Langsung ke konten utama

MENULIS LAPORAN HASIL AUDIT SISTEM INFORMASI: SEBUAH PANDUAN SEDERHANA


Ketika di lapangan, secara sadar atau tidak sadar, kita sebenarnya sering melakukan 'audit' sistem informasi. Sebab, kegiatan audit sistem informasi sangat penting dalam dunia digital saat ini, yang dapat dilakukan secara formal berbasis kewenangan, maupun secara informal. Apalagi, belakangan ini beberapa organisasi sektor publik sudah mengusung jargon 'transformasi digital'.

Di sisi lain, biasanya agar dapat lulus dari program kesarjanaan, para mahasiswa jurusan sistem/teknologi informasi atau akuntansi dapat melakukan riset dengan topik audit sistem informasi. Namun, dalam perjalanannya, di Indonesia kualitas penyusunan laporan hasil riset dengan topik audit sistem informasi ini masih rendah.

Selain itu, di lapangan masih terdapat pemahaman yang beragam terkait bentuk laporan hasil audit sistem informasi, baik dari sisi penyusun laporan, para mentor atau supervisor, para penguji, dan juga para pembaca laporan. Karena itulah, panduan sederhana berikut ini diharapkan dapat membantu penulisan laporan tersebut, terutama bagi mereka yang baru memasuki profesi audit sistem informasi.  

Sistematika panduan berikut ini terdiri dari pengertian audit sistem informasi, panduan penulisan, dan penutup.

 

Pengertian Audit Sistem Informasi

Pengertian audit sistem informasi pada beberapa literatur masih beragam. Sebab, masing-masing penulis topik ini memiliki pandangan yang berbeda tentang audit sistem informasi. Hal ini dapat dimaklumi mengingat bahwa literatur audit sistem informasi ditulis dari beragam disiplin. 

Terdapat literatur konvensional yang menganggap bahwa audit sistem informasi hanyalah terbatas pada 'audit sistem aplikasi', yang cenderung terbatas pada pengujian sistem aplikasi (application testing). Namun, ada juga literatur kontemporer yang menekankan audit sistem informasi pada 'audit teknologi informasi', bahkan kini muncul 'contionuous auditing continuous monitoring'

Di sisi lain, literatur dari disiplin akuntansi lebih menekankan audit sistem informasi pada 'audit atas pengendalian internal' sistem informasi organisasi daripada 'audit langsung' atas substansi sistem informasi itu sendiri. 

Karena itu, Anda harus berhati-hati dalam menentukan judul laporan hasil audit sistem informasi. Anda dapat memilih judul dari literatur dengan pendekatan audit sistem informasi konvensional maupun kontemporer. Namun, sebaiknya Anda mempertimbangkan kemampuan diri dan lingkungan objek yang dijadikan studi sebelum menentukan judul. 

Hal yang juga penting untuk diketahui adalah pada praktiknya karena keterbatasan sumber daya, Anda tidak dapat melakukan keseluruhan proses audit sistem informasi pada waktu yang sama. 

Intinya, keterbatasan waktu dan objek yang dijadikan studi, dan kadang karena Anda belum mahir dan diakui sebagai auditor[1] akan mengakibatkan Anda sulit untuk melakukan keseluruhan lingkup proses audit sistem informasi pada waktu yang bersamaan.

Salah satu yang dapat Anda lakukan adalah membatasi lingkup audit sistem informasi, seperti terbatas pada pengujian pengendalian internal objek sistem informasi yang dilakukan studi. Sebagai contoh, Anda dapat fokus melakukan audit sistem informasi dengan judul 'Evaluasi Pengendalian Internal atas Sistem X pada PT ABC'. 

Namun, jika memang memungkinkan dari segi sumber daya, Anda dapat fokus pada audit sistem informasi dengan pendekatan kontemporer, dengan judul “Audit Efektivitas Pemanfatan Teknologi Informasi pada PT X”. 

Intinya, Anda harus cermat memilih judul yang paling sesuai setelah mempertimbangkan aspek internal Anda sendiri dan lingkungan objek studi. 

Beberapa judul lain yang dapat Anda pilih adalah:

1.    Evaluasi Pengendalian Internal pada Divisi TI PT ABC

2.  Evaluasi Pemanfaatan Teknik Audit Berbantuan Komputer pada Divisi Audit PT ABC

3.    Audit atas Pengendalian Sistem Informasi pada PT ABC

4.    Evaluasi Pengendalian Sistem X pada PT ABC

5.    Audit Proyek Pengembangan Sistem X pada PT ABC; dan

6.    Evaluasi Kompetensi Auditor Sistem Informasi pada Divisi Audit PT X

Yang juga harus Anda pahami adalah terdapat perbedaan penting antara 'standar profesi' audit sistem informasi dan 'standar audit' sistem informasi. Standar profesi adalah standar yang diterbitkan oleh organisasi profesi audit sistem informasi. Standar profesi ini mengikat para anggota profesi. 

Standar profesi tersebut harus menjadi acuan para anggota profesi dalam berinteraksi dengan pihak pemberi penugasan, objek yang diaudit, dan lingkungannya, baik selama proses audit maupun setelah proses audit. 

Jika melanggar standar profesi tersebut, anggota profesi akan dikenakan sanksi oleh organisasinya, baik sanksi ringan berupa skorsing maupun sanksi berat berupa pemecatan dari keanggotaan profesi.

Di sisi lain, standar audit adalah 'kriteria atau indikator' yang dijadikan dasar oleh seorang auditor sistem informasi dalam menilai suatu sistem informasi apakah sesuai dengan kriteria atau indikator yang telah ditentukan atau disepakati sebelumnya. 

Kriteria atau indikator tersebut biasanya diterbitkan oleh organisasi yang berwenang sebagai acuan untuk diimplementasikan oleh suatu organisasi. Implementasi kriteria atau indikator ini ada yang bersifat wajib (mandatory) dan ada juga yang bersifat sukarela (volunteer). 

Sebagai contoh, Bank Indonesia dapat menerbitkan aturan mengenai sistem back-up untuk bank-bank di Indonesia. Aturan yang diterbitkan oleh Bank Indonesia ini bersifat mandatory untuk melindungi para nasabah dan kepercayaan masyarakat terhadap bank. 

Namun, bank-bank di Indonesia juga dapat mengikuti aturan pada Basel II. Hanya saja, implementasi Basel II tersebut bersifat sukarela karena aturan-aturan yang ada di Basel II tidak seluruhnya otomatis wajib ditaati oleh bank-bank yang ada di Indonesia (kecuali beberapa bank asing). 

Panduan Penulisan

Dalam laporan hasil audit sistem informasi, minimal Anda harus memuat informasi tentang pendahuluan, landasan teori/kriteria, uraian tentang sistem yang berjalan, hasil evaluasi/analisis sistem yang berjalan, dan simpulan/saran. Hal ini akan diuraikan berikut ini. 

Bagian Pendahuluan

Pada bagian ini, Anda harus menguraikan latar belakang, tujuan, dan manfaat laporan hasil audit sistem informasi beserta metodologinya (metode-metode). Dalam latar belakang, terutama sekali Anda harus menjelaskan alasan Anda memilih judul yang diajukan. 

Pada alasan pemilihan judul, Anda harus menegaskan permasalahan yang ditemui (baik permasalahan saat ini maupun potensi permasalahan atau risiko) sehingga Anda memilih judul tersebut. 

Dalam metodologi, Anda dapat menekankan bahwa metodologi yang digunakan pada umumnya adalah metodologi audit, yang terdiri dari persiapan audit, pelaksanaan audit, dan pelaporan audit. 

Terkait persiapan audit, Anda harus menguraikan program audit yang digunakan. Program audit ini perlu didokumentasikan dalam lampiran. 

Terkait pelaksanaan audit, Anda harus menguraikan metode atau teknik yang digunakan dalam pengumpulan data, seperti wawancara, penyebaran kuesioner, observasi, dan sebagainya. Contoh panduan wawancara, contoh kuesioner, dan dokumentasi hasil observasi harus disajikan dalam lampiran. 

Bagian Landasan Teori/Kriteria

Pada bagian ini, Anda harus menguraikan referensi, acuan, atau dasar yang terkait dengan audit sistem informasi, terutama sekali referensi mengenai definisi sistem yang akan dijadikan objek studi. 

Sebagai contoh, jika yang diaudit adalah customer relationship management (CRM) system pada sebuah organisasi, Anda harus menguraikan pengertian dan dasar implementasi CRM system di suatu organisasi yang diaudit.

Pada bagian ini, Anda  juga harus menguraikan indikator/kriteria audit yang digunakan pada proses audit, misalnya indikator/kriteria Cobit, COSO, atau ITIL. 

Bagian Uraian Sistem yang Berjalan 

Pada bagian ini, Anda harus menguraikan gambaran umum organisasi yang diaudit, seperti latar belakang pendirian, sejarah, komposisi pemegang saham, struktur organisasi, dan uraian tugas. Selanjutnya, Anda harus menguraikan gambaran umum mengenai sistem yang dijadikan objek studi. 

Dalam gambaran umum, Anda harus menguraikan sistem aplikasi yang digunakan, fungsi-fungsi apa yang ada pada aplikasi tersebut, apa saja masukannya, bagaimana proses yang berjalan, serta keluaran-keluaran dari sistem aplikasi tersebut. 

Dalam uraian mengenai sistem aplikasi ini, Anda juga harus menginformasikan infrastruktur teknologi informasi untuk menjalankan sistem aplikasi tersebut, seperti software yang digunakan (baik untuk database software maupun softwareuntuk membuat aplikasinya), konfigurasi jaringan, perangkat hardware yang digunakan (baik server maupun client), serta user yang menggunakan sistem. 

Gambaran mengenai proses yang berjalan perlu Anda sajikan dalam bentuk narasi dan diagram (baik DFD fisik, system flowchart, dan rich picture). 

Dalam bagian ini, Anda perlu juga menyajikan ikhtisar mengenai kondisi pengendalian yang berjalan, yang biasanya diperoleh dari wawancara, penyebaran kuesioner, dan observasi. 

Anda juga perlu melampirkan contoh interface sistem aplikasi berdasarkan masing-masing fungsinya, panduan wawancara, contoh kuesioner, dan hasil observasi—baik berupa contoh dokumen-dokumen masukan dan keluaran, tabel-tabel, tabulasi kondisi pengendalian, gambar-gambar, dan sejenisnya.

Bagian Evaluasi/Analisis Sistem yang Berjalan

Pada bagian ini, Anda harus menguraikan hasil evaluasi atau analisis atas sistem yang berjalan dengan membandingkan antara kondisi pengendalian yang berjalan dengan indikator/kriteria yang diuraikan pada bagian Landasan Teori/Kriteria. 

Anda harus membuat pengelompokkan atas temuan-temuan dari hasil evaluasi/analisis berdasarkan perspektif tertentu, seperti perspektif manajemen SDM, prosedur kerja, dan infrastruktur teknologi informasi. 

Atau, Anda dapat juga menyajikannya berdasarkan perspektif pengendalian umum dan pengendalian aplikasi jika menggunakan kriteria dari COSO. 

Setelah itu, Anda harus menguraikan hasil analisis penyebab kondisi pengendalian tidak sesuai dengan indikator/kriteria, akibatnya (baik yang telah terjadi atau potensinya), dan rekomendasinya. 

Alternatif lain dalam bagian ini adalah Anda menggunakan pendekatan analisis berbasis risiko (risk-based analysis), yaitu dengan menguraikan penilaian risiko (risk assessment) atas setiap temuan dengan melihat besarnya pengaruh (impact) dan kemungkinan terjadinya (likelihood). 

Kemudian, Anda mengidentifikasi pengendalian yang sudah ada untuk memitigasi risiko tersebut, yang dilihat dari aspek perancangan (design) dan efektivitas (effectiveness) implementasi pengendaliannya. 

Setelah itu, Anda menilai tingkat masing-masing risiko (rendah, sedang, atau tinggi). Jika ternyata tingkat risiko tersebut tidak dapat diterima (misalnya tinggi), Anda harus memberikan rekomendasi action plan untuk meminimalkan risiko tersebut. 

Anda dapat meletakkan informasi proses penilaian risiko dalam lampiran. Anda juga disarankan untuk menyajikan ringkasan hasil analisis dalam bentuk tabel. 

Simpulan dan Saran 

Pada bagian ini, Anda harus menguraikan simpulan dan saran dari audit sistem informasi. Simpulan dan saran perlu disajikan secara terkelompok dan dimulai dari perpektif umum, yaitu bagaimana simpulan audit Anda terhadap sistem yang dijadikan objek studi. 

Setelah itu, Anda menguraikan simpulan yang lebih rinci, berdasarkan pengelompokannya. Misalnya, berdasarkan pengendalian umum dan pengendalian aplikasi. Atau, pengelompokan berdasarkan manajemen SDM, prosedur, dan infrastruktur. 

Penutup

Demikian panduan sederhana ini disusun. Setelah membaca panduan ini, Anda diharapkan dapat memiliki pemahaman yang mendasar tentang penyusunan laporan hasil audit sistem informasi dan dapat semakin meningkatkan kualitas laporan ini di Indonesia. Tentunya, untuk semakin mahir, Anda harus mempraktikkannya dan mempelajari literatur terkait.  Pertanyaan yang berhubungan dengan panduan ini dapat ditujukan ke penulis.

***



[1] Seseorang dinyatakan sebagai auditor jika telah melalui proses sertifikasi, memiliki kompetensi sesuai dengan standar profesi, dan memiliki kewenangan.

Komentar

arta mengatakan…
nice posting gan..thanks ya atas informasinya..:D

terima kasih infonya, silakan mampir yaa ke sini dan jika mau arikel menarik lainnya silakan berkunjung ke sini yaaa...

Postingan populer dari blog ini

MANAJEMEN KINERJA: MENGGUNAKAN SISTEM PENGENDALIAN SECARA STRATEGIS SEBAGAI ‘REM’ DAN ‘GAS’ DI ORGANISASI SEKTOR PUBLIK

Secara regulasi, Peraturan Menteri Pendayagunaan Aparatur Negara dan Reformasi Birokrasi Nomor 11 Tahun 2015  ternyata telah mengarahkan perubahan birokrasi kita dari yang dulunya kebanyakan berorientasi pada peraturan ( rules-oriented)  menjadi berorientasi kinerja ( performance-oriented). Dengan kata lain, regulasi kita telah mengarahkan agar kita berubah dari tadinya lebih menekankan pada pengendalian administratif ( administrative control ) menjadi lebih menekankan pada pengendalian hasil ( results control ). Namun, nyatanya, masih banyak yang ragu-ragu dan mempertanyakan apakah kita mesti lebih berorientasi pada peraturan atau lebih berorientasi pada kinerja  (Hartanto, 2018) . Keraguan terkait orientasi tersebut konsisten dengan keluhan beberapa kali Presiden Joko Widodo ketika melihat perilaku birokrasi kita. Ber kal -kali ia telah menyatakan bahwa organisasi sektor publik di Indonesia (baca: instansi pemerintah) kebanyakan menggunakan sumber dayanya ( resources ) hanya untuk ke

PENGALAMAN MELELAHKAN DI HOTSPOT J.CO

Hari Minggu 13 April 2008 lalu saya mampir di J.CO Donuts & Coffe di Bintaro Plaza. Sambil mencicipi kopi latte seharga Rp26 ribu, yang tentunya cukup mahal bagi kantong orang sekelas saya, saya mencoba mengakses Internet dari Hotspot café ini.  Setelah membayar di kasir dan menunggu antrian dari seorang pria peracik kopi yang tidak terlalu ramah, saya kemudian dipanggil untuk mengambil kopi saya yang masuk dalam antrian. Kalau tidak bertanya, ternyata petugas kopi café ini tidak menawarkan langsung akses gratis hotspot ke Internet yang dipromosikan café ini.   Setelah saya bertanya, apa password hotspot -nya, barulah diberi tulisan password di kertas bill saya, yaitu "hazelle dazele". Cukup bingung, saya tanya ke petugasnya, apakah password itu pakai spasi atau tidak. Dia jawab, “Tidak”. Kemudian, saya mencoba men- setup akses dengan O2. Aneh juga, signal hotspot -nya hilang-hilang timbul.  Yang cukup kuat malah dari café Ola La yg berada di lantai 2. Setelah b

KENAPA SPBU PETRONAS GAGAL BERBISNIS DI INDONESIA?

Muncul publikasi di media tentang ditutupnya SPBU Petronas di Indonesia. Akhirnya, perusahaan unggul milik pemerintah Malaysia ini hengkang juga dari Indonesia. Sebenarnya, saya telah lama melihat keanehan SPBU Petronas ini. Setiap saya melewatinya, bisa dibilang hampir-hampir tidak ada pengunjungnya. Keanehan kedua, menurut saya, pemilihan lokasinya yang tidak tepat. Hal ini berbeda sekali dengan SPBU Shell. Walaupun harganya mahal mengikuti harga minyak dunia, SPBU milih Belanda ini masih memiliki pengunjung yang lumayan. Salah satu sebabnya adalah pemilihan lokasi yang tepat. Saya menjadi bertanya, kenapa perusahaan sekaliber Petronas bisa salah menempatkan SPBU-nya di Indonesia. Anehnya, Petronas dengan semangat langsung memasang jumlah pompa yang banyak. Bandingkan dengan SPBU Shell yang jumlahnya sesuai dengan kebutuhan pasar. Saya menduga ada 2 penyebab kesalahan strategi Petronas tersebut. Keduanya terkait perencanaan masuk ke pasar. Dugaan pertama saya, Petronas salah