Pengelolaan

Sistem Informasi

Audit Sistem
Informasi
PERLUKAH DILAKUKAN EVALUASI DAN
PENGAWASAN TERHADAP PENERAPAN
SISTEM ?????

MENGAPA?????
Karakteristik SISTEM
Informasi – Raymond Mc Leod, Information System (1993)

• Information is processed data or meaningful

data

• Informasi yaitu data yang diproses atau data

yang memiliki arti
 Kualitas Informasi
informasi yang berkualitas harus mengandung unsur-unsur

• Authenticity /bisa dipercaya/orisinil

• Accuracy/akurat
• Completeness/lengkap
• Uniqueness/unik-memiliki ciri tersendiri
• Timeliness/berurutan - runtut
• Relevance/relevan – berkaitan
• Comprehensibility/mudah dimengerti
• Precision/ketepatan
• Conciseness/konsistensi
• Informativeness/menyapaikan pesan
Sistem Informasi
• Sekumpulan elemen, terintegrasi, bertujuan
untuk mengolah data menjadi informasi
• United Kingdom Academy of Information System :
the means by which people and organization, utilizing
technology, gather store, use and disseminate
information.
M
Definisi Audit
Menurut Mulyadi :
“Suatu proses sistematik untuk memperoleh dan mengevaluasi
bukti secara obyektif mengenai pernyataan-pernyataan tentang
kegiatan dan kejadian ekonomi, dengan tujuan untuk
menetapkan tingkat kesesuaian antara pernyataan-pernyataan
tersebut dengan kriteria yang telah ditetapkan, serta penyampaian
hasil-hasilnya kepada pemakai yang berkepentingan”.
Definisi Audit Sistem Informasi
Audit teknologi informasi atau
IT (information technology)
audit atau juga dikenal sebagai
audit sistem informasi
(information system audit)
merupakan aktivitas
pengujian terhadap
pengendalian dari
kelompok-kelompok unit
infrastruktur dari sebuah
sistem/teknologi
informasi
FAKTOR-FAKTOR YANG HARUS DIPERHATIKAN
DALAM MELAKSANAKAN AUDIT

Dalam melaksanakan audit faktor-faktor berikut harus

diperhatikan:
 Dibutuhkan informasi yang dapat diukur dan sejumlah
kriteria (standar) yang dapat digunakan sebagai panduan
untuk mengevaluasi informasi tersebut,
 Penetapan entitas ekonomi dan periode waktu yang diaudit
harus jelas untuk menentukan lingkup tanggungjawab
auditor,
 Bahan bukti harus diperoleh dalam jumlah dan kualitas
yang cukup untuk memenuhi tujuan audit,
 Kemampuan auditor memahami kriteria yang digunakan
serta sikap independen dalam mengumpulkan bahan
bukti yang diperlukan untuk mendukung kesimpulan yang
akan diambilnya.
 TIPE-TIPE AUDIT SECARA UMUM
1. Audit laporan keuangan (financial statement audit).
Audit yang dilakukan oleh auditor eksternal maupun internal
terhadap laporan keuangan auditee untuk memberikan pendapat
apakah laporan keuangan tersebut disajikan sesuai dengan
kriteria-kriteria yang telah ditetapkan.

2. Audit kepatuhan (compliance audit).

Audit ini bertujuan untuk menentukan apakah yang
diperiksa sesuai dengan kondisi, peratuan, dan
undang-undang tertentu.

3. Audit operasional (operational audit).

Audit operasional merupakan penelahaan secara sistematik
aktivitas operasi organisasi dalam hubungannya dengan
tujuan tertentu. Dalam audit operasional, auditor diharapkan
melakukan pengamatan yang obyektif dan analisis yang
komprehensif terhadap operasional-operasional tertentu.
Jenis Audit (IT)
System Audit
 Audit terhadap sistem terdokumentasi
untuk memastikan sudah memenuhi
standar nasional atau internasional
Compliance Audit
 Untuk menguji efektifitas
implementasi dari kebijakan,
prosedur, kontrol dan unsur hukum
yang lain
Product / Service Audit
 Untuk menguji suatu produk atau
layanan telah sesuai seperti spesifikasi
yang telah ditentukan dan cocok
digunakan
Tujuan audit operasional
adalah untuk :
1. Menilai kinerja, kinerja dibandingkan dengan
kebijakan-kebijakan, standar-standar, dan
sasaran-sasaran yang ditetapkan oleh
manajemen
2. Mengidentifikasikan peluang dan
3. Memberikan rekomendasi untuk perbaikan atau
tindakan lebih lanjut. Pihak-pihak yang mungkin
meminta dilakukannya audit operasional adalah
manajemen dan pihak ketiga. Hasil audit
operasional diserahkan kepada pihak yang
meminta dilaksanakannya audit tersebut.
 Audit SIM ?
• Proses pengumpulan dan evaluasi fakta/bukti untuk
menentukan apakah sistem (terkomputerisasi):
▫ Menjaga aset
▫ Memelihara integritas data
▫ Memampukan komunikasi & akses
informasi
▫ Mencapai tujuan operasional secara efektif
▫ Mengkonsumsi sumber daya secara efisien
 Keuntungan Audit
 Menilai keefektifan aktivitas aktifitas dokumentasi
dalam organisasi
 Memonitor kesesuaian dengan kebijakan, sistem,
prosedur dan undang-undang perusahaan
 Mengukur tingkat efektifitas dari sistem
 Mengidentifikasi kelemahan di sistem yang
mungkin mengakibatkan ketidaksesuaian di masa
datang
 Menyediakan informasi untuk proses peningkatan
 Meningkatkan saling memahami antar
departemen dan antar individu
 Melaporkan hasil tinjauan dan tindakan
berdasarkan resiko ke Manajemen
Audit SI
Audit system informasi adalah cara untuk
melakukan pengujian terhadap sistem informasi
yang ada di dalam organisasi untuk,

 mengetahui apakah system informasi yang

dimiliki telah sesuai dengan visi, misi dan
tujuan organisasi,

 menguji performa system informasi (apakah

sudah efektif dan efisien) dan untuk
mendeteksi resiko-resiko dan efek potensial
yang mungkin timbul.
Metodologi Audit IT

• Dalam pelaksanaanya, auditor TI mengumpulkan

bukti-bukti yang memadai melalui berbagai teknik
termasuk survey, wawancara, observasi dan review
dokumentasi. Biasanya mencakup pula bukti elektronis
dengan menerapkan teknik audit berbantuan computer,
disebut juga dengan CAAT (Computer Aided Auditing
Technique). Teknik ini digunakan untuk menganalisa
data, misalnya saja data transaksi penjualan, pembelian,
transaksi aktivitas persediaan, aktivitas nasabah, dan
lain-lain.
 Langkah Dasar Audit
Sistem Informasi
Audit dalam konteks teknologi informasi adalah memeriksa
apakah sistem komputer berjalan semestinya. Tujuh langkah
proses audit:
▫ Implementasikan sebuah strategi audit berbasis manajemen
risiko serta control practice yang dapat disepakati semua pihak.
▫ Tetapkan langkah-langkah audit yang rinci.
▫ Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta
bermanfaat.
▫ Buatlah laporan beserta kesimpulannya berdasarkan fakta yang
dikumpulkan.
▫ Telaah apakah tujuan audit tercapai.
▫ Sampaikan laporan kepada pihak yang berkepentingan.
▫ Pastikan bahwa organisasi mengimplementasikan manajemen
risiko serta control practice.
TAHAP-TAHAP AUDIT SISTEM INFORMASI

Audit Sistem Informasi dapat dilakukan dengan berbagai

macam tahap-tahap. Tahap-tahap audit terdiri dari 5
tahap sebagai berikut :

Tahap pemeriksaan pendahuluan

Tahap pengujian kesesuaian.
Pengujian kebenaran bukti Tahap penilaian
secara umum atas
Tahap pengujian kebenaran bukti.
penilaian secara umum atas hasil pengujian.
 Siapa yang Diaudit

• Management
• IT Manager
• IT Specialist (network,
database, system analyst,
programmer, dll.)
• User
 YANG MELAKUKAN
AUDIT
Internal Audit (first party audit)
 Dilakukan oleh atau atas nama perusahaan sendiri
 Biasanya untuk management review atau tujuan
internal perusahaan

Lembaga independen di luar perusahaan

 Second party audit
Dilakukan oleh pihak yang memiliki kepentingan thd
perusahaan
 Third party audit
Dilakukan oleh pihak independen dari luar perusahaan.
Misalnya untuk sertifikasi (ISO 9001, BS7799 dll).
 Tugas Auditor
SIM

• Memastikan sisi-sisi penerapan IT

memiliki kontrol yang diperlukan

• Memastikan kontrol tersebut

diterapkan dengan baik sesuai yang
diharapkan
YANG DILAKUKAN

• Persiapan
• Review Dokumen
• Persiapan kegiatan on-site audit
• Melakukan kegiatan on-site audit
• Persiapan, persetujuan dan distribusi
laporan audit
• Follow up audit
Output kegiatan
Audit
Hasil akhir adalah berupa laporan
yang berisi:
• Ruang Lingkup audit
• Metodologi
• Temuan-temuan
• Ketidaksesuaian (sifat
ketidaksesuaian, bukti-bukti
pendukung, syarat yang tidak
dipenuhi, lokasi, tingkat
ketidaksesuaian)
• Kesimpulan (tingkat kesesuaian
dengan kriteria audit, efektifitas
implementasi, pemeliharaan dan
pengembangan sistem manajemen,
rekomendasi)
 KETRAMPILAN
YANG DIBUTUHKAN

• Audit skill : sampling, komunikasi, melakukan

interview, mengajukan pertanyaan, mencatat
• Generic knowledge : pengetahuan mengenai
prinsip2 audit, prosedur dan teknik, sistem
manajemen dan dokumen2 referensi, organisasi,
peraturan2 yang berlaku.
• Specific knowledge : background IT/IS, bisnis,
specialist technical skill, pengalaman audit sistem
manajemen, perundangan.
 Kebutuhan auditor IT

• Internal Audit -> setiap perusahaan

memerlukan
• Perusahaan penyedia layanan audit
• Perusahaan penyedia sertifikasi
 Peluang

• Ketergantungan terhadap IT semakin besar

sehingga muncul kebutuhan untuk
melakukan audit IT
• Auditor IT yang sekarang banyak yang
berasal bukan dari bidang IT
• Banyak permasalahan (bisnis) dalam
pengelolaan IT
Prinsip-prinsip Audit
• Ethical conduct
▫ Berdasar pada profesionalisme, kejujuran,
integritas, kerahasiaan dan kebijaksanaan
• Fair Presentation
▫ Kewajiban melaporkan secara jujur dan akurat
• Due professional care
▫ Implementasi dari kesungguhan dan
pertimbangan yang diberikan
• Independence
• Evidence-base approach
Peraturan dan Standar Yang Biasa
Dipakai
• ISO / IEC 17799 and BS7799
• Control Objectives for Information and related
Technology (CobiT)
• ISO TR 13335
• IT Baseline Protection Manual
• ITSEC / Common Criteria
• Federal Information Processing Standard 140-1/2
(FIPS 140-1/2)
• The “Sicheres Internet” Task Force [Task Force
Sicheres Internet]
• The quality seal and product audit scheme operated
by the Schleswig-Holstein Independent State Centre
for Data Privacy Protection (ULD)
• ISO 9000
Pentingnya Evaluasi
• Dana yang dibutuhkan besar
• Investasi yang dilakukan tidak langsung terlihat
hasilnya
• Manfaat bersifat intangible
• Pandangan pengguna terhadap TI berbeda-beda
▫ Hanya 9% dari average performing companies
yang menggunakan sistem informasi sebagai
bahan analisa/forecasting
Tantangan Dalam Evaluasi TI
• Manfaat TI yang intangible
• Manfaat baru dirasakan dalam jangka panjang
• Sulit untuk mengukur secara kuantitatif
• Teori yang ada tidak mencukupi
• Ruang lingkup sistem sulit ditentukan
▫ Too narrow
▫ Too general
Pengukuran Kelayakan Biaya
• Sulit dilakukan,
• Beberapa aspeknya:
▫ Teknis
▫ Ekonomis
▫ Operasional
▫ Legal
▫ Non ekonomis
Biaya Pengadaan TI
• Pengadaan mesin (hardware, software)
• Pelatihan brainware
Evaluasi Biaya
• Bila investasi ditujukan untuk diferensiasi
▫ Apakah TI dapat adding information pada produk
▫ Apakah TI dapat mempermudah proses transaksi
▫ Apakah proses bisnis dapat terhindar dari
kesalahan
Evaluasi Biaya - 2
• Bila strategi lebih pada cost leadership
▫ Apakah aplikasi TI akan langsung menurunkan
cost
▫ Apakah terjadi penghematan tenga kerja
Penentuan Target Perbaikan
• Kurang Baik:
▫ Meningkatkan laba
▫ Mengurangi kesalahan
▫ Meningkatkan motivasi personil
▫ Meningkatkan kemampuan bersaing
• Baik:
▫ Meningkatkan ROI sebesar 1% pada akhir tahun
▫ Menurunkan tingkat umur piutan dari 3 bulan
menjadi 2 bulan.
▫ Meningkatkan keterampilan staf, berdasar survey job
statisfaction pada akhir tahun ini.
Kualitas Sistem Informasi
• Dari Sudut Pandang Pengguna
▫ Efektif, sebagai bahan analisa, dan memberikan
alternatif
▫ Efesien, mesin dan
▫ Ekonomisbrainware
Kualitas Sistem Informasi - 2

▫ Layak secara teknis, legal, operasional, sesuai

yang jadwal
▫ Terdiri dari sub sistem yang kecil dan mudah
dikelola
▫ Ada dokumentasi, user manual
▫ Program
 User interface baik
Faktor Keberhasilan Implementasi
• Organizational Fit
• Dukungan management
• Process of change management
▫ Unfreezing
▫ Moving
▫ Refreezing
• Peran Pengguna
Keberhasilan Implementasi - 2
• Motivated and trained user
• Tingkat kompleksitas dan resiko
Ukuran Kesuksesan Sistem Informasi
• Tingkat Kegunaan Sistem
• Kepuasan pelanggan
• Tingkat pencapaian tujuan
• Kualitas Informasi