audit
TRANSCRIPT
BAB 4
Bagaimana Audit TI/SI Dilakukan ?
Latar Belakang
Informasi merupakan salah satu sumber daya strategis suatu organisasi, oleh
karena itu, untuk mendukung tercapainya visi dan misi suatu organisasi,
pengelolaan informasi menjadi salah satu kunci sukses. Sistem informasi
merupakan salah satu sub sistem organisasi untuk mengelola informasi. Saat ini
sistem informasi dioperasikan oleh hampir seluruh sumber daya manusia suatu
organisasi sehingga tidak dapat dipisahkan dengan operasi dan kehidupan
organisasi. Teknologi informasi merupakan komponen penting dari sistem
informasi, selain data/informasi, sumber daya manusia dan organisasi. Teknologi
informasi yang dimaksud adalah teknologi telematika, telekomunikasi dan
informatika, yang mencakup teknologi komputer (perangkat keras, perangkat
lunak) dan didukung dengan teknologi telekomunikasi, khususnya komunikasi
data digital sebagai infrastruktur dari jaringan komputer. Perlu teknik untuk
mengendalikan dan memastikan bahwa sistem informasi sudah sesuai dengan
tujuan organisasi. Audit sitem informasi merupakan suatu cara untuk menilai
sejauh mana suatu sistem informasi telah mencapai tujuan organisasi. Penelitian
ini ditujukan untuk mencari model untuk mengaudit sistem informasi berbasis
kendali. Model yang dikembangkan mencakup: (1) konsep struktur/ kerangka dan
prosedur pelaksanaan audit, (2) materi/ isi yang dijadikan sebagai tolok ukur
untuk penilaian dan (3) perangkat lunak bantu yang memudahkan dokumentasi
dan pengolahan hasil audit. Pada makalah ini akan diuraikan konsep struktur/
kerangka dan prosedur audit sistem informasi saja, dua bagian lainnya akan
disampaikan pada makalah terpisah.
2. Audit Sistem Informasi Berbasis
AUDIT SISTEM INFORMASI
Sistem informasi adalah sekumpulan komponen yang saling berhubungan yang
mengumpulkan (collect/ retrieve), memproses, menyimpan dan mendistribusikan
informasi untuk mendukung pembuatan keputusan dan pengendalian suatu
organisasi. Informasi adalah data yang telah diolah menjadi bentuk yang
bermakna dan bermanfaat bagi pemakai. Data adalah fakta yang menyatakan
suatu kejadian atau lingkungan fisik yang belum dikelola menjadi bentuk yang
bermakna dan bermanfaat bagi manusia. Audit sistem informasi didefinisikan
sebagai proses pengumpulan dan evaluasi fakta/ evidence untuk menentukan
apakah suatu sistem informasi telah melindungi aset, menjaga integritas data,
dan memungkinkan tujuan organisasi tercapai secara efektif dengan
menggunakan sumber daya secara efisien. Dalam pelaksanaan audit digunakan
etika profesi yang dirumuskan oleh organisasi profesi Information System Audit
and Control Association (ISACA)
Dalam melaksanakan audit faktor-faktor berikut harus diperhatikan:
1. Dibutuhkan informasi yang dapat diukur dan sejumlah kriteria (standar)
yang dapat digunakan sebagai panduan untuk mengevaluasi informasi
tersebut,
2. Penetapan entitas ekonomi dan periode waktu yang diaudit harus jelas
untuk menentukan lingkup tanggungjawab auditor,
3. Bahan bukti harus diperoleh dalam jumlah dan kualitas yang cukup untuk
memenuhi tujuan audit,
4. Kemampuan auditor memahami kriteria yang digunakan serta sikap
independen dalam mengumpulkan bahan bukti yang diperlukan untuk
mendukung kesimpulan yang akan diambilnya.
Audit TI merupakan proses pengumpulan dan evaluasi bukti-bukti untuk
menentukan apakah sistem komputer yang digunakan telah dapat melindungi
aset milik organisasi, mampu menjaga integritas data, dapat membantu
pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya
yang dimiliki secara efisien (Weber, 2000). Audit TI sendiri merupakan gabungan
dari berbagai macam ilmu, antara lain: Traditional Audit, Manajemen Sistem
Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science.
Audit Sistem Informasi merupakan pengumpulan dan evaluasi bukti-bukti untuk
menentukan apakah sistem komputer yang digunakan telah dapat melindungi
aset milik organisasi, mampu menjaga integritas data, dapat membantu
pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya
yang dimiliki secara efisien. Audit Sistem Informasi sendiri merupakan gabungan
dari berbagai macam ilmu, antara lain: Traditional Audit, Manajemen Sistem
Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science.
Pada dasarnya, Audit Sistem Informasi dapat dibedakan menjadi dua kategori,
yaitu Pengendalian Aplikasi (Application Control) dan Pengendalian Umum
(General Control). Tujuan pengendalian umum lebih menjamin integritas data
yang terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas
program atau aplikasi yang digunakan untuk melakukan pemrosesan data.
Sementara, tujuan pengendalian aplikasi dimaksudkan untuk memastikan bahwa
data di-input secara benar ke dalam aplikasi, diproses secara benar, dan
terdapat pengendalian yang memadai atas output yang dihasilkan. Dalam audit
terhadap aplikasi, biasanya, pemeriksaan atas pengendalian umum juga
dilakukan mengingat pengendalian umum memiliki kontribusi terhadap efektifitas
atas pengendalian-pengendalian aplikasi.
Keuntungan adanya audit antara lain :
menilai keefektifan aktivitas aktifitas dokumentasi dalam organisasi,
memonitor kesesuaian dengan kebijakan, sistem, prosedur dan undang-
undang perusahaan,
mengukur tingkat efektifitas dari sistem,
mengidentifikasi kelemahan di sistem yang mungkin mengakibatkan
ketidaksesuaian di masa datang,
menyediakan informasi untuk proses peningkatan,
meningkatkan saling memahami antar departemen dan antar individu,
melaporkan hasil tinjauan dan tindakan berdasarkan resiko ke
manajemen.
Informasi audit harus disimpan dan dijaga sehingga sebuah aksi dapat ditelusuri.
Data audit harus dijaga dari modifikasi dan perusakan dari pihak yang tidak
bertanggung jawab.
METHODOLOGI AUDIT SISTEM INFORMASI
Dalam pelaksanaanya, auditor TI mengumpulkan bukti-bukti yang memadai
melalui berbagai teknik termasuk survey, wawancara, observasi dan review
dokumentasi.
Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya
mencakup pula bukti elektronis. Biasanya, auditor TI menerapkan teknik audit
berbantuan computer, disebut juga dengan CAAT (Computer Aided Auditing
Technique). Teknik ini digunakan untuk menganalisa data, misalnya saja data
transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas
nasabah, dan lain-lain.
Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem
komputer berjalan semestinya. Tujuh langkah proses audit:
1. Implementasikan sebuah strategi audit berbasis manajemen risiko serta
control practice yang dapat disepakati semua pihak.
2. Tetapkan langkah-langkah audit yang rinci.
3. Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta
bermanfaat.
4. Buatlah laporan beserta kesimpulannya berdasarkan fakta yang
dikumpulkan.
5. Telaah apakah tujuan audit tercapai.
6. Sampaikan laporan kepada pihak yang berkepentingan.
7. Pastikan bahwa organisasi mengimplementasikan managemen risiko
serta control practice.
Sebelum menjalankan proses audit, tentu saja proses audit harus
direncanakan terlebih dahulu. Audit planning (perencanaan audit) harus secara
jelas menerangkan tujuan audit, kewenangan auditor, adanya persetujuan
managemen tinggi, dan metode audit. Metodologi audit:
1. Audit subject. Menentukan apa yang akan diaudit.
2. Audit objective. Menentukan tujuan dari audit.
3. Audit Scope. Menentukan sistem, fungsi, dan bagian dari organisasi
yang secara spesifik/khusus akan diaudit.
4. Preaudit Planning. Mengidentifikasi sumber daya dan SDM yang
dibutuhkan, menentukan dokumen-dokumen apa yang diperlukan
untuk menunjang audit, menentukan lokasi audit.
5. Audit procedures and steps for data gathering. Menentukan cara
melakukan audit untuk memeriksa dan menguji kendali, menentukan
siapa yang akan diwawancara.
6. Evaluasi hasil pengujian dan pemeriksaan. Spesifik pada tiap
organisasi.
7. Prosedur komunikasi dengan pihak manajemen. Spesifik pada tiap
organisasi.
8. Audit Report Preparation. Menentukan bagaimana cara memeriksa
hasil audit, yaitu evaluasi kesahihan dari dokumen-dokumen, prosedur,
dan kebijakan dari organisasi yang diaudit. Struktur dan isi laporan
audit tidak baku, tapi umumnya terdiri atas:
o Pendahuluan. Tujuan, ruang lingkup, lamanya audit,
prosedur audit.
o Kesimpulan umum dari auditor.
o Hasil audit. Apa yang ditemukan dalam audit, apakah
prosedur dan kontrol layak atau tidak
o Rekomendasi. Tanggapan dari manajemen (bila perlu).
o Exit interview. Interview terakhir antara auditor dengan
pihak manajemen untuk membicarakan temuan-temuan dan
rekomendasi tindak lanjut. Sekaligus meyakinkan tim manajemen
bahwa hasil audit sahih
KATEGORI AUDIT TI
Pada dasarnya, Audit TI dapat dibedakan menjadi dua kategori, yaitu
Pengendalian Aplikasi (Application Control) dan Pengendalian Umum (General
Control). Tujuan pengendalian umum lebih menjamin integritas data yang
terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas program
atau aplikasi yang digunakan untuk melakukan pemrosesan data. Sementara,
tujuan pengendalian aplikasi dimaksudkan untuk memastikan bahwa data di-
input secara benar ke dalam aplikasi, diproses secara benar, dan terdapat
pengendalian yang memadai atas output yang dihasilkan. Dalam audit terhadap
aplikasi, biasanya, pemeriksaan atas pengendalian umum juga dilakukan
mengingat pengendalian umum memiliki kontribusi terhadap efektifitas atas
pengendalian-pengendalian aplikasi. Dalam praktiknya, tahapan-tahapan dalam
audit TI tidak berbeda dengan audit pada umumnya. Tahapan perencanaan,
sebagai suatu pendahuluan, mutlak perlu dilakukan agar auditor mengenal benar
objek yang akan diperiksa. Di samping, tentunya, auditor dapat memastikan
bahwa qualified resources sudah dimiliki, dalam hal ini aspek SDM yang
berpengalaman dan juga referensi praktik-praktik terbaik ( best practices ).
Tahapan perencanaan ini akan menghasilkan suatu program audit yang didesain
sedemikian rupa, sehingga pelaksanaannya akan berjalan efektif dan efisien,
dan dilakukan oleh orang-orang yang kompeten, serta dapat diselesaikan dalam
waktu sesuai yang disepakati.
Dalam pelaksanaannya, auditor TI mengumpulkan bukti-bukti yang memadai
melalui berbagai teknik termasuk survei, interview, observasi dan review
dokumentasi (termasuk review source-code bila diperlukan). Satu hal yang unik,
bukti-bukti audit yang diambil oleh auditor biasanya mencakup pula bukti
elektronis (data dalam bentuk file softcopy). Biasanya, auditor TI menerapkan
teknik audit berbantuan komputer, disebut juga dengan CAAT (Computer Aided
Auditing Technique). Teknik ini digunakan untuk menganalisa data, misalnya saja
data transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas
nasabah, dan lain-lain.
Sesuai dengan standar auditing ISACA (Information Systems Audit and Control
Association), selain melakukan pekerjaan lapangan, auditor juga harus
menyusun laporan yang mencakup tujuan pemeriksaan, sifat dan kedalaman
pemeriksaan yang dilakukan. Laporan ini juga harus menyebutkan organisasi
yang diperiksa, pihak pengguna laporan yang dituju dan batasan-batasan
distribusi laporan. Laporan juga harus memasukkan temuan, kesimpulan,
rekomendasi sebagaimana layaknya laporan audit pada umumnya.
Model audit sistem informasi berbasis kendali ini didasarkan pada suatu model
fungsional sistem informasi, di mana sistem informasi dibagi dalam 2 fungsi [2],
yaitu: fungsi manajemen dan fungsi aplikasi, di mana fungsi manajemen
membungkus fungsi-fungsi aplikasi (Gambar 4.1)
Informasi
Data
Prosedur
(BD/NW)
Interoperabilitas
(HW/SW)
Pemroses
Aplikasi
Dokumen
Sistem Informasi
Gambar 4.1. Lapisan Fungsional Sistem Informasi
LANGKAH DASAR AUDIT SI
Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem
komputer berjalan semestinya. Tujuh langkah proses audit:
1) Implementasikan sebuah strategi audit berbasis manajemen risiko serta
control practice yang dapat disepakati semua pihak.
2) Tetapkan langkah-langkah audit yang rinci.
3) Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta
bermanfaat.
4) Buatlah laporan beserta kesimpulannya berdasarkan fakta yang
dikumpulkan.
5) Telaah apakah tujuan audit tercapai.
6) Sampaikan laporan kepada pihak yang berkepentingan.
7) Pastikan bahwa organisasi mengimplementasikan managemen risiko
serta control practice.
Sebelum menjalankan proses audit, tentu saja proses audit harus
direncanakan terlebih dahulu. Audit planning (perencanaan audit) harus secara
jelas menerangkan tujuan audit, kewenangan auditor, adanya persetujuan
managemen tinggi, dan metode audit. Metodologi audit:
1) Audit subject. Menentukan apa yang akan diaudit.
2) Audit objective. Menentukan tujuan dari audit.
3) Audit Scope. Menentukan sistem, fungsi, dan bagian dari organisasi yang
secara spesifik/khusus akan diaudit.
4) Preaudit Planning. Mengidentifikasi sumber daya dan SDM yang
dibutuhkan, menentukan dokumen-dokumen apa yang diperlukan untuk
menunjang audit, menentukan lokasi audit.
5) Audit procedures and steps for data gathering. Menentukan cara
melakukan audit untuk memeriksa dan menguji kendali, menentukan
siapa yang akan diwawancara.
6) Evaluasi hasil pengujian dan pemeriksaan. Spesifik pada tiap organisasi.
7) Prosedur komunikasi dengan pihak manajemen. Spesifik pada tiap
organisasi.
8) Audit Report Preparation. Menentukan bagaimana cara memeriksa hasil
audit, yaitu evaluasi kesahihan dari dokumen-dokumen, prosedur, dan
kebijakan dari organisasi yang diaudit. Struktur dan isi laporan audit tidak
baku, tapi umumnya terdiri atas:
o Pendahuluan. Tujuan, ruang lingkup, lamanya audit, prosedur
audit.
o Kesimpulan umum dari auditor.
o Hasil audit. Apa yang ditemukan dalam audit, apakah prosedur
dan kontrol layak atau tidak
o Rekomendasi. Tanggapan dari manajemen (bila perlu).
o Exit interview. Interview terakhir antara auditor dengan pihak
manajemen untuk membicarakan temuan-temuan dan
rekomendasi tindak lanjut. Sekaligus meyakinkan tim manajemen
bahwa hasil audit sahih
PERKEMBANGAN PENDEKATAN AUDIT SISTEM INFORMASI
Perkembangan teknologi informasi, perangkat lunak, sistem jaringan dan
komunikasi dan otomatisasi dalam pengolahan data berdampak perkembangan
terhadap pendekatan audit yang dilakukan, tiga pendekatan yang dilakukan oleh
auditor dalam memeriksa laporan keuangan klien yang telah mempergunakan
Sistem Informasi Akuntansi yaitu (Watne, 1990) :
1) Auditing Around The Computer. Pendekatan ini merupakan pendekatan
yang mula-mula ditempuh oleh auditor. Dengan pendekatan ini komputer
yang digunakan oleh perusahaan diperlakukan sebagai Black Box.
Asumsi yang digunakan dalam pendekatan ini adalah bila sampel output
dari suatu sistem ternyata benar berdasarkan masukan sistem tadi, maka
pemrosesannya tentunya dapat diandalkan. Dalam pemeriksaan dengan
pendekatan ini, auditor melakukan pemeriksaan di sekitar komputer saja.
2) Auditing With The Computer. Pendekatan ini digunakan untuk
mengotomatisati banyak kegiatan audit. Auditor memanfaatkan komputer
sebagai alat bantu dalam melakukan penulisan, perhitungan,
pembandingan dan sebagainya. Pendekatan ini menggunakan perangkat
lunak Generalized Audit Software, yaitu program audit yang berlaku
umum untuk berbagai klien.
3) Auditing Through The Computer. Pendekatan ini lebih menekankan pada
langkah pemrosesan serta pengendalian program yang dilakukan oleh
sistem komputer. Pendekatan ini mengasumsikan bahwa jika program
pemrosesan dirancang dengan baik dan memiliki aspek pengendalian
yang memadai, maka kesalahan dan penyimpangan kemungkinan besar
tidak terjadi.pendekatan ini biasanya diterapkan pada sistem pengolahan
data on-line yang tidak memberikan jejak audit yang memadai.
TAHAP-TAHAP AUDIT SISTEM INFORMASI
Audit Sistem Informasi dapat dilakukan dengan berbagai macam tahap-tahap.
Tahap-tahap audit terdiri dari 5 tahap sebagai berikut :
1. Tahap pemeriksaan pendahuluan
2. Tahap pemeriksaan rinci.
3. Tahap pengujian kesesuaian.
4. Tahap pengujian kebenaran bukti.
5. Tahap penilaian secara umum atas hasil pengujian.
1. Tahap Pemeriksaan Pendahuluan.
Sebelum auditor menentukan sifat dan luas pengujian yang harus dilakukan,
auditor harus memahami bisnis auditi (kebijakan, struktur organisasi, dan praktik
yang dilakukan). Setelah itu, analisis risiko audit merupakan bagian yang sangat
penting. Ini meliputi review atas pengendalian intern. Dalam tahap ini, auditor
juga mengidentifikasi aplikasi yang penting dan berusaha untuk memahami
pengendalian terhadap transaksi yang diproses oleh aplikasi tersebut. pada
tahap ini pula auditor dapat memutuskan apakah audit dapat diteruskan atau
mengundurkan diri dari penugasan audit.
2. Tahap Pemeriksaan Rinci.
Pada tahap ini auditnya berupaya mendapatkan informasi lebih mendalam untuk
memahami pengendalian yang diterapkan dalam sistem komputer klien. Auditor
harus dapat memperkirakan bahwa hasil audit pada akhirnya harus dapat
dijadikan sebagai dasar untuk menilai apakah struktur pengendalian intern yang
diterapkan dapat dipercaya atau tidak. Kuat atau tidaknya pengendalian tersebut
akan menjadi dasar bagi auditor dalam menentukan langkah selanjutnya.
3. Tahap Pengujian Kesesuaian.
Dalam tahap ini, dilakukan pemeriksaan secara terinci saldo akun dan transaksi.
Informasi yang digunakan berada dalam file data yang biasanya harus diambil
menggunakan software CAATTs. Pendekatan basis data menggunakan CAATTs
dan pengujian substantif untuk memeriksa integritas data. Dengan kata lain,
CAATTs digunakan untuk mengambil data untuk mengetahui integritas dan
keandalan data itu sendiri.
4. Tahap Pengujian Kebenaran Bukti.
Tujuan pada tahap pengujian kebenaran bukti adalah untuk mendapatkan bukti
yang cukup kompeten,. Pada tahap ini, pengujian yang dilakukan adalah (Davis
at.all. 1981) :
1) Mengidentifikasi kesalahan dalam pemrosesan data
2) Menilai kualitas data
3) Mengidentifikasi ketidakkonsistenan data
4) Membandingkan data dengan perhitungan fisik
5) Konfirmasi data dengan sumber-sumber dari luar perusahaan.
5. Tahap Penilaian Secara Umum atas Hasil Pengujian.
Pada tahap ini auditor diharapkan telah dapat memberikan penilaian apakah
bukti yang diperoleh dapat atau tidak mendukung informasi yang diaudit. Hasil
penilaian tersebut akan menjadi dasar bagi auditor untuk menyiapkan
pendapatanya dalam laporan auditan. Auditor harus mengintegrasikan hasil
proses dalam pendekatan audit yang diterapkan audit yang diterapkan. Audit
meliputi struktur pengendalian intern yang diterapkan perusahaan, yang
mencakup : (1) pengendalian umum, (2) pengendalian aplikasi, yang terdiri dari :
(a) pengendalian secara manual, (b) pengendalian terhadap output sistem
informasi, dan (c) pengendalian yang sudah diprogram.
PEMAHAMAN PENGENDALIAN UMUM
Pengendalian umum pada perusahaan biasanya dilakukan terhadap aspek fisikal
maupun logikal. Aspek fisikal, terhadap aset-aset fisik perusahaan, sedangkan
aspek logikal biasanya terhadap sistem informasi di level manajemen (misal:
sistem operasi). Pengendalian umum sendiri digolongkan menjadi beberapa,
diantaranya adalah:
1). Pengendalian organisasi dan otorisasi.
Yang dimaksud dengan organisasi disini adalah secara umum terdapat
pemisahan tugas dan jabatan antara pengguna sistem (operasi) dan
administrator sistem (operasi). Disini juga dapat dilihat bahwa pengguna
hanya dapat mengakses sistem apabila memang telah diotorisasi oleh
administrator.
2). Pengendalian operasi.
Operasi sistem informasi dalam perusahaan juga perlu pengendalian
untuk memastikan sistem informasi tersebut dapat beroperasi dengan baik
selayaknya sesuai yang diharapkan.
3) Pengendalian perubahan.
Perubahan-perubahan yang dilakukan terhadap sistem informasi juga
harus dikendalikan. Termasuk pengendalian versi dari sistem informasi
tersebut, catatan perubahan versi,serta manajemen perubahan atas
diimplementasikannya sebuah sistem informasi.
4) Pengendalian akses fisikal dan logikal.
Pengendalian akses fisikal berkaitan dengan akses secara fisik terhadap
fasilitas-fasilitas sistem informasi suatu perusahaan, sedangkan akses
logikal berkaitan dengan pengelolaan akses terhadap sistem operasi
sistem tersebut (misal: windows).
PENGENDALIAN APLIKASI.
PEMAHAMAN PENGENDALIAN APLIKASI
Pengendalian aplikasi yang dimaksud disini adalah prosedur-prosedur
pengendalian yang didisain oleh manajemen organisasi untuk meminimalkan
resiko terhadap aplikasi yang diterapkan perusahaan agar proses bisnisnya
dapat berjalan dengan baik.
Hubungan Pengendalian Umum dan Aplikasi
Hubungan antara pengendalian umum dan aplikasi biasanya bersifat pervasif.
Artinya apabila pengendalian umum terbukti jelek, maka pengendalian
aplikasinya diasumsikan jelek juga, sedangkan bila pengendalian umum terbukti
baik, maka diasumsikan pengendalian aplikasinya juga baik.
Macam Aplikasi
Aplikasi yang dimaksud biasanya berwujud perangkat lunak, yang dapat dibagi
menjadi dua tipe dalam perusahaan untuk kepentingan audit PDE:
1. Perangkat lunak berdiri sendiri. Tipe ini biasanya terdapat pada organisasi
yang belum menerapkan SIA dan sistem ERP, sehingga masih banyak aplikasi
yang berdiri sendiri pada masing-masing unitnya. Sebagai contoh: aplikasi
(software) MYOB pada fungsi akuntansi dan keuangan.
2. Perangkat lunak di server. Tipe ini biasanya terdapat pada organisasi yang
telah menerapkan SIA dan sistem ERP. Aplikasi terinstall pada server sehingga
tipe struktur sistemnya memakai sistem client-server . Client hanya dipakai
sebagai antar-muka (interface) untuk mengakses aplikasi pada server.
Macam Pengendalian Aplikasi
Pengendalian aplikasi dalam organisasi sendiri biasanya dibagi menjadi
beberapa:
1. Organisasi Aplikasi
2. Akses Aplikasi
3. Input
4. Proses
5. Output
6. Master File/Database
Pemahaman atas Pengendalian Organisasi dan Akses Aplikasi
Pada modul ini, kita akan mencoba memahami terlebih dahulu pengendalian
aplikasi:
organisasi dan akses. Pada pengendalian organisasi, hampir sama dengan
pengendalian umum organisasi, namun lebih terfokus pada aplikasi yang
diterapkan perusahaan. Siapa pemilik aplikasi, tugas administrator, pengguna,
hingga pengembangan aplikasi tersebut.
Untuk pengendalian akses, biasanya terpusat hanya pada pengendalian logika
saja untuk menghindari akses tidak terotorisasi. Selain itu juga terdapat
pengendalian role based menu dibalik pengendalian akses logika, dimana hanya
pengguna tertentu saja yang mampu mengakses menu yang telah ditunjuk oleh
administrator. Hal ini berkaitan erat dengan kebijakan TI dan prosedur
perusahaan berkaitan dengan nama pengguna dan sandi nya.
Pemahaman atas Pengendalian Input
Modul ini melanjutkan pengendalian akses dari modul 3.0b, yang pertama
melihat pada proses
pengendalian input. Inti dari pengendalian input adalah memastikan data-data
yang dimasukkan ke dalam sistem telah tervalidasi, akurat, dan terverifikasi.
Beberapa pengendalian input otomatis yang biasa diprogram:
Validation checks
1. Format checks: sesuai dengan format yang ditentukan
2. Range and limit checks
3. Check digits
4. Validity checks (lookup)
5. Compatibility checks (data dan turunan)
Duplicate Checks
Membandingkan dengan input transaksi sebelumnya
Matching
Membandingkan (verifikasi) instan pada satu modul dengan instan modul lain
yang
terhubungkan, contoh: penerimaan barang dengan tagihan
Pemahaman atas Pengendalian Proses
Pengendalian proses biasanya terbagi menjadi dua tahapan, yaitu (1) tahapan
transaksi, dimana proses terjadi pada berkas-berkas transaksi baik yang
sementara maupun yang permanen dan (2) tahapan database, proses yang
dilakukan pada berkas-berkas master.
Adapun tipe pengendalian proses adalah sebagai berikut:
1. Run to run control
2. Pivot totals
3. Control/Hash totals: non numerical control
4. Control accounts
5. Data file control: menghitung instan entitas
6. Transaction validation control
7. File reconciliation control
Pemahaman atas Pengendalian Output
Pada pengendalian ini dilakukan beberapa pengecekan baik secara otomatis
maupun manual (kasat mata) jika output yang dihasilkan juga kasat mata.
Beberapa tipe pengendalian output:
1. Ekspektansi output (logs)
2. Kelengkapan output (misal dengan no halaman)
3. Pengendalian atas spooled output
4. Reasonableness
5. Output rutin
6. Distribusi output
7. Orang yang tepat, ditempat yang benar dalam waktu yang reasonable
8. SQL output
Pemahaman atas Pengendalian Berkas Master
Pada pengendalian ini harus terjadi integritas referensial pada data, sehingga
tidak akan
diketemukan anomali-anomali, seperti:
Anomaly penambahan
Anomaly penghapusan
Anomaly pemuktahiran/pembaruan
Fungsi manajemen mencakup: manajemen puncak, manajemen pengembangan,
manajemen operasi dan pemeliharaan, manajemen kualitas, manajemen
keamanan, dan manajemen data. Sedangkan fungsi aplikasi mencakup sub
fungsi: batas antara pemakai dan sistem aplikasi, input, pemrosesan, basis data,
komunikasi data dan output, prosedur dan dokumentasi. Sedangkan dilihat dari
fungsi aplikasi, sistem informasi dapat dimodelkan seperti pada gambar 4.2.
Gambar Model IPO (Input-Proses-Output) dan Komponen Aplikasi Sistem
Informasi
PENGENALAN KERTAS KERJA
Kertas Kerja:
Kertas kerja audit adalah catatan yang dibuat auditor tentang prosedur yang
diterapkan, pelaksanaan pengujian dan bukti yang diperoleh serta kesimpulan
yang diperoleh selama audit.
Kertas kerja merupakan pendukung utama laporan audit, alat koordinasi dan
supervisi, bukti bahwa auditor telah melakukan audit sesuai dengan standar
auditing yang Berterima umum.
Tujuan Kertas Kerja:
Untuk mendokumentasikan semua bukti audit yang diperoleh selama
pelaksanaan audit.
Untuk mengorganisasikan/mengkoordinasikan semua tahap atau
langkah-langkah audit.
Untuk membantu auditor senior, partner atau pimpinan kantor akuntan
dalam mereview pekerjaan yang dihasilkan oleh stafnya.
Untuk mempermudah atau sebagai dasar penyusunan laporan audit
Sebagai bukti dan penjelasan secara rinci atas pendapat auditor serta
temuan-temuan yang telah dilaporkan dalam laporan audit.
Pedoman Pembuatan Kertas Kerja
Setiap kertas kerja harus bertujuan
Setiap topik dibuatkan kertas kerja sendiri
Indentitas (judul) yang jelas
Diberi indeks atau indeks silang
Semua langkah (prosedur audit) harus dijelaskan
Berisi komentar auditor yang mencerminkan kesimpulan
Ada paraf dan tanggal pembuatan/evaluasi
Penyimpanan terpisah antara yang sudah selesai dengan yang belum
selesai
Jenis Kertas Kerja
Kertas kerja neraca saldo
Jadwal dan analisis
Memo audit dan informasi pendukung
Jurnal penyesuaian dan pengklasifikasian kembali
STANDAR UMUM KERTAS KERJA
Fungsi Kertas Kerja
Pendukung pendapat auditor.
Membantu dalam pengarahan dan pengawasan pekerjaan.
Penyediaan catatan tentang:
1. Prosedur audit yang dilakukan.
2. Pengujian yang dilakukan
3. Informasi yang diperoleh.
4. Kesimpulan yang dicapai.
Menyediakan bukti bahwa audit telah diarahkan menurut Standar
Profesional Audit Internal
Kelengkapan Kertas Kerja
Kertas kerja harus akurat dan lengkap
1. Tidak ada pertanyaan signifikan dalam
lingkup atau yang berhubungan dengan tujuan audit yang tidak
dapat terjawab.
2. Kertas kerja harus berdiri sendiri, dalam
hal ini harus dinyatakan secara jelas bahwa pekerjaan telah
dilaksanakan, bagaimana dan dari mana sampel dipilih, tujuan
kertas kerja, temuan apa saja yang telah dibuat, dan lain-lain.
Setiap bagian dari kertas kerja harus terdiri dari:
1. Gambaran judul
2. Identifikasi sumber jika jelas
3. Tanggal persiapan auditor awal
4. Nomer indeks kertas kerja
PRINSIP LAPORAN AUDIT
Hasil Laporan audit merupakan media yang dipakai oleh auditor dalam
berkomunikasi dengan klien. Laporan audit berupa komunikasi dan ekspresi
auditor terhadap objek yang diaudit agar laporan atau ekspresi auditor tadi dapat
dimengerti maka laporan itu harus mampu dipahami oleh penggunanya.
Laporan audit ini terdiri dari:
1) Maksud dan tujuan dari review pengendalian terhadap penerapan
TI di klien.
2) Ruang lingkup dan referensi pengendalian yang digunakan sebagai
bahan acuan penilaian pengendalian TI yang diterapkan dalam
klien.
3) Metodologi review merupakan langkah-langkah audit dan teknik
pemerolehan informasi untuk mendukung laporan review.
4) Pernyataan penjelasan hasil review:
a) Permasalahan, menjelaskan pokok masalah yang saat ini
dihadapi oleh klien.
b) Temuan, menjelaskan bukti audit untuk mendukung
kesimpulan masalah.
c) Kriteria/standar, menjelaskan pengendalian yang
seharusnya diterapkan oleh klien.
d) Kondisi, menjelaskan sebab dan akibat serta
aktifitas/kegiatan terkini.
e) Risiko, menjelaskan potensi dan dampak negatif terhadap
hilangnya atau tidak diterapkannya pengendalian.
f) Tanggapan manajemen, menjelaskan komentar dan
tanggapan manajemen terhadap permasalahan dan temuan
yang telah disampaikan.
g) Rekomendasi, menjelaskan saran-saran perbaikan dan
implementasi penge pengendalian yang harus diterapkan
dalam kegiatan/aktifitas klien.
Pelaksanaan audit system informasi dilaksanakan berdasarkan risk-based
approach dengan mengacu pada:
1. Pernyataan Standar Audit 57, 59, 60, 63, 64 dan 65
2. COBIT 4.0
3. ISO 17799:2005
4. best practices lainnya (ISACA Guidelines, CISA 2007, COSO, Sarbanes-
Oxley Act, SANS) Pelaksanaan audit dilakukan dengan
Cara yang dapat dilaksanakan adalah:
1. Penyampaian kuisioner
a. Kuisioner Pengendalian Sistem Informasi
b. Kuisioner I – Analisis Pengelolaan Teknologi Informasi,
Management Awareness
c. Kuisioner II – Analisis Pengelolaan Teknologi Informasi, Information
Technology Controls Diagnostic
2. Wawancara
3. Observasi
a. Major application
b. Infrastruktur pendukung data center: air conditioning, smoke
detector, fire extinguisher, hydrant, dll.
c. Sistem Operasi
d. Database
e. Internet, LAN, WAN
f. Perangkat Keras dan Lunak
g. Kebijakan dan Standard Operation Procedure
4. Studi kebijakan, prosedur, dan dokumentasi
5. Pengujian dengan menggunakan perangkat lunak
Referensi Control Objective for Information and related Technology (COBIT):1. Mengamankan Aset Sistem Informasi (Assets Safeguarding)
Aset informasi suatu entitas seperti perangkat keras (hardware),
perangkat lunak (software), sumber daya manusia, file/data dan fasilitas
Teknologi Informasi lainnya harus dijaga dengan sistem pengendalian
internal yang baik agar tidak terjadi misefisiensi, mis-efektifitas, dan
penyalahgunaan aset entitas. Dengan demikian sistem pengamanan
aset sistem informasi merupakan suatu hal yang sangat penting yang
harus dipenuhi oleh entitas.
2. Efektifitas sistem
Efektifitas sistem informasi entitas memiliki peranan penting dalam
proses pengambilan keputusan usaha/bisnis. Suatu sistem informasi
dapat dikatakan efektifbila sistem informasi memberikan manfaat dan
ketepatgunaan teknologi informasi dalam operasi dan administrasi.
3. Efisiensi sistem
Efisiensi menjadi sangat penting ketika sumber daya kapasitas yang
dimiliki oleh entitas terbatas. Jika cara kerja dari sistem aplikasi
komputer menurun maka pihak manajemen, dalam hal ini mewakili
entitas, harus mengevaluasi apakah efisiensi sistem masih memadai
atau harus menambah sumber daya, karena suatu sistem dapat
dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user
dengan sumber daya informasi yang minimal.
4. Memberikan dan mengelola ketersediaan layanan sistem informasi
(Availability) Berhubungan dengan ketersediaan dukungan/layanan
teknologi informasi. Teknologi Informasi hendaknya dapat mendukung
secara berkelanjutan terhadap proses usaha/bisnis entitas. Makin
sering terjadi gangguan (system downtime) maka berarti tingkat
ketersediaan sistem rendah.
5. Menjaga kerahasiaan (Confidentiality)
Fokus kerahasiaan disini ialah perlindungan terhadap informasi dan
supaya terlindung dari akses dari pihak-pihak yang tidak berwenang dan
bertanggungjawab.
6. Meningkatkan kehandalan (Reability)
Berhubungan dengan kesesuaian dan keakuratan bagi manajemen
dalam pengelolaan organ isasi, pelaporan dan pertanggungjawaban.
7. Menjaga integritas data (Data Integrity)
Integritas data adalah salah satu konsep dasar sistem informasi. Data
memiliki atributatribut seperti: kelengkapan, kebenaran, dan keakuratan.
Jika integritas data tidak terpelihara, maka suatu entitas tidak akan lagi
memiliki informasi/laporan yang benar, bahkan entitas dapat menderita k
kerugian karena pengawasan yang tidak tepat atau keputusan-
keputusan yang salah. Faktor utama yang membuat data berharga bagi
entitas dan pentingnya untuk menjaga integritas data adalah:
a. Makna penting data/informasi bagi pengambilan keputusan adalah
peningkatan kualitas data sehingga dapat memberikan informasi bagi
para pengambil keputusan.
b. Nilai data bagi pesaing entitas, jika data tersebut berguna bagi
pesaing maka kehilangan data akan memberikan dampak buruk bagi
entitas. Pesaing dapat menggunakan data tersebut untuk
mengalahkan entitas saingannya sehingga mengakibatkan entitas
menjadi kehilangan pasar, berkurangnya keuntungan, dan sebagainya.
8. Menaati seluruh peraturan dan aturan yang ada dan berlaku saat ini,
baik itu di internal dan eksternal organisasi/entitas (Compliance)
Ketaatan terhadap peraturan yang berlaku baik itu didalam dan luar
entitas memberikan dampak positif dan bernilai tambah guna
memberikan keyakinan yang cukup bagi para pihak yang
berkepentingan entitas khususnya para regulator bahwa entitas
menerapkan prinsip kehati-hatian dengan tidak meniadakan prinsip
biayamanfaat dalam melakukan kegiatan usaha/bisnis entitas
khususnya kegiatan teknologi informasi.
Komponen Aplikasi Sistem Informasi
Sistem informasi merupakan sistem yang mengolah data menjadi informasi untuk
mendukung operasi dan pengambilan keputusan suatu organisasi. Secara fisik,
sistem informasi memiliki 4 komponen, yaitu:
Data/ Informasi (infoware), sebagai masukan dan keluaran dari sistem
informasi.-Sumber daya manusia (brainware), sebagai user dan pengelola
dari sistem informasi.
Teknologi (technoware), yaitu teknologi komputer HW, SW, NW, BD
Prosedur dan Organisasi (organiware), prosedur dibuat dalam bentuk
langkah dan dokumen yang diperlukan/ harus diisi selama pengoperasian
dan pengelolaan sistem. Sedangkan organisasi memberikan wadah untuk
pengelolaan dan pengoperasian sistem informasi. Dilihat dari tipe pemroses
data menjadi informasi, sistem informasi, dibagi menjadi:
Manual, di mana manusia sebagai information processor.
Terotomatisasi, di mana manusia sebagai operator yang menyediakan input-
output, sedangkan komputer menjadi information processor.
Semi manual, di mana information processor, sebagian manusia dan
sebagian komputer.
Dengan demikian, model pada gambar 4.2 ini mengakomodasi sistem informasi
yang manual, semi manual maupun yang terotomatisasi dengan menggunakan
teknologi komputer.
4.1. Model Audit Sistem Informasi Berbasis Kendali
Audit sistem informasi, jika dilihat sebagai model IPO (input-proses-output),
dapat digambarkan seperti gambar 4.3.
Gambar Model Audit Sistem Informasi berbasis Kendali
Audit sistem informasi dilaksanakan untuk mencapai suatu tujuan, yaitu: ingin
mengetahui apakah sistem informasi telah:
Asset safeguard (As), mampu melindungi aset sistem informasi.
Data integrity (Di), apakah mampu menjamin integritas data.
Effectivity (Ek), apakah pengoperasiannya dalam rangka mencapai tujuan
organisasi telah efektif.
Efficiency (En), apakah dalam mencapai tujuan organisasi telah
menggunakan sumber daya organisasi secara efisien.
Untuk mencapai tujuan tersebut, perlu dilakukan penilaian terhadap kondisi
sistem informasi suatu organisasi (fakta). Pengumpulan fakta dilakukan dengan
metode: Wawancara (Wr); Inspeksi (In); Kuisioner (Ks); Tes data (Td); Tes
program (Tp). Metode di atas dapat digunakan secara sendiri atau merupakan
kombinasi. Agar penilaian berlangsung sistematis, maka sistem informasi suatu
organisasi perlu dipartisi terutama berhubungan dengan sistem pengendalian
dalam organisasi tersebut (struktur kendali). Untuk melaksanakan dan
mengevaluasi fakta diperlukan standar dan prosedur audit. Agar penilaian
proporsional, maka perlu dikaitkan dengan tingkat resiko dari masing-masing
kendali dalam struktur kendali organisasi. Pada model yang dirancang:
Tujuan yang ingin dicapai sesuai dengan tujuan dari audit sistem informasi.
Struktur kendali didasarkan pada partisi sistem informasi atas fungsi
manajemen dan fungsi aplikasi, dengan demikian ada kendali manajemen
dan kendali aplikasi.
Standar penilaian, diadopsi dari standar penilaian kualitas ISO-9001-2000.
Resiko setiap kendali digunakan sebagai bobot terhadap tujuan audit.
Dengan demikian setiap kendali memberikan sumbangan terhadap tingkat
pencapain tujuan audit.
Hasil audit, berupa indeks pencapain tujuan untuk keseluruhan dan masing-
masing kendali, serta temuan yang bersifat penyimpangan dan
rekomendasirekomendasi untuk memperbaiki yang terkait dengan pencapaian
tujuan audit sistem informasi.
Tujuan Audit Sistem Informasi
Tujuan audit sistem informasi adalah untuk meninjau dan mengevaluasi
pengendalian internal yang melindungi sistem tersebut. Ketika melakukan audit
sistem informasi, seorang auditor harus memastikan tujuan-tujuan ini terpenuhi:
1. Perlengkapan keamanan melindungi perlengkapan komputer, program,
komunikasi, dan data dari akses yang tidak sah, modifikasi atau
penghancuran.
2. Pengembangan dan perolehan program dilaksanakan sesuai dengan
otorisasi khusus dan umum dari pihak manajemen
3. Modifikasi program dilaksanakan dengan otorisasi dan persetujuan dari pihak
manajemen
4. Pemrosesan transaksi, file laporan dan catatan komputer lainnya telah akurat
dan lengkap.
5. Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang tepat
diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah
ditetapkan.
6. File data komputer telah akurat, lengkap dan dijaga kerahasiaannya.
Tujuan audit tersebut diatas berkaitan dengan komponen dari sistem informasi.
Keterkaitan antara tujuan audit dan komponen sistem informasi dapat dilihat
pada gambar 1.
Gambar. Komponen sistem informasi dan tujuan audit yang berkaitan
Waktu Pelaksanaan Audit
Dalam proses pengembangan suatu sistem informasi yang signifikan, perlu
dilakukan audit, baik itu sebelum atau pada saat implementasi ( pre-
implementation system ), maupun setelah sistem “live” ( post-implementation
system ).
Manfaat audit Pre-Implementation System:
1. Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan
kebutuhan ataupun memenuhi acceptance criteria.
2. Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
3. Mengetahui apakah outcome sesuai dengan harapan manajemen.
Manfaat audit Post-Implementation System:
1. Institusi mendapat masukan atas risiko-risiko yang masih ada dan saran
untuk penanganannya.
2. Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan
sistem, perencanaan strategis dan anggaran pada periode berikutnya.
3. Bahan untuk perencanaan strategis dan rencana anggaran di masa datang.
4. Memberikan reasonable assurance bahwa sistem informasi telah sesuai
dengan kebijakan atau prosedur yang telah ditetapkan.
5. Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan
dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang
berwenang untuk melakukan pemeriksaan.
6. Membantu dalam penilaian apakah initial proposed values telah terealisasi
dan saran tindak lanjutnya.
Spesialis Audit Sistem Informasi
Kegiatan audit sistem informasi hendaklah dilakukan oleh seorang spesialis audit
sistem informasi. Spesialis audit sistem informasi mereview dan mengaudit
seluruh area pada sistem informasi berkaitan dengan standard sesuai dengan
organisasimisal profesional, hukum, aturan, kebijaksanaan organisasi,
metodologi, pelaksanaan, integritas juga efektifitas biaya, kehandalan dan
efisiensi.
Adapun fungsi dari spesialis audit sistem informasi adalah sebagai berikut:
1. Memimpin pelaksanaan audit dan review prosedur sistem. (seperti : sistem
aplikasi, sistem perangkat keras, kebijaksanaan dan prosedur sekuriti,
integritas DBMS, perangkat lunak sistem, prosedur komunikasi/jaringan
komputer, operasi komputer) berdasarkan pertimbangan kepada : hukum
yang berkaitan dengan teknologi Informasi, kebijaksanaan organisasi,
metodologi, praktek profesional, dan lainnya.
2. Memimpin pelaksanaan review sistem komputer dan informasi berkaitan
dengan kehandalan, efisiensi, dan efektifitas biaya
3. Memimpin audit/review produktivitas sumber daya manusia teknologi
Informasi
4. Merencakan, menjadwal sumber daya untuk aktifitas audit
5. Memimpin audit/review sistem informasi yang sedang dikembangkan untuk
menjamin agar sesuai dengan standard
6. Mengembangkan dan merawat objektif dan prosedur audit organisasi
Hasil yang diharapkan dari kegiatan audit sistem informasi yang dilakukan oleh
seorang spesialis audit sistem informasi adalah sebagai berikut:
1. Dokumentasi obyektif , perencanaan, prosedur dan laporan audit.
2. Review secara berkala untuk memeriksa peningkatan kemampuan sistem
Untuk dapat melaksanakan tugasnya dengan baik, seorang spesialis audit sistem
informasi harus memiliki pengetahuan dan ketrampilan sebagai berikut:
1. Siklus pengembangan sistem informasi
2. Analisis sistem dan teknik disain tingkat lanjutan serta metodologi
pengembangan sistem.
3. Pemahaman yang baik, menangani sistem aplikasi, protokol komunikasi dan
jaringan, dan operasi komputer
4. Pemahaman yang baik mengenai standard kualitas internasional, aturan-
aturan Teknologi Informasi, kebijaksanaan organisasi, metodologi dan lain
sebagainya.
5. Ketrampilan intepersonal yang baik
6. Harus dapat berargumentasi secara persuasif pada pertemuan informal dan
formal.
7. Memiliki kemampuan menulis laporan dan teknis presentasi yang sangat baik
8. Memiliki ketrampilan otomasi perkantoran (word processing, spreadsheet,
graphics) yang sangat baik.
9. Metodologi audit yang sangat baik
10. Kemampuan di atas raata-rata dalam mengobservasi detail dan terus
menerus.
Selain pengetahuan dan ketrampilan diatas seorang spesialis audit sistem
informasi juga dituntut memenuhi syarat untuk akreditasi pribadi di bawah suatu
system sertifikasi kualitas yang diakui secara internasional. Salah satu sertifikasi
profesional sebagai standar pencapaian prestasi dalam bidang audit, kontrol, dan
keamanan sistem informasi yang telah diterima secara internasional adalah
CISA® (Certified Information Systems Auditor) yang dikeluarkan oleh ISACA
(Information Systems Audit and Control Association).
Studi Kasus Sebuah Bank Swasta terkemuka menunjuk tim audit TI Ernst & Young untuk
melakukan review atas penerapan sistem Perbankan yang terintegrasi.
Pemeriksaan ini terbagi dalam dua fase. Pada fase pertama mencakup kegiatan,
sebagai berikut:
1. Manajemen Proyek
Melakukan review atas manajemen proyek untuk memastikan bahwa semua
outcome yang diharapkan tertuang dalam rencana proyek. Pada tahapan ini,
auditor TI melakukan review atas project charter, sumber daya yang akan
digunakan, alokasi penugasan dan analisa tahapan pekerjaan proyek.
2. Desain Proses dan Pengendalian Kontrol Aplikasi
Review mengenai desain pengendalian dalam modul-modul Perbankan tersebut,
yaitu pinjaman dan tabungan. Untuk itu dilakukan review atas desain proses
dimana auditor mengevaluasi proses, risiko dan pengendalian mulai dari tahapan
input, proses maupun output.
3. Desain Infrastruktur
Review ini mencakup analisa efektivitas dan efisiensi desain infrastruktur
pendukung (server, workstation, sistem operasi, database dan komunikasi data).
Hasil follow up dijadikan dasar oleh manajemen untuk memulai implementasi
sistem Perbankan yang terintegrasi tersebut. Berdasarkan nilai tambah yang
diberikan melalui rekomendasi pada fase pertama, perusahaan menunjuk
kembali auditor untuk melakukan review fase kedua secara paralel pada saat
implementasi dilakukan, yaitu review terhadap:
Migrasi data, pada saat “roll-out” ke cabang-cabang, termasuk
kapasitas pemrosesan dan penyimpanannya.
Aspek lainnya termasuk persiapan help-desk , contingency dan
security .
Kesiapan pemakai dalam menggunakan sistem ini, kualitas
pelatihan yang diberikan dan dokumentasi pengguna ( user manual )
Prosedur-prosedur manajemen perubahan ( change management
) dan testing
Auditor selanjutnya diminta memberikan saran mengenai risiko-risiko yang masih
tersisa, sebelum manajemen memutuskan sistem barunya dapat “go-live”.
Audit TI: Sebelum atau Sesudah
Seiring dengan makin banyaknya institusi, baik pemerintahan maupun swasta,
yang mengandalkan TI untuk mendukung jalannya operasional sehari-hari, maka
kesadaran akan perlunya dilakukan review atas pengembangan suatu sistem
informasi semakin meningkat.
Risiko-risiko yang mungkin ditimbulkan sebagai akibat dari gagalnya
pengembangan suatu sistem informasi, antara lain:
Biaya pengembangan sistem melampaui anggaran yang
ditetapkan.
Sistem tidak dapat diimplementasikan sesuai dengan jadwal yang
ditetapkan.
Sistem yang telah dibangun tidak memenuhi kebutuhan
pengguna.
Sistem yang dibangun tidak memberikan dampak effisiensi dan
nilai ekonomis terhadap jalannya operasi institusi, baik pada masa
sekarang maupun masa datang.
Sistem yang berjalan tidak menaati perjanjian dengan pihak ketiga
atau memenuhi aturan yang berlaku.
Untuk mengantisipasi hal itu, perusahaan menginginkan adanya assurance dari
pihak yang berkompeten dan independen mengenai kondisi sistem TI yang akan
atau sedang mereka gunakan. Pihak yang paling berkompeten dan memiliki
keahlian untuk melakukan review tersebut adalah Auditor Sistem Informasi
(Auditor TI).
Pekerjaan auditor TI ini belum banyak dikenal di Indonesia . Di samping itu,
jumlah tenaga auditor TI yang menyandang sertifikasi Internasional ( CISA,
Certified Information System Auditor ) juga masih sangat terbatas.
Best Practice menyarankan agar dalam proses pengembangan suatu sistem
informasi yang signifikan, perlu dilakukan review, baik itu sebelum atau pada saat
implementasi ( pre-implementation system ), maupun setelah sistem “live” ( post-
implementation system ).
Manfaat Pre-Implementation Review:
Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai
dengan kebutuhan ataupun memenuhi acceptance criteria.
Mengetahui apakah pemakai telah siap menggunakan sistem
tersebut.
Mengetahui apakah outcome sesuai dengan harapan manajemen.
Manfaat Post-Implementation Review:
Institusi mendapat masukan atas risiko-risiko yang masih ada dan
saran untuk penanganannya.
Masukan-masukan tersebut dimasukkan dalam agenda
penyempurnaan sistem, perencanaan strategis dan anggaran pada
periode berikutnya.
Bahan untuk perencanaan strategis dan rencana anggaran di
masa datang.
Memberikan reasonable assurance bahwa sistem informasi telah
sesuai dengan kebijakan atau prosedur yang telah ditetapkan.
Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah
diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak
lain yang berwenang untuk melakukan pemeriksaan.
Sumber : ebizzasia.com