Audit Through The Computer dan Audit Around The Computer
Metode audit yang sering digunakan oleh auditor adalah Audit around the computer, Audit through the computer, dan Audit With The Computer. Namun, pada tugas kali ini kami hanya akan menjelaskan tentang Audit through the computer dan Audit Around the computer saja.
Audit through the computer |
Audit around the computer |
|
|
Suatu pendekatan yang berorientasi pada computer dengan membuka black box dan secara langsung berfokus pada operasi pemprosesan dalam system computer |
Suatu pendekatan audit dimana auditor memperlakukan computer sebagai black box, artinya pemrosesan aplikasi tidak diuji secara langsung |
Pengertian Menurut Weber |
Auditor menggunakan komputer untuk menguji logic dan pengendalian yang ada dalam komputer dan catatan yang dihasilkan oleh komputer |
Audit terhadap suatu penyelenggaraan system informasi yang berbasis computer tanpa menggunakan kemampuan peralatan itu sendiri |
Asumsi |
Metode ini berasumsi bahwa apabila system pemrosesan mempunyai pengendalian yang memadai maka kesalahan dan penyalagunaan tidak akan terlewat untuk dideteksi. Sebagai akibatnya keluaran dapat diterima. |
Metode ini hanya berfokus pada input dan output dari system aplikasi. Metode ini mengansumsikan jika input benar dan outpun benar, maka prosesnya dianggap benar. |
Cocok Dalam Kondisi |
|
|
Kelebihan |
|
|
Kelemahan |
|
|
Audit Sistem Informasi Menggunakan
COBIT 4.1 pada PT. Erajaya Swasembada, Tbk.
Seiring dengan
perkembangan ilmu pengetahuan dan teknologi, terjadi perpaduan antar dua bidang
ilmu, khususnya pada bidang teknologi sistem informasi dan bidang akuntansi
dengan spesifikasi audit sehingg menghasilkan bidang ilmu baru yaitu audit
sistem informasi. Meskipun bidang ilmu ini baru muncul ke permukaan, tetapi
sepak terjangnya sangat dibutuhkan. Perusahaan-perusahaan besar sangat
membutuhkan peranan audit sistem informasi untuk memeriksa kehandalan dari
sistem komputerisasi yang mereka gunakan dalam pengerjaan operasional
perusahaan.
Dunia bisnis pada masa
sekarang sangat mengandalkan teknologi informasi dan komunikasi untuk
menjalankan proses bisnisnya. Oleh karena itu, adalah suatu hal yang penting
bagi dunia bisnis untuk memahami dan mengerti aspek teknologi informasi dan
komunikasi untuk dapat menerapkannya baik secara manajerial maupun teknikal
pada proses bisnis dan kegiatan Ekspansinya.
Prioritas utama
diberikan terhadap suatu mekanisme kontrol atau pengendalian, baik intern
maupun ekstern, untuk memastikan bahwa laporan dan keputusan yang diterima dan
dihasilkan oleh manajemen merupakan suatu pengambilan keputusan yang jujur dan
mempunyai integritas tinggi berdasarkan hasil proses audit yang dilakukan
terhadap sistem berbasis teknologi informasi dan komunikasi organisasi bisnis
yang bersangkutan.
Adapun tujuan yang
diinginkan dari audit sistem informasi ini adalah untuk menciptakan Good
Corporate Governance di dalam suatu perusahaan. Pengendalian internal masa
depan, tidak hanya cukup dengan pengendalian umum (general controls) dan
pengendalian aplikasi dan formulir (application controls), melainkan dibutuhkan
juga pengendalian batasan (boundary control), pengendalian proses (process
control), dan pengendalian komunikasi aplikasi (application communication
control).
Salah satu standar
penting dan efektif untuk diterapkan adalah COBIT atau Control Objectives for
Information and Related Technology. COBIT dikeluarkan oleh organisasi bernama
ISACA pada tahun 1992 dan merupakan standar yang berorientasi pada proses,
berfokus pada sasaran bisnis dan merupakan alat manajerial dan teknikal untuk
unit TI. Penelitian ini mengambil analisis keamanan dan integritas sistem
informasi dengan menggunakan pengukuran COBIT 4.1 untuk mendukung tujuan bisnis
tersebut.
Penggunaan bantuan dan
metode COBIT, memberi manfaat untuk perusahaan yang dapat membantu untuk
menciptakan Good Corporate Governance di dalam suatu perusahaan serta membantu
auditor, manajemen dan pengguna (user) untuk menjembatani GAP antara risiko
bisnis, kebutuhan kontrol (internal, application and access control), security
dan permasalahanpermasalahan teknis melalui pengendalian terhadap masing-masing
dari proses IT, serta meningkatkan tingkatan kemapanan proses dalam IT dan
memenuhi ekspektasi bisnis dari TI.
·
Tentukan obyek audit yang akan dilakukan
Obyek audit
yang akan digunakan adalah pada studi kasus audit sistem informasi PT. Erajaya
Swasembada, Tbk. menggunakan COBIT 4.1. Metode objek audit yang digunakan dalam
kasus ini adalah Audit Around The Computer, karena kami tidak menguji langkah-langkah
proses secara langsung tetapi membandingkan input dan output dari sistem.
A. COBIT
(Control Objective for Information and
Related Technology)
COBIT merupakan cara atau metode yang
dapat ditempuh untuk dapat menganalisa, mengembangkan, mempublikasikan, dan
mempromosikan suatu otorisasi. COBIT ini dapat membuat up-to-date suatu sistem perusahaan serta dapat diterima oleh tata
kelola TI profesional. Tata kelola TI yang dikontrol dibawah naungan COBIT
merupakan tata kelola TI bertaraf internasional. Menurut IT Governance
Institute COBIT (Control Objective for Information and Related Technology)
adalah sekumpulan dokumentasi best practices untuk IT Governance yang dapat
membantu auditor, manajemen, dan pengguna (user) untuk menjembatani gap antara
resiko bisnis, kebutuhan kontrol dan permasalahan teknis.
COBIT berorientasi pada bagaimana
menghubungkan tujuan bisnis dengan tujuan TI, menyediakan metric dan maturity
model untuk mengukur pencapaiannya, dan mengidentifikasi tanggung jawab terkait
bisnis dan pemilik proses TI. Penilaian capability process berdasarkan maturity
model COBIT merupakan bagian penting dari implementasi IT Governance setelah
mengidentifikasi proses kritis TI dan pengendaliannya, maturity modeling
memungkinkan gap teridentifikasi dan ditujukan pada manajemen. Dengan
mengetahui gap tersebut maka selanjutnya rencana kerja dapat dikembangkan untuk
membawa proses ini sampai dengan sasaran capability level yang diharapkan.
Dengan demikian, COBIT mendukung pengelolaan TI dengan menyediakan kerangka
untuk memastikan bahwa :
1. TI
berjalan dengan bisnis
2. TI
memungkinkan bisnis dan memakismalkan keuntungan
3. Sumber
daya TI digunakan secara bertanggung jawab
4. Risiko TI
dikelola dengan tepat
B. Fungsi
COBIT
COBIT
memiliki fungsi antara lain :
1.
Meningkatkan
pendekatan/program audit.
2.
Mendukung
audit kerja dengan arahan audit secara rinci
3.
Memberikan
petunjuk untuk IT governance.
4. Sebagai
penilaian benchmark untuk kendali Sistem Informasi/Teknologi Informasi.
5.
Meningkatkan
kontrol Sistem Informasi/Teknologi Informasi.
6.
Sebagai
standarisasi pendekatan/program audit.
COBIT
menyediakan langkah-langkah praktis terbaik yang dapat diambil dan lebih
difokuskan pada pengendalian (control), yang selanjutnya dijelaskan dalam tahap
dan framework proses. Manfaat dari langkah-langkah praktis terbaik yang dapat
diambil tersebut antara lain :
1. Membantu
mengoptimalkan investasi teknologi informasi yang mungkin dapat dilakukan.
2. Menjamin
pengiriman service.
3. Framework
COBIT menggambarkan antara business dan aplikasi yang ditunjukkan pada gambar 2
Boundaries of General and Application Controls.
C. Kelebihan
Metode COBIT
Pemilihan
kerangka kerja dengan metode COBIT dikarenakan mempunyai beberapa kelebihan
diantaranya:
1.
Memiliki
konsep yang searah dengan pengelolaan perusahaan.
2. Memiliki
definisi yang lengkap, rinci dan terarah untuk pengelolaan sebuah perusahaan.
3. Memiliki
konsep hubungan kausal yang erat, sehingga mudah untuk mengarahkan perusahaan,
dari sasaran teknis ke strategis dan sebaliknya serta mampu menelusuri masalah
dari lingkup yang besar ke lingkup yang lebih detil.
D. Stuktur
COBIT
Struktur COBIT terdiri dari Excetive
Summary, yang didukung dengan perangkat implementasi, kemudian framework yang
dijabarkan menjadi 3 bagian yaitu Management Guidelines, Audit Guidelines,
Detailed Control Objectives. Untuk Management Guidelines terdapat 4 indikator
pengukuran yaitu Maturity Models, Control Success Faktor, Key Goal Indicators,
dan Key Performance Indicators. Sedangkan Detailed Control Objectives
dijabarkan dalam beberapa Control Practice.
E. Kerangka
Kerja COBIT
Kerangka kerja COBIT yang memberikan
model referensi proses untuk dapat mengamati dan mengelola aktivitas TI, serta
kerangka kerja untuk mengukur dan memonitor kinerja TI, berkomunikasi dengan
penyedia layanan dan memadukan praktek-praktek manajemen terbaik. Sebuah model
proses mendorong kepemilikan prses, memungkinkantanggung jawab dan
akuntabilitas untuk didefinisikan.
Secara keseluruhan kerangka kerja
COBIT dengan model proses COBIT terdiri dari 4 domain yaitu :
1. Planning
and Organizing (PO), domain ini mencakup level strategis dan taktis, dan
konsennya pada identifikasi cara TI yang dapat menambah pencapaian terbaik
tujuan-tujuan bisnis.
2. Acquisition
and Implementation (AI), solusi TI yang perlu diidentifikasikan, dikembangkan
atau diperlukan, serta diimplementasikan dan diintegrasikan dalam proses
bisnis.selain itu perubahan sistem dan pemeliharaannya dilindungi untuk
memastikan solusi TI memenuhi tujuan bisnis.
3. Deliver
and Support (DS), domain ini menyangkut pencapaian aktual dari layanan yang
diperlukan dengan menyusun operasi tradisional terhadap keamanan dan aspek
kontinuitas sampai pada pelatihan. Domain ini termasuk data aktual melalui
sistem aplikasi, yang sering diklasifikasikan dalam pengendalian aplikasi.
4. Monitor
and Evaluate (ME), semua proses TI perlu dinilai secara teratur atas suatu
waktu untuk kualitas dan pemenuhan kebutuhan pengendalian. Domain ini
mengarahkan kesalahan manajemen pada proses pengendalian organisasi dan
penjaminan independen yang disediakan oleh audit internal dan eksternal atau
diperoleh dari sumber alternatif.
Keempat domain tersebut
diatas kemudian dijabarkan menjadi 34 faktor resiko yang harus dievaluasi jika
ingin diperoleh suatu kesimpulan mengenai seberapa besar kepedulian manajemen
terhadap teknologi informasi, serta bagaimana teknologi informasi dapat
memenuhi kebutuhan manajemen akan informasi. Keempat Domain tersebut dapat pula
digambarkan dalam bentuk gambar dibawah ini yang juga terdapat 34 High level
objectives dan 6 Publikasi.
Gambar 1.
Kerangka Kerja COBIT
F. Skala
Maturity dari Kerangka Kerja COBIT
Maturity model adalah
suatu metode untuk mengukur level pengembangan manajemen proses, yang berarti
adalah mengukur sejauh mana kapabilitas manajemen tersebut. Seberapa bagusnya
pengembangan atau kapabilitas manajemen tergantung pada tercapainya
tujuan-tujuan COBIT yang. Sebagai contoh adalah ada beberapa proses dan sistem
kritikal yang membutuhkan manajemen keamanan yang lebih ketat dibanding proses
dan sistem lain yang tidak begitu kritikal. Di sisi lain, derajat dan kepuasan
pengendalian yang dibutuhkan untuk diaplikasikan pada suatu proses adalah
didorong pada selera resiko Enterprise dan kebutuhan kepatuhan yang diterapkan.
Penerapan yang tepat pada tata
kelola TI di suatu lingkungan Enterprise, tergantung pada pencapaian tiga aspek
maturity (kemampuan, jangkauan dan kontrol). Peningkatan maturity akan
mengurangi resiko dan meningkatkan efisiensi, mendorong berkurangnya kesalahan
dan meningkatkan kuantitas proses yang dapat diperkirakan kualitasnya dan
mendorong efisiensi biaya terkait dengan penggunaan sumber daya TI.
Maturity model
dapat digunakan untuk memetakan :
1. Status
pengelolaan TI perusahaan pada saat itu.
2. Status standart
industri dalam bidang TI saat ini (sebagai pembanding)
3. Status standart
internasional dalam bidang TI saat ini (sebagai pembanding)
4. Strategi pengelolaan TI perusahaan (ekspetasi perusahaan terhadap posisi pengelolaan TI perusahaan)
·
Rencana Audit yang Dilakukan
Adapun tujuan audit yang akan kami
lakukan, sebagai berikut :
1. Melihat
bagaimana penerapan kinerja departemen TI perusahaan ditinjau dari pengendalian
aplikasi “Erajaya Live Application Server” dalam proses ERP yang dijalankan
pada PT Erajaya Swasembada, Tbk dan kesiapan departemen TI dalam melaksanakan
proses-proses TI.
2. Meningkatkan
kualitas pengendalian keamanan dan integritas data dari sistem informasi yang
berjalan dalam lingkungan TI perusahaan, serta meminimalkan risiko sampai
tingkat acceptable.
Rencana
audit yang akan kami lakukan adalah Melakukan studi kepustakaan, Melakukan
perencanaan pemeriksaan, Melakukan penelitianan pendahuluan, elakukan
identifikasi dan analisis masalah, Melakukan pelaksanan pemeriksaan, dan
Membuat laporan hasil pemeriksaan dimana kami akan menjabarkan temuan audit.
1. Melakukan
studi kepustakaan, yaitu pembelajaran mengenai audit sistem informasi,
khususnya mengenai metode audit COBIT 4.1, yang mencakup Plan and Organise,
Acquire and Implement, Deliver and Support, dan Monitor and Evaluate.
2. Melakukan
perencanaan pemeriksaan, yaitu melakukan observasi awal; merumuskan masalah
yang akan diteliti; dan mengajukan permohonan penelitian kepada pihak terkait.
3. Melakukan
penelitian pendahuluan, yaitu merumuskan program audit yang akan dijalankan.
4. Melakukan
identifikasi dan analisis masalah, yaitu menganalisa efektivitas pelaksanaan
pengendalian aplikasi.
5. Melakukan
pelaksanan pemeriksaan, yaitu dengan mengajukan kuesioner; melakukan wawancara,
observasi lapangan, dan dokumentasi; melakukan evaluasi atas penerapan
pengendalian aplikasi tersebut.
6. Membuat
laporan hasil pemeriksaan dimana kami akan menjabarkan temuan audit, memberikan
rekomendasi dan saran-saran perbaikan, serta menyimpulkan hasil penelitian.
·
Susun Instrumen Audit yang akan Digunakan
Pada tahapan
ini kami melaksanakan program audit dengan mengumpulkan bukti-bukti. Teknik
pengumpulan data yang digunakan adalah metode penelitian lapangan, yang
dilakukan dengan cara mendatangi langsung obyek yang akan diteliti untuk
memperoleh data primer. Sehubungan untuk mendapat data sekunder yang
berhubungan dengan masalah yang menjadi obyek penelitian, maka Instrumen audit
yang akan kami gunakan adalah :
1.
Dokumentasi
2.
Observasi
3.
Komunikasi
dengan Wawancara dan Kuesioner
·
Petunjuk Penggunaan Instrumen Audit
yang Akan Digunakan
Berikut ini adalah petunjuk instrumen
audit yang akan kami gunakan :
1.
Dokumentasi
Upaya mendapatkan informasi, kami
mengumpulkan data tertulis atau dokumen-dokumen dari perusahaan, yaitu bagan
struktur organisasi, uraian tugas serta tanggung jawab, jenis software yang
digunakan, printscreen dari software yang digunakan, serta dokumen lain yang
berkaitan dengan penerapan sistem aplikasi ERP pada PT. Erajaya Swasembada Tbk.
2.
Observasi
Kami melakukan observasi langsung di
perusahaan PT. Erajaya Swasembada Tbk yang berhubungan dengan sistem aplikasi ERP
perusahaan. Pengamatan yang dilakukan adalah sebagai berikut:
a. Analisis
catatan (record analysis), meliputi catatan historis atau masa kini dan catatan
umum atau pribadi, berupa tertulis, dalam bentuk print-out.
b. Analisis
kondisi fisik (physical condition analysis), analisis kondisi fisik dari obyek
yang diteliti, menganalisa hardware yang digunakan oleh PT. Erajaya Swasembada
Tbk.
c. Analisis
proses atau aktivitas (process or activity analysis), kami menganalisa
aktivitas pelaksanaan input dan output yang dihasilkan serta aktivitas
pengendalian aplikasi terhadap proses tersebut. Aktivitas ini menggunakan
pendekatan auditing around the computer, suatu pendekatan dengan memperlakukan
komputer sebagai black box. Kami tidak menguji langkah-langkah proses secara
langsung tetapi membandingkan input dan output dari sistem. Diasumsikan bahwa
jika input benar akan diwujudkan pada output, sehingga pemrosesannya juga benar
dan tidak melakukan pengecekan terhadap pemrosesan komputer secara langsung.
3.
Komunikasi
dengan Wawancara dan Kuesioner.
Wawancara yang dilakukan yaitu
wawancara secara personal kepada pihak manajerial TI dengan Bpk Rencana Ginting
(Cana), dan wawancara yang dilakukan dengan cara menyebarkan kuesioner.
Pembuatan kuesioner menggunakan pendekatan COBIT 4.1. Setelah melakukan
penyebaran kuisioner dilakukan mapping / pengidentifikasian pertanyaan tiaptiap
proses TI. Hal ini bertujuan agar informasi tiap-tiap proses TI COBIT dapat
terpenuhi. Penyebaran kuesioner berjumlah 5 responden yang tersebar di divisi
TI sebanyak 1 responden, divisi Finance sebanyak 1 responden, divisi Sales
sebanyak 1 responden, divisi Warehouse sebanyak 1 responden, dan divisi
Purchasing sebanyak 1 responden, maka didapatkan jawaban yang sama untuk
pertanyaan ya dan tidak, dengan komentar yang sedikit berbeda untuk setiap
responden.
Kuesioner memiliki 2 jenis yaitu
kuesioner untuk TI dan kuesioner untuk non-TI. Kuesioner untuk TI terdiri dari
88 pertanyaan, yaitu 11 pertanyaan kuesioner pengendalian umum (General
Controls), 17 pertanyaan pengendalian batasan (Boundary Controls), 12
pertanyaan pengendalian masukan (Input Controls), 10 pertanyaan pengendalian
proses (Process Controls), 4 pertanyaan pengendalian keluaran (Output Controls),
17 pertanyaan pengendalian basisdata (Database Controls), 12 pertanyaan
pengendalian komunikasi aplikasi (Application Communication Controls), dan 5
pertanyaan pengendalian sistem operasi (Operating System Controls).
Sedangkan kuesioner untuk non-TI
terdiri dari 65 pertanyaan, yaitu 8 pertanyaan kuesioner pengendalian umum
(General Controls), 12 pertanyaan pengendalian batasan (Boundary Controls), 22
pertanyaan pengendalian masukan (Input Controls), 8 pertanyaan pengendalian
proses (Process Controls), 14 pertanyaan pengendalian keluaran (Output
Controls), dan 1 pertanyaan pengendalian komunikasi aplikasi (Application
Communication Controls).
·
Kesimpulan Hasil Audit
Setelah
melakukan tahap mengumpulkan bukti-bukti berupa hasil wawancara, observasi, dan
kuesioner yang kemudian dievaluasi, maka dikumpulkan hasil temuan-temuan audit
sebagai berikut:
vTidak
digunakan Uninteruptable Power Supply (UPS) yang mampu menstabilkan tegangan
listrik pada tiap-tiap komputer yang ada.
vTidak
terdapat dry-pipe automatic sprinkler hanya terdapat tabung pemadam kebakaran.
vTidak
terdapat alat untuk menutup hardware dengan bahan tahan air dan udara sewaktu
tidak digunakan.
vTidak
terdapat kontrol dalam hal membawa makanan dan minuman di dekat peralatan
komputer.
vTidak
terdapat Team Disaster Recovery Plan yang bertugas menangani kerusakan oleh
bencana.
vTidak
ada perencanaan ataupun penganggaran khusus berkenaan dengan tim pemulihan
bencana.
vTidak
terdapat perubahan warna pada interface, jika terjadi kesalahan penginputan.
vSistem
tidak mampu mencegah atau mendeteksi kehilangan data selama pemrosesan.
vSistem
aplikasi tidak membatasi sistem umur password.
vTidak
ada penggabungan huruf kecil, besar, simbol, dan angka pada password.
vSistem
aplikasi tidak membatasi kegagalan login akses.
vKesalahan
yang telah terlanjur diinput tidak dapat di-edit / diperbaiki.
vRespon
sistem aplikasi di setiap penginputan memakan waktu cukup lama.
vTidak
terdapat log activity pada sistem aplikasi.
vTidak
terdapat pemberian dan pengakhiran akses pengguna ke basis data.
vTidak
terdapat kerangka kerja khusus untuk proyek TI, monitoring hanya dilakukan ad
hoc oleh ketua team proyek.
DAFTAR PUSTAKA
http://ejournals.umn.ac.id
publication.gunadarma.ac.id
http://widiastuti.staff.gunadarma.ac.id/
Tidak ada komentar:
Posting Komentar