Professional Documents
Culture Documents
1, Maret 2004
Intisari
Makalah ini membahas pengembangan model audit sistem informasi berbasis
kendali untuk mencegah terjadinya kegagalan sistem informasi guna
menyelamatkan aset informasi, menjaga integritas data dan meningkatkan efisiensi
dan efektifitas pencapaian tujuan suatu organisasi. Model ini dikembangkan
berdasarkan konsep fungsional dan kendali sistem informasi dengan menggunakan
sistem penilaian kualitatif berbasis standar manajemen mutu ISO 9001-2000.
Kata kunci: sistem informasi, audit, kendali, penilaian kualitatif, ISO 9001-2000.
Abstract
This peper discuss about model development of control based information system
audit to prevent information system’s failure of asset safeguard, keep data integrity
and improve effectivity and efficiency of organization’s goal. This model is
developed based on information system functionality concept and control, with
qualitative mesuaremet system based on ISO 9001-2000 quality management
standar.
Key Word: information system, audit, control, qualitative measurement, ISO 9001-2000.
51
INTEGRAL, Vol. 9 No. 1, Maret 2004
yang dijadikan sebagai tolok ukur untuk 3. Standar Penilaian Kondisi Sistem
penilaian dan (3) perangkat lunak bantu ISA- Mutu ISO 9001-2000
R yang memudahkan dokumentasi dan ISO 9001-2000 merupakan standar
pengolahan hasil audit. Pada makalah ini akan manajemen mutu yang dikeluarkan oleh
diuraikan konsep struktur/ kerangka dan International Standar Organization (ISO) [4].
prosedur audit sistem informasi saja, dua Pada standar ini, penilaian kondisi sistem mutu
bagian lainnya akan disampaikan pada mempunyai 4 skala [5], yaitu: P (Poor), W
makalah terpisah. (Weak), F (Fair), S (Strong) yang kriterianya
2. Audit Sistem Informasi Berbasis dapat dilihat pada tabel 3.1.
Kendali Tabel 3.1.
2.1. Audit Sistem Informasi Kriteria penilaian pada ISO 9001-2000
Sistem informasi [1] adalah sekumpulan Kriteria Interpretasi
komponen yang saling berhubungan yang P (Poor) Sistem mutu praktis belum
mengumpulkan (collect/ retrieve), memproses, terbentuk. Sangat disarankan
menyimpan dan mendistribusikan informasi untuk meninjau ulang
untuk mendukung pembuatan keputusan dan keseluruhan proses.
pengendalian suatu organisasi. Direkomendasikan pula untuk
Informasi adalah data yang telah diolah mengadakan suatu pelatihan
menjadi bentuk yang bermakna dan intensif & menyeluruh mengenai
bermanfaat bagi pemakai. TQM (Total Quality
Data adalah fakta yang menyatakan suatu Management), metode-metode
kejadian atau lingkungan fisik yang belum serta tekniknya disamping
dikelola menjadi bentuk yang bermakna dan mengadakan pelatihan/konsultasi
bermanfaat bagi manusia. ISO 9001-2000.
Audit sistem informasi didefinisikan sebagai W Masih banyak elemen sistem
proses pengumpulan dan evaluasi fakta/ (Weak) manajemen mutu yang tidak
evidence untuk menentukan apakah suatu sesuai dengan standar sistem
sistem informasi telah melindungi aset, manajemen mutu ISO 9001-2000.
menjaga integritas data, dan memungkinkan Organisasi harus banyak
tujuan organisasi tercapai secara efektif melakukan orientasi dan pelatihan
dengan menggunakan sumber daya secara yang khusus mengenai ISO 9001-
efisien [2]. 2000. Apabila organisasi serius
Dalam pelaksanaan audit digunakan etika untuk mendapatkan sertifikasi
profesi yang dirumuskan oleh organisasi ISO 9001-2000 harus dibentuk
profesi Information System Audit and Control suatu steering committee dan
Association (ISACA) meminta bantuan dari para ahli
2.2. Kendali Sistem Informasi pelatihan/konsultan ISO 9001-
Kendali merupakan suatu sistem yang 2000.
mencegah, mendeteksi atau memperbaiki F (Fair) Beberapa elemen sistem telah
kejadian yang tidak dibenarkan (unlawful sesuai dengan standar sistem
events) [2]. Unlawful events dapat berupa: manajemen mutu ISO 9001-2000,
unauttorized, inaccurate, incomplete, tetapi masih ada bagian yang
redundant, ineffective atau inefficient event. penting dari sistem mutu yang
Kendali dapat mengurangi kesalahan yang belum sesuai dengan standar
mungkin terjadi dari kejadian-kejadian yang tersebut atau bahkan tidak ada
tidak dibenarkan dengan cara: mengurangi sama sekali. Temukan dengan
kemungkinan kemunculan kejadian yang tidak tepat area tersebut dan terapkan
dibenarkan; membatasi kesalahan/ kerusakan sistem/standar yang diminta.
jika kejadian yang tidak dibenarkan tersebut Sebagai petunjuk tambahan dapat
terjadi. digunakan petunjuk (manual)
Dalam audit berbasis kendali dilakukan resmi seperti ISO 9001-2000 atau
serangkaian kegiatan untuk melihat tingkat dapatkan pelayanan dari para
kehandalan kendali-kendali tersebut. ahli/konsultan ISO 9001-2000.
52
INTEGRAL, Vol. 9 No. 1, Maret 2004
53
INTEGRAL, Vol. 9 No. 1, Maret 2004
4.1. Model Audit Sistem Informasi - Struktur kendali didasarkan pada partisi
Berbasis Kendali sistem informasi atas fungsi manajemen
Audit sistem informasi, jika dilihat sebagai dan fungsi aplikasi, dengan demikian ada
model IPO (input-proses-output), dapat kendali manajemen dan kendali aplikasi.
digambarkan seperti gambar 4.3. - Standar penilaian, diadopsi dari standar
penilaian kualitas ISO-9001-2000.
Standar & Prosedur
Audit
- Resiko setiap kendali digunakan sebagai
bobot terhadap tujuan audit. Dengan
Sistem Auditee
demikian setiap kendali memberikan
Struktur
Kendali
Audit Sistem sumbangan terhadap tingkat pencapain
Resiko
Informasi berbasis Hasil tujuan audit.
Kendali - Hasil audit, berupa indeks pencapain
Fakta
tujuan untuk keseluruhan dan masing-
masing kendali, serta temuan yang bersifat
Tujuan Audit
(As, Di, Ek, En)
penyimpangan dan rekomendasi-
rekomendasi untuk memperbaiki yang
terkait dengan pencapaian tujuan audit
Gambar 4.3. Model Audit Sistem Informasi berbasis
Kendali sistem informasi.
54
INTEGRAL, Vol. 9 No. 1, Maret 2004
4.3. Prosedur Audit Sistem Informasi Tahapan audit sistem informasi ini
Berbasis Kendali dilaksanakan dalam satu siklus pada setiap
Tahapan audit sistem informasi dapat dilihat pelaksanaan audit. Sedangkan pelaksanaan
pada gambar 4.4. audit sendiri dapat dilakukan secara reguler
Mulai (tahunan), atau insidental sesuai dengan
kebutuhan organisasi, misalnya: sebagai
Perencanaan
Penilaian kegiatan-kegiatan:
Kehandalan Kendali
- Survei Pendahuluan
Melakukan survei pendahuluan untuk
tidak
Handal? Pengujian Substantif
(Ekstended)
pengenalan organisasi auditee, sejarah,
ya
proses bisnis. Selain itu juga untuk
menentukan tujuan dan cakupan
Pengujian Substantif
(Limited) auditing.
- Identifikasi Struktur Kendali
lanjut
& tindak
Evalusi hadil
55
INTEGRAL, Vol. 9 No. 1, Maret 2004
Hasil akhir dari tahapan ini adalah berupa 3. Evaluasi Hasil dan Tindak lanjut
dokumen rencana audit sistem informasi, Pada tahap evaluasi hasil dan tindak lanjut
yang berisi: dilakukan kegiatan:
- Tujuan dan cakupan auditing - Evaluasi Hasil Pengendalian
- Ceklist pengendalian internal yang Evaluasi hasil penilaian kehandalan
telah dilengkapi dengan metode kendali dilakukan untuk memperoleh
pengumpulan fakta dan bobot setiap indeks kehandalan pengendalian
bagian. Untuk membuat ceklist terhadap tujuan audit, yaitu: indeks As,
pengendalian internal ini dapat Di, Ek dan En. Untuk evaluasi dapat
menggunakan perangkat lunak bantu menggunakan perangkat lunak bantu
ISA-R. ISA-R, dengan memasukkan nilai-nilai
- Jadwal pelaksanaan auditing beserta pada ceklist ke form-form data yang
pihak-pihak yang akan dilibatkan disediakan oleh ISA-R. Hasilnya
dalam kegiatan auditing ini. berupa indeks untuk masing-masing
2. Pengumpulan dan Penilaian Fakta sub fungsi, fungsi dan total
Pada tahapan pengumpulan dan penilaian pengendalian sistem informasi.
fakta dilakukan kegiatan-kegiatan: Selain indeks di atas, juga dilakukan
- Penilaian Kehandalan Kendali evaluasi terhadap komentar-komentar
Penilaian dilakukan terhadap fakta- sebagai hasil dari pengujian substantif.
fakta yang ada di lapangan. Hal ini dimasukkan sebagai temuan
Pengumpulan fakta dapat dilakukan penyimpangan dan diberikan
dengan metode wawancara (Wr), rekomendasi-rekomendasi untuk
inspeksi (In), kuisioner (Ks), tes mengatasi penyimpangan tersebut.
program (Tp) atau tes data (Td), yang - Pelaporan
disesuaikan dengan fakta yang akan Laporan hasil audit berisi:
dinilai. Penilaian dilakukan dengan a) Tujuan dan cakupan audit
mengisi bagian nilai (N) pada ceklist b) Hasil audit berupa indeks
pengendalian internal, dengan kehandalan pengendalian beserta
menggunakan skala penilaian 0 (weak: temuan-temuan penyimpangan
pengendalian lemah sekali), 5 c) Rekomendasi-rekomendasi
(medium: pengendalian sedang), 10 - Review hasil dengan Auditee
(strong: pengendalian handal). Hasil audit dikirimkan kepada pihak
- Pengujian Substantif auditee dan pejabat yang membinanya
Jika suatu pengendalian pada penilaian serta pihak lain yang berkepentingan.
kehandalan bernilai weak atau medium, Setelah itu dilakukan pertemuan review
maka diperlukan suatu pengujian tentang temuan-temuan beserta
substantif yang sifatnya memperluas rekomendasi serta kesanggupan dari
(extended) untuk mengetahui apakah auditee untuk melaksanakan
ada konpensasi terhadap kelemahan rekomendasi-rekomendasi tersebut.
pengendalian ini serta untuk Demikianlah rancangan model dan prosedur
mengetahui penyebab adanya audit sistem informasi berbasis kendali.
kelemahan pengendalian ini.
Di lain pihak, jika pengendalian strong, 4.4. Perangkat Lunak Bantu ISA-R *)
maka diperlukan pengujian substantif Perangkat lunak bantu ISA-R (Information
yang bersifat limited, untuk System Audit Report-tools) merupakan
meyakinkan bahwa fakta memang perangkat lunak yang khusus dikembangkan
akurat, dengan melihat lebih detail untuk membantu implementasi dari metode
bukti-bukti yang ada. audit yang diusulkan pada bagian 4.1-4.3.
Semua catatan dan komentar dari Perangkat lunak ini memiliki fungsi untuk:
auditor tentang uji substantif ini dapat 1. Membuat repositori daftar pertanyaan
dimasukkan pada kolom komentar pada beserta metode dan bobot (seperti pada
ceklist atau pada kertas terpisah yang tabel 4.1).
nantinya dijadikan temuan dan 2. Membangkitkan form-form untuk
rekomendasi-rekomendasi pada laporan pelaksanaan audit berdasarkan repositori
audit.
52
INTEGRAL, Vol. 9 No. 1, Maret 2004
dan struktur kendali dari sistem informasi 2. Model dan prosedur audit sistem informasi
yang akan diaudit. yang dirancang lebih ditujukan untuk
3. Mengolah data hasil audit berdasarkan secara efektif dapat mengetahui tingkat As
hasil dari pengisian form-form pada point 2 (asset safeguard), Di (data integrity), Ek
di atas. (efektivitas) dan En (Efisiensi) dari suatu
4. Membuat resume laporan hasil audit yang sistem informasi. Sehingga secara
pada prinsipnya berisi indikator As, Di, En keseluruhan dapat digunakan untuk
dan Ek dari sistem informasi yang diaudit. mengetahui tingkat pencapaian tujuan
Dengan demikian auditor dapat lebih suatu organisasi yang dikaitkan dengan
berkonsentrasi pada masalah substansi audit, sistem informasi.
yaitu: identifikasi struktur kendali dan
pelaksanaan audit berdasarkan struktur kendali 7. Daftar Pustaka
yang telah diidentifikasi. [1] Kenneth, “Management Information
*) Penjelasan lebih detail tentang rancangan aplikasi ini akan System”, Pretice Hall, 1999
disampaikan dalam makalah tersendiri.
[2] Ron Weber, “Information System Control
6. Kesimpulan and Audit”, The University of Queensland,
Dari penelitian ini dapat ditarik beberapa Prentice Hall, 1999
kesimpulan: [3] “Information System Audit and Control
1. Model dan prosedur audit sistem informasi Association (ISACA), Standard for
yang dikembangkan dalam penelitian ini Information System and Audit”,
bersifat umum, dapat diterapkan untuk http://www.isaca.org, 21 Mei 2001
sistem informasi yang manual, semi [4] “Kesadaran Mutu ISO 9000”, SPRINT
manual atau terotomatisasi dengan Consultant, 2000.
menggunakan teknologi komputer. Model [5] Gasperz,Vincent (terj)., “ISO 9001:2000
dan prosedur ini mencakup fungsi And Continual Quality Improvement:
manajemen dan fungsi aplikasi sistem Interpretation Documentation Improvement
informasi sehingga mencakup seluruh Self Internal Audit”, PT. Gramedia Pustaka
aspek fungsional sistem informasi. Utama, Jakarta, 2001
53