peng antar audits i

Upload: bond2x

Post on 18-Jul-2015

693 views

Category:

Documents


1 download

TRANSCRIPT

Pengantar Audit Sistem InformasiDisusun Oleh: Tim Penyusun Modul Program Pendidikan Non Gelar Auditor Sektor Publik

SEKOLAH TINGGI AKUNTANSI NEGARA 2007

Pengantar Audit Sistem Informasi Oleh Tim Penyusun Modul Program Pendidikan Non Gelar Auditor Sektor Publik Sekolah Tinggi Akuntansi Negara Badan Pendidikan dan Pelatihan Keuangan (BPPK) Departemen Keuangan Republik Indonesia Bekerja sama dengan Yayasan Pendidikan Internal Audit (YPIA)

Desain sampul dan isi : Tim YPIA

Diterbitkan pertama kali oleh : Sekolah Tinggi Akuntansi Negara Jl. Bintaro Utama Sektor V Bintaro Jaya Tangerang 15223 Indonesia Telp : 021 7361654 - 56 Fax : 021 7361653

Cetakan Pertama : Desember 2007

Buku ini bisa di download bebas melalui Website : www.stan-star.ac.id

Kata

Sambutan

Dengan mengucapkan syukur alhamdulillah pada tahun 2007 ini Sekolah Tinggi Akuntansi Negara (STAN) dipercaya oleh Asian Development Bank (ADB) untuk melaksanakan salah satu kegiatan reformasi birokrasi yakni penyusunan program pelatihan auditor internal non-gelar bagi Inspektorat di daerah. Hal ini didasarkan pada tekad pemerintah untuk melakukan reformasi dalam penyelenggaraan pemerintahan dalam kerangka good governance mencakup reformasi audit pemerintahan daerah. Dalam hubungan ini, pemerintah telah menetapkan proyek yang disebut dengan State Audit Reform Sector Development Project (STAR-SDP). Pelaksanaan STAR-SDP mendapat dukungan pendanaan yang berasal dari Asian Development Bank (ADB) dan pemerintah Belanda. Sejalan dengan tekad untuk menyukseskan penyelenggaraan otonomi daerah, pemerintah juga menetapkan bahwa STAR-SDP mencakup proyek peningkatan kuantitas dan kualitas auditor di lingkungan pemerintah daerah melalui program pendidikan jangka pendek (non-gelar). Proyek pendidikan non-gelar bagi auditor inspektorat daerah ini diserahkan kepada STAN Badan Pendidikan dan Pelatihan Keuangan (BPPK) Departemen Keuangan RI dan pelaksanaannya harus melibatkan konsultan independen serta didukung oleh Badan Perencanaan Pembangunan Nasional (BAPPENAS). Modul ini merupakan bagian dari kegiatan STAR-SDP tersebut yang dikhususkan bagi auditor inspektorat daerah. Semoga modul ini bermanfaat bagi para auditor inspektorat daerah dan para instruktur pelatihan audit internal sektor publik serta pihak lain yang tertarik untuk mendalami audit internal sektor publik. Selaku pimpinan STAN saya sangat bangga dengan kegiatan ini dan peningkatan yang telah dicapai khususnya dalam hal pengembangan Sumber Daya Manusia (SDM) aparatur negara, namun tidak cukup sampai di sini, kita harus dapat mencapai kinerja yang lebih baik di masa mendatang.

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

Akhirnya pada kesempatan ini, atas nama Direktur Sekolah Tinggi Akuntansi Negara saya mengucapkan terima kasih kepada seluruh pihak yang penuh dedikasi telah bekerja keras dalam pembuatan modul ini dan juga pihak BAPPENAS serta Tim Teknis STAR-SDP STAN yang telah mendukung dengan kemampuan profesionalisme sehingga proyek ini dapat berhasil dengan baik. Semoga di tahun-tahun mendatang kita tetap meningkatkan kinerja.

Suyono Salamun, Ph.D Direktur Sekolah Tinggi Akuntansi Negara

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

Pengantar Audit Sistem Informasi

Daftar

Isii

Daftar Isi..................

BAB 1 Kebutuhan Pemerintah Daerah terhadap Teknologi Informasi.. 01 A. Pendahuluan 01 B. Layanan Pemda dan proses kerja pendukung .. 02 C. Peran teknologi informasi bagi terselenggaranya layanan yang efektif. 03 1. Kriteria penyelenggaraan layanan... 03 2. Peran Teknologi Informasi dalam mencapai kriteria penyelenggaraan layanan........ 04

BAB 2 Otomasi proses kerja................................................................. 05 A. Proses kerja sebagai suatu sistem... 05 B. Unsur system proses kerja yang terotomasi... 06 1. Kebijakan, standar dan prosedur.... 07 2. Kinerja dan Risiko ........ 07 3. Peran, uraian kerja dan kompetensi SDM ....... 08 4. Formulir dan alat kerja ..... 09 5. Metode pemrosesan transaksi ... 09 6. Software aplikasi ... 10 7. Source code dan object code ..... 11 8. Software database 12 9. Software sistem operasi (operating system) 13 10. Komputer ........... 14 11. Jaringan .. 15 12. Lisensi . 17 C. Solusi otomasi proses kerja .. 19 1. Mengumpulkan rincian kebutuan dan persyaratan akan otomasi proses kerja........................... 19 2. Mengumpulkan informasi tentang semua solusi otomasi yang ada ........................................................................ 20

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

i

Pengantar Audit Sistem Informasi

3. Analisis kelayakan solusi . 21 4. Mengevaluasi vendor 22 5. Kepemilikan atas source code 22 D. Memilih solusi otomasi proses kerja yang tepat 23 1. Pengelolaan proyek ............. 23 2. Pengembangan software .. 24 BAB 3 Perencanaan Teknologi Informasi..... 27 A. Perencanaan teknologi informasi . 27 1. Rencana jangka panjang dan jangka pendek TI . 27 2. Keselarasan tujuan TI dengan tujuan Pemerintah Daerah... 28 3. Anggaran TI ............................ 29 B. Organisasi Teknologi Informasi .... 29 1. Komite pengarah TI .. 29 2. Struktur organisasi TI 30 3. Keahlian yang dibutuhkan 31 C. Operasionalisasi Teknologi Informasi.. 31 1. Dukungan pengguna . 32 2. Kesepakatan tingkat layanan kepada unit kerja .. 32 3. Back up dan restore .. 33 4. Kinerja sistem dan kapasitas .. 33 5. Keamanan sistem . 34 6. Aktiva tetap dan lisensi 35 BAB 4 Pengendalian Teknologi Informasi 37 A. Jenis-jenis Pengendalian Teknologi Informasi 37 B. Pengendalian umum . 38 1. Pengendalian organisasi dan operasi. 38 2. Pengendalian dalam pengembangan sistem 42 3. Pengendalian atas dokumentasi . 43 4. Pengendalian akses terhadap TI. 44 C. Pengendalian Aplikasi 45 1. Pengendalian tahapan pemasukan data .. 46 2. Pengendalian tahapan pemrosesan data........................... 51 3. Pengendalian tahapan keluaran .... 53 D. Asas manfaat dan biaya dalam pengendalian Teknologi Informasi................................................................................. 60 E. Contoh prosedur pelaksanaan pengujian atas pengendalian TI ................................................................................. 60

ii

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

Pengantar Audit Sistem InformasiBAB 5 Audit Sistem Informasi.............................................................. 63 A. Jenis Audit Teknologi Sistem Informasi ................................. 63 1. Audit Manajemen/operasional teknologi sistem informasi...... 63 2. Audit Aplikasi Sistem Informasi........................................... 68 B. Pendekatan audit teknologi sistem informasi.......................... 72 1. Audit around the computer.................................................. 72 2. Audit through the computer................................................. 73 C. Teknik Audit Teknologi Sistem Informasi................................ 74 1. Teknik audit tanpa bantuan komputer................................. 74 2. Teknik audit dengan bantuan komputer.............................. 75

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

iii

Pengantar Audit Sistem Informasi

Halaman ini sengaja dikosongkan

iv

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

Pengantar Audit Sistem Informasi

1 Kebutuhan Pemerintah Daerah Terhadap TeknologiBab

Informasi

Setelah mempelajari bab ini, diharapkan pembaca dapat: Menjelaskan peta layanan Pemda kepada masyarakat dan keterkaitan antara layanan yang satu dengan lainnya Menguraikan berbagai azas umum penyelenggaraan Negara Menjelaskan beberapa hal yang dapat menyebabkan tidak tercapainya azas umum penyelenggaraan Negara Menjelaskan bahwa teknologi informasi dapat membantu tercapainya azas umum penyelenggaraan Negara.

A. Pendahuluan Dengan perkembangan teknologi informasi dan komunikasi yang merambah ke semua bidang, baik disadari maupun tidak disadari, kita telah mendapatkan berbagai kemudahan dari dukungan teknologi tersebut. Tuntutan dari dalam hati nurani tentang kemudahan tersebut juga selalu meningkat pada semua kalangan masyarakat, termasuk kemudahan dalam berurusan dengan pemerintah daerah. Hal ini akan memicu para abdi negara di lingkungan pemerintah daerah untuk meningkatkan pelayanan mereka kepada masyarakat melalui otomasi proses kerjanya. Sudah banyak berita di media massa bahwa beberapa otomasi proses kerja menimbulkan dampak negatif berupa pemborosan dan ketidak-efisienan dalam pelaksanaan proyek maupun adanya hasil otomasi yang tidak digunakan. Terhadap masalah tersebut, para auditor di Inspektorat juga dituntut untuk dapat mengungkapkan adanya temuan audit dalam hal otomasi proses kerjanya.

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

01

Pengantar Audit Sistem InformasiModul "Pengantar Audit Sistem Informasi" ini di susun untuk bahan pelatihan di lingkungan Inspektorat Provinsi/Kabupaten/Kota tentang otomasi proses kerja di lingkungan pemerintah daerah beserta aspek pengendalian dan proses auditnya. Modul ini bertujuan memberikan pemahaman kepada pembaca tentang : Berbagai jenis layanan kerja dalam lingkup pemerintah daerah yang memerlukan dukungan teknologi informasi. Otomasi proses kerja beserta unsur-unsurnya Pelaksanaan otomasi proses kerja Pengendalian teknologi informasi, dan Audit sistem informasi Karena modul ini masih bersifat pengantar, maka para auditor di lingkungan Inspektorat, setelah mempelajari modul ini tidak diharapkan untuk dapat menyiapkan prosedur audit yang detil dan mendalam atas proses kerja berbasis komputer, namun auditor tersebut diharapkan dapat menambah wawasan dalam mengembangkan finding dan memberikan rekomendasi atas finding yang menyangkut proses kerja yang berbasis komputer. Walaupun bersifat pengantar, modul ini telah memberikan gambaran lengkap secara garis besar tentang tahapan proses otomasi dan pengendaliannya. Dengan mempelajari modul ini, para pembaca mempunyai bekal untuk dapat menganalisis mengapa suatu proyek otomasi proses kerja tidak berhasil, unsur apa saja yang mempengaruhi keberhasilan otomasi proses kerja, pengendalian apa yang perlu diterapkan dalam otomasi. Untuk selanjutnya modul ini diharapkan dapat memicu para pembacanya untuk meningkatkan keahliannya dalam bidang audit terhadap sistem informasi, bahkan diharapkan dapat menarik minat auditor untuk menjadi spesialis dalam bidang audit sistem informasi. B. Layanan Pemda dan proses kerja pendukung 1. Fungsi dan layanan pemerintah daerah Selain menangani hubungan pemerintahan dengan pemerintah pusat dan pemerintah daerah lainnya terkait dengan hubungan wewenang, keuangan, pelayanan umum, pemanfaatan sumber daya alam dan pemanfaatan sumber daya lainnya, pemerintah daerah juga menangani urusan lainnya yang bertujuan untuk meningkatkan kesejahteraan masyarakat, pelayanan umum, dan daya saing daerah.

02

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

Pengantar Audit Sistem InformasiPelayanan pemerintah daerah yang ditujukan langsung kepada masyarakat antara lain: a. Administrasi kependudukan b. Administrasi pendidikan c. Penyediaan fasilitas pelayanan kesehatan d. Penyediaan fasilitas sosial dan fasilitas umum e. Penyediaan sistem jaminan sosial 2. Proses kerja pendukung penyelenggaraan layanan Untuk dapat melaksanakan fungsi dan layanan seperti diuraikan diatas, pemerintah daerah memiliki perangkat daerah yang terdiri dari: Sekretariat Daerah, Dinas Daerah, dan Lembaga Teknis Daerah ditambah kecamatan dan kelurahan jika pemerintah daerah tersebut adalah pemerintah daerah Kabupaten/Kota. Pemerintah daerah memiliki berbagai proses kerja internal yang merupakan proses kerja dukungan bagi pelaksanaan fungsi dan layanan eksternal pemerintahan daerah termasuk proses kerja yang ada pada Sekretariat Daerah, Dinas Daerah, dan Lembaga Teknis Daerah, misalnya proses kerja untuk mengelola uang yang terdiri dari pemasukan, penyimpanan dan pembelanjaan. Pembiayaan untuk penyelenggaraan urusan pemerintahan yang menjadi kewenangan daerah didanai dari anggaran pendapatan dan belanja daerah. Oleh karena itu pemerintah daerah harus melakukan pengelolaan proses kerja perencanaan, pelaksanaan, penatausahaan, pelaporan, dan pertanggungjawaban, serta pengawasan keuangan daerah. Pengelolaan keuangan daerah termasuk sumber pendapatan daerah termasuk di dalamnya adalah pajak daerah, retribusi daerah, dana perimbangan dan pendapatan asli daerah lainnya yang sah. C. Peran teknologi informasi bagi terselenggaranya layanan yang efektif 1. Kriteria penyelenggaraan layanan Kriteria penyelenggaraan layanan mengacu pada Asas Umum Penyelenggaraan Negara yang terdiri atas: a. Asas kepastian hukum; b. Asas tertib penyelenggara negara; c. Asas kepentingan umum;

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

03

Pengantar Audit Sistem Informasid. Asas keterbukaan; e. Asas proporsionalitas; f. Asas profesionalitas; g. Asas akuntabilitas; h. Asas efisiensi; dan i. Asas efektivitas. Kriteria tersebut penting untuk dijadikan sebagai dasar perancangan, pengoperasionalan, dan penyempurnaan semua proses kerja yang dibutuhkan agar pemerintah daerah dapat melaksanakan semua kewajibannya. Selain mengacu pada Asas Umum Penyelenggaraan Negara, tentu saja proses kerja tidak boleh melanggar Undang-Undang dan peraturan yang ada. 2. Peran Teknologi Informasi dalam mencapai kriteria penyelenggaraan layanan Salah satu faktor utama yang perlu diperhatikan agar pengelolaan pemerintah daerah dapat berhasil adalah kualitas pengelolaan semua proses kerja sejak dari perancangan, pengoperasian dan penyempurnaannya. Teknologi informasi dapat digunakan untuk melakukan otomasi semua proses kerja yang ada baik untuk kebutuhan eksternal maupun internal. Teknologi informasi mempunyai potensi yang luar biasa untuk bisa membantu pemerintah daerah melakukan pengelolaan proses kerja yang sesuai dengan Asas Umum Penyelenggaraan Negara karena memiliki kemampuan untuk melakukan pemrosesan data secara cepat, konsisten, dan dalam jumlah besar. Ada banyak hal yang dapat menyebabkan suatu proses kerja pemerintahan daerah tetap tidak bisa memenuhi Asas Umum Penyelenggaraan Negara walau sudah diotomasi menggunakan TI. Hal tersebut dapat terjadi pada tahapan antara lain: a. Penetapan kebutuhan user dan persyaratan pengendalian dan manajemen; b. Perancangan dan pengembangan program aplikasi; c. Pemilihan program aplikasi dan kastemisasi-nya; d. Proses test atau pengujian atas aplikasi yang dikembangkan maupun yang dibeli.

04

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

Pengantar Audit Sistem Informasi

Otomasi

Bab

2

Proses KerjaSetelah mempelajari bab ini, diharapkan pembaca dapat: Menjelaskan bahwa proses kerja dalam penyelenggaraan pemerintahan daerah merupakan suatu sistem informasi Menguraikan unsur-unsur yang membentuk sistem proses kerja yang berbasis komputer (terotomasi). Menjelaskan cara untuk memilih solusi otomasi proses kerja yang tepat. Menjelaskan tahapan untuk menetapkan solusi otomasi proses kerja yang tepat.

A. Proses kerja sebagai suatu sistem Proses kerja dalam suatu unit organisasi dapat diumpamakan (dianalogikan) dengan proses kerja yang ada dalam tubuh manusia. Di dalam tubuh manusia terdapat banyak sekali proses kerja, seperti proses kerja penyaluran bahan makanan ke seluruh bagian tubuh manusia melalui jaringan peredaran darah, proses kerja masuknya informasi dari mata (dengan membaca) melalui syaraf penglihatan hingga menuju ke jaringan otak yang akan menyimpan informasi tersebut, proses kerja pengolahan sari makanan dengan oksigen menjadi tenaga, untuk melaksanakan aktivitas manusia atau ditumpuk menjadi lemak dalam tubuh manusia, dan sisanya dibuang dalam bentuk air seni maupun keringat, dan proses kerja lainnya. Suatu proses kerja tersebut dapat merupakan bagian (sub) dari suatu proses kerja lainya, misalnya proses kerja penyerapan sari makanan di dalam usus halus ke dalam darah merupakan bagian (sub) dari proses kerja penyaluran bahan makanan ke seluruh bagian tubuh. Demikian pula beberapa proses kerja bisa dikelompokkan dalam suatu proses kerja yang lebih besar, seperti proses kerja penyaluran bahan makanan ke seluruh bagian tubuh manusia

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

05

Pengantar Audit Sistem Informasidan proses kerja pengolahan sari makanan menjadi tenaga, lemak, atau keringat, dikelompokkan atau membentuk suatu proses kerja yang lebih besar, yaitu proses kerja metabolisme tubuh manusia. Dalam bahasa yang lebih teknis, suatu proses kerja tertentu disebut dengan istilah sistem. Suatu sistem bisa terdiri dari berbagai unsur atau bagian yang lebih kecil yang dikenal dengan istilah sub sistem. Demikian pula, kumpulan beberapa sistem dapat membentuk suatu sistem yang lebih besar yang dikenal dengan istilah super sistem. Dianalogikan dengan sistem metabolisme tubuh manusia, suatu organisasi juga merupakan suatu sistem. Pemerintah Daerah adalah suatu sistem yang merupakan sekumpulan beberapa sistem (sub sistem) yang lebih kecil, seperti Proses Kerja/Unit Pendapatan Daerah, Proses Kerja Kependudukan, Proses Kerja Kesejahteraan Sosial, dan proses kerja lainnya. Demikian pula, proses kerja Pemda Tk I, proses kerja Pemda Tk II, proses kerja Pemerintah Pusat, semuanya membentuk suatu proses kerja yang lebih tinggi, yaitu Proses Kerja Negara RI. Demikian seterusnya dalam mengidentifikasi suatu proses kerja sebagai suatu sistem. Hasil akhir suatu proses kerja dari suatu organisasi ialah suatu informasi yang berguna bagi manajemen untuk proses pengambilan keputusan, atau berguna bagi pemakai informasi tersebut, termasuk karyawan, rekanan, Ditjen Pajak, dan pihak lainnya dalam proses pengambilan keputusan masing-masing pemakai informasi tersebut. Karena hasil akhirnya adalah suatu informasi, maka proses kerja tersebut dapat digolongkan sebagai suatu sistem informasi. B. Unsur sistem proses kerja yang terotomasi Seiring dengan perkembangan teknologi dan makin berkembangnya kebutuhan informasi dengan cepat dan akurat, maka proses kerja suatu organisasi atau yang dikenal juga dengan sistem informasi organisasi tersebut akan sangat terbantu dengan adanya layanan teknologi informasi (TI) yang secara silih berganti sering juga disebut dengan teknologi sistem informasi (TSI). Bentuk paling nyata dari layanan teknologi informasi (TI/TSI) adalah usaha-usaha untuk melakukan komputerisasi proses kerja organisasi. Kita akan menemukan banyak sekali variasi bentuk hasil 'penyatuan' antara proses kerja dan teknologi informasi.

06

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

Pengantar Audit Sistem InformasiBentuk yang paling sederhana adalah ketika komputer difungsikan hanya sebagai tempat penyimpanan data seperti layaknya suatu lemari arsip. Data yang di input ke dalam komputer biasanya adalah data yang sudah final di mana mekanisme verifikasi dan validasi dilakukan secara manual. Hasil komputerisasi proses kerja yang demikian tentu saja berguna tetapi manfaatnya kurang optimal bagi organisasi karena sebagian proses kerja tersebut praktis masih dilakukan secara manual. Pemahaman yang menyeluruh mengenai proses kerja dan teknologi informasi akan mempengaruhi kesempurnaan perancangan komputerisasi proses kerja. Berikut ini adalah unsur-unsur atau kondisi yang diperlukan agar proses kerja yang menggunakan teknologi informasi dapat berjalan dengan baik sesuai dengan yang diharapkan. 1. Kebijakan, standar dan prosedur Proses kerja akan berjalan seperti yang diharapkan manajemen hanya jika proses kerja tersebut berjalan sesuai dengan kebijakan, standar dan prosedur yang telah ditetapkan. Komputerisasi yang dilakukan pada proses kerja yang tidak teratur akan memiliki tingkat keberhasilan yang rendah atau kurang memberikan manfaat jika komputerisasi tersebut dinyatakan selesai. 2. Kinerja dan Risiko Setiap proses kerja yang ditetapkan oleh suatu unit kerja memiliki suatu tujuan tertentu. Sebagai contoh, proses kerja penerimaan keluhan masyarakat yang bertujuan untuk menerima dan mencatat semua keluhan masyarakat dengan lengkap dan jelas. Untuk mengetahui apakah suatu proses kerja menghasilkan kinerja yang baik dalam mencapai tujuannya maka perlu dibuatkan suatu tolok ukur yang menggambarkan kinerja proses kerja tersebut dalam melaksanakan hal-hal yang penting dalam proses kerja tersebut. Hal itu sering disebut dengan istilah KPI atau Key Performance Indicator. Selain itu, manajemen organisasi akan berusaha agar tidak terjadi sesuatu di luar perkiraannya yang dapat membuat suatu proses kerja tidak dapat berjalan semestinya dalam mencapai tujuan yang telah ditetapkan. Hal itu sering disebut dengan risiko.

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

07

Pengantar Audit Sistem InformasiPada prinsipnya suatu risiko akan selalu ada pada suatu proses kerja dan tidak dapat dihilangkan, namun hanya dapat dikurangi atau diminimalkan. Untuk mencegah dan/atau meminimalkan suatu risiko, manajemen dapat merancang dan menerapkan suatu cara yang disebut dengan istilah sistem pengendalian atau kontrol. Untuk mencegah dan/atau meminimalkan dampak dari risiko tersebut, manajemen perlu merancang sistem pengendalian atau sering disebut kontrol. Dalam hal ini manajemen juga berkeinginan untuk memonitor kinerja kontrol yang telah diimplementasikan melalui suatu ukuran-ukuran yang sering disebut dengan istilah KRI atau Key Risk Indicator. Komputerisasi proses kerja yang tidak memasukkan pengelolaan kinerja dan risiko akan memberikan manfaat yang kurang optimal bagi organisasi. 3. Peran, uraian kerja dan kompetensi SDM Proses kerja adalah merupakan sekumpulan aktivitas yang dilakukan oleh orang-orang yang secara organisasi memiliki kewenangan untuk melakukan peran tertentu dalam proses kerja tersebut. Sebagai contoh, seorang bendaharawan akan melakukan pengeluaran uang dan/atau pembayaran tagihan dari vendor pada proses pengadaan barang atau jasa. Bendaharawan tersebut juga berperan sebagai pembayar pada proses kerja pembayaran gaji. Untuk mengetahui berbagai peran bendaharawan pada proses kerja terkait, kita dapat melihatnya pada uraian kerja (job description) bendaharawan. Dengan demikian, kinerja suatu proses kerja sangat bergantung pada kemampuan/kompetensi dan keahlian orang-orang yang memiliki dan melaksanakan peran dalam proses kerja yang bersangkutan. Demikian pula, keberhasilan suatu komputerisasi proses kerja juga sangat membutuhkan keterlibatan orang-orang yang kompeten, baik pada tingkat staf maupun tingkat manajer, yang memegang peran dalam komputerisasi proses kerja tersebut, mulai dari tahapan penentuan kebutuhan untuk dilakukannya komputerisasi proses kerja, analisis kebutuhan tersebut, perancangan komputerisasi proses kerja, pelaksanaan uji coba hasil komputerisasi, hingga penerapan (implementasi) proses kerja yang dikomputerisasi tersebut. Setelah proses kerja yang dikomputerisasi diterapkan dalam suatu unit organisasi, maka terhadap orang-orang yang terlibat dalam proses kerja

08

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

Pengantar Audit Sistem Informasitersebut juga harus dilatih untuk melakukan cara kerja yang baru, yang telah berubah dari proses kerja yang lama ke proses yang baru (setelah dikomputerisasi). Dengan demikian nampak jelas bahwa untuk melakukan komputerisasi suatu proses kerja akan melibatkan dua kelompok besar SDM, yaitu SDM yang terlibat dalam proses kerja yang akan dikomputerisasi, atau dikenal dengan istilah pengguna sistem (system user), dan kelompok SDM yang mempunyai keahlian dalam bidang teknologi informasi, atau dikenal dengan istilah spesialis dalam teknologi informasi (IT specialist). Masing-masing personil dalam dua kelompok kerja tersebut sama-sama mempunyai peran yang penting sesuai dengan keahlian masing-masing. Untuk menetapkan tanggung jawab yang jelas dalam pelaksanaan peran masing-masing individu, suatu organisasi seharusnya didukung dengan suatu struktur organisasi yang dilengkapi dengan uraian kerja masingmasing sesuai dengan perannya. 4. Formulir dan alat kerja Dalam melaksanakan perannya, setiap orang membutuhkan formulir dan/ atau alat kerja lainnya seperti mesin cash-register, mesin ketik, kalkulator dan lainnya. Komputerisasi proses kerja biasanya akan mengubah cara kerja sebagian/ setiap orang yang ada di dalamnya. Komputerisasi proses kerja bahkan dapat mengubah proses di mana formulir dan/atau alat kerja yang ada menjadi tidak diperlukan lagi. 5. Metode pemrosesan transaksi Proses kerja terdiri dari suatu rangkaian aktivitas yang dilakukan secara bertahap. Proses kerja tersebut akan berjalan jika ada sesuatu kejadian yang memicunya. Sebagai contoh, seorang pemasok/vendor yang menyampaikan tagihan akan memicu proses kerja pembayaran oleh Bendaharawan. Setiap organisasi memiliki aturan atau cara yang berbeda dalam memproses tagihan vendor tersebut, apakah proses kerja pembayaran akan dilakukan setiap kali ada tagihan masuk (transaction processing), atau menunggu sampai tagihan yang masuk terkumpul hingga mencapai jumlah tertentu (batch processing).

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

09

Pengantar Audit Sistem InformasiProses yang berjalan secara periodik misal berjalan pada minggu ketiga setiap bulan, termasuk dalam pengelompokkan batch processing. Komputerisasi memungkinkan suatu proses kerja yang tadinya dilaksanakan menggunakan pendekatan batch processing diubah menjadi transaction processing. Namun demikian selalu ada proses kerja yang metode pemrosesannya tidak dapat diubah menjadi transaction processing. Namun demikian, dalam organisasi yang menjalankan metode transaction processing, selalu ditemukan adanya proses kerja yang metode pemrosesannya hanya dapat dilakukan dengan metode batch processing. Contoh proses kerja pembayaran gaji yang hanya berjalan sebulan sekali. 6. Software aplikasi Komputer adalah benda mati yang akan bekerja bila diperintahkan/ diinstruksikan oleh pemakai (user)-nya. Bila pemakai komputer memerintahkan komputer untuk mengapus suatu data dengan meng-klik menu "delete" maka data yang ditandai untuk dihapus tersebut akan hilang setelah pengguna meng-klik kata "delete" tersebut. Dengan demikian, dibalik menu "delete" terdapat instruksi yang sudah disiapkan untuk melaksanakan proses yang diinstruksikan oleh pengguna. Rangkaian instruksi untuk menjalankan berbagai operasi komputer disebut dengan istilah software atau program komputer. Untuk menjalankan proses kerja sesuai dengan fungsinya, seorang pengguna (user) komputer memerlukan suatu program komputer tertentu yang dikenal dengan istilah program aplikasi atau software aplikasi. Sesuai dengan tujuan dan fungsi penggunaan komputer, program aplikasi dapat digolongkan menjadi beberapa jenis, diantaranya adalah: a. Program aplikasi permainan (game) b. Program aplikasi pendidikan c. Program aplikasi perkantoran untuk: 1) Pengetikan dokumen seperti surat dan laporan. 2) Pembuatan daftar seperti daftar gaji, daftar honor dan absen. 3) Pembuatan bahan presentasi menggunakan komputer. d. Program aplikasi proses kerja bisnis dan non bisnis: 1) Proses kerja pencatatan dan pelaporan transaksi keuangan (General Ledger). 2) Proses kerja pencatatan dan pelaporan gaji (payroll). 3) Proses kerja pembayaran. 4) Proses kerja pelaksanaan audit. 5) Proses kerja lainnya.

10

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

Pengantar Audit Sistem InformasiKomputerisasi suatu proses kerja dapat dilakukan dengan cara membeli program aplikasi untuk proses kerja yang sama dan berlaku umum yang tersedia di pasar atau membuat dari awal, baik dilakukan secara internal atau dengan bantuan pihak eksternal yaitu perusahaan atau konsultan pembuat software/program aplikasi. Software/program aplikasi proses kerja yang diadakan oleh organisasi harus dapat disesuaikan untuk mengikuti aturan-aturan, yang terdapat di organisasi pemakainya, baik itu berupa kebijakan, standar, atau prosedur yang terkait dengan proses kerja yang bersangkutan. Pada umumnya software/program aplikasi yang dibeli dari pasar dibuat dengan mengacu suatu proses kerja yang sudah baku. Banyak organisasi memutuskan untuk memilih mengadopsi proses kerja tersebut dan menyesuaikan cara kerja yang ada sehingga kebijakan, standar dan prosedur yang terkait harus dimutakhirkan. 7. Source code dan object code Software/program aplikasi sebenarnya terdiri dari sekumpulan perintah kepada komputer untuk melakukan apa saja yang diinginkan pembuatnya. Misalnya kalau pengguna melakukan klik pada menu bertuliskan File maka software aplikasi akan memerintahkan komputer untuk menampilkan rincian sub menu-nya. Software/program aplikasi memiliki 2 bentuk. Pertama, bentuk ketika software/program itu sedang dibuat, diedit dan dimodifikasi. Bentuk ini disebut dengan istilah source code. Jika program dalam bentuk source code diperlihatkan, maka akan tampak tulisan-tulisan perintah yang menggunakan huruf abjad berbentuk kata-kata dalam Bahasa Inggris. Misalnya, Display "Hello World" at 10, 2 yang berarti komputer akan menampilkan kalimat Hello World pada posisi baris 10 kolom ke 2. Programer membuat program menggunakan bahasa pemrograman seperti Basic, Cobol, Java, C, dan Pascal. Bahasa pemrograman tersebut menggunakan huruf dan abjad yang biasa digunakan oleh manusia. Sedangkan komputer merupakan benda mati yang bekerja berdasarkan instruksi dalam bentuk signal on (1) dan off (0). Komputer tidak mengenal huruf dan abjad seperti yang dikenal oleh manusia. Huruf yang dikenal komputer hanya terdiri dari angka 1 dan angka 0 untuk mewakili ada/tidak adanya arus listrik yang mengalir. Kata yang dikenal komputer terdiri dari kombinasi angka 1 dan angka 0. Bahasa yang digunakan komputer disebut

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

11

Pengantar Audit Sistem Informasibahasa mesin. Oleh karena itu, komputer tidak bisa secara langsung membaca program yang dibuat programmer. Agar dapat dibaca dan dieksekusi oleh komputer, program yang dibuat programer harus diterjemahkan dulu ke dalam bahasa yang dikenal komputer yaitu bahasa mesin. Bentuk kedua dari software/program disebut object code yaitu software/ program dalam bentuk bahasa mesin. Bentuk tersebut jika diperlihatkan kepada manusia, maka manusia tidak akan bisa membacanya (tidak dapat mengartikannya) karena tidak menggunakan kata-kata yang terdiri dari kombinasi huruf dan abjad. Jika ada kebutuhan untuk menambah fitur atau fasilitas suatu software/ program aplikasi, maka pemilik program aplikasi tersebut akan memerintahkan programmernya untuk melakukan perubahan pada source code, bukannya pada object code, yang kemudian diterjemahkan lagi ke dalam bahasa mesin. Sejak saat itu pemilik program memiliki source code dan object code dengan versi yang baru. 8. Software database Program aplikasi bertugas untuk menerima data yang di input ke dalam komputer melalui berbagai cara untuk kemudian diproses dan pada akhirnya diserahkan kepada software database untuk disimpan ke dalam harddisk dengan cara tertentu agar mudah dibaca kembali dengan cepat. Software database juga menyediakan sarana pengamanan agar data yang disimpan tersebut tidak bisa dibaca oleh orang yang tidak mempunyai hak untuk membacanya. Istilah database sering diterjemahkan menjadi 'pangkalan data'. Semua data yang timbul dari setiap tahap pelaksanaan proses kerja akan disimpan oleh software database. Pada suatu organisasi, software database akan menyimpan berbagai macam database seperti database kepegawaian, database peraturan, database keuangan dan database temuan hasil audit. Software database tidak termasuk ke dalam kelompok software/program aplikasi melainkan masuk ke dalam kelompok software sistem. Komputerisasi proses kerja biasanya memerlukan adanya software database yang dibuat oleh perusahaan atau organisasi non-profit (komunitas) yang memiliki spesialisasi di bidang pembuatan software database.

12

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

Pengantar Audit Sistem InformasiProses kerja yang dikomputerisasikan membutuhkan kesatuan antara program aplikasi proses kerja yang bersangkutan dan software database yang dipilih. Berikut berbagai contoh merk software database :

MerkOracle IBM DB2 IBM Informix Microsoft SqlServer Sybase SqlServer MySQL Firebird PostgreSQL

KapasitasBesar Besar Besar Besar Besar Menengah Besar Besar

LisensiTertutup Tertutup Tertutup Tertutup Tertutup Terbuka Terbuka Terbuka

9. Software sistem operasi (Operating System) Software sistem operasi termasuk ke dalam kelompok software sistem seperti halnya software database. Software sistem operasi adalah program yang harus pertamakali di-install pada komputer yang baru saja dibuat. Software sistem operasi-lah yang mengkoordinasikan kerja antara semua komponen komputer seperti CPU (otak komputer), memory (ingatan komputer), harddisk (tempat penyimpanan data dan program) serta peralatan lainnya seperti keyboard, mouse, dan printer. Software sistem bisa dikatakan sebagai software yang mengatur rumah tangga sistem itu sendiri, yang harus disiapkan sebelum software aplikasi di-install ke dalam komputer. Dengan kata lain, komputer baru bisa digunakan jika telah di-install software sistem operasi. Semua program aplikasi seperti game, aplikasi pengetikan surat dan lainnya hanya dapat di-install ke dalam komputer hanya jika di dalam komputer tersebut sudah ada software sistem operasinya.

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

13

Pengantar Audit Sistem InformasiBerikut beberapa contoh software sistem operasi:

MerkUnix

VariasiSun Solaris IBM AIX FreeBSD Mac OS

LisensiTertutup Tertutup Terbuka Tertutup Terbuka Terbuka Terbuka Tertutup

GNU/Linux

RedHat Ubuntu Suse

Windows

95, 98, XP, Vista

10.Komputer Berdasarkan fungsinya, secara garis besar komputer dapat digolongkan menjadi 2 yaitu: a) Server Komputer yang akan di-install software sistem sehingga komputer server dapat melayani kebutuhan para pengguna komputer perseorangan. Ada berbagai jenis server berdasarkan fungsinya, yaitu:

JenisFile Server

FungsiMelayani kebutuhan: Tempat penyimpanan tersentralisasi untuk program serta file gambar, musik, film, laporan dan lainnya. Penggunaan printer untuk pencetakan secara bersama-sama.

Mail Server

Melayani kebutuhan tempat penyimpanan surat elektronik (email) dan pengaturan pengirimannya dari pengguna yang satu ke pengguna lainnya.

Database Server

Melayani kebutuhan untuk menyimpan data yang diterima program aplikasi dari pengguna melalui mekanisme input dari komputernya masing-masing.

Komputer server hanya berguna jika dipasang pada satu jaringan komputer. Dengan kata lain, komputer server baru dibutuhkan ketika organisasi sudah memiliki jaringan komputer.

14

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

Pengantar Audit Sistem InformasiMengapa demikian? Karena pengguna perseorangan yang akan mendapatkan layanan komputer server harus menggunakan komputer lain yang tersambung dengan komputer server tersebut. Dengan demikian, semakin banyak komputer yang disambungkan ke komputer server melalui jaringan maka semakin banyak pengguna perseorangan yang dapat memanfaatkan layanan yang ada pada server yang tersebut. Prakteknya setiap organisasi akan memiliki komputer server lebih dari satu. b) Komputer Client Komputer client adalah komputer yang digunakan oleh pengguna perseorangan untuk mendapatkan berbagai macam layanan yang ada pada komputer server yang tersambung melalui jaringan. Jika seorang pengguna perseorangan ingin mendapatkan suatu layanan dari komputer server tertentu maka pengguna perseorangan tersebut harus didaftarkan terlebih dahulu pada komputer server tersebut sebagai pelanggannya. Selama belum didaftarkan, seorang pengguna tidak akan bisa menggunakan layanan yang bersangkutan walaupun komputer client yang digunakannya tersambung dengan komputer server tersebut melalui jaringan. Hal ini serupa dengan penggunaan layanan MMS yang memungkinkan seseorang dapat mengirimkan gambar melalui handphone ke temannya. Untuk mendapatkan layanan MMS biasanya harus didaftarkan dulu atau sering disebut dengan istilah diaktifkan. 11. Jaringan Secara sederhana bentuk fisik jaringan komputer adalah kabel-kabel dan peralatan penghubung yang menyambungkan komputer yang satu dengan yang lainnya. Kabel jaringan adalah media penghubung antara komputer yang satu dengan yang lain namun bisa juga digantikan dengan media penghubung lainnya seperti kabel telepon dan gelombang radio. Peralatan penghubung juga bisa bermacam-macam bentuknya seperti satelit misalnya. Jenis kabel jaringan komputer juga beragam seperti fiber optic dan UTP.

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

15

Pengantar Audit Sistem InformasiSuatu jaringan komputer terdiri dari minimal 2 komputer yang dihubungkan atau beberapa komputer, hingga tak terhitung jumlahnya. Peralatan yang tersambung ke dalam jaringan komputer bukan hanya komputer saja tapi juga printer dan peralatan komunikasi. Walaupun secara fisik sudah tersambung ke dalam satu jaringan, komputerkomputer dan peralatan lainnya belum dapat langsung berkomunikasi satu dengan lainnya. Agar dapat terjadi komunikasi antar komputer dalam suatu jaringan, ada tata cara berkomunikasi yang harus diikuti oleh semua komputer dan peralatan yang tersambung dalam jaringan. Setiap komputer dan peralatan tersebut harus di setel sedemikian rupa supaya sesuai dengan tata cara berkomunikasi yang diterapkan. Jaringan komputer yang berada pada satu lokasi seperti satu ruangan atau satu gedung sering disebut dengan istilah Local Area Network (LAN). Sedangkan jaringan komputer yang menghubungkan dua lokasi berbeda tetapi masih berada pada satu kota sering disebut dengan istilah Metropolitan Area Network (MAN). Contoh jaringan komputer yang menghubungkan kantor pusat dan kantor cabang utama perusahaan yang sama yang berlokasi di Jakarta. Jaringan yang menghubungkan dua kota yang berbeda disebut dengan Wide Area Network (WAN). Kedua kota tersebut bisa berada pada pulau yang sama atau pulau yang berbeda dan bahkan benua yang berbeda. Internet adalah jaringan komputer dalam kategori WAN yang menghubungkan banyak kota dari banyak negara di dunia. Di dalam Internet terdapat banyak organisasi, baik yang berorientasi profit (mencari laba) maupun non profit, yang menyediakan berbagai macam layanan seperti menyediakan: a) Informasi tentang perusahaannya sendiri, b) Layanan penyimpanan data, c) Layanan e-mail, d) Layanan kamus, e) Layanan berita, f) Layanan pencarian informasi, g) dan lainnya. Pada saat yang bersamaan terdapat jutaan pengguna individu yang tersambung ke internet.

16

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

Pengantar Audit Sistem Informasi12.Lisensi Lisensi adalah suatu mekanisme pengaturan tentang kepemilikan dan penggunaan software/program komputer. Contoh pengaturan yang ada pada lisensi software komersial untuk pengguna perseorangan adalah bahwa secara hukum software tersebut hanya boleh di-install pada 1 komputer saja. Atau pada 2 komputer saja namun dengan catatan 1 notebook dan 1 komputer desktop. Contoh pengaturan yang ada pada lisensi software komersial untuk komputer server adalah bahwa secara hukum layanan yang dimiliki software tersebut hanya boleh digunakan oleh pengguna perseorangan maksimal sebanyak jumlah lisensi akses yang dibayar. Misalnya, ada suatu organisasi membeli software database untuk diinstall pada komputer server sebanyak 2 unit lisensi akses. Maka pada saat bersamaan database server tersebut hanya boleh diakses oleh 2 pengguna saja. Namun demikian saat ini telah berkembang luas mekanisme lisensi yang tidak membatasi jumlah penggunaan suatu software dan bahkan kita tidak perlu membayar untuk mendapatkan lisensi akses tersebut. Salah satu pelopor lisensi seperti itu adalah mekanisme lisensi General Public License (GPL) yang dikeluarkan oleh organisasi non-profit Free Software Foundation (FSF). Software berlisensi GPL (baca: ji pi el) sering disebut free software. Masyarakat sering menyalah artikan kata 'free' menjadi 'gratis'. Hal itu tidak sepenuhnya benar, karena maksud kata 'free' tersebut adalah 'kebebasan' yakni kebebasan berkarya, kebebasan meng-install software dan kebebasan membantu orang lain atau kebebasan memberikan software aplikasi kepada orang lain. Walaupun memiliki semangat yang berbeda, software berlisensi GPL dan sejenis sering disebut juga dengan istilah Open Source. Namun sebagian orang lebih senang menggunakan istilah FOSS (Free & Open Source Software) untuk software-software berlisensi GPL dan lisensi lain yang sejenis. Lisensi GPL menyatakan bahwa kita boleh secara legal meng-install software yang menggunakan lisensi GPL pada sebanyak mungkin komputer yang diinginkan dan secara legal boleh memberikan copy-nya kepada orang atau organisasi lain yang membutuhkan tanpa pengenaan biaya lisensi sama sekali.

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

17

Pengantar Audit Sistem InformasiTabel di bawah ini menggambarkan jenis software yang dikategorisasikan sebagai software komersial dan non komersial.

KategoriSistem operasi Aplikasi Perkantoran Dokumen Spreadsheet Presentasi Aplikasi Pengelolaan Proyek Aplikasi Grafis Aplikasi Diagram Aplikasi Pemecahan Masalah Aplikasi Browsing Aplikasi e-mail client

Software KomersialMicrosoft Windows Microsoft Office Microsoft Word Microsoft Excel Microsoft PowerPoint Microsoft Project

Software Free & Open SourceGNU/Linux Open Office Open Office Writer Open Office Calc Open Office Impress Open WorkBench

Adobe Photoshop Microsoft Visio Mind Manager

GIMP DIA FreeMind

Microsoft Internet Explorer Microsoft Outlook

Mozilla Fire Fox Mozilla Thunderbird

Software open source membuka peluang bagi organisasi untuk menekan biaya investasi penggunaan teknologi informasi. Apalagi secara fungsional dan kemudahan pemakaiannya, kualitas software open source tidak selalu berada di bawah software komersial. Namun demikian keberadaan software open source dan sejenisnya tidak berarti akan menghilangkan keberadaan software komersial. Untuk melakukan komputerisasi proses kerja, suatu organisasi harus melakukan studi analisis kebutuhan penggunaan software oleh pegawainya. Kemudian, kebutuhan tersebut dibandingkan dengan fitur yang dimiliki oleh software open source yang ada. Jika bisa terpenuhi, maka organisasi cukup meng-install software open source tersebut ke dalam komputer yang akan digunakan oleh masing-masing pengguna yang bersangkutan. Jika tidak terpenuhi, maka organisasi tersebut harus membeli software komersial

18

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

Pengantar Audit Sistem Informasiyang bisa memenuhi kebutuhan pengguna tersebut sebanyak jumlah pengguna perseorangan yang akan menggunakannya. Untuk mempermudah pemanfaatan software maka organisasi harus menyediakan pelatihan dalam penggunaan software, baik untuk software komersial maupun software open source kepada para penggunanya. Dengan studi analisis dimaksud, organisasi tersebut dapat memilih kombinasi software komersial dan software open source yang tepat sesuai dengan kebutuhan, dengan biaya investasi yang minimal dan tanpa harus melanggar hukum karena melakukan pembajakan software. C. Solusi otomasi proses kerja Organisasi harus dapat menentukan solusi komputerisasi yang tepat untuk proses kerja yang akan diotomasi. Analisis terhadap kebutuhan komputerisasi perlu dilakukan terlebih dulu sebelum dilakukan pengadaannya. Hal itu berguna untuk membantu organisasi meminimalkan harga perolehan dan implementasinya, dan memastikan bahwa solusi komputerisasi tersebut dapat membantu proses kerja dalam mencapai tujuan yang telah ditetapkan sebelumnya. Solusi komputerisasi proses kerja yang akan diotomasi dapat berupa kombinasi pemasangan software aplikasi, software sistem operasi, software database, komputer server, komputer client, peralatan jaringan dan perlengkapan lainnya. Berikut beberapa tahapan yang seharusnya dilakukan sebelum melakukan pengadaan solusi komputerisasi. 1. Mengumpulkan rincian kebutuhan dan persyaratan akan otomasi proses kerja Tahapan ini merupakan tahapan awal yang sangat menentukan untuk memastikan apakah solusi komputerisasi atas proses kerja yang akan diotomasi berguna dan apakah solusi tersebut akan membuat proses kerja tersebut menjadi lebih efisien. Masalah yang sering dihadapi adalah manajemen dan staf yang terkait dengan proses kerja yang akan dikomputerisasi tidak bisa menyatakan dengan jelas dan cukup detil tentang kebutuhannya dalam otomasi proses kerjanya. Di sisi lain, tim yang bertugas mengumpulkan rincian kebutuhan kurang berpengalaman dalam menggunakan berbagai macam teknik

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

19

Pengantar Audit Sistem Informasiberkomunikasi yang efektif untuk menggali kebutuhan apa yang diinginkan dari manajemen dan pengguna terkait. Selain menggali kebutuhan pengguna, persyaratan dari peraturan yang berhubungan dengan proses kerja yang akan dikomputerisasi juga harus dikumpulkan dan dipelajari. Hal ini berguna untuk menentukan apakah solusi komputerisasi yang ditawarkan dapat memenuhi semua persyaratan tersebut. Pada tahap ini, harus dilakukan juga usaha untuk memahami dan mengumpulkan apa saja risiko yang berpotensi mengganggu proses kerja dalam mencapai tujuannya. Informasi kebutuhan yang cukup jelas dan rinci dapat digunakan untuk membandingkan dengan fitur dan fasilitas yang dimiliki oleh berbagai macam pilihan solusi komputerisasi yang ada dalam proses pemilihan solusi yang akan diimplementasikan. 2. Mengumpulkan informasi tentang semua solusi otomasi yang ada Pada tahap ini organisasi harus berusaha mencari informasi sebanyakbanyaknya semua pilihan solusi otomasi yang tersedia di pasar. Pencarian informasi bisa dilakukan melalui internet, media massa, perusahaan sejenis dan lainnya. Setelah diketahui solusi otomasi apa saja yang tersedia, organisasi harus mencari informasi perusahaan mana yang bisa menyediakan solusi otomasi tersebut. Organisasi harus memahami mekanisme penjualan solusi otomasi tersebut dengan teliti. Untuk solusi otomasi berupa komputer, biasanya perusahaan pembuat komputer tersebut memiliki jaringan distribusi di mana sudah terdapat perusahaan-perusahaan yang resmi ditunjuk untuk melakukan penjualan. Untuk solusi otomasi berupa software aplikasi proses kerja, biasanya dibutuhkan kastemisasi/modifikasi software aplikasi tersebut untuk disesuaikan dengan proses kerja yang akan diotomasi sampai pada tingkat di mana software tersebut benar-benar dapat menyesuaikan dirinya. Perusahaan pembuat software aplikasi tersebut biasanya memiliki jaringan perusahaan yang resmi ditunjuk untuk melakukan implementasi termasuk melakukan kastemisasi dan modifikasi.

20

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

Pengantar Audit Sistem InformasiDalam upaya mencari solusi yang tepat untuk komputerisasi proses kerja, suatu organisasi dapat mengirimkan surat kepada perusahaan-perusahaan penyedia software aplikasi tersebut di atas untuk melakukan presentasi dan demo serta memberikan dokumen-dokumen informasi pendukung tentang solusi otomasi yang dimiliki dan informasi tentang perusahaan itu sendiri. Organisasi tersebut tidak perlu segan untuk menggali dan memahami informasi tentang solusi otomasi tersebut sampai benar-benar dipahami, misalnya dengan cara meminta waktu untuk berdiskusi, presentasi dan demo beberapa kali. Organisasi tersebut dapat meminta kepada perusahaan tersebut agar meminjamkan solusi otomasi tersebut dalam waktu beberapa hari untuk digunakan oleh staf dan manajemen terkait sekaligus sebagai usaha untuk uji coba. Organisasi tersebut dapat juga meminta daftar perusahaan dan instansi pemerintah yang sudah menggunakan solusi otomasi tersebut lalu mencoba untuk berkomunikasi dengan mereka. Komunikasi tersebut akan lebih menggambarkan situasi apa adanya jika organisasi tersebut dapat berhubungan dengan perusahaan yang telah menggunakan solusi otomasi tersebut tanpa melalui perusahaan pemilik/penjual solusi otomasi tersebut. Organisasi tersebut sebaiknya melakukan perencanaan yang matang dalam melakukan pengumpulan informasi terutama dalam menentukan jenis informasi apa yang dibutuhkan. Selama melakukan pengumpulan informasi, organisasi tersebut dapat menambahkan jenis informasi baru yang sebelumnya tidak terpikir untuk dikumpulkan.

3. Analisis kelayakan solusi Setelah mendapatkan informasi yang menyeluruh, organisasi tersebut dapat mulai melakukan usaha untuk membandingkan kebutuhan dan persyaratan yang diinginkan dengan apa yang dimiliki oleh setiap solusi otomasi terkait yang ada di pasar. Agar hasil penilaian terhadap satu solusi otomasi dapat dibandingkan dengan solusi otomasi yang lain, organisasi tersebut harus mengembangkan terlebih dahulu mekanisme penilaian yang dapat meliputi berbagai hal yang akan dinilai, baik kriteria penilaiannya maupun bobot penilaiannya.

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

21

Pengantar Audit Sistem InformasiSangat disarankan agar mekanisme penilaian tersebut sudah disepakati sebelum dilakukan penilaian terhadap setiap solusi otomasi yang ada. Hal ini untuk mencegah penilaian yang tidak konsisten dan tidak fair yang justru akan membuat organisasi tersebut salah memilih solusi otomasi yang paling tepat. Selain kesesuaian dengan kebutuhan dan persyaratan, organisasi tersebut juga harus mempertimbangkan aspek biaya, manfaat, dan risiko pada setiap solusi otomasi yang ada. 4. Mengevaluasi vendor Setelah menentukan solusi otomasi yang paling tepat, langkah berikutnya adalah mengevaluasi kualitas setiap pemasok/vendor penjual solusi otomasi tersebut yang meliputi berbagai aspek seperti kemampuan keuangannya, pelanggannya, dan kualitas layanan purna jualnya. 5. Kepemilikan atas source code Untuk unsur solusi otomasi yang berupa software aplikasi, organisasi harus memastikan apakah vendor yang bersangkutan benar-benar pemilik software tersebut atau hanya penjual saja. Jika vendor tersebut hanya berstatus penjual, biasanya pemilik sebenarnya adalah perusahaan yang berlokasi di luar negeri. Hal software aplikasi tersebut dimiliki oleh perusahaan di luar negeri, maka organisasi tersebut tidak dapat bernegosiasi untuk mendapatkan hak kepemilikan atas source code software aplikasi tersebut. Hal tersebut menimbulkan konsekuensi ketergantungan yang tinggi yang berujung pada ketidakberdayaan organisasi tersebut terhadap harga yang diberlakukan untuk software aplikasi versi barunya. Jika software aplikasi yang terpilih sebagai bagian dari solusi otomasi itu dimiliki langsung oleh perusahaan yang ada di dalam negeri maka organisasi tersebut memiliki kesempatan untuk bernegosiasi mendapatkan hak kepemilikan atas source code software aplikasi tersebut. Ketergantungan organisasi pada source code sangat besar. Jika hak kepemilikan source code ada pada vendor dan ternyata vendor tersebut bubar dikemudian hari maka organisasi tersebut tidak dapat melakukan modifikasi software aplikasi apabila suatu ketika diperlukan untuk mengikuti perkembangan usaha. Padahal hampir bisa dipastikan bahwa setiap

22

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

Pengantar Audit Sistem Informasiorganisasi selalu mempunyai kebutuhan baru yang mengakibatkan software aplikasi yang ada harus dimodifikasi. Pada sisi lain, vendor memiliki kecenderungan untuk tidak mau menjual hak kepemilikan atas source code software aplikasi terutama jika software aplikasi tersebut dapat dijual ke organisasi/perusahaan lain yang sejenis. Jalan tengah untuk mengatasi situasi ini adalah dengan membuat klausul di kontrak yang mengatur bahwa jika vendor bubar maka secara otomatis kepemilikan atas source code tersebut beralih kepada organisasi yang membelinya. Selama vendor masih beroperasi, maka source code terakhir, yaitu yang digunakan untuk diterjemahkan ke bahasa mesin dan akhirnya di-install di komputer organisasi yang membelinya, harus disimpan di pihak ketiga. Organisasi harus mensyaratkan kesediaan vendor untuk mau mengikatkan diri dan mematuhi aturan tentang hak kepemilikan source code dan pengalihannya tersebut yang sering disebut dengan istilah escrow account. D. Memilih solusi otomasi proses kerja yang tepat 1. Pengelolaan proyek Kebanyakan solusi otomasi proses kerja membutuhkan jangka waktu yang cukup lama sejak dari tahap perencanaan, implementasi dan operasionalisasi. Keberhasilan suatu proses komputerisasi terutama dapat dilihat dari kualitas hasil implementasi dan operasional solusi otomasi tersebut, bukannya pada Berita Acara Serah Terima (BAST) pekerjaan yang telah ditandatangani. Apabila BAST telah ditandatangani namun solusi otomasi tersebut tidak berhasil dioperasionalkan atau berhasil dioperasionalkan tetapi banyak mengalami masalah dan kurang bermanfaat bagi organisasi, maka hal itu justru akan menimbulkan prasangka yang besar tentang adanya permainan apa dibalik semua itu. Secara sederhana, solusi otomasi yang gagal, banyak terjadi masalah, atau kurang bermanfaat, menggambarkan terjadinya pengelolaan proyek yang lemah dan sebab-sebab non teknis lainnya. Suatu organisasi sudah seharusnya memiliki spesialis yang memahami metodologi untuk melakukan pengelolaan proyek yang baik dan benar,

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

23

Pengantar Audit Sistem Informasikhususnya proyek yang berhubungan dengan teknologi informasi. Cara yang paling mudah untuk mengetahui pengelolaan proyek TI yang baik dan benar adalah dengan mengikuti praktek terbaik pengelolaan proyek TI yang sudah terbukti dan digunakan oleh banyak organisasi besar di dunia. Suatu proyek solusi otomasi proses kerja yang berhasil akan terlihat dari indikasi berikut: a. Solusi otomasi proses kerja berhasil dioperasionalkan b. Operasionalisasi solusi otomasi proses kerja tidak mengalami banyak masalah, terutama masalah-masalah yang mendasar. Diperlukan pengetahuan, pengalaman, acuan standar dan kehati-hatian untuk menentukan apakah masalah yang ada itu masalah yang mendasar atau tidak. c. Proyek implementasi dan operasionalisasi solusi otomasi proses kerja selesai, tidak melebihi waktu yang direncanakan dan tidak menghabiskan biaya yang telah dianggarkan. d. Pelaksanaan proyek solusi otomasi tidak mengganggu kinerja organisasi secara keseluruhan. Suatu organisasi harus menetapkan dan menerapkan kerangka kerja pengelolaan proyek yang baik dan sehat. Dengan kerangka kerja tersebut maka organisasi dapat melakukan koordinasi beberapa proyek dengan baik dan dapat menetapkan skala prioritas dengan tepat. 2. Pengembangan software a. Pengembangan software vs pembuatan program Pengembangan software aplikasi memiliki arti yang lebih luas dari membuat program. Membuat program, yang sering disebut dengan istilah programming atau coding (baca: koding), adalah salah satu tahapan saja dari rangkaian tahapan pengembangan software. Seseorang yang mempunyai keahlian membuat program sering disebut dengan istilah programmer (baca: progremmer). Programmer memang penting tetapi programmer bukanlah satu-satunya kunci keberhasilan pengembangan software. Masih banyak orang yang memiliki peran penting dalam proses komputerisasi suatu proses kerja, seperti: tester engineer (baca: injinir), project manager (baca: proyek menejer), software quality assurance (baca: assurens), system analyst (baca: analis), dan system designer (baca: disainer).

24

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

Pengantar Audit Audit Informasi Internal SistemProses dan Teknik Sektor PublikKarena itu kualitas software tidak hanya bergantung pada kualitas tahapan pembuatan program serta kualitas para programmer-nya tetapi tergantung pada semua tahapan dan orang-orang terkait. b. Tahapan pengembangan software Metodologi pengembangan software, disebut System Development Life Cycle (baca: sistem divelopmen laif saikel) atau disingkat menjadi SDLC (baca: es di el si), memiliki berbagai macam variasi seperti: Waterfall (baca: waterfol), Prototyping (baca: prototaiping), Rapid Application Model (baca: repid epplikesyen model), Incremental (baca: inkremental), Spiral (baca: spairel) dan Agile (baca: ejail). Pemilihan suatu metodologi yang akan digunakan dalam pengembangan software harus mempertimbangkan kelebihan dan kekurangannya masing-masing metodologi tersebut. Jika sudah ditentukan, maka pengelolaan proyeknya harus mengacu pada metodologi tersebut. Saat ini metodologi yang paling umum digunakan adalah Waterfall. Prinsip mendasar dari waterfall ini terlihat dari arti kata waterfall itu sendiri, yaitu air terjun. Seperti kita ketahui bersama bahwa air yang sudah jatuh atau turun tidak akan mungkin kembali lagi. Maksudnya jika pengembangan software sudah memasuki tahap tertentu maka kita harus menghindar jangan sampai mundur mengulangi tahap sebelumnya yang sudah dilewati. Jika itu dilakukan maka pengembangan software menjadi tidak terkendali lagi. Oleh karena itu, sebelum memasuki tahap berikutnya tim komputerisasi harus memastikan bahwa suatu tahapan yang sedang dikerjakan harus benar-benar telah selesai sebelum melangkah ke tahapan berikutnya. Artinya, hasil pekerjaan dari tahap tersebut telah lengkap, benar dan sesuai dengan yang direncanakan sebelumnya.

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

25

Pengantar Audit Audit Informasi Internal SistemProses dan Teknik Sektor PublikGambar dibawah ini menunjukkan tahapan-tahapan SDLC Waterfall:

Inisiasi

Pendefinisian

Perancangan Pemrograman dan Pelatihan Evaluasi dan Penerimaan Instal dan Pengoperasian

c. Pengujian final dan instalasi Seringkali ditemui suatu software sudah di-install dan dioperasionalkan sebelum dilakukan pengujian/evaluasi final selesai dilakukan. Hal tersebut mengakibatkan organisasi menderita karena suatu software yang belum dilakukan pengujian akan banyak menemui masalah atau masih ada fitur yang diharapkan tapi belum ada pada software tersebut. Oleh karena itu suatu organisasi harus mencegah jangan sampai terjadi pemasangan/install dan pengoperasian suatu software yang belum lulus pengujian yang menyeluruh. Organisasi tersebut juga harus mewaspadai bahwa pengujian telah dilakukan secara urut sesuai tahapan pengembangannya dan mengikuti metodologi pengujian yang baik dan sehat. Pengujian yang tidak berkualitas hanya akan menyebabkan software yang di-install masih bermasalah dan penggunaannya akan sangat mengecewakan penggunanya.

26

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

Pengantar Audit Sistem Informasi

3 Perencanaan Teknologi INFORMASIBabSetelah mempelajari bab ini, diharapkan pembaca dapat: Menjelaskan perlunya keselarasan antara visi, misi, dan tujuan penggunaan teknologi informasi dalam otomasi proses kerja dengan visi, misi, dan tujuan Pemda Menjelaskan perlunya keselarasan anggaran belanja untuk otomasi proses kerja dengan anggaran pendapatan dan belanja Pemda.

A. Perencanaan Teknologi Informasi Hal mendasar yang paling menjadi perhatian bagi terciptanya tata kelola TI yang baik dan sehat adalah adanya keselarasan antara pengelolaan teknologi informasi dengan pengelolaan pemerintahan daerah. Keselarasan tersebut harus di mulai sejak tingkatan strategis hingga tingkatan operasional. Keselarasan dapat memberikan jaminan bagi manajemen pemerintahan daerah bahwa semua kegiatan teknologi informasi yang dilaksanakan termasuk pengembangan sistem dan pengadaan hardware, software, infrastruktur dan rekrutmen sumber daya manusia TI selalu memiliki hubungan yang jelas dengan tujuan pemerintah daerah sehingga manfaatnya dapat dirasakan langsung dan dikaitkan dengan target-target pemerintah daerah baik secara jangka panjang maupun jangka pendek. 1. Rencana jangka panjang dan jangka pendek TI Pengelolaan teknologi informasi harus memiliki perencanaan jangka panjang yang dibuat mengacu dan berdasarkan perencanaan jangka panjang pemerintah daerah sehingga dapat dijamin korelasinya. Keselarasannya harus dapat digambarkan secara jelas. Untuk membuat perencanaan jangka panjang, pemerintah daerah sebaiknya menggunakan pendekatan-pendekatan teknik manajemen yang tepat seperti Balance Scorecard.

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

27

Pengantar Audit Sistem Informasi

VISI DAN MISI PEMDA VISI DAN MISI TI Tujuan Sasaran Ukuran dan Target Inisiatif Tujuan Sasaran Ukuran dan Target Inisiatif

Berdasarkan rencana jangka panjang TI yang dibuat, manajemen daerah harus membuat rencana jangka pendeknya. 2. Keselarasan tujuan TI dengan tujuan Pemerintah Daerah Pada tingkatan strategis, pengelolaan teknologi informasi seharusnya memiliki tujuan yang jelas dan memiliki korelasi langsung dengan tujuan pemerintah daerah. Berikut contoh hubungan antara tujuan Pemerintah Daerah dengan tujuan unit teknologi informasi pada tingkatan strategis:

Tujuan Pemerintah Daerah 1. Menyempurnakan dan menjaga fungsionalitas proses kerja internal Pemda

Tujuan TI Memastikan kebutuhan fungsional Pemda dan kebutuhan pengendalian telah ada dalam solusi otomasi. Memastikan adanya integrasi aplikasi ke dalam proses kerja Pemda secara sempurna.

2. Menyediakan layanan kepada penduduk secara berkelanjutan

Mengusahakan supaya layanan TI selalu tersedia sesuai kebutuhan. Memastikan dampak terhadap kelangsungan layanan pemerintah daerah dapat diminimalisir jika terjadi gangguan pada teknologi informasi.

28

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

Pengantar Audit Sistem Informasi3. Anggaran TI Berdasarkan inisiatif yang dibuat untuk mencapai setiap sasaran, manajemen TI harus membuat action plan. Action plan harus mengidentifikasi sumber daya apa saja yang diperlukan, seperti: manusia, waktu, uang dan peralatan. Berdasarkan action plan tersebut, manajemen TI dapat menyusun anggaran TI. Dengan pendekatan tersebut, maka anggaran TI dapat diperkirakan sebelumnya dan yang lebih penting adalah kejelasan hubungan keterkaitannya dengan strategi pemerintah daerah. B. Organisasi Teknologi Informasi 1. Komite pengarah TI Pengelolaan teknologi informasi suatu organisasi tidak hanya diwujudkan dalam bentuk adanya unit pengelola TI saja. Unit teknologi informasi akan memberikan berbagai layanan TI kepada unit organisasi lainnya. Oleh karena itu dibutuhkan suatu mekanisme hubungan antara unit teknologi informasi dengan unit organisasi lainnya. Khusus untuk pengembangan TI yang berhubungan langsung dengan unit organisasi non-TI dibutuhkan komite pengarah TI. Komite ini terdiri dari para manajer senior pada organisasi dan diketuai oleh salah satu direksi. Tugas komite ini antara lain adalah: a. Menyetujui usulan komputerisasi baru atau penyempurnaan besar atas komputerisasi proses kerja unit organisasi non-TI. b. Mengawasi pelaksanaan dan penyelesaian komputerisasi tersebut di atas. c. Menyelesaikan konflik yang terjadi antara unit TI dan unit non-TI selama komputerisasi tersebut berjalan. Pada prakteknya, manajemen dapat merekrut individu profesional dan berpengalaman dalam bidang TI dari luar organisasi pemerintah daerah. Namun, harus dipastikan bahwa individu tersebut independen dan tidak memiliki konflik kepentingan dalam melaksanakan perannya sebagai anggota komite pengarah TI. Manajemen pemda dapat membuat aturan

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

29

Pengantar Audit Sistem InformasiDi sisi lain, manajemen pemerintah daerah harus menetapkan aturan dalam proses pengadaan barang dan jasa yang berhubungan dengan teknologi informasi yang menyatakan bahwa perusahaan yang memiliki pertentangan kepentingan tidak dapat menjadi pemasok bagi pemerintah daerah. Contoh bentuk pertentangan kepentingan adalah: individu anggota komite pengarah TI memiliki perusahaan pemasok tersebut sebagian atau seluruhnya baik secara langsung maupun melalui istri, anak dan keluarganya. 2. Struktur organisasi TI Struktur organisasi TI diperlukan untuk melakukan pengelolaan secara langsung semua sumber daya TI yang ada untuk bisa memberikan layanan TI yang efektif, efisien, aman, dapat diandalkan dan mematuhi peraturan yang ada kepada pemerintah daerah secara keseluruhan maupun kepada setiap unit organisasi lain dan individu yang ada pada pemerintah daerah. Bentuk dan ukuran yang tepat dari unit organisasi TI sangat tergantung kepada pemahaman yang menyeluruh tentang peran dan posisi TI bagi pemerintah daerah. Dengan pemahaman tersebut pemerintah daerah dapat menetapkan semua proses kerja yang harus dilakukan dalam melaksanakan pengelolaan TI. Dalam melakukan penyusunan atau penyempurnaan agar didapat struktur organisasi yang tepat, pemerintah daerah dapat mengadopsi praktek kerja terbaik dalam pengelolaan TI yang berasal dari CobiT, IT Infrastructure Library, ISO 20000 dan lainnya. Namun demikian, secara tradisional, unit organisasi TI minimal terdiri dari: Unit operasional Unit pengembangan

Posisi unit pengelola TI Pada kebanyakan organisasi profit yang sangat berkepentingan pada laporan keuangan yang dapat diandalkan, posisi unit pengelola TI biasanya di mulai dari Divisi Akuntansi dan/atau Divisi Keuangan. Mengingat posisi unit pengelola TI adalah memberikan layanan bagi unit lainnya maka posisi terbaik unit pengelola TI adalah pada posisi sejajar dengan unit organisasi non-TI yang paling tinggi.

30

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

Pengantar Audit Sistem InformasiPosisi tersebut membuat unit pengelola TI dapat memiliki tingkat independensi yang memadai agar dapat memberikan komitmen, perhatian dan dukungan yang sama kepada semua unit organisasi non-TI. 3. Keahlian yang dibutuhkan Agar dapat memberikan layanan terbaik, unit pengelola TI harus didukung oleh sumber daya manusia yang memiliki jenis keahlian yang sesuai. Untuk tingkat teknis operasional dibutuhkan jenis keahlian spesifik yang mengarah pada spesialisasi.Operasional System Administrator: Orang yang memiliki keahlian untuk mengelola server jaringan. Database Administrator: Orang yang memiliki keahlian untuk mengelola server database. Security Officer: Orang yang memiliki keahlian untuk mengelola keamanan jaringan. Librarian: Orang yang bertanggung jawab untuk mengelola penyimpanan dokumentasi, media backup dan lainnya. Pengembangan System Analyst: Orang yang bertugas menganalisis kebutuhan dan proses kerja organisasi serta merancang sistem. Programmer: Orang yang bertugas melakukan pembuatan program berdasarkan rancangan yang dibuat system analyst. Tester Engineer: Orang yang bertugas melakukan pengujian atas sistem yang dikembangkan.

C. Operasionalisasi Teknologi Informasi Tidak semua organisasi memutuskan untuk melakukan pengembangan sistem secara internal untuk memenuhi kebutuhan sistem yang diinginkan. Berdasarkan pertimbangan cost, benefit dan risiko, manajemen organisasi dapat memutuskan membeli atau mengontrakkan pembuatan sistem kepada pihak ketiga. Hal tersebut terkadang membuat unit pengembang pada unit pengelola TI tidak memiliki banyak pekerjaan. Berbeda dengan kegiatan pengembangan, kegiatan pengoperasionalan TI adalah kegiatan yang jarang diserahkan kepada pihak ketiga mengingat risiko yang terkandung di dalamnya.

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

31

Pengantar Audit Sistem Informasi1. Dukungan pengguna Dalam penggunaan komputer dan program aplikasi sehari-hari, pengguna seringkali mengalami masalah-masalah yang dapat mengganggu pekerjaannya seperti: a. Komputer terserang virus b. Komputer hang c. Tidak bisa mencetak ke printer d. Tidak bisa masuk ke dalam jaringan Memberikan layanan pemecahan dan penyelesaian masalah yang dialami user merupakan salah satu tugas unit pengelola TI yang masih termasuk dalam kerangka berpikir bahwa kegiatan TI harus selaras dengan kegiatan organisasi. Unit pengelola TI harus memiliki meja layanan TI (Service Desk) yang menjadi satu-satunya pintu masuk bagi semua keluhan yang dialami user. Hal tersebut dimaksudkan untuk memudahkan pengelolaannya sehingga semua keluhan dapat diketahui, dimonitor, dianalisis dan diselesaikan. Selain itu proses penanganan keluhan user dapat diukur kinerjanya. Untuk itu, unit pengelola TI harus menunjuk grup yang bertanggung jawab untuk mengelola meja layanan dan pengelolaan keluhan user. 2. Kesepakatan tingkat layanan kepada unit kerja Demi tercapainya kualitas layanan TI, pihak unit pengelola TI dan unit nonTI harus membuat kesepakatan tentang tingkat layanan yang diinginkan. Kesepakatan tersebut dituangkan dalam perjanjian tingkat layanan atau service level agreement. Misalnya unit layanan perizinan menghendaki agar komputer yang digunakan tidak boleh mati karena alasan listrik lebih dari 1 jam pada saat jam kerja. Sepanjang tahun berjalan, pencapaian tingkat layanan yang disepakati harus dicatat berdasarkan peristiwa-peristiwa terkait yang terjadi. Semua dokumentasi dan bukti pendukung harus dikumpulkan untuk menghindari terjadinya perdebatan yang tidak perlu. Setiap periode tertentu, biasanya setahun sekali, hasil akhir pencapaian tingkat layanan akan didiskusikan dan dianalisis bersama oleh unit pengelola TI dengan unit non TI yang bersangkutan.

32

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

Pengantar Audit Sistem InformasiBerdasarkan hasil analisis tersebut, maka unit pengelola TI dapat menyempurnakan proses kerja dan teknologi informasi yang dimilikinya agar tingkat layanan yang disepakati dapat dicapai pada periode berikutnya. 3. Back up dan Restore Penyimpanan data dalam bentuk elektronis memberikan banyak keuntungan seperti: tidak membutuhkan ruangan besar dan tidak membutuhkan kehadiran fisik kita untuk bisa mengaksesnya. Namun penyimpanan data secara elektronis juga memiliki risiko bawaan, yaitu jika terjadi kerusakan pada tempat penyimpanan data maka otomatis data organisasi yang berada di dalamnya berpotensi tidak dapat diakses untuk selamanya. Misalnya ruangan pengolahan data mengalami kebakaran. Risiko lainnya adalah terjadinya perubahan data yang tidak sah oleh orang yang tidak berwenang. Hal tersebut bisa disebabkan oleh orang yang berasal dari dalam maupun luar organisasi. Oleh karena itu, unit pengelola TI harus melakukan proses back up secara periodik menggunakan metode yang tepat. Semakin lama jarak periode back up maka semakin besar risiko organisasi kehilangan data. Contohnya pemerintah daerah melakukan proses back up 1 (satu) minggu sekali yakni pada hari jumat sore. Maka jika pada hari kamis terjadi kerusakan pada tempat penyimpanan data, organisasi kehilangan data sejak jumat setelah proses back up terakhir sampai dengan hari kamis saat terjadinya kerusakan. Selain itu, proses back up harus menghasilkan back up pada 2 (dua) buah media. Segera setelah selesainya proses back up, salah satu media back up tersebut harus dibawa keluar untuk disimpan pada suatu tempat yang jauh dari lokasi gedung organisasi tersebut. Organisasi dapat memiliki, menyewa gedung khusus atau menggunakan kantor cabang untuk tempat penyimpanan back up tersebut. 4. Kinerja sistem dan kapasitas Unit pengelola TI harus menjaga agar kinerja sistem cukup baik dalam memenuhi kebutuhan pengguna. Keluhan tentang betapa lambatnya sistem merupakan pertanda kinerja yang belum memadai. Agar dapat mencapai kinerja yang memadai, unit pengelola TI harus melakukan analisis kebutuhan semua user yang ada untuk kemudian

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

33

Pengantar Audit Sistem Informasidipetakan ke kapasitas dan kemampuan semua komponen TI yang dimiliki. Analisis tersebut juga dilakukan untuk melakukan perkiraan atas peningkatan kebutuhan penggunaan sistem oleh organisasi secara keseluruhan. Selanjutnya, unit pengelola TI harus melakukan monitoring secara terus menerus tingkat kinerja sistem dan kapasitas yang tersedia. Unit pengelola TI akan mengajukan permohonan tambahan hardware/ software/infrastruktur kepada organisasi dengan membuat laporan analisis kinerja dan kapasitas sistem yang disertai dengan tabel atau chart yang menjelaskan tingkat kinerja sistem serta tingkat penggunaan user dibandingkan dengan kapasitas yang tersedia. 5. Keamanan sistem Penggunaan TI yang optimal biasanya ditandai dengan pemanfaatan jaringan komputer yang intensif. Misalnya input invoice penjualan cukup dilakukan oleh petugas penjualan di tempatnya tanpa harus pergi ke ruangan pengolahan data untuk melakukan input. Contoh lainnya, petugas TI dapat memeriksa masalah yang terjadi pada komputer salah satu user dari ruangannya tanpa harus pergi ke ruangan user yang bersangkutan. Selain memudahkan, jaringan menciptakan banyak sekali 'pintu masuk' menuju server yaitu melalui komputer-komputer yang digunakan setiap user yang ada di dalam organisasi. Hal itu menimbulkan potensi terjadinya usaha-usaha yang tidak sah untuk bisa mengakses server melalui salah satu komputer user yang memiliki kelemahan dalam perlindungan keamanannya. Ketika pemerintah daerah telah melakukan komputerisasi atas layanan kepada warganya maka secara otomatis telah terjadi penambahan 'pintu masuk'. Jika layanan berbasis TI tersebut memungkinkan warga untuk langsung berinteraksi baik untuk melakukan input dan pencarian data, maka semakin banyak 'pintu masuk' yang bahkan dapat diakses dari luar pemerintah daerah. Terlebih jika 'pintu masuk' tersebut dapat diakses melalui internet. Internet adalah jaringan komputer publik yang menghubungkan komputerkomputer di hampir semua negara yang ada. Dengan kata lain, orang yang berusaha masuk ke 'pintu masuk' milik pemerintah daerah bisa berasal dari siapa pun warga bumi ini.

34

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

Pengantar Audit Sistem InformasiTentu saja potensi risiko tersebut tidak membuat banyak organisasi takut dan tidak mau menggunakan jaringan komputer untuk mengoptimalkan proses kerja dan layanan yang efektif dan efisien. Unit pengelola TI harus mengupayakan semua teknik manajemen dan operasional yang ada serta memanfaatkan teknologi yang tepat untuk melindungi semua usaha tidak sah untuk mengakses sistem yang dimilikinya. Untuk teknik manajemen keamanan sistem, organisasi dapat memanfaatkan praktek kerja terbaik dalam pengamanan informasi seperti yang ada pada ISO seri 27000 tentang Information Security Management System dan standar lainnya. Tingkat keamanan sistem yang akan diimplementasikan tentu saja tidak boleh melebihi dari nilai informasi yang dilindungi. 6. Aktiva Tetap dan Lisensi Penggunaan teknologi informasi sangat dipahami akan membutuhkan biaya yang besar baik pada saat perolehannya pertama kali, pengoperasionalannya dan perbaikan/pemeliharaannya. Oleh karena itu, unit pengelola TI harus melakukan pengelolaan yang baik dan sehat atas semua aset yang dimiliki baik berupa infrastruktur, hardware dan software. Pengelolaan yang baik dapat memberikan informasi yang memadai bagi manajemen tentang status, lokasi dan penggunaannya. Jika sebagian software yang dimiliki organisasi adalah software komersil maka organisasi tersebut harus menyimpan sertifikat lisensi software yang bersangkutan dengan baik.

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

35

Pengantar Audit Sistem Informasi

Halaman ini sengaja dikosongkan

36

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

Pengantar Audit Sistem Informasi

Pengendalian 4 Teknologi INFORMASIBabSetelah mempelajari bab ini, diharapkan pembaca dapat: Menjelaskan berbagai jenis pengendalian internal dan klasifikasinya. Menjelaskan klasifikasi pengendalian umum dan pengendalian aplikasi dalam proses kerja yang terotomasi.

A. Jenis-jenis Pengendalian Teknologi Informasi Seperti halnya kegiatan lainnya, suatu proyek atau kegiatan komputerisasi proses kerja mengandung risiko bahwa proyek atau kegiatan tersebut tidak akan mencapai tujuannya sebagaimana yang diharapkan. Untuk mengurangi atau meminimalkan risiko tersebut manajemen suatu organisasi perlu menciptakan sistem pengendalian. Dilihat dari tujuannya, pengendalian teknologi sistem informasi dapat dikategorikan ke dalam pengendalian yang bertujuan untuk: 1. Mencegah (preventive) terjadinya suatu peristiwa yang berdampak merugikan atau berpotensi merugikan organisasi, misalnya dengan dibuat struktur organisasi dan pembagian tugas serta uraian kerja yang jelas. 2. Mendeteksi (detective) telah terjadinya suatu peristiwa yang berdampak merugikan organisasi, misalnya ruangan gedung yang dipasang sistem pendeteksi kebakaran yang dilengkapi dengan alarm yang akan berbunyi jika terdapat asap atau panas yang mengenai sistem pendeteksi kebakaran tersebut, 3. Memperbaiki (corrective) kerugian yang terjadi karena suatu peristiwa. Misalnya, springkle air yang akan pecah dan menyemprotkan air bila terkena

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

37

Pengantar Audit Sistem Informasipanas sehingga memadamkan api, merupakan jenis pengendalian ini. Contoh lain misalnya fasilitas komputer dilindungi dengan asuransi, sehingga apabila terjadi kerugian, maka kerugian akan ditutup oleh pembayaran klaim dari asuransi tersebut. Dilihat dari sifatnya, pengendalian TI dapat digolongkan dalam pengendalian yang bersifat discretionary (berdasarkan pertimbangan manusia) dan pengendalian yang bersifat non discretionary. Pengendalian yang discretionary biasanya terjadi pada pengendalian yang manual, sedangkan yang non discretionary terjadi pada pengendalian yang bersifat otomatis. Pengendalian TI juga bisa dikelompokkan menurut alasan dibentuknya pengendalian, yaitu pengendalian yang diharuskan (mandatory) oleh suatu peraturan perundangan atau pengendalian yang dibentuk secara sukarela (voluntary). Kebanyakan pengendalian yang diciptakan dalam suatu organisasi bersifat sukarela karena kebutuhan manajemen untuk menciptakan pengendalian tersebut. Pengelompokkan pengendalian TI yang paling sering digunakan dalam berbagai literatur adalah pengendalian umum dan pengendalian aplikasi. B. Pengendalian Umum Pengendalian umum mencakup lingkungan dan pengendalian terhadap seluruh kegiatan teknologi informasi. Pengendalian umum cenderung mempunyai dampak yang luas dan secara langsung mempengaruhi kekuatan pengendalian aplikasi. Tujuan pengendalian umum TI adalah untuk membuat kerangka pengendalian menyeluruh atas aktivitas TI dan untuk memberikan tingkat keyakinan yang memadai bahwa tujuan pengendalian internal secara keseluruhan dapat tercapai. Pengendalian umum meliputi: 1. Pengendalian organisasi dan operasi Pengendalian organisasi dan operasi dirancang untuk menciptakan kerangka organisasi aktivitas TI - yang meliputi: a. Pemisahan Fungsi Antar Bagian Suatu organisasi terdiri dari beberapa bagian yang masing-masing mempunyai fungsi, tugas dan tanggung jawab yang terpisah dan berbeda. Agar tidak terjadi kesimpang siuran fungsi dalam organisasi, perlu dibuat deskripsi jabatan yang berisi tugas dan wewenang setiap bagian.

38

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

Pengantar Audit Sistem InformasiDeskripsi jabatan perlu dibuat untuk setiap bagian dengan menunjukkan nama jabatan dan berisi penjelasan fungsi tiap-tiap bagian. Agar setiap karyawan mengetahui tugas dan wewenangnya, deskripsi jabatan yang disusun harus diperbanyak untuk dibagikan kepada setiap karyawan yang berkepentingan. Bagian TI mempunyai tanggung jawab yang terbatas pada pemrosesan data yang diterima pengguna, mulai dari mengolah data, mengawasi data selama proses pengolahan dan menerbitkan serta mendistribusikan hasil pengolahan data kepada pengguna. Fungsi ini harus terpisah dari semua bagian/divisi yang menggunakan data dan melaksanakan berbagai kegiatan operasional organisasi. Pemisahan tugas dan tanggung jawab antar bagian dalam suatu proses kerja menciptakan suatu pengendalian, antara lain: 1) Semua transaksi dan perubahan terhadap catatan file induk (master file) harus berasal dan diotorisasi oleh bagian lain (bukan bagian TI) yang mempunyai file tersebut. 2) Bagian TI tidak boleh menyimpan aktiva, kecuali aktiva yang berhubungan dengan pengolahan data. 3) Bila terjadi kesalahan transaksi, harus diperbaiki sendiri oleh bagian yang bersangkutan (yang mempunyai transaksi tersebut), bukan oleh bagian TI. Bagian TI hanya boleh memperbaiki kesalahan yang terjadi dalam proses pengolahan. 4) Bagian yang berwenang mengotorisasi transaksi tidak boleh menyimpan aktiva hasil transaksi. Sebagai ilustrasi, dalam suatu proses kerja pengadaan barang dan jasa, Bagian Umum seksi Penerimaan Barang akan menerima dan menghitung barang-barang yang dibeli, seperti alat tulis kantor, serta membuat Berita Acara Penerimaan Barang (BAPB). Jika proses kerja tersebut berbasis komputer, Bagian Data Center (Pusat Pengolahan Data yang biasa disingkat Puslahta) akan memasukkan (entry) BAPB tersebut ke dalam aplikasi pengadaan barang dan jasa dan memprosesnya hingga diterbitkan berbagai laporan yang dibutuhkan oleh manajemen, seperti laporan posisi suatu persediaan alat tulis kantor hingga laporan posisi keuangan (neraca). Apabila dalam pemrosesan data ditemukan adanya suatu kesalahan, misalkan kesalahan dalam mencantumkan kode barang yang tidak sesuai dengan kode barang yang ada, maka Puslahta tidak diperkenankan untuk melakukan koreksi sendiri, tetapi dikembalikan ke Bagian

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

39

Pengantar Audit Sistem InformasiUmum sebagai pemilik data untuk memperbaiki data yang salah. Setelah diperbaiki maka BAPB diserahkan kembali ke Puslahta untuk diproses kembali. Demikian pula, barang yang diterima tidak boleh disimpan oleh Puslahta, tetapi disimpan di Bagian Umum, Seksi Gudang. Dengan demikian maka tidak terjadi perangkapan fungsi pencatatan, otorisasi, dan penyimpanan oleh satu orang. Apabila perangkapan fungsi tersebut terjadi maka terdapat risiko penyalahgunaan wewenang, misalkan barang yang diterima dari pemasok akan digelapkan namun pencatatan tetap dilakukan di dalam aplikasi pengadaan. Posisi unit teknologi informasi Unit TI dapat merupakan bagian dari fungsi akuntansi atau bisa juga merupakan bagian yang berdiri sendiri dan terpisah sebagai unit yang berdiri sendiri. b. Pemisahan Fungsi di dalam unit TI Fungsi-fungsi utama dalam bagian TI adalah fungsi pengembangan sistem dan fungsi pengolahan data. Fungsi pengembangan sistem meliputi perancangan sistem dan pembuatan program. Tanggung jawabnya tidak hanya terhadap aplikasi komputer yang baru tetapi juga terhadap perubahan aplikasi yang sudah ada. Karyawan yang bekerja pada fungsi pengembangan sistem adalah para ahli dalam pembuatan program (programmer) dan para analis dan desainer sistem. Sedangkan fungsi pengolahan data meliputi kegiatan sebagai berikut: 1) Penyiapan Data Penyiapan data merupakan kegiatan untuk mempersiapkan data ke bentuk media yang dapat dibaca komputer (machine readable form) dan memeriksa kebenarannya, sehingga data siap untuk dimasukkan ke dalam komputer untuk diproses. 2) Pengoperasian Komputer Pengoperasian komputer merupakan kegiatan untuk mengolah data sampai dihasilkan laporan yang ditentukan. Operator komputer bekerja sesuai dengan prosedur tertulis yang ada pada manual operasi. 3) Pengendali Data (Data Control) Pengendalian data merupakan kegiatan untuk menerima data dari bagian-bagian lain, meng-agendakannya, membuat batch control

40

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

Pengantar Audit Sistem Informasidata, mengawasi jalannya pengolahan data, memantau perbaikan kesalahan selama pengolahan data dan mendistribusikan keluaran kepada pengguna yang berhak. Staf TI yang melaksanakannya sering disebut dengan data control group. 4) Kepustakaan Data (Data Librarian) Kegiatan ini bertujuan untuk memisahkan tugas dan tanggung jawab antara bagian yang menyimpan data dengan bagian yang akan menggunakannya untuk operasi sehingga dapat mencegah orang yang tidak berhak untuk menggunakannya/mengaksesnya. Kepustakaan data merupakan kegiatan untuk menyimpan, memelihara dan menjaga dokumentasi, data dan program dalam bentuk media simpanan luar (back up) seperti cartridge dan CD pada ruangan khusus. Staf TI yang melaksanakannya sering disebut dengan Librarian. Seorang librarian hanya boleh meminjamkan dokumentasi/data/program kepada orang yang telah diberi kewenangan untuk itu. Kemudian librarian tersebut akan mencatat dan menagih pengembalian dokumentasi/data/ program yang dipinjam kepada peminjam sesuai dengan jangka waktu peminjaman yang disepakati sebelumnya. Sebagai salah satu bentuk pengendalian, fungsi pengembangan sistem dan fungsi pengolahan data harus dipisahkan karena jika seseorang yang mengetahui dan mempunyai kemampuan pemrograman serta mengetahui sistem secara detil, namun juga diberi akses untuk mengolah data , maka dia berpotensi dapat merubah data tanpa ijin. Pada kenyataannya, kedua fungsi tersebut di atas tidak hanya harus terpisah secara organisasional, tetapi juga secara fisik. Seorang analis sistem dan programmer harus dilarang melakukan aktivitasnya untuk maksud-maksud negatif. Seorang operator komputer dan karyawan pengolahan data lainnya seharusnya tidak diperbolehkan melihat dokumentasi program, bahkan lebih baik jika sama sekali tidak mempunyai pengetahuan mengenai TI. Pada organisasi yang kecil, unit TI hanya terdiri dari sejumlah kecil karyawan yang bertanggung jawab untuk mengoperasikan komputer saja. Analis sistem dan pemrograman tidak diperlukan karena organisasi tersebut menggunakan program-program yang sudah tersedia dalam bentuk paket. Pada organisasi yang lebih besar, unit TI bisa terdiri dari beberapa fungsi, yaitu analis sistem, pemrogram dan beberapa orang yang memasukkan

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

41

Pengantar Audit Sistem Informasidata (data entry operator). Dalam unit TI suatu organisasi yang lebih besar dan lebih kompleks, masing-masing fungsi tersebut bisa dilakukan oleh ratusan karyawan. Sebagaimana pemisahan fungsi pengolahan data dari fungsi proses kerja lainnya, dalam fungsi pengolahan data itu sendiri juga perlu dilakukan pemisahan fungsi seperti diuraikan di atas. Hal ini perlu dilakukan untuk menghindari terjadinya manipulasi data oleh pihak yang tidak bertanggung jawab sehingga merugikan organisasi. Sebagai ilustrasi, seorang operator komputer mempunyai akses kepada data dan program aplikasi yang akan memproses data. Apabila operator dirangkap oleh programer maka terdapat risiko bahwa program komputer akan diubah oleh operator tersebut yang dapat menimbulkan kerugian organisasi tanpa diketahui oleh pihak lain. Namun demikian, suatu organisasi tidak harus melakukan pemisahan fungsi secara sangat rinci (sangat terspesialisasi) sehingga akan terjadi beban kerja yang tidak optimal sehingga secara ekonomis juga akan merugikan organisasi. Oleh karenanya, auditor harus dapat menganalisis fungsi-fungsi mana yang bisa dirangkap (compatible) dan fungsi-fungsi mana yang tidak bisa dirangkap (incompatible) karena akan menimbulkan risiko kerugian. 2. Pengendalian dalam pengembangan sistem Pengendalian Pengembangan Sistem dirancang untuk memberikan keyakinan yang memadai bahwa sistem proses kerja dikembangkan dan dipelihara dalam suatu cara yang efisien dan telah mendapatkan otorisasi semestinya. Aktivitas pengendalian pengembangan sistem berhubungan dengan: a. Reviu, pengujian, dan persetujuan terhadap sistem baru b. Pengendalian terhadap perubahan program c. Prosedur dokumentasi Fungsi pengembangan sistem terutama melibatkan pemrogram dan analis sistem, yaitu orang-orang yang memiliki keahlian tentang TI secara terinci. Agar terdapat pengendalian yang memadai terhadap pengembangan sistem, dapat diterapkan prosedur-prosedur sebagai berikut: a. Perancangan sistem harus melibatkan wakil dari tiap-tiap bagian yang terkait dengan proses kerja yang sedang dirancang.

42

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

Pengantar Audit Sistem Informasib. Pengujian sistem harus dilakukan baik oleh personel TI maupun personel semua bagian yang akan menggunakan sistem proses kerja yang sedang dikembangkan tersebut. c. Harus ada proses persetujuan akhir bahwa sistem yang dibangun sudah sesuai dengan yang diharapkan sebelum sistem baru tersebut diterapkan/ diimplementasikan. d. Setiap perubahan program harus mendapat persetujuan pejabat yang berwenang sebelum diterapkan/diimplementasikan untuk meyakinkan bahwa perubahan tersebut sudah diotorisasi, diuji, dan didokumentasikan dengan memadai. 3. Pengendalian atas Dokumentasi Pengendalian dokumentasi menyangkut pengendalian dokumen dan catatan suatu organisasi mengenai kegiatan dalam fungsi TI. Dokumentasi dapat berupa suatu deskripsi, bagan alur (flowchart), daftar hasil cetakan (print out) komputer dan contoh-contoh dokumen. Dokumentasi yang memadai adalah suatu yang penting baik bagi manajemen maupun bagi auditor. Bagi manajemen, dokumentasi berguna sebagai bahan untuk: a. Mengkaji ulang sistem b. Melatih karyawan baru c. Memelihara dan memperbaiki sistem dan program yang ada Bagi auditor, dokumen merupakan sumber informasi yang utama mengenai aliran transaksi dalam sist