supporting material audit is

7/24/2019 Supporting Material Audit Is

1/40

Audit atas Pengendalian Operasi TI

PENDAHULUAN

Pada edisi sebelumnya kita telah membahas secara singkat mengenai audit atas

pengendalian pengembangan TI yang mencakup pengendalian proyek TI,

pengendalian kualitas TI, pengendalian pengadaan TI, pengendalian prosedur TI

dan pengendalian perubahan TI. Pada kesempatan ini kita akan membahas

mengenai Audit atas Pengendalian Operasi TI. Pengendalian operasi TI ini

merupakan bagian terakhir dari pembahasan mengenai Pengendalian Umum sistem

informasi, dimana pada edisi-edisi selanjutnya akan kita lanjutkan dengan

pembahasan mengenai Pengendalian Aplikasi.

Untuk kemudahan pembahasan maka kita mengambil beberapa aktifitas

pengendalian dari C!IT yang berhubungan dengan kegiatan operasional sistem

informasi, yang secara sederhana dapat kita gambarkan hubungannya satu sama

lain seperti pada Gambar 1.

Gambar 1 Hubungan antara aktifitas pengendalian dalam Pengendalian

Operasi TI

1 Pengendalian Tingkat La!anan TI " #asa Pi$ak %etiga

"alah satu pengendalian kunci dalam memastikan operasional TI sesuai dengan

kebutuhan perusahaan adalah dengan menerapkan kesepakatan tingkat layanan,

baik itu kesepakatan tingkat layanan kepada pengguna internal dan eksternal

perusahaan maupun kesepakatan tingkat layanan dari penyedia jasa pihak ketiga.

"emua itu dapat dijalankan dengan baik dengan adanya perjanjian kesepatakan

resmi yang menjabarkan mengenai layanan yang diberikan, tingkat kinerja layanan

1


2/40

yang disepakati serta penentuan indikator-indikator dan mekanisme

penge#aluasian tingkat layanan.

Pema$aman$ %alam melaksanakan audit atas pengendalian tingkat layanan TI

dan jasa pihak ketiga auditor harus memahami dengan baik kebijakan dan prosedur

yang ada mengenai kesepakatan tingkata layanan, sistem pelaporan tingkatlayanan, metodologi pemantauan tingkat layanan dan aktifitas-aktifitas peningkatan

tingkat layanan. Auditor juga harus memahami siapa saja pengguna layanan TI dan

layan apa yang diberikan kepada setiap pengguna, serta penyedia jasa pihak ketiga

yang berkaitan dengan sistem informasi yang berhubungan dengan laporan

keuangan.

Pengu&ian Pengendalian$ "elanjutnya auditor dapat melakukan pengujian

pengendalian untuk menge#aluasi apakah pengendalian tingkat layanan dan jasa

pihak ketiga telah dilaksanakan sesuai dengan kebijakan dan prosedur yang ada &

Apakah pengguna paham akan kesepakatan tingkat layanan dan apakah merekapuas dengan tingkat layanan yang ada &

Pengu&ian Terin'i$ Auditor harus melakukan pengujian terinci untuk

mengidentifikasi adanya pelaksanaan pengendalian tingkat layanan dan jasa pihak

ketiga yang tidak sesuai dengan kebijakan dan perosedur perusahaan & Apakah ada

layanan yang tidak sesuai dengan kesepakatan tingkat layanan & Apakah ada jasa

pihak ketiga yang tidak sesuai dengan kesepakatan tingkat layanan &

( Pengendalian %iner&a) %apasitas dan %*nfigurasi TI

Pengendalian kinerja, kapasistas dan konfigurasi TI memegang peranan penting

dalam memastikan bah'a operasional TI dapat berjalan sesuai dengan

kesepakatan tingkat layanan yang ada serta dapat memenuhi perkembangan

kegiatan perusahaan. Pengendalian ini dilakukan dengan menerapkan kebijakan

dan prosedur pemantauan, pelaporan dan analisis data kinerja dari sumber daya TI

yang ada, pengukuran aplikasi dan beban kerja yang sistematis secara periodik,

serta pencatatan dan pemantauan konfigurasi dari setiap perangkat TI yang

dilakukan secara periodik.

Pema$aman$ Untuk dapat melakukan audit atas pengendalian kinerja, kapasitasdan konfirgurasi TI, maka auditor harus memahami berbagai kebijakan dan

prosedur yang ada di perusahaan yang berkaitan dengan pengelolaan perangkat

keras dan aplikasi yang ada, termasuk daftar perangkat keras dan spesifikasinya,

daftar aplikasi dan arsitekturnya, dan batasan-batasan kapasitas dan konfigurasi

sesuai standar yang ada atau sesuai dengan saran dan syarat dari #endor

perangkat tersebut.

2


3/40

Pengu&ian Pengendalian$ Auditor dapat melakukan pengujian pengendalian

untuk menge#aluasi bah'a pelaksanaan pengendalian kinerja, kapasitas, dan

konfigurasi TI telah sesuai dengan kebijakan dan prosedur yang ada & Apakah

seluruh perangkat keras penting telah dicatat, dimonitor, dilaporkan dan dianalisis

kinerja, kapasitas, dan konfigurasinya & Apakah seluruh aplikasi yang berkaitan

dengan sistem informasi yang menghasilkan laporan keuangan telah dimonitor,

dilaporkan dan dianalisis kinerja, kapasitas, dan konfigurasinya &

Pengu&ian Terin'i$ "elanjutnya auditor harus melakukan pengujian terinci untuk

mengidentifikasi apakah terjadi atau terdapat resiko terjadinya permasalahan pada

kinerja dan kapasitas sistem & Apakah terdapat permasalahan pada perangkat

keras maupun aplikasi yang disebabkan karena kegagalan atau kesalahan pada

pengelolaan kinerja, kapasitas dan konfigurasi TI &

+ Pengendalian ,asala$-Insiden " La!anan Pengguna

perasional TI tentunya sangat berkaitan erat dengan penanganan berbagai

permasalahan atau insiden yang terjadi pada perangkata keras maupun aplikasi

serta keluhan dari para pengguna. Pengendalian masalah dan layanan pengguna ini

umumnya lebih sering dikenal dengan isitilah help deskatau service delivery &

support. Pengendalian ini penting karena operasional TI tidak pernah lepas dari

masalah serta tidak semua pengguna memahami penggunaan TI dengan baik

disamping kebutuhan pengguna yang terus menerus berubah seiring dengan

perubahan bisnis perusahaan.

Pema$aman$ Auditor dalam melakukan audit atas pengendalian masalah danlayanan pengguna harus memahami berbagai kebijakan dan prosedur yang ada

yang terkait dengan penanganan berbagai permasalahan TI, baik perangkat keras

maupun aplikasi serta penanganan keluhan pengguna, baik internal maupun

eksternal.


untuk menge#aluasi apakah penanganan masalah TI dan keluhan pengguna TI

telah dilaksanakan sesuai dengan kebijakan dan prosedur yang ada & Apakah

perusahaan telah menerapkan kebijakan dan prosedur yang dapat memberikan

jaminan bah'a seluruh permasalahan atau insiden TI dapat terdeteksi, tercatat,dan terselesaikan secepat mungkin & Apakah perusahaan telah melakukan e#aluasi

dan analisis atas catatan mengenai permasalahan TI dan keluhan pengguna untuk

melakukan berbagai tindakan pencegahan agar permasahan atau keluhan tersebut

tidak perlu terjadi kembali &

3


4/40

Pengu&ian Terin'i$ Auditor selanjutnya harus melakukan pengujian terinci untuk

mengidentifikasi apakah terdapat permasalahan TI yang tidak terdeteksi, tidak

tercatat atau tidak terselesaikan dengan baik dan tepat pada 'aktunya & Apakah

terdapat keluhan pengguna yang tidak tercatat, tidak direspon atau tidak

terselesaikan sesuai dengan kebutuhan pengguna dan kebijakan serta prosedur

yang ada &

. Pengendalian Operasi Pusat %*mputer

"istem informasi pada umumnya sangat bergantung kepada kelancaran operasional

di pusat komputer atau sering juga desebut Data Center/Computer Center/Server

Room. perasional di pusat komputer umumnya bersifat rutin dan lebih diutamakan

kepada kelancaran pelaksanaan aktifitas sistem sesuai dengan jad'al dan prioritas

yang telah ditetapkan perusahaan.

Pema$aman$ Untuk dapat melakukan audit atas pengendalian pusat operasi

komputer auditor harus memahami kebijakan dan prosedur perusahaan mengenai

operasional pusat komputer, termasuk peran tanggung ja'ab para pega'ai di pusat

komputer serta jad'al kegiatan di pusat komputer.

Pengu&ian Pengendalian$ "elanjutnya auditor dapat melakukan pengujian untuk

menge#aluasi apakah pelaksanaan kegiatan di pusat komputer telah sesuai dengan

kebijakan dan prosedur yang ada & Apakah seluruh kegiatan telah dilaksanakan

sesuai jad'al & Apakah laporan-laporan kegiatan di pusat komputer telah dibuatdan die#aluasi secara periodik & Apakah setiap pihak di pusat komputer telah

menjalankan tugasnya sesuai dengan ketentuan &

Pengu&ian Terin'i$ Auditor harus melakukan pengujian terinci atas pengendalian

operasi pusat komputer untuk mengidentifikasi apakah terdapat kegiatan yang

tidak dilaksanakan sesuai jad'al & Apakah ada kegiatan yang diluar jad'al &

Apakah terdapat permasalahan yang dikarenakan oleh tidak sesuainya pelaksanaan

aktifitas di pusat komputer dengan kebijakan dan prosedur yang ada &

-o(o-

4


5/40

Audit atas Pengendalian Pengembangan TI

PENDAHULUAN

Pada edisi-edisi sebelumnya secara berturut-turut kita telah membahas secara

singkat mengenai sebagian dari audit atas pengendalian umum sistem informasi,

yaitu audit atas pengendalian perencanaan TI, audit atas pengendalian keamananTI dan audit atas pengendalian organisasi TI. Pada kesempatan ini kita akan

melanjutkan pembahasan pada bagian selanjutnya, yaitu Audit atasPengendalian Pengembangan TI.

Pada praktik-praktik terbaik yang ada saat ini terdapat begitu banyak hal yangharus diperhatikan dalam melaksanakan pengembangan sistem informasi. Untuk

kemudahan pembahasan maka kita mengambil beberapa aktifitas pengendalian

dari C!IT yang berhubungan dengan kegiatan pengembangan sistem informasi,

yang secara sederhana dapat kita gambarkan hubungannya satu sama lain sepertipada Gambar 1.


Pengembangan TI

5


6/40

1 ,ana&emen Pr*!ek TI

Pada umumnya kegiatan pengembangan sistem informasi dilakukan dengan pola

proyek, dimana pengembangan sistem informasi perusahaan secara keseluruhan

dibagi-bagi ke dalam beberapa komponen dan tahapan dimana setiap komponen

dan tahapan tersebut diberlakukan sebagai proyek yang tersendiri namun tetapsaling terkait dan berhubungan.

)anajemen proyek TI bertujuan untuk memastikan bah'a prioritas pengembangan

sejalan dengan bisnis serta kegiatan pengembangan dapat dilaksanakan tepat

'aktu dan sesuai dengan anggaran yang ada. *al ini dapat dicapai dengan

menyeleraskan penetapan prioritas proyek TI dengan prioritas operasionalperusahaan serta dan mengadopsi berbagai teknik pengelolaan proyek yang baik.

Pema$aman$ Auditor harus memahami kebijakan dan prosedur manajemenproyek TI, mempelajari rencana dan realisasi proyek-proyek pengembangan TI

yang ada serta mempelajari prioritas proyek pengembangan TI dan prioritas

operasional perusahaan. *al ini tentunya difokuskan kepada proyek-proyek

pengembangan TI yang berhubungan dengan sistem pelaporan keuanganperusahaan yang diaudit.

Pengu&ian Pengendalian$ "elanjutnya auditor perlu mengambil sampel atasbeberap proyek pengembangan TI yang berhubungan dengan laporan keuangan

untuk kemudian melakukan pengujian pengendalian untuk menilai + Apakah

manajemen proyek pengembangan TI telah sesuai dengan kebijakan dan prosedur

manajemen proyek TI perusahaan & Apakah penetapan prioritas proyekpengembangan TI telah selaras dengan prioritas operasional perusahaan &

Pengu&ian Terin'i$ %alam pengujian substantif ini auditor akan melakukanpengujian terinci untuk menge#aluasi + Apakah terdapat proyek-proyek

pengembangan TI yang berhubungan dengan laporan keuangan yang tidak

direncanakan & tidak sesuai anggaran & tidak tepat 'aktu & tidak dapat mencapai

tujuannya & Apakah penyimpangan yang terjadi dalam manajemen proyek TIberdampak yang signifikan terhadap laporan keuangan &

( ,ana&emen %ualitas TI

"aat ini sudah sangat banyak perusahaan yang telah memperoleh sertifikasi dibidang manajemen mutu, namun banyak dari perusahaan tersebut tidakmelibatkan unit TI dalam proses sertifikasi tersebut, sehingga 'alaupun

perusahaan telah memiliki pengendalian manajemen mutu namun belum tentunya

sistem informasi yang ada juga direncanakan, dikembangkan, diimplementasikan

dan dioperasikan sesuai dengan manajemen mutu yang ada dan menunjangmanajemen mutu keseluruhaan perusahaan.

6


7/40

)anajemen kualitas dalam TI dilaksanakan bertujuan untuk memberikan kepuasan

yang layak kepada para konsumen TI, baik pihak internal perusahaan maupuneksternal. *al ini pada umumnya dilaksanakan dengan melakukan implementasi

sistem dan standar manajemen mutu yang baik dengan tahapan pengembanga

sistem yang jelas serta tanggung ja'ab yang secara eksplisit dinyatakan dengan

jelas.

Pema$aman$ Auditor perlu memahami apakah perusahaan telah menerapkan

sistem dan standard manajemen mutu dan apakah manajemen mutu tersebut jugasudah mencakup manajemen TI. Auditor perlu memahami tahapan pengembangan

sistem informasi yang digunakan perusahaan, mulai dari tahap perencanaan,

perancangan, pengembangan, pengujian dan implementasi serta e#aluasi.

"elanjutnya auditor dapat mengambil sampel atas pengembangan TI yangberhubungan dengan sistem pelaporan keuangan atau yang bernilai atau

berdampak cukup signifikan pada operasional perusahaan.

Pengu&ian Pengendalian$ "elanjutnya auditor perlu melakukan pengujianpengendalian untuk menge#aluasi apakah sistem dan standar manajemen mutu

yang digunakan perusahaan telah diterapkan pada pengembangan TI & Apakah

pengembangan TI yang ada telah dilaksanakan sesuai dengan sistem dan standarmanajemen mutu tersebut dari mulai tahap perancangan, pengembangan,

pengujian, implementasi dan e#aluasi &

Pengu&ian Terin'i$ %alam tahapan ini auditor harus mengidentifikasi apakah

terdapat pengembangan TI yang tidak memenuhi kebutuhan pengguna & Apakah

terdapat pengembangan TI yang tidak melalui tahapan pengujian secara layak &

Apakah terdapat pengembangan TI yang tidak memiliki dokumentasi sistem yang

lengkap & dan apakah kondisi-kondisi tersebut berdampak secara signifikan padalaporan keuangan &

+ ,ana&emen Pengadaan TI

Pada setiap pengembangan TI umumnya melibatkan dua komponen utama yaitusistem aplikasi dan infrastruktur teknologi serta tidak jarang pula melibatkan

komponen jasa seperti implementor atau konsultan pengembang TI.

Pengembangan sistem aplikasi dapat dilakukan internal atau dilakukan oleh pihak

ketiga, sedangkan pengadaan infrastruktur umumnya dilakukan melalui pihakketiga. Proses pengadaan TI ini memegang peranan penting dalam pengembangan

TI, terlebih lagi pengembangan TI yang sebagian besar dilakukan oleh pihak ketiga.

Untuk dapat memberikan sistem aplikasi yang sesuai dengan kebutuhan maka

perusahaan harus mendefinisikan dengan jelas kebutuhan fungsi dan fitur yang

dibutuhkan serta infrastruktur teknologi seperti apa yang paling sesuai dengan

sistem aplikasi dan pola bisnis perusahaan. "elanjutnya definisi kebutuhan ini

7


8/40

diterjemahkan kedalam dokumen pengadaan TI dan diproses dalam kegiatan

pengadaan TI yang transparan dan kompetitif serta terkendali dengan baik.

Pema$aman$ Auditor harus memahami kebijakan, standar dan prosedur

pengadaan TI yang ada di perusahaan, termasuk proses apa saja yang harus

dilakukan pada setiap tahapan pengadaan TI dan siapa yang harusbertanggungja'ab pada setiap tahapan tersebut. "elanjutnya auditor dapat

mengambil sampel beberapa pengadaan TI yang berhubungan dengan sistem

pelaporan keuangan perusahaan atau yang bernilai cukup signifikan atauberdampak cukup signifikan bagi perusahaan.

Pengu&ian Pengendalian$ "elanjutnya auditor dapat melakukan pengujianpengendalian untuk menge#aluasi apakah kebijakan, standar dan prosedur

pengadaan TI yang ada telah cukup layak & Apakah prosedur pengadaan tersebut

telah dilaksanakan dan die#aluasi dengan baik &


menge#aluasi apakah terdapat pengadaan TI yang tidak sesuai dengan prosedur

pengadaan perusahaan & Apakah terdapat pengadaan TI yang tidak sesuai dengankebutuhan dan perencanaan yang ada & dan Apakah berbagai penyimpangan pada

prosedur pengadaan TI memiliki dampak yang signifikan terhadap laporan

keuangan perusahaan &

. ,ana&emen Pr*sedur TI

Pengembangan TI akan menghasilkan suatu sistem informasi yang akan digunakan

oleh berbagai pihak internal bahkan internal perusahaan, mulai dari manajemenoperasional sampai kepada direksi, mulai dari konsumen sampai kepada para

suplier. Untuk itu diperlukan suatu alat kendali yang dapat memastikan bah'apenggunaan dan pengoperasian sistem informasi yang sesuai dengan tujuan yang

diharapkan.

Untuk itu sebaiknya perusahaan menerapakan suatu pendekatan terstruktur dalam

menyusun dan mengelola petunjuk-petunjuk pengguna dan operasional, termasuk

kebutuhan layanan pendukung serta bahan-bahan pelatihan yang memadai bagi

para pengguna dan pengoperasi sistem informasi.

Pema$aman$ Auditor harus memahami berbagai kebijakan, standar dan proseduryang ada mengenai pennyusunan dan pengelolaan panduan-panduan penggunaandan pengoperasioan TI, termasuk pengelolaan layanan pendukung serta pendidikan

dan pelatihan bagi pihak-pihak yang terkait dengan operasional sistem informasi

yang digunakan perusahaan.

8


9/40


untuk menge#aluasi apakah kebijakan, standar dan prosedur yang mengenaipengelolaan panduan-panduan penggunaan telah dilaksanakan dengan baik &

termasuk juga pengelolaan layanan pendukung serta bahan-bahan pelatihan.

Pengu&ian Terin'i$ Auditor selanjutnya harus melakukan pengujian terinci untukmengidentifikasi apakah terdapat panduan-panduan pengguna dan operasi TI yang

tidak sesuai dengan kebijakan dan standar perusahaan & Apakah terdapat bahan-

bahan pelatihan serta pelaksanaan pelatihan yang tidak sesuai dengan kebijakanperusahaan & Apakah terdapat sistem informasi yang tidak memiliki panduan

pengguna dan panduan operasi yang layak serta tidak melalui proses pelatihan

yang cukup bagi pengguna &

/ ,ana&emen Peruba$an TI

"istem informasi pada umumnya akan terus berubah mengikuti kebutuhan

perusahaan serta perkembangan TI yang ada. Perubahan yang konsisten ini

sebaiknya dikendalikan dengan baik untuk meminimalisir resiko terjadinya

kesalahan, perubahan ilegal, serta gangguan terhadap operasional sistem informasiyang berdampak kepada kelangsungan operasional perusahaan.

Untuk itu sebaiknya perusahaan menerapkan suatu kebijakan, standar danprosedur yang komprehensif dalam mengelola berbagai permintaan perubahan atas

sistem informasi yang ada, baik itu karena kebutuhan operasional perusahaan

maupun karena perkembangan TI yang ada.

Pema$aman$ Auditor harus memahami berbagai kebijakan, standar dan proseduryang ada diperusahaan yang berkaitan dengan manajemen perubahan TI, baik dari

aspek sistem aplikasi maupun infrastruktur TI.

Pengu&ian Pengendalian$ "elanjutnya auditor dapat melakukan pengujian atas

berbagai aktifitas pengembangan TI yang berhubungan dengan sistem pelaporankeuangan untuk menge#aluasi apakah pengembangan TI tersebut telah sesuai

dengan kebijakan, standar dan prosedur perubahaan TI yang ada & serta

menge#aluasi kelayakan kebijakan, standar dan prosedur manajemen perubahan TI

itu sendiri.

Pengu&ian Terin'i$ Auditor harus melakukan pengujian terinci untuk memastikan+ Apakah seluruh perubahan TI yang ada telah disetujui & Apakah seluruhperubahan tersebut telah terdokumentasi dengan baik dan dapat

dipertanggungja'abkan & Apakah penyimpangan yang terjadi pada manajemen

perubahan TI memberikan dampak yang signifikan terhadap sistem pelaporan

keuangan perusahaan &

9


10/40

http://chandra!ulistiac"#/$p%38

Audit Sistem Informasi e-Gov

,anfaat dan Pentingn!a Audit 0istem Inf*rmasi atas EG*2ernment

Penda$uluan

Salah satu lembaga tinggi negara sedang mengembangkan teknologi informasi dankomunikasi (TI! yang mereka miliki" #impinan lembaga ini menun$uk satu tim

untuk menyusun Rencana Strategis (Renstra! TI dengan dibantu konsultan"Setelah melalui proses pan$ang maka Renstra TI tersebut disetu$ui untuk

dilaksanakan" #engembangan dilakukan dalam beberapa tahapan selama % (tiga!

tahun dia'ali dengan pembangunan $aringan data dan pembaharuan serta

penambahan perangkat keras" plikasi $uga mulai dikembangkan satu persatusesuai dengan Renstra TI"

Pada tahun ketiga, terjadi pergantian pimpinan tertinggi dari lembaga tersebut.Pimpinan baru ini memanggil beberapa pejabat terkait dengan TI melakukan

e#aluasi atas TI yang ada. *asil e#aluasi tersebut membuat pimpinan baru iniheran, antara lain + tidak dapat diketahui dengan pasti berapa jumlah dan lokasi

serta status keberadaan perangkat TI yang ada, tiga dari lima aplikasi utama yangtelah dikembangkan belum dapat digunakan, personil-personil dengan latar

belakang pendidikan TI tidak ditempatkan di unit TI. eheranan pimpinan baru

ini berkahir kepada keputusan emosional dengan menghentikan semua proyek TI

dan melakukan penggantian personil besar-besaran di unit TI.

ondisi di atas rasanya sering kita dengar dan alami di lembaga pemerintahan dan

tentunya kita akan berpikir bah'a ada yang tidak beres disana dan perlu segeradiperbaiki. angankan pada kondisi yang seperti di atas, pada solusi-solsui TI di

pemerintahan yang telah menyatakan dirinya sukses sekalipun kita sulit untukdapat menja'ab beberapa pertanyaan ini +

. Apakah aset TI yang kita miliki sudah dilindungi dengan layak dari risiko

kerusakan, kehilangan, kesalahan atau penyalahgunaan &

/. Apakah informasi yang diolah melalui TI tersebut sudah dapat kita yakiniintegritasnya 0kelengkapan dan akurasi1 &

1&
http://chandra.yulistia.com/?p=38http://chandra.yulistia.com/?p=38


11/40

2. Apakah solusi TI yang kita kembangkan sudah dapat mencapai tujuannya

dan membantu pencapaian tujuan lembaga kita dengan efektif &

3. Apakah sumber daya TI yang kita miliki sudah dimanfaatkan dengan efisiendan bertanggung ja'ab &

Definisi Audit 0istem Inf*rmasi

"alah satu cara dalam menja'ab pertanyaan-pertanyaan tersebut diatas adalah

dengan melakukan audit atas sumber daya dan solusi TI yang kita miliki, atauyang la4im disebut Audit "istem Informasi. %efinisi Audit 0istem Inf*rmasisendiri

adalah +

Suatu proses pengumpulan dan pengevalusian bukti)bukti yang dilakukan oleh

pihak yang independen dan kompeten untuk mengetahui apakah suatu sistem

informasi dan sumber daya terkait secara memadai telah dapat *

melindungi aset

men$aga integritas dan ketersediaan sistem dan data

menyediakan informasi yang relevan dan handal

mencapai tu$uan organisasi dengan efektif

menggunakan sumber daya dengan efisien

yang dapat memberikan dampak kepada pengendalian intern yang mampu

memberikan keyakinan yang memadai akan tercapainya tu$uan bisnis operasionaldan kendali serta berbagai ke$adian yang tidak diinginkan dapat dicegah dideteksi

dan dikoreksi dengan tepat 'aktu"

%engan kata lain, tujuan dari suatu audit sistem informasi adalah untuk

mengetahui apakah pengendalian TI telah dapat memberikan jaminan bah'a

tujuan atau manfaat dari TI telah dapat dicapai serta risiko yang terkait dengan

pemanfaatan TI telah dapat dikendalikan. epatuhan terhadap peraturan danperundangan-undangan merupakan salah satu tujuan dan risiko yang harus

dikendalikan.

Pr*ses Audit 0istem Inf*rmasi

11


12/40

"eluruh tahapan audit sistem informasi serta persyaratan independensi dan

kompetensi auditor sistem informasi diatur oleh suatu "tandar Audit. Untuk diIndonesia dapat digunakan "tandar Audit "istem Informasi 0"A"I1 dari Ikatan Audit

"istem Informasi Indonesia 0IA"II1, sedangkan secara internasional umumnya

menggunakan Standards for Information Systems uditing dariInformation

System udit and Control ssociation 0I"ACA1.

ita sering salah mengartikan antara standar audit dengan kriteria audit. "tandar

audit hanya mengatur auditor dan audit, sedangkan kriteria audit adalah sesuatuyang akan dijadikan dasar kesimpulan hasil audit, misalnya peraturan yang berlaku,

kebijakan dan prosedur internal organisasi, atau standar dan praktik-praktik

internasional di bidang TI seperti C!IT, ITI5, I")", dan lain sebagainya.

Proses audit sistem informasi yang berbasis risiko serta sesuai dengan standar

audit dapat digambarkan secara singkat sebagai berikut +

Gambar Pr*ses Audit 0istem Inf*rmasi

Pada tahap sur#ei pendahuluan auditor akan berusaha untuk memperoleh

gambaran umum dari lingkungan TI yang akan diaudit. emudian dilanjutkandengan pemahaman yang lebih mendalam dari seluruh sumber daya TI $

infrastruktur, aplikasi, informasi, personil $ yang termasuk ke dalam lingkup audit,

serta pemahaman atas sistem pengendalian intern TI yang ada seperti struktur

organisasi, kebijakan, prosedur, standar, parameter, dan alat bantu kendali lainnya.

"elanjutnya auditor akan melakukan analisis risiko pendahuluan untuk

mengidentifikasi berbagai risiko yang mungkin timbul di lingkungan TI yang

12


13/40

diaudit serta kelayakan rancangan pengendalian intern TI yang telah ada. ika

rancangan pengendalian intern TI dipandang memadai maka auditor selanjutnyaakan melakukan pengujian dari pelaksanaan kendali-kendali tersebut, namun jika

dipandang tidak layak maka auditor akan langsung melakukan pengujian terinci

terhadap risiko TI secara mendalam 0dengan jumlah sampel yang cukup besar1.

"etelah melakukan pengujian pengendalian intern TI dan auditor telah

memperoleh bukti yang memadai bah'a pengendalian intern TI telah

dilaksanakan sesuai rancangannya maka selanjutnya auditor akan melakukanpengujian terinci atas risiko TI secara terbatas 0dengan jumlah sampel yang

terbatas1. 6amun jika hasil pengujian pengendalian intern TI menunjukkan bah'a

pelaksanaan pengendalian intern TI tidak sesuai dengan rancangannya maka

auditor akan melakukan pengujian terinci risiko TI secara mendalam.

!ukti-bukti yang diperoleh auditor dari hasil analisis risiko dan rancangan kendali

serta pengujian pengendalian intern TI dan pengujian terinci risiko TI

selanjutnya akan digunakan oleh auditor untuk menyusun laporan audit sisteminformasi yang memuat kesimpulan audit beserta tanggapan dari pihak yang

diaudit atas rekomendasi yang disampaikan oleh auditor dalam rangka peningkatan

pengendalian intern TI.

Lingkup dan Tu&uan Audit 0istem Inf*rmasi

Audit sistem informasi pada umumnya difokuskan kepada seluruh sumber da!a

TI% yang ada, yaitu +

Aplikasi $ )encakup seluruh proses bisnis yang terotomasi serta prosedurmanual yang terkait, yang digunakan untuk mengolah informasi di dalam suatu

organisasi.

Inf*rmasi $ )encakup data, dalam berbagai bentuk, yang dimasukan,

diproses, dan dihasilkan oleh sistem informasi yang digunakan dalam kegiatan

organisasi.

Infrastruktur $ )encakup teknologi dan fasilitas, seperti perangkat keras,

sistem operasi, sistem manajemen basis data, jaringan data dan komunikasi,

multimedia, serta lingkungan yang melindungi dan mendukung infrastruktur

tersebut, yang memungkinkan berjalannya aplikasi.

Pers*nil $ )encakup personil yang dibutuhkan untuk merencanakan,

mengorganisasikan, mengakuisisi atau mengembangkan, mengimplementasikan,

menjalankan, mendukung, menga'asi dan menge#aluasi sistem dan layanan

informasi.

13


14/40

Para auditor sistem informasi selama ini umumnya membagi dan

mengujipengendalian intern TI% ke dalam dua kelompok besar, yaitu +

Pengendalian ,ana&emen-Umum $ )encakup seluruh kebijakan,

prosedur, dan alat bantu kendali dalam merencanakan, mengorganisasikan,

mengakuisisi atau mengembangkan, mengimplementasikan, menjalankan,mendukung, menga'asi dan menge#aluasi sistem dan layanan informasi.

Pengendalian Aplikasi $ )encakup seluruh kebijakan, prosedur, dan alat

bantu kendali yang terkait dengan aktifitas pemasukan, pemrosesan, danpengeluaran data dan informasi dari dan ke aplikasi melalui infrastruktur terkait.

Tu&uan dari pelaksanaan audit sistem informasi sebaiknya dikelompokkan ke dalam

dua aspek utama dari ketatakelolaan TI, yaitu +

Conformance 0esesuaian1 $ Pada kelompok tujuan ini audit sistem informasi

difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, khususnyaapakah suatu sistem informasi telah dapat memberikan jaminan yang memadai

mengenai +

Confidentiality 0erahasiaan1 $ "eluruh informasi yang penting dan sensitif

telah dilindungi secara memadai dari pengungkapan yang tidak sah.

Integrity 0Integritas1 $ Akurasi, kelengkapan, dan #aliditas informasi telah

terjamin sesuai denngan ekspektasi dan kepentingan organisasi.

Availability 0etersediaan1 $ Informasi selalu tersedia pada saat dibutuhkan

oleh organisasi pada saat ini dan di masa mendatang, termasuk ketersediaan dan

kemampuan sumber daya yang terkait.

Compliance 0epatuhan1 $ Telah dipatuhinya berbagai peraturan

perundang-perundangan, kebijakan dan prosedur serta perjanjian kerja, baik

yang berasal dari internal maupun eksternal.

Performance 0inerja1 $ Pada kelompok tujuan ini audit sistem informasidifokuskan untuk memperoleh kesimpulan atas aspek kinerja, khususnya apakah

suatu sistem informasi telah dapat memberikan jaminan yang memadai mengenai +

Effectiveness 07fektifitas1 $ Informasi telah dapat disampaikan secara

rele#an dan sesuai kebutuhan organisasi, serta dapat digunakan, konsisten,benar dan tepat 'aktu.

Efficiency 07fisiensi1 $ Informasi disediakan melalui pemanfaatan secara

optimal 0melalui cara yang paling produktif dan ekonomis1 dari berbagai sumber

daya yang terkait.

14


15/40

Reliability 0ehandalan1 $ Penyediaan informasi secara memadai yang

dapat memungkinkan manajemen untuk menjalankan organisasi serta

ke'ajibannya, baik dari aspek fidusiari maupun dari aspek ketatakelolaan.

Umumnya audit sistem informasi akan dilakukan dengan tujuan e#aluasi atas

aspek conformance terlebih dahulu, baru dilanjutkan audit dengan dengan tujuane#aluasi atas aspekperformance.

Auditor sistem informasi akan melihat bah'a jika sistem informasi tidak dapat

menjaga kerahasiaan, integritas, ketersediaan serta kepatuhan, maka tidak

mungkin sistem informasi dapat die#aluasi efektifitasnya, dan hanya jika sistem

telah dapat dikatakan efektif dan handal barulah efisiensi sistem dapat die#aluasi.%engan kata lain, suatu sistem informasi seharusnya dapat mengendalikan

aspekconformance terlebih dahulu untuk kemudian dapat meningkatkan

aspekperformance"

Untuk lebih praktisnya, berikut ini adalah beberapa tujuan audit sistem informasiyang pernah dilakukan, antara lain +

7#aluasi atas kesesuaian 0strategic alignment1 antara rencana strategis dan

rencana tahunan organisasi dengan rencana strategis TI, rencana tahunan TI

dan rencana proyek8program TI.

7#aluasi atas kelayakan struktur organisasi TI, termasuk pemisahan fungsi

0segregation of duties1 dan kelayakan pelimpahan 'e'enang dan otoritas

0delegation of authority1.

7#aluasi atas pengelolaan personil TI, termasuk perencanaan kebutuhan,rekrutmen dan seleksi, pelatihan dan pendidikan, promosi8demosi8mutasi, serta

terminasi personil TI.

7#aluasi atas pengembangan TI, termasuk analisis kebutuhan,

perancangan, pengembangan, pengujian, implementasi dan migrasi, pelatihan

dan dokumentasi TI, serta manajemen perubahaan.

7#aluasi atas kegiatan operasional TI, termasuk pengelolaan keamanan dan

kinerja pengelolaan pusat data 0data center1, pengelolaan keamanan dan kinerjajaringan data, dan pengelolaan masalah dan insiden TI serta dukungan

pengguna 0helpdesk1.

7#aluasi atas kontinuitas layanan TI, termasuk pengelolaanbackup &

recovery, pengelolaan prosedur darurat TI 0IT emergency plan1, pengelolaan

rencana pemulihan layanan TI 0IT recovery plan1, serta pengujian rencana

kontijensi operasional 0business contigency/continuity plan1.

15


16/40

7#aluasi atas kualitas pengendalian aplikasi, termasuk pengendalian input,

pengendalian proses dan pengendalian output.

7#aluasi atas kualitas data8informasi, termasuk pengujian atas kelengkapan

dan akurasi data yang dimasukkan, diproses, dan dihasilkan oleh sistem

informasi.

%ualifikasi Audit*r 0istem Inf*rmasi

Untuk dapat menjadi auditor sistem informasi disyaratkan suatu kompetensi yang

cukup kompleks, dimana di dalam satu tim audit sistem informasi sebaiknya

memiliki pengetahuan dan keahlian di bidang +

Auditing $ Termasuk pemahaman dan kemampuan untuk melakukan

perencanaan audit, penilaian risiko, pemilihan metode pengujian audit,

pelaksanaan audit sampling, penilaian materialitas audit, penyusunan pelaporan

dan rekomendasi audit.

Teknik %*mputer $ Termasuk pemahaman atas risiko dan kendali atas

perangkat keras dan perangkat jaringan serta sistem operasi, logikapemrograman, pengendalian manajemen basis data, pengendalian arsitektur

aplikasi.

,ana&emen Inf*rmatika $ Termasuk pemahaman atas perencanaan dan

perancangan TI, penganggaran dan manajemen in#estasi TI, pengembangan

dan implementasi TI, serta pengorganisasian dan pengelolaan proyek TI.

Perilaku Organisasi $ Termasuk pemahaman atas kepemimpinanorganisasi, lingkungan pengendalian intern, perancangan kebijakan dan prosedur,

perancangan struktur organisasi, serta pengelolaan "%).

Hukum $ Termasuk pemahaman atas peraturan perundang-undangan serta

kebijakan dan prosedur yang terkait dengan TI dan proses bisnis atau kegiatan

yang diaudit.

Tim audit sistem informasi umumnya dilengkapi dengan tenaga ahli untuk bidang-

bidang tertentu yang sangat khusus, termasuk tenaga ahli yang memahami tentang

karakteristik serta kekhususan yang ada pada bidang bisnis atau kegiatan yang

diaudit.

Umum kualifikasi auditor sistem informasi dapat dibagi menjadi tiga tingkatan,

yaitu +

16


17/40

Tingkat 1 3Generalis4 $ Auditor yang memiliki pengetahuan mengenai

dampak TI pada auditnya dan keahlian yang terbatas untuk melakukan berbagai

pengujian yang diperlukan dalam audit atas sistem informasi.

Tingkat ( 3Audit*r4 $ Auditor yang memiliki pengetahuan dan keahlian

untuk melaksanakan audit sistem informasi mulai dari tahap sur#ei pendahuluan,analisis resiko, perencanaan audit, penyusunan program audit , pelaksanaanpengujian pengendalian dan pengujian terinci, sampai dengan kepada perumusan

temuan dan rekomendasi, penyusunan laporan audit serta pemantauan tindak

lanjut hasil audit.

Tingkat + 30pesialis4 $ Tenaga ahli yang memiliki pengetahuan dan

keahlian yang komprehensif dan khusus di satu bidang TI, misalnya spesialis

keamanan jaringan komunikasi, spesialis database, spesialis pemrograman dansebagainya.

,ana&emen TI% di Lembaga Pemerinta$an

)anajemen TI bukanlah suatu hal yang mudah, bahkan dapat dikatakanmanajemen TI merupakan salah satu hal yang paling rumit dan kompleks dalam

manajemen suatu organisasi, terlebih lagi di lembaga pemerintahan.

Para pimpinan lembaga pemerintahan pertama-tama harus memenuhi tujuan

pengendalian intern TI dari aspek conformancedimana manajemen TI di

lembaga pemerintahan harus dapat memberikan jaminan bah'a manajemen TI

telah memenuhi berbagai peraturan perundang-undangan serta kebijakan danprosedur yang ada. %isamping itu pimpinan lembaga pemerintahan harus

merancang dan melaksanakan pengendalian intern TI yang memadai untuk dapatmenjamin terjaganya kerahasiaan, integritas dan ketersediaan layanan TI yang

dikelolanya.

"elanjutnya pimpinan lembaga pemerintahan harus dapat memberikan jaminan

bah'a TI yang dikembangkan lembaganya telah dapat membantu pencapaiantujuan lembaganya secara efektif, khususnya terkait dengan hasil 0output1 dari

pengembangan TI dan manfaat 0outcome1 dari implementasi TI. Aspek

efektifitas TI di lembaga pemerintahan tentunya tidak hanya dilihat dari hasilnya

secara internal lembaga tersebut, namun juga dilihat dari secara lebih luas, yaitumanfaatnya kepada layanan publik yang diberikan oleh lembaga pemerintah

tersebut kepada masyarakat.

Aspek efisiensi TI rasanya cukup sensitif bagi para pimpinan lembaga

pemerintahan, dimana seringkali hal-hal mengenai inefisiensi TI disalahartikan

oleh publik sebagai 9korupsi: karena dianggap 9berpotensi merugikan negara:.

Padahal pengelolaan efisiensi yang dimaksud disini dalam pengendalian intern TIsangatlah jauh dari definisi dan aktifitas korupsi.

17


18/40

%alam melakukan e#aluasi untuk menilai apakah penggunaan TI di suatu lembaga

pemerintah sudah cukup efisien atau belum, maka pimpinan lembaga pemerintahsebenarnya berupaya untuk mencari solusi-solusi alternatif yang dapat

meningkatkan efisiensi TI, misalnya dengan mengganti perangkat keras yang

sudah usang dan lambat, mengganti personil yang lebih kompeten, atau bahkan

mengubah proses kerja dari lembaganya agar dapat lebih mengoptimalkan TIyang sudah ada.

"atu hal yang harus kita pahami bersama, bah'a ketatakelolaan TI di lembagapemerintahan, bahkan di organisasi mana pun, merupakan tanggungja'ab dari

para pimpinan lembaga tersebut secara kolektif, dan bukan menjadi tanggungja'ab

unit kerja TI sendiri, diaman peranan terbesar justru berada di tangan pemilik

sistem, yang tidak lain adalah pemilik proses bisnis atau kegiatan lembagatersebut, yaitu para pimpinan lembaga tersebut. %engan kondisi saat ini dimana

unit kerja TI di lembaga pemerintahan berada pada lapisan atau tingkatan ke-2

bahkan ke-3 dari jajaran pimpinan lembaga pemerintahan, maka sangat sulit dan

tidak masuk akal jika ketatakelolaan TI di lembaga pemerintahan dijadikantanggung ja'ab utama dari unit kerja TI saja.

Peranan Audit 0istem Inf*rmasi di Lembaga Pemerinta$an

%engan pemahaman kita bah'a manajemen TI di lembaga pemerintahan

merupakan suatu hal rumit dan kompleks serta penting bagi layanan publik, makasudah pasti semua pimpinan lembaga pemerintahan ingin mengetahui kondisi

ketatakelolaan TI yang selama ini telah dilaksanakan di lembaganya.

%isinilah peranan Audit "istem Informasi di dalam suatu lembaga pemerintahan,

yaitu untuk memberikan suatu hasil e#aluasi yang independen mengenai

kesesuaian dan kinerja dari TI yang ada, apakah sudah dapat melindungi aset

TI, menjaga integritas dan ketersediaan sistem dan data, menyediakan informasiyang rele#an dan handal, dan mencapai tujuan organisasi dengan efektif, serta

menggunakan sumber daya TI dengan efisien.

Para pemeriksa dari !P, !PP dan !a'asda serta kantor akuntan publik atau

konsultan audit yang melakukan audit atas lembaga pemerintahan, diharapkan

dapat memberikan suatu hasil e#aluasi yang independen atas kesesuaian dan

kinerja pengelolaan TI di lembaga pemerintahan, serta memberikan berbagairekomendasi yang dapat dengan signifikan meningkatkan ketatakelolaan TI di

lembaga tersebut.

eterpurukan ketatakelolaan TI di lembaga pemerintahan saat ini, yang seringkali

hanyalah berupa belanja-belanja proyek TI tanpa kejelasan kesesuaian dan

kinerja yang diharapkan, tentunya tidak lepas dari kemampuan para pemeriksa

dalam melakukan e#aluasi dan memberikan rekomendasi terkait ketatakelolaan TIserta komitmen dari para pimpinan lembaga dalam menindaklanjuti rekomendasi

18


19/40

tersebut. Audit "istem Informasi tidak dilaksanakan untuk mencari temuan atau

kesalahan, namun untuk memberikan kesimpulan serta merekomendasikanperbaikan yang dapat dilakukan atas pengelolaan TI.

,anfaat Audit 0istem Inf*rmasi di Lembaga Pemerinta$an

ika kita lihat kembali secara komprehensif berbagai hal yang terkait dengan Audit

"istem Informasi mulai dari definisi, tujuan, lingkup, dan proses audit sertakualifikasi auditornya, maka kita kini dapat memahami seberapa besar manfaat

Audit "istem Informasi di lembaga pemerintahan, khususnya bagi para pimpinan

dan pega'ai lembaga pemerintahan tersebut, dan tentunya bagi layanan publik

sebagai pemanfaat akhir dari TI di lembaga pemerintahan.

"ecara sederhana, dapat dikatakan bah'a Audit "istem Informasi di lembaga

pemerintahaan akan dapat memberikan banyak manfaat, antara lain +

)eningkatkan perlindungan atas aset TI lembaga pemerintahan yang

merupakan kekayaan negara, atau dengan kata lain aset milik publik,

)eningkatkan integritas dan ketersediaan sistem dan data yang digunakan

oleh lembaga pemerintahan baik dalam kegiatan internal lembaga maupun dalam

memberikan layanan publik,

)eningkatkan penyediaan informasi yang rele#an dan handal bagi para

pemimpin lembaga pemerintahan dalam mengambil keputusan dalam

menjalankan layanan publik,

)eningkatkan peranan TI dalam pencapaian tujuan lembaga pemerintaha

dengan efektif, baik itu untuk terkait dengan kebutuhan internal lembaga

tersebut, maupun dengan layanan publik yang diberikan oleh lembaga tersebut,

)eningkatkan efisiensi penggunaan sumber daya TI serta efisiensi secara

organisasional dan prosedural di lembaga pemerintahan.

%engan kata lain, Audit "istem Informasi merupakan suatu komponen dan prosesyang penting bagi lembaga pemerintahan dalam upayanya untuk memberikan

jaminan yang memadai kepada publik atas pemanfaatan TI yang telah

dilaksanakan oleh lembaga pemerintahan.

Penutup

%engan semakin tingginya pemanfaatan TI di lembaga pemerintahan, tentunya

akan mengakibatkan semakin kompleks dan rumitnya manajemen TI di lembaga

pemerintahan, baik secara institusional maupun lintas sektoral. *al ini tentunya

19


20/40

akan mengakibatkan semakin meningkatnya pula kebutuhan dari para pimpinan

lembaga pemerintahan akan proses dan hasil dari Audit "istem Informasi.

6amun hal ini sebaiknya diikuti oleh penyediaan serta pengembangan tenaga-

tenaga Auditor "istem Informasi yang memiliki integritas yang tinggi serta tingkat

dan kombinasi kompetensi yang memadai. )asih sedikit lembaga pendidikan, baikformal maupun non-formal, yang menyediakan pendidikan dan pelatihan Audit

"istem Informasi.

Untuk itu besar harapan kita semua agar lembaga-lembaga pendidikan tinggi tidak

hanya mencetak lulusan dengan kemampuan untuk mengelola TI namun juga

mencetak para auditor sistem informasi yang memiliki kehandalan dan integritasyang tinggi.

5eferensi

"tandar Audit "istem Informasi $ Ikatan Audit "istem Informasi Indonesia

0IA"II1 0'''.iasii.or.id1

"tandard for Information "ystem Auditing $ Information "ystem Audit and

Control Association 0I"ACA1 0'''.isaca.org1

)ateri Pelatihan 9Information Technology Audit: $ Audittindo 7ducation

0'''.audittindo.co.id1

Information Technology Control and Audit /nd7dition $ ;on


21/40

Audit atas Pengendalian 'ea#anan TI

PENDAHULUAN

%alam !agian pada edisi sebelumnya kita telah membahas 9Audit atas

Pengendalian Umum "istem Informasi + Audit atas Pengendalian Perencanaan TI:,

yang memberikan gambaran singkat mengenai audit atas manajemen resiko TI,

audit atas perencanaan strategis TI, audit atas perancangan arsitektur informasi,

audit atas penentuan arah teknologi informasi, audit atas pengelolaan in#estasi TI.

Pada kesempatan ini kita akan membahas mengenai 9Audit atas Pengendalian

eamanan TI:. "alah satu dari tujuan pengendalian intern adalah mengamankan

aset, begitu juga dengan pengendalian TI salah satunya bertujuan untuk

mengamankan seluruh aset informasi milik perusahaan, baik fisik maupun non fisik.

Pengendalian eamanan TI bertujuan untuk memberikan keyakinan yang memadai

bah'a perusahaan telah mampu untuk mengamankan seluruh aset informasinya.

Untuk kemudahan pembahasan secara umum aktifitas pengendalian keamanan TI

dapat diilustrasikan dalam Gambar 1, yaitu perencanaan manajemen keamanan

TI, pengendalian lingkungan, pengendalian akses fisik dan pengendalian akses

logik, serta pengendalian kontinuitas layanan TI.

21


22/40


%eamanan TI

Pada saat ini terdapat beberapa panduan manajemen keamanan TI antara lain + !"

>>?? atau I"8I7C >>??, +enerally ccepted Information Security

#rinciples0=AI"P1, The Standard of +ood #ractice for Information Security, SystemsSecurity ,ngineering)Capability -aturity -odel0""7-C))1, dan C!IT. Pada

kesempatan ini kita tidak akan membahas mengenai bagaimana mengelola

keamanan TI. ita akan membahas lebih banyak kepada apa yang harus dilakukan

oleh auditor dalam melaksanakan audit atas pengendalian keamanan TI.

1 Peren'anaan %eamanan TI

)anajemen keamanan TI dimulai dari in#entarisasi aset informasi perusahaan, fisik

dan non fisik, menentukan tingkat pengamanan untuk setiap aset, in#entarisasi

ancaman terhadap keamanan, estimasi probabilitas ancaman, serta estimasi akibatyang mungkin terjadi dari ancaman tersebut. "elanjutnya perusahaan akan memilih

berbagai teknik pengamanan terhadap setiap aset dengan mempertimbangkan

biaya pengendalian keamanan dengan tujuan dari pengendalian tersebut apakah

untuk mengurangi akibat ancaman, mengurangi probabilitas ancaman terjadi, atau

dapat pula sampai dengan menghilangkan beberapa ancaman yang ada.

)anajemen keamanan TI sendiri sebaiknya dikelola oleh satu fungsi yang

bertanggung ja'ab atas seluruh manajemen keamanan TI di perusahaan tersebut.

@ungsi ini dapat saja berada di ba'ah unit TI yang dipimpin oleh seorang Chief

Security .fficer (CS.!atau bahkan dapat juga dibentuk unit sendiri diluar unit TI,dimana fungsi keamanan TI itu sendiri melibatkan banyak pihak lain selain unit TI.

Pema$aman$ Untuk dapat menge#aluasi manajemen keamanan TI, auditor harus

memperoleh pemahaman yang baik atas sistem informasi auditan, termasuk sistem

aplikasi, infrastruktur, fasilitas serta jaringan komunikasi. Auditor juga harus

memahami kebijakan dan prosedur keamanan TI yang ada serta struktur organisasi

manajemen keamanan TI. Auditor juga sebaiknya memahami terlebih dahulu

berbagai panduan keamanan TI yang berhubungan dengan lingkungan sistem

informasi auditan

Pengu&ian Pengendalian$ Auditor selanjutnya harus melakukan pengujian

pengendalian antara lain + Apakah manajemen telah melakukan analisis resiko

keamanan TI dengan baik & Apakah perencanaan atau perancangan pengendalian

keamanan TI telah dilakukan dengan baik, berupa penetapan kebijakan dan

prosedur keamanan TI & Apakah struktur organisasi manajemen keamanan TI telah

disusun serta tugas dan tanggung ja'ab berbagai pihak yang terlibat telah

22


23/40

dijelaskan & Apakah pelaksanaan manajemen keamanan TI telah sesuai dengan

kebijakan prosedur yang ada &

Pengu&ian Terin'i$ Auditor selanjutnya harus melakukan pengujian terinci +

Apakah terdapat aset informasi yang belum termasuk ke dalam analisis resiko &

Apakah ada resiko-resiko keamanan TI yang belum dipertimbangkan olehperusahaan & Apakah terdapat pengendalian-pengendalian keamanan TI yang tidak

sesuai dengan rencana manajemen keamanan TI &

( Pengendalian Lingkungan

"alah satu ancaman keamanan TI yang cukup besar akibatnya serta cukup tinggi

frekuensinya adalah ancaman yang datang dari alam seperti banjir, gempa bumi,

kebakaran, atau bahkan sampai kepada ha-hal yang dipandang sepele sepertipanas, debu, dan kelembaban udara. husus untuk manajemen keamanan TI dari

ancaman yang berasal dari alam ini biasanya disebut sebagai pengendalian

keamanan lingkungan.

Pema$aman$ Auditor harus memahami ancaman lingkungan apa saja yang dapat

terjadi pada lingkungan TI auditan. *al ini biasanya ditentukan oleh beberapa

parameter seperti lokasi pusat data TI auditan, lingkungan disekitar lokasi auditan,

dan kondisi gedung auditan. Auditor juga harus memahami kebijakan dan prosedur

yang ada yang berkaitan dengan pengendalian lingkungan serta melakukan analisis

resiko pendahuluan atas keamanan lingkungan.

Pengu&ian Pengendalian$ Auditor harus melakukan pengujian pengendalian

untuk menilai + Apakah pusat data telah mempertimbangkan ancaman bencana

alam seperti banjir dan gempa bumi & Apakah telah terdapat kebijakan dan

prosedur untuk mencegah, mendeteksi, dan menanggulangi kebakaran, debu atau

panas serta kelembaban yang berlebihan & Apakah seluruh kebijakan, prosedur

serta perlengakapan keamanan lingkungan telah diuji secara periodik dan dalam

kondisi yang dapat berjalan dengan baik & Apakah telah dilakukan berbagai

tindakan pencegahan dan penanggulangan masalah kelistrikan &

Pengu&ian Terin'i$ Auditor selanjutnya melakukan pengujian terinci untuk

menilai + Apakah seluruh ancaman alam yang terkait telah dipertimbangkan dan

termasuk dalam pengendalian keamanan lingkungan & Apakah pernah terdapat

masalah dengan sistem informasi karena terjadinya ancaman dari alam &

+ Pengendalian Akses 6isik

23


24/40

)anajemen keamanan TI juga mengharuskan auditan untuk mengendalikan akses

fisik terhadap seluruh aset informasi yang dimilikinya. Pengendalian akses fisik ini

harus didasarkan kepada analisis yang komprehensif serta perencanaan yang baik

untuk mencegah adanya aset informasi yang kekurangan atau kelebihan proteksi

akses fisik.

Pema$aman$ Auditor harus memahami berbagai aset informasi yang ada untuk

melihat berbagai kemungkinan akses fisik yang ada serta memahami kebijakan dan

prosedur yang berhubungan dengan akses fisik terhadap sistem informasi. Auditor

selanjutnya harus mendokumentasikan pemahamannya dan melakukan e#aluasi

resiko a'al atas pengendalian akses fisik.

Pengu&ian Pengendalian$ Auditor selanjutnya melakukan pengujian

pengendalian untuk menilai + Apakah manajemen telah menerapkan kebijakan dan

prosedur pengendalian akses fisik yang baik untuk mencegah pihak-pihak yang

tidak berhak untuk memperoleh akses secara fisik ke berbagai aset informasiseperti terminal, ser#er, perangkat dan instalasi jaringan, dan media backup &

Apakah ruangan-ruangan TI telah dirancang secara 9 lo' profile: & Apakah telah

setiap pengunjung selalu dia'asi atau dika'al selama berada di area TI auditan &

Apakah seluruh pengendalian akses fisik telah dilaksanakan sesuai dengan

kebijakan dan prosedur yang ada &


menge#aluasi + Apakah seluruh akses fisik telah dikendalikan dengan baik & Apakah

pernah terjadi masalah dengan sistem informasi yang disebabkan oleh diperolehnya

akses fisik ke aset informasi oleh pihak yang tidak berhak &

. Pengendalian Akses L*gis

)anajemen keamanan TI yang paling kompleks adalah dalam hal pengendalian

akses logis terhadap aset informasi. %engan teknologi yang berkembang saat ini

kemudahan kolaborasi banyak pengguna sistem informasi merupakan suatu

keharusan, dan disamping itu kolaborasi ini harus dikendalikan dengan baik agar

setiap orang hanya dapat mengakses sistem, data dan informasi yang memangdiperbolehkan. Akses logis ini dapat dilakukan baik melalui lokasi yang sama

maupun melalui lokasi yang jauh dengan lokasi fisik aset informasi. Internet telah

memberikan kemampuan konektifitas yang tinggi dan hal ini juga meningkatkan

resiko akses logis oleh pihak yang tidak berhak.

24


25/40

Pema$aman$ Auditor harus memahami teknologi yang digunakan auditan untuk

memahami resiko-resiko akses fisik yang mungkin terjadi terhadap data, aplikasi

dan sistem. Auditor juga sebaiknya memahami berbagai perangkat lunak yang

digunakan auditan, mulai dari sistem operasi, sistem aplikasi serta sistem

manajemen basis data yang ada. %ari pemahaman ini auditor harus melakukan

analisis a'al atas resiko akses logis.

Pengu&ian Pengendalian$ Auditor perlu melakukan pengujian pengendalian

untuk menilai efektifitas dari pengendalian akses logis yang digunakan oleh

auditan, antara lain + Apakah telah digunakan metode identifikasi, autentifikasi

serta otorisasi yang handal & Apakah telah terdapat kebijakan dan prosedur yang

memadai mengenai pengaturan hak akses dari setiap pengguna & Apakah telah

digunakan alat bantu dalam mencegah, mendeteksi dan menanggunglangi terjadi

akses yang ilegal terhadap data, aplikasi dan sistem & Apakah akses logis yang ada

telah sesuai dengan kebijakan dan prosedur yang ditetapkan perusahaan &

Pengu&ian Terin'i$ "elanjutnya auditor perlu melakukan pengujian terinci untuk

menilai + Apakah seluruh resiko akses logis telah dikendalikan dengan baik &

Apakah pernah terjadi masalah dengan sistem informasi yang disebabkan karena

terjadi akses ilegal terhadap data, aplikasi dan sistem & Apakah ada pihak-pihak

yang memiliki hak akses logis yang tidak sesuai dengan kebijakan dan prosedur

yang ada &

/ Pengendalian %*ntinuitas La!anan TI

"alah akibat dari kurang baiknya pengendalian keamanan TI adalah tidak

tersedianya layanan TI sesuai dengan yang semestinya. Untuk mencegah,

mendeteksi, dan menanggulangi ketidaktersediaan layanan TI karena terjadinya

masalah dengan keamanan TI maka auditan sebaiknya menerapkan berbagai

kebijakan dan prosedur untuk dapat menjamin tetap tersedianya layanan TI jika

terjadi berbagai macam bencana keamanan TI, antara lain dengan menyusun

rencana pemulihan TI 0IT Disaster Recovery #lan1, memiliki pusat pemulihan TI 0IT

Disaster Recovery Center1, serta pusat data cadangan 0off)site backup1.

Pema$aman$ Auditor harus memahami berbagai kebijakan dan prosedur auditan

mengenai backupdata, rencana pemulihan serta fasilitas pemulihan layanan TI.

Auditor juga harus memahami kebijakan dan prosedur auditan dalam hal

pemantauan kinerja sistem informasi.

25


26/40

Pengu&ian Pengendalian$ Auditor selanjutnya melakukan pengujian

pengendalian untuk menilai + Apakah praktik-praktik backup yang dilakukan telah

memadai dan sesuai dengan kebijakan dan priosedur yang ada & Apakah auditan

telah rencana dan pusat pemulihan TI yang memadai & Apakah rencana dan pusat

pemulihan TI telah diuji dan dire#isi secara periodik & Apakah seluruh kebijakan dan

prosedur pemulihan layanan TI telah dilaksanakan dengan baik &


menge#aluasi + Apakah pernah terjadi kondisi dimana layanan TI tidak tersedia dan

bagaiman dampaknya terhadap kegiatan operasional auditan & Apakah seluruh

resiko-resiko yang mengakibatkan tidak tersedianya layanan TI telah

dipertimbangkan dan dikendalikan dengan baik oleh auditan &

Audit atas Pengendalian Perencanaan TI

PENDAHULUAN

Pada edisi sebelumnya kita telah membahas hubungan antara Audit "istem

Informasi dan Audit 5aporan euangan. %alam artikel tersebut dibahas bah'a

pengendalian sistem informasi dapat digambarkan dalam bentuk lapisan-lapisan

yang saling berhubungan satu dengan yang lain seperti tampak pada =ambar .

Pembahasan akan dilakukan dalam enam bagian sesuai dengan urutan lapisan

pengendalian sistem informasi dari lapisan yang paling luar ke yang paling dalam.

Perlu ditekankan disini bah'a pembahasan akan dilakukan dengan skenario audit

sistem informasi dalam rangka audit atas laporan keuangan.

26


27/40

Gambar 1 Hubungan antara pengendalianpengendalian atas sistem

inf*rmasi

%alam dunia audit sistem informasi dikenal beberapa kriteria pengendalian sistem

informasi yang dapat digunakan menilai kelayakan kondisi pengendalian yang ada.

riteria tersebut mulai dari yang sangat teknis sampai ke lebih umum. !eberapa

kriteria yang biasanya digunakan antara lain adalah + 7O8IT0Control .b$ective for

Information and related Technology1, ITIL0Information Technology Infrastructure

ibrary1 dan I0O-IE7 199::;(


28/40

Gambar ( Hubungan antara aktifitas pengendalian dalam Pengendalian

Peren'anaan TI

"atu hal yang tetap harus diperhatikan oleh auditor bah'a dalam audit sistem

informasi tahapan audit tetap sama dengan audit lainnya dimana auditor harus

memperoleh pemahaman yang cukup kemudian melakukan pengujian pengendalian

dan pengujian terinci. ika pengendalian tersebut tidak ada atau ternyata tidak

efektif maka auditor harus meningkatkan cakupan pengujian terinci untuk dapat

mengambil kesimpulan atas resiko-resiko yang terkait dengan pengendalian

tersebut.

1 ,ana&emen 5esik* TI

TI memang memberikan manfaat yang signifikan bagi perusahaan, namun TI juga

memberikan resiko yang tidak sedikit bagi perusahaan, mulai dari gangguan pada

operasional perusahaan sampai kepada hilangnya kemampuan perusahaan untuk

melanjutkan kegiatannya. ;esiko-resiko TI ini harus dikelola dengan baik dan

sejalan dengan pengelolaan resiko perusahaan secara keseluruhan. !eberapa

langkah audit yang perlu dilakukan auditor adalah +

Pema$aman$ Auditor harus memahami kebijakan dan prosedur manajemen

resiko yang ada diperusahaan termasuk pengelolaan resiko TI. Auditor juga harus

dapat mengidentifikasi resiko-resiko TI yang ada pada perusahaan tersebut mulai

dari proses perencanaan, pengembangan dan operasi TI serta seberapa jauh

dampak dari resiko-resiko tersebut bagi perusahaan, khususnya bagi hal-hal yang

berkaitan dengan laporan keuangan.

Pengu&ian Pengendalian$ Auditor harus melakukan pengujian pengendalian,

seperti + Apakah manajemen resiko TI sesuai dengan kebijakan dan prosedur

28


29/40

manajemen resiko perusahaan & Apakah resiko-resiko TI telah diidentifikasi dan

die#aluasi secara periodik & Apakah telah ditetapkan metode pengedalian yang

akan digunakan atas resiko-resiko TI &


mengidentifikasi adanya + resiko-resiko TI yang belum dikendalikan, analisis resikoTI yang sudah tidak sesuai dengan kondisi yang ada, pengendalian resiko TI yang

tidak sejalan dengan kebijakan dan prosedur manajemen resiko perusahaan,

pengendalian resiko TI yang tidak efektif dimana resiko TI telah terjadi dan

mengakibatkan kerugian bagi perusahaan.

( Peren'anaan 0trategis TI

Penggunaan teknologi dalam sistem informasi perusahaan dapat memberikan

dampak yang sangat signifikan bagi perusahaan, bahkan di beberapa jenis

perusahaan teknologi merupakan penggerak utama dari kegiatan operasionalperusahaan selain sumber daya manusia. !agi auditor laporan keuangan sangat

penting untuk melakukan pengujian atas aktifitas perencanaan strategis TI untuk

memastikan bah'a perusahaan tersebut dapat mengelola informasi dengan baik,

khususnya informasi yang berhubungan dengan laporan keuangan. !eberapa

langkah audit yang perlu dilakukan auditor adalah +

Pema$aman$ Auditor harus memahami latar belakang bisnis perusahaan,

memahami kebijakan dan prosedur atas perencanaan perusahaan, memahami

rencana-rencana yang ada mulai dari rencana usaha jangka panjang jangka

pendek, serta rencana strategis TI rencana tahunan TI.

Pengu&ian Pengendalian$ "etelah memahami kebijakan dan prosedur

perencanaan maka auditor harus menge#aluasi kelayakan prosedur tersebut dan

kemudian melakukan pengujian apakah prosedur tersebut telah dilaksanakan

dengan baik. Auditor harus menguji + Apakah perencanaan strategis dan tahunan

TI telah mengikuti prosedur perencanaan perusahaan & Apakah perencanaan

stratgegis TI sejalan dengan rencana strategis perusahaan & Apakah rencana

tahunan TI sejalan dengan rencana strategis TI & Apakah rencana-rencana TI telah

dikomunikasikan dengan baik & Apakah rencana-rencana TI telah die#aluasi secara

periodik & Apakah telah dilakukan re#isi atas rencana-rencana TI akibat perubahanyang telah terjadi &.

Pengu&ian Terin'i$ "etelah melakukan pengujian pengendalian maka auditor

harus melakukan pengujian substantif dengan tujuan untuk menilai resiko-resiko

yang timbul karena tidak adanya atau tidak efektifnya pengendalian dalam

perencanaan strategis TI. Auditor harus menguji beberapa resiko seperti + teknologi

29


30/40

informasi yang tidak dapat memenuhi kebutuhan perusahaan, realiasi aktifitas TI

yang tidak sesuai dengan rencana TI, pelaksanaan rencana jangka pendek TI yang

tidak sesuai dengan rencana jangka panjang TI, kesempatan-kesempatan usaha

dan manfaat TI yang tidak dapat diraih.

+ Peran'angan Arsitektur Inf*rmasi

"alah satu komponen utama dalam menyusun rencana strategis TI adalah adanya

rancangan arsitektur informasi perusahaan. ;ancangan arsitektur informasi adalah

rancangan yang mengatur mengenai model alur informasi dalam perusahaan,

komponen data beserta struktur, definisi, klasifikasi, serta tingkat keamanannya.

!erdasarkan arsitektur informasi ini rencana strategis perusahaan disusun.

!eberapa langkah audit yang perlu dilakukan auditor adalah +

Pema$aman$ Auditor harus memahami bagaimana alur informasi yang ada

dalam perusahaan khususnya informasi yang berhubungan dengan laporankeuangan termasuk komponen-komponen data dalam alur informasi tersebut.

Auditor harus memahami kebijakan dan prosedur perusahaan mengenai

perancangan arsitektur informasi perusahaan.

Pengu&ian Pengendalian$ "etelah memahami rancangan arsitektur informasi

yang ada auditor harus melakukan pengujian seperti + Apakah pengelolaan

rancangan tersebut telah sesuai dengan kebijakan perusahaan & Apakah rancangan

arsitektur informasi telah dikomunikasikan dengan baik kepada pihak terkait &

Apakah telah dilakukan e#aluasi secara periodik atas rancangan arsitektur informasi

& dan apakah re#isi atas rancangan arsitektur informasi telah diotorisasi dandidokumentasikan dengan baik &.

Pengu&ian Terin'i$ "elanjutnya auditor harus melakukan pengujian terinci

mengenai kelayakan dan kelengkapan rancangan arsitektur informasi dan

mengidentifikasi adanya inkonsistensi dengan rancangan arsitektur informasi yang

ada.

. Penentuan Ara$ Tekn*l*gi

Teknologi informasi merupakan salah satu teknologi yang berkembang dengan

sangat pesat serta memiliki alternatif solusi yang sangat beragam dipasaran.

Perusahaan harus menentukan arah teknologi yang akan digunakan serta

merencanakan dengan baik tahapan penggunaan teknologi tersebut, termasuk

dalam rangka mengikuti perkembangan teknologi yang ada. Penentuan arah

3&


31/40

teknologi yang digunakan perusahaan biasanya dibahas dalam rencana strategis TI

khususnya dalam rencana pengembangan aplikasi dan infrastruktur TI perusahaan

yang kemudian dijabarkan lebih teknis ke dalam standar-standar TI yang

ditetapkan perusahaan. !eberapa langkah audit yang perlu dilakukan auditor

adalah +

Pema$aman$ Auditor harus memahami arsitektur teknologi yang digunakan oleh

perusahaan termasuk sistem aplikasi, jaringan data, serta perangkat keras yang

ada. Auditor juga harus memahami kebijakan dan prosedur yang ada mengenai

penentuan arah teknologi yang digunakan perusahaan, termasuk standarr-standar

TI yang ada.

Pengu&ian Pengendalian$ "etelah memahami arsitektur teknologi yang

digunakan perusahaan auditor selanjutnya harus melakukan pengujian

pengendalian, antara lain dengan menguji + Apakah penentuan arah teknologi

perusahaan sesuai dengan kebijakan dan prosedur perusahaan & Apakah arahteknologi perusahaan telah didokumentasikan dan dikomunikasikan dengan baik &

Apakah perubahan standar-standar TI telah sesuai dengan prosedur &

Pengu&ian Terin'i$ %alam melakukan pengujian terinci atas pengendalian arah

teknologi auditor harus menganalisis resiko-resiko dimana terdapat teknologi yang

tidak sesuai dengan arah teknologi perusahaan, teknologi yang digunakan tidak

dapat memenuhi kebutuhan perusahaan atau sudah ketinggalan jaman dan tidak

kompetitif lagi, penetapan standar-standar yang tidak sesuai dengan arah teknologi

perusahaan dan pelaksanaan pengembangan yang tidak sesuai dengan arah

teknologi perusahaan.

/ Pengel*laan In2estasi TI

Pemanfaatan teknologi dalam sistem informasi perusahaan dapat melibatkan biaya

yang besar dan sangat mempengaruhi ke'ajaran biaya dan akti#a dalam laporan

keuangan. %alam mengelola in#estasi dan biaya operasi TI perusahaan harus

menerapkan berbagai kebijakan dan prosedur untuk memastikan bah'a biaya yang

telah dikeluarkan dapat memberikan manfaat sesuai dengan yang diharapkan.

!eberapa langkah audit yang perlu dilakukan auditor adalah +

Pema$aman$ Auditor harus memahami biaya-biaya TI yang telah dikeluarkan

perusahaan baik itu in#estasi TI maupun biaya operasi TI, serta kebijakan dan

prosedur yang ada mengenai pengelolaan biaya in#estasi dan biaya operasi TI.

Pengu&ian Pengendalian$ "elanjutnya auditor perlu melakukan menguji +

Apakah penetapan anggaran TI serta pengeluaran biaya-biaya TI telah sesuai

31


32/40

dengan kebijakan dan prosedur perusahaan & Apakah anggaran biaya TI telah

dijustifikasi berdasarkan analisis biaya dan manfaat & Apakah realisasi biaya TI

serta manfaat yang diperoleh telah dimonitor dengan baik &

Pengu&ian Terin'i$ %alam melakukan pengujian terinci atas pengelolaan

in#estasi TI auditor harus menganalisis beberapa resiko seperti + anggaran TI yangtidak sejalan dengan rencana perusahaan, realisasi biaya TI yang melebihi

anggaran, perubahan anggaran TI yang tidak diotorisasi, serta tidak tercatatnya

realisasi biaya dan manfaat TI.

32


33/40

Audit (iste# In)"r#asi dan Audit atas *ap"ran

'euangan

%asus 1+ Pada sebuah rapat pembahasan laporan auditor atas laporan keuangan

suatu bank terjadi diskusi antara Tim Auditor dan %e'an %ireksi. %e'an %ireksi

menanyakan kepada Auditor mengenai satu temuan kelemahan pengendalian

intern dalam laporan audit, yaitu mengenai masih lemahnya pass'ord pada sistem

komputerisasi di bank tersebut. Auditor menyebutkan bah'a pass'ord yang

digunakan hanya enam karakter dan audit menyarankan agar ditingkatkan menjadi

delapan karakter karena menurut auditor pass'ord dengan delapan karakter akan

lebih aman dibandingkan enam karakter. %e'an %ireksi mengajukan beberapa

pertanyaan + Apa hubungannya antara pengendalian sistem informasi dengan opiniauditor atas laporan keuangan & %an apakah kelemahan pengendalian sistem

informasi akan mempengaruhi opini atas laporan keuangan &

%asus ( ;omite Audit dari sebuah bank mengadakan diskusi dengan Tim Auditor

dari kantor akuntan publik untuk membahas lingkup audit yang akan dilakukan atas

laporan keuangan bank tersebut. omite Audit menyampaikan bah'a dari beberapa

laporan auditor intern diketahui bah'a terdapat beberapa kelemahan signifikan

dalam aplikasi perhitungan bunga di bank tersebut. omite Audit mempertanyakan

apakah Tim Auditor akan melakukan perluasan pengujian terhadap aplikasi

tersebut. Tim Auditor memberikan komentar bah'a mereka merasa tidak perlumemperluas pengujian terhadap aplikasi tersebut karena audit yang mereka

lakukan adalah audit laporan keuangan dan bukan audit khusus atas sistem

informasi sehingga pengujian tambahan atas aplikasi tersebut tidak diperlukan dan

diluar lingkup audit.

edua kasus diatas mungkin pernah kita hadapi sebagai auditor dan tidak mudah

bagi kita untuk menyelesaikan kedua kasus tersebut dengan baik. Pembahasan kita

kali ini akan mencoba melihat hubungan antara audit sistem informasi dan audit

atas laporan keuangan. "ebagai ilustrasi a'al mari kita lihat terlebih dahulu

bagaimana pada umumnya laporan keuangan dihasilkan oleh aplikasi-aplikasi yangada dalam sistem informasi yang ada di berbagai perusahaan 0=ambar 1.

33


34/40

Gambar 1 Ilustrasi sistem inf*rmasi perusa$aan

%ari ilustrasi tersebut kita dapat melihat bah'a laporan keuangan dihasilkan oleh

suatu aplikasi yang memperoleh masukan dari aplikasi-aplikasi lain, baik itu aplikasi

pendukung maupun aplikasi bisnis. Angka-angka yang muncul dalam laporan

keuangan merupakan akumulasi dari berbagai transaksi yang dilakukan melalui

aplikasi-aplikasi lainnya.

"taf bagian penjualan hanya mengakses aplikasi penjualan untuk mencatat

pesanan dari pelanggan yang kemudian akan mengakibatkan terjadinya transaksi

penjualan yang dicatat di aplikasi akuntansi keuangan, serta di aplikasi akuntansi

manajemen tentunya. !egitu juga halnya dengan berbagai transaksi-transaksi

lainnya. Pada sistem informasi yang ada sekarang, dimana seluruh aplikasi tersebut

sudah terintegrasi dan memiliki interkoneksi yang sangat baik, hampir dapat

dikatakan tidak ada lagi entri data akuntansi langsung dari aplikasi akuntansi,

hampir seluruh data akuntansi dientri langsung dari aplikasi di sisi pengguna, baik

aplikasi pendukung maupun aplikasi bisnis. *al ini tentunya akan mempercepat

proses penyusunan keuangan maupun laporan manajemen. %i lain pihak, kondisi

ini juga mengakibatkan tersebarluasnya sumber kesalahan pencatatan, dari yang

tadinya terpusat di unit akuntansi, kini terdistribusi ke seluruh jajaran operasional

perusahaan. "emakin kompleks aplikasi yang ada dibelakang aplikasi akuntansi

34


35/40

maka resiko akan terjadinya salah saji pada laporan keuangan akan semakin tinggi.

Tidak semua perusahaan mampu mengimplementasikan aplikasi yang terintegrasi,

kebanyakan justru menggunakan aplikasi yang berbeda yang dikoneksikan melalui

mediasi alat bantu yang sering disebut middle'are, yang tugasnya mengambil data

dari berbagai aplikasi dan mengirimkannya ke aplikasi lain.

%alam "tandar Profesional Akuntan Publik dari IAI telah dijabarkan bagaiman

auditor harus melakukan auditnya dilingkungan sistem informasi komputer 0"I1,

khususnya pada P0A N* /9 30A 0eksi ++/4mengenai Auditing di Lingkungan

0istem Inf*rmasi %*mputer. %alam standar ini telah dengan jelas disebutkan

bah'a auditor harus mempertimbangkan bagaimana lingkungan "I berdampak

terhadap audit. Tujuan dan lingkup audit secara keseluruhan tidak mengalami

perubahan dalam lingkungan "I. 6amun, penggunaan suatu komputer mengubah

pengolahan, penyimpanan, dan komunikasi informasi keuangan dan dapat

berdampak terhadap sistem akuntasi dan sistem pengendalian intern.

"elama melakukan re#ie' dan e#aluasi pendahuluan terhadap pengendalian intern,

auditor harus mendapatkan pengetahuan tentang sistem akuntansi untuk

memperoleh pemahaman atas lingkungan pengendalian secara menyeluruh dan

aliran transaksi. ika auditor merencanakan akan meletakan kepercayaan atas

pengendalian intern dalam pelaksanaan auditnya, ia harus mempertimbangkan

pengendalian manual dan komputer yang berdampak terhadap fungsi "I

0pengendalian umum "I1 dan pengendalian khusus atas aplikasi akuntansi

tertentu 0pengendalian aplikasi "I1. "ecara sederhana hubungan antara

pengendalian umum, aplikasi pengendalian aplikasi dan laporan keuangan dapat

kita lihat pada =ambar /.

35


36/40

Gambar ( Hubungan antara pengendalian umum) pengendalian aplikasi

dan lap*ran keuangan

%ari ilustrasi sederhana tersebut kita dapat memahami mengapa standar audit

mengharuskan auditor untuk mempertimbangkan dampak lingkungan "I terhadap

laporan keuangan. Pengendalian umum dalam "I merupakan lapisan yang saling

berpengaruh, dan akhirnya akan mempengaruhi pengendalian aplikasi. %ari

ilustrasi sederhana ini juga mungkin kita akan dengan mudah dapat memberikanpenjelasan untuk menja'ab kedua kasus diatas.

!agi manajemen, sebaiknya dapat memahami bah'a dalam melakukan audit atas

laporan keuangan auditor juga harus melakukan e#aluasi atas pengendalian umum

"I dan pengendalian aplikasi yang berpengaruh terhadap laporan keuangan. !agi

auditor sebaiknya juga dapat melaksanakan auditnya sesuai dengan standar yang

telah ditetapkan, dimana dalam melakukan audit auditor harus memperhatikan

lingkungan "I yang dapat menyebabkan kemungkinan terjadinya salah saji yang

material pada laporan keuangan.

*al ini semua pada a'alnya hanya diatur oleh standar audit, baik "tandar

Profesional Akuntan Publik 0"PAP1 maupun "tandard Audit Pemerintahan 0"AP1.

ini tanggungja'ab manajemen atas pengendalian teknologi informasi serta

ke'ajiban auditor untuk menge#aluasi pengendalian intern di lingkungan sistem

informasi telah semakin diperkuat dengan adanya 0arbanesO=le! A't (


37/40

dikeluarkan dalam rangka mengembalikan kepercayaan in#estor terhadap laporan

keuangan perusahaan publik, baik itu kepercayaan terhadap asersi manajemennya

dalam laporan keuangan maupun kepercayaan atas atestasi auditor dalam laporan

auditnya. Indonesia sebagai negara yang sudah memiliki pasar modal sudah

sebaiknya menerapkan peraturan yang sejenis untuk meningkatkan kepercayaan

publik.

Pemanfaatan Teknologi Informasi dalam Audit

Pemanfaatan Teknologi Informasi 0TI1 telah merambah ke segala bidang, dari

perusahaan internasional sampai kepada perusahaan kecil dan menengah.!agaimana dengan auditor & Apa dan bagaimana TI dapat dimanfaatkan oleh

auditor &

Pembahasan mengenai pemanfaatan TI dalam audit akan kita bagi ke dalam dua

kelompok utama yaitu pemanfaatan TI dalam manajemen audit atau "istemInformasi )anajemen Audit dan pemanfaatan TI untuk mempermudah pelaksanaan

prosedur audit atau Teknik Audit !erbantuan omputer yang akan dibahas padaedisi selanjutnya. )anajemen audit perlu dilakukan untuk menjamin kesesuaian

pelaksanaan audit dengan standar audit dan peraturan yang ada serta untuk

menjamin agar audit dapat dilaksanakan secara efektif dan efisien. !anyak

komponen dalam mengelola suatu audit yang dapat kita tingkatkan efektifitas danefisiensinya dengan memanfaatkan TI.

!erikut ini adalah beberapan contoh pemanfaatan TI dalam manajemen audit +

Analisis ;esiko

7#aluasi Pengendalian Intern

Penjad'alan Audit

)anajemen "%) Audit

;eferensi Audit

)onitoring Pelaksanaan Audit

)onitoring *asil Audit

Pendidikan dan Pelatihan Auditor

37


38/40

Analisis 5esik*

%alam setiap perencanaan audit tentunya akan melibatkan proses analisis resiko

yang akan membantu auditor untuk menentukan prioritas audit dalam menyusun

rencana auditnya. Proses perencanaan resiko ini biasanya dimulai dari proses

identifikasi resiko dan faktor-faktor terkait serta proses penilaian tingkatprobabilitas terjadinya akibat dari resiko tersebut serta kerugian potensial yang

akan dialami. %alam melakukan analisis resiko auditor dapat menggunakan

berbagai solusi TI yang ada, mulai dari spreadsheet atau database yang sederhanasampai pemanfaatan suatu eBpert system yang terintegrasi dengan sistem

informasi manajemen audit. %engan memanfaatkan TI tentunya akan

meningkatkan kemudahan serta untuk menjamin standar kualitas dan pelaksanaan

analisis resiko.

E2aluasi Pengendalian Intern

Proses selanjutnya dalam tahap perencanaan audit adalah e#aluasi atas

pengendalian intern yang dimiliki klien. Audit ekstern biasanya melakukan e#aluasi

ini menggunakan suatu kuesioner pengendalian intern yang berupa es86oDuestion. )etode lain untuk melakukan e#aluasi atas pengendalian intern adalah

melalui Control "elf Assessment 0C"A1. )etode ini memerlukan keterlibatan aktif

dari klien dan auditor hanya berperan sebagai fasilitator. "aat ini cukup banyak

solusi TI yang dapat kita manfaatkan untuk melakukan e#aluasi pengendalianintern. "olusi yang dita'arkanpun beragam, mulai dari spreadsheet kuesioner

pengendalian intern yang harus diisi oleh auditor sampai dengan dengan suatu

aplikasi untuk kolaborasi bersama antara klien dan auditor dalam menge#aluasi

pengendalian intern. ebanyakan dari solusi yang ada akan sangat membantu

dalam memandu auditor dan klien untuk melaksanakan e#aluasi atas pengendalianintern dengan baik.

Pen&ad>alan Audit

!erdasarkan hasil analisis a'al atas resiko dan pengendalian intern auditorkemudian akan menyusun rencana auditnya. Penyusunan rencana audit ini dapat

berupa perencanaan audit untuk satu periode tertentu atau perencanaan untuk

setiap audit itu sendiri. %alam menyusun suatu rencana audit biasanya auditor

harus mempertimbangkan sumber daya audit yang dimilikinya dibandingkandengan kebutuhan auditnya. ika jumlah kebutuhan audit dan sumber daya audit

yang harus dikelola oleh auditor cukup banyak maka proses ini tentunya akan

cukup menyulitkan jika dilakukan dengan cara manual tanpa bantuan TI. "aat ini

sudah cukup banyak solusi TI yang dapat dimanfaatkan untuk melakukanperencanaan audit, baik yang khusus dirancang untuk kegiatan audit maupun yang

dirancang untuk penjad'alan kegiatan secara umum.

,ana&emen 0D, Audit

38


39/40

%alam mengelola audit kita perlu melihat auditor sebagai suatu sumber daya yang

perlu dikelola dengan baik, mulai dari rekrutmen sampai dengan terminasi. %enganmeningkatnya jumlah auditor kita serta berkembang tingkat keahliannya mereka

maka kita perlu memanfaatkan solusi TI dalam mengelola "%) audit, terutama

dalam mengelola keahlian dan kemampuan yang dimiliki auditor untuk menjamin

bah'a keahlian tersebut tetap dapat dipertahankan dan menjadi asetperusahaan. Terdapat cukup banyak solusi TI yang tersedia dapat membantu kita

dalam mengelola "%) audit yang ada. !eberapa fitur yang sangat bermanfaat dari

solusi yang ada adalah terdapatnya database mengenai keahlian auditor yang

sangat membantu kita dalam proses pengalokasian tugas audit berdasarkankeahlian. %atabase ini juga dapat membantu kita dalam merencanakan program

pendidikan profesi berkelanjutan 0continuing professional education1 bagi para

auditor.

5eferensi Audit

Untuk dapat merencanakan dan melaksanakan suatu audit yang dapat memberikannilai lebih bagi klien maka auditor harus referensi yang cukup mengenai audit yang

akan dilaksanakan. !eberapa hal penting yang perlu dijadikan referensi bagi auditor

adalah mengenai resiko dan international best practices yang terkait dengan bidangindustri klien, serta referensi mengenai penugasan audit yang sejenis yang pernah

dilakukan oleh auditor sendiri maupun oleh pihak lain. !anyak solusi TI yang telah

dapat digunakan oleh auditor untuk menyusun suatu perpustakaan referensi audit

secara elektronis. %engan memiliki solusi TI untuk menyimpan referensi audit iniauditor akan mampu untuk meningkatkan keunggulan kompetitifnya dan akan

memberikan suatu nilai lebih bagi klien.

,*nit*ring Pelaksanaan Audit

Pelaksanaan suatu audit harus dimonitor untuk menjamin kesesuaian denganrencana dan jad'al audit serta mengantisipasi hal-hal penting yang muncul selama

audit. Auditor biasanya harus memonitor sejumlah audit yang pelaksanaannya

bersamaan dan hal ini akan cukup menyulitkan jika dilakukan secara manual.

%engan bantuan solusi TI yang ada, auditor dapat melakukan monitoringpelaksanaan audit dengan efisien dan terstruktur. Auditor akan dapat lebih

memastikan bah'a suatu audit akan dapat memenuhi jad'al yang direncanakan.

Pembagian tugas audit untuk masing masing auditor termasuk pelaporan kemajuan

audit juga dapat dikelola lebih baik dengan memanfaatkan TI. "olusi TI untuk

monitoring audit ada yang bersifat terpusat dan terdistribusi serta cukup ber#ariasidari mulai yang paling sederhana dimana data monitoring dimasukkin di pusat

sampai kepada yang cukup lengkap dimana data kemajuan audit dikirim langsung

oleh auditor di lapangan ke kantor pusat untuk kemudian dikonsolidasi. Auditordapat memonitor pelaksanaan audit berdasarkan berbagai pengelompokkan seperti

jenis audit, lokasi audit, auditor, atau berdasar periode 'aktu tertentu. %engan

menggunakan solusi TI ini auditor dapat dengan mudah mengatur dan

39


40/40

menyesuaikan alokasi sumber daya audit dengan baik untuk meningkatkan efisiensi

pelaksanaan audit.

,*nit*ring Hasil Audit

*asil dari suatu audit biasanya berupa laporan opini dan daftar temuan. Temuan-

temuan audit biasanya harus dimonitor kemajuan tindak lanjut yang dilakukan oleh

klien berdasarkan rekomendasi auditor. "olusi TI yang tersedia sangat membantuauditor dalam melaksanakan monitor atas hasil auditnya. Auditor akan dapat

melihat sejauh mana klien mengimplementasikan rekomendasi yang diberikan oleh

auditor. Informasi ini tentunya juga akan bermanfaat bagi auditor dalam

merencanakan audit lanjutan atas klien yang sama karena informasi mengenai hasilaudit sebelumnya serta kemajuan tindak lanjutnya dapat diperoleh dengan

mudah. "olusi TI yang tersedia untuk monitoring hasil audit biasanya merupakan

bagian dari solusi TI untuk monitoring pelaksanaan audit. Auditor dapat

memanfaatkan aplikasi sederhana untuk memonitor hasil auditnya. "olusi TI yang

ada juga dapat mendukung kolaborasi langsung dari klien dimana klien dapatlangsung memasukan informasi mengenai tindak lanjut yang mereka lakukan ke

dalam aplikasi yang dimiliki auditor.

Pendidikan " Pelati$an Audit*r

"etiap auditor biasanya diharuskan untuk mengikuti suatu program pelatihan

profesi lanjutan 0PP51 selama beberapa jam setiap tahunnya. *al ini diharuskan

untuk mempertahankan dan mengembangkan kemampuan auditor. %engan

memanfaatkan solusi TI yang ada maka pendidikan dan pelatihan auditor kini dapatdilaksanakan dengan lebih efisien dan tidak mengganggu 'aktu kerjanya. !anyak

solusi TI yang mena'arkan pelatihan berbasis TI dimana auditor dapat mengatur

sendiri jad'alnya untuk membaca materi dan mengerjakan soal-soal latihan yang

sudah diintegrasikan dalam suatu aplikasi yang dapat dipasang dikomputer auditor.!eberapa solusi TI juga men'arkan ujian langsung dari komputer auditor dan

auditor hanya cukup mengirimkan hasilnya secara elektronis kepada penyelenggara

ujian. %engan memanfaatkan solusi TI untuk melakukan pendidikan dan pelatihan

bagi auditor diharapkan dapat dicapai PP5 yang berkesinambungan dengan biayayang lebih ekonomis. Perusahaan juga dapat mengembangkan sendiri program

pendidikan dan pelatihan auditornya dan mengintegrasikannya dalam suatu solusi

TI untuk menjamin keseragaman metode pelatihan serta kesesuaian keahlian untuk

suatu tingkatan jabatan auditor.

supporting material audit is

Documents