it governance word
TRANSCRIPT
INFORMATION SYSTEMS GOVERNANCE
TUGAS KELOMPOK
Mata Kuliah: EDP Auditing (Audit Sistem Informasi)
Dosen: Fitri Yani Jalil S.E., M.Sc.
Disusun oleh:
Dwi Hirlana Desi (1111082000041)
Rista Wahyuni (1111082000124)
Muhammad Rizky Fauzi (1111082000126)
JURUSAN AKUNTANSI
FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH
JAKARTA
2014
PENDAHULUAN
Pemenuhan kebutuhan akan sistem informasi bagi semua
jenis organisasi menyebabkan perkembangan sistem informasi
yang begitu pesat. Penerapan teknologi informasi pada proses
bisnis suatu perusahaan dipandang sebagai suatu solusi yang
nantinya dapat meningkatkan kemampuan perusahaan di dalam
persaingan. Hal ini menyebabkan pentingnya peningkatan peran
teknologi informasi agar selaras dengan investasi yang telah
dikeluarkan, sehingga dibutuhkan perencanaan yang matang serta
implementasi yang optimal. Teknologi informasi adalah suatu
aset yang sangat berharga dalam suatu perusahaan, di mana
peranan teknologi informasi (TI) telah mampu mengubah pola
pekerjaan, kinerja karyawan bahkan sistem manajemen dalam
mengelola sebuah organisasi. Teknologi informasi bisa memiliki
peranan penting menggantikan peran manusia secara otomatis
terhadap suatu siklus sistem mulai dari input, proses dan
output di dalam melaksanakan aktivitas pekerjaan serta telah
menjadi fasilitator utama bagi kegiatan-kegiatan bisnis yang
memberikan andil besar terhadap perkembangan organisasi.
Peranan sistem informasi yang signifikan ini tentu harus
diimbangi dengan pengaturan dan pengelolaan yang tepat,
sehingga kerugian-kerugian yang mungkin terjadi dapat
dihindari. Kerugian yang dimaksud dapat timbul dari masalah-
masalah seperti adanya kasus kehilangan data, kebocoran data,
informasi yang tersedia tidak akurat yang disebabkan oleh
pemrosesan data yang salah sehingga intergritas data tidak
dapat dipertahankan, penyalahgunaan komputer serta pengadaan
investasi Teknologi Informasi (TI) yang bernilai tinggi namun
tidak diimbangi dengan pengembalian yang sesuai. Hal-hal
tersebut tentunya sangat mempengaruhi pengambilan keputusan,
termasuk mempengaruhi efektifitas dan efisiensi didalam
pencapaian tujuan dan strategi organisasi.
Sehingga memunculkan kesadaran bahwa tanggung jawab
pengelolaan TI tidak bisa sepenuhnya diserahkan ke
unit/bagian/divisi yang hanya khusus menangani TI secara
teknikal (IT Function) sebagaimana pendekatan manajemen
konvensional, melainkan juga harus menjadi tanggung jawab
berbagai pihak manajemen dalam suatu organisasi. Hal inilah
yang kemudian melahirkan konsep dan paradigma baru dalam
mengelola Teknologi Informasi yang disebut dengan IT Governance
(Tata Kelola Teknologi Informasi).
IT Governance merupakan suatu komitmen, kesadaran dan
proses pengendalian manajemen organisasi terhadap sumber daya
TI/sistem informasi yang dibeli dengan harga mahal tersebut,
yang mencakup mulai dari sumber daya komputer (software,
brainware, database dan sebagainya) hingga ke Teknologi
Informasi dan Jaringan LAN/Internet. Penelitian IT Governance
Institute (ITGI) menunjukkan bahwa TI telah bergeser dari isu
teknologi menjadi isu manajemen dan pengelolaan. TI harus
dikelola selayaknya aset perusahaan lainnya. Penerapan TI di
perusahaan akan dapat dilakukan dengan baik apabila ditunjang
dengan suatu pengelolaan TI (IT Governance) dari mulai
perencanaan sampai implementasinya.
A. Pengertian IT Governance
Governance merupakan turunan dari kata government, yang
artinya membuat kebijakan (policies) yang sejalan/selaras dengan
keinginan/aspirasi masyarakat atau kontituen. Sedangkan
penggunaan pengertian “governance” terhadap Teknologi
Informasi (IT Governance) maksudnya adalah, penerapan
kebijakan TI di dalam organisasi agar pemakaian TI (berikut
pengadaan dan pelayanannya) diarahkan sesuai dengan tujuan
organisasi tersebut.
Standar COBIT dari lembaga ISACA di Amerika Serikat
mendefinisikan IT Governance as a “structure of relationships and
processes to direct and control the enterprise in order to achieve the entreprise’s
goals by value while balancing risk versus return over IT and its processes” yang
artinya adalah sebuah struktur dari hubungan relasi dan proses
untuk mengarahkan dan mengendalikan suatu perusahaan dalam
mencapai tujuan dengan memberikan nilai tambah ketika
menyeimbangkan resiko dengan menyesuaikan TI dan proses bisnis
perusahaan.
Tata kelola TI merupakan tanggungjawab pimpinan direktur
dan manajemen eksekutif. Merupakan bagian integral tata kelola
perusahaan dan terdiri dari kepemimpinan dan struktur
organisasi serta proses-proses yang menjamin bahwa organisasi
TI dapat mendukung dan memperluas sasaran serta strategi
organisasi.
Menurut Weill & Ross (2004) tata kelola TI terdiri dari 5
komponen utama, yaitu :
IT Principles, merupakan suatu pernyataan top level
manajemen tentang bagaimana TI digunakan dalam bisnis
organisasi. Menjelaskan pernyataan-pernyataan eksekutif
tentang bagaimana teknologi informasi dapat digunakan
organisasi dan ke mana arah TI akan dijalankan, prinsip
TI menjadi bagian penting dari manajemen organisasi, yang
terus didiskusikan dan dilaksanakan demi perbaikan
organisasi, baik di sektor pemasaran, keuangan, pabrik
dan lain-lain.
IT Architecture, mendefinisikan integrasi dan
standardisasi dalam sistem. Arsitektur TI adalah
pengorganisasian logika dari data, aplikasi dan
infrastruktur yang dikemas dalam suatu kebijakan,
hubungan dan pemilihan teknologi untuk mendapatkan
integrasi dan standardisasi teknis dan bisnis yang
diharapkan. Selain itu teknologi sebagai pendukung bisnis
organisasi yang telah dikembangkan melalui IT principle,
selanjutnya memerlukan proses standardisasi dan integrasi
di dalam suatu organisasi. Dalam banyak kasus di
Indonesia saat ini banyak persoalan masalah integrasi dan
koordinasi, kepentingan sektoral masih menjadi problem,
sehingga sering gagalnya proyek IT di perusahaan yang
menghabiskan banyak biaya.
IT Infrastructure, menentukan layanan yang digunakan
bersama (shared services). Prasarana dan sarana teknologi
informasi yang menyangkut jaringan, komputer, perangkat
keras dan lunak lainnya adalah suatu kumpulan komponen
yang diharapkan bisa mempercepat proses perhitungan,
pengiriman dalam berbagai media informasi (data,
informasi, gambar, video, teks) dalam waktu yang singkat
dan proses penyimpanan yang efektif. Suatu sarana yang
bisa dikontrol dari pusat kekuasaan dan yang dipakai
bersama menjadi hal yang penting. Perencanaan kapasitas,
baik di penyimpanan, pengiriman maupun pelayanan menjadi
penting. Tanpa ada perencanaan yang baik, maka akan
menyebabkan buruknya image dan kinerja TI di perusahaan.
Business Application Needs, menentukan pemenuhan
kebutuhan aplikasi bisnis dengan membangun aplikasi
bisnis yang perlu diadakan atau dikembangkan oleh TI.
Dalam pengembangan teknologi informasi keperluan bisnis
yang spesifik sehingga kehadiran teknologi informasi
memberikan suatu nilai baru bagi organisasi. Dua hal
penting dalam identifikasi keperluan bisnis yang terkait
dengan teknologi informasi yaitu kreatifitas dan
disiplin. Kreativitas diperlukan untuk mengidentifikasi
suatu cara atau proses baru dari perusahaan/organisasi
sehingga ada nilai yang bermakna. Sedangkan disiplin
menyangkut hal yang berkaitan dengan integritas
arsitektur sehingga meyakinkan bahwa aplikasi yang
dibangun memang sesuai dengan arsitektur perusahan yang
terintegrasi.
IT Investment and Prioritization, seringkali ditulis
dengan IT Investment saja, ini adalah keputusan-keputusan
yang terkait dengan inisiatif mana yang perlu
diprioritaskan dan berapa banyak yang perlu dikeluarkan.
Investasi teknologi informasi sering menjadi bahan yang
sulit dimengerti oleh top manajemen dari suatu
organisasi, hal ini di karenakan nilai yang ada tidak
langsung terasa oleh organisasi.
B. Urgensi Tata Kelola TI
Tata kelola TI berfokus secara spesifik pada sistem
teknologi informasi, performansi dan manajemen resikonya.
Tujuan utama dari tata kelola TI adalah memastikan bahwa
investasi dalam teknologi informasi memberikan nilai bisnis,
dan untuk mengurangi resiko yang berkaitan dengan TI. Hal
ini dapat dilakukan dengan mengimplementasikan struktur
organisasional dengan peran-peran yang terdefinisi dengan
baik untuk tanggung jawab terhadap informasi, bisnis proses,
aplikasi dan infrastruktur.
Tata kelola TI bertujuan untuk memaksimalkan potensi
sumber daya yang ada, dan menghindari tumpang tindih alokasi
waktu, biaya dan sumber daya manusia, serta mengurangi
risiko dalam pengembangan TI sehingga menjamin investasi TI
dapat menghasilkan hasil yang maksimal. Teknologi informasi
juga merupakan sumber daya bisnis yang harus dikelola dengan
baik dan benar. Teknologi informasi telah terbukti
memberikan kontribusi dan peranan penting pada keberhasilan
atau kegagalan usaha bisnis strategi perusahaan. Oleh karena
itu, pengelolaan teknologi informasi sangatlah penting untuk
dilakukan.
Di lingkungan yang sudah memanfaatkan Teknologi
Informasi (TI), tata kelola TI menjadi hal penting yang
harus diperhatikan. Hal ini dikarenakan ekspektasi dan
realitas seringkali tidak sesuai. Pihak shareholder perusahaan
selalu berharap agar perusahaan dapat :
1. Memberikan solusi TI dengan kualitas yang bagus, tepat
waktu, dan sesuai dengan anggaran.
2. Menguasai dan menggunakan TI untuk mendatangkan
keuntungan.
3. Menerapkan TI untuk meningkatkan efisiensi dan
produktifitas sambil menangani risiko TI.
Dalam sebuah IT governance terdapat beberapa pemangku
kepentingan. Dibawah ini dapat kita lihat pemangku
kepentingan dan peranan-peranannya:
Board and Executive
Menentukan arah pada TI, memantau hasil dan
memastikan ketepatan implementasi
Business management
Menguraikan kebutuhan-kebutuhan bisnis untuk TI dan
memastikan nilai-nilai tersebut dikirimkan dan
resiko terkelola.
IT management
Memberikan dan meningkatkan pelayanan TI seperti
yang dibutuhkan pada bisnis.
IT audit
Menyediakan kepastian yang independen untuk
mendemonstrasikan bahwa TI menyediakan apa yang
diperlukan.
Risk and compliance
Mengukur kepatuhan pada aturan-aturan dan focus pada
resiko yang mungkin muncul.
Kelima pemangku IT governance diatas haruslah saling
bekerja sama dan berkontribusi dalam mengontrol dan
mengendalikan implementasi dari TI. Jadi IT governance
memiliki 2 tujuan yang berkaitan yakni:
1. Conformance objective ( penyesuaian) – berfokus pada
“corporate governance”
IT berfungsi sebagai pengiriman dan pelaporan data, dalam
hal ini IT harus dapat memastikan:
Integritas informasi
Ketepatan waktu untuk mempercepat pengambilan
keputusan
Menyediakan laporan untuk keperluan pimpinan
Mengotomatisasi penangkapan data.
2. Performance objective - berfokus pada “bisnis
governance”
IT value delivery
Strategic Alignment of IT
IT resource management
IT risk management
IT performance management
C. Pengabaian Tata Kelola TI
Tata kelola TI yang dilakukan secara tidak efektif akan
menjadi awal terjadinya pengalaman buruk yang dihadapi
perusahaan, yang memicu munculnya fenomena investasi TI yang
tidak diharapkan, seperti:
1. Kerugian bisnis, berkurangnya reputasi, dan melemahnya
posisi kompetisi.
2. Tenggang waktu yang terlampaui, biaya lebih tinggi dari
yang di perkirakan, dan kualitas lebih rendah dari yang
telah diantisipasi.
3. Efisiensi dan proses inti perusahaan terpengaruh secara
negatif oleh rendahnya kualitas penggunaan TI.
4. Kegagalan dari inisiatif TI untuk melahirkan inovasi atau
memberikan keuntungan yang dijanjikan.
D. Manfaat Tata Kelola TI dan Fokus Utama Tata Kelola TI
Menurut ITGI (IT Governance Institute), tata kelola TI
pada dasarnya berfokus pada dua hal yaitu bagaimana TI
memberikan nilai tambah bagi bisnis dan penanganan risiko
pada implementasi TI. Tujuan tata kelola TI menurut ITGI
adalah mengarahkan investasi TI untuk menjamin performa TI
memenuhi tujuan-tujuan berikut:
Kesesuaian TI dengan organisasi dan realisasi
keuntungan yang dijanjikan
Penggunan TI memungkinkan organisasi memaksimalkan
manfaat dan memperbesar peluang
Pertanggungjawaban dalam penggunanan sumber daya TI
Manajemen yang sesuai dengan risiko-risiko yang
berkaitan dengan TI.
Berdasarkan “Board Briefing on IT Governance” (ITGI, 2003),
tata kelola TI memperhatikan dua hal yaitu nilai tambah TI
bagi bisnis dan mitigasi risiko TI. Nilai TI didorong oleh
penyelarasan strategis TI dan bisnis, sedangkan mitigasi
risiko didorong oleh tanggung jawab kepada organisasi.
Keduanya membutuhkan dukungan dari sumberdaya yang cukup dan
dapat diukur untuk menjamin bahwa hasil yang diharapkan
terpenuhi. Hal ini mengarah pada lima area utama untuk tata
kelola TI yang didorong oleh nilai yang diberikan kepada
stakeholder (stakeholder value drivers). Dua diantara area
tersebut merupakan hasil, yaitu pengiriman nilai (value
delivery) dan manajemen risiko (risk management). Tiga area
lainnya merupakan pendorong, yaitu keselarasan strategis
(strategic alignment), manajemen sumberdaya (resource
management), dan pengukuran performa (performance
measurement). Moller (2008) Adapun fokus utama dari area
Tata Kelola TI (IT Governance) yakni:
1. Penyelarasan Strategis (Strategic Alignment)
Memfokuskan kepastian terhadap keterkaitan antara
strategi bisnis dan TI serta penyelarasan antara
operasional TI dengan bisnis.
2. Penyampaian Nilai (Value Delivery)
Mencakup hal-hal yang terkait dengan penyampaian nilai
yang memastikan bahwa TI memenuhi manfaat yang dijanjikan
dengan memfokuskan pada pengoptimalan biaya dan
pembuktian nilai hakiki akan keberadaan TI.
3. Pengelolaan Sumber Daya (Resource Management)
Berkaitan dengan pengoptimalan investasi yang dilakukan
dan pengelolaan secara tepat dari sumber daya TI yang
kritis mencakup: aplikasi, informasi, infrastruktur dan
Sumber Daya Manusia (SDM). Isu kunci area ini berhubungan
dengan pengoptimalan pengetahuan dan infrastruktur
4. Pengelolaan Resiko (Risk Management)
Membutuhkan kepekaan akan resiko oleh manajemen senior,
pemahaman yang jelas akan perhatian perusahaan terhadap
keberadaan resiko, pemahaman kebutuhan akan kepatutan,
transparansi akan resiko yang signifikan terhadap proses
bisnis perusahaan dan tanggung jawab pengelolaan resiko
ke dalam organisasi itu sendiri.
5. Pengukuran Kinerja (Performance Measurement)
Penelusuran dan pengawasan implementasi dari strategi,
pemenuhan proyek yang berjalan, penggunaan sumber daya,
kinerja proses dan penyampaian layanan dengan menggunakan
kerangka kerja seperti Balanced Scorecard yang
menerjemahkan strategi ke dalam tindakan untuk mencapai
tujuan terukur dibandingkan dengan akuntansi
konvensional.
Hubungan kelima area ini dapat dilihat pada gambar berikut
ini.
Dari gambar di atas dapat disimpulkan bahwa dalam
pelaksanaan tata kelola TI pada suatu organisasi digerakkan
oleh pemberian nilai tambah bagi stakeholder. Untuk
memberikan nilai tambah ini dilakukan penyelarasan strategis
dan penentuan solusi-solusi yang kolaboratif antara TI dan
bisnis. Dari proses tersebut ditentukan nilai tambah TI yang
kemudian dilakukan pengoptimalan pengeluaran dan pembuktian
nilai tambah TI tersebut bagi bisnis. Pemberian nilai tambah
ini membutuhkan manajemen resiko yang bertujuan untuk
penyelamatan aset TI, pemulihan dari bencana dan
keberlangsungan operasi TI. Selanjutnya dibutuhkan manajemen
sumberdaya untuk mengoptimalkan pengetahuan (knowledge) dan
infrastruktur TI. Keseluruhan area ini dapat dikelola dengan
tepat melalui pengukuran performa dengan penelusuran
penyelesaian proyek dan memonitor layanan TI.
Perencanaan Strategi Sistem Informasi
1. Definisi Perencanaan Strategi Sistem Informasi
1. Definisi menurut para ahli
Martin (1990, p467) : Perencanaan Strategi
SI/TI merupakan periode pada daur hidup system ketika
sebuah arsitektur informasi , arsitektur system bisnis,
dan arsitektur teknikal pertama kali dibuat dan ketika
sekumpulan system bisnis yang konsisten dan terintegrasi
akan dikembangkan.
Martin (1990, p102) : Perencanaan Strategi
SI/TI merupakan salah satu langkah dalam information
engineering yang berhubungan dengan sasaran dan target
bisnis serta bagaimana teknologi dapat dihunakan untuk
menuciptakan kesempatan baru atau keuntungan kompetitif.
Ward and Griffiths (1996) : pendekatan sistematis untuk
menentukan mana yang paling efektif dan efisien berkaitan
dengan kepuasan pemenuhan kebutuhan informasi.
Ward and Peppard (2002) : Perencanaan strategis SI/TI
merupakan proses identifikasiportfolio aplikasi SI berbasis
komputer yang akan mendukung organisasi dalam pelaksanaan
rencana bisnis dan merealisasikan tujuan bisnisnya.
Perencanaan strategis SI/TI mempelajari pengaruh SI/TI
terhadap kinerja bisnis dan kontribusi bagi organisasi dalam
memilih langkah-langkah strategis. Selain itu, perencanaan
strategis SI/TI juga menjelaskan berbagai alat, teknik, dan
kerangka kerja bagi manajemen untuk menyelaraskan strategi
SI/TI dengan strategi bisnis, bahkan mencari kesempatan baru
melalui penerapan teknologi yang inovatif.
2. Definisi secara umum
Berdasarkan definisi – definisi yang ada, maka dapat
disimpulkan definisi dari perencanaan strategi sistem
informasi dan teknologi informasi adalah suatu proses analisis
secara menyeluruh dan sistematis dalam merumuskan tujuan dan
sasaran perusahaan, serta menentukan strategi yang
memanfaatkan kelebihan dari sistem informasi dan dukungan
teknologi informasi dalam menunjang strategi bisnis dan
memberikan keunggulan kepada perusahaan dalam bersaing.
B. Alasan Penggunaan Perencanaan Strategi Sistem Informasi
Ward dan Peppard (2002, p47) menyatakan beberapa alasan
yang menyebabkan perlunya bagi suatu perusahaan untuk memiliki
suatu strategi system informasi atau teknologi informasi :
1) Adanya investasi untuk pengadaan SI/TI yang tidak
mendukung sasaran bisnis suatu organisasi.
2) SI/TI yang ada tidak terkontrol
3) Sistem tidak teintegrasi sehingga data bersifat tersebar
sehingga sangat mungkin terjadi kerangkapan data dan
hilangnya keterkaitan antar sumber daya informasi.
4) Organisasi tidak memiliki skala prioritas dalam
mengembangkan proyek SI/TI, sehingga sangat sering
terjadi perubahan yang akhirnya menurunkan produktivitas
organisasi.
5) Manajemen informasi yang buruk dan tidak akurat.
6) Strategi SI/TI tidak sejalan dengan strategi bisnis
organisasi
7) Proyek SI/TI hanya dievaluasi untuk kepentingan keuangan
semata.
C. Model Perencanaan Strategi Sistem Informasi
Model kerangka kerja dan perencanaan strategis system dan
teknologi informas dapat dilihat pada gambar diatas , dan
lebih jelasnya adalah sebagai berikut :
Input, sebagai masukan dalam perencanaan strategis system
dan teknologi informasi terdiri atas:
a) Lingkungan bisnis internal organisasi
Merupakan strategi bisnis yang digunakan pada masa
sekarang, tujuan, sumber daya, proses dan budaya organisasi
serta nilai dari bisnis itu sendiri.
b) Lingkungan bisnis eksternal organisasi
Pada tahap ini dilakuakan analisis faktor-faktor di luar
organisasi yang mempengaruhi kinerja organisasi, yang mencakup
aspek-aspek ekonomi, industri, dan iklim bersaing perusahaan.
c) Lingkungan Internal SI/TI
Pada tahap ini akan dilakukan analisis yang mencakup
kondisi SI/TI organisasi dari perpektif bisnis saat ini
bagaimana kematangannya (maturity), bagaimana kontribusi
terhadap bisnis, keterampilan sumber daya manusia, sumber daya
dan infrastruktur teknologi, termasuk juga bagaimana
portofolio dari SI/TI yang ada saat ini.
d) Lingkungan Eksternal SI/TI
Pada tahap ini dilakukan analisis kondisi teknologi SI/TI
yang berkembang saat ini yang mencakup tren teknologi dan
peluang pemanfaatannya, serta penggunaan SI/TI oleh
kompetitor, pelanggan dan pemasok. Dari hasil ini akan
diperoleh peluang teknologi SI/TI yang dapat digunakan dalam
mendukung strategi organisasi.
Proses Perencanaan strategi SI/TI, proses dimana informasi
yang diperoleh, serta hasil analisis yang diperoleh dari
inputs, akan diolah untuk menghasilkan outputs:
Outputs, merupakan hasil dari proses yang mencakup :
A. Strategi bisnis SI, yang mencakup bagaimana setiap
unit/fungsi bisnis organisasi akan memanfaatkan SI/TI
untuk mencapai sasaran bisnisnya, portofolio aplikasi dan
gambaran arsitektur informasinya.
B. Strategi TI, yang mencakup kebijakan dan strategi bagi
pengelolaan teknologi dan sumber daya manusia SI/TI.
C. Strategi manajemen SI/TI, yang mencakup elemen-elemen umum
yang diterapkan melalui organisasi untuk memastikan
konsistensi penerapan kebijakan SI/TI yang dibutuhkan.
Future Application Portfolio, rincian yang menjelaskan usulan
aplikasi yang akan digunakan perusahaan dalam waktu kedepan,
untuk mengintegrasikan setiap unit dari perusahaan dan
menyesuaikan perkembangan teknologi dengan perkembangan
perusahaan.
Current Application Portfolio, rincian mengenai aplikasi system
informasi yang diterapkan perusahaan saat ini, dengan
melihat keuntungan dan kekuatan yang diperoleh dengan
menggunakan aplikasi tersebut serta melihat dukungan
aplikasi yang ada terhadap kegiatan operasional dan
perencanaan strategi sistem dan teknologi.
D. Teknik Analisis Perencanaan Strategi Sistem Informasi
Berdasarkan framework yang dikemukakan oleh Ward dan
Peppard (2002) teknik-teknik analisis yang digunakan dalam
perencanaan strategi SI/TI diantaranya adalah:
1. Analisis Lingkungan Internal Bisnis
Analisis lingkungan internal bisnis dari sebuah perusahaan
digunakan untuk mengetahui strategi bisnis perusahaan pada
saat ini, misi, dan visi perusahaan, aktivitas dan proses
bisnis perusahaan, sumber daya yang dimiliki dan informasi
yang dibutuhkan perusahaan. Adapun teknik – teknik analisis
yang digunakan dalam memahami kondisi situasi pada
lingkungan internal bisnis diantaranya adalah :
a) Analisis Value Chain
Analisis rantai nilai (value chain) adalah kegiatan
menganalisis kumpulan aktivitas yang dilakukan untuk
merancang, memproduksi, memasarkan, mengantarkan dan
mendukung produk atau jasa, dibedakan menjadi dua yaitu
aktivitas utama (primary activities) pada perusahaan yang
pada akhirnya memberikan kepuasan pada pelanggan. Aktivitas-
aktivitas tersebut tidak hanya dilakukan dengan baik, tapi
juga harus saling berhubungan dengan efektif jika
keseluruhan performa bisnis hendak dioptimalkan.
Aktivitas utama (Primary Activities) terdiri dari logistik
dalam, operasi, logistik keluar, pemasaran, dan pelayanan.
Kedua adalah aktivitas pendukung (Support Activities) yang
mendukung aktiviatas utama yang terdiri dari berbagai
fungsi, yaitu kelengkapan infrastruktur, manajemen SDM,
pengadaan barang, dan pengembangan teknologi.
b) Analisis SWOT
SWOT adalah singkatan yg diambil dari huruf depan kata
Strength, Weakness, Opportunity dan Threat, yg dalam bahasa
Indonesia mudahnya diartikan sebagai Kekuatan, Kelemahan,
Peluang dan Ancaman. Analisa SWOT berguna untuk menganalisa
faktor-faktor di dalam organisasi yang memberikan andil
terhadap kualitas pelayanan atau salah satu komponennya
sambil mempertimbangkan faktor-faktor eksternal.
Metode analisa SWOT bisa dianggap sebagai metode analisa
yang paling dasar, yang berguna untuk melihat suatu topik
atau permasalahan dari 4 sisi yang berbeda. Hasil analisa
biasanya adalah arahan atau rekomendasi untuk mempertahankan
kekuatan dan menambah keuntungan dari peluang yang ada,
sambil mengurangi kekurangan dan menghindari ancaman.
Analsis SWOT dapat dibagikan dalam lima langkah:
o Menyiapkan sesi SWOT.
o Mengidentifikasi kekuatan dan kelemahan.
o Mengidentifikasi kesempatan dan ancaman.
o Melakukan ranking terhadap kekuatan dan kelemahan.
o Menganalisis kekuatan dan kelemahan.
c) Analisis Critical Succes Factor (CSF)
Analisa CSF merupakan suatu ketentuan dari organisasi dan
lingkungannya yang berpengaruh pada keberhasilan atau
kegagalan. CSF dapat ditentukan jika objektif organisasi
telah diidentifikasi. Tujuan dari CSF adalah
menginterpretasikan objektif secara lebih jelas untuk
menentukan aktivitas yang harus dilakukan dan informasi apa
yang dibutuhkan.
Peranan CSF dalam perencanaan strategis adalah sebagai
penghubung antara strategi bisnis organisasi dengan strategi
SI-nya, memfokuskan proses perencanaan strategis SI pada
area yang strategis, memprioritaskan usulan aplikasi SI dan
mengevaluasi strategi SI.
Manfaat dari analisis CSF menurut Ward dan Peppard (2002,
p209) adalah sebagai berikut :
o Analisis CSF merupakan teknik yang paling efektif dalam
melibatkan manajemen senior dalam mengembangkan strategi
sistem informasi. Karena CSF secara keseluruhan telah
berakar pada bisnis dan memberikan komitmen bagi
manajemen puncak dalam menggunakan sistem informasi,
yang diselaraskan dengan pencapaian tujuan perusahaan
melalui area bisnis yang kritis.
o Analisis CSF menghubungkan proyek SI yang akan
diimplementasikan dengan tujuannya, dengan demikian
sistem informasi nantinya akan dapat direalisasikan agar
sejalan dengan strategi bisnis perusahaan.
o Dalam wawancara dengan manajemen senior, analisis CSF
dapat menjadi perantara yang baik dalam mengetahui
informasi apa yang diperlukan oleh setiap individu.
o Dengan menyediakan suatu hubungan antara dengan
kebutuhan informasi, analisis CSF memegang peranan
penting dalam memprioritaskan investasi modal yang
potensial.
o Analisis CSF sangat berguna dalam perencanaan sistem
informasi pada saat strategi bisnis tidak berjalan
sesuai dengan tujuan perusahaan, dengan memfokuskan pada
masalah – masalah tertentu yang paling kritis.
o Analisis CSF sangat berguna apabila digunakan sejalan
dengan analisis value chain dalam mengidentifikasi
proses yang paling kritis, serta memberikan fokus pada
pencapaian tujuan melalui kegiatan – kegiatan yang
paling tepat untuk dilaksanakan.
d) Key Performance Indicator (KPI)
Menurut Tozer (1996, p141), Key Performace Indicator
merupakan sebuah komposisi yang diperoleh dari beberapa
ukuran dimana bersifat tidak tetap dan bisa berubah. KPI
juga merupakan suatu indikator yang membantu dalam menilai :
o Untuk kerja dari sebuah fungsi.
o Tingkat keberhasilan dalam meraih sasaran atau tujuan.
o Perilaku CSF
Hal–hal yang perlu diperhatikan dalam menentukan KPI
antara lain :
o Mengeidentifikasi kebutuhan yang telah dibuat.
o Menyelidiki karakter lingkungan pengambilan keputusan.
o Menilai jangkauan informasi yang dibutuhkan.
o Menyelidiki proses pengambilan keputusan.
o Mengarahkan sensitifitas analisis akibat pengaruh dari
penundaan waktu.
o Mengembangkan format presentasi yang tepat.
o Mengerjakan seluruh lapisan dari proses informasi
pendukung.
2. Analisis Lingkungan Eksternal Bisnis
Analisis lingkungan eksternal bisnis dari sebuah
perusahaan terdiri dari faktor – faktor yang pada dasarnya di
luar dan terlepas dari perusahaan. Faktor – factor utama yang
biasa diperhatikan adalah faktor Politik, Ekonomi, Sosial dan
Teknologi (PEST). Lingkungan eksternal bisnis ini dapat
memberikan kesempatan besar dari perusahaan untuk maju,
sekaligus dapat menjadi hambatan dan ancaman untuk maju.
Adapun teknik-teknik analisis yang digunakan untuk memahami
kondisi situasi pada lingkungan eksternal bisnis diantaranya
adalah :
a. Analisis Lingkungan Politik, Ekonomi, Sosial dan
Teknologi (PEST)
Menurut Ward dan Peppard (2002, p70-72) analisis PEST
adalah analisis terhadap faktor lingkungan eksternal
bisnis yang meliputi bidang politik, ekonomi, sosial dan
teknologi.
o Faktor Politik
Faktor politik meliputi kebijakan pemerintah, masalah –
masalah hukum, serta mencakup aturan – aturan formal dan
informal dari lingkungan dimana perusahaan melakukan
kegiatannya. Contoh :
• Kebijakan tentang pajak
• Peraturan ketenagakerjaan
• Peraturan daerah
• Peraturan perdagangan
• Stabilitas politik
o Faktor Ekonomi
Faktor ekonomi meliputi semua faktor yang mempengaruhi
daya beli dari pelanggan dan mempengaruhi iklim
berbisnis suatu perusahaan. Contoh :
• Pertumbuhan ekonomi
• Tingkat suku bunga
• Standar nilai tukar
• Tingkat inflasi
• Harga-harga produk dan jasa
o Faktor Sosial
Faktor sosial meliputi semua faktor yang dapat
mempengaruhi kebutuhan dari pelanggan dan mempengaruhi
ukuran dari besarnya pangsa pasar yang ada. Contoh :
• Tingkat pendidikan masyarakat
• Tingkat pertumbuhan penduduk
• Kondisi lingkungan sosial
• Kondisi lingkungan kerja
• Keselamatan dan kesejahteraan sosial
o Faktor Teknologi
Faktor teknologi meliputi semua hal yang dapat membantu
dalam menghadapi tantangan bisnis dan mendukung
efisiensi proses bisnis. Contoh :
• Aktivitas penelitian dan pengembangan teknologi
• Automatisasi
• Kecepatan transfer teknologi
• Tingkat kadaluarsa teknologi
PEST digunakan untuk menilai pasar dari suatu unit bisnis
atau unit organisasi Arah analisis PEST adalah kerangka untuk
menilai sebuah situasi, dan menilai strategi atau posisi, arah
perusahaan, rencana pemasaran, atau ide. Dimana analisis ini
cukup mempengaruhi perusahaan, karena melalui analisis ini
dapat diambil suatu peluang atau ancaman baru bagi perusahaan.
b. Analisis Lima Model Persaingan Porter
Adapun teknik analisis Lima Model Persaingan Porter
digunakan untuk memahami kondisi situasi pada lingkungan
eksternal bisnis diantaranya adalah Analisis lima model
persaingan Porter meliputi :
Analisis terhadap pendatang baru
Analisis terhadap barang pengganti
Analisis kekuatan tawar menawar terhadap pelanggan
Analisis kekuatan tawar menawar dengan supplier
Analisis terhadap persaingan industri sejenis
3. Analisis Lingkungan Internal SI/TI
Analisis ini akan menyediakan informasi yang menyeluruh
tentang lingkungan internal SI/TI perusahaan saat ini,
yang dapat digunakan sebagai salah satu bentuk masukan dalam
proses strategi SI/TI (Ward dan Peppard, 2002, p198).
Analisis lingkungan internal SI/TI untuk mengetahui
pandangan SI/TI terhadap bisnis ada masa sekarang ini,
pengalaman perusahaan dalam bisnis, cakupan bisnis, dan
kontribusinya terhadap pasar, kemampuan perusahaan, sumber
daya dalam perusahaan dan infrastruktur teknologi yang
digunakan. Aplikasi portfolio saat ini dari sistem yang
berjalan dan sistem yang sedang dalam pengembangan (Ward dan
Peppard, 2002, p153).
a) Analisis Portfolio Aplikasi Mcfarlan (Portfolio
Aplikasi)
Menurut Ward dan Peppard (2002, p299) Portofolio
Aplikasi Mcfarlan digunakan untuk menilai kontribusi SI/TI
secara keseluruhan dan efeknya terhadap kesuksesan bisnis.
Menurut Ward dan Peppard (2002, p299) portofolio
aplikasi adalah cara untuk membawa bersama sistem
informasi yang telah ada, yang direncanakan dan potensial
untuk kemudian menilai kontribusi bisnisnya, umumnya
berupa matrik dua-kali-dua, yang merupakan metode yang
sangat popular untuk menjelaskan dampak dari variabel yang
tidak berkaitan, namun saling mempengaruhi.
Dalam portfolio aplikasi sebuah aplikasi dapat
dikategorikan sebagai strategic, high potential, key
operational, atau support tergantung dari peranannya
dalam mendukung strategi bisnis perusahaan, baik pada saat
ini maupun di masa mendatang.
4. Analisis Lingkungan Eksternal SI/TI
Analisis ini digunakan untuk mendapatkan pemahaman tentang
keadaan dan perkembangan SI/TI diluar lingkungan perusahaan,
yang memberikan dampak dan pengaruh bagi perusahaan baik
secara langsung maupun tidak langsung. Tujuan utama dari
analisis ini adalah untuk mendapatkan pengetahuan tentang
peluang – peluang baru dalam penggunaan SI/TI, dan ini
tidak terbatas hanya pada peluang untuk mengimplemetasikan
teknologi yang termutakhir namun juga dapat berupa peluang
untuk menggunakan teknologi yang sudah ada dengan cara yang
lebih hemat dan tepat dalam penggunaannya atau peluang untuk
menggunakan teknologi dengan cara lain yang tidak pernah
terpikirkan sebelumnya.Bagian dari analisis ini juga
meliputi pengetahuan tentang SI/TI yang digunakan oleh pihak
eksternal seperti pesaing, pemasok, atau perusahaan –
perusahaan lain yang memiliki hubungan dan mempengaruhi bisnis
perusahaan. Salah satu aspek dari analisis ini adalah untuk
dapat mengkategorikan elemen – elemen yang potensial dan
berharga dari teknologi untuk dapat dievaluasi
dan dimanfaatkan oleh perusahaan. Inti dari analisis ini
adalah untuk dapat menyediakan informasi yang menyeluruh
tentang lingkungan eksternal SI/TI untuk digunakan sebagai
salah satu bentuk masukan dalam proses perencanaan strategi
SI/TI (Ward dan Peppard, 2002, p203-204).
COBIT (Control Objective for Information and related
Technology)
COBIT Guidelines
Kerangka kerja COBIT terdiri atas beberapa arahan/pedoman,
yakni:
1. Control Objectives
Terdiri atas 4 tujuan pengendalian tingkat-tinggi (high-
level control objectives) yang tercermin dalam 4 domain,
yaitu: planning & organization , acquisition &
implementation , delivery & support , dan monitoring.
2. Audit Guidelines
Berisi sebanyak 318 tujuan-tujuan pengendalian yang
bersifat rinci (detailed control objectives) untuk
membantu para auditor dalam memberikan management
assurance dan/atau saran perbaikan.
3. Management Guidelines
Berisi arahan, baik secara umum maupun spesifik,
mengenai apa saja yang mesti dilakukan, terutama agar
dapat menjawab pertanyaan-pertanyaan berikut:
a. Sejauh mana Anda (TI) harus bergerak, dan apakah
biaya TI yang dikeluarkan sesuai dengan manfaat yang
dihasilkannya.
b. Apa saja indikator untuk suatu kinerja yang bagus?
c. Apa saja faktor atau kondisi yang harus diciptakan
agar dapat mencapai sukses ( critical success
factors )?
d. Apa saja risiko-risiko yang timbul, apabila kita
tidak mencapai sasaran yang ditentukan?
e. Bagaimana dengan perusahaan lainnya – apa yang
mereka lakukan?
f. Bagaimana Anda mengukur keberhasilan dan bagaimana
pula membandingkannya.
Gambar 6 Kaitan IT Governance dan COBIT
Pihak Kebutuhan Kontrol COBIT
a. Direktur dan Eksekutif
Untuk memastikan manajemen mengikuti dan
mengimplementasikan strategi searah dengan IT.
a. Manajemen
Untuk mengambil keputusan investasi IT.
Untuk keseimbangan resiko dan kontrol investasi.
Untuk benchmark lingkungan IT sekarang dan masa
depan.
b. Users
Untuk memperoleh jaminan keamanan dan control
produk dan jasa yang dibutuhkan secara internal
maupun eksternal.
c. Auditors
Untuk memperkuat opini untuk manajemen dalam
control internal.
Untuk memberikan saran pada control minimum yang
diperlukan.
Prinsip Dasar COBIT
Untuk menyediakan informasi yang dibutuhkan perusahaan
untuk mencapai tujuan organisasi.Prinsip dasar COBIT
menggambarkan :
1. Kebutuhan bisnis
2. Orientasi proses
3. Sumber daya IT
Gambar 7 Prinsip Dasar COBIT
The COBIT Cube
Gambar 8 The COBIT Cube
Kebutuhan Bisnis
a. Efektivitas (Effectiveness), menguraikan informasi yang
relevan dan berhubungan dengan proses bisnis yang
disampaikan tepat pada waktunya dengan cara yang
benar, konsisten dan tepat digunakan.
b. Efisiensi (Efficiency), menyangkut ketentuan informasi
melalui penggunaan sumberdaya yang optimal (lebih
produktif dan ekonomis).
c. Kerahasiaan (Confidentiality), menyangkut perlindungan
informasi yang sensitif dari akses yang tidak sah.
d. Integritas (Integrity), berkaitan dengan keakuratan dan
kelengkapan informasi juga keabsahannya yang sesuai
dengan harapan (expectation) dan nilai bisnis.
e. Ketersediaan (Availability), berkaitan dengan informasi
yang tersedia yang diperlukan oleh proses bisnis saat
ini dan yang akan datang, juga menyangkut penjagaan
sumberdaya yang perlu dan kemampuan yang terkait.
f. Pemenuhan (Compliance), menguraikan pemenuhan hukum,
peraturan dan persetujuan yang bersifat kontrak dimana
proses bisnisnya merupakan subyek, yakni kriteria
bisnis yang ditentukan dari luar.
g. Keterandalan informasi (Reliability of Information), berkaitan
dengan ketentuan informasi yang memadai bagi manajemen
untuk menjalankan dan melaksanakan keseluruhan
finansialnya dan pemenuhan laporan tanggung jawab
Sumber Daya IT
a. Data, adalah obyek-obyek dalam pengertian yang lebih
luas (yakni internal dan eksternal), terstruktur dan
tidak terstruktur, grafik, suara dan sebagainya.
b. Sistem aplikasi, dipahami untuk menyimpulkan atau
meringkas, baik prosedur manual maupun yang
terprogram.
c. Teknologi, mencakup hardware, sistem operasi, sistem
manajemen database, jaringan (networking), multimedia,
dan lain- lain.
d. Fasilitas, adalah semua sumberdaya untuk menyimpan
dan mendukung system informasi.
e. Manusia termasuk staf ahli, kesadaran dan
produktivitas untuk merencanakan, mengorganisasikan
atau melaksanakan, memperoleh, menyampaikan, mendukung
dan memantau layanan sistem informasi.
Orientasi Proses IT Dom ains• Plan andOrganise
• Acquire and Im plem ent
• Deliver and Support
• Monitor and Evaluate
IT Processes• IT strategy• Com puter operations• Incident handling• Acceptance testing• Change m anagem ent• Contingency planning• Problem m anagem ent
Activities• Record new problem• Analyse• Propose solution• Monitor solution• Record known problem• Etc.
Framework COBIT terdiri dari 34 high-level control
objective, dimana tiap-tiap IT proses dikelompokkan dalam
empat domain utama:
1. Planning and Organization
mencakup strategi dan taktik yang menyangkut
identifikasi tentang bagaimana TI dapat memberikan
kontribusi terbaik dalam pencapaian tujuan bisnis
organisasi sehingga terbentuk sebuah organisasi yang
baik dengan infrastruktur teknologi yang baik pula.
PO1 Define a strategic information technology plan
PO2 Define the information architecture
PO3 Determine the technological direction
PO4 Define the IT organisation and relationships
PO5 Manage the investment in information technology
PO6 Communicate management aims and direction
PO7 Manage human resources
PO8 Ensure compliance with external requirements
PO9 Assess risks
PO10 Manage projects
PO11 Manage quality
2. Acquisition and Implementation
identifikasi solusi TI dan kemudian diimplementasikan
dan diintegrasikan dalam proses bisnis untuk mewujudkan
strategi TI.
AI1 Identify automated solutions
AI2 Acquire and maintain application software
AI3 Acquire and maintain technology infrastructure
AI4 Develop and maintain IT procedures
AI5 Install and accredit systems
AI6 Manage changes
3. Delivery and Support
domain yang berhubungan dengan penyampaian layanan yang
diinginkan, yang terdiri dari operasi pada sistem
keamanan dan aspek kesinambungan bisnis sampai dengan
pengadaan training.
DS1 Define and manage service levels
DS2 Manage third-party services
DS3 Manage performance and capacity
DS4 Ensure continuous service
DS5 Ensure systems security
DS6 Identify and allocate costs
DS7 Educate and train users
DS8 Assist and advise customers
DS9 Manage the configuration
DS10 Manage problems and incidents
DS11 Manage data
DS12 Manage facilities
DS13 Manage operations
4. Monitoring
semua proses TI perlu dinilai secara teratur dan berkala
bagaimana kualitas dan kesesuaiannya dengan kebutuhan
kontrol
M1 Monitor the process
M2 Assess internal control adequacy
M3 Obtain independent assurance
M4 Provide for independent audit
PO 1 Define a strategic IT planPO 2 Define the inform ation architecturePO 3 Determ ine the technologicaldirectionPO 4 Define the IT organisation and relationshipsPO 5 M anage the IT investm entPO 6 Com m unicate m anagem entaim s and directionPO 7 M anage hum an resourcesPO 8 Ensure com pliance with externalrequirem entsPO 9 Assess risksPO 10 M anage projectsPO 11 M anage quality
AI1 Identify autom ated solutionsAI2 Acquire and m antain application softw areAI3 Acquire and m aintain technology infrastructureAI4 Develop and m aintain IT proceduresAI5 Installand accreditsystem sAI6 M anage changes
M 1 M onitor the processM 2 Assess internalcontrol adequacyM 3 Obtain independentassuranceM 4 Provide forindependentaudit
DS1 Define service levelsDS2 M anage third-party servicesDS3 M anage peform ance and capacityDS4 Ensure continuous serviceDS5 Ensure system s securityDS6 Identify and attribute costsDS7 Educate and train usersDS8 Assistand advise IT custom ersDS9 M anage the configurationDS10 M anage problem s and incidentsDS11 M anage dataDS12 M anage facilitiesDS13 M anage operations
IT RESOURCES
IT RESOURCES
• Data• Application system s• Technology• Facilities• People
• Data• Application system s• Technology• Facilities• People PLAN AND
ORGANISEPLAN AND ORGANISE
ACQUIRE ANDIM PLEM ENT
ACQUIRE ANDIM PLEM ENT
DELIVER AND SUPPO RT
DELIVER AND SUPPO RT
IT RESOURCES
IT RESOURCES
• Data• Application system s• Technology• Facilities• People
• Data• Application system s• Technology• Facilities• People PLAN AND
ORGANISEPLAN AND ORGANISE
ACQUIRE ANDIM PLEM ENT
ACQUIRE ANDIM PLEM ENT
DELIVER AND SUPPO RT
DELIVER AND SUPPO RT
• Effectiveness• Efficiency• Confidenciality• Integrity• Availability• Com pliance• Reliability
• Effectiveness• Efficiency• Confidenciality• Integrity• Availability• Com pliance• Reliability
Criteria• Effectiveness• Efficiency• Confidenciality• Integrity• Availability• Com pliance• Reliability
• Effectiveness• Efficiency• Confidenciality• Integrity• Availability• Com pliance• Reliability
Criteria
BusinessObjectives
M ONITO R ANDEVALUATE
COBITFram ew ork
Gambar 9 Kerangka COBIT
The COBIT Framework memasukkan juga hal-hal berikut ini:
a. Maturity Models – Untuk memetakan status maturity proses-
proses IT (dalam skala 0 - 5) dibandingkan dengan “the
best in the class in the Industry” dan juga International
best practices
b. Critical Success Factors (CSFs) – Arahan implementasi bagi
manajemen agar dapat melakukan kontrol-kontrol atas proses
IT dalam perusahaan.
c. Key Goal Indicators (KGIs) – Kinerja proses-proses IT
sehubungan dengan business requirements
d. Key Performance Indicators (KPIs) – Kinerja proses-proses
IT sehubungan dengan proses pencapaian tujuan.
COBIT dikembangkan sebagai suatu generally applicable and
accepted standard for good Information Technology (IT)
security and control practices . Istilah “ generally
applicable and accepted ” digunakan secara eksplisit dalam
pengertian yang sama seperti Generally Accepted Accounting
Principles (GAAP).
Sedang, COBIT's “good practices” mencerminkan konsensus
antar para ahli di seluruh dunia. COBIT dapat digunakan
sebagai IT Governance tools, dan juga membantu perusahaan
mengoptimalkan investasi IT mereka. Hal penting lainnya, COBIT
dapat juga dijadikan sebagai acuan atau referensi apabila
terjadi suatu kesimpang-siuran dalam penerapan teknologi.
Suatu perencanaan Audit Sistem Informasi berbasis
teknologi (audit IT) oleh Internal Auditor, dapat dimulai
dengan menentukan area-area yang relevan dan berisiko paling
tinggi, melalui analisa atas ke-34 proses tersebut. Sementara
untuk kebutuhan penugasan tertentu, misalnya audit atas proyek
IT, dapat dimulai dengan memilih proses yang relevan dari
proses-proses tersebut.
Lebih lanjut, auditor dapat menggunakan Audit Guidelines
dengan menerapkan seluruh domain yang terdapat dalam COBIT,
yakni planning-organization (PO), acquisition-implementation
(AI), Delivery-support (DS) dan Monitoring (M) untuk merancang
prosedur audit.
Singkatnya, COBIT khususnya guidelines dapat dimodifikasi
dengan mudah, sesuai dengan industri, kondisi IT di Perusahaan
atau organisasi Anda, atau objek khusus di lingkungan IT.
Selain dapat digunakan oleh Auditor, COBIT dapat juga
digunakan oleh manajemen sebagai jembatan antara risiko-risiko
IT dengan pengendalian yang dibutuhkan (IT risk management)
dan juga referensi utama yang sangat membantu dalam penerapan
IT Governance di perusahaan.
TEKNIK PENAKSIRAN RESIKO
Dalam menetapkan fungsi/area/unit yang akan di audit, auditormemiliki berbagai pilihan bergantung pada resiko subjek audit.Ada beberapa metode untuk melakukan penilaian resiko, yaitu :
a. Pendekatan penaksiran dengan sistem scoring sistemPendekatan ini digunakan dengan mengutamakan auditberdasarkan pada evaluasi faktor-faktor resiko.
b. Penilaian risiko secara judgemntalYaitu keputusan dibuat berdasakan keputusan bisnis,instruksi manajemen eksekutif, sejarah kehilangan,tujuan bisnis dan faktor-faktor lingkungan
c. Teknik kombinasi
Sesungguhnya auditing is about evaluating risks andcontrols. Salah satu kegiatan utama dalam pelaksanaan audit
adalah pengumpulan dan evaluasi bukti audit (audit evidenceand evidence evaluation) khususnya mengenai penaksiran tingkatresiko, menilai pengendalian yang sudah ada dan apakah sudahmemadai, serta pemeriksaan apakah pengendalian dilaksanakansungguh-sungguh. Hal itu dapat dilakukan dengan interview,questionnaires, controls flowcharts, dengan performancemanagement tools, serta dengan alat bantu audit software.Pengujian juga dapat dilakukan dengan cara progamming code(listing) review, test data dan code comparisoon. Evaluasiaudit evidence dilakukan dengan tujuan untuk mendapatkeyakinan tentang telah diselenggarakannya good IT governance.
Perubahan lingkungan IT merubah pelaksanaan dan teknikpengumpulan dan evaluasi bukti audit. Oleh karena itudisamping kriteria profesional yang lazimnya diperlukan dalamaudit tradisional, pada audit SI auditor juga harus menguasaihal-hal yang berkaitan dengan information system management,behavioral science, dan computer science. Bahkan karena auditSI lazimnya dan dilakukan oleh auditor intern, agar hubungankemitraan antara auditor dan auditee dapat terjalin baik, makapara auditor intern perlu dilengkapi dengan pengetahuanpsikologi audit.
Metodologi Audit IT
Dalam pelaksanaanya, auditor TI mengumpulkan bukti-bukti yangmemadai melalui berbagai teknik termasuk survey, wawancara,observasi dan review dokumentasi.
Satu hal yang unik, bukti-bukti audit yang diambil olehauditor biasanya mencakup pula bukti elktronis. Biasanya,auditor TI menerapkan teknik audit berbantuan computer,disebut juga dengan CAAT (Computer Aided Auditing Technique).Teknik ini digunakan untuk menganalisa data, misalnya saha
data transaksi penjualan, pembelian, transaksi aktivitaspersediaan, aktivitas nasabah, dan lain-lain.
DAFTAR PUSTAKA
Information System Audit and Control Association (ISACA). (2003), IS Standards, Guidelines and Procedures for Auditing and Control Professionals. United States.
MOELLER, ROBERT R. (2008). Effective Auditing with AS5, CobiT, and ITIL. John Wiley & Sons, Inc. Canada.
Weill, Peter and Ross, Jeanne W. (2004). IT Governance - How Top Performers Manage IT Decision Rights for Superior Results.Harvard Business School Press. United States.
http://www.azwar.net/2010/10/resume-perencanaan-strategis-sistem-informasi-part-1/di Akses pada tanggal 23 November 2014 pukul 20.00 WIB