Ketika di lapangan, secara sadar atau tidak sadar, kita sebenarnya sering melakukan ‘audit’ sistem informasi. Sebab, begitu pentingnya kegiatan audit sistem informasi ini dalam dunia digital membuatnya menjadi aktivitas wajib yang seringkali kita lakukan tanpa kita rencanakan. Misalnya, ketika melihat jejak jelajah akses internet anak kita, pada dasarnya kita sedang melakukan audit sistem informasi. Namun, di lapangan masih terdapat pemahaman yang beragam terkait bentuk laporan hasil audit sistem informasi. Karena itulah, saya menggagas panduan sederhana penulisan laporan berikut ini. Sistematika panduan berikut ini terdiri dari pengertian audit sistem informasi, panduan penulisan, dan penutup.
Pengertian Audit Sistem Informasi
Pengertian audit sistem informasi pada beberapa literatur masih beragam. Sebab, masing-masing penulis topik ini memiliki pandangan yang berbeda tentang audit sistem informasi. Hal ini dapat dimaklumi mengingat bahwa literatur audit sistem informasi ditulis dari beragam disiplin.
Terdapat literatur konvensional yang menganggap bahwa audit sistem informasi hanyalah terbatas pada ‘audit sistem aplikasi’, yang cenderung terbatas pada pengujian sistem aplikasi (application testing). Namun, ada juga literatur kontemporer yang menekankan audit sistem informasi pada ‘audit teknologi informasi’, bahkan kini muncul ‘contionuous auditing continuous monitoring’.
Di sisi lain, literatur dari disiplin akuntansi lebih menekankan audit sistem informasi pada ‘audit atas pengendalian internal’ sistem informasi organisasi daripada ‘audit langsung’ atas substansi sistem informasi itu sendiri.
Karena itu, Anda harus berhati-hati dalam menentukan judul laporan hasil audit sistem informasi. Anda dapat memilih judul dari literatur dengan pendekatan audit sistem informasi konvensional maupun kontemporer. Namun, sebaiknya Anda mempertimbangkan kemampuan diri dan lingkungan objek yang dijadikan studi sebelum menentukan judul.
Hal yang juga penting untuk diketahui adalah pada praktiknya karena keterbatasan sumber daya, Anda tidak dapat melakukan keseluruhan proses audit sistem informasi pada waktu yang sama.
Intinya, keterbatasan waktu dan objek yang dijadikan studi, dan kadang karena Anda belum mahir dan diakui sebagai auditor, akan mengakibatkan Anda kesulitan untuk melakukan keseluruhan lingkup proses audit sistem informasi pada waktu yang bersamaan.
Salah satu yang dapat Anda lakukan adalah membatasi lingkup audit sistem informasi, seperti terbatas pada pengujian pengendalian internal objek sistem informasi yang dilakukan studi. Sebagai contoh, Anda dapat fokus melakukan audit sistem informasi dengan judul ‘Evaluasi Pengendalian Internal atas Sistem X pada PT ABC‘.
Namun, jika memang memungkinkan dari segi sumber daya, Anda dapat fokus pada audit sistem informasi dengan pendekatan kontemporer, dengan judul “Audit Efektivitas Pemanfatan Teknologi Informasi pada PT X”.
Intinya, Anda harus cermat memilih judul yang paling sesuai setelah mempertimbangkan aspek internal Anda sendiri dan lingkungan objek studi.
Beberapa judul lain yang dapat Anda pilih adalah:
- Evaluasi Pengendalian Internal pada Divisi TI PT ABC;
- Evaluasi Pemanfaatan Teknik Audit Berbantuan Komputer pada Divisi Audit PT ABC;
- Audit atas Pengendalian Sistem Informasi pada PT ABC;
- Evaluasi Pengendalian Sistem X pada PT ABC;
- Audit Proyek Pengembangan Sistem X pada PT ABC; dan
- Evaluasi Kompetensi Auditor Sistem Informasi pada Divisi Audit PT X.
Yang juga harus Anda pahami adalah terdapat perbedaan penting antara ‘standar profesi’ audit sistem informasi dan ‘standar audit’ sistem informasi. Standar profesi adalah standar yang diterbitkan oleh organisasi profesi audit sistem informasi. Standar profesi ini mengikat para anggota profesi.
Standar profesi tersebut harus menjadi acuan para anggota profesi dalam berinteraksi dengan pihak pemberi penugasan, objek yang diaudit, dan lingkungannya, baik selama proses audit maupun setelah proses audit.
Jika melanggar standar profesi tersebut, anggota profesi akan dikenakan sanksi oleh organisasinya, baik sanksi ringan berupa pen-skors-an maupun sanksi berat berupa pemecatan dari keanggotaan profesi.
Di sisi lain, standar audit adalah ‘kriteria atau indikator’ yang dijadikan dasar oleh seorang auditor sistem informasi dalam menilai suatu sistem informasi apakah sesuai dengan kriteria atau indikator yang telah ditentukan atau disepakati sebelumnya.
Kriteria atau indikator tersebut biasanya diterbitkan oleh organisasi yang berwenang sebagai acuan untuk diimplementasikan oleh suatu organisasi. Implementasi kriteria atau indikator ini ada yang bersifat wajib (mandatory) dan ada juga yang bersifat sukarela (volunteer).
Sebagai contoh, Bank Indonesia dapat menerbitkan aturan mengenai sistem back-up untuk bank-bank di Indonesia. Aturan yang diterbitkan oleh Bank Indonesia ini bersifat mandatory untuk melindungi para nasabah dan kepercayaan masyarakat terhadap bank.
Namun, bank-bank di Indonesia juga dapat mengikuti aturan pada Basel II. Hanya saja, implementasi Basel II tersebut bersifat sukarela karena aturan-aturan yang ada di Basel II tidak seluruhnya otomatis wajib ditaati oleh bank-bank yang ada di Indonesia (kecuali beberapa bank asing).
Panduan Penulisan
Dalam laporan hasil audit sistem informasi, minimal Anda harus memuat informasi tentang pendahuluan, landasan teori/kriteria, uraian tentang sistem yang berjalan, hasil evaluasi/analisis sistem yang berjalan, dan simpulan/saran. Hal tersebut akan diuraikan berikut ini.
Bagian Pendahuluan
Pada bagian ini, Anda harus menguraikan latar belakang, tujuan, dan manfaat laporan hasil audit sistem informasi beserta metodologinya (metode-metode). Dalam latar belakang, terutama sekali Anda harus menjelaskan alasan Anda memilih judul yang diajukan.
Pada alasan pemilihan judul, Anda harus menegaskan permasalahan yang ditemui (baik permasalahan saat ini maupun potensi permasalahan atau risiko) sehingga Anda memilih judul tersebut.
Dalam metodologi, Anda dapat menekankan bahwa metodologi yang digunakan pada umumnya adalah metodologi audit, yang terdiri dari persiapan audit, pelaksanaan audit, dan pelaporan audit. Terkait persiapan audit, Anda harus menguraikan program audit yang digunakan. Program audit ini perlu didokumentasikan dalam lampiran.
Terkait pelaksanaan audit, Anda harus menguraikan metode atau teknik yang digunakan dalam pengumpulan data, seperti wawancara, penyebaran kuesioner, observasi, dan sebagainya. Contoh panduan wawancara, contoh kuesioner, dan dokumentasi hasil observasi harus disajikan dalam lampiran.
Bagian Landasan Teori/Kriteria
Pada bagian ini, Anda harus menguraikan referensi, acuan, atau dasar yang terkait dengan audit sistem informasi, terutama sekali referensi mengenai definisi sistem yang akan dijadikan objek studi.
Sebagai contoh, jika yang diaudit adalah customer relationship management (CRM) system pada sebuah organisasi, Anda harus menguraikan pengertian dan dasar implementasi CRM system di suatu organisasi yang diaudit. Pada bagian ini, Anda juga harus menguraikan indikator/kriteria audit yang digunakan pada proses audit, misalnya indikator/kriteria Cobit, COSO, atau ITIL.
Bagian Uraian Sistem yang Berjalan
Pada bagian ini, Anda harus menguraikan gambaran umum organisasi yang diaudit, seperti latar belakang pendirian, sejarah, komposisi pemegang saham, struktur organisasi, dan uraian tugas. Selanjutnya, Anda harus menguraikan gambaran umum mengenai sistem yang dijadikan objek studi.
Dalam gambaran umum, Anda harus menguraikan sistem aplikasi yang digunakan, fungsi-fungsi apa yang ada pada aplikasi tersebut, apa saja masukannya, bagaimana proses yang berjalan, serta keluaran-keluaran dari sistem aplikasi tersebut.
Dalam uraian mengenai sistem aplikasi ini, Anda juga harus menginformasikan infrastruktur teknologi informasi untuk menjalankan sistem aplikasi tersebut, seperti software yang digunakan (baik untuk database software maupun software untuk membuat aplikasinya), konfigurasi jaringan, perangkat hardware yang digunakan (baik server maupun client), serta user yang menggunakan sistem.
Gambaran mengenai proses yang berjalan perlu Anda sajikan dalam bentuk narasi dan diagram (baik DFD fisik, system flowchart, dan rich picture). Dalam bagian ini, Anda perlu juga menyajikan ikhtisar mengenai kondisi pengendalian yang berjalan, yang biasanya diperoleh dari wawancara, penyebaran kuesioner, dan observasi.
Anda juga perlu melampirkan contoh interface sistem aplikasi berdasarkan masing-masing fungsinya, panduan wawancara, contoh kuesioner, dan hasil observasi—baik berupa contoh dokumen-dokumen masukan dan keluaran, tabel-tabel, tabulasi kondisi pengendalian, gambar-gambar, dan sejenisnya.
Bagian Evaluasi/Analisis Sistem yang Berjalan
Pada bagian ini, Anda harus menguraikan hasil evaluasi atau analisis atas sistem yang berjalan dengan membandingkan antara kondisi pengendalian yang berjalan dengan indikator/kriteria yang diuraikan pada bagian Landasan Teori/Kriteria.
Anda harus membuat pengelompokkan atas temuan-temuan dari hasil evaluasi/analisis berdasarkan perspektif tertentu, seperti perspektif manajemen SDM, prosedur kerja, dan infrastruktur teknologi informasi. Atau, Anda dapat juga menyajikannya berdasarkan perspektif pengendalian umum dan pengendalian aplikasi jika menggunakan kriteria dari COSO.
Setelah itu, Anda harus menguraikan hasil analisis penyebab kondisi pengendalian tidak sesuai dengan indikator/kriteria, akibatnya (baik yang telah terjadi atau potensinya), dan rekomendasinya.
Alternatif lain dalam bagian ini adalah Anda menggunakan pendekatan analisis berbasis risiko (risk-based analysis), yaitu dengan menguraikan penilaian risiko (risk assessment) atas setiap temuan dengan melihat besarnya pengaruh (impact) dan kemungkinan terjadinya (likelihood).
Kemudian, Anda mengidentifikasi pengendalian yang sudah ada untuk memitigasi risiko tersebut, yang dilihat dari aspek perancangan (design) dan efektivitas (effectiveness) implementasi pengendaliannya.
Setelah itu, Anda menilai tingkat masing-masing risiko (rendah, sedang, atau tinggi). Jika ternyata tingkat risiko tersebut tidak dapat diterima (misalnya tinggi), Anda harus memberikan rekomendasi action plan untuk meminimalkan risiko tersebut.
Anda dapat meletakkan informasi proses penilaian risiko dalam lampiran. Anda juga disarankan untuk menyajikan ringkasan hasil analisis dalam bentuk tabel.
Simpulan dan Saran
Pada bagian ini, Anda harus menguraikan simpulan dan saran dari audit sistem informasi. Simpulan dan saran perlu disajikan secara terkelompok dan dimulai dari perpektif umum, yaitu bagaimana simpulan audit Anda terhadap sistem yang dijadikan objek studi.
Setelah itu, Anda menguraikan simpulan yang lebih rinci, berdasarkan pengelompokannya. Misalnya, berdasarkan pengendalian umum dan pengendalian aplikasi. Atau, pengelompokan berdasarkan manajemen SDM, prosedur, dan infrastruktur.
Penutup
Demikian panduan sederhana ini disusun. Setelah membaca panduan ini, Anda diharapkan dapat memiliki pemahaman yang mendasar tentang penyusunan laporan hasil audit sistem informasi dan dapat semakin meningkatkan kualitas laporan ini di Indonesia. Tentunya, untuk semakin mahir, Anda harus mempraktikkannya dan mempelajari literatur terkait. Pertanyaan yang berhubungan dengan panduan ini dapat ditujukan ke penulis.
Rudy adalah alumni Pelatihan Kepemimpinan Nasional Tingkat I Angkatan LVI Tahun 2023, seorang pejabat eselon 2 di sebuah instansi pengawasan, dan Editorial Board Chairman Pergerakan Birokrat Menulis.
Ia juga adalah Ketua Dewan Pengawas Ikatan Audit Sistem Informasi Indonesia (IASII), dan Ketua Departemen Law, Regulation, & Policy Asosiasi Pemimpin Digital Indonesia (APDI).
Ia adalah Doctor of Philosophy (PhD) dari Auckland University of Technology (AUT), Selandia Baru, dengan tesis PhD “Integrating Organisational and Individual Level Performance Management Systems (PMSs) within the Indonesian Public Sector”.
Sebelumnya, ia memperoleh gelar Akuntan dari Sekolah Tinggi Akuntansi Negara (STAN), Magister Manajemen Sistem Informasi (MMSI) dari Universitas Bina Nusantara, dan Master of Commerce in Information System (MComm in IS) dari Curtin University of Technology (Australia).
Ia juga penerima beasiswa the New Zealand ASEAN Scholarship Award 2014 dari New Zealand Ministry of Foreign Affairs and Trade (MFAT), anggota Beta Gamma Sigma (sebuah kelompok elit dunia di Amerika Serikat yang keanggotaannya berbasis undangan), serta reviewer jurnal internasional Qualitative Research in Accounting and Management.
Rudy terbuka untuk berdiskusi melalui twitternya @HarahapInsight. Tulisan penulis dalam laman ini adalah pandangan pribadi dan tidak mewakili pandangan lembaga tempat bekerja atau lembaga lain.
Mungkin saya sudah lama tidak terjun dalam dunia audit sehingga kurang memahami untuk saat ini apakah audit atas sistem informasi merupakan jenis profesi tersendiri atau merupakan bagian dari jenis kegiatan audit secara umum.
Rasanya maksud artikel tersebut audit tersebut dilakukan oleh orang ekpertise atau ahli IT ketimbang seorang auditor umumnya karena hasil audit yang dilakukan akan berbeda.
Dalam artikel itu pun menjelaskan bahwa pedoman atau panduan audit yang digunakan pun berbeda walaupun menilai sistem pengendalian internal atas sistem informasi yakni menggunakan COBIT, sementara audit secara umum menggunakan COSO atau SPIP bagi instansi. Jangan2 saya pun salah menduga atas interpretasi tersebut.
By the way, salut atas artikel ini, minimal sebagai pembelajaran bagi kita semua.
Audit sistem informasi sebenarnya juga bisa menggunakan COSO atau SPIP sebagai basis assessment. Tidak mesti COBIT.