BAB IV

HASIL DAN PEMBAHASAN

1. Hasil Analisis dan Penjelasannya 1.1 Tahapan dalam Sistem

Tahapan proses dalam sistem mencakup langkah-langkah berikut : 1. Menentukan skor atas jawaban dari pengguna mengenai risiko secara umum 2. Menghitung total skor tiap faktor

3. Menginterpretasikan total skor tiap faktor ke dalam tingkatan kualitatif 4. Menghitung total skor tiap je nis risiko

5. Menentukan tingkat risiko untuk tiap jenis risiko 6. Menghitung total risiko keseluruhan

7. Menentukan tingkat risiko keseluruhan 8. Menentukan auditabilitas

9. Menentukan Lingkup & Prosedur Audit

10. Analisis Lingkup & Prosedur Audit yang telah ditetapkan

11 Menentukan skor atas jawaban dari pengguna mengenai risiko sistem aplikasi 12. Menghitung total skor tiap faktor untuk sistem aplikasi

13. Menginterpretasikan total skor tiap faktor ke dalam tingkatan kualitatif 14. Menghitung total risiko sistem aplikasi

15. Menentukan tingkat risiko sistem aplikasi 16. Memilih sistem aplikasi yang akan diaudit 17. Membuat perkiraan waktu audit

18. Menentukan target, waktu, jumlah dan komposisi auditor 19. Menentukan prioritas BUMN yang akan diaudit

1.2 Pengkajian risiko sistem informasi.

a. Pengkajian risiko secara umum.

Total Risiko = Risiko Bisnis + Risiko Kendali + Risiko Informasi + Risiko Deteksi.

Pengkajian risiko untuk tiap jenis risiko akan didasarkan pada berbagai faktor yang ditetapkan oleh penulis sendiri. Pada masing-masing faktor penulis menetapkan skor untuk setiap jawaban.

Hasil pengkajian dari masing-masing jenis risiko akan menetapkan tingkat risiko masing-masing ke dalam tiga kelompok risiko, yaitu : tinggi, sedang, dan rendah. Keempat jenis risiko akan digabungkan sehingga mendapatkan risiko keseluruhan. Risiko keseluruhan juga ditetapkan ke dalam tiga kelompok risiko, yaitu : tinggi, sedang, dan rendah. Dari tingkat risiko yang diketahui, sistem akan memberikan saran mengenai lingkup audit, prosedur audit, dan perkiraan waktu audit serta jumlah dan kualifikasi auditor.

Frekuensi Audit.

Pengkajian risiko sistem informasi ini perlu dilaksanakan terhadap semua BUMN setiap tahun sekali atau setiap kali ada perubahan penting. BUMN yang memiliki risiko tinggi akan diprioritaskan untuk diaudit.

Identifikasi Lingkup dan Prosedur Audit.

Secara umum, audit sistem informasi untuk BUMN difokuskan pada delapan bidang utama yang masing-masing bidang mencakup beberapa lingkup khusus, yaitu:

- Lingkup 1 (L1): Operasi Sistem Informasi - Lingkup 2 (L2): Manajemen Sistem Informasi

- Lingkup 3 (L3): Pengembangan, Perolehan, dan Perawatan Sistem Informasi : - Lingkup 4 (L4): Sistem Aplikasi yang Operasional

- Lingkup 5 (L5): Manajemen Database

- Lingkup 6 (L6): Pengolahan Data Tersebar dan Operasi Jaringan - Lingkup 7 (L7): Komputer Mikro

- Lingkup 8 (L8) : Jaringan Lokal (Local Area Network)

Masing-masing lingkup audit akan dibuatkan prosedur auditnya yang dikelompokkan dalam tiga jenis, yaitu :

- Prosedur a (Pa) = prosedur luas jika tingkat risiko secara umum tinggi,

- Prosedur b (Pb) = prosedur standar jika tingkat risiko secara umum sedang, dan - Prosedur c (Pc) = prosedur terbatas jika tingkat risiko secara umum rendah.

b. Pengkajian risiko untuk tiap aplikasi.

Ini diperlukan jika :

- BUMN memiliki banyak (lebih dari dua) sistem aplikasi, dan

- hasil pengkajian risiko secara umum menentukan bahwa termasuk di dalam lingkup audit yang disarankan adalah pengembangan, perolehan, dan perawatan sistem dan / atau sistem aplikasi yang operasional.

Penentuan waktu audit, jumlah dan kualifikasi auditor.

Perkiraan waktu audit, jumlah dan kualifikasi auditor ditentukan berdasar : - luas lingkup audit,

- kompleksitas teknologi secara umum dan per aplikasi, - jumlah cabang / lokasi operasi, dan

- pengalaman audit (pertama kali atau lanjutan).

Untuk menentukan jumlah auditor yang diperlukan maka jumlah waktu audit tersebut akan dibagi dengan jumlah hari kalender yang ditargetkan untuk menyelesaikan audit. Misalkan jumlah waktu audit adalah 200 hari-orang dan ditargetkan selesai dalam 40 hari, maka diperlukan 5 auditor.

Kualifikasi auditor ditetapkan ke dalam tiga kategori yaitu : 1. Kategori A, untuk auditor yang memiliki :

- pendidikan minimum S1 bidang Akuntansi - masa kerja lebih dari lima tahun

- pendidikan dan pelatihan Audit Sistem Informasi lebih dari enam bulan - pengalaman audit sistem informasi lebih dari 8 kali.

2. Kategori B, untuk auditor yang memiliki :

- pendidikan minimum D3 bidang Akuntansi / Komputer - masa kerja 3-5 tahun

- pendidikan dan pelatihan Audit Sistem Informasi 3-6 bulan - pengalaman audit sistem informasi 4 - 8 kali.

3. Kategori C, untuk auditor yang memiliki :

- pendidikan minimum D3 bidang Akuntansi / Komputer - masa kerja kurang dari tiga tahun

- pendidikan dan pelatihan Audit Sistem Informasi kurang dari tiga bulan - pengalaman audit sistem informasi kurang dari 4 kali.

2. Pembahasan Rancangan Sistem

2.1 Pengkajian risiko secara umum

a. Faktor-faktor Untuk Pengkajian Risiko dan Penentuan Skor Risiko.

Faktor-faktor Skor

Pengkajian Risiko Bisnis : 1. Sifat Organisasi.

a. Bidang Usaha Pokok :

1. Perbankan 5

2. Lembaga Keuangan Non Bank 4

3. Jasa Transportasi Udara 5

4. Jasa Transportasi Lainnya 3

5. Jasa Komunikasi 5

6. Jasa Konstruksi 2

7. Pertambangan 4

8. Manufaktur 3

9. Farmasi 4

10. Perdagangan umum 3

11. Agrobisnis 2

12. Lain-lain, sebutkan : ... (Skor = Total Skor / 2) a. Apakah jumlah transaksi per hari lebih dari 1.000 transaksi ?

1. Ya 4

2. Tidak 2

b. Apakah jumlah pelanggan lebih dari 10.000 ?

1. Ya 3

2. Tidak 1

c. Apakah kecepatan layanan sangat penting ?

1. Ya 3

2. Tidak 1

b. Investasi sumber daya sistem informasi :

b.1 Nilai perolehan aktiva sistem informasi (hardware dan software) :

1. Di atas Rp 50 milyar 4

2. Rp 10 - 49 milyar 3

3. Rp 1 - 9 milyar 2

4. Di bawah Rp 1 milyar 1

b.2 Pengeluaran untuk operasi TI / Biaya komputer :

1. Di atas Rp 10 milyar 4

2. Rp 1 - 9,9 milyar 3

3. Rp 100 - 999 juta 2

4. Di bawah Rp 100 juta 1

b.3 Jumlah karyawan bidang TI

1. Di atas 100 orang 3

2. 10 - 99 orang 2

3. Di bawah 10 orang 1

b.4 Nilai Projek Sistem Informasi tahun ini :

1. Di atas Rp 10 milyar 3

2. Rp 1 - 9,9 milyar 2

3. Di bawah Rp 1 milyar 1

4. Tidak ada. 0

c. Ketergantungan Pada TI

c.1 Apakah Sistem Informasi merupakan bagian dari Critical Success Factors (organisasi harus menggunakan TI agar dapat beroperasi semestinya) ?

1. Ya 2

2. Tidak 0

c.2 Dampak kegagalan TI :

1. kerugian keuangan dan kemungkinan terjadinya bencana/tuntutan hukum 5

2. kerugian keuangan 3

3. akuntansi / pelaporan / pekerjaan administratif terhambat 1 Interpretasi Skor :

Skor Sifat Organisasi

> = 16

< 16

Padat TI Tidak Padat TI

2. Pengelolaan TI

a. Kualitas Perencanaan

a.1 Apakah terdapat perencanaan stratejik sistem informasi ?

1. Ya, memadai 1

2. Ya, kurang memadai 2

3. Tidak ada 3

a.2 Apakah terdapat perencanaan jangka pendek sistem informasi ?

1. Ya, memadai 1

2. Ya, kurang memadai 2

3. Tidak 3

b. Operasi Sistem Informasi

b.1 Apakah sistem informasi pernah mengalami gangguan sehingga terhenti ?

1. Ya, beberapa kali dalam sebulan 5

2. Ya, satu - dua kali dalam sebulan 3

3. Jarang sekali 1

b.2 Apakah perusahaan memiliki fasilitas backup dan recovery ?

1. Ya, memadai 0

2. Ya, kurang memadai / belum jelas 3

3. Tidak 5

Interpretasi Skor :

Skor Pengelolaan TI

< 7 Memadai

7 - 11 Sedang

> 11 Kurang

Penentuan Risiko Bisnis :

Total Skor Risiko Bisnis > 31 Tinggi

21 - 31 Sedang < 21 Rendah

Pengkajian Risiko Kendali :

1. Potensi kesalahan, penyimpangan, dan kejahatan

a. Apakah transaksi / operasi utama langsung mengakibatkan pengeluaran / penerimaan uang / aset :

1. Ya 3

2. Tidak 0

b. Penerapan End User Computing

1. Di semua / sebagian besar user 3

2. Di beberapa user 2

3. Tidak ada 0

c. Apakah supervisi terhadap operasi utama berjalan efektif ?

1. Ya 0

2. Tidak 3

d. Manajemen Sumber Daya Manusia

Bagaimana Manajemen SDM untuk bidang sistem informasi ditinjau dari sistem karir, renumerasi, perekrutan, dan diklat ?

1. bagus 1

2. cukup 3

3. kurang bagus 5

Interpretasi Skor :

Skor Potensi Penyimpangan

> 10 Tinggi

6 - 10 Sedang

< 6 Rendah

2. Keandalan sistem kendali internal : a. Kendali Manajemen, mencakup :

a.1 Apakah Kebijakan, Standar, dan Prosedur tersedia dalam bentuk tertulis dan memadai?

1. Ya, semuanya 1

2. Sebagian besar 2

3. Sebagian kecil 5 a.2 Apakah Pemisahan Fungsi dilakukan secara memadai antara fungsi di dalam bagian

Sistem Informasi dan antara user dengan bagian sistem informasi ?

1. Ya, semuanya 0

2. Sebagian besar 2

3. Sebagian kecil 5

b. Kendali Umum dan Lingkungan :

b.1 Apakah Prosedur Akses Fisikal dan Lojikal memadai ?

1. Ya 1

2. Kurang 5

b.2 Apakah Prosedur Pencegahan dan Penanggulangan Bencana memadai ?

1. Ya 1

2. Kurang 5

Interpretasi Skor :

Skor Keandalan Kendali Internal

<9 Tinggi

9 - 14 Sedang

> 14 Rendah

3. Peranan auditor internal

a. Bagaimana peranan auditor internal ditinjau dari kedudukan, jumlah personil, kualifikasi personil dan tanggung jawabnya ?

1. Memadai 1

2. Sedang 3

3. Rendah 5

b. Bagaimana peranan auditor sistem informasi ditinjau dari kedudukan, jumlah personil, kualifikasi personil dan tanggung jawabnya ?

1. Memadai 1

2. Sedang 2

3. Rendah 3

4. Tidak ada 5

5. Belum perlu 1

Interpretasi Skor :

Skor Peranan Auditor Internal

< 5 Memadai

5 - 7 Sedang

> 7 Kurang

Penentuan Risiko Kendali :

Total Skor Risiko Kendali

> 31 Tinggi

19 - 31 Sedang

< 19 Rendah

Pengkajian Risiko Informasi : 1. Kualitas Informasi

a.. Apakah ada keluhan mengenai informasi yang tidak akurat ?

1. Sering 3

2. Jarang 1

3. Tidak tahu 2

b. Apakah ada keluhan mengenai data / informasi yang diterima tidak tepat waktu ?

1. Sering 3

2. Jarang 1

3. Tidak tahu 2

Interpretasi Skor :

Skor Kualitas Informasi

< 3 Memadai

3 - 4 Sedang

> 4 Rendah

2. Ketersediaan data / informasi

a. Apakah sistem mampu menyediakan semua data / informasi yang dibutuhkan secara periodik?

1. Ya 0

2. Tidak tentu 3

b. Apakah sistem mampu menyediakan semua data / informasi yang dibutuhkan secara mendadak?

1. Ya 0

2. Tidak tentu 3

Interpretasi Skor :

Skor Ketersediaan Data / Informasi

0 Memadai

3 Sedang

6 Rendah

Penentuan Risiko Informasi :

Total Skor Risiko Informasi

> 8 Tinggi

5 - 8 Sedang

< 4 Rendah

Pengkajian Risiko Deteksi :

1. Ukuran Organisasi (raksasa, besar, menengah, kecil) a. total aset

1. Di atas Rp 10 trilyun 4

2. Rp 2,5 - 9,99 trilyun 3

3. Rp 50 milyar - 2,49 trilyun 2

4. Di bawah Rp 50 milyar 1

b. jumlah karyawan

1. Di atas 10.000 orang 4

2. 5.000 - 9.999 orang 3

3. 100 - 4.999 orang 2

4. Di bawah 100 orang 1

c. jumlah cabang / lokasi operasi:

1. Di atas 100 cabang / lokasi 5

2. 50 - 100 cabang / lokasi 4

3. 16 - 50 cabang / lokasi 3

4. 6 - 15 cabang / lokasi 2

5. 1 - 5 cabang / lokasi 1

6. tidak ada 0

d. jumlah bidang usaha / produk

1. Di atas 10 bidang / produk 3

2. 2 - 9 bidang / produk 2

3. 1 bidang / produk 1

Interpretasi Skor :

Skor Ukuran Organisasi

> 13 Raksasa

10 - 13 Besar

6 - 9 Menengah

< 6 Kecil

2. Tingkat Kompleksitas Pemanfaatan Teknologi Informasi a. Pemanfaatan TI

1. semua bidang (utama dan pendukung) 4

2. semua bidang operasi utama dan beberapa bidang pendukung 3 3. beberapa bidang utama dan beberapa bidang pendukung 2

4. bidang pendukung / administrasi saja 1

b. Sifat sistem utama :

1. on-line / real-time 5

2. on-line data entry / batch processing 3

3. batch 1

c. Platform teknologi :

1. main frame + mini + mikro 5

2. main fame + mikro atau mini + mikro 3

3. mikro 1

d. Jaringan :

1. WAN + LAN 5

2. LAN 3

3. Tidak ada 0 e. Lokasi Pengolahan Data :

1. terpusat semua 2

2. sebagian terpusat, sebagian tersebar 3

Interpretasi Skor :

Skor Kompleksitas TI

> 16 Tinggi / Dominan 11 - 16 Sedang / Signifikan

< 11 Rendah / Minor

Penentuan Risiko Deteksi :

Total Skor Risiko Deteksi

> 27 Tinggi

18 - 27 Sedang

< 18 Rendah

b. Penentuan Kelayakan Audit

Skor untuk tiap jenis risiko dijumlahkan dan hasilnya diinterpretasikan ke tingkat risiko sebagai berikut :

Total Skor Keseluruhan Tingkat Risiko

> 98 Tinggi

62 - 98 Sedang

< 62 Rendah

BUMN yang memiliki skor di bawah 30 dinyatakan tidak perlu diaudit mengingat sifat organisasi yang tidak padat TI, risiko kendali yang rendah, ukuran organisasi yang kecil, dan kompleksitas teknis yang rendah. BUMN yang memiliki skor di atas 30 dinyatakan layak audit.

c. Penentuan Lingkup Audit dan Prosedur Audit.

Untuk BUMN yang layak audit disarankan lingkup dan jenis prosedur audit sebagai berikut:

Sifat Organisasi

Kompleksitas TI

Tingkat Risiko

Lingkup (L) & Prosedur (P) Audit

Padat TI Tinggi

Sedang

Tinggi Sedang Rendah Tinggi

1 = L1-P1a s.d. L8-P8a

2 = L1-P1a s.d. L3-P3a, L4-P4b s.d. L8-P8b 3 = L1-P1b s.d. L3-P3b, L4-P4c, L6-P6c 4 = L1-P1a s.d. L4-P4a, L5-P5b s.d. L8-P8b

Tidak Padat TI Sedang

Rendah

Sedang Rendah Sedang Rendah Sedang Rendah

5 = L1-P1b s.d. L4-P4b, L6-P6b, L7-P7b 6 = L1-P1c, L2-P2b, L3,P3b, L4-P4c, L7-P7c 7 = L1-P1c, L2-P2b, L4-P4b, L7-P7b 8 = L1-P1c, L2-P2c, L4-P4c, L7-P7c 9 = L1-P1c, L2-P2c, L4-P4b, L7-P7b 10 = L1-P1c, L4-P4c, L7-P7c

Penjelasan :

L1 - L8 = Lingkup Audit 1 - Lingkup Audit 8 P1a = Prosedur Audit 1 Luas

P1b = Prosedur Audit 1 Standar

P1c = Prosedur Audit 1 Terbatas, dan seterusnya.

2.2 PengkajianRisiko Terhadap Sistem Aplikasi.

a. Faktor-faktor untuk Pengkajian Risiko dan Penentuan Skor Risiko.

FAKTOR-FAKTOR SKOR

I. STATUS PROJEK (Bobot = 0,20) A. Sifat Projek Pengembangan Aplikasi :

1. Aplikasi baru dikembangkan di dalam perusahaan 5

2. Paket aplikasi dibeli dari vendor 3

3. Perubahan besar yang berpengaruh thd. fungsi 2

4. Perubahan kecil 1

B. Sejarah Perubahan dari Aplikasi :

1. Perubahan penting dalam dua tahun terakhir 5

2. Perubahan kecil dalam dua tahun terakhir 3

3. Sudah dua tahun tidak ada perubahan 2

4. Aplikasi baru (belum ada perubahan) 0

C. Tim Projek Pengembangan :

1. Kontraktor 5

2. Gabungan Kelompok Pengembang Internal dan Kontraktor 4

3. Kelompok Pengembang Internal 3

3. Vendor, utk. paket aplikasi 1

D. Tim Manajemen Projek :

1. Kelompok pemakai 5

2. Kelompok Sistem Informasi 3

3. Gabungan pemakai dan sistem informasi 1

E. Keterkaitan Manajemen Puncak :

1. Projek dimandatkan oleh manajemen puncak 5

2. Permintaan dari unit operasi atau divisi 4

3. Permintaan user atau bagian secara individu 3

F. Estimasi nilai projek :

1. Di atas Rp 5 milyar 5

2. Rp 2,5 milyar - Rp 4,9 milyar 4

3. Rp 1 milyar - Rp 2,4 milyar 3

4. Rp 100 juta - Rp 999 juta 2

5. Di bawah Rp 100 juta 1

G. Estimasi waktu pelaksanaan projek :

1. Di atas 2.500 hari-orang 5

2. 1.000 - 2.499 hari-orang 4

3. 500 - 999 hari-orang 3

4. 100 - 499 hari-orang 2

5. Di bawah 100 hari-orang 1

Interpretasi Skor:

Total Skor Skor Tertimbang (Bobot = 0,25)

Status Projek

> 32 > 8,0 Penting

20 - 32 5,0 - 8,0 Cukup

< 20 < 5,0 Kurang Penting

II. SIGNIFIKANSI AUDIT DAN KENDALI (Bobot = 0,35) A. Jenis Aplikasi

1. Mempengaruhi saldo laporan keuangan 5

2. Mendukung operasi utama organisasi 5

3. Mendukung saldo laporan keuangan 4

4. Mendukung administratif atau logistik 2

5. Aplikasi untuk statistik atau riset 1

B. Keterlibatan audit sebelumnya :

1. Audit sebelumnya dengan rekomendasi luas 5

2. Audit sebelumnya dengan rekomendasi terbatas 4

3. Review terhadap area yang terkait / manual 3

4. Belum pernah diaudit 3

C. Prosedur Kendali Aplikasi :

1. Kendali internal di dalam aplikasi 5

2. Kendali antar proses dengan sistem yang lain 4

3. Kendali on-line yang dirawat oleh user 3

4. Kendali batch 2

D. Tanggung jawab kendali aplikasi :

1. Kendali ditangani di dalam aplikasi 5

2. Tanggung jawab user di lokasi terpisah 4

3. Tanggung jawab user lokal 3

4. Sistem kendali paralel dan manual 2

E. Kemampuan Alat bantu audit berbantuan komputer :

1. Sistem aplikasi menyediakan fasilitas audit 5

2. Potensi pemanfaatan perangkat lunak audit 4

3. Potensi pemanfaatan 4 GL (Generation Language) 3

4. Tidak ada rencana untuk audit berbantuan komputer 2 Interpretasi Skor :

Total Skor Skor Tertimbang (Bobot = 0,35)

Signifikansi Audit

& Kendali

> 20 > 7,0 Tinggi

16 - 20 5.6 - 7,0 Sedang

< 16 < 5,6 Rendah

III. KOMPLEKSITAS TEKNIS (Bobot = 0,10) A. Bahasa pemrograman yang digunakan :

1. Bahasa khusus seperti LISP 5

2. Gabungan COBOL dan bahasa lain 4

3. Program COBOL yang dikembangkan di perusahaan 3

4. Program COBOL hasil dari application generator 2

5. Report Generator atau 4 GL lainnya 1

6. Aplikasi yang dibeli (tanpa pemrograman) 1

B. Prosedur Database yang digunakan :

1. Aplikasi database tersebar 5

2. Database tunggal, produk baru 4

3. Database tunggal, produk yang sudah dikenal 3

4. File data jenis VSAM atau ISAM 2

5. Sistem file pita 1

C. Pendekatan Metodologi Pengembangan Sistem (MPS):

1. Prosedur MPS baru yang sedang dikenalkan 5

2. Prosedur MPS yang sudah dikenal 4

3. Pengembangan dengan prototype 3

4. Aplikasi yang dibeli (MPS tidak penting) 1

D. Kebutuhan perangkat keras untuk aplikasi :

1. Sistem komputer baru 5

2. Alat-alat pendukung baru 4

3. Konfigurasi sistem baru atau direvisi 3

4. Peralatan yang ada sekarang 1

E. Pemahaman tim projek terhadap lingkungan teknis :

1. Tim belum mengenal perangkat keras / lunak yang digunakan 5

2. Mengenal secara terbatas 3

3. Mengenal secara kuat 1

F. Jumlah modul / program dalam satu aplikasi :

1. Di atas 50 modul / program 5

2. 25 - 49 modul / program 4

3. 10 - 24 modul / program 3

4. Di bawah 10 modul / program 1

G. Jumlah file data (tidak termasuk indeks) yang terkait dengan sistem aplikasi :

1. Di atas 50 file 5

2. 25 - 49 file 4

3. 10 -24 file 3

4. Di bawah 10 file 1

Interpretasi Skor :

Total Skor Skor Tertimbang (Bobot = 0,10)

Kompleksitas Teknis

> 26 > 2,6 Tinggi

17 - 26 1,7 - 2,6 Sedang

< 17 < 1,7 Rendah

IV. INTERRELASI / KETERHUBUNGAN DENGAN APLIKASI LAIN (Bobot = 0,10) A. Ketergantungan dengan aplikasi lain :

1. Input dari jaringan terpusat 5

2. Input dari jaringan sistem tersebar 4

3. Input dari sistem terintegrasi lokal 3

4. Input dari pita atau media lain 2

5. Aplikasi berdiri sendiri 1

B. Kebutuhan untuk mensuplai aplikasi lain :

1. Output dikirim langsung ke jaringan 5

2. Output langsung melalui database bersama 4

3. Output melalui transfer file 3

4. Output melalui review dan pemasukan ulang 2

5. Aplikasi berdiri sendiri 1

C. Hubungan komunikasi dari aplikasi :

1. Telekomunikasi melalui jaringan khusus 5

2. Komunikasi melalui jalur telpon 4

3. Pemakaian hubungan jarak jauh standar 3

4. Pemakaian hubungan lokal 2

5. Aplikasi berdiri sendiri 1

D. Interrelasi dengan fasilitas pemakai akhir :

1. Upload dan download dari file aplikasi 5

2. Upload dan download dari file hasil ekstraksi 4

3. Hanya download oleh pemakai akhir 3

4. Aplikasi berdiri sendiri 1

E. Pertimbangan interrelasi teknikal :

1. Protokol H/W dan S/W yang unik 5

2. H/W umum - S/W unik 4

3. Hubungan H/W dan S/W umum 3

4. Aplikasi berdiri sendiri 1

Interpretasi Skor :

Total Skor Skor Tertimbang (Bobot = 0,10)

Interrelasi dng.

Aplikasi Lain

> 20 > 2,0 Tinggi

15 - 19 1,5 - 1,9 Sedang

< 15 < 1,5 Rendah

V. DAMPAK DARI KEGAGALAN APLIKASI (Bobot = 0,25) A. Dampak dari keluaran yang tidak benar

1. Kemungkinan kewajiban / tuntutan hukum 5

2. Mempengaruhi saldo terhadap laporan keuangan 4

3. Potensi untuk keputusan yang salah 3

4. Dukungan untuk pengambilan keputusan menjadi sangat terbatas 2 B. Dampak dari data atau file yang tidak benar:

1. Hasil yang salah dikirimkan ke sistem lain / proses berikut 5 2. Data yang rusak perlu rekonstruksi / pemasukan ulang 4

3. Data yang rusak perlu pemrosesan ulang 3

C. Dampak kegagalan terhadap operasi komputer:

1. Masalah penjadwalan dengan sistem terkait 5

2. Penyesuaian jadwal untuk pemrosesan ulang 3

3. Dampak minimal (aplikasi pemakai akhir) 1

D. Dampak kegagalan terhadap sistem manajemen projek :

1. Perlu menjadwal ulang sistem yang direncanakan 5

2. Perlu merencanakan aplikasi yang direvisi 3

3. Perlu merencanakan perbaikan aplikasi 1

E. Dampak kegagalan terhadap personil :

1. Perlu tambahan waktu untuk analisis manajemen 5

2. Perlu tambahan waktu untuk pekerjaan klerikal 4

3. Perlu upaya dari pemrogram atau analis sistem 3

4. Perlu dukungan dari vendor untuk perangkat lunak yang dibeli 2

Interpretasi Skor :

Total Skor Skor Tertimbang (Bobot = 0,25)

Dampak Kegagalan Aplikasi

> 19 > 4,75 Penting

14 - 19 3,5 - 4,75 Sedang

< 14 < 3,5 Kurang Penting

b. Penentuan Aplikasi yang Akan Dipilih Penilaian Risiko.

Jumlahkan nilai dari tiap faktor utama (I - V) kemudian kalikan dengan bobotnya. Hasilnya berupa skor kritikal untuk aplikasi (modul) yang bersangkutan. Skor yang diperoleh dari suatu aplikasi dibandingkan dengan aplikasi lain. Skor yang lebih besar menunjukkan tingkat risiko yang lebih tinggi.

Tabel penghitungan skor tertimbang.

Faktor-faktor Total

Skor

Bobot Skor Tertimbang

I. Status Projek 0,20

II. Signifikansi Kendali & Audit 0,35

III. Kompleksitas Teknis 0,10

IV. Interrelasi dengan aplikasi lain 0,10 V. Dampak dari kegagalan aplikasi 0,25 Total 1,00 Interpretasi Skor:

Total Skor Tertimbang

Tingkat Risiko Aplikasi

> 22,8 Tinggi

15,5 - 22,8 Sedang

< 15,5 Rendah

Pemilihan Aplikasi.

Setelah terhadap semua aplikasi dilakukan pengkajian risiko, lalu dibuat urutan berdasar total skor risiko terbesar. Aplikasi yang memiliki skor risiko terbesar akan dipilih untuk diaudit dengan mempertimbangkan tingkat risikonya. Pemilihan jumlah aplikasi yang akan diaudit ditentukan berdasar risiko secara umum dan risiko aplikasi sebagai berikut :

Risiko Secara Umum

Jumlah aplikasi berisiko tinggi

Aplikasi yang dipilih Tinggi

Sedang

Rendah

0 1 - 4

> 4 0 1 - 2

> 2 0 1

> 1

maks. 4 aplikasi berisiko sedang semua aplikasi berisiko tinggi maks. 5 aplikasi berisiko tinggi maks. 3 aplikasi berisiko sedang

semua aplikasi berisiko tinggi + maks. 2 aplikasi berisiko sedang

maks. 4 aplikasi berisiko tinggi maks. 2 aplikasi berisiko sedang

1 aplikasi berisiko tinggi + 1 aplikasi berisiko sedang

maks. 3

c. Penentuan Waktu Audit

Untuk menentukan waktu audit (WA) penulis mengembangkan rumus berikut :

WA = (20*L)*(a*K)+(b*C) +/- 10 %

dimana :

L = besaran untuk Lingkup & Prosedur Audit yang ditentukan sebagai berikut : Lingkup &

Prosedur Audit

Kategori L 1, 2

3,4,5 6,7 8,9,10

Sangat Luas Luas Sedang Terbatas

5 4 3 2

Kategori lingkup dan prosedur audit juga dapat ditentukan dari kebijakan manajemen dalam menentukan luas lingkup audit. Misalnya menurut sistem lingkup & prosedur audit adalah kelompok 1 (“Sangat Luas”), dan manajemen memutuskan hanya akan mengaudit sebagian dari sasaran yang disarankan maka lingkup & prosedur audit dapat dikategorikan ke “Luas” atau bahkan “Sedang”, tergantung sejauh mana pengurangan sasaran auditnya.

a = faktor pengali untuk tingkat kompleksitas yang dibedakan antara BUMN yang memiliki dengan yang tidak memiliki kantor cabang / lokasi operasi lain.

a = 0,55 untuk BUMN yang memiliki kantor cabang / lokasi operasi lain a = 0,50 untuk BUMN yang tidak memiliki kantor cabang/lokasi operasi lain

K = besaran untuk tingkat kompleksitas, dengan ketentuan : Tingkat Kompleksitas TI K

Tinggi Sedang Rendah

5 4 3

b = faktor pengali untuk jumlah kantor cabang / lokasi operasi selain kantor pusat Jumlah Cabang / Lokasi Operasi b

1 - 5 6 - 15 16 - 50 51 - 100

> 100

4 3,5 3 2,5 2 C = Jumlah Cabang, dengan ketentuan :

Contoh :

Jumlah Cabang C Jml. Cab. C

1 - 15 16 - 50 51 - 100

> 100

Sesuai Jumlah Cabang yang Ada Dibulatkan ke atas ke lima satuan Dibulatkan ke atas ke puluhan Dibulatkan ke atas ke dua puluh lima satuan

5 17 52 103

5 20 60 125

+/- 10 % = penambahan / pengurangan waktu audit, ditentukan berdasar pengalaman audit pada organisasi yang bersangkutan dengan ketentuan sebagai berikut :

Pengalaman Audit Penambahan/Pengurangan 0 (audit pertama kali)

1 kali 2 kali 3 kali

> 3 kali

+ 10 % + 5 % tidak ada - 5 % - 10 %

Penentuan jumlah cabang yang perlu dijadikan sampel audit tidak dibahas di sini, namun tim audit dapat memperkirakannya dengan melihat pada jumlah waktu audit. Jumlah cabang yang akan diaudit disesuaikan dengan tingkat risiko. Makin tinggi risiko, maka jumlah cabang yang diaudit akan makin banyak. Penentuan jumlah cabang ini dapat menggunakan metode pemilihan sampel secara statistikal atau kebijakan (judgemental).

d. Penentuan Target Waktu dan Jumlah Auditor.

Target waktu pelaksanaan audit umumnya ditentukan oleh Kepala Auditorat atau Auditor Utama. Hal ini dikaitkan dengan rencana kerja audit tahunan. Secara umum target waktu audit ditetapkan dalam ukuran bulan atau hari kerja, misalnya 1 bulan (setara dengan 20 hari kerja), 25 hari kerja, dsb. Sistem akan memberikan dua saran target waktu audit berikut jumlah dan komposisi auditor. Sistem juga akan menanyakan ke pemakai mengenai target waktu yang dikehendaki. Keputusan akan dibuat berdasar target waktu yang ditetapkan oleh pengguna sistem.

e. Penentuan Komposisi Tim Audit.

Komposisi Auditor Lingkup &

Prosedur Audit

Kompleksitas TI Kategori A Kategori B Kategori C Sangat Luas Tinggi

Sedang / Rendah

min. 2 orang min. 1 orang

min. 3 orang min. 2 orang

maks. 4 orang maks. 4 orang

Luas Tinggi

Sedang / Rendah

min. 2 orang min. 1 orang

min. 2 orang min. 2 orang

maks. 4 orang maks. 4 orang

Sedang Tinggi

Sedang / Rendah

min. 2 orang min. 1 orang

min. 2 orang min. 2 orang

maks. 4 orang maks. 4 orang

Terbatas Tinggi

Sedang / Rendah

min. 1 orang min. 1 orang

min. 2 orang min. 1 orang

maks. 4 orang maks. 4 orang

f. Penentuan BUMN yang diprioritaskan untuk diaudit.

Setelah terhadap semua BUMN dilakukan pengkajian risiko, kemudian dibuat urutan berdasar total skor risiko yang terbesar. BUMN yang menduduki peringkat atas akan diprioritaskan untuk diaudit.