluang dan ancaman
pada SI
•

3
 MODEL EVALUASI
 TECHNOLOGY ACCEPTANCE MODEL
(TAM)
 TASK TECHNOLOGY FIT (TTF)
 END USER COMPUTING (EUC)
SATISFACTION
 HUMAN, ORGANIZATION AND
TECHNOLOGY FIT (HOT FIT)
 DELONE MCCLEAN

4
 TECHNOLOGY
ACCEPTANCE MODEL

5
END USER COMPUTING
SATISFACTION

6
TASK TECHNOLOGY FIT

7
HOT FIT

8
DELONE MCCLEAN

9
 TEKNIK EVALUASI
 METODE KUANITATIF
 METODE KUALITATIF

10
 METODE KUANTITATIF
 MENGGUNAKAN STATISTIK UNTUK
MEMBUKTIKAN BAHWA SUATU
VARIABEL DIPENGARUHI VARIABEL
YANG LAIN
 MENGGUNAKAN KUESIONER YANG
DIOLAH SECARA KUANTITATIF
 KEKUATANNYA TERLETAK PADA TES
STATISTIK
 WAWASAN SEMPIT DAN TAJAM

11
 METODE KUALITATIF
 MENGGUNAKAN WAWANCARA
 TIDAK HARUS PAKAI DATA STATISTIK
 UNTUK OBYEKTIF DILAKUKAN
TRIANGULASI
 WAWASAN KOMPREHENSIF DAN LUAS

12
PENGERTIAN AUDIT SECARA UMUM

 Audit adalah :
proses sistematis dan objektif dalam
memperoleh dan mengevaluasi bukti-bukti guna
memberikan asersi dan menilai seberapa jauh
suatu kegiatan sudah sesuai dengan kriteria
berlaku, dan mengkomunikasikan hasilnya
kepada pihak terkait.

13
Mengapa Audit Sistem
Informasi diperlukan?

14
 KEBUTUHAN AUDIT
 Kita seringkali sulit untuk dapat menjawab beberapa pertanyaan ini :
 1. Apakah aset Teknologi Informasi & Komunikasi (TIK) yang kita
miliki sudah dilindungi dengan layak dari risiko kerusakan, kehilangan,
kesalahan atau penyalahgunaan ?
 2. Apakah informasi yang diolah melalui TIK tersebut sudah dapat kita
yakini integritasnya (kelengkapan dan akurasi) ?
 3. Apakah solusi TIK yang kita kembangkan sudah dapat mencapai
tujuannya dan membantu pencapaian tujuan lembaga kita dengan
efektif ?
 4. Apakah sumber daya TIK yang kita miliki sudah dimanfaatkan
dengan efisien dan bertanggung jawab ?

15
6 Alasan Mengapa Audit TI Diperlukan
1. Kerugian akibat kehilangan data
2. Kesalahan dalam pengambilan keputusan
3. Risiko kebocoran data
4. Penyalahgunaan Komputer
5. Kerugian akibat kesalahan proses
perhitungan
6. Tingginya nilai investasi perangkat keras
dan perangkat lunak komputer
16
 1. Kerugian akibat kehilangan data
 data telah menjadi salah satu aset terpenting bagi suatu perusahaan.
 Bayangkan, jika Anda pimpinan perusahaan yang sebagian besar
penjualan yang Anda raih dilakukan dengan cara kredit dimana para
pembeli akan membayar tagihannya di kemudian hari. Untuk mencatat
penjualan, Anda menggunakan bantuan TI.
 Akibat terjadinya gangguan virus atau terjadi kebakaran pada ruangan
komputer yang Anda miliki, misalnya, maka seluruh data tagihan
tersebut hilang.
 Kehilangan data tersebut mungkin saja akan mengakibatkan
perusahaan Anda tidak dapat melakukan penagihan kepada para
pelanggan.
 Atau, kalaupun masih dapat dilakukan, waktu yang dibutuhkan menjadi
sangat lama karena Anda harus melakukan verifikasi manual atas
dokumen penjualan yang Anda miliki.

17
2. Kesalahan dalam pengambilan keputusan

 Banyak kalangan usaha yang saat ini telah menggunakan

bantuan Decision Support System (DSS) untuk
mengambil keputusan-keputusan penting.
 Dalam bidang kedokteran, misalnya, keputusan dokter
untuk melakukan tindakan operasi dapat saja ditentukan
dengan menggunakan bantuan perangkat lunak tersebut.
 Dapat dibayangkan risiko yang mungkin dapat
ditimbulkan apabila sang dokter salah memasukkan data
pasien ke sistem TI yang digunakan. Taruhannya bukan
lagi material, melainkan nyawa seseorang.

18
 3. Risiko kebocoran data
 Data bagi sebagian besar sektor usaha merupakan sumber daya yang
tidak ternilai harganya. Informasi mengenai pelanggan, misalnya, bisa
jadi merupakan kekuatan daya saing suatu perusahaan. Bayangkan,
Anda seorang direktur suatu perusahaan telekomunikasi yang memiliki
5 juta pelanggan. Tanpa Anda sadari, satu persatu pelanggan
perusahaan Anda telah beralih ke perusahaan pesaing.
 Setelah melalui proses audit, akhirnya diketahui bahwa data pelanggan
perusahaan Anda telah jatuh ke tangan perusahaan pesaing.
Berdasarkan data tersebut, perusahaan pesaing kemudian menawarkan
jasa yang sama dengan jasa yang Anda tawarkan ke pelanggan yang
sama, tetapi dengan biaya yang sedikit lebih rendah. Kebocoran data
ini tidak saja berdampak terhadap kehilangan sejumlah pelanggan, akan
tetapi lebih jauh lagi bisa mengganggu kelangsungan hidup perusahaan
Anda.

19
 4. Penyalahgunaan Komputer (1)
 Alasan lain perlunya dilakukan audit TI adalah tingginya
tingkat penyalahgunaan komputer.
 Pihak-pihak yang dapat melakukan kejahatan komputer
dikenal dengan nama hackers dan crackers.
 Hackers merupakan orang yang dengan sengaja memasuki
suatu sistem teknologi informasi secara tidak sah. Biasanya
mereka melakukan aktivitas hacking untuk kebanggaan diri
sendiri atau kelompoknnya, tanpa bermaksud merusak atau
mengambil keuntungan atas tindakannya itu.
 Sedang, Crackers di sisi lain melakukan aktivitasnya dengan
tujuan mengambil keuntungan sebanyak-banyaknya dari
tindakannya tersebut, misalnya mengubah atau merusak atau,
bahkan, menghancurkan sistem komputer.

20
 4. Penyalahgunaan Komputer (2)
 Kejahatan komputer juga bisa dilakukan oleh karyawan yang
merasa tidak puas dengan kebijakan perusahaan, baik yang saat
ini masih aktif bekerja di perusahaan yang bersangkutan
maupun yang telah keluar. Sayangnya, tidak semua perusahaan
siap mengantisipasi adanya risiko-risiko tersebut.
 Survei yang dilakukan oleh Ernst & Young (Global
Information Security Survey 2003) menemukan bahwa 34%
dari total perusahaan yang ada saat ini tidak memiliki
mekanisme yang memadai untuk mendeteksi kemungkinanan
adanya serangan terhadap sistem mereka. Lebih dari 33%,
bahkan menyatakan bahwa mereka tidak memiliki kemampuan
yang cukup untuk menindaklanjuti ancaman-ancaman yang
mungkin timbul.

21
 5. Kerugian akibat kesalahan proses
perhitungan
 TI digunakan untuk melakukan perhitungan yang rumit.
 Salah satu alasan digunakannya TI adalah kemampuannya
untuk mengolah data secara cepat dan akurat (misalnya,
penghitungan bunga bank).
 Penggunaan TI untuk mendukung proses penghitungan bunga
bukannya tanpa risiko kesalahan.
 Risiko ini akan semakin besar, misalnya ketika bank tersebut
baru saja berganti sistem dari sistem yang sebelumnya mereka
gunakan. Tanpa adanya mekanisme pengembangan sistem
yang memadai, mungkin saja terjadi kesalahan penghitungan
atau, bahkan, fraud. Kesalahan yang ditimbulkan oleh sistem
baru ini akan sulit terdeteksi tanpa adanya audit terhadap
sistem tersebut.

22
 6. Tingginya nilai investasi perangkat keras
dan perangkat lunak komputer
 Investasi yang dikeluarkan untuk suatu proyek TI seringkali sangat
besar. Bahkan, dari penelitian yang pernah dilakukan (Willcocks, 1991),
tercatat bahwa 20% pengeluaran TI terbuang secara percuma, 30-40%
proyek TI tidak mendatangkan keuntungan. Selan itu, sulit mengukur
manfaat yang dapat diberikan TI.
 Untuk Indonesia , alokasi anggaran untuk investasi di bidang TI relatif
tidak lebih besar dibandingkan di luar negeri. Di Indonesia besarnya
alokasi anggaran berkisar 5-10%, sementara di luar negeri bisa
mencapai 30% dari total anggaran belanja perusahaan. Namun, bila
dilihat dari nilai absolut besarnya Rupiah yang dikeluarkan, jumlahnya
sangat besar. Perusahaan-perusahaan besar nasional, seperti Garuda
Indonesia, Telkom, dan Pertamina semuanya, saat ini, sudah
menerapkan sistem ERP (Enterprise Resource Planning) dan bahkan
berbagai aplikasi lainnya yang melibatkan investasi yang signifikan.

23
 SERTIFIKASI
Pendidikan yang mendapat pengakuan
internasional dan masyarakat
 CISA (Certified Information System Auditor)

 CPA (Certified Public Accountant)

 CIA (Certified Internal Auditor)

 CITP (Certified Information Technology

Professional)
 PIA (Professional Internal Auditor)

24
 Definisi Audit Sistem Informasi
 suatu proses pengumpulan dan pengevalusian bukti-
bukti yang dilakukan oleh pihak yang independen
dan kompeten untuk mengetahui apakah suatu
sistem informasi dan sumber daya terkait, secara
memadai telah dapat :
 melindungi aset,
 menjaga integritas dan ketersediaan sistem dan data,
 menyediakan informasi yang relevan dan handal,
 mencapai tujuan organisasi dengan efektif,
 menggunakan sumber daya dengan efisien,

25
Tahapan-tahapan dalam audit TI
 tahapan perencanaan, yang menghasilkan suatu program audit
yang didesain sedemikian rupa, sehingga pelaksanaannya akan
berjalan efektif dan efisien, dan dilakukan oleh orang-orang
yang kompeten, serta dapat diselesaikan dalam waktu sesuai
yang disepakati. Pada tahap perencanaan ini penting sekali
menilai aspek internal kontrol, yang mana dapat memberikan
masukan terhadap aspek resiko, yang pada akhirnya akan
menentukan luasnya pemeriksaan yang akan terlihat pada audit
program.
 pengumpulan bukti (evidence), pendokumentasian bukti
tersebut dan mendiskusikan dengan auditee tentang temuan
apabila jika ditemukan masalah yang memerlukan tindakan
perbaikan dari auditee.
 membuat laporan audit.

26
 PERENCANAAN
 Survei pendahuluan
 memperoleh gambaran umum dari lingkungan TIK
yang akan diaudit.
 pahami seluruh sumber daya TIK
 infrastruktur, aplikasi, informasi, personil – yang
termasuk ke dalam lingkup audit
 Pahami sistem pengendalian intern TIK
 struktur organisasi, kebijakan, prosedur, standar,
parameter, dan alat bantu kendali lainnya.

27
 PENGUMPULAN BUKTI
 lakukan analisis risiko pendahuluan
 Jika layak: melakukan pengujian dari pelaksanaan
kendali-kendali tersebut
 Jika tidak layak: lakukan pengujian terinci terhadap
risiko TIK secara mendalam (dengan jumlah sampel
yang cukup besar).

28
 PENGUMPULAN BUKTI
 lakukan pengujian pengendalian intern TIK
 Untuk memperoleh bukti yang memadai bahwa
pengendalian intern TIK telah dilaksanakan sesuai
rancangannya
 maka selanjutnya auditor akan melakukan pengujian terinci atas
risiko TIK secara terbatas (dengan jumlah sampel yang
terbatas).
 jika hasil pengujian pengendalian intern TIK
menunjukkan bahwa pelaksanaan pengendalian intern
TIK tidak sesuai dengan rancangannya
 maka auditor akan melakukan pengujian terinci risiko TIK
secara mendalam.

29
 PELAPORAN
 Susun laporan audit sistem informasi yang
memuat kesimpulan audit beserta tanggapan dari
pihak yang diaudit atas rekomendasi yang
disampaikan oleh auditor dalam rangka
peningkatan pengendalian intern TIK
 Berdasarkan Bukti-bukti yang diperoleh auditor dari
hasil analisis risiko dan rancangan kendali serta
pengujian pengendalian intern TIK dan pengujian
terinci risiko TIK

30
 Cara Audit Sistem Informasi
 Uji Compliance/Conformance (Kepatuhan/Kesesuaian)
– difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian,
yaitu : Confidentiality (Kerahasiaan), Integrity (Integritas), Availability
(Ketersediaan) dan Compliance (Kepatuhan).
 Uji Substansi/Performance (Kepatutan/Kinerja)
 difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu
: Effectiveness (Efektifitas), Efficiency (Efisiensi), Reliability
(Kehandalan).

31
Lingkup Audit Sistem Informasi
 pada umumnya difokuskan kepada seluruh
sumber daya TIK yang ada, yaitu :
 Aplikasi,
 Informasi,

 Infrastruktur dan

 Personil.

32
 Standar Audit Teknologi
Informasi
 Adalah standar yang diterbitkan oleh ISACA yaitu ISACA IS
Auditing Standard.
 Selain itu ISACA juga menerbitkan IS Auditing Guidance dan IS
Auditing Procedure.
 Standar adalah sesuatu yang harus dipenuhi oleh IS Auditor.
 Guidelines memberikan penjelasan bagaimana auditor dapat
memenuhi standar dalam berbagai penugasan audit.
 Prosedur memberikan contoh langkah-langkah yang perlu
dilalui auditor dalam penugasan audit tertentu sehingga sesuai
dengan standar.
 IS auditor harus bisa menggunakan judgement profesional ketika
menggunakan guidance dan procedure.

33
 Standar yang aplicable untuk audit TI
adalah terdiri dari 11 standar yaitu;
 S1. Audit charter,
 S2. Audit Independent,
 S3. Profesional Ethic and standard,
 S4.Profesional competence,
 S5. Planning,
 S6. Performance of Audit Work,
 S7. Reporting.
 S8.Follow-Up Activity,
 F9. Irregularities and Irregular Act,
 S10. IT Governance dan
 S11. Use of Risk Assestment in Audit Planning.

34
 IS Auditing Guideline terdiri dari 32 guidance dalam mengaudit TI
yang mengcover petunjuk mengaudit area-area penting.
 IS Audit Procedure terdiri dari 9 prosedur yang menunjukan
langkah-langkah yang dilakukan auditor dalam penugasan
audit yang spesifik seperti prosedur melakukan bagaimana
melakukan risk assestment, mengetes intrution detection system,
menganalisis firewall dan sebagainya.
 Jika dibandingkan dengan audit keuangan, maka standar dari
Isaca ini adalah setara dengan Standar Profesional Akuntan
Publik (SPAP) yaitu menyangkut tata cara bagaimana audit
dilakukan.
 Sedangkan bagaimana kondisi apa yang diaudit diberikan
penilaian berdasarkan standar tersendiri yaitu Cobit.

35
 Hasil Audit?
 Auditor Sistem Informasi pada dasarnya melakukan
penilaian (assurance) tentang kesiapan sistem berdasarkan
kriteria tertentu.
 Kemudian berdasarkan pengujian Auditor akan
memberikan rekomendasi perbaikan yang diperlukan.
 Adakalanya judgement diperlukan berdasarkan kriteria
yang disepakati bersama.
 Penanggung jawab sistem yang diaudit tetap berada pada
pengelola sistem, bukan di tangan auditor.
 Atas rekomendasi yang diberikan tentunya diharapkan
ada tindak lanjut perbaikan bagi manajemen.

36
 Hasil Audit?
 Di AS hasil audit sistem informasi terhadap
bank harus dipublikasikan kepada publik.
Dengan demikian pengguna jasa, nasabah
mengetahui kondisi layanan sistem informasi
pada bank tersebut. Jika sebuah hasil audit TI
perlu dipublikasikan, tentunya perlu perangkat
hukum yang mengatur tata cara pelaporan
tersebut.

37
 Siapa yang Melakukan Audit?
 Siapakah sebaiknya yang melakukan audit sistem
informasi?
 Audit sistem informasi dapat dilakukan sebagai
bagian dari pengendalian internal yang dilakukan
oleh fungsi TI.
 Tapi jika dibutuhkan opini publik tentang kesiapan
sistem tersebut, audit dapat dilakukan dengan
mengundang pihak ketiga (auditor independent)
untuk melakukannya.

38