Peng Antar Audits I

Pengantar Audit Sistem Informasi
Disusun Oleh: Tim Penyusun Modul Program Pendidikan Non Gelar Auditor Sektor Publik
SEKOLAH TINGGI AKUNTANSI NEGARA 2007
Pengantar Audit Sistem Informasi Oleh Tim Penyusun Modul Program Pendidikan Non Gelar Auditor Sektor Publik Sekolah Tinggi Akuntansi Negara Badan Pendidikan dan Pelatihan Keuangan (BPPK) Departemen Keuangan Republik Indonesia Bekerja sama dengan Yayasan Pendidikan Internal Audit (YPIA)
Desain sampul dan isi : Tim YPIA
Diterbitkan pertama kali oleh : Sekolah Tinggi Akuntansi Negara Jl. Bintaro Utama Sektor V Bintaro Jaya Tangerang 15223 Indonesia Telp : 021 7361654 - 56 Fax : 021 7361653
Cetakan Pertama : Desember 2007
Buku ini bisa di download bebas melalui Website : www.stan-star.ac.id
Kata
Sambutan
Dengan mengucapkan syukur alhamdulillah pada tahun 2007 ini Sekolah Tinggi Akuntansi Negara (STAN) dipercaya oleh Asian Development Bank (ADB) untuk melaksanakan salah satu kegiatan reformasi birokrasi yakni penyusunan program pelatihan auditor internal non-gelar bagi Inspektorat di daerah. Hal ini didasarkan pada tekad pemerintah untuk melakukan reformasi dalam penyelenggaraan pemerintahan dalam kerangka good governance mencakup reformasi audit pemerintahan daerah. Dalam hubungan ini, pemerintah telah menetapkan proyek yang disebut dengan State Audit Reform Sector Development Project (STAR-SDP). Pelaksanaan STAR-SDP mendapat dukungan pendanaan yang berasal dari Asian Development Bank (ADB) dan pemerintah Belanda. Sejalan dengan tekad untuk menyukseskan penyelenggaraan otonomi daerah, pemerintah juga menetapkan bahwa STAR-SDP mencakup proyek peningkatan kuantitas dan kualitas auditor di lingkungan pemerintah daerah melalui program pendidikan jangka pendek (non-gelar). Proyek pendidikan non-gelar bagi auditor inspektorat daerah ini diserahkan kepada STAN Badan Pendidikan dan Pelatihan Keuangan (BPPK) Departemen Keuangan RI dan pelaksanaannya harus melibatkan konsultan independen serta didukung oleh Badan Perencanaan Pembangunan Nasional (BAPPENAS). Modul ini merupakan bagian dari kegiatan STAR-SDP tersebut yang dikhususkan bagi auditor inspektorat daerah. Semoga modul ini bermanfaat bagi para auditor inspektorat daerah dan para instruktur pelatihan audit internal sektor publik serta pihak lain yang tertarik untuk mendalami audit internal sektor publik. Selaku pimpinan STAN saya sangat bangga dengan kegiatan ini dan peningkatan yang telah dicapai khususnya dalam hal pengembangan Sumber Daya Manusia (SDM) aparatur negara, namun tidak cukup sampai di sini, kita harus dapat mencapai kinerja yang lebih baik di masa mendatang.
Modul Program Pendidikan Non Gelar Auditor Sektor Publik
Akhirnya pada kesempatan ini, atas nama Direktur Sekolah Tinggi Akuntansi Negara saya mengucapkan terima kasih kepada seluruh pihak yang penuh dedikasi telah bekerja keras dalam pembuatan modul ini dan juga pihak BAPPENAS serta Tim Teknis STAR-SDP STAN yang telah mendukung dengan kemampuan profesionalisme sehingga proyek ini dapat berhasil dengan baik. Semoga di tahun-tahun mendatang kita tetap meningkatkan kinerja.
Suyono Salamun, Ph.D Direktur Sekolah Tinggi Akuntansi Negara
Daftar
Isi
i
Daftar Isi..................
BAB 1 Kebutuhan Pemerintah Daerah terhadap Teknologi Informasi.. 01 A. Pendahuluan 01 B. Layanan Pemda dan proses kerja pendukung .. 02 C. Peran teknologi informasi bagi terselenggaranya layanan yang efektif. 03 1. Kriteria penyelenggaraan layanan... 03 2. Peran Teknologi Informasi dalam mencapai kriteria penyelenggaraan layanan........ 04
BAB 2 Otomasi proses kerja................................................................. 05 A. Proses kerja sebagai suatu sistem... 05 B. Unsur system proses kerja yang terotomasi... 06 1. Kebijakan, standar dan prosedur.... 07 2. Kinerja dan Risiko ........ 07 3. Peran, uraian kerja dan kompetensi SDM ....... 08 4. Formulir dan alat kerja ..... 09 5. Metode pemrosesan transaksi ... 09 6. Software aplikasi ... 10 7. Source code dan object code ..... 11 8. Software database 12 9. Software sistem operasi (operating system) 13 10. Komputer ........... 14 11. Jaringan .. 15 12. Lisensi . 17 C. Solusi otomasi proses kerja .. 19 1. Mengumpulkan rincian kebutuan dan persyaratan akan otomasi proses kerja........................... 19 2. Mengumpulkan informasi tentang semua solusi otomasi yang ada ........................................................................ 20
3. Analisis kelayakan solusi . 21 4. Mengevaluasi vendor 22 5. Kepemilikan atas source code 22 D. Memilih solusi otomasi proses kerja yang tepat 23 1. Pengelolaan proyek ............. 23 2. Pengembangan software .. 24 BAB 3 Perencanaan Teknologi Informasi..... 27 A. Perencanaan teknologi informasi . 27 1. Rencana jangka panjang dan jangka pendek TI . 27 2. Keselarasan tujuan TI dengan tujuan Pemerintah Daerah... 28 3. Anggaran TI ............................ 29 B. Organisasi Teknologi Informasi .... 29 1. Komite pengarah TI .. 29 2. Struktur organisasi TI 30 3. Keahlian yang dibutuhkan 31 C. Operasionalisasi Teknologi Informasi.. 31 1. Dukungan pengguna . 32 2. Kesepakatan tingkat layanan kepada unit kerja .. 32 3. Back up dan restore .. 33 4. Kinerja sistem dan kapasitas .. 33 5. Keamanan sistem . 34 6. Aktiva tetap dan lisensi 35 BAB 4 Pengendalian Teknologi Informasi 37 A. Jenis-jenis Pengendalian Teknologi Informasi 37 B. Pengendalian umum . 38 1. Pengendalian organisasi dan operasi. 38 2. Pengendalian dalam pengembangan sistem 42 3. Pengendalian atas dokumentasi . 43 4. Pengendalian akses terhadap TI. 44 C. Pengendalian Aplikasi 45 1. Pengendalian tahapan pemasukan data .. 46 2. Pengendalian tahapan pemrosesan data........................... 51 3. Pengendalian tahapan keluaran .... 53 D. Asas manfaat dan biaya dalam pengendalian Teknologi Informasi................................................................................. 60 E. Contoh prosedur pelaksanaan pengujian atas pengendalian TI ................................................................................. 60
ii

BAB 5 Audit Sistem Informasi.............................................................. 63 A. Jenis Audit Teknologi Sistem Informasi ................................. 63 1. Audit Manajemen/operasional teknologi sistem informasi...... 63 2. Audit Aplikasi Sistem Informasi........................................... 68 B. Pendekatan audit teknologi sistem informasi.......................... 72 1. Audit around the computer.................................................. 72 2. Audit through the computer................................................. 73 C. Teknik Audit Teknologi Sistem Informasi................................ 74 1. Teknik audit tanpa bantuan komputer................................. 74 2. Teknik audit dengan bantuan komputer.............................. 75
iii
Halaman ini sengaja dikosongkan
iv
1 Kebutuhan Pemerintah Daerah Terhadap Teknologi

Bab
Informasi
Setelah mempelajari bab ini, diharapkan pembaca dapat: Menjelaskan peta layanan Pemda kepada masyarakat dan keterkaitan antara layanan yang satu dengan lainnya Menguraikan berbagai azas umum penyelenggaraan Negara Menjelaskan beberapa hal yang dapat menyebabkan tidak tercapainya azas umum penyelenggaraan Negara Menjelaskan bahwa teknologi informasi dapat membantu tercapainya azas umum penyelenggaraan Negara.
A. Pendahuluan Dengan perkembangan teknologi informasi dan komunikasi yang merambah ke semua bidang, baik disadari maupun tidak disadari, kita telah mendapatkan berbagai kemudahan dari dukungan teknologi tersebut. Tuntutan dari dalam hati nurani tentang kemudahan tersebut juga selalu meningkat pada semua kalangan masyarakat, termasuk kemudahan dalam berurusan dengan pemerintah daerah. Hal ini akan memicu para abdi negara di lingkungan pemerintah daerah untuk meningkatkan pelayanan mereka kepada masyarakat melalui otomasi proses kerjanya. Sudah banyak berita di media massa bahwa beberapa otomasi proses kerja menimbulkan dampak negatif berupa pemborosan dan ketidak-efisienan dalam pelaksanaan proyek maupun adanya hasil otomasi yang tidak digunakan. Terhadap masalah tersebut, para auditor di Inspektorat juga dituntut untuk dapat mengungkapkan adanya temuan audit dalam hal otomasi proses kerjanya.
01

Modul "Pengantar Audit Sistem Informasi" ini di susun untuk bahan pelatihan di lingkungan Inspektorat Provinsi/Kabupaten/Kota tentang otomasi proses kerja di lingkungan pemerintah daerah beserta aspek pengendalian dan proses auditnya. Modul ini bertujuan memberikan pemahaman kepada pembaca tentang : Berbagai jenis layanan kerja dalam lingkup pemerintah daerah yang memerlukan dukungan teknologi informasi. Otomasi proses kerja beserta unsur-unsurnya Pelaksanaan otomasi proses kerja Pengendalian teknologi informasi, dan Audit sistem informasi Karena modul ini masih bersifat pengantar, maka para auditor di lingkungan Inspektorat, setelah mempelajari modul ini tidak diharapkan untuk dapat menyiapkan prosedur audit yang detil dan mendalam atas proses kerja berbasis komputer, namun auditor tersebut diharapkan dapat menambah wawasan dalam mengembangkan finding dan memberikan rekomendasi atas finding yang menyangkut proses kerja yang berbasis komputer. Walaupun bersifat pengantar, modul ini telah memberikan gambaran lengkap secara garis besar tentang tahapan proses otomasi dan pengendaliannya. Dengan mempelajari modul ini, para pembaca mempunyai bekal untuk dapat menganalisis mengapa suatu proyek otomasi proses kerja tidak berhasil, unsur apa saja yang mempengaruhi keberhasilan otomasi proses kerja, pengendalian apa yang perlu diterapkan dalam otomasi. Untuk selanjutnya modul ini diharapkan dapat memicu para pembacanya untuk meningkatkan keahliannya dalam bidang audit terhadap sistem informasi, bahkan diharapkan dapat menarik minat auditor untuk menjadi spesialis dalam bidang audit sistem informasi. B. Layanan Pemda dan proses kerja pendukung 1. Fungsi dan layanan pemerintah daerah Selain menangani hubungan pemerintahan dengan pemerintah pusat dan pemerintah daerah lainnya terkait dengan hubungan wewenang, keuangan, pelayanan umum, pemanfaatan sumber daya alam dan pemanfaatan sumber daya lainnya, pemerintah daerah juga menangani urusan lainnya yang bertujuan untuk meningkatkan kesejahteraan masyarakat, pelayanan umum, dan daya saing daerah.
02

Pelayanan pemerintah daerah yang ditujukan langsung kepada masyarakat antara lain: a. Administrasi kependudukan b. Administrasi pendidikan c. Penyediaan fasilitas pelayanan kesehatan d. Penyediaan fasilitas sosial dan fasilitas umum e. Penyediaan sistem jaminan sosial 2. Proses kerja pendukung penyelenggaraan layanan Untuk dapat melaksanakan fungsi dan layanan seperti diuraikan diatas, pemerintah daerah memiliki perangkat daerah yang terdiri dari: Sekretariat Daerah, Dinas Daerah, dan Lembaga Teknis Daerah ditambah kecamatan dan kelurahan jika pemerintah daerah tersebut adalah pemerintah daerah Kabupaten/Kota. Pemerintah daerah memiliki berbagai proses kerja internal yang merupakan proses kerja dukungan bagi pelaksanaan fungsi dan layanan eksternal pemerintahan daerah termasuk proses kerja yang ada pada Sekretariat Daerah, Dinas Daerah, dan Lembaga Teknis Daerah, misalnya proses kerja untuk mengelola uang yang terdiri dari pemasukan, penyimpanan dan pembelanjaan. Pembiayaan untuk penyelenggaraan urusan pemerintahan yang menjadi kewenangan daerah didanai dari anggaran pendapatan dan belanja daerah. Oleh karena itu pemerintah daerah harus melakukan pengelolaan proses kerja perencanaan, pelaksanaan, penatausahaan, pelaporan, dan pertanggungjawaban, serta pengawasan keuangan daerah. Pengelolaan keuangan daerah termasuk sumber pendapatan daerah termasuk di dalamnya adalah pajak daerah, retribusi daerah, dana perimbangan dan pendapatan asli daerah lainnya yang sah. C. Peran teknologi informasi bagi terselenggaranya layanan yang efektif 1. Kriteria penyelenggaraan layanan Kriteria penyelenggaraan layanan mengacu pada Asas Umum Penyelenggaraan Negara yang terdiri atas: a. Asas kepastian hukum; b. Asas tertib penyelenggara negara; c. Asas kepentingan umum;
03

d. Asas keterbukaan; e. Asas proporsionalitas; f. Asas profesionalitas; g. Asas akuntabilitas; h. Asas efisiensi; dan i. Asas efektivitas. Kriteria tersebut penting untuk dijadikan sebagai dasar perancangan, pengoperasionalan, dan penyempurnaan semua proses kerja yang dibutuhkan agar pemerintah daerah dapat melaksanakan semua kewajibannya. Selain mengacu pada Asas Umum Penyelenggaraan Negara, tentu saja proses kerja tidak boleh melanggar Undang-Undang dan peraturan yang ada. 2. Peran Teknologi Informasi dalam mencapai kriteria penyelenggaraan layanan Salah satu faktor utama yang perlu diperhatikan agar pengelolaan pemerintah daerah dapat berhasil adalah kualitas pengelolaan semua proses kerja sejak dari perancangan, pengoperasian dan penyempurnaannya. Teknologi informasi dapat digunakan untuk melakukan otomasi semua proses kerja yang ada baik untuk kebutuhan eksternal maupun internal. Teknologi informasi mempunyai potensi yang luar biasa untuk bisa membantu pemerintah daerah melakukan pengelolaan proses kerja yang sesuai dengan Asas Umum Penyelenggaraan Negara karena memiliki kemampuan untuk melakukan pemrosesan data secara cepat, konsisten, dan dalam jumlah besar. Ada banyak hal yang dapat menyebabkan suatu proses kerja pemerintahan daerah tetap tidak bisa memenuhi Asas Umum Penyelenggaraan Negara walau sudah diotomasi menggunakan TI. Hal tersebut dapat terjadi pada tahapan antara lain: a. Penetapan kebutuhan user dan persyaratan pengendalian dan manajemen; b. Perancangan dan pengembangan program aplikasi; c. Pemilihan program aplikasi dan kastemisasi-nya; d. Proses test atau pengujian atas aplikasi yang dikembangkan maupun yang dibeli.
04
Otomasi
Bab
Proses Kerja
Setelah mempelajari bab ini, diharapkan pembaca dapat: Menjelaskan bahwa proses kerja dalam penyelenggaraan pemerintahan daerah merupakan suatu sistem informasi Menguraikan unsur-unsur yang membentuk sistem proses kerja yang berbasis komputer (terotomasi). Menjelaskan cara untuk memilih solusi otomasi proses kerja yang tepat. Menjelaskan tahapan untuk menetapkan solusi otomasi proses kerja yang tepat.
A. Proses kerja sebagai suatu sistem Proses kerja dalam suatu unit organisasi dapat diumpamakan (dianalogikan) dengan proses kerja yang ada dalam tubuh manusia. Di dalam tubuh manusia terdapat banyak sekali proses kerja, seperti proses kerja penyaluran bahan makanan ke seluruh bagian tubuh manusia melalui jaringan peredaran darah, proses kerja masuknya informasi dari mata (dengan membaca) melalui syaraf penglihatan hingga menuju ke jaringan otak yang akan menyimpan informasi tersebut, proses kerja pengolahan sari makanan dengan oksigen menjadi tenaga, untuk melaksanakan aktivitas manusia atau ditumpuk menjadi lemak dalam tubuh manusia, dan sisanya dibuang dalam bentuk air seni maupun keringat, dan proses kerja lainnya. Suatu proses kerja tersebut dapat merupakan bagian (sub) dari suatu proses kerja lainya, misalnya proses kerja penyerapan sari makanan di dalam usus halus ke dalam darah merupakan bagian (sub) dari proses kerja penyaluran bahan makanan ke seluruh bagian tubuh. Demikian pula beberapa proses kerja bisa dikelompokkan dalam suatu proses kerja yang lebih besar, seperti proses kerja penyaluran bahan makanan ke seluruh bagian tubuh manusia
05

dan proses kerja pengolahan sari makanan menjadi tenaga, lemak, atau keringat, dikelompokkan atau membentuk suatu proses kerja yang lebih besar, yaitu proses kerja metabolisme tubuh manusia. Dalam bahasa yang lebih teknis, suatu proses kerja tertentu disebut dengan istilah sistem. Suatu sistem bisa terdiri dari berbagai unsur atau bagian yang lebih kecil yang dikenal dengan istilah sub sistem. Demikian pula, kumpulan beberapa sistem dapat membentuk suatu sistem yang lebih besar yang dikenal dengan istilah super sistem. Dianalogikan dengan sistem metabolisme tubuh manusia, suatu organisasi juga merupakan suatu sistem. Pemerintah Daerah adalah suatu sistem yang merupakan sekumpulan beberapa sistem (sub sistem) yang lebih kecil, seperti Proses Kerja/Unit Pendapatan Daerah, Proses Kerja Kependudukan, Proses Kerja Kesejahteraan Sosial, dan proses kerja lainnya. Demikian pula, proses kerja Pemda Tk I, proses kerja Pemda Tk II, proses kerja Pemerintah Pusat, semuanya membentuk suatu proses kerja yang lebih tinggi, yaitu Proses Kerja Negara RI. Demikian seterusnya dalam mengidentifikasi suatu proses kerja sebagai suatu sistem. Hasil akhir suatu proses kerja dari suatu organisasi ialah suatu informasi yang berguna bagi manajemen untuk proses pengambilan keputusan, atau berguna bagi pemakai informasi tersebut, termasuk karyawan, rekanan, Ditjen Pajak, dan pihak lainnya dalam proses pengambilan keputusan masing-masing pemakai informasi tersebut. Karena hasil akhirnya adalah suatu informasi, maka proses kerja tersebut dapat digolongkan sebagai suatu sistem informasi. B. Unsur sistem proses kerja yang terotomasi Seiring dengan perkembangan teknologi dan makin berkembangnya kebutuhan informasi dengan cepat dan akurat, maka proses kerja suatu organisasi atau yang dikenal juga dengan sistem informasi organisasi tersebut akan sangat terbantu dengan adanya layanan teknologi informasi (TI) yang secara silih berganti sering juga disebut dengan teknologi sistem informasi (TSI). Bentuk paling nyata dari layanan teknologi informasi (TI/TSI) adalah usaha-usaha untuk melakukan komputerisasi proses kerja organisasi. Kita akan menemukan banyak sekali variasi bentuk hasil 'penyatuan' antara proses kerja dan teknologi informasi.
06

Bentuk yang paling sederhana adalah ketika komputer difungsikan hanya sebagai tempat penyimpanan data seperti layaknya suatu lemari arsip. Data yang di input ke dalam komputer biasanya adalah data yang sudah final di mana mekanisme verifikasi dan validasi dilakukan secara manual. Hasil komputerisasi proses kerja yang demikian tentu saja berguna tetapi manfaatnya kurang optimal bagi organisasi karena sebagian proses kerja tersebut praktis masih dilakukan secara manual. Pemahaman yang menyeluruh mengenai proses kerja dan teknologi informasi akan mempengaruhi kesempurnaan perancangan komputerisasi proses kerja. Berikut ini adalah unsur-unsur atau kondisi yang diperlukan agar proses kerja yang menggunakan teknologi informasi dapat berjalan dengan baik sesuai dengan yang diharapkan. 1. Kebijakan, standar dan prosedur Proses kerja akan berjalan seperti yang diharapkan manajemen hanya jika proses kerja tersebut berjalan sesuai dengan kebijakan, standar dan prosedur yang telah ditetapkan. Komputerisasi yang dilakukan pada proses kerja yang tidak teratur akan memiliki tingkat keberhasilan yang rendah atau kurang memberikan manfaat jika komputerisasi tersebut dinyatakan selesai. 2. Kinerja dan Risiko Setiap proses kerja yang ditetapkan oleh suatu unit kerja memiliki suatu tujuan tertentu. Sebagai contoh, proses kerja penerimaan keluhan masyarakat yang bertujuan untuk menerima dan mencatat semua keluhan masyarakat dengan lengkap dan jelas. Untuk mengetahui apakah suatu proses kerja menghasilkan kinerja yang baik dalam mencapai tujuannya maka perlu dibuatkan suatu tolok ukur yang menggambarkan kinerja proses kerja tersebut dalam melaksanakan hal-hal yang penting dalam proses kerja tersebut. Hal itu sering disebut dengan istilah KPI atau Key Performance Indicator. Selain itu, manajemen organisasi akan berusaha agar tidak terjadi sesuatu di luar perkiraannya yang dapat membuat suatu proses kerja tidak dapat berjalan semestinya dalam mencapai tujuan yang telah ditetapkan. Hal itu sering disebut dengan risiko.
07

Pada prinsipnya suatu risiko akan selalu ada pada suatu proses kerja dan tidak dapat dihilangkan, namun hanya dapat dikurangi atau diminimalkan. Untuk mencegah dan/atau meminimalkan suatu risiko, manajemen dapat merancang dan menerapkan suatu cara yang disebut dengan istilah sistem pengendalian atau kontrol. Untuk mencegah dan/atau meminimalkan dampak dari risiko tersebut, manajemen perlu merancang sistem pengendalian atau sering disebut kontrol. Dalam hal ini manajemen juga berkeinginan untuk memonitor kinerja kontrol yang telah diimplementasikan melalui suatu ukuran-ukuran yang sering disebut dengan istilah KRI atau Key Risk Indicator. Komputerisasi proses kerja yang tidak memasukkan pengelolaan kinerja dan risiko akan memberikan manfaat yang kurang optimal bagi organisasi. 3. Peran, uraian kerja dan kompetensi SDM Proses kerja adalah merupakan sekumpulan aktivitas yang dilakukan oleh orang-orang yang secara organisasi memiliki kewenangan untuk melakukan peran tertentu dalam proses kerja tersebut. Sebagai contoh, seorang bendaharawan akan melakukan pengeluaran uang dan/atau pembayaran tagihan dari vendor pada proses pengadaan barang atau jasa. Bendaharawan tersebut juga berperan sebagai pembayar pada proses kerja pembayaran gaji. Untuk mengetahui berbagai peran bendaharawan pada proses kerja terkait, kita dapat melihatnya pada uraian kerja (job description) bendaharawan. Dengan demikian, kinerja suatu proses kerja sangat bergantung pada kemampuan/kompetensi dan keahlian orang-orang yang memiliki dan melaksanakan peran dalam proses kerja yang bersangkutan. Demikian pula, keberhasilan suatu komputerisasi proses kerja juga sangat membutuhkan keterlibatan orang-orang yang kompeten, baik pada tingkat staf maupun tingkat manajer, yang memegang peran dalam komputerisasi proses kerja tersebut, mulai dari tahapan penentuan kebutuhan untuk dilakukannya komputerisasi proses kerja, analisis kebutuhan tersebut, perancangan komputerisasi proses kerja, pelaksanaan uji coba hasil komputerisasi, hingga penerapan (implementasi) proses kerja yang dikomputerisasi tersebut. Setelah proses kerja yang dikomputerisasi diterapkan dalam suatu unit organisasi, maka terhadap orang-orang yang terlibat dalam proses kerja
08

tersebut juga harus dilatih untuk melakukan cara kerja yang baru, yang telah berubah dari proses kerja yang lama ke proses yang baru (setelah dikomputerisasi). Dengan demikian nampak jelas bahwa untuk melakukan komputerisasi suatu proses kerja akan melibatkan dua kelompok besar SDM, yaitu SDM yang terlibat dalam proses kerja yang akan dikomputerisasi, atau dikenal dengan istilah pengguna sistem (system user), dan kelompok SDM yang mempunyai keahlian dalam bidang teknologi informasi, atau dikenal dengan istilah spesialis dalam teknologi informasi (IT specialist). Masing-masing personil dalam dua kelompok kerja tersebut sama-sama mempunyai peran yang penting sesuai dengan keahlian masing-masing. Untuk menetapkan tanggung jawab yang jelas dalam pelaksanaan peran masing-masing individu, suatu organisasi seharusnya didukung dengan suatu struktur organisasi yang dilengkapi dengan uraian kerja masingmasing sesuai dengan perannya. 4. Formulir dan alat kerja Dalam melaksanakan perannya, setiap orang membutuhkan formulir dan/ atau alat kerja lainnya seperti mesin cash-register, mesin ketik, kalkulator dan lainnya. Komputerisasi proses kerja biasanya akan mengubah cara kerja sebagian/ setiap orang yang ada di dalamnya. Komputerisasi proses kerja bahkan dapat mengubah proses di mana formulir dan/atau alat kerja yang ada menjadi tidak diperlukan lagi. 5. Metode pemrosesan transaksi Proses kerja terdiri dari suatu rangkaian aktivitas yang dilakukan secara bertahap. Proses kerja tersebut akan berjalan jika ada sesuatu kejadian yang memicunya. Sebagai contoh, seorang pemasok/vendor yang menyampaikan tagihan akan memicu proses kerja pembayaran oleh Bendaharawan. Setiap organisasi memiliki aturan atau cara yang berbeda dalam memproses tagihan vendor tersebut, apakah proses kerja pembayaran akan dilakukan setiap kali ada tagihan masuk (transaction processing), atau menunggu sampai tagihan yang masuk terkumpul hingga mencapai jumlah tertentu (batch processing).
09

Proses yang berjalan secara periodik misal berjalan pada minggu ketiga setiap bulan, termasuk dalam pengelompokkan batch processing. Komputerisasi memungkinkan suatu proses kerja yang tadinya dilaksanakan menggunakan pendekatan batch processing diubah menjadi transaction processing. Namun demikian selalu ada proses kerja yang metode pemrosesannya tidak dapat diubah menjadi transaction processing. Namun demikian, dalam organisasi yang menjalankan metode transaction processing, selalu ditemukan adanya proses kerja yang metode pemrosesannya hanya dapat dilakukan dengan metode batch processing. Contoh proses kerja pembayaran gaji yang hanya berjalan sebulan sekali. 6. Software aplikasi Komputer adalah benda mati yang akan bekerja bila diperintahkan/ diinstruksikan oleh pemakai (user)-nya. Bila pemakai komputer memerintahkan komputer untuk mengapus suatu data dengan meng-klik menu "delete" maka data yang ditandai untuk dihapus tersebut akan hilang setelah pengguna meng-klik kata "delete" tersebut. Dengan demikian, dibalik menu "delete" terdapat instruksi yang sudah disiapkan untuk melaksanakan proses yang diinstruksikan oleh pengguna. Rangkaian instruksi untuk menjalankan berbagai operasi komputer disebut dengan istilah software atau program komputer. Untuk menjalankan proses kerja sesuai dengan fungsinya, seorang pengguna (user) komputer memerlukan suatu program komputer tertentu yang dikenal dengan istilah program aplikasi atau software aplikasi. Sesuai dengan tujuan dan fungsi penggunaan komputer, program aplikasi dapat digolongkan menjadi beberapa jenis, diantaranya adalah: a. Program aplikasi permainan (game) b. Program aplikasi pendidikan c. Program aplikasi perkantoran untuk: 1) Pengetikan dokumen seperti surat dan laporan. 2) Pembuatan daftar seperti daftar gaji, daftar honor dan absen. 3) Pembuatan bahan presentasi menggunakan komputer. d. Program aplikasi proses kerja bisnis dan non bisnis: 1) Proses kerja pencatatan dan pelaporan transaksi keuangan (General Ledger). 2) Proses kerja pencatatan dan pelaporan gaji (payroll). 3) Proses kerja pembayaran. 4) Proses kerja pelaksanaan audit. 5) Proses kerja lainnya.
10

Komputerisasi suatu proses kerja dapat dilakukan dengan cara membeli program aplikasi untuk proses kerja yang sama dan berlaku umum yang tersedia di pasar atau membuat dari awal, baik dilakukan secara internal atau dengan bantuan pihak eksternal yaitu perusahaan atau konsultan pembuat software/program aplikasi. Software/program aplikasi proses kerja yang diadakan oleh organisasi harus dapat disesuaikan untuk mengikuti aturan-aturan, yang terdapat di organisasi pemakainya, baik itu berupa kebijakan, standar, atau prosedur yang terkait dengan proses kerja yang bersangkutan. Pada umumnya software/program aplikasi yang dibeli dari pasar dibuat dengan mengacu suatu proses kerja yang sudah baku. Banyak organisasi memutuskan untuk memilih mengadopsi proses kerja tersebut dan menyesuaikan cara kerja yang ada sehingga kebijakan, standar dan prosedur yang terkait harus dimutakhirkan. 7. Source code dan object code Software/program aplikasi sebenarnya terdiri dari sekumpulan perintah kepada komputer untuk melakukan apa saja yang diinginkan pembuatnya. Misalnya kalau pengguna melakukan klik pada menu bertuliskan File maka software aplikasi akan memerintahkan komputer untuk menampilkan rincian sub menu-nya. Software/program aplikasi memiliki 2 bentuk. Pertama, bentuk ketika software/program itu sedang dibuat, diedit dan dimodifikasi. Bentuk ini disebut dengan istilah source code. Jika program dalam bentuk source code diperlihatkan, maka akan tampak tulisan-tulisan perintah yang menggunakan huruf abjad berbentuk kata-kata dalam Bahasa Inggris. Misalnya, Display "Hello World" at 10, 2 yang berarti komputer akan menampilkan kalimat Hello World pada posisi baris 10 kolom ke 2. Programer membuat program menggunakan bahasa pemrograman seperti Basic, Cobol, Java, C, dan Pascal. Bahasa pemrograman tersebut menggunakan huruf dan abjad yang biasa digunakan oleh manusia. Sedangkan komputer merupakan benda mati yang bekerja berdasarkan instruksi dalam bentuk signal on (1) dan off (0). Komputer tidak mengenal huruf dan abjad seperti yang dikenal oleh manusia. Huruf yang dikenal komputer hanya terdiri dari angka 1 dan angka 0 untuk mewakili ada/tidak adanya arus listrik yang mengalir. Kata yang dikenal komputer terdiri dari kombinasi angka 1 dan angka 0. Bahasa yang digunakan komputer disebut
11

bahasa mesin. Oleh karena itu, komputer tidak bisa secara langsung membaca program yang dibuat programmer. Agar dapat dibaca dan dieksekusi oleh komputer, program yang dibuat programer harus diterjemahkan dulu ke dalam bahasa yang dikenal komputer yaitu bahasa mesin. Bentuk kedua dari software/program disebut object code yaitu software/ program dalam bentuk bahasa mesin. Bentuk tersebut jika diperlihatkan kepada manusia, maka manusia tidak akan bisa membacanya (tidak dapat mengartikannya) karena tidak menggunakan kata-kata yang terdiri dari kombinasi huruf dan abjad. Jika ada kebutuhan untuk menambah fitur atau fasilitas suatu software/ program aplikasi, maka pemilik program aplikasi tersebut akan memerintahkan programmernya untuk melakukan perubahan pada source code, bukannya pada object code, yang kemudian diterjemahkan lagi ke dalam bahasa mesin. Sejak saat itu pemilik program memiliki source code dan object code dengan versi yang baru. 8. Software database Program aplikasi bertugas untuk menerima data yang di input ke dalam komputer melalui berbagai cara untuk kemudian diproses dan pada akhirnya diserahkan kepada software database untuk disimpan ke dalam harddisk dengan cara tertentu agar mudah dibaca kembali dengan cepat. Software database juga menyediakan sarana pengamanan agar data yang disimpan tersebut tidak bisa dibaca oleh orang yang tidak mempunyai hak untuk membacanya. Istilah database sering diterjemahkan menjadi 'pangkalan data'. Semua data yang timbul dari setiap tahap pelaksanaan proses kerja akan disimpan oleh software database. Pada suatu organisasi, software database akan menyimpan berbagai macam database seperti database kepegawaian, database peraturan, database keuangan dan database temuan hasil audit. Software database tidak termasuk ke dalam kelompok software/program aplikasi melainkan masuk ke dalam kelompok software sistem. Komputerisasi proses kerja biasanya memerlukan adanya software database yang dibuat oleh perusahaan atau organisasi non-profit (komunitas) yang memiliki spesialisasi di bidang pembuatan software database.
12

Proses kerja yang dikomputerisasikan membutuhkan kesatuan antara program aplikasi proses kerja yang bersangkutan dan software database yang dipilih. Berikut berbagai contoh merk software database :
Merk
Oracle IBM DB2 IBM Informix Microsoft SqlServer Sybase SqlServer MySQL Firebird PostgreSQL
Kapasitas
Besar Besar Besar Besar Besar Menengah Besar Besar
Lisensi
Tertutup Tertutup Tertutup Tertutup Tertutup Terbuka Terbuka Terbuka
9. Software sistem operasi (Operating System) Software sistem operasi termasuk ke dalam kelompok software sistem seperti halnya software database. Software sistem operasi adalah program yang harus pertamakali di-install pada komputer yang baru saja dibuat. Software sistem operasi-lah yang mengkoordinasikan kerja antara semua komponen komputer seperti CPU (otak komputer), memory (ingatan komputer), harddisk (tempat penyimpanan data dan program) serta peralatan lainnya seperti keyboard, mouse, dan printer. Software sistem bisa dikatakan sebagai software yang mengatur rumah tangga sistem itu sendiri, yang harus disiapkan sebelum software aplikasi di-install ke dalam komputer. Dengan kata lain, komputer baru bisa digunakan jika telah di-install software sistem operasi. Semua program aplikasi seperti game, aplikasi pengetikan surat dan lainnya hanya dapat di-install ke dalam komputer hanya jika di dalam komputer tersebut sudah ada software sistem operasinya.
13

Berikut beberapa contoh software sistem operasi:
Merk
Unix
Variasi
Sun Solaris IBM AIX FreeBSD Mac OS
Lisensi
Tertutup Tertutup Terbuka Tertutup Terbuka Terbuka Terbuka Tertutup
GNU/Linux
RedHat Ubuntu Suse
Windows
95, 98, XP, Vista
10.Komputer Berdasarkan fungsinya, secara garis besar komputer dapat digolongkan menjadi 2 yaitu: a) Server Komputer yang akan di-install software sistem sehingga komputer server dapat melayani kebutuhan para pengguna komputer perseorangan. Ada berbagai jenis server berdasarkan fungsinya, yaitu:
Jenis
File Server
Fungsi
Melayani kebutuhan: Tempat penyimpanan tersentralisasi untuk program serta file gambar, musik, film, laporan dan lainnya. Penggunaan printer untuk pencetakan secara bersama-sama.
Mail Server
Melayani kebutuhan tempat penyimpanan surat elektronik (email) dan pengaturan pengirimannya dari pengguna yang satu ke pengguna lainnya.
Database Server
Melayani kebutuhan untuk menyimpan data yang diterima program aplikasi dari pengguna melalui mekanisme input dari komputernya masing-masing.
Komputer server hanya berguna jika dipasang pada satu jaringan komputer. Dengan kata lain, komputer server baru dibutuhkan ketika organisasi sudah memiliki jaringan komputer.
14

Mengapa demikian? Karena pengguna perseorangan yang akan mendapatkan layanan komputer server harus menggunakan komputer lain yang tersambung dengan komputer server tersebut. Dengan demikian, semakin banyak komputer yang disambungkan ke komputer server melalui jaringan maka semakin banyak pengguna perseorangan yang dapat memanfaatkan layanan yang ada pada server yang tersebut. Prakteknya setiap organisasi akan memiliki komputer server lebih dari satu. b) Komputer Client Komputer client adalah komputer yang digunakan oleh pengguna perseorangan untuk mendapatkan berbagai macam layanan yang ada pada komputer server yang tersambung melalui jaringan. Jika seorang pengguna perseorangan ingin mendapatkan suatu layanan dari komputer server tertentu maka pengguna perseorangan tersebut harus didaftarkan terlebih dahulu pada komputer server tersebut sebagai pelanggannya. Selama belum didaftarkan, seorang pengguna tidak akan bisa menggunakan layanan yang bersangkutan walaupun komputer client yang digunakannya tersambung dengan komputer server tersebut melalui jaringan. Hal ini serupa dengan penggunaan layanan MMS yang memungkinkan seseorang dapat mengirimkan gambar melalui handphone ke temannya. Untuk mendapatkan layanan MMS biasanya harus didaftarkan dulu atau sering disebut dengan istilah diaktifkan. 11. Jaringan Secara sederhana bentuk fisik jaringan komputer adalah kabel-kabel dan peralatan penghubung yang menyambungkan komputer yang satu dengan yang lainnya. Kabel jaringan adalah media penghubung antara komputer yang satu dengan yang lain namun bisa juga digantikan dengan media penghubung lainnya seperti kabel telepon dan gelombang radio. Peralatan penghubung juga bisa bermacam-macam bentuknya seperti satelit misalnya. Jenis kabel jaringan komputer juga beragam seperti fiber optic dan UTP.
15

Suatu jaringan komputer terdiri dari minimal 2 komputer yang dihubungkan atau beberapa komputer, hingga tak terhitung jumlahnya. Peralatan yang tersambung ke dalam jaringan komputer bukan hanya komputer saja tapi juga printer dan peralatan komunikasi. Walaupun secara fisik sudah tersambung ke dalam satu jaringan, komputerkomputer dan peralatan lainnya belum dapat langsung berkomunikasi satu dengan lainnya. Agar dapat terjadi komunikasi antar komputer dalam suatu jaringan, ada tata cara berkomunikasi yang harus diikuti oleh semua komputer dan peralatan yang tersambung dalam jaringan. Setiap komputer dan peralatan tersebut harus di setel sedemikian rupa supaya sesuai dengan tata cara berkomunikasi yang diterapkan. Jaringan komputer yang berada pada satu lokasi seperti satu ruangan atau satu gedung sering disebut dengan istilah Local Area Network (LAN). Sedangkan jaringan komputer yang menghubungkan dua lokasi berbeda tetapi masih berada pada satu kota sering disebut dengan istilah Metropolitan Area Network (MAN). Contoh jaringan komputer yang menghubungkan kantor pusat dan kantor cabang utama perusahaan yang sama yang berlokasi di Jakarta. Jaringan yang menghubungkan dua kota yang berbeda disebut dengan Wide Area Network (WAN). Kedua kota tersebut bisa berada pada pulau yang sama atau pulau yang berbeda dan bahkan benua yang berbeda. Internet adalah jaringan komputer dalam kategori WAN yang menghubungkan banyak kota dari banyak negara di dunia. Di dalam Internet terdapat banyak organisasi, baik yang berorientasi profit (mencari laba) maupun non profit, yang menyediakan berbagai macam layanan seperti menyediakan: a) Informasi tentang perusahaannya sendiri, b) Layanan penyimpanan data, c) Layanan e-mail, d) Layanan kamus, e) Layanan berita, f) Layanan pencarian informasi, g) dan lainnya. Pada saat yang bersamaan terdapat jutaan pengguna individu yang tersambung ke internet.
16

12.Lisensi Lisensi adalah suatu mekanisme pengaturan tentang kepemilikan dan penggunaan software/program komputer. Contoh pengaturan yang ada pada lisensi software komersial untuk pengguna perseorangan adalah bahwa secara hukum software tersebut hanya boleh di-install pada 1 komputer saja. Atau pada 2 komputer saja namun dengan catatan 1 notebook dan 1 komputer desktop. Contoh pengaturan yang ada pada lisensi software komersial untuk komputer server adalah bahwa secara hukum layanan yang dimiliki software tersebut hanya boleh digunakan oleh pengguna perseorangan maksimal sebanyak jumlah lisensi akses yang dibayar. Misalnya, ada suatu organisasi membeli software database untuk diinstall pada komputer server sebanyak 2 unit lisensi akses. Maka pada saat bersamaan database server tersebut hanya boleh diakses oleh 2 pengguna saja. Namun demikian saat ini telah berkembang luas mekanisme lisensi yang tidak membatasi jumlah penggunaan suatu software dan bahkan kita tidak perlu membayar untuk mendapatkan lisensi akses tersebut. Salah satu pelopor lisensi seperti itu adalah mekanisme lisensi General Public License (GPL) yang dikeluarkan oleh organisasi non-profit Free Software Foundation (FSF). Software berlisensi GPL (baca: ji pi el) sering disebut free software. Masyarakat sering menyalah artikan kata 'free' menjadi 'gratis'. Hal itu tidak sepenuhnya benar, karena maksud kata 'free' tersebut adalah 'kebebasan' yakni kebebasan berkarya, kebebasan meng-install software dan kebebasan membantu orang lain atau kebebasan memberikan software aplikasi kepada orang lain. Walaupun memiliki semangat yang berbeda, software berlisensi GPL dan sejenis sering disebut juga dengan istilah Open Source. Namun sebagian orang lebih senang menggunakan istilah FOSS (Free & Open Source Software) untuk software-software berlisensi GPL dan lisensi lain yang sejenis. Lisensi GPL menyatakan bahwa kita boleh secara legal meng-install software yang menggunakan lisensi GPL pada sebanyak mungkin komputer yang diinginkan dan secara legal boleh memberikan copy-nya kepada orang atau organisasi lain yang membutuhkan tanpa pengenaan biaya lisensi sama sekali.
17

Tabel di bawah ini menggambarkan jenis software yang dikategorisasikan sebagai software komersial dan non komersial.
Kategori
Sistem operasi Aplikasi Perkantoran Dokumen Spreadsheet Presentasi Aplikasi Pengelolaan Proyek Aplikasi Grafis Aplikasi Diagram Aplikasi Pemecahan Masalah Aplikasi Browsing Aplikasi e-mail client
Software Komersial
Microsoft Windows Microsoft Office Microsoft Word Microsoft Excel Microsoft PowerPoint Microsoft Project
Software Free & Open Source

GNU/Linux Open Office Open Office Writer Open Office Calc Open Office Impress Open WorkBench
Adobe Photoshop Microsoft Visio Mind Manager
GIMP DIA FreeMind
Microsoft Internet Explorer Microsoft Outlook
Mozilla Fire Fox Mozilla Thunderbird
Software open source membuka peluang bagi organisasi untuk menekan biaya investasi penggunaan teknologi informasi. Apalagi secara fungsional dan kemudahan pemakaiannya, kualitas software open source tidak selalu berada di bawah software komersial. Namun demikian keberadaan software open source dan sejenisnya tidak berarti akan menghilangkan keberadaan software komersial. Untuk melakukan komputerisasi proses kerja, suatu organisasi harus melakukan studi analisis kebutuhan penggunaan software oleh pegawainya. Kemudian, kebutuhan tersebut dibandingkan dengan fitur yang dimiliki oleh software open source yang ada. Jika bisa terpenuhi, maka organisasi cukup meng-install software open source tersebut ke dalam komputer yang akan digunakan oleh masing-masing pengguna yang bersangkutan. Jika tidak terpenuhi, maka organisasi tersebut harus membeli software komersial
18

yang bisa memenuhi kebutuhan pengguna tersebut sebanyak jumlah pengguna perseorangan yang akan menggunakannya. Untuk mempermudah pemanfaatan software maka organisasi harus menyediakan pelatihan dalam penggunaan software, baik untuk software komersial maupun software open source kepada para penggunanya. Dengan studi analisis dimaksud, organisasi tersebut dapat memilih kombinasi software komersial dan software open source yang tepat sesuai dengan kebutuhan, dengan biaya investasi yang minimal dan tanpa harus melanggar hukum karena melakukan pembajakan software. C. Solusi otomasi proses kerja Organisasi harus dapat menentukan solusi komputerisasi yang tepat untuk proses kerja yang akan diotomasi. Analisis terhadap kebutuhan komputerisasi perlu dilakukan terlebih dulu sebelum dilakukan pengadaannya. Hal itu berguna untuk membantu organisasi meminimalkan harga perolehan dan implementasinya, dan memastikan bahwa solusi komputerisasi tersebut dapat membantu proses kerja dalam mencapai tujuan yang telah ditetapkan sebelumnya. Solusi komputerisasi proses kerja yang akan diotomasi dapat berupa kombinasi pemasangan software aplikasi, software sistem operasi, software database, komputer server, komputer client, peralatan jaringan dan perlengkapan lainnya. Berikut beberapa tahapan yang seharusnya dilakukan sebelum melakukan pengadaan solusi komputerisasi. 1. Mengumpulkan rincian kebutuhan dan persyaratan akan otomasi proses kerja Tahapan ini merupakan tahapan awal yang sangat menentukan untuk memastikan apakah solusi komputerisasi atas proses kerja yang akan diotomasi berguna dan apakah solusi tersebut akan membuat proses kerja tersebut menjadi lebih efisien. Masalah yang sering dihadapi adalah manajemen dan staf yang terkait dengan proses kerja yang akan dikomputerisasi tidak bisa menyatakan dengan jelas dan cukup detil tentang kebutuhannya dalam otomasi proses kerjanya. Di sisi lain, tim yang bertugas mengumpulkan rincian kebutuhan kurang berpengalaman dalam menggunakan berbagai macam teknik
19

berkomunikasi yang efektif untuk menggali kebutuhan apa yang diinginkan dari manajemen dan pengguna terkait. Selain menggali kebutuhan pengguna, persyaratan dari peraturan yang berhubungan dengan proses kerja yang akan dikomputerisasi juga harus dikumpulkan dan dipelajari. Hal ini berguna untuk menentukan apakah solusi komputerisasi yang ditawarkan dapat memenuhi semua persyaratan tersebut. Pada tahap ini, harus dilakukan juga usaha untuk memahami dan mengumpulkan apa saja risiko yang berpotensi mengganggu proses kerja dalam mencapai tujuannya. Informasi kebutuhan yang cukup jelas dan rinci dapat digunakan untuk membandingkan dengan fitur dan fasilitas yang dimiliki oleh berbagai macam pilihan solusi komputerisasi yang ada dalam proses pemilihan solusi yang akan diimplementasikan. 2. Mengumpulkan informasi tentang semua solusi otomasi yang ada Pada tahap ini organisasi harus berusaha mencari informasi sebanyakbanyaknya semua pilihan solusi otomasi yang tersedia di pasar. Pencarian informasi bisa dilakukan melalui internet, media massa, perusahaan sejenis dan lainnya. Setelah diketahui solusi otomasi apa saja yang tersedia, organisasi harus mencari informasi perusahaan mana yang bisa menyediakan solusi otomasi tersebut. Organisasi harus memahami mekanisme penjualan solusi otomasi tersebut dengan teliti. Untuk solusi otomasi berupa komputer, biasanya perusahaan pembuat komputer tersebut memiliki jaringan distribusi di mana sudah terdapat perusahaan-perusahaan yang resmi ditunjuk untuk melakukan penjualan. Untuk solusi otomasi berupa software aplikasi proses kerja, biasanya dibutuhkan kastemisasi/modifikasi software aplikasi tersebut untuk disesuaikan dengan proses kerja yang akan diotomasi sampai pada tingkat di mana software tersebut benar-benar dapat menyesuaikan dirinya. Perusahaan pembuat software aplikasi tersebut biasanya memiliki jaringan perusahaan yang resmi ditunjuk untuk melakukan implementasi termasuk melakukan kastemisasi dan modifikasi.
20

Dalam upaya mencari solusi yang tepat untuk komputerisasi proses kerja, suatu organisasi dapat mengirimkan surat kepada perusahaan-perusahaan penyedia software aplikasi tersebut di atas untuk melakukan presentasi dan demo serta memberikan dokumen-dokumen informasi pendukung tentang solusi otomasi yang dimiliki dan informasi tentang perusahaan itu sendiri. Organisasi tersebut tidak perlu segan untuk menggali dan memahami informasi tentang solusi otomasi tersebut sampai benar-benar dipahami, misalnya dengan cara meminta waktu untuk berdiskusi, presentasi dan demo beberapa kali. Organisasi tersebut dapat meminta kepada perusahaan tersebut agar meminjamkan solusi otomasi tersebut dalam waktu beberapa hari untuk digunakan oleh staf dan manajemen terkait sekaligus sebagai usaha untuk uji coba. Organisasi tersebut dapat juga meminta daftar perusahaan dan instansi pemerintah yang sudah menggunakan solusi otomasi tersebut lalu mencoba untuk berkomunikasi dengan mereka. Komunikasi tersebut akan lebih menggambarkan situasi apa adanya jika organisasi tersebut dapat berhubungan dengan perusahaan yang telah menggunakan solusi otomasi tersebut tanpa melalui perusahaan pemilik/penjual solusi otomasi tersebut. Organisasi tersebut sebaiknya melakukan perencanaan yang matang dalam melakukan pengumpulan informasi terutama dalam menentukan jenis informasi apa yang dibutuhkan. Selama melakukan pengumpulan informasi, organisasi tersebut dapat menambahkan jenis informasi baru yang sebelumnya tidak terpikir untuk dikumpulkan.
3. Analisis kelayakan solusi Setelah mendapatkan informasi yang menyeluruh, organisasi tersebut dapat mulai melakukan usaha untuk membandingkan kebutuhan dan persyaratan yang diinginkan dengan apa yang dimiliki oleh setiap solusi otomasi terkait yang ada di pasar. Agar hasil penilaian terhadap satu solusi otomasi dapat dibandingkan dengan solusi otomasi yang lain, organisasi tersebut harus mengembangkan terlebih dahulu mekanisme penilaian yang dapat meliputi berbagai hal yang akan dinilai, baik kriteria penilaiannya maupun bobot penilaiannya.
21

Sangat disarankan agar mekanisme penilaian tersebut sudah disepakati sebelum dilakukan penilaian terhadap setiap solusi otomasi yang ada. Hal ini untuk mencegah penilaian yang tidak konsisten dan tidak fair yang justru akan membuat organisasi tersebut salah memilih solusi otomasi yang paling tepat. Selain kesesuaian dengan kebutuhan dan persyaratan, organisasi tersebut juga harus mempertimbangkan aspek biaya, manfaat, dan risiko pada setiap solusi otomasi yang ada. 4. Mengevaluasi vendor Setelah menentukan solusi otomasi yang paling tepat, langkah berikutnya adalah mengevaluasi kualitas setiap pemasok/vendor penjual solusi otomasi tersebut yang meliputi berbagai aspek seperti kemampuan keuangannya, pelanggannya, dan kualitas layanan purna jualnya. 5. Kepemilikan atas source code Untuk unsur solusi otomasi yang berupa software aplikasi, organisasi harus memastikan apakah vendor yang bersangkutan benar-benar pemilik software tersebut atau hanya penjual saja. Jika vendor tersebut hanya berstatus penjual, biasanya pemilik sebenarnya adalah perusahaan yang berlokasi di luar negeri. Hal software aplikasi tersebut dimiliki oleh perusahaan di luar negeri, maka organisasi tersebut tidak dapat bernegosiasi untuk mendapatkan hak kepemilikan atas source code software aplikasi tersebut. Hal tersebut menimbulkan konsekuensi ketergantungan yang tinggi yang berujung pada ketidakberdayaan organisasi tersebut terhadap harga yang diberlakukan untuk software aplikasi versi barunya. Jika software aplikasi yang terpilih sebagai bagian dari solusi otomasi itu dimiliki langsung oleh perusahaan yang ada di dalam negeri maka organisasi tersebut memiliki kesempatan untuk bernegosiasi mendapatkan hak kepemilikan atas source code software aplikasi tersebut. Ketergantungan organisasi pada source code sangat besar. Jika hak kepemilikan source code ada pada vendor dan ternyata vendor tersebut bubar dikemudian hari maka organisasi tersebut tidak dapat melakukan modifikasi software aplikasi apabila suatu ketika diperlukan untuk mengikuti perkembangan usaha. Padahal hampir bisa dipastikan bahwa setiap
22

organisasi selalu mempunyai kebutuhan baru yang mengakibatkan software aplikasi yang ada harus dimodifikasi. Pada sisi lain, vendor memiliki kecenderungan untuk tidak mau menjual hak kepemilikan atas source code software aplikasi terutama jika software aplikasi tersebut dapat dijual ke organisasi/perusahaan lain yang sejenis. Jalan tengah untuk mengatasi situasi ini adalah dengan membuat klausul di kontrak yang mengatur bahwa jika vendor bubar maka secara otomatis kepemilikan atas source code tersebut beralih kepada organisasi yang membelinya. Selama vendor masih beroperasi, maka source code terakhir, yaitu yang digunakan untuk diterjemahkan ke bahasa mesin dan akhirnya di-install di komputer organisasi yang membelinya, harus disimpan di pihak ketiga. Organisasi harus mensyaratkan kesediaan vendor untuk mau mengikatkan diri dan mematuhi aturan tentang hak kepemilikan source code dan pengalihannya tersebut yang sering disebut dengan istilah escrow account. D. Memilih solusi otomasi proses kerja yang tepat 1. Pengelolaan proyek Kebanyakan solusi otomasi proses kerja membutuhkan jangka waktu yang cukup lama sejak dari tahap perencanaan, implementasi dan operasionalisasi. Keberhasilan suatu proses komputerisasi terutama dapat dilihat dari kualitas hasil implementasi dan operasional solusi otomasi tersebut, bukannya pada Berita Acara Serah Terima (BAST) pekerjaan yang telah ditandatangani. Apabila BAST telah ditandatangani namun solusi otomasi tersebut tidak berhasil dioperasionalkan atau berhasil dioperasionalkan tetapi banyak mengalami masalah dan kurang bermanfaat bagi organisasi, maka hal itu justru akan menimbulkan prasangka yang besar tentang adanya permainan apa dibalik semua itu. Secara sederhana, solusi otomasi yang gagal, banyak terjadi masalah, atau kurang bermanfaat, menggambarkan terjadinya pengelolaan proyek yang lemah dan sebab-sebab non teknis lainnya. Suatu organisasi sudah seharusnya memiliki spesialis yang memahami metodologi untuk melakukan pengelolaan proyek yang baik dan benar,
23

khususnya proyek yang berhubungan dengan teknologi informasi. Cara yang paling mudah untuk mengetahui pengelolaan proyek TI yang baik dan benar adalah dengan mengikuti praktek terbaik pengelolaan proyek TI yang sudah terbukti dan digunakan oleh banyak organisasi besar di dunia. Suatu proyek solusi otomasi proses kerja yang berhasil akan terlihat dari indikasi berikut: a. Solusi otomasi proses kerja berhasil dioperasionalkan b. Operasionalisasi solusi otomasi proses kerja tidak mengalami banyak masalah, terutama masalah-masalah yang mendasar. Diperlukan pengetahuan, pengalaman, acuan standar dan kehati-hatian untuk menentukan apakah masalah yang ada itu masalah yang mendasar atau tidak. c. Proyek implementasi dan operasionalisasi solusi otomasi proses kerja selesai, tidak melebihi waktu yang direncanakan dan tidak menghabiskan biaya yang telah dianggarkan. d. Pelaksanaan proyek solusi otomasi tidak mengganggu kinerja organisasi secara keseluruhan. Suatu organisasi harus menetapkan dan menerapkan kerangka kerja pengelolaan proyek yang baik dan sehat. Dengan kerangka kerja tersebut maka organisasi dapat melakukan koordinasi beberapa proyek dengan baik dan dapat menetapkan skala prioritas dengan tepat. 2. Pengembangan software a. Pengembangan software vs pembuatan program Pengembangan software aplikasi memiliki arti yang lebih luas dari membuat program. Membuat program, yang sering disebut dengan istilah programming atau coding (baca: koding), adalah salah satu tahapan saja dari rangkaian tahapan pengembangan software. Seseorang yang mempunyai keahlian membuat program sering disebut dengan istilah programmer (baca: progremmer). Programmer memang penting tetapi programmer bukanlah satu-satunya kunci keberhasilan pengembangan software. Masih banyak orang yang memiliki peran penting dalam proses komputerisasi suatu proses kerja, seperti: tester engineer (baca: injinir), project manager (baca: proyek menejer), software quality assurance (baca: assurens), system analyst (baca: analis), dan system designer (baca: disainer).
24
Pengantar Audit Audit Informasi Internal Sistem

Proses dan Teknik Sektor Publik
Karena itu kualitas software tidak hanya bergantung pada kualitas tahapan pembuatan program serta kualitas para programmer-nya tetapi tergantung pada semua tahapan dan orang-orang terkait. b. Tahapan pengembangan software Metodologi pengembangan software, disebut System Development Life Cycle (baca: sistem divelopmen laif saikel) atau disingkat menjadi SDLC (baca: es di el si), memiliki berbagai macam variasi seperti: Waterfall (baca: waterfol), Prototyping (baca: prototaiping), Rapid Application Model (baca: repid epplikesyen model), Incremental (baca: inkremental), Spiral (baca: spairel) dan Agile (baca: ejail). Pemilihan suatu metodologi yang akan digunakan dalam pengembangan software harus mempertimbangkan kelebihan dan kekurangannya masing-masing metodologi tersebut. Jika sudah ditentukan, maka pengelolaan proyeknya harus mengacu pada metodologi tersebut. Saat ini metodologi yang paling umum digunakan adalah Waterfall. Prinsip mendasar dari waterfall ini terlihat dari arti kata waterfall itu sendiri, yaitu air terjun. Seperti kita ketahui bersama bahwa air yang sudah jatuh atau turun tidak akan mungkin kembali lagi. Maksudnya jika pengembangan software sudah memasuki tahap tertentu maka kita harus menghindar jangan sampai mundur mengulangi tahap sebelumnya yang sudah dilewati. Jika itu dilakukan maka pengembangan software menjadi tidak terkendali lagi. Oleh karena itu, sebelum memasuki tahap berikutnya tim komputerisasi harus memastikan bahwa suatu tahapan yang sedang dikerjakan harus benar-benar telah selesai sebelum melangkah ke tahapan berikutnya. Artinya, hasil pekerjaan dari tahap tersebut telah lengkap, benar dan sesuai dengan yang direncanakan sebelumnya.
25
Pengantar Audit Audit Informasi Internal Sistem

Proses dan Teknik Sektor Publik
Gambar dibawah ini menunjukkan tahapan-tahapan SDLC Waterfall:
Inisiasi
Pendefinisian
Perancangan Pemrograman dan Pelatihan Evaluasi dan Penerimaan Instal dan Pengoperasian
c. Pengujian final dan instalasi Seringkali ditemui suatu software sudah di-install dan dioperasionalkan sebelum dilakukan pengujian/evaluasi final selesai dilakukan. Hal tersebut mengakibatkan organisasi menderita karena suatu software yang belum dilakukan pengujian akan banyak menemui masalah atau masih ada fitur yang diharapkan tapi belum ada pada software tersebut. Oleh karena itu suatu organisasi harus mencegah jangan sampai terjadi pemasangan/install dan pengoperasian suatu software yang belum lulus pengujian yang menyeluruh. Organisasi tersebut juga harus mewaspadai bahwa pengujian telah dilakukan secara urut sesuai tahapan pengembangannya dan mengikuti metodologi pengujian yang baik dan sehat. Pengujian yang tidak berkualitas hanya akan menyebabkan software yang di-install masih bermasalah dan penggunaannya akan sangat mengecewakan penggunanya.
26
3 Perencanaan Teknologi INFORMASI

Bab
Setelah mempelajari bab ini, diharapkan pembaca dapat: Menjelaskan perlunya keselarasan antara visi, misi, dan tujuan penggunaan teknologi informasi dalam otomasi proses kerja dengan visi, misi, dan tujuan Pemda Menjelaskan perlunya keselarasan anggaran belanja untuk otomasi proses kerja dengan anggaran pendapatan dan belanja Pemda.
A. Perencanaan Teknologi Informasi Hal mendasar yang paling menjadi perhatian bagi terciptanya tata kelola TI yang baik dan sehat adalah adanya keselarasan antara pengelolaan teknologi informasi dengan pengelolaan pemerintahan daerah. Keselarasan tersebut harus di mulai sejak tingkatan strategis hingga tingkatan operasional. Keselarasan dapat memberikan jaminan bagi manajemen pemerintahan daerah bahwa semua kegiatan teknologi informasi yang dilaksanakan termasuk pengembangan sistem dan pengadaan hardware, software, infrastruktur dan rekrutmen sumber daya manusia TI selalu memiliki hubungan yang jelas dengan tujuan pemerintah daerah sehingga manfaatnya dapat dirasakan langsung dan dikaitkan dengan target-target pemerintah daerah baik secara jangka panjang maupun jangka pendek. 1. Rencana jangka panjang dan jangka pendek TI Pengelolaan teknologi informasi harus memiliki perencanaan jangka panjang yang dibuat mengacu dan berdasarkan perencanaan jangka panjang pemerintah daerah sehingga dapat dijamin korelasinya. Keselarasannya harus dapat digambarkan secara jelas. Untuk membuat perencanaan jangka panjang, pemerintah daerah sebaiknya menggunakan pendekatan-pendekatan teknik manajemen yang tepat seperti Balance Scorecard.
27
VISI DAN MISI PEMDA VISI DAN MISI TI Tujuan Sasaran Ukuran dan Target Inisiatif Tujuan Sasaran Ukuran dan Target Inisiatif
Berdasarkan rencana jangka panjang TI yang dibuat, manajemen daerah harus membuat rencana jangka pendeknya. 2. Keselarasan tujuan TI dengan tujuan Pemerintah Daerah Pada tingkatan strategis, pengelolaan teknologi informasi seharusnya memiliki tujuan yang jelas dan memiliki korelasi langsung dengan tujuan pemerintah daerah. Berikut contoh hubungan antara tujuan Pemerintah Daerah dengan tujuan unit teknologi informasi pada tingkatan strategis:
Tujuan Pemerintah Daerah 1. Menyempurnakan dan menjaga fungsionalitas proses kerja internal Pemda
Tujuan TI Memastikan kebutuhan fungsional Pemda dan kebutuhan pengendalian telah ada dalam solusi otomasi. Memastikan adanya integrasi aplikasi ke dalam proses kerja Pemda secara sempurna.
2. Menyediakan layanan kepada penduduk secara berkelanjutan
Mengusahakan supaya layanan TI selalu tersedia sesuai kebutuhan. Memastikan dampak terhadap kelangsungan layanan pemerintah daerah dapat diminimalisir jika terjadi gangguan pada teknologi informasi.
28

3. Anggaran TI Berdasarkan inisiatif yang dibuat untuk mencapai setiap sasaran, manajemen TI harus membuat action plan. Action plan harus mengidentifikasi sumber daya apa saja yang diperlukan, seperti: manusia, waktu, uang dan peralatan. Berdasarkan action plan tersebut, manajemen TI dapat menyusun anggaran TI. Dengan pendekatan tersebut, maka anggaran TI dapat diperkirakan sebelumnya dan yang lebih penting adalah kejelasan hubungan keterkaitannya dengan strategi pemerintah daerah. B. Organisasi Teknologi Informasi 1. Komite pengarah TI Pengelolaan teknologi informasi suatu organisasi tidak hanya diwujudkan dalam bentuk adanya unit pengelola TI saja. Unit teknologi informasi akan memberikan berbagai layanan TI kepada unit organisasi lainnya. Oleh karena itu dibutuhkan suatu mekanisme hubungan antara unit teknologi informasi dengan unit organisasi lainnya. Khusus untuk pengembangan TI yang berhubungan langsung dengan unit organisasi non-TI dibutuhkan komite pengarah TI. Komite ini terdiri dari para manajer senior pada organisasi dan diketuai oleh salah satu direksi. Tugas komite ini antara lain adalah: a. Menyetujui usulan komputerisasi baru atau penyempurnaan besar atas komputerisasi proses kerja unit organisasi non-TI. b. Mengawasi pelaksanaan dan penyelesaian komputerisasi tersebut di atas. c. Menyelesaikan konflik yang terjadi antara unit TI dan unit non-TI selama komputerisasi tersebut berjalan. Pada prakteknya, manajemen dapat merekrut individu profesional dan berpengalaman dalam bidang TI dari luar organisasi pemerintah daerah. Namun, harus dipastikan bahwa individu tersebut independen dan tidak memiliki konflik kepentingan dalam melaksanakan perannya sebagai anggota komite pengarah TI. Manajemen pemda dapat membuat aturan
29

Di sisi lain, manajemen pemerintah daerah harus menetapkan aturan dalam proses pengadaan barang dan jasa yang berhubungan dengan teknologi informasi yang menyatakan bahwa perusahaan yang memiliki pertentangan kepentingan tidak dapat menjadi pemasok bagi pemerintah daerah. Contoh bentuk pertentangan kepentingan adalah: individu anggota komite pengarah TI memiliki perusahaan pemasok tersebut sebagian atau seluruhnya baik secara langsung maupun melalui istri, anak dan keluarganya. 2. Struktur organisasi TI Struktur organisasi TI diperlukan untuk melakukan pengelolaan secara langsung semua sumber daya TI yang ada untuk bisa memberikan layanan TI yang efektif, efisien, aman, dapat diandalkan dan mematuhi peraturan yang ada kepada pemerintah daerah secara keseluruhan maupun kepada setiap unit organisasi lain dan individu yang ada pada pemerintah daerah. Bentuk dan ukuran yang tepat dari unit organisasi TI sangat tergantung kepada pemahaman yang menyeluruh tentang peran dan posisi TI bagi pemerintah daerah. Dengan pemahaman tersebut pemerintah daerah dapat menetapkan semua proses kerja yang harus dilakukan dalam melaksanakan pengelolaan TI. Dalam melakukan penyusunan atau penyempurnaan agar didapat struktur organisasi yang tepat, pemerintah daerah dapat mengadopsi praktek kerja terbaik dalam pengelolaan TI yang berasal dari CobiT, IT Infrastructure Library, ISO 20000 dan lainnya. Namun demikian, secara tradisional, unit organisasi TI minimal terdiri dari: Unit operasional Unit pengembangan
Posisi unit pengelola TI Pada kebanyakan organisasi profit yang sangat berkepentingan pada laporan keuangan yang dapat diandalkan, posisi unit pengelola TI biasanya di mulai dari Divisi Akuntansi dan/atau Divisi Keuangan. Mengingat posisi unit pengelola TI adalah memberikan layanan bagi unit lainnya maka posisi terbaik unit pengelola TI adalah pada posisi sejajar dengan unit organisasi non-TI yang paling tinggi.
30

Posisi tersebut membuat unit pengelola TI dapat memiliki tingkat independensi yang memadai agar dapat memberikan komitmen, perhatian dan dukungan yang sama kepada semua unit organisasi non-TI. 3. Keahlian yang dibutuhkan Agar dapat memberikan layanan terbaik, unit pengelola TI harus didukung oleh sumber daya manusia yang memiliki jenis keahlian yang sesuai. Untuk tingkat teknis operasional dibutuhkan jenis keahlian spesifik yang mengarah pada spesialisasi.
Operasional System Administrator: Orang yang memiliki keahlian untuk mengelola server jaringan. Database Administrator: Orang yang memiliki keahlian untuk mengelola server database. Security Officer: Orang yang memiliki keahlian untuk mengelola keamanan jaringan. Librarian: Orang yang bertanggung jawab untuk mengelola penyimpanan dokumentasi, media backup dan lainnya. Pengembangan System Analyst: Orang yang bertugas menganalisis kebutuhan dan proses kerja organisasi serta merancang sistem. Programmer: Orang yang bertugas melakukan pembuatan program berdasarkan rancangan yang dibuat system analyst. Tester Engineer: Orang yang bertugas melakukan pengujian atas sistem yang dikembangkan.
C. Operasionalisasi Teknologi Informasi Tidak semua organisasi memutuskan untuk melakukan pengembangan sistem secara internal untuk memenuhi kebutuhan sistem yang diinginkan. Berdasarkan pertimbangan cost, benefit dan risiko, manajemen organisasi dapat memutuskan membeli atau mengontrakkan pembuatan sistem kepada pihak ketiga. Hal tersebut terkadang membuat unit pengembang pada unit pengelola TI tidak memiliki banyak pekerjaan. Berbeda dengan kegiatan pengembangan, kegiatan pengoperasionalan TI adalah kegiatan yang jarang diserahkan kepada pihak ketiga mengingat risiko yang terkandung di dalamnya.
31

1. Dukungan pengguna Dalam penggunaan komputer dan program aplikasi sehari-hari, pengguna seringkali mengalami masalah-masalah yang dapat mengganggu pekerjaannya seperti: a. Komputer terserang virus b. Komputer hang c. Tidak bisa mencetak ke printer d. Tidak bisa masuk ke dalam jaringan Memberikan layanan pemecahan dan penyelesaian masalah yang dialami user merupakan salah satu tugas unit pengelola TI yang masih termasuk dalam kerangka berpikir bahwa kegiatan TI harus selaras dengan kegiatan organisasi. Unit pengelola TI harus memiliki meja layanan TI (Service Desk) yang menjadi satu-satunya pintu masuk bagi semua keluhan yang dialami user. Hal tersebut dimaksudkan untuk memudahkan pengelolaannya sehingga semua keluhan dapat diketahui, dimonitor, dianalisis dan diselesaikan. Selain itu proses penanganan keluhan user dapat diukur kinerjanya. Untuk itu, unit pengelola TI harus menunjuk grup yang bertanggung jawab untuk mengelola meja layanan dan pengelolaan keluhan user. 2. Kesepakatan tingkat layanan kepada unit kerja Demi tercapainya kualitas layanan TI, pihak unit pengelola TI dan unit nonTI harus membuat kesepakatan tentang tingkat layanan yang diinginkan. Kesepakatan tersebut dituangkan dalam perjanjian tingkat layanan atau service level agreement. Misalnya unit layanan perizinan menghendaki agar komputer yang digunakan tidak boleh mati karena alasan listrik lebih dari 1 jam pada saat jam kerja. Sepanjang tahun berjalan, pencapaian tingkat layanan yang disepakati harus dicatat berdasarkan peristiwa-peristiwa terkait yang terjadi. Semua dokumentasi dan bukti pendukung harus dikumpulkan untuk menghindari terjadinya perdebatan yang tidak perlu. Setiap periode tertentu, biasanya setahun sekali, hasil akhir pencapaian tingkat layanan akan didiskusikan dan dianalisis bersama oleh unit pengelola TI dengan unit non TI yang bersangkutan.
32

Berdasarkan hasil analisis tersebut, maka unit pengelola TI dapat menyempurnakan proses kerja dan teknologi informasi yang dimilikinya agar tingkat layanan yang disepakati dapat dicapai pada periode berikutnya. 3. Back up dan Restore Penyimpanan data dalam bentuk elektronis memberikan banyak keuntungan seperti: tidak membutuhkan ruangan besar dan tidak membutuhkan kehadiran fisik kita untuk bisa mengaksesnya. Namun penyimpanan data secara elektronis juga memiliki risiko bawaan, yaitu jika terjadi kerusakan pada tempat penyimpanan data maka otomatis data organisasi yang berada di dalamnya berpotensi tidak dapat diakses untuk selamanya. Misalnya ruangan pengolahan data mengalami kebakaran. Risiko lainnya adalah terjadinya perubahan data yang tidak sah oleh orang yang tidak berwenang. Hal tersebut bisa disebabkan oleh orang yang berasal dari dalam maupun luar organisasi. Oleh karena itu, unit pengelola TI harus melakukan proses back up secara periodik menggunakan metode yang tepat. Semakin lama jarak periode back up maka semakin besar risiko organisasi kehilangan data. Contohnya pemerintah daerah melakukan proses back up 1 (satu) minggu sekali yakni pada hari jumat sore. Maka jika pada hari kamis terjadi kerusakan pada tempat penyimpanan data, organisasi kehilangan data sejak jumat setelah proses back up terakhir sampai dengan hari kamis saat terjadinya kerusakan. Selain itu, proses back up harus menghasilkan back up pada 2 (dua) buah media. Segera setelah selesainya proses back up, salah satu media back up tersebut harus dibawa keluar untuk disimpan pada suatu tempat yang jauh dari lokasi gedung organisasi tersebut. Organisasi dapat memiliki, menyewa gedung khusus atau menggunakan kantor cabang untuk tempat penyimpanan back up tersebut. 4. Kinerja sistem dan kapasitas Unit pengelola TI harus menjaga agar kinerja sistem cukup baik dalam memenuhi kebutuhan pengguna. Keluhan tentang betapa lambatnya sistem merupakan pertanda kinerja yang belum memadai. Agar dapat mencapai kinerja yang memadai, unit pengelola TI harus melakukan analisis kebutuhan semua user yang ada untuk kemudian
33

dipetakan ke kapasitas dan kemampuan semua komponen TI yang dimiliki. Analisis tersebut juga dilakukan untuk melakukan perkiraan atas peningkatan kebutuhan penggunaan sistem oleh organisasi secara keseluruhan. Selanjutnya, unit pengelola TI harus melakukan monitoring secara terus menerus tingkat kinerja sistem dan kapasitas yang tersedia. Unit pengelola TI akan mengajukan permohonan tambahan hardware/ software/infrastruktur kepada organisasi dengan membuat laporan analisis kinerja dan kapasitas sistem yang disertai dengan tabel atau chart yang menjelaskan tingkat kinerja sistem serta tingkat penggunaan user dibandingkan dengan kapasitas yang tersedia. 5. Keamanan sistem Penggunaan TI yang optimal biasanya ditandai dengan pemanfaatan jaringan komputer yang intensif. Misalnya input invoice penjualan cukup dilakukan oleh petugas penjualan di tempatnya tanpa harus pergi ke ruangan pengolahan data untuk melakukan input. Contoh lainnya, petugas TI dapat memeriksa masalah yang terjadi pada komputer salah satu user dari ruangannya tanpa harus pergi ke ruangan user yang bersangkutan. Selain memudahkan, jaringan menciptakan banyak sekali 'pintu masuk' menuju server yaitu melalui komputer-komputer yang digunakan setiap user yang ada di dalam organisasi. Hal itu menimbulkan potensi terjadinya usaha-usaha yang tidak sah untuk bisa mengakses server melalui salah satu komputer user yang memiliki kelemahan dalam perlindungan keamanannya. Ketika pemerintah daerah telah melakukan komputerisasi atas layanan kepada warganya maka secara otomatis telah terjadi penambahan 'pintu masuk'. Jika layanan berbasis TI tersebut memungkinkan warga untuk langsung berinteraksi baik untuk melakukan input dan pencarian data, maka semakin banyak 'pintu masuk' yang bahkan dapat diakses dari luar pemerintah daerah. Terlebih jika 'pintu masuk' tersebut dapat diakses melalui internet. Internet adalah jaringan komputer publik yang menghubungkan komputerkomputer di hampir semua negara yang ada. Dengan kata lain, orang yang berusaha masuk ke 'pintu masuk' milik pemerintah daerah bisa berasal dari siapa pun warga bumi ini.
34

Tentu saja potensi risiko tersebut tidak membuat banyak organisasi takut dan tidak mau menggunakan jaringan komputer untuk mengoptimalkan proses kerja dan layanan yang efektif dan efisien. Unit pengelola TI harus mengupayakan semua teknik manajemen dan operasional yang ada serta memanfaatkan teknologi yang tepat untuk melindungi semua usaha tidak sah untuk mengakses sistem yang dimilikinya. Untuk teknik manajemen keamanan sistem, organisasi dapat memanfaatkan praktek kerja terbaik dalam pengamanan informasi seperti yang ada pada ISO seri 27000 tentang Information Security Management System dan standar lainnya. Tingkat keamanan sistem yang akan diimplementasikan tentu saja tidak boleh melebihi dari nilai informasi yang dilindungi. 6. Aktiva Tetap dan Lisensi Penggunaan teknologi informasi sangat dipahami akan membutuhkan biaya yang besar baik pada saat perolehannya pertama kali, pengoperasionalannya dan perbaikan/pemeliharaannya. Oleh karena itu, unit pengelola TI harus melakukan pengelolaan yang baik dan sehat atas semua aset yang dimiliki baik berupa infrastruktur, hardware dan software. Pengelolaan yang baik dapat memberikan informasi yang memadai bagi manajemen tentang status, lokasi dan penggunaannya. Jika sebagian software yang dimiliki organisasi adalah software komersil maka organisasi tersebut harus menyimpan sertifikat lisensi software yang bersangkutan dengan baik.
35
36
Pengendalian 4 Teknologi INFORMASI

Bab
Setelah mempelajari bab ini, diharapkan pembaca dapat: Menjelaskan berbagai jenis pengendalian internal dan klasifikasinya. Menjelaskan klasifikasi pengendalian umum dan pengendalian aplikasi dalam proses kerja yang terotomasi.
A. Jenis-jenis Pengendalian Teknologi Informasi Seperti halnya kegiatan lainnya, suatu proyek atau kegiatan komputerisasi proses kerja mengandung risiko bahwa proyek atau kegiatan tersebut tidak akan mencapai tujuannya sebagaimana yang diharapkan. Untuk mengurangi atau meminimalkan risiko tersebut manajemen suatu organisasi perlu menciptakan sistem pengendalian. Dilihat dari tujuannya, pengendalian teknologi sistem informasi dapat dikategorikan ke dalam pengendalian yang bertujuan untuk: 1. Mencegah (preventive) terjadinya suatu peristiwa yang berdampak merugikan atau berpotensi merugikan organisasi, misalnya dengan dibuat struktur organisasi dan pembagian tugas serta uraian kerja yang jelas. 2. Mendeteksi (detective) telah terjadinya suatu peristiwa yang berdampak merugikan organisasi, misalnya ruangan gedung yang dipasang sistem pendeteksi kebakaran yang dilengkapi dengan alarm yang akan berbunyi jika terdapat asap atau panas yang mengenai sistem pendeteksi kebakaran tersebut, 3. Memperbaiki (corrective) kerugian yang terjadi karena suatu peristiwa. Misalnya, springkle air yang akan pecah dan menyemprotkan air bila terkena
37

panas sehingga memadamkan api, merupakan jenis pengendalian ini. Contoh lain misalnya fasilitas komputer dilindungi dengan asuransi, sehingga apabila terjadi kerugian, maka kerugian akan ditutup oleh pembayaran klaim dari asuransi tersebut. Dilihat dari sifatnya, pengendalian TI dapat digolongkan dalam pengendalian yang bersifat discretionary (berdasarkan pertimbangan manusia) dan pengendalian yang bersifat non discretionary. Pengendalian yang discretionary biasanya terjadi pada pengendalian yang manual, sedangkan yang non discretionary terjadi pada pengendalian yang bersifat otomatis. Pengendalian TI juga bisa dikelompokkan menurut alasan dibentuknya pengendalian, yaitu pengendalian yang diharuskan (mandatory) oleh suatu peraturan perundangan atau pengendalian yang dibentuk secara sukarela (voluntary). Kebanyakan pengendalian yang diciptakan dalam suatu organisasi bersifat sukarela karena kebutuhan manajemen untuk menciptakan pengendalian tersebut. Pengelompokkan pengendalian TI yang paling sering digunakan dalam berbagai literatur adalah pengendalian umum dan pengendalian aplikasi. B. Pengendalian Umum Pengendalian umum mencakup lingkungan dan pengendalian terhadap seluruh kegiatan teknologi informasi. Pengendalian umum cenderung mempunyai dampak yang luas dan secara langsung mempengaruhi kekuatan pengendalian aplikasi. Tujuan pengendalian umum TI adalah untuk membuat kerangka pengendalian menyeluruh atas aktivitas TI dan untuk memberikan tingkat keyakinan yang memadai bahwa tujuan pengendalian internal secara keseluruhan dapat tercapai. Pengendalian umum meliputi: 1. Pengendalian organisasi dan operasi Pengendalian organisasi dan operasi dirancang untuk menciptakan kerangka organisasi aktivitas TI - yang meliputi: a. Pemisahan Fungsi Antar Bagian Suatu organisasi terdiri dari beberapa bagian yang masing-masing mempunyai fungsi, tugas dan tanggung jawab yang terpisah dan berbeda. Agar tidak terjadi kesimpang siuran fungsi dalam organisasi, perlu dibuat deskripsi jabatan yang berisi tugas dan wewenang setiap bagian.
38

Deskripsi jabatan perlu dibuat untuk setiap bagian dengan menunjukkan nama jabatan dan berisi penjelasan fungsi tiap-tiap bagian. Agar setiap karyawan mengetahui tugas dan wewenangnya, deskripsi jabatan yang disusun harus diperbanyak untuk dibagikan kepada setiap karyawan yang berkepentingan. Bagian TI mempunyai tanggung jawab yang terbatas pada pemrosesan data yang diterima pengguna, mulai dari mengolah data, mengawasi data selama proses pengolahan dan menerbitkan serta mendistribusikan hasil pengolahan data kepada pengguna. Fungsi ini harus terpisah dari semua bagian/divisi yang menggunakan data dan melaksanakan berbagai kegiatan operasional organisasi. Pemisahan tugas dan tanggung jawab antar bagian dalam suatu proses kerja menciptakan suatu pengendalian, antara lain: 1) Semua transaksi dan perubahan terhadap catatan file induk (master file) harus berasal dan diotorisasi oleh bagian lain (bukan bagian TI) yang mempunyai file tersebut. 2) Bagian TI tidak boleh menyimpan aktiva, kecuali aktiva yang berhubungan dengan pengolahan data. 3) Bila terjadi kesalahan transaksi, harus diperbaiki sendiri oleh bagian yang bersangkutan (yang mempunyai transaksi tersebut), bukan oleh bagian TI. Bagian TI hanya boleh memperbaiki kesalahan yang terjadi dalam proses pengolahan. 4) Bagian yang berwenang mengotorisasi transaksi tidak boleh menyimpan aktiva hasil transaksi. Sebagai ilustrasi, dalam suatu proses kerja pengadaan barang dan jasa, Bagian Umum seksi Penerimaan Barang akan menerima dan menghitung barang-barang yang dibeli, seperti alat tulis kantor, serta membuat Berita Acara Penerimaan Barang (BAPB). Jika proses kerja tersebut berbasis komputer, Bagian Data Center (Pusat Pengolahan Data yang biasa disingkat Puslahta) akan memasukkan (entry) BAPB tersebut ke dalam aplikasi pengadaan barang dan jasa dan memprosesnya hingga diterbitkan berbagai laporan yang dibutuhkan oleh manajemen, seperti laporan posisi suatu persediaan alat tulis kantor hingga laporan posisi keuangan (neraca). Apabila dalam pemrosesan data ditemukan adanya suatu kesalahan, misalkan kesalahan dalam mencantumkan kode barang yang tidak sesuai dengan kode barang yang ada, maka Puslahta tidak diperkenankan untuk melakukan koreksi sendiri, tetapi dikembalikan ke Bagian
39

Umum sebagai pemilik data untuk memperbaiki data yang salah. Setelah diperbaiki maka BAPB diserahkan kembali ke Puslahta untuk diproses kembali. Demikian pula, barang yang diterima tidak boleh disimpan oleh Puslahta, tetapi disimpan di Bagian Umum, Seksi Gudang. Dengan demikian maka tidak terjadi perangkapan fungsi pencatatan, otorisasi, dan penyimpanan oleh satu orang. Apabila perangkapan fungsi tersebut terjadi maka terdapat risiko penyalahgunaan wewenang, misalkan barang yang diterima dari pemasok akan digelapkan namun pencatatan tetap dilakukan di dalam aplikasi pengadaan. Posisi unit teknologi informasi Unit TI dapat merupakan bagian dari fungsi akuntansi atau bisa juga merupakan bagian yang berdiri sendiri dan terpisah sebagai unit yang berdiri sendiri. b. Pemisahan Fungsi di dalam unit TI Fungsi-fungsi utama dalam bagian TI adalah fungsi pengembangan sistem dan fungsi pengolahan data. Fungsi pengembangan sistem meliputi perancangan sistem dan pembuatan program. Tanggung jawabnya tidak hanya terhadap aplikasi komputer yang baru tetapi juga terhadap perubahan aplikasi yang sudah ada. Karyawan yang bekerja pada fungsi pengembangan sistem adalah para ahli dalam pembuatan program (programmer) dan para analis dan desainer sistem. Sedangkan fungsi pengolahan data meliputi kegiatan sebagai berikut: 1) Penyiapan Data Penyiapan data merupakan kegiatan untuk mempersiapkan data ke bentuk media yang dapat dibaca komputer (machine readable form) dan memeriksa kebenarannya, sehingga data siap untuk dimasukkan ke dalam komputer untuk diproses. 2) Pengoperasian Komputer Pengoperasian komputer merupakan kegiatan untuk mengolah data sampai dihasilkan laporan yang ditentukan. Operator komputer bekerja sesuai dengan prosedur tertulis yang ada pada manual operasi. 3) Pengendali Data (Data Control) Pengendalian data merupakan kegiatan untuk menerima data dari bagian-bagian lain, meng-agendakannya, membuat batch control
40

data, mengawasi jalannya pengolahan data, memantau perbaikan kesalahan selama pengolahan data dan mendistribusikan keluaran kepada pengguna yang berhak. Staf TI yang melaksanakannya sering disebut dengan data control group. 4) Kepustakaan Data (Data Librarian) Kegiatan ini bertujuan untuk memisahkan tugas dan tanggung jawab antara bagian yang menyimpan data dengan bagian yang akan menggunakannya untuk operasi sehingga dapat mencegah orang yang tidak berhak untuk menggunakannya/mengaksesnya. Kepustakaan data merupakan kegiatan untuk menyimpan, memelihara dan menjaga dokumentasi, data dan program dalam bentuk media simpanan luar (back up) seperti cartridge dan CD pada ruangan khusus. Staf TI yang melaksanakannya sering disebut dengan Librarian. Seorang librarian hanya boleh meminjamkan dokumentasi/data/program kepada orang yang telah diberi kewenangan untuk itu. Kemudian librarian tersebut akan mencatat dan menagih pengembalian dokumentasi/data/ program yang dipinjam kepada peminjam sesuai dengan jangka waktu peminjaman yang disepakati sebelumnya. Sebagai salah satu bentuk pengendalian, fungsi pengembangan sistem dan fungsi pengolahan data harus dipisahkan karena jika seseorang yang mengetahui dan mempunyai kemampuan pemrograman serta mengetahui sistem secara detil, namun juga diberi akses untuk mengolah data , maka dia berpotensi dapat merubah data tanpa ijin. Pada kenyataannya, kedua fungsi tersebut di atas tidak hanya harus terpisah secara organisasional, tetapi juga secara fisik. Seorang analis sistem dan programmer harus dilarang melakukan aktivitasnya untuk maksud-maksud negatif. Seorang operator komputer dan karyawan pengolahan data lainnya seharusnya tidak diperbolehkan melihat dokumentasi program, bahkan lebih baik jika sama sekali tidak mempunyai pengetahuan mengenai TI. Pada organisasi yang kecil, unit TI hanya terdiri dari sejumlah kecil karyawan yang bertanggung jawab untuk mengoperasikan komputer saja. Analis sistem dan pemrograman tidak diperlukan karena organisasi tersebut menggunakan program-program yang sudah tersedia dalam bentuk paket. Pada organisasi yang lebih besar, unit TI bisa terdiri dari beberapa fungsi, yaitu analis sistem, pemrogram dan beberapa orang yang memasukkan
41

data (data entry operator). Dalam unit TI suatu organisasi yang lebih besar dan lebih kompleks, masing-masing fungsi tersebut bisa dilakukan oleh ratusan karyawan. Sebagaimana pemisahan fungsi pengolahan data dari fungsi proses kerja lainnya, dalam fungsi pengolahan data itu sendiri juga perlu dilakukan pemisahan fungsi seperti diuraikan di atas. Hal ini perlu dilakukan untuk menghindari terjadinya manipulasi data oleh pihak yang tidak bertanggung jawab sehingga merugikan organisasi. Sebagai ilustrasi, seorang operator komputer mempunyai akses kepada data dan program aplikasi yang akan memproses data. Apabila operator dirangkap oleh programer maka terdapat risiko bahwa program komputer akan diubah oleh operator tersebut yang dapat menimbulkan kerugian organisasi tanpa diketahui oleh pihak lain. Namun demikian, suatu organisasi tidak harus melakukan pemisahan fungsi secara sangat rinci (sangat terspesialisasi) sehingga akan terjadi beban kerja yang tidak optimal sehingga secara ekonomis juga akan merugikan organisasi. Oleh karenanya, auditor harus dapat menganalisis fungsi-fungsi mana yang bisa dirangkap (compatible) dan fungsi-fungsi mana yang tidak bisa dirangkap (incompatible) karena akan menimbulkan risiko kerugian. 2. Pengendalian dalam pengembangan sistem Pengendalian Pengembangan Sistem dirancang untuk memberikan keyakinan yang memadai bahwa sistem proses kerja dikembangkan dan dipelihara dalam suatu cara yang efisien dan telah mendapatkan otorisasi semestinya. Aktivitas pengendalian pengembangan sistem berhubungan dengan: a. Reviu, pengujian, dan persetujuan terhadap sistem baru b. Pengendalian terhadap perubahan program c. Prosedur dokumentasi Fungsi pengembangan sistem terutama melibatkan pemrogram dan analis sistem, yaitu orang-orang yang memiliki keahlian tentang TI secara terinci. Agar terdapat pengendalian yang memadai terhadap pengembangan sistem, dapat diterapkan prosedur-prosedur sebagai berikut: a. Perancangan sistem harus melibatkan wakil dari tiap-tiap bagian yang terkait dengan proses kerja yang sedang dirancang.
42

b. Pengujian sistem harus dilakukan baik oleh personel TI maupun personel semua bagian yang akan menggunakan sistem proses kerja yang sedang dikembangkan tersebut. c. Harus ada proses persetujuan akhir bahwa sistem yang dibangun sudah sesuai dengan yang diharapkan sebelum sistem baru tersebut diterapkan/ diimplementasikan. d. Setiap perubahan program harus mendapat persetujuan pejabat yang berwenang sebelum diterapkan/diimplementasikan untuk meyakinkan bahwa perubahan tersebut sudah diotorisasi, diuji, dan didokumentasikan dengan memadai. 3. Pengendalian atas Dokumentasi Pengendalian dokumentasi menyangkut pengendalian dokumen dan catatan suatu organisasi mengenai kegiatan dalam fungsi TI. Dokumentasi dapat berupa suatu deskripsi, bagan alur (flowchart), daftar hasil cetakan (print out) komputer dan contoh-contoh dokumen. Dokumentasi yang memadai adalah suatu yang penting baik bagi manajemen maupun bagi auditor. Bagi manajemen, dokumentasi berguna sebagai bahan untuk: a. Mengkaji ulang sistem b. Melatih karyawan baru c. Memelihara dan memperbaiki sistem dan program yang ada Bagi auditor, dokumen merupakan sumber informasi yang utama mengenai aliran transaksi dalam sistem dan pengendalian yang diterapkan. Terdapat enam jenis dokumentasi mengenai TI, yaitu : 1) Dokumentasi prosedur Dokumentasi ini mencakup rencana sistem secara menyeluruh, prosedurprosedur tertentu, seperti prosedur pengujian program, prosedur penanganan dan pemberian label file dan prosedur lainnya. 2) Dokumentasi sistem Dokumentasi ini mencakup: tujuan dari sistem pengolahan data, termasuk bagan alur sistem, deskripsi masukan dan file yang digunakan, deskripsi keluaran yang dihasilkan, pesan-pesan kesalahan pengolahan (error messages) dan daftar pengendalian. Dokumentasi sistem sangat diperlukan baik oleh analis sistem, pengguna sistem, maupun auditor.
43

3) Dokumentasi program Dokumentasi ini dibutuhkan oleh pemrogram bila suatu saat program yang didokumentasikan tersebut perlu untuk diperbaiki atau dimodifikasi. 4) Dokumentasi operasi Dokumentasi ini sangat berguna bagi operator komputer karena berisi cara-cara mengoperasikan Komputer. 5) Dokumentasi data Dokumentasi data berisi definisi-definisi dari item-item data yang berada dalam suatu data base. Dokumentasi ini banyak digunakan oleh database administrator (DBA) dan auditor. Dokumentasi data juga berguna bagi pemrogram dalam membuat program komputer yang memerlukan akses kepada item-item data yang diperlukan pada program yang sedang dibuat. 6) Dokumentasi pengguna Dokumentasi yang diperlukan oleh pengguna, yang merupakan manual bagi pengguna. Dokumen ini menjelaskan tujuan dari sistem pengolahan data, prosedur untuk memasukkan data, bentuk-bentuk laporan dan keluaran lain, daftar pesan kesalahan, dan prosedur pembetulan kesalahan. Kadang-kadang dokumentasi ini disatukan dengan dokumentasi sistem. Dokumentasi di atas harus dikendalikan dan hanya dapat diakses oleh orang-orang yang berkepentingan. Sebagai contoh, manual program seharusnya tidak boleh tersedia bagi operator komputer karena bila operator mengetahui hal tersebut akan menimbulkan risiko operator tersebut dapat mengubah program untuk kepentingannya, misalkan mengubah besarnya gaji yang bersangkutan. Demikian juga, kamus data tidak boleh tersedia secara penuh pada analis sistem dan pemrogram karena akan menimbulkan risiko pemrogram menyisipkan suatu instruksi pada komputer untuk mengubah data untuk kepentingannya. 4. Pengendalian akses terhadap TI Pengendalian akses terhadap sistem informasi meliputi pengendalian terhadap akses fisik maupun akses lojik. Pengendalian akses fisik dimaksudkan untuk mencegah pihak yang tidak berhak maupun tidak berkepentingan mempunyai akses secara fisik kepada fasilitas TI di organisasinya. Sebagai contoh pengendalian akses fisik adalah dengan mengunci ruangan atau menggunakan kartu akses untuk memasuki suatu
44

ruangan yang berisi peralatan TI . Contoh lainnya adalah dengan membuat log book (buku rekaman) yang mencatat semua pihak yang memasuki suatu fasilitas TI pada suatu organisasi, beserta tujuannya. Untuk dapat melakukan akses terhadap sistem informasi, seseorang tidak harus melakukannya melalui fasilitas komputer di kantor tetapi bisa melakukannya dari fasilitas komputer di mana pun, misal melalui fasilitas komputer di warnet maupun di rumah. Hal ini dimungkinkan dengan adanya jaringan internet. Untuk mencegah orang yang tidak berhak dapat melakukan akses ke dalam sistem informasi suatu organisasi, maka organisasi tersebut dapat menerapkan pengendalian akses lojik. Salah satu bentuk pengendalian akses lojik adalah dengan menyaratkan penggunaan User Id dan Password pada setiap akses ke dalam sistem aplikasi ataupun data tertentu. Bentuk yang lain misalkan dengan prosedur log off secara otomatis di mana bila pengguna suatu aplikasi sedang membuka aplikasi tersebut namun dalam kurun waktu tertentu tidak ada pemasukan (input) data ataupun instruksi kepada komputer maka komputer tersebut akan log off secara otomatis sehingga untuk menggunakannya lagi diperlukan login dengan memasukkan kembali User Id dan password. Apabila pengendalian akses ke komputer tidak dipelihara dengan baik maka akan menimbulkan risiko adanya pihak yang tidak mempunyai hak untuk akses ke program maupun data yang dapat merugikan organisasi, baik berupa penyadapan data, pengrusakan program maupun data, atau bahkan melakukan manipulasi data untuk mengambil keuntungan ekonomis. C. Pengendalian Aplikasi Pengendalian aplikasi dirancang untuk mengendalikan pemrosesan aplikasi, dengan tujuan untuk memastikan kelengkapan dan keakuratan pemrosesan transaksi, memastikan bahwa transaksi telah diotorisasi dan absah (valid), dan hasil pemrosesan telah didistribusikan dengan tepat waktu kepada pihak yang berhak. Ruang lingkup pengendalian ini mencakup pengendalian pada tahapan masukan, tahapan proses dan tahapan keluaran dari suatu sistem aplikasi. Pengendalian ini berfungsi untuk memberikan jaminan yang memadai bahwa pencatatan, pengolahan dan pelaporan data telah dilaksanakan dengan benar. Berbeda dengan pengendalian umum,
45

pengendalian aplikasi dirancang untuk memenuhi persyaratan pengendalian khusus yang diterapkan pada suatu sistem aplikasi tertentu. Pengendalian aplikasi mencakup tiga jenis pengendalian, yaitu: pengendalian masukan (input control), pengendalian proses (process control), dan pengendalian keluaran (output control). 1. Pengendalian Tahapan Pemasukan Data Pengendalian masukan dirancang untuk memberikan jaminan yang memadai bahwa suatu data yang dimasukkan ke dalam komputer untuk diproses oleh sistem sudah diotorisasi, sudah dalam bentuk yang dapat dibaca oleh mesin dan diidentifikasi, dan data tersebut (termasuk data yang dikirim lewat jalur komunikasi) tidak ada yang hilang, berkurang, bertambah, diduplikasi, atau diubah tanpa ijin. Pengendalian masukan termasuk pengendalian yang berhubungan dengan penolakan data, koreksi data, dan memasukkan kembali data yang sudah dikoreksi. Masukan merupakan salah satu tahap dalam sistem yang paling krusial dan mengandung risiko. Pengendalian masukan ini merupakan pengendalian aplikasi yang penting karena: a. Komputer akan memproses data yang dimasukkan secara konsisten dan apa adanya sehingga timbul istilah GIGO (Garbage In Garbage Out), yang berarti apabila masukan (data) salah akan menyebabkan keluaran (informasi) yang salah juga. b. Kesalahan dalam pemrosesan data akan lebih mudah dikoreksi pada tahap masukan dengan rujukan dokumen asal yang masih tersedia. c. Masukan data yang salah jika dapat lolos dan melewati tahap pengolahan dan tidak terdeteksi oleh pengendalian masukan maka akan menyebabkan kesalahan tersebut terbawa pada proses berikutnya sehingga mengakibatkan kesalahan tersebut sangat sulit untuk dideteksi. 1.1 Tahapan Pemasukan Data Data masukan yang akan dimasukkan ke dalam sistem dapat meliputi tahapan-tahapan berikut: a. Tahap penangkapan data atau sering disebut dengan istilah data capture (baca: data kepcer) merupakan proses identifikasi dan
46

pencatatan kejadian atau transaksi yang dilakukan oleh suatu organisasi. Pada tahap ini suatu transaksi atau kejadian diidentifikasi dan dicatat pada sebuah formulir. Agar penangkapan data dilakukan dengan akurat, beberapa pengendalian berikut ini dapat diterapkan. 1) Menggunakan formulir tercetak (preprinted). Pada formulir tercetak untuk menuliskan suatu data disediakan ruang dengan jumlah karakter (huruf/angka) tertentu untuk menyesuaikan dengan jumlah karakter yang disediakan dalam penyimpanan data dalam komputer, sehingga kelebihan digit atau karakter dapat segera diketahui. Untuk pengendalian terhadap kelengkapan transaksi, formulir dapat diberi nomor urut tercetak (pre-printed-number) sehingga jika ada formulir yang hilang atau tidak terproses dapat segera diketahui. Demikian pula jika terjadi duplikasi pemrosesan data yang terdapat dalam suatu formulir akan segera diketahui. 2) Reviu data pada formulir yang telah diisi dengan cara meneliti kelengkapan dan kebenaran data. 3) Verifikasi kebenaran dan kelengkapan data oleh karyawan selain yang mengisi formulir tersebut. b. Tahap penyiapan data untuk dapat diproses dengan komputer, atau sering disebut dengan istilah data preparation, yaitu proses mengubah data yang telah ditangkap di formulir ke dalam bentuk yang dapat dibaca oleh mesin (machine readable). Jika digunakan media penyimpan pita magnetik (magnetic tape dan piringan magnetik (magnetic disc) secara off-line (tidak langsung diproses, namun hanya memasukkan data), dapat dilakukan pengendalian sebagai berikut: 1) Visual verification, yaitu membandingkan hasil pengubahan data ke bentuk machine readable dengan data yang ada di dokumen dasarnya yang dilakukan oleh orang lain yang tidak melakukan proses pemasukan data tersebut. Pengendalian ini bertujuan memeriksa kebenaran dan kelengkapan data sebelum diproses lebih lanjut oleh komputer. 2) Key verification, yaitu pengetikan data yang sama oleh dua orang
47

operator. Kesalahan pengetikan yang terjadi ditunjukkan dengan adanya suatu signal (tanda) berupa bunyi atau lampu. Pengenal ini dilakukan bila proses pengubahan data ke bentuk machine readable menggunakan keyboard, seperti misalnya key punch atau key to card, key to tape atau key to disk. Key verification merupakan proses yang mahal dan tidak produktif. Oleh karena itu hanya dilakukan untuk data yang sangat penting. Jika digunakan media floppy disk atau hard disk secara on-line, selain visual verification dan key verification dapat digunakan preformatted screen. Preformatted screen ini pada prinsipnya sama dengan dokumen dasar tercetak. Perbedaannya, preformatted screen tercetak di monitor bukan di kertas. c. Tahap pemasukan data atau sering disebut dengan istilah data entry (baca: data entri) merupakan proses membaca atau memasukkan data ke dalam komputer. Pengendalian pada tahap ini berupa pengecekan terprogram yaitu pengecekan yang telah diprogram pada aplikasi. Jenis pengendalian yang ada dapat berupa: i. Echo check. Data yang diketikkan pada keyboard akan ditampilkan (echo) pada layar monitor. Dengan demikian operator dapat membandingkan antara data yang diketik dengan data yang seharusnya dimasukkan. Program dibuat sedemikian rupa dengan memberikan kesempatan pada operator untuk memperbaikinya apabila data yang diketik salah. Kesalahan ini tidak dapat dideteksi oleh komputer, sehingga harus diperiksa oleh operator. ii. Existence check. Pengendalian ini dilakukan dengan membandingkan kode yang dimasukkan dengan daftar kode yang valid dan sudah diprogram. Misalnya kode jenis kelamin hanya terdiri dua jenis saja, yaitu lakilaki dengan kode 'L' dan perempuan dengan kode 'P'. Bila dimasukkan kode selain 'L' atau 'P' berarti salah. Kesalahan ini dapat dideteksi oleh komputer, sehingga dapat dilakukan segera koreksinya. iii. Matching check. Pengecekan dilakukan dengan membandingkan kode yang dimasukkan dengan field pada file induk bersangkutan (umumnya
48

table-look-up file). Jika data yang dimasukkan tidak sesuai dengan data yang sudah ada dalam komputer maka akan terdeteksi oleh komputer, sehingga user harus waspada apakah data yang dimasukkan salah atau memang ada data baru yang belum dimasukkan pada tahapan proses kerja sebelumnya. iv. Field check. Field data yang dimasukkan diperiksa kebenarannya dengan mencocokkan nilai dari field data tersebut dengan tipe field-nya, apakah bertipe numerik, alphabetik atau tanggal. Tipe field numerik harus diisi dengan data numerik, jika tidak diisi dengan data numerik berarti salah. v. Sign check. Field data yang bersifat numerik dapat diperiksa untuk menentukan apakah telah berisi dengan nilai yang mempunyai tanda yang benar, positif, atau negatif. Misalnya harga barang harus bernilai positif, jika negatif berarti salah. vi. Relationship atau logical check. Hubungan antara item-item data input harus sesuai dan masuk akal. Pengecekan ini berfungsi untuk memeriksa hubungan antara bagianbagian data input yang dimasukkan komputer. Misalnya transaksi biaya yang terjadi harus mempunyai lawan kas atau hutang biaya. Jika lawannya selain kas dan hutang biaya berarti salah. vii. Limit atau reasonable check. Pengecekan ini dilakukan dengan memeriksa apakah nilai dari input beralasan atau tidak. viii.Range check. Nilai yang dimasukkan diseleksi agar tidak keluar dari jangkauan nilai yang sudah ditentukan. ix. Self-checking digit check. Self-checking digit check ini bermaksud untuk memeriksa kebenaran dari digit data yang dimasukkan. Pengecekan ini dipergunakan karena operator cenderung melakukan kesalahan memasukkan digit-digit data. Kesalahan-kesalahan tersebut dapat berupa kelebihan, pemotongan, penulisan, peletakan posisi,
49

kesalahan acak digit atau karakter. Untuk mendeteksi kesalahankesalahan tersebut dilakukan dengan memberi bobot nilai pada masing-masing posisi digit. x. Sequence check. Sequence check memeriksa urutan dari record-record data yang dimasukkan dengan cara membandingkan nilai field record tersebut dengan nilai field record sebelumnya yang terakhir dimasukkan. xi. Label check. Untuk menghindari kesalahan penggunaan file, maka label internal yang ada di dalam pita magnetik atau di dalam disk magnetik dapat diperiksa untuk dicocokkan dengan yang seharusnya digunakan. xii. Zero-balance check. Bila transaksi yang dimasukkan merupakan nilai-nilai yang saling mengimbangi, misalnya nilai-nilai debet dan nilai-nilai kredit, maka nilai-nilai tersebut harus seimbang. Zerobalance check akan melakukan pengecekan selisih antara dua sisi tersebut harus seimbang. Misalnya transaksi jurnal umum yang melibatkan beberapa rekening-rekening debet harus sama dengan total nilai rekening-rekening kredit. xiii.Batch control total check. Batch control total check umumnya digunakan pada pengolahan data dengan metode batch processing, yaitu transaksi dikumpulkan terlebih dahulu selama satu periode tertentu dan kemudian secara bersama-sama data tersebut digunakan untuk meng-update file induk. Untuk meyakinkan apakah kumpulan transaksi tersebut sudah lengkap dan sudah benar atau belum, maka dapat dilakukan batch control total check, yang dapat berupa : Financial total, adalah total dari nilai rupiah suatu field, misalnya jumlah total dari kolom penjualan. Hash total, adalah total dari kode-kode suatu field yang bukan merupakan nilai rupiah, misalnya total kode barang. Record count, adalah total penjumlahan lembar dokumen dasar atau jumlah record.
50

Kumpulan data transaksi yang akan dimasukkan ke dalam komputer sebelumnya dihitung terlebih dahulu mengenai nilai totalnya (dapat berupa financial total, hash total dan record count). Nilai-nilai total tersebut dicatat pada batch cover sheet. Setelah kumpulan data terekam pada file transaksi, sebelum digunakan untuk meng-update file induk, suatu program komputer digunakan untuk menghitung kembali total dari transaksi yang terjadi. Hasil nilai yang ada di batch cover sheet harus sama. Bila berbeda, berarti data yang terekam tersebut masih belum benar dan harus dibetulkan terlebih dahulu. Masih terdapat pengendalian masukan lainnya selain yang dirinci di atas yang dapat disediakan oleh manajemen. Sebagaimana disinggung sebelumnya, tujuan pengendalian masukan seperti dirinci di atas adalah untuk meyakinkan bahwa data yang akan diproses dalam komputer adalah valid (absah) dan akurat sehingga informasi yang dihasilkan juga akan benar. Namun demikian, tidak semua jenis pengendalian di atas harus diterapkan oleh organisasi, namun harus juga memperhatikan antara manfaat dan biaya untuk menerapkan suatu pengendalian. Sudah menjadi hukum kausal bahwa untuk menerapkan suatu pengendalian diperlukan biaya, baik biaya untuk menerapkan adanya pengendalian maupun biaya karena proses yang menjadi lebih lama. Makin banyak pengendalian yang diterapkan, bahkan nampak seolah saling tumpang tindih, maka makin lambat suatu komputer memproses data yang dimasukkan. Di lain pihak, penerapan suatu pengendalian mungkin tidak menambah nilai pengendalian secara keseluruhan karena risiko yang mungkin timbul dari tidak diterapkannya pengendalian tersebut mungkin sudah di-cover oleh pengendalian yang lain. Perlu ditambahkan pula bahwa untuk menerapkan suatu pengendalian harus diperhitungkan pula manfaat pengendalian itu bagi organisasi. Oleh karenanya, baik manajemen maupun auditor dalam memandang perlu atau tidaknya menerapkan suatu pengendalian harus memperhitungkan antara manfaat dan biayanya. 2. Pengendalian Tahapan Pemrosesan Pengendalian proses bertujuan untuk mencegah kesalahan-kesalahan yang terjadi selama proses pengolahan data yang dilakukan setelah data dimasukkan ke dalam sistem komputer. Kesalahan pengolahan dapat
51

terjadi karena program aplikasi yang digunakan untuk mengolah data mengandung kesalahan. Kesalahan-kesalahan yang terjadi selama tahap pengolahan dapat dikendalikan dengan mengecek proses dari program. Program dari komputer harus dibuat sedemikian rupa sehingga kesalahan-kesalahan yang terjadi selama pengolahan dapat dideteksi. Bila kesalahan yang terjadi dapat dideteksi selama proses pengolahan, maka harus ditampilkan dalam bentuk pesan-pesan kesalahan (error sign). Pesan kesalahan ini dapat ditampilkan di layar monitor, sehingga dapat terlihat oleh operator ataupun dapat tercetak di printer dalam bentuk laporan-laporan kesalahan pengolahan. Prosedur koreksi harus diterapkan apakah kesalahan yang terjadi akan langsung dibetulkan dengan menghentikan proses program atau akan dikoreksi sesaat kemudian setelah proses program selesai. Jika proses program membutuhkan waktu pengolahan yang lama, sebaiknya kesalahankesalahan yang terjadi dicetak di printer atau direkamkan di file terlebih dahulu dan proses program tetap terus dilanjutkan. Kesalahan-kesalahan tersebut kemudian dapat diperbaiki setelah proses pengolahan selesai. Pengecekan-pengecekan kesalahan pengolahan dapat berupa sebagai berikut: a. Control total check Control total check dapat digunakan untuk mendeteksi apakah semua data yang diolah telah lengkap dan benar. Control total yang dihitung oleh komputer sewaktu proses pengolahan dapat dicetak di printer dan hasilnya dibandingkan dengan total yang seharusnya, jika tidak sama, berarti data yang diolah tidak lengkap atau mungkin mengandung kesalahan nilai. Pengecekan ini dapat digunakan untuk mendeteksi kesalahan-kesalahan pembulatan. Kesalahan akibat hilangnya data atau rusaknya data. b. Matching check Pencarian data di suatu file yang tidak dapat ditemukan pada tahap pengolahan data dilakukan dengan matching check. c. Reference file check Kesalahan penggunaan data yang diambil dari file acuan (reference file) dapat dideteksi dengan cara mencetak isi file acuan yang digunakan setelah dilakukannya proses pengolahan. Hasil cetakan isi file acuan kemudian diperiksa kebenarannya. Bila file acuan cukup besar dan
52

diputuskan untuk tidak mencetak isinya, maka dapat dilakukan pengecekan lain, yaitu control total (misalnya hash total) dari nilai-nilai file acuan. Nilai dari kontrol total tersebut yang dihitung oleh komputer dapat diperiksa sehingga dapat diketahui bila file acuan mengalami perubahan-perubahan nilai yang tidak benar. d. Limit and Reasonable check Pengecekan terhadap batas limit dan kewajaran suatu nilai perlu juga dilakukan. Pengecekan ini ditujukan pada hasil pengolahannya, misalnya untuk mengecek saldo akhir kas hasil dari suatu transaksi kas yang tidak boleh negatif. Pengecekan kewajaran ini dapat juga diterapkan untuk pengecekan kesalahan logika program yang tidak benar yang menyebabkan hasil pengolahan menjadi tidak wajar. e. Crossfooting check Crossfooting check dilakukan dengan menjumlahkan masing-masing bagian data secara horisontal dan secara Total penjumlahan kesamping dan total penjumlahan tegak dapat dicocokkan secara menyilang dan harus didapatkan hasil yang sama. Pengecekan ini dapat dipergunakan untuk mengecek kesalahan-kesalahan yang mungkin dihasilkan oleh logika program yang tidak benar atau kesalahan pembulatan. f. Record locking Record locking merupakan cara untuk mengatasi konkurensi dengan mengunci record yang sedang digunakan, sehingga tidak digunakan oleh pengguna lain. Proses konkurensi ini terjadi karena record yang sama dalam suatu file dipergunakan oleh lebih dari satu pengguna, sehingga bila tidak terdapat kendali record locking bisa menimbulkan risiko bahwa suatu data yang diakses oleh dua atau lebih pengguna akan berbeda satu sama lain. Pengendalian proses yang diuraikan di atas mempunyai tujuan bahwa semua data telah diproses dengan benar, lengkap dan sah sebagaimana yang diharapkan dan integritas data terjaga dengan baik. 3. Pengendalian Tahapan Keluaran Hasil dari proses data oleh komputer dapat mempunyai beberapa bentuk seperti hasil cetakan, kartu plong (punch card), tulisan pada layar monitor, atau di dalam media penyimpanan seperti pita magnetik, harddisk atau disket dan lain-lain.
53

Pengawasan terhadap output ini bertujuan untuk menjaga kebenaran data yang akan dilaporkan yang dihasilkan oleh sistem komputer dan membatasi penggunaan output tersebut hanya oleh orang yang berhak, serta pengendalian keluaran yang direncanakan untuk menjamin ketelitian dalam memproses keluaran (seperti daftar rekening, tampilan di monitor, laporan-laporan, file dalam pita magnetis, faktur, atau cek yang akan digunakan untuk membayar) dan menjamin bahwa hanya pihak yang berhak saja yang menerima output itu. Keluaran (output) yang merupakan produk dari pengolahan data dapat disajikan dalam dua bentuk utama yaitu dalam bentuk hardcopy dan softcopy. Dalam bentuk hardcopy yang paling banyak dilakukan adalah berbentuk laporan yang dicetak menggunakan alat cetak printer. Bentuk softcopy yang paling umum adalah berbentuk tampilan di layar monitor atau berupa file di disket atau harddisk. Pengendalian terhadap laporan yang berisi informasi dari data yang diproses perlu diawasi agar tidak ada penyalahgunaan terhadap penggunaan laporan tersebut. Pengendalian yang harus dilakukan terhadap pelaporan ini tergantung kepada metode proses data yang digunakan. Ada dua macam metode proses data, yaitu dengan menggunakan cara on-line atau cara kelompok (batch). Bila data diproses dengan cara batch, laporan yang dihasilkan umumnya akan berupa hasil cetakan sehingga pengawasannya meliputi juga distribusi laporan itu kepada para penggunanya. Dalam proses data yang menggunakan cara on-line, laporan yang dihasilkan umumnya akan ditunjukkan pada layar monitor, sehingga pengawasannya akan diarahkan pada tampilan hasil dan pengiriman laporan ke layar monitor. Pengendalian terhadap output meliputi dua aspek, yaitu merencanakan laporan yang dihasilkan, dan mengawasi proses pembuatan laporan sampai penyerahannya kepada pengguna. Perencanaan laporan meliputi berbagai aspek seperti bentuk laporan, data yang dilaporkan, periode penerbitan laporan, pihak yang akan diberi laporan dan sebagainya.
54

a. Pengendalian keluaran berbentuk "hardcopy" Pengendalian untuk output sistem meliputi tahap-tahap seperti berikut serta uraian penjelasan masing-masing tahap: 1. Tahap penyediaan media laporan. Laporan tercetak membutuhkan media untuk menampilkannya. Biasanya media yang umum digunakan adalah kertas dan juga kadang-kadang berbentuk microfilm. Media yang digunakan untuk mencetak laporan dapat berupa kertas polos atau kertas yang sudah dicetak dengan informasi tertentu. Pengendalian yang baik harus diterapkan terutama pada kertas laporan yang sudah tercetak, karena kertas yang sudah tercetak dapat disalahgunakan, misalnya faktur yang sudah tercetak dapat digunakan untuk menulis faktur palsu dan lain sebagainya. Pengendalian terhadap penyiapan laporan ini dapat dilakukan dengan cara: Menyelenggarakan sistem penyimpanan media laporan yang tercetak. Dalam sistem penyimpanan ini diatur bagaimana cara mencetakkan media laporan tersebut, bagaimana menerima dari percetakan, siapa yang berhak menyimpannya, bagaimana untuk mendapatkannya dan siapa saja yang boleh mendapatkannya. Pengendalian terhadap pengaksesannya. Orang-orang tertentu saja yang dapat mengambil dan mendapatkan media laporan tercetak tersebut dengan maksud supaya mereka yang tidak berhak tidak dapat menggunakannya untuk maksud-maksud merugikan perusahaan. Operator komputer sebaiknya tidak boleh secara mudah dan langsung mengambil sendiri media laporan tercetak, tetapi harus memintanya melalui prosedur yang sudah ditentukan. Pemberian nomor urut. Media laporan tercetak sedapat mungkin diberi nomor urut, sehingga bila ada yang hilang akan mudah diketahui. Penyimpanan cap pengesahan laporan seperti misalnya cap perusahaan, cap tanda tangan, dan sebagainya sebaiknya disimpan di tempat yang terpisah dari ruang pengolahan data.
55

2. Tahap pemrosesan program penghasil laporan Pengendalian pada proses program yang digunakan untuk mencetak laporan merupakan pengecekan-pengecekan yang sudah dipasang di dalam program. Pengendalian ini bertujuan untuk menjamin kebenaran dan kelengkapan informasi yang dicetak di laporan. 3. Tahap pembuatan print file Kemungkinan suatu laporan tidak langsung dicetak ke printer, tetapi direkamkan terlebih dahulu ke file (biasanya dengan ekstension.TXT). Kalau print-file digunakan, maka harus dilakukan pengendalian dengan tujuan agar isi print-file tidak dapat diubah oleh orang lain yang tidak berhak. Tujuan kedua adalah agar print-file tidak disalin oleh orang lain yang tidak boleh melihat isi laporan, dan hanya dicetak untuk keperluan yang sah saja dan dihapus bila sudah tidak diperlukan. 4. Tahap pencetakan laporan Pengendalian pada tahap ini mempunyai dua tujuan utama yaitu: (1) untuk meyakinkan bahwa yang dicetak hanya sejumlah tembusan yang diperlukan saja. (2) untuk mencegah isi laporan tidak terbaca oleh orang lain yang tidak berhak. 5. Tahap pengumpulan output laporan Laporan yang sudah dicetak harus dikumpulkan segera oleh bagian tertentu yang berwenang. Semua laporan dapat diletakkan terlebih dahulu di tempat yang khusus dan terkunci sebelum didistribusikan. Manajer operasi komputer dapat membuat daftar dari semua laporanlaporan yang harus dihasilkan dan bagian yang melakukan pengendalian untuk mengumpulkan laporan dapat menggunakan daftar ini untuk menentukan bila ada laporan yang hilang atau belum tercetak. 6. Tahap kaji ulang (reviu) laporan. Sebelum laporan didistribusikan dan digunakan oleh pengguna laporan, maka laporan-laporan tersebut harus bebas dari kesalahankesalahan serta mencerminkan informasi yang tidak menyesatkan. Untuk maksud ini, sebelum didistribusikan harus diperiksa kembali terhadap kesalahan-kesalahan yang tampak. 7. Tahap pemilahan laporan Bila laporan terdiri dari beberapa halaman atau beberapa macam untuk beberapa pengguna yang berbeda, maka laporan tersebut
56

perlu untuk dipisah-pisahkan dan diatur kembali sesuai dengan jenis, kegunaan dan distribusinya menurut kelompok-kelompok tertentu. Dalam proses ini orang-orang yang terlibat dapat mengamati, membaca isinya dan berhubungan dengan laporan yang sudah jadi, sehingga perlu dilakukan pengawasan supaya laporan tersebut tidak dapat difotocopy ataupun diambil sebagian lembarnya. Staf bagian pengendalian harus turut mengawasi dan mengecek bahwa laporanlaporan tersebut telah lengkap, tidak ada yang hilang, dan tidak disalin. 8. Tahap distribusi laporan Laporan harus tepat pada waktunya, sehingga distribusi laporan juga harus tepat pada waktunya, tidak boleh terlambat dan harus segera disampaikan kepada yang berhak. Pengendalian-pengendalian yang dapat diterapkan pada pada tahap ini agar tidak terjadi keterlambatan penerimaan laporan yang dapat menyebabkan terlambatnya keputusan yang dilakukan oleh seorang manajer adalah: Laporan dapat diberi tanggal kapan dibuat, sehingga distribusi yang terlambat dapat diketahui oleh penggunanya. Dibuat daftar distribusi siapa-siapa saja yang berhak untuk menerima laporan, sehingga distribusi tidak keliru ke pihak lain yang tidak berhak. Untuk laporan yang penting, harus dibuat daftar penerimaan yang ditandatangani oleh si penerima laporan sebagai bukti bahwa penerimaan laporan sebagai bukti bahwa laporan telah didistribusikan dan diterima dengan benar dan lengkap. 9. Tahap kaji ulang oleh pengguna Penerima laporan sebaiknya mengkaji ulang isi laporan yang diterimanya sebelum menggunakannya untuk mendeteksi kesalahankesalahan yang mungkin ada. Hal ini perlu karena pengguna laporan lebih mengenal dan mengerti isi laporan yang dibutuhkannya, maka mereka akan lebih baik dan tanggap terhadap kesalahan-kesalahan yang mungkin terjadi. Pengguna laporan harus memberikan umpan balik kepada bagian komputer terhadap kesalahan-kesalahan atau ketidaksesuaian serta perbaikan-perbaikan lebih lanjut terhadap laporan yang digunakannya, sehingga laporan yang akan datang menjadi lebih efektif.
57

10.Tahap pengarsipan laporan Bila laporan sudah tidak digunakan lagi oleh pengguna tetapi masih penting, maka laporan tersebut harus diarsip dengan baik. Pengarsipan laporan harus aman, tidak mudah dijangkau oleh orang lain yang tidak berhak. 11. Tahap pemusnahan laporan Laporan yang sudah tidak digunakan lagi selamanya harus dimusnahkan. Pemusnahan laporan harus betul-betul dilakukan tak berbekas. Pemusnahan laporan dapat dilakukan dengan dibakar atau dengan alat pengracik kertas. Pada waktu pemusnahan laporan dilakukan, harus diawasi untuk meyakinkan bahwa laporan telah benar-benar dimusnahkan, tidak ada bagian yang tertinggal atau tidak ada informasi yang dapat diambil oleh mereka yang tidak berhak. b. Pengendalian keluaran berbentuk "softcopy" Output dari proses data yang menggunakan cara on-line umumnya akan ditunjukkan dalam layar monitor ke pengguna, sehingga tidak diperlukan pengawasan terhadap bahan pembantu maupun distribusi laporan. Laporan untuk proses data yang menggunakan cara on-line berbentuk softcopy. Informasi yang dihasilkan oleh laporan ini ditampilkan pada layar monitor dan tidak menggunakan media kertas. Apabila distribusi laporan itu penting, maka ada dua hal yang perlu diawasi dalam pengendalian output proses on-line, yaitu: pada saat data dikirim dari CPU ke monitor dan display pada layar monitor.
Bila komputer dan monitor yang digunakan terletak dalam satu tempat, kemungkinan untuk mencuri data dapat terjadi pada saat data itu melewati kabel dari CPU ke monitor. Pencegahan pencurian data ini dapat dilakukan dengan mengawasi kabel yang digunakan sehingga tidak ada yang dapat, menyambungkan kabel lainnya ke kabel itu, atau dengan menggunakan kabel khusus yang tidak dapat dipotong pembungkusnya. Pengawasan terhadap informasi yang ditampilkan pada layar monitor dilakukan dengan menempatkan layar monitor sedemikian rupa sehingga orang lain tidak dapat ikut membaca informasinya. Selain itu selama keluaran tampil di layar monitor, pengguna tidak diperbolehkan meninggalkan terminal agar informasinya tidak dibaca orang lain.
58

Output dari suatu proses dapat disimpan dalam pita atau disk. Karena media ini menyimpan data dalam bentuk yang tidak dapat dibaca oleh manusia, maka pengecekan kebenaran penulisan output ke dalam media ini harus dicek oleh mesin. Pengecekan yang dapat dipakai adalah dengan cara echo check, yaitu kebenaran penulisan output dicek dengan perbandingan data yang dituliskan dan data yang diterima. Untuk mencegah isi dari suatu pita atau disk itu tidak terhapus sebelum waktunya, digunakan berbagai cara berikut: Penggunaan label eksternal dan internal. Label eksternal diletakkan di bagian luar media yang digunakan sehingga pengguna file dapat mengetahui isi pita atau disk. Label internal merupakan suatu record yang berisi informasi untuk kontrol. Record ini dapat diletakkan di bagian muka atau awal suatu file (header record), atau dibagian akhir dari file (disebut trailer record). Informasi ini akan diakses oleh komputer ketika file itu digunakan. Pengggunaan nomor generasi dan tanggal pemusnahan. Setiap file baik dalam pita maupun dalam disk perlu dilengkapi dengan data generasi dari file itu. Data ini berguna untuk mencegah digunakannya file yang keliru dalam proses data. Tanggal pemusnahan berguna untuk mencegah suatu file dihapus sebelum saatnya, dan juga mencegah data disimpan melewati saat pemusnahannya. Penggunaan kontrol total. Jumlah rupiah data dalam file dan juga jumlah hash-nya berguna sebagai alat untuk mengawasi kebenaran output yang dituliskan dalam file. Pengawasan lain dapat dilakukan dengan melepaskan ring pita magnetis, agar file-nya hanya dapat dibaca. Masalah efektifitas dan efisiensi laporan perlu dipertimbangkan agar sistem informasi yang disusun tidak mahal. Ada tiga alasan yang menyebabkan masalah ini perlu dipertimbangkan. 1. Ouput adalah suatu tempat di mana dapat dilakukan penghematan yang besar dengan cara meningkatkan efisiensi. Kertas merupakan bahan yang mahal. 2. Kualitas output yang dihasilkan, dan selanjutnya, kredibilitas dari suatu organisasi tergantung pada keputusan yang dibuat.
59

3. Kuantitas output yang rendah dapat menyebabkan adanya kesalahan input dalam sistem aplikasi, misalnya tampilan yang membingungkan dapat menyebabkan seseorang memasukkan data yang salah. Tujuan pengendalian keluaran adalah bahwa informasi hasil pengolahan sistem telah didistribusikan dengan benar dan tepat waktu kepada pihak yang mempunyai hak untuk menerima informasi tersebut. Dengan penerapan pengendalian keluaran yang memadai diharapkan tidak ada informasi yang bocor ke tangan pihak yang tidak berwenang yang dapat merugikan organisai baik secara material maupun non material. D. Asas manfaat dan biaya dalam pengendalian Teknologi Informasi Sebagaimana disinggung sebelumnya, dalam menerapkan suatu pengendalian, baik pengendalian umum maupun pengendalian aplikasi perlu dipertimbangkan penerapan asas manfaat dan biaya. Pengendalian diterapkan untuk memitigasi atau mengurangi suatu risiko atau kerugian yang mungkin timbul, termasuk kerugian karena tidak tercapainya tujuan organisasi. Namun demikian, untuk menerapkan suatu pengendalian juga diperlukan suatu biaya, baik biaya yang langsung yang harus dikeluarkan sehubungan dengan diterapkannya suatu pengendalian, atau biaya tidak langsung lainnya, termasuk lambatnya sistem informasi dalam menghasilkan informasi. Dengan demikian baik manajemen maupun auditor dalam menilai memadai atau tidaknya suatu pengendalian yang diterapkan dalam suatu proses kerja harus memperhatikan antara manfaat yang dihasilkan oleh penerapan pengendalian tersebut, atau risiko kerugian yang dapat dicegah dengan diterapkannya suatu pengendalian, dengan biaya yang diperlukan untuk memasang pengendalian tersebut. Apabila manfaat yang diperoleh lebih besar dari biaya yang ditimbulkan, maka penerapan pengendalian akan lebih baik. Yang juga harus diperhatikan adalah apakah tidak diterapkannya suatu pengendaian sudah di-cover oleh pengendalian lain yang sudah diterapkan. E. Pengujian atas pengendalian Teknologi Informasi Pengujian terhadap pengendalian, atau dikenal dengan istilah test of controls mencakup langkah-langkah sebagai berikut : 1. Memahami pengendalian IT yang sudah diterapkan oleh organisasi, yang dapat dilakukan antara lain melalui:
60

a. Mempelajari bagan organisasi dan uraian tugas fungsi proses kerja dan Puslahta dalam proses kerja berbasis komputer. b. Mempelajari kebijakan dan prosedur, dan manual terkait dengan proses kerja berbasis komputer. c. Mempelajari infrastruktur IT, termasuk hardware, software, dan jaringan d. Wawancara dengan pejabat yang berwenang tentang proses kerja melalui sistem berbasis komputer. e. Wawancara dengan pejabat dan staf Puslahta. 2. Melakukan pengujian terhadap sistem pengendalian yang sudah diidentifikasi dalam tahap pemahaman di atas dengan mencoba transaksi yang mengandung unsur-unsur yang sudah dipasang pengendaliannya. 3. Mencatat dan membuat kesimpulan tentang pengendalian apakah: a. Penerapan pengendalian telah memadai, yaitu pengendalian yang seharusnya diterapkan memang sudah dipasang. b. Pengendalian yang telah diterapkan sudah berfungsi dengan baik.
61
62
Audit Sistem
Bab
Informasi
Setelah mempelajari bab ini, diharapkan pembaca dapat: Menjelaskan berbagai teknik audit dalam lingkungan teknologi sistem informasi . Menjelaskan berbagai standar yang dapat dipakai sebagai pedoman dalam penyelenggaraan teknologi sistem informasi.
A. Jenis Audit Teknologi Sistem Informasi 1. Audit Manajemen/Operasional Teknologi Sistem Informasi Saat ini tingkat kecenderungan organisasi memanfaatkan teknologi informasi semakin meningkat. Biaya investasi dan operasionalisasi yang tinggi tidak bisa menahan keinginan organisasi untuk memanfaatkan TI. Kebanyakan organisasi berkeyakinan bahwa penggunaan TI adalah suatu keharusan jika ingin berhasil mencapai tujuan yang diinginkan. Bahkan seringkali keyakinan tersebut menyebabkan banyak organisasi tidak menyadari bahwa penggunaan TI membawa berbagai risiko baru yang selama ini tidak pernah ditemui. Misalnya terhapusnya file laporan oleh virus komputer. Seiring dengan berjalannya waktu, ternyata tidak semua organisasi yang menggunakan TI berhasil memanfaatkannya secara optimal. Hal itu umumnya disebabkan karena software aplikasi tidak memiliki antara lain: fitur penting yang diharapkan, laporan standar yang diinginkan serta informasi yang bisa diandalkan karena masih banyaknya error yang ditemukan. Situasi seperti itu justru membebani organisasi dalam mencapai tujuannya.
63

Hal di atas umumnya disebabkan oleh karena ketidaktahuan organisasi tentang TI sehingga organisasi terlalu percaya kepada vendor yang mengakibatkan organisasi tidak melakukan metodologi pemilihan solusi seperti dijelaskan pada Bab 2. B. 2. Melakukan pemilihan solusi tanpa mengikuti metodologi standar akan menyebabkan organisasi berhadapan dengan risiko keterlambatan, tidak tercapainya efisiensi dan bahkan gagal sama sekali. Proses kerja pemilihan solusi, penanganan proyek dan pengembangan software merupakan bagian dari tatakelola TI yang baik dan sehat. Agar TI dapat memberikan manfaat yang nyata bagi organisasi, dibutuhkan adanya suatu tatakelola TI yang mengelola semua sumberdaya TI agar dapat memberikan layanan informasi seperti yang diinginkan organisasi yakni dilakukan secara efektif, efisien dan mematuhi aturan berlaku (compliance) serta menghasilkan informasi yang dapat diandalkan (reliability), dijaga kerahasiaannya (confidentiality), keutuhan (integrity) dan ketersediaannya (availability). Oleh karena itu organisasi memiliki kebutuhan untuk memastikan apakah tatakelola TI yang ada dapat mencapai tatakelola TI yang baik dan sehat sehingga semua keinginan organisasi terhadap TI dapat dipenuhi. Audit terhadap tatakelola TI tersebut dapat digolongkan ke dalam Audit Manajemen TI atau Audit Operasional TI. Audit ini diharapkan akan mendorong peningkatan kualitas cara pemerintah daerah melakukan pengelolaan TI melalui tatakelola yang baik dan sehat yang pada gilirannya akan meningkatkan manfaat yang dirasakan oleh pemerintah daerah dan pihak terkait lainnya. a. Tujuan audit Tujuan audit manajemen/operasional TI adalah untuk memastikan apakah proses pengelolaan dan operasionalisasi teknologi informasi tersebut dilaksanakan secara efektif, efisien dan mematuhi aturan yang berlaku (compliance) serta dapat menghasilkan informasi yang dapat diandalkan (reliability), dijaga kerahasiaannya (confidentiality), keutuhan (integrity) dan ketersediaannya (availability). b. Ruang Lingkup Ruang lingkup bisa sangat bervariasi namun harus disesuaikan dengan kebutuhan pemerintahan daerah. Ruang lingkup audit manajemen/ operasional TI terdiri dari antara lain:
64

pengembangan sistem pengelolaan layanan TI operasionalisasi TI (server dan infrastruktur) pemilihan solusi TI pengelolaan SDM TI pengelolaan keamanan TI pengelolaan risiko TI pengelolaan kualitas TI
c. Aspek yang diukur A s pek yang dapat diukur dalam audit jenis ini adalah: Tingkat kematangan organisasi dalam melakukan proses kerja pengelolaan TI (maturity level). Tatakelola TI terdiri dari beberapa proses kerja. Setiap proses kerja terdiri dari aktivitas-aktivitas yang dikerjakan berdasarkan tahapan tertentu. Tingkat kematangan yang lebih tinggi memberikan jaminan kepastian yang lebih tinggi bahwa output yang dihasilkan proses kerja tersebut akan selalu berkualitas dan konsisten dari waktu ke waktu. Jika terdapat ketidak-konsistenan keberhasilan proyek pengembangan sistem pada suatu organisasi, maka hal tersebut mengindikasikan bahwa proses kerja pengembangan sistemnya masih belum cukup matang. Skala tingkat kematangan proses kerja pengelolaan TI diukur dalam rentang nilai antara 0 sd 5. Semakin tinggi nilai yang di dapat berarti semakin matang.
Tingkat Kematangan 0: Non-existent
Penjelasan Pemerintah daerah belum mengetahui sama sekali bahwa proses kerja yang sedang diukur kematangannya tersebut merupakan proses kerja pengelolaan TI yang seharusnya dilakukan agar dapat tercipta suatu tata kelola TI yang baik dan sehat. Contoh: Kebanyakan pemerintah daerah belum mengenali bahwa harus dilakukan pengelolaan risiko TI sebagai bagian dari pengelolaan TI yang baik dan sehat.
65

Lanjutan:
Tingkat Kematangan 1: Initial/ad hoc
Penjelasan Pemerintah daerah sudah mengenali kebutuhan untuk melakukan suatu proses kerja TI tertentu sebagai bagian dari tata kelola TI yang baik dan sehat. Tetapi masih dilakukan dengan pendekatan ad-hoc, artinya pelaksanaannya tergantung situasi dan kondisi pada saat itu. Contoh: Kebanyakan pemerintah daerah sudah mengenali kebutuhan untuk melakukan pengelolaan kualitas TI namun tidak memahami bagaimana metodologi dan caranya Pemerintah daerah sudah melakukan proses kerja TI yang bersangkutan namun bagaimana cara melakukannya masih didasarkan pada intuisi dan pengetahuan yang terbatas. Contoh: Kebanyakan pemerintah daerah sudah melakukan pengadaan solusi TI berkali-kali tetapi pemerintah daerah masih belum mengetahui bagaimana metodologi dan cara yang baik dan sehat untuk melakukan pemilihan solusi TI dan vendor yang tepat. Pemerintah sudah melakukan proses kerja TI yang bersangkutan berkali-kali dengan metodologi dan proses kerja yang sudah distandarisasi dan didokumentasikan. Pada tahap ini, pemerintah daerah sudah mulai mendapatkan manfaat berupa sharing of knowledge bagi para staf dan manajemen terkait. Contoh: Pemerintah daerah sudah melakukan pengembangan sistem secara internal berdasarkan metodologi dan cara kerja yang telah distandarisasi dan didokumentasikan. Pemerintah daerah sudah melaksanakan proses kerja TI yang bersangkutan dan sudah menentukan siapa yang memiliki dan bertanggung jawab atas proses kerja TI tersebut. Pemerintah daerah sudah mulai memperhatikan ketidak-sesuaian yang terjadi dalam proses kerja, baik dalam hal pencapaian dan pelaksanaannya. Kegiatan analisis penyebab masalah sudah mulai distandarisasi. Contoh: Pemerintah daerah sudah melakukan proses kerja pengelolaan layanan TI dari pihak ketiga seperti layanan maintenance hardware dan sebagainya.
2: Repeatable but intuitive
3: Defined
4: Managed and measurable
66

Lanjutan:
Tingkat Kematangan 5: Optimised
Penjelasan Pemerintah daerah sudah melaksanakan proses kerja TI yang bersangkutan berdasarkan standar praktek kerja terbaik yang telah diakui dan diterima luas oleh berbagai macam organisasi di dunia. Proses kerja tersebut sudah diotomasi secara optimal dan analisis penyebab masalah selalu dilakukan. Contoh: Pemerintah daerah sudah melakukan proses kerja pengelolaan insiden dan keluhan para pengguna TI dengan software untuk menampung semua keluhan, memonitor dan melaporkan statusnya.
Kriteria pengukuran tingkat kematangan tersebut dapat mengacu pada CobiT yang berasal dari IT Governance Institute, yaitu standar tata kelola TI yang baik dan sehat. Tingkat kinerja Organisasi sebaiknya menetapkan terlebih dulu semua indikator utama, yang tepat, yang dapat menggambarkan kinerja pelaksanaan setiap proses kerja pengelolaan TI sebelum dilakukan pengukuran kinerjanya. Untuk menghitung berapa nilai suatu indikator kinerja, dibutuhkan perhitungan berdasarkan data-data terkait. Jika pengumpulan data dilakukan secara manual maka akan dibutuhkan waktu yang lama untuk menyelesaikan perhitungannya. Tingkat keamanan TI membuat akses data dapat dilakukan dari mana saja bahkan dari tempat yang sangat jauh. Hal tersebut tentu saja sangat membantu organisasi, namun menimbulkan risiko tertentu. Misalnya bagaimana jika yang melakukan akses adalah orang yang tidak memiliki kewenangan? Jika itu terjadi maka semua informasi yang ada dapat disebarluaskan dengan cepat ke pihak-pihak yang justru tidak boleh mengetahuinya. Risiko lain adalah bagaimana jika terjadi suatu ancaman tertentu yang dapat membuat komputer server rusak sehingga layanan berbasis TI kepada penduduk/warga tidak bisa dilaksanakan.
67
d. Standar penilaian Standar penilaian yang digunakan sangat beragam antara lain: CobiT CobiT, yang diterbitkan oleh IT Governance Institute, menetapkan proses kerja yang seharusnya dilakukan organisasi agar dapat mencapai tata kelola yang baik dan sehat. Tepatnya ada 34 proses kerja pengelolaan TI yang dijelaskan pada Cobit versi 4.1 yang dikelompokkan menjadi 4 bagian, yaitu: rencanakan dan organisasikan (plan & organise), peroleh dan implementasikan (acquire & implement), operasionalkan dan berikan dukungan (deliver & support) monitor dan evaluasi (monitor & evaluate).
ISO seri 20000 ISO 20000 menetapkan proses kerja yang berhubungan dengan pengelolaan layanan TI. Proses kerja yang ada pada ISO 20000 merupakan modifikasi atas hasil adopsi IT-IL (baca ai ti ai el) yang merupakan singkatan dari IT Infrastructur Library
ISO 27000 ISO 27000 menetapkan proses kerja pengelolaan keamanan TI termasuk aspek keamanan yang harus diperhatikan pada proses kerja TI lainnya
2. Audit Aplikasi Software aplikasi adalah komponen otomasi yang ada pada proses kerja yang sudah dikomputerisasi. Aplikasi tidak hanya mengotomasi mekanisme input, penyimpanan data dan pelaporannya tapi harus bisa memberlakukan kebijakan dan aturan-aturan yang berlaku pada proses kerja tersebut secara otomatis juga. Misalnya, aplikasi pembuatan KTP seharusnya menolak input data penduduk yang masih berusia di bawah batas yang ditetapkan. Organisasi memiliki kebutuhan untuk memastikan apakah software aplikasi telah membuat proses kerja berjalan secara efektif, efisien dan mematuhi aturan berlaku (compliance) serta menghasilkan informasi yang dapat diandalkan (reliability), dijaga kerahasiaannya (confidentiality), keutuhan (integrity) dan ketersediaannya (availability). Selain hal tersebut diatas, organisasi perlu memahami bahwa semua unsur proses kerja yang sudah dikomputerisasi seharusnya sudah lengkap dan
68

berkualitas. Uraian secara rinci dapat dilihat pada pembahasan Bab 2 Unsur proses kerja yang terotomasi. Tentu saja organisasi harus memperhatikan juga kualitas tahapan operasionalisasi aplikasi pada proses kerja yang terdiri dari tahap input, proses dan output seperti dijelaskan pada 4.2 Pengendalian Aplikasi. Tata kelola TI juga berpengaruh terhadap kualitas prosedur kerja yang dikomputerisasikan seperti proses kerja pengembangan dan perubahan software. Oleh karena itu, organisasi juga harus memperhatikan tata kelola TI yang baik dan sehat. a. Ruang Lingkup Ruang lingkup software aplikasi otomasi proses kerja meliputi pengelolaan dan operasionalisasi software aplikasi yang terdiri dari tahapan input, proses dan output, beserta semua sumber daya terkait seperti orang, software, hardware dan infrastruktur seperti terlihat pada gambar berikut:
KEBIJAKAN PROSEDUR SUMBER DAYA
INPUT
P R O S E S
O
OUTPUT
O U TP U T
b. Aspek yang diukur Aspek yang dapat diukur dalam audit jenis ini adalah: Fungsional Software otomasi proses kerja Pemda seharusnya memiliki semua fungsi yang dibutuhkan proses kerja tersebut agar dapat mencapai tujuannya.
TP
69

Kemudahan Penggunaan Software otomasi proses kerja Pemda seharusnya dirancang untuk memudahkan penggunaannya oleh pengguna. Kemudahan penggunaan akan membuat penyelesaian input menjadi lebih cepat dan dapat mencegah data yang salah atau tidak lengkap di-input ke dalam sistem. Kinerja Software otomasi proses kerja Pemda seharusnya dirancang untuk dapat memberikan kecepatan akses dan pemrosesan yang dibutuhkan oleh proses kerja tersebut. Pengendalian Software otomasi proses kerja Pemda seharusnya dirancang untuk memiliki pengendalian yang dapat mencegah dan memitigasi risiko yang ada pada proses kerja yang bersangkutan. c. Standar penilaian Standar penilaian yang dapat digunakan sangat beragam antara lain: eSAC eSAC merupakan suatu kerangka untuk mengevaluasi control pada proses kerja organisasi yang telah dikomputerisasi. eSAC diterbitkan oleh IIA singkatan dari Institute of Internal Auditor yang merupakan asosiasi auditor internal internasional. Standar ini dapat diadopsi karena berisi uraian lengkap tentang pengendalian aplikasi, lebih jelasnya dapat dilihat pada gambar berikut:
eSAC Model
Dynamic Environment Customers Competitors Regilators Community Owners
Market Forces & Velocity Operating, Reporting, Compliance & Safeguarding Availa bility Poeple Capabi lity Techno logy Functio nality Proces ses Protect ability Invest ment Accoun tability
Commu nication
Mision Values Strategies Objectives
Results Reputation Learning
External Interdependencies Providers Alliances Monitoring & Oversight Agents
70

Untuk dapat memastikan kualitas proses kerja yang sudah dikomputerisasi, maka auditor harus mengevaluasi faktor orang, teknologi, proses kerja, investasi dan komunikasi serta faktor eksternal yang datang dari pemerintah pusat, pemasok dan masyarakat. CobiT (IT Control Objectives) for Sarbanes-Oxley Sarbanes Oaxley Section 404 adalah undang-undang di Amerika Serikat yang menyaratkan semua perusahaan publik untuk mengukur efektivitas internal control atas proses pelaporan keuangan dan melaporkan hasilnya setiap tahun. IT Governance Institute kemudian mendefinisikan pengendalian TI yang berasal dari CobiT dan dapat diterapkan untuk mendukung tercapainya kepatuhan kepada Sarbanes Oxley 404. Standar ini dapat diadopsi karena berisi uraian lengkap dan detil tentang pengendalian aplikasi seperti terlihat pada gambar berikut:
Significant Accounts in The Financial Statements

Balance Sheet Income Statement Cash Flow Notes Other Disclosures
Business Processes/Classes of Transactions Process A Process B Process C
IT General Controls Program Development Program Changes Program Operations Access Control Control Environment
Financial Applications Applications A Applications B Applications C
IT Infrastructure Services
Database Operating System Network/Physical
Application Control Objectives/ Assertions Accuracy Completeness Authorization Segregation of Duties
71

Untuk memastikan bahwa software aplikasi dapat mendukung kewajaran laporan keuangan, maka auditor harus mengevaluasi pengendalian umum TI dan pengendalian aplikasi pada software aplikasi keuangan dan terkait serta infrastruktur TI seperti database, sistem operasi dan jaringan. B. Pendekatan Audit Teknologi Sistem Informasi Adopsi teknologi informasi pada organisasi terjadi dengan cepat. Kompleksitas teknologi informasi membuat auditor internal atau eksternal terlambat memahami dan menyesuaikan teknik-teknik audit yang lazimnya digunakan. Oleh karena itu, sesuai dengan perkembangan tingkat kemampuannya dalam memahami dan menggunakan teknik audit spesifik yang terkait dengan teknologi informasi, auditor internal dan auditor eksternal melakukan audit dengan pendekatan sebagai berikut : 1. Audit around the computer Pendekatan audit ini dilakukan oleh auditor eksternal dan auditor internal yang belum memahami teknologi informasi, pengendalian dan teknik audit spesifik yang terkait dengan teknologi informasi. Dengan pendekatan ini auditor akan memperlakukan komponen/unsur teknologi informasi dari suatu proses kerja organisasi sebagai kotak hitam yang tidak perlu dipahami dan diaudit cara kerjanya. Auditor cukup melakukan pengujian atas sample input terhadap output atau sebaliknya dalam jumlah yang dapat mewakili populasi transaksi yang di input ke dalam software aplikasi. Walau dilakukan dengan cara yang tidak langsung, auditor dapat menyimpulkan kualitas pemrosesan TI dari tingkat kesesuaian antara sampel input dan output dari software aplikasi. Dengan pendekatan ini, auditor eksternal tetap dapat memberikan opini tentang kewajaran angka yang disajikan dalam laporan keuangan pemda dan dianggap telah menjalankan sesuai dengan standar profesional akuntan publik. Berdasarkan transaksi yang dipilih sebagai sample, auditor melakukan analisis dan perhitungan untuk mengetahui hasil yang diharapkan. Kemudian auditor akan membandingkannya dengan laporan terkait yang dimiliki perusahaan.
72

Keberhasilan pendekatan ini sangat tergantung pada : a. Ketepatan penentuan jumlah transaksi yang dipilih sebagai sample pengujian. Auditor harus menggunakan metode sampling yang tepat sesuai dengan tujuan pengujiannya apakah compliance atau substantive. b. Ketersediaan berbagai macam bentuk laporan rinci untuk memudahkan penelusuran ke dokumen transaksi atau sebaliknya. c. Ketersediaan dokumen transaksi dalam bentuk kertas atau non elektronik. Pada prakteknya untuk melakukan pendekatan ini auditor dapat menggunakan komputer. Sebagai contoh, auditor mendapatkan daftar transaksi dari software aplikasi dalam bentuk file teks atau spreadsheet. Kemudian auditor akan membacanya dengan program aplikasi spreadsheet seperti Open Office Calc, Microsoft Office Excel, atau IBM Lotus 123. Dengan fitur yang dimiliki maka auditor dapat dengan mudah mencocokkan transaksi yang ada di dalam dokumen input ke output dari software aplikasi. Auditor TI yang melakukan audit atas sistem aplikasi tidak menggunakan pendekatan ini karena auditor tersebut telah memiliki kemampuan untuk memahami teknologi informasi, risiko dan pengendaliannya serta teknikteknik audit spesifik terkait dengan teknologi informasi. Dengan kata lain, auditor TI selalu menggunakan pendekatan audit through the computer seperti dijelaskan pada uraian berikut.
2. Audit through the computer Berbeda dengan pendekatan around the computer, audit through the computer justru menjadikan komponen/unsur teknologi informasi menjadi bagian yang tidak terpisahkan dari proses kerja atau sistem informasi yang diaudit. Oleh karena itu, auditor harus memiliki pengetahuan yang memadai tentang teknologi informasi agar dapat memahami cara kerja serta risiko dan pengendalian teknologi informasi. Dengan demikian auditor dapat mempelajari dan menguasai berbagai teknik audit spesifik yang terkait dengan teknologi informasi. Dengan pendekatan ini, auditor dapat melakukan pengujian atas kualitas pemrosesan terhadap seluruh transaksi yang di-input dengan menggunakan teknik audit analisis data seperti yang dijelaskan pada bagian mengenai teknik audit. Sampling dibutuhkan hanya ketika auditor ingin menelusuri transaksi dalam bentuk data elektronik ke dokumen fisik input atau aktiva dan harta lainnya.
73

Teknik audit yang digunakan pada pendekatan ini sangat beragam. Contoh: a. Melakukan reviu atas diagram keterkaitan (entity relationship diagram) semua tabel data yang digunakan aplikasi pengolahan data tanpa menggunakan bantuan software/komputer b. Melakukan perhitungan ulang atas semua data transaksi yang diinput untuk memastikan kebenaran laporan yang dihasilkan software aplikasi yang digunakan Pemda dengan bantuan software/komputer yang dimiliki auditor. c. Melakukan pengambilan data transaksi dari software aplikasi Pemda menggunakan fasilitas yang dimiliki software database yang digunakan pada server database milik Pemda. Pendekatan audit through the computer memberikan tingkat keyakinan yang lebih tinggi terhadap kualitas pemrosesan transaksi dibandingkan dengan penggunaan pendekatan audit around the computer. Pendekatan ini hanya dapat digunakan oleh auditor TI dan auditor lainnya yang telah memiliki kemampuan yang memadai dalam menggunakan berbagai teknik audit spesifik terkait dengan teknologi informasi. Pada prakteknya, auditor TI sering dilibatkan ke dalam tim penugasan audit keuangan, audit operasional, audit kecurangan dan berbagai jenis audit lainnya yang membutuhkan pelaksanaan teknik audit spesifik terkait dengan teknologi informasi. C. Teknik Audit Teknologi Sistem Informasi Terdapat banyak teknik audit yang digunakan dalam audit sistem informasi. Sebagian besar teknik audit yang lazim digunakan pada audit keuangan dan audit operasional/manajemen dapat juga digunakan, seperti: wawancara, observasi, penelusuran, reviu dan sebagainya. Audit sistem informasi juga memiliki beberapa teknik audit spesifik yang terkait dengan teknologi informasi baik menggunakan bantuan komputer ataupun tidak, yaitu: 1. Teknik audit tanpa bantuan komputer Terdapat berbagai macam teknik audit TI yang pelaksanaannya tidak membutuhkan bantuan komputer. Namun demikian, teknik seperti ini tetap membutuhkan pengetahuan yang memadai mengenai teknologi informasi.
74

Contoh teknik audit ini adalah melakukan analisis dan reviu atas kecukupan kualitas rancangan sistem, jaringan, serta prosedur dan pelaksanaan testing atas program yang dibangun. 2. Teknik audit dengan bantuan komputer Teknik audit ini sering disebut dengan CAAT yaitu singkatan dari Computer Assisted Audit Technique. Pengertian berbantuan komputer di sini adalah dengan bantuan software. Auditor dapat memanfaatkan software yang digunakan oleh bagian pemrosesan data Pemda atau menggunakan software yang dimilikinya sendiri. Secara umum, teknik audit ini dapat digolongkan menjadi: a. Specialized audit software Software ini biasanya digunakan untuk membantu pelaksanaan teknik audit dengan tujuan khusus saja. Jadi tidak bisa digunakan untuk tujuan lain. Software ini dapat berasal dari software yang dibuat oleh auditor atau bersama-sama dengan pihak pengelola TI Pemda atau berasal dari pihak ketiga yang sengaja membuat software dengan tujuan khusus tersebut. Contohnya adalah software untuk mengetahui port mana saja yang terbuka dari suatu server. Auditor dapat memberikan saran kepada pengelola TI Pemda agar port-port yang tidak digunakan dan/atau memiliki kerentanan bawaan segera ditutup. b. Generalized audit software Software ini biasanya dibuat oleh pihak ketiga baik oleh perusahaan komersil maupun komunitas. Sesuai dengan namanya, software ini memiliki kegunaan umum sehingga dapat digunakan untuk membantu pelaksanaan beberapa teknik audit yang berbeda. Contohnya adalah software untuk analisis data yang dapat digunakan untuk menganalisis data transaksi organisasi Pemda maupun data yang berhubungan dengan keamanan sistem dengan berbagai tujuan. Contoh lainnya adalah software pengolah kata yang dapat digunakan untuk membuat laporan hasil audit draft dan final, membuat surat konfirmasi piutang dan lain sebagainya. Berikut beberapa teknik audit yang penting untuk diketahui ketika melaksanakan audit teknologi sistem informasi.
75

1. Analisis akar penyebab masalah Teknik audit ini dapat digunakan pada audit pengelolaan TI, audit software aplikasi dan audit keamanan sistem. Pada saat auditor menemukan masalah yang dialami oleh organisasi maka auditor harus memberikan rekomendasi penyelesaian masalah tersebut dan rekomendasi yang dapat menghilangkan hal-hal yang menyebabkan masalah tersebut terjadi. Oleh karena itu, auditor harus melakukan analisis penyebab masalah sampai ke penyebab utamanya. Memberikan rekomendasi hanya sampai pada tingkat penyelesaian masalah yang terjadi tidak menjamin masalah tersebut tidak akan muncul kembali di masa mendatang. Masalah-masalah yang timbul pada proses kerja yang sudah dikomputerisasi seringkali disebabkan oleh tidak sempurnanya pelaksanaan tahap-tahap pengembangan sistem. Misalnya, kebutuhan pengguna yang tidak didefinisikan secara lengkap dapat mengakibatkan software aplikasi yang dibangun tidak memiliki fitur yang justru sangat dibutuhkan penggunanya. 2. Analisis Data Teknik audit ini dapat digunakan pada audit pengelolaan TI, audit software aplikasi dan audit keamanan sistem. Proses kerja yang telah dikomputerisasi akan memiliki database yang berisi kumpulan data yang telah di-input. Data tersebut berasal dari kejadian atau transaksi yang terjadi pada proses kerja yang bersangkutan. Oleh karena itu, teknik audit ini juga digunakan pada audit keuangan, audit ketaatan, dan audit operasional/manajemen non TI pada organisasi yang telah menggunakan TI. Di sisi lain, proses kerja pada unit teknologi informasi juga membutuhkan otomasi. Seperti proses kerja pengamanan terhadap akses terhadap server. Secara otomatis tanggal dan jam akses, siapa yang melakukan akses dan identitas komputer yang digunakan untuk melakukan akses akan dicatat dalam bentuk data elektronis yang sering disebut file log. a. Tujuan analisis data Tujuan analisis data antara lain untuk: 1) Menemukan pola kecenderungan atau trend dari kejadian-kejadian
76

yang telah di-input menjadi data. Contohnya, pola pembayaran berdasarkan bulan, jenis mata anggarannya, dan vendor/penjual. 2) Meyakinkan ketepatan angka yang ada pada laporan dengan cara melakukan berbagai macam perhitungan ulang atas data. Hasil penjumlahan tersebut akan dibandingkan dengan angka pada laporan. 3) Menemukan data transaksi yang tidak sesuai dengan ketentuan yang terkait. Misalnya, data KTP yang memiliki umur kurang dari 17 tahun. 4) Menemukan data transaksi yang tidak lengkap. Misalnya, data KTP yang jenis kelaminnya dan tanggal lahirnya tidak ada. 5) Melakukan pemilihan data sample untuk memeriksa bukti fisik seperti bukti pengeluaran, slip gaji dan lainnya. 6) Mengetahui kinerja dari proses kerja yang bersangkutan. Misalnya mengetahui: berapa rata-rata penyelesaian pengurusan KTP, akta kelahiran dan lainnya, berapa penyelesaian paling cepat dan penyelesaian paling lambat. b. Jenis software analisis data Analisis data membutuhkan keahlian auditor dalam menggunakan software analisis data. Terdapat berbagai macam software analisis data yang dapat digunakan auditor seperti: 1) Software jenis alat bantu audit Contoh: ACL, IDEA dan Picalo 2) Software jenis spreadsheet Contoh: OpenOffice Calc, Microsoft Excel dan IBM Lotus 123. 3) Software jenis database Contoh: OpenOffice DB, Microsoft Access dan IBM Lotus Approach. 4) Software jenis statistik Contoh: Minitab, SPSS c. Kelebihan dan kekurangan software analisis data Kelebihan utama software jenis alat bantu audit adalah memiliki kemampuan untuk membaca berbagai jenis data dan dapat membaca data dalam jumlah yang tidak terbatas sebesar kemampuan tempat penyimpanan data (hardisk) yang dimiliki. Sangat bervariasinya teknologi informasi yang ada menyebabkan bervariasinya jenis data yang mungkin dimiliki organisasi. Misalnya organisasi menggunakan komputer IBM AS400, maka datanya tidak akan bisa dibaca langsung oleh software jenis spreadsheet.
77

Kelebihan lain dari software jenis alat bantu adalah: memiliki fitur untuk melakukan sampling dan beberapa fitur lain yang dibutuhkan auditor. Kelebihan software jenis spreadsheet adalah kemudahan penggunaannya karena kebanyakan auditor sudah terbiasa menggunakan software jenis spreadsheet. Namun demikian, masih banyak pengguna software spreadsheet yang hanya menggunakannya sebatas pembuatan laporan sederhana dan tidak mengetahui bahwa software spreadsheet memiliki banyak fitur yang berguna dalam melakukan analisis data. Software jenis spreadsheet memiliki keterbatasan dalam hal jumlah/besar data yang dapat dibaca. Software jenis database membutuhkan keahlian tambahan dari seorang auditor untuk menggunakannya. Software jenis database memiliki kemampuan membaca data yang jauh lebih banyak dibandingkan dengan software jenis spreadsheet. Software jenis statistik memiliki kelebihan utama dalam hal kelengkapan fitur analisiss statistik yang dimiliki. Pada umumnya auditor bukanlah ahli statistik sehingga software jenis ini jarang digunakan. d. Penggunaan software analisis data Auditor disarankan untuk meningkatkan keahlian menggunakan fitur analisis data yang dimiliki software jenis spreadsheet selama belum memiliki software jenis alat bantu audit. Hal tersebut lebih mungkin dicapai mengingat auditor sudah terbiasa menggunakan software jenis spreadsheet walaupun hanya sekadar untuk pembuatan laporan yang sederhana. Auditor sangat disarankan untuk memiliki kemampuan menggunakan beberapa jenis software analisis data sekaligus untuk mendapatkan efisiensi dan efektifitas analisis data. Misalnya, untuk melakukan analisis atas data dengan jumlah yang tidak besar, auditor dapat menggunakan software jenis spreadsheet tapi untuk analisis atas data yang sangat besar, auditor dapat menggunakan software jenis alat bantu audit. e. Hal yang perlu diperhatikan Analisis data sebaiknya tidak dilakukan secara langsung pada server yang dioperasionalkan untuk menyimpan data hasil dari input transaksi
78

yang dilakukan setiap harinya. Prinsip tersebut penting karena pendekatan tersebut dapat menurunkan kinerja server tersebut dalam melayani kegiatan: input, pembacaan dan pelaporan pada proses kerja serta untuk menghindari adanya persepsi yang menyalahkan auditor jika suatu waktu server tersebut mengalami masalah setelah 'digunakan' auditor. f. Pemilihan Data Auditor dapat mempelajari berbagai macam file data yang ada pada server tersebut lalu menentukan file data yang mana yang akan dianalisis. Sesuai kebutuhannya auditor dapat saja memutuskan untuk melakukan analisis atas semua file data yang ada pada server. Setelah itu, auditor bersama-sama manajemen dan/atau staf pengelola TI mendiskusikan bagaimana cara mendapatkan file-file data tersebut. Lazimnya, file data yang ada di server akan dicopy-kan ke komputer yang dimiliki auditor melalui berbagai mekanisme seperti copy ke flashdisk/CD terlebih dulu atau copy langsung dari server ke komputer auditor melalui jaringan komputer atau sering disebut dengan istilah download. Alternatif lain, manajemen TI dapat menyiapkan server terpisah khusus untuk digunakan auditor di mana di dalamnya sudah disediakan file-file data yang diinginkan auditor lengkap beserta software databasenya. Misalnya server database organisasi menggunakan software database mySQL, maka manajemen TI dapat membuat server database terpisah yang serupa di mana di dalamnya sudah terdapat software database mySQL beserta file-file datanya. Kapasitas komputer server database yang digunakan auditor tidak harus sama dengan kapasitas komputer server database yang dioperasionalkan pengelola TI. 3. Analisis kecukupan pengendalian input Teknik audit ini digunakan pada audit aplikasi. Pada situasi tertentu, teknik ini juga digunakan pada saat melaksanakan audit keamanan sistem. Pengendalian input bertujuan untuk menjaga agar hanya data yang benar dan lengkap saja yang diterima oleh software aplikasi. Oleh karena itu, auditor harus memahami semua form input yang dilakukan langsung melalui layar komputer. Misalnya, software aplikasi keuangan memiliki bentuk layar input untuk memasukkan transaksi pengambilan uang muka dan layar input untuk memasukkan transaksi pembayaran utang.
79

Pelaksanaan pengujian pengendalian input Kemudian auditor harus menentukan skala prioritas atas semua bentuk layar input yang dimiliki software aplikasi. Lazimnya penentuan skala prioritas didasarkan pada risiko yang dialami organisasi jika data yang diinput tidak benar dan tidak lengkap. Auditor dapat menentukan tujuan analisis dengan mengacu pada jenisjenis pengendalian input yang sudah dijelaskan pada Bagian 4. Selanjutnya auditor akan mencoba memasukkan berbagai macam data yang tidak benar dan tidak lengkap melalui bentuk layar input yang dipilih.
80

Peng Antar Audits I

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Peng Antar Audits I

Diunggah oleh

Hak Cipta:

Format Tersedia

Pengantar Audit Sistem Informasi

SEKOLAH TINGGI AKUNTANSI NEGARA 2007

Desain sampul dan isi : Tim YPIA

Cetakan Pertama : Desember 2007

Buku ini bisa di download bebas melalui Website : www.stan-star.ac.id

Modul Program Pendidikan Non Gelar Auditor Sektor Publik

Suyono Salamun, Ph.D Direktur Sekolah Tinggi Akuntansi Negara

Modul Program Pendidikan Non Gelar Auditor Sektor Publik