BAB 4 Bagaimana Audit TI/SI Dilakukan ?

Latar Belakang Informasi merupakan salah satu sumber daya strategis suatu organisasi, oleh karena itu, untuk mendukung tercapainya visi dan misi suatu organisasi, pengelolaan informasi menjadi salah satu kunci sukses. Sistem informasi merupakan salah satu sub sistem organisasi untuk mengelola informasi. Saat ini sistem informasi dioperasikan oleh hampir seluruh sumber daya manusia suatu organisasi sehingga tidak dapat dipisahkan dengan operasi dan kehidupan organisasi. Teknologi informasi merupakan komponen penting dari sistem informasi, selain data/informasi, sumber daya manusia dan organisasi. Teknologi informasi yang dimaksud adalah teknologi telematika, telekomunikasi dan informatika, yang mencakup teknologi komputer (perangkat keras, perangkat lunak) dan didukung dengan teknologi telekomunikasi, khususnya komunikasi data digital sebagai infrastruktur dari jaringan komputer. Perlu teknik untuk mengendalikan dan memastikan bahwa sistem informasi sudah sesuai dengan tujuan organisasi. Audit sitem informasi merupakan suatu cara untuk menilai sejauh mana suatu sistem informasi telah mencapai tujuan organisasi. Penelitian ini ditujukan untuk mencari model untuk mengaudit sistem informasi berbasis kendali. Model yang dikembangkan mencakup: (1) konsep struktur/ kerangka dan prosedur pelaksanaan audit, (2) materi/ isi yang dijadikan sebagai tolok ukur untuk penilaian dan (3) perangkat lunak bantu yang memudahkan dokumentasi dan pengolahan hasil audit. Pada makalah ini akan diuraikan konsep struktur/ kerangka dan prosedur audit sistem informasi saja, dua bagian lainnya akan disampaikan pada makalah terpisah. 2. Audit Sistem Informasi Berbasis AUDIT SISTEM INFORMASI Sistem informasi adalah sekumpulan komponen yang saling berhubungan yang mengumpulkan (collect/ retrieve), memproses, menyimpan dan mendistribusikan

informasi untuk mendukung pembuatan keputusan dan pengendalian suatu organisasi. Informasi adalah data yang telah diolah menjadi bentuk yang bermakna dan bermanfaat bagi pemakai. Data adalah fakta yang menyatakan suatu kejadian atau lingkungan fisik yang belum dikelola menjadi bentuk yang bermakna dan bermanfaat bagi manusia. Audit sistem informasi didefinisikan sebagai proses pengumpulan dan evaluasi fakta/ evidence untuk menentukan apakah suatu sistem informasi telah melindungi aset, menjaga integritas data, dan memungkinkan tujuan organisasi tercapai secara efektif dengan menggunakan sumber daya secara efisien. Dalam pelaksanaan audit digunakan etika profesi yang dirumuskan oleh organisasi profesi Information System Audit and Control Association (ISACA) Dalam melaksanakan audit faktor-faktor berikut harus diperhatikan: 1. Dibutuhkan informasi yang dapat diukur dan sejumlah kriteria (standar) yang dapat digunakan sebagai panduan untuk mengevaluasi informasi tersebut, 2. Penetapan entitas ekonomi dan periode waktu yang diaudit harus jelas untuk menentukan lingkup tanggungjawab auditor, 3. Bahan bukti harus diperoleh dalam jumlah dan kualitas yang cukup untuk memenuhi tujuan audit, 4. Kemampuan auditor memahami kriteria yang digunakan serta sikap independen dalam mengumpulkan bahan bukti yang diperlukan untuk mendukung kesimpulan yang akan diambilnya.

Audit TI merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien (Weber, 2000). Audit TI sendiri merupakan gabungan dari berbagai macam ilmu, antara lain: Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science.

Audit Sistem Informasi merupakan pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien. Audit Sistem Informasi sendiri merupakan gabungan dari berbagai macam ilmu, antara lain: Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science. Pada dasarnya, Audit Sistem Informasi dapat dibedakan menjadi dua kategori, yaitu Pengendalian Aplikasi (Application Control) dan Pengendalian Umum (General Control). Tujuan pengendalian umum lebih menjamin integritas data yang terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas program atau aplikasi yang digunakan untuk melakukan pemrosesan data. Sementara, tujuan pengendalian aplikasi dimaksudkan untuk memastikan bahwa data di-input secara benar ke dalam aplikasi, diproses secara benar, dan terdapat pengendalian yang memadai atas output yang dihasilkan. Dalam audit terhadap aplikasi, biasanya, pemeriksaan atas pengendalian umum juga dilakukan mengingat pengendalian umum memiliki kontribusi terhadap efektifitas atas pengendalian-pengendalian aplikasi. Keuntungan adanya audit antara lain : menilai keefektifan aktivitas aktifitas dokumentasi dalam organisasi, memonitor kesesuaian dengan kebijakan, sistem, prosedur dan undangundang perusahaan, mengukur tingkat efektifitas dari sistem, mengidentifikasi kelemahan di sistem yang mungkin mengakibatkan ketidaksesuaian di masa datang, menyediakan informasi untuk proses peningkatan, meningkatkan saling memahami antar departemen dan antar individu, melaporkan manajemen. Informasi audit harus disimpan dan dijaga sehingga sebuah aksi dapat ditelusuri. Data audit harus dijaga dari modifikasi dan perusakan dari pihak yang tidak bertanggung jawab. hasil tinjauan dan tindakan berdasarkan resiko ke

METHODOLOGI AUDIT SISTEM INFORMASI Dalam pelaksanaanya, auditor TI mengumpulkan bukti-bukti yang memadai melalui berbagai teknik termasuk survey, wawancara, observasi dan review dokumentasi. Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya mencakup pula bukti elektronis. Biasanya, auditor TI menerapkan teknik audit berbantuan computer, disebut juga dengan CAAT (Computer Aided Auditing Technique). Teknik ini digunakan untuk menganalisa data, misalnya saja data transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain. Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem komputer berjalan semestinya. Tujuh langkah proses audit:

1. Implementasikan sebuah strategi audit berbasis manajemen risiko serta

control practice yang dapat disepakati semua pihak. 2. Tetapkan langkah-langkah audit yang rinci. 3. Gunakan 4. Buatlah fakta/bahan laporan bukti yang cukup, handal, relevan, fakta serta yang bermanfaat. beserta kesimpulannya berdasarkan dikumpulkan. 5. Telaah apakah tujuan audit tercapai. 6. Sampaikan laporan kepada pihak yang berkepentingan. 7. Pastikan bahwa organisasi mengimplementasikan managemen risiko serta control practice. Sebelum menjalankan proses audit, tentu saja proses audit harus direncanakan terlebih dahulu. Audit planning (perencanaan audit) harus secara jelas menerangkan tujuan audit, kewenangan auditor, adanya persetujuan managemen tinggi, dan metode audit. Metodologi audit:

1. 2.

Audit subject. Menentukan apa yang akan diaudit. Audit objective. Menentukan tujuan dari audit.

3. 4.

Audit Scope. Menentukan sistem, fungsi, dan bagian dari organisasi yang secara spesifik/khusus akan diaudit. Preaudit Planning. Mengidentifikasi sumber daya dan SDM yang dibutuhkan, menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit, menentukan lokasi audit.

5.

Audit procedures and steps for data gathering. Menentukan cara melakukan audit untuk memeriksa dan menguji kendali, menentukan siapa yang akan diwawancara.

6. 7.

Evaluasi hasil pengujian dan pemeriksaan. Spesifik pada tiap organisasi. Prosedur komunikasi dengan pihak manajemen. Spesifik pada tiap organisasi. Audit Report Preparation. Menentukan bagaimana cara memeriksa hasil audit, yaitu evaluasi kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari organisasi yang diaudit. Struktur dan isi laporan audit tidak baku, tapi umumnya terdiri atas: o o o o Pendahuluan. Tujuan, ruang lingkup, lamanya audit, Kesimpulan umum dari auditor. Hasil audit. Apa yang ditemukan dalam audit, apakah Rekomendasi. Tanggapan dari manajemen (bila perlu). Exit interview. Interview terakhir antara auditor dengan prosedur audit.

8.

prosedur dan kontrol layak atau tidak

pihak manajemen untuk membicarakan temuan-temuan dan rekomendasi tindak lanjut. Sekaligus meyakinkan tim manajemen bahwa hasil audit sahih KATEGORI AUDIT TI Pada dasarnya, Audit TI dapat dibedakan menjadi dua kategori, yaitu Pengendalian Aplikasi (Application Control) dan Pengendalian Umum (General Control). Tujuan pengendalian umum lebih menjamin integritas data yang terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas program atau aplikasi yang digunakan untuk melakukan pemrosesan data. Sementara,

tujuan pengendalian aplikasi dimaksudkan untuk memastikan bahwa data diinput secara benar ke dalam aplikasi, diproses secara benar, dan terdapat pengendalian yang memadai atas output yang dihasilkan. Dalam audit terhadap aplikasi, biasanya, pemeriksaan atas pengendalian umum juga dilakukan mengingat pengendalian umum memiliki kontribusi terhadap efektifitas atas pengendalian-pengendalian aplikasi. Dalam praktiknya, tahapan-tahapan dalam audit TI tidak berbeda dengan audit pada umumnya. Tahapan perencanaan, sebagai suatu pendahuluan, mutlak perlu dilakukan agar auditor mengenal benar objek yang akan diperiksa. Di samping, tentunya, auditor dapat memastikan bahwa qualified resources sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktik-praktik terbaik ( best practices ). Tahapan perencanaan ini akan menghasilkan suatu program audit yang didesain sedemikian rupa, sehingga pelaksanaannya akan berjalan efektif dan efisien, dan dilakukan oleh orang-orang yang kompeten, serta dapat diselesaikan dalam waktu sesuai yang disepakati. Dalam pelaksanaannya, auditor TI mengumpulkan bukti-bukti yang memadai melalui berbagai teknik termasuk survei, interview, observasi dan review dokumentasi (termasuk review source-code bila diperlukan). Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya mencakup pula bukti elektronis (data dalam bentuk file softcopy). Biasanya, auditor TI menerapkan teknik audit berbantuan komputer, disebut juga dengan CAAT (Computer Aided Auditing Technique). Teknik ini digunakan untuk menganalisa data, misalnya saja data transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain. Sesuai dengan standar auditing ISACA (Information Systems Audit and Control Association), selain melakukan pekerjaan lapangan, auditor juga harus menyusun laporan yang mencakup tujuan pemeriksaan, sifat dan kedalaman pemeriksaan yang dilakukan. Laporan ini juga harus menyebutkan organisasi yang diperiksa, pihak pengguna laporan yang dituju dan batasan-batasan distribusi laporan. Laporan juga harus memasukkan temuan, kesimpulan, rekomendasi sebagaimana layaknya laporan audit pada umumnya.

Model audit sistem informasi berbasis kendali ini didasarkan pada suatu model fungsional sistem informasi, di mana sistem informasi dibagi dalam 2 fungsi [2], yaitu: fungsi manajemen dan fungsi aplikasi, di mana fungsi manajemen membungkus fungsi-fungsi aplikasi (Gambar 4.1)

Informasi Data Prosedur (BD/NW) Interoperabilitas (HW/SW) Pemroses Aplikasi Dokumen Sistem Informasi

Gambar 4.1. Lapisan Fungsional Sistem Informasi

LANGKAH DASAR AUDIT SI Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem komputer berjalan semestinya. Tujuh langkah proses audit:

1) Implementasikan sebuah strategi audit berbasis manajemen risiko serta

control practice yang dapat disepakati semua pihak. 2) Tetapkan langkah-langkah audit yang rinci. 3) Gunakan 4) Buatlah fakta/bahan laporan bukti yang cukup, handal, relevan, fakta serta yang bermanfaat. beserta kesimpulannya berdasarkan dikumpulkan. 5) Telaah apakah tujuan audit tercapai. 6) Sampaikan laporan kepada pihak yang berkepentingan. 7) Pastikan bahwa organisasi mengimplementasikan managemen risiko serta control practice. Sebelum menjalankan proses audit, tentu saja proses audit harus direncanakan terlebih dahulu. Audit planning (perencanaan audit) harus secara jelas menerangkan tujuan audit, kewenangan auditor, adanya persetujuan managemen tinggi, dan metode audit. Metodologi audit:

1) 2) 3) 4)

Audit subject. Menentukan apa yang akan diaudit. Audit objective. Menentukan tujuan dari audit. Audit Scope. Menentukan sistem, fungsi, dan bagian dari Preaudit Planning. Mengidentifikasi sumber daya dan SDM yang

organisasi yang secara spesifik/khusus akan diaudit. dibutuhkan, menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit, menentukan lokasi audit.

5)

Audit procedures and steps for data gathering. Menentukan cara

melakukan audit untuk memeriksa dan menguji kendali, menentukan siapa yang akan diwawancara. 6) Evaluasi hasil pengujian dan pemeriksaan. Spesifik pada tiap organisasi.

7)

Prosedur komunikasi dengan pihak manajemen. Spesifik pada Audit Report Preparation. Menentukan bagaimana cara

tiap organisasi.

8)

memeriksa hasil audit, yaitu evaluasi kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari organisasi yang diaudit. Struktur dan isi laporan audit tidak baku, tapi umumnya terdiri atas: o o o o Pendahuluan. Tujuan, ruang lingkup, lamanya audit, Kesimpulan umum dari auditor. Hasil audit. Apa yang ditemukan dalam audit, apakah Rekomendasi. Tanggapan dari manajemen (bila perlu). Exit interview. Interview terakhir antara auditor dengan prosedur audit.

prosedur dan kontrol layak atau tidak

pihak manajemen untuk membicarakan temuan-temuan dan rekomendasi tindak lanjut. Sekaligus meyakinkan tim manajemen bahwa hasil audit sahih

PERKEMBANGAN PENDEKATAN AUDIT SISTEM INFORMASI

Perkembangan teknologi informasi, perangkat lunak, sistem jaringan dan komunikasi dan otomatisasi dalam pengolahan data berdampak perkembangan terhadap pendekatan audit yang dilakukan, tiga pendekatan yang dilakukan oleh auditor dalam memeriksa laporan keuangan klien yang telah mempergunakan Sistem Informasi Akuntansi yaitu (Watne, 1990) :

1) Auditing Around The Computer. Pendekatan ini merupakan pendekatan

yang mula-mula ditempuh oleh auditor. Dengan pendekatan ini komputer yang digunakan oleh perusahaan diperlakukan sebagai Black Box. Asumsi yang digunakan dalam pendekatan ini adalah bila sampel output dari suatu sistem ternyata benar berdasarkan masukan sistem tadi, maka pemrosesannya tentunya dapat diandalkan. Dalam pemeriksaan dengan pendekatan ini, auditor melakukan pemeriksaan di sekitar komputer saja.

2) Auditing With The Computer. Pendekatan ini digunakan untuk

mengotomatisati banyak kegiatan audit. Auditor memanfaatkan komputer sebagai lunak alat bantu dalam melakukan penulisan, perhitungan, pembandingan dan sebagainya. Pendekatan ini menggunakan perangkat Generalized Audit Software, yaitu program audit yang berlaku umum untuk berbagai klien.

3) Auditing Through The Computer. Pendekatan ini lebih menekankan pada

langkah pemrosesan serta pengendalian program yang dilakukan oleh sistem komputer. Pendekatan ini mengasumsikan bahwa jika program pemrosesan dirancang dengan baik dan memiliki aspek pengendalian yang memadai, maka kesalahan dan penyimpangan kemungkinan besar tidak terjadi.pendekatan ini biasanya diterapkan pada sistem pengolahan data on-line yang tidak memberikan jejak audit yang memadai. TAHAP-TAHAP AUDIT SISTEM INFORMASI Audit Sistem Informasi dapat dilakukan dengan berbagai macam tahap-tahap. Tahap-tahap audit terdiri dari 5 tahap sebagai berikut : 1. Tahap pemeriksaan pendahuluan 2. Tahap pemeriksaan rinci. 3. Tahap pengujian kesesuaian. 4. Tahap pengujian kebenaran bukti. 5. Tahap penilaian secara umum atas hasil pengujian.

1. Tahap Pemeriksaan Pendahuluan.

Sebelum auditor menentukan sifat dan luas pengujian yang harus dilakukan, auditor harus memahami bisnis auditi (kebijakan, struktur organisasi, dan praktik yang dilakukan). Setelah itu, analisis risiko audit merupakan bagian yang sangat penting. Ini meliputi review atas pengendalian intern. Dalam tahap ini, auditor juga mengidentifikasi aplikasi yang penting dan berusaha untuk memahami pengendalian terhadap transaksi yang diproses oleh aplikasi tersebut. pada

tahap ini pula auditor dapat memutuskan apakah audit dapat diteruskan atau mengundurkan diri dari penugasan audit. 2. Tahap Pemeriksaan Rinci. Pada tahap ini auditnya berupaya mendapatkan informasi lebih mendalam untuk memahami pengendalian yang diterapkan dalam sistem komputer klien. Auditor harus dapat memperkirakan bahwa hasil audit pada akhirnya harus dapat dijadikan sebagai dasar untuk menilai apakah struktur pengendalian intern yang diterapkan dapat dipercaya atau tidak. Kuat atau tidaknya pengendalian tersebut akan menjadi dasar bagi auditor dalam menentukan langkah selanjutnya. 3. Tahap Pengujian Kesesuaian. Dalam tahap ini, dilakukan pemeriksaan secara terinci saldo akun dan transaksi. Informasi yang digunakan berada dalam file data yang biasanya harus diambil menggunakan software CAATTs. Pendekatan basis data menggunakan CAATTs dan pengujian substantif untuk memeriksa integritas data. Dengan kata lain, CAATTs digunakan untuk mengambil data untuk mengetahui integritas dan keandalan data itu sendiri. 4. Tahap Pengujian Kebenaran Bukti. Tujuan pada tahap pengujian kebenaran bukti adalah untuk mendapatkan bukti yang cukup kompeten,. Pada tahap ini, pengujian yang dilakukan adalah (Davis at.all. 1981) : 1) Mengidentifikasi kesalahan dalam pemrosesan data 2) Menilai kualitas data 3) Mengidentifikasi ketidakkonsistenan data 4) Membandingkan data dengan perhitungan fisik 5) Konfirmasi data dengan sumber-sumber dari luar perusahaan. 5. Tahap Penilaian Secara Umum atas Hasil Pengujian. Pada tahap ini auditor diharapkan telah dapat memberikan penilaian apakah bukti yang diperoleh dapat atau tidak mendukung informasi yang diaudit. Hasil penilaian tersebut akan menjadi dasar bagi auditor untuk menyiapkan

pendapatanya dalam laporan auditan. Auditor harus mengintegrasikan hasil proses dalam pendekatan audit yang diterapkan audit yang diterapkan. Audit meliputi struktur pengendalian intern yang diterapkan perusahaan, yang mencakup : (1) pengendalian umum, (2) pengendalian aplikasi, yang terdiri dari : (a) pengendalian secara manual, (b) pengendalian terhadap output sistem informasi, dan (c) pengendalian yang sudah diprogram.

PEMAHAMAN PENGENDALIAN UMUM Pengendalian umum pada perusahaan biasanya dilakukan terhadap aspek fisikal maupun logikal. Aspek fisikal, terhadap aset-aset fisik perusahaan, sedangkan aspek logikal biasanya terhadap sistem informasi di level manajemen (misal: sistem operasi). Pengendalian umum sendiri digolongkan menjadi beberapa, diantaranya adalah: 1). Pengendalian organisasi dan otorisasi. Yang dimaksud dengan organisasi disini adalah secara umum terdapat pemisahan tugas dan jabatan antara pengguna sistem (operasi) dan administrator sistem (operasi). Disini juga dapat dilihat bahwa pengguna hanya dapat mengakses sistem apabila memang telah diotorisasi oleh administrator. 2). Pengendalian operasi. Operasi sistem informasi dalam perusahaan juga perlu pengendalian untuk memastikan sistem informasi tersebut dapat beroperasi dengan baik selayaknya sesuai yang diharapkan. 3) Pengendalian perubahan. Perubahan-perubahan yang dilakukan terhadap sistem informasi juga harus dikendalikan. Termasuk pengendalian versi dari sistem informasi tersebut, catatan perubahan versi,serta manajemen perubahan atas diimplementasikannya sebuah sistem informasi. 4) Pengendalian akses fisikal dan logikal. Pengendalian akses fisikal berkaitan dengan akses secara fisik terhadap fasilitas-fasilitas sistem informasi suatu perusahaan, sedangkan akses logikal berkaitan dengan pengelolaan akses terhadap sistem operasi sistem tersebut (misal: windows).

PENGENDALIAN APLIKASI. PEMAHAMAN PENGENDALIAN APLIKASI Pengendalian aplikasi yang dimaksud disini adalah prosedur-prosedur pengendalian yang didisain oleh manajemen organisasi untuk meminimalkan resiko terhadap aplikasi yang diterapkan perusahaan agar proses bisnisnya dapat berjalan dengan baik. Hubungan Pengendalian Umum dan Aplikasi Hubungan antara pengendalian umum dan aplikasi biasanya bersifat pervasif. Artinya apabila pengendalian umum terbukti jelek, maka pengendalian aplikasinya diasumsikan jelek juga, sedangkan bila pengendalian umum terbukti baik, maka diasumsikan pengendalian aplikasinya juga baik. Macam Aplikasi Aplikasi yang dimaksud biasanya berwujud perangkat lunak, yang dapat dibagi menjadi dua tipe dalam perusahaan untuk kepentingan audit PDE: 1. Perangkat lunak berdiri sendiri. Tipe ini biasanya terdapat pada organisasi yang belum menerapkan SIA dan sistem ERP, sehingga masih banyak aplikasi yang berdiri sendiri pada masing-masing unitnya. Sebagai contoh: aplikasi (software) MYOB pada fungsi akuntansi dan keuangan. 2. Perangkat lunak di server. Tipe ini biasanya terdapat pada organisasi yang telah menerapkan SIA dan sistem ERP. Aplikasi terinstall pada server sehingga tipe struktur sistemnya memakai sistem client-server . Client hanya dipakai sebagai antar-muka (interface) untuk mengakses aplikasi pada server. Macam Pengendalian Aplikasi Pengendalian aplikasi dalam organisasi sendiri biasanya dibagi menjadi beberapa: 1. Organisasi Aplikasi 2. Akses Aplikasi 3. Input 4. Proses 5. Output

6. Master File/Database Pemahaman atas Pengendalian Organisasi dan Akses Aplikasi Pada modul ini, kita akan mencoba memahami terlebih dahulu pengendalian aplikasi: organisasi dan akses. Pada pengendalian organisasi, hampir sama dengan pengendalian umum organisasi, namun lebih terfokus pada aplikasi yang diterapkan perusahaan. Siapa pemilik aplikasi, tugas administrator, pengguna, hingga pengembangan aplikasi tersebut. Untuk pengendalian akses, biasanya terpusat hanya pada pengendalian logika saja untuk menghindari akses tidak terotorisasi. Selain itu juga terdapat pengendalian role based menu dibalik pengendalian akses logika, dimana hanya pengguna tertentu saja yang mampu mengakses menu yang telah ditunjuk oleh administrator. Hal ini berkaitan erat dengan kebijakan TI dan prosedur perusahaan berkaitan dengan nama pengguna dan sandi nya. Pemahaman atas Pengendalian Input Modul ini melanjutkan pengendalian akses dari modul 3.0b, yang pertama melihat pada proses pengendalian input. Inti dari pengendalian input adalah memastikan data-data yang dimasukkan ke dalam sistem telah tervalidasi, akurat, dan terverifikasi. Beberapa pengendalian input otomatis yang biasa diprogram: Validation checks 1. Format checks: sesuai dengan format yang ditentukan 2. Range and limit checks 3. Check digits 4. Validity checks (lookup) 5. Compatibility checks (data dan turunan) Duplicate Checks Membandingkan dengan input transaksi sebelumnya Matching Membandingkan (verifikasi) instan pada satu modul dengan instan modul lain yang terhubungkan, contoh: penerimaan barang dengan tagihan Pemahaman atas Pengendalian Proses

Pengendalian proses biasanya terbagi menjadi dua tahapan, yaitu (1) tahapan transaksi, dimana proses terjadi pada berkas-berkas transaksi baik yang sementara maupun yang permanen dan (2) tahapan database, proses yang dilakukan pada berkas-berkas master. Adapun tipe pengendalian proses adalah sebagai berikut: 1. Run to run control 2. Pivot totals 3. Control/Hash totals: non numerical control 4. Control accounts 5. Data file control: menghitung instan entitas 6. Transaction validation control 7. File reconciliation control Pemahaman atas Pengendalian Output Pada pengendalian ini dilakukan beberapa pengecekan baik secara otomatis maupun manual (kasat mata) jika output yang dihasilkan juga kasat mata. Beberapa tipe pengendalian output: 1. Ekspektansi output (logs) 2. Kelengkapan output (misal dengan no halaman) 3. Pengendalian atas spooled output 4. Reasonableness 5. Output rutin 6. Distribusi output 7. Orang yang tepat, ditempat yang benar dalam waktu yang reasonable 8. SQL output Pemahaman atas Pengendalian Berkas Master Pada pengendalian ini harus terjadi integritas referensial pada data, sehingga tidak akan diketemukan anomali-anomali, seperti: Anomaly penambahan Anomaly penghapusan

Anomaly pemuktahiran/pembaruan Fungsi manajemen mencakup: manajemen puncak, manajemen pengembangan, manajemen operasi dan pemeliharaan, manajemen kualitas, manajemen keamanan, dan manajemen data. Sedangkan fungsi aplikasi mencakup sub

fungsi: batas antara pemakai dan sistem aplikasi, input, pemrosesan, basis data, komunikasi data dan output, prosedur dan dokumentasi. Sedangkan dilihat dari fungsi aplikasi, sistem informasi dapat dimodelkan seperti pada gambar 4.2.

Prosedur

informasi

Aplikasi

Proses Hardware/software data

Interoperasional Basisdata/network

Dokumen

Gambar Model IPO (Input-Proses-Output) dan Komponen Aplikasi Sistem Informasi PENGENALAN KERTAS KERJA Kertas Kerja: Kertas kerja audit adalah catatan yang dibuat auditor tentang prosedur yang diterapkan, pelaksanaan pengujian dan bukti yang diperoleh serta kesimpulan yang diperoleh selama audit. Kertas kerja merupakan pendukung utama laporan audit, alat koordinasi dan supervisi, bukti bahwa auditor telah melakukan audit sesuai dengan standar auditing yang Berterima umum. Tujuan Kertas Kerja: Untuk mendokumentasikan semua bukti audit yang diperoleh selama pelaksanaan audit. Untuk mengorganisasikan/mengkoordinasikan semua tahap atau langkah-langkah audit.

Untuk membantu auditor senior, partner atau pimpinan kantor akuntan dalam mereview pekerjaan yang dihasilkan oleh stafnya. Untuk mempermudah atau sebagai dasar penyusunan laporan audit Sebagai bukti dan penjelasan secara rinci atas pendapat auditor serta temuan-temuan yang telah dilaporkan dalam laporan audit.

Pedoman Pembuatan Kertas Kerja Setiap kertas kerja harus bertujuan Setiap topik dibuatkan kertas kerja sendiri Indentitas (judul) yang jelas Diberi indeks atau indeks silang Semua langkah (prosedur audit) harus dijelaskan Berisi komentar auditor yang mencerminkan kesimpulan Ada paraf dan tanggal pembuatan/evaluasi Penyimpanan terpisah antara yang sudah selesai dengan yang belum selesai Jenis Kertas Kerja Kertas kerja neraca saldo Jadwal dan analisis Memo audit dan informasi pendukung Jurnal penyesuaian dan pengklasifikasian kembali

STANDAR UMUM KERTAS KERJA

Fungsi Kertas Kerja pekerjaan. Penyediaan catatan tentang: 1. Prosedur audit yang dilakukan. 2. Pengujian yang dilakukan Pendukung pendapat auditor. Membantu dalam pengarahan dan pengawasan

3. Informasi yang diperoleh. 4. Kesimpulan yang dicapai. Menyediakan bukti bahwa audit telah diarahkan menurut Standar Profesional Audit Internal Kelengkapan Kertas Kerja 1. dapat terjawab. 2. Kertas kerja harus berdiri sendiri, dalam hal ini harus dinyatakan secara jelas bahwa pekerjaan telah dilaksanakan, bagaimana dan dari mana sampel dipilih, tujuan kertas kerja, temuan apa saja yang telah dibuat, dan lain-lain. harus terdiri dari: 1. 2. jelas 3. auditor awal 4. kerja Nomer indeks kertas Tanggal persiapan Gambaran judul Identifikasi sumber jika Setiap bagian dari kertas kerja Kertas kerja harus akurat dan lengkap Tidak ada pertanyaan signifikan dalam lingkup atau yang berhubungan dengan tujuan audit yang tidak

PRINSIP LAPORAN AUDIT Hasil Laporan audit merupakan media yang dipakai oleh auditor dalam berkomunikasi dengan klien. Laporan audit berupa komunikasi dan ekspresi auditor terhadap objek yang diaudit agar laporan atau ekspresi auditor tadi dapat dimengerti maka laporan itu harus mampu dipahami oleh penggunanya.

Laporan audit ini terdiri dari:

1) Maksud dan tujuan dari review pengendalian terhadap penerapan TI di klien. 2) Ruang lingkup dan referensi pengendalian yang digunakan sebagai bahan acuan penilaian pengendalian TI yang diterapkan dalam klien. 3) Metodologi review merupakan langkah-langkah audit dan teknik pemerolehan informasi untuk mendukung laporan review. 4) Pernyataan penjelasan hasil review: a) b) c) Permasalahan, menjelaskan pokok masalah yang Temuan, menjelaskan bukti audit untuk mendukung Kriteria/standar, menjelaskan pengendalian yang saat ini dihadapi oleh klien. kesimpulan masalah. seharusnya diterapkan oleh klien. d) e) Kondisi, menjelaskan sebab dan akibat serta

aktifitas/kegiatan terkini. Risiko, menjelaskan potensi dan dampak negatif terhadap hilangnya atau tidak diterapkannya pengendalian. f) Tanggapan manajemen, menjelaskan komentar dan

tanggapan manajemen terhadap permasalahan dan temuan yang telah disampaikan. g) dan Rekomendasi, menjelaskan saran-saran perbaikan implementasi penge pengendalian yang harus

diterapkan dalam kegiatan/aktifitas klien.

Pelaksanaan audit system informasi dilaksanakan berdasarkan risk-based approach dengan mengacu pada: 1. Pernyataan Standar Audit 57, 59, 60, 63, 64 dan 65 2. COBIT 4.0 3. ISO 17799:2005

4. best practices lainnya (ISACA Guidelines, CISA 2007, COSO, SarbanesOxley Act, SANS) Pelaksanaan audit dilakukan dengan Cara yang dapat dilaksanakan adalah: 1. Penyampaian kuisioner a. Kuisioner Pengendalian Sistem Informasi

b. Kuisioner c. Kuisioner
2. Wawancara 3. Observasi

I II

Analisis Analisis

Pengelolaan Pengelolaan

Teknologi Teknologi

Informasi, Informasi,

Management Awareness Information Technology Controls Diagnostic

a. Major application b. Infrastruktur pendukung data center: air conditioning, smoke detector, fire extinguisher, hydrant, dll. c. Sistem Operasi d. Database e. Internet, LAN, WAN f. Perangkat Keras dan Lunak g. Kebijakan dan Standard Operation Procedure 4. Studi kebijakan, prosedur, dan dokumentasi 5. Pengujian dengan menggunakan perangkat lunak

Referensi Control Objective for Information and related Technology (COBIT):

1. Mengamankan Aset Sistem Informasi (Assets Safeguarding)
Aset informasi suatu entitas seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia, file/data dan fasilitas Teknologi Informasi lainnya harus dijaga dengan sistem pengendalian internal yang baik agar tidak terjadi misefisiensi, mis-efektifitas, dan penyalahgunaan aset entitas. Dengan demikian sistem pengamanan aset sistem informasi merupakan suatu hal yang sangat penting yang harus dipenuhi oleh entitas. 2. Efektifitas sistem Efektifitas sistem informasi entitas memiliki peranan penting dalam proses pengambilan keputusan usaha/bisnis. Suatu sistem informasi dapat dikatakan efektifbila sistem informasi memberikan manfaat dan ketepatgunaan teknologi informasi dalam operasi dan administrasi. 3. Efisiensi sistem

Efisiensi menjadi sangat penting ketika sumber daya kapasitas yang dimiliki oleh entitas terbatas. Jika cara kerja dari sistem aplikasi

komputer menurun maka pihak manajemen, dalam hal ini mewakili entitas, harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya informasi yang minimal.

4. Memberikan dan mengelola ketersediaan layanan sistem informasi

(Availability) Berhubungan dengan ketersediaan dukungan/layanan teknologi informasi. Teknologi Informasi hendaknya dapat mendukung secara berkelanjutan terhadap proses usaha/bisnis entitas. Makin sering terjadi gangguan (system downtime) maka berarti tingkat ketersediaan sistem rendah.

5.

Menjaga kerahasiaan (Confidentiality)

Fokus kerahasiaan disini ialah perlindungan terhadap informasi dan supaya terlindung dari akses dari pihak-pihak yang tidak berwenang dan bertanggungjawab.

6.

Meningkatkan kehandalan (Reability)

Berhubungan dengan kesesuaian dan keakuratan bagi manajemen dalam pengelolaan organ isasi, pelaporan dan pertanggungjawaban.

7.

Menjaga integritas data (Data Integrity)

Integritas data adalah salah satu konsep dasar sistem informasi. Data memiliki atributatribut seperti: kelengkapan, kebenaran, dan keakuratan. Jika integritas data tidak terpelihara, maka suatu entitas tidak akan lagi memiliki informasi/laporan yang benar, bahkan entitas dapat menderita k kerugian karena pengawasan yang tidak tepat atau keputusankeputusan yang salah. Faktor utama yang membuat data berharga bagi entitas dan pentingnya untuk menjaga integritas data adalah: a. Makna penting data/informasi bagi pengambilan keputusan adalah peningkatan kualitas data sehingga dapat memberikan informasi bagi para pengambil keputusan. b. Nilai data bagi pesaing entitas, jika data tersebut berguna bagi pesaing maka kehilangan data akan memberikan dampak buruk bagi

entitas.

Pesaing

dapat

menggunakan

data

tersebut

untuk

mengalahkan entitas saingannya sehingga mengakibatkan entitas menjadi kehilangan pasar, berkurangnya keuntungan, dan sebagainya. 8. Menaati seluruh peraturan dan aturan yang ada dan berlaku saat ini, baik itu di internal dan eksternal organisasi/entitas (Compliance) Ketaatan terhadap peraturan yang berlaku baik itu didalam dan luar entitas memberikan dampak yang positif cukup dan bernilai para tambah pihak guna yang memberikan keyakinan bagi

berkepentingan entitas khususnya para regulator bahwa entitas menerapkan prinsip kehati-hatian dengan tidak meniadakan prinsip biayamanfaat dalam melakukan kegiatan usaha/bisnis entitas khususnya kegiatan teknologi informasi. Komponen Aplikasi Sistem Informasi Sistem informasi merupakan sistem yang mengolah data menjadi informasi untuk mendukung operasi dan pengambilan keputusan suatu organisasi. Secara fisik, sistem informasi memiliki 4 komponen, yaitu:

Data/ Informasi (infoware), sebagai masukan dan keluaran dari sistem

informasi.-Sumber daya manusia (brainware), sebagai user dan pengelola dari sistem informasi.

Teknologi (technoware), yaitu teknologi komputer HW, SW, NW, BD Prosedur dan Organisasi (organiware), prosedur dibuat dalam bentuk

langkah dan dokumen yang diperlukan/ harus diisi selama pengoperasian dan pengelolaan sistem. Sedangkan organisasi memberikan wadah untuk pengelolaan dan pengoperasian sistem informasi. Dilihat dari tipe pemroses data menjadi informasi, sistem informasi, dibagi menjadi:

Manual, di mana manusia sebagai information processor. Terotomatisasi, di mana manusia sebagai operator yang menyediakan

input-output, sedangkan komputer menjadi information processor. Semi manual, di mana information processor, sebagian manusia dan

sebagian komputer.

Dengan demikian, model pada gambar 4.2 ini mengakomodasi sistem informasi yang manual, semi manual maupun yang terotomatisasi dengan menggunakan teknologi komputer. 4.1. Model Audit Sistem Informasi Berbasis Kendali Audit sistem informasi, jika dilihat sebagai model IPO (input-proses-output), dapat digambarkan seperti gambar 4.3.

STANDAR & PRO SEDUR AUDIT

Sistem Auditee Struktur kendali

resiko

` Audit sistem inform asi berbasis kendali

Hasil

fakta

TUJUAN AUDIT (AS ,DI,EK ,EN )

Gambar Model Audit Sistem Informasi berbasis Kendali Audit sistem informasi dilaksanakan untuk mencapai suatu tujuan, yaitu: ingin mengetahui apakah sistem informasi telah:

Asset safeguard (As), mampu melindungi aset sistem informasi. Data integrity (Di), apakah mampu menjamin integritas data. Effectivity (Ek), apakah pengoperasiannya dalam rangka mencapai tujuan

organisasi telah efektif.

Efficiency (En), apakah dalam mencapai tujuan organisasi telah

menggunakan sumber daya organisasi secara efisien. Untuk mencapai tujuan tersebut, perlu dilakukan penilaian terhadap kondisi sistem informasi suatu organisasi (fakta). Pengumpulan fakta dilakukan dengan metode: Wawancara (Wr); Inspeksi (In); Kuisioner (Ks); Tes data (Td); Tes program (Tp). Metode di atas dapat digunakan secara sendiri atau merupakan kombinasi. Agar penilaian berlangsung sistematis, maka sistem informasi suatu organisasi perlu dipartisi terutama berhubungan dengan sistem pengendalian dalam organisasi tersebut (struktur kendali). Untuk melaksanakan dan mengevaluasi fakta diperlukan standar dan prosedur audit. Agar penilaian proporsional, maka perlu dikaitkan dengan tingkat resiko dari masing-masing kendali dalam struktur kendali organisasi. Pada model yang dirancang:

Tujuan yang ingin dicapai sesuai dengan tujuan dari audit sistem

informasi. Struktur kendali didasarkan pada partisi sistem informasi atas fungsi

manajemen dan fungsi aplikasi, dengan demikian ada kendali manajemen dan kendali aplikasi.

Standar penilaian, diadopsi dari standar penilaian kualitas ISO-9001-

2000. Resiko setiap kendali digunakan sebagai bobot terhadap tujuan audit.

Dengan demikian setiap kendali memberikan sumbangan terhadap tingkat pencapain tujuan audit. Hasil audit, berupa indeks pencapain tujuan untuk keseluruhan dan masingmasing kendali, serta temuan yang bersifat penyimpangan dan rekomendasirekomendasi untuk memperbaiki yang terkait dengan pencapaian tujuan audit sistem informasi.

Tujuan Audit Sistem Informasi

Tujuan audit sistem informasi adalah untuk meninjau dan mengevaluasi pengendalian internal yang melindungi sistem tersebut. Ketika melakukan audit sistem informasi, seorang auditor harus memastikan tujuan-tujuan ini terpenuhi:

1. Perlengkapan keamanan melindungi perlengkapan komputer, program,

komunikasi, dan data dari akses yang tidak sah, modifikasi atau penghancuran.

2. Pengembangan dan perolehan program dilaksanakan sesuai dengan

otorisasi khusus dan umum dari pihak manajemen

3. Modifikasi program dilaksanakan dengan otorisasi dan persetujuan dari

pihak manajemen

4. Pemrosesan transaksi, file laporan dan catatan komputer lainnya telah

akurat dan lengkap.

5. Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang
tepat diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah ditetapkan. 6. File data komputer telah akurat, lengkap dan dijaga kerahasiaannya. Tujuan audit tersebut diatas berkaitan dengan komponen dari sistem informasi. Keterkaitan antara tujuan audit dan komponen sistem informasi dapat dilihat pada gambar 1.

Gambar. Komponen sistem informasi dan tujuan audit yang berkaitan Waktu Pelaksanaan Audit Dalam proses pengembangan suatu sistem informasi yang signifikan, perlu dilakukan audit, baik itu sebelum atau pada saat implementasi ( preimplementation system ), maupun setelah sistem live ( post-implementation system ). Manfaat audit Pre-Implementation System:

1. Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai

dengan kebutuhan ataupun memenuhi acceptance criteria. 2. Mengetahui apakah pemakai telah siap menggunakan sistem tersebut. 3. Mengetahui apakah outcome sesuai dengan harapan manajemen.

Manfaat audit Post-Implementation System:

1. Institusi mendapat masukan atas risiko-risiko yang masih ada dan saran
untuk penanganannya.

2. Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan

sistem, perencanaan strategis dan anggaran pada periode berikutnya. 3. Bahan untuk perencanaan strategis dan rencana anggaran di masa datang.

4. Memberikan reasonable assurance bahwa sistem informasi telah sesuai

dengan kebijakan atau prosedur yang telah ditetapkan.

5. Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah

diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwenang untuk melakukan pemeriksaan.

6. Membantu dalam penilaian apakah initial proposed values telah

terealisasi dan saran tindak lanjutnya. Spesialis Audit Sistem Informasi Kegiatan audit sistem informasi hendaklah dilakukan oleh seorang spesialis audit sistem informasi. Spesialis audit sistem informasi mereview dan mengaudit seluruh area pada sistem informasi berkaitan dengan standard sesuai dengan organisasimisal efisiensi. Adapun fungsi dari spesialis audit sistem informasi adalah sebagai berikut: profesional, hukum, aturan, kebijaksanaan organisasi, metodologi, pelaksanaan, integritas juga efektifitas biaya, kehandalan dan

1. Memimpin pelaksanaan audit dan review prosedur sistem. (seperti :

sistem aplikasi, sistem perangkat keras, kebijaksanaan dan prosedur sekuriti, integritas DBMS, perangkat lunak sistem, prosedur komunikasi/jaringan komputer, operasi komputer) berdasarkan pertimbangan kepada : hukum yang berkaitan dengan teknologi Informasi, kebijaksanaan organisasi, metodologi, praktek profesional, dan lainnya.

2. Memimpin pelaksanaan review sistem komputer dan informasi berkaitan

dengan kehandalan, efisiensi, dan efektifitas biaya

3. Memimpin audit/review produktivitas sumber daya manusia teknologi Informasi 4. Merencakan, menjadwal sumber daya untuk aktifitas audit

5. Memimpin audit/review sistem informasi yang sedang dikembangkan

untuk menjamin agar sesuai dengan standard 6. Mengembangkan dan merawat objektif dan prosedur audit organisasi Hasil yang diharapkan dari kegiatan audit sistem informasi yang dilakukan oleh seorang spesialis audit sistem informasi adalah sebagai berikut: 1. Dokumentasi obyektif , perencanaan, prosedur dan laporan audit. 2. Review secara berkala untuk memeriksa peningkatan kemampuan sistem Untuk dapat melaksanakan tugasnya dengan baik, seorang spesialis audit sistem informasi harus memiliki pengetahuan dan ketrampilan sebagai berikut: 1. Siklus pengembangan sistem informasi

2. Analisis sistem dan teknik disain tingkat lanjutan serta metodologi

pengembangan sistem.

3. Pemahaman yang baik, menangani sistem aplikasi, protokol komunikasi

dan jaringan, dan operasi komputer

4. Pemahaman yang baik mengenai standard kualitas internasional, aturanaturan Teknologi Informasi, kebijaksanaan organisasi, metodologi dan lain sebagainya. 5. Ketrampilan intepersonal yang baik

6. Harus dapat berargumentasi secara persuasif pada pertemuan informal

dan formal. 7. Memiliki kemampuan menulis laporan dan teknis presentasi yang sangat baik

8. Memiliki ketrampilan otomasi perkantoran (word processing, spreadsheet,

graphics) yang sangat baik. 9. Metodologi audit yang sangat baik 10. Kemampuan di atas raata-rata dalam mengobservasi detail dan terus menerus.

Selain pengetahuan dan ketrampilan diatas seorang spesialis audit sistem informasi juga dituntut memenuhi syarat untuk akreditasi pribadi di bawah suatu system sertifikasi kualitas yang diakui secara internasional. Salah satu sertifikasi profesional sebagai standar pencapaian prestasi dalam bidang audit, kontrol, dan keamanan sistem informasi yang telah diterima secara internasional adalah CISA (Certified Information Systems Auditor) yang dikeluarkan oleh ISACA (Information Systems Audit and Control Association).

Studi Kasus
Sebuah Bank Swasta terkemuka menunjuk tim audit TI Ernst & Young untuk melakukan review atas penerapan sistem Perbankan yang terintegrasi.

Pemeriksaan ini terbagi dalam dua fase. Pada fase pertama mencakup kegiatan, sebagai berikut: 1. Manajemen Proyek Melakukan review atas manajemen proyek untuk memastikan bahwa semua outcome yang diharapkan tertuang dalam rencana proyek. Pada tahapan ini, auditor TI melakukan review atas project charter, sumber daya yang akan digunakan, alokasi penugasan dan analisa tahapan pekerjaan proyek. 2. Desain Proses dan Pengendalian Kontrol Aplikasi Review mengenai desain pengendalian dalam modul-modul Perbankan tersebut, yaitu pinjaman dan tabungan. Untuk itu dilakukan review atas desain proses dimana auditor mengevaluasi proses, risiko dan pengendalian mulai dari tahapan input, proses maupun output. 3. Desain Infrastruktur Review ini mencakup analisa efektivitas dan efisiensi desain infrastruktur pendukung (server, workstation, sistem operasi, database dan komunikasi data). Hasil follow up dijadikan dasar oleh manajemen untuk memulai implementasi sistem Perbankan yang terintegrasi tersebut. Berdasarkan nilai tambah yang diberikan melalui rekomendasi pada fase pertama, perusahaan menunjuk kembali auditor untuk melakukan review fase kedua secara paralel pada saat implementasi dilakukan, yaitu review terhadap:

Migrasi data, pada saat roll-out ke cabang-cabang, termasuk Aspek lainnya termasuk persiapan help-desk , contingency dan Kesiapan pemakai dalam menggunakan sistem ini, kualitas Prosedur-prosedur manajemen perubahan ( change management

kapasitas pemrosesan dan penyimpanannya.

security .

pelatihan yang diberikan dan dokumentasi pengguna ( user manual )

) dan testing

Auditor selanjutnya diminta memberikan saran mengenai risiko-risiko yang masih tersisa, sebelum manajemen memutuskan sistem barunya dapat go-live. Audit TI: Sebelum atau Sesudah Seiring dengan makin banyaknya institusi, baik pemerintahan maupun swasta, yang mengandalkan TI untuk mendukung jalannya operasional sehari-hari, maka kesadaran akan perlunya dilakukan review atas pengembangan suatu sistem informasi semakin meningkat. Risiko-risiko yang mungkin ditimbulkan sebagai akibat dari gagalnya

pengembangan suatu sistem informasi, antara lain:

Biaya

pengembangan

sistem

melampaui

anggaran

yang

ditetapkan.

Sistem tidak dapat diimplementasikan sesuai dengan jadwal yang Sistem yang telah dibangun tidak memenuhi kebutuhan

ditetapkan.

pengguna.

Sistem yang dibangun tidak memberikan dampak effisiensi dan

nilai ekonomis terhadap jalannya operasi institusi, baik pada masa sekarang maupun masa datang.

Sistem yang berjalan tidak menaati perjanjian dengan pihak ketiga

atau memenuhi aturan yang berlaku. Untuk mengantisipasi hal itu, perusahaan menginginkan adanya assurance dari pihak yang berkompeten dan independen mengenai kondisi sistem TI yang akan atau sedang mereka gunakan. Pihak yang paling berkompeten dan memiliki keahlian untuk melakukan review tersebut adalah Auditor Sistem Informasi (Auditor TI). Pekerjaan auditor TI ini belum banyak dikenal di Indonesia . Di samping itu, jumlah tenaga auditor TI yang menyandang sertifikasi Internasional ( CISA, Certified Information System Auditor ) juga masih sangat terbatas.

Best Practice menyarankan agar dalam proses pengembangan suatu sistem informasi yang signifikan, perlu dilakukan review, baik itu sebelum atau pada saat implementasi ( pre-implementation system ), maupun setelah sistem live ( postimplementation system ). Manfaat Pre-Implementation Review:

Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai Mengetahui apakah pemakai telah siap menggunakan sistem Mengetahui apakah outcome sesuai dengan harapan manajemen.

dengan kebutuhan ataupun memenuhi acceptance criteria.

tersebut.

Manfaat Post-Implementation Review:

Institusi mendapat masukan atas risiko-risiko yang masih ada dan Masukan-masukan tersebut dimasukkan dalam agenda

saran untuk penanganannya.

penyempurnaan sistem, perencanaan strategis dan anggaran pada periode berikutnya.

Bahan untuk perencanaan strategis dan rencana anggaran di Memberikan reasonable assurance bahwa sistem informasi telah Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah

masa datang.

sesuai dengan kebijakan atau prosedur yang telah ditetapkan.

diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwenang untuk melakukan pemeriksaan. Sumber : ebizzasia.com