BAB I

PENDAHULUAN
1.1 Latar Belakang
Seiring dengan perkembangan zaman banyak perusahan yang mengandalkan sistem
informasi sebagai pendukung jalannya operasional perusahaan. Saat ini sistem informasi
dioperasikan oleh hampir seluruh sumber daya manusia suatu perusahaan sehingga tidak dapat
dipisahkan dengan operasi dan kehidupan perusahaan. Sistem informasi merupakan sumber
daya strategis dalam suatu perusahaan, untuk mendukung pencapaian visi dan misi perusahaan,
maka pengolaan informasi merupakan kunci dari tercapainya visi dan misi perusahaan tersebut.
Semakin berkembangnya teknologi informasi akan semakin banyak ancaman-ancaman
yang akan terjadi dari dalam maupun luar perusahaan. Misalnya pada pemrosesan komputer.
Akan sangat mengkhawatirkan bila terjadi kesalahan dalam pemrosesan di dalam komputer.
Kerugian mulai dari tidak dipercayainya perhitungan matematis sampai kepada ketergantungan
kehidupan manusia. Ancaman-ancaman tersebut tentunya ada penyebabnya beberapa
diantaranya yaitu karena adanya tekanan dari dalam ataupun luar perusahaan, peluang dan
rasionalisasi.
Untuk mencegah ancaman-ancaman tersebut perusahaan membuat pengendalianpengendalian internal dan untuk memeriksa pengendalain tersebut telah mencapai tujuan atau
belum, maka diperlukanlah audit sistem informasi dalam suatu perusahaan atau organisasi.
1.2 Rumusan Masalah
1. Bagaimana pengertian audit sistem informasi ?
2. Bagaimana manfaat dan tujuan utama audit sistem informasi?
3. Bagaimana pentingnya audit sistem informasi bagi manajemen ?
1.3 Tujuan
1. Untuk mengetahui Bagaimana Pengertian dari Audit Sistem Informasi.
2. Mengetahui Bagaimana Manfaat dan tujuan Audit Sistem Informasi bagi manajemen.
3. Mengetahui Bagaimana Proses Dari Audit Sistem Informasi.

BAB II
PEMBAHASAN

2.1 DEFINISI AUDIT SISTEM INFORMASI

Ron Weber (1999,10) mengemukakan bahwa audit sistem informasi adalah :
Information systems auditing is the process of collecting and evaluating evidence to determine
whether a computer system safeguards assets, maintains data integrity, allows organizational
goals to be achieved effectively, and uses resources efficiently.
Jadi, Audit sistem informasi adalah proses pengumpulan dan penilaian bukti - bukti untuk
menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas data,
dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya
secara efisien.
Pengertian ini selaras dengan tujuan audit mutu internal dalam ISO 9001:2000. Audit
Sistem Informasi sendiri merupakan gabungan dari berbagai macam ilmu antara lain,
Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer,
dan Behavioral Science.
Pada dasarnya Audit TI dapat dibedakan menjadi dua kategori, yaitu Pengendalian
Aplikasi (Application Control) dan Pengendalian Umum (General Control). Tujuan
pengendalian umum lebih menjamin integritas data yang terdapat di dalam sistem komputer dan
sekaligus meyakinkan integritas program atau aplikasi yang diguna-kan untuk melakukan
pemrosesan data. Sementara, tujuan pengendalian aplikasi dimaksudkan untuk memastikan
bahwa data di-input secara benar ke dalam aplikasi, diproses secara benar, dan terdapat
pengendalian yang memadai atas output yang dihasilkan.
Dalam audit terhadap aplikasi, biasanya pemeriksaan atas pengendalian umum juga
dilakukan mengingat pengendalian umum memiliki kontribusi terhadap efektifitas atas
pengendalian-pengendalian aplikasi.
Sesuai dengan standar auditing ISACA (Information Systems Audit and Control
Association), selain melakukan pekerjaan lapangan auditor juga harus menyusun laporan yang
mencakup tujuan pemeriksaan, sifat dan kedalaman pemeriksaan yang dilakukan. Laporan ini
juga harus menyebutkan organisasi yang diperiksa, pihak pengguna laporan yang dituju dan
batasan-batasan distribusi laporan. Laporan juga harus memasukkan temuan, kesimpulan,
rekomendasi sebagaimana layaknya laporan audit pada umumnya
Selain itu, audit teknologi informasi ini juga merupakan bentuk pengawasan dan
pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Audit teknologi
informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau
dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal
2

dengan audit pemrosesan data elektronik, dan sekarang audit teknologi informasi secara umum
merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam
perusahaan itu. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak
dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara
efektif dan integratif dalam mencapai target organisasinya.
Ada beberapa aspek yang diperiksa pada audit sistem informasi:

Audit secara keseluruhan menyangkut : efektifitas, efisiensi, availability system,

reliability, confidentiality, dan integrity, serta aspek security.

Selanjutnya adalah audit atas proses, modifikasi program, audit atas sumber data, dan
data file.

2.2 TUJUAN AUDIT SISTEM INFORMASI

a

Mengamankan aset
aset (activa) yang berhubungan dengan instalasi sistem informasi mencakup: perangkat keras
(hardware), perangkat lunak (software), manusia (people), file data, dokumentasi sistem, dan
peralatan pendukung lainnya. Sama halnya dengan aktiva aktiva yang lain, maka aktiva ini
juga perlu dilindungi dengan memasang pengendalian internal. Perangkat keras dapat rusak
karena unsur kejahatan atau sebab-sebab lain. Perangkat lunak dan isi file data dapat dicuri.

Peralatan pendukung dapat digunakan untuk tujuan yang tidak diotorisasi.

Menjaga integritas data
Integritas data merupakan konsep dasar audit sistem informasi. Integritas data berarti data
memiliki atribut: kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian. Tanpa menjaga
integritas data, organisasi tidak dapat memperlihatkan potret dirinya dengan benar atau kejadian
yang ada tidak terungkap seperti apa adanya. Akibatnya, keputusan maupun langkah-langkah
penting di organisasi salah sasaran karena tidak didukung dengan data yang benar. Meskipun
demikian, perlu juga disadari bahwa menjaga integritas data tidak terlepas dari pengorbanan
biaya. Oleh karena itu, upaya untuk menjaga integritas data, dengan konsekuensi akan ada biaya

prosedur pengendalian yang dikeluarkan harus sepadan dengan manfaat yang diharapkan.
Menjaga efektivitas sistem
Sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya. Untuk
menilai efektivitas sistem, perlu upaya untuk mengetahui kebutuhan pengguna sistem tersebut
(user). Selanjutnya, untuk menilai apakah sistem menghasilkan laporan atau informasi yang
3

bermanfaat bagi user (misalnya pengambil keputusan), auditor perlu mengetahui karakteristik
user berikut proses pengambilan keputusannya. Biasanya audit efektivitas sistem dilakukan
setelah suatu sistem berjalan beberapa waktu. Manajemen dapat meminta auditor untuk
melakukan post audit guna menentukan sejauh mana sistem telah mencapai tujuan yang telah
ditetapkan. Evaluasi ini akan memberikan masukan bagi pengambil keputusan apakah kinerja
sistem layak dipertahankan; harus ditingkatkan atau perlu dimodifikasi; atau sistem sudah
usang, sehingga harus ditinggalkan dan dicari penggantinya Audit efektivitas sistem dapat juga
dilaksanakan pada tahap perencanaan sistem (system design). Hal ini dapat terjadi jika desainer
sistem mengalami kesulitan untuk mengetahui kebutuhan user, karena user sulit
mengungkapkan atau mendeskripsikan kebutuhannya. Jika sistem bersifat komplek dan besar
biaya penerapannya, manajemen dapat mengambil sikap agar sistem dievaluasi terlebih dahulu
oleh pihak yang independen untuk mengetahui apakah rancangan sistem sudah sesuai dengan
kebutuhan user. Melihat kondisi seperti ini, auditor perlu mempertimbangkan untuk melakukan
d

evaluasi sistem dengan berfokus pada kebutuhan dan kepentingan manajemen.

Mencapai efisiensi sumber daya
Suatu sistem sebagai fasilitas pemrosesan informasi dikatakan efisien jika ia menggunakan
sumberdaya seminimal mungkin untuk menghasilkan output yang dibutuhkan. Pada
kenyataannya, sistem informasi menggunakan berbagai sumberdaya, seperti mesin, dan segala
perlengkapannya, perangkat lunak, sarana komunikasi dan tenaga kerja yang mengoperasikan
sistem tersebut. Sumberdaya seperti ini biasanya sangat terbatas adanya. Oleh karena itu,
beberapa kandidat sistem (system alternatif) harus berkompetisi untuk memberdayakan
sumberdaya yang ada tersebut.
Adapun tujuan yang lain adalah :
Untuk memeriksa kecukupan dari pengendalian lingkungan, keamanan fisik, keamanan
logikal serta keamanan operasi sistem informasi yang dirancang untuk melindungi
piranti keras, piranti lunak dan data terhadap akses yang tidak sah, kecelakaan,
perubahan yang tidak dikehendaki.
Untuk memastikan bahwa sistem informasi yang dihasilkan benar-benar sesuai dengan
kebutuhan sehingga bisa membantu organisasi untuk mencapai tujuan strategis.

2.3 MANFAAT DARI AUDIT SISTEM INFORMASI

Dapat dikatakan bahwa sistem informasi audit akan dapat memberikan banyak manfaat,
antara lain :
1. Untuk meningkatkan perlindungan atas aset lembaga pemerintahan yang merupakan kekayaan
negara atau dengan kata lain aset milik publik.
2. Untuk meningkatkan integritas dan ketersediaan sistem dan data yang digunakan oleh lembaga
pemerintahan baik dalam kegiatan internal lembaga maupun dalam memberikan layanan publik.
3. Untuk meningkatkan penyediaan informasi yang relevann dan handal bagi para pemimpin
lembaga pemerintahan dalam mengambil keputusan dalam menjalankan layanan publik.
4. Untuk meningkatkan peranan dalam pencapaian tujuan lembaga pemerintahan dengan efektif,
baik itu untuk terkait dengan kebutuhan internal lembaga tersebut, maupun dengan layanan
publik yang diberikan lembaga tersebut.
5. Untuk meningkatkan efisiensi penggunanaan sumber daya serta efisiensi secara organisasional
dan prosedual dilembaga pemerintahan. Dengan kata lain, Audit Sistem Informasi merupakan
suatu komponen dan proses yang penting bagi lembaga pemerintahan dalam upaya untuk
memberikan jaminan yang memadai kepada publik atas pemanfaat yang telah dilaksanakan
oleh lembaga pemerintahan.

2.4 LANGKAH- LANGKAH DASAR AUDIT SISTEM INFORMASI

Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem komputer berjalan
semestinya. Tujuh langkah proses audit:
a. Implementasikan sebuah strategi audit berbasis manajemen risiko serta control practice
b.
c.
d.
e.
f.
g.

yang dapat disepakati semua pihak.

Tetapkan langkah-langkah audit yang rinci.
Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta bermanfaat.
Buatlah laporan beserta kesimpulannya berdasarkan fakta yang dikumpulkan.
Telaah apakah tujuan audit tercapai.
Sampaikan laporan kepada pihak yang berkepentingan.
Pastikan bahwa organisasi mengimplementasikan managemen risiko serta control
practice.

2.5 TAHAP- TAHAP AUDIT SISTEM INFORMASI

Audit Sistem Informasi dapat dilakukan dengan berbagai macam tahap-tahap. Tahaptahap audit terdiri dari 5 tahap sebagai berikut :
a. Tahap pemeriksaan pendahuluan
b. Tahap pemeriksaan rinci.
c. Tahap pengujian kesesuaian.
d. Tahap pengujian kebenaran bukti.
5

e. Tahap penilaian secara umum atas hasil pengujian.

1. Tahap Pemeriksaan pendahuluan
Sebelum auditor menentukan sifat dan luas pengujian yang harus dilakukan, auditor
harus memahami bisnis auditi (kebijakan, struktur organisasi, dan praktik yang dilakukan).
Setelah itu, analisis resiko audit merupakan bagian yang penting dan berusaha untuk
memahami pengendalian terhadap transaksi yang diproses oleh aplikasi tersebut. Pada
tahap ini pula auditor dapat memutuskan apakah audit diteruskan atau mengundurkan diri
dari penugasan audit.
2. Tahap Pemeriksaan Rinci
Pada tahap ini auditnya berupaya mendapatkan informasi lebih mendalam untuk
memahami pengendalian yang diterapkan dalam sistem komputer klien. Auditor harus
dapat memperkirakan bahwa hasil audit pada akhirnya harus dapat dijadikan sebagai dasar
untuk menilai apakah struktur pengendalian intern yang diterapkan dapat terpercaya atau
tidak. Kuat atau tidaknya pengendalian tersebut akan menjadi dasar bagi auditor dalam
menentukan langkah selanjutnya.
3. Tahap Pengujian Kesesuaian
Dalam tahap ini, dilakukan pemeriksaan secara terinci saldo akun dan transaksi
Informasi yang digunakan berada dalam file data yang biasanya harus diambil
menggunakaan software CAATTs (Computer Assisted Audit Tools and Techniques).
Dengan kata lain, CAATTs digunakan untuk mengambil data untuk mengetahui integritas
dan kehandalan data itu sendiri.
4. Tahap Pengujian Kebenaran Bukti
Tujuan pada tahap pengujian kebenaran bukti adalah untuk mendapatkan bukti yang
cukup kompeten. Pada tahap ini, pengujian yang dilakukan adalah (Davis at,all. 1981) :
Mengidentifikasi kesalahan dalam pemrosesan data
Menilai kualitas data
Mengidentifikasi ketidakkonsistenan data
Membandingkan data dengan perhitungan fisik
Konfirmasi data dengan sumber-sumber dari luar perusahaan
5. Tahap Penilaian Secara Umum atas Hasil Pengujian
Pada tahap ini auditor telah dapat memberikan penilaian apakah bukti yang
diperoleh dapat atau tidak mendukug informasi yang diaudit. Hasil penilaian tersebut akan
menjadi dasar bagi auditor untuk menyiapkan pendapatannya dalam laporan auditan.
6

2.6 OBJEK PENGAUDITAN

Dalam suatu perusahaan, yang mengaudit sistem informasi tergantung pada tujuan Auditnya,
yaitu :
a Internal Audit (first party audit)
Dilakukan oleh atau atas nama perusahaan sendiri
Biasanya untuk management review atau tujuan internal perusahaan
b Lembaga independen di luar perusahaan
Second party audit
Dilakukan oleh pihak yang memiliki kepentingan thd perusahaan
Third party audit
Dilakukan oleh pihak independen dari luar perusahaan. Misalnya untuk
sertifikasi (ISO 9001, BS7799 dll).
Dalam Audit sistem informasi, ada beberapa objek yang diaudit oleh auditor internal, yaitu :
Management
IT Manager
IT Specialist (network, database, system analyst, programmer, dll.)
User
2.7 TUGAS AUDITOR INTERNAL DALAM SISTEM INFORMASI
-

Adapun tugas- tugas dari auditor internal dalam mengaudit sistem informasi yaitu :
Memastikan sisi-sisi penerapan IT memiliki kontrol yang diperlukan
Memastikan kontrol tersebut diterapkan dengan baik sesuai yang diharapkan
Untuk melakukan tugas- tugas diatas, seorang auditor internal harus melakukan proses-

proses awal terlebih dahulu, seperti : Persiapan, Review Dokumen, Persiapan kegiatan on-site
audit, Melakukan kegiatan on-site audit serta Persiapan, persetujuan dan distribusi laporan
audit, dan juga Follow up audit. Sehingga Output atau hasil dari kegiatan Audit atas sistem
informasi berupa laporan yang berisi :
-

Ruang Lingkup audit

Metodologi
Temuan-temuan
Ketidaksesuaian (sifat ketidaksesuaian, bukti2 pendukung, syarat yg tdk dipenuhi, lokasi,

tingkat ketidaksesuaian)
Kesimpulan (tingkat kesesuaian

dengan

kriteria

audit,

efektifitas

pemeliharaan dan pengembangan sistem manajemen, rekomendasi)

implementasi,

2.8 KETERAMPILAN DALAM MENGAUDIT SISTEM INFORMASI

Audit skill : sampling, komunikasi, melakukan interview, mengajukan pertanyaan,

mencatat
Generic knowledge : pengetahuan mengenai prinsip2 audit, prosedur dan teknik, sistem

manajemen dan dokumen2 referensi, organisasi, peraturan2 yang berlaku

Specific knowledge : background IT/IS, bisnis, specialist technical skill, pengalaman
audit sistem manajemen, perundangan

2.9 KRITERIA AUDIT SISTEM INFORMASI

Peraturan dan Standar Yang Biasa Dipakai :
A. ISO / IEC 17799 and BS7799
ISO / IEC 17799 diterbitkan badan ISO pertama kali pada tanggal 1 desember 2000,
yang merupakan standar teknologi informasi-aturan praktik untuk manajemen
keamanan informasi. Memberikan rekomendasi manajemen keamanan informasi untuk
digunakan oleh mereka yang bertanggungjawab atas penerbitan, penerapan atau pemeliharaan
keamanan teknologi informasi dalam organisasinya.

ISO / IEC 17799

`Aturan` praktik untuk manajemen keamanan
informasi
Tidak memiliki persyaratan menyediakan
rincian yang memadai sebagai dasar untuk
sertifikasi
Framework untuk best practices

BS 7799 adalah suatu rangkaian standar yang diterbitkan oleh British Standards (BSI)
yang sampai saat ini terdiri dari tiga bagian yang secara umum menjabarkan spesifikasi untuk
manajemen keamanan informasi.
BS 7799-1 pertama kali diterbitkan sebagai BS 7799 oleh BSI pada tahun 1995 dan
setelah melalui beberapa revisi diadopsi oleh ISO sebagai ISO/IEC 17799 "Information
Technology - Code of practice for information security management" pada tahun 2000. ISO/IEC
8

17799 terakhir direvisi pada Juni 2005 dan diganti namanya menjadi ISO/IEC 27002 pada
Juli2007.
Bagian kedua, BS 7799-2 pertama kali diterbitkan oleh BSI pada tahun 1999 dengan
nama "Information Security Management Systems - Specification with guidance for use." BS
7799-2 terfokus pada cara implementasi ISMS (Information Security Management System,
sistem manajemen keamanan informasi). BS 7799-2 diadopsi oleh ISO pada November 2005
sebagai ISO/IEC 27001.
BS 7799-3 diterbitkan pada tahun 2005 dan mencakup analisis dan manajemen risiko.
Standar ini sejalan dengan ISO/IEC 27001.
B. Control Objectives for Information and related Technology (CobiT)
COBIT (Control Objectives for Information and Related Technology) adalah
sekumpulan dokumentasi best practices untuk IT Governance yang dapat membantu auditor,
pengguna (user), dan manajemen, untuk menjembatani gap antara risiko bisnis, kebutuhan
control dan masalah-masalah teknis IT.
Tujuan Cobit
Diharapkan dapat membantu menemukan berbagai kebutuhan manajemen yang

berkaitan dengan TI.

Agar dapat mengoptimalkan investasi TI Menyediakan ukuran atau kriteria ketika
terjadi penyelewengan atau penyimpangan.

Adapun manfaat jika tujuan tersebut tercapai adalah :

Dapat membantu manajemen dalam pengambilan keputusan.

Dapat mendukung pencapian tujuan bisnis.
Dapat meminimalisasikan adanya tindak kecurangan/ fraud yangmerugikan perusahaan
yang bersangkutan.

Landasan Cobit

Menyediakan informasi yang dibutuhkan untuk mencapai sasaran2

Suatu organisasi harus memanage sumberdaya TI nya melalui satu kumpulan
proses2 yang dikelompokkan secara alami.
Grup2 proses COBIT disusun secara sederhana dan berorientasi pada hirarki
9

bisnis
Setiap proses merujuk sumberdaya TI, dan persyaratan2 kualitas, fiduciary/kepercayaan,
dan keamanan dari informasi.

C. ISO TR 13335
ISO 13335 merupakan standar manajemen umum IT Security. Standar ini terdiri dari :
- ISO/IEC TR 13335-1 konsep- konsep dan model
- ISO/IEC TR 13335-2 perencanaan dan manajemen
- ISO/IEC TR 13335-3 penilaian risiko
- ISO/IEC TR 13335-4 control selection
- ISO/IEC TR 13335-5 network security
D. IT Baseline Protection Manual
The IT Baseline Protection Manual presents a set of recommended standard security
measures or "safeguards", as they are referred to in the manual, for typical IT systems. The aim
of these IT baseline protection recommendations is to achieve a security level for IT systems
that is reasonable and adequate to satisfy normal protection requirements and can also serve as
the basis for IT systems and applications requiring a high degree of protection. This is achieved
through the appropriate application of organisational, personnel, infrastructural and technical
standard security safeguards.
To facilitate structuring and processing of the highly heterogeneous area of IT, including
the operational environment, the IT Baseline Protection Manual is structured in a modular
fashion. The individual modules reflect typical areas in which IT assets are employed, for
example client/server networks, buildings, communications and application components Every
module begins with a description of the typical threats which may be expected in the given area
together with their assumed probability of occurrence. This "threat scenario" provides the basis
for generating a specific package of measures from the areas of infrastructure, personnel,
organisation, hardware, software, communications and contingency planning. The threat
scenarios are presented in order to create awareness, and are not required any further for the
creation of a security concept which affords IT baseline protection. It is not necessary for users
to perform the analysis work mentioned above, which requires considerable effort, in order to
attain the security level that is needed for an average protection requirement. On the contrary, it
is sufficient to identify the modules which are relevant to the IT system or IT assets under
consideration and to implement all the safeguards recommended in those modules in a
consistent manner.

10

E. ITSEC / Common Criteria

The Information Technology Security Evaluation Criteria (ITSEC) is a structured
set of criteria for evaluating computer security within products and systems. The ITSEC was
first

published

in

May 1990

in France, Germany,

the Netherlands,

and

the United

Kingdom based on existing work in their respective countries. Following extensive international
review, Version 1.2 was subsequently published in June 1991 by the Commission of the
European Communities for operational use within evaluation and certification schemes. Since
the launch of the ITSEC in 1990, a number of other European countries have agreed to
recognize the validity of ITSEC evaluations.
F. ISO 9000
ISO 9000 adalah kumpulan standar untuk sistem manajemen mutu (SMM). ISO 9000
yang dirumuskan oleh TC 176 ISO, yaitu organisasi internasional di bidang standardisasi. ISO
9000 pertama kali dikeluarkan pada tahun 1987 olehInternational Organization for
Standardization Technical Committee (ISO/TC) 176. ISO/TC inilah yang bertanggungjawab
untuk standar-standar sistem manajemen mutu. ISO/TC 176 menetapkan siklus peninjauan
ulang setiap lima tahun, guna menjamin bahwa standar-standar ISO 9000 akan menjadi up to
date dan relevan untuk organisasi. Revisi terhadap standar ISO 9000 telah dilakukan pada tahun
1994 dan tahun 2000. ISO 9000 berisi :
adanya satu set prosedur yang mencakup semua proses penting dalam bisnis;
adanya pengawasan dalam proses pembuatan untuk memastikan bahwa sistem

menghasilkan produk-produk berkualitas;

tersimpannya data dan arsip penting dengan baik;
adanya pemeriksaan barang-barang yang telah diproduksi untuk mencari unit-unit yang

rusak, dengan disertai tindakan perbaikan yang benar apabila dibutuhkan;

secara teratur meninjau keefektifan tiap-tiap proses dan sistem kualitas itu sendiri.

Sertifikasi terhadap salah satu ISO 9000 standar tidak menjamin kualitas dari barang dan
jasa yang dihasilkan. Sertifikasi hanya menyatakan bahwa bisnis proses yang berkualitas dan
konsisten dilaksanakan di perusahaan atau organisasi tersebut.
Manfaat ISO 9000
1. Aspek Konsistensi Pelaksanaan dan Pengawasan
- Memberikan pendekatan praktik yang sistematis untuk manajemen mutu
11

Memastikan konsistensi untuk memelihara mutu produk/jasa

Menetapkan kerangka kerja untuk proses peningkatan mutu lebih lanjut dengan
membakukan proses guna memastikan konsistensi dan mampu menelusuri serta
meningkatkan hubungan antar fungsi yang mempengaruhi mutu

2. Aspek Pengendalian dan Pencegahan

-

Mempengaruhi/menentukan secara jelas tanggung jawab dan wewenang dari personil kunci
yang mempengaruhi mutu

Mendokumentasikan prosedur secara baik dalam menjalankan operasi dan proses bisnis
penyedia jasa atau pabrik/industri

Menerapkan sistem dokumentasi yang efektif melalui mekanisme audit mutu internal dan
tinjauan manajemen yang kontinu

3. Aspek Pertumbuhan dan Pengembangan Perusahaan

-

Sebagai sarana pemasaran

Dapat meningkatkan kepercayaan dan kepuasan konsumen/ pelanggan

Dapat meningkatkan citra dan daya saing perusahaan

Dapat meningkatkan produktifitas mutu jasa/ produk

Dapat memberikan pelatihan yang sistematik kepada staf melalui prosedur dan instruksi
yang baik

Mengantisipasi tuntutan konsumen atas mutu produk dan tingkat persaingan bersama

Sebagai fondasi/ dasar yang mantap untuk pengembangan mutu selanjutnya menuju
manajemen mutu terpadu

2.10 PENTINGNYA AUDIT SISTEM INFORMASI

Perkembangan teknologi telah mengakibatkan perubahan pengolahan data yang
dilakukan perusahaan dari sistem manual menjadi secara mekanis, elektromekanis, dan
selanjutnya ke sistem elektronik atau komputerisasi. Peralihan ke sistem yang terkomputerisasi
memungkinkan data yang kompleks dapat diproses dengan cepat dan teliti, guna menghasilkan
12

suatu informasi. Dalam mendukung aktivitas sebuah organisasi, informasi menjadi bagian yang
sangat penting baik untuk perkembangan organisasi maupun membaca persaingan pasar. Dalam
hal proses data menjadi suatu informasi merupakan sebuah kegiatan dalam organisasi yang
bersifat repetitif sehingga harus dilaksanakan secara sistematis dan otomatis.
Dengan demikian, sangat diperlukan adanya pengelolaan yang baik dalam sistem yang
mendukung proses pengolahan data tersebut. Dalam sebuah organisasi tata kelola sistem
dilakukan dengan melakukan audit. Menurut Juliandarini (2013) Audit sistem informasi
(Information Systems (IS) audit atau Information technology (IT) audit) adalah bentuk
pengawasan dan pengendalian dari infrastruktur sistem informasi secara menyeluruh.Menurut
Romney (2004) audit sistem informasi merupakan tinjauan pengendalian umum dan aplikasi
untuk

menilai

pemenuhan

kebijakan

dan

prosedur

pengendalian

internal

serta

keefektivitasannya untuk menjaga asset.

Sehingga menurut uraian teori diatas, maka penulis dapat simpulkan bahwa audit sistem
informasi adalah suatu proses pengumpulan dan pengevaluasian bahan bukti audit untuk
menentukan apakah sistem komputer perusahaan telah menggunakan asset sistem informasi
secara tepat dan mampu mendukung pengamanan asset tersebut memelihara kebenaran dan
integritas data dalam mencapai tujuan perusahaan yang efektif dan efisien.
Menurut Weber (1999) terdapat beberapa alasan mendasar mengapa organisasi perlu
melakukan audit sebagai evaluasi dan pengendalian terhadap sistem yang digunakan oleh
organisasi :
1. Pencegahan terhadap biaya organisasi untuk data yang hilang
Kehilangan data dapat terjadi karena ketidakmampuan pengendalian terhadap
pemakaian komputer. Kelalaian dengan tidak menyediakan backup yang memadai terhadap file
data, sehingga kehilangan file dapat terjadi karena program komputer yang rusak, adanya
sabotase, atau kerusakan normal yang membuat file tersebut tidak dapat diperbaiki sehingga
akhirnya membuat kelanjutan operasional organisasi menjadi terganggu.
2. Pengambilan keputusan yang tidak sesuai
Membuat keputusan yang berkualitas tergantung pada kualitas data yang akurat dan
kualitas dari proses pengambilan keputusan itu sendiri. Pentingnya data yang akurat bergantung
kepada jenis keputusan yang akan dibuat oleh orang orang yang berkepentingan di suatu
organisasi.
3. Penyalahgunaan komputer

13

Penyalahgunaan komputer memberikan pengaruh kuat terhadap pengembangan EDP

audit maka untuk dapat memahami EDP audit diperlukan pemahaman yang baik terhadap
beberapa kasus penyalahgunaan komputer yang pernah terjadi.
4. Nilai dari perangkat keras komputer, perangkat lunak dan personel
Disamping data, hardware dan software serta personel komputer juga merupakan
sumber daya yang kritikal bagi suatu organisasi, walaupun investasi hardware perusahaan
sudah dilindungi oleh asuransi, tetapi kehilangan hardware baik terjadi karena kesengajaan
maupun ketidaksengajaan dapat mengakibatkan gangguan. Jika software rusak akan
mengganggu jalannya operasional dan bila software dicuri maka informasi yang rahasia dapat
dijual kepada kompetitor. Personel adalah sumber daya yang paling berharga, mereka harus
dididik dengan baik agar menjadi tenaga handal dibidang komputer yang profesional.
5. Biaya yang tinggi untuk kerusakan komputer
Saat ini pemakaian komputer sudah sangat meluas dan dilakukan juga terhadap fungsi
kritis pada kehidupan kita. Kesalahan yang terjadi pada komputer memberikan implikasi yang
luar biasa, sebagai contoh data error mengakibatkan jatuhnya pesawat di Antartika yang
menyebabkan 257 orang meninggal atau seseorang divonis masuk penjara karena kesalahan
data di komputer.
6. Kerahasiaan
Banyak data tentang diri pribadi yang saat ini dapat diperoleh dengan cepat, dengan
adanya komputerisasi kependudukan maka data mengenai seseorang dapat segera diketahui
termasuk hal hal pribadi.
7. Pengontrolan penggunaan komputer
Teknologi adalah hal yang alami, tidak ada teknologi yang baik atau buruk. Pengguna
teknologi tersebut yang dapat menentukan apakah teknologi itu akan menjadi baik atau malah
menimbulkan gangguan. Banyak keputusan yang harus diambil untuk mengetahui apakah
komputer digunakan untuk suatu hal yang baik atau buruk.
2.11 PENENTUAN TARGET
Kurang Baik:
-

Meningkatkan laba
Mengurangi kesalahan
Meningkatkan motivasi personil
Meningkatkan kemampuan bersaing

Baik:
14

Meningkatkan ROI sebesar 1% pada akhir tahun

Menurunkan tingkat umur piutang dari 3 bulan menjadi 2 bulan.
Meningkatkan keterampilan staf, berdasar survey job statisfaction pada akhir tahun ini.

2.12 FAKTOR KEBERHASILAN AUDIT SISTEM INFORMASI

1. Person organization fit
Beberapa dekade yang lalu, organisasi biasanya terfokus pada kepribadian yang masih
mengerjekan pekerjaannya menggunakan sistem informasi tradisional dalam pengumpulan
data yang dibutuhkan maupun dalam memproses data tersebut, hal yang terpenting adalah
bagaimana mencocokkan kepribadian seseorang dengan pekerjaannya agar informasi yang
dibutuhkan individu terpenuhi. Namun, beberapa tahun terakhir, perhatian mulai berkembang
dengan mencoba mencocokkan individu tersebut tidak hanya berdasarkan kepribadiannya
dengan

pekerjaan

dalam

pemenuhan

sistem

informasi

namun

juga

terhadap

organisasi.Artinya ketika karyawan berhasil menyesuaikan pekerjaan dan organisasi nya

maka sistem informasi dalam perusahaan dapat di aplikasikan dalam perusahaan tersebut dan
keberhasilan implementasi audit sistem informasi akan tercapai.
2. Dukungan manajemen
Dukungan Management adalah satu hal penting yg hendaknya dilakukan oleh setiap
manajemen perusahaan dalam berproses adaptasi audit manajemen sistem informasi di suatu
organisasi.
Dengan adanya dukungan manajemen yang diterapkan oleh organisasi, akan
memudahkan seseorang atau organisasi untuk mendapatkan informasi dan pengetahuan
berharga terutama yang berhubungan dengan pekerjaannya dalam organisasi. Seperti yang
telah kita ketahui bahwa suatu keputusan atau kebijakan yang menyangkut perusahaan
memang harus membutuhkan dukungan manajemen. Begitu hal nya dengan audit sistem
informasi dimana manajemen harus mendukung sepenuhnya mulai pendahuluan hingga
tindak lanjut dalam pengauditan sistem informasi. Karena pada dasarnya manfaat yang di
dapat dari audit sistem informasi ini juga akan kembali kepada perusahaan itu sendiri.
Selain itu juga memungkinkan individu untuk mengembangkan pengetahuan yang lebih
dalam yang dimiliki oleh organisasi dan melakukan pertukaran pengetahuan dengan anggota
karyawan yang lain dan yang terpenting adalah karena dukungan dari manajemen audit
sistem informasi akan lancar.
15

3. Process of change management

-

Unfreezing
Tahap unfreezing mungkin merupakan salah satu tahap yang paling penting dalam
memahami model perubahan sistem informatika hingga saat ini dan auditor internal
harus paham hal tersebut. Tahap ini membahas tentang persiapan untuk berubah. Atau
suatu kesadaran dan pemahaman bahwa perubahan mulai diperlukan, serta bersiap-siap
untuk mulai menjauh dari zona kenyamanan yang ada saat ini. Tahap pertama ini sering
disebut sebagai tahap persiapan diri baik secara individual maupun tim kerja, sebelum
suatu perubahan dilakukan, atau menciptakan situasi yang kondusif bagi terjadinya
suatu perubahan. Semakin kita merasa bahwa suatu perubahan mendesak diperlukan,
maka kita akan semakin termotivasi untuk secepatnya membuat perubahan. Lambat
atau cepatnya proses pencairan menuju perubahan ini akan bergantung pada sejauhmana
perimbangan kekuatan antara orang yang pro pada dan kontra terhadap perubahan
sistem audit informasi dengan ide perubahan.

Refreezing
Sebagaimana tersirat dalam pengertian freezing atau refreezing maka tahap ini
adalah tentang membangun stabilitas kembali setelah perubahan dibuat. Demikian pula
halnya bahwa perubahan yang telah terjadi mulai diterima sebagai norma baru.
Demikian pula selanjutnya setiap orang akan membentuk hubungan baru dan menjadi
nyaman dengan rutinitas mereka, yang kesemuanya berjalan dalam waktu. Namun
dalam dunia saat ini, perubahan baru berikutnya bisa terjadi dalam beberapa minggu
atau kurang, sehingga adanya fase pembekuan mulai menuai kritik, mengingat tidak
adanya cukup waktu untuk memulihkan keadaan pada kondisi rutinitas yang nyaman.
Sehingga adanya tahap pembekuan dianggap tidak sesuai dengan pemikiran modern
tentang adanya perubahan yang terus menerus, dan kadang-kadang terjadi dalam proses
yang kacau sehingga fleksibilitas yang besar sangat dituntut. Dengan kata lain,
pemikiran populer saat ini mulai mempertanyakan tentang konsep pembekuan.
Sebaliknya, kita harus berpikir dan menyikapi tahap akhir ini secara lebih fleksibel,
16

seperti kita memikirkan adonan milkshake atau es krim yang lembut dengan rasa
favorit saat ini, bukan lagi berfikir tentang es balok yang beku dan kaku. Dengan pola
pikir yang fleksibel ini akan lebih memudahkan kita dalam melakukan langkah
unfreezing berikutnya. Namun demikian jauh hari Kurt Lewin telah menulis, bahwa
sebuah perubahan menuju tingkat yang lebih tinggi seringkali berumur pendek, dan
biasanya kinerja tim kerja akan segera kembali ke tingkat sebelumnya. Kurt Lewin juga
mengingatkan bahwa perubahan yang dilakukan perlu diperkuat, guna memastikan
bahwa perubahan yang diinginkan dapat diterima dan dipertahankan di masa depan.
Kurt Lewin pun berpendapat agar pembekuan yang dilakukan dapat mendukung
perubahan lebih lanjut dan perlu dipastikan bahwa perubahan tersebut tidak menguap
begitu saja. Model ADKAR adalah model yang lebih modern tentang perubahan yang
secara eksplisit menganjurkan tentang langkah penguatan sebagai salah satu fase yang
perlu dilakukan. Disamping itu suatu pembekuan perlu dikunci sebagai langkah
terakhir. Selama ini kita selalu berfikir, bahwa bicara mengenai perubahan merupakan
sebuah perjalanan yang memiliki awal, tengah, dan akhir. Namun ada baiknya sekarang
kita berpikir dan menerima kenyataan bahwa perjalanan tersebut tidak memiliki akhir.
Perlu beristirahat dan berhenti sejenak masih dimungkinkan! Namun perlu disadari
bahwa saat ini kita tengah menempuh suatu perjalanan perubahan yang tiada akhir.
Karenanya perlu berhati-hati dalam berpikir seolah proses perubahan memiliki akhir
yang pasti, dan nampaknya model manajemen perubahan dari Kurt Lewin seolah-olah
menyarankan hal demikian. Namun,

model Kurt Lewin tetap berguna dalam

membingkai suatu proses perubahan yang lebih mudah dimengerti. Tentu saja setiap
tahap dapat diperluas untuk membantu pemahaman yang lebih baik tentang proses
perubahan. Memahami

konsep unfreezing sekaligus menguasai

analisis medan

kekuatan, tentunya akan menambah wawasan dan membantu kita agar lebih memahami
tentang bagaimana kita berurusan dengan suatu perubahan.
-

Moving
Merupakan tahap pergeseran dari sistem informasi lama dengan sistem informasi
baru dalam perusahaan. Tahap ini meruapakan pengaplikasian tahap unfreezing atau
17

persiapan dalam melakukan perubahan, peran auditor internal disini adalah memastikan
bahwa konsep sistem informasi yabg dibuat perusahaan berjalan dengan baik. Dan
manajemen sebagai eksekutor harus dinilai kinerjanya dalam moving sistem informasi.
4. Peran Pengguna
Dalam pengoperasian sistem informasi jelas yang menjadi aspek terpenting adalah siapa
yang menggunakan sistem informasi tersebut baik manajemen maupun pihak luar yang
membutuhkan. dalam audit internal peran pengguna yang bertanggung jawab langsung
dengan sistem informasi perusahaan diharuskan terbuka dan memberikan informasi yang
diperlukan oleh auditor internal, proses keterbukaan informasi ini yang menjadi aspek penting
dalam keberhasilan implementasi audit sistem informasi dalam hal standart dan masalah apa
yang dihadapi perusahaan saat ini.
5. Motivated and trained user
Beberapa dekade yang lalu, organisasi biasanya terfokus pada kepribadian yang masih
mengerjekan pekerjaannya menggunakan sistem informasi tradisional dalam pengumpulan
data yang dibutuhkan maupun dalam memproses data tersebut, karyawan cenderung lebih
nyaman dalam penggunaan sistem informasi tradisonal dan tidak mau meninggalkan hal
tersebut, biasanya masalah ini disebabkan oleh pemikiran karyawan yang beranggapan bahwa
sistem informasi yang baru akan menghabiskan waktu mereka untuk beradaptasi dan
membutuhkan tenaga baru untuk mengeksekusi hal tersebut. Oleh karena itu motivasi
manajemen sangat dibutuhkan untuk meluruskan pemikiran pengguna sistem informasi
bahwa sistem informasi yang baru lebih praktis dan lebih efisien dalam penggunaan waktu
dan tentu pelatihan pengguna sangat dibutuhkan untuk meyakinkan karyawan bahwa sistem
informasi yang baru sangat di rekomendasikan auditor internal.
6. Tingkat kompleksitas dan resiko
Tingkat kompleksitas dan resiko sistem informasi dalam perusahaan artinya bahwa
seberapa banyak keseluruhan tingkat masalah yang ada dalam perusahaan yang kemudian

18

akan berpengaruh dalam risiko yang ditimbulkan karena bagaimanapun juga pengambilan
keputusan pasti akan menimbulkan risiko yang sama, high risk high return.
2.13 UKURAN KESUSKESAN AUDIT SISTEM INFORMASI
Tingkat Kegunaan Sistem , artinya manfaat yang dapat diserap oleh pengguna sistem

informasi yang dilakukan oleh manajemen bagian sistem informasi

Kepuasan pelanggan, artinya dengan sistem informasi yang digunakan oleh perusahaan
berimbas pada kenyamanan pelanggan dalam berhubungan langsung dengan perusahaan
melalui penggunaan produk yaitu sebelum penggunaan, ketika menggunaan produk dan

sesudah penggunaan produk dalam penginformasian produk perusahaan.

Tingkat pencapaian tujuan, perubahan sistem informasi tentu akan empunyai tujuan
tertentu oleh manajemen perusahaan bagian sistem informasi, tingkat pencaian tujuan ini

dapat diukur melalui target yang ingin dicapai dalam perencanaan perusahaan.
Kualitas Informasi,artinya output dari bagian informasi dapat dipertanggung jawabkan
kebenaran melalui kualitas informasi tersebut, ketika informasi yang dihasilkan tidak
benar maka informasi ini dikatakan buruk, dan sebaliknya.

19

BAB III
KESIMPULAN
Audit sistem informasi adalah proses pengumpulan dan penilaian bukti - bukti untuk
menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas data,
dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya
secara efisien. Ada beberapa tahapan untuk melakukan audit sistem informasi, yaitu :
- Tahap pemeriksaan pendahuluan
- Tahap pemeriksaan rinci.
- Tahap pengujian kesesuaian.
- Tahap pengujian kebenaran bukti.
- Tahap penilaian secara umum atas hasil pengujian.
Audit sistem informasi mempunyai peraturan atau standar dalam mengaudit sistem
informasi manajemen, seperti ISO / IEC 17799 and BS7799, Control Objectives for
Information and related Technology (CobiT) , ISO TR 13335, IT Baseline Protection Manual,
ITSEC / Common Criteria dan ISO 9000.

20

DAFTAR PUSTAKA

https://id.wikipedia.org/wiki/BS_7799
https://id.wikipedia.org/wiki/ISO_9000
Ikatan Akuntan Publik. 2001. Standar Profesional Akuntan Publik. Salemba Empat: Jakarta.
ITSEC (June 1991). "Information Technology Security Evaluation Criteria (ITSEC): Preliminary
Harmonised Criteria"(PDF). Document COM(90) 314, Version 1.2. Commission of the
European Communities. Retrieved 2006-06-02.
Juliandarini. Handayaningsih, Sri. Audit Sistem Informasi pada Digilib Universitas XYZ
Menggunakan Kerangka Kerja COBIT 4.0. Jurnal Sarjana Teknik Informatika. Volume 1
Nomor 1, Juni 2013. Pp. 276-286. e-ISSN: 2338-5197
Jump up^ Jim Woodcock, Susan Stepney, David Cooper, John Clark, and Jeremy Jacob, The
certification of the Mondex electronic purse to ITSEC Level E6, Formal Aspects of Computing,
Volume 20, Number 1, pages 519, January 2008.
Romney, Marshall B., Steinbart, Paul John. (2004). Accounting Information Systems. 9th edition.
Ron Weber .1999. Information System Control and Audit. Prentice-Hall, Inc: New Jersey.
Susan Stepney, David Cooper, and Jim Woodcock, An Electronic Purse: Specification, Refinement,
and Proof. Technical Monograph PRG-126, Programming Research Group, Oxford University,
UK, 2000.
Sugian O, Syahu, Kamus Manajemen (mutu), Jakarta: PT. Gramedia Pustaka Utama, 2006.
Weber, Ron. (1999). Information Systems Control and Audit. Prentice-Hall, Inc., New Jersey.
21

22