supporting material audit is
Post on 20-Feb-2018
227 Views
Preview:
TRANSCRIPT
-
7/24/2019 Supporting Material Audit Is
1/40
Audit atas Pengendalian Operasi TI
PENDAHULUAN
Pada edisi sebelumnya kita telah membahas secara singkat mengenai audit atas
pengendalian pengembangan TI yang mencakup pengendalian proyek TI,
pengendalian kualitas TI, pengendalian pengadaan TI, pengendalian prosedur TI
dan pengendalian perubahan TI. Pada kesempatan ini kita akan membahas
mengenai Audit atas Pengendalian Operasi TI. Pengendalian operasi TI ini
merupakan bagian terakhir dari pembahasan mengenai Pengendalian Umum sistem
informasi, dimana pada edisi-edisi selanjutnya akan kita lanjutkan dengan
pembahasan mengenai Pengendalian Aplikasi.
Untuk kemudahan pembahasan maka kita mengambil beberapa aktifitas
pengendalian dari C!IT yang berhubungan dengan kegiatan operasional sistem
informasi, yang secara sederhana dapat kita gambarkan hubungannya satu sama
lain seperti pada Gambar 1.
Gambar 1 Hubungan antara aktifitas pengendalian dalam Pengendalian
Operasi TI
1 Pengendalian Tingkat La!anan TI " #asa Pi$ak %etiga
"alah satu pengendalian kunci dalam memastikan operasional TI sesuai dengan
kebutuhan perusahaan adalah dengan menerapkan kesepakatan tingkat layanan,
baik itu kesepakatan tingkat layanan kepada pengguna internal dan eksternal
perusahaan maupun kesepakatan tingkat layanan dari penyedia jasa pihak ketiga.
"emua itu dapat dijalankan dengan baik dengan adanya perjanjian kesepatakan
resmi yang menjabarkan mengenai layanan yang diberikan, tingkat kinerja layanan
1
-
7/24/2019 Supporting Material Audit Is
2/40
yang disepakati serta penentuan indikator-indikator dan mekanisme
penge#aluasian tingkat layanan.
Pema$aman$ %alam melaksanakan audit atas pengendalian tingkat layanan TI
dan jasa pihak ketiga auditor harus memahami dengan baik kebijakan dan prosedur
yang ada mengenai kesepakatan tingkata layanan, sistem pelaporan tingkatlayanan, metodologi pemantauan tingkat layanan dan aktifitas-aktifitas peningkatan
tingkat layanan. Auditor juga harus memahami siapa saja pengguna layanan TI dan
layan apa yang diberikan kepada setiap pengguna, serta penyedia jasa pihak ketiga
yang berkaitan dengan sistem informasi yang berhubungan dengan laporan
keuangan.
Pengu&ian Pengendalian$ "elanjutnya auditor dapat melakukan pengujian
pengendalian untuk menge#aluasi apakah pengendalian tingkat layanan dan jasa
pihak ketiga telah dilaksanakan sesuai dengan kebijakan dan prosedur yang ada &
Apakah pengguna paham akan kesepakatan tingkat layanan dan apakah merekapuas dengan tingkat layanan yang ada &
Pengu&ian Terin'i$ Auditor harus melakukan pengujian terinci untuk
mengidentifikasi adanya pelaksanaan pengendalian tingkat layanan dan jasa pihak
ketiga yang tidak sesuai dengan kebijakan dan perosedur perusahaan & Apakah ada
layanan yang tidak sesuai dengan kesepakatan tingkat layanan & Apakah ada jasa
pihak ketiga yang tidak sesuai dengan kesepakatan tingkat layanan &
( Pengendalian %iner&a) %apasitas dan %*nfigurasi TI
Pengendalian kinerja, kapasistas dan konfigurasi TI memegang peranan penting
dalam memastikan bah'a operasional TI dapat berjalan sesuai dengan
kesepakatan tingkat layanan yang ada serta dapat memenuhi perkembangan
kegiatan perusahaan. Pengendalian ini dilakukan dengan menerapkan kebijakan
dan prosedur pemantauan, pelaporan dan analisis data kinerja dari sumber daya TI
yang ada, pengukuran aplikasi dan beban kerja yang sistematis secara periodik,
serta pencatatan dan pemantauan konfigurasi dari setiap perangkat TI yang
dilakukan secara periodik.
Pema$aman$ Untuk dapat melakukan audit atas pengendalian kinerja, kapasitasdan konfirgurasi TI, maka auditor harus memahami berbagai kebijakan dan
prosedur yang ada di perusahaan yang berkaitan dengan pengelolaan perangkat
keras dan aplikasi yang ada, termasuk daftar perangkat keras dan spesifikasinya,
daftar aplikasi dan arsitekturnya, dan batasan-batasan kapasitas dan konfigurasi
sesuai standar yang ada atau sesuai dengan saran dan syarat dari #endor
perangkat tersebut.
2
-
7/24/2019 Supporting Material Audit Is
3/40
Pengu&ian Pengendalian$ Auditor dapat melakukan pengujian pengendalian
untuk menge#aluasi bah'a pelaksanaan pengendalian kinerja, kapasitas, dan
konfigurasi TI telah sesuai dengan kebijakan dan prosedur yang ada & Apakah
seluruh perangkat keras penting telah dicatat, dimonitor, dilaporkan dan dianalisis
kinerja, kapasitas, dan konfigurasinya & Apakah seluruh aplikasi yang berkaitan
dengan sistem informasi yang menghasilkan laporan keuangan telah dimonitor,
dilaporkan dan dianalisis kinerja, kapasitas, dan konfigurasinya &
Pengu&ian Terin'i$ "elanjutnya auditor harus melakukan pengujian terinci untuk
mengidentifikasi apakah terjadi atau terdapat resiko terjadinya permasalahan pada
kinerja dan kapasitas sistem & Apakah terdapat permasalahan pada perangkat
keras maupun aplikasi yang disebabkan karena kegagalan atau kesalahan pada
pengelolaan kinerja, kapasitas dan konfigurasi TI &
+ Pengendalian ,asala$-Insiden " La!anan Pengguna
perasional TI tentunya sangat berkaitan erat dengan penanganan berbagai
permasalahan atau insiden yang terjadi pada perangkata keras maupun aplikasi
serta keluhan dari para pengguna. Pengendalian masalah dan layanan pengguna ini
umumnya lebih sering dikenal dengan isitilah help deskatau service delivery &
support. Pengendalian ini penting karena operasional TI tidak pernah lepas dari
masalah serta tidak semua pengguna memahami penggunaan TI dengan baik
disamping kebutuhan pengguna yang terus menerus berubah seiring dengan
perubahan bisnis perusahaan.
Pema$aman$ Auditor dalam melakukan audit atas pengendalian masalah danlayanan pengguna harus memahami berbagai kebijakan dan prosedur yang ada
yang terkait dengan penanganan berbagai permasalahan TI, baik perangkat keras
maupun aplikasi serta penanganan keluhan pengguna, baik internal maupun
eksternal.
Pengu&ian Pengendalian$ Auditor dapat melakukan pengujian pengendalian
untuk menge#aluasi apakah penanganan masalah TI dan keluhan pengguna TI
telah dilaksanakan sesuai dengan kebijakan dan prosedur yang ada & Apakah
perusahaan telah menerapkan kebijakan dan prosedur yang dapat memberikan
jaminan bah'a seluruh permasalahan atau insiden TI dapat terdeteksi, tercatat,dan terselesaikan secepat mungkin & Apakah perusahaan telah melakukan e#aluasi
dan analisis atas catatan mengenai permasalahan TI dan keluhan pengguna untuk
melakukan berbagai tindakan pencegahan agar permasahan atau keluhan tersebut
tidak perlu terjadi kembali &
3
-
7/24/2019 Supporting Material Audit Is
4/40
Pengu&ian Terin'i$ Auditor selanjutnya harus melakukan pengujian terinci untuk
mengidentifikasi apakah terdapat permasalahan TI yang tidak terdeteksi, tidak
tercatat atau tidak terselesaikan dengan baik dan tepat pada 'aktunya & Apakah
terdapat keluhan pengguna yang tidak tercatat, tidak direspon atau tidak
terselesaikan sesuai dengan kebutuhan pengguna dan kebijakan serta prosedur
yang ada &
. Pengendalian Operasi Pusat %*mputer
"istem informasi pada umumnya sangat bergantung kepada kelancaran operasional
di pusat komputer atau sering juga desebut Data Center/Computer Center/Server
Room. perasional di pusat komputer umumnya bersifat rutin dan lebih diutamakan
kepada kelancaran pelaksanaan aktifitas sistem sesuai dengan jad'al dan prioritas
yang telah ditetapkan perusahaan.
Pema$aman$ Untuk dapat melakukan audit atas pengendalian pusat operasi
komputer auditor harus memahami kebijakan dan prosedur perusahaan mengenai
operasional pusat komputer, termasuk peran tanggung ja'ab para pega'ai di pusat
komputer serta jad'al kegiatan di pusat komputer.
Pengu&ian Pengendalian$ "elanjutnya auditor dapat melakukan pengujian untuk
menge#aluasi apakah pelaksanaan kegiatan di pusat komputer telah sesuai dengan
kebijakan dan prosedur yang ada & Apakah seluruh kegiatan telah dilaksanakan
sesuai jad'al & Apakah laporan-laporan kegiatan di pusat komputer telah dibuatdan die#aluasi secara periodik & Apakah setiap pihak di pusat komputer telah
menjalankan tugasnya sesuai dengan ketentuan &
Pengu&ian Terin'i$ Auditor harus melakukan pengujian terinci atas pengendalian
operasi pusat komputer untuk mengidentifikasi apakah terdapat kegiatan yang
tidak dilaksanakan sesuai jad'al & Apakah ada kegiatan yang diluar jad'al &
Apakah terdapat permasalahan yang dikarenakan oleh tidak sesuainya pelaksanaan
aktifitas di pusat komputer dengan kebijakan dan prosedur yang ada &
-o(o-
4
-
7/24/2019 Supporting Material Audit Is
5/40
Audit atas Pengendalian Pengembangan TI
PENDAHULUAN
Pada edisi-edisi sebelumnya secara berturut-turut kita telah membahas secara
singkat mengenai sebagian dari audit atas pengendalian umum sistem informasi,
yaitu audit atas pengendalian perencanaan TI, audit atas pengendalian keamananTI dan audit atas pengendalian organisasi TI. Pada kesempatan ini kita akan
melanjutkan pembahasan pada bagian selanjutnya, yaitu Audit atasPengendalian Pengembangan TI.
Pada praktik-praktik terbaik yang ada saat ini terdapat begitu banyak hal yangharus diperhatikan dalam melaksanakan pengembangan sistem informasi. Untuk
kemudahan pembahasan maka kita mengambil beberapa aktifitas pengendalian
dari C!IT yang berhubungan dengan kegiatan pengembangan sistem informasi,
yang secara sederhana dapat kita gambarkan hubungannya satu sama lain sepertipada Gambar 1.
Gambar 1 Hubungan antara aktifitas pengendalian dalam Pengendalian
Pengembangan TI
5
-
7/24/2019 Supporting Material Audit Is
6/40
1 ,ana&emen Pr*!ek TI
Pada umumnya kegiatan pengembangan sistem informasi dilakukan dengan pola
proyek, dimana pengembangan sistem informasi perusahaan secara keseluruhan
dibagi-bagi ke dalam beberapa komponen dan tahapan dimana setiap komponen
dan tahapan tersebut diberlakukan sebagai proyek yang tersendiri namun tetapsaling terkait dan berhubungan.
)anajemen proyek TI bertujuan untuk memastikan bah'a prioritas pengembangan
sejalan dengan bisnis serta kegiatan pengembangan dapat dilaksanakan tepat
'aktu dan sesuai dengan anggaran yang ada. *al ini dapat dicapai dengan
menyeleraskan penetapan prioritas proyek TI dengan prioritas operasionalperusahaan serta dan mengadopsi berbagai teknik pengelolaan proyek yang baik.
Pema$aman$ Auditor harus memahami kebijakan dan prosedur manajemenproyek TI, mempelajari rencana dan realisasi proyek-proyek pengembangan TI
yang ada serta mempelajari prioritas proyek pengembangan TI dan prioritas
operasional perusahaan. *al ini tentunya difokuskan kepada proyek-proyek
pengembangan TI yang berhubungan dengan sistem pelaporan keuanganperusahaan yang diaudit.
Pengu&ian Pengendalian$ "elanjutnya auditor perlu mengambil sampel atasbeberap proyek pengembangan TI yang berhubungan dengan laporan keuangan
untuk kemudian melakukan pengujian pengendalian untuk menilai + Apakah
manajemen proyek pengembangan TI telah sesuai dengan kebijakan dan prosedur
manajemen proyek TI perusahaan & Apakah penetapan prioritas proyekpengembangan TI telah selaras dengan prioritas operasional perusahaan &
Pengu&ian Terin'i$ %alam pengujian substantif ini auditor akan melakukanpengujian terinci untuk menge#aluasi + Apakah terdapat proyek-proyek
pengembangan TI yang berhubungan dengan laporan keuangan yang tidak
direncanakan & tidak sesuai anggaran & tidak tepat 'aktu & tidak dapat mencapai
tujuannya & Apakah penyimpangan yang terjadi dalam manajemen proyek TIberdampak yang signifikan terhadap laporan keuangan &
( ,ana&emen %ualitas TI
"aat ini sudah sangat banyak perusahaan yang telah memperoleh sertifikasi dibidang manajemen mutu, namun banyak dari perusahaan tersebut tidakmelibatkan unit TI dalam proses sertifikasi tersebut, sehingga 'alaupun
perusahaan telah memiliki pengendalian manajemen mutu namun belum tentunya
sistem informasi yang ada juga direncanakan, dikembangkan, diimplementasikan
dan dioperasikan sesuai dengan manajemen mutu yang ada dan menunjangmanajemen mutu keseluruhaan perusahaan.
6
-
7/24/2019 Supporting Material Audit Is
7/40
)anajemen kualitas dalam TI dilaksanakan bertujuan untuk memberikan kepuasan
yang layak kepada para konsumen TI, baik pihak internal perusahaan maupuneksternal. *al ini pada umumnya dilaksanakan dengan melakukan implementasi
sistem dan standar manajemen mutu yang baik dengan tahapan pengembanga
sistem yang jelas serta tanggung ja'ab yang secara eksplisit dinyatakan dengan
jelas.
Pema$aman$ Auditor perlu memahami apakah perusahaan telah menerapkan
sistem dan standard manajemen mutu dan apakah manajemen mutu tersebut jugasudah mencakup manajemen TI. Auditor perlu memahami tahapan pengembangan
sistem informasi yang digunakan perusahaan, mulai dari tahap perencanaan,
perancangan, pengembangan, pengujian dan implementasi serta e#aluasi.
"elanjutnya auditor dapat mengambil sampel atas pengembangan TI yangberhubungan dengan sistem pelaporan keuangan atau yang bernilai atau
berdampak cukup signifikan pada operasional perusahaan.
Pengu&ian Pengendalian$ "elanjutnya auditor perlu melakukan pengujianpengendalian untuk menge#aluasi apakah sistem dan standar manajemen mutu
yang digunakan perusahaan telah diterapkan pada pengembangan TI & Apakah
pengembangan TI yang ada telah dilaksanakan sesuai dengan sistem dan standarmanajemen mutu tersebut dari mulai tahap perancangan, pengembangan,
pengujian, implementasi dan e#aluasi &
Pengu&ian Terin'i$ %alam tahapan ini auditor harus mengidentifikasi apakah
terdapat pengembangan TI yang tidak memenuhi kebutuhan pengguna & Apakah
terdapat pengembangan TI yang tidak melalui tahapan pengujian secara layak &
Apakah terdapat pengembangan TI yang tidak memiliki dokumentasi sistem yang
lengkap & dan apakah kondisi-kondisi tersebut berdampak secara signifikan padalaporan keuangan &
+ ,ana&emen Pengadaan TI
Pada setiap pengembangan TI umumnya melibatkan dua komponen utama yaitusistem aplikasi dan infrastruktur teknologi serta tidak jarang pula melibatkan
komponen jasa seperti implementor atau konsultan pengembang TI.
Pengembangan sistem aplikasi dapat dilakukan internal atau dilakukan oleh pihak
ketiga, sedangkan pengadaan infrastruktur umumnya dilakukan melalui pihakketiga. Proses pengadaan TI ini memegang peranan penting dalam pengembangan
TI, terlebih lagi pengembangan TI yang sebagian besar dilakukan oleh pihak ketiga.
Untuk dapat memberikan sistem aplikasi yang sesuai dengan kebutuhan maka
perusahaan harus mendefinisikan dengan jelas kebutuhan fungsi dan fitur yang
dibutuhkan serta infrastruktur teknologi seperti apa yang paling sesuai dengan
sistem aplikasi dan pola bisnis perusahaan. "elanjutnya definisi kebutuhan ini
7
-
7/24/2019 Supporting Material Audit Is
8/40
diterjemahkan kedalam dokumen pengadaan TI dan diproses dalam kegiatan
pengadaan TI yang transparan dan kompetitif serta terkendali dengan baik.
Pema$aman$ Auditor harus memahami kebijakan, standar dan prosedur
pengadaan TI yang ada di perusahaan, termasuk proses apa saja yang harus
dilakukan pada setiap tahapan pengadaan TI dan siapa yang harusbertanggungja'ab pada setiap tahapan tersebut. "elanjutnya auditor dapat
mengambil sampel beberapa pengadaan TI yang berhubungan dengan sistem
pelaporan keuangan perusahaan atau yang bernilai cukup signifikan atauberdampak cukup signifikan bagi perusahaan.
Pengu&ian Pengendalian$ "elanjutnya auditor dapat melakukan pengujianpengendalian untuk menge#aluasi apakah kebijakan, standar dan prosedur
pengadaan TI yang ada telah cukup layak & Apakah prosedur pengadaan tersebut
telah dilaksanakan dan die#aluasi dengan baik &
Pengu&ian Terin'i$ Auditor harus melakukan pengujian terinci untuk
menge#aluasi apakah terdapat pengadaan TI yang tidak sesuai dengan prosedur
pengadaan perusahaan & Apakah terdapat pengadaan TI yang tidak sesuai dengankebutuhan dan perencanaan yang ada & dan Apakah berbagai penyimpangan pada
prosedur pengadaan TI memiliki dampak yang signifikan terhadap laporan
keuangan perusahaan &
. ,ana&emen Pr*sedur TI
Pengembangan TI akan menghasilkan suatu sistem informasi yang akan digunakan
oleh berbagai pihak internal bahkan internal perusahaan, mulai dari manajemenoperasional sampai kepada direksi, mulai dari konsumen sampai kepada para
suplier. Untuk itu diperlukan suatu alat kendali yang dapat memastikan bah'apenggunaan dan pengoperasian sistem informasi yang sesuai dengan tujuan yang
diharapkan.
Untuk itu sebaiknya perusahaan menerapakan suatu pendekatan terstruktur dalam
menyusun dan mengelola petunjuk-petunjuk pengguna dan operasional, termasuk
kebutuhan layanan pendukung serta bahan-bahan pelatihan yang memadai bagi
para pengguna dan pengoperasi sistem informasi.
Pema$aman$ Auditor harus memahami berbagai kebijakan, standar dan proseduryang ada mengenai pennyusunan dan pengelolaan panduan-panduan penggunaandan pengoperasioan TI, termasuk pengelolaan layanan pendukung serta pendidikan
dan pelatihan bagi pihak-pihak yang terkait dengan operasional sistem informasi
yang digunakan perusahaan.
8
-
7/24/2019 Supporting Material Audit Is
9/40
Pengu&ian Pengendalian$ Auditor dapat melakukan pengujian pengendalian
untuk menge#aluasi apakah kebijakan, standar dan prosedur yang mengenaipengelolaan panduan-panduan penggunaan telah dilaksanakan dengan baik &
termasuk juga pengelolaan layanan pendukung serta bahan-bahan pelatihan.
Pengu&ian Terin'i$ Auditor selanjutnya harus melakukan pengujian terinci untukmengidentifikasi apakah terdapat panduan-panduan pengguna dan operasi TI yang
tidak sesuai dengan kebijakan dan standar perusahaan & Apakah terdapat bahan-
bahan pelatihan serta pelaksanaan pelatihan yang tidak sesuai dengan kebijakanperusahaan & Apakah terdapat sistem informasi yang tidak memiliki panduan
pengguna dan panduan operasi yang layak serta tidak melalui proses pelatihan
yang cukup bagi pengguna &
/ ,ana&emen Peruba$an TI
"istem informasi pada umumnya akan terus berubah mengikuti kebutuhan
perusahaan serta perkembangan TI yang ada. Perubahan yang konsisten ini
sebaiknya dikendalikan dengan baik untuk meminimalisir resiko terjadinya
kesalahan, perubahan ilegal, serta gangguan terhadap operasional sistem informasiyang berdampak kepada kelangsungan operasional perusahaan.
Untuk itu sebaiknya perusahaan menerapkan suatu kebijakan, standar danprosedur yang komprehensif dalam mengelola berbagai permintaan perubahan atas
sistem informasi yang ada, baik itu karena kebutuhan operasional perusahaan
maupun karena perkembangan TI yang ada.
Pema$aman$ Auditor harus memahami berbagai kebijakan, standar dan proseduryang ada diperusahaan yang berkaitan dengan manajemen perubahan TI, baik dari
aspek sistem aplikasi maupun infrastruktur TI.
Pengu&ian Pengendalian$ "elanjutnya auditor dapat melakukan pengujian atas
berbagai aktifitas pengembangan TI yang berhubungan dengan sistem pelaporankeuangan untuk menge#aluasi apakah pengembangan TI tersebut telah sesuai
dengan kebijakan, standar dan prosedur perubahaan TI yang ada & serta
menge#aluasi kelayakan kebijakan, standar dan prosedur manajemen perubahan TI
itu sendiri.
Pengu&ian Terin'i$ Auditor harus melakukan pengujian terinci untuk memastikan+ Apakah seluruh perubahan TI yang ada telah disetujui & Apakah seluruhperubahan tersebut telah terdokumentasi dengan baik dan dapat
dipertanggungja'abkan & Apakah penyimpangan yang terjadi pada manajemen
perubahan TI memberikan dampak yang signifikan terhadap sistem pelaporan
keuangan perusahaan &
9
-
7/24/2019 Supporting Material Audit Is
10/40
http://chandra!ulistiac"#/$p%38
Audit Sistem Informasi e-Gov
,anfaat dan Pentingn!a Audit 0istem Inf*rmasi atas EG*2ernment
Penda$uluan
Salah satu lembaga tinggi negara sedang mengembangkan teknologi informasi dankomunikasi (TI! yang mereka miliki" #impinan lembaga ini menun$uk satu tim
untuk menyusun Rencana Strategis (Renstra! TI dengan dibantu konsultan"Setelah melalui proses pan$ang maka Renstra TI tersebut disetu$ui untuk
dilaksanakan" #engembangan dilakukan dalam beberapa tahapan selama % (tiga!
tahun dia'ali dengan pembangunan $aringan data dan pembaharuan serta
penambahan perangkat keras" plikasi $uga mulai dikembangkan satu persatusesuai dengan Renstra TI"
Pada tahun ketiga, terjadi pergantian pimpinan tertinggi dari lembaga tersebut.Pimpinan baru ini memanggil beberapa pejabat terkait dengan TI melakukan
e#aluasi atas TI yang ada. *asil e#aluasi tersebut membuat pimpinan baru iniheran, antara lain + tidak dapat diketahui dengan pasti berapa jumlah dan lokasi
serta status keberadaan perangkat TI yang ada, tiga dari lima aplikasi utama yangtelah dikembangkan belum dapat digunakan, personil-personil dengan latar
belakang pendidikan TI tidak ditempatkan di unit TI. eheranan pimpinan baru
ini berkahir kepada keputusan emosional dengan menghentikan semua proyek TI
dan melakukan penggantian personil besar-besaran di unit TI.
ondisi di atas rasanya sering kita dengar dan alami di lembaga pemerintahan dan
tentunya kita akan berpikir bah'a ada yang tidak beres disana dan perlu segeradiperbaiki. angankan pada kondisi yang seperti di atas, pada solusi-solsui TI di
pemerintahan yang telah menyatakan dirinya sukses sekalipun kita sulit untukdapat menja'ab beberapa pertanyaan ini +
. Apakah aset TI yang kita miliki sudah dilindungi dengan layak dari risiko
kerusakan, kehilangan, kesalahan atau penyalahgunaan &
/. Apakah informasi yang diolah melalui TI tersebut sudah dapat kita yakiniintegritasnya 0kelengkapan dan akurasi1 &
1&
http://chandra.yulistia.com/?p=38http://chandra.yulistia.com/?p=38 -
7/24/2019 Supporting Material Audit Is
11/40
2. Apakah solusi TI yang kita kembangkan sudah dapat mencapai tujuannya
dan membantu pencapaian tujuan lembaga kita dengan efektif &
3. Apakah sumber daya TI yang kita miliki sudah dimanfaatkan dengan efisiendan bertanggung ja'ab &
Definisi Audit 0istem Inf*rmasi
"alah satu cara dalam menja'ab pertanyaan-pertanyaan tersebut diatas adalah
dengan melakukan audit atas sumber daya dan solusi TI yang kita miliki, atauyang la4im disebut Audit "istem Informasi. %efinisi Audit 0istem Inf*rmasisendiri
adalah +
Suatu proses pengumpulan dan pengevalusian bukti)bukti yang dilakukan oleh
pihak yang independen dan kompeten untuk mengetahui apakah suatu sistem
informasi dan sumber daya terkait secara memadai telah dapat *
melindungi aset
men$aga integritas dan ketersediaan sistem dan data
menyediakan informasi yang relevan dan handal
mencapai tu$uan organisasi dengan efektif
menggunakan sumber daya dengan efisien
yang dapat memberikan dampak kepada pengendalian intern yang mampu
memberikan keyakinan yang memadai akan tercapainya tu$uan bisnis operasionaldan kendali serta berbagai ke$adian yang tidak diinginkan dapat dicegah dideteksi
dan dikoreksi dengan tepat 'aktu"
%engan kata lain, tujuan dari suatu audit sistem informasi adalah untuk
mengetahui apakah pengendalian TI telah dapat memberikan jaminan bah'a
tujuan atau manfaat dari TI telah dapat dicapai serta risiko yang terkait dengan
pemanfaatan TI telah dapat dikendalikan. epatuhan terhadap peraturan danperundangan-undangan merupakan salah satu tujuan dan risiko yang harus
dikendalikan.
Pr*ses Audit 0istem Inf*rmasi
11
-
7/24/2019 Supporting Material Audit Is
12/40
"eluruh tahapan audit sistem informasi serta persyaratan independensi dan
kompetensi auditor sistem informasi diatur oleh suatu "tandar Audit. Untuk diIndonesia dapat digunakan "tandar Audit "istem Informasi 0"A"I1 dari Ikatan Audit
"istem Informasi Indonesia 0IA"II1, sedangkan secara internasional umumnya
menggunakan Standards for Information Systems uditing dariInformation
System udit and Control ssociation 0I"ACA1.
ita sering salah mengartikan antara standar audit dengan kriteria audit. "tandar
audit hanya mengatur auditor dan audit, sedangkan kriteria audit adalah sesuatuyang akan dijadikan dasar kesimpulan hasil audit, misalnya peraturan yang berlaku,
kebijakan dan prosedur internal organisasi, atau standar dan praktik-praktik
internasional di bidang TI seperti C!IT, ITI5, I")", dan lain sebagainya.
Proses audit sistem informasi yang berbasis risiko serta sesuai dengan standar
audit dapat digambarkan secara singkat sebagai berikut +
Gambar Pr*ses Audit 0istem Inf*rmasi
Pada tahap sur#ei pendahuluan auditor akan berusaha untuk memperoleh
gambaran umum dari lingkungan TI yang akan diaudit. emudian dilanjutkandengan pemahaman yang lebih mendalam dari seluruh sumber daya TI $
infrastruktur, aplikasi, informasi, personil $ yang termasuk ke dalam lingkup audit,
serta pemahaman atas sistem pengendalian intern TI yang ada seperti struktur
organisasi, kebijakan, prosedur, standar, parameter, dan alat bantu kendali lainnya.
"elanjutnya auditor akan melakukan analisis risiko pendahuluan untuk
mengidentifikasi berbagai risiko yang mungkin timbul di lingkungan TI yang
12
-
7/24/2019 Supporting Material Audit Is
13/40
diaudit serta kelayakan rancangan pengendalian intern TI yang telah ada. ika
rancangan pengendalian intern TI dipandang memadai maka auditor selanjutnyaakan melakukan pengujian dari pelaksanaan kendali-kendali tersebut, namun jika
dipandang tidak layak maka auditor akan langsung melakukan pengujian terinci
terhadap risiko TI secara mendalam 0dengan jumlah sampel yang cukup besar1.
"etelah melakukan pengujian pengendalian intern TI dan auditor telah
memperoleh bukti yang memadai bah'a pengendalian intern TI telah
dilaksanakan sesuai rancangannya maka selanjutnya auditor akan melakukanpengujian terinci atas risiko TI secara terbatas 0dengan jumlah sampel yang
terbatas1. 6amun jika hasil pengujian pengendalian intern TI menunjukkan bah'a
pelaksanaan pengendalian intern TI tidak sesuai dengan rancangannya maka
auditor akan melakukan pengujian terinci risiko TI secara mendalam.
!ukti-bukti yang diperoleh auditor dari hasil analisis risiko dan rancangan kendali
serta pengujian pengendalian intern TI dan pengujian terinci risiko TI
selanjutnya akan digunakan oleh auditor untuk menyusun laporan audit sisteminformasi yang memuat kesimpulan audit beserta tanggapan dari pihak yang
diaudit atas rekomendasi yang disampaikan oleh auditor dalam rangka peningkatan
pengendalian intern TI.
Lingkup dan Tu&uan Audit 0istem Inf*rmasi
Audit sistem informasi pada umumnya difokuskan kepada seluruh sumber da!a
TI% yang ada, yaitu +
Aplikasi $ )encakup seluruh proses bisnis yang terotomasi serta prosedurmanual yang terkait, yang digunakan untuk mengolah informasi di dalam suatu
organisasi.
Inf*rmasi $ )encakup data, dalam berbagai bentuk, yang dimasukan,
diproses, dan dihasilkan oleh sistem informasi yang digunakan dalam kegiatan
organisasi.
Infrastruktur $ )encakup teknologi dan fasilitas, seperti perangkat keras,
sistem operasi, sistem manajemen basis data, jaringan data dan komunikasi,
multimedia, serta lingkungan yang melindungi dan mendukung infrastruktur
tersebut, yang memungkinkan berjalannya aplikasi.
Pers*nil $ )encakup personil yang dibutuhkan untuk merencanakan,
mengorganisasikan, mengakuisisi atau mengembangkan, mengimplementasikan,
menjalankan, mendukung, menga'asi dan menge#aluasi sistem dan layanan
informasi.
13
-
7/24/2019 Supporting Material Audit Is
14/40
Para auditor sistem informasi selama ini umumnya membagi dan
mengujipengendalian intern TI% ke dalam dua kelompok besar, yaitu +
Pengendalian ,ana&emen-Umum $ )encakup seluruh kebijakan,
prosedur, dan alat bantu kendali dalam merencanakan, mengorganisasikan,
mengakuisisi atau mengembangkan, mengimplementasikan, menjalankan,mendukung, menga'asi dan menge#aluasi sistem dan layanan informasi.
Pengendalian Aplikasi $ )encakup seluruh kebijakan, prosedur, dan alat
bantu kendali yang terkait dengan aktifitas pemasukan, pemrosesan, danpengeluaran data dan informasi dari dan ke aplikasi melalui infrastruktur terkait.
Tu&uan dari pelaksanaan audit sistem informasi sebaiknya dikelompokkan ke dalam
dua aspek utama dari ketatakelolaan TI, yaitu +
Conformance 0esesuaian1 $ Pada kelompok tujuan ini audit sistem informasi
difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, khususnyaapakah suatu sistem informasi telah dapat memberikan jaminan yang memadai
mengenai +
Confidentiality 0erahasiaan1 $ "eluruh informasi yang penting dan sensitif
telah dilindungi secara memadai dari pengungkapan yang tidak sah.
Integrity 0Integritas1 $ Akurasi, kelengkapan, dan #aliditas informasi telah
terjamin sesuai denngan ekspektasi dan kepentingan organisasi.
Availability 0etersediaan1 $ Informasi selalu tersedia pada saat dibutuhkan
oleh organisasi pada saat ini dan di masa mendatang, termasuk ketersediaan dan
kemampuan sumber daya yang terkait.
Compliance 0epatuhan1 $ Telah dipatuhinya berbagai peraturan
perundang-perundangan, kebijakan dan prosedur serta perjanjian kerja, baik
yang berasal dari internal maupun eksternal.
Performance 0inerja1 $ Pada kelompok tujuan ini audit sistem informasidifokuskan untuk memperoleh kesimpulan atas aspek kinerja, khususnya apakah
suatu sistem informasi telah dapat memberikan jaminan yang memadai mengenai +
Effectiveness 07fektifitas1 $ Informasi telah dapat disampaikan secara
rele#an dan sesuai kebutuhan organisasi, serta dapat digunakan, konsisten,benar dan tepat 'aktu.
Efficiency 07fisiensi1 $ Informasi disediakan melalui pemanfaatan secara
optimal 0melalui cara yang paling produktif dan ekonomis1 dari berbagai sumber
daya yang terkait.
14
-
7/24/2019 Supporting Material Audit Is
15/40
Reliability 0ehandalan1 $ Penyediaan informasi secara memadai yang
dapat memungkinkan manajemen untuk menjalankan organisasi serta
ke'ajibannya, baik dari aspek fidusiari maupun dari aspek ketatakelolaan.
Umumnya audit sistem informasi akan dilakukan dengan tujuan e#aluasi atas
aspek conformance terlebih dahulu, baru dilanjutkan audit dengan dengan tujuane#aluasi atas aspekperformance.
Auditor sistem informasi akan melihat bah'a jika sistem informasi tidak dapat
menjaga kerahasiaan, integritas, ketersediaan serta kepatuhan, maka tidak
mungkin sistem informasi dapat die#aluasi efektifitasnya, dan hanya jika sistem
telah dapat dikatakan efektif dan handal barulah efisiensi sistem dapat die#aluasi.%engan kata lain, suatu sistem informasi seharusnya dapat mengendalikan
aspekconformance terlebih dahulu untuk kemudian dapat meningkatkan
aspekperformance"
Untuk lebih praktisnya, berikut ini adalah beberapa tujuan audit sistem informasiyang pernah dilakukan, antara lain +
7#aluasi atas kesesuaian 0strategic alignment1 antara rencana strategis dan
rencana tahunan organisasi dengan rencana strategis TI, rencana tahunan TI
dan rencana proyek8program TI.
7#aluasi atas kelayakan struktur organisasi TI, termasuk pemisahan fungsi
0segregation of duties1 dan kelayakan pelimpahan 'e'enang dan otoritas
0delegation of authority1.
7#aluasi atas pengelolaan personil TI, termasuk perencanaan kebutuhan,rekrutmen dan seleksi, pelatihan dan pendidikan, promosi8demosi8mutasi, serta
terminasi personil TI.
7#aluasi atas pengembangan TI, termasuk analisis kebutuhan,
perancangan, pengembangan, pengujian, implementasi dan migrasi, pelatihan
dan dokumentasi TI, serta manajemen perubahaan.
7#aluasi atas kegiatan operasional TI, termasuk pengelolaan keamanan dan
kinerja pengelolaan pusat data 0data center1, pengelolaan keamanan dan kinerjajaringan data, dan pengelolaan masalah dan insiden TI serta dukungan
pengguna 0helpdesk1.
7#aluasi atas kontinuitas layanan TI, termasuk pengelolaanbackup &
recovery, pengelolaan prosedur darurat TI 0IT emergency plan1, pengelolaan
rencana pemulihan layanan TI 0IT recovery plan1, serta pengujian rencana
kontijensi operasional 0business contigency/continuity plan1.
15
-
7/24/2019 Supporting Material Audit Is
16/40
7#aluasi atas kualitas pengendalian aplikasi, termasuk pengendalian input,
pengendalian proses dan pengendalian output.
7#aluasi atas kualitas data8informasi, termasuk pengujian atas kelengkapan
dan akurasi data yang dimasukkan, diproses, dan dihasilkan oleh sistem
informasi.
%ualifikasi Audit*r 0istem Inf*rmasi
Untuk dapat menjadi auditor sistem informasi disyaratkan suatu kompetensi yang
cukup kompleks, dimana di dalam satu tim audit sistem informasi sebaiknya
memiliki pengetahuan dan keahlian di bidang +
Auditing $ Termasuk pemahaman dan kemampuan untuk melakukan
perencanaan audit, penilaian risiko, pemilihan metode pengujian audit,
pelaksanaan audit sampling, penilaian materialitas audit, penyusunan pelaporan
dan rekomendasi audit.
Teknik %*mputer $ Termasuk pemahaman atas risiko dan kendali atas
perangkat keras dan perangkat jaringan serta sistem operasi, logikapemrograman, pengendalian manajemen basis data, pengendalian arsitektur
aplikasi.
,ana&emen Inf*rmatika $ Termasuk pemahaman atas perencanaan dan
perancangan TI, penganggaran dan manajemen in#estasi TI, pengembangan
dan implementasi TI, serta pengorganisasian dan pengelolaan proyek TI.
Perilaku Organisasi $ Termasuk pemahaman atas kepemimpinanorganisasi, lingkungan pengendalian intern, perancangan kebijakan dan prosedur,
perancangan struktur organisasi, serta pengelolaan "%).
Hukum $ Termasuk pemahaman atas peraturan perundang-undangan serta
kebijakan dan prosedur yang terkait dengan TI dan proses bisnis atau kegiatan
yang diaudit.
Tim audit sistem informasi umumnya dilengkapi dengan tenaga ahli untuk bidang-
bidang tertentu yang sangat khusus, termasuk tenaga ahli yang memahami tentang
karakteristik serta kekhususan yang ada pada bidang bisnis atau kegiatan yang
diaudit.
Umum kualifikasi auditor sistem informasi dapat dibagi menjadi tiga tingkatan,
yaitu +
16
-
7/24/2019 Supporting Material Audit Is
17/40
Tingkat 1 3Generalis4 $ Auditor yang memiliki pengetahuan mengenai
dampak TI pada auditnya dan keahlian yang terbatas untuk melakukan berbagai
pengujian yang diperlukan dalam audit atas sistem informasi.
Tingkat ( 3Audit*r4 $ Auditor yang memiliki pengetahuan dan keahlian
untuk melaksanakan audit sistem informasi mulai dari tahap sur#ei pendahuluan,analisis resiko, perencanaan audit, penyusunan program audit , pelaksanaanpengujian pengendalian dan pengujian terinci, sampai dengan kepada perumusan
temuan dan rekomendasi, penyusunan laporan audit serta pemantauan tindak
lanjut hasil audit.
Tingkat + 30pesialis4 $ Tenaga ahli yang memiliki pengetahuan dan
keahlian yang komprehensif dan khusus di satu bidang TI, misalnya spesialis
keamanan jaringan komunikasi, spesialis database, spesialis pemrograman dansebagainya.
,ana&emen TI% di Lembaga Pemerinta$an
)anajemen TI bukanlah suatu hal yang mudah, bahkan dapat dikatakanmanajemen TI merupakan salah satu hal yang paling rumit dan kompleks dalam
manajemen suatu organisasi, terlebih lagi di lembaga pemerintahan.
Para pimpinan lembaga pemerintahan pertama-tama harus memenuhi tujuan
pengendalian intern TI dari aspek conformancedimana manajemen TI di
lembaga pemerintahan harus dapat memberikan jaminan bah'a manajemen TI
telah memenuhi berbagai peraturan perundang-undangan serta kebijakan danprosedur yang ada. %isamping itu pimpinan lembaga pemerintahan harus
merancang dan melaksanakan pengendalian intern TI yang memadai untuk dapatmenjamin terjaganya kerahasiaan, integritas dan ketersediaan layanan TI yang
dikelolanya.
"elanjutnya pimpinan lembaga pemerintahan harus dapat memberikan jaminan
bah'a TI yang dikembangkan lembaganya telah dapat membantu pencapaiantujuan lembaganya secara efektif, khususnya terkait dengan hasil 0output1 dari
pengembangan TI dan manfaat 0outcome1 dari implementasi TI. Aspek
efektifitas TI di lembaga pemerintahan tentunya tidak hanya dilihat dari hasilnya
secara internal lembaga tersebut, namun juga dilihat dari secara lebih luas, yaitumanfaatnya kepada layanan publik yang diberikan oleh lembaga pemerintah
tersebut kepada masyarakat.
Aspek efisiensi TI rasanya cukup sensitif bagi para pimpinan lembaga
pemerintahan, dimana seringkali hal-hal mengenai inefisiensi TI disalahartikan
oleh publik sebagai 9korupsi: karena dianggap 9berpotensi merugikan negara:.
Padahal pengelolaan efisiensi yang dimaksud disini dalam pengendalian intern TIsangatlah jauh dari definisi dan aktifitas korupsi.
17
-
7/24/2019 Supporting Material Audit Is
18/40
%alam melakukan e#aluasi untuk menilai apakah penggunaan TI di suatu lembaga
pemerintah sudah cukup efisien atau belum, maka pimpinan lembaga pemerintahsebenarnya berupaya untuk mencari solusi-solusi alternatif yang dapat
meningkatkan efisiensi TI, misalnya dengan mengganti perangkat keras yang
sudah usang dan lambat, mengganti personil yang lebih kompeten, atau bahkan
mengubah proses kerja dari lembaganya agar dapat lebih mengoptimalkan TIyang sudah ada.
"atu hal yang harus kita pahami bersama, bah'a ketatakelolaan TI di lembagapemerintahan, bahkan di organisasi mana pun, merupakan tanggungja'ab dari
para pimpinan lembaga tersebut secara kolektif, dan bukan menjadi tanggungja'ab
unit kerja TI sendiri, diaman peranan terbesar justru berada di tangan pemilik
sistem, yang tidak lain adalah pemilik proses bisnis atau kegiatan lembagatersebut, yaitu para pimpinan lembaga tersebut. %engan kondisi saat ini dimana
unit kerja TI di lembaga pemerintahan berada pada lapisan atau tingkatan ke-2
bahkan ke-3 dari jajaran pimpinan lembaga pemerintahan, maka sangat sulit dan
tidak masuk akal jika ketatakelolaan TI di lembaga pemerintahan dijadikantanggung ja'ab utama dari unit kerja TI saja.
Peranan Audit 0istem Inf*rmasi di Lembaga Pemerinta$an
%engan pemahaman kita bah'a manajemen TI di lembaga pemerintahan
merupakan suatu hal rumit dan kompleks serta penting bagi layanan publik, makasudah pasti semua pimpinan lembaga pemerintahan ingin mengetahui kondisi
ketatakelolaan TI yang selama ini telah dilaksanakan di lembaganya.
%isinilah peranan Audit "istem Informasi di dalam suatu lembaga pemerintahan,
yaitu untuk memberikan suatu hasil e#aluasi yang independen mengenai
kesesuaian dan kinerja dari TI yang ada, apakah sudah dapat melindungi aset
TI, menjaga integritas dan ketersediaan sistem dan data, menyediakan informasiyang rele#an dan handal, dan mencapai tujuan organisasi dengan efektif, serta
menggunakan sumber daya TI dengan efisien.
Para pemeriksa dari !P, !PP dan !a'asda serta kantor akuntan publik atau
konsultan audit yang melakukan audit atas lembaga pemerintahan, diharapkan
dapat memberikan suatu hasil e#aluasi yang independen atas kesesuaian dan
kinerja pengelolaan TI di lembaga pemerintahan, serta memberikan berbagairekomendasi yang dapat dengan signifikan meningkatkan ketatakelolaan TI di
lembaga tersebut.
eterpurukan ketatakelolaan TI di lembaga pemerintahan saat ini, yang seringkali
hanyalah berupa belanja-belanja proyek TI tanpa kejelasan kesesuaian dan
kinerja yang diharapkan, tentunya tidak lepas dari kemampuan para pemeriksa
dalam melakukan e#aluasi dan memberikan rekomendasi terkait ketatakelolaan TIserta komitmen dari para pimpinan lembaga dalam menindaklanjuti rekomendasi
18
-
7/24/2019 Supporting Material Audit Is
19/40
tersebut. Audit "istem Informasi tidak dilaksanakan untuk mencari temuan atau
kesalahan, namun untuk memberikan kesimpulan serta merekomendasikanperbaikan yang dapat dilakukan atas pengelolaan TI.
,anfaat Audit 0istem Inf*rmasi di Lembaga Pemerinta$an
ika kita lihat kembali secara komprehensif berbagai hal yang terkait dengan Audit
"istem Informasi mulai dari definisi, tujuan, lingkup, dan proses audit sertakualifikasi auditornya, maka kita kini dapat memahami seberapa besar manfaat
Audit "istem Informasi di lembaga pemerintahan, khususnya bagi para pimpinan
dan pega'ai lembaga pemerintahan tersebut, dan tentunya bagi layanan publik
sebagai pemanfaat akhir dari TI di lembaga pemerintahan.
"ecara sederhana, dapat dikatakan bah'a Audit "istem Informasi di lembaga
pemerintahaan akan dapat memberikan banyak manfaat, antara lain +
)eningkatkan perlindungan atas aset TI lembaga pemerintahan yang
merupakan kekayaan negara, atau dengan kata lain aset milik publik,
)eningkatkan integritas dan ketersediaan sistem dan data yang digunakan
oleh lembaga pemerintahan baik dalam kegiatan internal lembaga maupun dalam
memberikan layanan publik,
)eningkatkan penyediaan informasi yang rele#an dan handal bagi para
pemimpin lembaga pemerintahan dalam mengambil keputusan dalam
menjalankan layanan publik,
)eningkatkan peranan TI dalam pencapaian tujuan lembaga pemerintaha
dengan efektif, baik itu untuk terkait dengan kebutuhan internal lembaga
tersebut, maupun dengan layanan publik yang diberikan oleh lembaga tersebut,
)eningkatkan efisiensi penggunaan sumber daya TI serta efisiensi secara
organisasional dan prosedural di lembaga pemerintahan.
%engan kata lain, Audit "istem Informasi merupakan suatu komponen dan prosesyang penting bagi lembaga pemerintahan dalam upayanya untuk memberikan
jaminan yang memadai kepada publik atas pemanfaatan TI yang telah
dilaksanakan oleh lembaga pemerintahan.
Penutup
%engan semakin tingginya pemanfaatan TI di lembaga pemerintahan, tentunya
akan mengakibatkan semakin kompleks dan rumitnya manajemen TI di lembaga
pemerintahan, baik secara institusional maupun lintas sektoral. *al ini tentunya
19
-
7/24/2019 Supporting Material Audit Is
20/40
akan mengakibatkan semakin meningkatnya pula kebutuhan dari para pimpinan
lembaga pemerintahan akan proses dan hasil dari Audit "istem Informasi.
6amun hal ini sebaiknya diikuti oleh penyediaan serta pengembangan tenaga-
tenaga Auditor "istem Informasi yang memiliki integritas yang tinggi serta tingkat
dan kombinasi kompetensi yang memadai. )asih sedikit lembaga pendidikan, baikformal maupun non-formal, yang menyediakan pendidikan dan pelatihan Audit
"istem Informasi.
Untuk itu besar harapan kita semua agar lembaga-lembaga pendidikan tinggi tidak
hanya mencetak lulusan dengan kemampuan untuk mengelola TI namun juga
mencetak para auditor sistem informasi yang memiliki kehandalan dan integritasyang tinggi.
5eferensi
"tandar Audit "istem Informasi $ Ikatan Audit "istem Informasi Indonesia
0IA"II1 0'''.iasii.or.id1
"tandard for Information "ystem Auditing $ Information "ystem Audit and
Control Association 0I"ACA1 0'''.isaca.org1
)ateri Pelatihan 9Information Technology Audit: $ Audittindo 7ducation
0'''.audittindo.co.id1
Information Technology Control and Audit /nd7dition $ ;on
-
7/24/2019 Supporting Material Audit Is
21/40
Audit atas Pengendalian 'ea#anan TI
PENDAHULUAN
%alam !agian pada edisi sebelumnya kita telah membahas 9Audit atas
Pengendalian Umum "istem Informasi + Audit atas Pengendalian Perencanaan TI:,
yang memberikan gambaran singkat mengenai audit atas manajemen resiko TI,
audit atas perencanaan strategis TI, audit atas perancangan arsitektur informasi,
audit atas penentuan arah teknologi informasi, audit atas pengelolaan in#estasi TI.
Pada kesempatan ini kita akan membahas mengenai 9Audit atas Pengendalian
eamanan TI:. "alah satu dari tujuan pengendalian intern adalah mengamankan
aset, begitu juga dengan pengendalian TI salah satunya bertujuan untuk
mengamankan seluruh aset informasi milik perusahaan, baik fisik maupun non fisik.
Pengendalian eamanan TI bertujuan untuk memberikan keyakinan yang memadai
bah'a perusahaan telah mampu untuk mengamankan seluruh aset informasinya.
Untuk kemudahan pembahasan secara umum aktifitas pengendalian keamanan TI
dapat diilustrasikan dalam Gambar 1, yaitu perencanaan manajemen keamanan
TI, pengendalian lingkungan, pengendalian akses fisik dan pengendalian akses
logik, serta pengendalian kontinuitas layanan TI.
21
-
7/24/2019 Supporting Material Audit Is
22/40
Gambar 1 Hubungan antara aktifitas pengendalian dalam Pengendalian
%eamanan TI
Pada saat ini terdapat beberapa panduan manajemen keamanan TI antara lain + !"
>>?? atau I"8I7C >>??, +enerally ccepted Information Security
#rinciples0=AI"P1, The Standard of +ood #ractice for Information Security, SystemsSecurity ,ngineering)Capability -aturity -odel0""7-C))1, dan C!IT. Pada
kesempatan ini kita tidak akan membahas mengenai bagaimana mengelola
keamanan TI. ita akan membahas lebih banyak kepada apa yang harus dilakukan
oleh auditor dalam melaksanakan audit atas pengendalian keamanan TI.
1 Peren'anaan %eamanan TI
)anajemen keamanan TI dimulai dari in#entarisasi aset informasi perusahaan, fisik
dan non fisik, menentukan tingkat pengamanan untuk setiap aset, in#entarisasi
ancaman terhadap keamanan, estimasi probabilitas ancaman, serta estimasi akibatyang mungkin terjadi dari ancaman tersebut. "elanjutnya perusahaan akan memilih
berbagai teknik pengamanan terhadap setiap aset dengan mempertimbangkan
biaya pengendalian keamanan dengan tujuan dari pengendalian tersebut apakah
untuk mengurangi akibat ancaman, mengurangi probabilitas ancaman terjadi, atau
dapat pula sampai dengan menghilangkan beberapa ancaman yang ada.
)anajemen keamanan TI sendiri sebaiknya dikelola oleh satu fungsi yang
bertanggung ja'ab atas seluruh manajemen keamanan TI di perusahaan tersebut.
@ungsi ini dapat saja berada di ba'ah unit TI yang dipimpin oleh seorang Chief
Security .fficer (CS.!atau bahkan dapat juga dibentuk unit sendiri diluar unit TI,dimana fungsi keamanan TI itu sendiri melibatkan banyak pihak lain selain unit TI.
Pema$aman$ Untuk dapat menge#aluasi manajemen keamanan TI, auditor harus
memperoleh pemahaman yang baik atas sistem informasi auditan, termasuk sistem
aplikasi, infrastruktur, fasilitas serta jaringan komunikasi. Auditor juga harus
memahami kebijakan dan prosedur keamanan TI yang ada serta struktur organisasi
manajemen keamanan TI. Auditor juga sebaiknya memahami terlebih dahulu
berbagai panduan keamanan TI yang berhubungan dengan lingkungan sistem
informasi auditan
Pengu&ian Pengendalian$ Auditor selanjutnya harus melakukan pengujian
pengendalian antara lain + Apakah manajemen telah melakukan analisis resiko
keamanan TI dengan baik & Apakah perencanaan atau perancangan pengendalian
keamanan TI telah dilakukan dengan baik, berupa penetapan kebijakan dan
prosedur keamanan TI & Apakah struktur organisasi manajemen keamanan TI telah
disusun serta tugas dan tanggung ja'ab berbagai pihak yang terlibat telah
22
-
7/24/2019 Supporting Material Audit Is
23/40
dijelaskan & Apakah pelaksanaan manajemen keamanan TI telah sesuai dengan
kebijakan prosedur yang ada &
Pengu&ian Terin'i$ Auditor selanjutnya harus melakukan pengujian terinci +
Apakah terdapat aset informasi yang belum termasuk ke dalam analisis resiko &
Apakah ada resiko-resiko keamanan TI yang belum dipertimbangkan olehperusahaan & Apakah terdapat pengendalian-pengendalian keamanan TI yang tidak
sesuai dengan rencana manajemen keamanan TI &
( Pengendalian Lingkungan
"alah satu ancaman keamanan TI yang cukup besar akibatnya serta cukup tinggi
frekuensinya adalah ancaman yang datang dari alam seperti banjir, gempa bumi,
kebakaran, atau bahkan sampai kepada ha-hal yang dipandang sepele sepertipanas, debu, dan kelembaban udara. husus untuk manajemen keamanan TI dari
ancaman yang berasal dari alam ini biasanya disebut sebagai pengendalian
keamanan lingkungan.
Pema$aman$ Auditor harus memahami ancaman lingkungan apa saja yang dapat
terjadi pada lingkungan TI auditan. *al ini biasanya ditentukan oleh beberapa
parameter seperti lokasi pusat data TI auditan, lingkungan disekitar lokasi auditan,
dan kondisi gedung auditan. Auditor juga harus memahami kebijakan dan prosedur
yang ada yang berkaitan dengan pengendalian lingkungan serta melakukan analisis
resiko pendahuluan atas keamanan lingkungan.
Pengu&ian Pengendalian$ Auditor harus melakukan pengujian pengendalian
untuk menilai + Apakah pusat data telah mempertimbangkan ancaman bencana
alam seperti banjir dan gempa bumi & Apakah telah terdapat kebijakan dan
prosedur untuk mencegah, mendeteksi, dan menanggulangi kebakaran, debu atau
panas serta kelembaban yang berlebihan & Apakah seluruh kebijakan, prosedur
serta perlengakapan keamanan lingkungan telah diuji secara periodik dan dalam
kondisi yang dapat berjalan dengan baik & Apakah telah dilakukan berbagai
tindakan pencegahan dan penanggulangan masalah kelistrikan &
Pengu&ian Terin'i$ Auditor selanjutnya melakukan pengujian terinci untuk
menilai + Apakah seluruh ancaman alam yang terkait telah dipertimbangkan dan
termasuk dalam pengendalian keamanan lingkungan & Apakah pernah terdapat
masalah dengan sistem informasi karena terjadinya ancaman dari alam &
+ Pengendalian Akses 6isik
23
-
7/24/2019 Supporting Material Audit Is
24/40
)anajemen keamanan TI juga mengharuskan auditan untuk mengendalikan akses
fisik terhadap seluruh aset informasi yang dimilikinya. Pengendalian akses fisik ini
harus didasarkan kepada analisis yang komprehensif serta perencanaan yang baik
untuk mencegah adanya aset informasi yang kekurangan atau kelebihan proteksi
akses fisik.
Pema$aman$ Auditor harus memahami berbagai aset informasi yang ada untuk
melihat berbagai kemungkinan akses fisik yang ada serta memahami kebijakan dan
prosedur yang berhubungan dengan akses fisik terhadap sistem informasi. Auditor
selanjutnya harus mendokumentasikan pemahamannya dan melakukan e#aluasi
resiko a'al atas pengendalian akses fisik.
Pengu&ian Pengendalian$ Auditor selanjutnya melakukan pengujian
pengendalian untuk menilai + Apakah manajemen telah menerapkan kebijakan dan
prosedur pengendalian akses fisik yang baik untuk mencegah pihak-pihak yang
tidak berhak untuk memperoleh akses secara fisik ke berbagai aset informasiseperti terminal, ser#er, perangkat dan instalasi jaringan, dan media backup &
Apakah ruangan-ruangan TI telah dirancang secara 9 lo' profile: & Apakah telah
setiap pengunjung selalu dia'asi atau dika'al selama berada di area TI auditan &
Apakah seluruh pengendalian akses fisik telah dilaksanakan sesuai dengan
kebijakan dan prosedur yang ada &
Pengu&ian Terin'i$ Auditor selanjutnya harus melakukan pengujian terinci untuk
menge#aluasi + Apakah seluruh akses fisik telah dikendalikan dengan baik & Apakah
pernah terjadi masalah dengan sistem informasi yang disebabkan oleh diperolehnya
akses fisik ke aset informasi oleh pihak yang tidak berhak &
. Pengendalian Akses L*gis
)anajemen keamanan TI yang paling kompleks adalah dalam hal pengendalian
akses logis terhadap aset informasi. %engan teknologi yang berkembang saat ini
kemudahan kolaborasi banyak pengguna sistem informasi merupakan suatu
keharusan, dan disamping itu kolaborasi ini harus dikendalikan dengan baik agar
setiap orang hanya dapat mengakses sistem, data dan informasi yang memangdiperbolehkan. Akses logis ini dapat dilakukan baik melalui lokasi yang sama
maupun melalui lokasi yang jauh dengan lokasi fisik aset informasi. Internet telah
memberikan kemampuan konektifitas yang tinggi dan hal ini juga meningkatkan
resiko akses logis oleh pihak yang tidak berhak.
24
-
7/24/2019 Supporting Material Audit Is
25/40
Pema$aman$ Auditor harus memahami teknologi yang digunakan auditan untuk
memahami resiko-resiko akses fisik yang mungkin terjadi terhadap data, aplikasi
dan sistem. Auditor juga sebaiknya memahami berbagai perangkat lunak yang
digunakan auditan, mulai dari sistem operasi, sistem aplikasi serta sistem
manajemen basis data yang ada. %ari pemahaman ini auditor harus melakukan
analisis a'al atas resiko akses logis.
Pengu&ian Pengendalian$ Auditor perlu melakukan pengujian pengendalian
untuk menilai efektifitas dari pengendalian akses logis yang digunakan oleh
auditan, antara lain + Apakah telah digunakan metode identifikasi, autentifikasi
serta otorisasi yang handal & Apakah telah terdapat kebijakan dan prosedur yang
memadai mengenai pengaturan hak akses dari setiap pengguna & Apakah telah
digunakan alat bantu dalam mencegah, mendeteksi dan menanggunglangi terjadi
akses yang ilegal terhadap data, aplikasi dan sistem & Apakah akses logis yang ada
telah sesuai dengan kebijakan dan prosedur yang ditetapkan perusahaan &
Pengu&ian Terin'i$ "elanjutnya auditor perlu melakukan pengujian terinci untuk
menilai + Apakah seluruh resiko akses logis telah dikendalikan dengan baik &
Apakah pernah terjadi masalah dengan sistem informasi yang disebabkan karena
terjadi akses ilegal terhadap data, aplikasi dan sistem & Apakah ada pihak-pihak
yang memiliki hak akses logis yang tidak sesuai dengan kebijakan dan prosedur
yang ada &
/ Pengendalian %*ntinuitas La!anan TI
"alah akibat dari kurang baiknya pengendalian keamanan TI adalah tidak
tersedianya layanan TI sesuai dengan yang semestinya. Untuk mencegah,
mendeteksi, dan menanggulangi ketidaktersediaan layanan TI karena terjadinya
masalah dengan keamanan TI maka auditan sebaiknya menerapkan berbagai
kebijakan dan prosedur untuk dapat menjamin tetap tersedianya layanan TI jika
terjadi berbagai macam bencana keamanan TI, antara lain dengan menyusun
rencana pemulihan TI 0IT Disaster Recovery #lan1, memiliki pusat pemulihan TI 0IT
Disaster Recovery Center1, serta pusat data cadangan 0off)site backup1.
Pema$aman$ Auditor harus memahami berbagai kebijakan dan prosedur auditan
mengenai backupdata, rencana pemulihan serta fasilitas pemulihan layanan TI.
Auditor juga harus memahami kebijakan dan prosedur auditan dalam hal
pemantauan kinerja sistem informasi.
25
-
7/24/2019 Supporting Material Audit Is
26/40
Pengu&ian Pengendalian$ Auditor selanjutnya melakukan pengujian
pengendalian untuk menilai + Apakah praktik-praktik backup yang dilakukan telah
memadai dan sesuai dengan kebijakan dan priosedur yang ada & Apakah auditan
telah rencana dan pusat pemulihan TI yang memadai & Apakah rencana dan pusat
pemulihan TI telah diuji dan dire#isi secara periodik & Apakah seluruh kebijakan dan
prosedur pemulihan layanan TI telah dilaksanakan dengan baik &
Pengu&ian Terin'i$ Auditor selanjutnya harus melakukan pengujian terinci untuk
menge#aluasi + Apakah pernah terjadi kondisi dimana layanan TI tidak tersedia dan
bagaiman dampaknya terhadap kegiatan operasional auditan & Apakah seluruh
resiko-resiko yang mengakibatkan tidak tersedianya layanan TI telah
dipertimbangkan dan dikendalikan dengan baik oleh auditan &
Audit atas Pengendalian Perencanaan TI
PENDAHULUAN
Pada edisi sebelumnya kita telah membahas hubungan antara Audit "istem
Informasi dan Audit 5aporan euangan. %alam artikel tersebut dibahas bah'a
pengendalian sistem informasi dapat digambarkan dalam bentuk lapisan-lapisan
yang saling berhubungan satu dengan yang lain seperti tampak pada =ambar .
Pembahasan akan dilakukan dalam enam bagian sesuai dengan urutan lapisan
pengendalian sistem informasi dari lapisan yang paling luar ke yang paling dalam.
Perlu ditekankan disini bah'a pembahasan akan dilakukan dengan skenario audit
sistem informasi dalam rangka audit atas laporan keuangan.
26
-
7/24/2019 Supporting Material Audit Is
27/40
Gambar 1 Hubungan antara pengendalianpengendalian atas sistem
inf*rmasi
%alam dunia audit sistem informasi dikenal beberapa kriteria pengendalian sistem
informasi yang dapat digunakan menilai kelayakan kondisi pengendalian yang ada.
riteria tersebut mulai dari yang sangat teknis sampai ke lebih umum. !eberapa
kriteria yang biasanya digunakan antara lain adalah + 7O8IT0Control .b$ective for
Information and related Technology1, ITIL0Information Technology Infrastructure
ibrary1 dan I0O-IE7 199::;(
-
7/24/2019 Supporting Material Audit Is
28/40
Gambar ( Hubungan antara aktifitas pengendalian dalam Pengendalian
Peren'anaan TI
"atu hal yang tetap harus diperhatikan oleh auditor bah'a dalam audit sistem
informasi tahapan audit tetap sama dengan audit lainnya dimana auditor harus
memperoleh pemahaman yang cukup kemudian melakukan pengujian pengendalian
dan pengujian terinci. ika pengendalian tersebut tidak ada atau ternyata tidak
efektif maka auditor harus meningkatkan cakupan pengujian terinci untuk dapat
mengambil kesimpulan atas resiko-resiko yang terkait dengan pengendalian
tersebut.
1 ,ana&emen 5esik* TI
TI memang memberikan manfaat yang signifikan bagi perusahaan, namun TI juga
memberikan resiko yang tidak sedikit bagi perusahaan, mulai dari gangguan pada
operasional perusahaan sampai kepada hilangnya kemampuan perusahaan untuk
melanjutkan kegiatannya. ;esiko-resiko TI ini harus dikelola dengan baik dan
sejalan dengan pengelolaan resiko perusahaan secara keseluruhan. !eberapa
langkah audit yang perlu dilakukan auditor adalah +
Pema$aman$ Auditor harus memahami kebijakan dan prosedur manajemen
resiko yang ada diperusahaan termasuk pengelolaan resiko TI. Auditor juga harus
dapat mengidentifikasi resiko-resiko TI yang ada pada perusahaan tersebut mulai
dari proses perencanaan, pengembangan dan operasi TI serta seberapa jauh
dampak dari resiko-resiko tersebut bagi perusahaan, khususnya bagi hal-hal yang
berkaitan dengan laporan keuangan.
Pengu&ian Pengendalian$ Auditor harus melakukan pengujian pengendalian,
seperti + Apakah manajemen resiko TI sesuai dengan kebijakan dan prosedur
28
-
7/24/2019 Supporting Material Audit Is
29/40
manajemen resiko perusahaan & Apakah resiko-resiko TI telah diidentifikasi dan
die#aluasi secara periodik & Apakah telah ditetapkan metode pengedalian yang
akan digunakan atas resiko-resiko TI &
Pengu&ian Terin'i$ Auditor harus melakukan pengujian terinci untuk
mengidentifikasi adanya + resiko-resiko TI yang belum dikendalikan, analisis resikoTI yang sudah tidak sesuai dengan kondisi yang ada, pengendalian resiko TI yang
tidak sejalan dengan kebijakan dan prosedur manajemen resiko perusahaan,
pengendalian resiko TI yang tidak efektif dimana resiko TI telah terjadi dan
mengakibatkan kerugian bagi perusahaan.
( Peren'anaan 0trategis TI
Penggunaan teknologi dalam sistem informasi perusahaan dapat memberikan
dampak yang sangat signifikan bagi perusahaan, bahkan di beberapa jenis
perusahaan teknologi merupakan penggerak utama dari kegiatan operasionalperusahaan selain sumber daya manusia. !agi auditor laporan keuangan sangat
penting untuk melakukan pengujian atas aktifitas perencanaan strategis TI untuk
memastikan bah'a perusahaan tersebut dapat mengelola informasi dengan baik,
khususnya informasi yang berhubungan dengan laporan keuangan. !eberapa
langkah audit yang perlu dilakukan auditor adalah +
Pema$aman$ Auditor harus memahami latar belakang bisnis perusahaan,
memahami kebijakan dan prosedur atas perencanaan perusahaan, memahami
rencana-rencana yang ada mulai dari rencana usaha jangka panjang jangka
pendek, serta rencana strategis TI rencana tahunan TI.
Pengu&ian Pengendalian$ "etelah memahami kebijakan dan prosedur
perencanaan maka auditor harus menge#aluasi kelayakan prosedur tersebut dan
kemudian melakukan pengujian apakah prosedur tersebut telah dilaksanakan
dengan baik. Auditor harus menguji + Apakah perencanaan strategis dan tahunan
TI telah mengikuti prosedur perencanaan perusahaan & Apakah perencanaan
stratgegis TI sejalan dengan rencana strategis perusahaan & Apakah rencana
tahunan TI sejalan dengan rencana strategis TI & Apakah rencana-rencana TI telah
dikomunikasikan dengan baik & Apakah rencana-rencana TI telah die#aluasi secara
periodik & Apakah telah dilakukan re#isi atas rencana-rencana TI akibat perubahanyang telah terjadi &.
Pengu&ian Terin'i$ "etelah melakukan pengujian pengendalian maka auditor
harus melakukan pengujian substantif dengan tujuan untuk menilai resiko-resiko
yang timbul karena tidak adanya atau tidak efektifnya pengendalian dalam
perencanaan strategis TI. Auditor harus menguji beberapa resiko seperti + teknologi
29
-
7/24/2019 Supporting Material Audit Is
30/40
informasi yang tidak dapat memenuhi kebutuhan perusahaan, realiasi aktifitas TI
yang tidak sesuai dengan rencana TI, pelaksanaan rencana jangka pendek TI yang
tidak sesuai dengan rencana jangka panjang TI, kesempatan-kesempatan usaha
dan manfaat TI yang tidak dapat diraih.
+ Peran'angan Arsitektur Inf*rmasi
"alah satu komponen utama dalam menyusun rencana strategis TI adalah adanya
rancangan arsitektur informasi perusahaan. ;ancangan arsitektur informasi adalah
rancangan yang mengatur mengenai model alur informasi dalam perusahaan,
komponen data beserta struktur, definisi, klasifikasi, serta tingkat keamanannya.
!erdasarkan arsitektur informasi ini rencana strategis perusahaan disusun.
!eberapa langkah audit yang perlu dilakukan auditor adalah +
Pema$aman$ Auditor harus memahami bagaimana alur informasi yang ada
dalam perusahaan khususnya informasi yang berhubungan dengan laporankeuangan termasuk komponen-komponen data dalam alur informasi tersebut.
Auditor harus memahami kebijakan dan prosedur perusahaan mengenai
perancangan arsitektur informasi perusahaan.
Pengu&ian Pengendalian$ "etelah memahami rancangan arsitektur informasi
yang ada auditor harus melakukan pengujian seperti + Apakah pengelolaan
rancangan tersebut telah sesuai dengan kebijakan perusahaan & Apakah rancangan
arsitektur informasi telah dikomunikasikan dengan baik kepada pihak terkait &
Apakah telah dilakukan e#aluasi secara periodik atas rancangan arsitektur informasi
& dan apakah re#isi atas rancangan arsitektur informasi telah diotorisasi dandidokumentasikan dengan baik &.
Pengu&ian Terin'i$ "elanjutnya auditor harus melakukan pengujian terinci
mengenai kelayakan dan kelengkapan rancangan arsitektur informasi dan
mengidentifikasi adanya inkonsistensi dengan rancangan arsitektur informasi yang
ada.
. Penentuan Ara$ Tekn*l*gi
Teknologi informasi merupakan salah satu teknologi yang berkembang dengan
sangat pesat serta memiliki alternatif solusi yang sangat beragam dipasaran.
Perusahaan harus menentukan arah teknologi yang akan digunakan serta
merencanakan dengan baik tahapan penggunaan teknologi tersebut, termasuk
dalam rangka mengikuti perkembangan teknologi yang ada. Penentuan arah
3&
-
7/24/2019 Supporting Material Audit Is
31/40
teknologi yang digunakan perusahaan biasanya dibahas dalam rencana strategis TI
khususnya dalam rencana pengembangan aplikasi dan infrastruktur TI perusahaan
yang kemudian dijabarkan lebih teknis ke dalam standar-standar TI yang
ditetapkan perusahaan. !eberapa langkah audit yang perlu dilakukan auditor
adalah +
Pema$aman$ Auditor harus memahami arsitektur teknologi yang digunakan oleh
perusahaan termasuk sistem aplikasi, jaringan data, serta perangkat keras yang
ada. Auditor juga harus memahami kebijakan dan prosedur yang ada mengenai
penentuan arah teknologi yang digunakan perusahaan, termasuk standarr-standar
TI yang ada.
Pengu&ian Pengendalian$ "etelah memahami arsitektur teknologi yang
digunakan perusahaan auditor selanjutnya harus melakukan pengujian
pengendalian, antara lain dengan menguji + Apakah penentuan arah teknologi
perusahaan sesuai dengan kebijakan dan prosedur perusahaan & Apakah arahteknologi perusahaan telah didokumentasikan dan dikomunikasikan dengan baik &
Apakah perubahan standar-standar TI telah sesuai dengan prosedur &
Pengu&ian Terin'i$ %alam melakukan pengujian terinci atas pengendalian arah
teknologi auditor harus menganalisis resiko-resiko dimana terdapat teknologi yang
tidak sesuai dengan arah teknologi perusahaan, teknologi yang digunakan tidak
dapat memenuhi kebutuhan perusahaan atau sudah ketinggalan jaman dan tidak
kompetitif lagi, penetapan standar-standar yang tidak sesuai dengan arah teknologi
perusahaan dan pelaksanaan pengembangan yang tidak sesuai dengan arah
teknologi perusahaan.
/ Pengel*laan In2estasi TI
Pemanfaatan teknologi dalam sistem informasi perusahaan dapat melibatkan biaya
yang besar dan sangat mempengaruhi ke'ajaran biaya dan akti#a dalam laporan
keuangan. %alam mengelola in#estasi dan biaya operasi TI perusahaan harus
menerapkan berbagai kebijakan dan prosedur untuk memastikan bah'a biaya yang
telah dikeluarkan dapat memberikan manfaat sesuai dengan yang diharapkan.
!eberapa langkah audit yang perlu dilakukan auditor adalah +
Pema$aman$ Auditor harus memahami biaya-biaya TI yang telah dikeluarkan
perusahaan baik itu in#estasi TI maupun biaya operasi TI, serta kebijakan dan
prosedur yang ada mengenai pengelolaan biaya in#estasi dan biaya operasi TI.
Pengu&ian Pengendalian$ "elanjutnya auditor perlu melakukan menguji +
Apakah penetapan anggaran TI serta pengeluaran biaya-biaya TI telah sesuai
31
-
7/24/2019 Supporting Material Audit Is
32/40
dengan kebijakan dan prosedur perusahaan & Apakah anggaran biaya TI telah
dijustifikasi berdasarkan analisis biaya dan manfaat & Apakah realisasi biaya TI
serta manfaat yang diperoleh telah dimonitor dengan baik &
Pengu&ian Terin'i$ %alam melakukan pengujian terinci atas pengelolaan
in#estasi TI auditor harus menganalisis beberapa resiko seperti + anggaran TI yangtidak sejalan dengan rencana perusahaan, realisasi biaya TI yang melebihi
anggaran, perubahan anggaran TI yang tidak diotorisasi, serta tidak tercatatnya
realisasi biaya dan manfaat TI.
32
-
7/24/2019 Supporting Material Audit Is
33/40
Audit (iste# In)"r#asi dan Audit atas *ap"ran
'euangan
%asus 1+ Pada sebuah rapat pembahasan laporan auditor atas laporan keuangan
suatu bank terjadi diskusi antara Tim Auditor dan %e'an %ireksi. %e'an %ireksi
menanyakan kepada Auditor mengenai satu temuan kelemahan pengendalian
intern dalam laporan audit, yaitu mengenai masih lemahnya pass'ord pada sistem
komputerisasi di bank tersebut. Auditor menyebutkan bah'a pass'ord yang
digunakan hanya enam karakter dan audit menyarankan agar ditingkatkan menjadi
delapan karakter karena menurut auditor pass'ord dengan delapan karakter akan
lebih aman dibandingkan enam karakter. %e'an %ireksi mengajukan beberapa
pertanyaan + Apa hubungannya antara pengendalian sistem informasi dengan opiniauditor atas laporan keuangan & %an apakah kelemahan pengendalian sistem
informasi akan mempengaruhi opini atas laporan keuangan &
%asus ( ;omite Audit dari sebuah bank mengadakan diskusi dengan Tim Auditor
dari kantor akuntan publik untuk membahas lingkup audit yang akan dilakukan atas
laporan keuangan bank tersebut. omite Audit menyampaikan bah'a dari beberapa
laporan auditor intern diketahui bah'a terdapat beberapa kelemahan signifikan
dalam aplikasi perhitungan bunga di bank tersebut. omite Audit mempertanyakan
apakah Tim Auditor akan melakukan perluasan pengujian terhadap aplikasi
tersebut. Tim Auditor memberikan komentar bah'a mereka merasa tidak perlumemperluas pengujian terhadap aplikasi tersebut karena audit yang mereka
lakukan adalah audit laporan keuangan dan bukan audit khusus atas sistem
informasi sehingga pengujian tambahan atas aplikasi tersebut tidak diperlukan dan
diluar lingkup audit.
edua kasus diatas mungkin pernah kita hadapi sebagai auditor dan tidak mudah
bagi kita untuk menyelesaikan kedua kasus tersebut dengan baik. Pembahasan kita
kali ini akan mencoba melihat hubungan antara audit sistem informasi dan audit
atas laporan keuangan. "ebagai ilustrasi a'al mari kita lihat terlebih dahulu
bagaimana pada umumnya laporan keuangan dihasilkan oleh aplikasi-aplikasi yangada dalam sistem informasi yang ada di berbagai perusahaan 0=ambar 1.
33
-
7/24/2019 Supporting Material Audit Is
34/40
Gambar 1 Ilustrasi sistem inf*rmasi perusa$aan
%ari ilustrasi tersebut kita dapat melihat bah'a laporan keuangan dihasilkan oleh
suatu aplikasi yang memperoleh masukan dari aplikasi-aplikasi lain, baik itu aplikasi
pendukung maupun aplikasi bisnis. Angka-angka yang muncul dalam laporan
keuangan merupakan akumulasi dari berbagai transaksi yang dilakukan melalui
aplikasi-aplikasi lainnya.
"taf bagian penjualan hanya mengakses aplikasi penjualan untuk mencatat
pesanan dari pelanggan yang kemudian akan mengakibatkan terjadinya transaksi
penjualan yang dicatat di aplikasi akuntansi keuangan, serta di aplikasi akuntansi
manajemen tentunya. !egitu juga halnya dengan berbagai transaksi-transaksi
lainnya. Pada sistem informasi yang ada sekarang, dimana seluruh aplikasi tersebut
sudah terintegrasi dan memiliki interkoneksi yang sangat baik, hampir dapat
dikatakan tidak ada lagi entri data akuntansi langsung dari aplikasi akuntansi,
hampir seluruh data akuntansi dientri langsung dari aplikasi di sisi pengguna, baik
aplikasi pendukung maupun aplikasi bisnis. *al ini tentunya akan mempercepat
proses penyusunan keuangan maupun laporan manajemen. %i lain pihak, kondisi
ini juga mengakibatkan tersebarluasnya sumber kesalahan pencatatan, dari yang
tadinya terpusat di unit akuntansi, kini terdistribusi ke seluruh jajaran operasional
perusahaan. "emakin kompleks aplikasi yang ada dibelakang aplikasi akuntansi
34
-
7/24/2019 Supporting Material Audit Is
35/40
maka resiko akan terjadinya salah saji pada laporan keuangan akan semakin tinggi.
Tidak semua perusahaan mampu mengimplementasikan aplikasi yang terintegrasi,
kebanyakan justru menggunakan aplikasi yang berbeda yang dikoneksikan melalui
mediasi alat bantu yang sering disebut middle'are, yang tugasnya mengambil data
dari berbagai aplikasi dan mengirimkannya ke aplikasi lain.
%alam "tandar Profesional Akuntan Publik dari IAI telah dijabarkan bagaiman
auditor harus melakukan auditnya dilingkungan sistem informasi komputer 0"I1,
khususnya pada P0A N* /9 30A 0eksi ++/4mengenai Auditing di Lingkungan
0istem Inf*rmasi %*mputer. %alam standar ini telah dengan jelas disebutkan
bah'a auditor harus mempertimbangkan bagaimana lingkungan "I berdampak
terhadap audit. Tujuan dan lingkup audit secara keseluruhan tidak mengalami
perubahan dalam lingkungan "I. 6amun, penggunaan suatu komputer mengubah
pengolahan, penyimpanan, dan komunikasi informasi keuangan dan dapat
berdampak terhadap sistem akuntasi dan sistem pengendalian intern.
"elama melakukan re#ie' dan e#aluasi pendahuluan terhadap pengendalian intern,
auditor harus mendapatkan pengetahuan tentang sistem akuntansi untuk
memperoleh pemahaman atas lingkungan pengendalian secara menyeluruh dan
aliran transaksi. ika auditor merencanakan akan meletakan kepercayaan atas
pengendalian intern dalam pelaksanaan auditnya, ia harus mempertimbangkan
pengendalian manual dan komputer yang berdampak terhadap fungsi "I
0pengendalian umum "I1 dan pengendalian khusus atas aplikasi akuntansi
tertentu 0pengendalian aplikasi "I1. "ecara sederhana hubungan antara
pengendalian umum, aplikasi pengendalian aplikasi dan laporan keuangan dapat
kita lihat pada =ambar /.
35
-
7/24/2019 Supporting Material Audit Is
36/40
Gambar ( Hubungan antara pengendalian umum) pengendalian aplikasi
dan lap*ran keuangan
%ari ilustrasi sederhana tersebut kita dapat memahami mengapa standar audit
mengharuskan auditor untuk mempertimbangkan dampak lingkungan "I terhadap
laporan keuangan. Pengendalian umum dalam "I merupakan lapisan yang saling
berpengaruh, dan akhirnya akan mempengaruhi pengendalian aplikasi. %ari
ilustrasi sederhana ini juga mungkin kita akan dengan mudah dapat memberikanpenjelasan untuk menja'ab kedua kasus diatas.
!agi manajemen, sebaiknya dapat memahami bah'a dalam melakukan audit atas
laporan keuangan auditor juga harus melakukan e#aluasi atas pengendalian umum
"I dan pengendalian aplikasi yang berpengaruh terhadap laporan keuangan. !agi
auditor sebaiknya juga dapat melaksanakan auditnya sesuai dengan standar yang
telah ditetapkan, dimana dalam melakukan audit auditor harus memperhatikan
lingkungan "I yang dapat menyebabkan kemungkinan terjadinya salah saji yang
material pada laporan keuangan.
*al ini semua pada a'alnya hanya diatur oleh standar audit, baik "tandar
Profesional Akuntan Publik 0"PAP1 maupun "tandard Audit Pemerintahan 0"AP1.
ini tanggungja'ab manajemen atas pengendalian teknologi informasi serta
ke'ajiban auditor untuk menge#aluasi pengendalian intern di lingkungan sistem
informasi telah semakin diperkuat dengan adanya 0arbanesO=le! A't (
-
7/24/2019 Supporting Material Audit Is
37/40
dikeluarkan dalam rangka mengembalikan kepercayaan in#estor terhadap laporan
keuangan perusahaan publik, baik itu kepercayaan terhadap asersi manajemennya
dalam laporan keuangan maupun kepercayaan atas atestasi auditor dalam laporan
auditnya. Indonesia sebagai negara yang sudah memiliki pasar modal sudah
sebaiknya menerapkan peraturan yang sejenis untuk meningkatkan kepercayaan
publik.
Pemanfaatan Teknologi Informasi dalam Audit
Pemanfaatan Teknologi Informasi 0TI1 telah merambah ke segala bidang, dari
perusahaan internasional sampai kepada perusahaan kecil dan menengah.!agaimana dengan auditor & Apa dan bagaimana TI dapat dimanfaatkan oleh
auditor &
Pembahasan mengenai pemanfaatan TI dalam audit akan kita bagi ke dalam dua
kelompok utama yaitu pemanfaatan TI dalam manajemen audit atau "istemInformasi )anajemen Audit dan pemanfaatan TI untuk mempermudah pelaksanaan
prosedur audit atau Teknik Audit !erbantuan omputer yang akan dibahas padaedisi selanjutnya. )anajemen audit perlu dilakukan untuk menjamin kesesuaian
pelaksanaan audit dengan standar audit dan peraturan yang ada serta untuk
menjamin agar audit dapat dilaksanakan secara efektif dan efisien. !anyak
komponen dalam mengelola suatu audit yang dapat kita tingkatkan efektifitas danefisiensinya dengan memanfaatkan TI.
!erikut ini adalah beberapan contoh pemanfaatan TI dalam manajemen audit +
Analisis ;esiko
7#aluasi Pengendalian Intern
Penjad'alan Audit
)anajemen "%) Audit
;eferensi Audit
)onitoring Pelaksanaan Audit
)onitoring *asil Audit
Pendidikan dan Pelatihan Auditor
37
-
7/24/2019 Supporting Material Audit Is
38/40
Analisis 5esik*
%alam setiap perencanaan audit tentunya akan melibatkan proses analisis resiko
yang akan membantu auditor untuk menentukan prioritas audit dalam menyusun
rencana auditnya. Proses perencanaan resiko ini biasanya dimulai dari proses
identifikasi resiko dan faktor-faktor terkait serta proses penilaian tingkatprobabilitas terjadinya akibat dari resiko tersebut serta kerugian potensial yang
akan dialami. %alam melakukan analisis resiko auditor dapat menggunakan
berbagai solusi TI yang ada, mulai dari spreadsheet atau database yang sederhanasampai pemanfaatan suatu eBpert system yang terintegrasi dengan sistem
informasi manajemen audit. %engan memanfaatkan TI tentunya akan
meningkatkan kemudahan serta untuk menjamin standar kualitas dan pelaksanaan
analisis resiko.
E2aluasi Pengendalian Intern
Proses selanjutnya dalam tahap perencanaan audit adalah e#aluasi atas
pengendalian intern yang dimiliki klien. Audit ekstern biasanya melakukan e#aluasi
ini menggunakan suatu kuesioner pengendalian intern yang berupa es86oDuestion. )etode lain untuk melakukan e#aluasi atas pengendalian intern adalah
melalui Control "elf Assessment 0C"A1. )etode ini memerlukan keterlibatan aktif
dari klien dan auditor hanya berperan sebagai fasilitator. "aat ini cukup banyak
solusi TI yang dapat kita manfaatkan untuk melakukan e#aluasi pengendalianintern. "olusi yang dita'arkanpun beragam, mulai dari spreadsheet kuesioner
pengendalian intern yang harus diisi oleh auditor sampai dengan dengan suatu
aplikasi untuk kolaborasi bersama antara klien dan auditor dalam menge#aluasi
pengendalian intern. ebanyakan dari solusi yang ada akan sangat membantu
dalam memandu auditor dan klien untuk melaksanakan e#aluasi atas pengendalianintern dengan baik.
Pen&ad>alan Audit
!erdasarkan hasil analisis a'al atas resiko dan pengendalian intern auditorkemudian akan menyusun rencana auditnya. Penyusunan rencana audit ini dapat
berupa perencanaan audit untuk satu periode tertentu atau perencanaan untuk
setiap audit itu sendiri. %alam menyusun suatu rencana audit biasanya auditor
harus mempertimbangkan sumber daya audit yang dimilikinya dibandingkandengan kebutuhan auditnya. ika jumlah kebutuhan audit dan sumber daya audit
yang harus dikelola oleh auditor cukup banyak maka proses ini tentunya akan
cukup menyulitkan jika dilakukan dengan cara manual tanpa bantuan TI. "aat ini
sudah cukup banyak solusi TI yang dapat dimanfaatkan untuk melakukanperencanaan audit, baik yang khusus dirancang untuk kegiatan audit maupun yang
dirancang untuk penjad'alan kegiatan secara umum.
,ana&emen 0D, Audit
38
-
7/24/2019 Supporting Material Audit Is
39/40
%alam mengelola audit kita perlu melihat auditor sebagai suatu sumber daya yang
perlu dikelola dengan baik, mulai dari rekrutmen sampai dengan terminasi. %enganmeningkatnya jumlah auditor kita serta berkembang tingkat keahliannya mereka
maka kita perlu memanfaatkan solusi TI dalam mengelola "%) audit, terutama
dalam mengelola keahlian dan kemampuan yang dimiliki auditor untuk menjamin
bah'a keahlian tersebut tetap dapat dipertahankan dan menjadi asetperusahaan. Terdapat cukup banyak solusi TI yang tersedia dapat membantu kita
dalam mengelola "%) audit yang ada. !eberapa fitur yang sangat bermanfaat dari
solusi yang ada adalah terdapatnya database mengenai keahlian auditor yang
sangat membantu kita dalam proses pengalokasian tugas audit berdasarkankeahlian. %atabase ini juga dapat membantu kita dalam merencanakan program
pendidikan profesi berkelanjutan 0continuing professional education1 bagi para
auditor.
5eferensi Audit
Untuk dapat merencanakan dan melaksanakan suatu audit yang dapat memberikannilai lebih bagi klien maka auditor harus referensi yang cukup mengenai audit yang
akan dilaksanakan. !eberapa hal penting yang perlu dijadikan referensi bagi auditor
adalah mengenai resiko dan international best practices yang terkait dengan bidangindustri klien, serta referensi mengenai penugasan audit yang sejenis yang pernah
dilakukan oleh auditor sendiri maupun oleh pihak lain. !anyak solusi TI yang telah
dapat digunakan oleh auditor untuk menyusun suatu perpustakaan referensi audit
secara elektronis. %engan memiliki solusi TI untuk menyimpan referensi audit iniauditor akan mampu untuk meningkatkan keunggulan kompetitifnya dan akan
memberikan suatu nilai lebih bagi klien.
,*nit*ring Pelaksanaan Audit
Pelaksanaan suatu audit harus dimonitor untuk menjamin kesesuaian denganrencana dan jad'al audit serta mengantisipasi hal-hal penting yang muncul selama
audit. Auditor biasanya harus memonitor sejumlah audit yang pelaksanaannya
bersamaan dan hal ini akan cukup menyulitkan jika dilakukan secara manual.
%engan bantuan solusi TI yang ada, auditor dapat melakukan monitoringpelaksanaan audit dengan efisien dan terstruktur. Auditor akan dapat lebih
memastikan bah'a suatu audit akan dapat memenuhi jad'al yang direncanakan.
Pembagian tugas audit untuk masing masing auditor termasuk pelaporan kemajuan
audit juga dapat dikelola lebih baik dengan memanfaatkan TI. "olusi TI untuk
monitoring audit ada yang bersifat terpusat dan terdistribusi serta cukup ber#ariasidari mulai yang paling sederhana dimana data monitoring dimasukkin di pusat
sampai kepada yang cukup lengkap dimana data kemajuan audit dikirim langsung
oleh auditor di lapangan ke kantor pusat untuk kemudian dikonsolidasi. Auditordapat memonitor pelaksanaan audit berdasarkan berbagai pengelompokkan seperti
jenis audit, lokasi audit, auditor, atau berdasar periode 'aktu tertentu. %engan
menggunakan solusi TI ini auditor dapat dengan mudah mengatur dan
39
-
7/24/2019 Supporting Material Audit Is
40/40
menyesuaikan alokasi sumber daya audit dengan baik untuk meningkatkan efisiensi
pelaksanaan audit.
,*nit*ring Hasil Audit
*asil dari suatu audit biasanya berupa laporan opini dan daftar temuan. Temuan-
temuan audit biasanya harus dimonitor kemajuan tindak lanjut yang dilakukan oleh
klien berdasarkan rekomendasi auditor. "olusi TI yang tersedia sangat membantuauditor dalam melaksanakan monitor atas hasil auditnya. Auditor akan dapat
melihat sejauh mana klien mengimplementasikan rekomendasi yang diberikan oleh
auditor. Informasi ini tentunya juga akan bermanfaat bagi auditor dalam
merencanakan audit lanjutan atas klien yang sama karena informasi mengenai hasilaudit sebelumnya serta kemajuan tindak lanjutnya dapat diperoleh dengan
mudah. "olusi TI yang tersedia untuk monitoring hasil audit biasanya merupakan
bagian dari solusi TI untuk monitoring pelaksanaan audit. Auditor dapat
memanfaatkan aplikasi sederhana untuk memonitor hasil auditnya. "olusi TI yang
ada juga dapat mendukung kolaborasi langsung dari klien dimana klien dapatlangsung memasukan informasi mengenai tindak lanjut yang mereka lakukan ke
dalam aplikasi yang dimiliki auditor.
Pendidikan " Pelati$an Audit*r
"etiap auditor biasanya diharuskan untuk mengikuti suatu program pelatihan
profesi lanjutan 0PP51 selama beberapa jam setiap tahunnya. *al ini diharuskan
untuk mempertahankan dan mengembangkan kemampuan auditor. %engan
memanfaatkan solusi TI yang ada maka pendidikan dan pelatihan auditor kini dapatdilaksanakan dengan lebih efisien dan tidak mengganggu 'aktu kerjanya. !anyak
solusi TI yang mena'arkan pelatihan berbasis TI dimana auditor dapat mengatur
sendiri jad'alnya untuk membaca materi dan mengerjakan soal-soal latihan yang
sudah diintegrasikan dalam suatu aplikasi yang dapat dipasang dikomputer auditor.!eberapa solusi TI juga men'arkan ujian langsung dari komputer auditor dan
auditor hanya cukup mengirimkan hasilnya secara elektronis kepada penyelenggara
ujian. %engan memanfaatkan solusi TI untuk melakukan pendidikan dan pelatihan
bagi auditor diharapkan dapat dicapai PP5 yang berkesinambungan dengan biayayang lebih ekonomis. Perusahaan juga dapat mengembangkan sendiri program
pendidikan dan pelatihan auditornya dan mengintegrasikannya dalam suatu solusi
TI untuk menjamin keseragaman metode pelatihan serta kesesuaian keahlian untuk
suatu tingkatan jabatan auditor.
top related