BAB I

AUDIT SISTEM INFORMASI DENGAN MENGGUNAKAN COBIT
(CONTROL OBJECTIVES FOR
INFORMATION AND RELATED TECHNOLOGY)
ABSTRAK
Perkembangan Information of Technology (IT) mengalami kemajuan yang begitu
pesat pada saat ini. Kemajuan IT ini menjadikan setiap penggunanya dapat mengakses
berbagai data-data dan informasi-informasi yang dibutuhkan dengan mudah dan cepat.
Peningkatan peran IT dalam perusahaan yang terjadi saat ini sebenarnya juga diikuti
dengan perubahan proses bisnis perusahaan. Pengembangan strategi bisnis selalu
dikaitkan dengan pengembangan strategi IT. Terkadang, pelaksanaan strategi system
informasi tidaklah berjalan dengan baik.
Konsep Information of Technology (IT) governance adalah cara mengelola
penggunaan teknologi informasi di sebuah organisasi. IT Governance menggabungkan
good practices dari perencanaan dan pengorganisasian, pembangunan dan
pengimplementasian, delivery dan support, serta memonitor kinerja system informasi
untuk memastikan kalau informasi dan teknologi yang berhubungan mendukung tujuan
dan misi organisasi. Salah satu cara mengetahui hal tersebut adalah dengan melakukan
proses audit terhadap sistem tersebut. Audit dilakukan dengan tujuan untuk menetapkan
kondisi saat ini, mencari kekurangan-kekurangan dan merekomendasikan perbaikan agar
sistem informasi lebih berguna dalam mendukung organisasi. Audit Sistem Informasi
dapat dilakukan perusahaan untuk mengevaluasi/audit sistem yang telah ada juka terdapat
kekurangan terhadap sistem yang ada.
Penulisan ini bertujuan untuk mengungkapkan pentingnya audit sistem informasi
dalam perusahaan. Dalam penulisan ini, COBIT (Control Obejctive for Information and
Related Technology) dapat digunakan sebagai tools yang digunakan untuk
mengefektifkan implementasi sistem informasi dalam perusahaan. COBIT terdiri dari 4
domain, yaitu Planning-Oragnization (PO), Acquisition-Implementation (AI), DeliverySupport (DS), dan Monitoring (M). COBIT framework digunakan untuk menyusun dan
menerapkan model audit sistem infromasi dengan tujuan untuk memberikan masukan dan
rekomendasi bagi pihak manajemen perusahaan untuk perbaikan pengelolaan sistem
informasi di masa mendatang.
Kata Kunci : audit IT, sistem informasi, COBIT
1
DAFTAR ISI
Abstrak…………………………………………………………………………………......i
Daftar Isi………………………………………………………………………………......ii
BAB 1
PENDAHULUAN...........................................................................................1
1.1 Latar Belakang...............................................................................................................1
1.2 Ruang Lingkup...............................................................................................................1
1.3 Tujuan & Manfaat..........................................................................................................2
1.3.1
Tujuan.............................................................................................................2
1.3.2
Manfaat...........................................................................................................2
1.4 Metodologi Penulisan....................................................................................................2
BAB 2
LANDASAN TEORI.................................................................................3
2.1 Teori-teori Umum..........................................................................................................3
2.1.1
Pengertian sistem............................................................................................3
2.1.2
Pengertian Informasi.......................................................................................3
2.1.3
Pengertian Teknologi Informasi.....................................................................3
2.2 Teori-teori Khusus.........................................................................................................3
2.2.1
Pengertian IT Governance..............................................................................3
2.2.2
Pengertian Audit SI………………………………………………………….3
2.2.3
Pengertian Pengendalian Internal……………………………………...........4
2.2.4
COBIT.........................................…………………………………………....4
2.2.4.1
Pengertian COBIT..............................................................................4
2.2.4.2
COBIT dan Sejarah Perkembangannya..............................................4
2
2.2.4.3
BAB 3
Kerangka Kerja COBIT......................................................................5
PEMBAHASAN.........................................................................................6
3.1 IT Governance...............................................................................................................6
3.1.1
IT Governance Institute..................................................................................6
3.1.2
Tujuan IT Governance....................................................................................6
3.1.3
Sasaran IT Governance...................................................................................6
3.1.4
Fokus Area IT Governance………………………………………………….6
3.1.5
Proses IT Governance……………………………………………………….7
3.1.6
Pentingnya IT Governance……………………………………………….....7
3.1.7
Tata Kelola IT…………………………………………………………….....7
3.1.8
Good Governance…………………………………………………………...8
3.2 Audit SI…………………………………………………………. ................................9
3.2.1
Tipe-tipe Audit………………………………………………………………9
3.2.2
Fungsi Dasar dari Internal Audit...................................................................10
3.2.3
Prinsip Laporan Audit...................................................................................10
3.2.4
Metodologi Audit TI.....................................................................................11
3.2.5
Langkah Dasar Audit SI................................................................................12
3.3 COBIT..........................................................................................................................13
3.3.1
COBIT...........................................................................................................13
3.3.2
ISACA (Information System Audit and Control Association)…………….13
3.3.3
CISA (Certified Information Systems Auditor)……………………………13
3.3.4
Kegunaan COBIT………………………………………………………….14
3.3.5
COBIT Guidelines........................................................................................14
3
3.3.6
Sumber Daya IT...........................................................................................15
3.3.7
Cakupan Audit dan IT Governance..............................................................16
3.3.8
Kode Etik Profesional……………………………………………………...16
3.3.9
Perusahaan dan IT Governance....................................................................17
BAB 4
PENUTUP.................................................................................................19
4.1 Simpulan......................................................................................................................19
4.2 Saran............................................................................................................................19
DAFTAR PUSTAKA.........................................................................................................v
RIWAYAT HIDUP...........................................................................................................vi
4
BAB I
Pendahuluan
1.1
Latar Belakang
Pemanfaatan IT dalam dunia industri sudah sangat penting. IT memberi peluang
terjadinya transformasi dan peningkatan produktifitas bisnis. Penerapan IT membutuhkan
biaya yang cukup besar dengan resiko kegagalan yang tidak kecil, yaitu bila terjadi
gangguan pada IT yang dimiliki. Penerapan IT di dalam perusahaan dapat digunakan
secara maksimal, untuk itu dibutuhkan pemahaman yang tepat mengenai konsep dasar
dari sistem yang berlaku, teknologi yang dimanfaatkan, aplikasi yang digunakan dan
pengelolaan serta pengembangan sistem IT yang dilakukan.
Era globalisasi sekarang ini, perusahaan harus dapat mengatasi masalah dan
perubahan yang terjadi secara cepat dan sesuai sasaran. Oleh karena itu, faktor yang
harus diperhatikan tidak hanya berfokus pada pengelolaan informasi semata, melainkan
juga harus fokus untuk menjaga dan meningkatkan mutu informasi perusahaan. Dalam
konteks ini, informasi dapat dikatakan menjadi kunci untuk mendukung dan
meningkatkan manajemen perusahaan agar dapat memenangkan persaingan yang
semakin lama akan semakin meningkat.
Peningkatan kebutuhan dari para pelanggan terhadap tuntutan kinerja perusahaan
yang lebih baeik semakin lama semakin tinggi. Dari satu sisi, tidak hanya melalui hasil
(output) berupa produk atau jasa semata, tetapi dewasa ini juga telah mencakup proses
yang berhubungan dengan pelanggan. Mulai dari proses pemesanan barang, proses
pengiriman barang pelanggan, sampai ke bagian keuangan yang berhubungan dengan
pelanggan akan lebih terkendali bila terjadi pertukaran informasi secara real time.
Apabila perusahaan tidak dapat mengelola informasi dengan baik, maka pelanggan akan
dengan mudah berpindah-pindah menuju perusahaan lain.
Salah satu metode pengelolaan teknologi informasi yang digunakan secara luas
adalah IT governance yang terdapat pada COBIT (Control Objectives for Information
and Related Technology). COBIT dapat dikatakan sebagai kerangka kerja teknologi
informasi yang dipublikasikan oleh ISACA (Information System Audit and Control
Association). COBIT berfungsi mempertemukan semua bisnis kebutuhan kontrol dan isuisu teknik. Di samping itu, COBIT juga dirancang agar dapat menjadi alat bantu yang
dapat memecahkan permasalahan pada IT governance dalam memahami dan mengelola
resiko serta keuntungan yang behubungan dengan sumber daya informasi perusahaan.
1.2
Ruang Lingkup
Untuk lebih mengarahkan penyusunan dan penulisan, topik yang dibahas
meliputi :
o Evaluasi sistem informasi dengan menggunakanCOBIT
o Pembuatan meliputi pentingnya IT Governance dalam pengelolaan IT yang baik.
o COBIT secara keseluruhan terbagi menjadi 4 domain, yaitu Planning &
Organization, Acquisition & Implementation, Delivery & Support, dan
Monitoring & Evaluation. Penjabaran 4 domain tersebut dituangkan ke dalam 34
proses
5
1.3
Tujuan dan Manfaat
1.3.1 Tujuan
Adapun tujuan dari penulisan paper ini adalah :
 Melakukan penelitian terhadap metode COBIT yang ada sehingga dapat
mengevaluasi kelebihan dan kekurangan system informasi yang ada dalam
perusahaan
 Menganalisa kebutuhan control yang diperlukan perusahaan, khususnya dalam
mengelola teknologi informasi.
 Memberikan wawasan lebih jauh terhadap kemajuan ilmu pengetahuan
terutama dalam bidang Audit Sistem Informasi dan Teknologi Informasi
dengan standar COBIT
1.3.2 Manfaat
Adapun manfaat-manfaat dari penulisan paper ini adalah :
 Memberikan penilaian dan arahan yang berorientasi pada bisnis dengan
menggunakan standar COBIT terhadap kebutuhan kontrol bagi pihak
manajemen
 Proses dan hasil penelitian dapat dijadikan arah untuk menuju penerapan IT
Governance yang baik bagi perusahaan.
 Memberikan referensi bagi mahasiswa-mahasiswi BINUS University yang
ingin memahami konsep COBIT
 Pemahaman terhadap IT Governance dengan acuan COBIT yang merupakan
salah satu topic skripsi yang dapat diambil mahasiswa BINUS.
1.4
Metodologi Penulisan
Dalam menyelesaikan tugas paper ini saya mengambil sumber-sumber dari
internet, google, website-website, jurnal, dan buku-buku yang berhubungan dengan topik
ini.
6
BAB 2
LANDASAN TEORI
2.1
Teori-teori Umum
2.1.1 Pengertian Sistem
Menurut O’Brien, system merupakan sekumpulan komponen-komponen yang
saling berhubungan dan bekerja sama untuk mencapai tujuan bersama, dengan menerima
masukan dan menghasilkan pengeluaran melalui proses transformasi yang terorganisir.
Menurut Mathiassen, system adalah sekumpulan komponen yang
mengimplementasikan kebutuhan pemodelan fungsi dan antar muka.
Jadi secara umum, system adalah gabungan kompenen-komponen yang saling
bekerja sama, yang dapat mengolah transformasi yang teratur, sehingga output tersebut
dapat berguna bagi pelaksanaan suatu kegiatan atau fungsi utama dari sebuah organisasi.
2.1.2 Pengertian Informasi
Menurut O’Brien, informasi adalah adata yang telah diubah ke dalam sebuah
bentuk yang mempunyai arti dan berguna bagi pemakai tertentu atau khusus.
Menurut Mcleod, informasi adalah data yang telah diproses sehingga menjadi
data yang mempunyai arti dan berguna bagi pemakainya.
Jadi secara umum kesimpulan definisi informasi adalah kumpulan dari fakta atau
data yang dapat diatur dan diproses dalam beberapa cara sehingga dapat berguna bagi
pengguna.
2.1.3 Pengertian Teknologi Informasi
Teknologi Informasi adalah suatu hardware (perangkat keras) dan software
(perangkat lunak) yang digunakan oleh sistem informasi, hardware atau perangkat keras
merupakan peralatan fisik yang terlibat dalam pemrosesan informasi seperti computer,
workstation, peralatan jaringan, tempat penyimpanan data serta peralatan transmisi.
Software adalah program computer yang menginterpretasikan apa yang harus dilakukan.
Teknologi Informasi adalah teknologi computer untuk memproses dan
menyimpan informasi, sama baiknya dengan teknologi komunikasi untuk transmisi
informasi
2.2 Teori-teori Khusus
2.2.1 Pengertian IT Governance
Menurut Wikipedia, IT governance adalah satu cabang dari tata kelola perusahaan
yang terfokus pada system teknologi informasi (TI) serta manajemen kinerja dan
resikonya. Meningkatnya minat pada tata kelola TI sebagian besar muncul karena adanya
prakarsa kepatuhan serta semakin diakuinya kemudahan proyek TI untuk lepas kendali
yang dapat berakibat besar terhadap kinerja suatu organisasi.
2.2.2 Pengertian Audit SI
Menurut Wikipedia, audit teknologi informasi adalah bentuk pengawasan dan
pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Audit
teknologi informasi ini dapat berjalan bersama-sama dengan audit financial dan audit
7
internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Pada
mulanya istilah ini dikenal dengan audit pemrosesan data elektronik, dan sekarang
audit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi
dari semua kegiatan system informasi dalam perusahaan itu. Istilah lain dari audit
teknologi informasi adalah audit computer yang banyak dipakai untuk menentukan
apakah asset system informasi perusahaan itu telah bekerja secara efektif, dan
integrative dalam mencapai target organisasinya.
2.2.3 Pengertian Pengendalian Internal
Menurut Weber, komponen pengendalian internal meliputi :
a) Lingkunan Pengendalian
Prosedur-prosedur pengendalian harus dioperasikan
b) Penaksiran Resiko
Meliputi tentang identifikasi resiko, analisa resiko, dan cara pengendalian resiko
c) Aktivitas Pengendalian
d) Pemrosesan Informasi dan Komunikasi
Meliputi identifikasi informasi dan pengelolaan informasi
e) Pemantauan
Memastikan pengendalian berjalan dengan baik
2.2.4
COBIT
2.2.4.1 Pengertian COBIT
COBIT (Control Objectives for Information and Related Technology)
merupakan sekumpulan dokumentasi dan panduan yang mengarahkan pada IT
governance yang dapat membantu auditor, manajemen, dan pengguna (user)
untuk menjembatani pemisah antara resiko bisnis, kebutuhan kontrol, dan
permasalahan-permasalahan teknis. COBIT dikembangkan oleh IT governance
Institute (ITGI) yang merupakan bagian dari Information Systems Audit and
Control Association (ISACA)
Menurut Campbell COBIT merupakan suatu cara untuk menerapkan IT
governance. COBIT berupa kerangka kerja yang harus digunakan oleh suatu
organisasi bersamaan dengan sumber daya lainnya untuk membentuk suatu
standar yang umum berupa panduan pada lingkungan yang lebih spesifik.
Secara terstruktur, COBIT terdiri dari seperangkat contol objectives untuk
bidang teknologi indormasi, dirancang untuk memungkinkan tahapan bagi audit.
Menurut IT Governance Institute Control Objectives for Information and
related Technology (COBIT, saat ini edisi ke-4) adalah sekumpulan
dokumentasi best practices untuk IT governance yang dapat membantu auditor,
manajemen and pengguna ( user ) untuk menjembatani gap antara risiko bisnis,
kebutuhan kontrol dan permasalahan-permasalahan teknis.
2.2.4.2 COBIT dan sejarah perkembangannya
COBIT muncul pertama kali pada tahun 1996 yaitu COBIT versi 1 yang
menekankan pada bidang audit, COBIT versi 2 pada tahun 1998 yang
menekankan pada tahap kontrol, COBIT versi 3 pada tahun 2000 yang
8
berorientasi kepada manajemen, dan COBIT versi 4 yang lebih mengarah
kepada IT governance. COBIT terdiri dari 4 domain, yaitu:
 Planning & Organization
 Acquisition & Implementation
 Delivery & Support
 Monitoring & Evalution
2.2.4.3 Kerangka kerja COBIT
Menurut Campbell dalam hirarki COBIT terdapat 4 domain COBIT yang
terbagi menjadi 34 proses dan 318 control objectives, serta 1547 control
practitices. Dalam setiap domain dan proses di dalamnya tersedia pula panduan
manajemen, panduan audit, dan ringkasan bagi pihak eksekutif
Adapun kerangka kerja COBIT secara keseluruhan terdiri atas arahan sebagai
berikut:
 Control Obejctives: terdiri atas 4 tujuan pengendalian tingkat tinggi yang
tercermin dalam 4 domain.
 Audit guidelines: berisi 318 tujuan pengendalian bersifat rinci
 Management guidelinesL berisi arahan, baik secara umum dan spesifik
mengenai hal-hal yang menyangkut kebutuhan manajemen. Secara garis
besar dapat memberikan jawaban mengenai:
o Apa saja indikator untuk mencapai hasil kinerja yang baik?
o Faktor apa saja yang harus diperhatikan untuk mencapai sukses?
o Apa resiko yang mungkin muncul bila tidak mencapai sasaran?
Disamping itu, dalam kerangka kerja COBIT juga memasukkan bagian-bagian
seperti :
 Maturity models: untuk menilai tahap maturity IT dalam skala 0-5
 Critical Success Factors (CSFs): arahan implementasi bagi manajemen
dalam melakukan pengendalian atas proses IT.
 Key Goal Indicatirs (KGIs): berisi mengenai arahan kinerja prosesproses IT sehubungan dengan kebutuhan bisnis.
 Key Performance Indicators (KPIs): kinerja proses-proses IT
sehubungan dengan sasaran/tujuan proses (process goals).
9
BAB 3
PEMBAHASAN
3.1 IT Governance
3.1.1 IT Governance Institute
The It Governance Institute (ITGITM) didirikan pada tahun 1998 untuk
memajukan pemikiran dan standar internasional untuk mengarahkan dan
mngendalikan suatu IT perusahaan. ITGI mengembangkan Control Objective for
Information and related Technology (COBIT), sekarang dalam edisi keempat dan Val
ITTM, dan menawarkan studi kasus dan riset untuk membantu para pemimpin
perusahaan dan dewan direktur dalam mempertanggungjawabkan IT Governance
mereka.
ITGI merupakan suatu pemikiran riset yang ada sebagai acuan yang terkemuka
pada sistem bisnis IT Governance untuk komunitas bisnis yang global. ITGI
mengarahkan untuk keuntungan bagi perusahaan dengan membantu para pemimpin
perusahaan di dalam tanggung jawab mereka untuk meraih kesuksesan IT dalam
mendukung tujuan dan misi perusahaan. Dengan pelaksanaan riset pada IT
Governance dan berhubungan topik, ITGI membantu para pemimpin perusahaan
memahami dan memiliki tools untuk memastikan efektifitas Governance pada IT di
dalam perusahaan mereka.
3.1.2 Tujuan IT Governance
IT Governance bertujuan untuk mengarahkan IT dan memastikan pencapaian
kinerja sesuai dengan tujuan yang diinginkan, antara lain :
a) IT menjadi searah dengan perusahaan dan manfaat yang dijanjikan dapat
terealisasi
b) IT memungkinkan perusahaan memanfaatkan peluang dan memaksimalkan
keuntungan.
c) Sumber daya IT digunakan secara bertanggung jawab
d) IT berkaitan erat dengan resiko yang harus diatur dengan baik.
3.1.3 Sasaran IT Governance
Secara umum sasaran aktivitas IT Governance adalah untuk memahami isu dan
pentingnya IT yang strategis, untuk memastikan sebuah perusahaan dapat mendukung
operasinya dan untuk memastikan perusahaan dapat menerapkan strategi yang
diperlukan untuk memperluas aktivitasnya menuju masa depan. Praktek IT
Governance mengarah dpada kepastian perkiraan untuk IT yang dikembangkan,
kinerja IT dapat diukur, sumber dayanya dapat diatur dan resiko dapat dikurangi.
3.1.4 Fokus Area IT Governance
Fokus area IT Governance antara lain :
a) Strategic alignment, dengan focus pada arah bisnis dan solusi kolaboratif
b) Value delivery, focus pada optimasi biata dan membuktikan nilai dari IT
c) Risk management, menunjukkan perlindungan asset IT, penanggulangan
bencana, dan operasi kontinuitas
10
d) Resource Management, optimisasi pengetahuan dan infrastruktur IT
e) Performance measurement, pengecekan pengembangan proyek dan
monitor pelayanan IT.
3.1.5 Proses IT Governance
Proses IT Governance dimulai dengan menentukan sasaran untuk IT perusahaan,
menyediakan petunjuk awal. Setelah itu, perulangan secara berkelanjutan dibentuk;
kinerja diukur dan dibandingkan dengan sasaran awal, menghasilkan arahan kembali
dari aktivitas yang diperlukan dan perubahan sasaran yang sesuai. Ketika sasaran
menjadi tanggung jawab utama dan ukuran kinerja manajemen, itu jelas harus
dikembangkan dengan perencanaan yang baik sehingga sasaran dapat terjangkau dan
ukuran menggambarkan sasaran dengan tepat
3.1.6 Pentingnya IT Governance
Alasan terakhir IT Governance penting dikarenakan ketidaksesuaian antara
harapan dan realita/kenyataan. Direktur selalu mengharapkan manajemen untuk :
a) Memberikan solusi IT dengan kualitas yang baik, tepat waktu, dan efisien.
b) Pemanfaatan IT memberikan pengembalian business value.
c) Pemanfaatan IT untuk meningkatkan efisiensi dan produktivitas ketika
mengelola resiko
Ketidak efetifan IT Governance memungkikan penyebab dari pengalaman
negative perusahaan dalam pemanfaatan IT, antara lain :
a) Kerugian bisnis, kerusakan reputasi atau posisi kompetitif yang
menurun/lemah.
b) Batas waktu tidak tercapai, biaya lebih tinggi dibandingkan harapan yang
diinginkan
c) Efisiensi dan proses perusahaan memberi dampak negatif terhadap
rendahnya kualitas penggunaan IT.
d) Kegagalan inisiatif IT dapat membawa inovasi dan manfaat yang
dijanjikan.
Menurut Fox dan Zonneveld, menyimpulkan dalam tatakelola yang baik, peranan
IT Governance merupakan hal yang sangat penting, dalam konteks organisasi bisnis
yang berkembang kebutuhan akan IT bukan merupakan barang yang langka.
3.1.7 Tata Kelola IT
Tata kelola TI suatu perusahaan sangat terkait dengan tanggung jawab dan
tindakan pengurus dan manajemen eksekutif (CIOs). Mereka bertanggung jawab
terhadap arah strategi perusahaan, memastikan bahwa tujuan perusahaan dapat
tercapai dan berbagai sumber daya perusahaan telah dimanfaatkan dengan tepat. Tata
kelola TI membutuhkan pengaturan yang tepat untuk memadukan strategi TI dan
pemanfaatan sumberdaya TI guna memberikan keuntungan yang kompetitif bagi
perusahaan. Sederhananya, tata kelola TI menggunakan prinsip-prinsip tata kelola
perusahaan terhadap departemen TI.
11
Menyadari bahwa TI terkait dengan semua aspek bisnis perusahaan, maka tata
kelola TI harus dilihat sama nilai pentingnya dengan standar pengelolaan bisnis. Tata
kelola TI yang efektif mampu menghasilkan keuntungan-keuntungan bisnis yang
nyata misalnya reputasi, kepercayaan, dan pangsa pasara. Hal itu mampu menurunkan
resiko manajemen. Perkembangan bisnis yang sangt cepat dewasa ini seringkali
membutuhkan pengambilan keputusan yang juga cepat, yang berdasarkan pada data
penjualan dan kecenderungan pasar. Keputusan-keputusan itu tidak bisa dibuat jika
sistem yang menyediakan data dan informasi tersebut tidak berjalan baik. Selain itu,
karyawan yang sering kali membrowsing situs web yang tidak sesuai dengan
tanggungjawab pekerjaannya atau mengirim e-mail yang aneh-aneh misalnya justru
dapat secara dramatis berdampak terhadap reputasi perusahaan selama bertahuntahun.
Semakin tinggi kebutuhan (demand) akan informasi tentunya produksi perangkat
teknologi informasi juga akan meningkat. Vendor-vendor teknologi berlomba-lomba
mengembangkan produknya dengan segala keunggulan teknologi dan harga yang
kompetitif. Disisi pengguna baik individu maupun korporasi, tentunya ada hal positif
yang dapat diambil dari persaingan vendor diatas, diantaranya adalah banyak pilihan
yang dapat disesuaikan dengan anggaran yang ada.
Disisi korporasi, tentunya perubahan yang cepat terhadap teknologi informasi bisa
berimpact positif dan negatif. Over investment adalah hal negatif yang dapat terjadi
jika korporasi salah dalam menetapkan, menjalankan maupun menjaga strategi
bisnisnya sejalan dengan perkembangan teknologi informasi.Impact positif akan
didapatkan hanya jika korporasi dapat menetapkan, menjalankan maupun menjaga
strategi bisnisnya sejalan dengan perkembangan teknologi informasi.Disinilah
muncul terminologi Tata kelola IT (IT Governance) yang banyak dibicarakan
oleh korporasi maupun institusi pemerintah.
Tata kelola IT (IT Governance) sangat diperlukan diantaranya untuk tetap
menjaga investasi, meningkatkan daya saing (memberikan nilai tambah),
serta menjaga keberlangsungan bisnis/usaha/pemerintahan. COBIT adalah kerangka
tata kelola IT (IT Governace framework) yang banyak dipakai oleh praktisi.
3.1.8 Good Governance
Kunci utama memahami good governance adalah pemahaman atas prinsip-prinsip
di dalamnya. Bertolak dari prinsip-prinsip ini akan didapatkan tolak ukur kinerja
suatu pemerintahan. Baik-buruknya pemerintahan bisa dinilai bila ia telah
bersinggungan dengan semua unsur prinsip-prinsip good governance. Menyadari
pentingnya masalah ini, prinsip-prinsip good governance diurai satu persatu
sebagaimana tertera di bawah ini:
1) Partisipasi Masyarakat
Semua warga masyarakat mempunyai suara dalam pengambilan keputusan,
baik secara langsung maupun melalui lembaga-lembaga perwakilan sah yang
mewakili kepentingan mereka. Partisipasi menyeluruh tersebut dibangun
berdasarkan kebebasan berkumpul dan mengungkapkan pendapat, serta
kapasitas untuk berpartisipasi secara konstruktif.
2) Tegaknya Supremasi
12
3)
4)
5)
6)
7)
8)
9)
Hukum Kerangka hukum harus adil dan diberlakukan tanpa pandang bulu,
termasuk di dalamnya hukum-hukum yang menyangkut hak asasi manusia.
Transparansi Tranparansi dibangun atas dasar arus informasi yang bebas.
Seluruh proses pemerintahan, lembaga-lembaga dan informasi perlu dapat
diakses oleh pihak-pihak yang berkepentingan, dan informasi yang tersedia
harus memadai agar dapat dimengerti dan dipantau.
Peduli pada Stakeholder
Lembaga-lembaga dan seluruh proses pemerintahan harus berusaha melayani
semua pihak yang berkepentingan.
Berorientasi pada Konsensus
Tata pemerintahan yang baik menjembatani kepentingan-kepentingan yang
berbeda demi terbangunnya suatu konsensus menyeluruh dalam hal apa yang
terbaik bagi kelompok-kelompok masyarakat, dan bila mungkin, konsensus
dalam hal kebijakan-kebijakan dan prosedur-prosedur.
Kesetaraan
Semua warga masyarakat mempunyai kesempatan memperbaiki atau
mempertahankan kesejahteraan mereka.
Efektifitas dan Efisiensi
Proses-proses pemerintahan dan lembaga-lembaga membuahkan hasil sesuai
kebutuhan warga masyarakat dan dengan menggunakan sumber-sumber daya
yang ada seoptimal mungkin.
Akuntabilitas
Para pengambil keputusan di pemerintah, sektor swasta dan organisasiorganisasi masyarakat bertanggung jawab baik kepada masyarakat maupun
kepada lembaga-lembaga yang berkepentingan. Bentuk pertanggung jawaban
tersebut berbeda satu dengan lainnya tergantung dari jenis organisasi yang
bersangkutan.
Visi Strategis
Para pemimpin dan masyarakat memiliki perspektif yang luas dan jauh ke
depan atas tata pemerintahan yang baik dan pembangunan manusia, serta
kepekaan akan apa saja yang dibutuhkan untuk mewujudkan perkembangan
tersebut. Selain itu mereka juga harus memiliki pemahaman atas kompleksitas
kesejarahan, budaya dan sosial yang menjadi dasar bagi perspektif tersebut.
3.2 Audit SI
Audit sebuah system teknologi informasi untuk saat ini adalah sebuah keharusan.
Audit perlu dilakukan agar sebuat system mampu memenuhi syarat IT Governance. Audit
system informasi adalah cara untuk melakukan pengujian terhadap system informasi yang
ada ldalam organisasi untuk mengetahui apakah system informasi yang dimiliki telah
sesuai dengan visi, misi dan tujuan organisasi, menguji performa system informasi dan
untuk mendeteksi resiko-resiko dan efek potensial yang mungkin timbul.
3.2.1 Tipe-tipe Audit
Tipe-Tipe audit antara lain :
 Adequacy Audit, yakni menentukan sejauh mana suatu system manajemen
yang telah terdokumentasi dapat cukup memenuhi persyaratan standard.
13

Dalam hal ini perlu diperhatikan adanya identifikasi dan mencatat area-area
mana yang tidak memenuhi standard berdasarkan analisa dokumentasi
sehingga perlu adanya pengetahuan yang mendalam terhadap standard.
Compliance Audit, yakni menentukan sejauh mana suatu system manajemen
yang telah terdokumentasi diterapkan secara berkesinambungan. Dalam hal
ini perlu dicatat adanya perbedaan-perbedaan antara penerapan dengan
dokumen berdasarkan sample dari kegiatan dan bukti yang objektif.
3.2.2 Fungsi dasar dari Internal Audit
Internal auditing adalah suatu penilaian, yang dilakukan oleh pegawai perusahaan
yang terlatih mengenai ketelitian, dapat dipercayainya, efisiensi, dan kegunaan catatancatatan (akutansi) perusahaan, serta pengendalian intern yang terdapat dalam perusahaan.
Tujuannya adalah untuk membantu pimpinan perusahaan (manajemen) dalam
melaksanakan tanggungjawabnya dengan memberikan analisa, penilaian, saran, dan
komentar mengenai kegiatan yang di audit. Untuk mencapai tujuan tersebut, internal
auditor melakukan kegiatan–kegiatan berikut:
 Menelaah dan menilai kebaikan, memadai tidaknya dan penerapan sistem
pengendalian manajemen, struktur pengendalian intern, dan pengendalian
operasional lainnya serta mengembangkan pengendalian yang efektif dengan
biaya yang tidak terlalu mahal,
 Memastikan ketaatan terhadap kebijakan, rencana dan prosedurprosedur yang
telah ditetapkan oleh manajemen
 Memastikan seberapa jauh harta perusahaan dipertanggungjawabkan dan
dilindungi dari kemungkinan terjadinya segala bentuk pencurian, kecurangan dan
penyalahgunaan
 Memastikan bahwa pengelolaan data yang dikembangkan dalam organisasi dapat
dipercaya
 Menilai mutu pekerjaan setiap bagian dalam melaksanakan tugas yang diberikan
oleh manajemen
 Menyarankan perbaikan-perbaikan operasional dalam rangka meningkatkan
efisensi dan efektifitas
Dari kegiatan-kegiatan yang dilakukannya tersebut dapat disimpulkan bahwa internal
auditor antara lain memiliki peranan dalam :
 Pencegahan Kecurangan (Fraud Prevention),
 Pendeteksian Kecurangan (Fraud Detection), dan
 Penginvestigasian Kecurangan (Fraud Investigation).
3.2.3 Prinsip Laporan Audit
Hasil aktivitas audit adalah laporan audit itu sendiri. Laporan audit merupakan
media yang dipakai oleh auditor dalam berkomunikasi dengan masyarakat lingkungannya.
Laporan audit berupa komunikasi dan ekspresi auditor terhadap objek yang diaudit agar
laporan atau ekspresi auditor tadi dapat dimengerti maka laporan itu harus mampu
dipahami oleh penggunanya. Artinya laporan ini mampu menyampaikan tingkat
kesesuaian antara informasi yang diperoleh dan diperiksa dengan kriteria yang telah
ditetapkan.
Dalam pelaporan audit terdapat standar-standar yang harus dianut oleh auditor.
14
Standar Pelaksanaan audit adalah pedoman bagi akuntan publik dalam menilai kualitas
hasil pekerjaan dan mengukur tingkat tanggung jawab akuntan. Secara baku standar yang
menjadi ukuran pekerjaan auditor tersebut ditetapkan oleh organisasi akuntan profesional,
contohnya Generally Accepted Auditing Standards (GAAS). GAAS mencakup mutu
profesional akuntan publik dan pertimbangan dalam pelaksanaan dan pelaporan audit.
GAAS terdiri dari :
 Standar Umum
o Audit harus dilaksanakan oleh seseorang atau lebih yang memiliki
keahlian dalam bidangnya dan telah menjalani latihan teknis yang cukup.
o Dalam semua hal yang berhubungan dengan penugasan yang diberikan
kepadanya, auditor harus senantiasa mempertahankan sikap mental
independen.
o Dalam pelaksanaan audit dan penyusunan laporan keuangannya , auditor
wajib menggunakan kemahiran profesionalnya dengan cermat dan
seksama.
 Standar Pelaksanaan Audit
o Audit harus direncanakan sebaik-baiknya dan jika digunakan asisten harus
dipimpin dan diawasi dengan semestinya.
o Sistem Pengendalian intern yang ada harus dipelajari dan dinilai dengan
secukupnya untuk menentukan dapat/tidaknya sistem tersebut diandalkan
sebagai dasar untuk menetapkan luasnya pengujian yang harus dilakukan
serta prosedur audit yang digunakan.
o Bukti kompeten yang cukup harus diperoleh melalui inspeksi, pengamatan,
tanya jawab, dan konfirmasi sebagai dasar yang layak untuik menyatakan
pendapat atas laporan yang diaudit.
 Standar Pelaporan
o Laporan audit harus menyatakan apakah laporan keuangan telah disusun
dengan prinsip akuntansi yang berlaku umum.
o Laporan audit harus menyatakan apakah prinsip akuntansi dalam periode
berjalan, telah dilaksanakan secara konsisten dibandingkan dengan periode
sebelumnya.
o Pengungkapan informatif dengan laporan keuangan harus dipandang
memadai, kecuali dinyatakan lain dalam laporan keuangan.
o Laporan audit harus memuat suatu pernyataan mengenai laporan keuangan
secara menyeluruh atau memuat suatu penegasan bahwa pernyataan
demikian tidak dapat diberikan, maka alasannya harus diberikan. Dalam
hal auditor dikaitkan dengan laporan keuangan, maka laporan audit harus
memuat pertunjuk yang jelas mengenai sifat pekerjaan audit, jika ada dan
tingkat tanggung jawab yang dipikulnya.
3.2.4 Metodologi Audit IT
Dalam pelaksanaanya, auditor TI mengumpulkan bukti-bukti yang memadai
melalui berbagai teknik termasuk survey, wawancara, observasi dan review dokumentasi.
Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya
mencakup pula bukti elktronis. Biasanya, auditor TI menerapkan teknik audit berbantuan
computer, disebut juga dengan CAAT (Computer Aided Auditing Technique). Teknik ini
15
digunakan untuk menganalisa data, misalnya saha data transaksi penjualan, pembelian,
transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain.
3.2.5 Langkah dasar Audit SI
Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem
komputer berjalan semestinya. Tujuh langkah proses audit:
1. Implementasikan sebuah strategi audit berbasis manajemen risiko serta control
practice yang dapat disepakati semua pihak.
2. Tetapkan langkah-langkah audit yang rinci.
3. Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta bermanfaat.
4. Buatlah laporan beserta kesimpulannya berdasarkan fakta yang dikumpulkan.
5. Telaah apakah tujuan audit tercapai.
6. Sampaikan laporan kepada pihak yang berkepentingan.
7. Pastikan bahwa organisasi mengimplementasikan managemen risiko serta control
practice.
Sebelum menjalankan proses audit, tentu saja proses audit harus direncanakan
terlebih dahulu. Audit planning (perencanaan audit) harus secara jelas menerangkan
tujuan audit, kewenangan auditor, adanya persetujuan managemen tinggi, dan metode
audit. Metodologi audit:
1. Audit subject. Menentukan apa yang akan diaudit.
2. Audit objective. Menentukan tujuan dari audit.
3. Audit Scope. Menentukan sistem, fungsi, dan bagian dari organisasi yang
secara spesifik/khusus akan diaudit.
4. Preaudit Planning. Mengidentifikasi sumber daya dan SDM yang
dibutuhkan, menentukan dokumen-dokumen apa yang diperlukan untuk
menunjang audit, menentukan lokasi audit.
5. Audit procedures and steps for data gathering. Menentukan cara
melakukan audit untuk memeriksa dan menguji kendali, menentukan siapa
yang akan diwawancara.
6. Evaluasi hasil pengujian dan pemeriksaan. Spesifik pada tiap organisasi.
7. Prosedur komunikasi dengan pihak manajemen. Spesifik pada tiap
organisasi.
8. Audit Report Preparation. Menentukan bagaimana cara memeriksa hasil
audit, yaitu evaluasi kesahihan dari dokumen-dokumen, prosedur, dan
kebijakan dari organisasi yang diaudit.
Struktur dan isi laporan audit tidak baku, tapi umumnya terdiri atas:
o Pendahuluan. Tujuan, ruang lingkup, lamanya audit, prosedur audit.
o Kesimpulan umum dari auditor.
o Hasil audit. Apa yang ditemukan dalam audit, apakah prosedur dan
kontrol layak atau tidak
o Rekomendasi. Tanggapan dari manajemen (bila perlu).
o Exit interview. Interview terakhir antara auditor dengan pihak manajemen
untuk membicarakan temuan-temuan dan rekomendasi tindak lanjut.
Sekaligus meyakinkan tim manajemen bahwa hasil audit sahih
16
3.3 COBIT (Control Objective for Information and related Tecnology)
3.3.1 COBIT
COBIT adalah suatu metodologi yang memberikan kerangka dasar dalam
menciptakan sebuah TI yang sesuai dengan kebutuhan organisasi. Tujuan COBIT adalah
menyediakan model dasar yang memungkinkan pengembangan aturan yang jelas dan
praktek yang baik dalam mengontrol informasi dalam suatu organisasi/perusahaan dalam
mencapai tujuannya.
Control Objectives for Information and related Technology adalah sekumpulan
dokumentasi best practices untuk IT governance yang dapat membantu auditor,
manajemen dan pengguna untuk menjembatani gap antara resiko bisnis, kebutuhan
control dan permasalahan-permasalahan teknis.
COBIT dikembangkan oleh IT Governance Institute, yang merupakan bagian dari
Information dari Information Systems Audit and Control Association (ISACA). COBIT
memberikan arahan yang berorientasi pada bisnis, dank arena itu diharapkan dapat
memanfaatkan guideline ini dengan sebaik-baiknya.
COBIT adalah suatu framework untuk membangun suatu IT Governance. Dengan
mengacu pada framework COBIT, suatu organisasi diharapkan mampu menerapkan IT
governance dalam pencapaian tujuannya IT governance mengintegrasikan cara optimal
dari proses perencanaan dan pengorganisasian, pengimplementasian, dukungan serta
proses pemantauan kinerja TI.
COBIT dapat digunakan sebagai tools yang digunakan untuk mengefektifkan
implementasi IT Governance, yakni sebagai management guideline dengan menerapkan
seluruh domain yang terdapat dalam COBIT, yakni planning-organization (PO),
azquisition-implementation (AI), Delivery-support (DS) dan Monitoring (M).
3.3.2 ISACA (Information System Audit and Control Association)
ISACA atau Information Systems Audit and Control Association merupakan
perkumpulan atau asosiasi yang anggota-anggotanya terdiri dari Auditors, Indonesia
System Auditor dan mereka yang mempunyai minat terhadap control, audit dan security
system informasi.
3.3.3 CISA (Certified Information Systems Auditor)
Program Certified Information Systems Auditor™ (CISA) didirikan pada tahun
1978 oleh Information Systems Audit and Control Association® (ISACA) dengan tujuan:
o Mengembangkan dan memelihara instrument testing yang dapat digunakan untuk
mengevaluasi kompetensi individu dalam melakukan audit sistem informasi.
o Menyediakan mekanisme untuk memotivasi sistem informasi auditor untuk
memelihara kompetensi dan memonitor kesuksesan maintenance program.
Membantu top manajemen dalam membangun fungsi audit sistem informasi
dengan menyediakan kriteria untuk seleksi dan pengembangan personel.
Program CISA telah menjadi satu-satunya designation yang dikenal secara global
untuk audit sistem informasi dan profesional kontrol. CISA designation mendapat
penghargaan tinggi dari pemerintah dan pemilik perusahaan di berbagai industri, bahkan
telah menjadi kriteria pekerjaan dan/atau kemajuan dalam organisasi. Dengan dikenal
sebagai CISA, akan memberikan nilai profesional dan sejumlah besar keuntungan.
Pencapaian dari program CISA mendemonstrasikan keahlian audit sistem informasi serta
17
memberikan tanda dalam melayani sebuah organisasi dengan perbedaan. Mereka yang
telah menjadi CISA bergabung dengan para profesional dunia yang telah mendapatkan
profesional designation
Dengan audit sistem informasi, kontrol, dan profesi keamanan yang terhubung
erat, para praktisi yang berpengalaman telah melihat cara untuk mempromosikan
pengetahuan dan keahlian mereka ke dalam dunia bisnis. Sertifikasi profesional ini
memberikan bukti pencapaian pengetahuan dan keahlian profesional tersebut. Dengan
kata lain, sertifikasi untuk exclusive program worldwide untuk profesional audit IS,
kontrol, dan keamanan di bidang mereka adalah Certified Information Systems Auditor™
(CISA) designation. Seperti Certified Professional Accountant (CPA) atau Chartered
Accountant (CA) designation untuk profesional akuntansi, CISA designation
menunjukkan kemampuan individu dalam mengaplikasikan audit SI, kontrol, prinsip dan
praktik keamanan. Bagi employers worldwide, profesional audit SI dan kontrol dengan
CISA designation lebih diminati dan seringkali mendapatkan kompensasi yang lebih
tinggi. Sebagai tambahan, pemegang CISA ini juga tetap perlu berkecimpung dalam
profesi mereka dengan mengikuti pendidikan profesional yang berkesinambungan.
3.3.4 Kegunaan COBIT
COBIT memiliki fungsi untuk:
o Meningkatkan pendekatan/program audit
o Mendukung audit kerja dengan arahan audit secara rinci
o Memberikan petunjuk untuk IT governance
o Sebagai penilaian benchmark untuk kendali IS/IT
o Meningkatkan control IS/IT
o Sebagai standarisasi pendekatan/program audit
3.3.5 COBIT Guidelines
Kerangka kerja COBIT, terdiri dari tujuan pengendalian tingkat tinggi dan
struktur klasifikasi keseluruhan. Terdapat tiga tingkat (level) usaha pengaturan TI yang
menyangkut manajemen sumberdaya TI. Mulai dari bawah, yaitu kegiatan dan tugas
(activities and tasks) yang diperlukan untuk mencapai hasil yang dapat diukur. Dalam
Aktivitas terdapat konsep siklus hidup yang di dalamnya terdapat kebutuhan
pengendalian khusus. Kemudian satu lapis di atasnya terdapat proses yang merupakan
gabungan dari kegiatan dan tugas (activities and tasks) dengan keuntungan atau
perubahan (pengendalian) alami. Pada tingkat yang lebih tinggi, proses biasanya
dikelompokan bersama kedalam domain.
Pengelompokan ini sering disebut sebagai tanggung jawab domain dalam struktur
organisasi dan yang sejalan dengan siklus manajemen atau siklus hidup yang dapat
diterapkan pada proses TI.
Selanjutnya, konsep kerangka kerja dapat dilihat dari tiga sudut pandang, yaitu:
o kriteria informasi (information criteria),
o sumberdaya TI (IT resources), dan
o proses TI (IT processes).
18
manajemen yang akan digunakan dalam kegiatan harian organisasi. Kemudian
empat domain yang lebih luas diidentifikasikan, yaitu PO, AI, DS, dan M. Definisi
keempat domain tersebut, dimasukan dalam klasifikasi tingkat tinggi sebagai berikut :
o PO, domain ini mencakup level strategis dan taktis, dan konsennya pada
identifikasi cara TI yang dapat menambah pencapaian terbaik tujuan-tujuan bisnis.
o AI, untuk merealisasikan strategi TI, solusi TI yang perlu diidentifikasikan,
dikembangkan atau diperlukan, juga diimplementasikan dan diintegrasikan dalam
proses bisnis.
o DS, domain ini menyangkut penyampaian aktual dari layanan yang diperlukan,
dengan menyusun operasi tradisional terhadap keamanan dan aspek kontinuitas
sampai pada pelatihan, domain ini termasuk proses data aktual melalui sistem
aplikasi, yang sering diklasifikasikan dalam pengendalian aplikasi.
o M, semua proses TI perlu dinilai secara teratur atas suatu waktu untuk kualitas
dan pemenuhan kebutuhan pengendalian. Domain ini mengarahkan kesalahan
manajemen pada proses pengendalian organisasi dan penjaminan independen
yang disediakan oleh audit internal dan eksternal atau diperolah dari sumber
alternatif.
Proses-proses TI ini dapat diterapkan pada tingkatan yang berbeda dalam
organisasi, misalnya tingkat perusahaan, tingkat fungsi dan lain-lain. Jelas bahwa semua
ukuran pengendalian perlu memenuhi kebutuhan bisnis yang berbeda untuk informasi
pada tingkat yang sama.
1. Pertama adalah tingkat tujuan pengendalian yang diterapkan secara
langsung mempengaruhi kriteria informasi terkait.
2. Kedua adalah tingkat tujuan pengendalian yang ditetapkan hanya
memenuhi tujuan pengendalian atau secara tidak langsung kriteria
informasi terkait.
3. Blank dapat diterapkan namun kebutuhannya lebih memenuhi kriteria lain
dalam proses ini atau yang lainnya.
Agar organisasi mencapai tujuannya, pengaturan TI harus dilaksanakan oleh
organisasi untuk menjamin sumberdaya TI yang dijalankan oleh seperangkat proses TI.
3.3.6 Sumber Daya IT
Sumberdaya TI yang diidentifikasikan dalam COBIT dapat diterangkan atau
diidentifikasikan sebagai berikut :
o Data, adalah obyek-obyek dalam pengertian yang lebih luas (yakni internal
dan eksternal), terstruktur dan tidak terstruktur, grafik, suara dan sebagainya.
o Sistem aplikasi, dipahami untuk menyimpulkan atau meringkas, baik prosedur
manual maupun yang terprogram.
o Teknologi, mencakup hardware, sistem operasi, sistem manajemen database,
jaringan (networking), multimedia, dan lain- lain. Fasilitas, adalah semua
sumberdaya untuk menyimpan dan mendukung system informasi.
o Manusia termasuk staf ahli, kesadaran dan produktivitas untuk merencanakan,
mengorganisasikan atau melaksanakan, memperoleh, menyampaikan,
mendukung dan memantau layanan sistem informasi.
19
3.3.7 Cakupan Audit dan IT Governance
Cakupan Audit TI cukup luas, karena tidak terbatas pada aspek teknologinya saja,
melainkan dapat mencakup aspek orang dan proses sistem informasi berbasis komputer.
Begitu juga manfaatnya, antara lain kepastian (assurance) bagi manajemen bahwa suatu
sistem (misalnya, Banking Applications, system ERP, e-Government, Network
Communication, dll) akan dapat memenuhi harapan manajemen.
Karenanya, agar memberikan hasil audit TI yang memuaskan, maka tim audit TI
harus memiliki pemahaman yang mendalam mengenai bisnis perusahaan yang diaudit
dan juga wawasan yang luas tentang aspek governance dan kontrol suatu proses TI atau
sistem informasi yang menjadi obyek pemeriksaannya. Pemahaman akan konsep IT
Governance akan sangat membantu auditor TI dalam memberikan penekanan
pemeriksaan pada aspek-aspek berikut:
1. Perencanaan dan manajemen proyek-proyek TI dan kaitannya dengan sasaran
bisnis.
2. Manajemen risiko guna menghindari kesalahan fatal atas operasional TI, dan,
3. Pemanfaatan sumber daya TI yang optimal dan dapat dipertanggungjawabkan.
Dengan begitu, seorang auditor TI dapat menjadi advisor yang
"menyenangkan" bagi auditee (pihak yang diperiksa) karena kemampuannya
memberikan practical value-added recommendation yang dapat membantu
perusahaan mencapai tujuannya.
3.3.8 Kode Etik Profesional
The Information Systems Audit and Control Association (ISACA) mengeluarkan
kode etik professional (Code of Professional Ethics) untuk dijadikan panduan perilaku
bagi para personal maupun professional anggota asosiasi dan atau para penyandang
sertifikasi, yaitu:
Anggota dan para penyandang sertifikasi ISACA, harus:
1. Mendukung penerapan, dan mendorong kesesuaian dengan, standar, prosedur
dan pengendalian sistem informasi yang tepat.
2. Melakukan tugas-tugas mereka secara sungguh-sungguh (due diligence) dan
profesional, sesuai dengan standar-standar professional dan praktik terbaik
(best practices).
3. Memenuhi kebutuhan para stakeholders dengan secara jujur dan memenuhi
aturan/hokum, sambil menjaga tindakan dan perilaku, dan tidak terlibat dalam
tindakan-tindakan yang merugikan profesi.
4. Tetap menjaga privasi dan kerahasiaan informasi yang diperoleh selama
melakukan tugas-tugas mereka, kecuali hal itu diminta oleh pihak yang
berwajib (legal authority). Informasi semacam itu tak boleh digunakan untuk
keuntungan pribadi atau diberikan kepada pihak yang tidak berkompeten.
5. Tetap menjaga kompetensi di bidang masing-masing dan bersedia hanya
melakukan kegiatan tersebut, yang dapat mereka harapkan untuk diselesaikan
dengan kompetensi profesional.
20
6. Memberitahu para pihak yang berkompeten mengenai hasil kerja yang
dilakukan; memberitahu semua fakta nyata kepada mereka.
7. Mendukung edukasi professional kepada para stakeholder dalam upaya
meningkatkan pemahaman mereka mengenai keamanan dan pengendalian
sistem informasi.
8. Gagal dalam memenuhi Kode Etik Profesional ini akan berakibat
dilakukannya investigasi terhadap perilaku anggota dan pemegang sertifikasi
dan, setinggi-tingginya, akan mendapatkan tindakan indisipliner.
3.3.9 Perusahaan dan IT Governance
IT Governance menyediakan suatu stuktur yang berhubungan dengan proses TI,
sumberdaya TI dan informasi untuk strategi dan tujuan perusahaan. Cara
mengintegrasikan IT Governance dan optimalisasi perusahaan yaitu melalui perencanaan
dan pengorganisasian (PO), akuisisi dan implementasi (AI), penyampaian dan dukungan
(DS), dan pengawasan (M) kinerja TI.
IT Governance merupakan bagian terintegrasi bagi kesuksesan pengaturan
perusahaan dengan jaminan efisiensi dan efektivitas perbaikan pengukuran dalam kaitan
dengan proses perusahaan. IT Governance memungkinkan perusahaan untuk memperoleh
keunggulan penuh terhadap informasi, keuntungan yang maksimal, modal, peluang dan
keunggulan kompetitif dalam bersaing.
Pengaturan perusahaan (enterprise governance) dan sistem oleh entitas diarahkan
dan dikendalikan, melalui kumpulan dan arahan IT Governance. Pada saat yang sama, TI
dapat menyediakan masukan kritis, dan merupakan komponen penting bagi perencanaan
strategis. Pada kenyataannya TI dapat mempengaruhi peluang strategis yang ditetapkan
oleh perusahaan. Aktivitas perusahaan membutuhkan informasi dari aktivitas TI dengan
maksud untuk mempertemukan tujuan bisnis. Jaminan kesuksesan organisasi diakibatkan
oleh adanya saling ketergantungan antara perencanaan strategis dan aktivitas TI lainnya.
Kegiatan perusahaan perlu informasi dari kegiatan TI agar dapat
mengintegrasikan tujuan bisnis. Siklus pengaturan perusahaan dapat dijelaskan sebagai
berikut : pengaturan perusahaan ditentukan oleh praktek terbaik yang secara umum dapat
diterima untuk menjamin perusahaan mencapai tujuannya, melalui pengendalian tertentu.
Dari tujuan-tujuan ini mengalir arahan organisasi, yang mengatur kegiatan atau aktivitas
perusahaan dengan menggunakan sumberdaya perusahaan. Hasil kegiatan atau aktivitas
perusahaan diukur dan dilaporkan, memberikan masukan bagi pengendalian, demikian
seterusnya, kembali ke awal siklus.
Siklus pengaturan TI dapat dijelaskan sebagai berikut : pengaturan TI, di tentukan
oleh praktek terbaik yang menjamin informasi perusahaan dan teknologi terkait
mendukung tujuan bisnisnya, sumberdaya digunakan dengan tanggung jawab dan resiko
diatur secara memadai. Praktek tersebut membentuk dasar arahan kegiatan TI yang dapat
dikelompokan kedalam PO, AI, DS dan M, dengan tujuan untuk pengaturan (memperoleh
keamanan, keandalan dan pemenuhan) dan mendapat keuntungan (meningkatkan
efektivitas, dan efisiensi). Laporan dikeluarkan melalui hasil kegiatan atau aktivitas TI,
21
yang diukur dari praktek dan pengendalian yang bervariasi, demikian seterusnya, kembali
ke awal siklus. Agar menjamin manajemen mencapai tujuan bisnisnya, maka harus
mengatur dan mengarahkan kegiatan TI dalam mencapai keseimbangan yang efektif
antara mengatur resiko dan mendapatkan keuntungan. Untuk melaksanakannya,
manajemen perlu mengidentifikasikan kegiatan terpenting. Selain itu, perlu juga
kemampuan mengevaluasi tingkat kesiapan organisasi terhadap praktek terbaik dan
standar internasional.
Untuk mendukung kebutuhan manajemen tersebut, pedoman manajemen COBIT
(COBIT Management Guidelines) telah secara khusus mengidentifikasikan CSF, KGI,
KPI dan model maturity untuk pengaturan TI.
22
BAB 4
PENUTUP
4.1 Simpulan
Dari penulisan ini, dapat disimpulkan :
a) Cobit adalah suatu standar audit SI yang diterima secara internasional.
b) Audit SI sangat penting untuk mencapai tujuan perusahaan.
c) IT sangat dibutuhkan untuk keuntungan kompetitif dan pertumbuhan
perusahaan.
d) Manajemen bertanggung jawab untuk kontrol IT.
e) Tanggung jawab itu memerlukan suatu kerangka
o Kebutuhan bisnis dapat dinyatakan sebagai kriteria informasi.
o IT biasanya diorganisir dalam seperangkat proses.
o IT memerlukan sejumlah sumber daya
4.2 Saran
Untuk audit system informasi dilakukan dengan menggunakan framework COBIT
merupakan salah satu alat bantu yang dapat digunakan dalam melakukan audit dan telah
mendapat pengakuan cukup baik di dunia internasional. Suatu perencanaan audit system
informasi berbasis teknologi (audit TI) oleh internal auditor, dapat dimulai dengan
menentukan area-area yang relevan dan beresiko paling tinggi, melalui analisa atas ke-34
proses tersebut. Sementara untuk kebutuhan penugasan tertentu, misalnya audit atas
proyek TI, dapat dimulai dengan memilih proses yang relevan dari proses-proses tersebut.
23
DAFTAR PUSTAKA
Alter, Steven. 1999. Information System : A managerial perspective, 3rd edition. Addison.
Wesley. USA
Campbell, Philip L. 2005. A COBIT Primer. USA: Sandia National
COBIT - Wikipedia (http://en.wikipedia.org/)
Laudon, Kenneth C., and Laudon, Jane P. 2003. Essentials of Management Information
System. New Jersey: Prentice-Hall.
Mathiassen, Lars, Munk-Madsen, Andreas Nielsen, Peter A & Stage, Jan. (2000). Object
Oriented analysis & Design. Edisi ke-1. Marko Publishing Aps, Denmark.
McLeod Jr.R. 1996. Sistem Informasi Manajemen, Jilid 1, edisi Bahasa Indonesia.
Terjemahan Teguh,H. Prenhallindo, Jakarta.
O’Brien, J.A. 2002. Introduction To Information System: Essential For The E-Business
Enterprise, 11th edition. McGraw Hill, New York.
Snyder, Lawrence. 2007. Fluency with Information Technology: Skills, Concepts, and
Capabilities (3rd Edition)
Weber, Ron. 1999. Information System Control and Audit. Prentice-Hall, Inc. New
Jersey
24
RIWAYAT HIDUP
Nama
:
Riky Meidyanto
Tempat, tanggal lahir
:
Palembang, 12 Mei 1988.
Jenis Kelamin
:
Laki-laki.
Agama
:
Budha.
Alamat
:
Jln. Tanjung Duren Utara Apartemen Mediterania
Garden Residences 2, E/15/EN
No. Telepon
:
081908260142
E-Mail
:
[email protected]
Sekolah Dasar
:
SD Xaverius 2 Palembang
Sekolah Menengah Pertama
:
SMP Xaverius 1 Palembang 2000 – 2003
Sekolah Menengah Umum
:
SMU Xaverius 1 Palembang 2003 – 2006
Universitas
:
Bina Nusantara
Riwayat Pendidikan :
Pengalaman Kerja : -
25
1994 - 2000
2006 – sekarang