AUDIT SISTEM INFORMASI (AUDSI)

LAPORAN DAN REKOMENDASI HASIL AUDIT

AUDIT SISTEM INFORMASI (AUDSI)
ANALISIS KONDISI EXISTING
 Pendahuluan
1. Laporan hasil audit adalah merupakan salah satu tahap paling penting dan akhir
dari suatu pekerjaan audit. Dalam setiap tahap audit akan selalu terdapat dampak
psikologis bagi auditor maupun auditee. Dampak psikologis dalam tahapan
persiapan audit dan pelaksanaan audit dapat ditanggulangi pada waktu
berlangsungnya audit. Tetapi dampak psikologis dari laporan hasil audit,
penanggulangannya akan lebih sulit karena:
a) Waktu audit sudah selesai
b) Laporan merupakan salah satu bentuk komunikasi tertulis, formal, sehingga
auditor tidak dapat mengetahui reaksi auditee secara langsung
c) Laporan telah didistribusikan kepada berbagai pihak sehingga semakin banyak
pihak yang terlibat.
2. Karena laporan hasil audit akan mempunyai dampak luas, maka diperlukan
pengetahuan khusus tentang penyusunan laporan hasil audit. Pelaporan hasil
audit merupakan tahap akhir kegiatan audit. Selain harus sesuai dengan norma
pemeriksaan, penyusunan laporan hasil audit juga harus mempertimbangkan
dampak psikologis, terutama yang bersifat dampak negatif bagi auditee, pihak
ketiga dan pihak lain yang menerima laporan tersebut.
Norma Pelaporan hasil Pemeriksaan pada standar standar pemeriksaan satuan pengawas
intern (auditor internal BUMN/BUMD) antara lain memuat hal-hal berikut ini:
1)Audit harus melaporkan hasil pemeriksaan sesuai dengan penugasan yang ditetapkan.
2)Laporan audit harus dibuat secara tertulis dan disampaikan kepada pejabat yang berwenang tepat
pada waktunya agar bermanfaat.
3)Laporan audit harus memuat ruang lingkup dan tujuan pemeriksaan, disusun dengan baik,
menyajikan informasi yang layak serta pernyataan bahwa pemeriksaan telah dilaksanakan sesuai
dengan norma pemeriksaan.
4)Setiap Laporan pemeriksaan harus:
a)Memuat ruang lingkup pemeriksaan, sasaran/tujuan pemeriksaan, dan adakah halhal yang dapat
dirasakan sebagai pembatasan terhadap pelaksanaan kegiatan pemeriksaan.
b)Memuat temuan (findings) dan kesimpulan (conclusions) pemeriksa secara objektif (didukung
dengan adequate audit evidence), serta saran tindak yang konstruktif
c)Lebih mengutamakan usaha perbaikan atau penyempurnaan dari pada kritik.
d)Mengungkapkan hal-hal yang masih merupakan masalah yang belum dapat diselesaikan sampai
berakhirnya pemeriksaan, bila ada.
e)Mengemukakan pengakuan atas suatu prestasi atau suatu tindakan perbaikan itu dapat
diterapkan di bagian lain.
f)Mengemukakan tanggapan/penjelasan pejabat objek (formal responses by the auditee) yang
diperiksa mengenai hasil pemeriksaan.
 B9. PENENTUAN
REKOMENDASI
1. Sebelum hasil audit dikomunikasikan, pengaudit SI/TI
perlu berdiskusi utk mendapatkan kesepahaman thd
hasil temuan (findings) dan mengembangkan
rekomendasi utk memperbaiki hasil tersebut. Jika
terjadi ketidak sepakatan, pengaudit SI/TI seharusnya
menguraikan signifikansi temuan serta resiko dan efek
jika fokus perbaikan proses yg berkaitan dengan resiko
tersebut tidak dilakukan.
2. Pemaparan pd bab ini akan difokuskan pd penentuan
hasil Audit SI/TI dan penyusunan laporan dr hasil audit
tersebut serta pembahasan mengenai konsep hasil audit
sebagai bahan utk perbaikan proses yg berkelanjutan.
9.1 Penentuan Hasil Audit SI/TI
1. Penentuan hasil audit dilakukan dg
mengevaluasi hasil audit yg didapatkan utk
mengembangkan opini audit.
2. Opini-opini berdasarkan hasil temuan
(findings) tsb. nantinya disusun dlm
rekomendasi hasil audit.
3. Hal ini membutuhkan pertimbangan
personal pengaudit SI/TI yg diperoleh dr
hasil pengalaman, dibandingkan dg
mengacu pd referensi tertentu.
 9.2 Penyusunan Laporan Hasil Audit SI/TI
Laporan audit merupakan hasil akhir pekerjaan Audit SI/TI yg berisikan temuan dan
rekomendasi kpd manajemen.
Secara umum laporan audit akan berisikan struktur pembahasan berikut:
1. Pendahuluan, termasuk pernyataan tujuan dan area yg akan diaudit,
2. Batasan terhadap pelaksanaan Audit SI/TI.
3. Syarat atau kualifikasi pengaudit SI/TI yg sesuai dengan ketentuan atau standar
pengaudit.
4. Pernyataan panduan Audit SI/TI yg diikuti selama aktivitas audit dilaksanaan.
5. Pernyataan panduan Audit SI/TI yg diikuti selama aktivitas audit dilaksanakan.
6. Detil temuan audit dan rekomendasi serta keputusan apakah memasukan atau
tdk memasukan temuan ke dlm laporan audit.
7. Keanekaragaman temuan yg beberapa diantaranya bersifat penting.
8. Kesimpulan keseluruhan dARI pengaudit SI/TI dan pendapat dari kecukupan
kontrol dan prosedur yg diuji selama audit.
9.2 Penyusunan Laporan Hasil Audit SI/TI (lanj..)
 Dengan demikian, dokumentasi laporan Audit SI/TI seharusnya berisikan:

1. Perencanaan dan persiapan Audit SI/TI yg mencakup ruang

lingkup dan tujuan audit (scope dan objective),
2. Kondisi sistem informasi,
3. Program Audit SI/TI yg dilakukan,
4. Langkah Audit SI/TI yg dilakukan dan bukti (evidence) Audit
SI/TI yg dikumpulkan,
5. Temuan audit (findings) dan tingkat kedewasaan Proses TI
6. Kesimpulan dr hasil temuan,
7. Laporan-laporan lain terkait sebagai hasil dr pekerjaan Audit
SI/TI,
8. Tinjauan pengawas berupa rekomendasi utk perbaikan
berkelanjutan.
 Gambar 9.1 Contoh Kesimpulan Hasil Audit TI Pada Laporan Audit

Ringkasan Eksekutif Sekilas

Ringkasan Umum Hasil Penilaian Tingkat Kedewasaan
<Tulisan secara singkat ringkasan dari hasil penilaian secara keseluruhan
di sini>

Perbedaan antara tingkat kedewasaan yang diaudit

Dengan skor studi banding
<rerata tingkat kedewasaan dari
Tingkat kedewasaan
Latar Belakang, Tujuan & Ruang Lingkup proses TI di perusahaan yg
Yang diaudit
<Masukan latar belakang, tujuan, ruang lingkup dan kesimpulan di sini> diaudit>
 Tanggapan Umum Pihak yang bertanggung Jawab
Respon dari <Tulis nana & jabatan yang bersangkutan di sini> (tanggal):

<Tuliskan respon di sini>

Rekomendasi dan Tanggapan dari Hasil Uji Kepatutan

Kelemahan Kontrol Prioritas Tindakan Korektif Tanggal
Judul Permasalahan □A Respon dari:<Tulis nama & jabatan <Tuliskan
<Deskripsikan permasalahan kelemahan kontrol □B yang bersangkutan di sini> tanggal
termasuk akibat kesimpulan dan rekomendasi> □C tindakan
korektif
Objektif Kontrol Proses TI dlm COBIT yang <Tuliskan respon di sini> akan
berkaitan: dilakukan>
DS5 4 Pengelolaan akun Pengguna → CONTOH
 Rekomendasi dan Tanggapan dari Hasil penilaian Tingkat Kedewasaan
Kelemahan Kontrol Prioritas Tindakan Korektif Tanggal
Judul Rekomendasi □A Respon dari:<Tulis nama & jabatan <Tuliskan
<Deskripsikan rekomendasi peningkatan terhadap □B yang bersangkutan di sini> tanggal
pengelolaan proses TI yang perlu dilakukan> □C tindakan
< Tuliskan respon di sini> korektif
Proses TI COBIT yang berkaitan: akan
DS5 memastikan keamanan sistem → CONTOH dilakukan>

Keterangan Prioritas :
A Merepresentasikan tingkat signifikansi tertinggi dan biasanya mengakibatkan resiko material terhadap
perusahaan jika tidak ditangani dengan benar
B Mengakibatkan resiko lebih rendah tetapi akan mengakibatkan dampak yang merugikan terhadap perusahaan
jika permasalahan yang terkait dengan resiko tersebut tidak ditangani dengan tepat.
C Kesempatan untuk mempertinggi lingkungan kontrol eksisting untuk memastikan kepatutan kepada perusahaan
dan panduan peraturan.
Gambar 9.2 Contoh Penyusunan Hasil Uji Kepatutan
Uji Kepatutan
Objektif Kontrol Proses TI Tingkat Kepatutan Analisis
Dalam COBIT
<Tuliskan Objektif Kontrol <Tuliskan seluruh kesimpulan kepatutan
Proses TI> Studi Tingkat Gap kondisi eksisting terhadap objektif kontrol
Banding kepatutan Proses TI dalam COBIT>
<Tuliskan deskripsi singkat Skor rerata <rerata tingkat
Objektif Kontrol terkait> keseluruha kepatutan
Bukti (evidence) yang relevan

Perbedaan antara tingkat kepatutan objektif kontrol

Penempatan permintaan, n perusahaan secara
penetapan, permasalahan, <Tuliskan bukti yang mendukung penentuan
umum untuk objektif
kapatutan terhadap objektif kontrol terkait>

yang diaudit dengan skor studi banding

penundaan, pemodifikasian dan kontrol terkait,
penutupan akun pengguna berserta detentukan secara
hak-hak terkait dengan prosedur kualitatif dalam
pengelolaan akun pengguna. Hal tingkatan high,
tersebut termasuk prosedur medium atau low>
persetujuan yang menguraikan
pemilik data atau sistem memberi
hak akses istimewa. Prosedur yang Skor rerata <rerata tingkat
dibuat dapat digunakan untuk industri kepatutan industri
semua pengguna, termasuk admin sejenis dengan
serta pengguna internal dan perushaan yang
eksternal untuk kasus normal atau diaudit objektif
keadaan darurat → CONTOH kontrol terkait,
Deskripsi Objektif Kontrol DS 5.4: ditentukan secara
Pengelolaan Akun Pengguna kualitatif dalam
tingkatan high,
medium atau low>
Tingkat Kepatutan <rata-
Objektif Kontrol rata
yang diaudit tingkat
kepatuta
n tiap
objektif
kontrol>
Gambar 9.3 Contoh Penyusunan Hasil Penentuan Tingkat Kedewasaan
Penilaian Tingkat Kedewasaan
(Berdasarkan Proses TI dalam COBIT)
Proses TI Tingkat Kedewasaan Proses TI
COBIT
Analisis
Studi Banding Kedewasaan Gap
<Tuliskan Nama
Skor rerata <rerata tingkat <Menguraikan dan menganalisis hasil
Proses TI>
keseluruhan kedewasaan perusahaan penentuan tingkat kedewasaan pada Sub Bab
secara umum untuk proses 8.4.>
<tuliskan deskripsi
TI terkait>
singkat Proses TI
terkait> Skor rerata <rerata tingkat
Pencernaan industri kedewasaan industri
Strategis TI sejenis dengan perusahaan
dibutuhkan untuk yg diaudit untuk Proses TI
mengelola dan terkait>
mengarahkan
Skor rerata <rerata tingkat
seluruh sumber
berdasarkan kedewasaan perusahaan
daya TI agar
kapital berkapital setingkat
sejalan dengan
dengan perusahaan yang
strategi bisnis dan
diaudit untuk Proses TI
prioritas.
terkait>
← CONTOH
Deskripsi Proses TI Skor rerata <rerata tingkat
PO 1 : berdasarkan kedewasaan perusahaan
Mendefinisikan geografis berlokasi yang sama
rencana strategis TI dengan perusahaan yang
diaudit (Asia Tenggara,
Asia, dsb) untukProses TI
terkait
<rata-rata tingkat
Tingkat Kedewasaan
kedewasaan tiap Proses
Proses TI yang diukur
IT>
Rerata Tingkat Kedewasaan = <Tuliskan rerata tingkat kedewasaan seluruh Proses TI yang diaudit>
9.3 Audit Utk Perbaikan Berkelanjutan
Di samping utk perbaikan proses, Audit SI/TI jg
diperlukan utk penyediaan rekomendasi penduan
praktek bagi manajemen senior dlm peningkatan
kualitas dan efektivitas dr inisiatif penataan TI yg
diimplementasikan.Biasanya peningkatan kualitas
tersebut dilakukan
ekspektasimelalui perbaikan berkelanjutan

(continuous improvement) yg dilakukan dlm kerangka

Lingkungan

kerja yg audit SI/TI yg terarah.

Pendekatan Audit
Gambar 9.4 Pendekatan
realita Audit Secara Tradisional
Tradisional

Audit ke- Audit Ke- Waktu

1 2
 Sedangkan pd Audit SI/TI yg memfokuskan pd perbaikan berkelanjutan dr indikator yg tingkat resikonya
tinggi, ekspektasi yg ditentukan lebih realistis karena didasarkan pd pengukuran yg terarah seperti tampak
pada gambar.
 Gambar 9.5 Pendekatan Audit SI/TI Secara Berkelanjutan.

Pengukuran
ekspektasi berkelanjutan
Lingkungan Kontrol

harapan
harapan

harapan

realita

t1 t2 waktu
Audit ke-1 Audit ke-2
Executive Summary
B9. Penentuan Rekomendasi

1. Penentuan Hasil Audit SI/TI

2. Penyusunn Laporan Hasil Audit SI/TI
3. Audit Untuk Perbaikan Berkelanjutan