Disusun Oleh: Tim Penyusun Modul Program Pendidikan Non Gelar Auditor Sektor Publik
Pengantar Audit Sistem Informasi Oleh Tim Penyusun Modul Program Pendidikan Non Gelar Auditor Sektor Publik Sekolah Tinggi Akuntansi Negara Badan Pendidikan dan Pelatihan Keuangan (BPPK) Departemen Keuangan Republik Indonesia Bekerja sama dengan Yayasan Pendidikan Internal Audit (YPIA)
Diterbitkan pertama kali oleh : Sekolah Tinggi Akuntansi Negara Jl. Bintaro Utama Sektor V Bintaro Jaya Tangerang 15223 Indonesia Telp : 021 7361654 - 56 Fax : 021 7361653
Kata
Sambutan
Dengan mengucapkan syukur alhamdulillah pada tahun 2007 ini Sekolah Tinggi Akuntansi Negara (STAN) dipercaya oleh Asian Development Bank (ADB) untuk melaksanakan salah satu kegiatan reformasi birokrasi yakni penyusunan program pelatihan auditor internal non-gelar bagi Inspektorat di daerah. Hal ini didasarkan pada tekad pemerintah untuk melakukan reformasi dalam penyelenggaraan pemerintahan dalam kerangka good governance mencakup reformasi audit pemerintahan daerah. Dalam hubungan ini, pemerintah telah menetapkan proyek yang disebut dengan State Audit Reform Sector Development Project (STAR-SDP). Pelaksanaan STAR-SDP mendapat dukungan pendanaan yang berasal dari Asian Development Bank (ADB) dan pemerintah Belanda. Sejalan dengan tekad untuk menyukseskan penyelenggaraan otonomi daerah, pemerintah juga menetapkan bahwa STAR-SDP mencakup proyek peningkatan kuantitas dan kualitas auditor di lingkungan pemerintah daerah melalui program pendidikan jangka pendek (non-gelar). Proyek pendidikan non-gelar bagi auditor inspektorat daerah ini diserahkan kepada STAN Badan Pendidikan dan Pelatihan Keuangan (BPPK) Departemen Keuangan RI dan pelaksanaannya harus melibatkan konsultan independen serta didukung oleh Badan Perencanaan Pembangunan Nasional (BAPPENAS). Modul ini merupakan bagian dari kegiatan STAR-SDP tersebut yang dikhususkan bagi auditor inspektorat daerah. Semoga modul ini bermanfaat bagi para auditor inspektorat daerah dan para instruktur pelatihan audit internal sektor publik serta pihak lain yang tertarik untuk mendalami audit internal sektor publik. Selaku pimpinan STAN saya sangat bangga dengan kegiatan ini dan peningkatan yang telah dicapai khususnya dalam hal pengembangan Sumber Daya Manusia (SDM) aparatur negara, namun tidak cukup sampai di sini, kita harus dapat mencapai kinerja yang lebih baik di masa mendatang.
Akhirnya pada kesempatan ini, atas nama Direktur Sekolah Tinggi Akuntansi Negara saya mengucapkan terima kasih kepada seluruh pihak yang penuh dedikasi telah bekerja keras dalam pembuatan modul ini dan juga pihak BAPPENAS serta Tim Teknis STAR-SDP STAN yang telah mendukung dengan kemampuan profesionalisme sehingga proyek ini dapat berhasil dengan baik. Semoga di tahun-tahun mendatang kita tetap meningkatkan kinerja.
Daftar
Isi
i
Daftar Isi..................
BAB 1 Kebutuhan Pemerintah Daerah terhadap Teknologi Informasi.. 01 A. Pendahuluan 01 B. Layanan Pemda dan proses kerja pendukung .. 02 C. Peran teknologi informasi bagi terselenggaranya layanan yang efektif. 03 1. Kriteria penyelenggaraan layanan... 03 2. Peran Teknologi Informasi dalam mencapai kriteria penyelenggaraan layanan........ 04
BAB 2 Otomasi proses kerja................................................................. 05 A. Proses kerja sebagai suatu sistem... 05 B. Unsur system proses kerja yang terotomasi... 06 1. Kebijakan, standar dan prosedur.... 07 2. Kinerja dan Risiko ........ 07 3. Peran, uraian kerja dan kompetensi SDM ....... 08 4. Formulir dan alat kerja ..... 09 5. Metode pemrosesan transaksi ... 09 6. Software aplikasi ... 10 7. Source code dan object code ..... 11 8. Software database 12 9. Software sistem operasi (operating system) 13 10. Komputer ........... 14 11. Jaringan .. 15 12. Lisensi . 17 C. Solusi otomasi proses kerja .. 19 1. Mengumpulkan rincian kebutuan dan persyaratan akan otomasi proses kerja........................... 19 2. Mengumpulkan informasi tentang semua solusi otomasi yang ada ........................................................................ 20
3. Analisis kelayakan solusi . 21 4. Mengevaluasi vendor 22 5. Kepemilikan atas source code 22 D. Memilih solusi otomasi proses kerja yang tepat 23 1. Pengelolaan proyek ............. 23 2. Pengembangan software .. 24 BAB 3 Perencanaan Teknologi Informasi..... 27 A. Perencanaan teknologi informasi . 27 1. Rencana jangka panjang dan jangka pendek TI . 27 2. Keselarasan tujuan TI dengan tujuan Pemerintah Daerah... 28 3. Anggaran TI ............................ 29 B. Organisasi Teknologi Informasi .... 29 1. Komite pengarah TI .. 29 2. Struktur organisasi TI 30 3. Keahlian yang dibutuhkan 31 C. Operasionalisasi Teknologi Informasi.. 31 1. Dukungan pengguna . 32 2. Kesepakatan tingkat layanan kepada unit kerja .. 32 3. Back up dan restore .. 33 4. Kinerja sistem dan kapasitas .. 33 5. Keamanan sistem . 34 6. Aktiva tetap dan lisensi 35 BAB 4 Pengendalian Teknologi Informasi 37 A. Jenis-jenis Pengendalian Teknologi Informasi 37 B. Pengendalian umum . 38 1. Pengendalian organisasi dan operasi. 38 2. Pengendalian dalam pengembangan sistem 42 3. Pengendalian atas dokumentasi . 43 4. Pengendalian akses terhadap TI. 44 C. Pengendalian Aplikasi 45 1. Pengendalian tahapan pemasukan data .. 46 2. Pengendalian tahapan pemrosesan data........................... 51 3. Pengendalian tahapan keluaran .... 53 D. Asas manfaat dan biaya dalam pengendalian Teknologi Informasi................................................................................. 60 E. Contoh prosedur pelaksanaan pengujian atas pengendalian TI ................................................................................. 60
ii
iii
iv
Informasi
Setelah mempelajari bab ini, diharapkan pembaca dapat: Menjelaskan peta layanan Pemda kepada masyarakat dan keterkaitan antara layanan yang satu dengan lainnya Menguraikan berbagai azas umum penyelenggaraan Negara Menjelaskan beberapa hal yang dapat menyebabkan tidak tercapainya azas umum penyelenggaraan Negara Menjelaskan bahwa teknologi informasi dapat membantu tercapainya azas umum penyelenggaraan Negara.
A. Pendahuluan Dengan perkembangan teknologi informasi dan komunikasi yang merambah ke semua bidang, baik disadari maupun tidak disadari, kita telah mendapatkan berbagai kemudahan dari dukungan teknologi tersebut. Tuntutan dari dalam hati nurani tentang kemudahan tersebut juga selalu meningkat pada semua kalangan masyarakat, termasuk kemudahan dalam berurusan dengan pemerintah daerah. Hal ini akan memicu para abdi negara di lingkungan pemerintah daerah untuk meningkatkan pelayanan mereka kepada masyarakat melalui otomasi proses kerjanya. Sudah banyak berita di media massa bahwa beberapa otomasi proses kerja menimbulkan dampak negatif berupa pemborosan dan ketidak-efisienan dalam pelaksanaan proyek maupun adanya hasil otomasi yang tidak digunakan. Terhadap masalah tersebut, para auditor di Inspektorat juga dituntut untuk dapat mengungkapkan adanya temuan audit dalam hal otomasi proses kerjanya.
01
02
03
04
Otomasi
Bab
Proses Kerja
Setelah mempelajari bab ini, diharapkan pembaca dapat: Menjelaskan bahwa proses kerja dalam penyelenggaraan pemerintahan daerah merupakan suatu sistem informasi Menguraikan unsur-unsur yang membentuk sistem proses kerja yang berbasis komputer (terotomasi). Menjelaskan cara untuk memilih solusi otomasi proses kerja yang tepat. Menjelaskan tahapan untuk menetapkan solusi otomasi proses kerja yang tepat.
A. Proses kerja sebagai suatu sistem Proses kerja dalam suatu unit organisasi dapat diumpamakan (dianalogikan) dengan proses kerja yang ada dalam tubuh manusia. Di dalam tubuh manusia terdapat banyak sekali proses kerja, seperti proses kerja penyaluran bahan makanan ke seluruh bagian tubuh manusia melalui jaringan peredaran darah, proses kerja masuknya informasi dari mata (dengan membaca) melalui syaraf penglihatan hingga menuju ke jaringan otak yang akan menyimpan informasi tersebut, proses kerja pengolahan sari makanan dengan oksigen menjadi tenaga, untuk melaksanakan aktivitas manusia atau ditumpuk menjadi lemak dalam tubuh manusia, dan sisanya dibuang dalam bentuk air seni maupun keringat, dan proses kerja lainnya. Suatu proses kerja tersebut dapat merupakan bagian (sub) dari suatu proses kerja lainya, misalnya proses kerja penyerapan sari makanan di dalam usus halus ke dalam darah merupakan bagian (sub) dari proses kerja penyaluran bahan makanan ke seluruh bagian tubuh. Demikian pula beberapa proses kerja bisa dikelompokkan dalam suatu proses kerja yang lebih besar, seperti proses kerja penyaluran bahan makanan ke seluruh bagian tubuh manusia
05
06
07
08
09
10
11
12
Merk
Oracle IBM DB2 IBM Informix Microsoft SqlServer Sybase SqlServer MySQL Firebird PostgreSQL
Kapasitas
Besar Besar Besar Besar Besar Menengah Besar Besar
Lisensi
Tertutup Tertutup Tertutup Tertutup Tertutup Terbuka Terbuka Terbuka
9. Software sistem operasi (Operating System) Software sistem operasi termasuk ke dalam kelompok software sistem seperti halnya software database. Software sistem operasi adalah program yang harus pertamakali di-install pada komputer yang baru saja dibuat. Software sistem operasi-lah yang mengkoordinasikan kerja antara semua komponen komputer seperti CPU (otak komputer), memory (ingatan komputer), harddisk (tempat penyimpanan data dan program) serta peralatan lainnya seperti keyboard, mouse, dan printer. Software sistem bisa dikatakan sebagai software yang mengatur rumah tangga sistem itu sendiri, yang harus disiapkan sebelum software aplikasi di-install ke dalam komputer. Dengan kata lain, komputer baru bisa digunakan jika telah di-install software sistem operasi. Semua program aplikasi seperti game, aplikasi pengetikan surat dan lainnya hanya dapat di-install ke dalam komputer hanya jika di dalam komputer tersebut sudah ada software sistem operasinya.
13
Merk
Unix
Variasi
Sun Solaris IBM AIX FreeBSD Mac OS
Lisensi
Tertutup Tertutup Terbuka Tertutup Terbuka Terbuka Terbuka Tertutup
GNU/Linux
Windows
10.Komputer Berdasarkan fungsinya, secara garis besar komputer dapat digolongkan menjadi 2 yaitu: a) Server Komputer yang akan di-install software sistem sehingga komputer server dapat melayani kebutuhan para pengguna komputer perseorangan. Ada berbagai jenis server berdasarkan fungsinya, yaitu:
Jenis
File Server
Fungsi
Melayani kebutuhan: Tempat penyimpanan tersentralisasi untuk program serta file gambar, musik, film, laporan dan lainnya. Penggunaan printer untuk pencetakan secara bersama-sama.
Mail Server
Melayani kebutuhan tempat penyimpanan surat elektronik (email) dan pengaturan pengirimannya dari pengguna yang satu ke pengguna lainnya.
Database Server
Melayani kebutuhan untuk menyimpan data yang diterima program aplikasi dari pengguna melalui mekanisme input dari komputernya masing-masing.
Komputer server hanya berguna jika dipasang pada satu jaringan komputer. Dengan kata lain, komputer server baru dibutuhkan ketika organisasi sudah memiliki jaringan komputer.
14
15
16
17
Kategori
Sistem operasi Aplikasi Perkantoran Dokumen Spreadsheet Presentasi Aplikasi Pengelolaan Proyek Aplikasi Grafis Aplikasi Diagram Aplikasi Pemecahan Masalah Aplikasi Browsing Aplikasi e-mail client
Software Komersial
Microsoft Windows Microsoft Office Microsoft Word Microsoft Excel Microsoft PowerPoint Microsoft Project
Software open source membuka peluang bagi organisasi untuk menekan biaya investasi penggunaan teknologi informasi. Apalagi secara fungsional dan kemudahan pemakaiannya, kualitas software open source tidak selalu berada di bawah software komersial. Namun demikian keberadaan software open source dan sejenisnya tidak berarti akan menghilangkan keberadaan software komersial. Untuk melakukan komputerisasi proses kerja, suatu organisasi harus melakukan studi analisis kebutuhan penggunaan software oleh pegawainya. Kemudian, kebutuhan tersebut dibandingkan dengan fitur yang dimiliki oleh software open source yang ada. Jika bisa terpenuhi, maka organisasi cukup meng-install software open source tersebut ke dalam komputer yang akan digunakan oleh masing-masing pengguna yang bersangkutan. Jika tidak terpenuhi, maka organisasi tersebut harus membeli software komersial
18
19
20
3. Analisis kelayakan solusi Setelah mendapatkan informasi yang menyeluruh, organisasi tersebut dapat mulai melakukan usaha untuk membandingkan kebutuhan dan persyaratan yang diinginkan dengan apa yang dimiliki oleh setiap solusi otomasi terkait yang ada di pasar. Agar hasil penilaian terhadap satu solusi otomasi dapat dibandingkan dengan solusi otomasi yang lain, organisasi tersebut harus mengembangkan terlebih dahulu mekanisme penilaian yang dapat meliputi berbagai hal yang akan dinilai, baik kriteria penilaiannya maupun bobot penilaiannya.
21
22
23
24
25
Inisiasi
Pendefinisian
Perancangan Pemrograman dan Pelatihan Evaluasi dan Penerimaan Instal dan Pengoperasian
c. Pengujian final dan instalasi Seringkali ditemui suatu software sudah di-install dan dioperasionalkan sebelum dilakukan pengujian/evaluasi final selesai dilakukan. Hal tersebut mengakibatkan organisasi menderita karena suatu software yang belum dilakukan pengujian akan banyak menemui masalah atau masih ada fitur yang diharapkan tapi belum ada pada software tersebut. Oleh karena itu suatu organisasi harus mencegah jangan sampai terjadi pemasangan/install dan pengoperasian suatu software yang belum lulus pengujian yang menyeluruh. Organisasi tersebut juga harus mewaspadai bahwa pengujian telah dilakukan secara urut sesuai tahapan pengembangannya dan mengikuti metodologi pengujian yang baik dan sehat. Pengujian yang tidak berkualitas hanya akan menyebabkan software yang di-install masih bermasalah dan penggunaannya akan sangat mengecewakan penggunanya.
26
A. Perencanaan Teknologi Informasi Hal mendasar yang paling menjadi perhatian bagi terciptanya tata kelola TI yang baik dan sehat adalah adanya keselarasan antara pengelolaan teknologi informasi dengan pengelolaan pemerintahan daerah. Keselarasan tersebut harus di mulai sejak tingkatan strategis hingga tingkatan operasional. Keselarasan dapat memberikan jaminan bagi manajemen pemerintahan daerah bahwa semua kegiatan teknologi informasi yang dilaksanakan termasuk pengembangan sistem dan pengadaan hardware, software, infrastruktur dan rekrutmen sumber daya manusia TI selalu memiliki hubungan yang jelas dengan tujuan pemerintah daerah sehingga manfaatnya dapat dirasakan langsung dan dikaitkan dengan target-target pemerintah daerah baik secara jangka panjang maupun jangka pendek. 1. Rencana jangka panjang dan jangka pendek TI Pengelolaan teknologi informasi harus memiliki perencanaan jangka panjang yang dibuat mengacu dan berdasarkan perencanaan jangka panjang pemerintah daerah sehingga dapat dijamin korelasinya. Keselarasannya harus dapat digambarkan secara jelas. Untuk membuat perencanaan jangka panjang, pemerintah daerah sebaiknya menggunakan pendekatan-pendekatan teknik manajemen yang tepat seperti Balance Scorecard.
27
VISI DAN MISI PEMDA VISI DAN MISI TI Tujuan Sasaran Ukuran dan Target Inisiatif Tujuan Sasaran Ukuran dan Target Inisiatif
Berdasarkan rencana jangka panjang TI yang dibuat, manajemen daerah harus membuat rencana jangka pendeknya. 2. Keselarasan tujuan TI dengan tujuan Pemerintah Daerah Pada tingkatan strategis, pengelolaan teknologi informasi seharusnya memiliki tujuan yang jelas dan memiliki korelasi langsung dengan tujuan pemerintah daerah. Berikut contoh hubungan antara tujuan Pemerintah Daerah dengan tujuan unit teknologi informasi pada tingkatan strategis:
Tujuan Pemerintah Daerah 1. Menyempurnakan dan menjaga fungsionalitas proses kerja internal Pemda
Tujuan TI Memastikan kebutuhan fungsional Pemda dan kebutuhan pengendalian telah ada dalam solusi otomasi. Memastikan adanya integrasi aplikasi ke dalam proses kerja Pemda secara sempurna.
Mengusahakan supaya layanan TI selalu tersedia sesuai kebutuhan. Memastikan dampak terhadap kelangsungan layanan pemerintah daerah dapat diminimalisir jika terjadi gangguan pada teknologi informasi.
28
29
Posisi unit pengelola TI Pada kebanyakan organisasi profit yang sangat berkepentingan pada laporan keuangan yang dapat diandalkan, posisi unit pengelola TI biasanya di mulai dari Divisi Akuntansi dan/atau Divisi Keuangan. Mengingat posisi unit pengelola TI adalah memberikan layanan bagi unit lainnya maka posisi terbaik unit pengelola TI adalah pada posisi sejajar dengan unit organisasi non-TI yang paling tinggi.
30
C. Operasionalisasi Teknologi Informasi Tidak semua organisasi memutuskan untuk melakukan pengembangan sistem secara internal untuk memenuhi kebutuhan sistem yang diinginkan. Berdasarkan pertimbangan cost, benefit dan risiko, manajemen organisasi dapat memutuskan membeli atau mengontrakkan pembuatan sistem kepada pihak ketiga. Hal tersebut terkadang membuat unit pengembang pada unit pengelola TI tidak memiliki banyak pekerjaan. Berbeda dengan kegiatan pengembangan, kegiatan pengoperasionalan TI adalah kegiatan yang jarang diserahkan kepada pihak ketiga mengingat risiko yang terkandung di dalamnya.
31
32
33
34
35
36
A. Jenis-jenis Pengendalian Teknologi Informasi Seperti halnya kegiatan lainnya, suatu proyek atau kegiatan komputerisasi proses kerja mengandung risiko bahwa proyek atau kegiatan tersebut tidak akan mencapai tujuannya sebagaimana yang diharapkan. Untuk mengurangi atau meminimalkan risiko tersebut manajemen suatu organisasi perlu menciptakan sistem pengendalian. Dilihat dari tujuannya, pengendalian teknologi sistem informasi dapat dikategorikan ke dalam pengendalian yang bertujuan untuk: 1. Mencegah (preventive) terjadinya suatu peristiwa yang berdampak merugikan atau berpotensi merugikan organisasi, misalnya dengan dibuat struktur organisasi dan pembagian tugas serta uraian kerja yang jelas. 2. Mendeteksi (detective) telah terjadinya suatu peristiwa yang berdampak merugikan organisasi, misalnya ruangan gedung yang dipasang sistem pendeteksi kebakaran yang dilengkapi dengan alarm yang akan berbunyi jika terdapat asap atau panas yang mengenai sistem pendeteksi kebakaran tersebut, 3. Memperbaiki (corrective) kerugian yang terjadi karena suatu peristiwa. Misalnya, springkle air yang akan pecah dan menyemprotkan air bila terkena
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
Bila komputer dan monitor yang digunakan terletak dalam satu tempat, kemungkinan untuk mencuri data dapat terjadi pada saat data itu melewati kabel dari CPU ke monitor. Pencegahan pencurian data ini dapat dilakukan dengan mengawasi kabel yang digunakan sehingga tidak ada yang dapat, menyambungkan kabel lainnya ke kabel itu, atau dengan menggunakan kabel khusus yang tidak dapat dipotong pembungkusnya. Pengawasan terhadap informasi yang ditampilkan pada layar monitor dilakukan dengan menempatkan layar monitor sedemikian rupa sehingga orang lain tidak dapat ikut membaca informasinya. Selain itu selama keluaran tampil di layar monitor, pengguna tidak diperbolehkan meninggalkan terminal agar informasinya tidak dibaca orang lain.
58
59
60
61
62
Audit Sistem
Bab
Informasi
Setelah mempelajari bab ini, diharapkan pembaca dapat: Menjelaskan berbagai teknik audit dalam lingkungan teknologi sistem informasi . Menjelaskan berbagai standar yang dapat dipakai sebagai pedoman dalam penyelenggaraan teknologi sistem informasi.
A. Jenis Audit Teknologi Sistem Informasi 1. Audit Manajemen/Operasional Teknologi Sistem Informasi Saat ini tingkat kecenderungan organisasi memanfaatkan teknologi informasi semakin meningkat. Biaya investasi dan operasionalisasi yang tinggi tidak bisa menahan keinginan organisasi untuk memanfaatkan TI. Kebanyakan organisasi berkeyakinan bahwa penggunaan TI adalah suatu keharusan jika ingin berhasil mencapai tujuan yang diinginkan. Bahkan seringkali keyakinan tersebut menyebabkan banyak organisasi tidak menyadari bahwa penggunaan TI membawa berbagai risiko baru yang selama ini tidak pernah ditemui. Misalnya terhapusnya file laporan oleh virus komputer. Seiring dengan berjalannya waktu, ternyata tidak semua organisasi yang menggunakan TI berhasil memanfaatkannya secara optimal. Hal itu umumnya disebabkan karena software aplikasi tidak memiliki antara lain: fitur penting yang diharapkan, laporan standar yang diinginkan serta informasi yang bisa diandalkan karena masih banyaknya error yang ditemukan. Situasi seperti itu justru membebani organisasi dalam mencapai tujuannya.
63
64
c. Aspek yang diukur A s pek yang dapat diukur dalam audit jenis ini adalah: Tingkat kematangan organisasi dalam melakukan proses kerja pengelolaan TI (maturity level). Tatakelola TI terdiri dari beberapa proses kerja. Setiap proses kerja terdiri dari aktivitas-aktivitas yang dikerjakan berdasarkan tahapan tertentu. Tingkat kematangan yang lebih tinggi memberikan jaminan kepastian yang lebih tinggi bahwa output yang dihasilkan proses kerja tersebut akan selalu berkualitas dan konsisten dari waktu ke waktu. Jika terdapat ketidak-konsistenan keberhasilan proyek pengembangan sistem pada suatu organisasi, maka hal tersebut mengindikasikan bahwa proses kerja pengembangan sistemnya masih belum cukup matang. Skala tingkat kematangan proses kerja pengelolaan TI diukur dalam rentang nilai antara 0 sd 5. Semakin tinggi nilai yang di dapat berarti semakin matang.
Penjelasan Pemerintah daerah belum mengetahui sama sekali bahwa proses kerja yang sedang diukur kematangannya tersebut merupakan proses kerja pengelolaan TI yang seharusnya dilakukan agar dapat tercipta suatu tata kelola TI yang baik dan sehat. Contoh: Kebanyakan pemerintah daerah belum mengenali bahwa harus dilakukan pengelolaan risiko TI sebagai bagian dari pengelolaan TI yang baik dan sehat.
65
Penjelasan Pemerintah daerah sudah mengenali kebutuhan untuk melakukan suatu proses kerja TI tertentu sebagai bagian dari tata kelola TI yang baik dan sehat. Tetapi masih dilakukan dengan pendekatan ad-hoc, artinya pelaksanaannya tergantung situasi dan kondisi pada saat itu. Contoh: Kebanyakan pemerintah daerah sudah mengenali kebutuhan untuk melakukan pengelolaan kualitas TI namun tidak memahami bagaimana metodologi dan caranya Pemerintah daerah sudah melakukan proses kerja TI yang bersangkutan namun bagaimana cara melakukannya masih didasarkan pada intuisi dan pengetahuan yang terbatas. Contoh: Kebanyakan pemerintah daerah sudah melakukan pengadaan solusi TI berkali-kali tetapi pemerintah daerah masih belum mengetahui bagaimana metodologi dan cara yang baik dan sehat untuk melakukan pemilihan solusi TI dan vendor yang tepat. Pemerintah sudah melakukan proses kerja TI yang bersangkutan berkali-kali dengan metodologi dan proses kerja yang sudah distandarisasi dan didokumentasikan. Pada tahap ini, pemerintah daerah sudah mulai mendapatkan manfaat berupa sharing of knowledge bagi para staf dan manajemen terkait. Contoh: Pemerintah daerah sudah melakukan pengembangan sistem secara internal berdasarkan metodologi dan cara kerja yang telah distandarisasi dan didokumentasikan. Pemerintah daerah sudah melaksanakan proses kerja TI yang bersangkutan dan sudah menentukan siapa yang memiliki dan bertanggung jawab atas proses kerja TI tersebut. Pemerintah daerah sudah mulai memperhatikan ketidak-sesuaian yang terjadi dalam proses kerja, baik dalam hal pencapaian dan pelaksanaannya. Kegiatan analisis penyebab masalah sudah mulai distandarisasi. Contoh: Pemerintah daerah sudah melakukan proses kerja pengelolaan layanan TI dari pihak ketiga seperti layanan maintenance hardware dan sebagainya.
3: Defined
66
Penjelasan Pemerintah daerah sudah melaksanakan proses kerja TI yang bersangkutan berdasarkan standar praktek kerja terbaik yang telah diakui dan diterima luas oleh berbagai macam organisasi di dunia. Proses kerja tersebut sudah diotomasi secara optimal dan analisis penyebab masalah selalu dilakukan. Contoh: Pemerintah daerah sudah melakukan proses kerja pengelolaan insiden dan keluhan para pengguna TI dengan software untuk menampung semua keluhan, memonitor dan melaporkan statusnya.
Kriteria pengukuran tingkat kematangan tersebut dapat mengacu pada CobiT yang berasal dari IT Governance Institute, yaitu standar tata kelola TI yang baik dan sehat. Tingkat kinerja Organisasi sebaiknya menetapkan terlebih dulu semua indikator utama, yang tepat, yang dapat menggambarkan kinerja pelaksanaan setiap proses kerja pengelolaan TI sebelum dilakukan pengukuran kinerjanya. Untuk menghitung berapa nilai suatu indikator kinerja, dibutuhkan perhitungan berdasarkan data-data terkait. Jika pengumpulan data dilakukan secara manual maka akan dibutuhkan waktu yang lama untuk menyelesaikan perhitungannya. Tingkat keamanan TI membuat akses data dapat dilakukan dari mana saja bahkan dari tempat yang sangat jauh. Hal tersebut tentu saja sangat membantu organisasi, namun menimbulkan risiko tertentu. Misalnya bagaimana jika yang melakukan akses adalah orang yang tidak memiliki kewenangan? Jika itu terjadi maka semua informasi yang ada dapat disebarluaskan dengan cepat ke pihak-pihak yang justru tidak boleh mengetahuinya. Risiko lain adalah bagaimana jika terjadi suatu ancaman tertentu yang dapat membuat komputer server rusak sehingga layanan berbasis TI kepada penduduk/warga tidak bisa dilaksanakan.
67
d. Standar penilaian Standar penilaian yang digunakan sangat beragam antara lain: CobiT CobiT, yang diterbitkan oleh IT Governance Institute, menetapkan proses kerja yang seharusnya dilakukan organisasi agar dapat mencapai tata kelola yang baik dan sehat. Tepatnya ada 34 proses kerja pengelolaan TI yang dijelaskan pada Cobit versi 4.1 yang dikelompokkan menjadi 4 bagian, yaitu: rencanakan dan organisasikan (plan & organise), peroleh dan implementasikan (acquire & implement), operasionalkan dan berikan dukungan (deliver & support) monitor dan evaluasi (monitor & evaluate).
ISO seri 20000 ISO 20000 menetapkan proses kerja yang berhubungan dengan pengelolaan layanan TI. Proses kerja yang ada pada ISO 20000 merupakan modifikasi atas hasil adopsi IT-IL (baca ai ti ai el) yang merupakan singkatan dari IT Infrastructur Library
ISO 27000 ISO 27000 menetapkan proses kerja pengelolaan keamanan TI termasuk aspek keamanan yang harus diperhatikan pada proses kerja TI lainnya
2. Audit Aplikasi Software aplikasi adalah komponen otomasi yang ada pada proses kerja yang sudah dikomputerisasi. Aplikasi tidak hanya mengotomasi mekanisme input, penyimpanan data dan pelaporannya tapi harus bisa memberlakukan kebijakan dan aturan-aturan yang berlaku pada proses kerja tersebut secara otomatis juga. Misalnya, aplikasi pembuatan KTP seharusnya menolak input data penduduk yang masih berusia di bawah batas yang ditetapkan. Organisasi memiliki kebutuhan untuk memastikan apakah software aplikasi telah membuat proses kerja berjalan secara efektif, efisien dan mematuhi aturan berlaku (compliance) serta menghasilkan informasi yang dapat diandalkan (reliability), dijaga kerahasiaannya (confidentiality), keutuhan (integrity) dan ketersediaannya (availability). Selain hal tersebut diatas, organisasi perlu memahami bahwa semua unsur proses kerja yang sudah dikomputerisasi seharusnya sudah lengkap dan
68
INPUT
P R O S E S
O
OUTPUT
O U TP U T
b. Aspek yang diukur Aspek yang dapat diukur dalam audit jenis ini adalah: Fungsional Software otomasi proses kerja Pemda seharusnya memiliki semua fungsi yang dibutuhkan proses kerja tersebut agar dapat mencapai tujuannya.
TP
69
eSAC Model
Dynamic Environment Customers Competitors Regilators Community Owners
Market Forces & Velocity Operating, Reporting, Compliance & Safeguarding Availa bility Poeple Capabi lity Techno logy Functio nality Proces ses Protect ability Invest ment Accoun tability
Commu nication
70
IT General Controls Program Development Program Changes Program Operations Access Control Control Environment
IT Infrastructure Services
Database Operating System Network/Physical
71
72
2. Audit through the computer Berbeda dengan pendekatan around the computer, audit through the computer justru menjadikan komponen/unsur teknologi informasi menjadi bagian yang tidak terpisahkan dari proses kerja atau sistem informasi yang diaudit. Oleh karena itu, auditor harus memiliki pengetahuan yang memadai tentang teknologi informasi agar dapat memahami cara kerja serta risiko dan pengendalian teknologi informasi. Dengan demikian auditor dapat mempelajari dan menguasai berbagai teknik audit spesifik yang terkait dengan teknologi informasi. Dengan pendekatan ini, auditor dapat melakukan pengujian atas kualitas pemrosesan terhadap seluruh transaksi yang di-input dengan menggunakan teknik audit analisis data seperti yang dijelaskan pada bagian mengenai teknik audit. Sampling dibutuhkan hanya ketika auditor ingin menelusuri transaksi dalam bentuk data elektronik ke dokumen fisik input atau aktiva dan harta lainnya.
73
74
75
76
77
78
79
80