Senin, 23 Maret 2020
Kamis, 09 Januari 2020
Kamis, 07 November 2019
TUGAS 3 AUDIT TEKNOLOGI SISTEM INFORMASI
TUGAS 3
AUDIT TEKNOLOGI SISTEM INFORMASI
AHMAD ABDUL MUIN
RICHARD SOADUAN
ROFFI ADITYA
PRISMA PRASETYO
TEGAR PRATAMA PS
4KA24
Fakultas Ilmu Komputer &
Teknologi Informasi
Universitas Gunadarma
2019
Audit Sistem Informasi Menggunakan COBIT 4.1 pada PT. IMI
Kemajuan disetiap bidang tak
lepas dari teknologi sebagai penunjangnya, terutama teknologi informasi. Akan
tetapi hal tersebut harus dimbangi dengan adanya sebuah evaluasi atau audit
terhadap penggunaan Teknologi informasi itu sendiri sehingga ancaman atau
kerugian dapat diminimalkan ataupun dicegah.
Pada Penelitian ini penulis
berupaya menemukan dan mengetahui apakah tata kelola Teknologi informasi sudah
di terapkan dengan baik dan efektif sesuai dengan visi dan misi perusahaan.
Karena hal ini sangat penting mengingat besarnya biaya yang harus di keluarkan
oleh perusahaan dalam menerapkan teknologi informasi khususnya pada PT.IMI agar
biaya yang dikeluarkan tidaklah sia-sia dan memberikan manfaat sesuai target
yang diinginkan oleh perusahaan dalam rangka mewujudkan visi dan misi.
Penelitian ini bertujuan mengetahui sejauh mana kinerja sistem informasi
administrasi logistik dan juga memberikan rekomendasi tata kelola perbaikan
setelah mengetahui kesenjangan antara tata kelola saat ini dengan tata kelola
yang diharapkan atau standard-standard yang diharapkan perusahaan pada proses
bisnisnya sesuai dengan framework yang digunakan. Framework yang digunakan
dalam penelitian ini adalah COBIT versi 4.1 khusus pada domain Deliver and
Support (DS).
Teknik pengumpulan datanya
dilakukan dengan observasi, kuesioner dan wawancara dengan narasumber yang
telah ditentukan sesuai dengan domain dan Control Objective yang digunakan.
Metode yang di gunakan penulis dalam menganalisa data menggunakan 4 tahapan,
yaitu menentukan level domain, menentukan proses kendali, menentukan indikator
dan pemetaan tingkat kematangannya. Sehingga hasil dari penelitian ini nantinya
dapat diketahui tingkat kematangan (maturity level) pada proses bisnis yang
berjalan di PT.IMI khusus pada Domain DS, yaitu berada pada level 4 yang
berarti sudah terukur dan terintegrasi antar proses yang berlangsung dan
memberikan rekomendasi kepada perusahaan agar penerapan Teknologi Informasi
dapat lebih baik, efektif dan efisien.
Di ujung peradaban manusia yang
kian sempurna ini, ilmu pengetahuan dan teknologi menempati posisi yang sangat
penting. Hampir semua sektor usaha manusia diwarnai dengan penggunaan berbagai
macam ilmu pengetahuan dan teknologi yang semakin canggih untuk menghadapi
persaingan usaha yang ketat. Perkembangan teknologi dan informasi yang pesat
mulai mempengaruhi berbagai aspek kehidupan, terutama dalam perusahaan untuk
menjalankan proses bisnisnya. Dengan adanya teknologi dan informasi yang
semakin canggih ini, tentunya dapat meningkatkan laba perusahaan dan menghadapi
persaingan dalam pangsa pasar yang dinamis ini. Beberapa perusahaan di
Indonesia telah menerapkan teknologi dan informasi dalam proses bisnisnya,
salah satunya adalah PT.IMI Perusahaan ini merupakan perusahaan berkembang yang
terletak di Green Sedayu Bispark Daan Mogot DM 11 No.62, Jl.Daan Mogot Km.18
RT.006 RW.012,Kalideres Jakarta Barat DKI Jakarta 11840, yang telah menerapkan
teknologi informasi dalam menunjang kegiatan operasionalnya, baik dalam bidang
penjualan, pembelian, inventory (persediaan), dan akuntansi.
Tentukan obyek audit yang akan dilakukan
Obyek audit yang akan digunakan adalah pada studi
kasus audit sistem informasi PT.IMI. menggunakan COBIT 4.1. Metode objek
audit yang digunakan dalam kasus ini adalah Audit Around The Computer, karena
kami tidak menguji langkah-langkah proses secara langsung tetapi membandingkan
input dan output dari sistem.
1. COBIT (Control Objective for Information
and Related Technology)
COBIT merupakan cara atau metode yang dapat ditempuh
untuk dapat menganalisa, mengembangkan, mempublikasikan, dan mempromosikan
suatu otorisasi. COBIT ini dapat membuat up-to-date suatu
sistem perusahaan serta dapat diterima oleh tata kelola TI profesional. Tata
kelola TI yang dikontrol dibawah naungan COBIT merupakan tata kelola TI
bertaraf internasional. Menurut IT Governance Institute COBIT (Control
Objective for Information and Related Technology) adalah sekumpulan dokumentasi
best practices untuk IT Governance yang dapat membantu auditor, manajemen, dan
pengguna (user) untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol
dan permasalahan teknis.
COBIT berorientasi pada bagaimana
menghubungkan tujuan bisnis dengan tujuan TI, menyediakan metric dan maturity
model untuk mengukur pencapaiannya, dan mengidentifikasi tanggung jawab terkait
bisnis dan pemilik proses TI. Penilaian capability process berdasarkan maturity
model COBIT merupakan bagian penting dari implementasi IT Governance setelah
mengidentifikasi proses kritis TI dan pengendaliannya, maturity modeling
memungkinkan gap teridentifikasi dan ditujukan pada manajemen. Dengan
mengetahui gap tersebut maka selanjutnya rencana kerja dapat dikembangkan untuk
membawa proses ini sampai dengan sasaran capability level yang diharapkan.
Dengan demikian, COBIT mendukung pengelolaan TI dengan menyediakan kerangka
untuk memastikan bahwa :
1. TI berjalan dengan bisnis
2. TI memungkinkan bisnis dan memakismalkan keuntungan
3. Sumber daya TI digunakan secara bertanggung jawab
4. Risiko TI dikelola dengan tepat
2. Fungsi COBIT
COBIT memiliki fungsi antara lain :
1. Meningkatkan pendekatan/program audit.
2. Mendukung audit kerja dengan arahan
audit secara rinci
3. Memberikan petunjuk untuk IT governance.
4. Sebagai penilaian benchmark untuk kendali
Sistem Informasi/Teknologi Informasi.
5. Meningkatkan kontrol Sistem
Informasi/Teknologi Informasi.
6. Sebagai standarisasi pendekatan/program
audit.
COBIT menyediakan langkah-langkah praktis terbaik
yang dapat diambil dan lebih difokuskan pada pengendalian (control), yang
selanjutnya dijelaskan dalam tahap dan framework proses. Manfaat dari
langkah-langkah praktis terbaik yang dapat diambil tersebut antara lain :
1. Membantu mengoptimalkan investasi teknologi informasi yang
mungkin dapat dilakukan.
2. Menjamin pengiriman service.
3. Framework COBIT menggambarkan antara business dan aplikasi
yang ditunjukkan pada gambar 2 Boundaries of General and Application Controls.
3. Kelebihan Metode COBIT
Pemilihan kerangka kerja dengan metode COBIT
dikarenakan mempunyai beberapa kelebihan diantaranya:
1. Memiliki konsep yang searah dengan
pengelolaan perusahaan.
2. Memiliki definisi yang lengkap, rinci dan terarah
untuk pengelolaan sebuah perusahaan.
3. Memiliki konsep hubungan kausal yang erat, sehingga mudah
untuk mengarahkan perusahaan, dari sasaran teknis ke strategis dan sebaliknya
serta mampu menelusuri masalah dari lingkup yang besar ke lingkup yang lebih
detil.
4. Stuktur COBIT
Struktur COBIT terdiri dari Excetive Summary, yang didukung
dengan perangkat implementasi, kemudian framework yang dijabarkan menjadi 3
bagian yaitu Management Guidelines, Audit Guidelines, Detailed Control
Objectives. Untuk Management Guidelines terdapat 4 indikator pengukuran yaitu
Maturity Models, Control Success Faktor, Key Goal Indicators, dan Key
Performance Indicators. Sedangkan Detailed Control Objectives dijabarkan dalam
beberapa Control Practice.
5. Kerangka Kerja COBIT
Kerangka kerja COBIT terdiri atas beberapa arahan/pedoman, yakni:
Control Objectives
Terdiri atas 4 tujuan
pengendalian tingkat-tinggi (high-level control objectives) yang terbagi dalam
4 domain, yaitu : Planning & Organization , Acquisition
& Implementation , Delivery & Support ,
dan Monitoring & Evaluation.
1. Planning and Organizing (PO), domain ini
mencakup level strategis dan taktis, dan konsennya pada identifikasi cara TI
yang dapat menambah pencapaian terbaik tujuan-tujuan bisnis.
2. Acquisition and Implementation (AI),
solusi TI yang perlu diidentifikasikan, dikembangkan atau diperlukan, serta
diimplementasikan dan diintegrasikan dalam proses bisnis.selain itu perubahan
sistem dan pemeliharaannya dilindungi untuk memastikan solusi TI memenuhi
tujuan bisnis.
3. Deliver and Support (DS), domain ini
menyangkut pencapaian aktual dari layanan yang diperlukan dengan menyusun
operasi tradisional terhadap keamanan dan aspek kontinuitas sampai pada
pelatihan. Domain ini termasuk data aktual melalui sistem aplikasi, yang sering
diklasifikasikan dalam pengendalian aplikasi.
4. Monitor and Evaluate (ME), semua proses TI perlu
dinilai secara teratur atas suatu waktu untuk kualitas dan pemenuhan kebutuhan
pengendalian. Domain ini mengarahkan kesalahan manajemen pada proses
pengendalian organisasi dan penjaminan independen yang disediakan oleh audit
internal dan eksternal atau diperoleh dari sumber alternatif.
Keempat domain tersebut diatas kemudian dijabarkan
menjadi 34 faktor resiko yang harus dievaluasi jika ingin diperoleh suatu
kesimpulan mengenai seberapa besar kepedulian manajemen terhadap teknologi
informasi, serta bagaimana teknologi informasi dapat memenuhi kebutuhan
manajemen akan informasi. Keempat Domain tersebut dapat pula digambarkan dalam
bentuk gambar dibawah ini yang juga terdapat 34 High level objectives dan 6
Publikasi.
Audit Guidelines
Berisi sebanyak 318
tujuan-tujuan pengendalian yang bersifat rinci (detailed control objectives)
untuk membantu para auditor dalam memberikan management
assurance dan/atau saran perbaikan.
Management Guidelines
Berisi arahan, baik secara umum
maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat
menjawab pertanyaan-pertanyaan berikut :
v Sejauh mana TI harus
bergerak atau digunakan, dan apakah biaya TI yang dikeluarkan sesuai dengan
manfaat yang dihasilkannya.
v Apa saja indikator
untuk suatu kinerja yang bagus.
v Apa saja faktor atau
kondisi yang harus diciptakan agar dapat mencapai sukses ( critical
success factors ).
v Apa saja risiko-risiko
yang timbul, apabila kita tidak mencapai sasaran yang ditentukan.
v Bagaimana dengan
perusahaan lainnya, apa yang mereka lakukan.
v Bagaimana mengukur
keberhasilan dan bagaimana pula membandingkannya.
6. Skala Maturity dari Kerangka Kerja COBIT
Maturity model adalah suatu metode untuk mengukur level pengembangan manajemen
proses, yang berarti adalah mengukur sejauh mana kapabilitas manajemen
tersebut. Seberapa bagusnya pengembangan atau kapabilitas manajemen tergantung
pada tercapainya tujuan-tujuan COBIT yang. Sebagai contoh adalah ada beberapa
proses dan sistem kritikal yang membutuhkan manajemen keamanan yang lebih ketat
dibanding proses dan sistem lain yang tidak begitu kritikal. Di sisi lain,
derajat dan kepuasan pengendalian yang dibutuhkan untuk diaplikasikan pada
suatu proses adalah didorong pada selera resiko Enterprise dan kebutuhan
kepatuhan yang diterapkan.
Penerapan yang tepat pada tata kelola TI di suatu
lingkungan Enterprise, tergantung pada pencapaian tiga aspek maturity (kemampuan,
jangkauan dan kontrol). Peningkatan maturity akan mengurangi
resiko dan meningkatkan efisiensi, mendorong berkurangnya kesalahan dan
meningkatkan kuantitas proses yang dapat diperkirakan kualitasnya dan mendorong
efisiensi biaya terkait dengan penggunaan sumber daya TI.
Maturity model dapat digunakan untuk memetakan :
1. Status pengelolaan TI perusahaan pada saat
itu.
2. Status standart industri dalam bidang TI saat
ini (sebagai pembanding)
3. Status standart internasional dalam bidang TI
saat ini (sebagai pembanding)
4. Strategi pengelolaan TI perusahaan
(ekspetasi perusahaan terhadap posisi pengelolaan TI perusahaan)
7. Rencana Audit yang Dilakukan
Rencana audit yang akan kami lakukan adalah Melakukan studi
kepustakaan, Melakukan perencanaan pemeriksaan, Melakukan penelitianan
pendahuluan, elakukan identifikasi dan analisis masalah, Melakukan pelaksanan
pemeriksaan, dan Membuat laporan hasil pemeriksaan dimana kami akan menjabarkan
temuan audit.
1. Melakukan studi kepustakaan, yaitu pembelajaran mengenai
audit sistem informasi, khususnya mengenai metode audit COBIT 4.1, yang
mencakup Plan and Organise, Acquire and Implement, Deliver and Support, dan
Monitor and Evaluate.
2. Melakukan perencanaan pemeriksaan, yaitu melakukan
observasi awal; merumuskan masalah yang akan diteliti; dan mengajukan
permohonan penelitian kepada pihak terkait.
3. Melakukan penelitian pendahuluan, yaitu merumuskan program
audit yang akan dijalankan.
4. Melakukan identifikasi dan analisis masalah, yaitu
menganalisa efektivitas pelaksanaan pengendalian aplikasi.
5. Melakukan pelaksanan pemeriksaan, yaitu dengan mengajukan
kuesioner; melakukan wawancara, observasi lapangan, dan dokumentasi; melakukan
evaluasi atas penerapan pengendalian aplikasi tersebut.
6. Membuat laporan hasil pemeriksaan dimana kami akan
menjabarkan temuan audit, memberikan rekomendasi dan saran-saran perbaikan,
serta menyimpulkan hasil penelitian.
8. Susun Instrumen Audit
yang akan Digunakan
Pada tahapan ini kami melaksanakan program audit
dengan mengumpulkan bukti-bukti. Teknik pengumpulan data yang digunakan adalah
metode penelitian lapangan, yang dilakukan dengan cara mendatangi langsung
obyek yang akan diteliti untuk memperoleh data primer. Sehubungan untuk
mendapat data sekunder yang berhubungan dengan masalah yang menjadi obyek
penelitian, maka Instrumen audit yang akan kami gunakan adalah :
1. Dokumentasi
2. Observasi
3. Komunikasi dengan Wawancara dan
Kuesioner
9. Petunjuk Penggunaan Instrumen Audit yang Akan Digunakan
Berikut ini adalah petunjuk instrumen audit
yang akan kami gunakan :
1. Dokumentasi
Upaya mendapatkan informasi, kami mengumpulkan data
tertulis atau dokumen-dokumen dari perusahaan, yaitu bagan struktur organisasi,
uraian tugas serta tanggung jawab, jenis software yang digunakan, printscreen
dari software yang digunakan, serta dokumen lain yang berkaitan dengan
penerapan sistem aplikasi ERP pada PT. IMI.
2. Observasi
Kami melakukan observasi langsung di perusahaan PT. IMI
yang berhubungan dengan sistem aplikasi ERP perusahaan. Pengamatan yang
dilakukan adalah sebagai berikut:
a. Analisis catatan (record analysis),
meliputi catatan historis atau masa kini dan catatan umum atau pribadi, berupa
tertulis, dalam bentuk print-out.
b. Analisis kondisi fisik
(physical condition analysis), analisis kondisi fisik dari obyek yang diteliti,
menganalisa hardware yang digunakan oleh PT. IMI.
c. Analisis proses atau aktivitas (process or activity
analysis), kami menganalisa aktivitas pelaksanaan input dan output yang
dihasilkan serta aktivitas pengendalian aplikasi terhadap proses tersebut.
Aktivitas ini menggunakan pendekatan auditing around the computer, suatu
pendekatan dengan memperlakukan komputer sebagai black box. Kami tidak menguji
langkah-langkah proses secara langsung tetapi membandingkan input dan output
dari sistem. Diasumsikan bahwa jika input benar akan diwujudkan pada output,
sehingga pemrosesannya juga benar dan tidak melakukan pengecekan terhadap
pemrosesan komputer secara langsung.
3. Komunikasi dengan Wawancara
dan Kuesioner.
Wawancara yang dilakukan yaitu wawancara
secara personal kepada pihak manajerial TI dengan Bpk Rencana Ginting (Cana),
dan wawancara yang dilakukan dengan cara menyebarkan kuesioner. Pembuatan
kuesioner menggunakan pendekatan COBIT 4.1. Setelah melakukan penyebaran
kuisioner dilakukan mapping / pengidentifikasian pertanyaan tiaptiap proses TI.
Hal ini bertujuan agar informasi tiap-tiap proses TI COBIT dapat
terpenuhi. Penyebaran kuesioner berjumlah 5
responden yang tersebar di divisi TI sebanyak 1 responden, divisi Finance
sebanyak 1 responden, divisi Sales sebanyak 1 responden, divisi Warehouse
sebanyak 1 responden, dan divisi Purchasing sebanyak 1 responden, maka
didapatkan jawaban yang sama untuk pertanyaan ya dan tidak, dengan komentar yang
sedikit berbeda untuk setiap responden.
Kuesioner memiliki 2 jenis yaitu
kuesioner untuk TI dan kuesioner untuk non-TI. Kuesioner untuk TI terdiri dari
88 pertanyaan, yaitu 11 pertanyaan kuesioner pengendalian umum (General
Controls), 17 pertanyaan pengendalian batasan (Boundary Controls), 12
pertanyaan pengendalian masukan (Input Controls), 10 pertanyaan pengendalian
proses (Process Controls), 4 pertanyaan pengendalian keluaran (Output
Controls), 17 pertanyaan pengendalian basisdata (Database Controls), 12
pertanyaan pengendalian komunikasi aplikasi (Application Communication
Controls), dan 5 pertanyaan pengendalian sistem operasi (Operating System
Controls).
Sedangkan kuesioner untuk non-TI terdiri dari
65 pertanyaan, yaitu 8 pertanyaan kuesioner pengendalian umum (General
Controls), 12 pertanyaan pengendalian batasan (Boundary Controls), 22
pertanyaan pengendalian masukan (Input Controls), 8 pertanyaan pengendalian
proses (Process Controls), 14 pertanyaan pengendalian keluaran (Output Controls),
dan 1 pertanyaan pengendalian komunikasi aplikasi (Application Communication
Controls).
Jumat, 18 Oktober 2019
AUDIT TEKNOLOGI SISTEM INFORMASI TUGAS 1
AUDIT TEKNOLOGI SISTEM INFORMASI TUGAS 1
TUGAS 1
AUDIT TEKNOLOGI SISTEM INFORMASI
Disusun oleh :
Richard Soaduan
|
16116315
|
Fakultas Ilmu Komputer & Teknologi Informasi
Universitas Gunadarma
2019
1. Jelaskan perbedaan masing - masing auditor berdasarkan jenis - jenis auditor.
Auditor Internal (Internal Auditor)
Auditor
internal adalah auditor yang dipekerjakan oleh suatu entitas usaha dan
bekerja untuk perusahaan tersebut. Auditor internal hanya memeriksa
dokumen – dokumen keuangan internal yang diberikan oleh pihak – pihak
manajemen dalam ruang lingkup yang terbatas. Auditor internal juga
membantu perusahaan untuk meningkatkan akurasi data keuangan mereka dan
menghindari masalah hukum atau keuangan.
Auditor Independen (Independent Auditor)
Auditor
independen adalah auditor eksternal yang pada umumnya merupakan anggota
kantor akuntan publik yang memberikan jasa audit profesional untuk
masing – masing klien. Di luar negeri sebutan auditor independen adalah
CPA. Auditor independen haruslah benar – benar independen yang tidak
dipengaruhi oleh pihak – pihak manapun.
Auditor Pemerintah (Government Auditor)
Auditor
pemerintah adalah auditor yang bekerja pada sektor – sektor
pemerintahan. Auditor pemerintah pada umumnya meninjau keuangan dan
praktek lembaga – lembaga pemerintahan. Hasilnya akan dijadikan acuan
dalam membuat dan mengelola beberapa kebijakan dan anggaran.
Auditor Forensik (Forensic Auditor)
Auditor
forensik adalah auditor yang mempunyai spesialisi dalam tindakan
kriminal keuangan. Biasanya mereka memeriksa beberapa dokumen yang
terkait dengan tindakan kriminal seperti kejahatan perbankan, fraud,
money laundry, serta melacak uang yang diguankan untuk mencari tahu di
mana uang itu berasal dan dimana uang itu tersimpan.
2. Cari tau standar profesi auditor SI dan jelaskan organisasi yang mengeluarkan standar tersebut.
Standar
auditor SI tidak lepas dari standar profesional seorang auditor SI.
Standar profesional adalah ukuran mutu pelaksanaan kegiatan profesi yang
menjadi pedoman bagi para anggota profesi dalam menjalankan tanggung
jawab profesinya. Standar profesional adalah batasan kemampuan
(knowledge, technical skill and professional attitude) minimal yang
harus dikuasai oleh seseorang individu untuk dapat melakukan kegiatan
profesionalnya pada masyarakat secara mandiri yang aturan – aturannya
dibuat oleh organisasi profesi yang bersangkutan. Beberapa standar audit
SI yang biasa digunakan adalah sebagai berikut :
ISACA : IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals.
IIA : International Professional Practices Framework / IPPF.
IASII : Standar Audit Sistem Informasi.
BI : Standar Pelaksanaan Fungsi Audit Intern Bank / SPFAIB.
BPPT : Framework, Kode Etik & Standar, Pedoman Umum Audit Teknologi.
3. Menurut anda seberapa penting audit TI dan SI perlu dilakukan terhadap suatu organisasi.
Dalam
hal proses data menjadi suatu informasi merupakan sebuah kegiatan dalam
organisasi yang bersifat repetitif sehingga harus dilaksanakan secara
sistematis dan otomatis. Dengan demikian, sangat diperlukan adanya
pengelolaan yang baik dalam sistem yang mendukung proses pengolahan data
tersebut. Dalam sebuah organisasi tata kelola sistem dilakukan dengan
melakukan audit. audit sistem informasi merupakan tinjauan
pengendalian umum dan aplikasi untuk menilai pemenuhan kebijakan dan
prosedur pengendalian internal serta keefektivitasannya untuk menjaga asset.
Kamis, 10 Oktober 2019
Basically is classic
Audit Teknologi Sistem Informasi
TUGAS 1
AUDIT TEKNOLOGI SISTEM INFORMASI
AHMAD ABDUL MUIN
RICHARD SOADUAN
ROFFI ADITYA
PRISMA PRASETYO
TEGAR PRATAMA PS
4KA24
Fakultas Ilmu Komputer & Teknologi Informasi
Universitas Gunadarma
2019
I. Ruang Lingkup Audit Sistem Informasi
Ruang lingkup Audit Sistem Informasi (SI) sebagai audit operasional terhadap fungsi sistem informasi (IT governance), audit objective-nya
adalah melakukan assessment terhadap efektifitas, efisiensi, dan
ekonomis tidaknya pengelolaan sistem informasi suatu organisasi. Audit SI dimaksudkan untuk memberikan informasi kepada manajemen puncak agar manajemen mempunyai “a clear assessment” terhadap sistem informasi yang diimplementasikan pada organisasi tersebut. Misalnya, bahwa application software yang ada telah dianalisis dan didesain dengan baik, telah diimplementasikan dengan security features yang memadai.
Perlu
dipahami bahwa audit SI tidak harus selalu merupakan penugasan lengkap
mencakup seluruh aspek. Penugasan audit SI mungkin mencakup semua,
tetapi bisa dengan beberapa variasi, atau beberapa aspek saja: suatu
audit mungkin hanya menitikberatkan fokus pada satu aspek saja, atau
beberapa aspek yang penting sesuai kebutuhan organisasi tersebut. Meskipun hakekatnya keseluruhan aspek IT Governance tersebut sesungguhnya penting untuk diaudit dalam rangka peningkatan mutu sistem, namun itu tidak bersifat harus (it is not mandatory). Bisa saja dilakukan penugasan-penugasan audit yang berbeda untuk satu atau beberapa aspek, tidak harus sekali “gebrak” (to do all of them in one assignment).
Salah satu alasannya adalah memang kompetensi/keterampilan yang
diperlukan bagi auditor untuk setiap aspek tersebut bisa berbeda. Oleh
karena itu aspek sebetulnya ada keterkaitan, dan semuanya adalah
penting, maka bila dilakukan audit secara terpisah-pisah, manajemen
harus mendapat gambaran umum (overview) yang jelas dan terpadu (the overview is critical).
Jadi,
terdapat berbagai jenis penugasan audit sistem informasi yang dapat
dilaksanakan pada suatu organisasi, misalnya sebagai berikut:
· Untuk mengidentifikasi sistem yang ada (inventory existing systems), baik yang ada pada tiap divisi/unit/departemen ataupun yang digunakan menyeluruh.
· Untuk
dapat lebih memahami seberapa besar sistem informasi mendukung
kebutuhan strategis perusahaan, operasi perusahaan, mendukung kegaitan
operasional departemen/unit/divisi, kelompok kerja, maupun para petugas
dalam melaksanakan kegiatannya.
· Untuk mengetahui pada bidang atau area mana, fungsi, kegiatan atau business processes yang didukung dengan sistem serta teknologi informasi yang ada.
· Untuk
menganalisis tingkat pentingnya data/informasi yang dihasilkan oleh
sistem dalam rangka mendukung kebutuhan para pemakainya.
· Untuk mengetahui keterkaitan antara data, sistem pengolahan dan transfer informasi.
· Untuk mengidentifikasi apakah ada kesenjangan (gap) antara sistem dengan kebutuhan.
· Untuk membuat peta (map) dari information flows yang ada.
II. Jenis-Jenis Audit Sistem Informasi
Jenis-jenis Audit Sistem Informasi Audit sistem informasi dapat digolongkan dalam tipe atau jenis-jenis audit sebagai berikut:
a. Audit Laporan Keuangan (Financial Statement Audit)
Adalah
audit yang dilakukan untuk mengetahui tingkat kewajaran laporan
keuangan yang disajikan oleh perusahaan (apakah sesuai dengan standar
akuntansi keuangan serta tidak menyalahi uji materialitas). Apabila
sistem akuntansi organisasi yang di audit merupakan sistem akuntansi
berbasis komputer, maka dilakukan audit terhadap sistem informasi
akuntansi apakah proses/mekanisme sistem dan program komputer telah
sesuai, pengendalian umum sistem memadai dan data telah substantif.
b. Audit Operasional (Operational Audit)
Audit terhadap aplikasi komputer terbagi menjadi tiga jenis, antara lain:
1. Post implementation Audit (Audit setelah implementasi)
Auditor
memeriksa apakah sistem-sistem aplikasi komputer yang telah
diimplementasi Kan pada suatu organisasi /perusahaan telah sesuai dengan
kebutuhan penggunanya (efektif) dan telah dijalankan dengan sumber daya
optimal (efisien). Auditor mengevaluasi apakah sistem aplikasi tertentu
dapat terus dilanjutkan karena sudah berjalan baik dan sesuai dengan
kebutuhan usernya atau perlu dimodifikasi dan bahkan perlu dihentikan.
Pelaksanaan audit ini dilakukan oleh auditor dengan menerapkan
pengalamannya dalam pengembangan sistem aplikasi, sehingga auditor dapat
mengevaluasi apakah sistem yang sudah diimplementasikan perlu
dimutakhirkan atau diperbaiki atau bahkan dihentikan apabila sudah tidak
sesuai kebutuhan atau mengandung kesalahan.
2. Concurrent audit (audit secara bersama)
Auditor
menjadi anggota dalam tim pengembangan sistem (system development
team). Mereka membantu tim untuk meningkatkan kualitas pengembangan
sistem yang dibangun oleh para sistem analis, designer dan programmer
dan akan diimplementasikan. Dalam hal ini auditor mewakili pimpinan
proyek dan manajemen sebagai quality assurance.
3. Concurrent Audits (audit secarabersama-sama)
Auditor
mengevaluasi kinerja unit fngsional atau fungsi sistem informasi
(pusat/instalasi komputer) apakah telah dikelola dengan baik, apakah
kontrol dalam pengembangan sistem secara keseluruhan sudah dilakukan
dengan baik, apakah sistem komputer telah dikelola dan dioperasikan
dengan baik. Dalam mengaudit sistem komputerisasi yang ada, audit ini
dilakukan dengan mengevaluasi pengendalian umum dari sistem-sistem
komputerisasi yang sudah diimplementasikan pada perusahaan tersebut
secara keseluruhan. Saat melakuan pengujian digunakan bukti untuk
menarik kesimpulan dan memberikan rekomendasi kepada manajemen tentang
hal-hal yang berhubungan dengan efektifitas, efisiensi, dan ekonomisnya
sistem.
III. Tujuan Audit Sistem Informasi
Tujuan audit sistem informasi menurut Ron Weber “1999:11-13” secara garis besar terbagi menjadi empat tahap yaitu:
1. Pengamanan Aset
Aset
informasi suatu perusahaan seperti perangkat keras “hardware”,
perangkat lunak “software”, sumber daya manusia, file data harus dijaga
oleh suatu sistem pengendalian intern yang baik agar tidak terjadi
penyalahgunaan aset perusahaan. Dengan demikian sistem pengamanan aset
merupakan suatu hal yang sangat penting yang harus dipenuhi oleh
perusahaan.
2. Menjaga Integritas Data
Integritas
data “data integrity” adalah salah satu konsep dasar sistem informasi.
Data memiliki atribut-atribut tertentu seperti: kelengkapan, kebenaran
dan keakuratan. Jika integritas data tidak terpelihara maka suatu
perusahaan tidak akan lagi memiliki hasil atau laporan yang benar bahkan
perusahaan dapat menderita kerugian.
3. Efektifitas Sistem
Efektifitas
sistem informasi perusahaan memiliki peranan penting dalam proses
pengambilan keputusan, suatu sistem informasi dapat dikatakan efektif
bila sistem informasi tersebut telah sesuai dengan kebutuhan user.
4. Efisiensi Sistem
Efisiensi
menjadi hal yang sangat penting ketika suatu komputer tidak lagi
memiliki kapasitas yang memadai atau harus mengevaluasi apakah efisiensi
sistem masih memadai atau harus menambah sumber daya karena suatu
sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi
kebutuhan user dengan sumber daya informasi yang minimal.
5. Ekonomis
Ekonomis
mencerminkan kalkulasi untuk rugi ekonomi “cost/benefit” yang lebih
bersifat kuantifikasi nilai moneter “uang”. Efisiensi berarti sumber
daya minimum untuk mencapai hasil maksimal. Sedangkan ekonomis lebih
bersifat pertimbangan ekonomi.
IV. Kerjasama Antar Auditor
A. Hubungan Auditor Internal dan Auditor Eksternal
Ada
beberapa hal yang terkait dengan audit eksternal dan audit internal. Di
dalam hal ini ada beberapa poin yang membedakan antara audit eksternal
dan audit internal. Perbedaan itu adalah dari sisi:
1. Output atau keluaran, dimana
output utama dari audit eksternal adalah opini sedangkan output utama
dari audit internal adalah rekomendasi. Kemudian dari sisi
2. Independensi,
dimana audit eksternal harus independen terhadap manajemen sedangkan
audit internal tidak independen terhadap manajemen namun harus
independen terhadap aktivitas yang diaudit.
3. Klien
dari audit eksternal yang merupakan pemegang saham, komisaris dan pihak
terkait diluar perusahaan sedangkan klien dari audit internal adalah
manajemen sendiri.
4. Pelaporan, dimana
audit eksternal melaporkan hasil audit pada stakeholder perusahaan
sedangkan audit internal melaporkan hasil audit pada direksi.
Pembahasan
selanjutnya yang dibahas adalah tentang manfaat adanya audit internal
bagi auditor eksternal yang berupa independensi atau obyektivitas yang
lebih baik dibandingkan dengan manajemen langsung, pemahaman mendalam
yang dimiliki oleh auditor internal atas kegiatan operasional
perusahaan, dan juga kesamaan profesi yang dimiliki auditor eksternal
dengan auditor internal sehingga akan memudahkan komunikasi diantara
keduanya. Walaupun
terdapat banyak kegunaan auditor internal bagi auditor eksternal, di
dalam prakteknya belum tentu ada kerja sama yang erat diantara keduanya. Ada beberapa hal yang menentukan terjalinnya kerja sama yang padu antara auditor eksternal dan auditor internal:
1. Tingkat pemahaman auditor eksternal atas status auditor internal
2. Adanya
peraturan dan standar yang mendasarinya. Di dalam standar audit di
Indonesia kerja sama antara auditor eksternal dan auditor internal
dimungkinkan dengan beberapa persyaratan berupa; kompetensi auditor
internal, pemberian tujuan audit kepada auditor internal oleh auditor
eksternal di awal proses audit, dan pelaporan langsung kepada auditor
eksternal.
3. Tingkat perbedaan cakupan kegiatan audit internal dengan cakupan audit eksternal.
4. Obyektivitas auditor internal di mata auditor eksternal yang
juga ditekankan oleh pembicara di bagian ini adalah pengujian ulang
hasil audit internal oleh auditor eksternal serta upaya melibatkan audit
internal di dalam review atas audit eksternal sebagai upaya
menjembatani hubungan antara kedua auditor.
V. Kesimpulan
Audit SI memiliki tujuan seperti pengamanan aset, menjaga integritas data, efektifitas sistem, efisiensi sistem, dan ekonomis. Audit SI untuk memberikan informasi kepada manajemen puncak agar manajemen mempunyai “a clear assessment” terhadap sistem informasi yang diimplementasikan pada organisasi tersebut.
VI. Daftar Pustaka
- Buku : Fitrawansyah, Fraud & Auditing, 2014
Langganan:
Komentar (Atom)