tugas audit sistem informasi evaluasi.ppt
TRANSCRIPT
YuswadiAris SudarmonoMuhajibDwi Purwanto
Padahal sudah 30 tahun sejak negara-negara maju tersebut menetapkan aturan kewajiban IT audit di lembaga-lembaganya
IT audit merupakan hal yang sangat penting dalam implementasi sebuah sistem informasi bagi organisasi yang mengembangkannya.
Terlebih pada saat ini pemanfaatan teknologi/sistem informasi merupakan hal yang sangat penting bagi sebuah organisasi dalam pencapaian tujuan/visi/misi lembaganya. Namun di sisi lain kepentingan tersebut berimbas pada meningkatnya indeks kerawanan dari pengembangan/pembangunan sistem informasi.
Untuk menekan titik-titik rawan tersebut diperlukan seperangkat batasan-batasan dan tolok-ukur (parameter) yang dapat dijadikan dasar dalam melakukan evaluasi terhadap kegiatan pembangunan/pengembangan sistem informasi
Perlukah (Pentingkah) Audit Teknologi Informasi?
Dengan dilakukannya IS audit yang dilakukan secara transparan dan dapat dipertanggungjawabkan hasilnya maka pelaksanaan penerapan teknologi informasi di dalam suatu institusi dapat memberikan hasil terbaiknya serta menyerap investasi yang tepat guna dan berdaya guna.
Perlukah (Pentingkah) Audit Sistem Informasi?
Alasan perusahaan belum melakukan audit IS
perusahaan merasa bahwa IS yang diterapkan masih berperan sebatas support tools, belum menjadi strategic tools
kebijakan dan tujuan-tujuan penerapan IS-nya tidak begitu jelas
nilai investasi IS yang belum dianggap cukup berarti dibandingkan nilai keuangan perusahaan.
banyaknya jargon teknis IS yang sulit dipahami oleh manajemen puncak.
Tujuan Audit Sistem InformasiTujuan Audit Sistem Informasi dapat dikelompokkan
ke dalam dua aspek utama, yaitu: Conformance (Kesesuaian) – Pada kelompok tujuan
ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu : Confidentiality (Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan) dan Compliance (Kepatuhan).
Performance (Kinerja) - Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu : Effectiveness (Efektifitas), Efficiency (Efisiensi), Reliability (Kehandalan).
Keuntungan Audit Menilai keefektifan aktivitas aktifitas dokumentasi
dalam organisasi Memonitor kesesuaian dengan kebijakan, sistem,
prosedur dan undang-undang perusahaan Mengukur tingkat efektifitas dari sistem Mengidentifikasi kelemahan di sistem yang mungkin
mengakibatkan ketidaksesuaian di masa datang Menyediakan informasi untuk proses peningkatan Meningkatkan saling memahami antar departemen
dan antar individu Melaporkan hasil tinjauan dan tindakan berdasarkan
resiko ke Manajemen
Letak Audit Sistem Informasi
Pengelolaan Sistem Informasi
AuditSistem Informasi
Pengembangan Sistem Informasi
Sistem Informasi
1. Standar2. Regulasi3. Praktek4. Aturan
Enam komponen Audit TI/ISEnam komponen Audit :
pendefinisian tujuan perusahaan;penentuan isu, tujuan dan perspektif bisnis antara
penanggung jawab bagian dengan bagian TI; review terhadap pengorganisasian bagian TI yang
meliputi perencanaan proyek, status dan prioritasnya, staffing levels, belanja TI dan IT change process management;
assessment infrastruktur teknologi, assessment aplikasi bisnis;
temuan-temuan, laporan rekomendasi.
Bidang Pekerjaan IT/IS di perusahaan
System AnalystProgrammerAdministrator (Network, system,
database)Support (workshop, maintenance,
helpdesk, dll )Security OfficerAuditor
Siapa yang DiauditManagementIT ManagerIT Specialist (network, database, system
analyst, programmer, dll.)User
Yang Melakukan AuditTergantung Tujuan AuditInternal Audit (first party audit)
Dilakukan oleh atau atas nama perusahaan sendiriBiasanya untuk management review atau tujuan
internal perusahaanLembaga independen di luar perusahaan
Second party auditDilakukan oleh pihak yang memiliki kepentingan thd
perusahaanThird party audit
Dilakukan oleh pihak independen dari luar perusahaan. Misalnya untuk sertifikasi (ISO 9001, BS7799 dll).
Tugas Auditor ITMemastikan sisi-sisi penerapan IT memiliki
kontrol yang diperlukan Memastikan kontrol tersebut diterapkan
dengan baik sesuai yang diharapkan
Yang DilakukanPersiapanReview DokumenPersiapan kegiatan on-site auditMelakukan kegiatan on-site auditPersiapan, persetujuan dan distribusi
laporan auditFollow up audit
Output kegiatan AuditHasil akhir adalah berupa laporan yang berisi:Ruang Lingkup auditMetodologiTemuan-temuanKetidaksesuaian (sifat ketidaksesuaian, bukti2 pendukung, syarat yg tdk dipenuhi, lokasi, tingkat ketidaksesuaian)
Kesimpulan (tingkat kesesuaian dengan kriteria audit, efektifitas implementasi, pemeliharaan dan pengembangan sistem manajemen, rekomendasi)
Ketrampilan yang dibutuhkan Audit skill : sampling, komunikasi,
melakukan interview, mengajukan pertanyaan, mencatat
Generic knowledge : pengetahuan mengenai prinsip2 audit, prosedur dan teknik, sistem manajemen dan dokumen2 referensi, organisasi, peraturan2 yang berlaku
Specific knowledge : background IT/IS, bisnis, specialist technical skill, pengalaman audit sistem manajemen, perundangan
Prinsip-prinsip Audit
Ethical conductBerdasar pada profesionalisme, kejujuran,
integritas, kerahasiaan dan kebijaksanaanFair Presentation
Kewajiban melaporkan secara jujur dan akurat
Due professional careImplementasi dari kesungguhan dan
pertimbangan yang diberikanIndependenceEvidence-base approach
SertifikasiCISA (Certified Information Systems Auditor)CISM (Certified Information Security Manager)CISSP (Certified IS Security Professional)CIA (Certified Internal Auditor)
Kualifikasi :Pengalaman dan pengetahuan untuk mengidentifikasi, mengevaluasi, dan memberikan rekomendasi berupa solusi untuk mengurangi kelemahan sistem IT=> Mengeluarkan sertifikasi untuk personal auditor
Audit Sistem InformasiMeliputi:
Tata kelola teknologi informasi secara menyeluruhAudit pengembangan sistem informasi (SDLC),
satu jenis aplikasi tertentu
Audit Sistem InformasiSebagai audit tersendiri – perlu dilakukan untuk
memeriksa tingkat kematangan atau kesiapan suatu organisasi dalam melakukan pengelolaan teknologi informasi
Level of maturity dapat dilihat dari awareness dari para stake holderKarenanya sebuah penerapan it harus melalui
tahapan perencanaan yang baik.
Kebutuhan Audit Sistem Informasi
General Financial AuditAudit objective sesuai dengan standar akuntansi
keuanganReferensi model adalah COSO (committee of
sponsoring Organization)
IT GovernanceAudit operasional terhadap manajemen pengelolaan
sumberdaya informasiAspek-aspek:efektifitas, efesiensi, data integrity, save
guarding asset, reliability, confidentiallity, availability, security.
Audit Sistem Informasi – IT GovernanceSelain dapat dilakukan untuk sistem secara
menyeluruh, dapat juga dilakukan terhadap:General information review
Audit terhadap sistem informasiQuality Assurance
Auditor (bukan anggota tim pengembang), membantu meningkatkan kualitas dari sistem. Auditor mewakili pimpinan proyek.
Postimplementation Audit Apakah sistem perlu dimutakhirkan atau diperbaiki atau
dihentikan. Istilah audit arround dan audit through the computer tidak
berlaku lagi pada audit jenis ini
Flowchart Langkah-Langkah Utama dalam Audit Sistem Informasi
Evaluasi Efektivitas Sistem Informasi
Evaluasi efektivitas terhadap suatu sistem informasi terdiri dari 6 langkah:Identifikasi tujuan dari sistem informasi.Pilih alat ukur yang akan digunakan.Identifikasi sumber data.Dapatkan keadaan sebelum sistem informasi
diimplementasikan.Dapatkan keadaan setelah sistem informasi
diimplementasikan.Menilai pengaruh dari sistem.
Evaluasi Efektivitas Sistem InformasiIdentifikasi tujuan dari sistem informasi
Tujuan dari sistem informasi umumnya telah ditekankan dengan jelas pada tahap pengembangan software, namun terkadang tujuan ini dibuat dengan salah dan tidak memadai. Pihak lain yang berhubungan dengan sistem informasi pun juga bisa memberi definisi yang berbeda mengenai tujuan dari sistem informasi ini, namun auditor harus mengambil kesimpulan dari masukan-masukan yang ada mengenai tujuan dari sistem informasi untuk melakukan evaluasi tujuan mana yang telah tercapai dan yang belum tercapai.
Pilih alat ukur yang akan digunakan.Auditor harus memiliki alat ukur untuk menentukan sejauh mana tujuan dari sistem informasi telah tercapai, dalam beberapa kasus digunakan kuisioner untuk mendapatkan jawaban satu arah dari user, dalam kasus lain digunakan pengukuran kualitatif melalui wawancara dan observasi.
Metode Audit SIGabungan dari berbagai macam ilmu:
Traditional AuditManajemen Sistem InformasiSistem Informasi AkuntansiIlmu KomputerBehavioral ScienceBiasanya menggunakan Computer-Assisted
Audit Tools (CAATs) atau Computer-Assisted Audit Tools and Techniques (CAATTs). CAATTs memungkinkan auditor untuk melakukan audit through the database dan komputer
Teknik Audit SILaksanakan audit sesuai rencana.Gunakan daftar pengecekan untuk
membantu mengarahkan alur audit.Temukan fakta dengan mengajukan
pertanyaan secara sistematik.Cocokkan temuan-temuan fakta dengan
bukti-bukti di lokasi.
Jadwal AuditDipersiapkan agar sesuai dengan lingkup
setiap audit.Mencakup semua aspek pekerjaan dalam
lingkup audiit.Frekuensi audit tergantung pada status
dan kepentingan audiit.Jadwal harus diinformasikan sebelumnya
kepada teraudit.
PROSES AUDIT HARUS MEMILIKI OBYEK YANG JELAS DAN TERUKUR DENGAN TARGET HASIL YANG JUGA
HARUS JELAS DAN TERUKUR
Web Terkait Audit SI/TIhttp://auditti.comhttp://iasii.or.id
FrameworkFramework merupakan sekumpulan perintah/fungsi dasar
yang dapat membantu dalam menyelesaikan proses-proses yang lebih kompleks, menangani berbagai masalah dalam pemrograman seperti koneksi database, pemanggilan variable, dll. Sehingga developer lebih fokus dan lebih cepat membangun aplikasi.
Secara sederhana dapat dijelaskan bahwa framework adalah kumpulan fungsi-fungsi yang sudah ada sehingga programmer tidak perlu lagi membuat fungsi-fungsi (kumpulan library) dari awal, yang tentunya tinggal memanggil kumpulan library tersebut didalam framework.
Fungsi-fungsi standar yang telah tersedia dalam suatu framework adalah fungsi enkripsi, session, security, manipulasi gambar, grafik, validasi, upload, template dan lain-lain.
FrameworkSebenarnya dalam melaksanakan IT/IS Audit
terdapat berbagai tools yang sudah siap digunakan saat ini. Tools tersebut dikembangkan dan distandarisasikan oleh berbagai badan di dunia.
Standard tools tersebut dikembangkan sebagai framework yang disusun berdasarkan best pratices dari hasil riset serta pengalaman bertahun-tahun dalam kegiatan audit TI. Framework tersebut tentunya mengalami penyempurnaan yang berkelanjutan sebagai upaya menciptakan standar yang semakin baik, efektif dan efisien.
Standard Tools/Framework COBIT® (Control Objectives for Information and related
Technology) COSO (Committee of Sponsoring Organisations of the Treadway
Commission) Internal Control—Integrated Framework ISO/IEC 17799:2005 Code of Practice for Information Security
Management FIPS PUB 200 ISO/IEC TR 13335 ISO/IEC 15408:2005/Common Criteria/ITSEC PRINCE2 PMBOK TickIT CMMI TOGAF 8.1 IT Baseline Protection Manual NIST 800-14