INTEGRAL, Vol. 9 No. 1, Maret 2004
PENGEMBANGAN MODEL AUDIT SISTEM
INFORMASI BERBASIS KENDALI
Gede Karya
Jurusan Ilmu Komputer, Fakultas Matematika dan Ilmu Pengetahuan Alam,
Universitas Katholik Parahyangan, Bandung
E-mail : gkarya@home.unpar.ac.id
Intisari
Makalah ini membahas pengembangan model audit sistem informasi berbasis
kendali untuk mencegah terjadinya kegagalan sistem informasi guna
menyelamatkan aset informasi, menjaga integritas data dan meningkatkan efisiensi
dan efektifitas pencapaian tujuan suatu organisasi. Model ini dikembangkan
berdasarkan konsep fungsional dan kendali sistem informasi dengan menggunakan
sistem penilaian kualitatif berbasis standar manajemen mutu ISO 9001-2000.
Kata kunci: sistem informasi, audit, kendali, penilaian kualitatif, ISO 9001-2000.
Abstract
This peper discuss about model development of control based information system
audit to prevent information system’s failure of asset safeguard, keep data integrity
and improve effectivity and efficiency of organization’s goal. This model is
developed based on information system functionality concept and control, with
qualitative mesuaremet system based on ISO 9001-2000 quality management
standar.
Key Word: information system, audit, control, qualitative measurement, ISO 9001-2000.
Diterima : 27 Februari 2004
Disetujui untuk dipublikasikan : 16 Maret 2004
1. Pendahuluan telekomunikasi dan informatika, yang
Informasi merupakan salah satu sumber daya mencakup teknologi komputer (perangkat
strategis suatu organisasi, oleh karena itu, keras, perangkat lunak) dan didukung dengan
untuk mendukung tercapainya visi dan misi teknologi telekomunikasi, khususnya
suatu organisasi, pengelolaan informasi komunikasi data digital sebagai infrastruktur
menjadi salah satu kunci sukses. dari jaringan komputer.
Sistem informasi merupakan salah satu sub Perlu teknik untuk mengendalikan dan
sistem organisasi untuk mengelola informasi. memastikan bahwa sistem informasi sudah
Saat ini sistem informasi dioperasikan oleh sesuai dengan tujuan organisasi. Audit sitem
hampir seluruh sumber daya manusia suatu informasi merupakan suatu cara untuk menilai
organisasi sehingga tidak dapat dipisahkan sejauh mana suatu sistem informasi telah
dengan operasi dan kehidupan organisasi. mencapai tujuan organisasi.
Teknologi informasi merupakan komponen Penelitian ini ditujukan untuk mencari model
penting dari sistem informasi, selain data/ untuk mengaudit sistem informasi berbasis
informasi, sumber daya manusia dan kendali. Model yang dikembangkan
organisasi. Teknologi informasi yang mencakup: (1) konsep struktur/ kerangka dan
dimaksud adalah teknologi telematika, prosedur pelaksanaan audit, (2) materi/ isi
51
INTEGRAL, Vol. 9 No. 1, Maret 2004
yang dijadikan sebagai tolok ukur untuk 3. Standar Penilaian Kondisi Sistem
penilaian dan (3) perangkat lunak bantu ISA- Mutu ISO 9001-2000
R yang memudahkan dokumentasi dan ISO 9001-2000 merupakan standar
pengolahan hasil audit. Pada makalah ini akan manajemen mutu yang dikeluarkan oleh
diuraikan konsep struktur/ kerangka dan International Standar Organization (ISO) [4].
prosedur audit sistem informasi saja, dua Pada standar ini, penilaian kondisi sistem mutu
bagian lainnya akan disampaikan pada mempunyai 4 skala [5], yaitu: P (Poor), W
makalah terpisah. (Weak), F (Fair), S (Strong) yang kriterianya
2. Audit Sistem Informasi Berbasis dapat dilihat pada tabel 3.1.
Kendali Tabel 3.1.
2.1. Audit Sistem Informasi Kriteria penilaian pada ISO 9001-2000
Sistem informasi [1] adalah sekumpulan Kriteria Interpretasi
komponen yang saling berhubungan yang P (Poor) Sistem mutu praktis belum
mengumpulkan (collect/ retrieve), memproses, terbentuk. Sangat disarankan
menyimpan dan mendistribusikan informasi untuk meninjau ulang
untuk mendukung pembuatan keputusan dan keseluruhan proses.
pengendalian suatu organisasi. Direkomendasikan pula untuk
Informasi adalah data yang telah diolah mengadakan suatu pelatihan
menjadi bentuk yang bermakna dan intensif & menyeluruh mengenai
bermanfaat bagi pemakai. TQM (Total Quality
Data adalah fakta yang menyatakan suatu Management), metode-metode
kejadian atau lingkungan fisik yang belum serta tekniknya disamping
dikelola menjadi bentuk yang bermakna dan mengadakan pelatihan/konsultasi
bermanfaat bagi manusia. ISO 9001-2000.
Audit sistem informasi didefinisikan sebagai W Masih banyak elemen sistem
proses pengumpulan dan evaluasi fakta/ (Weak) manajemen mutu yang tidak
evidence untuk menentukan apakah suatu sesuai dengan standar sistem
sistem informasi telah melindungi aset, manajemen mutu ISO 9001-2000.
menjaga integritas data, dan memungkinkan Organisasi harus banyak
tujuan organisasi tercapai secara efektif melakukan orientasi dan pelatihan
dengan menggunakan sumber daya secara yang khusus mengenai ISO 9001-
efisien [2]. 2000. Apabila organisasi serius
Dalam pelaksanaan audit digunakan etika untuk mendapatkan sertifikasi
profesi yang dirumuskan oleh organisasi ISO 9001-2000 harus dibentuk
profesi Information System Audit and Control suatu steering committee dan
Association (ISACA) meminta bantuan dari para ahli
2.2. Kendali Sistem Informasi pelatihan/konsultan ISO 9001-
Kendali merupakan suatu sistem yang 2000.
mencegah, mendeteksi atau memperbaiki F (Fair) Beberapa elemen sistem telah
kejadian yang tidak dibenarkan (unlawful sesuai dengan standar sistem
events) [2]. Unlawful events dapat berupa: manajemen mutu ISO 9001-2000,
unauttorized, inaccurate, incomplete, tetapi masih ada bagian yang
redundant, ineffective atau inefficient event. penting dari sistem mutu yang
Kendali dapat mengurangi kesalahan yang belum sesuai dengan standar
mungkin terjadi dari kejadian-kejadian yang tersebut atau bahkan tidak ada
tidak dibenarkan dengan cara: mengurangi sama sekali. Temukan dengan
kemungkinan kemunculan kejadian yang tidak tepat area tersebut dan terapkan
dibenarkan; membatasi kesalahan/ kerusakan sistem/standar yang diminta.
jika kejadian yang tidak dibenarkan tersebut Sebagai petunjuk tambahan dapat
terjadi. digunakan petunjuk (manual)
Dalam audit berbasis kendali dilakukan resmi seperti ISO 9001-2000 atau
serangkaian kegiatan untuk melihat tingkat dapatkan pelayanan dari para
kehandalan kendali-kendali tersebut. ahli/konsultan ISO 9001-2000.
52
INTEGRAL, Vol. 9 No. 1, Maret 2004
Sedangkan dilihat dari fungsi aplikasi, sistem
S (Strong) Sebagian besar persyaratan dalam informasi dapat dimodelkan seperti pada
ISO 9001-2000 telah dapat gambar 4.2.
Sistem Informasi
dipenuhi oleh sistem. Periksalah Prosedur
bagian/area yang angka
Aplikasi
penilaiannya lemah (weak) dan Data
Pemroses Interoperabilitas
(HW/SW) (BD/NW)
terapkan perbaikan-perbaikan,
Informasi
gunakan ISO 9004-2000 sebagai
guidance jika dirasakan perlu. Dokumen
Disarankan pula untuk
menjadwalkan pre-assessment Gambar 4.2. Model IPO (Input-Proses-Output) dan
dari badan regristrasi ISO 9001- Komponen Aplikasi Sistem Informasi
2000.
Penilaian sistem mutu menggunakan suatu Sistem informasi merupakan sistem yang
ceklist yang berisi setiap segi mutu yang mengolah data menjadi informasi untuk
dinilai. Dalam memberikan penilaian kualitatif mendukung operasi dan pengambilan
pada suatu ceklist digunakan 3 skala yaitu: keputusan suatu organisasi.
Weak (0), Medium (5) dan Strong (10). Secara fisik, sistem informasi memiliki 4
komponen, yaitu:
4. Rancangan Model dan Prosedur - Data/ Informasi (infoware), sebagai
Audit Sistem Informasi Berbasis masukan dan keluaran dari sistem
Kendali informasi.
Model audit sistem informasi berbasis kendali - Sumber daya manusia (brainware),
ini didasarkan pada suatu model fungsional sebagai user dan pengelola dari sistem
sistem informasi, di mana sistem informasi informasi.
dibagi dalam 2 fungsi [2], yaitu: fungsi - Teknologi (technoware), yaitu teknologi
manajemen dan fungsi aplikasi, di mana fungsi komputer HW, SW, NW, BD
manajemen membungkus fungsi-fungsi - Prosedur dan Organisasi (organiware),
aplikasi (Gambar 4.1) prosedur dibuat dalam bentuk langkah dan
dokumen yang diperlukan/ harus diisi
Manajemen Puncak
selama pengoperasian dan pengelolaan
Manajemen Pengembangan Sistem
sistem. Sedangkan organisasi memberikan
Manajemen Data
wadah untuk pengelolaan dan
Manajemen QA
pengoperasian sistem informasi.
Manajemen Keamanan
Dilihat dari tipe pemroses data menjadi
Manajemen Operasi & Pemeliharaan informasi, sistem informasi, dibagi menjadi:
Sistem Aplikasi - Manual, di mana manusia sebagai
information processor.
- Terotomatisasi, di mana manusia sebagai
operator yang menyediakan input-output,
sedangkan komputer menjadi information
Gambar 4.1. Lapisan Fungsional Sistem Informasi processor.
- Semi manual, di mana information
Fungsi manajemen mencakup: manajemen processor, sebagian manusia dan sebagian
puncak, manajemen pengembangan, komputer.
manajemen operasi dan pemeliharaan, Dengan demikian, model pada gambar 4.2
manajemen kualitas, manajemen keamanan, ini mengakomodasi sistem informasi yang
dan manajemen data. Sedangkan fungsi manual, semi manual maupun yang
aplikasi mencakup sub fungsi: batas antara terotomatisasi dengan menggunakan
pemakai dan sistem aplikasi, input, teknologi komputer.
pemrosesan, basis data, komunikasi data dan
output, prosedur dan dokumentasi.
53
INTEGRAL, Vol. 9 No. 1, Maret 2004
4.1. Model Audit Sistem Informasi - Struktur kendali didasarkan pada partisi
Berbasis Kendali sistem informasi atas fungsi manajemen
Audit sistem informasi, jika dilihat sebagai dan fungsi aplikasi, dengan demikian ada
model IPO (input-proses-output), dapat kendali manajemen dan kendali aplikasi.
digambarkan seperti gambar 4.3. - Standar penilaian, diadopsi dari standar
penilaian kualitas ISO-9001-2000.
Standar & Prosedur
Audit
- Resiko setiap kendali digunakan sebagai
bobot terhadap tujuan audit. Dengan
Sistem Auditee
demikian setiap kendali memberikan
Struktur
Kendali
Audit Sistem sumbangan terhadap tingkat pencapain
Resiko
Informasi berbasis Hasil tujuan audit.
Kendali - Hasil audit, berupa indeks pencapain
Fakta
tujuan untuk keseluruhan dan masing-
masing kendali, serta temuan yang bersifat
Tujuan Audit
(As, Di, Ek, En)
penyimpangan dan rekomendasi-
rekomendasi untuk memperbaiki yang
terkait dengan pencapaian tujuan audit
Gambar 4.3. Model Audit Sistem Informasi berbasis
Kendali sistem informasi.
Audit sistem informasi dilaksanakan untuk 4.2. Implementasi Rancangan
mencapai suatu tujuan, yaitu: ingin Rancangan model di atas diimplementasikan
mengetahui apakah sistem informasi telah: dalam bentuk cheklist pengendalian internal
- Asset safeguard (As), mampu melindungi dengan penjelasan sebagai berikut:
aset sistem informasi. Ceklist pengendalian internal mewakili
- Data integrity (Di), apakah mampu kondisi setiap pengendalian dalam suatu
menjamin integritas data. organisasi. Format ceklist seperti pada tabel
- Effectivity (Ek), apakah pengoperasiannya 4.1, sedangkan isi ceklist secara keseluruhan
dalam rangka mencapai tujuan organisasi akan diuraikan pada makalah lain.
telah efektif. Sistem Pembobotan
- Efficiency (En), apakah dalam mencapai Sistem pembobotan menggunakan skala nilai:
tujuan organisasi telah menggunakan 0 = tidak berpengaruh; 1 = rendah; 2 = sedang;
sumber daya organisasi secara efisien. 3 = tinggi
Untuk mencapai tujuan tersebut, perlu Dengan demikian, pernyataan/ pertanyaan
dilakukan penilaian terhadap kondisi sistem dalam ceklist yang tidak berpengaruh terhadap
informasi suatu organisasi (fakta). suatu hasil audit diberi bobot 0 terhadap hasil
Pengumpulan fakta dilakukan dengan metode: tersebut.
Wawancara (Wr); Inspeksi (In); Kuisioner Sistem penilaian
(Ks); Tes data (Td); Tes program (Tp). Skala penilaian diadopsi dari standar penilaian
Metode di atas dapat digunakan secara sendiri ISO 9001-2000, yaitu:
atau merupakan kombinasi. 0 = weak; 5 = medium; 10 = strong
Agar penilaian berlangsung sistematis, maka Indeks Hasil
sistem informasi suatu organisasi perlu Indeks hasil untuk masing-masing tujuan
dipartisi terutama berhubungan dengan sistem audit, dihitung dengan rumus:
pengendalian dalam organisasi tersebut
(struktur kendali). Untuk melaksanakan dan Indeks = Σ (nilai x bobot)/ Σ (bobot)
mengevaluasi fakta diperlukan standar dan
prosedur audit. Agar penilaian proporsional, Hal ini berlaku untuk keseluruhan, setiap
maka perlu dikaitkan dengan tingkat resiko fungsi maupun sub fungsi pengendalian.
dari masing-masing kendali dalam struktur Berdasarkan indeks ini, tingkat pencapaian
kendali organisasi. tujuan audit di kelompokkan menjadi 4
Pada model yang dirancang: katagori, yaitu:
- Tujuan yang ingin dicapai sesuai dengan - P (poor), jika indeks 7.5
54
INTEGRAL, Vol. 9 No. 1, Maret 2004
Metode Pengumpulan Fakta sumber sekaligus berupa pendapat/
Pengumpulan fakta dilakukan dengan metode: penilaian dari masing-masing sumber yang
1. Wawancara (Wr), terutama untuk hasilnya akan dioleh secara statistik.
mendapat informasi gambaran umum 4. Tes program (Tp), terutama digunakan
sistem informasi dan pointer ke fakta-fakta untuk melakukan pemeriksaan terhadap
yang akan dikumpulkan lebih lanjut. perangkat lunak aplikasi yang digunakan
2. Inspeksi (In), terutama untuk memeriksa untuk pengendalian aplikasi.
bukti-bukti dokumen dan aktifitas untuk 5. Tes data (Td), untuk meyakinkan akan
meyakinkan bahwa suatu kriteria telah integritas data, kebenaran data dan
dipenuhi. konsistensi antara dokumen masukan
3. Kuisioner (Ks), terutama untuk dengan data yang akan diproses.
mengumpulkan informasi dari beberapa
Tabel 4.1. Format Ceklist Pengendalian Internal
Metode Pengumpulan Bobot Hasil
No Hal yang harus diperhatikan Nilai
Wr In Ks Td Tp As Di Ek En
Tabel 4.2. Contoh Ceklist yang telah diisi
Metode Pengumpulan Bobot Hasil
No Hal yang harus diperhatikan Nilai
Wr In Ks Td Tp As Di Ek En
1 Apakah telah disusun rencana strategis
jangka panjang berkaitan dengan sistem X X 2 0 3 3
informasi?
4.3. Prosedur Audit Sistem Informasi Tahapan audit sistem informasi ini
Berbasis Kendali dilaksanakan dalam satu siklus pada setiap
Tahapan audit sistem informasi dapat dilihat pelaksanaan audit. Sedangkan pelaksanaan
pada gambar 4.4. audit sendiri dapat dilakukan secara reguler
Mulai (tahunan), atau insidental sesuai dengan
kebutuhan organisasi, misalnya: sebagai
Perencanaan
Survei kegiatan post implementasi dari suatu sistem
Pendahuluan
informasi atau jika ada suatu kejadian yang
Identifikasi
mengakibatkan sistem perlu direview kembali.
Struktur Kendali Berikut adalah penjelasan dari tahapan-tahapan
pada gambar 4.4 di atas.
Perkiraan
Resiko
1. Perencanaan
Pada tahapan perencanaan ini dilakukan
fakta
Pengumpulan & evalusi
Penilaian kegiatan-kegiatan:
Kehandalan Kendali
- Survei Pendahuluan
Melakukan survei pendahuluan untuk
tidak
Handal? Pengujian Substantif
(Ekstended)
pengenalan organisasi auditee, sejarah,
ya
proses bisnis. Selain itu juga untuk
menentukan tujuan dan cakupan
Pengujian Substantif
(Limited) auditing.
- Identifikasi Struktur Kendali
lanjut
& tindak
Evalusi hadil
Evaluasi Hasil &
Pelaporan
Mengidentifikasi kendali-kendali
internal yang perlu diperhatikan untuk
Review Hasil dgn. keperluan penilaian kehandalan kendali
Auditee
dan pengujian substantif.
- Perkiraan Resiko (Risk Assesment)
Selesai
Memperkirakan resiko dari setiap
kendali untuk memberikan bobot yang
Gambar 4.4. Tahapan audit sistem informasi
sesuai dengan tingkat resikonya.
55
INTEGRAL, Vol. 9 No. 1, Maret 2004
Hasil akhir dari tahapan ini adalah berupa 3. Evaluasi Hasil dan Tindak lanjut
dokumen rencana audit sistem informasi, Pada tahap evaluasi hasil dan tindak lanjut
yang berisi: dilakukan kegiatan:
- Tujuan dan cakupan auditing - Evaluasi Hasil Pengendalian
- Ceklist pengendalian internal yang Evaluasi hasil penilaian kehandalan
telah dilengkapi dengan metode kendali dilakukan untuk memperoleh
pengumpulan fakta dan bobot setiap indeks kehandalan pengendalian
bagian. Untuk membuat ceklist terhadap tujuan audit, yaitu: indeks As,
pengendalian internal ini dapat Di, Ek dan En. Untuk evaluasi dapat
menggunakan perangkat lunak bantu menggunakan perangkat lunak bantu
ISA-R. ISA-R, dengan memasukkan nilai-nilai
- Jadwal pelaksanaan auditing beserta pada ceklist ke form-form data yang
pihak-pihak yang akan dilibatkan disediakan oleh ISA-R. Hasilnya
dalam kegiatan auditing ini. berupa indeks untuk masing-masing
2. Pengumpulan dan Penilaian Fakta sub fungsi, fungsi dan total
Pada tahapan pengumpulan dan penilaian pengendalian sistem informasi.
fakta dilakukan kegiatan-kegiatan: Selain indeks di atas, juga dilakukan
- Penilaian Kehandalan Kendali evaluasi terhadap komentar-komentar
Penilaian dilakukan terhadap fakta- sebagai hasil dari pengujian substantif.
fakta yang ada di lapangan. Hal ini dimasukkan sebagai temuan
Pengumpulan fakta dapat dilakukan penyimpangan dan diberikan
dengan metode wawancara (Wr), rekomendasi-rekomendasi untuk
inspeksi (In), kuisioner (Ks), tes mengatasi penyimpangan tersebut.
program (Tp) atau tes data (Td), yang - Pelaporan
disesuaikan dengan fakta yang akan Laporan hasil audit berisi:
dinilai. Penilaian dilakukan dengan a) Tujuan dan cakupan audit
mengisi bagian nilai (N) pada ceklist b) Hasil audit berupa indeks
pengendalian internal, dengan kehandalan pengendalian beserta
menggunakan skala penilaian 0 (weak: temuan-temuan penyimpangan
pengendalian lemah sekali), 5 c) Rekomendasi-rekomendasi
(medium: pengendalian sedang), 10 - Review hasil dengan Auditee
(strong: pengendalian handal). Hasil audit dikirimkan kepada pihak
- Pengujian Substantif auditee dan pejabat yang membinanya
Jika suatu pengendalian pada penilaian serta pihak lain yang berkepentingan.
kehandalan bernilai weak atau medium, Setelah itu dilakukan pertemuan review
maka diperlukan suatu pengujian tentang temuan-temuan beserta
substantif yang sifatnya memperluas rekomendasi serta kesanggupan dari
(extended) untuk mengetahui apakah auditee untuk melaksanakan
ada konpensasi terhadap kelemahan rekomendasi-rekomendasi tersebut.
pengendalian ini serta untuk Demikianlah rancangan model dan prosedur
mengetahui penyebab adanya audit sistem informasi berbasis kendali.
kelemahan pengendalian ini.
Di lain pihak, jika pengendalian strong, 4.4. Perangkat Lunak Bantu ISA-R *)
maka diperlukan pengujian substantif Perangkat lunak bantu ISA-R (Information
yang bersifat limited, untuk System Audit Report-tools) merupakan
meyakinkan bahwa fakta memang perangkat lunak yang khusus dikembangkan
akurat, dengan melihat lebih detail untuk membantu implementasi dari metode
bukti-bukti yang ada. audit yang diusulkan pada bagian 4.1-4.3.
Semua catatan dan komentar dari Perangkat lunak ini memiliki fungsi untuk:
auditor tentang uji substantif ini dapat 1. Membuat repositori daftar pertanyaan
dimasukkan pada kolom komentar pada beserta metode dan bobot (seperti pada
ceklist atau pada kertas terpisah yang tabel 4.1).
nantinya dijadikan temuan dan 2. Membangkitkan form-form untuk
rekomendasi-rekomendasi pada laporan pelaksanaan audit berdasarkan repositori
audit.
52
INTEGRAL, Vol. 9 No. 1, Maret 2004
dan struktur kendali dari sistem informasi 2. Model dan prosedur audit sistem informasi
yang akan diaudit. yang dirancang lebih ditujukan untuk
3. Mengolah data hasil audit berdasarkan secara efektif dapat mengetahui tingkat As
hasil dari pengisian form-form pada point 2 (asset safeguard), Di (data integrity), Ek
di atas. (efektivitas) dan En (Efisiensi) dari suatu
4. Membuat resume laporan hasil audit yang sistem informasi. Sehingga secara
pada prinsipnya berisi indikator As, Di, En keseluruhan dapat digunakan untuk
dan Ek dari sistem informasi yang diaudit. mengetahui tingkat pencapaian tujuan
Dengan demikian auditor dapat lebih suatu organisasi yang dikaitkan dengan
berkonsentrasi pada masalah substansi audit, sistem informasi.
yaitu: identifikasi struktur kendali dan
pelaksanaan audit berdasarkan struktur kendali 7. Daftar Pustaka
yang telah diidentifikasi. [1] Kenneth, “Management Information
*) Penjelasan lebih detail tentang rancangan aplikasi ini akan System”, Pretice Hall, 1999
disampaikan dalam makalah tersendiri.
[2] Ron Weber, “Information System Control
6. Kesimpulan and Audit”, The University of Queensland,
Dari penelitian ini dapat ditarik beberapa Prentice Hall, 1999
kesimpulan: [3] “Information System Audit and Control
1. Model dan prosedur audit sistem informasi Association (ISACA), Standard for
yang dikembangkan dalam penelitian ini Information System and Audit”,
bersifat umum, dapat diterapkan untuk http://www.isaca.org, 21 Mei 2001
sistem informasi yang manual, semi [4] “Kesadaran Mutu ISO 9000”, SPRINT
manual atau terotomatisasi dengan Consultant, 2000.
menggunakan teknologi komputer. Model [5] Gasperz,Vincent (terj)., “ISO 9001:2000
dan prosedur ini mencakup fungsi And Continual Quality Improvement:
manajemen dan fungsi aplikasi sistem Interpretation Documentation Improvement
informasi sehingga mencakup seluruh Self Internal Audit”, PT. Gramedia Pustaka
aspek fungsional sistem informasi. Utama, Jakarta, 2001
53