ISQA – Personal Assignment 3

2016082415402000009101_7193M_TP3 _ S7_R1

Advertisements

ISQA – Binus LMZ7 – Name and Blog

Lecturer :
1. Dr. Rufman Iman Akbar Effendi, S.E., M.M., M.Kom.
2. Riswan Efendi Tarigan, S.T., M.Kom. http://huxleyi.wordpress.com

Team

1. Angela;https://angelawoen95.wordpress.com
2. Catherine;https://catherineyang94.wordpress.com/
3. Chatrine Sylvia;https://chatrinesylvia.wordpress.com
4. Handoko;https://handokowu.wordpress.com
5. I Gede Dito Wisnu Murti;https://igededitowisnumurti.wordpress.com
6. Akbar Nuzul Putra;https://tigoampeklimo.wordpress.com
7. Henki Lubis;https://hell0w0rld.wordpress.com/
8. Eggy Herlambang;https://eggyherlambang.wordpress.com
9. Emanuel Anggit Kristian Nugroho;http://anggitos.wordpress.com/
10. Cakra Ramadhana;https://cakrarmd.wordpress.com/
11. Devo Fauzan Rahman;
12. David Firmansyah;https://davidfirmansyahblog.wordpress.com/
13. Eman Mulyaman;http://911eman.blogspot.co.id
14. Daniel;https://Depegabe.wordpress.com
15. Destianti Citha Astikasari;https://destianti.wordpress.com
16. Eko Suhandi;https://ekosuhandibinus.wordpress.com/
17. Anugrah Sugiatmoko;https://anugrahsugiatmoko.wordpress.com/
18. Handy Kusuma;http://hanbinusan.blogspot.co.id/
19. Budhi Hartono;
20. Anugrah Ardani;https://ardani1411.blogspot.com
21. Rudi Irawan;http://irawan-rudi.blogspot.co.id/
22. Supit Mamuaya; http://supitmamuayablog.blogspot.co.id/
23. Syaiful Bachri;https://syaifulbachriblog.wordpress.com/
24. Indra Purwanto;
25. Imelda Lipedo Lumban Tobing;https://imenkidiw.blogspot.co.id/
26. Ryan Ramses Rommel R;https://riyanleandros.wordpress.com/
27. Andrie Utama;http://andrieutama.wordpress.com
28. Puti Anggani;https://putianggani.wordpress.com/
29. Suliyanti;https://catherinesuli.wordpress.com
30. Rahardiah Indriastuti;
31. Intan Puryasana;https://sites.google.com/view/intanpys
32. Riyan Leandros;https://travelekers.wordpress.com/ & https://riyansya.blogspot.co.id/

Personal Asignment 2 – ISQA

Personal Assignment 2

Session 3

 

IS Quality Assurance & Control

(Case Study)

PT Bank Perkreditan Rakyat Maju Bersama adalah sebuah perusahaan yang bergerak dalam bidang perbankan.

PT BPR Maju Bersama saat ini memiliki sistem informasi namun belum menggunakan ERP system. Sistem informasi tersebut di develop oleh tim TI PT BPR Maju Bersama. Sistem informasi yang dimiliki oleh perusahaan sudah terintegrasi, namun kemudian diperoleh informasi bahwa setiap program aplikasi menggunakan bahasa program development yang berbeda. Program aplikasi untuk penghitungan gaji dan bonus dibangun dengan menggunakan bahasa program Oracle, sedangkan untuk program akuntansi menggunakan program aplikasi yang dibangun dengan Visual C.

Data untuk penghitungan insentif dan bonus tim marketing, di-entry, proses dan output-nya dikerjakan oleh tim TI. Hasil penghitungan insentif dan bonus tersebut didistribusikan ke bagian Akuntansi dan keuangan untuk dibayarkan kepada anggota tim. Menurut manajer TI, perhitungan insentif dan bonus sudah pasti tanpa kesalahan karena merupakan output komputer dan tidak memerlukan verifikasi.

Server PT Majuku berada di kantor pusat yang berada di Karawang sedangkan cabang tidak memiliki server langsung menggunakan WAN yang dikoneksikan melalui satelit. Kepada anggota tim diberikan fasilitas untuk melakukan transaksi menggunakan fasilitas internet.

Perusahaan belum menyusun BCP. Namun berdasarkan kebiasaan, data yang ada pada server di back up sebulan sekali dalam bentuk softcopy dan hardcopy yang disimpan pada gudang kantor pusat. Program pada PT BPR Maju Bersama tidak menggunakan audit log dengan alasan membuat penuh memory pada server. Password tingkat tertinggi pada program perusahaan dipegang oleh Manajer TI.

 

Hal yang perlu Anda analisis – sintesis:

Apabila Anda adalah auditor yang ditugaskan untuk melakukan audit terhadap sistem informasi perusahaan tersebut:

  1. Tentukan risiko yang muncul berdasarkan kasus di atas!
  2. Lakukan tahap-tahap audit, jika perlu tambahkan asumsi yang Anda anggap perlu!
  3. Berikan Rekomendasi perbaikan TI PT BPR Maju Bersama!

 

–o0o–

 

Jawaban:

Risiko

Thomas R Petlier dalam bukunya Information Security Risk analysis second edition tahun 2005 menyatakan bahwa risiko di definisikan dengan seseorang atau sesuatu yang membuat atau menimbulkan bahaya. dalam lingkungan bisnis saat ini, risiko adalah satu diantara biaya-biaya yang diperlukan saat melakukan bisnis atau memberikan jasa. segala hal yang terkait dengan internal hazard, external hazard maupun risiko dapat membuat sebuah organisasi yang berjalan dengan baik kehilangan competitive advantage, tidak memenuhi deadline ataupun suffer embarassment

Definisi Risiko menurut AS/NZS 4360:2004 adalah “the chance of something happening that will have an impact on objectives” atau kemungkinan dari terjadinya sesuatu yang akan memiliki dampak terhadap sebuah objektif. Lebih lanjut

Definisi Risiko menurut Enterprise Risk Management – COSO adalah “Events with a negative impact represent risks, which can prevent value creation or erode existing value”, kejadian dengan dampak yang negative adahal hal yang representasikan risiko, dimana hal ini dapat mencegah proses terjadinya value creation atau mengikis value yang ada

Sedangkan itjen.risetdikti.go.id menyatakan bahwa risiko adalah kemungkinan ternjadinya peristiwa yang membawa akibat yang tidak diinginkan atas tujuan, strategi, sasaran dan atau target.

Definisi risiko menurut Kamus Besar Bahasa Indonesia (KBBI) adalah akibat yang kurang menyenangkan (merugikan, membahayakan) dari suatu perbuatan atau tindakan.

Menurut Arthur J. Keown (2000), risiko adalah prospek suatu hasil yang tidak disukai (operasional sebagai deviasi standar).

Definisi risiko menurut Hanafi (2006) risiko merupakan besarnya penyimpangan antara tingkat pengembalian yang diharapkan (expected return –ER) dengan tingkat pengembalian aktual (actual return).

Menurut Emmaett J. Vaughan dan Curtis M. Elliott (1978), risiko didefinisikan sebagai;

  1. Kans kerugian – the chance of loss
  2. Kemungkinan kerugian – the possibility of loss
  3. Ketidakpastian – uncertainty
  4. Penyimpangan kenyataan dari hasil yang diharapkan – the dispersion of actual from expected result
  5. Probabilitas bahwa suatu hasil berbeda dari yang diharapkan – the probability of any outcome different from the one expected

Dari paparan diatas dapat diambil kesimpulan bahwa risiko adalah segala sesuatu yang dapat memberikan bahaya kepada organisasi yang berjalan, dimana ketika risiko ini terjadi maka ada dampak yang akan terjadi terhadap perusahaan atau organisasi.

Maka dari pengertian risiko ini dan sesuai pada studi kasus yang disajikan diatas, ada beberapa hal yang menurut saya dapat menjadi risiko terhadap PT BPR maju bersama, risiko-risiko tersebut adalah:

  1. Berhentinya Operasional perusahaan karena ketiadaan BCP

BCP – Business Continuity Plan secara sederhana adalah sebuah dokumen yang menyatakan bagaimana perusahaan melakukan bisnisnya pada saat kondisi normal perusahaan terganggu, baik dari sisi layanan IT – backbone dari layanan perbankan, force major, maupun alasan-alasan lainnya.

Risiko utama yang akan muncul dari ketiadaannya dokumen ini adalah berhentinya operasional PT BPR Maju bersama karena kondisi normal perusahaan terganggu, dengan alasan apapun. Risiko ini adalah risiko yang sangat berat untuk dialami perusahaan karena dengan berhentinya operasional perusahaan, artinya bisnis yang dimiliki juga akan berhenti, tidak saja keuntungan perusahaan yang bisa berkurang, hal ini sangat mungkin menimbulkan kerugian bagi perusahaan.

  1. Data yang tidak valid karena ketiadaan backup data

Transaksi perbankan adalah transaksi yang berjalan dalam waktu yang sangat cepat, perbedaan beberapa menit bisa berarti sangat besar untuk suatu nomor rekening yang ada dalam Bank. Dan saat ini back-up yang dimiliki bank adalah backup yang dilakukan secara bulanan. Jika terjadi kerusakan data pada server, baik secara fisik maupun logic, maka dapat di pastikan baik bank maupun nasabah akan sangat dirugikan secara materil, karena pergerakan uang yang sudah terjadi dalam 1 bulan terakhir tidak akan dapat di retrieve.

  1. Risiko yang ditimbulkan karena perbedaan Bahasa pemrograman system yang digunakan

Ketika semua berjalan dengan baik, perbedaan Bahasa pemrograman system yang digunakan tidak akan memberikan permasalahan terhadap keseluruhan layanan IT, namun dengan system di develop menggunakan Bahasa internasional yang seiring waktu akan terdapat update atau patch, yang ketika hal ini terjadi, ada risiko compatibility dari satu program ke program yang di develop dengan Bahasa yang berbeda akan mengalami gangguan.

  1. Risiko yang muncul karena tidak terjadinya verifikasi pada beberapa proses.

Pada studi kasus di sebutkan bahwa manager IT menyatakan bahwa proses pelaksanaan pemberian insentif tidak memerlukan verifikasi lebih lanjut karena semua proses dilakukan oleh computer. Risiko yang dapat muncul adalah kesalahan data insentif yang akan di bayarkan kepada pekerja yang berhak, dan kesalahan ini akan sulit disadari karena ketiadaan proses verifikasi sebelumnya.

  1. Risiko yang muncul karena ketiadaan log file

Log file pada dasarnya adalah sebuah file yang akan mencatat setiap perubahan yang terjadi dalam system, tanpa adanya file ini, maka perubahan yang terjadi tidak akan tercatat pada server dan sangat mungkin memberikan kesempatan lebih tinggi bagi fraud dalam perusahaan ini tidak dapat terlacak. Disisi lain, ketiadaan audit log akan mempersulit proses audit yang akan dilakukan di kemudian hari.

 

Pelaksanaan Audit IT di PT BPR Maju bersama

Marius dan Cristian (2009) menyatakan bahwa suatu proses audit dipimpin oleh orang-orang dengan tingkat profesionalitas yang tinggi dalam hal kompetensi maupun ketrampilan. Tim audit akan melakukan penilaian terhadap SI/TI yang diterapkan pada perusahaan me-refer kepada standar, pedoman, prosedur, dan hukum yang ada. Proses audit merupakan bagian dari program audit sebagai strategi organisasi unutk menilai kualitas dari SI/TI yang diterapkan. Marius dan Christian (2009) merangkum aktivitas audit menjadi beberapa tahapan yaitu:

  1. Audit Initiating, tahap ini adalah tahapan perencanaan untuk pelaksanaan audit pada sebuah perusahaan atau organisasi, tahapan ini terdiri dari penentuan ruang lingkup audit, menetapkan kelayakan audit, membentuk tim audit, membangun kontak awal dengan auditee
  2. Document Analysis, tahap ini dilakukan untuk mengumpulkan bukti audit yang memiliki keterkaitan dengan audit dari auditee. Dokumentasi termasuk surat-surat resmi dan audit yang sebelumnya sudah dilaporkan. Pada tahap ini, jika dianggap bahwa dokumen yang diajukan oleh auditee tidak memadai dalam kaitannya dengan tujuan dari audit, maka proses audit dapat dihentikan atau ditangguhkan.
  3. Carrying out the audit activities on site, pada tahap ini auditor akan mengadakan pertemuan yang digunakan untuk membicarakan proses audit yang akan dilakukan, serta melakukan interview dengan auditee terkait dengan audit yang dilakukan.
  4. Preparation, approval and distribution of the audit report, pada tahap ini tim audit akan melakukan penyusunan laporan audit terkait proses audit yang sudah dilakukan sebelumnya. Laporan ini kemudian akan di distribusikan kepada stakeholder dari proses audit ini. Termasuk dalam tahap ini adalah presentasi kepada stakeholder sebagai bagian dari proses distribusi laporan.
  5. Audit process closing, setalah seluruh kegiatan yang termasuk dalam rencana audit selesai dilaksanakan, serta laporan audit telah di setujui dan di distribusikan, maka proses audit dapat di tutup. Seluruh anggota tim audit harus menjaga kerahasiaan data yang tercatat dalam dokumen audit.
  6. Follow-up audit, tahap ini berupa tindak lanjut dari kegiatan audit yang berisi kegiatan yang dapat dianggap sebagai bagian audit apakah sudah diproses atau tidak. Kesimpulan audit menyebabkan kebutuhan untuk perbaikan, pencegahan atau tindakan perbaikan.

 

Dowling, C. dan Leech, S. a. (2014) menyatakan bahwa dalam melakukan tugasnya, seorang IT auditor akan mengikuti tahapan-tahapan tertentu, tahapan-tahapan tersebut secara umum terdiri dari:

  1. Planning

Tahap ini merupakan tahapan penting dalam kegiatan IT Audit, karena jika tahapan ini gagal maka kegiatan audit tidak akan menemukan hasil yang tepat. Pada tahapan ini, akan menentukan tujuan serta ruang lingkup audit IT yang akan dilaksanakan. Dowling menyatakan bahwa pada tahapan ini terdapat proses preliminary survey, dimana dalam proses ini IT auditor akan melakukan wawancara dengan pihak klien untuk memahami proses kerja sistem yang akan ditinjau.

  1. Requesting Document

Pada tahapan ini IT auditor akan meminta dokumen-dokumen yang berhubungan dengan kegiatan audit, dokumen-dokumen ini adalah dokumen-dokumen yang minimal tercantum dalam audit preliminary checklist. Dokumen-dokumen ini bisa terdiri dari salinan laporan audit sebelumnya, bank statement, buku besar, peraturan komite perusahaan dan sebagainya.

  1. Preparing audit plan

Dalam tahapan ini, auditor IT akan mencari informasi yang terdapat dalam dokumen-dokumen yang sudah diberikan dan merencanakan langkah-langkah yang harus dilakukan selama proses audit. Auditor harus memahami tujuan bisnis dari bagian yang akan diaudit agar dapat mempertimbangkan risiko yang mungkin terjadi, dan kemudian mengidentifikasi kontrol internal yang ada yang mengurangi risiko tersebut. Ketika hal yang akan di audit adalah sistem atau teknologi, maka auditor perlu memikirkan risiko untuk sistem atau teknologi berfungsi sebagaimana tujuan utama system atau teknologi ini di buat. Langkah-langkah ini harus didokumentasikan dengan rincian yang memadai agar memungkinkan auditor untuk memahami risiko yang ditangani oleh setiap tahapan. Tahapan ini akan menghasilkan audit plan.

 

 

  1. Scheduling an Open Meeting

Open meeting atau dikenal juga sebagai kick-off meeting adalah sebuah meeting dimana IT auditor akan memaparkan ruang lingkup untuk proyek audit dan menerima masukan akhir dari tim management. Untuk mendapatkan hasil yang maksimal, maka selama pertemuan ini IT auditor harus terbuka terhadap masukan dari tim management dan fleksibel jika terdapat perubahan pada lingkup audit. Hasil dari meeting ini akan menyempurnakan audit plan yang sudah di buat sebelumnya.

  1. Conducting Fieldwork

IT auditor melakukan penelitian lapangan untuk memperoleh data dan melakukan wawancara terhadap auditee untuk menganalisis potensi risiko dan menentukan bagaimana dampak risiko dapat dikurangi. Namun, IT Auditor harus mencari cara untuk memvalidasi informasi yang disediakan secara independen. Meskipun hal ini tidak selalu memungkinkan, sehingga auditor harus selalu memikirkan cara-cara kreatif untuk menguji hal tersebut.

  1. Issue directory and validation

Setelah penelitian lapangan, IT auditor akan membuat daftar terkait isu-isu potensial, daftar isu potensial akan di buat untuk memastikan bahwa semua masalah yang ada valid dan relevan. Kemudian auditor harus mendiskusikan isu-isu potensial tersebut dengan auditee secepat mungkin untuk memvalidasi kebenaran dari isu yang ditemukan. Dengan melihat tanggapan dari pihak klien, IT Auditor kemudian akan merencanakan tindakan yang dapat diambil untuk menghadapi isu tersebut.

  1. Drafting a Report

Setelah tim audit menemukan masalah dalam bagian yang diaudit, kemudian menvalidasi masalah tersebut dengan klien, dan memberikan solusi untuk mengatasi masalah tersebut, IT auditor dapat menyusun laporan audit. Laporan audit berisi komentar yang menggambarkan isu-isu apa yang ditemukan di dalam audit dan solusi apa yang akan disarankan terhadap masalah yang ada.

 

  1. Setting up a Closing meeting and Issue Tracking

IT Auditor kemudian mengadakan pertemuan terakhir dengan pihak management untuk membahas laporan audit. Jika ada masalah yang belum terselesaikan maka akan segera diselesaikan pada pertemuan penutup ini. Namun, kegiatan audit pada dasarnya tidak selesai setelah IT auditor menyampaikan laporan audit, proses audit akan benar-benar selesai ketika masalah yang diangkat dalam audit sudah terselesaikan, baik dengan cara yang sudah di rekomendasikan atau pun dengan cara yang diinginkan oleh pihak management.

 

Chris Davis, dan kawan-kawan dalam bukunya, IT Auditing menyatakan bahwa terdapat 6 hal yang perlu dilakukan dalam pelaksanaan audit yaitu:

  1. Planning.

Tujuan dari tahap planning adalah untuk menentukan objective dan scope pekerjaan audit yang akan dilakukan. Beberapa hal yang perlu dilakukan dalam tahap planning ini adalah:

  1. Perpindahan tugas dari Audit manager ke audit team jika proses audit ini sudah direncanakan dari awal.
  2. Survey awal. Perlu dilakukan survey awal agar auditor dapat mengetahui area yang akan di audit
  3. Request dari customer. Auditor perlu memastikan bawah user/customer yang akan di audit mempunya rasa ownership terhadap proses audit sehingga akan baik jika bertanya kepada customer/user area mana yang menurut mereka perlu di audit.
  4. Membuat Standard checklist.
  5. Melakukan research
  6. Melakukan assessment
  7. Membuat schedule
  8. Melakukan Kick Off Meeting.

 

  1. Fieldwork

Auditor langsung terjun ke lapangan dimana audit dilakukan. Proses ini merupakan proses yang sangat penting dalam melakukan audit hal ini karena dengan melakukan hal ini, maka auditor bisa mendapatkan kondisi yang sebenarnya. Dokumentasi hasil temuan di lapangan akan digunakan dalam membuat kesimpulan.

  1. Issue Finding and Validation.

Pada saat melakukan fieldwork, auditor perlu membuat daftar issue yang potensial dan memastikan daftar issue yang sudah di buat tersebut adalah valid dan relevan.

  1. Mencari solusi.

Jika daftar isu-isu yang sudah ditemukan di lapangan sudah di validasi, maka proses selanjutnya yang harus dilakukan adalah membuat atau mencari solusi dari isu-isu tersebut. Pembuatan atau pencarian solusi ini dilakukan bersama dengan user untuk meastikan bahwa solusi adalah valid.

  1. Reporting.

Jika sudah menyelesaikan proses fieldwork selesai dilakukan dan isu serta solusi sudah di validasi oleh user, maka perlu dibuatkan laporan audit untuk management. Laporan ini seterusnya akan didistribusikan kepada management, baik dalam bentuk tulisan maupun dalam bentuk presentasi

  1. Issue Tracking.

Seringkali ketika jika proses audit sudah selesai, pekerjaan audit juga sudah dianggap selesai. Namun jika ini yang terjadi, maka proses audit tidak akan menjadi nilai tambah bagi perusahaan. Memastikan bahwa perbaikan atau penyelesaian terhadap isu-isu yang sudah ditemukan pada proses audit adalah hal yang sama pentingnya dengan proses audit tersebut.

 

 

Dari penjelasan di atas, bisa diambil kesimpulan bahwa untuk melakukan audit dan menghasilkan deliverable yang baik, maka pada dasarnya ada beberapa tahapan yang harus dilakukan, yaitu:

  1. Planning – Perencanaan

Fail to plan means plan to fail, tanpa perencanaan yang baik, pelaksanaan audit tidak akan bisa mencapai hasil yang maksimal. Perencanaan yang dimaksud minimal harus memiliki tujuan pelaksanaan audit, ruang lingkup audit, metode audit. Untuk memberikan informasi lebih baik, jangka waktu audit bisa juga  membantu perencanaan untuk memastikan pelaksanaan akan lancar dan tidak melebihi waktu yang sudah ditetapkan sebelumnya.

  1. Fieldwork and documentation

Hal ini adalah tahapan utama dari pelaksanaan audit, dimana tim audit akan melakukan pemeriksaan terhadap apa yang sudah di rencanakan sebelumnya. Fieldwork ini dilakukan untuk mendapatkan kondisi sebenarnya di lapangan. Pelaksanaan audit di lapangan ini akan melibatkan beberapa pihak yang bisa memberikan informasi yang diharapkan, hal ini seringkali dilakukan dengan melakukan interview terhadap user-user yang dimaksud. Hal lain yang juga dilakukan adalah pengumpulan dokumen yang terkait dan relevan dengan hal yang diaudit yang kemudian akan di jadikan sebagai evidence dalam audit ini.

  1. Issue discovery, validation and solution development

Setelah proses audit dilakukan di lapangan dan semua dokumentasi diperiksa, maka langkah selanjutnya adalah melakukan penilaian terhadap apa yang sudah terjadi dilapangan, baik dari kesesuaian dengan prosedur, maupun dengan prosedur-prosedur lainnya. Dari proses ini, tim auditor seharusnya sudah mendapatkan beberapa potential concern yang ada. Potential concern ini kemudian harus divalidasi ulang oleh tim auditor dengan user yang terlibat, untuk memastikan bahwa potential concern ini adalah valid, bukan merupakan kesalahpahaman yang terjadi atau concern yang terjadi karena adanya dokumen yang masih belum lengkap.

Setelah potential concern ini valid, concern-concern ini dapat dijadikan temuan audit untuk kemudian akan di olah lebih lanjut terkait apa yang bisa dilakukan untuk meng-address temuan-temuan. Tidak jarang solution development juga akan melibatkan user dalam prosesnya, hal ini agar solusi yang dibuat adalah solusi yang benar-benar bisa dilakukan. Namun yang harus diperhatikan adalah level independency dari proses ini, user bisa terlibat dalam proses ini, namun usulan solusi yang muncul tidak boleh di drive oleh keinginan user semata, namun lebih merupakan usulan solusi terbaik yang bisa diberikan oleh auditor.

  1. Report and Report distribution

Setelah semua data lengkap, maka report audit sudah bisa dibuat dan siap di sajikan kepada management dan juga stakeholder yang terkait dengan pelaksanaan audit ini. Penyajian laporan ini bisa jadi dalam bentuk presentasi yang dihadiri oleh tim management terbatas, maupun dalam bentuk pengiriman dokumen kepada tim management.

  1. Issue tracking

Dokumen yang sudah di sajikan kemudian akan disebarkan oleh management kepada user-user terkait, dimana kemudian user-user ini dapat melakukan perencanaan perbaikan terhadap temuan-temuan yang sudah ada. Pada proses ini, tim auditor sudah jarang terlibat secara in-hands, namun bukan berarti tidak akan terlibat sama sekali, tim auditor pada saat ini seringkali akan menjadi konsultan yang dapat memberikan informasi yang diperlukan terhadap proses yang sudah dilakukan, atau sebagai narasumber untuk menjelaskan temuan yang masih belum terlalu jelas.

 

REKOMENDASI

Menurut makalah singkat yang diterjemahkan oleh dina savaluna dengan judul membuat rekomendasi yang efektif, rekomendasi yang baik adalah rekomendasi yang minimal memiliki kriteria yang Spesific, Measurable, Achieveable, Result-Oriented, Timebound, Solution-suggestive, Mindful of priotisation, sequencing and risk, Argued, Root-cause responsive, Targeted. Atau disingkat dengan double-SMART.

Sedangkan Sofian, dalam page yang di publish pada ugm.ac.id menyatakan bahwa rekomendasi adalah proses mengevaluasi atau menilai beberapa opsi atau alternatif kebijakan untuk menentukan mana tindakan kebijakan yang terbaik untuk mengatasi masalah sosial, ekonomi, politik, dan fisik yang sedang atau akan dihadapi oleh masyarakat. Langkah-langkah penetapan rekomendasi adalah:

  1. Rumuskan beberapa kriteria evaluasi yang relevan dengan tujuan kebijakan
  2. Analisis efek dan dampak tiap Alternatif Kebijakan terhadap kriteria-kriteria tersebut;
  3. Tetapkan Alternatif yang terbaik (lebih banyak unsur positifnya) sebagai Tindakan Kebijakan.

Dengan hal yang dijelaskan terkait dengan rekomendasi di atas dan kondisi dari studi kasus yang di paparkan, ada beberapa rekomendasi yang bisa diberikan untuk perbaikan dari layanan IT yang saat ini dimiliki oleh PT BPR Maju bersama, yaitu:

  1. Membuat dokumen Business Continuity Plan

Business Continuity plan menurut SANS Institute adalah aktivitas yang diperlukan untuk membuat organisasi tetap berjalan dalam periode displacement atau interuption dari operasi normal. Sedangkan menurut Business Continuity Institue glossary, Business Continuity Plan adalah adalah kumpulan dari prosedur dan informasi yang di develop, di kompilasi, dan di pastikan kesiapannya untuk digunakan dalam periode emergency ataupun disasster

Tanpa adanya dokumen ini, maka ketika terjadi kondisi dimana operasional perusahaan tidak dapat berjalan dengan baik, organisasi tidak akan dapat menjalankan bisnisnya sama sekali, karena tidak ada panduan yang jelas yang akan memastikan bisnis tetap dapat berjalan. Untuk hal ini, maka rekomendasi pertama yang sebaiknya dilakukan oleh PT BPR Maju Bersama adalah memastikan BCP akan di bentuk.

Walaupun harus diingat adalah BCP bukan merupakan tanggung jawab IT sepenuhnya, namun adalah tanggung jawab bisnis, namun, IT adalah bagian yang tidak dapat terpisahkan dalam pembuatan BCP ini karena tulang punggung layanan pebankan adalah pada IT yang digunakan.

  1. Lakukan mirroring system untuk server aplikasi dan database milik PT BPR Maju Bersama.

Dengan bisnis utama PT BPR Maju bersama yang ada pada dunia perbankan, maka validitas, availibilitas dan realibilitas data adalah hal yang sangat penting. Server mirroring menurut technopedia.com adalah adalah sebuah proses dalam management jaringan yang dengan proses ini akan dibuatkan sebuah replika yang benar-benar sama dari sebuah server dan di jalankan pada saat run timeServer mirroring adalah sebuah teknik yang digunakan untuk business continuity, disasster recovery dan backup. proses duplikasi keseluruhan isi server pada server yang lain akan membuat data dapat di restore dengan mudah jika server utama bermasalah.

  1. Lakukan backup secara periodik khususnya database yang dimiliki

Untuk memastikan bahwa data benar-benar aman, maka adalah hal yang cukup umum bahwa walaupun server yang ada sudah memiliki mirror, proses back-up tetap dijalankan. Ada minimal 2 alasan, yang pertama adalah adanya risiko kerusakan data pada server, walaupun dengan mirroring likelihood nya semakin kecil, namun bukan berarti hal ini tidak mungkin terjadi. Alasan kedua adalah kapassitas dan performansi server, dimana server yang dimiliki akan memiliki keterbatasan kapasitas penyimpanan data, namun di satu sisi, data perbankan adalah data yang sangat krusial dan harus di jaga keberadaannya. Disisi lain, semakin banyak data, maka semakin besar effort server untuk melakukan prosesnya, maka dengan adanya back up ini, performansi server yang digunakan akan tetap terjaga.

Yang menjadi catatan adalah bahwa server aplikasi yang digunakan oleh PT BPR Maju bersama juga sebaiknya memiliki backup secara periodik, namun periode untuk backup server aplikasi tidak perlu sama dengan periode server database, hal ini karena dibandingkan dengan server database, perubahan yang terjadi pada server aplikasi relatif lebih sedikit.

  1. Menyempurnakan Business Proses yang dimiliki

Dengan adanya beberapa proses yang tidak memiliki verifikasi dalam prosesnya, fraud dan kesalahan akan memiliki likelihood yang cukup tinggi. Untuk mencegah fraud dan kesalahan akan terjadi, maka proses verifikasi seharusnya dilakukan untuk proses-proses yang penting bagi perusahaan. Perubahan proses ini sebaiknya dilakukan pada tatanan bisnis proses sehingga semua kebutuhan perusahaan akan tercapture dengan lebih baik dan menjadi referensi yang jelas bagi pelaksananya.

  1. Aktivasi audit log pada seluruh aplikasi utama PT BPR Maju Bersama

Audit log adalah hal yang akan sangat membantu perusahaan dalam proses audit, dimana setiap perubahan yang terjadi pada aplikasi maupun database dimungkinkan untuk di lihat dalam waktu yang singkat dengan aktivasi fitur ini.

  1. Penyeragaman Bahasa Pemrograman

Lakukan analisa, bahasa pemrograman apa yang paling tepat untuk digunakan oleh PT BPR Maju Bersama, analisa yang dilakukan tidak terbatas pada kemampuan pekerja IT di perusahaan, namun juga kesesuaian dengan aplikasi yang ada, ketersediaan expert di pasar, cost yang diperlukan untuk mendevelop seorang pekerja menjadi expert pada sebuah bahasa pemrgraman, kebutuhan komunikasi dengan server, dan hal-hal lainnya.

Ketika sudah dipilih bahasa pemrograman yang pasti, maka yang selanjutnya dilakukan adalah melakukan perubahan bahasa pemrograman untuk aplikasi yang di program dengan dengan bahasa pemrograman selain bahasa pemrograman yang sudah ditentukan. Pada awalnya effort terkait perubahan bahasa pemrograman akan cukup besar, hal ini karena perubahan bahasa pemrograman pada sebuah aplikasi berarti melakukan pembuatan ulang sebuah aplikasi dengan bahasa pemrograman lainnya. Walaupun logic yang akan sama, namun karena behaviournya yang berbeda antara bahasa pemrograman, maka proses pembuatan ulang akan membutuhkan effort yang cukup besar. Namun dengan dilakukannya hal ini, maka maintenance server dan aplikasi akan membutuhkan cosst yang lebih sedikit.

  1. Lakukan analisa kelayakan terkait impementasi ERP di PT BPR Maju Bersama

Dengan makin berkembangnya teknologi, maka sebuah aplikasi yang dapat membuat semua proses berada didalamnya adalah hal yang cukup baik untuk di analisa. Aplikasi dengan nature seperti ini adalah Enterprise Resource Planning, yang saat ini sudah banyak digunakan oleh perusahaan-perusahaan yang cukup besar. Namun, cost untuk menggunakan ERP ini tidaklah sedikit, sehingga keputusan untuk melakukan implementasi sistem ERP ini harus berasal dari hasil analisa mendalam dengan mempertimbangkan kondisi keuangan perusahaan, cost yang diperlukan benefit yang ditawarkan, added value di masa yang akan datang, dan lain sebagainya.

Tidak Harus sebuah perusahaan memiliki ERP system, jika memang hasil analisanya mengatakan hal tersebut, namun, adalah hal yang akan memberikan keuntungan yang cukup baik jika hasil analisa yang dilakukan menunjukkan bahwa sistem ERP ini layak untuk diimpelemntasikan di PT BPR Maju bersama

 

 

Referensi

http://itjen.ristekdikti.go.id/wp-content/uploads/2016/04/Manajemen-Risiko_Ristekdikti.pdf

http://kbbi.web.id

http://COSO.org

Thomas R Petlier, 2005 Information Security Risk analysis second edition

SAI Global Limited; AS/NZS 4360:2004

Arthur J. Keown (2000),

Hanafi, 2006, Manajemen risiko operasional

Emmett J. Vaughan dan Curtis M. Elliott (1978), Fundamental of Risk and Insurance

Dowling, C. and Leech, S. a. (2014), A Big 4 Firm’s Use of Information Technology to Control the Audit Process

Reff: Chris Davis, Mike Schiller dan Kevin Wheeler. IT Auditing Using Controls To Protect Information Assets. Second Edition.

Marius, P. O. P. A., & Cristian, T. O. M. A. (2009). Stages for the Development of the Audit Processes of Distributed Informatics Systems. Journal of Applied Quantitative Methods

http://www.apt.ch/content/files_res/Briefing1_BahasaIndonesia.pdf

http://sofian.staff.ugm.ac.id/kuliah/Langkah-langkah%20Rekomendasi.pdf

ISQA – Group Assignment 1

TK1-W3-S4-R0

Information System Quality Assurance and Control

 

Kelompok 2:

HENKI LUBIS (1801622045)

CAKRA RAMADHANA (1801622101)

DAVID FIRMANSYAH (1801622165)

SYAIFUL BACHRI (1801624656)

SULIYANTI (1801625072)

 


Group Assignment 1

Session 4

 IS Quality Assurance &Control

  1. Berdasarkan teori yang dikemukakan pada tulisan, apa saja dampak implementasi ERP pada organisasi? Kemudian uraikan apa yang perlu dipersiapkan sebelum dan sesudah implementasinya?
  2. Berdasarkan hasil riset yang telah dilakukan sebelumnya dan juga pada makalah ini, risiko apa saja yang dihadapi bisnis terkait implementasi ERP?
  3. Terkait kontrol dalam implementasi ERP, coba uraikan lima kelemahan (lacks) yang hadapi organisasi. Berikan argumen Anda, bagaimana menyikapi dan menyelesaikan kelemahan-kelemehan tersebut? (Dukung dengan teori dari literature terkait).
  4. Perhatikan Tabel 3 (halaman 65). Berdasarkan matriks risiko implementasi ERP dan kontrol yang terkait, menurut pemahaman Anda, apakah hasil riset ini fit dengan organisasi di Indonesia? Apakah ada hal-hal unik/khusus yang perlu diperhatikan/disikapi bila implementasi ERP dilakukan di perusahaan lokal?
  5. Apa saran dan rekomendasi Anda terkait penelitian tersebut (baik keterbatasan maupun perbaikan penelitian selanjutnya).

–o0o—

 Jawaban

 Dampak implementasi ERP pada organisasi adalah:

  • Dari sisi dampak scope, implementasi ERP akan berdampak kepada seluruh organisasi dimana traditional project biasanya hanya akan berdampak pada sebagian area saja.
  • Implementasi ERP juga biasanya berdampak terjadinya reengineering bisnis proses. Ini disebabkan umumnya bisnis proses yang akan menyesuaikan terhadap proses dari software ERP yang dipilih, bukan merubah software ERP untuk menyesuaikan dengan bisnis proses perusahaan.
  • Implementasi ERP juga harus membuat organisasi membutuhkan personel yang harus belajar Bahasa programming baru.
  • Implementasi ERP juga merubah computing paradigma perusahaan dari mainframe-based ke network-centric.
  • Dengan harga aplikasi yang cukup mahal, maka ada risiko kebangkrutan pada saat kegagalan implementasi terjadi.
  • Namun, diluar dampak negative diatas, dampak yang sangat positive bisa juga terjadi pada perusahaan, yaitu peningkatan performansi perusahaan saat implementasi dapat selesai sesuai dengan target dan proses peralihan telah selesai dengan sempurna. Dengan adanya system ini, maka cukup 1 system yang akan digunakan untuk sebagian besar bisnis proses yang dimiliki oleh perusahaan, namun yang selalu didahulukan adalah bisnis proses yang terkait dengan pembayaran atau penerimaan, hal ini akan membuat perusahaan dapat menghasilkan laporan keuangan perusahaan yang valid dalam waktu yang lebih cepat.

 

Sebelum melakukan implementasi ERP perlu dilakukan usaha untuk meminimalisir resiko gagalnya implementasi (Barki, et al. 1993; Jiang and Klein, 1999). Untuk meminimalisasikan resiko, biasanya audit firm akan melakukan indentifikasi terhadap sifat resiko, control dan deteksi resiko yang diikuti dengan membangun level acceptance dan menentukan level dari seluruh hasil audit resiko yang merupakan fungsi bagi resiko yang lain (Arens and Loebbecke, 1997). Hal yang sama yang harus dilakukan sebelum implementasi ERP yaitu resiko harus di identifikasi dan melakukan control yang diperlukan untuk meminimalisir resiko.

Tidak selarasnya strategi organisasi, struktur, dan proses dan pemilihan software ERP juga dapat membuat gagalnya implementasi ERP. Oleh karena itu process reengineering literature (Hammer, 1990; Hammer and Champy, 1993) dan ERP literature menyebutkan ERP system tidak akan dapat mengimprove performansi perusahaan, kecuali perusahaan tersebut melakukan restruktur pada proses operasionalnya (Bingi et al., 1999; Davenport, 1998; Davenport, 2000).

Implementasi ERP juga perlu diawali oleh inisiatif bisnis. Ini membuat organisasi mendapatkan strategi yang jelas.

 

Setelah implementasi ERP, perlu dipersiapkan orang orang (employee) yang mempunyai skill yang dibutuhkan untuk memanage dan melakukan maintenance terhadap aplikasi ERP

 

  1. Resiko resiko yang dihadapi perusahaan pada implementai ERP adalah

Tidak selarasnya organisasi strategi, struktur dan proses dan pemilihan software ERP. Seperti dijelaskan di nomor (1), perlunya proses strukturisasi dalam organisasi perlu dilakukan.

Hilangnya control terhadap project merupakan salah satu issue besar. Kehilangan control project dapat di bagi menjadi 2 yaitu hilangnya control terhadap project team dan hilangnya control terhadap employee jika implemetasi ERP selesai.

 

Kompleksitas project. Implementasi project ERP melibatkan pembelian hardware, software dan penggunaan biaya yang besar. Scope ERP system juga lebih besar dibandingkan implementasi system informasi lainnya dan dapat mengakibatnya perubahan yang signifikan dalam organisasi (Davenport, 2000). Scope dan kompleksitas project merupakan resiko yang besar bagi bisnis perusahaan.

 

Kurangnya skill project team expertise. Implementasi ERP membutuhkan berbagai macam keahlian. Organisasi biasanya kurang mempunyai skill change management dan skil BPR yang dibutuhkan untuk implementasi. ERP sisyem biasanya dibuat berdasarkan Bahasa pemrograman dan konsep yang umumnya hal yang baru bagi staff IT (Kay, 1999). Kurangnya skill yang dibutuhkan untuk implementasi ERP ini lah yang merupakan potensial resiko bisnis.

 

Potensial terjadinya turn over employee. Pada saat organisasi mengimplementasi ERP yang lebih kompleks, organisasi akan mengalami perubahan relationship dengan employee. Employee mungkin akan bekerja dengan orang orang lain, sharing informasi dengan departemen lain, mendapatkan skill baru atau responsibility baru (Appleton, 1999). Perubahan ini dapat membawa terjadinya perlawanan, kebingungan dan ketakutan diantara employee. User yang tidak menunjukan support meningkatkan potensial resiko (Anderson and Narasumhan, 1979). Turn over employee atau perlawanan employee menciptakan resiko bisnis yang baru yang berhubungan dengan implementasi ERP

 

 

  1. Terdapat 5 kelemahan yang seringkali terjadi pada saat proses implementasi ERP, kelima kelemahan tersebut adalah:

 

3.1 Kelemahan dalam hal alignment antara ERP system dan Bisnis proses yang ada.

Kelemahan ini adalah kelemahan yang paling sering dikemukakan pada buku dan atau jurnal-jurnal yang sudah di published sebelumnya, seperti yang dilakukan oleh Davenport pada tahun 1998 dan 2000. Implementasi System ERP pada sebuah perusahaan tidak akan bisa memberikan hasil yang maksimal tanpa adanya penyesuaian pada organisasi dan proses yang ada didalam perusahaan. Studi juga menambahkan bahwa untuk mendapatkan implementasi ERP yang sukses, maka inisiasi kebutuhan untuk melakukan implementasi system ERP ini sebaiknya datang dari bisnis dengan didukung keberadaan hasil yang diharapkan dengan implementasi system ERP ini.

Kelemahan ini bisa diminimalisasi dengan :

  1. Melakukan Business Process Reengineering (BPR)

Melakukan BPR akan membuat proses operasi yang dimiliki perusahaan untuk dapat align dengan ERP system yang akan diimplementasikan, sehingga akan membuat perusahaan mendapatkan full benefit yang ditawarkan oleh ERP system. Dengan dilakukannya hal ini, maka inisiatif dari implementasi ERP ini sebaiknya datang dari bisnis. Selanjutnya dengan sudah dilakukannya hal tersebut, maka tujuan strategis dari implementasi ERP ini akan menjadi lebih jelas dan proses yang akan berjalan akan konsisten dengan tujuan yang ingin diselesaikan.

  1. Melakukan pembentukan kebutuhan spesifikasi dalam bentuk detail

Dengan spesifikasi detail yang dibuat, maka kemungkinan untuk system ERP yang diimplementasikan dapat memenuhi kebutuhan organisasi, dan bisnis proses perusahaan akan menjadi lebih tinggi. Menurut davenport pada tahun 2000, selagi proses ini dilakukan, baseline matrix pada proses-proses existing dapat dibentuk dengan lebih baik, dan hal ini dapat juga digunakan untuk melakukan evaluasi terhadap hasil implementasi ERP ini.

  1. Memastikan testing terhadap system sebelum implementasi ERP dilakukan dan memonitor performansi dari system yang ada.

Keberadaan hal ini adalah hal yang sangat penting dalam implementasi ERP ini, hal ini dilakukan untuk memastikan bahwa ERP system yang suda diimplementasikan dapat dioperasikan dengan baik, dan dapat memberikan support yang cukup terhadap proses bisnis yang ada di perusahaan, tentunya sesuai dengan desain yang sudah dilakukan sebelumnya.

 

 

3.2 Kelemahan dalam melakukan kontrol terhadap project

Kelemahan ini dapat muncul minimal pada 2 situasi, yaitu kehilangan control terhadap project team, dan juga kehilangan control terhadap pekerja setelah system menjadi operasional. Kelemahan kehilangan control terhadap project muncul karena adanya desentralisasi berikut proses ratifikasi yang tidak efektif dijalankan. Pada saat tim project di bentuk, karena skalabilitas system yang besar, maka tim akan dibentuk beranggotakan banyak pekerja dari bagian yang berbeda yang memiliki tanggung jawab yang berbeda. Ketika tim ini di bentuk, keputusan pelaksanaan project dan ratifikasinya adalah menjadi tanggung jawab dari tim ini. Namun dengan dilakukannya hal ini, ada risiko bahwa implementasi ini akan lebih memenuhi kebutuhan tim project dibandingakan dengan memenuhi kebutuhan perusahaan secara keseluruhan.

Disisi lain, risiko yang membuat kelemahan ini muncul adalah risiko kehilangan control terhadap pekerja setelah project ini selesai dilaksanakan. Dengan skalabilitas yang tinggi, maka hampir seluruh pekerja akan terkena dampak dari implementasi ERP ini, mulai dari adanya tanggung jawab baru terhadap system ini, baik untuk pekerja level management maupun pekerja-pekerja di bawah level management. kontrol yang kurang terhadap tanggung jawab baru pada pekerja ini baik pada system ERP maupun oeprasional bisnis yang berubah dengan adanya BPR akan membuat risiko yang cukup signifikan terhadap bisnis

Kelemahan ini dapat di minimalisasi dengan melakukan:

  1. Pembentukan steering committee

Dengan adanya steering committee ini, maka senior management dapat melakukan monitoring yang intens terhadap proses pengambilan keputusan oleh tim implementasi, hal ini dilakukan dengan membuat ratifikasi dan approval rights untuk setiap keputusan yang vital. Dengan adanya hal ini, maka keputusan tim yang tidak mendukung bisnis secara keseluruhan dapat dicegah untuk dibuat.

  1. Menunjuk project sponsor pelaksanaan implementasi ERP

Project sponsor akan bertanggung jawab pada implementasi ERP ini sebagai penaggungg jawab budget, baik ketika kondisi sesuai dengan budget yang sudah disetujui maupun saat project membutuhkan anggaran yang lebih. Project sponsor adalah posisi yang accountable pada pelaksanan project implementasi ERP ini.

  1. Keterlibatan fungsi internal audit

Keterlibatan fungsi internal audit akan membantu tim untuk menyelesaikan apa yang sudah direncakan tepat pada waktunya. Internal audit akan dapat memberikan masukan-masukan yang baik karena pengetahuan tim internal audit yang cukup luas khususnya pada control organisasi, business operational process dan kelemahan yang ada pada control existing, yang sangat mungkin tidak diketahui oleh tim project. Glovel pada tahun 1999 menyebutkan bahwa semakin baik internal Audit dilibatkan dalam project, semakin baik pula project ini akan berjalan. Tatanan minimal dari keterlibatan internal audit adalah pemberitahuan kepada tim internal audit sepanjang proses implementasi system ini berjalan.

 

3.3 Project Complexity

Implementasi ERP system akan menggunakan budget yang besar, dan terkait dengan akuisisi yang kompleks, termasuk hardware, software, biaya implementasi,  biaya konsultasi, dan juga biaya training, dan keseluruhan hal ini bisa memakan waktu yang cukup lama. Dengan skalabilitas yang cukup luas, implementasi ERP ini hampir pasti akan membuat beberapa perubahan didalam organisasi, baik hanya pada level job description, maupun dalam lingkup yang lebih besar adalah perubahan struktur organisasi.

Kelemahan yang dihasilkan dari item ini dapat diminimalisasi dengan:

  1. Pembentukan steering committee yang berisikan senior management

Senior management’s direct involvement in the system implementation project often increases the projects perceived importance within the organization (Raghunathan and Raghunathan, 1998). Dimana keterlibatan senior management ini, akan meng-encourage pekerja, user, dan juga IT departemen untuk memberikan effort yang cukup besar bagi implementasi ERP ini. Disisi lain, komitmen dari senior management akan membantu proses perubahan yang disebabkan oleh implementasi ERP ini.

  1. Penunjukkan project sponsor

Dengan adanya project sponsor yang berasal dari executive level dengan pengetahuan yang mumpuni, senior management akan bisa melakukan monitoring proses dari implementasi system ini. Project sponsor yang ditunjuk akan memiliki responsibility dan merupakan accountable position untuk hasil dari project ini. Penunjukkan project sponsor ini akan memastikan bahwa terdapat accountabilitas yang cukup dalam menghadapi risiko project.

  1. Pembuatan rencana detail implementasi system

Beberapa perusahaan melakukan hal ini untuk memastikan bahwa project team akan memiliki tujuan dan target yang jelas. Detail implementasi ini akan termasuk matriks dan bagaimana cara evaluasinya akan memberikan bantuan yang cukup dalam mengidentifikasi ririko-risiko ptensial yang akan muncul selama pelaksanaan project yang disebabkan karena delay-delay yang mungkin terjadi.

  1. Pembuatan spesifikasi kebutuhan secara detail

Adanya spesifikasi detail terkait kebutuhan akan memaksa organisasi untuk melakukan identifikasi jauh ke depan spesifikasi yang akan diperlukan pada project, dan organisasi akan mengerti level kompleksitas yang akan dihadapi. Tentunya dengan adanya hal ini organisasi bisa melakukan persiapan yang lebih matang

  1. Project management yang kuat

Porject management yang kuat adalah salah satu point kritis dalam implementasi project yang besar seperti hal nya implementasi ERP, dimana bisa memakan jangka waktu yang cukup panjang dan menggunakan budget yang sangat besar.

  1. Identifikasi knowledge dan skill yang dimiliki oleh project team

Hal ini menjadi krusial untuk menentukan berapa banyak dan seberapa skillfull konsultan yang akan diperlukan dalam 1 area expertise.

  1. Project team yang fulltime basis

Hal ini akan membuat project team dapat berkonsentrasi untuk menyelesaikan project yang sedang dikerjakannya

  1. Keterlibatan Internal Audit

Dengan terlibatnya internal audit dalam proses ini, maka management risiko yang akan di buat dan bagaimana melakukan manage terhadap risk akan lebih tertata dengan baik, dan juga internal control yang akan dilakukan selama tahapan project akan dapat dilakukan secara lebih efektif.

 

 

3.4 Kelemahan pada House skill

Kelemahan pada skill dari project team sudah sering dikaitkan dengan software development risk. Disisi lain, implementasi ERP system akan memerlukan skill-skill yang lebih banyak sebagai tambahan dari pengetahuan akan immlementasi teknis dari tim yang terlibat didalamnya. Seringkali organisasi yang akan mengimplementasikan ERP memiliki skill yang kurang terkait dengan BPR dan management skill. Dan menambahkan kondisi diatas, seringkali ERP system akan membawa language baru kepada perusahaan yang sebelumnya tidak dimiliki oleh perusahaan.

Untuk meminimalisasi impact dari kelemahan ini, ada beberapa hal yang bisa dilakukan :

  1. Menggunakan jasa konsultan dalam project

Dengan menggunakan jasa konsultan, maka skill yang dimiliki oleh konsultan sebagai hasil dari implementasi di tempat lain akan dapat dimaksimalisasi oleh perusahaan.

  1. Interaksi yang baik antara project team dan konsultan

Walaupun konsultan memiliki skill yang cukup dalam implementasi, namun tidak seharusnya sebuah perusahaan menyerahkan semua implementasi system ERP kepada konsultan, karena pengetahuan konsultan yang terbatas akan bisnis proses yang dimiliki oleh perusahaan. Namun, dengan koordinasi yang baik antara konsultan dan project lead, maka impelemntasi system ini akan menjadi lebih baik dan disisi lain akan memungkinkan proses skill transfer yang baik – untuk kedua belah pihak.

  1. Training yang mencukupi

Dengan skill yang kurang pada perusahaan, maka perusahaan harus dapat memberikan training kepada tim implementasi, baik dari konsultan yang melakukan implementasi, maupun vendor lainnya. Hal ini dilakukan untuk memastikan bahwa skill yang masih lemah dalam perusahaan dapat di cover. Tidak jarang perusahaan akan memberikan training khusus untuk beberapa pekerja yang akan menjadi “super user” ketika system usdah berjalan, dimana pekerja ini harus dibelaki dengan pengetahuan terkait detail bisnis proses yang baru dan pengetahuan teknis yang mencukupi.

 

 

3.5 Resistensi dari user

Resistensi user pada dasarnya adalah hal yang hampir terjadi pada saat terjadi implementasi system, namun dengan skalabilitas yang besar terhadap perusahaan, jumlah user yang resisten juga semakin banyak, hal ini ditambah dengan adanya proses BPR yang dilakukan. User-user yang terdampak dengan adanya BPR, khususnya yang ter’lempar’ dari posisi sebelumnya biasanya akan memberikan performansi yang rendah.

Resistensi ini dapat diminimalisasi dengan :

  1. Memastikan bahwa pada risk management project terdapat item user resistensi

Dengan adanya item user resistensi dalam risk management project, maka akan dapat dibentuk strategi untuk memitigasi risiko resistensi dari user. Bisa dalam bentuk communication plan, ataupun dengan melakukan broadcast informasi secara regular kepada user.

  1. Soft Skill

Appleton di tahun 1999 menjelaskan bahwa softskill yang dimiliki oleh tim management seperti communication skill dan team building skill, adalah hal yang paling penting untuk dimiliki untuk mendapatkan implementasi ERP yang sukses.

  1. Melibatkan user dalam project

Dengan adanya keterlibatan user pada project, maka kemungkinan user akan “buy in” terhadap ERP system ini akan lebih besar. Disisi lain, melibatkan user dalam project akan membuat tim project melihat lebih jelas apa yang dibutuhkan oleh user dan apa concern-concern yang dimiliki user terkait dengan implementasi ERP ini. Tentunya training terhadap user juga adalah termasuk salah satu hal yang harus dilakukan dalam tahapan ini, dan hasil dari training ini akan membuat user dapat menggunakan system ERP yang diimplementasikan dengan baik.

 

Perhatikan Tabel 3 (halaman 65). Berdasarkan matriks risiko implementasi ERP dan kontrol yang terkait, menurut pemahaman Anda, apakah hasil riset ini fit dengan organisasi di Indonesia? Apakah ada hal-hal unik/khusus yang perlu diperhatikan/disikapi bila implementasi ERP dilakukan di perusahaan lokal?

Tabel 3 ada literature referensi adalah sebagai berikut:

tabel

Beberapa penelitian yang dilakukan terkait dengan implementasi ERP di perusahaan yang ada di Indonesia menyatakan hal berikut :

  1. Sri Setyowati Utami; Heru Susilo; Riyadi; dalam jurnalnya Analisys penerapan Enterprise Resource Planning (ERP) (studi kasus PT Domusindo Perdana) di tahun 2016 menyatakan bahwa implementasi system ERP di perusahaan ini memiliki beberapa kelemahan, seperti sistem SAP dan hardware yang digunakan PT Domusindo Perdana sudah usang, server yang tidak memadai, SAP R/3 yang tidak cocok dengan proses produksi perusahaan, dan SAP R/3 yang tidak user friendly.

Penerapan system SAP pada perusahaan ini melalui 4 tahapan, yaitu studi kelayakan, mapping pelaksanaan SAP R/3, Pelaksanaan SAP R/3 dan evaluasi. Secara garis besar penerapan ERP di PT Domusindo Perdana telah berjalan dengan baik, hal ini dapat dilihat dari terjadinya integrasi data yang terjadi pada PT Domusindo Perdana. Namun walaupun implementasinya dalam kondisi baik, masih tetap ada kelemahan dari system yang diimplementasikan.

Saran yang diberikan adalah melakukan pembaharuan system ERP, melakukan monitoring secara  periodic, melakukan pelatihan kepada user dan optimalisasi penggunaan modul SAP.

Analisa: Jurnal ini menyatakan beberapa hal yang sesuai dengan apa yang sudah dipaparkan pada tabel sebelumnya, seperti pentingnya pelatihan, dan pentingya memiliki detail implementasi yang baik yang ditandai dengan adanya studi kelayakan. Namun, tidak semua item yang terdapat pada tabel di acknowledge oleh journal ini.

  1. Aries Wicaksono; Hery Harjono Mulyo; Ignatius Edward Riantono dalam jurnal Analisis Dampak Penerapan Sistem ERP terhadap Kinerja Pengguna pada tahun 2015, menyatakan bahwa penerapan sistem ERP berdampak positif terhadap komponen kinerja pengguna, dimana komponen yang diuji adalah Quantity of Work, Quality of Work, Job Knowledge, Creativeness Cooperation, Dependability, Initiative, dan personal qualities

Kunci sukses dari implementasi system ERP pada perusahaan adalah komitmen management dan pelatihan penggunaan system ERP. Komitmen manajemen diperlukan agar sistem ERP yang telah dibangun dan diterapkan dalam perusahaan digunakan secara maksimal secara menyeluruh, sehingga fungsi sistem ERP dapat berjalan dengan semestinya. Kemudian faktor pelatihan menjadi penting karena pengguna mendapatkan informasi bagaimana menggunakan semua fungsi dalam sistem ERP yang ada secara maksimal, sehingga tujuan penerapan sistem ERP yaitu meningkatkan dan memperkuat efektivitas dari sumber daya yang ada dalam perusahaan

Analisa : Jurnal ini menyatakan hanya ada 2 hal yang menentukan keberhasilan implementasi, yaitu, komitmen manajemen dan pelatihan, yang pada dasarnya masih sejalan dengan tabel yang suda dipaparkan sebelumnya, walaupun tidak semua item yang ada pada tabel di acknowledge oleh jurnal ini

 

  1. Anton Susanto, dengan judul jurnal : Implementasi system ERP PT Pos Indonesia: Sebuah Inisiasi dan strategi, pada tahun 2013 menyatakan bahwa implementasi ERP di PT Pos merupakan keputusan bisnis yang diambil karena adanya dorongan internal maupun external dengan harapan bahwa implementasi ERP dapat meningkatkan nilai tambah perusahaan.

Implementasi ERP pada PT Pos dimulai dengan melakukan analisa terhadap kondisi yang dihadapi oleh perusahaan, seperti PEST analysis, analysis five forces, analisa Value chain, dan analisya value creation. Dimana hasil analisa ini kemudian di jadikan bahan pada saat menentukan strategi apa yang akan diambil oleh PT Pos dalam implementasinya, dan salah satu strategi yang digunakan adalah melakukan implementasi bertahap per modul untuk maksimalisasi hasilnya.

Analisa: Jurnal ini secara implisit sesuai dengan beberapa hal yang terdapat pada tabel yang dipaparkan sebelumnya, walaupun memang tidak semua hal tercakup. Sebagai contoh, PT Pos melakukan analisa-analisa yang sesuai dengan tabel akan memberikan acuan yang cukup jelas dan menutup risiko-risiko yang ada. Disisi lain, PT Pos juga melakukan prioritasisasi terhadap modul yang akan digunakan, sebagai upaya meredam resistensi user, dan juga memastikan dalam waktu yang ada, skill yang harus dimiliki oleh pekerja dalam menggunakan ERP sudah mencukupi, hasil lain yang dapat didapatkan dengan implementasi bertahap adalah bahwa proses monitoring dapat dilakukan secara intens terhadap system yang diimplementasikan.

 

  1. Setyawan Wibisono, dengan judul jurnal : Enterprise Resource Planning (ERP) Solusi Sistem Informasi Terintegrasi, pada tahun 2005 menyatakan bahwa ERP adalah system yang di implementasikan untuk menyatukan seluruh departemen dan fungsi yang ada pada sebuah perusahaan ke dalam sebuah sistem komputer terpadu yang dapat mengakomodasi seluruh kebutuhan spesifik dari departemen yang berbeda. ERP menganut system 3 tier dalam implementasinya, yaitu presentation layer, application layer dan database layer.

Ada beberapa factor yang harus dipertimbangkan dalam pemilihan ERP system yang akan diimplementasikan, yaitu ukuran volume transaksi, pengalaman vendor yang akan melakukan implementasi, dan dukungan teknis dari perangkat lunak yang akan digunakan. Ada 2 strategi yang dapat digunakan untuk implementasi ERP, yaitu melakukan implementasi secara menyeluruh atau menggunakan strategi franchise, yaitu melakukan implementasi beberapa system ERP yang berbeda untuk tiap bisnis unit.

Ada beberapa hal yang menentukan keberhasilan implementasi ERP, yaitu Bisnis proses yang matang, change management yang baik, komitmen dari top management, kerjasama dan good consultant. Dan beberapa hal yang membuat kegagalan pada implementasinya adalah, kurangnya dukungan management, project dianggap hanya merupakan project 1 departemen, tidak ada PIC, hanya menyerahkan seluruh proses pada departemen IT, dan vendor yang tidak memiliki pengalaman yang cukup.

Analisa: Jurnal ini pun secara implisit memperlihatkan kesesuaian dengan tabel yang dipaparkan, khususnya pada point hal yang menentukan keberhasilan implementasi dan hal yang bisa menggagalkan pada dasarnya sejalan dengan risiko dan kontrol yang dipaparkan pada tabel sebelumnya. Walaupun tidak semua item pada tabel yang dipaparkan sebelumnya dipaparkan kembali oleh jurnal ini.

 

  1. Elisabeth P. K; FX Rahadian E; dalam jurnalnya Penerapan Enterprise Resource Planning pada PT Garuda Indonesia (persero) menyatakan bahwa penerapa ERP dapat membantu management dalam menjaga keandalan informasi, dan terkait dengan PT Garuda Indonesia (persero), persiapan dan penerapan system ERP di perusahaan sudah berjalan dengan baik.

Penerapan ERP system di PT Garuda Indonesia (persero) sudah dimulai dari tahun 1999 dengan focus bagian keuangan dan sumber daya manusia. Lalu project kemudian dilanjutkan pada tahun 2001 dengan focus pada maintenance dan engineering, yang sampai dengan saat ini masih berjalan adalah upaya pengembangan dan penyempurnaan system ERP.

Analisa: Jurnal ini menyatakan bahwa project ERP di PT Garuda Indonesia (persero) adalah project yang dilakukan bertahap, dimana sampai dengan saat ini, pengembangan dan penyempurnaan masih tetap dilakukan. Hal ini sejalan dengan item close monitoring system after the implementation yang berada pada tabel sebagai control untuk memastikan kesuksesan implementasi ERP.

 

Dari beberapa Jurnal di atas, dapat dilihat bahwa pada dasarnya tidak semua item yang dianggap risiko dan control pada literature sebelumnya adalah risiko dan control yang harus ada dan dijadikan perhatian. Memang beberapa item control dan risiko pada tabel tersebut akhirnya muncul pada jurnal-jurnal yang sudah dipaparkan sebelumnya, namun tidak keseluruhan nya. Maka secara umum dapat dikatakan bahwa tabel yang disajikan bisa digunakan untuk kondisi di Indonesia namun tidak pada tatanan 100% sesuai. Sebagai contoh konkrit adalah bahwa dari 5 jurnal yang kami kutip, tidak ada 1 pun jurnal yang menyatakan bahwa komponen keterlibatan internal audit – secara khusus – adalah hal yang harus diperhatikan. Dan dari 5 jurnal tersebut dapat di ambil informasi bahwa implementasi system ERP nya adalah implementasi yang sukses.

Kami melihat hal ini bisa jadi dikarenakan oleh kondisi culture dan maturity dari perusahaan yang menggunakan ERP yang tidak sama, sebagai contoh, pada literature disebutkan bahwa ada salah satu perusahaan yang bankrupt karena melakukan implementasi ERP, namun hal tersebut tidak akan terjadi di Indonesia. Desakan-desakan yang muncul untuk tetap memenuhi trust dari stakeholder tentunya akan tetap ada, namun lagi-lagi sepertinya culture di negara ini akan memberikan prioritas yang berbeda dengan apa yang ada di negara yang lain.

Namun, hal ini merupakan kewajaran, kami melihat bahwa tidak selalu sebuah konsep yang baik pada 1 negara akan baik pada negara yang lain pula, bminimal tidak dalam tatanan 100%, bahkan pada level perusahaan. Bisa jadi ada perbedaaan yang akan muncul dan ada perubahan yang harus dilakukan pada konsep yang sudah baik ini, walaupun tidak besar karena tujuan, visi, misi, strategy dan juga culture yang berbeda dari setiap perusahaan. Namun, perubahan dan perbedaan ini tentunya untuk mencapai tujuan yang baik bagi perusahaan.

 

  1. Apa saran dan rekomendasi Anda terkait penelitian tersebut (baik keterbatasan maupun perbaikan penelitian selanjutnya).

Ada beberapa saran yang bisa diberikan untuk penelitian ini:

  1. Mendapatkan case study yang lebih dari 1. Dengan 1 case study, maka informasi yang muncul akan lebih terbatas, dan seperti bahasan diatas, bisa jadi beberapa factor yang menjadi risiko dan control di satu perusahaan belum tentu hal yang sama di perusahaan yang lain.
  2. Melakukan penelitian dimulai saat proses implementasi berjalan sampai dengan setelah waktu implementasi selesai untuk mendapatkan data yang lengkap
  3. Belum adanya korelasi antara 1 item risiko ataupun control dengan item yang lainnya, yang pada dasarnya bisa memberikan informasi tambahan item risiko mana yang lebih kritikal terhadap implementasi ERP dan control mana yang lebih penting dalam menghadapi risiko yang ada

–o0o—


Referensi :

[1] Anderson, J.; Narasumhan, R. (1979): “Assessing Implementation Risk: A Technological Approach”, Management Science, vol.25, n.6: 512-521

[2] Anton Susanto, 2013, Implementasi system ERP PT Pos Indonesia: Sebuah Inisiasi dan strategi

[3] Arens, A.A.; Loebbecke, J.K. (1997): Auditing: An Integrated Approach. Prentice-Hall. Upper Saddle River. NJ.

[4] Aries Wicaksono; Hery Harjono Mulyo; Ignatius Edward Riantono; 2015, Analisis Dampak Penerapan Sistem ERP terhadap Kinerja Pengguna

[5] Barki, H.; Rivard, S.; Talbot, J. (Fall 1993): “Toward an Assessment of Software Development Risk”, Journal of Management Information Systems, vol.10, n.2:203-225.

[6] Davenport, T.H. (2000): Mission Critical: Realizing The Promise Of Enterprise Systems. Harvard Business School Press. Boston, MA

[7] Davenport, T.H. (July/August 1998): “Putting the Enterprise into the Enterprise System”, Harvard Business Review, vol.76, n.4: 121-133.

[8] Elisabeth P. K; FX Rahadian E; Penerapan Enterprise Resource Planning pada PT Garuda Indonesia (persero), tanpa tahun

[9] Glover, S.M.; Prawitt, D.F.; Romney, M.B. (February 1999): “Implementing ERP”, Internal Auditor: 40-47.

[10] Hammer, M. (July-August 1990): “Reengineering Work: Don’t Automate, Obliterate”, Harvard Business Review: 104-112

[11] Hammer, M.; Champy, J. (1993): Reengineering the Corporation: A Manifesto for Business Revolution. Harper Business. New York.

[12] Jiang, J.J.; Klein, G. (1999): “Risks To Different Aspects of System Success”, Information and Management, vol.36: 263-272.

[13] Kay, E. (1999): “Desperately Seeking SAP Support”, Datamation, March

[14] Raghunathan, B.; Raghunathan, T.S. (1998): “Impact of Top Management Support on IS Planning”, Journal of Information Systems, vol.12, n.1: 15-23.

[15] Setyawan Wibisono, 2005, Enterprise Resource Planning (ERP) Solusi Sistem Informasi Terintegrasi

[16] Severin V. Grabski; Stewart A. Leech; Bai Lu; Risk and Controls in implementation of ERP System, tanpa tahun

[17] Sri Setyowati Utami; Heru Susilo; Riyadi; 2016 Analisys penerapan Enterprise Resource Planning (ERP) (studi kasus PT Domusindo Perdana)

 

ISQA – Personal Assignment 1

Audit Teknologi Informasi

Menurut A Statement of Basic Auditing Concept (ASOBAC) audit adalah suatu proses sistematis untuk menghimpun dan mengevaluasi bukti-bukti secara obyektif mengenai asersi tentang berbagai tindakan dan kejadian ekonomi untuk memutuskan tingkat kesesuaian antara asersi- asersi tersebut dengan kriteria yang telah ditentukan dan menyampaikan hasilnya kepada para pemakai yang berkepentingan.

Anas pada gamatechno.com menyatakan bahwa audit TI adalah terkait dengan proses menghimpun kebutuhan teknologi informasi dan mengevaluasi infrastruktur IT. Audit IT memastikan bahwa mekanisme sistem informasi yang berjalan, tetap berada di koridor integritas. Hal ini terjadi sebab mekanisme sistem informasi sangat terkait dengan perekonomian secara global.

Sedangkan enslikopedia Wikipedia.com menyatakan bahwa IT audit adalah adalah pemeriksaan terhadap kontrol manajemen dalam suatu teknologi informasi (TI) infrastruktur. Dimana hasil evaluasi yang diperoleh dari pemeriksaaan bukti yang ada akan menentukan apakah sistem informasi yang ada dapat menjaga aset, memelihara integritas data, dan beroperasi secara efektif untuk mencapai tujuan atau sasaran organisasi.

Techtarget.com menyatakan bahwa Audit IT adalah pemeriksaan dan evaluasi infrastruktur teknologi informasi, kebijakan dan operasi organisasi. Audit teknologi informasi menentukan apakah IT mengontrol melindungi aset perusahaan, memastikan integritas data dan selaras dengan tujuan bisnis secara keseluruhan. auditor IT meneliti tidak hanya kontrol keamanan fisik, tetapi juga bisnis dan keuangan kontrol keseluruhan yang melibatkan sistem teknologi informasi.

Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya. Audit IT ini dilakukan untuk memastikan bahwa mekanisme sistem informasi yang berjalan, tetap berada di koridor integritas. Audit teknologi informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis.

Dari definisi-definisi di atas dapat disimpulkan bahwa IT audit adalah sebuah proses pemeriksaan yang dilakukan untuk memastikan apakah proses-proses IT yang ada di dalam sebuah perusahaan sudah berjalan dengan baik dan efektif sehingga dapat membantu perusahaan untuk mencapai tujuan dari perusahaan tersebut.

Dari informasi diatas juga dapat disimpulkan bahwa cakupan dari IT audit ini pada dasarnya adalah keseluruhan aspek yang ada pada operasional IT yang ada dalam perusahaan, seperti management, pengadaan infrastruktur dan layanan IT, pengembangan applikasi, operasional layanan, sampai dengan monitoring terhadap layanan yang diberikan kepada user. Disamping itu, beberapa audit lain sangat mungkin akan beririsan dengan audit yang dilakukan oleh IT, seperti audit keuangan, audit aseet dan audit yang lainnya. Khusus untuk pelaksanaan audit IT, sudah ada beberapa standard internasional yang dapat digunakan oleh perusahaan, tentunya menyesuaikan dengan kebutuhan dari perusahaan, bagian mana dari perusahaan yang akan di audit. Namun ternyata pada beberapa standard yang ada masih dimungkinkan untuk melakukan eksepsi untuk beberapa proses atau domain yang belum atau tidak diimplementasikan dalam sebuah perusahaan. Sebagai contohnya, jika menggunakan COBIT, ada beberapa domain yang bisa dipilih untuk tidak di audit. Atau ketika melakukan sertifikasi ISO hanya untuk bagian dari IT saja, tidak secara keseluruhan. Hal ini juga secara implisit dikemukakan oleh Jericho forum pada jurnal IT Audit and compliance yang menyatakan bahwa ketika melakukan scoping terhadap IT environment yang dimiliki oleh client, kehati-hatian harus dilakukan untuk memastikan bahwa system, environment dan juga aplikasi yang terkait untuk memenuhi kebutuhan bisnis dan kebutuhan audit adalah sudah ter-covered. Yang bisa diartikan bahwa tidak semua hal yang terkait dengan IT adalah harus di audit dalam waktu yang sama.

 

Pentingnya Audit IT di Perusahaan

CA Yogesh Patel dalam jurnalnya A Review on Role of Auditor in Corporate Governance – The Auditor’s Perspective di tahun 2014 menyatakan bahwa dengan kapabilitas yang memadai, maka Proses audit akan berdampak besar pada kinerja keseluruhan dari suatu organisasi, sehingga memberikan kontribusi substansial dan bermakna menuju “membangun kerangka kerja good corporate governance”

Sedangkan Jericho forum, COA Position paper, pada jurnalnya IT Audit and Compliance menyatakan bahwa IT audit adalah terkait dengan verifikasi formal dan validasi dari qualitas dan nilai efektivitas dari IT control. Dan audit IT diperlukan oleh perusahaan diantaranya adalah karena IT audit adalah IT risk Management, yang diterjemahkan ke dalam Business Risk Management.

Institute Internal Auditor (IIA) dalam salah satu buku yang dipublishnya, Global Technology Audit Guide (GTAG®) 4 Management of IT Auditing 2nd Edition, pada tahun 2014 menyatakan bahwa Proses pelaksanaan IT Audit pada dasarnya tidak berbeda dengan pelaksanaan audit lainnya. auditor harus melakukan perencanaan, identifikasi dan melakukan kontrol dokumen, melakukan test terhadap design dan efektivitas dari control yang ada, mengambil kesimpulan dan membuat report. Laporan ini kemudaian akan diteruskan oleh Chief Audit Executive kepada stakeholder secara periodik. Hasil dari audit ini akan membantu Chief information Officer untuk melakukan beberapa hal seperti IT resource apa yang saat ini diperlukan, melakukan evaluasi terhadap IT Risk, dan melakukan pekerjana Audit IT.

Sedangkan Auditor-General’s office dalam salah satu page yang dikeluarkan pada tahun 2009 menyatakan bahwa IT audit adalah hal yang penting karena hal ini akan memberikan jaminan bahwa IT system yang ada adalah hal yang sudah cukup terlindungi, memberikan informasi yang reliable kepada user dan dimanage secara baik untuk mencapai keuntungan yang diharapkan. IT audit juga dapat membantu untuk menurunkan risiko pada data tampering, data loss atau data leakage, service disruption dan management it system yang buruk

Menurut intosai working group dalam salah satu literaturenya, Information Technology Audit, Computer system adalah hal yang efisien dan dapat mendapatkan hasil yang akurat dalam waktu yang cepat, jika mereka bekerja sesuai dengan desain nya. untuk melakukan hal ini, mereka memiliki control untuk memastikan hal ini tercapai, namun, kontrol ini juga harus efektif. kontrol ini adalah hal yang penting dan ini adalah salah satu tugas dari auditor untuk melihat bahwa tidak saja terdapat kontrol yang cukup, namun juga berjalan dengan efektif untuk mendapatkan hasil dan mencapai tujuan. hal lain adalah kontrol yang ada harus bisa commensurate dengan risk yang diassess sehingga kontrol juga dapat menurunkan risiko kepada level yang dapat diterima

Dari beberapa penjelasan di atas dapat dilihat bahwa IT audit memiliki peranan penting dalam menjaga dan memastikan bahwa layanan IT yang sudah, sedang dan akan diberikan kepada user dapat memenuhi tujuan utama dari keberadaannya, baik dari sisi data, compliance aplikasi terhadap peraturan yang sudah ada, compliance layanan terhadap referensi yang sudah ditetapkan, bahkan menjadi control terhadap efektifitas layanan yang diberikan kepada user.

Menurut pengamatan penulis dalam impelemntasinya di Indonesia, IT audit sudah mulai banyak digunakan oleh perusahaan-perusahaan untuk memastikan bahwa layanan IT yang diberikan sudah sesuai dengan tatanan aturan yang ada, dan membantu perusahaan dalam mencapai tujuan bisnisnya. Menjalankan layanan IT sesuai dengan aturan yang berlaku saat ini bahkan sudah menjadi concern pemerintah Indonesia, dimana sudah ada beberapa aturan yang dikeluarkan oleh pemerintah, seperti Peraturan Pemerintah Republik Indonesia Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Teransaksi Elektronik, Undang-Undang No. 14 tahun 2008, tentang Keterbukaan Informasi Publik, Peraturan Menteri Komunikasi dan Informatika Nomor 13 Tahun 2015 tanggal 1 April 2015 tentang Pedoman Penyelenggaraan Sistem Akuntabilitas Kinerja Instansi Pemerintah pada Kementerian Komunikasi dan Informatika, serta aturan-aturan lainnya.

Tanpa adanya Audit terhadap layanan IT, maka kemungkinan adanya fraud dalam layanan yang diberikan oleh IT akan menjadi lebih besar dan pada akhirnya akan memberikan dampak yang luas bagi IT serta perusahaan.

 

 

Masalah terkait IT Audit

Hasil studi yang dilakukan oleh ISACA dan Proviti yang dipublish pada tanggal 1 desember 2015 menyatakan bahwa 60 persen dari perusahaan public telah memiliki IT Auditor Director, atau posisi sederajat didalam organisasinya, namun, setengah dari jumlah perushaaan ini, personel ini tidak menghadiri audit committee meetings. selanjutnya, banyak perusahaan masih membuat struktur reporting yang masih di bawah kualitas optimal. Dengan adanya IT Auditor yang melapor langsung kepada Chief Auditor Executive atau sederajat adalah sebuah best practice, namun, 28 persen dari perusahaan di Amerika Utara dan Asia menggunakan struktur report yang tidak ideal. angka ini adalah 33 persen di Amerika Latin dan 41 Persen di Eropa

Petter Lovaas dan tim dalam jurnalnya, IT Audit challenges for small and medium-sized financial instatutions di tahun 2012 menyatakan bahwa, ketika sebuah organisasi mendevelop IT Audit Program, maka kombinasi dari standar-standar industri akan diimplememtasikan. seperti yang didokumentasikan, framework ini adalah framework yang besar, sangat komprhensif dan tidak selalu cukup untuk memenuhi kebutuhan peraturan untuk  institusi keuangan kecil dan menengah.

Deblankson associates pada paper yang di publishednya dengan judul Current trends, and challenges for IT internal Audit Departments menyatakan bahwa terdapat 6 masalah utama dalam proses IT Auditing, yaitu Balancing the objectives, Short-fall in IT audit skills, Demand for IT audit to help ‘make the business better’, Pressure to deliver more with less, Ability to communicate technical issues in business terms, Ensuring an appropriate level of consistency and quality

Barclaysimpson.com, pada salah satu page nya, 3 Top Challenges for IT Auditors, yang di release pada 20 Juni 2016 menyatakan bahwa terdapat 3 challenges yang terbesar yang dihadapi IT audit department tahun 2016, yaitu cybersecurity, change management, dan finding the right staff.

Dari beberapa penjelasan di atas dapat di ambil kesimpulan bahwa ada beberapa permasalahan yang muncul pada saat IT audit dilakukan, baik untuk proses audit sendiri, maupun masalah yang terkait dengan auditor IT yang akan melakukan proses auditnya. Beberapa permasalahan diatas yang menurut kami banyak juga terjadi di Indonesia adalah:

  1. Komitmen pelaksanaan dan Perbaikan Audit. Tanpa adanya komitmen yang baik, khususnya dari management perusahaan, maka pelaksanaan audit dan perbaikannya tidak akan bisa berjalan dengan baik.
  2. Lingkup IT dan kecepatan perubahan IT. Untuk mendapatkan hasil yang maksimal, maka auditor pelaksana audit akan dituntut untuk memiliki kemamapuan yang mencukupi dalam bidang yang diauditnya. Namun dengan lingkup yang luas ditambah dengan kecepatan perubahan IT yang cepat, terkadang membuat auditor IT tidak bisa catch up dengan kondisi ini. Hal ini tentunya akan membuat hasil audit untuk hal yang belum dikuasai oleh auditor tidak terlalu maksimal.
  3. Adanya tuntutan temuan. Seringkali pada perusahaan auditor di tuntut untuk menemukan sebuah kesalahan dalam proses yang terjadi untuk tiap kali audit dilakukan. Hal ini secara umum membuat auditor menjadi terlalu focus untuk mencari kesalahan dari auditee dibandingkan dengan melihat proses yang sudah berjalan dengan baik. Pandangan kami dengan paham seperti ini, proses audit akan menjadi lebih sulit, karena kondisi audit yang tidak kondusif, dan secara natural, informasi yang mengalir akan terbatas. Dengan terjadinya hal ini, maka sangat mungkin rekomendasinya tidak menjadi maksimal.

 

E-Cash

Anderson.ucla.edu menyatakan bahwa konsep electronic cash adalah sebuah konsep yang pada dasarnya sudah ada dalam waktu yang cukup lama, konsep ini dianggap di mulai dengan konsep penulisan check. Ketika seseorang menuliskan sebuah cek dari seuatu bank, lalu diberikan kepada orang lain yang kemudian mencairkan check tersebut pada bank lain, maka pihak bank hanya akan melakukan transfer uang secara electronic tanpa harus memindahkan uangnya secara fisik. Konsep Electronic cash ini pada dasarnya adalah sama dengan konsep diatas, namun dilakukan perubahan sehingga menjadi sedikit lebih rumit, namun kerumitan ini yang membuat konsep ini menjadi lebih aman dan lebih private. Pada Intinya, layanan ini adalah membuat uang menjadi bentuk electronic, tidak lagi harus berbentuk cash yang harus di ambil sebelum digunakan. Dengan uang yang ada dalam bentuk ini, maka pembayaran menjadi lebih mudah. Cara kerja yang digunakan dalam konsep e-cash ini adalah sebagai berikut, Pengguna mendownload uang elektronik dari rekening banknya menggunakan software khusus dan menyimpan E-cash adalah hard drive lokalnya. Untuk melakukan pembayaran secara elektronik, pengguna E-cash akan menggunakan perangkat lunak untuk membayar jumlah yang diinginkan dari “dompet” E-cash miliknya ke “dompet” milik pedagang yang dimaksud. setelah melalui proses verfikasi transaksi perbankan E-cash, Pedagang dapat kemudian membayar tagihan ini melalui e-cash atau meng-upload ke rekening bank mata uang keras. Perusahaan E-cash akan menghasilkan uang di Setiap transaksi dari pedagang (biaya ini sangat kecil) dan dari royalti yang dibayarkan oleh bank dimana bank menyediakan pelanggan dengan software E-cash / hardware untuk biaya bulanan yang kecil.

Saat ini di Indonesia, salah satu provider yang sudah memiliki layanan ini adalah bank mandiri, dari situs resminya, pengertian e-cash mandiri adalah sebagai berikut: mandiri ecash adalah uang elektronik berbasis server yang memanfaatkan teknologi USSD dan aplikasi di telepon seluler yang memungkinkan penggunanya untuk melakukan transaksi perbankan seperti Top up e-Money, penyetoran dan penarikan tunai, pengecekan saldo, transfer antar rekening mandiri ecash dan fitur transaksi.

 

 

Auditor TI perlu mengetahui tentang lingkungan hukum Sistem Informasi (SI)

Sebagaimana penjelasan sebelumnya, bahwa lingkup auditor IT sangatlah luas, dari teknis IT sendiri, sampai dengan proses yang di support oleh layanan IT yang dimiliki. Untuk mendapatkan temuan yang valid dan masukan yang efektif, maka banyak hal yang harus di kuasai oleh tim auditor, dan lingkungan hukum system informasi adalah salah satunya. Dengan pengetahuan ini manjadi salah satu pengetahuan yang dimiliki oleh auditor, maka dapat dipastikan bahwa baik aplikasi yang di buat atau dikembangkan, ataupun perubahan yang terjadi di sisi hokum yang ada diluar perusahaan yang harus diimplemntasikan dapat dilakukan dengan baik.

Sebagai contoh, jika pada bisnis perbankan auditor melakukan audit terhadap proses bisnis yang terjadi dalam sebuah aplikasi transfer, maka auditor harus mengetahui aturan yang berlaku dari bank yang diauditnya serta dasar hokum yang dikeluarkan oleh pemerintah dan juga BI, tanpa pengetahuan ini, hasil audit yang dilakukan bisa jadi akan menghasilkan sesuatu yang misleading.

 

Referensi

Devi Fitrianah dan Yudho Giri Sucahyo, Audit Sistem Informasi/Teknologi Informasi Dengan Kerangka Kerja Cobit Untuk Evaluasi Manajemen Teknologi Informasi Di Universitas Xyz

Atang Hermawan, 2010, Pengaruh Auditor Eksternal dan Auditor Internal pada Pelaksanaan Good Corporate Governance

Esti – istiyati, 2015, Peranan Audit Internal Dan Pencegahan Fraud Dalam Menunjang Efektivitas Pengendalian Internal

http://www.anderson.ucla.edu/faculty/jason.frand/teacher/technologies/goshtigian/define.htm

http://www.dictionary.com/browse/e-cash

https://blog.gamatechno.com/mengenal-pentingnya-audit-teknologi-informasi/

http://wikipedia.com

https://www.iia.org.uk/media/190591/gtag04_management_of_it_auditing_2nd_edition.pdf

http://www.ago.gov.sg/docs/default-source/brochure/197b4897-87d6-477d-9bc2-d06afa225a41.pdf

https://www.isaca.org/About-ISACA/Press-room/News-Releases/2015/Pages/Top-10-Technology-Challenges-for-IT-Audit-Professionals%E2%80%93New-Study-from-ISACA-and-Protiviti.aspx

http://www.albany.edu/iasymposium/proceedings/2012/7-Lovaas&Wagner.pdf

http://www.deblankson.com/Deblankson_Website/doc/Current_IT_Internal_Audit_Trends_Deblankson_May_2009.pdf

http://www.barclaysimpson.com/news/3-top-challenges-for-it-auditors-news-801820445

https://outacomma.files.wordpress.com/2012/06/sa-seksi-110-tanggungjawab-dan-fungsi-auditor.pdf