INFORMATION SYSTEMS GOVERNANCE

TUGAS KELOMPOK

Mata Kuliah: EDP Auditing (Audit Sistem Informasi)

Dosen: Fitri Yani Jalil S.E., M.Sc.

Disusun oleh:

Dwi Hirlana Desi (1111082000041)

Rista Wahyuni (1111082000124)

Muhammad Rizky Fauzi (1111082000126)

JURUSAN AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH

JAKARTA

2014

PENDAHULUAN

Pemenuhan kebutuhan akan sistem informasi bagi semua

jenis organisasi menyebabkan perkembangan sistem informasi

yang begitu pesat. Penerapan teknologi informasi pada proses

bisnis suatu perusahaan dipandang sebagai suatu solusi yang

nantinya dapat meningkatkan kemampuan perusahaan di dalam

persaingan. Hal ini menyebabkan pentingnya peningkatan peran

teknologi informasi agar selaras dengan investasi yang telah

dikeluarkan, sehingga dibutuhkan perencanaan yang matang serta

implementasi yang optimal. Teknologi informasi adalah suatu

aset yang sangat berharga dalam suatu perusahaan, di mana

peranan teknologi informasi (TI) telah mampu mengubah pola

pekerjaan, kinerja karyawan bahkan sistem manajemen dalam

mengelola sebuah organisasi. Teknologi informasi bisa memiliki

peranan penting menggantikan peran manusia secara otomatis

terhadap suatu siklus sistem mulai dari input, proses dan

output di dalam melaksanakan aktivitas pekerjaan serta telah

menjadi fasilitator utama bagi kegiatan-kegiatan bisnis yang

memberikan andil besar terhadap perkembangan organisasi.

Peranan sistem informasi yang signifikan ini tentu harus

diimbangi dengan pengaturan dan pengelolaan yang tepat,

sehingga kerugian-kerugian yang mungkin terjadi dapat

dihindari. Kerugian yang dimaksud dapat timbul dari masalah-

masalah seperti adanya kasus kehilangan data, kebocoran data,

informasi yang tersedia tidak akurat yang disebabkan oleh

pemrosesan data yang salah sehingga intergritas data tidak

dapat dipertahankan, penyalahgunaan komputer serta pengadaan

investasi Teknologi Informasi (TI) yang bernilai tinggi namun

tidak diimbangi dengan pengembalian yang sesuai. Hal-hal

tersebut tentunya sangat mempengaruhi pengambilan keputusan,

termasuk mempengaruhi efektifitas dan efisiensi didalam

pencapaian tujuan dan strategi organisasi.

Sehingga memunculkan kesadaran bahwa tanggung jawab

pengelolaan TI tidak bisa sepenuhnya diserahkan ke

unit/bagian/divisi yang hanya khusus menangani TI secara

teknikal (IT Function) sebagaimana pendekatan manajemen

konvensional, melainkan juga harus menjadi tanggung jawab

berbagai pihak manajemen dalam suatu organisasi. Hal inilah

yang kemudian melahirkan konsep dan paradigma baru dalam

mengelola Teknologi Informasi yang disebut dengan IT Governance

(Tata Kelola Teknologi Informasi).

IT Governance merupakan suatu komitmen, kesadaran dan

proses pengendalian manajemen organisasi terhadap sumber daya

TI/sistem informasi yang dibeli dengan harga mahal tersebut,

yang mencakup mulai dari sumber daya komputer (software,

brainware, database dan sebagainya) hingga ke Teknologi

Informasi dan Jaringan LAN/Internet. Penelitian IT Governance

Institute (ITGI) menunjukkan bahwa TI telah bergeser dari isu

teknologi menjadi isu manajemen dan pengelolaan. TI harus

dikelola selayaknya aset perusahaan lainnya. Penerapan TI di

perusahaan akan dapat dilakukan dengan baik apabila ditunjang

dengan suatu pengelolaan TI (IT Governance) dari mulai

perencanaan sampai implementasinya.

A. Pengertian IT Governance

Governance merupakan turunan dari kata government, yang

artinya membuat kebijakan (policies) yang sejalan/selaras dengan

keinginan/aspirasi masyarakat atau kontituen. Sedangkan

penggunaan pengertian “governance” terhadap Teknologi

Informasi (IT Governance) maksudnya adalah, penerapan

kebijakan TI di dalam organisasi agar pemakaian TI (berikut

pengadaan dan pelayanannya) diarahkan sesuai dengan tujuan

organisasi tersebut.

Standar COBIT dari lembaga ISACA di Amerika Serikat

mendefinisikan IT Governance as a “structure of relationships and

processes to direct and control the enterprise in order to achieve the entreprise’s

goals by value while balancing risk versus return over IT and its processes” yang

artinya adalah sebuah struktur dari hubungan relasi dan proses

untuk mengarahkan dan mengendalikan suatu perusahaan dalam

mencapai tujuan dengan memberikan nilai tambah ketika

menyeimbangkan resiko dengan menyesuaikan TI dan proses bisnis

perusahaan.

Tata kelola TI merupakan tanggungjawab pimpinan direktur

dan manajemen eksekutif. Merupakan bagian integral tata kelola

perusahaan dan terdiri dari kepemimpinan dan struktur

organisasi serta proses-proses yang menjamin bahwa organisasi

TI dapat mendukung dan memperluas sasaran serta strategi

organisasi.

Menurut Weill & Ross (2004) tata kelola TI terdiri dari 5

komponen utama, yaitu : 

IT Principles, merupakan suatu pernyataan top level

manajemen tentang bagaimana TI digunakan dalam bisnis

organisasi. Menjelaskan pernyataan-pernyataan eksekutif

tentang bagaimana teknologi informasi dapat digunakan

organisasi dan ke mana arah TI akan dijalankan, prinsip

TI menjadi bagian penting dari manajemen organisasi, yang

terus didiskusikan dan dilaksanakan demi perbaikan

organisasi, baik di sektor pemasaran, keuangan, pabrik

dan lain-lain. 

IT Architecture, mendefinisikan integrasi dan

standardisasi dalam sistem. Arsitektur TI adalah

pengorganisasian logika dari data, aplikasi dan

infrastruktur yang dikemas dalam suatu kebijakan,

hubungan dan pemilihan teknologi untuk mendapatkan

integrasi dan standardisasi teknis dan bisnis yang

diharapkan. Selain itu teknologi sebagai pendukung bisnis

organisasi yang telah dikembangkan melalui IT principle,

selanjutnya memerlukan proses standardisasi dan integrasi

di dalam suatu organisasi. Dalam banyak kasus di

Indonesia saat ini banyak persoalan masalah integrasi dan

koordinasi, kepentingan sektoral masih menjadi problem,

sehingga sering gagalnya proyek IT di perusahaan yang

menghabiskan banyak biaya. 

IT Infrastructure, menentukan layanan yang digunakan

bersama (shared services). Prasarana dan sarana teknologi

informasi yang menyangkut jaringan, komputer, perangkat

keras dan lunak lainnya adalah suatu kumpulan komponen

yang diharapkan bisa mempercepat proses perhitungan,

pengiriman dalam berbagai media informasi (data,

informasi, gambar, video, teks) dalam waktu yang singkat

dan proses penyimpanan yang efektif. Suatu sarana yang

bisa dikontrol dari pusat kekuasaan dan yang dipakai

bersama menjadi hal yang penting. Perencanaan kapasitas,

baik di penyimpanan, pengiriman maupun pelayanan menjadi

penting. Tanpa ada perencanaan yang baik, maka akan

menyebabkan buruknya image dan kinerja TI di perusahaan.

Business Application Needs, menentukan pemenuhan

kebutuhan aplikasi bisnis dengan membangun aplikasi

bisnis yang perlu diadakan atau dikembangkan oleh TI.

Dalam pengembangan teknologi informasi keperluan bisnis

yang spesifik sehingga kehadiran teknologi informasi

memberikan suatu nilai baru bagi organisasi. Dua hal

penting dalam identifikasi keperluan bisnis yang terkait

dengan teknologi informasi yaitu kreatifitas dan

disiplin. Kreativitas diperlukan untuk mengidentifikasi

suatu cara atau proses baru dari perusahaan/organisasi

sehingga ada nilai yang bermakna. Sedangkan disiplin

menyangkut hal yang berkaitan dengan integritas

arsitektur sehingga meyakinkan bahwa aplikasi yang

dibangun memang sesuai dengan arsitektur perusahan yang

terintegrasi. 

IT Investment and Prioritization, seringkali ditulis

dengan IT Investment saja, ini adalah keputusan-keputusan

yang terkait dengan inisiatif mana yang perlu

diprioritaskan dan berapa banyak yang perlu dikeluarkan.

Investasi teknologi informasi sering menjadi bahan yang

sulit dimengerti oleh top manajemen dari suatu

organisasi, hal ini di karenakan nilai yang ada tidak

langsung terasa oleh organisasi.

B. Urgensi Tata Kelola TI

Tata kelola TI berfokus secara spesifik pada sistem

teknologi informasi, performansi dan manajemen resikonya.

Tujuan utama dari tata kelola TI adalah memastikan bahwa

investasi dalam teknologi informasi memberikan nilai bisnis,

dan untuk mengurangi resiko yang berkaitan dengan TI. Hal

ini dapat dilakukan dengan mengimplementasikan struktur

organisasional dengan peran-peran yang terdefinisi dengan

baik untuk tanggung jawab terhadap informasi, bisnis proses,

aplikasi dan infrastruktur.

Tata kelola TI bertujuan untuk memaksimalkan potensi

sumber daya yang ada, dan menghindari tumpang tindih alokasi

waktu, biaya dan sumber daya manusia, serta mengurangi

risiko dalam pengembangan TI sehingga menjamin investasi TI

dapat menghasilkan hasil yang maksimal. Teknologi informasi

juga merupakan sumber daya bisnis yang harus dikelola dengan

baik dan benar. Teknologi informasi telah terbukti

memberikan kontribusi dan peranan penting pada keberhasilan

atau kegagalan usaha bisnis strategi perusahaan. Oleh karena

itu, pengelolaan teknologi informasi sangatlah penting untuk

dilakukan.

Di lingkungan yang sudah memanfaatkan Teknologi

Informasi (TI), tata kelola TI menjadi hal penting yang

harus diperhatikan. Hal ini dikarenakan ekspektasi dan

realitas seringkali tidak sesuai. Pihak shareholder perusahaan

selalu berharap agar perusahaan dapat :

1. Memberikan solusi TI dengan kualitas yang bagus, tepat

waktu, dan sesuai dengan anggaran.

2. Menguasai dan menggunakan TI untuk mendatangkan

keuntungan.

3. Menerapkan TI untuk meningkatkan efisiensi dan

produktifitas sambil menangani risiko TI.

Dalam sebuah IT governance terdapat beberapa pemangku

kepentingan. Dibawah ini dapat kita lihat pemangku

kepentingan dan peranan-peranannya:

Board and Executive

Menentukan arah pada TI, memantau hasil dan

memastikan ketepatan implementasi

Business management

Menguraikan kebutuhan-kebutuhan bisnis untuk TI dan

memastikan nilai-nilai tersebut dikirimkan dan

resiko terkelola.

IT management

Memberikan dan meningkatkan pelayanan TI seperti

yang dibutuhkan pada bisnis.

IT audit

Menyediakan kepastian yang independen untuk

mendemonstrasikan bahwa TI menyediakan apa yang

diperlukan.

Risk and compliance

Mengukur kepatuhan pada aturan-aturan dan focus pada

resiko yang mungkin muncul.

Kelima pemangku IT governance diatas haruslah saling

bekerja sama dan berkontribusi dalam mengontrol dan

mengendalikan implementasi dari TI. Jadi IT governance

memiliki 2 tujuan yang berkaitan yakni:

1. Conformance objective ( penyesuaian) – berfokus pada

“corporate governance”

IT berfungsi sebagai pengiriman dan pelaporan data, dalam

hal ini IT harus dapat memastikan:

Integritas informasi

Ketepatan waktu untuk mempercepat pengambilan

keputusan

Menyediakan laporan untuk keperluan pimpinan

Mengotomatisasi penangkapan data.

2. Performance objective - berfokus pada “bisnis

governance”

IT value delivery

Strategic Alignment of IT

IT resource management

IT risk management

IT performance management

C. Pengabaian Tata Kelola TI

Tata kelola TI yang dilakukan secara tidak efektif akan

menjadi awal terjadinya pengalaman buruk yang dihadapi

perusahaan, yang memicu munculnya fenomena investasi TI yang

tidak diharapkan, seperti:

1. Kerugian bisnis, berkurangnya reputasi, dan melemahnya

posisi kompetisi.

2. Tenggang waktu yang terlampaui, biaya lebih tinggi dari

yang di perkirakan, dan kualitas lebih rendah dari yang

telah diantisipasi.

3. Efisiensi dan proses inti perusahaan terpengaruh secara

negatif oleh rendahnya kualitas penggunaan TI.

4. Kegagalan dari inisiatif TI untuk melahirkan inovasi atau

memberikan keuntungan yang dijanjikan.

D. Manfaat Tata Kelola TI dan Fokus Utama Tata Kelola TI

Menurut ITGI (IT Governance Institute), tata kelola TI

pada dasarnya berfokus pada dua hal yaitu bagaimana TI

memberikan nilai tambah bagi bisnis dan penanganan risiko

pada implementasi TI. Tujuan tata kelola TI menurut ITGI

adalah mengarahkan investasi TI untuk menjamin performa TI

memenuhi tujuan-tujuan berikut:   

Kesesuaian TI dengan organisasi dan realisasi

keuntungan yang dijanjikan

Penggunan TI memungkinkan organisasi memaksimalkan

manfaat dan memperbesar peluang

Pertanggungjawaban dalam penggunanan sumber daya TI

Manajemen yang sesuai dengan risiko-risiko yang

berkaitan dengan TI.

Berdasarkan “Board Briefing on IT Governance” (ITGI, 2003),

tata kelola TI memperhatikan dua hal yaitu nilai tambah TI

bagi bisnis dan mitigasi risiko TI. Nilai TI didorong oleh

penyelarasan strategis TI dan bisnis, sedangkan mitigasi

risiko didorong oleh tanggung jawab kepada organisasi.

Keduanya membutuhkan dukungan dari sumberdaya yang cukup dan

dapat diukur untuk menjamin bahwa hasil yang diharapkan

terpenuhi. Hal ini mengarah pada lima area utama untuk tata

kelola TI yang didorong oleh nilai yang diberikan kepada 

stakeholder (stakeholder value drivers). Dua diantara area

tersebut merupakan hasil, yaitu pengiriman nilai (value

delivery) dan manajemen risiko (risk management). Tiga area

lainnya merupakan pendorong, yaitu keselarasan strategis

(strategic alignment), manajemen sumberdaya (resource

management), dan pengukuran performa (performance

measurement). Moller (2008) Adapun fokus utama dari area

Tata Kelola TI (IT Governance) yakni:

1. Penyelarasan Strategis (Strategic Alignment)

Memfokuskan kepastian terhadap keterkaitan antara

strategi bisnis dan TI serta penyelarasan antara

operasional TI dengan bisnis.

2. Penyampaian Nilai (Value Delivery)

Mencakup hal-hal yang terkait dengan penyampaian nilai

yang memastikan bahwa TI memenuhi manfaat yang dijanjikan

dengan memfokuskan pada pengoptimalan biaya dan

pembuktian nilai hakiki akan keberadaan TI.

3. Pengelolaan Sumber Daya (Resource Management)

Berkaitan dengan pengoptimalan investasi yang dilakukan

dan pengelolaan secara tepat dari sumber daya TI yang

kritis mencakup: aplikasi, informasi, infrastruktur dan

Sumber Daya Manusia (SDM). Isu kunci area ini berhubungan

dengan pengoptimalan pengetahuan dan infrastruktur

4. Pengelolaan Resiko (Risk Management)

Membutuhkan kepekaan akan resiko oleh manajemen senior,

pemahaman yang jelas akan perhatian perusahaan terhadap

keberadaan resiko, pemahaman kebutuhan akan kepatutan,

transparansi akan resiko yang signifikan terhadap proses

bisnis perusahaan dan tanggung jawab pengelolaan resiko

ke dalam organisasi itu sendiri.

5. Pengukuran Kinerja (Performance Measurement)

Penelusuran dan pengawasan implementasi dari strategi,

pemenuhan proyek yang berjalan, penggunaan sumber daya,

kinerja proses dan penyampaian layanan dengan menggunakan

kerangka kerja seperti Balanced Scorecard yang

menerjemahkan strategi ke dalam tindakan untuk mencapai

tujuan terukur dibandingkan dengan akuntansi

konvensional.

Hubungan kelima area ini dapat dilihat pada gambar berikut

ini. 

Dari gambar di atas dapat disimpulkan bahwa dalam

pelaksanaan tata kelola TI pada suatu organisasi digerakkan

oleh pemberian nilai tambah bagi stakeholder. Untuk

memberikan nilai tambah ini dilakukan penyelarasan strategis

dan penentuan solusi-solusi yang kolaboratif antara TI dan

bisnis. Dari proses tersebut ditentukan nilai tambah TI yang

kemudian dilakukan pengoptimalan pengeluaran dan pembuktian

nilai tambah TI tersebut bagi bisnis. Pemberian nilai tambah

ini membutuhkan manajemen resiko yang bertujuan untuk

penyelamatan aset TI, pemulihan dari bencana dan

keberlangsungan operasi TI. Selanjutnya dibutuhkan manajemen

sumberdaya untuk mengoptimalkan pengetahuan (knowledge) dan

infrastruktur TI. Keseluruhan area ini dapat dikelola dengan

tepat melalui pengukuran performa dengan penelusuran

penyelesaian proyek dan memonitor layanan TI.

Perencanaan Strategi Sistem Informasi

1. Definisi Perencanaan Strategi Sistem Informasi

1.      Definisi menurut para ahli

Martin (1990, p467) : Perencanaan Strategi

SI/TI  merupakan  periode pada daur hidup system ketika

sebuah arsitektur informasi , arsitektur system bisnis,

dan arsitektur teknikal pertama kali dibuat dan ketika

sekumpulan system bisnis yang konsisten dan terintegrasi

akan dikembangkan.

Martin (1990, p102) : Perencanaan Strategi

SI/TI  merupakan salah satu langkah dalam information

engineering yang berhubungan dengan sasaran dan target

bisnis serta bagaimana teknologi dapat dihunakan untuk

menuciptakan kesempatan baru atau keuntungan kompetitif.

Ward and Griffiths (1996) : pendekatan sistematis untuk

menentukan mana yang paling efektif dan efisien berkaitan

dengan kepuasan pemenuhan kebutuhan informasi.

Ward and Peppard (2002) : Perencanaan strategis SI/TI

merupakan proses identifikasiportfolio aplikasi SI berbasis

komputer yang akan mendukung organisasi dalam pelaksanaan

rencana bisnis dan merealisasikan tujuan bisnisnya.

Perencanaan strategis SI/TI mempelajari pengaruh SI/TI

terhadap kinerja bisnis dan kontribusi bagi organisasi dalam

memilih langkah-langkah strategis. Selain itu, perencanaan

strategis SI/TI juga menjelaskan berbagai alat, teknik, dan

kerangka kerja bagi manajemen untuk menyelaraskan strategi

SI/TI dengan strategi bisnis, bahkan mencari kesempatan baru

melalui penerapan teknologi yang inovatif.

2. Definisi secara umum

Berdasarkan definisi – definisi yang ada, maka dapat

disimpulkan definisi dari perencanaan strategi sistem

informasi dan teknologi informasi adalah suatu proses analisis

secara menyeluruh dan sistematis dalam merumuskan tujuan dan

sasaran perusahaan, serta menentukan strategi yang

memanfaatkan kelebihan dari sistem informasi dan dukungan

teknologi informasi dalam menunjang strategi bisnis dan

memberikan keunggulan kepada perusahaan dalam bersaing.

B. Alasan Penggunaan Perencanaan Strategi Sistem Informasi

Ward dan Peppard (2002, p47) menyatakan beberapa alasan

yang menyebabkan perlunya bagi suatu perusahaan untuk memiliki

suatu strategi system informasi atau teknologi informasi :

1) Adanya investasi untuk pengadaan SI/TI yang tidak

mendukung sasaran bisnis suatu organisasi.

2) SI/TI yang ada tidak terkontrol

3) Sistem tidak teintegrasi sehingga data bersifat tersebar

sehingga sangat mungkin terjadi kerangkapan data dan

hilangnya keterkaitan antar sumber daya informasi.

4) Organisasi tidak memiliki skala prioritas dalam

mengembangkan proyek SI/TI, sehingga sangat sering

terjadi perubahan yang akhirnya menurunkan produktivitas

organisasi.

5) Manajemen informasi yang buruk dan tidak akurat.

6) Strategi SI/TI tidak sejalan dengan strategi bisnis

organisasi

7) Proyek SI/TI hanya dievaluasi untuk kepentingan keuangan

semata.

C. Model Perencanaan Strategi Sistem Informasi

Model kerangka kerja dan perencanaan strategis system dan

teknologi informas dapat dilihat pada gambar diatas , dan

lebih jelasnya adalah sebagai berikut :

Input, sebagai masukan dalam perencanaan strategis system

dan teknologi informasi terdiri atas:

a) Lingkungan bisnis internal organisasi

Merupakan strategi bisnis yang digunakan pada masa

sekarang, tujuan, sumber daya, proses dan budaya organisasi

serta nilai dari bisnis itu sendiri.

b) Lingkungan bisnis eksternal organisasi

Pada tahap ini dilakuakan analisis faktor-faktor di luar

organisasi yang mempengaruhi kinerja organisasi, yang mencakup

aspek-aspek ekonomi, industri, dan iklim bersaing perusahaan.

c) Lingkungan Internal SI/TI

Pada tahap ini akan dilakukan analisis yang mencakup

kondisi SI/TI organisasi dari perpektif bisnis saat ini

bagaimana kematangannya (maturity), bagaimana kontribusi

terhadap bisnis, keterampilan sumber daya manusia, sumber daya

dan infrastruktur teknologi, termasuk juga bagaimana

portofolio dari SI/TI yang ada saat ini.

d) Lingkungan Eksternal SI/TI

Pada tahap ini dilakukan analisis kondisi teknologi SI/TI

yang berkembang saat ini yang mencakup tren teknologi dan

peluang pemanfaatannya, serta penggunaan SI/TI oleh

kompetitor, pelanggan dan pemasok. Dari hasil ini akan

diperoleh peluang teknologi SI/TI yang dapat digunakan dalam

mendukung strategi organisasi.

Proses Perencanaan strategi SI/TI, proses dimana informasi

yang diperoleh, serta hasil analisis yang diperoleh dari

inputs, akan diolah untuk menghasilkan outputs:

Outputs, merupakan hasil dari proses yang mencakup :

A. Strategi bisnis SI, yang mencakup bagaimana setiap

unit/fungsi bisnis organisasi akan memanfaatkan SI/TI

untuk mencapai sasaran bisnisnya, portofolio aplikasi dan

gambaran arsitektur informasinya.

B. Strategi TI, yang mencakup kebijakan dan strategi bagi

pengelolaan teknologi dan sumber daya manusia SI/TI.

C. Strategi manajemen SI/TI, yang mencakup elemen-elemen umum

yang diterapkan melalui organisasi untuk memastikan

konsistensi penerapan kebijakan SI/TI yang dibutuhkan.

Future Application Portfolio, rincian yang menjelaskan usulan

aplikasi yang akan digunakan perusahaan dalam waktu kedepan,

untuk mengintegrasikan setiap unit dari perusahaan dan

menyesuaikan perkembangan teknologi dengan perkembangan

perusahaan.

Current Application Portfolio, rincian mengenai aplikasi system

informasi yang diterapkan perusahaan saat ini, dengan

melihat keuntungan dan kekuatan yang diperoleh dengan

menggunakan aplikasi tersebut serta melihat dukungan

aplikasi yang ada terhadap kegiatan operasional dan

perencanaan strategi sistem dan teknologi.

D. Teknik Analisis Perencanaan Strategi Sistem Informasi

Berdasarkan framework yang dikemukakan oleh Ward dan

Peppard (2002) teknik-teknik analisis yang digunakan dalam

perencanaan strategi SI/TI diantaranya adalah:

1. Analisis Lingkungan Internal Bisnis

Analisis lingkungan internal bisnis dari sebuah perusahaan

digunakan untuk mengetahui strategi bisnis perusahaan pada

saat ini, misi, dan visi perusahaan, aktivitas dan proses

bisnis perusahaan, sumber daya yang dimiliki dan informasi

yang dibutuhkan perusahaan. Adapun teknik – teknik analisis

yang digunakan dalam memahami kondisi situasi pada

lingkungan internal bisnis diantaranya adalah :

a) Analisis Value Chain

Analisis rantai nilai (value chain) adalah kegiatan

menganalisis kumpulan aktivitas yang dilakukan untuk

merancang, memproduksi, memasarkan, mengantarkan dan

mendukung produk atau jasa, dibedakan menjadi dua yaitu

aktivitas utama (primary activities) pada perusahaan yang

pada akhirnya memberikan kepuasan pada pelanggan. Aktivitas-

aktivitas tersebut tidak hanya dilakukan dengan baik, tapi

juga harus  saling berhubungan dengan efektif  jika

keseluruhan performa bisnis hendak dioptimalkan.

Aktivitas utama (Primary Activities) terdiri dari logistik

dalam, operasi, logistik keluar, pemasaran, dan pelayanan.

Kedua adalah aktivitas pendukung (Support Activities) yang

mendukung aktiviatas utama yang terdiri dari berbagai

fungsi, yaitu kelengkapan infrastruktur, manajemen SDM,

pengadaan barang, dan pengembangan teknologi.

b) Analisis SWOT

SWOT adalah singkatan yg diambil dari huruf depan kata

Strength, Weakness, Opportunity dan Threat, yg dalam bahasa

Indonesia mudahnya diartikan sebagai Kekuatan, Kelemahan,

Peluang dan Ancaman. Analisa SWOT berguna untuk menganalisa

faktor-faktor di dalam organisasi yang memberikan andil

terhadap kualitas pelayanan atau salah satu komponennya

sambil mempertimbangkan faktor-faktor eksternal.

Metode analisa SWOT bisa dianggap sebagai metode analisa

yang paling dasar, yang berguna untuk melihat suatu topik

atau permasalahan dari 4 sisi yang berbeda. Hasil analisa

biasanya adalah arahan atau rekomendasi untuk mempertahankan

kekuatan dan menambah keuntungan dari peluang yang ada,

sambil mengurangi kekurangan dan menghindari ancaman.

Analsis SWOT dapat dibagikan dalam lima langkah:

o Menyiapkan sesi SWOT.

o Mengidentifikasi kekuatan dan kelemahan.

o Mengidentifikasi kesempatan dan ancaman.

o Melakukan ranking terhadap kekuatan dan kelemahan.

o Menganalisis kekuatan dan kelemahan.

c) Analisis Critical Succes Factor (CSF)

Analisa CSF merupakan suatu ketentuan dari organisasi dan

lingkungannya yang berpengaruh pada keberhasilan atau

kegagalan. CSF dapat ditentukan jika objektif organisasi

telah diidentifikasi. Tujuan dari CSF adalah

menginterpretasikan objektif secara lebih jelas untuk

menentukan aktivitas yang harus dilakukan dan informasi apa

yang dibutuhkan.

Peranan CSF dalam perencanaan strategis adalah sebagai

penghubung antara strategi bisnis organisasi dengan strategi

SI-nya, memfokuskan proses perencanaan strategis SI pada

area yang strategis, memprioritaskan usulan aplikasi SI dan

mengevaluasi strategi SI.

Manfaat dari analisis CSF menurut Ward dan Peppard (2002,

p209) adalah sebagai berikut :

o Analisis CSF merupakan teknik yang paling efektif dalam

melibatkan manajemen senior dalam mengembangkan strategi

sistem informasi. Karena CSF secara keseluruhan telah

berakar pada bisnis dan memberikan komitmen bagi

manajemen puncak dalam menggunakan sistem informasi,

yang diselaraskan dengan pencapaian tujuan perusahaan

melalui area bisnis yang kritis.

o Analisis CSF menghubungkan proyek SI yang akan

diimplementasikan dengan tujuannya, dengan demikian

sistem informasi nantinya akan dapat direalisasikan agar

sejalan dengan strategi bisnis perusahaan.

o Dalam wawancara dengan manajemen senior, analisis CSF

dapat menjadi perantara yang baik dalam mengetahui

informasi apa yang diperlukan oleh setiap individu.

o Dengan menyediakan suatu hubungan antara dengan

kebutuhan informasi, analisis CSF memegang peranan

penting dalam memprioritaskan investasi modal yang

potensial.

o Analisis CSF sangat berguna dalam perencanaan sistem

informasi pada saat strategi bisnis tidak berjalan

sesuai dengan tujuan perusahaan, dengan memfokuskan pada

masalah – masalah tertentu yang paling kritis.

o Analisis CSF sangat berguna apabila digunakan sejalan

dengan analisis value chain dalam mengidentifikasi

proses yang paling kritis, serta memberikan fokus pada

pencapaian tujuan melalui kegiatan – kegiatan yang

paling tepat untuk dilaksanakan.

d) Key Performance Indicator (KPI)

Menurut Tozer (1996, p141), Key Performace Indicator

merupakan sebuah komposisi yang diperoleh dari beberapa

ukuran dimana bersifat tidak tetap dan bisa berubah. KPI

juga merupakan suatu indikator yang membantu dalam menilai :

o Untuk kerja dari sebuah fungsi.

o Tingkat keberhasilan dalam meraih sasaran atau tujuan.

o Perilaku CSF

    Hal–hal yang perlu diperhatikan dalam menentukan KPI

antara lain :

o Mengeidentifikasi kebutuhan yang telah dibuat.

o Menyelidiki karakter lingkungan pengambilan keputusan.

o Menilai jangkauan informasi yang dibutuhkan.

o Menyelidiki proses pengambilan keputusan.

o Mengarahkan sensitifitas analisis akibat pengaruh dari

penundaan waktu.

o Mengembangkan format presentasi yang tepat.

o Mengerjakan seluruh lapisan dari proses informasi

pendukung.

2. Analisis Lingkungan Eksternal Bisnis

Analisis lingkungan eksternal bisnis dari sebuah

perusahaan terdiri dari faktor – faktor yang pada dasarnya di

luar dan terlepas dari perusahaan. Faktor – factor utama yang

biasa diperhatikan adalah faktor Politik, Ekonomi, Sosial dan

Teknologi (PEST). Lingkungan eksternal bisnis ini dapat

memberikan kesempatan besar dari perusahaan untuk maju,

sekaligus dapat menjadi hambatan dan ancaman untuk maju.

Adapun teknik-teknik analisis yang digunakan untuk memahami

kondisi situasi pada lingkungan eksternal bisnis diantaranya

adalah :

a. Analisis Lingkungan Politik, Ekonomi, Sosial dan

Teknologi (PEST)

Menurut Ward dan Peppard (2002, p70-72) analisis PEST

adalah analisis terhadap faktor lingkungan eksternal

bisnis yang meliputi bidang politik, ekonomi, sosial dan

teknologi.

o Faktor Politik

Faktor politik meliputi kebijakan pemerintah, masalah –

masalah hukum, serta mencakup aturan – aturan formal dan

informal dari lingkungan dimana perusahaan melakukan

kegiatannya. Contoh :

•  Kebijakan tentang pajak

•  Peraturan ketenagakerjaan

•  Peraturan daerah

•  Peraturan perdagangan

•  Stabilitas politik

o Faktor Ekonomi

Faktor ekonomi meliputi semua faktor  yang mempengaruhi

daya beli dari pelanggan dan mempengaruhi iklim

berbisnis suatu perusahaan. Contoh :

•  Pertumbuhan ekonomi

•  Tingkat suku bunga

•  Standar nilai tukar

•  Tingkat inflasi

•  Harga-harga produk dan jasa

o Faktor Sosial

Faktor sosial meliputi semua faktor yang dapat

mempengaruhi kebutuhan  dari pelanggan dan mempengaruhi

ukuran dari besarnya pangsa pasar yang ada. Contoh :

•  Tingkat pendidikan masyarakat

•  Tingkat pertumbuhan penduduk

•  Kondisi lingkungan sosial

•  Kondisi lingkungan kerja

•  Keselamatan dan kesejahteraan sosial

o Faktor Teknologi

Faktor teknologi meliputi semua hal yang dapat membantu

dalam menghadapi tantangan bisnis dan mendukung

efisiensi proses bisnis. Contoh :

•  Aktivitas penelitian dan pengembangan teknologi

•  Automatisasi

•  Kecepatan transfer teknologi

•  Tingkat kadaluarsa teknologi

PEST digunakan untuk menilai pasar dari suatu unit bisnis

atau unit organisasi Arah analisis PEST adalah kerangka untuk

menilai sebuah situasi, dan menilai strategi atau posisi, arah

perusahaan, rencana pemasaran, atau ide. Dimana analisis ini

cukup mempengaruhi perusahaan, karena melalui analisis ini

dapat diambil suatu peluang atau ancaman baru bagi perusahaan.

b. Analisis Lima Model Persaingan Porter

Adapun teknik analisis Lima Model Persaingan Porter

digunakan untuk memahami kondisi situasi pada lingkungan

eksternal bisnis diantaranya adalah Analisis lima model

persaingan Porter meliputi :

Analisis terhadap pendatang baru

Analisis terhadap barang pengganti

Analisis kekuatan tawar menawar terhadap pelanggan

Analisis kekuatan tawar menawar dengan supplier

Analisis terhadap persaingan industri sejenis

3. Analisis Lingkungan Internal SI/TI

Analisis ini akan menyediakan informasi yang menyeluruh

tentang lingkungan internal SI/TI perusahaan saat ini,

yang  dapat digunakan sebagai  salah satu bentuk masukan dalam

proses strategi SI/TI (Ward dan Peppard, 2002, p198).

Analisis lingkungan internal SI/TI untuk  mengetahui

pandangan SI/TI terhadap bisnis ada masa sekarang ini,

pengalaman perusahaan dalam bisnis, cakupan bisnis, dan

kontribusinya terhadap pasar, kemampuan perusahaan, sumber

daya dalam perusahaan dan infrastruktur teknologi yang

digunakan. Aplikasi portfolio saat ini dari sistem yang

berjalan dan sistem yang sedang dalam pengembangan (Ward dan

Peppard, 2002, p153).

a) Analisis Portfolio Aplikasi Mcfarlan (Portfolio

Aplikasi)

Menurut Ward dan Peppard (2002, p299) Portofolio

Aplikasi Mcfarlan digunakan untuk menilai kontribusi SI/TI

secara keseluruhan dan efeknya terhadap kesuksesan bisnis.

Menurut Ward dan Peppard (2002, p299) portofolio

aplikasi adalah cara untuk membawa bersama sistem

informasi yang telah ada, yang direncanakan dan potensial

untuk kemudian menilai kontribusi bisnisnya,  umumnya

berupa matrik dua-kali-dua, yang merupakan metode yang

sangat popular untuk menjelaskan dampak dari variabel yang

tidak berkaitan, namun saling mempengaruhi.

Dalam portfolio aplikasi sebuah aplikasi dapat

dikategorikan sebagai strategic, high potential, key

operational, atau  support tergantung dari peranannya

dalam mendukung strategi bisnis perusahaan, baik pada saat

ini maupun di masa mendatang.

4. Analisis Lingkungan Eksternal SI/TI

Analisis ini digunakan untuk mendapatkan pemahaman tentang

keadaan dan perkembangan SI/TI diluar lingkungan perusahaan,

yang memberikan dampak dan pengaruh bagi perusahaan baik

secara  langsung maupun tidak langsung. Tujuan utama dari

analisis ini adalah untuk mendapatkan pengetahuan tentang

peluang – peluang baru dalam penggunaan SI/TI, dan ini

tidak  terbatas hanya pada peluang untuk mengimplemetasikan

teknologi yang termutakhir namun juga dapat berupa peluang

untuk menggunakan teknologi yang sudah ada dengan cara yang

lebih hemat dan tepat dalam penggunaannya atau peluang untuk

menggunakan teknologi dengan cara lain yang tidak pernah

terpikirkan sebelumnya.Bagian dari analisis ini juga

meliputi  pengetahuan tentang  SI/TI yang digunakan oleh pihak

eksternal seperti pesaing, pemasok, atau perusahaan –

perusahaan lain yang memiliki hubungan dan mempengaruhi bisnis

perusahaan. Salah satu aspek dari analisis ini adalah untuk

dapat mengkategorikan elemen – elemen yang potensial dan

berharga dari teknologi untuk dapat dievaluasi

dan  dimanfaatkan oleh perusahaan. Inti dari analisis ini

adalah untuk dapat menyediakan informasi yang menyeluruh

tentang lingkungan eksternal SI/TI untuk digunakan sebagai

salah satu bentuk masukan dalam proses perencanaan strategi

SI/TI (Ward dan Peppard, 2002, p203-204).

COBIT (Control Objective for Information and related

Technology)

COBIT Guidelines

Kerangka kerja COBIT terdiri atas beberapa arahan/pedoman,

yakni:

1. Control Objectives

Terdiri atas 4 tujuan pengendalian tingkat-tinggi (high-

level control objectives) yang tercermin dalam 4 domain,

yaitu: planning & organization , acquisition &

implementation , delivery & support , dan monitoring.

2. Audit Guidelines

Berisi sebanyak 318 tujuan-tujuan pengendalian yang

bersifat rinci (detailed control objectives) untuk

membantu para auditor dalam memberikan management

assurance dan/atau saran perbaikan.

3. Management Guidelines

Berisi arahan, baik secara umum maupun spesifik,

mengenai apa saja yang mesti dilakukan, terutama agar

dapat menjawab pertanyaan-pertanyaan berikut:

a. Sejauh mana Anda (TI) harus bergerak, dan apakah

biaya TI yang dikeluarkan sesuai dengan manfaat yang

dihasilkannya.

b. Apa saja indikator untuk suatu kinerja yang bagus?

c. Apa saja faktor atau kondisi yang harus diciptakan

agar dapat mencapai sukses ( critical success

factors )?

d. Apa saja risiko-risiko yang timbul, apabila kita

tidak mencapai sasaran yang ditentukan?

e. Bagaimana dengan perusahaan lainnya – apa yang

mereka lakukan?

f. Bagaimana Anda mengukur keberhasilan dan bagaimana

pula membandingkannya.

Gambar 6 Kaitan IT Governance dan COBIT

Pihak Kebutuhan Kontrol COBIT

a. Direktur dan Eksekutif

Untuk memastikan manajemen mengikuti dan

mengimplementasikan strategi searah dengan IT.

a. Manajemen

Untuk mengambil keputusan investasi IT.

Untuk keseimbangan resiko dan kontrol investasi.

Untuk benchmark lingkungan IT sekarang dan masa

depan.

b. Users

Untuk memperoleh jaminan keamanan dan control

produk dan jasa yang dibutuhkan secara internal

maupun eksternal.

c. Auditors

Untuk memperkuat opini untuk manajemen dalam

control internal.

Untuk memberikan saran pada control minimum yang

diperlukan.

Prinsip Dasar COBIT

Untuk menyediakan informasi yang dibutuhkan perusahaan

untuk mencapai tujuan organisasi.Prinsip dasar COBIT

menggambarkan :

1. Kebutuhan bisnis

2. Orientasi proses

3. Sumber daya IT

Gambar 7 Prinsip Dasar COBIT

The COBIT Cube

Gambar 8 The COBIT Cube

Kebutuhan Bisnis

a. Efektivitas (Effectiveness), menguraikan informasi yang

relevan dan berhubungan dengan proses bisnis yang

disampaikan tepat pada waktunya dengan cara yang

benar, konsisten dan tepat digunakan.

b. Efisiensi (Efficiency), menyangkut ketentuan informasi

melalui penggunaan sumberdaya yang optimal (lebih

produktif dan ekonomis).

c. Kerahasiaan (Confidentiality), menyangkut perlindungan

informasi yang sensitif dari akses yang tidak sah.

d. Integritas (Integrity), berkaitan dengan keakuratan dan

kelengkapan informasi juga keabsahannya yang sesuai

dengan harapan (expectation) dan nilai bisnis.

e. Ketersediaan (Availability), berkaitan dengan informasi

yang tersedia yang diperlukan oleh proses bisnis saat

ini dan yang akan datang, juga menyangkut penjagaan

sumberdaya yang perlu dan kemampuan yang terkait.

f. Pemenuhan (Compliance), menguraikan pemenuhan hukum,

peraturan dan persetujuan yang bersifat kontrak dimana

proses bisnisnya merupakan subyek, yakni kriteria

bisnis yang ditentukan dari luar.

g. Keterandalan informasi (Reliability of Information), berkaitan

dengan ketentuan informasi yang memadai bagi manajemen

untuk menjalankan dan melaksanakan keseluruhan

finansialnya dan pemenuhan laporan tanggung jawab

Sumber Daya IT

a. Data, adalah obyek-obyek dalam pengertian yang lebih

luas (yakni internal dan eksternal), terstruktur dan

tidak terstruktur, grafik, suara dan sebagainya.

b. Sistem aplikasi, dipahami untuk menyimpulkan atau

meringkas, baik prosedur manual maupun yang

terprogram.

c. Teknologi, mencakup hardware, sistem operasi, sistem

manajemen database, jaringan (networking), multimedia,

dan lain- lain.

d. Fasilitas, adalah semua sumberdaya untuk menyimpan

dan mendukung system informasi.

e. Manusia termasuk staf ahli, kesadaran dan

produktivitas untuk merencanakan, mengorganisasikan

atau melaksanakan, memperoleh, menyampaikan, mendukung

dan memantau layanan sistem informasi.

Orientasi Proses IT Dom ains• Plan andOrganise

• Acquire and Im plem ent

• Deliver and Support

• Monitor and Evaluate

IT Processes• IT strategy• Com puter operations• Incident handling• Acceptance testing• Change m anagem ent• Contingency planning• Problem m anagem ent

Activities• Record new problem• Analyse• Propose solution• Monitor solution• Record known problem• Etc.

Framework COBIT terdiri dari 34 high-level control

objective, dimana tiap-tiap IT proses dikelompokkan dalam

empat domain utama:

1. Planning and Organization

mencakup strategi dan taktik yang menyangkut

identifikasi tentang bagaimana TI dapat memberikan

kontribusi terbaik dalam pencapaian tujuan bisnis

organisasi sehingga terbentuk sebuah organisasi yang

baik dengan infrastruktur teknologi yang baik pula.

PO1 Define a strategic information technology plan

PO2 Define the information architecture

PO3 Determine the technological direction

PO4 Define the IT organisation and relationships

PO5 Manage the investment in information technology

PO6 Communicate management aims and direction

PO7 Manage human resources

PO8 Ensure compliance with external requirements

PO9 Assess risks

PO10 Manage projects

PO11 Manage quality

2. Acquisition and Implementation

identifikasi solusi TI dan kemudian diimplementasikan

dan diintegrasikan dalam proses bisnis untuk mewujudkan

strategi TI.

AI1 Identify automated solutions

AI2 Acquire and maintain application software

AI3 Acquire and maintain technology infrastructure

AI4 Develop and maintain IT procedures

AI5 Install and accredit systems

AI6 Manage changes

3. Delivery and Support

domain yang berhubungan dengan penyampaian layanan yang

diinginkan, yang terdiri dari operasi pada sistem

keamanan dan aspek kesinambungan bisnis sampai dengan

pengadaan training.

DS1 Define and manage service levels

DS2 Manage third-party services

DS3 Manage performance and capacity

DS4 Ensure continuous service

DS5 Ensure systems security

DS6 Identify and allocate costs

DS7 Educate and train users

DS8 Assist and advise customers

DS9 Manage the configuration

DS10 Manage problems and incidents

DS11 Manage data

DS12 Manage facilities

DS13 Manage operations

4. Monitoring

semua proses TI perlu dinilai secara teratur dan berkala

bagaimana kualitas dan kesesuaiannya dengan kebutuhan

kontrol

M1 Monitor the process

M2 Assess internal control adequacy

M3 Obtain independent assurance

M4 Provide for independent audit

PO 1 Define a strategic IT planPO 2 Define the inform ation architecturePO 3 Determ ine the technologicaldirectionPO 4 Define the IT organisation and relationshipsPO 5 M anage the IT investm entPO 6 Com m unicate m anagem entaim s and directionPO 7 M anage hum an resourcesPO 8 Ensure com pliance with externalrequirem entsPO 9 Assess risksPO 10 M anage projectsPO 11 M anage quality

AI1 Identify autom ated solutionsAI2 Acquire and m antain application softw areAI3 Acquire and m aintain technology infrastructureAI4 Develop and m aintain IT proceduresAI5 Installand accreditsystem sAI6 M anage changes

M 1 M onitor the processM 2 Assess internalcontrol adequacyM 3 Obtain independentassuranceM 4 Provide forindependentaudit

DS1 Define service levelsDS2 M anage third-party servicesDS3 M anage peform ance and capacityDS4 Ensure continuous serviceDS5 Ensure system s securityDS6 Identify and attribute costsDS7 Educate and train usersDS8 Assistand advise IT custom ersDS9 M anage the configurationDS10 M anage problem s and incidentsDS11 M anage dataDS12 M anage facilitiesDS13 M anage operations

IT RESOURCES

IT RESOURCES

• Data• Application system s• Technology• Facilities• People

• Data• Application system s• Technology• Facilities• People PLAN AND

ORGANISEPLAN AND ORGANISE

ACQUIRE ANDIM PLEM ENT

ACQUIRE ANDIM PLEM ENT

DELIVER AND SUPPO RT

DELIVER AND SUPPO RT

IT RESOURCES

IT RESOURCES

• Data• Application system s• Technology• Facilities• People

• Data• Application system s• Technology• Facilities• People PLAN AND

ORGANISEPLAN AND ORGANISE

ACQUIRE ANDIM PLEM ENT

ACQUIRE ANDIM PLEM ENT

DELIVER AND SUPPO RT

DELIVER AND SUPPO RT

• Effectiveness• Efficiency• Confidenciality• Integrity• Availability• Com pliance• Reliability

• Effectiveness• Efficiency• Confidenciality• Integrity• Availability• Com pliance• Reliability

Criteria• Effectiveness• Efficiency• Confidenciality• Integrity• Availability• Com pliance• Reliability

• Effectiveness• Efficiency• Confidenciality• Integrity• Availability• Com pliance• Reliability

Criteria

BusinessObjectives

M ONITO R ANDEVALUATE

COBITFram ew ork

Gambar 9 Kerangka COBIT

The COBIT Framework memasukkan juga hal-hal berikut ini:

a. Maturity Models – Untuk memetakan status maturity proses-

proses IT (dalam skala 0 - 5) dibandingkan dengan “the

best in the class in the Industry” dan juga International

best practices

b. Critical Success Factors (CSFs) – Arahan implementasi bagi

manajemen agar dapat melakukan kontrol-kontrol atas proses

IT dalam perusahaan.

c. Key Goal Indicators (KGIs) – Kinerja proses-proses IT

sehubungan dengan business requirements

d. Key Performance Indicators (KPIs) – Kinerja proses-proses

IT sehubungan dengan proses pencapaian tujuan.

COBIT dikembangkan sebagai suatu generally applicable and

accepted standard for good Information Technology (IT)

security and control practices . Istilah “ generally

applicable and accepted ” digunakan secara eksplisit dalam

pengertian yang sama seperti Generally Accepted Accounting

Principles (GAAP).

Sedang, COBIT's “good practices” mencerminkan konsensus

antar para ahli di seluruh dunia. COBIT dapat digunakan

sebagai IT Governance tools, dan juga membantu perusahaan

mengoptimalkan investasi IT mereka. Hal penting lainnya, COBIT

dapat juga dijadikan sebagai acuan atau referensi apabila

terjadi suatu kesimpang-siuran dalam penerapan teknologi.

Suatu perencanaan Audit Sistem Informasi berbasis

teknologi (audit IT) oleh Internal Auditor, dapat dimulai

dengan menentukan area-area yang relevan dan berisiko paling

tinggi, melalui analisa atas ke-34 proses tersebut. Sementara

untuk kebutuhan penugasan tertentu, misalnya audit atas proyek

IT, dapat dimulai dengan memilih proses yang relevan dari

proses-proses tersebut.

Lebih lanjut, auditor dapat menggunakan Audit Guidelines

dengan menerapkan seluruh domain yang terdapat dalam COBIT,

yakni planning-organization (PO), acquisition-implementation

(AI), Delivery-support (DS) dan Monitoring (M) untuk merancang

prosedur audit.

Singkatnya, COBIT khususnya guidelines dapat dimodifikasi

dengan mudah, sesuai dengan industri, kondisi IT di Perusahaan

atau organisasi Anda, atau objek khusus di lingkungan IT.

Selain dapat digunakan oleh Auditor, COBIT dapat juga

digunakan oleh manajemen sebagai jembatan antara risiko-risiko

IT dengan pengendalian yang dibutuhkan (IT risk management)

dan juga referensi utama yang sangat membantu dalam penerapan

IT Governance di perusahaan.

TEKNIK PENAKSIRAN RESIKO

Dalam menetapkan fungsi/area/unit yang akan di audit, auditormemiliki berbagai pilihan bergantung pada resiko subjek audit.Ada beberapa metode untuk melakukan penilaian resiko, yaitu :

a. Pendekatan penaksiran dengan sistem scoring sistemPendekatan ini digunakan dengan mengutamakan auditberdasarkan pada evaluasi faktor-faktor resiko.

b. Penilaian risiko secara judgemntalYaitu keputusan dibuat berdasakan keputusan bisnis,instruksi manajemen eksekutif, sejarah kehilangan,tujuan bisnis dan faktor-faktor lingkungan

c. Teknik kombinasi

Sesungguhnya auditing is about evaluating risks andcontrols. Salah satu kegiatan utama dalam pelaksanaan audit

adalah pengumpulan dan evaluasi bukti audit (audit evidenceand evidence evaluation) khususnya mengenai penaksiran tingkatresiko, menilai pengendalian yang sudah ada dan apakah sudahmemadai, serta pemeriksaan apakah pengendalian dilaksanakansungguh-sungguh. Hal itu dapat dilakukan dengan interview,questionnaires, controls flowcharts, dengan performancemanagement tools, serta dengan alat bantu audit software.Pengujian juga dapat dilakukan dengan cara progamming code(listing) review, test data dan code comparisoon. Evaluasiaudit evidence dilakukan dengan tujuan untuk mendapatkeyakinan tentang telah diselenggarakannya good IT governance.

Perubahan lingkungan IT merubah pelaksanaan dan teknikpengumpulan dan evaluasi bukti audit. Oleh karena itudisamping kriteria profesional yang lazimnya diperlukan dalamaudit tradisional, pada audit SI auditor juga harus menguasaihal-hal yang berkaitan dengan information system management,behavioral science, dan computer science. Bahkan karena auditSI lazimnya dan dilakukan oleh auditor intern, agar hubungankemitraan antara auditor dan auditee dapat terjalin baik, makapara auditor intern perlu dilengkapi dengan pengetahuanpsikologi audit.

Metodologi Audit IT

Dalam pelaksanaanya, auditor TI mengumpulkan bukti-bukti yangmemadai melalui berbagai teknik termasuk survey, wawancara,observasi dan review dokumentasi.

Satu hal yang unik, bukti-bukti audit yang diambil olehauditor biasanya mencakup pula bukti elktronis. Biasanya,auditor TI menerapkan teknik audit berbantuan computer,disebut juga dengan CAAT (Computer Aided Auditing Technique).Teknik ini digunakan untuk menganalisa data, misalnya saha

data transaksi penjualan, pembelian, transaksi aktivitaspersediaan, aktivitas nasabah, dan lain-lain.

DAFTAR PUSTAKA

Information System Audit and Control Association (ISACA). (2003), IS Standards, Guidelines and Procedures for Auditing and Control Professionals. United States.

MOELLER, ROBERT R. (2008). Effective Auditing with AS5, CobiT, and ITIL. John Wiley & Sons, Inc. Canada.

Weill, Peter and Ross, Jeanne W. (2004). IT Governance - How Top Performers Manage IT Decision Rights for Superior Results.Harvard Business School Press. United States.

http://www.azwar.net/2010/10/resume-perencanaan-strategis-sistem-informasi-part-1/di Akses pada tanggal 23 November 2014 pukul 20.00 WIB