AUDIT SISTEM INFORMASI DENGAN MENGGUNAKAN ACUAN COBIT

(CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY)

TOPIK – TOPIK LANJUTAN SISTEM INFORMASI

Dosen : D1389 – Agus Putranto, S.Kom., M.T., M.Sc.

Disusun oleh

H E N D R A0 9 0 0 8 1 9 5 1 3

0 8 PAY

Universitas Bina NusantaraJakarta

2009

AUDIT SISTEM INFORMASI DENGAN MENGGUNAKAN ACUAN COBIT(CONTROL OBJECTIVES FOR INFORMATION AND RELATED

TECHNOLOGY)

HendraUniv.Bina Nusantara

ABSTRAK

Perkembangan Teknologi Informasi (IT) mengalami kemajuan yang begitu pesat pada saat ini. Kemajuan IT ini menawarkan berbagai solusi, inovasi dan perubahan pada bisnis perusahaan untuk menjadikan setiap penggunanya dapat mengakses berbagai data-data dan informasi-informasi yang dibutuhkan dengan mudah dan cepat.

Konsep IT Governance adalah suatu bentuk perencanaan dalam menerapkan dan menggunakan IT yang digunakan oleh suatu organisasi agar sesuai dengan visi, misi dan tujuan dari organisasi. Dimana IT Governance menggabungkan good (best) practices untuk memastikan kalau informasi dan teknologi yang berhubungan mendukung tujuan dan misi organisasi dengan melakukan proses audit terhadap sistem tersebut.

Audit sistem informasi bertujuan untuk menilai perfomansi penerapan teknologi informasi dengan mengacu pada tool COBIT, yang dapat digunakan sebagai alat yang komprehensif untuk menciptakan dan mengefektifkan implementasi IT Governance pada suatu perusahaan. Audit Sistem Informasi dapat dilakukan perusahaan untuk mengevaluasi/audit sistem yang telah ada jika terdapat kekurangan/kesalahan terhadap sistem yang ada. Dan COBIT framework digunakan untuk menyusun dan menerapkan model audit sistem informasi dengan tujuan memberikan masukan dan rekomendasi bagi perusahaan untuk perbaikan pengelolaan sistem informasi di masa mendatang.

Kata kunci : Sistem Informasi, audit SI, COBIT, IT Governance

PENDAHULUANLatar Belakang

Perkembangan teknologi yang semakin cepat telah membawa dunia memasuki era baru khususnya dibidang informasi dan bahkan lebih cepat dari yang pernah dibayangkan sebelumnya. Dengan seiring pesatnya perkembangan Teknologi Informasi yang terjadi sekarang ini khususnya di negara kita Indonesia Teknologi tidak lagi menjadi barang yang aneh, bahkan sangat diperlukan untuk mendukung kinerja dari suatu organisasi. Untuk saat ini tanpa dukungan teknologi informasi sebuah perusahaan mungkin sangat mustahil untuk dapat berkembang. Dalam konteks ini, informasi dapat dikatakan menjadi kunci untuk mendukung dan meningkatkan manajemen perusahaan agar dapat memenangkan persaingan yang semakin lama akan semakin meningkat.

Salah satu metode pengelolaan teknologi informasi yang dapat digunakan adalah IT governance yang terdapat pada COBIT. COBIT dapat dikatakan sebagai kerangka kerja IT yang dipublikasikan oleh ISACA (Information System Audit and Control Association). COBIT berfungsi memberikan manajer, auditor, dan pengguna Teknologi Informasi dengan kumpulan umum tindakan, indikator, proses dan praktik terbaik untuk membantu mereka memaksimalkan keuntungan yang diperoleh melalui

1

penggunaan teknologi informasi dan berkembang sesuai IT governance dan kontrol dalam sebuah perusahaan. Di samping itu, COBIT juga dirancang agar dapat menjadi alat bantu yang dapat memecahkan permasalahan pada IT governance dalam memahami dan mengelola risiko serta keuntungan yang berhubungan dengan sumber daya informasi perusahaan.

Ruang LingkupUntuk lebih terarah penyusunan dan penulisan, topik yang dibahas meliputi: Pembahasan pentingnya IT Governance dalam pengelolaan IT yang baik. Evaluasi sistem informasi dengan menggunakan COBIT yang secara

keseluruhan terbagi 4 domain yang penjabaran dituangkan ke dalam 34 proses.

Tujuan dan ManfaatTujuan dari penulisan ini adalah : Melakukan penelitian terhadap metode COBIT sehingga dapat

mengevaluasi kelebihan dan kekurangan sistem informasi yang ada dalam perusahaan.

Memberikan wawasan lebih jauh terhadap kemajuan ilmu pengetahuan terutama dalam bidang Audit SI dan IT dengan standar COBIT.

Manfaat dari penulisan ini adalah : Memberikan penilaian dan arahan yang berorientasi pada bisnis

dengan standar COBIT terhadap kebutuhan kontrol bagi pihak manajemen. Mengidentifikasi masalah kontrol IT, Proses dan hasil penelitian dapat

dijadikan arah untuk menuju penerapan IT Governance yang baik bagi perusahaan.

Metodologi Penelitian Metode Analisa

Metode analisa yang digunakan dalam penelitian ini adalah dengan menganalisa dan mengidentifikasi masalah dan kebutuhan akan audit sistem informasi dengan metode COBIT sebagai evaluasi sistem informasi dalam perusahaan.

Metode Studi KepustakaanMetode pengumpulan informasi digunakan melalui studi artikel media internet dan buku-buku referensi yang dapat dijadikan sumber dan panduan dalam penyusunan penulisan ini.

LANDASAN TEORIPengertian Sistem

Menurut O’Brien (2002, p8), sistem merupakan sekumpulan komponen-komponen yang saling berhubungan dan bekerja sama untuk mencapai tujuan bersama, dengan menerima masukan dan menghasilkan pengeluaran melalui proses transformasi yang terorganisir.

Menurut Mathiassen (2000, p9), sistem adalah sekumpulan komponen yang mengimplementasikan kebutuhan pemodelan fungsi dan antar muka.

Pengertian Informasi

2

Menurut O’Brien (2002, p12), informasi adalah data yang telah diubah ke dalam sebuah bentuk yang mempunyai arti dan berguna bagi pemakai tertentu atau khusus.

Menurut Mcleod (1996, p18) informasi adalah data data yang telah diproses sehingga menjadi data yang mempunyai arti dan berguna bagi pemakainya.

Pengertian Teknologi InformasiMenurut Wikipedia, Teknologi informasi adalah hasil rekayasa manusia

terhadap proses penyampaian informasi dari bagian pengirim ke penerima sehingga pengiriman informasi akan lebih cepat, lebih luas sebarannya, dan lebih lama penyimpanannya.

Pengertian IT Governance

Menurut Wikipedia, Information Technology Governance adalah subset dari disiplin Corporate Governance berfokus IT dan sistem kinerja dan manajemen risiko.

Area Fokus IT Governance : • Strategis berfokus pada alignment memastikan hubungan bisnis dan rencana

IT, tentang cara menetapkan, memelihara dan memvalidasi nilai IT proposisi, dan di deretan IT operasi dengan operasi perusahaan

• Nilai, melaksanakan pemberian nilai proposisi sepanjang siklus pengiriman, memastikan bahwa IT memberikan keuntungan yang dijanjikan terhadap strategi, berkonsentrasi optimalisasi biaya dan membuktikan nilai intrinsik IT

• Pengelolaan Sumber Daya, tentang investasi yang optimal, dan pengelolaan yang benar, sumber daya TI penting: proses, orang. Masalah-masalah utama berkaitan dengan optimasi pengetahuan dan infrastruktur.

• Risiko membutuhkan manajemen risiko kesadaran oleh pejabat senior perusahaan, yang jelas pemahaman tentang perusahaan dari nafsu untuk risiko, transparansi tentang risiko signifikan kepada perusahaan, dan manajemen risiko embedding menjadi tanggung jawab organisasi.

• Pengukuran Kinerja trek dan memantau pelaksanaan strategi, proyek selesai, penggunaan sumber daya, proses dan kinerja layanan, menggunakan, misalnya, yang seimbang scorecards menterjemahkan strategi ke dalam tindakan untuk mencapai tujuan terukur melebihi akuntansi konvensional.

Pengertian Audit SI Audit SI merupakan proses pengumpulan dan evaluasi bukti-bukti untuk

menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya secara efisien (Weber, 1999).

Tujuan audit sistem informasi menurut Weber (1999, p11), terbagi menjadi 4:1. Meningkatkan keamanan aset-aset perusahaan

Aset yang berhubungan dengan sistem informasi antara lain : perangkat keras, perangkat lunak, manusia, network, dan infrastruktur lainnya.

2. Meningkatkan integritas dataIntegritas data menggambarkan kesesuaian data audit dengan kenyataan yang ada dalam perusahaan. Hal ini dimaksudkan agar perusahaan menggambarkan perusahaan apa adanya.

3. Meningkatkan efektifitas sistem

3

Sistem informasi yang dikembangkan dalam perusahaan harus mencapai tujuan yang diinginkan. Sistem dibuat harus efektif dan tepat sesuai dengan kebutuhan pengguna dalam perusahaan.

4. Meningkatkan efisiensi,Sistem informasi dapat dikatakan efisien jika menggunakan input seminimal mungkin untuk menghasilkan output yang dibutuhkan.

Jenis – jenis audit antara lain :a. Audit oleh pihak pertama

Audit jenis ini lebih dikenal dengan istilah Internal Audit. Audit ini dilakukan oleh orang-orang yang berasal dari ruang lingkup organisasi itu sendiri. Formasi dan komposisi keanggotaan dapat hanya berasal dari satu departemen tertentu saja ataupan lintas departemen.

b. Audit oleh pihak keduaAudit jenis ini lebih dikenal dengan istilah External Audit. Audit ini dilakukan oleh pihak-pihak yang mempunyai kepentingan terhadap organisasi, misalnya: audit yang dilakukan oleh suatu customer terhadap para suppliernya.

c. Audit oleh pihak ketigaAudit jenis ini dilakukan oleh badan atau organisasi yang berada diluar dari kepentingan pihak pertama dan pihak kedua sehingga lebih independen.

Dalam ISO 19011 terdapat beberapa definisi yang perlu diketahui, antara lain :1. Kriteria Audit, yakni kumpulan kebijakan, prosedure atau persyaratan

yang dipakai sebagai acuan.2. Bukti Audit, yakni catatan-catatan, pernyataan suatu fakta atau informasi

lain yang relevan dengan kriteria audit dan dapat diverifikasi. Bukti Audit dapat bersifat kualitatif dan kuantitatif.

3. Temuan Audit , yakni hasil dari evaluasi bukti audit yang terkumpul terhadap kriteria audit.

4. Konklusi Audit, yakni hasil audit yang disediakan oleh tim Audit setelah mempertimbangkan bukti Audit dan semua temuan Audit.

5. Program Audit, yakni kumpulan satu audit atau lebih yang direncanakan pada waktu tertentu dan untuk tujuan tertentu.

6. Rencana Audit, yakni penjelasan dari kegiatan dan pengaturan Audit di Lapangan.

7. Lingkup Audit, yakni jangkauan dan batasan Audit.8. Catatan, yakni mencakup penjelasan lokasi, bagian organisasi, kegiatan

dan proses serta lama waktu.

Pengertian COBITMenurut Campbell (2005, p.11) COBIT merupakan suatu cara untuk

menerapkan IT Governance. COBIT berupa kerangka kerja yang harus digunakan oleh suatu organisasi bersamaan dengan sumber daya lainnya untuk membentuk suatu standar yang umum berupa panduan pada lingkungan yang lebih spesifik. Secara terstruktur, COBIT terdiri dari seperangkat control objectives untuk bidang teknologi informasi, dirancang untuk memungkinkan tahapan bagi audit.

COBIT merupakan sekumpulan dokumentasi dan panduan yang mengarahkan pada IT governance yang membantu auditor, manajemen, dan pengguna (user) untuk

4

menjembatani pemisah (gap) antara resiko bisnis, kebutuhan kontrol, dan permasalahan-permasalahan teknis. COBIT dikembangkan oleh IT Governance Institute (ITGI) yang merupakan bagian dari Information Systems Audit and Control Association (ISACA).

Adapun kerangka kerja COBIT secara keseluruhan terdiri atas arahan seperti:- Control objectves: terdiri atas 4 tujuan pengendalian tingkat tinggi yang

tercermin dalam 4 domain.- Audit guidelines: berisi 318 tujuan pengendalian bersifat rinci.- Management guidelines: berisi arahan, baik secara umum dan spesifik

mengenai hal-hal yang menyangkut kebutuhan manajemen.

Dan dalam kerangka kerja COBIT juga memasukkan bagian-bagian seperti:- Maturity Models: untuk menilai tahap maturity IT dalam skala

0 – 5.- Critical Success Factors (CSFs): arahan implementasi bagi

manajemen dalam melakukan pengendalian atas proses IT.- Key Goal Indicators (KGIs): berisi mengenai arahan kinerja

proses-proses IT sehubungan dengan kebutuhan bisnis.- Key Performance Indicators (KPIs): kinerja proses-proses IT

sehubungan dengan sasaran/tujuan proses (process goals).

PEMBAHASANIT Governance

Kerangka Kerja IT GovernanceProses IT Governance dimulai dengan menentukan sasaran untuk IT

perusahaan, menyediakan petunjuk awal. Setelah itu, perulangan berkelanjutan dibentuk; kinerja diukur dan dibandingkan dengan sasaran awal, menghasilkan arahan kembali dari aktivitas yang diperlukan dan perubahan sasaran yang sesuai. Ketika sasaran menjadi tanggung jawab utama dan ukuran kinerja manajemen, itu jelas harus dikembangkan dengan perencanaan yang baik sehingga sasaran dapat terjangkau dan ukuran menggambarkan sasaran dengan tepat.

Gambar 1 Kerangka kerja IT Governance

5

Fokus Area IT Governance

Gambar 2 Fokus Area IT Governance

a.Strategic alignment, dengan fokus pada arah bisnis dan solusi kolaboratif.

b. Value delivery, fokus pada optimisasi biaya dan membuktikan nilai dari IT.

c.Risk management, menunjukkan perlindungan asset IT, penanggulangan bencana, dan operasi kontinuitas.

d. Resource management, optimisasi pengetahuan dan infrastruktur IT.e.Performance measurement, pengecekan pengembangan proyek dan

monitor pelayanan IT.

Proses IT Governance

Gambar 3 Proses IT Governance

IT Governance Model

6

Gambar 4 IT Governance Model Good Governance

Good Governance adalah salah satu unsur yang sangat penting di dalam pelaksanaan eGovernment, disamping SDM, Infrastruktur TIK, dan kepemimpinan. Good Governance pada dasarnya adalah demokrasi dan ekonomi pasar atau bila dikaitkan dengan ideologi sama artinya dengan liberalisme. good governance bisa diartikan sebagai Penyelenggaraan Pemerintah yang baik. Bank Dunia dalam laporannya mengenai “Governance and Development” mengartikan good governance, sebagai pelayanan publik yang efisien, sistem pengadilan yang dapat diandalkan, pemerintahan yang bertanggung-jawab pada publiknya.

Good governane bagi perusahaan atau organisasi pada umumnya diimplementasikan dalam bentuk penguatan transparansi dan akuntabilitas, penguatan regulasi (menyangkut pengaturan, pengawasan yang pruden, manajemen risiko, dan penegakannya), mendorong integritas pasar, memperkuat kerja sama, serta reformasi institusi perusahaan atau organisasi. Sementara itu, definisi governance pada tatanan IT governance menurut Henderi et. All (2008) adalah sebagai suatu kumpulan manajemen, perencanaan dan laporan kinerja, dan tinjauan proses-proses yang berhubungan dengan keputusan yang benar dan tepat, menetapkan kontrol, dan pengukuran kinerja diatas kunci penanam modal, pelayanan operasional, pengiriman dan mengotorisasi perubahan peluang baru atau pemenuhannya sesuai peraturan, hukum dan kebijakan-kebijakan.

Tujuan dan Karakteristik IT Governance dan Good GovernanceUntuk memberikan gambaran bentuk dukungan IT governance

terhadap prinsip dan cara kerja good governance dapat dijelaskan dalam bentuk tabel relasi antara tujuan IT governance, karakteristik dan tujuan good governance.

No Tujuan IT Governance (Henderi, et. All: 2008)

Tujuan dan Karakteristik Utama Good Governance  (Anonim, 2007)

1. Meningkatkan peranan IT terhadap kinerja organisasi dalam mencapai tujuan dan sasarannya

Menciptakan tata kelola atau sistem pengelolaan organisasi (perusahaan, pemerintahan atau organisasi) secara baik

2. Menyelaraskan investasi IT dan prioritas-prioritas bisnis dengan lebih teliti

Partisipatif. Meningkatkan keterlibatan dan peranan masyarakat, mendengarkan keluhan, dan banyak berinteraksi dengan masyarakat

3. Mengelola, mengevaluasi, membuat prioritas, membiayai, mengukur dan mengamati permintaan-permintaan pelayanan IT dan hasil kerja dan memenuhinya, dengan lebih konsisten dan berulang sesuai dengan behavior yang dapat mengoptimalkan keuntungan bisnis.

Rule of law. Penegakan hukum yang adil bagi semua pihak tanpa pengecualian, menjunjung tinggi HAM dan memperhatikan nilai-nilai yang hidup dalam masyarakat

4. Mengelola utilisasi pertanggung jawaban sumber daya dan aset

Keterbukaan. Menjamin penyediaan informasi dan kemudahan di dalam memperoleh informasi yang akurat dan memadai sehingga tercipta kepercayaan timbal-balik antara pemerintah dan masyarakat melalui.

5. Menjamin penyediaan dan Responsif. Meningkatkan kepekaan para

7

penyelesaian IT sesuai dengan perencanaan, pembiayaan dan tanggung jawab

penyelenggara pemerintahan terhadap aspirasi masyarakat tanpa terkecuali

6. Membuat, menetapkan dan menjelaskan keadaan yang diminta untuk dipertanggun-jawabkan dan diputuskan secara benar (mendefinisikan dan mengotorisasi peraturan secara jelas).

Berorientasi konsensus. Mengambil keputusan berdasarkan kesepakatan dan hasil musyawarah bersama

7. Mengelola resiko, tantangan dan kemungkinan secara proaktif

Kesetaraan. Memberi peluang yang sama bagi setiap anggota masyarakat untuk meningkatkan kesejahteraannya

8. Memperbaiki kinerja organisasi IT, memenuhi permohonan, mengembangkan dan mendewasakan staf.

Efektif dan efisien. Menjamin terselenggaranya pelayanan kepada masyarakat dengan menggunakan sumber daya yang tersedia secara optimal dan bertanggungjawab.

9. Memperbaiki pelayanan dan mau mendengarkan pelanggan secara keseluruhan

Akuntabilitas. Meningkatkan akuntabilitas para pengambil keputusan dalam segala bidang yang menyangkut kepentingan masyarakat luas

Tabel 1Relasi Tujuan IT Governance dengan Tujuan dan Karakteristik Good

Governane

Agar dukungan IT governance terhadap good governance dapat terwujud secara optimal, setiap organisasi atau perusahaan hendaknya memperhatikan tiga pilar pokok yang mendukung kemampuannya, yakni: organisasi (manajemen), stakeholder (pemilik modal, customer, pihak yang berkepentingan lainnya) dan masyarat. Dukungan IT governance terhadap good governance  baru dapat dicapai secara baik jika ketiga unsur ini memiliki jaringan dan interaksi yang sinerjik, setara dan bermitra.Interaksi yang bersinerjik akan dapat berkembang bila prinsip dan cara kerja IT governance dan good governance sudah dipahami dan dijalakan dengan baik oleh semua para pemangku kepentingan yang ingin mengotimalkan dukungan IT governance kepada good governance.

Selain memperhatikan tiga pilar pokok pokok pendukung tersebut, organisasi atau perusahaan yang hendak mengoptimlakan dukungan IT governance kepada good governance juga dituntut untuk memperhatikan pilar kritis yang yang mempengaruhi efektivitas IT governance (henderi, et.all, 2008):1. Kepemimpinan, Organisasi dan Keputusan yang Benar

Organisasi atau persusahaan telah mendefinisikan struktur organisasi, peraturan dan pertanggung jawaban keputusan yang benar (pengaruh dan pembuat keputusan), pemberian visi, interface atau itegrasi yang menekankan hal-hal:– Tugas dan tanggung jawab didefinisikan dengan bertanggung jawab dan

sangat baik kepada masing-masing komponen dan proses IT governance, termasuk hirarki pengendalian dan peninjauan untuk otorisasi investasi, resolusi atau pemecahan persoalan dan peninjauan berkalasecararesmi.

– Adanya penjelasan dan interface perjanjian atau kontrak untuk pekerja internal dan eksternal dan dapat dipenuhi.

8

– Pemimpin yang termotivasi dengan agen perubahan yang berbakat dan berkompeten, sikap dan tolak ukur yang kuat.

2. Fleksibelitas dan Skala ProsesModel IT governance ditempatkan, difokuskan dan ditekankan secara keras kepada proses implementasi dan perbaikan:– Pendefinisian proses-proses dengan baik, pendokumentasian,

pengukuran dan perbaikan yang terus-menerus.– Proses mendefinisikan interface antara organisasi-organisasi, dan

menjamin batasan alur kerja dan waktu dengan efektif (organisasi, vendor, geografis dan teknologi).

– Proses-proses sebaiknya bersifat fleksibel, berskala, dan diterapkan secara konsisten dengan pengertian umum.

3. Penerapan TeknologiPengaruh pimpinan terhadap alat bantu dan teknologi yang menjadi pendukung utama komponen IT governance:– Proses-proses yang didukung oleh keperluan-keperluan informasi yang

mendukung betuk-bentuk IT dan komponen-komponennya (seperti: perencanaan dan pendanaan, portopolio investasi manajemen, manajemen proyek, manajemen resiko dan perubahan, manajemen pelayanan dan pemenuhan IT, keuangan, aset dan unjuk kerja manajemen, catatan-catatan, dan lain-lain).

Audit SI Tipe-tipe Audit

1. Adequacy Audit, yakni Menentukan sejauh mana suatu sistem manajemen yang telah terdokumentasi dapat cukup memenuhi persyaratan standard. Dalam hal ini perlu diperhatikan adanya identifikasi dan mencatat area-area mana yang tidak memenuhi standard berdasarkan analisa dokumentasi sehingga perlu pengetahuan mendalam terhadap standard.

2. Compliance Audit, yakni Menentukan sejauh mana suatu sistem manajemen yang telah terdokumentasi diterapkan secara berkesinambungan. Dalam hal ini perlu dicatat adanya perbedaan-perbedaan antara penerapan dengan dokumen berdasarkan sample dari kegiatan dan bukti yang objektif.

Prinsip Audita. Ethical conduct (Etika pelaksanaan) yang merupakan dasar dari jiwa

profesionalismeb. Fair presentation (Penyampain yang adil), merupakan suatu kewajiban

untuk melaporkan secara benar dan akurat.c. Due professional care (Memperhatikan cara kerja yang profesional),

hal ini merupakan penerapan dari kepintaran dan keputusan.d. Independence and objective (tidak memihak).e. Evidence (Bukti), Auditor senantiasa berpikir rasional untuk konklusi

Audit.Sehingga secara umum kegiatan Audit merupakan suatu Learning

Process dan bukan merupakan suatu kegiatan bersifat “penghakiman” yang menggurui.

9

Metodologi Audit IT

Gambar 5 Metodologi Audit Teknologi Informasi

Dalam pelaksanaannya, auditor TI mengumpulkan bukti-bukti yang memadai melalui berbagai teknik termasuk survei, wawancara, observasi dan review dokumentasi (termasuk review source-code bila diperlukan).

Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya mencakup pula bukti elektronis. Biasanya, auditor TI menerapkan teknik audit berbantuan komputer, disebut juga dengan CAAT (Computer Aided Auditing Technique). Teknik ini digunakan untuk menganalisa data, misalnya saja data transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain.

Langkah dasar Audit SI:1. Perencanaan Audit

Tahapan perencanaan, sebagai suatu pendahuluan, mutlak perlu dilakukan agar auditor mengenal benar objek yang akan diperiksa. Di samping, tentunya, auditor dapat memastikan bahwa qualified resources sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktik-praktik terbaik. Tahapan perencanaan ini akan menghasilkan suatu program audit yang dirancang sedemikian rupa, sehingga pelaksanaannya akan berjalan efektif dan efisien, dan dilakukan oleh orang-orang yang kompeten, serta dapat diselesaikan dalam waktu sesuai yang disepakati.

2. Pengetesan KendaliAuditor melakukan pengendalian ketika menilai bahwa risk control berada pada tingkat yang kurang maksimum. Pengendalian dapat digunakan untuk mengurangi biaya pengetesan.

3. Pengetesan TransaksiAuditor melakukan test terhadap transaksi untuk mengevaluasi apakah terdapat kesalahan proses yang tidak biasa terjadi pada transaksi yang mengakibatkan kesalahan pada laporan keuangan.

4. Pengetesan Keseimbangan atau Keseluruhan Hasil

10

Auditor harus mengetahui keamanan dan integritas data sehingga berbagai kerugian yang terjadi dapat diminimalisir.

5. Penyelesaian AuditSesuai dengan standar auditing ISACA (Information Systems Audit and Control Association), selain melakukan pekerjaan lapangan, auditor juga harus menyusun laporan yang mencakup tujuan pemeriksaan, sifat dan kedalaman pemeriksaan yang dilakukan. Laporan ini juga harus menyebutkan organisasi yang diperiksa, pihak pengguna laporan yang dituju dan batasan-batasan distribusi laporan. Laporan juga harus memasukkan temuan, kesimpulan, rekomendasi sebagaimana layaknya laporan audit pada umumnya.

Fungsi dasar dari Internal Audita. Sebagai langkah persiapan (suveillance Audit).b. Untuk mengevaluasi supplier (internal supplier)c. Untuk memastikan kesesuaian antara sistem manajemen dengan

pengaturan yang telah direncanakan dalam realisasi produk.d. Untuk memastikan bahwa Sistem Manajemen Mutu dan Sistem

Manajemen Lingkungan sesuai dengan tuntutan standard dan persyaratn yang dikembangkan oleh organisasi.

e. Untuk menentukan dan menilai keefektifan pelaksanaan atas penerapan Sistem Manajemen Mutu dan Sistem Manajemen Lingkungan.

f. Sebagai suatu media untuk melakukan perbaikan (improvement).g. Sebagai media untuk melakukan penilaian sendiri (self audit) sehingga

akan menimbulkan corretive action dari Auditee.

12 Golden Rules of Auditor1. Never Challenge a person (Tidak menggurui)2. Always present a true and fair view (Selalu menampilkan sebuah sisi

kebenaran dan adil)3. Go fact finding No fault finding (Langsung ke pokok permasalahan

dan tidak bertele-tele)4. Use Systemetics methods (Perpikir sistematis)5. Never lose sight of the product (Selalu “mengejar” suatu

ketidakcocokan dengan standard)6. Find Out the auditee’s interpretation, not yours (Berusaha mencari tahu

pemahaman Auditee bukan pemahaman kita atau Auditor)7. Always be properly prepared (Segala sesuatunya selalu dipersiapkan)8. Always help the Auditee (Selalu membantu Auditee)9. Communicate effectively with Auditee (Menjalin komunikasi yang

seefektif mungkin dengan Auditee)10. Find and address the real cause of problem found11. Always follow up corrective action request (selalu menindaklanjuti

Corrective Action Request).

COBIT (Control Objective for Information and related Technology) COBIT Guidelines

Kerangka kerja COBIT terdiri atas beberapa arahan/pedoman, yakni: 1. Control Objectives

11

Terdiri atas 4 tujuan pengendalian tingkat-tinggi (high-level control objectives) yang tercermin dalam 4 domain, yaitu: planning & organization , acquisition & implementation , delivery & support , dan monitoring.

2. Audit GuidelinesBerisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci (detailed control objectives) untuk membantu para auditor dalam memberikan management assurance dan/atau saran perbaikan.

3. Management GuidelinesBerisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut : a. Sejauh mana Anda (TI) harus bergerak, dan apakah biaya

TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.

b. Apa saja indikator untuk suatu kinerja yang bagus?c. Apa saja faktor atau kondisi yang harus diciptakan agar

dapat mencapai sukses ( critical success factors )? d. Apa saja risiko-risiko yang timbul, apabila kita tidak

mencapai sasaran yang ditentukan?e. Bagaimana dengan perusahaan lainnya – apa yang mereka

lakukan?f. Bagaimana Anda mengukur keberhasilan dan bagaimana

pula membandingkannya.

Gambar 6 Kaitan IT Governance dan COBIT

Pihak Kebutuhan Kontrol COBITa. Direktur dan Eksekutif

Untuk memastikan manajemen mengikuti dan mengimplementasikan strategi searah dengan IT.

b. Manajemen Untuk mengambil keputusan investasi IT. Untuk keseimbangan resiko dan kontrol investasi. Untuk benchmark lingkungan IT sekarang dan masa depan.

c. Users Untuk memperoleh jaminan keamanan dan control produk dan jasa

yang dibutuhkan secara internal maupun eksternal.

12

d. Auditors Untuk memperkuat opini untuk manajemen dalam control

internal. Untuk memberikan saran pada control minimum yang

diperlukan. Prinsip Dasar COBIT

Untuk menyediakan informasi yang dibutuhkan perusahaan untuk mencapai tujuan organisasi.Prinsip dasar COBIT menggambarkan :1. Kebutuhan bisnis2. Orientasi proses3. Sumber daya IT

Gambar 7 Prinsip Dasar COBIT

The COBIT Cube

Gambar 8 The COBIT Cube

Kebutuhan Bisnisa. Efektivitas (Effectiveness), menguraikan informasi yang relevan

dan berhubungan dengan proses bisnis yang disampaikan tepat pada waktunya dengan cara yang benar, konsisten dan tepat digunakan.

b. Efisiensi (Efficiency), menyangkut ketentuan informasi melalui penggunaan sumberdaya yang optimal (lebih produktif dan ekonomis).

13

c. Kerahasiaan (Confidentiality), menyangkut perlindungan informasi yang sensitif dari akses yang tidak sah.

d. Integritas (Integrity), berkaitan dengan keakuratan dan kelengkapan informasi juga keabsahannya yang sesuai dengan harapan (expectation) dan nilai bisnis.

e. Ketersediaan (Availability), berkaitan dengan informasi yang tersedia yang diperlukan oleh proses bisnis saat ini dan yang akan datang, juga menyangkut penjagaan sumberdaya yang perlu dan kemampuan yang terkait.

f. Pemenuhan (Compliance), menguraikan pemenuhan hukum, peraturan dan persetujuan yang bersifat kontrak dimana proses bisnisnya merupakan subyek, yakni kriteria bisnis yang ditentukan dari luar.

g. Keterandalan informasi (Reliability of Information), berkaitan dengan ketentuan informasi yang memadai bagi manajemen untuk menjalankan dan melaksanakan keseluruhan finansialnya dan pemenuhan laporan tanggung jawab.

Sumber Daya ITa. Data, adalah obyek-obyek dalam pengertian yang lebih luas (yakni

internal dan eksternal), terstruktur dan tidak terstruktur, grafik, suara dan sebagainya.

b. Sistem aplikasi, dipahami untuk menyimpulkan atau meringkas, baik prosedur manual maupun yang terprogram.

c. Teknologi, mencakup hardware, sistem operasi, sistem manajemen database, jaringan (networking), multimedia, dan lain- lain.

d. Fasilitas, adalah semua sumberdaya untuk menyimpan dan mendukung system informasi.

e. Manusia termasuk staf ahli, kesadaran dan produktivitas untuk merencanakan, mengorganisasikan atau melaksanakan, memperoleh, menyampaikan, mendukung dan memantau layanan sistem informasi.

Orientasi Proses IT Domains• Plan and

Organise• Acquire and

Implement• Deliver and

Support• Monitor and

Evaluate

IT Processes• IT strategy• Computer operations• Incident handling• Acceptance testing• Change management• Contingency planning• Problem management

Activities• Record new problem• Analyse• Propose solution• Monitor solution• Record known problem• Etc.

Framework COBIT terdiri dari 34 high-level control objective, dimana tiap-tiap IT proses dikelompokkan dalam empat domain utama: 1. Planning and Organization mencakup strategi dan taktik yang menyangkut identifikasi tentang

bagaimana TI dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula.

14

PO1 Define a strategic information technology plan PO2 Define the information architecture PO3 Determine the technological direction PO4 Define the IT organisation and relationships PO5 Manage the investment in information technology PO6 Communicate management aims and direction PO7 Manage human resources PO8 Ensure compliance with external requirements PO9 Assess risks PO10 Manage projects PO11 Manage quality

2. Acquisition and Implementation identifikasi solusi TI dan kemudian diimplementasikan dan

diintegrasikan dalam proses bisnis untuk mewujudkan strategi TI.

AI1 Identify automated solutions AI2 Acquire and maintain application software AI3 Acquire and maintain technology infrastructure AI4 Develop and maintain IT procedures AI5 Install and accredit systems AI6 Manage changes

3. Delivery and Support domain yang berhubungan dengan penyampaian layanan yang

diinginkan, yang terdiri dari operasi pada sistem keamanan dan aspek kesinambungan bisnis sampai dengan pengadaan training.

DS1 Define and manage service levels DS2 Manage third-party services DS3 Manage performance and capacity DS4 Ensure continuous service DS5 Ensure systems security DS6 Identify and allocate costs DS7 Educate and train users DS8 Assist and advise customers DS9 Manage the configuration DS10 Manage problems and incidents DS11 Manage data DS12 Manage facilities DS13 Manage operations

4. Monitoring semua proses TI perlu dinilai secara teratur dan berkala bagaimana

kualitas dan kesesuaiannya dengan kebutuhan kontrol

M1 Monitor the process M2 Assess internal control adequacy M3 Obtain independent assurance

15

M4 Provide for independent audit

PO1 Define a strategic IT planPO2 Define the information architecturePO3 Determine the technological directionPO4 Define the IT organisation and relationshipsPO5 Manage the IT investmentPO6 Communicate management aims and directionPO7 Manage human resourcesPO8 Ensure compliance with external requirementsPO9 Assess risksPO10 Manage projectsPO11 Manage quality

AI1 Identify automated solutionsAI2 Acquire and mantain application softwareAI3 Acquire and maintain technology infrastructureAI4 Develop and maintain IT proceduresAI5 Install and accredit systemsAI6 Manage changes

M1 Monitor the processM2 Assess internal control adequacyM3 Obtain independent assuranceM4 Provide for independent audit

DS1 Define service levelsDS2 Manage third-party servicesDS3 Manage peformance and capacityDS4 Ensure continuous serviceDS5 Ensure systems securityDS6 Identify and attribute costsDS7 Educate and train usersDS8 Assist and advise IT customersDS9 Manage the configurationDS10 Manage problems and incidentsDS11 Manage dataDS12 Manage facilitiesDS13 Manage operations

IT RESOURCES

IT RESOURCES

• Data• Application systems• Technology• Facilities• People

• Data• Application systems• Technology• Facilities• People PLAN AND

ORGANISEPLAN AND ORGANISE

ACQUIRE ANDIMPLEMENT

ACQUIRE ANDIMPLEMENT

DELIVER AND SUPPORT

DELIVER AND SUPPORT

IT RESOURCES

IT RESOURCES

• Data• Application systems• Technology• Facilities• People

• Data• Application systems• Technology• Facilities• People PLAN AND

ORGANISEPLAN AND ORGANISE

ACQUIRE ANDIMPLEMENT

ACQUIRE ANDIMPLEMENT

DELIVER AND SUPPORT

DELIVER AND SUPPORT

• Effectiveness• Efficiency• Confidenciality• Integrity• Availability• Compliance• Reliability

• Effectiveness• Efficiency• Confidenciality• Integrity• Availability• Compliance• Reliability

Criteria• Effectiveness• Efficiency• Confidenciality• Integrity• Availability• Compliance• Reliability

• Effectiveness• Efficiency• Confidenciality• Integrity• Availability• Compliance• Reliability

Criteria

Business Objectives

MONITOR ANDEVALUATE

COBITFramework

Gambar 9 Kerangka COBIT

The COBIT Framework memasukkan juga hal-hal berikut ini: a. Maturity Models – Untuk memetakan status maturity

proses-proses IT (dalam skala 0 - 5) dibandingkan dengan “the best in the class in the Industry” dan juga International best practices

b. Critical Success Factors (CSFs) – Arahan implementasi bagi manajemen agar dapat melakukan kontrol-kontrol atas proses IT dalam perusahaan.

c. Key Goal Indicators (KGIs) – Kinerja proses-proses IT sehubungan dengan business requirements

d. Key Performance Indicators (KPIs) – Kinerja proses-proses IT sehubungan dengan proses pencapaian tujuan.

COBIT dikembangkan sebagai suatu generally applicable and accepted standard for good Information Technology (IT) security and control practices . Istilah “ generally applicable and accepted ” digunakan secara eksplisit dalam pengertian yang sama seperti Generally Accepted Accounting Principles (GAAP).

Sedang, COBIT's “good practices” mencerminkan konsensus antar para ahli di seluruh dunia. COBIT dapat digunakan sebagai IT Governance tools, dan juga membantu perusahaan mengoptimalkan investasi IT mereka.

16

Hal penting lainnya, COBIT dapat juga dijadikan sebagai acuan atau referensi apabila terjadi suatu kesimpang-siuran dalam penerapan teknologi.

Suatu perencanaan Audit Sistem Informasi berbasis teknologi (audit IT) oleh Internal Auditor, dapat dimulai dengan menentukan area-area yang relevan dan berisiko paling tinggi, melalui analisa atas ke-34 proses tersebut. Sementara untuk kebutuhan penugasan tertentu, misalnya audit atas proyek IT, dapat dimulai dengan memilih proses yang relevan dari proses-proses tersebut.

Lebih lanjut, auditor dapat menggunakan Audit Guidelines dengan menerapkan seluruh domain yang terdapat dalam COBIT, yakni planning-organization (PO), acquisition-implementation (AI), Delivery-support (DS) dan Monitoring (M) untuk merancang prosedur audit.

Singkatnya, COBIT khususnya guidelines dapat dimodifikasi dengan mudah, sesuai dengan industri, kondisi IT di Perusahaan atau organisasi Anda, atau objek khusus di lingkungan IT. Selain dapat digunakan oleh Auditor, COBIT dapat juga digunakan oleh manajemen sebagai jembatan antara risiko-risiko IT dengan pengendalian yang dibutuhkan (IT risk management) dan juga referensi utama yang sangat membantu dalam penerapan IT Governance di perusahaan.

PENUTUPSaran

Manajemen bertanggung jawab untuk kontrol IT. Tanggung jawab itu perlu suatu kerangka: Kebutuhan bisnis dapat dinyatakan sebagai kriteria informasi, IT biasanya diorganisir dalam seperangkat proses, dan IT memerlukan sejumlah sumber daya

KesimpulanUntuk audit sistem informasi dapat dilakukan dengan menggunakan

framework COBIT yang merupakan salah satu alat (tool) yang disiapkan untuk mengatur teknologi informasi (IT Governance tool) sehingga memungkinkan perusahaan untuk memperoleh keunggulan penuh terhadap informasi, keuntungan yang maksimal, modal, peluang dan keunggulan kompetitif dalam bersaing. Dimana COBIT memungkinkan auditor mereview proses khusus TI terhadap tujuan pengendalian yang direkomendasikan, untuk membantu menjamin menajemen terhadap pengendalian yang memadai, atau memberi saran kepada manajemen apakah proses perlu ditingkatkan.

DAFTAR PUSTAKAAlter, Steven. 1999. Information System : A managerial perspective, 3rd edition.

Addison. Wesley. USACampbell, Phillip L. 2005. A COBIT Primer. USA: Sandia Nationalhttp://elrond.tud.ttu.ee/material/leis/Strateegiline%20juhtimine2006/6-1.COBIT.pdfhttp://id.wikipedia.orghttp://henderi.blogster.com/it-governance-support-for-good-governancehttp://solikinws.files.wordpress.com/2008/05/orasi-ilmiah-amik-pertiwi-skm-2004.pdfhttp://yys.atmajaya.ac.id:8080/news/?p=240http://www.ebizzasia.comhttp://www.itgi.orghttp://www.scribd.com/doc/7506495/Cobit-Executive-Summary

17

Mathiassen, Lars, Munk-Madsen, Andreas, Nielsen, Peter A & Stage, Jan. (2000). Object Oriented Analysis & Design. Edisi ke-1. Marko Publishing Aps, Denmark.

McLeod Jr,R.1996. Sistem Informasi Manajemen, Jilid 1, edisi Bahasa Indonesia. Terjemahan Teguh,H. Prenhallindo, Jakarta.

O’Brien, J.A. 2002. Introduction To Information System: Essential For The E-Business Enterprise, 11th edition. McGraw Hill, New York.

Weber, Ron. 1999. Information System Control and Audit. Prentice-Hall, Inc. New Jersey

LAMPIRAN – LAMPIRAN

Lampiran 1 IT Governance Focus Areas

Lampiran 2 COBIT Content Diagram

18

Lampiran 3 Interrelationships of COBIT Components

Lampiran 4 Boundaries of Business, General and Application Controls

19

Lampiran 5 Relationship Amongst Process, Goals, and Metrics (DS5)

Lampiran 6 COBIT Management, Control, Alignment and Monitoring

Lampiran 7 COBIT Framework and IT Governance Focus Areas

20

Lampiran 8 COBIT Navigation

21

DAFTAR RIWAYAT HIDUP

Nama : HendraTempat, Tanggal Lahir : Pekanbaru, 19 September 1987Jenis Kelamin : Laki-LakiAlamat : Jl. U3 No. 64, Kemanggisan

Jakarta Barat 11480Kewarganegaraan : IndonesiaNo. Telepon : 081932979767Email : Chen_sinciang@yahoo.co.id

Riwayat Pendidikan :1. Graduated from Santa Maria High School, Pekanbaru, Science Class. (2005)

2. Bina Nusantara University, majoring in Information System and Management.

(2005 – sekarang)

Pengalaman Kerja : 2005 – Sekarang Staff Internet Service Provider (Sepakat Net)2008 Operator Warnet

22