Audit Sistem Informasi e-Gov

Manfaat dan Pentingnya Audit Sistem Informasi atas E-Government

Pendahuluan
Salah satu lembaga tinggi negara sedang mengembangkan teknologi informasi dan
komunikasi (TIK) yang mereka miliki. Pimpinan lembaga ini menunjuk satu tim
untuk menyusun Rencana Strategis (Renstra) TIK dengan dibantu konsultan.
Setelah melalui proses panjang maka Renstra TIK tersebut disetujui untuk
dilaksanakan. Pengembangan dilakukan dalam beberapa tahapan selama 3 (tiga)
tahun, diawali dengan pembangunan jaringan data dan pembaharuan serta
penambahan perangkat keras. Aplikasi juga mulai dikembangkan satu persatu
sesuai dengan Renstra TIK.
Pada tahun ketiga, terjadi pergantian pimpinan tertinggi dari lembaga tersebut.
Pimpinan baru ini memanggil beberapa pejabat terkait dengan TIK melakukan
evaluasi atas TIK yang ada. Hasil evaluasi tersebut membuat pimpinan baru ini
heran, antara lain : tidak dapat diketahui dengan pasti berapa jumlah dan lokasi
serta status keberadaan perangkat TIK yang ada, tiga dari lima aplikasi utama yang
telah dikembangkan belum dapat digunakan, personil-personil dengan latar
belakang pendidikan TIK tidak ditempatkan di unit TIK. Keheranan pimpinan baru ini
berkahir kepada keputusan emosional dengan menghentikan semua proyek TIK dan
melakukan penggantian personil besar-besaran di unit TIK.
Kondisi di atas rasanya sering kita dengar dan alami di lembaga pemerintahan dan
tentunya kita akan berpikir bahwa ada yang tidak beres disana dan perlu segera
diperbaiki. Jangankan pada kondisi yang seperti di atas, pada solusi-solsui TIK di
pemerintahan yang telah menyatakan dirinya sukses sekalipun kita sulit untuk dapat
menjawab beberapa pertanyaan ini :
1.

Apakah aset TIK yang kita miliki sudah dilindungi dengan layak dari risiko
kerusakan, kehilangan, kesalahan atau penyalahgunaan ?
2.
Apakah informasi yang diolah melalui TIK tersebut sudah dapat kita yakini
integritasnya (kelengkapan dan akurasi) ?
3.

Apakah solusi TIK yang kita kembangkan sudah dapat mencapai tujuannya
dan membantu pencapaian tujuan lembaga kita dengan efektif ?

4.

Apakah sumber daya TIK yang kita miliki sudah dimanfaatkan dengan efisien
dan bertanggung jawab ?

Definisi Audit Sistem Informasi

Salah satu cara dalam menjawab pertanyaan-pertanyaan tersebut diatas adalah
dengan melakukan audit atas sumber daya dan solusi TIK yang kita miliki, atau yang
lazim disebut Audit Sistem Informasi. Definisi Audit Sistem Informasisendiri
adalah :

Suatu proses pengumpulan dan pengevalusian bukti-bukti yang dilakukan oleh pihak
yang independen dan kompeten untuk mengetahui apakah suatu sistem informasi
dan sumber daya terkait, secara memadai telah dapat :

melindungi aset,
menjaga integritas dan ketersediaan sistem dan data,

menyediakan informasi yang relevan dan handal,

mencapai tujuan organisasi dengan efektif,

menggunakan sumber daya dengan efisien,

yang dapat memberikan dampak kepada pengendalian intern yang mampu
memberikan keyakinan yang memadai akan tercapainya tujuan bisnis, operasional
dan kendali, serta berbagai kejadian yang tidak diinginkan dapat dicegah, dideteksi
dan dikoreksi dengan tepat waktu.
Dengan kata lain, tujuan dari suatu audit sistem informasi adalah untuk mengetahui
apakah pengendalian TIK telah dapat memberikan jaminan bahwa tujuan atau
manfaat dari TIK telah dapat dicapai serta risiko yang terkait dengan pemanfaatan
TIK telah dapat dikendalikan. Kepatuhan terhadap peraturan dan perundanganundangan merupakan salah satu tujuan dan risiko yang harus dikendalikan.
Proses Audit Sistem Informasi
Seluruh tahapan audit sistem informasi serta persyaratan independensi dan
kompetensi auditor sistem informasi diatur oleh suatu Standar Audit. Untuk di
Indonesia dapat digunakan Standar Audit Sistem Informasi (SASI) dari Ikatan Audit
Sistem Informasi Indonesia (IASII), sedangkan secara internasional umumnya
menggunakan
Standards for Information Systems Auditing dariInformation
System Audit and Control Association (ISACA).
Kita sering salah mengartikan antara standar audit dengan kriteria audit. Standar
audit hanya mengatur auditor dan audit, sedangkan kriteria audit adalah sesuatu
yang akan dijadikan dasar kesimpulan hasil audit, misalnya peraturan yang berlaku,
kebijakan dan prosedur internal organisasi, atau standar dan praktik-praktik
internasional di bidang TIK seperti COBIT, ITIL, ISMS, dan lain sebagainya.
Proses audit sistem informasi yang berbasis risiko serta sesuai dengan standar audit
dapat digambarkan secara singkat sebagai berikut :

Gambar Proses Audit Sistem Informasi

Pada tahap survei pendahuluan auditor akan berusaha untuk memperoleh gambaran
umum dari lingkungan TIK yang akan diaudit. Kemudian dilanjutkan dengan
pemahaman yang lebih mendalam dari seluruh sumber daya TIK infrastruktur,
aplikasi, informasi, personil yang termasuk ke dalam lingkup audit, serta
pemahaman atas sistem pengendalian intern TIK yang ada seperti struktur
organisasi, kebijakan, prosedur, standar, parameter, dan alat bantu kendali lainnya.
Selanjutnya auditor akan melakukan analisis risiko pendahuluan untuk
mengidentifikasi berbagai risiko yang mungkin timbul di lingkungan TIK yang diaudit
serta kelayakan rancangan pengendalian intern TIK yang telah ada. Jika rancangan
pengendalian intern TIK dipandang memadai maka auditor selanjutnya akan
melakukan pengujian dari pelaksanaan kendali-kendali tersebut, namun jika
dipandang tidak layak maka auditor akan langsung melakukan pengujian terinci
terhadap risiko TIK secara mendalam (dengan jumlah sampel yang cukup besar).
Setelah melakukan pengujian pengendalian intern TIK dan auditor telah
memperoleh bukti yang memadai bahwa pengendalian intern TIK telah dilaksanakan
sesuai rancangannya maka selanjutnya auditor akan melakukan pengujian terinci
atas risiko TIK secara terbatas (dengan jumlah sampel yang terbatas). Namun jika
hasil pengujian pengendalian intern TIK menunjukkan bahwa pelaksanaan
pengendalian intern TIK tidak sesuai dengan rancangannya maka auditor akan
melakukan pengujian terinci risiko TIK secara mendalam.
Bukti-bukti yang diperoleh auditor dari hasil analisis risiko dan rancangan kendali
serta pengujian pengendalian intern TIK dan pengujian terinci risiko TIK selanjutnya
akan digunakan oleh auditor untuk menyusun laporan audit sistem informasi yang
memuat kesimpulan audit beserta tanggapan dari pihak yang diaudit atas

rekomendasi yang disampaikan oleh auditor dalam rangka peningkatan

pengendalian intern TIK.
Lingkup dan Tujuan Audit Sistem Informasi
Audit sistem informasi pada umumnya difokuskan kepada seluruh sumber daya
TIK yang ada, yaitu :

Aplikasi Mencakup seluruh proses bisnis yang terotomasi serta prosedur

manual yang terkait, yang digunakan untuk mengolah informasi di dalam suatu
organisasi.
Informasi Mencakup data, dalam berbagai bentuk, yang dimasukan,
diproses, dan dihasilkan oleh sistem informasi yang digunakan dalam kegiatan
organisasi.

Infrastruktur Mencakup teknologi dan fasilitas, seperti perangkat keras,

sistem operasi, sistem manajemen basis data, jaringan data dan komunikasi,
multimedia, serta lingkungan yang melindungi dan mendukung infrastruktur
tersebut, yang memungkinkan berjalannya aplikasi.

Personil Mencakup personil yang dibutuhkan untuk merencanakan,

mengorganisasikan, mengakuisisi atau mengembangkan, mengimplementasikan,
menjalankan, mendukung, mengawasi dan mengevaluasi sistem dan layanan
informasi.
Para auditor sistem informasi selama ini umumnya membagi dan
mengujipengendalian intern TIK ke dalam dua kelompok besar, yaitu :

Pengendalian Manajemen/Umum Mencakup seluruh kebijakan,

prosedur, dan alat bantu kendali dalam merencanakan, mengorganisasikan,
mengakuisisi atau mengembangkan, mengimplementasikan, menjalankan,
mendukung, mengawasi dan mengevaluasi sistem dan layanan informasi.
Pengendalian Aplikasi Mencakup seluruh kebijakan, prosedur, dan alat
bantu kendali yang terkait dengan aktifitas pemasukan, pemrosesan, dan
pengeluaran data dan informasi dari dan ke aplikasi melalui infrastruktur terkait.
Tujuan dari pelaksanaan audit sistem informasi sebaiknya dikelompokkan ke dalam
dua aspek utama dari ketatakelolaan TIK, yaitu :
Conformance (Kesesuaian) Pada kelompok tujuan ini audit sistem informasi
difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, khususnya
apakah suatu sistem informasi telah dapat memberikan jaminan yang memadai
mengenai :

Confidentiality (Kerahasiaan) Seluruh informasi yang penting dan sensitif

telah dilindungi secara memadai dari pengungkapan yang tidak sah.
Integrity (Integritas) Akurasi, kelengkapan, dan validitas informasi telah
terjamin sesuai denngan ekspektasi dan kepentingan organisasi.

Availability (Ketersediaan) Informasi selalu tersedia pada saat dibutuhkan

oleh organisasi pada saat ini dan di masa mendatang, termasuk ketersediaan dan
kemampuan sumber daya yang terkait.

Compliance (Kepatuhan) Telah dipatuhinya berbagai peraturan perundangperundangan, kebijakan dan prosedur serta perjanjian kerja, baik yang berasal
dari internal maupun eksternal.
Performance (Kinerja) Pada kelompok tujuan ini audit sistem informasi
difokuskan untuk memperoleh kesimpulan atas aspek kinerja, khususnya apakah
suatu sistem informasi telah dapat memberikan jaminan yang memadai mengenai :

Effectiveness (Efektifitas) Informasi telah dapat disampaikan secara

relevan dan sesuai kebutuhan organisasi, serta dapat digunakan, konsisten, benar
dan tepat waktu.
Efficiency (Efisiensi) Informasi disediakan melalui pemanfaatan secara
optimal (melalui cara yang paling produktif dan ekonomis) dari berbagai sumber
daya yang terkait.
Reliability (Kehandalan) Penyediaan informasi secara memadai yang dapat
memungkinkan manajemen untuk menjalankan organisasi serta kewajibannya,
baik dari aspek fidusiari maupun dari aspek ketatakelolaan.
Umumnya audit sistem informasi akan dilakukan dengan tujuan evaluasi atas
aspek conformance terlebih dahulu, baru dilanjutkan audit dengan dengan tujuan
evaluasi atas aspek performance.
Auditor sistem informasi akan melihat bahwa jika sistem informasi tidak dapat
menjaga kerahasiaan, integritas, ketersediaan serta kepatuhan, maka tidak mungkin
sistem informasi dapat dievaluasi efektifitasnya, dan hanya jika sistem telah dapat
dikatakan efektif dan handal barulah efisiensi sistem dapat dievaluasi. Dengan kata
lain, suatu sistem informasi seharusnya dapat mengendalikan
aspekconformance terlebih dahulu untuk kemudian dapat meningkatkan
aspekperformance.
Untuk lebih praktisnya, berikut ini adalah beberapa tujuan audit sistem informasi
yang pernah dilakukan, antara lain :

Evaluasi atas kesesuaian (strategic alignment) antara rencana strategis dan

rencana tahunan organisasi dengan rencana strategis TIK, rencana tahunan TIK
dan rencana proyek/program TIK.
Evaluasi atas kelayakan struktur organisasi TIK, termasuk pemisahan fungsi
(segregation of duties) dan kelayakan pelimpahan wewenang dan otoritas
(delegation of authority).

Evaluasi atas pengelolaan personil TIK, termasuk perencanaan kebutuhan,

rekrutmen dan seleksi, pelatihan dan pendidikan, promosi/demosi/mutasi, serta
terminasi personil TIK.

Evaluasi atas pengembangan TIK, termasuk analisis kebutuhan, perancangan,

pengembangan, pengujian, implementasi dan migrasi, pelatihan dan dokumentasi
TIK, serta manajemen perubahaan.

Evaluasi atas kegiatan operasional TIK, termasuk pengelolaan keamanan dan

kinerja pengelolaan pusat data (data center), pengelolaan keamanan dan kinerja
jaringan data, dan pengelolaan masalah dan insiden TIK serta dukungan
pengguna (helpdesk).

Evaluasi atas kontinuitas layanan TIK, termasuk pengelolaanbackup &

recovery, pengelolaan prosedur darurat TIK (IT emergency plan), pengelolaan
rencana pemulihan layanan TIK (IT recovery plan), serta pengujian rencana
kontijensi operasional (business contigency/continuity plan).

Evaluasi atas kualitas pengendalian aplikasi, termasuk pengendalian input,

pengendalian proses dan pengendalian output.

Evaluasi atas kualitas data/informasi, termasuk pengujian atas kelengkapan

dan akurasi data yang dimasukkan, diproses, dan dihasilkan oleh sistem
informasi.
Kualifikasi Auditor Sistem Informasi
Untuk dapat menjadi auditor sistem informasi disyaratkan suatu kompetensi yang
cukup kompleks, dimana di dalam satu tim audit sistem informasi sebaiknya
memiliki pengetahuan dan keahlian di bidang :

Auditing Termasuk pemahaman dan kemampuan untuk melakukan

perencanaan audit, penilaian risiko, pemilihan metode pengujian audit,
pelaksanaan audit sampling, penilaian materialitas audit, penyusunan pelaporan
dan rekomendasi audit.
Teknik Komputer Termasuk pemahaman atas risiko dan kendali atas
perangkat keras dan perangkat jaringan serta sistem operasi, logika
pemrograman, pengendalian manajemen basis data, pengendalian arsitektur
aplikasi.

Manajemen Informatika Termasuk pemahaman atas perencanaan dan

perancangan TIK, penganggaran dan manajemen investasi TIK, pengembangan
dan implementasi TIK, serta pengorganisasian dan pengelolaan proyek TIK.

Perilaku Organisasi Termasuk pemahaman atas kepemimpinan

organisasi, lingkungan pengendalian intern, perancangan kebijakan dan prosedur,
perancangan struktur organisasi, serta pengelolaan SDM.

Hukum Termasuk pemahaman atas peraturan perundang-undangan serta

kebijakan dan prosedur yang terkait dengan TIK dan proses bisnis atau kegiatan
yang diaudit.
Tim audit sistem informasi umumnya dilengkapi dengan tenaga ahli untuk bidangbidang tertentu yang sangat khusus, termasuk tenaga ahli yang memahami tentang
karakteristik serta kekhususan yang ada pada bidang bisnis atau kegiatan yang
diaudit.
Umum kualifikasi auditor sistem informasi dapat dibagi menjadi tiga tingkatan, yaitu
:

Tingkat 1 (Generalis) Auditor yang memiliki pengetahuan mengenai

dampak TI pada auditnya dan keahlian yang terbatas untuk melakukan berbagai
pengujian yang diperlukan dalam audit atas sistem informasi.
Tingkat 2 (Auditor) Auditor yang memiliki pengetahuan dan keahlian
untuk melaksanakan audit sistem informasi mulai dari tahap survei pendahuluan,
analisis resiko, perencanaan audit, penyusunan program audit , pelaksanaan
pengujian pengendalian dan pengujian terinci, sampai dengan kepada perumusan
temuan dan rekomendasi, penyusunan laporan audit serta pemantauan tindak
lanjut hasil audit.
Tingkat 3 (Spesialis) Tenaga ahli yang memiliki pengetahuan dan
keahlian yang komprehensif dan khusus di satu bidang TI, misalnya spesialis
keamanan jaringan komunikasi, spesialis database, spesialis pemrograman dan
sebagainya.
Manajemen TIK di Lembaga Pemerintahan
Manajemen TIK bukanlah suatu hal yang mudah, bahkan dapat dikatakan
manajemen TIK merupakan salah satu hal yang paling rumit dan kompleks dalam
manajemen suatu organisasi, terlebih lagi di lembaga pemerintahan.
Para pimpinan lembaga pemerintahan pertama-tama harus memenuhi tujuan
pengendalian intern TIK dari aspek conformance, dimana manajemen TIK di
lembaga pemerintahan harus dapat memberikan jaminan bahwa manajemen TIK
telah memenuhi berbagai peraturan perundang-undangan serta kebijakan dan
prosedur yang ada. Disamping itu pimpinan lembaga pemerintahan harus
merancang dan melaksanakan pengendalian intern TIK yang memadai untuk dapat
menjamin terjaganya kerahasiaan, integritas dan ketersediaan layanan TIK yang
dikelolanya.
Selanjutnya pimpinan lembaga pemerintahan harus dapat memberikan jaminan
bahwa TIK yang dikembangkan lembaganya telah dapat membantu pencapaian
tujuan lembaganya secara efektif, khususnya terkait dengan hasil (output) dari
pengembangan TIK dan manfaat (outcome) dari implementasi TIK. Aspek efektifitas
TIK di lembaga pemerintahan tentunya tidak hanya dilihat dari hasilnya secara
internal lembaga tersebut, namun juga dilihat dari secara lebih luas, yaitu
manfaatnya kepada layanan publik yang diberikan oleh lembaga pemerintah
tersebut kepada masyarakat.
Aspek efisiensi TIK rasanya cukup sensitif bagi para pimpinan lembaga
pemerintahan, dimana seringkali hal-hal mengenai inefisiensi TIK disalahartikan oleh
publik sebagai korupsi karena dianggap berpotensi merugikan negara. Padahal
pengelolaan efisiensi yang dimaksud disini dalam pengendalian intern TIK sangatlah
jauh dari definisi dan aktifitas korupsi.
Dalam melakukan evaluasi untuk menilai apakah penggunaan TIK di suatu lembaga
pemerintah sudah cukup efisien atau belum, maka pimpinan lembaga pemerintah
sebenarnya berupaya untuk mencari solusi-solusi alternatif yang dapat
meningkatkan efisiensi TIK, misalnya dengan mengganti perangkat keras yang
sudah usang dan lambat, mengganti personil yang lebih kompeten, atau bahkan
mengubah proses kerja dari lembaganya agar dapat lebih mengoptimalkan TIK yang
sudah ada.

Satu hal yang harus kita pahami bersama, bahwa ketatakelolaan TIK di lembaga
pemerintahan, bahkan di organisasi mana pun, merupakan tanggungjawab dari para
pimpinan lembaga tersebut secara kolektif, dan bukan menjadi tanggungjawab unit
kerja TIK sendiri, diaman peranan terbesar justru berada di tangan pemilik sistem,
yang tidak lain adalah pemilik proses bisnis atau kegiatan lembaga tersebut, yaitu
para pimpinan lembaga tersebut. Dengan kondisi saat ini dimana unit kerja TIK di
lembaga pemerintahan berada pada lapisan atau tingkatan ke-3 bahkan ke-4 dari
jajaran pimpinan lembaga pemerintahan, maka sangat sulit dan tidak masuk akal
jika ketatakelolaan TIK di lembaga pemerintahan dijadikan tanggung jawab utama
dari unit kerja TIK saja.
Peranan Audit Sistem Informasi di Lembaga Pemerintahan
Dengan pemahaman kita bahwa manajemen TIK di lembaga pemerintahan
merupakan suatu hal rumit dan kompleks serta penting bagi layanan publik, maka
sudah pasti semua pimpinan lembaga pemerintahan ingin mengetahui kondisi
ketatakelolaan TIK yang selama ini telah dilaksanakan di lembaganya.
Disinilah peranan Audit Sistem Informasi di dalam suatu lembaga pemerintahan,
yaitu untuk memberikan suatu hasil evaluasi yang independen mengenai kesesuaian
dan kinerja dari TIK yang ada, apakah sudah dapat melindungi aset TIK, menjaga
integritas dan ketersediaan sistem dan data, menyediakan informasi yang relevan
dan handal, dan mencapai tujuan organisasi dengan efektif, serta menggunakan
sumber daya TIK dengan efisien.
Para pemeriksa dari BPK, BPKP dan Bawasda serta kantor akuntan publik atau
konsultan audit yang melakukan audit atas lembaga pemerintahan, diharapkan
dapat memberikan suatu hasil evaluasi yang independen atas kesesuaian dan
kinerja pengelolaan TIK di lembaga pemerintahan, serta memberikan berbagai
rekomendasi yang dapat dengan signifikan meningkatkan ketatakelolaan TIK di
lembaga tersebut.
Keterpurukan ketatakelolaan TIK di lembaga pemerintahan saat ini, yang seringkali
hanyalah berupa belanja-belanja proyek TIK tanpa kejelasan kesesuaian dan kinerja
yang diharapkan, tentunya tidak lepas dari kemampuan para pemeriksa dalam
melakukan evaluasi dan memberikan rekomendasi terkait ketatakelolaan TIK serta
komitmen dari para pimpinan lembaga dalam menindaklanjuti rekomendasi
tersebut. Audit Sistem Informasi tidak dilaksanakan untuk mencari temuan atau
kesalahan, namun untuk memberikan kesimpulan serta merekomendasikan
perbaikan yang dapat dilakukan atas pengelolaan TIK.
Manfaat Audit Sistem Informasi di Lembaga Pemerintahan
Jika kita lihat kembali secara komprehensif berbagai hal yang terkait dengan Audit
Sistem Informasi mulai dari definisi, tujuan, lingkup, dan proses audit serta
kualifikasi auditornya, maka kita kini dapat memahami seberapa besar manfaat
Audit Sistem Informasi di lembaga pemerintahan, khususnya bagi para pimpinan
dan pegawai lembaga pemerintahan tersebut, dan tentunya bagi layanan publik
sebagai pemanfaat akhir dari TIK di lembaga pemerintahan.

Secara sederhana, dapat dikatakan bahwa Audit Sistem Informasi di lembaga

pemerintahaan akan dapat memberikan banyak manfaat, antara lain :

Meningkatkan perlindungan atas aset TIK lembaga pemerintahan yang

merupakan kekayaan negara, atau dengan kata lain aset milik publik,
Meningkatkan integritas dan ketersediaan sistem dan data yang digunakan
oleh lembaga pemerintahan baik dalam kegiatan internal lembaga maupun dalam
memberikan layanan publik,

Meningkatkan penyediaan informasi yang relevan dan handal bagi para

pemimpin lembaga pemerintahan dalam mengambil keputusan dalam
menjalankan layanan publik,

Meningkatkan peranan TIK dalam pencapaian tujuan lembaga pemerintaha

dengan efektif, baik itu untuk terkait dengan kebutuhan internal lembaga
tersebut, maupun dengan layanan publik yang diberikan oleh lembaga tersebut,

Meningkatkan efisiensi penggunaan sumber daya TIK serta efisiensi secara

organisasional dan prosedural di lembaga pemerintahan.
Dengan kata lain, Audit Sistem Informasi merupakan suatu komponen dan proses
yang penting bagi lembaga pemerintahan dalam upayanya untuk memberikan
jaminan yang memadai kepada publik atas pemanfaatan TIK yang telah
dilaksanakan oleh lembaga pemerintahan.
Penutup
Dengan semakin tingginya pemanfaatan TIK di lembaga pemerintahan, tentunya
akan mengakibatkan semakin kompleks dan rumitnya manajemen TIK di lembaga
pemerintahan, baik secara institusional maupun lintas sektoral. Hal ini tentunya
akan mengakibatkan semakin meningkatnya pula kebutuhan dari para pimpinan
lembaga pemerintahan akan proses dan hasil dari Audit Sistem Informasi.
Namun hal ini sebaiknya diikuti oleh penyediaan serta pengembangan tenagatenaga Auditor Sistem Informasi yang memiliki integritas yang tinggi serta tingkat
dan kombinasi kompetensi yang memadai. Masih sedikit lembaga pendidikan, baik
formal maupun non-formal, yang menyediakan pendidikan dan pelatihan Audit
Sistem Informasi.
Untuk itu besar harapan kita semua agar lembaga-lembaga pendidikan tinggi tidak
hanya mencetak lulusan dengan kemampuan untuk mengelola TIK namun juga
mencetak para auditor sistem informasi yang memiliki kehandalan dan integritas
yang tinggi.
Referensi

Standar Audit Sistem Informasi Ikatan Audit Sistem Informasi Indonesia

(IASII) (www.iasii.or.id)
Standard for Information System Auditing Information System Audit and
Control Association (ISACA) (www.isaca.org)

Materi Pelatihan Information Technology Audit Audittindo Education

(www.audittindo.co.id)

Information Technology Control and Audit 2nd Edition Ron Weber, Prentice
Hall, 2000

IT Audit Curriculum Internation Organization of Supreme Audit Institution

(INTOSAI) Standing Committee on IT Audit (www.intosaiitaudit.org)

COBIT version 4.1 Information Technology Governance Institute (ITGI)

(www.itgi.org)
http://chandra.yulistia.com/?p=10

Supangat http://bsiuntag-sby.com/berita-154-audit-sistem-informasi.html

AUDIT

SISTEM

INFORMASI

Menurut pendapat Ron Weber (1999, p.10 ), EDP auditing is the process of collecting and evaluating evidence to
determine whether a computer systems safeguards assets, maintains data integrity, achieves or- ganzational goals
effectively, and consumes resources effiently. Pengertiannya secara garis besar ialah proses pengumpulan dan
pengevaluasian bukti-bukti untuk menentukan apakah suatu sistem aplikasi komputerisasi telah menetapkan dan
menerapkan sistem pengendalian intern yang memadai, semua aktiva dilindungi dengan baik/ tidak disalahgunakan
serta terjaminnya integritas data, keandalan serta efektifitas dan efisiensi penyelenggaraan sistem informasi berbasis
komputer.
Audit sistem informasi dilakukan untuk dapat menilai:
a. apakah sistem komputerisasi suatu organisasi/perusahaan dapat mendukung pengamanan aset.
b. apakah sistem komputerisasi dapat mendukung pencapaian tujuan organisasi/perusahaan.
c. apakah sistem komputerisasi tersebut efektif, efisien dan data integrity terjamin.
Dikaitkan dengan pengertian dan jenis-jenis audit yang telah dibahas pada bab sebelumnya, audit sistem informasi
dapat dikelompokkan dalam beberapa tipe. Audit sistem informasi akuntansi berbasis komputer merupakan bagian dari
suatu kegiatan audit laporan keuangan yang sistem akuntansinya berbasis komputer, khususnya dalam pengujian
pengendalian (test of controls) apakah sistem dan program-programnya sudah benar, atau dalam audit substantif
(substantive test of transactions and balance related) apakah data/file yang ada pada sistem komputerisasi benar. Di
pihak lain audit sistem informasi juga dapat dikatagorikan sebagai jenis audit operasional, khususnya kalau
pemeriksaan yang dilakukan adalah dalam rangka penilaian terhadap kinerja unit fungsional atau fungsi sistem
informasi (pusat/instalasi komputer), atau untuk mengevaluasi sistem- sistem aplikasi yang diimplementasikan pada
suatu organisasi (general review), untuk memeriksa keterandalan sistem aplikasi komputer yang sedang dikembangkan
(concurrent audit), maupun yang sudah dioperasikan (post implementation audit).
Jadi secara lebih jelas audit sistem informasi dapat digolongkan dalam tipe atau jenis-jenis audit sebagai berikut:
1. Audit laporan keuangan (Financial Statement Audit)
2. Audit operasional (Operational Audit)
2.1. Audit terhadap aplikasi komputer
a. Postimplementation audit (audit setelah implementasi)
b. Concurrent audit (audit secara bersama-sama)
2.2. General audit (audit umum)
Auditor mengevaluasi kinerja unit fungsional atau fungsi sistem informasi (instalasi komputer) apakah telah dikelola
dengan baik.

Audit Sistem Informasi dan Audit atas Laporan Keuangan

Kasus 1 : Pada sebuah rapat pembahasan laporan auditor atas laporan keuangan
suatu bank terjadi diskusi antara Tim Auditor dan Dewan Direksi. Dewan Direksi
menanyakan kepada Auditor mengenai satu temuan kelemahan pengendalian intern
dalam laporan audit, yaitu mengenai masih lemahnya password pada sistem
komputerisasi di bank tersebut. Auditor menyebutkan bahwa password yang
digunakan hanya enam karakter dan audit menyarankan agar ditingkatkan menjadi
delapan karakter karena menurut auditor password dengan delapan karakter akan
lebih aman dibandingkan enam karakter. Dewan Direksi mengajukan beberapa
pertanyaan : Apa hubungannya antara pengendalian sistem informasi dengan opini
auditor atas laporan keuangan ? Dan apakah kelemahan pengendalian sistem
informasi akan mempengaruhi opini atas laporan keuangan ?
Kasus 2 : Komite Audit dari sebuah bank mengadakan diskusi dengan Tim Auditor
dari kantor akuntan publik untuk membahas lingkup audit yang akan dilakukan atas
laporan keuangan bank tersebut. Komite Audit menyampaikan bahwa dari beberapa
laporan auditor intern diketahui bahwa terdapat beberapa kelemahan signifikan
dalam aplikasi perhitungan bunga di bank tersebut. Komite Audit mempertanyakan
apakah Tim Auditor akan melakukan perluasan pengujian terhadap aplikasi tersebut.
Tim Auditor memberikan komentar bahwa mereka merasa tidak perlu memperluas
pengujian terhadap aplikasi tersebut karena audit yang mereka lakukan adalah audit
laporan keuangan dan bukan audit khusus atas sistem informasi sehingga pengujian
tambahan atas aplikasi tersebut tidak diperlukan dan diluar lingkup audit.
Kedua kasus diatas mungkin pernah kita hadapi sebagai auditor dan tidak mudah
bagi kita untuk menyelesaikan kedua kasus tersebut dengan baik. Pembahasan kita
kali ini akan mencoba melihat hubungan antara audit sistem informasi dan audit
atas laporan keuangan. Sebagai ilustrasi awal mari kita lihat terlebih dahulu
bagaimana pada umumnya laporan keuangan dihasilkan oleh aplikasi-aplikasi yang
ada dalam sistem informasi yang ada di berbagai perusahaan (Gambar 1).

Gambar 1 Ilustrasi sistem informasi perusahaan

Dari ilustrasi tersebut kita dapat melihat bahwa laporan keuangan dihasilkan oleh
suatu aplikasi yang memperoleh masukan dari aplikasi-aplikasi lain, baik itu aplikasi
pendukung maupun aplikasi bisnis. Angka-angka yang muncul dalam laporan
keuangan merupakan akumulasi dari berbagai transaksi yang dilakukan melalui
aplikasi-aplikasi lainnya.
Staf bagian penjualan hanya mengakses aplikasi penjualan untuk mencatat pesanan
dari pelanggan yang kemudian akan mengakibatkan terjadinya transaksi penjualan
yang dicatat di aplikasi akuntansi keuangan, serta di aplikasi akuntansi manajemen
tentunya. Begitu juga halnya dengan berbagai transaksi-transaksi lainnya. Pada
sistem informasi yang ada sekarang, dimana seluruh aplikasi tersebut sudah
terintegrasi dan memiliki interkoneksi yang sangat baik, hampir dapat dikatakan
tidak ada lagi entri data akuntansi langsung dari aplikasi akuntansi, hampir seluruh
data akuntansi dientri langsung dari aplikasi di sisi pengguna, baik aplikasi
pendukung maupun aplikasi bisnis. Hal ini tentunya akan mempercepat proses
penyusunan keuangan maupun laporan manajemen. Di lain pihak, kondisi ini juga
mengakibatkan tersebarluasnya sumber kesalahan pencatatan, dari yang tadinya
terpusat di unit akuntansi, kini terdistribusi ke seluruh jajaran operasional
perusahaan. Semakin kompleks aplikasi yang ada dibelakang aplikasi akuntansi
maka resiko akan terjadinya salah saji pada laporan keuangan akan semakin tinggi.
Tidak semua perusahaan mampu mengimplementasikan aplikasi yang terintegrasi,
kebanyakan justru menggunakan aplikasi yang berbeda yang dikoneksikan melalui
mediasi alat bantu yang sering disebut middleware, yang tugasnya mengambil data
dari berbagai aplikasi dan mengirimkannya ke aplikasi lain.
Dalam Standar Profesional Akuntan Publik dari IAI telah dijabarkan bagaiman
auditor harus melakukan auditnya dilingkungan sistem informasi komputer (SIK),
khususnya pada PSA No. 57 (SA Seksi 335) mengenai Auditing di Linbgkungan
Sistem Informasi Komputer. Dalam standar ini telah dengan jelas disebutkan
bahwa auditor harus mempertimbangkan bagaimana lingkungan SIK berdampak
terhadap audit. Tujuan dan lingkup audit secara keseluruhan tidak mengalami
perubahan dalam lingkungan SIK. Namun, penggunaan suatu komputer mengubah
pengolahan, penyimpanan, dan komunikasi informasi keuangan dan dapat
berdampak terhadap sistem akuntasi dan sistem pengendalian intern.

Selama melakukan review dan evaluasi pendahuluan terhadap pengendalian intern,

auditor harus mendapatkan pengetahuan tentang sistem akuntansi untuk
memperoleh pemahaman atas lingkungan pengendalian secara menyeluruh dan
aliran transaksi. Jika auditor merencanakan akan meletakan kepercayaan atas
pengendalian intern dalam pelaksanaan auditnya, ia harus mempertimbangkan
pengendalian manual dan komputer yang berdampak terhadap fungsi SIK
(pengendalian umum SIK) dan pengendalian khusus atas aplikasi akuntansi tertentu
(pengendalian aplikasi SIK). Secara sederhana hubungan antara pengendalian
umum, aplikasi pengendalian aplikasi dan laporan keuangan dapat kita lihat pada
Gambar 2.

Gambar 2 Hubungan antara pengendalian umum, pengendalian aplikasi

dan laporan keuangan
Dari ilustrasi sederhana tersebut kita dapat memahami mengapa standar audit
mengharuskan auditor untuk mempertimbangkan dampak lingkungan SIK terhadap
laporan keuangan. Pengendalian umum dalam SIK merupakan lapisan yang saling
berpengaruh, dan akhirnya akan mempengaruhi pengendalian aplikasi. Dari ilustrasi
sederhana ini juga mungkin kita akan dengan mudah dapat memberikan penjelasan
untuk menjawab kedua kasus diatas.
Bagi manajemen, sebaiknya dapat memahami bahwa dalam melakukan audit atas
laporan keuangan auditor juga harus melakukan evaluasi atas pengendalian umum
SIK dan pengendalian aplikasi yang berpengaruh terhadap laporan keuangan. Bagi
auditor sebaiknya juga dapat melaksanakan auditnya sesuai dengan standar yang
telah ditetapkan, dimana dalam melakukan audit auditor harus memperhatikan

lingkungan SIK yang dapat menyebabkan kemungkinan terjadinya salah saji yang
material pada laporan keuangan.
Hal ini semua pada awalnya hanya diatur oleh standar audit, baik Standar
Profesional Akuntan Publik (SPAP) maupun Standard Audit Pemerintahan (SAP). Kini
tanggungjawab manajemen atas pengendalian teknologi informasi serta kewajiban
auditor untuk mengevaluasi pengendalian intern di lingkungan sistem informasi
telah semakin diperkuat dengan adanya Sarbanes-Oxley Act 2002 di Amerikat
Serikat, khususnya Section 302 & 404. Undang-undang tersebut dikeluarkan dalam
rangka mengembalikan kepercayaan investor terhadap laporan keuangan
perusahaan publik, baik itu kepercayaan terhadap asersi manajemennya dalam
laporan keuangan maupun kepercayaan atas atestasi auditor dalam laporan
auditnya. Indonesia sebagai negara yang sudah memiliki pasar modal sudah
sebaiknya menerapkan peraturan yang sejenis untuk meningkatkan kepercayaan
publik.
http://chandra.yulistia.com/?p=17