PENGEMBANGAN KERANGKA KERJA PENYUSUNAN PROGRAM AUDIT SISTEM INFORMASI BERDASARKAN ITAF, STUDI KASUS AUDIT SIMHP DI PERWAKILAN BPKP PROVINSI JAWA TIMUR

Transkripsi

1 PENGEMBANGAN KERANGKA KERJA PENYUSUNAN PROGRAM AUDIT SISTEM INFORMASI BERDASARKAN ITAF, STUDI KASUS AUDIT SIMHP DI PERWAKILAN BPKP PROVINSI JAWA TIMUR Heru Purbawa *) dan Daniel O. Siahaan Program Studi Magister Manajemen Teknologi Bidang Keahlian Manajemen Teknologi Informasi Program Pascasarjana, Institut Teknologi Sepuluh Nopember Jl. Cokroaminoto 12 A, Surabaya, Indonesia *) ABSTRAK Audit sistem informasi sangat penting bagi Badan Pengawasan Keuangan dan Pembangunan (BPKP) dalam rangka melaksanakan evaluasi atas sistem informasi yang menjembatani BPKP dengan para stakeholder-nya. Namun demikian audit sistem informasi (SI) di Perwakilan BPKP Perwakilan Jawa Timur menemui beberapa kendala yaitu belum pernah ada penugasan audit atas sistem informasi sebelumnya, belum ada pedoman audit SI dan karena audit SI memerlukan teknik dan metode khusus tidak seperti jenis audit yang dilaksanakan auditor BPKP yaitu audit keuangan dan operasional. Tujuan dari penelitian ini adalah mengembangkan sebuah kerangka kerja penyusunan program audit sistem informasi yang menjadi dasar untuk melaksanakan audit sistem informasi dengan menggunakan Information Technology Assurance Framework (ITAF). Untuk mencapai tujuan tersebut, standar, guideline, dan prosedur dari ITAF digunakan dalam analisis sistem informasi, penilaian risiko TI (IT risk assesment) dan penyusunan program audit sistem informasi. Hasil dari penelitian ini adalah sebuah kerangka kerja penyusunan program audit sistem informasi yang berdasarkan pengujian telah dapat diterima sesuai standar yang berlaku di BPKP. Output lain dari penelitian ini adalah program audit atas SIMHP yang dapat digunakan untuk pelaksanaan audit SIMHP di Perwakilan BPKP Provinsi Jawa Timur. Kata kunci: Audit sistem informasi, ITAF, ISACA, program audit, SIMHP, BPKP PENDAHULUAN Dalam rangka meningkatkan pelayanan kepada para stakeholder Badan Pengawasan Keuangan dan Pembangunan (BPKP) terutama Perwakilan BPKP Provinsi Jawa Timur, sangat diperlukan adanya evaluasi/audit dan perbaikan atas seluruh sistem manajemen dan prosedur yang berjalan di Kantor Perwakilan BPKP Provinsi Jawa Timur terutama yang berhubungan langsung dengan stakeholders. Namun demikian evaluasi untuk menilai pengelolaan SIMHP di Perwakilan BPKP Jawa Timur berupa pelaksanaan audit saat ini masih terhambat dengan adanya kendala-kendala antara lain belum pernah terdapat evaluasi berupa audit baik audit operasional maupun audit kinerja yang dilakukan oleh auditor internal maupun eksternal terhadap pengelolaan SIMHP, belum terdapat pedoman yang baku untuk melaksanakan audit sistem informasi yang dimiliki dan dijadikan pegangan oleh auditor BPKP dan karena audit atas sistem C-3-1

2 informasi berbeda dengan audit operasional lain yang telah dilaksanakan oleh auditor BPKP karena audit sistem informasi memerlukan teknik dan metode tertentu yang spesifik sesuai karakteristik sistem informasi. Oleh sebab itu, perlu adanya penelitian berupa pengembangan kerangka kerja penyusunan program audit sistem informasi dengan menggunakan Information Technology Assurance Framework (ITAF) dari ISACA yang lebih menitikberatkan pada proses audit, didesain untuk profesional yang bergerak di bidang jasa audit atau assurance dan menggunakan istilah-istilah yang lebih familiar bagi peneliti. Konsep ITAF ISACA merupakan organisasi internasional yang bergerak dalam jasa IT Governance yang didirikan tahun ISACA merupakan sponsor utama konferensi internasional bidang IT Governance, penerbit System Control Journal, pengembang utama standar audit dan pengendalian sistem serta merupakan administrator CISA (Certified Information System Auditor). Pada tahun 2008 ISACA mengeluarkan produk berupa Information Technology Assurance Framework (ITAF), sebuah sumber pembelajaran bagi para profesional yang bergerak dalam jasa assurance. ITAF merupakan produk dari Information System Audit and Control Association (ISACA) yang menyediakan sebuah kerangka tunggal yang berisi standar, pedoman (Guidelines) dan teknik dalam melaksanakan audit dan assurance termasuk di dalamnya perencanaan, lingkup audit, pelaksanaan dan pelaporan audit dan jasa assurance TI. ITAF terbagi menjadi tiga bagian seperti terlihat dalam gambar 1.1 yaitu: 1) Standar dikelompokkan menjadi standar umum, standar kinerja dan standar pelaporan. Standar digambarkan di gambar 1.1 dengan warna putih, artinya standar tersebut harus dilaksanakan(mandatory), bila ada penyimpangan atas standar harus diungkapkan penyebab dan konsekuensinya terhadap pelaksanaan audit. Standar didesain bersifat keharusan (mandatory) untuk setiap kasus penugasan. Setiap penyimpangan dari standar dalam penugasan audit atau assurance harus diungkapkan dalam laporan audit. Standar audit TI mengadopsi standar audit umum terdiri dari atandar umum, standar pelaksanaan dan standar pelaporan. Isi dan substansinya relatif sama dengan standar audit keuangan. 2) Pedoman dikelompokkan menjadi empat bagian dan digambarkan dengan warna abu-abu. Ini berarti pedoman tersebut tidak bersifat mandatory atau tidak bersifat keharusan, namun sangat direkomendasikan penggunaannya. Auditor harus mampu membuktikan adanya penyimpangan TI dengan metode pengumpulan bukti menurut pedoman ini. Meski tidak seluruh pedoman dapat diterapkan untuk seluruh situasi, namun pedoman tersebut tetap patut menjadi bahan pertimbangan auditor dalam melaksanakan audit. Pedoman audit berisi informasi dan petunjuk mengenai area audit. Sejalan dengan tiga kategori standar di atas, pedoman ini berfokus terhadap berbagai pendekatan audit, metode audit, alat dan teknik audit dan materi lain untuk membantu dalam perencanaan, pelaksanaan, penilaian dan pelaporan audit. Pedoman tersebut juga membantu menjernihkan hubungan antara kegiatan perusahaan dan kegiatan penugasan audit oleh auditor (ITAF s summary, 2009). Pedoman audit ini tidak bersifat keharusan, namun sangat direkomendasikan penggunaannya. Auditor harus mampu membuktikan adanya penyimpangan TI dengan metode pengumpulan bukti menurut pedoman ini. Meski tidak seluruh pedoman dapat diterapkan untuk seluruh situasi, namun pedoman tersebut tetap patut menjadi bahan pertimbangan auditor dalam melaksanakan audit C-3-2

3 3) Alat dan Teknik Audit, menyediakan infromasi spesifik mengenai metode, alat dan template dan juga menyediakan petunjuk penerapan dalam aktivitas audit. Khusus untuk alat dan teknik audit SI ini, bentuk dari kerangka ITAF berasal dari dokumen lain publikasi ISACA baik berupa buku, jurnal, petunjuk teknis dan sebagainya. Alat dan teknik dari ITAF ini digambarkan abu-abu kehitaman artinya penggunaannya bersifat fleksibel, dapat digunakan atau tidak oleh auditor sesuai kondisi lapangan. Sedangkan alat dan teknik audit berisi informasi dan bahan pelengkap yang mendukung pedoman audit TI. Dalam beberapa kasus, teknik audit berisi prosedur alternatif yang dapat diterapkan dalam penugasan audit. Auditor hanya mengadopsi alat dan teknik tersebut bila sesuai dengan kondisi, relevan dengan tujuan dan tidak memberikan informasi yang bias. Sampai dengan saat ini sudah terdapat 11 prosedur audit TI yang dipublikasikan ISACA. Prosedurprosedur tersebut dipublikasikan secara terpisah dari ITAF, namun menjadi bagian dari kerangka ITAF yang dapat dipedomani dalam melaksanakan kegiatan audit. METODOLOGI PENELITIAN Gambar 1. Organisasi ITAF (ISACA, 2008) Penulis merumuskan metodologi penelitian sesuai dengan tahapan di gambar 2 berikut C-3-3

4 Mulai Studi pustaka Pengumpulan data awal Pengembangan Kerangka Kerja Penyusunan Program Audit Analisis kondisi existing Penilaian risiko Penyusunan program audit Perumusan program audit revisi dan alokasi sumber daya Telaah program audit Penulisan tesis Selesai Gambar 2. Metode penelitian HASIL PENELITIAN Analisis Kondisi Existing Berdasarkan data awal yang diperoleh, penulis melaksanakan pemetaan kondisi sistem informasi dan menguraikannya ke dalam bagian-bagian sistem yaitu tentang peraturan yang terkait dengan pengelolaan SIMHP, struktur organisasi pengelola SIMHP, formulir yang digunakan dan laporan yang dihasilkan, infrastruktur serta prosedur yang dijalankan. Metode yang dilaksanakan dalam tahap ini adalah dokumentasi yaitu permintaan dokumen dan penelaah dokumen serta metode observasi partisipan terhadap pelaksanaan sistem informasi. Secara umum simpulan atas analisis kondisi eksisiting sistem informasi sebagai berikut: Ketersediaan aturan atau petunjuk teknis pengelolaan sistem informasi telah cukup memadai meskipun peraturan-peraturan tersebut belum dijadikan satu buku pegangan berupa petunjuk teknis atau petunjuk pelaksanaan dan tidak seluruhnya tersosialisasi kepada pengelola SIMHP. Struktur organisasi tersebut telah memadai karena telah mempertimbangkan beban kerja masing-masing bidang pengawasan dan mempertimbangkan kompetensi masing-masing personil dalam pengelolaan sistem informasi. Struktur organisasi C-3-4

5 tersebut dituangkan dalam Surat Keputusan Kepala Perwakilan setiap tahunnya dan telah dilengkapi dengan uraian tugas masing masing personil. Secara umum formulir dan laporan yang harus dijalankan telah memadai dan cukup untuk mendukung operasional sistem informasi. Secara umum kondisi infrastruktur telah memdai untuk operasional sistem dan terdapat pengendalian yang cukup atas hardware dan software sistem informasi. Prosedur yang harus dijalankan dalam pengelolaan SIMHP seperti yang tertuang dalam prosedur baku pengelolaan database hasil pengawasan secara umum telah memadai. Penilaian Risiko Dalam penelitian ini, untuk melaksanakan penilaian risiko langkah-langkah yang harus dilaksanakan adalah penentuan area fungsi audit, identifikasi risiko tiap area fungsi, pengukuran dampak, pengukuran likelihood dan penetapan prioritas risiko sebagaimana tergambar di gambar 3. Penentuan Area Fungsi Audit Identifikasi risiko tiap area fungsi Pengukuran dampak atas setiap risiko Pengukuran likelihood atas setiap risiko Penetapan prioritas risiko Gambar 3 Langkah-langkah penilaian risiko Penentuan area fungsi audit dilaksanakan dengan melakukan wawancara kepada pegawai yang expert dalam bidang SIMHP. Hasil dari wawancara tersebut kemudian dibandingkan dengan kriteria IS Auditable Unit dari ITAF, yang tidak sesuai dengan kriteria kemudian tidak diteruskan dalam penelitian. Area fungsi audit yang dihasilkan dari penelitian ini adalah pengisian form TPIII, inputing database, verifikasi database, pengamanan database dan pelaporan. Identifikasi risiko tiap area fungsi audit dilaksanakan dengan metode penyebaran kuesioner terhadap pengelola dan user SIMHP. Hasil kuesioner kemudian divalidasi keterkaitan dan relevansinya dengan sistem SIMHP yang berlaku. Hasil identifikasi risiko menunjukkan area fungsi pengisian TPIII terdiri dari 8 risiko, inputing database sebanyak 4 risiko, verifikasi database sebanyak 2 risiko, pengamanan database sebanyak 6 risiko, dan pelaporan sebanyak 4 risiko Risiko yang telah divalidasi tersebut kemudian dilakukan pengukuran dampak dan likelihoodnya dengan menyebarkan kuesioner kepada pengelola SIMHP. Hasil pengukuran kemudian dianalisis dengan metode ratings dengan software expert choice Setelah itu risiko kemudian dihitung prioritasnya dengan mengalikan nilai dampak dan likelihoodnya. Hasilnya dari risiko yang diidentifikasi sebanyak 24 risiko, sebanyak 4 buah termasuk kategori very high, sebanyak 10 risiko kategori high, sebanyak 6 risiko kategori moderate, sebanyak 2 risiko kategori low dan sebanyak 2 risiko kategori very low. Risiko kategori very high, high dan moderate menjadi prioritas C-3-5

6 dan digunakan untuk analisis berikutnya sedangkan risiko kategori very low dan low tidak diteruskan. Penyusunan Program Audit Penyusunan program audit menggunakan format program audit yang berlaku di BPKP yang terdiri dari tujuan audit dan prosedur atau langkah-langkah audit yang spesifik. Program audit dalam penelitian disusun berdasarkan hasil penilaian risiko. Untuk setiap risiko yang telah ditetapkan prioritasnya (moderate, high dan very high) dapat disusun tujuan auditnya. Tujuan audit spesifik dirumuskan dengan cara memodifikasi kalimat risiko yang telah teridentifikasi menjadi kalimat tujuan yang bersifat positif. Atas setiap tujuan audit kemudian dirumuskan prosedur audit yang relevan untuk mencapai tujuan tersebut. Untuk merumuskan prosedur audit, langkah umum dilaksanakan sebagai berikut: 1) meminta dokumen sumber sebagai kriteria audit, 2) membandingkan dokumen sumber tersebut dengan output sistem informasi, 3) menelusuri sebab apabila terdapat perbedaan dengan teknik audit tracing dokumen atau meminta keterangan langsung kepada petugas pengelola sistem 4) mencatat adanya penyimpangan 5) membuat kesimpulan Penelitian ini menghasilkan 12 prosedur audit untuk area fungsi pengisian TPIII, 7 untuk inputting database, 5 untuk verifikasi database, 14 untuk pengamanan database dan 4 untuk pelaporan. Telaah Program Audit Tahap ini merupakan prosedur standar yang dianut BPKP dalam perencanaan audit yakni setiap program audit yang disusun oleh ketua tim audit harus direviu/ditelaah oleh atasan langsungnya yaitu pengendali teknis. Reviu dilaksanakan dengan mempertimbangkan relevansi, kompetensi dan kecukupan program audit. Untuk melaksanakan telaah dan reviu atas program audit yang disusun, dilakukan penyebaran kuesioner kepada auditor yang memiliki sertifikat pengendali teknis dan dipandang memiliki pemahaman atas pengelolaan SIMHP. Hasil pengumpulan data dari para responden kemudian dijadikan dasar untuk merumuskan revisi atau penyempurnaan atas program audit tersebut. Dalam tahap ini, beberapa prosedur audit direvisi dan ada 1 penambahan prosedur audit. Penyusunan Audit Program Revisi dan Pengalokasian Sumber Daya Program audit yang telah disusun dan direviu kemudian diperbaiki sesuai hasil reviu dan sekaligus dialokasikan sumber daya berupa tim audit dan waktu yang tersedia. Pengendali teknis dalam tim audit berperan sebagai quality assurance yang menilai kinerja personil tim di bawahnya, sehingga pengendali teknis mengikuti seluruh aktivitas auditor dan mereviu kertas kerja auditor. Sedangkan ketua tim dan anggota tim berperan sebagai pelaksana audit yang bertugas mengumpulkan bukti-bukti audit sebagai bahan pengambilan simpulan hasil audit. Setelah program audit terisi lengkap dengan tujuan audit, prosedur audit, pelaksana dan rencana waktu pelaksanaannya, baik untuk program audit pendahuluan, pengujian substantif maupun penyelesaian audit, maka program audit telah memenuhi standar BPKP dan siap diaplikasikan di lapangan. C-3-6

7 KESIMPULAN DAN SARAN Kesimpulan Berdasarkan hasil penelitian dapat disimpulkan hasil penelitian ini berupa kerangka kerja penyusunan program audit dengan tahapan sebagai berikut: 1. Analisis kondisi eksisting 2. Penilaian risiko 3. Penyusunan program audit 4. Telaah program audit 5. Penyusunan program audit revisi dan alokasi sumber daya Kerangka kerja penyusunan program audit sistem informasi tersebut berdasarkan pengujian telah dapat diterima dan memenuhi standar yang berlaku di BPKP. Saran Penelitian ini diharapkan menjadi masukan bagi pimpinan Perwakilan BPKP Provinsi Jawa Timur dan juga bagi peneliti lain yang mengambil topik penelitian audit sistem informasi. Saran untuk pimpinan Perwakilan BPKP Provinsi Jawa Timur sebagai berikut: 1. Pimpinan Perwakilan BPKP Provinsi Jawa Timur disarankan menggunakan hasil penelitian ini untuk menyusun pedoman pelaksanaan audit sistem informasi di Perwakilan BPKP Provinsi Jawa Timur. 2. Pimpinan Perwakilan BPKP Provinsi Jawa Timur disarankan untuk menugaskan tim sebagai pelaksana audit SIMHP dalam rangka perbaikan sistem tersebut dengan menggunakan program audit hasil penelitian ini. Saran untuk penelitian mendatang sebagai berikut: 1. Perlu dilakukan penelitian yang merupakan tahap selanjutnya yaitu pelaksanaan audit sistem informasi berdasarkan kerangka kerja dan program audit yang telah dirumuskan. Penelitian tersebut akan dapat berfungsi untuk menguji keandalan hasil penelitian ini. 2. Perlu dilakukan penelitian dengan menggunakan kerangka kerja yang sama dengan obyek sistem informasi berbeda. Hasil penelitian tersebut akan dapat dibandingkan dengan hasil penelitian dalam tesis ini. DAFTAR PUSTAKA Azwar,S (2001), Reliabilitas dan Validitas SPSS, Pustaka Pelajar, Yogyakarta Hall, James A., Singleton, Tommie, (2007), Information Technology Auditing and Assurance terj., Salemba Empat, Jakarta Information Systems Audit and Control Association, (2008), ITAF, A Professional Practices Framework for IT Assurance, ISACA, Rolling Meadows Information Systems Audit and Control Association, (2010), IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals, ISACA, Rolling Meadows Information System Audit and Control Association, (2010), Standard for Information System and Audit, ISACA, Rolling Meadows C-3-7

8 Julianto Hadi, Untung (2011), Perancangan Model Tata Kelola Pengorganisasian Kecepatan dan Fleksibilitas Layanan Teknologi Informasi pada Rumah Sakit Jiwa, Institute Teknologi Sepuluh November, Surabaya Kee Mew, Mervyn, (2011), ITAF s Persentation, ISACA, Rolling Meadows Menur Surabaya Karya, Gede, (2010), Pengembangan Model Audit Sistem Informasi Berbasis Kendali, Universitas Katolik Parahyangan, Bandung Moeller, Robert R., (2010), IT Audit, Control and Security, John Wiley & Sons, Inc., New Jersey O Brien, James A, (2008), Introducton for Information Systems Terj. Edisi 12, Salemba Empat, Jakarta Saaty, Thomas L., (2008), Decision Making With the Analytic Hierarchy Process, Int. J. Services Sciences, Vol. 1, No. 1 Weber, Ron, (1999), Information System Control and Audit, The University of Queensland, Prentice Hall, New York C-3-8