BAB IV HASIL DAN PEMBAHASAN

Transkripsi

1 BAB IV HASIL DAN PEMBAHASAN 1. Hasil Analisis dan Penjelasannya 1.1 Tahapan dalam Sistem Tahapan proses dalam sistem mencakup langkah-langkah berikut : 1. Menentukan skor atas jawaban dari pengguna mengenai risiko secara umum 2. Menghitung total skor tiap faktor 3. Menginterpretasikan total skor tiap faktor ke dalam tingkatan kualitatif 4. Menghitung total skor tiap jenis risiko 5. Menentukan tingkat risiko untuk tiap jenis risiko 6. Menghitung total risiko keseluruhan 7. Menentukan tingkat risiko keseluruhan 8. Menentukan auditabilitas 9. Menentukan Lingkup & Prosedur Audit 10. Analisis Lingkup & Prosedur Audit yang telah ditetapkan 11 Menentukan skor atas jawaban dari pengguna mengenai risiko sistem aplikasi 12. Menghitung total skor tiap faktor untuk sistem aplikasi 13. Menginterpretasikan total skor tiap faktor ke dalam tingkatan kualitatif 14. Menghitung total risiko sistem aplikasi 15. Menentukan tingkat risiko sistem aplikasi 16. Memilih sistem aplikasi yang akan diaudit 17. Membuat perkiraan waktu audit 18. Menentukan target, waktu, jumlah dan komposisi auditor 19. Menentukan prioritas BUMN yang akan diaudit 1.2 Pengkajian risiko sistem informasi. a. Pengkajian risiko secara umum. Total Risiko = Risiko Bisnis + Risiko Kendali + Risiko Informasi + Risiko Deteksi. Pengkajian risiko untuk tiap jenis risiko akan didasarkan pada berbagai faktor yang ditetapkan oleh penulis sendiri. Pada masing-masing faktor penulis menetapkan skor untuk setiap jawaban. Hasil pengkajian dari masing-masing jenis risiko akan menetapkan tingkat risiko masing-masing ke dalam tiga kelompok risiko, yaitu : tinggi, sedang, dan rendah. Keempat jenis risiko akan digabungkan sehingga mendapatkan risiko keseluruhan. Risiko keseluruhan juga ditetapkan ke dalam tiga kelompok risiko, yaitu : tinggi, sedang, dan rendah. Dari tingkat risiko yang diketahui, sistem akan memberikan saran mengenai lingkup audit, prosedur audit, dan perkiraan waktu audit serta jumlah dan kualifikasi auditor. Frekuensi Audit.

2 Pengkajian risiko sistem informasi ini perlu dilaksanakan terhadap semua BUMN setiap tahun sekali atau setiap kali ada perubahan penting. BUMN yang memiliki risiko tinggi akan diprioritaskan untuk diaudit. Identifikasi Lingkup dan Prosedur Audit. Secara umum, audit sistem informasi untuk BUMN difokuskan pada delapan bidang utama yang masing-masing bidang mencakup beberapa lingkup khusus, yaitu: - Lingkup 1 (L1): Operasi Sistem Informasi - Lingkup 2 (L2): Manajemen Sistem Informasi - Lingkup 3 (L3): Pengembangan, Perolehan, dan Perawatan Sistem Informasi : - Lingkup 4 (L4): Sistem Aplikasi yang Operasional - Lingkup 5 (L5): Manajemen Database - Lingkup 6 (L6): Pengolahan Data Tersebar dan Operasi Jaringan - Lingkup 7 (L7): Komputer Mikro - Lingkup 8 (L8) : Jaringan Lokal (Local Area Network) Masing-masing lingkup audit akan dibuatkan prosedur auditnya yang dikelompokkan dalam tiga jenis, yaitu : - Prosedur a (Pa) = prosedur luas jika tingkat risiko secara umum tinggi, - Prosedur b (Pb) = prosedur standar jika tingkat risiko secara umum sedang, dan - Prosedur c (Pc) = prosedur terbatas jika tingkat risiko secara umum rendah. b. Pengkajian risiko untuk tiap aplikasi. Ini diperlukan jika : - BUMN memiliki banyak (lebih dari dua) sistem aplikasi, dan - hasil pengkajian risiko secara umum menentukan bahwa termasuk di dalam lingkup audit yang disarankan adalah pengembangan, perolehan, dan perawatan sistem dan / atau sistem aplikasi yang operasional. Penentuan waktu audit, jumlah dan kualifikasi auditor. Perkiraan waktu audit, jumlah dan kualifikasi auditor ditentukan berdasar : - luas lingkup audit, - kompleksitas teknologi secara umum dan per aplikasi, - jumlah cabang / lokasi operasi, dan - pengalaman audit (pertama kali atau lanjutan). Untuk menentukan jumlah auditor yang diperlukan maka jumlah waktu audit tersebut akan dibagi dengan jumlah hari kalender yang ditargetkan untuk menyelesaikan audit. Misalkan jumlah waktu audit adalah 200 hari-orang dan ditargetkan selesai dalam 40 hari, maka diperlukan 5 auditor. Kualifikasi auditor ditetapkan ke dalam tiga kategori yaitu : 1. Kategori A, untuk auditor yang memiliki : - pendidikan minimum S1 bidang Akuntansi - masa kerja lebih dari lima tahun - pendidikan dan pelatihan Audit Sistem Informasi lebih dari enam bulan - pengalaman audit sistem informasi lebih dari 8 kali. 2. Kategori B, untuk auditor yang memiliki : - pendidikan minimum D3 bidang Akuntansi / Komputer - masa kerja 3-5 tahun

3 - pendidikan dan pelatihan Audit Sistem Informasi 3-6 bulan - pengalaman audit sistem informasi 4-8 kali. 3. Kategori C, untuk auditor yang memiliki : - pendidikan minimum D3 bidang Akuntansi / Komputer - masa kerja kurang dari tiga tahun - pendidikan dan pelatihan Audit Sistem Informasi kurang dari tiga bulan - pengalaman audit sistem informasi kurang dari 4 kali.

4 2. Pembahasan Rancangan Sistem 2.1 Pengkajian risiko secara umum a. Faktor-faktor Untuk Pengkajian Risiko dan Penentuan Risiko. Faktor-faktor Pengkajian Risiko Bisnis : 1. Sifat Organisasi. a. Bidang Usaha Pokok : 1. Perbankan 5 2. Lembaga Keuangan Non Bank 4 3. Jasa Transportasi Udara 5 4. Jasa Transportasi Lainnya 3 5. Jasa Komunikasi 5 6. Jasa Konstruksi 2 7. Pertambangan 4 8. Manufaktur 3 9. Farmasi Perdagangan umum Agrobisnis Lain-lain, sebutkan :... ( = Total / 2) a. Apakah jumlah transaksi per hari lebih dari transaksi? 1. Ya 4 2. Tidak 2 b. Apakah jumlah pelanggan lebih dari ? 1. Ya 3 2. Tidak 1 c. Apakah kecepatan layanan sangat penting? 1. Ya 3 2. Tidak 1 b. Investasi sumber daya sistem informasi : b.1 Nilai perolehan aktiva sistem informasi (hardware dan software) : 1. Di atas Rp 50 milyar 4 2. Rp milyar 3 3. Rp 1-9 milyar 2 4. Di bawah Rp 1 milyar 1 b.2 Pengeluaran untuk operasi TI / Biaya komputer : 1. Di atas Rp 10 milyar 4 2. Rp 1-9,9 milyar 3 3. Rp juta 2 4. Di bawah Rp 100 juta 1

5 b.3 Jumlah karyawan bidang TI 1. Di atas 100 orang orang 2 3. Di bawah 10 orang 1 b.4 Nilai Projek Sistem Informasi tahun ini : 1. Di atas Rp 10 milyar 3 2. Rp 1-9,9 milyar 2 3. Di bawah Rp 1 milyar 1 4. Tidak ada. 0 c. Ketergantungan Pada TI c.1 Apakah Sistem Informasi merupakan bagian dari Critical Success Factors (organisasi harus menggunakan TI agar dapat beroperasi semestinya)? 1. Ya 2 2. Tidak 0 c.2 Dampak kegagalan TI : 1. kerugian keuangan dan kemungkinan terjadinya bencana/tuntutan hukum 5 2. kerugian keuangan 3 3. akuntansi / pelaporan / pekerjaan administratif terhambat 1 > = 16 < 16 Sifat Organisasi Padat TI Tidak Padat TI 2. Pengelolaan TI a. Kualitas Perencanaan a.1 Apakah terdapat perencanaan stratejik sistem informasi? 1. Ya, memadai 1 2. Ya, kurang memadai 2 3. Tidak ada 3 a.2 Apakah terdapat perencanaan jangka pendek sistem informasi? 1. Ya, memadai 1 2. Ya, kurang memadai 2 3. Tidak 3 b. Operasi Sistem Informasi b.1 Apakah sistem informasi pernah mengalami gangguan sehingga terhenti? 1. Ya, beberapa kali dalam sebulan 5 2. Ya, satu - dua kali dalam sebulan 3 3. Jarang sekali 1 b.2 Apakah perusahaan memiliki fasilitas backup dan recovery? 1. Ya, memadai 0 2. Ya, kurang memadai / belum jelas 3 3. Tidak 5

6 Pengelolaan TI < 7 Memadai 7-11 Sedang > 11 Kurang Penentuan Risiko Bisnis : Total Risiko Bisnis > 31 Tinggi Sedang < 21 Rendah Pengkajian Risiko Kendali : 1. Potensi kesalahan, penyimpangan, dan kejahatan a. Apakah transaksi / operasi utama langsung mengakibatkan pengeluaran / penerimaan uang / aset : 1. Ya 3 2. Tidak 0 b. Penerapan End User Computing 1. Di semua / sebagian besar user 3 2. Di beberapa user 2 3. Tidak ada 0 c. Apakah supervisi terhadap operasi utama berjalan efektif? 1. Ya 0 2. Tidak 3 d. Manajemen Sumber Daya Manusia Bagaimana Manajemen SDM untuk bidang sistem informasi ditinjau dari sistem karir, renumerasi, perekrutan, dan diklat? 1. bagus 1 2. cukup 3 3. kurang bagus 5 Potensi Penyimpangan > 10 Tinggi 6-10 Sedang < 6 Rendah 2. Keandalan sistem kendali internal : a. Kendali Manajemen, mencakup : a.1 Apakah Kebijakan, Standar, dan Prosedur tersedia dalam bentuk tertulis dan memadai? 1. Ya, semuanya 1 2. Sebagian besar 2

7 3. Sebagian kecil 5 a.2 Apakah Pemisahan Fungsi dilakukan secara memadai antara fungsi di dalam bagian Sistem Informasi dan antara user dengan bagian sistem informasi? 1. Ya, semuanya 0 2. Sebagian besar 2 3. Sebagian kecil 5 b. Kendali Umum dan Lingkungan : b.1 Apakah Prosedur Akses Fisikal dan Lojikal memadai? 1. Ya 1 2. Kurang 5 b.2 Apakah Prosedur Pencegahan dan Penanggulangan Bencana memadai? 1. Ya 1 2. Kurang 5 Keandalan Kendali Internal <9 Tinggi 9-14 Sedang > 14 Rendah 3. Peranan auditor internal a. Bagaimana peranan auditor internal ditinjau dari kedudukan, jumlah personil, kualifikasi personil dan tanggung jawabnya? 1. Memadai 1 2. Sedang 3 3. Rendah 5 b. Bagaimana peranan auditor sistem informasi ditinjau dari kedudukan, jumlah personil, kualifikasi personil dan tanggung jawabnya? 1. Memadai 1 2. Sedang 2 3. Rendah 3 4. Tidak ada 5 5. Belum perlu 1 Peranan Auditor Internal < 5 Memadai 5-7 Sedang > 7 Kurang Penentuan Risiko Kendali : Total Risiko Kendali > 31 Tinggi Sedang < 19 Rendah

8 Pengkajian Risiko Informasi : 1. Kualitas Informasi a.. Apakah ada keluhan mengenai informasi yang tidak akurat? 1. Sering 3 2. Jarang 1 3. Tidak tahu 2 b. Apakah ada keluhan mengenai data / informasi yang diterima tidak tepat waktu? 1. Sering 3 2. Jarang 1 3. Tidak tahu 2 Kualitas Informasi < 3 Memadai 3-4 Sedang > 4 Rendah 2. Ketersediaan data / informasi a. Apakah sistem mampu menyediakan semua data / informasi yang dibutuhkan secara periodik? 1. Ya 0 2. Tidak tentu 3 b. Apakah sistem mampu menyediakan semua data / informasi yang dibutuhkan secara mendadak? 1. Ya 0 2. Tidak tentu 3 Ketersediaan Data / Informasi 0 Memadai 3 Sedang 6 Rendah Penentuan Risiko Informasi : Total Risiko Informasi > 8 Tinggi 5-8 Sedang < 4 Rendah Pengkajian Risiko Deteksi :

9 1. Ukuran Organisasi (raksasa, besar, menengah, kecil) a. total aset 1. Di atas Rp 10 trilyun 4 2. Rp 2,5-9,99 trilyun 3 3. Rp 50 milyar - 2,49 trilyun 2 4. Di bawah Rp 50 milyar 1 b. jumlah karyawan 1. Di atas orang orang orang 2 4. Di bawah 100 orang 1 c. jumlah cabang / lokasi operasi: 1. Di atas 100 cabang / lokasi cabang / lokasi cabang / lokasi cabang / lokasi cabang / lokasi 1 6. tidak ada 0 d. jumlah bidang usaha / produk 1. Di atas 10 bidang / produk bidang / produk bidang / produk 1 Ukuran Organisasi > 13 Raksasa Besar 6-9 Menengah < 6 Kecil 2. Tingkat Kompleksitas Pemanfaatan Teknologi Informasi a. Pemanfaatan TI 1. semua bidang (utama dan pendukung) 4 2. semua bidang operasi utama dan beberapa bidang pendukung 3 3. beberapa bidang utama dan beberapa bidang pendukung 2 4. bidang pendukung / administrasi saja 1 b. Sifat sistem utama : 1. on-line / real-time 5 2. on-line data entry / batch processing 3 3. batch 1 c. Platform teknologi : 1. main frame + mini + mikro 5 2. main fame + mikro atau mini + mikro 3 3. mikro 1 d. Jaringan : 1. WAN + LAN 5 2. LAN 3

10 3. Tidak ada 0 e. Lokasi Pengolahan Data : 1. terpusat semua 2 2. sebagian terpusat, sebagian tersebar 3 Kompleksitas TI > 16 Tinggi / Dominan Sedang / Signifikan < 11 Rendah / Minor Penentuan Risiko Deteksi : Total Risiko Deteksi > 27 Tinggi Sedang < 18 Rendah b. Penentuan Kelayakan Audit untuk tiap jenis risiko dijumlahkan dan hasilnya diinterpretasikan ke tingkat risiko sebagai berikut : Total Keseluruhan Tingkat Risiko > 98 Tinggi Sedang < 62 Rendah BUMN yang memiliki skor di bawah 30 dinyatakan tidak perlu diaudit mengingat sifat organisasi yang tidak padat TI, risiko kendali yang rendah, ukuran organisasi yang kecil, dan kompleksitas teknis yang rendah. BUMN yang memiliki skor di atas 30 dinyatakan layak audit. c. Penentuan Lingkup Audit dan Prosedur Audit. Untuk BUMN yang layak audit disarankan lingkup dan jenis prosedur audit sebagai berikut: Sifat Organisasi Kompleksitas TI Tingkat Risiko Lingkup (L) & Prosedur (P) Audit Padat TI Tinggi Tinggi 1 = L1-P1a s.d. L8-P8a Sedang 2 = L1-P1a s.d. L3-P3a, L4-P4b s.d. L8-P8b Rendah 3 = L1-P1b s.d. L3-P3b, L4-P4c, L6-P6c Sedang Tinggi 4 = L1-P1a s.d. L4-P4a, L5-P5b s.d. L8-P8b

11 Sedang 5 = L1-P1b s.d. L4-P4b, L6-P6b, L7-P7b Rendah 6 = L1-P1c, L2-P2b, L3,P3b, L4-P4c, L7-P7c Tidak Padat TI Sedang Sedang 7 = L1-P1c, L2-P2b, L4-P4b, L7-P7b Rendah 8 = L1-P1c, L2-P2c, L4-P4c, L7-P7c Rendah Sedang 9 = L1-P1c, L2-P2c, L4-P4b, L7-P7b Rendah 10 = L1-P1c, L4-P4c, L7-P7c Penjelasan : L1 - L8 = Lingkup Audit 1 - Lingkup Audit 8 P1a = Prosedur Audit 1 Luas P1b = Prosedur Audit 1 Standar P1c = Prosedur Audit 1 Terbatas, dan seterusnya. 2.2 Pengkajian Risiko Terhadap Sistem Aplikasi. a. Faktor-faktor untuk Pengkajian Risiko dan Penentuan Risiko. FAKTOR-FAKTOR SKOR I. STATUS PROJEK (Bobot = 0,20) A. Sifat Projek Pengembangan Aplikasi : 1. Aplikasi baru dikembangkan di dalam perusahaan 5 2. Paket aplikasi dibeli dari vendor 3 3. Perubahan besar yang berpengaruh thd. fungsi 2 4. Perubahan kecil 1 B. Sejarah Perubahan dari Aplikasi : 1. Perubahan penting dalam dua tahun terakhir 5 2. Perubahan kecil dalam dua tahun terakhir 3 3. Sudah dua tahun tidak ada perubahan 2 4. Aplikasi baru (belum ada perubahan) 0 C. Tim Projek Pengembangan : 1. Kontraktor 5 2. Gabungan Kelompok Pengembang Internal dan Kontraktor 4 3. Kelompok Pengembang Internal 3 3. Vendor, utk. paket aplikasi 1

12 D. Tim Manajemen Projek : 1. Kelompok pemakai 5 2. Kelompok Sistem Informasi 3 3. Gabungan pemakai dan sistem informasi 1 E. Keterkaitan Manajemen Puncak : 1. Projek dimandatkan oleh manajemen puncak 5 2. Permintaan dari unit operasi atau divisi 4 3. Permintaan user atau bagian secara individu 3 F. Estimasi nilai projek : 1. Di atas Rp 5 milyar 5 2. Rp 2,5 milyar - Rp 4,9 milyar 4 3. Rp 1 milyar - Rp 2,4 milyar 3 4. Rp 100 juta - Rp 999 juta 2 5. Di bawah Rp 100 juta 1 G. Estimasi waktu pelaksanaan projek : 1. Di atas hari-orang hari-orang hari-orang hari-orang 2 5. Di bawah 100 hari-orang 1 Interpretasi : Total Tertimbang (Bobot = 0,25) Status Projek > 32 > 8,0 Penting ,0-8,0 Cukup < 20 < 5,0 Kurang Penting II. SIGNIFIKANSI AUDIT DAN KENDALI (Bobot = 0,35) A. Jenis Aplikasi 1. Mempengaruhi saldo laporan keuangan 5 2. Mendukung operasi utama organisasi 5 3. Mendukung saldo laporan keuangan 4 4. Mendukung administratif atau logistik 2 5. Aplikasi untuk statistik atau riset 1 B. Keterlibatan audit sebelumnya : 1. Audit sebelumnya dengan rekomendasi luas 5 2. Audit sebelumnya dengan rekomendasi terbatas 4 3. Review terhadap area yang terkait / manual 3 4. Belum pernah diaudit 3 C. Prosedur Kendali Aplikasi :

13 1. Kendali internal di dalam aplikasi 5 2. Kendali antar proses dengan sistem yang lain 4 3. Kendali on-line yang dirawat oleh user 3 4. Kendali batch 2 D. Tanggung jawab kendali aplikasi : 1. Kendali ditangani di dalam aplikasi 5 2. Tanggung jawab user di lokasi terpisah 4 3. Tanggung jawab user lokal 3 4. Sistem kendali paralel dan manual 2 E. Kemampuan Alat bantu audit berbantuan komputer : 1. Sistem aplikasi menyediakan fasilitas audit 5 2. Potensi pemanfaatan perangkat lunak audit 4 3. Potensi pemanfaatan 4 GL (Generation Language) 3 4. Tidak ada rencana untuk audit berbantuan komputer 2 Total Tertimbang (Bobot = 0,35) Signifikansi Audit & Kendali > 20 > 7,0 Tinggi ,0 Sedang < 16 < 5,6 Rendah III. KOMPLEKSITAS TEKNIS (Bobot = 0,10) A. Bahasa pemrograman yang digunakan : 1. Bahasa khusus seperti LISP 5 2. Gabungan COBOL dan bahasa lain 4 3. Program COBOL yang dikembangkan di perusahaan 3 4. Program COBOL hasil dari application generator 2 5. Report Generator atau 4 GL lainnya 1 6. Aplikasi yang dibeli (tanpa pemrograman) 1 B. Prosedur Database yang digunakan : 1. Aplikasi database tersebar 5 2. Database tunggal, produk baru 4 3. Database tunggal, produk yang sudah dikenal 3 4. File data jenis VSAM atau ISAM 2 5. Sistem file pita 1 C. Pendekatan Metodologi Pengembangan Sistem (MPS): 1. Prosedur MPS baru yang sedang dikenalkan 5 2. Prosedur MPS yang sudah dikenal 4 3. Pengembangan dengan prototype 3 4. Aplikasi yang dibeli (MPS tidak penting) 1

14 D. Kebutuhan perangkat keras untuk aplikasi : 1. Sistem komputer baru 5 2. Alat-alat pendukung baru 4 3. Konfigurasi sistem baru atau direvisi 3 4. Peralatan yang ada sekarang 1 E. Pemahaman tim projek terhadap lingkungan teknis : 1. Tim belum mengenal perangkat keras / lunak yang digunakan 5 2. Mengenal secara terbatas 3 3. Mengenal secara kuat 1 F. Jumlah modul / program dalam satu aplikasi : 1. Di atas 50 modul / program modul / program modul / program 3 4. Di bawah 10 modul / program 1 G. Jumlah file data (tidak termasuk indeks) yang terkait dengan sistem aplikasi : 1. Di atas 50 file file file 3 4. Di bawah 10 file 1 Total Tertimbang (Bobot = 0,10) Kompleksitas Teknis > 26 > 2,6 Tinggi ,7-2,6 Sedang < 17 < 1,7 Rendah IV. INTERRELASI / KETERHUBUNGAN DENGAN APLIKASI LAIN (Bobot = 0,10) A. Ketergantungan dengan aplikasi lain : 1. Input dari jaringan terpusat 5 2. Input dari jaringan sistem tersebar 4 3. Input dari sistem terintegrasi lokal 3 4. Input dari pita atau media lain 2 5. Aplikasi berdiri sendiri 1 B. Kebutuhan untuk mensuplai aplikasi lain : 1. Output dikirim langsung ke jaringan 5 2. Output langsung melalui database bersama 4 3. Output melalui transfer file 3 4. Output melalui review dan pemasukan ulang 2 5. Aplikasi berdiri sendiri 1

15 C. Hubungan komunikasi dari aplikasi : 1. Telekomunikasi melalui jaringan khusus 5 2. Komunikasi melalui jalur telpon 4 3. Pemakaian hubungan jarak jauh standar 3 4. Pemakaian hubungan lokal 2 5. Aplikasi berdiri sendiri 1 D. Interrelasi dengan fasilitas pemakai akhir : 1. Upload dan download dari file aplikasi 5 2. Upload dan download dari file hasil ekstraksi 4 3. Hanya download oleh pemakai akhir 3 4. Aplikasi berdiri sendiri 1 E. Pertimbangan interrelasi teknikal : 1. Protokol H/W dan S/W yang unik 5 2. H/W umum - S/W unik 4 3. Hubungan H/W dan S/W umum 3 4. Aplikasi berdiri sendiri 1 Total Tertimbang (Bobot = 0,10) Interrelasi dng. Aplikasi Lain > 20 > 2,0 Tinggi ,5-1,9 Sedang < 15 < 1,5 Rendah V. DAMPAK DARI KEGAGALAN APLIKASI (Bobot = 0,25) A. Dampak dari keluaran yang tidak benar 1. Kemungkinan kewajiban / tuntutan hukum 5 2. Mempengaruhi saldo terhadap laporan keuangan 4 3. Potensi untuk keputusan yang salah 3 4. Dukungan untuk pengambilan keputusan menjadi sangat terbatas 2 B. Dampak dari data atau file yang tidak benar: 1. Hasil yang salah dikirimkan ke sistem lain / proses berikut 5 2. Data yang rusak perlu rekonstruksi / pemasukan ulang 4 3. Data yang rusak perlu pemrosesan ulang 3 C. Dampak kegagalan terhadap operasi komputer: 1. Masalah penjadwalan dengan sistem terkait 5 2. Penyesuaian jadwal untuk pemrosesan ulang 3 3. Dampak minimal (aplikasi pemakai akhir) 1 D. Dampak kegagalan terhadap sistem manajemen projek : 1. Perlu menjadwal ulang sistem yang direncanakan 5

16 2. Perlu merencanakan aplikasi yang direvisi 3 3. Perlu merencanakan perbaikan aplikasi 1 E. Dampak kegagalan terhadap personil : 1. Perlu tambahan waktu untuk analisis manajemen 5 2. Perlu tambahan waktu untuk pekerjaan klerikal 4 3. Perlu upaya dari pemrogram atau analis sistem 3 4. Perlu dukungan dari vendor untuk perangkat lunak yang dibeli 2 Total Tertimbang (Bobot = 0,25) Dampak Kegagalan Aplikasi > 19 > 4,75 Penting ,5-4,75 Sedang < 14 < 3,5 Kurang Penting b. Penentuan Aplikasi yang Akan Dipilih Penilaian Risiko. Jumlahkan nilai dari tiap faktor utama (I - V) kemudian kalikan dengan bobotnya. Hasilnya berupa skor kritikal untuk aplikasi (modul) yang bersangkutan. yang diperoleh dari suatu aplikasi dibandingkan dengan aplikasi lain. yang lebih besar menunjukkan tingkat risiko yang lebih tinggi. Tabel penghitungan skor tertimbang. Faktor-faktor Total Bobot I. Status Projek 0,20 II. Signifikansi Kendali & Audit 0,35 III. Kompleksitas Teknis 0,10 IV. Interrelasi dengan aplikasi lain 0,10 V. Dampak dari kegagalan aplikasi 0,25 Total 1,00 Tertimbang Interpretasi : Total Tertimbang > 22,8 Tinggi 15,5-22,8 Sedang < 15,5 Rendah Tingkat Risiko Aplikasi Pemilihan Aplikasi.

17 Setelah terhadap semua aplikasi dilakukan pengkajian risiko, lalu dibuat urutan berdasar total skor risiko terbesar. Aplikasi yang memiliki skor risiko terbesar akan dipilih untuk diaudit dengan mempertimbangkan tingkat risikonya. Pemilihan jumlah aplikasi yang akan diaudit ditentukan berdasar risiko secara umum dan risiko aplikasi sebagai berikut : Risiko Secara Umum Tinggi Sedang Rendah Jumlah aplikasi berisiko tinggi > > > 1 Aplikasi yang dipilih maks. 4 aplikasi berisiko sedang semua aplikasi berisiko tinggi maks. 5 aplikasi berisiko tinggi maks. 3 aplikasi berisiko sedang semua aplikasi berisiko tinggi + maks. 2 aplikasi berisiko sedang maks. 4 aplikasi berisiko tinggi maks. 2 aplikasi berisiko sedang 1 aplikasi berisiko tinggi + 1 aplikasi berisiko sedang maks. 3 c. Penentuan Waktu Audit Untuk menentukan waktu audit (WA) penulis mengembangkan rumus berikut : WA = (20*L)*(a*K)+(b*C) +/- 10 % dimana : L = besaran untuk Lingkup & Prosedur Audit yang ditentukan sebagai berikut : Lingkup & Kategori L Prosedur Audit 1, 2 3,4,5 6,7 8,9,10 Sangat Luas Luas Sedang Terbatas Kategori lingkup dan prosedur audit juga dapat ditentukan dari kebijakan manajemen dalam menentukan luas lingkup audit. Misalnya menurut sistem lingkup & prosedur audit adalah kelompok 1 ( Sangat Luas ), dan manajemen memutuskan hanya akan mengaudit sebagian dari sasaran yang disarankan maka lingkup & prosedur audit dapat dikategorikan ke Luas atau bahkan Sedang, tergantung sejauh mana pengurangan sasaran auditnya. a = faktor pengali untuk tingkat kompleksitas yang dibedakan antara BUMN yang memiliki dengan yang tidak memiliki kantor cabang / lokasi operasi lain. a = 0,55 untuk BUMN yang memiliki kantor cabang / lokasi operasi lain a = 0,50 untuk BUMN yang tidak memiliki kantor cabang/lokasi operasi lain

18 K = besaran untuk tingkat kompleksitas, dengan ketentuan : Tingkat Kompleksitas TI K Tinggi 5 Sedang 4 Rendah 3 b = faktor pengali untuk jumlah kantor cabang / lokasi operasi selain kantor pusat Jumlah Cabang / Lokasi Operasi b , ,5 > C = Jumlah Cabang, dengan ketentuan : Contoh : Jumlah Cabang C Jml. Cab. C > 100 Sesuai Jumlah Cabang yang Ada Dibulatkan ke atas ke lima satuan Dibulatkan ke atas ke puluhan Dibulatkan ke atas ke dua puluh lima satuan /- 10 % = penambahan / pengurangan waktu audit, ditentukan berdasar pengalaman audit pada organisasi yang bersangkutan dengan ketentuan sebagai berikut : Pengalaman Audit 0 (audit pertama kali) 1 kali 2 kali 3 kali > 3 kali Penambahan/Pengurangan + 10 % + 5 % tidak ada - 5 % - 10 % Penentuan jumlah cabang yang perlu dijadikan sampel audit tidak dibahas di sini, namun tim audit dapat memperkirakannya dengan melihat pada jumlah waktu audit. Jumlah cabang yang akan diaudit disesuaikan dengan tingkat risiko. Makin tinggi risiko, maka jumlah cabang yang diaudit akan makin banyak. Penentuan jumlah cabang ini dapat menggunakan metode pemilihan sampel secara statistikal atau kebijakan (judgemental). d. Penentuan Target Waktu dan Jumlah Auditor. Target waktu pelaksanaan audit umumnya ditentukan oleh Kepala Auditorat atau Auditor Utama. Hal ini dikaitkan dengan rencana kerja audit tahunan. Secara umum target waktu audit ditetapkan dalam ukuran bulan atau hari kerja, misalnya 1 bulan (setara dengan 20 hari kerja), 25 hari kerja, dsb. Sistem akan memberikan dua saran target waktu audit berikut jumlah dan komposisi auditor. Sistem juga akan menanyakan ke pemakai mengenai target waktu yang dikehendaki. Keputusan akan dibuat berdasar target waktu yang ditetapkan oleh pengguna sistem.

19 e. Penentuan Komposisi Tim Audit. Komposisi Auditor Lingkup & Kompleksitas TI Kategori A Kategori B Kategori C Prosedur Audit Sangat Luas Tinggi Sedang / Rendah min. 2 orang min. 1 orang min. 3 orang min. 2 orang maks. 4 orang maks. 4 orang Luas Tinggi Sedang / Rendah min. 2 orang min. 1 orang min. 2 orang min. 2 orang maks. 4 orang maks. 4 orang Sedang Tinggi Sedang / Rendah min. 2 orang min. 1 orang min. 2 orang min. 2 orang maks. 4 orang maks. 4 orang Terbatas Tinggi Sedang / Rendah min. 1 orang min. 1 orang min. 2 orang min. 1 orang maks. 4 orang maks. 4 orang f. Penentuan BUMN yang diprioritaskan untuk diaudit. Setelah terhadap semua BUMN dilakukan pengkajian risiko, kemudian dibuat urutan berdasar total skor risiko yang terbesar. BUMN yang menduduki peringkat atas akan diprioritaskan untuk diaudit.