Enterprise Resource Planning (ERP) – Team Assignment

Group Assignment 1 – Session 4

 

IS Quality Assurance &Control

  1. Berdasarkan teori yang dikemukakan pada tulisan, apa saja dampak implementasi ERP pada organisasi? Kemudian uraikan apa yang perlu dipersiapkan sebelum dan sesudah implementasinya?
  2. Berdasarkan hasil riset yang telah dilakukan sebelumnya dan juga pada makalah ini, risiko apa saja yang dihadapi bisnis terkait implementasi ERP?
  3. Terkait kontrol dalam implementasi ERP, coba uraikan lima kelemahan (lacks) yang hadapi organisasi. Berikan argumen Anda, bagaimana menyikapi dan menyelesaikan kelemahan-kelemehan tersebut? (Dukung dengan teori dari literature terkait).
  4. Perhatikan Tabel 3 (halaman 65). Berdasarkan matriks risiko implementasi ERP dan kontrol yang terkait, menurut pemahaman Anda, apakah hasil riset ini fit dengan organisasi di Indonesia? Apakah ada hal-hal unik/khusus yang perlu diperhatikan/disikapi bila implementasi ERP dilakukan di perusahaan lokal?
  5. Apa saran dan rekomendasi Anda terkait penelitian tersebut (baik keterbatasan maupun perbaikan penelitian selanjutnya).

–o0o–

 

 

 

KELOMPOK 5 (MMSI, LZM7)

  • EMMANUEL ANGGIT (1801622096)
  • HANDY KUSUMA (1801622341)
  • PUTI ANGGANI (1801625053)

 

ANSWER

  1. Berdasarkan teori yang dikemukakan pada tulisan, apa saja dampak implementasi ERP pada organisasi? Kemudian uraikan apa yang perlu dipersiapkan sebelum dan sesudah implementasinya?

ERP adalah suatu modul-multi transaksi yang berbasiskan aplikasi perangkat lunak yang membantu organisasi untuk mengelola bagian penting dari bisnis (Fosser et. Al, 2008). Menurut Davenport, 2000, Implementasi ERP berbeda dari sistem analisis “tradisional” dan proyek desain. Dampak suatu implementasi ERP akan mempengaruhi seluruh aspek organisasi, dimana jika proyek tradisional hanya berdampak terhadap area tertentu dalam organisasi. Selanjutnya, proyek ERP hampir selalu dikaitkan dengan rekayasa ulang praktik bisnis. Selain itu dampak penerapan ERP yaitu biaya yang dikeluarkan lebih tingggi dan apabila terjadi kegagalan dalam proses implementasi maka dapat menyebabkan “kematian” pada organisasi.

Menurut Davenport, 2000 Implementasi sistem ERP melibatkan pengeluaran yang relatif besar untuk akuisisi perangkat keras, perangkat lunak, biaya pelaksanaan, biaya konsultasi dan biaya pelatihan dan dapat bertahan dalam jangka waktu tertentu. Selain itu, proyek implementasi sistem ERP memilih ruang lingkup yang lebih luas dibandingkan dengan sebagian besar implementasi sistem informasi lainnya, dan dapat menyebabkan sejumlah besar perubahan dalam suatu organisasi (Davenport,2000).

Dalam meminimalkan risiko yang terkait dengan kurangnya keselarasan antara sistem ERP dan proses bisnis, organisasi terlibat dalam Business Process Reengineering (BPR), mengembangkan detil spesifikasi persyaratan, melakukan pengujian sistem sebelum implementasi sistem ERP dan memonitor kinerja sistem.

Pada fase implementasi proyek ERP, siklus hidup dimulai setelah sistem dan mitra pelaksana implementasi terpilih dan berakhir sesudah sistem “go-live” (Lech, 2013).

ERP System Implementation phases

Untitled1

Sumber: Ahituv et al., 2002; Bajwa et al., 2004; Esteves et al., 2003

Menurut Aries Wicaksono,dkk (2015) dalam jurnalnya yang berjudul “Analisis Dampak Penerapan Sistem ERP terhadap Kinerja Pengguna” menyatakan bahwa, secara umum penerapan ERP memberikan dampak yang positif bagi kinerja pengguna. Untuk komponen quantity of work (jumlah pekerjaan yang diselesaikan dalam satu periode tertentu), penerapan sistem ERP memberikan dampak yang positif karena informan menghasilkan kuantitas pekerjaan yang lebih banyak dalam satu periode. Serta dapat memantau pekerjaan yang telah dan belum selesai dengan menggunakan sistem ERP dengan lebih cepat.

  1. Berdasarkan hasil riset yang telah dilakukan sebelumnya dan juga pada makalah ini, risiko apa saja yang dihadapi bisnis terkait implementasi ERP?

Risiko yang dihadapi yaitu:

  • Kurangnya penyelarasan antara sistem informasi dan proses bisnis.
  • Hilangnya kendali karena desentralisasi keputusan.
  • Kompleksitas proyek dan manajemen proyek yang kompleks
  • Kurangnya keterampilan in-house.
  • Resistensi pengguna.
  1. Terkait kontrol dalam implementasi ERP, coba uraikan lima kelemahan (lacks) yang hadapi organisasi. Berikan argumen Anda, bagaimana menyikapi dan menyelesaikan kelemahan-kelemehan tersebut? (Dukung dengan teori dari literature terkait).

Grabski, Leech, dan Lu (2001) menjelaskan pada jurnal yang berjudul “Risks and Controls in the Implementation of ERP Systems” bahwa terdapat 5 kelemahan yang dihadapi organisasi dalam proyek penerapan sistem ERP.

Kelemahan yang dihadapi organisasi:

  • Kurangnya penyelarasan antara sistem informasi (ERP) dan proses bisnis.

Untuk meminimalkan risiko yang terkait dengan kurangnya keselarasan sistem ERP dan proses bisnis, organisasi harus merekayasa ulang proses bisnis, mengembangkan persyaratan rinci spesifikasi, pengujian perilaku sistem sebelum implementasi sistem dan memonitor kinerja sistem. Pertama, pemikiran ulang dan disain ulang radikal proses bisnis memungkinkan proses operasional organisasi harus selaras dengan sistem ERP dan memungkinkan organisasi untuk lebih mendapatkan manfaat penuh yang ditawarkan oleh sistem ERP. Selanjutnya kejelasan strategi dan tujuan organisasi akan tercapai (Davenport, 2000). Kedua, persyaratan spesifikasi rinci untuk pemilihan ERP dapat meningkatkan kemungkinan bahwa sistem ERP akan memenuhi persyaratan sistem organisasi dan mendukung proses operasional yang dibutuhkan. Ketiga, pengujian sistem sebelum implementasi sistem dan pemantauan sistem setelah implementasi dipandang sebagai penting untuk memastikan bahwa sistem ERP beroperasi dengan lancar dan mampu memberikan dukungan yang cukup untuk proses operasional organisasi (Davenport, 2000).

  • Hilangnya kendali karena desentralisasi keputusan.

Sebuah komite pengarah memungkinkan manajemen senior untuk langsung memantau proses pengambilan keputusan tim proyek dengan memiliki hak ratifikasi dan persetujuan terhadap semua keputusan yang signifikan, sehingga memastikan bahwa ada kontrol yang memadai atas proses pengambilan keputusan tim proyek (Davenport, 2000). Melalui perumusan komite pengarah, penunjukan sponsor proyek, dan keterlibatan audit internal untuk organisasi akan meminimalkan risiko bisnis yang terkait dengan kemungkinan hilangnya kontrol yang dihasilkan dari implementasi sistem ERP.

  • Kompleksitas proyek.

Minimalisasi risiko bisnis terkait dengan proyek kompleksitas sebagian besar tergantung pada perumusan komite pengarah senior dukungan manajer, penunjukan sponsor proyek, persyaratan rinci spesifikasi, pengembangan rencana implementasi rinci, tim proyek memiliki keterampilan yang memadai, keterlibatan konsultan dan audit internal.

  • Kurangnya keterampilan in-house.

Secara umum, perubahan dari proses atau sistem tradisional ke sistem ERP cukup besar. Para pengguna biasanya banyak yang terkejut dalam perubahan ini, bila tidak siap dalam perencanaan implementasi akan menjadi hambatan tersendiri. Oleh karena itu pelatihan yang tersedia melalui konsultan, vendor, atau melalui beberapa pihak ketiga menyediakan sumber daya berharga untuk mengembangkan keterampilan yang kurang di dalam organisasi tersebut. Individu-individu memperoleh pengetahuan dari proses bisnis baru rinci dan juga pengetahuan sistem teknis melalui kegiatan pelaksanaannya dan pelatihan yang mereka terima (Davenport, 2000).

  • Resistensi pengguna.

Menurut Yulianti dan Handayani (2011), Sebagian besar implementasi sistem ERP yang telah dilakukan oleh beberapa perusahaan mengalami kegagalan, salah satu faktor yang menyebabkan kegagalan tersebut adalah adanya resistensi pengguna terhadap perubahan. Resistensi dari pengguna ini juga menyebabkan perusahaan tidak dapat memaksimalkan keuntungan dari implementasi sistem ERP.

  1. Perhatikan Tabel 3 (halaman 65). Berdasarkan matriks risiko implementasi ERP dan kontrol yang terkait, menurut pemahaman Anda, apakah hasil riset ini fit dengan organisasi di Indonesia? Apakah ada hal-hal unik/khusus yang perlu diperhatikan/disikapi bila implementasi ERP dilakukan di perusahaan lokal?

Matriks Tabel 3 “Risks and Controls in the Implementation of ERP Systems”

Menurut Cahyadi (2014) dalam jurnalnya yang berjudul “Evaluasi Risiko Proyek Implementasi Sistem ERP di Usaha Kecil dan Menengah” bahwa pelaku usaha UKM sangat bergantung pada permodalan dan kondisi finansial yang sehat, proyek implementasi ERP yang gagal akan mengakibatkan pengeluaran yang tidak terkendali dan sangat merugikan.

Berdasarkan data matriks pada table di atas, hasil matrik tersebut sesuai dengan organisasi/perusahaan yang pada umumnya ada di Indonesia. Namun untuk organisasi tingkat menengah dan kecil ada beberapa bagian dari matriks yang perlu disesuaikan seperti project sponsor, steering committee, consultans involvement, karena biaya yang dibutuhkan tidak sedikit.

  1. Apa saran dan rekomendasi Anda terkait penelitian tersebut (baik keterbatasan maupun perbaikan penelitian selanjutnya).

Menurut Grabski, Leech & Lu (2001) menjelaskan tentang gambaran secara umum dalam melakukan manajemen risiko dan pengawasan terhadap penerapan sistem ERP di organisasi. Menurut Przemyslaw Lech (2016) menjelaskan bagaimana untuk melakukan penerapan sistem ERP dengan menyertakan contoh kasus pada sebuah organisasi. Sedangkan menurut Praseeda Manoj (2013) bahwa komitmen manajemen puncak adalah salah satu yang paling penting elemen dalam keberhasilan pelaksanaan sistem ERP. manajemen puncak memberikan dukungan keuangan yang memadai dan sumber daya yang memadai untuk membangun sistem yang sukses.

Berdasarkan beberapa penjelasan di atas, diharapkan untuk penelitian berikutnya menggali lebih detail dengan adanya penerapan ERP, risiko-risiko utama apa yang bisa dikurangi dalam organisasi serta dampak kinerja pengguna setelah implementasi ERP.

Daftar Pustaka:

Ahituv, N., Neumann, S. and Zviran, M. (2002). A system development methodology for ERP systems. Journal of Computer Information Systems

Aries Wicaksono, dkk. 2015. Analisis Dampak Penerapan Sistem ERP. Terhadap Kinerja Pengguna. Accounting and Finance Department, Faculty of Economic and Communication, BINUS University.

Bajwa, D. S., Garcia, J. E. and Mooney, T. 2004. An integrative framework for the assimilation of enterprise resource planning systems: Phases, antecedents, and outcomes. Journal of Computer Information Systems

Davenport, T.H. 2000. Mission Critical: Realizing The Promise Of Enterprise Systems. Harvard Business School Press. Boston, MA

Esteves, J., Pastor, J., Casanovas, J. 2003. A goal/question/metric research proposal to monitor user involvement and participation ERP implementation projects. Information Resources Management Association Conference (IRMA), Philadelphia (USA)

Fosser, E., Leister, O.H. and Moe, C.E. 2011. ERP Systems and Competitive Advantage: Some Initial Results. Galway, Ireland.

Grabski, Leech & Lu. 2001. Risks and Controls in the Implementation of ERP Systems. The International Journal of Digital Accounting Research.

Indra Cahyadi (2014). Evaluasi Risiko Proyek Implementasi Sistem ERP di Usaha Kecil dan Menengah. Jurnal Teknik Industri, vol. 15, No. 2.

Lech, Przemyslaw. 2016. Implementation of an ERP System: A Case Study of a Full-Scope SAP Project. Zarzadzanie i Finanse Journal of Management and Finance Vol. 14, No. 1/2016.

Manoj, Praseeda. 2013. ERP Implementation Different phases and related issues. The International Journal of Computer Science & Applications (TIJCSA), Volume 1, No. 11, January 2013 ISSN – 2278-1080.

Yulianti dan Handayani, P.W. (2011) Analisis Faktor-faktor Yang Mempengaruhi Penerimaan Penerimaan Pengguna Dalam Menggunakan Sistem ERPdengan Studi kasus PT. XYZ, Jurnal Sistem Informasi, Fakultas Ilmu Komputer Universitas Indonesia

 

M7193_LZM7_TK1-W3-S4-R0_TEAM5

 

 

 

 

 

 

Advertisements

IS Quality Assurance and Control

IS Quality Assurance & Control

(Case Study)

PT Bank Perkreditan Rakyat Maju Bersama adalah sebuah perusahaan yang bergerak dalam bidang perbankan.

PT BPR Maju Bersama saat ini memiliki sistem informasi namun belum menggunakan ERP system. Sistem informasi tersebut di develop oleh tim TI PT BPR Maju Bersama. Sistem informasi yang dimiliki oleh perusahaan sudah terintegrasi, namun kemudian diperoleh informasi bahwa setiap program aplikasi menggunakan bahasa program development yang berbeda. Program aplikasi untuk penghitungan gaji dan bonus dibangun dengan menggunakan bahasa program Oracle, sedangkan untuk program akuntansi menggunakan program aplikasi yang dibangun dengan Visual C.

Data untuk penghitungan insentif dan bonus tim marketing, di-entry, proses dan output-nya dikerjakan oleh tim TI. Hasil penghitungan insentif dan bonus tersebut didistribusikan ke bagian Akuntansi dan keuangan untuk dibayarkan kepada anggota tim. Menurut manajer TI, perhitungan insentif dan bonus sudah pasti tanpa kesalahan karena merupakan output komputer dan tidak memerlukan verifikasi.

Server PT Majuku berada di kantor pusat yang berada di Karawang sedangkan cabang tidak memiliki server langsung menggunakan WAN yang dikoneksikan melalui satelit. Kepada anggota tim diberikan fasilitas untuk melakukan transaksi menggunakan fasilitas internet.

Perusahaan belum menyusun BCP. Namun berdasarkan kebiasaan, data yang ada pada server di back up sebulan sekali dalam bentuk softcopy dan hardcopy yang disimpan pada gudang kantor pusat. Program pada PT BPR Maju Bersama tidak menggunakan audit log dengan alasan membuat penuh memory pada server. Password tingkat tertinggi pada program perusahaan dipegang oleh Manajer TI.

Hal yang perlu Anda analisis – sintesis:

Apabila Anda adalah auditor yang ditugaskan untuk melakukan audit terhadap sistem informasi perusahaan tersebut:

  1. Tentukan risiko yang muncul berdasarkan kasus di atas!
  2. Lakukan tahap-tahap audit, jika perlu tambahkan asumsi yang Anda anggap perlu!
  3. Berikan Rekomendasi perbaikan TI PT BPR Maju Bersama!

ANSWER

  1. Tentukan risiko yang muncul berdasarkan kasus di atas!

Menurut Abubakar dan Tasmin (2012), teknologi informasi dan komunikasi (TIK) telah membawa perubahan paradigma pada kinerja bank dan penyampaian layanan kepada nasabah dalam industri bank. Agar dapat mengikuti perkembangan global, meningkatkan kualitas layanan pelanggan, meningkatkan pangsa pasar, dan mengurangi biaya, bank berinvestasi dan mengadopsi penggunaan jaringan TI untuk menyampaikan berbagai produk dan layanan yang memberikan nilai tambah pada nasabah. Pengembangan TI memiliki efek yang signifikan pada perkembangan layanan bank yang lebih fleksibel dan user friendly.

Menurut Kamto dan Putra dalam penelitiannya mengenai pemantauan jaringan WAN pada PT PLN menyatakan bahwa banyak masalah jaringan yang terjadi pada kondisi perangkat (router, switch, optical termination box), media komunikasi (fiber optic cable, joint closure, patch cord), power supply (rectifier, pemadaman listrik), dan konfigurasi perangkat berakibat koneksi terputus-putus atau tidak stabil (intermittent), kehilangan koneksi (loss of connectivity) dan penggunaan aliran data yang berlebihan (overloaded traffic). Jika kondisi tersebut tidak ditangani dengan secepat mungkin, maka akan berpengaruh terhadap layanan pelanggan PT. PLN.

Berdasarkan study kasus di atas pada PT. BPR, risiko-risiko yang muncul adalah:

  • Untuk perancangan basis data tidak megikuti kaidah-kaidah perancangan yang umum, seperti adanya perbedaan bahasa pemrograman antara sistem yang satu dengan yang lain sehingga tidak terdapat dokumentasi yang lengkap mengenai hal tersebut.
  • Dengan adanya bahasa pemrograman yang berbeda-beda berarti tidak ada konsistensi dari sistem yang dikembangkan, maka kemungkinan besar output yang dihasilkan tidak akan terintegrasi dengan baik dan informasi yang dihasilkan dapat diragukan akurasinya.
  • Dengan tidak adanya verifikasi, disinilah terdapat potensi kesalahan. Walaupun sudah merupakan output komputer tetapi itu tidak menjamin informasi yang dihasilkan 100% benar. Bisa saja ada factor human error seperti saat pihak marketing salah melakukan entry data. Data yang salah ini langsung diproses oleh IT dan diteruskan ke akuntansi, sehingga perhitungan insenif&bonus yang diterima anggota pun akan salah
  • Dengan belum diterapkannya ERP, Informasi dari seluruh fungsi bisnis yang berbeda tidak terintegrasi dengan baik, sehingga berpotensi adanya kesalahan pengiriman informasi dari masing-masing fungsi.
  • Anggota tim diberikan fasilitas untuk melakukan transaksi menggunakan fasilitas internet. Risiko yang mungkin terjadi jika menggunakan fasilitas internet, adanya pencurian data atau modifikasi data.
  • Tidak adanya BCP dapat mengganggu aktivitas bisnis normal jika terjadi bencana, baik yang dibuat oleh orang (contoh: kebakaran, sabotase, power down, dll) atau bencana yang disebabkan oleh alam (contoh: gempa bumi, banjir, tanah longsor, tsunami,dll).
  • Dengan tidak adanya BCP, perusahaan tidak dapat mengidentifikasi ancaman apa saja yang dapat menyebabkan risiko-risiko kerugian terhadap asset.
  • Server hanya ada di kantor pusat, dan dari cabang langsung menggunakan WAN. WAN rentan terhadap masalah keamanan data karena bagaimanapun kita tidak dapat mengontrol apa yang terjadi diantara node yang jaraknya bisa sampai puluhan bahkan ratusan kilometer jauhnya. Dalam perjalanannya, bisa saja data antar perusahaan diambil oleh orang lain, baik oleh orang dalam maupun orang luar yang memiliki penguasaan terhadap kelemahan sistem kita.
  • Tidak adanya audit log maka tidak dapat tracking siapa-siapa saja yang sudah akses masuk ke sistem, sehingga jika terjadi manipulasi atau perubahan data yang sensitive pada sistem tidak akan ketahuan siapa yang melakukannya.
  1. Lakukan tahap-tahap audit, jika perlu tambahkan asumsi yang Anda anggap perlu!

Sarno (2009) mendefinisikan audit sebagai proses sistematis yang dilakukan dengan memperhatikan keobyektifan dari pihak kompeten dan independen dalam perolehan dan penilaian bukti-bukti terhadap tuntutan-tuntutan yang yang terkait dengan hal-hal atau kejadian. Tujuan dari audit adalah untuk menentukan dan melaporkan tingkat kesamaan antara informasi yang dinilai dengan ukuran atau kriteria yang ada (Surendro, 2004).

Steinbart et al. (2012) menyatakan bahwa fungsi internal audit dan keamanan informasi harus bekerja bersinergi, staf keamanan informasi merancang, mengimplementasi, dan mengoperasikan berbagai prosedur dan teknologi untuk melindungi sumber informasi organisasi, dan audit internal memberikan umpan balik secara periodik mengenai efektivitas kegiatan tersebut bersama dengan saran untuk perbaikan.

Menurut Davis et al. (2007), salah satu tugas paling penting bagian audit internal adalah menentukan apa yang harus diaudit. Rencana audit harus memfokuskan auditor pada area dengan risiko yang paling besar dan pada area dimana nilai paling besar bisa ditambahkan

Tahapan-tahapan audit menurut Davis et al. (2007)

  • Perencanaan audit

Menyelidiki dari awal atau melanjutkan yang ada untuk menentukan apakah pemeriksaan tersebut dapat diterima, penempatan staf audit yang sesuai, melakukan pengecekan informasi latar belakang klien/perusahaan, mengerti kewajiban utama dari klien, dan mengidentifikasikan area resiko.

  • Pengujian atas kontrol (tests of control)

Tahap ini dimulai dengan pemfokusan pada pengendalian manajemen. Apabila hasil yang ada tidak sesuai dengan harapan, maka pengendalian manajemen tidak berjalan sebagaimana mestinya.

  • Pengujian atas transaksi (tests of transaction). Pengujian transaksi meliputi pengecekan jurnal yang masuk dari dokumen utama, menguji nilai kekayaan dan ketepatan komputasi.
  • Pengujian atas keseimbangan atau hasil keseluruhan (tests of balances or overall results). Pengujian ini dilakukan agar bukti penting dalam penilaian akhir kehilangan atau pencatatan yang keliru yang menyebabkan fungsi sistem informasi gagal dalam memelihara data secara keseluruhan dan mencapai sistem yang efektif dan efisien.
  • Penyelesaian audit (completion of the audit)

Melakukan beberapa pengujian tambahan untuk mengkoleksi bukti untuk ditutup, dengan memberikan beberapa pernyataan pendapat

Setelah tahapan audit selesai semuanya, sebaiknya manajemen mensosialisasikan hasil audit tersebut ke pihak terkait, mengapa? Karena untuk koreksi dan referensi agar ke depannya perusahaan dan kinerja karyawan dapat meningkat dan lebih baik.

  1. Berikan Rekomendasi perbaikan TI PT BPR Maju Bersama!

Duncan dan Whittington (2014) menyebutkan bahwa dengan semakin kompleksnya ancaman yang muncul, kontrol teknis saja tidak lagi cukup untuk melindungi organisasi. Kombinasi orang, teknologi dan proses sekarang dibutuhkan agar dapat berhasil. Perusahaan perlu berpikir beberapa langkah di depan para kriminal. Karyawan dan pelanggan harus diedukasi tentang ancaman keamanan. Kepatuhan (compliance) terhadap standar, jaminan (assurance) dan audit tidak selalu berarti perusahaan telah aman, tetapi setidaknya manajemen memahami masalah-masalah yang terjadi di perusahaan. Tujuannya adalah untuk mempersulit penyerang menyerang sistem perusahaan dengan biaya yang terjangkau. Kebanyakan penyerang menginginkan nilai ekonomis dari target korbannya.

Berdasarkan dari referensi-referensi penelitian, rekomendasi yang dapat diberikan yaitu;

  1. Untuk rencana jangka panjang sebaiknya gunakan sistem ERP agar seluruh transaksi PT. BPR Maju Bersama dapat terintegrasi lebih baik.
  2. Bahasa Pemgrograman sistem baiknya menggunakan satu bahasa saja supaya ada konsistensi.
  3. Diterapkannya BCP atau DRP, karena jika terjadi hal-hal yang tidak diinginkan secara tiba-tiba maka akan mempercepat pemulihan sistem dan akan menjamin availability kelangsungan bisnis. Contohnya dengan replikasi data. Replikasi data akan menyediakan hasil kopi data yang lengkap untuk tujuan Pemulihan Bencana. Lokasi remotebiasanya merupakan secondary data center.
  1. Melakukan verifikasi data kembali sebelum diproses.
  2. Evidence (bukti) harus memadai, dapat diandalkan dan valid.
  3. Membangun server di kantor cabang untuk backup.
  4. Dibuatnya audit log agar bisa terkontrol keamanan sistemnya, dengan adanya audit log dapat diketahui siapa saja yang sudah mengkases sistem.

Referensi:

Abubakar, A. A., & Tasmin, R. B. H. (2012). The impact of information and communication technology on banks’ performance and customer service delivery in the banking industry. International journal of latest trends in finance and economic sciences

Chris Davis and Mike Schiller. 2011. IT Auditing Using Controls to Protect Information Assets.

Devi Fitrianah dan Yudho Sucahyo. 2012.Audit Sistem Informasi/Teknologi Informasi Dengan Kerangka Kerja COBIT Untuk Evaluasi Manajemen Teknologi Informasi di Universitas XYZ. Jurnal Sistem Informasi MTI-UI, Volume 4, Nomor 1, ISBN 1412-8896

Duncan, B., & Whittington, M. (2014). Compliance with standards, assurance and audit: does this equal security?. Proceedings of the 7th International Conference on Security of Information and Networks.

Herawati, Evy. 2008. Audit Sistem Informasi Persediaan Pada PT. SS. Jurnal Komputerisasi Akuntansi, Fakultas Ilmu Komputer, Universitas Bina Nusantara,.

Sarno, Riyanarto. 2009. Audit Sistem & Teknologi Informasi. Surabaya: ITS Press.

Sunday O. Effiok and Bassey Eyo Bassey. 2015. Information Technology, Audit Evidence and Financial Performance Of An Organization. European Journal of Accounting, Auditing and Finance Research Vol.3.

 

Information System Quality Assurance and Control – Audit TI

Pengertian Audit TI dan Cakupannya

Menurut ISACA (Information Systems Audit and Control Association), audit dapat diterjemahkan sebagai proses pengumpulan dan evaluasi bukti untuk menentukan apakah sistem informasi dan sumber daya yang berhubungan dapat melindungi aset, memelihara data dan integritas sistem, menyediakan informasi yang relevan dan layak, mencapai tujuan organisasi secara efektif, penggunaan sumber daya yang efisien dan memiliki pengendalian intern yang memberikan jaminan bisnis, operasional dan tujuan pengendalian akan tercapai, dan kejadian undersired akan dicegah, atau terdeteksi dan diperbaiki, secara periodik.

Menurut Sent dan Gallegos. (2009, p3) bahwa peran utama dari kontrol dan audit teknologi informasi adalah sebagai meknisme untuk memastikan saling terintegrasinya sistem informasi dan laporan-laporan keuangan organisasi untuk menghindari dan mencegah kesalahan dalam laporan tersebut.

Jadi secara umum dapat diartikan juga suatu proses control pengujian terhadap infrastruktur TI dimana berhubungan dengan masalah audit finansial dan audit internal.

Cakupan didalamnya:

  • Reliabilitas dan integritas sistem informasi. Pemeriksaan harus mereview reliabilitas dan integritas informasi keuangan dan informasi operasi sistem.
  • Berkaitan dengan kebijaksanaan, perencanaan, hukum dan peraturan. Kebijaksanaan ini mencakup pemakaian, penugasan, evaluasi serta promosi personel dalam sistem informasi, perencaan jangka panjang dan lauin-lain.
  • Perlindungan aktiva perusahaan. Pemeriksaan harus mereview peralatan untuk menjaga aktiva perusahaan yang memiliki keadaaan catatan tersendiri sehingga dapat direkonsiliasikan.
  • Pemakaian Sumber Ekonomis dan Efisien. Sumber-sumber ekonomis dimaksud disini adalah semua operasi departemen, manajer, peralatan dan personel yang dikembangkan.
  • Berusaha untuk mencapai objektif operasi program.

Pentingnya Kontrol TI dan Audit di Lingkungan Virtual

Menurut Stoel et al. (2012), ada 2 alasan utama mengapa audit TI menjadi semakin penting, yaitu (1) adanya peningkatan terhadap belanja TI dan ketergantungan terhadap TI dalam menjalankan operasi bisnis; dan (2) peraturan perundang-undangan baru dan kebutuhan profesional terkait audit operasi ini.

Kontrol dan Audit TI perlu dilakukan untuk:

  • Mengidentifikasi sistem yang ada baik yang ada pada tiap divisi/unit/departemen maupun yang digunakan menyeluruh.
  • Lebih memahami seberapa besar sistem informasi mendukung kebutuhan strategis perusahaan, operasi perusahaan, mendukung kegiatan oprasional departemen/unit/divisi, kelompok kerja maupun para petugas dalam melaksanakan kegiatannya.
  • Mengetahui pada bidang atau area mana, fungsi, kegiatan atau business process yang didukung dengan sistem serta teknologi sistem informasi yang ada.
  • Menganalisis tingkat pentingnya data/informasi yang dihasilkan oleh sistem dalam rangka mendukung kebutuhan para pemakainya.
  • Mengetahui keterkaitan antara sistem pengolahan dan teransfer informasi.
  • Mengidentifikasi apakah ada kesenjangan antara sistem dan kebutuhan

Masalah utama terkait kontrol dan audit di lingkungan global saat ini

Okta (2013) menjelaskan, Ada masalaah TI yang berbeda-beda, diantaranya

  • Masalah dalam jaringan

Dalam jaringan, apliksai perangkat lunak dan arsip data yang digunakan untuk memproses transaksi dimasukkan ke dalam computer yang terhubung satu sama lainnya. Akses terhadap aplikasi dari computer mikro atau workstation diatur oelh perangkat lunak server jaringan.bahkan perusahaan kecil dapat memiliki beberapa computer server yang terhubung satu sama lain dalam suatu jaringan, sementara perusahaan yang lebih besar dapat memiliki ratusan server dalam lusinan lokasi jaringan yang terhubung satu sama lain. Sebagian besar pengendalian umum yang diterapkan jaringan klien yang luas, karena dukungan TI dan keterlibatan pengguna tersentralisasi.Untuk perusahaan-perusahaan lainnya jaringan menggambarkan masalah-maslah pengendalian yang harus dipertimbangkan auditor dalam menrencanakan audit.sebagai contoh, auditor sering kali meningkatkan risiko pengendalian ketika perusahaan memiliki jaringan yang terdiri dari beberapa server yang terletak di beberapa lokasi karena adanya operasi jaringan yang terdesentralisasi sering kali kekurangan pengamanan dan pengawasan manajemen terhadap beragam server yang terhubung.

  • Masalah dalam sistem basis data

Auditor klien yang menggunakan system manajemen basis data harus memahami perencanaan, organisasi serta kebijakan dan prosedur klien untuk menentukan seberapa baik system ditangani. Pemahaman ini dapat mempengaruhi penilaian resiko pengendalian auditor serta opini auditor mengenai afektivitas operasi pengendalian imtenal terhadap pelaporan keuangan.

  • Masalah Sistem e-commerce

Penggunaan system e-commerce juga berarti membuka data sensitive perusahaan perusahaan, program dan perangkat lunak terhadap kemungkinan sabotase oleh pihak eksternal.Untuk membatasi kemungkinan tersebut, perusahaan menggunakan firewall, teknik enskripsi dan tanda tangan digital. Firewall berfungsi melindungi data, program dan sumber daya TI lainnya dari para pengguna eksternal eksternal yang tidak sah untuk mengakses system melalui jaringan, seperti internet.

  • Masalah ketika klien mensubkontakkan Kebutuhan IT

Ketika perusahaan mensubkontrakkan TI pada suatu pusat layanan computer, klien memasukkan data input, yang kemudian diproses oleh pusat layanan computer dengan harga pembayaran tertentu., dan mengembalikan hasil output dan input orginal yang disepakati.Untuk penggajian, perusahaan memasukkan data waktu kerja pegawai, dan formulir pajak pada pusat layanan. Pusat layanan kemudian mengembalikan slip-slip gaji, jurnal dan data input setiap minngu serta formulir pajak setiap akhir tahun. Pusat layanan computer bertanggung jawab untuk merancang system computer dan memberikan pengendalian yang memadai untuk meyakinkan bahwa pemrosesan dapat diandalkan. Penggunaan internet saat ini sudah mendunia, masalah utama yang perlu diperhatikan terkait control dan audit di lingkungan global saat ini adalah transaksi keuangan secara elektronik. Transaksi tersebut rawan untuk disalah gunakan oleh pihak-pihak tertentu karena biasanya pelaku transaksi memberikan data-data pribadi mereka. Untuk mencegah hal itu terjadi perlu dilakukan control IT, walaupun sudah diatur oleh UU kemudian sudah menggunakan firewall namun terkadang masih bisa saja “jebol”.

Satu pergeseran yang cukup signifikan dalam lingkungan auditing yang diakibatkan oleh TI adalah pergeseran bentuk dan nilai bukti yang diperoleh auditor. Kecenderungan perusahaan ke arah TI mengakibatkan bukti fisik yang pada kegiatan auditing tradisional merupakan pusat perhatian dan digunakan untuk melaksanakan kegiatan auditing hampir tidak ada. Sebagai ganti bukti yang berupa kertas, kejadian ekonomi perusahaan terekam dalam bentuk bukti elektronik. Beberapa pergeseran yang diakibatkan TI memaksa auditor untuk mencari bentuk baru auditing. bentuk baru tersebut akibat dari hilangnya bukti kertas yang dapat diuji secara subtantif. Oleh karena itu, kecenderungan yang ada akan menuju ke arah penilaian risiko pengendalian suatu sistem. Untuk itu pemahaman risiko secara komprehensif wajib dimiliki seorang auditor dalam bertugas terutama dalam lingkungan TI.

Pengertian E-cash dan Kontrol TI terkait E-cash.

Senft dan Gallegos (2009) menyatakan bahwa meskipun penggunaan E-cash memiliki dampak positif seperti kenyamanan, fleksibilitas, kecepatan, penghematan biaya, dan privasi yang lebih besar dibandingkan penggunaan kartu kredit atau cek di internet, penggunaan E-cash juga memiliki dampak negatif. Pertumbuhan sistem E-cash yang tidak terkendali dapat mengancam bank dan sistem pembayaran yang diawasi pemerintah, sehingga menumbuhkan sistem yang membingungkan dan tidak efisien. Sistem ­E-cash juga belum tentu lebih aman dibandingkan uang tunai biasa karena uang yang disimpan dalam komputer (PC) dapat hilang jika sistemnya rusak. Selain itu, E-cash memungkinkan aktivitas kriminal seperti pencucian uang dan penghindaran pajak. Para pemalsu atau peniru (counterfeiters) dapat membuat E-cash palsu yang sulit dibedakan dengan yang asli. Terakhir, para kriminal seperti hacker komputer dapat mencuri kekayaan ribuan konsumen elektronik.

E-cash digunakan dalam perdagangan virtual, dimana era penggunaan uang fisik dalam perdagangan sehari-hari sudah ditinggalkan. Virtual Commerce ini sebetulnya tetap mempergunakan currency atau mata uang yang berlaku, namun proses pertukarannya adalah bersifat digital yang mana dapat memperbesar timbulnya gangguan keamaan dan privasi. Sementara perkembangan yang kini terjadi mengarahkan pada persaingan dengan melakukan bisnis online yang mentargetkan pelanggan yang juga pengguna Internet, yang biasa kita kenal dengan sebutan E-commerce. Bidang-bidang utama yang menjadi perhatian dengan E-commerce adalah kerahasiaan, integritas, non-repudiation, dan authentication. Cara-cara yang biasa dipergunakan dalam menjawab perhatian pada bidang utama ini adalah enkripsi, kriptografi, dan keterlibatan pihak ketiga.

Dari sudut pandang pribadi saya, telah terlihat bahwa di dalam dunia Internet, informasi pribadi seperti kartu kredit, no telp, alamat rumah/kantor dapat diakses dengan mudah oleh siapapun, termasuk juga oleh orang yang bermaksud untuk menyalah gunakannya,. Disini perundang-undangan juga sudah mengatur beberapa hal, namun tetap saja tidak melindungi pengguna terhadap unsur penyerangan privasi. Hal-hal seperti di atas lah yang menjadi perhatian control IT mengenai e-cash.

Mengapa Auditor TI perlu mengetahui tentang lingkungan hukum Sistem Informasi (SI)

Menurut Sent dan Gallegos. (2009, p10) menjelaskan bahwa pernah terjadi kasus yang melibatkan Enron dan Arthur Andersen yang dampaknya terjadi tuntutan terhadap pembuatan hukum dalam tindakan mencegah, mendeteksi, dan mengoreksi. Dampak lainnya adalah dalam lingkungan jaringan teknologi semakin banyak munculnya ancaman mengenai keamanan dan privasi.

Perubahan risiko, proses bisnis dan peran auditor dalam lingkungan baru yang berbasis TI memaksa auditor untuk menggunakan strategi baru dalam melaksanakan tugas auditing yang diterimanya. Strategi yang digunakan dan diterapkan harus secara komprehensif dapat menampung seluruh kebutuhan audit baru. Kebutuhan baru tersebut berbentuk karena pengaruh TI terhadap seluruh aspek auditing, mulai dari standar, fokus auditing, risiko yang dihadapi sampai teknis pelaksanaan auditing yang mungkin dilakukan.

Menurut pendapat saya, Auditor TI perlu mengetahui lingkungan hukum SI untuk memahami metode yang selalu mengalami perkembangan dalam pemrosesan informasi. IT auditor juga dalam posisi yang unik untuk mengevaluasi relevansi dari sebuah sistem khusus untuk perusahaan secara keseluruhan. Karena itu, auditor TI sering memainkan peran dalam pengambilan keputusan manajemen senior. Peran auditor TI dapat diperiksa melalui tata kelola IT dan standar praktek profesional yang ada untuk profesi ini.

Referensi:

  • Nugroho, Mahendra Adi (2011). Audit Lingkungan TI: Perspektif dan Dampak Pada Proses Auditing Secara Komprehensif. Jurnal Pendidikan Akuntansi Indonesia, Vol. IX. No. 1. 2011
  • Sandra Senft & Frederick Gallegos. (2009). Information technology control and audit. 3rd
  • Stoel, D., Havelka, D., & Merhout, J. W. (2012). An analysis of attributes that impact information technology audit quality: A study of IT and financial audit practitioners. International Journal of Accounting Information Systems.
  • Wiskey, Okta. (2013). Auditing Teknologi , [htm],
    http://okta-wiskey.blogspot.co.id/2013/11/auditing-teknologi.html [diakses tanggal 10 Maret 2017.
  • http://e-journal.lpkia.ac.id/files/students/essays/journals/236.pdf (diakses tanggal 10 Maret 2017)