NPM : 0511011027
P.S : Manajemen S1 Reguler
Mata Kuliah : Sistem Informasi Manajemen
Executive Sumarry
IT audit merupakan hal yang sangat penting dalam implementasi sebuah sistem informasi
bagi organisasi yang mengembangkannya.Terlebih pada saat ini pemanfaatan
teknologi/sistem informasi merupakan hal yang sangat penting bagi sebuah organisasi
dalam pencapaian tujuan/visi/misi lembaganya. Namun di sisi lain kepentingan tersebut
berimbas pada meningkatnya indeks kerawanan dari pengembangan/pembangunan sistem
informasi.
Meskipun telah ada parameter yang dijadikan dasar dalam melakukan evalusi tetap
terdapat hambatan dalam pengimplementasiannya pada perusahaan/organisasi juga
kemungkinan kegagalan dalam penerapannya. Apa saja dan bagaimana akan coba
disajikan pada bagian isi dalam paper ini.
1
Perlukah Audit Teknologi Informasi.http://www.setiabudi.name/archives 1
DAFTAR ISI
1
Perlukah Audit Teknologi Informasi.http://www.setiabudi.name/archives 2
I. PENGERTIAN AUDIT TEKNOLOGI INFORMASI
Audit teknologi informasi atau IT (information technology) audit atau juga dikenal
sebagai audit sistem informasi (information system audit) merupakan aktivitas pengujian
terhadap pengendalian dari kelompok-kelompok unit infrastruktur dari sebuah
sistem/teknologi informasi.
Sebelumnya IT audit dikenal sebagai EDP (electronic data processing) audit atau audit
pengolahan data secara elektronik. Dimana pada saat itu pengujian lebih menitikberatkan
pada pengumpulan dan evaluasi bukti-bukti pengembangan, penerapan serta operasional
sistem informasi.
Untuk menilai apakah perlu atau tidaknya dilakukan IT audit atau IS audit mungkin dapat
dilihat pada sejarah adanya kegiatan tersebut.
Sejak tahun 1977 beberapa aturan mengenai IT audit sudah disusun di Amerika Serikat
yang meliputi beberapa aturan penting seperti the Gramm Leach Bliley Act, the
Sarbanes-Oxley Act, the Health Insurance Portability and Accountability Act, the
London Stock Exchange Combined Code, King II serta the Foreign Corrupt Practices
Act.1
1
Perlukah Audit Teknologi Informasi.http://www.setiabudi.name/archives 3
perusahaan-perusahaan yang terpengaruh ini mengguncang kepercayaan masyarakat
terhadap pasar saham nasional. Akta yang diberi nama berdasarkan dua sponsornya,
Senator Paul Sarbanes (D-MD) and Representatif Michael G. Oxley (R-OH), ini disetujui
oleh Dewan dengan suara 423-3 dan oleh Senat dengan suara 99-0 serta disahkan
menjadi hukum oleh Presiden George W. Bush.2
Perdebatan mengenai untung rugi penerapan Sarbox masih terus terjadi. Para
pendukungnya merasa bahwa aturan ini diperlukan dan memegang peranan penting untuk
mengembalikan kepercayaan publik terhadap pasar modal nasional dengan antara lain
memperkuat pengawasan akuntansi perusahaan. Sementara para penentangnya berkilah
bahwa Sarbox tidak diperlukan dan campur tangan pemerintah dalam manajemen
perusahaan menempatkan perusahaan-perusahaan AS pada kerugian kompetitif terhadap
perusahaan asing.
2
Sarbanes-Oxley.http://lid.wikipedia.org/wiki/Sarbanes-Oxley 4
perusahaan Indonesia yang listing di bursa efek di Amerika Serikat (NYSE) dan hanya
satu-satunya Badan Usaha Milik Negara (BUMN) di Indonesia yang terdaftar di NYSE
sehingga PT Telkom harus patuh terhadap SOA section 404 seperti yang disyaratkan oleh
SEC (Sarbanes Oxley Act, 2002). Penelitian dilakukan dengan membandingkan teori atau
standar SOA Section 404 dengan praktik SOA Section 404 yang terjadi di PT Telkom,
Tbk. Hasil penelitian menunjukkan bahwa PT Telkom sudah melaksanakan ketentuan
SOA section 404, antara lain: membangun dan memelihara Internal Control over
Financial Report (ICOFR) perusahaan secara memadai dengan adanya Unit Pengelola
SOA yang disebut Proyek Integrasi Internal Control (PIIC) yang mengintegrasikan
rancangan dan pelaksanaan pengendalian dan prosedur pengungkapan untuk menjamin
ketaatan perusahaan terhadap peraturan dan perundangan; sudah adanya kerangka kerja
yang digunakan oleh manajemen untuk mengevaluasi keefektifan pengendalian intern
yaitu COSO; sudah adanyapenilaian manajemen mengenai keefektifan ICOFR pada akhir
tahun, termasuk pengungkapan kelemahan material mengenai ICOFR perusahaan yang
teridentifikasi oleh manajemen pada saat dilakukan penilaian; dan sudah adanya laporan
atestasi auditor.
Sebenarnya kalau dikaji lebih dalam inti permasalahannya adalah upaya
menerapkan lebih tajam tata kerja yang baik sesuai ketentuan yang berlaku yang sudah
dimiliki oleh semua professi termasuk professi akuntan. Dari situasi ini muncul istilah
baru yang sangat populer yaitu istilah “GCG” atau Good Corporate Governance. Isitlah
baru ini hanya merajut kembali berbagai konsep yang sudah ada selama ini seperti istilah
akuntabilitas, transparansi, independensi, objektivitas. Apa sebenarnya yang disajikan.3
3
Manajemen Tentang Keefektifan ICOFR.http://lib.feb.ugm.ac.id 5
baru ini hanya merajut kembali berbagai konsep yang sudah ada selama ini seperti istilah
akuntabilitas, transparansi, independensi, objektivitas. Apa sebenarnya yang disajikan
oleh UU Sarbanes Oxley itu? Berikut ini kita sajikan beberapa hal penting.
Dengan adanya UU ini maka tanggungjawab semua terafiliasi dalam perusahaan semakin
diminta dan diatekankan. Koamite Audit harus aktif, pengawasan auditor diperketat,
pemisahan yang lebih jelas antara audit service dengan non-audit service, dan perlunya
persetujuan dan pengungkapan atas semua jasa non-audit. Direktur Utama perusahaan
serta Direktur keuangan harus membuat pernytaan bahwa laporan keuangan yang
disajikannya adalah akurat dan tidak menimbulkan salah tafsir dan telah menerapkan
sistem pengawasan internal yang sehat dan tidak ada keterkaitan pinjaman mereka
kepada perusahaan.
Kedua: Auditor
Walaupun selama ini sudah diatur tentang independensi akuntan publik tetapi dalam UU
ini diperketat lagi kewajiban mempertahankan independensi akuntan dan membentuk
Dewan Pengawas Akuntan Publik. UU inio melarang pemberian jasa non audit diluar
jasa perpajakan dan adanya kewajiban untuk menggilir pelaksana dan penanggungjawab
audit.
Beberapa hal yang wajib diungkapkan adalah: manajemen adan auditor setiap tahun
harus menol;ai sistem pengawasan internalnya. Seperti halnya di industri perbankan
maka semua pembiayaan yang bersifat off-balance sheet dan pembiayaan yang bersifat
kontingensi harus diungkapkan. Laporan proforma wajib disajikan. Transaksi saham
intern harus dilaporkan dalam jangkawa waktu dua hari. Beberapa informasi tertentu
yang dianggap penting harus di laporkan dalam “real time”.
Keempat: Analis
6
Analis saham harus dapat mengungkapkan kemungkinan konflik kepentingan.
Kelima: SEC
Semua ketentuan baru itu berlaku bagi perusahaan Amerika dan juga perusahaan
Non Amerika. Baik yang mengeluarkan saham atau obligasi di pasar modal Amerika
seperti tentu di New Yorks Stock Exchange. Tentu saja UU ini akan berpengaruh juga
pada perusahaan Indonesia yang mendaftarkan sahamnya di pasar modal Amerika seperti
PT Telkom, PT Indosat dan sebagainya. Jika hal ini berpengaruh maka sudah otomatis
akan mempengaruhi professi akuntan di Tanah Air khususnya yang mengadit perusahaan
yang dipengaruhi oleh Sarbanes Oxley Act itu.4
Pelajaran yang harus dipetik adalah bahwa dengan globalisasi ini maka kita mau
tidak mau baik akuntan, perusahan, manajemen, analis, pemerintah selaku regulator dan
juga dunia kampus harus selalu mengikuti atau kalau bisa didepan untuk menerapkan
“good governance” disemua bidang bukan saja di dunia swasta, tetapi juga di dunia
birokrasi dan dunia akademis. Status kita yang selalu dianggap memiliki risiko tinggi
tidak lepas dari aspek penerapan “good governance” ini. Peringkat korupsi Indonesia
sebagai nomor satu di Asia dan selalu top 5 di Dunia harus segera kita tinggalkan dengan
berupaya sekuat tenaga menerapkan spirit dari UU Sarbanes Oxley Act ini. Jika tidak
maka kita akan selalu menjadi bulan bulanan para professional dan penentu kebijakan
tingkat internasional. Sebenarnya dengan sifat budaya kita yang religius sudah cukup
menjadi modal awal untuk menerapkan good governance itu, namun modal perasaan
religius tidak cukup karena harus ditopang oleh penegakan aturan aturan yang baik dan
benar sesuai dengan ukuran baik dan buruk yang ditetapkan oleh nilai nilai akhlak dan
agama yang kita anut. Upaya meningkatkan peran agama menurut saya masih relevan
untuk menegakkan moral bangsa, moral birokrat, moral pengusaha, yang terpuruk ini.
4
Sarbanes Oxley Act.http://sofyan.syafri.com/2008/07/03/Sarbanes-Oxley-act-apa-
pula-itu 7
Seperti tersebut di awal tulisan ini maka dapat dilihat bahwa IT audit merupakan hal yang
sangat penting dalam implementasi sebuah sistem informasi bagi organisasi yang
mengembangkannya. Untuk menekan titik-titik rawan tersebut diperlukan seperangkat
batasan-batasan dan tolok-ukur (parameter) yang dapat dijadikan dasar dalam melakukan
evaluasi terhadap kegiatan pembangunan/pengembangan sistem informasi. Dengan
dilakukannya IT audit yang dilakukan secara transparan dan dapat
dipertanggungjawabkan hasilnya maka pelaksanaan penerapan teknologi informasi di
dalam suatu institusi dapat memberikan hasil terbaiknya serta menyerap investasi yang
tepat guna dan berdaya guna.
Beberapa hal yang merupakan resiko dari penerapan SARBOX dalam pengembangan
sistem aplikasi, seperti:
8
• Manajemen SDM yang kurang baik
9
• Kemampuan staff yang terlibat kurang baik
• Dokumentasi tidak dilakukan dengan baik
• Perlindungan kontrak yang tidak sesuai dengan kondisi di lapangan
• Pemilihan SARBOX atau metode pengembangan sistem yang kurang sesuai
• Kurangnya perhatian atas interdependensi dengan aplikasi atau proses lain.5
Risiko adalah kemungkinan timbulnya hasil negatif. Manager dan auditor berusaha untuk
menyeimbangkan risiko, bukannya menghilangkannya. Dalam beberapa kasus, TI
membuat bisnis lebih berisiko dan di kasus lain, TI membuat bisnis lebih aman. Risiko
terbagi menjadi :
1. Risiko Bisnis:
Kemungkinan bahwa organisasi tidak akan mencapai sasaran (goals) dan tujuan
organisasi (objectives), yang dipengaruhi oleh faktor eksternal dan internal perusahaan.
Untuk memahami risiko bisnis organisasi, pertama kali auditor harus familiar dengan
rencana strategis organisasi.
2. Risiko Audit:
Kemungkinan bahwa auditor eksternal organisasi membuat kesalahan ketika
mengeluarkan pendapat yang mendukung kewajaran laporan keuangan, atau bahwa
auditor TI gagal menemukan kesalahan atau kecurangan material. Contoh, auditor
mungkin berkata bahwa semua hal baik-baik saja padahal sebenarnya tidak. Saat auditor
menanggung risiko bisnis sendiri terkait dengan risiko audit, risiko audit tidak dibatasi
oleh mereka sendiri. Kegagalan Enron dan masalah laporan keuangan dari perusahaan
Fortune 500 seperti Xerox dan AOL menggambarkan bahwa shareholder, karyawan, dan
perekonomian secara keseluruhan akan menderita ketika perusahaan menerbitkan laporan
5
Audit Atas Pengembangan Sistem Informasi.http://devy-udin.web.ugm.ac.id 10
keuangan yang tidak mencerminkan situasi keuangan mereka.
3. Risiko Keamanan:
Termasuk risiko yang terkait dengan akses dan integritas data.
Akses data oleh pihak yang tidak berwenang dapat berbentuk fisik maupun logika.
Contoh akses fisik oleh pihak yang tidak berwenang:
Seorang pengguna lalai melakukan log off di akhir hari kerja, kemudian seorang petugas
kebersihan duduk di PC tersebut dan membaca e-mail rahasia.
Contoh akses logika oleh pihak yang tidak berwenang
Bila pengguna melakukan log off pada PC tersebut dan diperlukan password untuk log on
pada jaringan perusahaan, penjaga kebersihan akan ditolak oleh sistem akses logis
perusahaan, meskipun petugas tersebut punya akses fisik.
4. Risiko Keberlanjutan:
Termasuk risiko yang terkait dengan ketersediaan sistem back up dan didapatnya kembali
data (recovery). Ketersediaan mengacu pada keamanan yang memastikan bahwa sistem
informasi akan selalu tersedia bagi penggunanya.
11
11
DAFTAR PUSTAKA
Sarbanes-Oxley.http://id.wikipedia.org/wiki/Sarbanes-Oxley.
12