10 Laporan dan rekomendasi hasil Audit.p
AUDIT SISTEM INFORMASI
(AUDSI)
LAPORAN DAN REKOMENDASI HASIL
AUDIT
AUDIT SISTEM INFORMASI
(AUDSI)
ANALISIS KONDISI
EXISTING
Pendahuluan
1. Laporan hasil audit adalah merupakan salah satu tahap paling penting dan akhir
dari suatu pekerjaan audit. Dalam setiap tahap audit akan selalu terdapat dampak
psikologis bagi auditor maupun auditee. Dampak psikologis dalam tahapan
persiapan audit dan pelaksanaan audit dapat ditanggulangi pada waktu
berlangsungnya audit. Tetapi dampak psikologis dari laporan hasil audit,
penanggulangannya akan lebih sulit karena:
a) Waktu audit sudah selesai
b) Laporan merupakan salah satu bentuk komunikasi tertulis, formal, sehingga
auditor tidak dapat mengetahui reaksi auditee secara langsung
c) Laporan telah didistribusikan kepada berbagai pihak sehingga semakin banyak
pihak yang terlibat.
2. Karena laporan hasil audit akan mempunyai dampak luas, maka diperlukan
pengetahuan khusus tentang penyusunan laporan hasil audit. Pelaporan hasil
audit merupakan tahap akhir kegiatan audit. Selain harus sesuai dengan norma
pemeriksaan, penyusunan laporan hasil audit juga harus mempertimbangkan
dampak psikologis, terutama yang bersifat dampak negatif bagi auditee, pihak
ketiga dan pihak lain yang menerima laporan tersebut.
Norma Pelaporan hasil Pemeriksaan pada standar standar pemeriksaan
satuan pengawas intern (auditor internal BUMN/BUMD) antara lain memuat
hal-hal berikut ini:
1)Audit harus melaporkan hasil pemeriksaan sesuai dengan penugasan yang
ditetapkan.
2)Laporan audit harus dibuat secara tertulis dan disampaikan kepada pejabat yang
berwenang tepat pada waktunya agar bermanfaat.
3)Laporan audit harus memuat ruang lingkup dan tujuan pemeriksaan, disusun
dengan baik, menyajikan informasi yang layak serta pernyataan bahwa pemeriksaan
telah dilaksanakan sesuai dengan norma pemeriksaan.
4)Setiap Laporan pemeriksaan harus:
a)Memuat ruang lingkup pemeriksaan, sasaran/tujuan pemeriksaan, dan adakah
halhal yang dapat dirasakan sebagai pembatasan terhadap pelaksanaan kegiatan
pemeriksaan.
b)Memuat temuan (findings) dan kesimpulan (conclusions) pemeriksa secara objektif
(didukung dengan adequate audit evidence), serta saran tindak yang konstruktif
c)Lebih mengutamakan usaha perbaikan atau penyempurnaan dari pada kritik.
d)Mengungkapkan hal-hal yang masih merupakan masalah yang belum dapat
diselesaikan sampai berakhirnya pemeriksaan, bila ada.
e)Mengemukakan pengakuan atas suatu prestasi atau suatu tindakan perbaikan itu
dapat diterapkan di bagian lain.
f)Mengemukakan tanggapan/penjelasan pejabat objek (formal responses by the
auditee) yang diperiksa mengenai hasil pemeriksaan.
B9. PENENTUAN
REKOMENDASI
1. Sebelum hasil audit dikomunikasikan, pengaudit
SI/TI
perlu
berdiskusi
utk
mendapatkan
kesepahaman thd hasil temuan (findings) dan
mengembangkan rekomendasi utk memperbaiki
hasil tersebut. Jika terjadi ketidak sepakatan,
pengaudit
SI/TI
seharusnya
menguraikan
signifikansi temuan serta resiko dan efek jika
fokus perbaikan proses yg berkaitan dengan
resiko tersebut tidak dilakukan.
2. Pemaparan pd bab ini akan difokuskan pd
penentuan hasil Audit SI/TI dan penyusunan
laporan dr hasil audit tersebut serta pembahasan
mengenai konsep hasil audit sebagai bahan utk
perbaikan proses yg berkelanjutan.
9.1 Penentuan Hasil Audit SI/TI
1. Penentuan
hasil audit dilakukan dg
mengevaluasi
hasil
audit
yg
didapatkan utk mengembangkan opini
audit.
2. Opini-opini berdasarkan hasil temuan
(findings) tsb. nantinya disusun dlm
rekomendasi hasil audit.
3. Hal ini membutuhkan pertimbangan
personal pengaudit SI/TI yg diperoleh
dr hasil pengalaman, dibandingkan dg
mengacu pd referensi tertentu.
9.2 Penyusunan Laporan Hasil
Laporan audit merupakan hasil akhir pekerjaan Audit SI/TI yg berisikan
Audit
SI/TI kpd manajemen.
temuan
dan rekomendasi
Secara umum laporan audit akan berisikan struktur pembahasan
berikut:
1. Pendahuluan, termasuk pernyataan tujuan dan area yg akan diaudit,
2. Batasan terhadap pelaksanaan Audit SI/TI.
3. Syarat atau kualifikasi pengaudit SI/TI yg sesuai dengan ketentuan
atau standar pengaudit.
4. Pernyataan panduan Audit SI/TI yg diikuti selama aktivitas audit
dilaksanaan.
5. Pernyataan panduan Audit SI/TI yg diikuti selama aktivitas audit
dilaksanakan.
6. Detil temuan audit dan rekomendasi serta keputusan apakah
memasukan atau tdk memasukan temuan ke dlm laporan audit.
7. Keanekaragaman temuan yg beberapa diantaranya bersifat penting.
8. Kesimpulan keseluruhan dARI pengaudit SI/TI dan pendapat dari
kecukupan kontrol dan prosedur yg diuji selama audit.
9.2 Penyusunan Laporan Hasil Audit SI/TI
Dengan demikian, dokumentasi laporan Audit SI/TI seharusnya
(lanj..)
berisikan:
1.Perencanaan dan persiapan Audit SI/TI yg mencakup
ruang lingkup dan tujuan audit (scope dan objective),
2.Kondisi sistem informasi,
3.Program Audit SI/TI yg dilakukan,
4.Langkah Audit SI/TI yg dilakukan dan bukti (evidence)
Audit SI/TI yg dikumpulkan,
5.Temuan audit (findings) dan tingkat kedewasaan
Proses TI
6.Kesimpulan dr hasil temuan,
7.Laporan-laporan lain terkait sebagai hasil dr pekerjaan
Audit SI/TI,
8.Tinjauan pengawas berupa rekomendasi utk perbaikan
berkelanjutan.
Gambar 9.1 Contoh Kesimpulan Hasil Audit TI Pada Laporan
Audit
Ringkasan Eksekutif
Ringkasan Umum Hasil Penilaian
Sekilas
Tingkat Kedewasaan
Perbedaan antara tingkat kedewasaan yang
diaudit
Dengan skor studi banding
Latar Belakang, Tujuan & Ruang Lingkup
Tingkat
kedewasaan
Yang diaudit
Tanggapan Umum Pihak yang bertanggung Jawab
Respon dari (tanggal):
Rekomendasi dan Tanggapan dari Hasil Uji Kepatutan
Kelemahan Kontrol
Judul Permasalahan
Objektif Kontrol Proses TI dlm COBIT
yang berkaitan:
DS5 4 Pengelolaan akun Pengguna →
CONTOH
Priorita
s
□A
□B
□C
Tindakan Korektif
Respon dari:
Tanggal
Rekomendasi dan Tanggapan dari Hasil penilaian Tingkat Kedewasaan
Kelemahan Kontrol
Judul Rekomendasi
Priorita
s
□A
□B
□C
Tindakan Korektif
Respon dari:
< Tuliskan respon di sini>
Proses TI COBIT yang berkaitan:
DS5 memastikan keamanan sistem →
CONTOH
Tanggal
Keterangan Prioritas :
A
Merepresentasikan tingkat signifikansi tertinggi dan biasanya mengakibatkan resiko
material terhadap perusahaan jika tidak ditangani dengan benar
B
Mengakibatkan resiko lebih rendah tetapi akan mengakibatkan dampak yang merugikan
terhadap perusahaan jika permasalahan yang terkait dengan resiko tersebut tidak
ditangani dengan tepat.
C
Kesempatan untuk mempertinggi lingkungan kontrol eksisting untuk memastikan
kepatutan kepada perusahaan dan panduan peraturan.
Gambar 9.2 Contoh Penyusunan Hasil Uji Kepatutan
Uji Kepatutan
Objektif Kontrol Proses
TI
Dalam COBIT
Studi
Banding
Tingkat
kepatutan
Skor
rerata
keseluru
han
Skor
rerata
industri
Tingkat Kepatutan
Objektif Kontrol
yang diaudit
Analisis
Gap
Perbedaan antara tingkat kepatutan objektif
kontrol yang diaudit dengan skor studi
banding
Penempatan permintaan,
penetapan, permasalahan,
penundaan, pemodifikasian
dan penutupan akun
pengguna berserta hak-hak
terkait dengan prosedur
pengelolaan akun
pengguna. Hal tersebut
termasuk prosedur
persetujuan yang
menguraikan pemilik data
atau sistem memberi hak
akses istimewa. Prosedur
yang dibuat dapat
digunakan untuk semua
pengguna, termasuk admin
serta pengguna internal dan
eksternal untuk kasus
normal atau keadaan
darurat → CONTOH Deskripsi
Objektif Kontrol DS 5.4:
Pengelolaan Akun Pengguna
Tingkat Kepatutan
(AUDSI)
LAPORAN DAN REKOMENDASI HASIL
AUDIT
AUDIT SISTEM INFORMASI
(AUDSI)
ANALISIS KONDISI
EXISTING
Pendahuluan
1. Laporan hasil audit adalah merupakan salah satu tahap paling penting dan akhir
dari suatu pekerjaan audit. Dalam setiap tahap audit akan selalu terdapat dampak
psikologis bagi auditor maupun auditee. Dampak psikologis dalam tahapan
persiapan audit dan pelaksanaan audit dapat ditanggulangi pada waktu
berlangsungnya audit. Tetapi dampak psikologis dari laporan hasil audit,
penanggulangannya akan lebih sulit karena:
a) Waktu audit sudah selesai
b) Laporan merupakan salah satu bentuk komunikasi tertulis, formal, sehingga
auditor tidak dapat mengetahui reaksi auditee secara langsung
c) Laporan telah didistribusikan kepada berbagai pihak sehingga semakin banyak
pihak yang terlibat.
2. Karena laporan hasil audit akan mempunyai dampak luas, maka diperlukan
pengetahuan khusus tentang penyusunan laporan hasil audit. Pelaporan hasil
audit merupakan tahap akhir kegiatan audit. Selain harus sesuai dengan norma
pemeriksaan, penyusunan laporan hasil audit juga harus mempertimbangkan
dampak psikologis, terutama yang bersifat dampak negatif bagi auditee, pihak
ketiga dan pihak lain yang menerima laporan tersebut.
Norma Pelaporan hasil Pemeriksaan pada standar standar pemeriksaan
satuan pengawas intern (auditor internal BUMN/BUMD) antara lain memuat
hal-hal berikut ini:
1)Audit harus melaporkan hasil pemeriksaan sesuai dengan penugasan yang
ditetapkan.
2)Laporan audit harus dibuat secara tertulis dan disampaikan kepada pejabat yang
berwenang tepat pada waktunya agar bermanfaat.
3)Laporan audit harus memuat ruang lingkup dan tujuan pemeriksaan, disusun
dengan baik, menyajikan informasi yang layak serta pernyataan bahwa pemeriksaan
telah dilaksanakan sesuai dengan norma pemeriksaan.
4)Setiap Laporan pemeriksaan harus:
a)Memuat ruang lingkup pemeriksaan, sasaran/tujuan pemeriksaan, dan adakah
halhal yang dapat dirasakan sebagai pembatasan terhadap pelaksanaan kegiatan
pemeriksaan.
b)Memuat temuan (findings) dan kesimpulan (conclusions) pemeriksa secara objektif
(didukung dengan adequate audit evidence), serta saran tindak yang konstruktif
c)Lebih mengutamakan usaha perbaikan atau penyempurnaan dari pada kritik.
d)Mengungkapkan hal-hal yang masih merupakan masalah yang belum dapat
diselesaikan sampai berakhirnya pemeriksaan, bila ada.
e)Mengemukakan pengakuan atas suatu prestasi atau suatu tindakan perbaikan itu
dapat diterapkan di bagian lain.
f)Mengemukakan tanggapan/penjelasan pejabat objek (formal responses by the
auditee) yang diperiksa mengenai hasil pemeriksaan.
B9. PENENTUAN
REKOMENDASI
1. Sebelum hasil audit dikomunikasikan, pengaudit
SI/TI
perlu
berdiskusi
utk
mendapatkan
kesepahaman thd hasil temuan (findings) dan
mengembangkan rekomendasi utk memperbaiki
hasil tersebut. Jika terjadi ketidak sepakatan,
pengaudit
SI/TI
seharusnya
menguraikan
signifikansi temuan serta resiko dan efek jika
fokus perbaikan proses yg berkaitan dengan
resiko tersebut tidak dilakukan.
2. Pemaparan pd bab ini akan difokuskan pd
penentuan hasil Audit SI/TI dan penyusunan
laporan dr hasil audit tersebut serta pembahasan
mengenai konsep hasil audit sebagai bahan utk
perbaikan proses yg berkelanjutan.
9.1 Penentuan Hasil Audit SI/TI
1. Penentuan
hasil audit dilakukan dg
mengevaluasi
hasil
audit
yg
didapatkan utk mengembangkan opini
audit.
2. Opini-opini berdasarkan hasil temuan
(findings) tsb. nantinya disusun dlm
rekomendasi hasil audit.
3. Hal ini membutuhkan pertimbangan
personal pengaudit SI/TI yg diperoleh
dr hasil pengalaman, dibandingkan dg
mengacu pd referensi tertentu.
9.2 Penyusunan Laporan Hasil
Laporan audit merupakan hasil akhir pekerjaan Audit SI/TI yg berisikan
Audit
SI/TI kpd manajemen.
temuan
dan rekomendasi
Secara umum laporan audit akan berisikan struktur pembahasan
berikut:
1. Pendahuluan, termasuk pernyataan tujuan dan area yg akan diaudit,
2. Batasan terhadap pelaksanaan Audit SI/TI.
3. Syarat atau kualifikasi pengaudit SI/TI yg sesuai dengan ketentuan
atau standar pengaudit.
4. Pernyataan panduan Audit SI/TI yg diikuti selama aktivitas audit
dilaksanaan.
5. Pernyataan panduan Audit SI/TI yg diikuti selama aktivitas audit
dilaksanakan.
6. Detil temuan audit dan rekomendasi serta keputusan apakah
memasukan atau tdk memasukan temuan ke dlm laporan audit.
7. Keanekaragaman temuan yg beberapa diantaranya bersifat penting.
8. Kesimpulan keseluruhan dARI pengaudit SI/TI dan pendapat dari
kecukupan kontrol dan prosedur yg diuji selama audit.
9.2 Penyusunan Laporan Hasil Audit SI/TI
Dengan demikian, dokumentasi laporan Audit SI/TI seharusnya
(lanj..)
berisikan:
1.Perencanaan dan persiapan Audit SI/TI yg mencakup
ruang lingkup dan tujuan audit (scope dan objective),
2.Kondisi sistem informasi,
3.Program Audit SI/TI yg dilakukan,
4.Langkah Audit SI/TI yg dilakukan dan bukti (evidence)
Audit SI/TI yg dikumpulkan,
5.Temuan audit (findings) dan tingkat kedewasaan
Proses TI
6.Kesimpulan dr hasil temuan,
7.Laporan-laporan lain terkait sebagai hasil dr pekerjaan
Audit SI/TI,
8.Tinjauan pengawas berupa rekomendasi utk perbaikan
berkelanjutan.
Gambar 9.1 Contoh Kesimpulan Hasil Audit TI Pada Laporan
Audit
Ringkasan Eksekutif
Ringkasan Umum Hasil Penilaian
Sekilas
Tingkat Kedewasaan
Perbedaan antara tingkat kedewasaan yang
diaudit
Dengan skor studi banding
Latar Belakang, Tujuan & Ruang Lingkup
Tingkat
kedewasaan
Yang diaudit
Tanggapan Umum Pihak yang bertanggung Jawab
Respon dari (tanggal):
Rekomendasi dan Tanggapan dari Hasil Uji Kepatutan
Kelemahan Kontrol
Judul Permasalahan
Objektif Kontrol Proses TI dlm COBIT
yang berkaitan:
DS5 4 Pengelolaan akun Pengguna →
CONTOH
Priorita
s
□A
□B
□C
Tindakan Korektif
Respon dari:
Tanggal
Rekomendasi dan Tanggapan dari Hasil penilaian Tingkat Kedewasaan
Kelemahan Kontrol
Judul Rekomendasi
Priorita
s
□A
□B
□C
Tindakan Korektif
Respon dari:
< Tuliskan respon di sini>
Proses TI COBIT yang berkaitan:
DS5 memastikan keamanan sistem →
CONTOH
Tanggal
Keterangan Prioritas :
A
Merepresentasikan tingkat signifikansi tertinggi dan biasanya mengakibatkan resiko
material terhadap perusahaan jika tidak ditangani dengan benar
B
Mengakibatkan resiko lebih rendah tetapi akan mengakibatkan dampak yang merugikan
terhadap perusahaan jika permasalahan yang terkait dengan resiko tersebut tidak
ditangani dengan tepat.
C
Kesempatan untuk mempertinggi lingkungan kontrol eksisting untuk memastikan
kepatutan kepada perusahaan dan panduan peraturan.
Gambar 9.2 Contoh Penyusunan Hasil Uji Kepatutan
Uji Kepatutan
Objektif Kontrol Proses
TI
Dalam COBIT
Studi
Banding
Tingkat
kepatutan
Skor
rerata
keseluru
han
Skor
rerata
industri
Tingkat Kepatutan
Objektif Kontrol
yang diaudit
Analisis
Gap
Perbedaan antara tingkat kepatutan objektif
kontrol yang diaudit dengan skor studi
banding
Penempatan permintaan,
penetapan, permasalahan,
penundaan, pemodifikasian
dan penutupan akun
pengguna berserta hak-hak
terkait dengan prosedur
pengelolaan akun
pengguna. Hal tersebut
termasuk prosedur
persetujuan yang
menguraikan pemilik data
atau sistem memberi hak
akses istimewa. Prosedur
yang dibuat dapat
digunakan untuk semua
pengguna, termasuk admin
serta pengguna internal dan
eksternal untuk kasus
normal atau keadaan
darurat → CONTOH Deskripsi
Objektif Kontrol DS 5.4:
Pengelolaan Akun Pengguna
Tingkat Kepatutan