MAKALAH AUDIT MANAJEMEN TENTANG

AUDIT SISTEM INFORMASI

- Agustus 05, 2018

AUDIT SISTEM INFORMASI/ TEKNOLOGI INFORMASI

Tugas Ini  Disusun Guna untuk Memenuhi Salah Satu Tugas pada Mata Kuliah
“Audit Manajemen”
Dosen Pengampu : Agus Susilo, MM, Ak, CA, QIA.

Disusun oleh:
Kelompok 2

ENY WULANDARI                                                ( 1562012 )

IDA MUHLIDA                                            ( 1562025 )
ARIS SAFIROTUL FANANI                     ( 1562047 )
SITI NOR AINI                                            ( 1562098 )
DICKY FATAH PRATAMA S.                 ( 1562153 )
 AKUNTANSI KS 1/ 2015

PROGRAM STUDI AKUNTANSI

SEKOLAH TINGGI ILMU EKONOMI (STIE)
PGRI DEWANTARA JOMBANG
TAHUN 2018

KATA PENGANTAR

Puji syukur kami panjatkan kehadirat Allah SWT atas rahmat dan karunia-Nya kami dapat
menyelesaikan makalah ini dengan baik dan tepat pada waktunya. Makalah yang
berjudul “Audit Sistem Informasi/ Teknologi Informasi” ini membahas mengenai pengertian
dan penjelasan dari masing - masing topik yang kami bahas.
Dalam penulisan makalah ini kami banyak mendapat bantuan dari berbagai referensi buku
dan website. Oleh karena itu, kami ingin mengucapkan terima kasih kepada semua pihak yang
turut memudahkan dalam penulisan makalah ini.
Kami sadar bahwa dalam makalah ini masih jauh dari kesempurnaan, Hal itu di karenakan
keterbatasan kemampuan dan pengetahuan kami. Oleh karena itu, kami sangat mengharapkan
kritik dan saran yang bersifat membangun dari para pembaca. Semoga makalah ini dapat
bermanfaat bagi kita.
Akhir kata, kami memohon maaf apabila dalam penulisan makalah ini terdapat banyak
kesalahan.

                                                                                                      Jombang, 31 Maret 2018

Kelompok Penyusun
 DAFTAR ISI

HALAMAN SAMPUL....................................................................................................      1
KATA PENGANTAR ....................................................................................................       2
DAFTAR ISI ....................................................................................................................       3
BAB I     PENDAHULUAN ...........................................................................................       4
               1.1   Latar
Belakang ............................................................................................       4       
               1.2    Rumusan Masalah ......................................................................................       4
               1.3    Tujuan ........................................................................................................       4
BAB II    PEMBAHASAN ..............................................................................................       5
               2.1   Tata Kelola Teknologi Informasi (TI) .........................................................       5
                       2.1.1   Pengertian Tata Kelola TI ................................................................       6
                       2.1.2   Kerangka Kerja Tata Kelola TI  .......................................................       7
                       2.1.3   Peran Audit dalam Tata Kelola TI  ..................................................       7
                       2.1.4   Tujuan Audit Sistem Informasi  ......................................................       7
               2.2   Audit Sistem Informasi (SI)/ Teknologi Informasi (TI) .............................       8  
                       2.2.1   Pengertian Audit SI/
TI  ..................................................................                9
                       2.2.2   Pendekatan Audit SI/ TI Berbasis Resiko  ......................................     11
                       2.2.3   Metodologi Audit SI/ TI .................................................................    13
               2.3   Analisis Kondisi Eksisting ..........................................................................    14
                       2.3.1   Teknik Pengumpulan Data  ..............................................................    15
                       2.3.2   Proses Identifikasi Data  ..................................................................    16
               2.4   Penetuan Tingkat Resiko ............................................................................    17
                       2.4.1   Penilaian Resiko  ..............................................................................    17
                       2.4.2   Analisis Resiko  ...............................................................................    17
               2.5   Pelaksanaan Audit SI/ TI ............................................................................    18
                       2.5.1   Penentuan Ruang Lingkup dan Tujuan Audit SI/ TI  .....................    19
                       2.5.2   Pengumpulan Bukti  ........................................................................    19
                       2.5.3   Pelaksanaan Uji Kepatutan  .............................................................    20
                       2.5.4   Penentuan Tingkat Kedewasaan  .....................................................    21
               2.6   Penentuan Rekomendasi .............................................................................    21
                        2.6.1   Penentuan Hasil Audit SI/ TI  .........................................................    22
                       2.6.2   Penyusunan Laporan Hasil Audit SI/ TI  ........................................    22
                       2.6.3   Audit Untuk Perbaikan Berkelanjutan  ...........................................    23
               2.7   Contoh Hadil Laporan Audit SI/TI ............................................................    24
BAB III   PENUTUP                                                                                                            29
                3.1  Kesimpulan .................................................................................................    29
                3.2  Saran ...........................................................................................................    29
DAFTAR PUSTAKA .....................................................................................................    30  

BAB I
PENDAHULUAN

1.1  Latar Belakang
Kemajuan teknologi informasi adalah sesuatu yang tidak dapat dihindari dalam
kehidupan ini, karena kemajuan teknologi akan sejalan dengan perkembangan ilmu pengetahuan.
Teknologi informasi adalah istilah umum yang menjelaskan bahwa teknologi yang membantu
kita dalam membuat, mengubah, menyimpan, mengomunikasikan dan/atau memberikan
informasi. Teknologi informasi (Information Technology) bisa disingkat TI, IT atau Infotech.
Kemajuan TI telah mengubah cara perusahaan dalam mengumpulkan data, memproses,
dan melaporkan informasi keuangan. Oleh karena itu, auditor akan menemukan suatu keadaan
dimana data tersimpan lebih banyak dalam media elektronik dibanding media kertas. Auditor
harus menentukan bagaimana perusahaan menggunakan IT sistem-nya dalam mengelompokkan,
mencatat, memproses, dan melaporkan transaksi dalam laporan keuangan.
Penggunaan TI dapat meningkatkan pengendalian internal dengan menambahkan
prosedur pengendalian baru yang dilakukan oleh komputer dan dengan mengganti pengendalian
yang biasanya dilakukan secara manual yang rentan terhadap kesalahan manusia.  Disaat yang
sama, TI dapat menimbulkan risiko-risiko baru, yang dapat diatasi klien dengan menggunakan
pengendalian khusus terhadap sistem TI.
1.2  Rumusan Masalah
Berdasarkan latar belakang tersebut di atas, maka dapat di ambil rumusan masalah yaitu
sebagai berikut :
1.    Bagaimana Tata Kelola TI ?
2.    Bagaimana Audit SI/TI ?
3.    Bagaimana Metodologi Audit SI/TI ?
4.    Bagaimana Contoh Hasil Laporan Audit SI/TI ?
1.3`Tujuan
Tujuan pembuatan makalah audit sistem informasi yaitu sebagai berikut :
1.    Agar pembaca dapat mengetahui tata kelola teknologi informasi..
2.    Agar pembaca dapat mengetahui audit sistem informasi atau teknologi informasi.
3.    Agar pembaca dapat mengetahui metodologi audit sistem informasi atau teknologi informasi.
4.    Agar pembaca dapat mengetahui contoh hasil audit sistem informasi atau teknologi informasi.
BAB II
PEMBAHASAN

2.1  Tata Kelola Teknologi Informasi (TI)

Teknologi Informasi yang sejak lama dianggap sebagai pendorong dan pendukung
strategi perusahaan, saat ini dianggap sebagai bagian terintegrasi dari strategi bisnis. Para
pemimpin perusahaan sepakat bahwa keselarasan antara tujuan bisnis dan TI merupakan faktor
sukses kritis (Critical Success Factor) di perusahaan. Keberadaan tata kelola TI Membantu
pemenuhan faktor tersebut dengan secara efektif dan efisien mengembangkan pengaplikasian
teknologi dan pemenuhan kebutuhan akan informasi yang dapat diandalkan dan terjamin. Karena
keberadaan TI yang kritis, pengelolaan TI seharusnya mendapatkan perhatian yang saling
berkesinambungan antara pemangku kepentingan (stakeholder) dengan operasional yang terlibat
langsung dalam eksekusi proses TI di lapangan.
2.1.1    Pengertian Tata Kelola TI
Tata kelola TI memiliki definisi inklusif yang mencakup Sistem Informasi (SI), teknologi
dan komunikasi, bisnis dan hukum serta isu-isu lain yang melibatkan hampir seluruh pemangku
kepentingan (stakeholder), baik direktur, manajemen eksekutif, pemilik proses, supplier,
pengguna TI bahkan pengaudit SI/ TI. Pembentukan dan penyusunan tata kelola tersebut
merupakan tanggung jawab dari jajaran direksi dan manajemen eksekutif.
Panduan tersebut merupakan bagian terintegrasi dari tata kelola perusahaan yang terdiri
dari kepemimpinan dan struktur organisasi serta proses yang memastikan bahwa pengelolaan TI
akan menopang dan memperluas strategi dan tujuan perusahaan.
Pada dasarnya, tata kelola TI berkaitan dengan dua permasalahan utama yaitu :
a)    TI akan memberikan nilai terhadap bisnis yang didorong oleh penyelarasan TI dengan bisnis,
b)   Resiko yang terkait dengan TI akan ditangani dengan penentuan penanggung jawab
permasalahan tersebut dalam perusahaan.
Dengan demikian penyelarasan bisnis dan TI yang mengarahkan pada pemenuhan nilai bisnis
adalah elemen kunci dari tata kelola TI.
Adapun fokus utama dari area tata kelola TI (IT Governance) dapat dibagi menjadi lima
area yaitu :
1)   Penyelarasan Strategi (Strategic Alignment), memfokuskan kepastian terhadap keterkaitan antara
strategi bisnis dan TI serta penyelarasan antara operasional TI dengan bisnis.
2)   Penyampaian Nilai (Value Delivery), mencakup hal-hal yang terkait dengan penyampaian nilai
yang memastikan bahwa TI memenuhi manfaat yang dijanjikan dengan memfokuskan pada
pengoptimalan biaya dan pembuktian nilai hakiki akan keberadaan TI.
3)   Pengelolaan Sumber Daya (Resource Management), berkaitan dengan pengoptimalan investasi
yang dilakukan dan pengelolaan secara tepat dari Sumber Daya Manusia (SDM), isu kunci area
ini berhubungan dengan pengoptimalan pengetahuan dan infrastruktur.
4)   Pengelolaan Resiko (Risk Management), membutuhkan kepekaan akan resiko oleh manajemen
senior, pemahaman yang jelas akan perhatian perusahaan terhadap keberadaan resiko,
pemahaman kebutuhan akan kepatutan, transparansi akan resiko yang signifikan terhadap proses
bisnis perusahaan dan tanggung jawab pengelolaan resiko ke dalam organisasi itu sendiri.
5)   Pengukuran Kinerja (Performance Measurement), penelusuran dan pengawasan implementasi
dari strategi, pemenuhan proyek yang berjalan, penggunaan sumber daya, kinerja proses dan
penyampaian layanan dengan menggunakan kerangka kerja seperti Balance Scorecard yang
menerjemahkan strategi ke dalam tindakan untuk mencapai tujuan terukur dibandingkan dengan
akuntansi konvensional.
2.1.2    Kerangka Kerja Tata Kelola TI
a)    COBIT
Control Objective for Information & Related Technology (COBIT) adalah sekumpulan
dokumentasi best practice untuk IT Governance yang dapat membantu auditor, pengguna (user),
dan manajemen untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-
masalah teknis IT (Sasongko, 2009).
b)   ITIL
Information Technology Infrastructure Library (ITIL) adalah suatu rangkaian konsep dan
teknik pengelolaan infrastruktur, pengembangan, serta Pengoperasian teknologi informasi. ITIL
memberikan deskripsi detail tentang beberapa praktik TI dengan daftar cek, tugas, serta prosedur
menyeluruh yang dapat disesuaikan dengan segala jenis organisasi TI.
c)    ISO
International Organization for Standardization (ISO) adalah badan standar dunia yang
dibentuk untuk meningkatkan perdagangan internasional yang berkaitan dengan perubahan
barang dan jasa. ISO bertujuan untuk mengharmonisasi standar-standar nasional di masing-
masing negara menjadi satu standar internasional yang sama. ISO digunakan sebagai: (Rabbit &
Bergh, 1994).
ISO 27001:2005 merupakan standar dokumen Sistem Manajemen Keamanan Informasi
(SMKI) yang memberikan gambaran tentang apa yang seharusnya dilakukan dalam usaha
implementasi konsep sistem informasi di perusahaan [5]. Kontrol keamanan berdasarkan ISO
 27001:2005 terbagi menjadi 11 klausul kontrol keamanan (security control), 39 obyektif
kontrol (control objectives) dan 133 kontrol keamanan
2.1.3    Peran Audit Dalam Tata Kelola TI
Teknologi Informasi (TI) saat ini menjadi bagian yang tak terpisahkan dalam perusahaan,
bukan lagi menjadi fungsi terpisah yang tidak terintegrasi dengan bisnis. Bagaimana TI
diaplikasikan dalam perusahaan akan mempengaruhi seberapa jauh perusahaan akan mencapai
visi, misi ataupun tujuan strategisnya. Karena itulah, perusahaan perlu melakukan mengevaluasi
pengelolaan TI  tersebut yang menjadi kian penting sebagai bagian dari tata kelola perusahaan
secara keseluruhan.
Audit memainkan peranan penting dalam pengimplementasian tata kelola TI di
perusahaan. Besarnya resiko yang kemungkinan muncul akibat penerapan TI di suatu
perusahaan, membuat Audit SI/ TI semakin penting untuk dilakukan. (Weber, 2000) menyatakan
beberapa alasan penting mengapa audit SI/ TI perlu dilakukan antara lain :
a.    Kerugian akibat kehilangan data,
b.    Kesalahan dalam pengambilan keputusan,
c.    Resiko kebocoran data,
d.   Penyalahgunaan komputer,
e.    Kerugian akibat kesalahan Proses Perhitungan,
f.     Tingginya nilai investasi perangkat keras dan perangkat lunak.
2.1.4    Tujuan Audit Sistem Informasi
1. Mengamankan Asset
Aset (aktiva) yang berhubungan dengan instalasi sistem informasi mencakup: perangkat keras
(hardware), perangkat lunak (software), manusia (people), file data, dokumentasi sistem, dan
peralatan pendukung lainnya.
2. Menjaga Integritas Data
Integritas data berarti data memiliki atribut:
kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian. Tanpa menjaga integritas data,
organisasi tidak dapat memperlihatkan potret dirinya dengan benar atau kejadian yang ada tidak
terungkap seperti apa adanya.
Keputusan maupun langkah-langkah penting di organisasi salah sasaran karena tidak didukung
dengan data yang benar. Oleh karena itu, upaya untuk menjaga integritas data, dengan
konsekuensi akan ada biaya prosedur pengendalian yang dikeluarkan harus sepadan dengan
manfaat yang diharapkan.
3. Menjaga Efektifitas Sistem
Sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya.
perlu upaya untuk mengetahui kebutuhan pengguna sistem tersebut (user), apakah sistem
menghasilkan laporan atau informasi yang bermanfaat bagi user. Auditor perlu mengetahui
karakteristik user berikut proses pengambilan keputusannya.
Biasanya audit efektivitas sistem dilakukan setelah suatu sistem berjalan beberapa waktu.
Manajemen dapat meminta auditor untuk melakukan post audit guna menentukan sejauh mana
sistem telah mencapai tujuan.
4. Efisiensi
Dikatakan efisien jika ia menggunakan sumberdaya seminimal mungkin untuk menghasilkan
output yang dibutuhkan. Pada kenyataannya, sistem informasi menggunakan berbagai
sumberdaya, seperti mesin, dan segala perlengkapannya, perangkat lunak, sarana komunikasi dan
tenaga kerja yang mengoperasikan sistem tersebut.
2.2  Audit Sistem Informasi (SI)/ Teknologi Informasi (TI)
Penggunaan istilah audit telah banyak dipakai diberbanyak disiplin ilmu mulai dari
keuangan, pemerintahan hingga Teknologi Informasi (TI). Aktivitas yang berlangsung pada
dasarnya serupa, yakni: penemuan ketidakpatutan proses yang ada terhadap standar pengelolaan
aktivitas terkait. Agar dapat sukses mengimplementasikan hal tersebut, maka aktivitas audit
seharusnya terencana dengan baik untuk memberikan hasil yang optimal sesuai dengan kondisi
bisnis masing-masing perusahaan. Adapun hasil dari audit dapat berupa rekomendasi yang dapat
digunakan pihak manajemen dalam meningkatkan efektifitas pengelolaan aktivitas dan perbaikan
berkelanjutan dari proses TI, contohnya rekomendasi dari hasil audit SI/ TI, hingga keputusan
ketidaksesuaian proses yang berlangsung dengan standar yang ditetapkan seperti dalam audit
keuangan.
 Dalam bidang SI/ TI, aktivitas audit dilakukan demi memberikan gambaran proses TI
yang berlangsung di perusahaan masa kini kemudian mengamati, menganalisis dan
menyesuaikan gambaran tersebut dengan ketetapan, standar, regulasi dan hukum yang berlaku.
Penyesuaian tersebut menghasilkan rekomendasi proses yang perlu mendapatkan perhatian pihak
manajemen agar dapat diperbaiki dan disempurnakan sehingga TI dapat memberikan dukungan
yang optimal terhadap bisnis. Setiap tahapan dalam aktivitas tersebut memerlukan pemahaman
yang menyeluruh akan proses bisnis, struktur organisasi maupun hukum dan regulasi yang
berlaku di perusahaan. Selain itu diperlukan pengetahuan dan wawasan yang luas dari pengaudit
SI/ TI mengenai metodologi pelaksanaan audit maupun praktek audit yang baik pada umumnya
untuk mendapatkan hasil rekomendasi yang paling merepresentasikan kebutuhan perbaikan
proses yang diperlukan perusahaan. Pengetahuan bagaimana audit SI/ TI dilaksanakan tersebut
juga merupakan hal yang perlu diketahui bagi pihak manajemen agar dapat dipahami urgensi
pengelolaan proses TI yang terarah dalam tata kelola sekaligus mampu mendorong implementasi
yang lebih efektif. Lebih jauh lagi, dengan menekankan pada pentingnya keberadaan TI dalam
mendukung bisnis dan memastikan pengelolaannya secara efektif dalam kerangka tata kelola TI,
maka pengelolaan tersebut akan berpontensi menghasilkan outcame TI yang lebih tinggi.
2.2.1    Pengertian Audit SI/ TI
Sebelum memahami lebih jauh mengenai audit SI/ TI, perlu dipahami mengenai pengertian
Sistem Informasi (SI) dan Teknologi Informasi (TI) itu sendiri. (Alter, 1996) mendefinisikan
Sistem Informasi sebagai sebuah sistem yang menggunakan TI untuk menangkap,
mentransmisikan, menyimpan, mendapatkan, memanipulasi atau menampilkan informasi yang
dibutuhkan oleh satu atau lebih proses bisnis. Agar dapat berdaya guna, maka SI seharusnya
merupakan rangkaian prosedur formal yang melakukan pengelompokkan data, pemrosesan dan
pendistribusian kepada pengguna (Hall, 2001).
Sedangkan pengertian Teknologi Informasi lebih ke arah hal-hal yang terkait dengan
teknologi komputer (computing technology) dan teknologi komunikasi (communication
technology) yang digunakan untuk memproses dan menyebarkan informasi, baik itu yang
bersifat finansial maupun non finansial (Bodnar & Hopwood, 2004). Dengan demikian, dapat
dikatakan bahwa TI merupakan segala cara atau alat yang terintegrasi yang digunakan untuk
menjaring data, mengolah dan mengirimkan atau menyajikan secara elektronik menjadi
informasi dalam berbagai format yang bermanfaat bagi penggunanya.
                   Kepastian Praktek Pengelolaan SI/ TI melalui Aktivitas Audit
Untuk memastikan pengelolaan keduanya, baik SI maupun TI, apakah telah sesuai dengan
ketetapan dan standar yang berlaku maka perlu dilakukan aktivitas audit sehingga perbaikan
dapat dilakukan dengan lebih terarah dalam kerangka perbaikan berkelanjutan. Audit SI
dilakukan dengan lebih memfokuskan kepada sistem yang melingkupi proses TI apakah sesuai
dengan standar maupun ketepatan yang berlaku sehingga penekannya lebih pada uji kepatutan
(compliance test) terhadap prosedur yang dijadikan acuan dalam pelaksanaan serta terhadapp
pihak-pihak yang terlibat dalam eksekusi proses terkait. Sedangkan audit Ti lebih detail
melakukan uji secara substantif (substantive test) terhadap aplikasi dan infrastruktur yang
mendukung sistem sehingga penekanannya lebih kepada pengujian integritas proses yang
berlangsung. Aspek validitas juga dipertimbangkan terutama yang terkait dengan transaksi
keuangan maupun aspek keakurasian dari persediaan barang dalam inventori.
Untuk memudahkan pemahaman yang lebih global, maka pembahasan mengarah pada
Audit SI/ TI yang merupakan aktivitas pengumpulan dan pengevaluasian bukti untuk penentuan
apakah proses TI yang berlangsung dalam perusahaan telah dikelola sesuai dengan standar dan
dilengkapi dengan objektif kontrol untuk mengawasi penggunaannya serta apakah telah
memenuhi tujuan bisnis secara efektif. Dengan demikian, Audit SI/ TI dapat menekankan pada
penggunaan keterpaduan antara uji kepatutan maupun uji secara substantif yang komposisi/
banyaknya digunakan secara seimbang sesuai dengan kondisi proses yang di audit. Ron Weber
mendefinisikan audit SI/ TI sebagai proses pengumpulan dan pengevaluasian bukti (evidence)
untuk menentukan apakah sistem informasi dapat melindungi aset, teknologi informasi yang ada
telah memelihara integritas data sehingga keduanya dapat diarahkan kepada pencapaian tujuan
bisnis secara efektif dengan menggunakan sumber daya secara efektif (Sayana, The IS Audit
Process, 2002).
                   Tinjauan Penting dalam Audit SI/ TI
 Adapun elemen utama dari aktivitas peninjauan yang dilakukan dalam Audit SI/ TI dapat
diklasifikasikan ke dalam tinjauan penting berikut:
      Tinjauan terkait dengan fisik dan lingkungan, yakni: hal-hal yang terkait dengan keamanan fisik,
suplai sumber daya, temperatur, kontrol kelembaban dan faktor lingkungan lain.
      Tinjauan administrasi sistem, yaitu mencakup tinjauan keamanan sistem operasi, sistem
manajemen database, seluruh prosedur administrasi sistem dan pelaksanaannya.
      Tinjauan perangkat lunak, yaitu mencakup kontrol akses dan otorisasi ke dalam sistem, validasi
dan penanganan kesalahan termasuk pengecualian dalam sistem serta aliran proses bisnis dalam
perangkat lunak serta kontrol secara manual dan prosedur penggunaannya.
      Tinjauan keamanan jaringan, yaitu mencakup jaringan internal dan eksternal yang terhubung
dengan sistem, batasan tingkat keamanan, tinjauan terhadap firewall, daftar kontrol akses router,
port scanning serta pendeteksian akan gangguan maupun ancaman terhadap sistem.
      Tinjauan kontinuitas bisnis, dengan memastikan ketersediaan prosedur backup dan
penyimpanan, dokumentasi dari prosedur tersebut serta dokumentasi pemulihan bencana/
kontinuitas bisnis yang dimiliki.
      Tinjauan integritas data, betujuan untuk memastikan ketelitian data yang beroperasi sehingga
dilakukan verifikasi kecukupan kontrol dan dampak dari kurangnya kontrol yang ditetapkan.
Keseluruhan tinjauan tersebut perlu dilakukan oleh pengaudit SI/ TI untuk menyediakan
gambaran yang lebih jelas kepada manajemen terkait dengan kondisi eksisting proses bisnis yang
terkait dengan TI.
Selain itu, terdapat sejumlah kemungkinan tinjauan khusus di dalam audit SI/ TI itu
sendiri, sebagai contoh adalah Audit Forensik. Audit Forensik merupakan audit yang
mengkhususkan dalam penemuan, penyingkapan dan tindakan lanjutan terhadap penipuan dan
tindakan kriminal. Investigasi Forensik komputer salah satunya, melakukan penyingkapan
terhadap penyalahgunaan sumber daya TI.
 2.2.2   Pendekatan Audit SI/ TI Berbasis Resiko
Semakin banyak perusahaan yang menggunakan pendekatan audit berbasis resiko yang
dapat diadaptasi untuk mengembangkan dan meningkatkan kelangsungan proses audit. Resiko
yang dimaksud adalah kemungkinan tindakan atau kejadian yang akan menimbulkan efek yang
merugikan bagi perusahaan dan secara spesifik berakibat pada keberlangsungan proses bisnis
yang berlangung di perusahaan. Proses bisnis tersebut dapat terkait dengan aspek finansial,
regulasi atau operasional maupun teknologi (ISACA, CISA Review Manual, 2006).
Pendekatan audit SI/ TI berbasis resiko digunakan untuk menilai resiko dari proses bisnis
yang berlangsung di perusahaan dan yang terpenting dapat membantu pengaudit SI/ TI dalam
memutuskan metode pengujian yang digunakan dalam pelaksanaan audit nantinya, apakah
dengan melakukan uji kepatutan atau uji secara substantif. Hal yang membedakan keduanya
adalah uji kepatutan lebih fokus terhadap pengujian kepatutan proses yang berlangsung di
perusahaan terhadap prosedur yang dimiliki sedangkan uji secara substantif merupakan aktivitas
 pengumpulan bukti untuk mengevaluasi integritas transaksi individu, data atau informasi yang
berkaitan dengan dengan proses bisnis.
Uji kepatutan akan menentukan apakah kontrol telah diaplikasikan dalam tata cara yang
sesuai dengan kebijakan dan prosedur manajemen. Tujuan utamanya adalah penyediaan
kepastian bahwa kontrol khusus telah berjalan sesuai dengan pemeriksaan pendahuluan
sebelumnya. Lebih jauh lagi dapat digunakan untuk menguji keberadaan dan efektifitas proses
yang ditetapkan. Sedangkan uji secara substantif mendukung integritas proses aktual yang
memberikan bukti keabsahan dan integritas keseimbangan pernyataan keuangan dan transaksi
pendukungnya. Pengujian tersebut juga digunakan untuk tingkat keakurasian catatan yang ada
dengan beberapa perhitungan statistik terkait yang dilakukan .
Adapun secara umum pendekatan Audit SI/ TI berbasis resiko akan mencakup serangkaian
aktivitas berikut:
1)   Pengumpulan informasi terkait dengan kondisi bisnis perusahaan yang mencakup: pengetahuan
bisnis dan industri, hasil audit sebelumnya, kondisi finansial perusahaan, penilaian resiko dari
proses bisnis serta kebijakan, hukum dan regulasi yang berlaku.
2)   Pemahaman terhadap kontrol internal, termasuk prosedur dan lingkungan kontrol.
3)   Pelaksanaan uji kepatutan yang menguji kepatutan terhadap kebijakan dan prosedur, termasuk
pemisahan tanggung jawab dalam penyelenggaraan proses bisnis.
4)   Pelaksanaan uji secara substantif dengan memperhatikan lebih detail kepada aspek analitis,
termasuk pengujian pada keseimbangan kondisi finansial perusahaan.
5)   Penentuan kesimpulan hasil audit dengan menyusun rekomendasi dalam laporan audit.
Namun demikian, meski aktivitas audit SI/ TI yang dilakukan berbasis resiko, aktivitas
tersebut tidak terlepas dari potensi resiko kesalahan yang mungkin terjadi dalam pelaksanaan
aktivitas audit itu sendiri. Kemungkinan potensi resiko kesalahan dari laporan informasi/
finansial yang kurang lengkap dan tidak terdeteksi selama pelaksanaan audit merupakan
pengertian dari Audit Risk. Resiko kesalahan tersebut dapat dikelompokkan menjadi: inherent
risk, control risk dan detection risk. Pengelompokkan tersebut bukan dimaksudkan untuk
kerumitan dalam menentukan jenis resiko yang ada, namun digunakan sebagai pertimbangan
dalam menentukan tindakan  antisipasi agar resiko kesalahan tersebut tidak muncul selama
proses audit dilaksanakan. Pengaudit SI/ TI perlu memperhatikan proses bisnis yang akan di
audit dan mengklasifikasikannya ke dalam pengelompokkan resiko kesalahan audit tersebut
untuk memudahkan dalam memfokskan pengujian yang akan dilakukan nantinya. Selain itu
dengan mengetahui kemungkinan resiko kesalahan tersebut, bisa digunakan untuk pengalokasian
Sumber Daya Manusia (SDM) yang kompeten dan ahli di bidang yang sesuai dengan proses
terkait.
Adapun pemaparan lebih lanjut mengenai pengelompokkan resiko kesalahan tersebut akan
dipaparkan lebih lanjut sebagaimana berikut:
      Resiko Bawaan (Inherent Risk), merupakan resiko kesalahan audit yang merupakan aktivitas
bawaan dari proses bisnis. Resiko kesalahan tersebut bersifat independen dan akan semakin
tinggi jikan compensating control  tidak tersedia. Contoh resiko kesalahan jenis ini adalah proses
bisnis yang melibatkan perhitungan yang komplek cenderung lebih dekat dengan kesaahan
perhitungan yang menyebabkan tingkat inherent resiko-nya tinggi.
      Resiko Kontrol (Control Risk), merupakan resiko kesalahan yang tidak terdeteksi oleh kontrol
internal itu sendiri selama proses audit berangsung. Contoh resiko kesalahan pencocokan hasil
manual dari log (catatan komputer)dengan tinjauan manual dapat dikategorikan dalam resiko
yang tinggi (bigh) karena aktivitas peninjauan manual membutuhkan penyelidikan yang
terkadang sering salah dan kurang tepat. Resiko kontrol tersebut menjadi rendah (low) jika
prosedur validasi tersebut dilakukan secara terkomputerisasi.
      Resiko Pendeteksian (Detection Risk), resiko kesalahan yang pengaudit SI/ TI menggunakan
prosedur pengujian yang tidak cukup atau pengambilan kesimpulan yang tidak sesuai dengan
proses aktual yang ada padahal seharusnya tersedia pendeteksian tersebut baru dapat dilakukan
setelah kesalahan terhadap proses bisnis terjadi.
       2.2.3    Metodologi Audit SI/ TI
Perencanaan yang memadai adalah kebutuhan utama demi mewujudkan pelaksanaan Audit
SI/ TI yang efektif. Perencanaan tersebut seharusnya terhimpun dalam metodologi yang
terarah, step by step sehingga memudahkan dalam pengimplementasiannya. Pengaudit biasanya
terdiri dari sekelompok pengaudit SI/ TI gabungan antara internal perusahaan dengan pihak
ketiga. Pengaudit SI/ TI seharusnya menilai resiko secara keseluruhan dari area yang akan di
audit kemudian mengembangkan perencanaan audit berikut tujuan dan prosedur-prosedur terkait
dengan eksekusi dari rencana tersebut.
Dalam pelaksanaan audit SI/ TI, diperlukan pengumpulan bukti oleh pengaudit, kemudian
mengevaluasi kekuatan dan kelemahan dari kontrol terkait dengan pengimplementasian proses
TI berdasarkan dari bukti yang dikumpulkan kemudian menyusun laporan kepada pihak
manajemen. Umumnya Audit SI/ TI dilakukan dengan menggnakan pendekatan resiko, dan
berorientasi terhadap proses.
Secara garis besar, metodologi dalam Audit SI/ TI akan terdiri atas beberapa tahapan
antara lain:
a)    Analisis kondisi eksisting, yang merupakan aktivitas dalam memahami kondisi saat ini dari
perusahaan yang di audit termasuk hukum dan regulasi yang berpengaruh terhadap operasional
proses bisnis.
b)   Penentuan tingkat resiko, dengan mengklasifikasikan proses bisnis yang tingkat resikonya
tinggi (proses bisnis utama) maupun proses bisnis pendukung. Hasil penentuan tingkat resiko
tersebut kemudian dijadikaan sebagai bahan dalam penyusunan ruang lingkup pelaksanaan audit
yang diarahkan kepada proses bisnis yang disukung oleh TI.
c)    Pelaksanaan audit SI/ TI, dengan mengacu kerangka kerja yang akan didahului dengan proses
penentuan ruang lingkup dan tujuan audit (scope dan objective) berdasarkan hasil penentuan
tingkat resiko pada tahapan sebelumnya.
d)   Penentuan rekomendasi, beserta laporan dari hasil audit yang dilakukan.
2.3  Analisis Kondisi Eksisting
Sebelum Audit Sistem Informasi (SI)/ Teknologi Informasi (TI) dilakukan, pengaudit
selayaknya melakukan tinjauan terhadap kondisi eksisting yang ada di perusahaan. Tujuan
utamanya adalah mendapatkan seluruh proses bisnis utama dan pendukung yang berlangsung di
perusahaan sekaligus mendapatkan informasi lain yang terkait dengan proses bisnis tersebut,
contohnya informasi mengenai aktivitas bisnis yang telah didukung TI serta hukum, regulasi,
ketetapan maupun standar pengelolaan proses bisnis terkait.
Dengan demikian, kesuksesan dalam pelaksanaan audit bergantung pada kemampuan
pengaudit dalam memahami kondisi saat ini terkait dengan aktivitas bisnis perusahaan. Untuk
dapat memahami kondisi saat ini, maka perlu dilakukan pencarian data terkait yang relevan.
Berdasarkan hal tersebut, maka fokus awal dari Audit SI/ TI adalah pencarian data. Pada
tahapan analisis kondisi eksisting, pelaksanaan audit untuk pengujian kepatutan belum
dilakukan. Yang dimaksud adalah data yang dicari hanya dikumpulkan dengan memfokuskan
pada pencarian data proses bisnis, baik yang dilakukan TI maupun tidak dan mencakup detail
pelaksanaan aktivitas dalam bentuk prosedur, alur kerja, deskripsi pekerjaan hingga struktur
organisasi bisnis. Permasalahan umum dalam Audit SI/ TI adalah bahwa pihak manajemen tidak
mengidentifikasi secara efektif dan mengklasifikasikan seluruh elemen data sehingga
memungkinkan terjadi kesalahan asumsi karena ketidaklengkapan data oleh pengaudit.
Adapun hal-hal yang perlu diperhatikan dalam pengauditan SI/ TI di tiap aktivitas antara
lain :
a.    Pencarian data yang relevan,
b.    Pengumpulan data yang relevan,
c.    Klasifikasi data yang relevan,
d.   Pengontrolan data yang relevan.
            Dalam tahapan ini, teknik pengumpulan data tersebut dapat digunakan pada aktivitas
pencarian dan pengumpulan data yang relevan. Sedangkan bagaimana data diidentifikasi
merupakan representasi dari aktivitas pengklasifikasian dan pengontrolan data yang relevan.
2.3.1    Teknik Pengumpulan Data
Adapun teknik-teknik dalam pengumpulan data dalam pengidentifikasian kondisi eksisting,
antara lain :
1)   Wawancara, peoses yang dilakukan untuk mengetahui proses bisnis yang ada di perusahaan.
Tahap pertama dalam proses wawancara adalah mengenali pihak-pihak yang bertanggung jawab
terhadap setiap proses yang berlangsung di perusahaan.
2)   Survei menggunakan kuisioner, proses ini memiliki kelemahan yaitu komunikasi yang terbatas,
yang artinya tidak adanya pertukaran informasi yang terjadi secara tatap muka antara pengaudit
SI/ TI dan pihak yang disurvei. Untuk alasan inilah keputusan untuk menggunakan metode ini
seharusnya memiliki nilai alik (feedback) yang sepadan yang mampu mentolelir kemampuannya.
3)   Peninjauan terhadap dokumen, merupakan salah satu cara paling populer untuk mengumpulkan
informasi tentang situasi sistem yang ada.
4)   Observasi, merupakan suatu teknik pengumpulan data yang sangat efektif . Teknik ini dapat
digunakan untuk beberapa tujuan, seperti pemrosesan dan pengkonfirmasian hasil-hasil dari
wawancara identifikasi dari dokumen-dokumen yang perlu dikumpulkan untuk analisis lebih
lanjut, menjelaskan apa yang telah dilakukan pada lingkungan sistem yang ada dan bagaimana
hal ini dapat selesai, dan fungsi-fungsi lain yang sejenis
       2.3.2    Proses Identifikasi Data
Setelah data dikumpulkan, maka langkah selanjutnya adalah pengidentifikasian dan
pengelompokan data untuk memudahkan dalam penggunaan nantinya. Proses identifikasi data
tersebut antara lain :
      Pengidentifikasian proses bisnis, data mengenai proses bisnis dapat diidentifikasi dari visi,
misi, tujuan, program hingga aktivitas yang terhimpun dalam strategi bisnis serta proses yang
berlangsung dalam aktivitas bisnis. Data yang terkumpul kemudian diidentifikasikan sebagai
proses bisnis yang berlangsung di perusahaan dan perlu diklasifikasikan berdasarkan tingkat
dukungannya dalam mendukung kelangsungan bisnis. Proses bisnis dapat diklasifikasikan ke
dalam proses bisnis utama dan proses bisnis pendukung beserta sub proses yang mendukungnya.
      Pengidentifikasian SI/ TI yang mendukung proses bisnis, pada tahap ini dilakukan
pengidentifikasian SI/ TI yang mendukung tiap proses bisnis yang telah diidentifikasikan
sebelumnya. Dari hasi identifikasi tersebut dapat diketahui proses bisnis yang telah didukung TI
sehingga nantinya dapat di analisis seberapa jauh pengelolaan dukungan tersebut sehingga dapat
diperbaiki untuk memberikan dukungan yang optimal.
      Pengidentifikasian hukum, regulasi dan kebijakan, tiap perusahaan apapun skala atau sektor
bisnisnya, seharusnya penting untuk patut terhadap hukum, regulasi dan kebijakan yang
terkaitdengan pengelolaan proses bisnisnya, termasuk patut terhadap standar-standar pengelolaan
proses TI. Dua hal yang menjadi perhatian utama adalah peraturan-peraturan eksternal (hukum,
reguasi, perjanjian kontrak) yang berhubungan dengan audit SI/ TI dan peraturan internal
perusahaan (standar, panduan, prosedur, struktur organisasi). Data tersebut akan mempengaruhi
penentuan scope  dan objective atau ruang lingkup dan tujuan dari dari pelaksanaan audit
nantinya.
2.4  Penentuan Tingkat Resiko
Pengelolaan resiko bisnis adalah komponen penting di setiap perusahaan karena akan
berpengaruh terhadap pencapaian tujuan bisnis organisasi itu sendiri. Namun dalam prakteknya,
urgensi pengelolaan resiko tersebut terkadang belum dipahami dengan benar oleh pemangku
kepentingan (stakeholder) perusahaan. Tanpa pemahaman yang jelas mengenai resiko yang
berdampak terhadap bisnis, stakeholder tidak memiliki kerangka referensi untuk prioritas dan
pengelolaan resiko tersebut. Bila dikaitkan dengan audit SI/TI, penentuan resiko dapat digunakan
untuk menentukan batasan pelaksanaan audit yang dilakukan dengan memprioritaskan kepada
proses bisnis yang tingkat resikonya tinggi.
Pada dasarnya, identifikasi resiko dilakukan untuk pencarian resiko dan kerentanan dari
pelaksanaan proses yang berdampak pada bisnis sehingga dengan aktivitas audit dapat diketahui
kontrol yang belum dipenuhi untuk pengelolaan proses yang baik sehingga dapat mengurangi
kemungkinan terjadinya resiko. Yang dimaksud dengan resiko disini adalah ancaman atau
kerentanan dari proses maupun aset (fisik dan informasi), dampak dari keduanya serta
kemungkinan dari ancaman (kombinasi dari kemungkinan dan frekuensi kejadian).
Penilaian resiko (risk assessment) perlu diidentifikasi terlebih dahulu ditiap proses bisnis
yang telah diidentifikasikan dalam tahapan analisis kondisi eksisting, kemudian dilakukan
analisis resikonya (risk analysis) sehingga menghasilkan proses bisnis dengan tingkat resiko
yang tinggi (high). Hasil tersebut selanjutnya dapat digunakan dalam penentuan ruang lingkup
dan tujuan audit (scope  dan objective) yang merupakan bagian dari tahapan pelaksanaan audit
SI/TI.
2.4.1    Penilaian Resiko
Yang dimaksud dari pengukuran penilaian resiko (risk assessment) adalah proses yang
digunakan untuk mengidentifikasi dan mengevaluasi resiko serta efek potensial yang terkait
dengan proses bisnis. Beberapa metode dapat digunakan untuk melaksanakan penilaian resiko.
Salah satu pendekatan yang dapat digunakan adalah penentuan skor yang dapat dipakai untuk
memprioritaskan tingkat kepentingan proses bisnis dengan mempertimbangkan aspek-aspek
yang mencakup kompleksitas teknik, isi sistem serta pengubahan proses yang terjadi. Aspek-
aspek tersebut dapat dibobotkan maupun diklasifikasikan dalam tingkat tertentu. Bentuk lain
dalam penilaian tersebut adalah berdasarkan pendapat. Penentuan tersebut dapat melibatkan
keputusan pribadi berdasarkan arahan manajemen ekskutif, prespektif historis dan kondisi bisnis.
       2.4.2    Analisis Resiko
         Hasil risk assessment kemudian di analisis probabilitas kemungkinan kejadian proses dan
tingkatan dampak yang ditimbulkan terhadap proses bisnis terkait. Kedua analisis tersebut
direpresentasikan secara kualitatif dengan ukuran low, medium  dan high dan dilakukan terhadap
seluruh proses bisnis yang ada diperusahaan. Aktivitas analisis resiko (risk analysis) tersebut
dilakukan dengan harapan agar area audit yang ditentukan dari hasil analisis nantinya melingkupi
proses-proses kritis yang ada di perusahaan.
Dalam audit SI/ TI, analisis resiko pada dasarnya dilakukan untuk pemilihan proses bisnis
terkait dengan TI yang tingkat resikonya tinggi (high). Dengan diketahuinya proses bisnis yang
tingkat resikonya tinggi diharapkan memudahkan dalam perbaikan dan peningkatan proses
pengelolaan TI yang terkait dengan proses bisnis tersebut.
 Dengan demikian, langkah-langkah yang dilakukan dalam tahapan analisis resiko secara
umum akan mencakup :
1)   Penentuan proses bisnis dengan tingkat resiko tinggi
Data utama yang dibutuhkan dalam aktivitas ini adalah seluruh proses bisnis baik utama
dan pendukung serta dampak kemungkinan resiko dari hasil risk assessment yang telah
dipaparkan sebelumnya. Secara umum langkah-langkah yang perlu dilakukan pengaudit SI/ TI
dalam proses penentuan proses bisnis dengan tingkat resiko tinggi adalah sebagai berikut :
      Menghitung level probabilitas kejadian resiko bisnis dan dampak yang ditimbulkan untuk setiap
proses bisnis.
      Menghitung tingkatan resiko dengan mengkonjungsikan (AND/OR) antara tingkatan
probabilitas kejadian resiko dan tingkatan dampak yang ditimbulkan.
      Melakukan pemilihan proses bisnis dengan tingkat resiko tinggi (high).
      Melakukan pemilihan terhadap proses bisnis yang telah didukung oleh TI dari proses bisnis yang
tingkat resikonya tinggi. Sedangkan proses bisnis yang tidak didukung oleh TI namun dari hasil
penilaian resiko ternyata tingkat resikonya tinggi (high), tetap dikumpulkan dan dijadikan
sebagai catatan yang akan dibutuhkan dalam penyusunan rekomendasi audit SI/ TI nantinya.
2)   Penentuan proses TI dengan tingkat resiko tinggi
Secara umum langkah-langkah yang perlu dilakukan pengaudit SJ/ TI dalam proses
penentuan proses TI dengan tingkat resiko tinggi antara lain :
      Melakukan pemetaan proses bisnis dengan tingkat resiko tinggi (high) yang terkait dengan TI
terhadap tujuan bisnis dalam kerangka keterkaitan tujuan bisnis, tujuan TI dan proses TI.
      Melakukan penilaian tujuan bisnis yang merepresentasikan proses bisnis tersebut.
      Melakukan pemetaan tujuan bisnis yang dilakukan sebelumnya terhadap tujuan TI yang relevan.
      Melakukan pemetaan tujuan TI yang telah dipilih sebelumnya terhadap proses TI yang relevan
sehingga didapatkan proses TI dengan tingkat resiko tinggi (high).
      Melakukan eliminasi proses TI dengan tingkat kepentingan tinggi (high) tersebut untuk
mengetahui proses-proses yang perlu diprioritaskan dalam pelaksanaan audit.
Output akhir dan aktivitas tingkat penentuan tingkat resiko adalah proses TI dengan tingkat
kepentingan high. Hasil tersebut dapat langsung digunakan sebagai scope dari hasil pelaksanaan
audit, namun lebih disarankan tetap menyesuaikan dengan preferensi pihak manajemen terhadap
pilihan fokus area audit yang akan dilakukan pada proses TI diperusahaan.
2.5  Pelaksanaan Audit SI/ TI
Tujuan dilaksanakannya audit adalah pemberian dukungan terhadap pemenuhan kontrol
internal yang ada untuk meminimalkan resiko yang berdampak terhadap bisnis. Hal tersebut
termasuk memastikan kepatutan terhadap hukum dan regulasi yang berlaku sekaligus kebutuhan
internal akan kerahasiaan, integritas, reabilitas dan ketersediaan informasi. nantinya hasil audit
diharapkan dapat dijadikan sebagai referensi proses yang perlu diperbaiki secara berkelanjutan
 untuk memenuhi ontrol internal agar dapat memberikan dukungan yang optimal terhadap bisnis
sekaligus mengurangi resiko yang mingkin timbul.
Audit SI/ TI akan dilaksanakan dengan menggunakan prosedur uji kepatutan (compliance
test), yakni menyesuaikan keadaan eksisting dengan standar pengelolaan proses TI yang
didefinisikan dalam kerangka kerja tersebut.
2.5.1    Penentuan Ruang Lingkup dan Tujuan Audit SI/TI
Penentuan ruang lingkup dan tujuan (scope dan objective) dari audit SI/ TI dilakukan
dengan mengacu pada hasil analisis resiko yang dilakukan pada tahapan sebelumnya. Ruang
lingkup (scope) merupakan area yang akan diaudit yang mencakup sistem secara spesifik, fungsi
atau unit organisasi yang dimasukkan dalam tinjauan nantinya. Penentuan area tersebut menjadi
kritis karena menentukan fokus dari proses audit yang diterjemahkan ke dalam tujuan audit.
Secara garis besar tujuan audit adalahmelakukan penilaian terhadap governance,
efectiveness, efficiency, accountability, conformance, dan asset safeguards. Dengann demikian
uji kepatutan yang dilakukan nantinyaakan memfokuskan pada pemenuhan kriteria-kriteria
tersebut dengan mengacu pada standar pengelolaan proses TI yang dipilih.
2.5.2    Pengumpulan Bukti
Bukti (evidence) merupakan informasi apapun yang digunakan oleh pengaudit SI/TI untuk
menentukan apakah data yang diaudit sesuai dengan kriteria atau tujuan audit. ketika
merencanakan aktivitas audit, perlu didefinisikan tipe dari bukti yang akan dikumpulkan dari
bagaimana hal tersebut memenuhi tujuan audit. Beberapa teknik yang dapat dilakukan dalam
mengumpulkan bukti antara lain :
 Peninjauan terhadap struktur organisasi TI
 Pembagian terhadap kebijakan dan prosedur yang terkait dengan TI
 Peninjauan terhadap standar yang terkait dengan TI
 Peninjauan dokumentasi yang terkait dengan pengelolaan SI/ TI
 Wawancara kepada personel yang tepat
 Pengobservasian proses dan kinerja karyawan
Pelaksanaan audit SI/ TI pada dasarnya melakukan pencarian bukti/ evidence dari proses
TI yang ada diperusahaan dengan menyesuaikan standar proses TI yang didefinisikan dalam
kerangka kerja. Bukti tersebut akan digunakan untuk melaksanakan uji kepatutan sehingga
didapatkan temuan (findings) sebagai kepatutan terhadap standar yang berlaku. Selanjutnya bukti
dan temuan yang didapatkan akan dijadikan sebagai bahan pertimbangan dalam penentuan
tingkat kedewasaan pengelolaan proses TI di perusahaan.
       2.5.3    Pelaksanaan Uji Kepatutan
Uji kepatutan (compliance test) dilakukan dengan menguji kepatutan proses TI dengan
melihat kepatutan proses yang berlangsung terhadap standar dan regulasi yang berlaku.
Kepatutan proses tersebut dapat diketahui dari hasil pengumpulan bukti (evidence) seperti yang
telah dipaparkan sebelumnya. Pelaksanaan uji kepatutan akan menghasilkan temuan (findings)
 yang nantinya digunakan sebagai bahan penyusunan rekomendasi dalam laporan audit. Adapun
langkah-langkah yang dilakukan dalam uji tersebut antara lain :
1)   Tahapan pengidentifikasian objek yang di audit
Tujuan dari langkah ini agar pengaudit mengenal lebih jauh terkait dengan hal-hal yang
harus dipenuhi dalam objektif kontrol yang membawa kepada penugasan kepada pihak-pihak
yang bertanggung jawab.
Output dari aktivitas dalam tahapan ini adalah bahwa pengaudit seharusnya sudah
melakukan identifikasi, dokumentasi dan verifikasi terhadap hal-hal berikut :
 Siapa yang melaksanakan pekerjaan yang direpresentasikan oleh objektif kontrol,
 Dimana pekerjaan tersebut dilakukan,
 Kapan pekerjaan tersebut dilaksanakan,
 Berdasar input apa pekerjaan tersebut dilaksanakan,
 Apa output yang diharapkan dari pekerjaan tersebut, dan
 Apa saja prosedur tertulis yang digunakan untuk pekerjaan tersebut.
2)   Tahapan evaluasi audit
Tujuan dari tahapan ini adalah untuk mendapatkan prosedur tertulis dan memperkirakan
jika prosedur yang sudah ada telah menghasilkan struktur kontrol yang efektif. Kontrol yang
efektif adalah yang efektif secara biaya dan menyediakan jaminan layak bahwa proses TI telah
berjalan dengan adanya bukti (evidance) serta objektif kontrol telah diterapkan sesuai dengan
stndar pengelolaan proses yang relevan.
Output dari tahapan evaluasi ini adalah bahwa pengaudit SI/TI seharusnya mampu :
 Mengevalusai hukum, rehulasi dan kriteria organisasi sebagai bahan yang dapat digunakan untuk
penilaian/ evaluasi kepatutan prosedur,
 Mengevaluasi compensating control yang digunakan untuk memperkuat prosedur yang lemah,
 Menyimpulkan temuan (findings) berdasarkan penilaian kepatutan yang dilakukan terhadap
prosedut tertulis maupun standar pengelolaan proses TI yang berlangsung, compensating
control yang mendukung proses maupun pemisahan tanggung jawab akan pengelolaan proses
terkait.
       2.5.4    Penentuan Tingkat Kedewasaan
Perlu dipahami bahwa istilah tingkat kedewasaan yang dimaksud merupakan representasi
kedewasaan proses TI yang berlangsung di perusahaan (dalam bentuk nilai/ angka). Adapun
level kedewasaan dimaksudkan sebagai pengelompokan dari level nol atau non-exixtent (belum
tersedia) hingga level lima atau optimised (teroptimasi). Nilai tingkat kedewasaan akan
menunjukkan level kedewasaan proses TI dengan pengidentifikasian secara menyeluruh terhadap
setiap level.
Penentuan tingkat kedewasaan pada dasarnya merupakan dari pengujian kepatutan
terhadap aktivitas yang seharusnya ada/ dilakukan di tiap proses TI berdasarkan kerangka kerja
sesuai tingkatan levelnya. Pernyataan-pernyataan tersebut merupakan rincian untuk mengetahui
tingkat kedewasaan proses TI di tiap level kedewasaan akan terdapat daftar pernyataan yang
dapat dijadikan avuan untuk menilai sejauh mana proses yang berlangsung dalam organisasi/
perusahaan telah memenuhi pernyataan tersebut.
Selanjutnya untuk mendapatkan tingkat kedewasaan proses TI, maka perlu ditentukan
tingkat kontribusi dari tiap level dalam proses tersebut. Kontribusi tiap level memberikan
gambaran seberapa besar pengaruh kepatutan pada tiap level terhadap kedewasaan proses TI
tersebut secara keseluruhan. Kontribusi tersebut kemudian dikalikan dengan tingkat kepatutan
pada tiap level kedewasaan yang relevan yang menghasilkan nilai dari tiap level kedewasaan.
Tingkat kedewasaan dari suatu proses TI merupakan total dari nilai dari tiap level kedewasaan
yang didapatkan dari hasil perkalian tersebut.
2.6  Penentuan Rekomendasi
Sebelum hasil audit dikomunikasikan, pengaudit SI/ TI perlu berdiskusi untuk
mendapatkan kesepahaman terhadap hasil temuan (findings) dan mengembangkan rekomendasi
untuk memperbaiki hasil tersebut. Jika terjadi ketidaksepakatan, pengaudit SI/TI seharusnya
menguraikan signifikansi temuan serta resiko dan efek jika fokus perbaikan proses yang
berkaitan dengan resiko tersebut tidak dilakukan. Jika kesepakatan telah ditemukan, selanjutnya
hasill tersebut dikomunikasikan kepada berbagai level manajemen dan komite audit yang terdiri
dari pihak-pihak yang tidak bekerja langsung kepada perusahaan, untuk memberikan pendapat
independen terhadap temuan.
2.6.1    Penentuan Hasil Audit
Penentuan hasil audit dilakukan dengan mengevaluasi hasil audit yang didapatkan untuk
mengembangkan opini audit. Opini-opini berdasarkan hasil temuan (findings) tersebut nantinya
disusun dalam rekomendasi hasil audit. Secara umum, pengaudit SI/TI akan meninjau temuan
yang didapatkan selama proses audit untuk menentukan operasional yang ada telah dikontrol
secara efektif. Disamping itu, kelemahan dan kekurangan control dari proses yang berlangsung
juga seharusnya dinilai dan kemudian menentukan apakah telah memenuhi objektif kontrol yang
ditentukan dalam proses perencanaan audit.
Dengan demikian, hasil audit SI/TI akan berupa: temuan (findings) berdasarkan uji
kepatutan yang dilaksanakan, tingkat kedewasaan tiap proses TI yang diaudit, kesimpulan dari
uji kepatutan dan rekomendasi yang mengarah kepada perbaikan proses yang mengacu pada
peningkatan level kedewasaan. Hasil audit tersebut ditentukan oleh pengaudit SI/TI yang
kemudian dikomunikasikan kepada pihakmanajemen dan jajaran direksi yang berkepentingan
untuk mendapatkan kesepakatan mengenai hasil audit. Setelah diperoleh kesepakatan maka
langkah selanjutnya adalah menyusun hasil audit ke dalam laporan hasil audit.
2.6.2    Penyusunan Laporan Hasil Audit SI/TI
Laporan audit merupakan hasil akhir dari pekerjaan audit SI/TI yang berisikan temuan dan
rekomendasi kepada manajemen. Format dari laporan tersebut akan bervariasi disetiap organisasi
 sehingga tidak ada format baku dalam penyusunannya. Secara umum laporan audit akan
berisikan struktur pembahasan berikut:
 Pendahuluan, termasuk pernyataan tujuan dan area yang akan diaudit, periode cakupan audit serta
pernyataan umum dari sifat dasar dan cakupan prosedur audit yang diuji selama proses audit.
 Batasan terhadap pelaksanaan audit SI/TI.
 Syarat atau kualifikasi pengaruh SI/TI yang sesuai dengan ketentuan atau standar pengaudit. Hal
tersebut akan mungkin menetapkan bahwa control atau prosedur yang ditemukan sudah cukup
atau masih kurang memenuhi standar. Keseimbangan laporan audit seharusnya mendukung
kesimpulan dan bukti secara keseluruhan yang terkumpul seharusnya menyediakan dukungan
pada level yang lebih tinggi.
 Pernyataan panduan audit SI/TI yang diikuti selama aktivitas audit dilaksanakan.
 Detail temuan audit dan rekomendasi serta keputusan apakah memasukkan atau tidak
memasukkan temuan ke dalam laporan audit. Hal tersebut tergantung pada panduan yang
disediakan oleh manajemen tingkat yang lebih tinggi.
 Keanekaragaman temuan yang beberapa diantaranya bersifat penting.
 Kesimpulan keseluruhan dari pengaudit SI/TI dan pendapat dari kecukupan control dan prosedur
yang diuji selama audit.
Laporan yang dibuat seharusnya seimbang yang mendeskrepsikan tidak hanya isu negative
dari temuan, namun juga pernyataan konstrukrif yang positif berkaitan dengan peningkatan
proses dan kontrol atau jika kontrol yang efektif sudah tersedia. Pernyataan konstruktif tersebut
dibentuk dalam rekomendasi-rekomendasi berdasarkan hasil audit dengan tujuan untuk
perbaikan proses yang berkelanjutan. Selanjutnya pihak manajemen mengevaluasi sebagai
tanggapan dari temuan dengan memberikan pernyataan korektif yang perlu dilakukan termasuk
waktu untuk pengkoreksian.
Dalam laporan tersebut juga dipertimbangkan waktu pengimplementasian dari rekomendasi
yang diberikan. Hal yang perlu diperhatikan ketika implementasi rekomendasi adalah perlu
dipertimbangkan berbagai batasan-batasan yang terlibat, contohnya: batasan staf, anggaran yang
tersedia mungkin akan menghambat proses implementasi. Selain itu, penentuan komitmen dari
pihak yang diaudit mengenai waktu pengimplementasian rekomendasi hasil audit dan prosedut
pelaksanaannya penting untuk didefinisikan. Dengan demikian, dokumentasi laporan audit SI/TI
seharusnya berisikan:
      Perencanaan dan persiapan audit SI/TI yang mencakup ruang lingkup dan tujuan
(scope dan objective),
      Kondisi system informasi,
      Program audit SI/TI yang berlaku,
      Langkah audit SI/TI yang dilakukan dan bukti (evidence) audit SI/TI yang dikumpulkan,
      Temuan audit (findings) dan tingkat kedewasaan proses TI,
      Kesimpulan dari hasil temuan,
      Laporan-laporan lain yang terkait sebagai hasil dari pekerjaan audit SI/TI,\Tinjauan pengawas
berupa rekomendasi untuk perbaikan berkelanjutan.
2.6.3    Audit Untuk Perbaikan Berkelanjutan
Disamping untuk perbaikan proses, audit SI/TI juga diperlukan untuk penyediaan
rekomendasi panduan praktek bagi manajemen senior dalam peningkatan kualitas dan efektivitas
dari inisiatif penataan TI yang diimplementasikan. Biasanya peningkatan kualitas tersebut
dilakukan melalui perbaikan berkelanjutan (continuous improvement) yang dilakukan dalam
kerangka kerja yang audit SI/TI yang terara. Oleh karena itu dalam penyusunan rekomendasi,
pengaudit SI/TI seharusnya menggambarkan area perbaikan yang perlu dilakukan perusahaan
berdasarkan uji kepatutan dan tingkat kedewasaan saat pelaksanaan audit.
2.7  Contoh Hasil Laporan Audit Sistem Informasi

Perancangan Audit Keamanan Informasi Berdasarkan Standar ISO 27001:2005

(Studi Kasus: Pt Adira Dinamika Multi Finance)

2.7.1    PT Adira Dinamika Multi Finance

PT Adira Dinamika Multi Finance (Adira Finance) merupakan perusahaan terbesar yang
bergerak di bidang pembiayaan berbagai merk otomotif (motor/mobil) di Indonesia sejak tahun
1990. Pada Maret 2004, Adira Finance melakukan penawaran saham dengan pengalihan 75%
kepemilikan ke PT Bank Danamon Indonesia Tbk (Bank Danamon) yang merupakan salah satu
bank swasta nasional terbesar oleh Temasek Group dari Singapura. Berkat dukungan Bank
Danamon, Adira Finance mengembangkan usaha dengan menciptakan keunggulan kompetitif
yang dapat menghasilkan nilai yang tinggi bagi konsumen maupun pemegang saham.
2.7.2    Metodologi Penelitian
Berikut ini langkah-langkah pelaksanaan audit keamanan sistem informasi yang meliputi:
1) Mengidentifikasi Proses Bisnis dan IT
2) Menentukan Ruang Lingkup dan Tujuan Audit Sistem Informasi
3) Mengumpulkan Data
4) Melaksanakan Audit Kepatutan
5) Menentukan maturity level
6) Menentukan hasil audit keamanan sistem informasi
7) Menyusun laporan hasil audit keamanan sistem informasi
2.7.3    Implementasi Dan Hasil
1)   Identifikasi Proses Bisnis dan IT
Dalam perencanaan proses audit, auditor harus memahami proses proses bisnis dan IT
perusahaan yang mau diaudit. Pemahaman yang harus dilakukan yaitu mempelajari dokumen-
dokumen yang terkait dengan perusahaan seperti profil perusahaan, visi dan misi perusahaan,
 struktur organisasi perusahaan, proses bisnis dan TI perusahaan. Pihak auditor juga harus tahu
apakah sebelumnya perusahaan telah melaksanakan proses audit.
2)   Penentuan Ruang Lingkup dan Tujuan Audit Sistem Informasi
Ruang lingkup yang dilakukan dengan melakukan observasi, wawancara dan kuesioner.
Hasil dari penentuan berupa wawancara dengan pihak PT Adira Dinamika Multi Finance yang
dimana masih ada kurangnya keamanan terhadap aset, informasi, akses aplikasi. Penerapan hasil
ruang lingkup menggunakan standar ISO 27001:2005 dan klausul-klausul yang digunakan pada
standar ISO 27001:2005.
Tabel 1 Pemetaan Klausul ISO 27001:2005

3)   Melaksanakan Audit Kepatutan

Melaksanakan audit kepatutan menghasilkan berupa dokumen wawancara, bukti audit,
temuan audit dan nilai kematangan pada kontrol keamanan. Setelah didapatkan semua bukti yang
ada, kemudian dianalisis dan dievaluasi pada nilai tingkat kemampuan tiap kontrol keamanan.
4)   Menentukan Maturity Level
Setelah menentukan nilai yang sudah ditetapkan, langkah berikutnya yaitu maturity level.
Kerangka kerja perhitungan maturity level dilakukan secara bertahap. Contoh
perhitungan maturity level dapat dilihat pada Tabel 2. Untuk contoh hasil maturity level dapat
dilihat pada Tabel 3. Untuk contoh representasi hasil ke dalam diagram radar, dapat dilihat pada
Gambar 1.
Tabel 2 Contoh Kerangka Kerja Perhitungan Maturity Level

                                                                                                                      
Tabel 3 Contoh Hasil Maturity Level  Klausul 11 Kontrol Akses
5)   Menentukan Hasil Audit Sistem Informasi
Hasil audit keamanan berupa temuan dan rekomendasi untuk perusahaan, yang berasal dari
hasil wawancara, dari sebelumnya evaluasi dan analisis. Laporan hasil audit berupa rekomendasi
yang digunakan sebagai saran untuk perbaikan kontrol keamanan. Apabila perhitungan sudah
selesai semua, didapatkan nilai dari maturity level dari rata-rata semua nilai klausul. Setelah
semua perhitungan selesai, maka didapatkan nilai maturity level dari rata-rata nilai keseluruhan
klausul, yang dapat dilihat pada Tabel 4.

Tabel 4
Hasil Maturity Level Semua Klausul

Didapatkan representasi hasil maturity level seluruh klausul pada Gambar 2.

6)   Menyusun Laporan Hasil Audit
Setelah melakukan analisis dan evaluasi dari audit pada perusahaan leasing, maka didapatkan
beberapa kondisi yang sudah sesuai dengan kontrol ISO 27001:2005 yaitu melakukan
pemeriksaan data profil perusahaan, kebijakan, standar, prosedur, melakukan observasi standar
prosedur operasi dan hasil wawancara. Kondisi yang diperbaiki yaitu:
1) Penjadwalan kontrol aset belum dilakukan secara berkala.
2) Tidak ada penanggung jawab khusus dalam perlindungan aset.
3) Tidak ada panduan mekanisme kontrol.
4) Tidak ada pengontrolan dan pencatatan terhadap perubahan.
5) Mengkaji ulang hak akses tidak dilakukan secara berkala.
Beberapa kondisi dari standar ISO 27001:2005 yaitu:
1) Ada aturan tentang tanggung jawab keamanan informasi.
2) Ada parameter pengukuran keamanan.
3) Ada dokumentasi prosedur operasi.
4) Ada dokumentasi terhadap kontrol akses.
5) Ada kebutuhan keamanan sistem baru.

BAB III
PENUTUP

3.1  Kesimpulan
Berdasarkan hasil audit dihasilkan kesimpulan:
1) Perencanaan audit menghasilkan identifikasi ruang lingkup dalam menerapkan manajemen
resiko. Langkah audit keamanan informasi dilakukan pembuatan pernyataan, penentuan nilai
bobot, dan penentuan nilai kematangan.
 2) Pelaksanaan audit didapatkan dari hasil wawancara dalam menentukan dokumen yang
diperlukan.
3) Penyalahgunaan username dan password.
4) Kurang adanya sumber daya manusia yang mengelola.
5) Tidak ada pencatatan mengenai insiden kelemahan keamanan informasi.
3.2  Saran
Beberapa saran yang diberikan yaitu:
1) PT Adira Dinamika Multi Finance dapat melakukan audit dalam runtun rentang waktu 6 bulan
sampai 12 bulan agar keamanan informasi tetap terkontrol.
2) Audit keamanan informasi belum menggunakan semua kontrol keamanan, sehingga
diharapkan semua sistem PT Adira Dinamika Multi Finance berjalan sesuai dengan proses bisnis
yang ada, sesuai dengan Sistem Manajemen Keamanan Informasi (SMKI).
3) Audit keamanan informasi menggunakan ISO 27001:2005 dan penilaian maturity level belum
memiliki metode penilaian dan diharapkan pengembangan selanjutnya menggunakan yang lain
sebagai bahan perbandingan.

DAFTAR PUSTAKA

Sarno, R. (2009). Audit Sistem & Teknologi Informasi. Surabaya: ITS Press.

http://sharingmahasiswa.blogspot.co.id/2014/04/macam-maca-audit-sistem-informasi.html
http://silamzan.blogspot.co.id/2013/01/audit-sistem-informasi_3421.html
https://www.researchgate.net/publication/282915068_PERANCANGAN_AUDIT_KEAMANAN_IN
FORMASI_BERDASARKAN_STANDAR_ISO_270012005_STUDI_KASUS_PT_ADIRA_DI
NAMIKA_MULTI_FINANCE