Add to collection(s) Add to saved
  1. Bisnis
  2. Manajemen

pengembangan kerangka kerja penyusunan program audit sistem

advertisement 
Prosiding Seminar Nasional Manajemen Teknologi XVIII
Program Studi MMT-ITS, Surabaya 27 Juli 2013
PENGEMBANGAN KERANGKA KERJA PENYUSUNAN
PROGRAM AUDIT SISTEM INFORMASI BERDASARKAN ITAF,
STUDI KASUS AUDIT SIMHP DI PERWAKILAN BPKP PROVINSI
JAWA TIMUR
Heru Purbawa*) dan Daniel O. Siahaan
Program Studi Magister Manajemen Teknologi
Bidang Keahlian Manajemen Teknologi Informasi
Program Pascasarjana, Institut Teknologi Sepuluh Nopember
Jl. Cokroaminoto 12 A, Surabaya, Indonesia
Email: [email protected], [email protected] *)
ABSTRAK
Audit sistem informasi sangat penting bagi Badan Pengawasan Keuangan dan
Pembangunan (BPKP) dalam rangka melaksanakan evaluasi atas sistem informasi yang
menjembatani BPKP dengan para stakeholder-nya. Namun demikian audit sistem
informasi (SI) di Perwakilan BPKP Perwakilan Jawa Timur menemui beberapa kendala
yaitu belum pernah ada penugasan audit atas sistem informasi sebelumnya, belum ada
pedoman audit SI dan karena audit SI memerlukan teknik dan metode khusus tidak
seperti jenis audit yang dilaksanakan auditor BPKP yaitu audit keuangan dan
operasional. Tujuan dari penelitian ini adalah mengembangkan sebuah kerangka kerja
penyusunan program audit sistem informasi yang menjadi dasar untuk melaksanakan
audit sistem informasi dengan menggunakan Information Technology Assurance
Framework (ITAF). Untuk mencapai tujuan tersebut, standar, guideline, dan prosedur
dari ITAF digunakan dalam analisis sistem informasi, penilaian risiko TI (IT risk
assesment) dan penyusunan program audit sistem informasi. Hasil dari penelitian ini
adalah sebuah kerangka kerja penyusunan program audit sistem informasi yang
berdasarkan pengujian telah dapat diterima sesuai standar yang berlaku di BPKP.
Output lain dari penelitian ini adalah program audit atas SIMHP yang dapat digunakan
untuk pelaksanaan audit SIMHP di Perwakilan BPKP Provinsi Jawa Timur.
Kata kunci: Audit sistem informasi, ITAF, ISACA, program audit, SIMHP, BPKP
PENDAHULUAN
Dalam rangka meningkatkan pelayanan kepada para stakeholder Badan
Pengawasan Keuangan dan Pembangunan (BPKP) terutama Perwakilan BPKP Provinsi
Jawa Timur, sangat diperlukan adanya evaluasi/audit dan perbaikan atas seluruh sistem
manajemen dan prosedur yang berjalan di Kantor Perwakilan BPKP Provinsi Jawa
Timur terutama yang berhubungan langsung dengan stakeholders. Namun demikian
evaluasi untuk menilai pengelolaan SIMHP di Perwakilan BPKP Jawa Timur berupa
pelaksanaan audit saat ini masih terhambat dengan adanya kendala-kendala antara lain
belum pernah terdapat evaluasi berupa audit baik audit operasional maupun audit
kinerja yang dilakukan oleh auditor internal maupun eksternal terhadap pengelolaan
SIMHP, belum terdapat pedoman yang baku untuk melaksanakan audit sistem informasi
yang dimiliki dan dijadikan pegangan oleh auditor BPKP dan karena audit atas sistem
ISBN : 978-602-97491-7-5
C-3-1
Prosiding Seminar Nasional Manajemen Teknologi XVIII
Program Studi MMT-ITS, Surabaya 27 Juli 2013
informasi berbeda dengan audit operasional lain yang telah dilaksanakan oleh auditor
BPKP karena audit sistem informasi memerlukan teknik dan metode tertentu yang
spesifik sesuai karakteristik sistem informasi.
Oleh sebab itu, perlu adanya penelitian berupa pengembangan kerangka kerja
penyusunan program audit sistem informasi dengan menggunakan Information
Technology Assurance Framework (ITAF) dari ISACA yang lebih menitikberatkan
pada proses audit, didesain untuk profesional yang bergerak di bidang jasa audit atau
assurance dan menggunakan istilah-istilah yang lebih familiar bagi peneliti.
Konsep ITAF
ISACA merupakan organisasi internasional yang bergerak dalam jasa IT
Governance yang didirikan tahun 1969. ISACA merupakan sponsor utama konferensi
internasional bidang IT Governance, penerbit System Control Journal, pengembang
utama standar audit dan pengendalian sistem serta merupakan administrator CISA
(Certified Information System Auditor). Pada tahun 2008 ISACA mengeluarkan produk
berupa Information Technology Assurance Framework (ITAF), sebuah sumber
pembelajaran bagi para profesional yang bergerak dalam jasa assurance.
ITAF merupakan produk dari Information System Audit and Control Association
(ISACA) yang menyediakan sebuah kerangka tunggal yang berisi standar, pedoman
(Guidelines) dan teknik dalam melaksanakan audit dan assurance termasuk di dalamnya
perencanaan, lingkup audit, pelaksanaan dan pelaporan audit dan jasa assurance TI.
ITAF terbagi menjadi tiga bagian seperti terlihat dalam gambar 1.1 yaitu:
1) Standar dikelompokkan menjadi standar umum, standar kinerja dan standar
pelaporan. Standar digambarkan di gambar 1.1 dengan warna putih, artinya standar
tersebut harus dilaksanakan(mandatory), bila ada penyimpangan atas standar harus
diungkapkan penyebab dan konsekuensinya terhadap pelaksanaan audit. Standar
didesain bersifat keharusan (mandatory) untuk setiap kasus penugasan. Setiap
penyimpangan dari standar dalam penugasan audit atau assurance harus
diungkapkan dalam laporan audit. Standar audit TI mengadopsi standar audit umum
terdiri dari atandar umum, standar pelaksanaan dan standar pelaporan. Isi dan
substansinya relatif sama dengan standar audit keuangan.
2) Pedoman dikelompokkan menjadi empat bagian dan digambarkan dengan warna
abu-abu. Ini berarti pedoman tersebut tidak bersifat mandatory atau tidak bersifat
keharusan, namun sangat direkomendasikan penggunaannya. Auditor harus mampu
membuktikan adanya penyimpangan TI dengan metode pengumpulan bukti menurut
pedoman ini. Meski tidak seluruh pedoman dapat diterapkan untuk seluruh situasi,
namun pedoman tersebut tetap patut menjadi bahan pertimbangan auditor dalam
melaksanakan audit. Pedoman audit berisi informasi dan petunjuk mengenai area
audit. Sejalan dengan tiga kategori standar di atas, pedoman ini berfokus terhadap
berbagai pendekatan audit, metode audit, alat dan teknik audit dan materi lain untuk
membantu dalam perencanaan, pelaksanaan, penilaian dan pelaporan audit.
Pedoman tersebut juga membantu menjernihkan hubungan antara kegiatan
perusahaan dan kegiatan penugasan audit oleh auditor (ITAF’s summary, 2009).
Pedoman audit ini tidak bersifat keharusan, namun sangat direkomendasikan
penggunaannya. Auditor harus mampu membuktikan adanya penyimpangan TI
dengan metode pengumpulan bukti menurut pedoman ini. Meski tidak seluruh
pedoman dapat diterapkan untuk seluruh situasi, namun pedoman tersebut tetap
patut menjadi bahan pertimbangan auditor dalam melaksanakan audit
ISBN : 978-602-97491-7-5
C-3-2
Prosiding Seminar Nasional Manajemen Teknologi XVIII
Program Studi MMT-ITS, Surabaya 27 Juli 2013
3) Alat dan Teknik Audit, menyediakan infromasi spesifik mengenai metode, alat dan
template dan juga menyediakan petunjuk penerapan dalam aktivitas audit. Khusus
untuk alat dan teknik audit SI ini, bentuk dari kerangka ITAF berasal dari dokumen
lain publikasi ISACA baik berupa buku, jurnal, petunjuk teknis dan sebagainya.
Alat dan teknik dari ITAF ini digambarkan abu-abu kehitaman artinya
penggunaannya bersifat fleksibel, dapat digunakan atau tidak oleh auditor sesuai
kondisi lapangan. Sedangkan alat dan teknik audit berisi informasi dan bahan
pelengkap yang mendukung pedoman audit TI. Dalam beberapa kasus, teknik audit
berisi prosedur alternatif yang dapat diterapkan dalam penugasan audit. Auditor
hanya mengadopsi alat dan teknik tersebut bila sesuai dengan kondisi, relevan
dengan tujuan dan tidak memberikan informasi yang bias. Sampai dengan saat ini
sudah terdapat 11 prosedur audit TI yang dipublikasikan ISACA. Prosedurprosedur tersebut dipublikasikan secara terpisah dari ITAF, namun menjadi bagian
dari kerangka ITAF yang dapat dipedomani dalam melaksanakan kegiatan audit.
Gambar 1. Organisasi ITAF (ISACA, 2008)
METODOLOGI PENELITIAN
Penulis merumuskan metodologi penelitian sesuai dengan tahapan di gambar 2 berikut
ISBN : 978-602-97491-7-5
C-3-3
Prosiding Seminar Nasional Manajemen Teknologi XVIII
Program Studi MMT-ITS, Surabaya 27 Juli 2013
Mulai
Studi pustaka
Pengumpulan data awal
Pengembangan Kerangka Kerja Penyusunan Program Audit
Analisis kondisi existing
Penilaian risiko
Perumusan program audit revisi dan alokasi sumber daya
Penyusunan
program audit
Telaah program audit
Penulisan tesis
Selesai
Gambar 2. Metode penelitian
HASIL PENELITIAN
Analisis Kondisi Existing
Berdasarkan data awal yang diperoleh, penulis melaksanakan pemetaan kondisi
sistem informasi dan menguraikannya ke dalam bagian-bagian sistem yaitu tentang
peraturan yang terkait dengan pengelolaan SIMHP, struktur organisasi pengelola
SIMHP, formulir yang digunakan dan laporan yang dihasilkan, infrastruktur serta
prosedur yang dijalankan.
Metode yang dilaksanakan dalam tahap ini adalah dokumentasi yaitu permintaan
dokumen dan penelaah dokumen serta metode observasi partisipan terhadap
pelaksanaan sistem informasi.
Secara umum simpulan atas analisis kondisi eksisiting sistem informasi sebagai
berikut:
 Ketersediaan aturan atau petunjuk teknis pengelolaan sistem informasi telah cukup
memadai meskipun peraturan-peraturan tersebut belum dijadikan satu buku
pegangan berupa petunjuk teknis atau petunjuk pelaksanaan dan tidak seluruhnya
tersosialisasi kepada pengelola SIMHP.
 Struktur organisasi tersebut telah memadai karena telah mempertimbangkan beban
kerja masing-masing bidang pengawasan dan mempertimbangkan kompetensi
masing-masing personil dalam pengelolaan sistem informasi. Struktur organisasi
ISBN : 978-602-97491-7-5
C-3-4
Prosiding Seminar Nasional Manajemen Teknologi XVIII
Program Studi MMT-ITS, Surabaya 27 Juli 2013
tersebut dituangkan dalam Surat Keputusan Kepala Perwakilan setiap tahunnya dan
telah dilengkapi dengan uraian tugas masing masing personil.
 Secara umum formulir dan laporan yang harus dijalankan telah memadai dan cukup
untuk mendukung operasional sistem informasi.
 Secara umum kondisi infrastruktur telah memdai untuk operasional sistem dan
terdapat pengendalian yang cukup atas hardware dan software sistem informasi.
 Prosedur yang harus dijalankan dalam pengelolaan SIMHP seperti yang tertuang
dalam prosedur baku pengelolaan database hasil pengawasan secara umum telah
memadai.
Penilaian Risiko
Dalam penelitian ini, untuk melaksanakan penilaian risiko langkah-langkah yang
harus dilaksanakan adalah penentuan area fungsi audit, identifikasi risiko tiap area
fungsi, pengukuran dampak, pengukuran likelihood dan penetapan prioritas risiko
sebagaimana tergambar di gambar 3.
Identifikasi
risiko tiap area fungsi
Penentuan Area Fungsi Audit
Pengukuran
dampak atas setiap risiko
Penetapan
prioritas risiko
Pengukuran
likelihood atas setiap risiko
Gambar 3 Langkah-langkah penilaian risiko
Penentuan area fungsi audit dilaksanakan dengan melakukan wawancara kepada
pegawai yang expert dalam bidang SIMHP. Hasil dari wawancara tersebut kemudian
dibandingkan dengan kriteria IS Auditable Unit dari ITAF, yang tidak sesuai dengan
kriteria kemudian tidak diteruskan dalam penelitian. Area fungsi audit yang dihasilkan
dari penelitian ini adalah pengisian form TPIII, inputing database, verifikasi database,
pengamanan database dan pelaporan.
Identifikasi risiko tiap area fungsi audit dilaksanakan dengan metode penyebaran
kuesioner terhadap pengelola dan user SIMHP. Hasil kuesioner kemudian divalidasi
keterkaitan dan relevansinya dengan sistem SIMHP yang berlaku. Hasil identifikasi
risiko menunjukkan area fungsi pengisian TPIII terdiri dari 8 risiko, inputing database
sebanyak 4 risiko, verifikasi database sebanyak 2 risiko, pengamanan database sebanyak
6 risiko, dan pelaporan sebanyak 4 risiko
Risiko yang telah divalidasi tersebut kemudian dilakukan pengukuran dampak
dan likelihoodnya dengan menyebarkan kuesioner kepada pengelola SIMHP. Hasil
pengukuran kemudian dianalisis dengan metode ratings dengan software expert choice
2000. Setelah itu risiko kemudian dihitung prioritasnya dengan mengalikan nilai
dampak dan likelihoodnya. Hasilnya dari risiko yang diidentifikasi sebanyak 24 risiko,
sebanyak 4 buah termasuk kategori very high, sebanyak 10 risiko kategori high,
sebanyak 6 risiko kategori moderate, sebanyak 2 risiko kategori low dan sebanyak 2
risiko kategori very low. Risiko kategori very high, high dan moderate menjadi prioritas
ISBN : 978-602-97491-7-5
C-3-5
Prosiding Seminar Nasional Manajemen Teknologi XVIII
Program Studi MMT-ITS, Surabaya 27 Juli 2013
dan digunakan untuk analisis berikutnya sedangkan risiko kategori very low dan low
tidak diteruskan.
Penyusunan Program Audit
Penyusunan program audit menggunakan format program audit yang berlaku di
BPKP yang terdiri dari tujuan audit dan prosedur atau langkah-langkah audit yang
spesifik. Program audit dalam penelitian disusun berdasarkan hasil penilaian risiko.
Untuk setiap risiko yang telah ditetapkan prioritasnya (moderate, high dan very high)
dapat disusun tujuan auditnya. Tujuan audit spesifik dirumuskan dengan cara
memodifikasi kalimat risiko yang telah teridentifikasi menjadi kalimat tujuan yang
bersifat positif.
Atas setiap tujuan audit kemudian dirumuskan prosedur audit yang relevan
untuk mencapai tujuan tersebut. Untuk merumuskan prosedur audit, langkah umum
dilaksanakan sebagai berikut:
1) meminta dokumen sumber sebagai kriteria audit,
2) membandingkan dokumen sumber tersebut dengan output sistem informasi,
3) menelusuri sebab apabila terdapat perbedaan dengan teknik audit tracing dokumen
atau meminta keterangan langsung kepada petugas pengelola sistem
4) mencatat adanya penyimpangan
5) membuat kesimpulan
Penelitian ini menghasilkan 12 prosedur audit untuk area fungsi pengisian TPIII,
7 untuk inputting database, 5 untuk verifikasi database, 14 untuk pengamanan database
dan 4 untuk pelaporan.
Telaah Program Audit
Tahap ini merupakan prosedur standar yang dianut BPKP dalam perencanaan
audit yakni setiap program audit yang disusun oleh ketua tim audit harus
direviu/ditelaah oleh atasan langsungnya yaitu pengendali teknis. Reviu dilaksanakan
dengan mempertimbangkan relevansi, kompetensi dan kecukupan program audit.
Untuk melaksanakan telaah dan reviu atas program audit yang disusun,
dilakukan penyebaran kuesioner kepada auditor yang memiliki sertifikat pengendali
teknis dan dipandang memiliki pemahaman atas pengelolaan SIMHP.
Hasil
pengumpulan data dari para responden kemudian dijadikan dasar untuk merumuskan
revisi atau penyempurnaan atas program audit tersebut. Dalam tahap ini, beberapa
prosedur audit direvisi dan ada 1 penambahan prosedur audit.
Penyusunan Audit Program Revisi dan Pengalokasian Sumber Daya
Program audit yang telah disusun dan direviu kemudian diperbaiki sesuai hasil
reviu dan sekaligus dialokasikan sumber daya berupa tim audit dan waktu yang tersedia.
Pengendali teknis dalam tim audit berperan sebagai quality assurance yang
menilai kinerja personil tim di bawahnya, sehingga pengendali teknis mengikuti seluruh
aktivitas auditor dan mereviu kertas kerja auditor. Sedangkan ketua tim dan anggota
tim berperan sebagai pelaksana audit yang bertugas mengumpulkan bukti-bukti audit
sebagai bahan pengambilan simpulan hasil audit.
Setelah program audit terisi lengkap dengan tujuan audit, prosedur audit,
pelaksana dan rencana waktu pelaksanaannya, baik untuk program audit pendahuluan,
pengujian substantif maupun penyelesaian audit, maka program audit telah memenuhi
standar BPKP dan siap diaplikasikan di lapangan.
ISBN : 978-602-97491-7-5
C-3-6
Prosiding Seminar Nasional Manajemen Teknologi XVIII
Program Studi MMT-ITS, Surabaya 27 Juli 2013
KESIMPULAN DAN SARAN
Kesimpulan
Berdasarkan hasil penelitian dapat disimpulkan hasil penelitian ini berupa
kerangka kerja penyusunan program audit dengan tahapan sebagai berikut:
1. Analisis kondisi eksisting
2. Penilaian risiko
3. Penyusunan program audit
4. Telaah program audit
5. Penyusunan program audit revisi dan alokasi sumber daya
Kerangka kerja penyusunan program audit sistem informasi tersebut
berdasarkan pengujian telah dapat diterima dan memenuhi standar yang berlaku di
BPKP.
Saran
Penelitian ini diharapkan menjadi masukan bagi pimpinan Perwakilan BPKP
Provinsi Jawa Timur dan juga bagi peneliti lain yang mengambil topik penelitian audit
sistem informasi.
Saran untuk pimpinan Perwakilan BPKP Provinsi Jawa Timur sebagai berikut:
1. Pimpinan Perwakilan BPKP Provinsi Jawa Timur disarankan menggunakan hasil
penelitian ini untuk menyusun pedoman pelaksanaan audit sistem informasi di
Perwakilan BPKP Provinsi Jawa Timur.
2. Pimpinan Perwakilan BPKP Provinsi Jawa Timur disarankan untuk menugaskan tim
sebagai pelaksana audit SIMHP dalam rangka perbaikan sistem tersebut dengan
menggunakan program audit hasil penelitian ini.
Saran untuk penelitian mendatang sebagai berikut:
1. Perlu dilakukan penelitian yang merupakan tahap selanjutnya yaitu pelaksanaan
audit sistem informasi berdasarkan kerangka kerja dan program audit yang telah
dirumuskan. Penelitian tersebut akan dapat berfungsi untuk menguji keandalan
hasil penelitian ini.
2. Perlu dilakukan penelitian dengan menggunakan kerangka kerja yang sama dengan
obyek sistem informasi berbeda. Hasil penelitian tersebut akan dapat dibandingkan
dengan hasil penelitian dalam tesis ini.
DAFTAR PUSTAKA
Azwar,S (2001), Reliabilitas dan Validitas SPSS, Pustaka Pelajar, Yogyakarta
Hall, James A., Singleton, Tommie, (2007), “Information Technology Auditing and
Assurance terj., Salemba Empat, Jakarta
Information Systems Audit and Control Association, (2008), ITAF, A Professional
Practices Framework for IT Assurance, ISACA, Rolling Meadows
Information Systems Audit and Control Association, (2010), IT Standards, Guidelines,
and Tools and Techniques for Audit and Assurance and Control Professionals,
ISACA, Rolling Meadows
Information System Audit and Control Association, (2010), Standard for Information
System and Audit, ISACA, Rolling Meadows
ISBN : 978-602-97491-7-5
C-3-7
Prosiding Seminar Nasional Manajemen Teknologi XVIII
Program Studi MMT-ITS, Surabaya 27 Juli 2013
Julianto Hadi, Untung (2011), Perancangan Model Tata Kelola Pengorganisasian
Kecepatan dan Fleksibilitas Layanan Teknologi Informasi pada Rumah Sakit
Jiwa, Institute Teknologi Sepuluh November, Surabaya
Kee Mew, Mervyn, (2011), ITAF’s Persentation, ISACA, Rolling Meadows
Menur Surabaya Karya, Gede, (2010), Pengembangan Model Audit Sistem Informasi
Berbasis Kendali, Universitas Katolik Parahyangan, Bandung
Moeller, Robert R., (2010), IT Audit, Control and Security, John Wiley & Sons, Inc.,
New Jersey
O’Brien, James A, (2008), Introducton for Information Systems Terj. Edisi 12, Salemba
Empat, Jakarta
Saaty, Thomas L., (2008), Decision Making With the Analytic Hierarchy Process, Int. J.
Services Sciences, Vol. 1, No. 1
Weber, Ron, (1999), Information System Control and Audit, The University of
Queensland, Prentice Hall, New York
ISBN : 978-602-97491-7-5
C-3-8
Related documents
Instruksi Presiden Republik Indonesia Nomor 01 Tahun
Instruksi Presiden Republik Indonesia Nomor 01 Tahun
Instruksi Presiden Nomor 6 Tahun 2016 tentang Percepatan
Instruksi Presiden Nomor 6 Tahun 2016 tentang Percepatan
kinerja pelayan publik: pengalaman beberapa negara
kinerja pelayan publik: pengalaman beberapa negara
Lingkungan pelaporan keuangan - Hasbiana Dalimunthe, SE, M.Ak
Lingkungan pelaporan keuangan - Hasbiana Dalimunthe, SE, M.Ak
Peraturan Pemerintah Republik Indonesia Nomor 30 Tahun
Peraturan Pemerintah Republik Indonesia Nomor 30 Tahun
ix ABSTRAK Penelitian ini bertujuan untuk menemukan bukti
ix ABSTRAK Penelitian ini bertujuan untuk menemukan bukti
Dalam sebuah perusahaan pihak yang mengelola serta
Dalam sebuah perusahaan pihak yang mengelola serta
hasil evaluasi bpkp
hasil evaluasi bpkp
ringkasan laporan keuangan
ringkasan laporan keuangan
Keputusan Kepala BPKP Nomor: KEP
Keputusan Kepala BPKP Nomor: KEP
Download
advertisement