170. CSRID Journal, Vol.2 No.3 Oktober 2010, Hal. 170 - 179
AUDIT SISTEM INFORMASI UNTUK MEWUJUDKAN TATA KELOLA SISTEM INFORMASI (IT GOVERNANCE) DI ORGANISASI BERBASISKAN TEKNOLOGI INFORMASI
Julisar Universitas Bina Nusantara, Jl. K.H. Syahdan No. 9, Palmerah, Jakarta Barat, 11480 Email :
[email protected] atau
[email protected]
ABSTRAK Audit merupakan suatu proses terpadu mengenai pengumpulan, penilaian dan pengujian atas aktifitas suatu kegiatan. Audit Sistem Informasi merupakan proses terpadu kegiatan yaitu melakukan pengumpulan, penilaian dan pengujian atas aktifitas kegiatan di lingkungan Sistem Informasi.Dengan mengacu pada COBIT (Control Objective for Information and Related Technology) dapat digunakan sebagai alat yang dapat digunakan untuk mengefektifkan implementasi sistem informasi dalam perusahaan. COBIT terdiri dari 4 (empat) domain, yaitu Planning-Organization, Acquisition-Implementation, Delivery-Support dan Monitoring.COBIT framework digunakan untuk menyusun dan menerapkan model audit system informasi dengan tujuan untuk memberikan masukan dan rekomendasi bagi pihak manajemen perusahaan untuk perbaikan pengelolaan sistem informasi (IT Governance) di masa mendatang. Kata Kunci : Audit Sistem Informasi, Pengumpulan, Penilaian, Pengujian, IT Governance. ABSTRACT Audit is an integrated process of collection, assessment and testing for all activities of an activity. Audit Information System is an integrated process of collecting activities, assessment and testing of activities and activities within the system Informasi.Dengan refers to COBIT (Control Objective for Information and Related Technology) can be used as a tool that can be used to streamline enterprise information system implementation. COBIT consists of 4 (four) domains, namely Planning, Organization, Acquisition, Implementation, Delivery, Support and Monitoring.COBIT framework used to develop and implement a model of information system audit in order to provide input and recommendations for the management company to improve management systems information (IT governance) in the future. Keywords: Information System Audit, Collection, Assessment, Testing, IT Governance. PENDAHULUAN Dalam era globalisasi sekarang ini, perkembangan Teknologi Informasi demikian pesat. Hal ini dibarengi dengan pertumbuhan berbagai macam piranti lunak (Software), piranti keras (Hardware), jaringan telekomunikasi (Networking), orang-orang yang terlibat dalam perkembangan Teknologi Informasi (People), pengetahuan tentang Sistem Basis Data (System Database) dan prosedur-prosedur yang mengikuti. Peranan fungsi dari Audit Sistem Informasi harus dibangun oleh suatu standard yang sudah baku. Auditor Sistem Informasi diperlukan untuk membantu eksternal auditor dan internal auditor dalam melakukan pemeriksaan terhadap Sistem Informasi. Auditor Sistem Informasi akan melaksanakan evaluasi dan testing terhadap pengendalian dan prosedur yang berlaku serta menerapkan dan mengembangkan teknik-teknik audit komputer termasuk pengembangan audit piranti lunak (Software).
Julisar, Audit Sistem Informasi Untuk... 171
Dengan komputerisasi di berbagai bidang kegiatan akan membawa dampak terhadap kegiatan pemeriksaan atau audit, baik secara langsung maupun tidak langsung. Perubahan cara pembukuan dari manual menjadi komputerisasi menyebabkan perubahan seperti : (1) Dokumen dari bentuk kertas menjadi non-visual. (2) Sebagian besar data yang akan dianalisa tersimpan dalam file yang berupa disket, pita magnetik atau tape; (3) Cara pemeriksaan secara tradisional/manual memerlukan banyak waktu dan tenaga. Sebaliknya, pemeriksaan dengan cara komputerisasi jauhlebih efisien. (4) Bagi auditor sendiri, bila tidak memahami masalah komputer maka dapat menyebabkan hasil audit tidak optimal. Dengan perubahan-perubahan tersebut, auditor dituntut untuk memahami konsep dan sistem komputerisasi yang dilaksanakan oleh objek, sehingga hasil audit akan mencapai sasaran. ISACA (Information Systems Audit and Control Association) yang merupakan suatu organisasi internasional dalam bidang Audit dan Pengendalian, mensyaratkan perlunya tanggung jawab (responsibility), wewenang (authority) dan pertanggung-jawaban (accountability) fungsi dari Sistem Informasi yang dikeluarkan oleh sebuah Audit Charter. Pengertian Audit James Hall mengatakan : "Auditing is a systematic process of objectively obtaining and evaluating evidence regarding assertions about economic actions and events to ascertain the degree of correspondence between those assertions and establishing criteria and communicating the results to interested users” The Institute of Internal Auditors (IIA) mendefinisikan Internal Auditing: As an independent appraisal function established within an organization to examine and evaluate its activities as a service to the organization. Pengertian Teknologi Informasi Menurut O’Brien (2003, p7) : Teknologi Informasi adalah piranti keras, piranti lunak, telekomunikasi, manajemen basis data dan teknolgi pemerosesan informasi lainnya yang digunakan berdasarkan CBIS Jadi secara umum, teknologi informasi adalah semua bentuk teknologi berupa piranti keras, piranti lunak, telekomunimasik, manajemen basis data dan teknologi lainnya yang digunakan untuk membuat, menyimpan, mengubah dan menggunakan informasi dengan menggunakan komputer berbasi sistem informasi. Pengertian Information Technology Governance Menurut (http://en.wikipedia.org/wiki/IT_Governance) IT Governance adalah tata kelola teknologi informasi. (IT Governance) adalah suatu cabang dari tata kelola perusahaan yang terfokus pada sistem Teknologi Informasi (TI) serta manajemen kinerja dan resikonya. Meningkatnya minat pada tata kelola Teknolgi Informasi sebagian besar muncul karena adanya prakarsa kepatuhan (seperti Sar-banex-Oxley di Amerika Serikat dan Basel II di Eropa) serta semakin diakuinya kemudahan proyek Teknologi Informasi untuk lepas kendali yang dapat berakibat besar terhadap kinerja suatu organisasi. Menurut (http://www.continentalsoftware.com/it-governance/ focus-areas), Information Technology Governance Focus Area (according to COBIT) adalah : Performance Measurement Tracks and monitors strategy implementation, projects completion, resource usage, process performance and service delivery, using. For example, balance scorecard that translate strategy into action to achieve goals measurable beyond conventional accounting. Resource Management Is about the optimal investment in, and the proper management of, critical IT resources: applications, information, infrastructure and people. Key issues relate to the optimization of knowledge and infrastructure. Risk Management Requires risk awareness by senior corporate officers, a clear understanding of the enterprise’s appetite for risk, understanding of compliance requirement, transparency about the significant risks to the enterprise and embedding of risk management responsibility into the organization
172. CSRID Journal, Vol.2 No.3 Oktober 2010, Hal. 170 - 179
Strategic Alignment Focus on ensuring the linkage of business and Information Technology plans : defining, maintaining and validating the Information Technology value proposition; and aligning Information Technology operations with enterprise operations. Value Delivery Is about executing the value proposition throughout the delivery cycle, ensuring that Information Technology delivers the promised benefit against the strategy, concentrating on optimizing costs an proving the intrinsic value of Information Technology Audit Sistem Informasi Menurut Turban (2007, p 16) : An Information System is collects, processes, stores, analyzes, and disseminates information for a specific purposes. A computer-based information system (CBIS) is an information system that uses computer technology to perform some or all of its intended tasks. Audit Sistem Informasi merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi harta milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien (Weber,1999). Mengacu pada pendapat Weber, R. (1999, p 11), audit dan sistem pengendalian menjadi semakin penting dalam sistem informasi berbasis komputerisasi, dengan alasan sebagai berikut : (1) Besarnya biaya dan kerugian apabila data di dalam komputer hilang. (2) Biaya yang harus dibayar bila sampai mutu keputusan buruk akibat pengolahan data yang salah (informasi untuk bahan pengambilan keputusan salah). (3) Potensi kerugian kalau terjadi kesalahan/penyalahgunaan komputer. (4) Nilai (investasi) yang tinggi dalam pengadaan maupun perawatan mesin (hardware dan software). (5) Nilai atau biaya yang tinggi yang dikeluarkan untuk pendidikan personil. (6) Biaya yang tinggi bila terjadi computer errors. (7) Perlunya dijaga privacy, mengingat di komputer tersedia data rahasia. (8) Agar perkembangan dan pertumbuhan komputerisasi dapat terkendali (controlled evolution of computer used) Audit Sistem Informasi sendiri merupakan gabungan dari berbagai macam ilmu, antara lain : Tradisional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer dan Behavioral Science. Pendekatan Audit Sistem Informasi Seorang Auditor Sistem Informasi, apabila telah memperoleh sertifikasi, maka akan mendapat gelar Certified Information System Auditor (CISA). Audit Sistem Informasi digolongkan menjadi tiga jenis, yaitu : (1) Auditing around the computer Auditor hanya membandingkan input dan output, tanpa menilai atau mengetahui proses komputer yang digunakan. Pendekatan ini merupakan pendekatan yang mula-mula ditempuh auditor. Asumsi yang digunakan dalam pendekatan ini adalah apabila contoh output dari suatu sistem adalah benar berdasarkan input, maka pemrosesannya tentu dapat diandalkan. Berdasarkan kualitas pemrosesan dan sistem aplikasi, pemrosesan sistem aplikasi tidak diperiksa secara langsung. Selain itu, auditor memandang komputer sebagai black box. Auditor menggunakan metode ini hanya untuk mendapatkan biaya murah. Keadaan dapat dipulihkan kembali jika sistem aplikasi mempunyai tiga karakteristik sebagai berikut : (1) Sistem harus sederhana dan berorientasi pada sistem batch, Pada umumnya, sistem batch komputer merupakan suatu pengembangan langsung dari sistem manual. Sistem batch harus mempunyai kriteria sebagai berikut : (a) Resiko yang ada harus rendah. Resiko ini tidak dapat dikelompokkan dengan subjek kesalahan material akibat ketidakberesan dan ketidakefisienan dalam beroperasi. (b) Logika sistem harus tepat sasaran. Tidak ada rutinitas (kegiatan) yang dikembangkan untuk mengizinkan komputer untuk memproses data. (c) Transaksi inout dilakukan dengan sistem batch dan kontrol diperlihara dengan metode
Julisar, Audit Sistem Informasi Untuk... 173
tradisional. (d) Proses utama terdiri dari penyelesaian input data dan memperbaharui file master secara terus-menerus. (e) Adanya jejak audit (audit trail) yang jelas. Laporan terperinci dipersiapkan pada kunci pokok dalam sistem. (f) Jadwal pekerjaan relatif sangat stabil dan sistem jarang dimodifikasi. (2) Seringkali keefisienan biaya dalam metode Auditing Around the Computer pada saat aplikasi yang digunakan untuk keseragaman kemasan dalam program software. (3) Auditor harus menggunakan metode Auditing Around the Computer pada pengguna lebih tinggi daripada sistem kontrol komputer untuk menjaga perawatan keintegrasian data dan mencapai tujuan keefektifan dan keefisienan sistem. Biasanya metode Auditing Around the Computer adalah pendekatan yang sederhana yang berhubungan dengan audit dan dapat dipraktekan oleh auditor yang mempunyai pengetahuan teknik yang sedikit tentang komputer. Kelemahan yang ada pada pendekatan ini antara lain : (a) Umumnya database mencakup jumlah data yang banyak dan sukar ditelusuri secara manual. (b) Tidak memberikan ruang lingkup yang luas bagi auditor untuk menghayati dan mendalami keberadaan komputer. (c) Cara ini mengabaikan pengendalian sistem dalam pengolahan komputer itu sendiri sehingga rawan terhadap adanya kelemahan dan kesalahan yang terdapat di dalam komputer itu sendiri. (d) Kemampuan komputer sebagai fasilitas penunjang pelaksaan audit menjadi sia-sia. (e) Tidak dapat mencakup keseluruhan maksud dan tujuan penyelenggaraan audit. (2) Auditing with the computer Dalam melaksanakan pemeriksaan auditor menggunakan bantuan komputer. Misalnya untuk melakukan analisa data dan mengecek kebenaran perhitungan, menggunakan bantuan audit software. Pendekatan ini merupakan cara audit yang sangat bermanfaat, khususnya dalam pengujian substantif atas file dan record perusahaan. Audit software yang digunakan merupakan program komputer yang membantu auditor untuk melakukan pengujian dan evaluasi kehandalan data, file dan record perusahaan . Bentuk yang lebih maju dalam metode ini adalah Generalized Audit Software yaitu program audit yang berlaku umum untuk klien. Keunggulan metode ini adalah : (a) Merupakan program komputer yang diproses untuk membantu pengujian pengendalian sistem komputer klien itu sendiri. (b) Dapat melaksanakan tugas audit yang terpisah dari catatan klien, yaitu dengan mengambil copy data atau file untuk dilakukan pengujian dengan komputer lain. Kelemahan metode ini adalah dibutuhkan upaya dan biaya yang relatif besar untuk pengembangannya. (3) Auditing through the computer Auditor melakukan pengetesan data untuk diproses dan hasil proses tersebut kemudian dianalisa untuk membuktikan keandalan dan keakuratan program komputer tersebut. Dengan kata lain metode ini adalah pendekatan audit yang berorientasi pada komputer dengan membuka black box dan secara langsung berfokus pada operasi pemrosesan dalam sistem komputer. Dengan asumsi bahwa apabila pemrosesan mempunyai pengendalian yang memadai, maka kesalahan dan penyalahgunaan tidak akan terlewat untuk dideteksi, sebagai akibat dari keluaran yang dapat diterima. Keunggulan dari metode ini adalah : (a) Dapat meningkatkan kekuatan terhadap pengujian sistem aplikasi secara efektif, dimana ruang ling-kup dan kemampuan dari pengujian yang dilakukan dapat diperluas sehingga tingkat kepercayaan terhadap keandalan dari pengumpulan dan pengevaluasian bukti dapat ditingkatkan. (b) Dengan memeriksa secara langsung, logika pemrosesan dari sistem aplikasi, dapat diperkirakan kemampuan sistem dalam menangani perubahan dan kemungkinan kehilangan yang terjadi pada masa yang akan datang. Kelemahan dari metode ini adalah : (a) Biaya yang dibutuhkan relatif tinggi yang disebabkan jumlah jam kerja yang banyak untuk dapat lebih memahami struktur kontrol internal dari pelaksanaan sistem aplikasi. (b) Butuh banyak keahlian teknis yang lebih mendalam untuk memahami cara kerja sistem.
174. CSRID Journal, Vol.2 No.3 Oktober 2010, Hal. 170 - 179
Penerapan komputerisasi dalam suatu organisasi untuk mengelola sumber daya dan dana, pencatatan, pengawasan dan pelaporan kegiatan serta laporan keuangan, akan membawa akibat terhadap prosedur dan teknik audit yang dilakukan oleh internal auditor maupun eksternal auditor. Audit manual menekankan pentingnya evaluasi bukti pendukung yang dihasilkan oleh suatu system yaitu untuk mendukung pendapat auditor. Sedangkan audit komputer lebih menekankan pada keandalan pengendlian di lingkungan Pengolahan Data Elektronik. Pada kondisi inilah Auditor Sistem Informasi (Information System Auditor = IS Auditor) diperlukan untuk membantu eksternal auditor dan internal auditor dalam melaksanakan pemeriksaan. IS Auditor akan melaksanakan evaluasi dan testing terhadap pengendalian dan prosedur yang berlaku serta menerapkan dan mengembangkan teknik-teknik audit komputer termasuk pengembangan audit software. Seorang auditor di bidang Sistem Informasi harus mengetahui dan memahami konsep teknologi informasi seperti : (a) Sistem Informasi dan Organisasi dari Sistem Informasi Manajemen. (b) Konsep computer. (c) Pengetahuan di bidang komputer (hardware dan software). (d) Sistem dan jaringan telekomunikasi . (e) Kemampuan untuk mengidentifikasi resiko baru dan pengendalian yang diperlukan dalam lingkungan bisnis yang berbasis computer. (f) Pengetahuan tentang bagaimana menggunakan komputer untuk mengaudit komputer. (g) Untuk memperoleh tenaga IS Auditor dapat dilakukan dengan beberapa cara : (1) Mendidik personil yang memiliki latar belakang akunting/auditing untuk memahami konsep dasar prinsip data processing, struktur sistem komputer, prosedur dan pengendalian sistem aplikasi komputer manajemen data, pengendalian operasi komputer serta pengendalian terhadap pengembangan suatu sistem. (2) Mendidik personil yang memiliki latar belakang EDP untuk memahami masalah auditing, khususnya yang berkaitan dengan masalah kontrol atau pengendalian internal. Lima Tahapan Audit Sistem Informasi Untuk melaksanakan audit sistem informasi, ada beberapa tahapan yang perlu dilakukan. Tahapan-tahapan tersebut ialah : 1. Planning the Audit Perencanaan merupakan tahap pertama dari kegiatan audit. Bagi eksternal auditor hal ini artinya adalah melakukan investigasi terhadap klien untuk mengetahui : (a) Apakah pekerjaan mengaudit dapat diterima. (b) Staff yang akan ditempatkan untuk melaksanakan audit. (c) Membuat perjanjian perjanjian audit. (c) Menghasilkan informasi latar belakang klien. (d) Mengerti tentang masalah hukum klien. (e) Melakukan analisa terhadap prosedur yang ada untuk mengerti tentang bisnis klien.(f) Mengidentifikasi resiko audit. 2. Test of Control Auditor melakukan Test of Control ketika menilai bahwa resiko terhadap control (pengedalian) berada pada level kurang dari maksimum, mereka mengandalkan control sebagai dasar untuk mengurangi biaya testing. Sampai pada tahap ini auditor tidak mengetahui apakah identifikasi control telah berjalan dengan efektif, test of control memerlukan evaluasi yang lebih spesifik terhadap materi control. 3. Test of Transaction Auditor melakukan test (pengujian) terhadap transaksi untuk mengevaluasi Apakah kesalahan atau proses yang tidak biasa terjadi pada transaksi yang mengakibatkan kesalahan pencatatan yang material pada laporan keuangan. Pengujian terhadap transaksi ini termasuk menelusuri jurnal dari sumber dokumen, memeriksa file berharga dan mengecek keakuratan perhitungan. Pemakaian komputer sangat membantu pekerjaan ini dan auditor harus menggunakan software audit umum untuk mengecek apakah bunga yang dibayar kepada bank telah sesuai perhitungannya. 4. Test of Balances or Overall Result Untuk mengetahui pendekatan yang digunakan pada tahap ini, yang harus diperhatikan adalah tujuan pengamanan harta dan data integrity. Beberapa jenis substantive test terhadap saldo yang digu-
Julisar, Audit Sistem Informasi Untuk... 175
nakan adalah konfirmasi piutang, perhitungan fisik persediaan dan perhitungan ulang penyusutan aktiva tetap. 5. Completion of The Audit Pada tahap ini, auditor harus merumuskan pendapat tentang kehilangan material dan keabsahan pernyataan laporan muncul dan memuat sebuah laporan. Jenis-jenis pendapat auditor yaitu : a. Disclaimer of Opinion (Tidak Memberikan Pendapat) Setelah melakukan audit, auditor tidak dapat memberikan opini b. Adverse Opnion (Pendapat Tidak Wajar) Auditor menyimpulkan bahwa kehilangan material telah muncul atau laporan keuangan telah dinyatakan salah secara material. c. Qualified Opinion (Wajar Dengan Pengecualian) Auditor menyimpulkan bahwa kehilangan telah muncul / kesalahan laporan secara\material. d. Unqualified Opinion (Wajar Tanpa Pengecualian) Auditor percaya bahwa tidak ada kehilangan material / laporan yang salah. COBIT (Control Objective for Information and Related Technology) Sejarah COBIT COBIT pertama kali dikembangkan pada tahun 1996 oleh Information system Audit and Control Association (ISACA) dan disusun berdasarkan control objective yang dimiliki ISACA. COBIT edisi kedua dipublikasikan pada tahun 1998 dengan menambahkan Implementation Tool Set dan sedikit revisi pada high level control objective dan detailed control objectives. COBIT edisi ketiga dirilis pada tahun 2000 dan mulai dikelola Information Technology Governance Institute (ITGI). Edisi ini berisi pengembangan arahan bagi manajemen dan pembaharuan dari edisi kedua yang memberikan referensi baru dan standar internasional. Kerangka kerjanya diperbaharui dan ditambahkan untuk meningkatkan pengendalian bagi manajemen, kinerja manajemen dan berorientasi pada pengembangan tata kelola Teknologi Informasi dengan menyediakan maturity model, critical success factors, key goal indicator dan key performance indicators untuk pengelolaan Teknologi Informasi. COBIT edisi keempat dirilis pada bulan November 2005. Dalam edisi ini terdapat perubahanperubahan yang cukup menonjol yaitu domain Monitor berubah menjadi Monitor and Evaluate (ME), serta adanya beberapa perubahan yang terjadi pada proses-proses yang ada. Selain itu pada COBIT edisi sebelumnya terdapat 318 detailed control objective namun pada COBIT 4.0 ini menjadi 215 buah. Misi COBIT COBIT mempunyai misi untuk meneliti, mengembangkan, memperkenalkan, mempromosikan dan meng-update tujuan pengendalian Teknologi Informasi yang dapat digunakan oleh manajemen dan auditor serta dapat diterima secara internasional. Manfaat COBIT COBIT memberikan manfaat yang berarti bagi mereka yang menyadari akan pentingnya pengendalian terhadap sistem dan informasi. Manfaat-manfaat tersebut : (1) COBIT telah diakui secara internasional dan disusun berdasarkan pengalaman para ahli dari seluruh dunia. (2) Memenuhi standar ISO17799, COSO I dan COSO II serta standar internasional lainnya. (3) Mampu menjembatani komunikasi antara divisi Teknologi Informasi, pihak manajemen dan auditor dengan cara memberikan pendekatan yang umum dan mudah untuk dipahami. (4) Berorientasi pada manajemen serta mudah digunakan. (5) Mendukung pelaksanaan audit Teknologi Informasi sehingga dapat memberikan hasil audit dan opini yang berkualitas tinggi. (6) Merupakan pendekatan yang fleksibel dan memungkinkan untuk disesuaikan dengan semua organisasi yang mempunyai budaya, ukuran serta kebutuhan yang berbeda-beda. (7) Apa yang terdapat dalam COBIT lengkap, dikembangkan terus menerus dan dipelihara oleh organisasi non-profit terkemuka.
176. CSRID Journal, Vol.2 No.3 Oktober 2010, Hal. 170 - 179
Produk COBIT Produk-produk COBIT yaitu : 1. Board Briefing on Information Technology, 2nd edition Membantu para eksekutif memahami betap pentingnya Information Technology Governance apa yang menjadi masalah dan tanggung jawab mereka dalam pengelolannya. 2. Management Guidelines / Maturity Model Membantu menentukan tanggungjawab, pengukuran kinerja, tolok ukur dan menemukan gap dalam kapabilitasnya. 3. Frameworks Mengorganisasikan objektif Information Technology Governance dan Good Practices pada domain dan proses Teknologi Informasi, serta menghubungkannya dengan kebutuhan bisnis. 4. Control Objectives Menyediakan sebuah kumpulan komplit dari kebutuhan tingkat tinggi yang akan dipertimbangkan oleh manajemen guna mengendalikan setiap proses Teknologi Informasi agar lebih efektif. 5. Information Technology Governance Implementation Guide : Using COBIT and Val IT TM, 2nd edition Menyediakan peta jalan yang umum untuk mengimplementasikan Information Technology Governance dengan menggunakan COBIT dan Val IT TM resources. 6. COBIT Control Practices : Guidance to Achieve Control Objectives for Successful IT Governance, 2nd edtion Menyediakan petunjuk mengenai mengapa control sangat penting untuk perlu diimplementasikan dan bagaimana untuk mengimplementasikannya. 7. IT Assurance Guide : Using COBIT Menyediakan pedoman mengenai bagaimana COBIT dapat digunakan untuk mendukung jaminan dari keanekaragaman aktivitas bersama dengan langkah pengujian yang diusulkan dalam proses Teknologi Informasi dan objektif kontrol. Prinsip Dasar Kerangka Kerja COBIT Prinsip dasar kerangka kerja COBIT adalah proses Teknologi Informasi mengelola semua sumber daya Teknologi Informasi yang ada seupaya dapat mencapai tujuan Teknologi Informasi, yaitu tujuan untuk memenuhi kebutuhan organisasi. COBIT mengkategorikan sumber daya Teknologi Informasi menjadi sebagai berikut : (1) Application (Aplikasi), Sistem yang mengolah informasi, baik yang dilakukan secara otomatis maupun yang masih manual. (2) Information (Informasi), Semua data yang terlibat pada saat Input, Process dan Output. (3) Infrastructure (Infrastruktur), Merupakan semua teknologi informasi dan fasilitas yang mendukung jalannya aplikasi. (4) People (orang), Individu-individu yang dibutuhkan untuk merencanakan, mengatur, mengadakan, melaksanakan, mendukung, mengawasi dan mengevaluasi system. Individu-individu ini dapat berasal dari dalam organisasi atau pihak luar, tergantung kebutuhan organisasi. Dengan mengelola semua atau sebagian dari sumber daya di atas, maka diharapkan proses Teknologi Informasi dapat menghasilkan kebutuhan informasi dengan maksimal. COBIT mengkategorikan kebutuhan informasi sebagai berikut : 1. Effectiveness - Informasi yang dihasilkan relevan dengan proses bisnis yang ada serta dapat diselesaikan dengan benar, tepat waktu, konsisten dan bermanfaat 2. Efficiency - Informasi yang dihasilkan lebih produktif dan ekonomis. 3. Confidentiality - Informasi-informasi penting dapat terlindungi dari pihak-pihak yang tidak berwenang 4. Integrity - Informasi yang dihasilkan kengkap dan akurat 5. Availability - Informasi dapat tersedia ketika dibutuhkan 6. Compliance - Informasi yang dihasilkan sesuai dengan hukum, peraturan dan perjanjian yang berlaku 7. Reliability - Menyediakan informasi yang layak agar dapat digunakan dalam kegiatan operasional dan keuangan, serta membantu dalam menyelesaikan laporan.
Julisar, Audit Sistem Informasi Untuk... 177
Contoh Kasus Dari http://blog.unila.ac.id/albertus/files/2009/06/albertus-novendri3.pdf Dikutip dan diedit seperlunya. PT. Indosat Tbk, mulai menerapkan sistem alur kerja secara otomatis yang memungkinkan para pegawai menciptakan user name and password secara on-line dan menerima proses lewat email. Bahkan operator seluler itu menggunakan oracle identity management untuk 55 aplikasi bisnis dan telekomunikasi. Ini termasuk pembayaran tagihan enterprise resource, sumber daya manusia, manajemen produk telekomunikasi. Oracle identity dan access management menawarkan pengimplementasian cepat, konfigurasi yang mudah dan yang minimal. Ini berarti perusahaan dapat menciptakan dan mengintegrasikan identity management solution dengan cepat dan sekaligus mengurangi resiko dan menjamin kepatuhan. Pada saat bersamaan, perusahaan meningkatkan perlindungan data dan konsumen. Dengan meminimalisasi resiko akan akses dari sistem yang berwenang, PT. Indosat akan mendemonstrasikan kepatuhan terhadap Sarbanex-Oxley Regulation. PT. Indosat telah menciptakan landasan keamanan Teknologi Informasi yang dibutuhkan untuk meraih kesempatan bisnis dan keuntungan menjawab permintaan pasar. PT. Indosat Tbk., dapat dilihat sudah mewujudkan: I. Tata Kelola Sistem Informasi (IT Governance) dalam beberapa hal : 1) Menerapkan sistem alur kerja secara otomatis 2) Para pegawai menciptakan user name dan password secara on-line dan menerima persetujuan lewat email II. COBIT dalam beberapa hal : 1) Menggunakan Oracle Identity Management untuk 55 aplikasi bisnis dan telekomunikasi 2) Tagihan enterprise resource, sumber daya manusia, manajemen produk telekomunikasi 3) Oracle identity dan access management, yang menawarkan pengimplementasian cepat, konfigurasi yang mudah dan cepat, sehingga dapat menciptakan dan mengintegrasikan identity management solution dengan cepat dan sekaligus mengurangi resiko dan menjamin kepatuhan. Dari Rohajawati, Siti (2004), Proteksi dan Teknik Keamanan Sistem Informasi (Studi Kasus Di PT. Percetakan dan Penerbitan Jaya), Program Magister Teknologi Informasi, Fakultas Ilmu Komputer, Universitas Indonesia Dikutip dan diedit seperlunya PT. Percetakan dan Penerbitan Jaya berdiri sejak tahun 1993, tepatnya diresmikan pada tanggal 27 Juli 1993. Perusahaan ini dibangun oleh beberapa investor yang tidak saja menjadi penanam modal akan tetapi sekaligus menjadi pemilik perusahaan. Guna meningkatkan profit, perusahaan memperluas bidang usaha dengan memberikan beberapa jenis layanan penyediaan yaitu: (1) layanan alat tulis kantor. (2) layanan buku-buku bacaan, buku pelajaran, dan jurnal berkala. (3) layanan peralatan suku cadang ukur, survei, laboratorium, dan timbangan khusus. (4) layanan peralatan suku cadang computer. (5) layanan kimia teknis. (6) layanan fotokopi. (7) layanan warung telepon. (8) layanan warung internet. Selanjutnya perusahaan secara spesifik terbagi pada dua jenis usaha yaitu percetakan dan penerbitan. Perusahaan percetakan dipimpin oleh dua orang komisaris, seorang direktur dan seorang wakil direktur serta membawahi beberapa orang manajer yaitu manajer administrasi, gudang, pemasaran, dan produksi. Sedangkan perusahaan penerbitan dipimpin oleh tiga orang pembina, satu pemimpin umum perusahaan, satu pemimpin redaksi, serta dibantu oleh bagian sekretaris redaksi, editor ahli, redaksi, pengasuh rubrik, desain dan tata letak, keuangan, marketing, distribusi dan korespondensi. Untuk mengetahui tentang kebijakan perusahaan PT Percetakan dan Penerbitan Jaya Khususnya dalam keamanan bisnisnya, akan diuraikan beberapa domain tentang proteksi dan teknik keamanan sistem informasinya. Berikut disajikan secara rinci dua belas (12) domain yang meliputi (a) Access control system and methodology. (b) Telecommunications and network security, (c) Security management practice.(d) Application and systems development security. (e) Cryptography. (f) Se-
178. CSRID Journal, Vol.2 No.3 Oktober 2010, Hal. 170 - 179
curity architecture and models. (g) Operations security. (h) disaster recovery and business continuity plan. (i) laws. (j) Investigations and ethics. (k) Physical security. (l) Auditing and assurance. Beberapa domain dari proteksi dan teknik keamanan sistem informasi memerlukan perhatian khusus agar data dan informasi dapat diakses sesuai dengan kebutuhan, terhindar dari berbagai bencana, ancaman dan kerawanan keamanan. Penekanan yang utama adalah pada akses kontrol yang melibatkan administrator ataupun manajer yang menuntut mereka harus mampu mengelola hak-hak dan peranan dari user dalam memanfaatkan data dan informasi perusahaan. Keamanan bagi telekomunikasi dan jaringan sangat mendukung ketersediaan data dan informasi dalam pengaksesannya. Hal ini adalah untuk mewujudkan IT Governance yang unsur-unsurnya adalah : Performance Measurement, Resource Management, Risk Management, Strategic Alignment, Value Delivery Dengan pengaturan yang baik, PT. Percetakan dan Penerbitan Jaya, dapat memenuhi kebutuhan informasi yang : efektif, efisiensi, bersifat rahasia, integrity, availability, compliance dan reliability.
SIMPULAN Dalam era digital sekarang ini, semakin banyak perusahaan yang menggunakan pemrosesan data secara elektronik. Untuk mewujudkan Tata Kelola Sistem Informasi (IT Governance) yang baik, maka dibutuhkan suatu audit sistem informasi yang memadai untuk dapat mewujudkan Tata Kelola Sistem Informasi (IT Governance) COBIT adalah salah satu standar yang dapat digunakan untuk audit dan telah mendapat pengakuan di dunia internasional Dengan melakukan perencanaan audit yang sesuai dengan framework COBIT, maka auditor sistem informasi dapat memulai dengan menentukan area-area yang relevan dan mempunyai resiko yang paling tinggi di dalam pemrosesan data secara elektronik tersebut. SARAN Di dalam organisasi yang berbasikan teknologi informasi, maka sebaiknya organisasi tersebut melakukan audit sistem informasi secara berkala. Manajemen bertanggung jawab dalam pengendalian di dalam perusahaan. Untuk mencapai standar audit yang diakui, terutama dalam dunia internasional, sebaiknya perusahaan menggunakan standar yang dikeluarkan oleh ISACA (Information System Audit and Control Association) yaitu COBIT (Control Objectives for Information and Related Technology)
DAFTAR RUJUKAN An Introduction to Computer Audit (2009) Hall, James A, (2005) Information Technology Auditing and Assurance, 2nd edition, Thomson, SouthWestern O’Brien, James, (2003) Introduction to Information System, 11th edition, McGraw-Hill, New Jersey, USA Rohajawati, Siti (2004), Proteksi dan Teknik Keamanan Sistem Informasi (Studi Kasus Di PT. Percetakan dan Penerbitan Jaya), Program Magister Teknologi Informasi, Fakultas Ilmu Komputer, Universitas Indonesia Sarbanex-Oxley Compliance (2009): http://proquest.umi.com/pqdweb?index=0&did=1492954961&SrchMode=1&sid=9&Fmt=6&VIn st=PROD&VType=PQD&RQT=309&VName=PQD&TS=1236913120&clientId=68814 Turban, Efraim, et. al, (2007), Introduction to Information System : Supporting and Transforming Business, John Wiley & Sons, Inc. Turban, Efraim, et. al (2008), Information Technology for Management : Transforming Organization in the Digital Economy, John Wiley & Sons, Inc. Weber, R (1999), Information System Control and Audit, 9th edition, New Jersey, Prentice Hall, Inc.
Julisar, Audit Sistem Informasi Untuk... 179
http://www.barclaysimpson.com/document_uploaded/Introduction%20to%20Computer%20Audit .pdf A Guide to Computer Assisted Audit Techniques http://www.mass.gov/Ador/docs/dor/Publ/PDFS/caat.pdf (29 Mei 2009, 07:33) Audit Sistem Informasi Berbasis Kendali http://home.unpar.ac.id/~integral/Volume%209/Integral%209%20No.%201/Audit%20Sistem%20 Informasi%20-%20Kendali.pdf (29 Mei 2009, 07:55) Evaluasi Penerapan Audit Sistem Informasi http://puspasca.ugm.ac.id/files/(0035-H-2004).pdf (29 Mei 2009, 08:00) Langkah2 Umum Program Audit Sistem Informasi « A_ B_ Mutiara http://amutiara.wordpress.com/2007/11/08/19-langkah2-umum-program-audit-sistem-infomasi/ 29 Mei 2009, 08:05 Peranan Teknologi Informasi Dalam Audit Sistem Informasi http://jurnal.unikom.ac.id/ed9/04-Supriyati.pdf (29 Mei 2009, 08:10) Peranan Audit Sistem Informasi Akuntansi Berbasis Komputer Dalam Penyajian Financial Report http://jurnal.unikom.ac.id/ed9/03-Dony.pdf (29 Mei 2009, 08:33) http://en.wikipedia.org/wiki/COBIT (12 Juni 2009, 15:00) http://en.wikipedia.org/IT_Governance (12 Juni 2009, 15:15) Penggunaan Teknologi Informasi Audit dalam Good Corporate Governance Khususnya Sarbanex Oxley http://blog.unila.ac.id/albertus/files/2009/06/albertus-novendri3.pdf (09 November 2009, 08:45) Audit danTata Pamong Teknologi Informasi http://jazieko.com/wp-content/uploads/2008/04/audit-ti-jazi.pdf (09 November 2009, 09:10)
