BAB 4

Bagaimana Audit TI/SI Dilakukan ?

Latar Belakang
Informasi merupakan salah satu sumber daya strategis suatu organisasi, oleh
karena itu, untuk mendukung tercapainya visi dan misi suatu organisasi,
pengelolaan informasi menjadi salah satu kunci sukses. Sistem informasi
merupakan salah satu sub sistem organisasi untuk mengelola informasi. Saat ini
sistem informasi dioperasikan oleh hampir seluruh sumber daya manusia suatu
organisasi sehingga tidak dapat dipisahkan dengan operasi dan kehidupan
organisasi. Teknologi informasi merupakan komponen penting dari sistem
informasi, selain data/informasi, sumber daya manusia dan organisasi. Teknologi
informasi yang dimaksud adalah teknologi telematika, telekomunikasi dan
informatika, yang mencakup teknologi komputer (perangkat keras, perangkat
lunak) dan didukung dengan teknologi telekomunikasi, khususnya komunikasi
data digital sebagai infrastruktur dari jaringan komputer. Perlu teknik untuk
mengendalikan dan memastikan bahwa sistem informasi sudah sesuai dengan
tujuan organisasi. Audit sitem informasi merupakan suatu cara untuk menilai
sejauh mana suatu sistem informasi telah mencapai tujuan organisasi. Penelitian
ini ditujukan untuk mencari model untuk mengaudit sistem informasi berbasis
kendali. Model yang dikembangkan mencakup: (1) konsep struktur/ kerangka
dan
prosedur pelaksanaan audit, (2) materi/ isi yang dijadikan sebagai tolok ukur
untuk penilaian dan (3) perangkat lunak bantu yang memudahkan dokumentasi
dan pengolahan hasil audit. Pada makalah ini akan diuraikan konsep struktur/
kerangka dan prosedur audit sistem informasi saja, dua bagian lainnya akan
disampaikan pada makalah terpisah.
2. Audit Sistem Informasi Berbasis
AUDIT SISTEM INFORMASI

Sistem informasi adalah sekumpulan komponen yang saling berhubungan yang

mengumpulkan (collect/ retrieve), memproses, menyimpan dan mendistribusikan
informasi untuk mendukung pembuatan keputusan dan pengendalian suatu
organisasi. Informasi adalah data yang telah diolah menjadi bentuk yang
bermakna dan bermanfaat bagi pemakai. Data adalah fakta yang menyatakan
suatu kejadian atau lingkungan fisik yang belum dikelola menjadi bentuk yang
bermakna dan bermanfaat bagi manusia. Audit sistem informasi didefinisikan
sebagai proses pengumpulan dan evaluasi fakta/ evidence untuk menentukan
apakah suatu sistem informasi telah melindungi aset, menjaga integritas data,
dan

memungkinkan

tujuan

organisasi

tercapai

secara

efektif

dengan

menggunakan sumber daya secara efisien. Dalam pelaksanaan audit digunakan

etika profesi yang dirumuskan oleh organisasi profesi Information System Audit
and Control Association (ISACA)
Dalam melaksanakan audit faktor-faktor berikut harus diperhatikan:
1.

Dibutuhkan informasi yang dapat diukur dan sejumlah kriteria (standar)

yang dapat digunakan sebagai panduan untuk mengevaluasi informasi
tersebut,

2. Penetapan entitas ekonomi dan periode waktu yang diaudit harus jelas
untuk menentukan lingkup tanggungjawab auditor,
3. Bahan bukti harus diperoleh dalam jumlah dan kualitas yang cukup untuk
memenuhi tujuan audit,
4. Kemampuan auditor memahami kriteria yang digunakan serta sikap
independen dalam mengumpulkan bahan bukti yang diperlukan untuk
mendukung kesimpulan yang akan diambilnya.

Audit TI merupakan proses pengumpulan dan evaluasi bukti-bukti untuk

menentukan apakah sistem komputer yang digunakan telah dapat melindungi
aset milik organisasi, mampu menjaga integritas data, dapat membantu
pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya
yang dimiliki secara efisien (Weber, 2000). Audit TI sendiri merupakan gabungan

dari berbagai macam ilmu, antara lain: Traditional Audit, Manajemen Sistem
Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science.
Audit Sistem Informasi merupakan pengumpulan dan evaluasi bukti-bukti untuk
menentukan apakah sistem komputer yang digunakan telah dapat melindungi
aset milik organisasi, mampu menjaga integritas data, dapat membantu
pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya
yang dimiliki secara efisien. Audit Sistem Informasi sendiri merupakan gabungan
dari berbagai macam ilmu, antara lain: Traditional Audit, Manajemen Sistem
Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science.
Pada dasarnya, Audit Sistem Informasi dapat dibedakan menjadi dua kategori,
yaitu Pengendalian Aplikasi (Application Control) dan Pengendalian Umum
(General Control). Tujuan pengendalian umum lebih menjamin integritas data
yang terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas
program atau aplikasi yang digunakan untuk melakukan pemrosesan data.
Sementara, tujuan pengendalian aplikasi dimaksudkan untuk memastikan bahwa
data di-input secara benar ke dalam aplikasi, diproses secara benar, dan
terdapat pengendalian yang memadai atas output yang dihasilkan. Dalam audit
terhadap aplikasi, biasanya, pemeriksaan atas pengendalian umum juga
dilakukan mengingat pengendalian umum memiliki kontribusi terhadap efektifitas
atas pengendalian-pengendalian aplikasi.
Keuntungan adanya audit antara lain :

menilai keefektifan aktivitas aktifitas dokumentasi dalam organisasi,

memonitor kesesuaian dengan kebijakan, sistem, prosedur dan undangundang perusahaan,

mengukur tingkat efektifitas dari sistem,

mengidentifikasi kelemahan di sistem yang mungkin mengakibatkan

ketidaksesuaian di masa datang,

menyediakan informasi untuk proses peningkatan,

meningkatkan saling memahami antar departemen dan antar individu,

melaporkan
manajemen.

hasil

tinjauan

dan

tindakan

berdasarkan

resiko

ke

Informasi audit harus disimpan dan dijaga sehingga sebuah aksi dapat ditelusuri.
Data audit harus dijaga dari modifikasi dan perusakan dari pihak yang tidak
bertanggung jawab.

METHODOLOGI AUDIT SISTEM INFORMASI

Dalam pelaksanaanya, auditor TI mengumpulkan bukti-bukti yang memadai
melalui berbagai teknik termasuk survey, wawancara, observasi dan review
dokumentasi.
Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya
mencakup pula bukti elektronis. Biasanya, auditor TI menerapkan teknik audit
berbantuan computer, disebut juga dengan CAAT (Computer Aided Auditing
Technique). Teknik ini digunakan untuk menganalisa data, misalnya saja data
transaksi

penjualan, pembelian, transaksi aktivitas persediaan, aktivitas

nasabah, dan lain-lain.

Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem
komputer berjalan semestinya. Tujuh langkah proses audit:
1. Implementasikan sebuah strategi audit berbasis manajemen risiko serta
control practice yang dapat disepakati semua pihak.
2. Tetapkan langkah-langkah audit yang rinci.
3. Gunakan

fakta/bahan

bukti

yang

cukup,

handal,

relevan,

serta

bermanfaat.
4. Buatlah

laporan

beserta

kesimpulannya

berdasarkan

fakta

yang

dikumpulkan.
5. Telaah apakah tujuan audit tercapai.
6. Sampaikan laporan kepada pihak yang berkepentingan.
7. Pastikan bahwa organisasi mengimplementasikan managemen risiko
serta control practice.
Sebelum menjalankan proses audit, tentu saja proses audit harus
direncanakan terlebih dahulu. Audit planning (perencanaan audit) harus secara
jelas menerangkan tujuan audit, kewenangan auditor, adanya persetujuan
managemen tinggi, dan metode audit. Metodologi audit:

1.

Audit subject. Menentukan apa yang akan diaudit.

2.

Audit objective. Menentukan tujuan dari audit.

3.

Audit Scope. Menentukan sistem, fungsi, dan bagian dari organisasi

yang secara spesifik/khusus akan diaudit.

4.

Preaudit Planning. Mengidentifikasi sumber daya dan SDM yang

dibutuhkan, menentukan dokumen-dokumen apa yang diperlukan
untuk menunjang audit, menentukan lokasi audit.

5.

Audit procedures and steps for data gathering. Menentukan cara

melakukan audit untuk memeriksa dan menguji kendali, menentukan
siapa yang akan diwawancara.

6.

Evaluasi hasil pengujian dan pemeriksaan. Spesifik pada tiap

organisasi.

7.

Prosedur komunikasi dengan pihak manajemen. Spesifik pada tiap

organisasi.

8.

Audit Report Preparation. Menentukan bagaimana cara memeriksa

hasil audit, yaitu evaluasi kesahihan dari dokumen-dokumen, prosedur,
dan kebijakan dari organisasi yang diaudit. Struktur dan isi laporan
audit tidak baku, tapi umumnya terdiri atas:
Pendahuluan. Tujuan, ruang lingkup, lamanya audit,

prosedur audit.
o

Kesimpulan umum dari auditor.

Hasil audit. Apa yang ditemukan dalam audit, apakah

prosedur dan kontrol layak atau tidak

Rekomendasi. Tanggapan dari manajemen (bila perlu).

Exit interview. Interview terakhir antara auditor dengan

pihak manajemen untuk membicarakan temuan-temuan dan
rekomendasi tindak lanjut. Sekaligus meyakinkan tim manajemen
bahwa hasil audit sahih

KATEGORI AUDIT TI
Pada dasarnya, Audit TI dapat dibedakan menjadi dua kategori, yaitu
Pengendalian Aplikasi (Application Control) dan Pengendalian Umum (General
Control). Tujuan pengendalian umum lebih menjamin integritas data yang

terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas program

atau aplikasi yang digunakan untuk melakukan pemrosesan data. Sementara,
tujuan pengendalian aplikasi dimaksudkan untuk memastikan bahwa data diinput secara benar ke dalam aplikasi, diproses secara benar, dan terdapat
pengendalian yang memadai atas output yang dihasilkan. Dalam audit terhadap
aplikasi, biasanya, pemeriksaan atas pengendalian umum juga dilakukan
mengingat pengendalian umum memiliki kontribusi terhadap efektifitas atas
pengendalian-pengendalian aplikasi. Dalam praktiknya, tahapan-tahapan dalam
audit TI tidak berbeda dengan audit pada umumnya. Tahapan perencanaan,
sebagai suatu pendahuluan, mutlak perlu dilakukan agar auditor mengenal benar
objek yang akan diperiksa. Di samping, tentunya, auditor dapat memastikan
bahwa qualified resources sudah dimiliki, dalam hal ini aspek SDM yang
berpengalaman dan juga referensi praktik-praktik terbaik ( best practices ).
Tahapan perencanaan ini akan menghasilkan suatu program audit yang didesain
sedemikian rupa, sehingga pelaksanaannya akan berjalan efektif dan efisien,
dan dilakukan oleh orang-orang yang kompeten, serta dapat diselesaikan dalam
waktu sesuai yang disepakati.
Dalam pelaksanaannya, auditor TI mengumpulkan bukti-bukti yang memadai
melalui berbagai teknik termasuk survei, interview, observasi dan review
dokumentasi (termasuk review source-code bila diperlukan). Satu hal yang unik,
bukti-bukti audit yang diambil oleh auditor biasanya mencakup pula bukti
elektronis (data dalam bentuk file softcopy). Biasanya, auditor TI menerapkan
teknik audit berbantuan komputer, disebut juga dengan CAAT (Computer Aided
Auditing Technique). Teknik ini digunakan untuk menganalisa data, misalnya saja
data transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas
nasabah, dan lain-lain.
Sesuai dengan standar auditing ISACA (Information Systems Audit and Control
Association), selain melakukan pekerjaan lapangan, auditor juga harus
menyusun laporan yang mencakup tujuan pemeriksaan, sifat dan kedalaman
pemeriksaan yang dilakukan. Laporan ini juga harus menyebutkan organisasi
yang diperiksa, pihak pengguna laporan yang dituju dan batasan-batasan

distribusi laporan. Laporan juga harus memasukkan temuan, kesimpulan,

rekomendasi sebagaimana layaknya laporan audit pada umumnya.

Model audit sistem informasi berbasis kendali ini didasarkan pada suatu model
fungsional sistem informasi, di mana sistem informasi dibagi dalam 2 fungsi [2],
yaitu: fungsi manajemen dan fungsi aplikasi, di mana fungsi manajemen
membungkus fungsi-fungsi aplikasi (Gambar 4.1)

Informasi
Data
Prosedur
(BD/NW)
Interoperabilitas
(HW/SW)
Pemroses
Aplikasi
Dokumen
Sistem Informasi

Gambar 4.1. Lapisan Fungsional Sistem Informasi

LANGKAH DASAR AUDIT SI
Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem
komputer berjalan semestinya. Tujuh langkah proses audit:
1) Implementasikan sebuah strategi audit berbasis manajemen risiko serta
control practice yang dapat disepakati semua pihak.
2) Tetapkan langkah-langkah audit yang rinci.
3) Gunakan

fakta/bahan

bukti

yang

cukup,

handal,

relevan,

serta

bermanfaat.
4) Buatlah

laporan

beserta

kesimpulannya

berdasarkan

fakta

yang

dikumpulkan.
5) Telaah apakah tujuan audit tercapai.
6) Sampaikan laporan kepada pihak yang berkepentingan.
7) Pastikan bahwa organisasi mengimplementasikan managemen risiko
serta control practice.
Sebelum menjalankan proses audit, tentu saja proses audit harus
direncanakan terlebih dahulu. Audit planning (perencanaan audit) harus secara
jelas menerangkan tujuan audit, kewenangan auditor, adanya persetujuan
managemen tinggi, dan metode audit. Metodologi audit:
1) Audit subject. Menentukan apa yang akan diaudit.
2) Audit objective. Menentukan tujuan dari audit.
3) Audit Scope. Menentukan sistem, fungsi, dan bagian dari organisasi yang
secara spesifik/khusus akan diaudit.
4) Preaudit Planning. Mengidentifikasi sumber daya dan SDM yang
dibutuhkan, menentukan dokumen-dokumen apa yang diperlukan untuk
menunjang audit, menentukan lokasi audit.
5) Audit procedures and steps for data gathering. Menentukan cara
melakukan audit untuk memeriksa dan menguji kendali, menentukan
siapa yang akan diwawancara.
6) Evaluasi hasil pengujian dan pemeriksaan. Spesifik pada tiap organisasi.

7) Prosedur komunikasi dengan pihak manajemen. Spesifik pada tiap

organisasi.
8) Audit Report Preparation. Menentukan bagaimana cara memeriksa hasil
audit, yaitu evaluasi kesahihan dari dokumen-dokumen, prosedur, dan
kebijakan dari organisasi yang diaudit. Struktur dan isi laporan audit tidak
baku, tapi umumnya terdiri atas:
o

Pendahuluan. Tujuan, ruang lingkup, lamanya audit, prosedur

audit.

Kesimpulan umum dari auditor.

Hasil audit. Apa yang ditemukan dalam audit, apakah prosedur

dan kontrol layak atau tidak

Rekomendasi. Tanggapan dari manajemen (bila perlu).

Exit interview. Interview terakhir antara auditor dengan pihak

manajemen

untuk

membicarakan

temuan-temuan

dan

rekomendasi tindak lanjut. Sekaligus meyakinkan tim manajemen

bahwa hasil audit sahih

PERKEMBANGAN PENDEKATAN AUDIT SISTEM INFORMASI

Perkembangan teknologi informasi, perangkat lunak, sistem jaringan dan

komunikasi dan otomatisasi dalam pengolahan data berdampak perkembangan
terhadap pendekatan audit yang dilakukan, tiga pendekatan yang dilakukan oleh
auditor dalam memeriksa laporan keuangan klien yang telah mempergunakan
Sistem Informasi Akuntansi yaitu (Watne, 1990) :
1) Auditing Around The Computer. Pendekatan ini merupakan pendekatan
yang mula-mula ditempuh oleh auditor. Dengan pendekatan ini komputer
yang digunakan oleh perusahaan diperlakukan sebagai Black Box.
Asumsi yang digunakan dalam pendekatan ini adalah bila sampel output
dari suatu sistem ternyata benar berdasarkan masukan sistem tadi, maka
pemrosesannya tentunya dapat diandalkan. Dalam pemeriksaan dengan
pendekatan ini, auditor melakukan pemeriksaan di sekitar komputer saja.

2) Auditing

With

The

Computer.

Pendekatan

ini

digunakan

untuk

mengotomatisati banyak kegiatan audit. Auditor memanfaatkan komputer

sebagai

alat

bantu

dalam

melakukan

penulisan,

perhitungan,

pembandingan dan sebagainya. Pendekatan ini menggunakan perangkat

lunak

Generalized Audit Software, yaitu program audit yang berlaku

umum untuk berbagai klien.

3) Auditing Through The Computer. Pendekatan ini lebih menekankan pada
langkah pemrosesan serta pengendalian program yang dilakukan oleh
sistem komputer. Pendekatan ini mengasumsikan bahwa jika program
pemrosesan dirancang dengan baik dan memiliki aspek pengendalian
yang memadai, maka kesalahan dan penyimpangan kemungkinan besar
tidak terjadi.pendekatan ini biasanya diterapkan pada sistem pengolahan
data on-line yang tidak memberikan jejak audit yang memadai.
TAHAP-TAHAP AUDIT SISTEM INFORMASI
Audit Sistem Informasi dapat dilakukan dengan berbagai macam tahap-tahap.
Tahap-tahap audit terdiri dari 5 tahap sebagai berikut :
1. Tahap pemeriksaan pendahuluan
2. Tahap pemeriksaan rinci.
3. Tahap pengujian kesesuaian.
4. Tahap pengujian kebenaran bukti.
5. Tahap penilaian secara umum atas hasil pengujian.

1. Tahap Pemeriksaan Pendahuluan.

Sebelum auditor menentukan sifat dan luas pengujian yang harus dilakukan,
auditor harus memahami bisnis auditi (kebijakan, struktur organisasi, dan praktik
yang dilakukan). Setelah itu, analisis risiko audit merupakan bagian yang sangat
penting. Ini meliputi review atas pengendalian intern. Dalam tahap ini, auditor
juga mengidentifikasi aplikasi yang penting dan berusaha untuk memahami
pengendalian terhadap transaksi yang diproses oleh aplikasi tersebut. pada
tahap ini pula auditor dapat memutuskan apakah audit dapat diteruskan atau
mengundurkan diri dari penugasan audit.

2. Tahap Pemeriksaan Rinci.

Pada tahap ini auditnya berupaya mendapatkan informasi lebih mendalam untuk
memahami pengendalian yang diterapkan dalam sistem komputer
klien. Auditor harus dapat memperkirakan bahwa hasil audit pada
akhirnya harus dapat dijadikan sebagai dasar untuk menilai apakah
struktur pengendalian intern yang diterapkan dapat dipercaya atau
tidak. Kuat atau tidaknya pengendalian tersebut akan menjadi dasar
bagi auditor dalam menentukan langkah selanjutnya.
3. Tahap Pengujian Kesesuaian.
Dalam tahap ini, dilakukan pemeriksaan secara terinci saldo akun dan transaksi.
Informasi yang digunakan berada dalam file data yang biasanya harus diambil
menggunakan software CAATTs. Pendekatan basis data menggunakan CAATTs
dan pengujian substantif untuk memeriksa integritas data. Dengan kata lain,
CAATTs digunakan untuk mengambil data untuk mengetahui integritas dan
keandalan data itu sendiri.
4. Tahap Pengujian Kebenaran Bukti.
Tujuan pada tahap pengujian kebenaran bukti adalah untuk mendapatkan bukti
yang cukup kompeten,. Pada tahap ini, pengujian yang dilakukan
adalah (Davis at.all. 1981) :
1) Mengidentifikasi kesalahan dalam pemrosesan data
2) Menilai kualitas data
3) Mengidentifikasi ketidakkonsistenan data
4) Membandingkan data dengan perhitungan fisik
5) Konfirmasi data dengan sumber-sumber dari luar perusahaan.
5. Tahap Penilaian Secara Umum atas Hasil Pengujian.
Pada tahap ini auditor diharapkan telah dapat memberikan penilaian apakah
bukti yang diperoleh dapat atau tidak mendukung informasi yang diaudit. Hasil
penilaian tersebut akan menjadi dasar bagi auditor untuk menyiapkan
pendapatanya dalam laporan auditan. Auditor harus mengintegrasikan hasil
proses dalam pendekatan audit yang diterapkan audit yang diterapkan. Audit
meliputi struktur pengendalian intern yang diterapkan perusahaan, yang

mencakup : (1) pengendalian umum, (2) pengendalian aplikasi, yang terdiri dari :
(a) pengendalian secara manual, (b) pengendalian terhadap output sistem
informasi, dan (c) pengendalian yang sudah diprogram.

PEMAHAMAN PENGENDALIAN UMUM

Pengendalian umum pada perusahaan biasanya dilakukan terhadap aspek fisikal
maupun logikal. Aspek fisikal, terhadap aset-aset fisik perusahaan, sedangkan
aspek logikal biasanya terhadap sistem informasi di level manajemen (misal:
sistem operasi). Pengendalian umum sendiri digolongkan menjadi beberapa,
diantaranya adalah:
1). Pengendalian organisasi dan otorisasi.
Yang dimaksud dengan organisasi disini adalah secara umum terdapat
pemisahan tugas dan jabatan antara pengguna sistem (operasi) dan
administrator sistem (operasi). Disini juga dapat dilihat bahwa pengguna
hanya dapat mengakses sistem apabila memang telah diotorisasi oleh
administrator.
2). Pengendalian operasi.
Operasi sistem informasi dalam perusahaan juga perlu pengendalian
untuk memastikan sistem informasi tersebut dapat beroperasi dengan baik
selayaknya sesuai yang diharapkan.
3) Pengendalian perubahan.
Perubahan-perubahan yang dilakukan terhadap sistem informasi juga
harus dikendalikan. Termasuk pengendalian versi dari sistem informasi
tersebut, catatan perubahan versi,serta manajemen perubahan atas
diimplementasikannya sebuah sistem informasi.
4) Pengendalian akses fisikal dan logikal.
Pengendalian akses fisikal berkaitan dengan akses secara fisik terhadap
fasilitas-fasilitas sistem informasi suatu perusahaan, sedangkan akses
logikal berkaitan dengan pengelolaan akses terhadap sistem operasi
sistem tersebut (misal: windows).

PENGENDALIAN APLIKASI.
PEMAHAMAN PENGENDALIAN APLIKASI
Pengendalian

aplikasi

yang

dimaksud

disini

adalah

prosedur-prosedur

pengendalian yang didisain oleh manajemen organisasi untuk meminimalkan

resiko terhadap aplikasi yang diterapkan perusahaan agar proses bisnisnya
dapat berjalan dengan baik.
Hubungan Pengendalian Umum dan Aplikasi
Hubungan antara pengendalian umum dan aplikasi biasanya bersifat pervasif.
Artinya apabila pengendalian umum terbukti jelek, maka pengendalian
aplikasinya diasumsikan jelek juga, sedangkan bila pengendalian umum terbukti
baik, maka diasumsikan pengendalian aplikasinya juga baik.
Macam Aplikasi
Aplikasi yang dimaksud biasanya berwujud perangkat lunak, yang dapat dibagi
menjadi dua tipe dalam perusahaan untuk kepentingan audit PDE:
1. Perangkat lunak berdiri sendiri. Tipe ini biasanya terdapat pada organisasi
yang belum menerapkan SIA dan sistem ERP, sehingga masih banyak aplikasi
yang berdiri sendiri pada masing-masing unitnya. Sebagai contoh: aplikasi
(software) MYOB pada fungsi akuntansi dan keuangan.
2. Perangkat lunak di server. Tipe ini biasanya terdapat pada organisasi yang
telah menerapkan SIA dan sistem ERP. Aplikasi terinstall pada server sehingga
tipe struktur sistemnya memakai sistem client-server . Client hanya dipakai
sebagai antar-muka (interface) untuk mengakses aplikasi pada server.
Macam Pengendalian Aplikasi
Pengendalian aplikasi dalam organisasi sendiri biasanya dibagi menjadi
beberapa:
1. Organisasi Aplikasi
2. Akses Aplikasi
3. Input
4. Proses
5. Output
6. Master File/Database
Pemahaman atas Pengendalian Organisasi dan Akses Aplikasi

Pada modul ini, kita akan mencoba memahami terlebih dahulu pengendalian
aplikasi:
organisasi dan akses. Pada pengendalian organisasi, hampir sama dengan
pengendalian umum organisasi, namun lebih terfokus pada aplikasi yang
diterapkan perusahaan. Siapa pemilik aplikasi, tugas administrator, pengguna,
hingga pengembangan aplikasi tersebut.
Untuk pengendalian akses, biasanya terpusat hanya pada pengendalian logika
saja untuk menghindari akses tidak terotorisasi. Selain itu juga terdapat
pengendalian role based menu dibalik pengendalian akses logika, dimana hanya
pengguna tertentu saja yang mampu mengakses menu yang telah ditunjuk oleh
administrator. Hal ini berkaitan erat dengan kebijakan TI dan prosedur
perusahaan berkaitan dengan nama pengguna dan sandi nya.
Pemahaman atas Pengendalian Input
Modul ini melanjutkan pengendalian akses dari modul 3.0b, yang pertama
melihat pada proses
pengendalian input. Inti dari pengendalian input adalah memastikan data-data
yang dimasukkan ke dalam sistem telah tervalidasi, akurat, dan terverifikasi.
Beberapa pengendalian input otomatis yang biasa diprogram:
Validation checks
1. Format checks: sesuai dengan format yang ditentukan
2. Range and limit checks
3. Check digits
4. Validity checks (lookup)
5. Compatibility checks (data dan turunan)
Duplicate Checks
Membandingkan dengan input transaksi sebelumnya
Matching
Membandingkan (verifikasi) instan pada satu modul dengan instan modul lain
yang
terhubungkan, contoh: penerimaan barang dengan tagihan
Pemahaman atas Pengendalian Proses
Pengendalian proses biasanya terbagi menjadi dua tahapan, yaitu (1) tahapan
transaksi, dimana proses terjadi pada berkas-berkas transaksi baik yang

sementara maupun yang permanen dan (2) tahapan database, proses yang
dilakukan pada berkas-berkas master.
Adapun tipe pengendalian proses adalah sebagai berikut:
1. Run to run control
2. Pivot totals
3. Control/Hash totals: non numerical control
4. Control accounts
5. Data file control: menghitung instan entitas
6. Transaction validation control
7. File reconciliation control
Pemahaman atas Pengendalian Output
Pada pengendalian ini dilakukan beberapa pengecekan baik secara otomatis
maupun manual (kasat mata) jika output yang dihasilkan juga kasat mata.
Beberapa tipe pengendalian output:
1. Ekspektansi output (logs)
2. Kelengkapan output (misal dengan no halaman)
3. Pengendalian atas spooled output
4. Reasonableness
5. Output rutin
6. Distribusi output
7. Orang yang tepat, ditempat yang benar dalam waktu yang reasonable
8. SQL output
Pemahaman atas Pengendalian Berkas Master
Pada pengendalian ini harus terjadi integritas referensial pada data, sehingga
tidak akan
diketemukan anomali-anomali, seperti:

Anomaly penambahan

Anomaly penghapusan

Anomaly pemuktahiran/pembaruan
Fungsi manajemen mencakup: manajemen puncak, manajemen pengembangan,
manajemen operasi dan pemeliharaan, manajemen kualitas, manajemen
keamanan, dan manajemen data. Sedangkan fungsi aplikasi mencakup sub
fungsi: batas antara pemakai dan sistem aplikasi, input, pemrosesan, basis data,

komunikasi data dan output, prosedur dan dokumentasi. Sedangkan dilihat dari
fungsi aplikasi, sistem informasi dapat dimodelkan seperti pada gambar 4.2.

Gambar Model IPO (Input-Proses-Output) dan Komponen Aplikasi Sistem

Informasi
PENGENALAN KERTAS KERJA
Kertas Kerja:
Kertas kerja audit adalah catatan yang dibuat auditor tentang prosedur yang
diterapkan, pelaksanaan pengujian dan bukti yang diperoleh serta kesimpulan
yang diperoleh selama audit.
Kertas kerja merupakan pendukung utama laporan audit, alat koordinasi dan
supervisi, bukti bahwa auditor telah melakukan audit sesuai dengan standar
auditing yang Berterima umum.
Tujuan Kertas Kerja:

Untuk mendokumentasikan semua bukti audit yang diperoleh selama

pelaksanaan audit.

Untuk mengorganisasikan/mengkoordinasikan semua tahap atau

langkah-langkah audit.

Untuk membantu auditor senior, partner atau pimpinan kantor akuntan

dalam mereview pekerjaan yang dihasilkan oleh stafnya.

Untuk mempermudah atau sebagai dasar penyusunan laporan audit

Sebagai bukti dan penjelasan secara rinci atas pendapat auditor serta
temuan-temuan yang telah dilaporkan dalam laporan audit.

Pedoman Pembuatan Kertas Kerja

Setiap kertas kerja harus bertujuan

Setiap topik dibuatkan kertas kerja sendiri

Indentitas (judul) yang jelas

Diberi indeks atau indeks silang

Semua langkah (prosedur audit) harus dijelaskan

Berisi komentar auditor yang mencerminkan kesimpulan

Ada paraf dan tanggal pembuatan/evaluasi

Penyimpanan terpisah antara yang sudah selesai dengan yang belum

selesai

Jenis Kertas Kerja

Kertas kerja neraca saldo

Jadwal dan analisis

Memo audit dan informasi pendukung

Jurnal penyesuaian dan pengklasifikasian kembali

STANDAR UMUM KERTAS KERJA

Fungsi Kertas Kerja

Pendukung pendapat auditor.

Membantu dalam pengarahan dan pengawasan pekerjaan.

Penyediaan catatan tentang:

1. Prosedur audit yang dilakukan.
2. Pengujian yang dilakukan
3. Informasi yang diperoleh.

4. Kesimpulan yang dicapai.

Menyediakan bukti bahwa audit telah diarahkan menurut Standar

Profesional Audit Internal

Kelengkapan Kertas Kerja

Kertas kerja harus akurat dan lengkap

1.

Tidak ada pertanyaan signifikan dalam

lingkup atau yang berhubungan dengan tujuan audit yang tidak
dapat terjawab.

2.

Kertas kerja harus berdiri sendiri, dalam

hal ini harus dinyatakan secara jelas bahwa pekerjaan telah
dilaksanakan, bagaimana dan dari mana sampel dipilih, tujuan
kertas kerja, temuan apa saja yang telah dibuat, dan lain-lain.

Setiap bagian dari kertas kerja harus terdiri dari:

1. Gambaran judul
2. Identifikasi sumber jika jelas
3. Tanggal persiapan auditor awal
4. Nomer indeks kertas kerja

PRINSIP LAPORAN AUDIT

Hasil Laporan audit merupakan media yang dipakai oleh auditor dalam
berkomunikasi dengan klien. Laporan audit berupa komunikasi dan ekspresi
auditor terhadap objek yang diaudit agar laporan atau ekspresi auditor tadi dapat
dimengerti maka laporan itu harus mampu dipahami oleh penggunanya.

Laporan audit ini terdiri dari:

1) Maksud dan tujuan dari review pengendalian terhadap penerapan
TI di klien.
2) Ruang lingkup dan referensi pengendalian yang digunakan sebagai
bahan acuan penilaian pengendalian TI yang diterapkan dalam
klien.

3) Metodologi review merupakan langkah-langkah audit dan teknik

pemerolehan informasi untuk mendukung laporan review.
4) Pernyataan penjelasan hasil review:
a) Permasalahan, menjelaskan pokok masalah yang saat ini
dihadapi oleh klien.
b) Temuan,

menjelaskan

bukti

audit

untuk

mendukung

kesimpulan masalah.
c) Kriteria/standar,

menjelaskan

pengendalian

yang

dan

serta

seharusnya diterapkan oleh klien.

d) Kondisi,

menjelaskan

sebab

akibat

aktifitas/kegiatan terkini.
e) Risiko, menjelaskan potensi dan dampak negatif terhadap
hilangnya atau tidak diterapkannya pengendalian.
f) Tanggapan

manajemen,

menjelaskan

komentar

dan

tanggapan manajemen terhadap permasalahan dan temuan

yang telah disampaikan.
g) Rekomendasi,

menjelaskan

saran-saran

perbaikan

dan

implementasi penge pengendalian yang harus diterapkan

dalam kegiatan/aktifitas klien.

Pelaksanaan audit system informasi dilaksanakan berdasarkan risk-based

approach dengan mengacu pada:
1. Pernyataan Standar Audit 57, 59, 60, 63, 64 dan 65
2. COBIT 4.0
3. ISO 17799:2005

4. best practices lainnya (ISACA Guidelines, CISA 2007, COSO, SarbanesOxley Act, SANS) Pelaksanaan audit dilakukan dengan
Cara yang dapat dilaksanakan adalah:
1. Penyampaian kuisioner
a. Kuisioner Pengendalian Sistem Informasi

b. Kuisioner

Analisis

Pengelolaan

Teknologi

Informasi,

Management Awareness

c. Kuisioner II Analisis Pengelolaan Teknologi Informasi, Information

Technology Controls Diagnostic
2. Wawancara
3. Observasi
a. Major application
b. Infrastruktur

pendukung

data center:

air

detector, fire extinguisher, hydrant, dll.

c. Sistem Operasi
d. Database
e. Internet, LAN, WAN
f. Perangkat Keras dan Lunak
g. Kebijakan dan Standard Operation Procedure
4. Studi kebijakan, prosedur, dan dokumentasi
5. Pengujian dengan menggunakan perangkat lunak

conditioning,

smoke

Referensi Control Objective for

Information and related Technology
(COBIT):
1. Mengamankan Aset Sistem Informasi (Assets Safeguarding)
Aset informasi suatu entitas seperti perangkat keras

(hardware),

perangkat lunak (software), sumber daya manusia, file/data dan fasilitas

Teknologi Informasi lainnya harus dijaga dengan sistem pengendalian
internal yang baik agar tidak terjadi mis efisiensi, mis-efektifitas, dan
penyalahgunaan aset entitas. Dengan demikian sistem pengamanan
aset sistem informasi merupakan suatu hal yang sangat penting yang
harus dipenuhi oleh entitas.
2. Efektifitas sistem
Efektifitas sistem informasi entitas memiliki peranan penting dalam
proses pengambilan keputusan usaha/bisnis. Suatu sistem informasi
dapat dikatakan efektifbila sistem informasi memberikan manfaat dan
ketepatgunaan teknologi informasi dalam operasi dan administrasi.
3.

Efisiensi sistem

Efisiensi menjadi sangat penting ketika sumber daya kapasitas yang

dimiliki oleh entitas terbatas. Jika cara kerja dari sistem aplikasi
komputer menurun maka pihak manajemen, dalam hal ini mewakili
entitas, harus mengevaluasi apakah efisiensi sistem masih memadai
atau harus menambah sumber daya, karena suatu sistem dapat
dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user
dengan sumber daya informasi yang minimal.
4. Memberikan dan mengelola ketersediaan layanan sistem informasi

(Availability)

Berhubungan

dengan

ketersediaan

dukungan/layanan

teknologi informasi. Teknologi Informasi hendaknya dapat mendukung

secara berkelanjutan terhadap proses usaha/bisnis entitas. Makin
sering

terjadi

gangguan

(system downtime)

maka

berarti

tingkat

ketersediaan sistem rendah.

5.

Menjaga kerahasiaan (Confidentiality)

Fokus kerahasiaan disini ialah perlindungan terhadap informasi dan

supaya terlindung dari akses dari pihak-pihak yang tidak berwenang dan
bertanggungjawab.
6.

Meningkatkan kehandalan (Reability)

Berhubungan dengan kesesuaian dan keakuratan bagi manajemen

dalam pengelolaan organ isasi, pelaporan dan pertanggungjawaban.
7.

Menjaga integritas data (Data Integrity)

Integritas data adalah salah satu konsep dasar sistem informasi. Data
memiliki atributatribut seperti: kelengkapan, kebenaran, dan keakuratan.
Jika integritas data tidak terpelihara, maka suatu entitas tidak akan lagi
memiliki informasi/laporan yang benar, bahkan entitas dapat menderita k
kerugian

karena

pengawasan

yang

tidak

tepat

atau

keputusan-

keputusan yang salah. Faktor utama yang membuat data berharga bagi
entitas dan pentingnya untuk menjaga integritas data adalah:
a. Makna penting data/informasi bagi pengambilan keputusan adalah
peningkatan kualitas data sehingga dapat memberikan informasi bagi
para pengambil keputusan.
b. Nilai data bagi pesaing entitas, jika data tersebut berguna bagi
pesaing maka kehilangan data akan memberikan dampak buruk bagi
entitas.

Pesaing

dapat

menggunakan

data

tersebut

untuk

mengalahkan entitas saingannya sehingga mengakibatkan entitas

menjadi kehilangan pasar, berkurangnya keuntungan, dan sebagainya.
8. Menaati seluruh peraturan dan aturan yang ada dan berlaku saat ini,
baik itu di internal dan eksternal organisasi/entitas (Compliance)
Ketaatan terhadap peraturan yang berlaku baik itu didalam dan luar
entitas

memberikan

dampak

positif

dan

bernilai

tambah

guna

memberikan

keyakinan

yang

cukup

bagi

para

pihak

yang

berkepentingan entitas khususnya para regulator bahwa entitas

menerapkan prinsip kehati-hatian dengan tidak meniadakan prinsip
biayamanfaat

dalam

melakukan

kegiatan

usaha/bisnis

entitas

khususnya kegiatan teknologi informasi.

Komponen Aplikasi Sistem Informasi
Sistem informasi merupakan sistem yang mengolah data menjadi informasi untuk
mendukung operasi dan pengambilan keputusan suatu organisasi. Secara fisik,
sistem informasi memiliki 4 komponen, yaitu:

Data/ Informasi (infoware), sebagai masukan dan keluaran dari sistem

informasi.-Sumber daya manusia (brainware), sebagai user dan pengelola
dari sistem informasi.

Teknologi (technoware), yaitu teknologi komputer HW, SW, NW, BD

Prosedur dan Organisasi (organiware), prosedur dibuat dalam bentuk

langkah dan dokumen yang diperlukan/ harus diisi selama pengoperasian
dan pengelolaan sistem. Sedangkan organisasi memberikan wadah untuk
pengelolaan dan pengoperasian sistem informasi. Dilihat dari tipe pemroses
data menjadi informasi, sistem informasi, dibagi menjadi:

Manual, di mana manusia sebagai information processor.

Terotomatisasi, di mana manusia sebagai operator yang menyediakan inputoutput, sedangkan komputer menjadi information processor.

Semi manual, di mana information processor, sebagian manusia dan

sebagian komputer.

Dengan demikian, model pada gambar 4.2 ini mengakomodasi sistem informasi
yang manual, semi manual maupun yang terotomatisasi dengan menggunakan
teknologi komputer.
4.1. Model Audit Sistem Informasi Berbasis Kendali
Audit sistem informasi, jika dilihat sebagai model IPO (input-proses-output),
dapat digambarkan seperti gambar 4.3.

Gambar Model Audit Sistem Informasi berbasis Kendali

Audit sistem informasi dilaksanakan untuk mencapai suatu tujuan, yaitu: ingin
mengetahui apakah sistem informasi telah:

Asset safeguard (As), mampu melindungi aset sistem informasi.

Data integrity (Di), apakah mampu menjamin integritas data.

Effectivity (Ek), apakah pengoperasiannya dalam rangka mencapai tujuan

organisasi telah efektif.

Efficiency

(En),

apakah

dalam

mencapai

tujuan

organisasi

telah

menggunakan sumber daya organisasi secara efisien.

Untuk mencapai tujuan tersebut, perlu dilakukan penilaian terhadap kondisi
sistem informasi suatu organisasi (fakta). Pengumpulan fakta dilakukan dengan
metode: Wawancara (Wr); Inspeksi (In); Kuisioner (Ks); Tes data (Td); Tes
program (Tp). Metode di atas dapat digunakan secara sendiri atau merupakan
kombinasi. Agar penilaian berlangsung sistematis, maka sistem informasi suatu
organisasi perlu dipartisi terutama berhubungan dengan sistem pengendalian
dalam organisasi tersebut (struktur kendali). Untuk melaksanakan dan

mengevaluasi fakta diperlukan standar dan prosedur audit. Agar penilaian

proporsional, maka perlu dikaitkan dengan tingkat resiko dari masing-masing
kendali dalam struktur kendali organisasi. Pada model yang dirancang:

Tujuan yang ingin dicapai sesuai dengan tujuan dari audit sistem informasi.

Struktur kendali didasarkan pada partisi sistem informasi atas fungsi

manajemen dan fungsi aplikasi, dengan demikian ada kendali manajemen
dan kendali aplikasi.

Standar penilaian, diadopsi dari standar penilaian kualitas ISO-9001-2000.

Resiko setiap kendali digunakan sebagai bobot terhadap tujuan audit.

Dengan demikian setiap kendali memberikan sumbangan terhadap tingkat

pencapain tujuan audit.
Hasil audit, berupa indeks pencapain tujuan untuk keseluruhan dan masingmasing

kendali,

serta

temuan

yang

bersifat

penyimpangan

dan

rekomendasirekomendasi untuk memperbaiki yang terkait dengan pencapaian

tujuan audit sistem informasi.

Tujuan Audit Sistem Informasi

Tujuan audit sistem informasi adalah untuk meninjau dan mengevaluasi
pengendalian internal yang melindungi sistem tersebut. Ketika melakukan audit
sistem informasi, seorang auditor harus memastikan tujuan-tujuan ini terpenuhi:
1. Perlengkapan keamanan melindungi perlengkapan komputer, program,
komunikasi, dan data dari akses yang tidak sah, modifikasi atau
penghancuran.
2. Pengembangan dan perolehan program dilaksanakan sesuai dengan
otorisasi khusus dan umum dari pihak manajemen
3. Modifikasi program dilaksanakan dengan otorisasi dan persetujuan dari pihak
manajemen
4. Pemrosesan transaksi, file laporan dan catatan komputer lainnya telah akurat
dan lengkap.

5. Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang tepat
diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah
ditetapkan.
6. File data komputer telah akurat, lengkap dan dijaga kerahasiaannya.
Tujuan audit tersebut diatas berkaitan dengan komponen dari sistem informasi.
Keterkaitan antara tujuan audit dan komponen sistem informasi dapat dilihat
pada gambar 1.

Gambar. Komponen sistem informasi dan tujuan audit yang berkaitan

Waktu Pelaksanaan Audit
Dalam proses pengembangan suatu sistem informasi yang signifikan, perlu
dilakukan audit, baik itu sebelum atau pada saat implementasi ( pre-

implementation system ), maupun setelah sistem live ( post-implementation

system ).
Manfaat audit Pre-Implementation System:
1. Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan
kebutuhan ataupun memenuhi acceptance criteria.
2. Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
3. Mengetahui apakah outcome sesuai dengan harapan manajemen.
Manfaat audit Post-Implementation System:
1. Institusi mendapat masukan atas risiko-risiko yang masih ada dan saran
untuk penanganannya.
2. Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan
sistem, perencanaan strategis dan anggaran pada periode berikutnya.
3. Bahan untuk perencanaan strategis dan rencana anggaran di masa datang.
4. Memberikan reasonable assurance bahwa sistem informasi telah sesuai
dengan kebijakan atau prosedur yang telah ditetapkan.
5. Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan
dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang
berwenang untuk melakukan pemeriksaan.
6. Membantu dalam penilaian apakah initial proposed values telah terealisasi
dan saran tindak lanjutnya.
Spesialis Audit Sistem Informasi
Kegiatan audit sistem informasi hendaklah dilakukan oleh seorang spesialis audit
sistem informasi. Spesialis audit sistem informasi mereview dan mengaudit
seluruh area pada sistem informasi berkaitan dengan standard sesuai dengan
organisasimisal

profesional,

hukum,

aturan,

kebijaksanaan

organisasi,

metodologi, pelaksanaan, integritas juga efektifitas biaya, kehandalan dan

efisiensi.
Adapun fungsi dari spesialis audit sistem informasi adalah sebagai berikut:
1. Memimpin pelaksanaan audit dan review prosedur sistem. (seperti : sistem
aplikasi, sistem perangkat keras, kebijaksanaan dan prosedur sekuriti,

integritas DBMS, perangkat lunak sistem, prosedur komunikasi/jaringan

komputer, operasi komputer) berdasarkan pertimbangan kepada : hukum
yang berkaitan dengan teknologi Informasi, kebijaksanaan organisasi,
metodologi, praktek profesional, dan lainnya.
2. Memimpin pelaksanaan review sistem komputer dan informasi berkaitan
dengan kehandalan, efisiensi, dan efektifitas biaya
3. Memimpin audit/review produktivitas sumber daya manusia teknologi
Informasi
4. Merencakan, menjadwal sumber daya untuk aktifitas audit
5. Memimpin audit/review sistem informasi yang sedang dikembangkan untuk
menjamin agar sesuai dengan standard
6. Mengembangkan dan merawat objektif dan prosedur audit organisasi
Hasil yang diharapkan dari kegiatan audit sistem informasi yang dilakukan oleh
seorang spesialis audit sistem informasi adalah sebagai berikut:
1. Dokumentasi obyektif , perencanaan, prosedur dan laporan audit.
2. Review secara berkala untuk memeriksa peningkatan kemampuan sistem
Untuk dapat melaksanakan tugasnya dengan baik, seorang spesialis audit
sistem
informasi harus memiliki pengetahuan dan ketrampilan sebagai berikut:
1. Siklus pengembangan sistem informasi
2. Analisis sistem dan teknik disain tingkat lanjutan serta metodologi
pengembangan sistem.
3. Pemahaman yang baik, menangani sistem aplikasi, protokol komunikasi dan
jaringan, dan operasi komputer
4. Pemahaman yang baik mengenai standard kualitas internasional, aturanaturan Teknologi Informasi, kebijaksanaan organisasi, metodologi dan lain
sebagainya.
5. Ketrampilan intepersonal yang baik
6. Harus dapat berargumentasi secara persuasif pada pertemuan informal dan
formal.
7. Memiliki kemampuan menulis laporan dan teknis presentasi yang sangat baik

8. Memiliki ketrampilan otomasi perkantoran (word processing, spreadsheet,

graphics) yang sangat baik.
9. Metodologi audit yang sangat baik
10. Kemampuan di atas raata-rata dalam mengobservasi detail dan terus
menerus.

Selain pengetahuan dan ketrampilan diatas seorang spesialis audit sistem

informasi juga dituntut memenuhi syarat untuk akreditasi pribadi di bawah
suatu system sertifikasi kualitas yang diakui secara internasional. Salah
satu sertifikasi profesional sebagai standar pencapaian prestasi dalam
bidang audit, kontrol, dan keamanan sistem informasi yang telah diterima
secara internasional adalah CISA (Certified Information Systems
Auditor) yang dikeluarkan oleh ISACA (Information Systems Audit and
Control Association).

Studi Kasus
Sebuah Bank Swasta terkemuka menunjuk tim audit TI Ernst & Young untuk
melakukan review atas penerapan sistem Perbankan yang terintegrasi.
Pemeriksaan ini terbagi dalam dua fase. Pada fase pertama mencakup kegiatan,
sebagai berikut:
1. Manajemen Proyek
Melakukan review atas manajemen proyek untuk memastikan bahwa semua
outcome yang diharapkan tertuang dalam rencana proyek. Pada tahapan ini,
auditor TI melakukan review atas project charter, sumber daya yang akan
digunakan, alokasi penugasan dan analisa tahapan pekerjaan proyek.
2. Desain Proses dan Pengendalian Kontrol Aplikasi
Review mengenai desain pengendalian dalam modul-modul Perbankan tersebut,
yaitu pinjaman dan tabungan. Untuk itu dilakukan review atas desain proses
dimana auditor mengevaluasi proses, risiko dan pengendalian mulai dari tahapan
input, proses maupun output.
3. Desain Infrastruktur
Review ini mencakup analisa efektivitas dan efisiensi desain infrastruktur
pendukung (server, workstation, sistem operasi, database dan komunikasi data).
Hasil follow up dijadikan dasar oleh manajemen untuk memulai implementasi
sistem Perbankan yang terintegrasi tersebut. Berdasarkan nilai tambah yang
diberikan melalui rekomendasi pada fase pertama, perusahaan menunjuk
kembali auditor untuk melakukan review fase kedua secara paralel pada saat
implementasi dilakukan, yaitu review terhadap:

Migrasi data, pada saat roll-out ke cabang-cabang, termasuk

kapasitas pemrosesan dan penyimpanannya.

Aspek lainnya termasuk persiapan help-desk , contingency dan

security .
Kesiapan pemakai dalam menggunakan sistem ini, kualitas

pelatihan yang diberikan dan dokumentasi pengguna ( user manual )

Prosedur-prosedur manajemen perubahan ( change management

) dan testing
Auditor selanjutnya diminta memberikan saran mengenai risiko-risiko yang masih
tersisa, sebelum manajemen memutuskan sistem barunya dapat go-live.
Audit TI: Sebelum atau Sesudah
Seiring dengan makin banyaknya institusi, baik pemerintahan maupun swasta,
yang mengandalkan TI untuk mendukung jalannya operasional sehari-hari, maka
kesadaran akan perlunya dilakukan review atas pengembangan suatu sistem
informasi semakin meningkat.
Risiko-risiko

yang

mungkin

ditimbulkan

sebagai

akibat

dari

gagalnya

pengembangan suatu sistem informasi, antara lain:

Biaya

pengembangan

sistem

melampaui

anggaran

yang

ditetapkan.

Sistem tidak dapat diimplementasikan sesuai dengan jadwal yang

ditetapkan.

Sistem

yang

telah

dibangun

tidak

memenuhi

kebutuhan

pengguna.

Sistem yang dibangun tidak memberikan dampak effisiensi dan

nilai ekonomis terhadap jalannya operasi institusi, baik pada masa
sekarang maupun masa datang.

Sistem yang berjalan tidak menaati perjanjian dengan pihak ketiga

atau memenuhi aturan yang berlaku.

Untuk mengantisipasi hal itu, perusahaan menginginkan adanya assurance dari

pihak yang berkompeten dan independen mengenai kondisi sistem TI yang akan
atau sedang mereka gunakan. Pihak yang paling berkompeten dan memiliki

keahlian untuk melakukan review tersebut adalah Auditor Sistem Informasi

(Auditor TI).
Pekerjaan auditor TI ini belum banyak dikenal di Indonesia . Di samping itu,
jumlah tenaga auditor TI yang menyandang sertifikasi Internasional ( CISA,
Certified Information System Auditor ) juga masih sangat terbatas.
Best Practice menyarankan agar dalam proses pengembangan suatu sistem
informasi yang signifikan, perlu dilakukan review, baik itu sebelum atau pada saat
implementasi ( pre-implementation system ), maupun setelah sistem live ( postimplementation system ).
Manfaat Pre-Implementation Review:

Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai

dengan kebutuhan ataupun memenuhi acceptance criteria.

Mengetahui apakah pemakai telah siap menggunakan sistem

tersebut.

Mengetahui apakah outcome sesuai dengan harapan manajemen.

Manfaat Post-Implementation Review:

Institusi mendapat masukan atas risiko-risiko yang masih ada dan

saran untuk penanganannya.

Masukan-masukan

tersebut

dimasukkan

dalam

agenda

penyempurnaan sistem, perencanaan strategis dan anggaran pada

periode berikutnya.

Bahan untuk perencanaan strategis dan rencana anggaran di

masa datang.

Memberikan reasonable assurance bahwa sistem informasi telah

sesuai dengan kebijakan atau prosedur yang telah ditetapkan.

Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah

diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak
lain yang berwenang untuk melakukan pemeriksaan.

Sumber : ebizzasia.com