BAB 2 LANDASAN TEORI
2.1
Evaluasi
2.1.1
Pengertian Evaluasi Menurut Umar (2005, p36), Evaluasi adalah suatu proses untuk menyediakan
informasi tentang sejauh mana kegiatan tertentu telah dicapai, bagaimana perbedaan pencapaiaan itu dengan suatu standar tertentu untuk mengetahui apakah ada selisih diantara keduanya serta bagaimana manfaat yang telah dikerjakan itu bila dibandingkan dengan harapan-harapan yang ingin diperoleh.
2.1.2
Jenis-Jenis Evaluasi Menurut Arens, Elder & Beasley (2003,p19-20), terdapat 3 (tiga) jenis evaluasi
yang dapat dibedakan dan dipahami, atas penjelesan menurut adalah sebagai berikut: 1. Evaluasi Operasional Adalah tinjauan atas bagian-bagian tertentu dari prosedur, serta metode-metode operasional dan efektivitas dari prosedur serta metode-metode tersebut. Dimana pada suatu saat suatu evaluasi operasional selesai dilaksanakan, maka pihak manajemen pada umumnya mengharapkan sejumlah rekomendasi , maupun saran, yang bertujuan untuk meningkatkan kegiatan operasional perusahaan. 2. Evaluasi Kepatuhan Adalah bertujuan untuk menentukan apakah klien (Evaluating), telah mengikuti prosedur, tata cara, serta peraturan yang dibuat oleh otoritas yang lebih tinggi. Dimana 7
8
temuan evaluasi kepatuhan umumnya disampaikan pada seseorang di dalam unit organisasi yang dievaluasi, dari pada disampaikan pada suatu lingkup pengguna yang lebih luas. 3. Evaluasi atas Laporan Keuangan Adalah evaluasi yang dilaksanakan untuk menentukan, apakah seluruh lapongan atau informasi yang diuji, telah dinyatakan sesuai dengan criteria tertentu. Dimana criteria tersebut adalah merupakan pernyataan standar akuntansi keuangan yang berlaku umum.
2.1.3 Prosedur Evaluasi Menurut Umar (2005,p38), Evaluasi pada umumnya memiliki tahapantahapannya sendiri. Berikut penjelasan salah satu tahapan evaluasi yang umumnya digunakan 1. Menentukan apa yang akan dievaluasi Dalam bisnis, apa saja yang dapat dievaluasi, dapat mengacu pada program kerja perusahaan. Di sana banyak terdapat aspek-aspek yang kiranya dapat dan perlu dievaluasi. Tetapi biasanya yang diprioritaskan untuk dievaluasi adalah hal-hal yang menjadi key-succesess factor nya. 2. Merancang (desain) kegiatan evaluasi Sebelum evaluasi dilakukan, tentukan terlebih dahulu desain evaluasinya agar data apa saja yang dibutuhkan, tahapan-tahapan kerja apa saja yang dilalui, siapa saja yang akan dilibatkan, serta apa saja yang akan dihasilkan menjadi jelas.
9
3. Pengumpulan data Berdasarkan desain apa yang telah disiapkan, pengumpulan data dapat dilakukan secara efektif dan efisien, yaitu sesuai dengan kaidah-kaidah ilmiah yang berlaku dan sesuai dengan kebutuhan dan kemampuan. 4. Pengolahan dan analisis data Setelah data terkumpul, data tersebut diolah untuk dikelompokkan agar mudah dianalisis dengan menggunakan alat-alat analisis yang sesuai, sehingga dapat menghasilkan fakta yang dapat dipercaya. Selanjutnya, dibandingkan antara fakta dan harapan/rencana untuk menghasilkan gap. Besar gap yang akan sesuai dengan tolok ukur tertentu sebagai hasil evaluasinya. 5. Pelaporan hasil evaluasi Agar hasil evaluasi dapat dimanfaatkan bagi pihak-pihak yang berkepentingan, hendaknya hasil evaluasi didokumentasikan secara tertulis dan diinformasikan baik secara lisan maupun tulisan. 6. Tindak lanjut evaluasi Evaluasi merupakan salah satu bagian dari fungsi manajemen. Oleh karena itu, hasil evaluasi hendaknya dimanfaatkan oleh manajemen untuk mengambil keputusan dalam rangka mengatasi masalah manajemen baik di tingkat strategi maupun di tingkat implementasi strategi.
2.2
Informasi
2.2.1
Kualitas Informasi
10
Menurut Gelinas dan Dull (2010, p21), kualitas informasi terdiri dari tujuh kriteria antara lain : a. Effectiveness: deals with the information being relevant and pertinent to the business process as well as being delivered in a timely, correct, consistent, and usable manner. b. Efficiency : concerns the provision of information through the optimal (most productive and economical) use of resources. c. Confidentiality : concerns the protection of sensitive information from unauthorized disclosure. d. Integrity : relates to the accuracy and completeness of information as well as to its validity in accordance with business values and expectations. e. Availability : relates to information being available when required by the business process now and in the future. It also concerns the safeguarding of necessary resources and associated capabilities. f. Compliance : deals with complying with the laws, regulations , and contractual arrangements to which the business process is subject, that is, externally imposed business criteria, as well as internal policies. g. Reliability : relates to the provision of appropriate information for management to operate the entity and exercise its fiduciary and governance responsibilities. Berdasarkan kualitas informasi diatas, maka dapat disimpulkan bahwa informasi yang berkualitas memiliki kriteria-kriteria yaitu : efektifitas (harus relevan), efisiensi (tepat
11
guna), konfidensialitas (memiliki perlindungan data), integritas (akurat), availibilitas (ketersediaan data), kepatuhan dan realibilitas (kehandalan).
2.3
Sistem Informasi
2.3.1
Pengertian Sistem Informasi Menurut Gelinas dan Dull (2010, p12 ), An information system is a man made
system generally consists of an integrated set of computer-based components and manual components establish to collect ,store ,and manage data and to provide output information to users. Menurut O`Brien (2008, p7), “information system can be any organized combination of people,hardware,sotware,communication networks and data resources that collect,transform,disseminates information in a organization.” Menurut Gondodiyoto (2007, p.112), menyatakan bahwa sistem informasi masih dapat didefinisikan sebagai kumpulan elemen-elemen/sumberdaya dan jaringan prosedur yang saling berkaitan secara terpadu, terintegrasi dalam suatu hubungan hierarki tertentu dan bertujuan untuk mengolah data menjadi informasi. Dari beberapa pengertian sistem informasi diatas, maka ditarik kesimpulan bahwa sistem informasi adalah suatu kesatuan berbagai komponen yang diproses untuk menghasilkan informasi yang berguna bagi perusahaan dalam mencapai sasaran dan tujuannya.
2.4.
Database
12
2.4.1
Pengertian Database Menurut Connoly dan Begg (2005, p15), database adalah kumpulan dari data
yang saling berhubungan secara logical dan menjelaskan data tersebut, dirancang untuk memenuhi kebutuhan informasi perusahaan Menurut Inmon (2005, p493), database adalah kumpulan dari data yang saling berhubungan yang disimpan berdasarkan skema. Dapat disimpulkan bahwa database adalah sekumpulan dari data yang dimiliki perusahaan yang berhubungan secara logical dan disimpan berdasarkan skema yang dirancang untuk memenuhi kebutuhan informasi perusahaan.
2.5
Evaluasi Pengendalian Sistem Informasi
2.5.1 Pengertian Evaluasi Pengendalian Sistem Informasi Menurut Hari Setiabudi et.al (2010, p971), Evaluasi Pengendalian Sistem Informasi merupakan suatu proses untuk menyediakan informasi mengenai hasil penilaian
atas
permasalahan
yang
ditemukan
untuk
melakukan
pencegahan,
pendeteksian, atau perbaikan kelemahan terhadap serangkaian komponen-komponen yang bekerja sama untuk mengumpulkan, mengolah, menyimpan dan mendistribusikan informasi yang digunakan sebagai alat untuk mencapai tujuan tertentu.
2.5.2
Tahapan Evaluasi Pengendalian Sistem Informasi Berikut adalah tahapan evaluasi pengendalian sistem informasi (Hari Setiabudi
et.al, 2010, p971) :
13
1. Langkah-langkah merencanakan
dalam
melakukan
evaluasi,
evaluasi
mengevaluasi
sistem
bukti-bukti
informasi pendukung,
adalah dan
mengkomunikasikan hasil evaluasi. Tujuan perencanaan evaluasi adalah untuk menetapkan mengapa, bagaimana, kapan, dan oleh siapa proses evaluasi akan dilaksanakan. Langkah-langkah dalam perencanaan audit adalah: (1) menetapkan ruang lingkup dan tujuan evaluasi; (2) mengorganisir tim pengevaluasi; (3) mengembangkan pengetahuan tentang operasional bisnis; (4) mengidentifikasi faktor risiko; (5) menyiapkan program audit; (6) mengumpulkan bukti-bukti pendukung. 2. Metode yang digunakan untuk mengumpulkan bukti-bukti pendukung antara lain: (1) observasi, mengamati kegiatan operasional; (2) mereview dokumentasi; (3) berdiskusi dengan para karyawan mengenai pekerjaan mereka dan bagaimana untuk melaksanakan prosedur tertentu; (4) kuisioner untuk mengumpulkan data mengenai sistem; (5) pemeriksaan fisik terhadap jumlah dan kondisi tangible asset. Dalam mengevaluasi bukti-bukti pendukung, auditor mengevaluasi bukti pendukung yang dikumpulkan dengan dasar tujuan evaluasi dan memutuskan apakah bukti tersebut mendukung kesimpulan atau tidak. Auditor juga menilai kualitas pengendalian internal, menilai reliabilitas informasi yang didapat, menilai kinerja operasi, menentukan kebutuhan untuk menambah bukti, menentukan
faktor
mendokumentasikan
risiko,
menentukan
temuan-temuan.
faktor Tahapan
materialitas, terakhir
dan yaitu
mengkomunikasikan hasil evaluasi. Tim evaluasi menyiapkan laporan tertulis
14
yang meringkas temuan-temuan dan rekomendasi dengan referensi untuk mendukung bukti hasil evaluasi dalam lembar kerja. Laporan ini disajikan untuk manajemen dan pihak lain yang terkait.
2.6
Pengiriman
2.6.1
Istilah-istilah Penting Terkait Pengiriman
Menurut Yunarto (2006), menjelaskan beberapa istilah penting yang berkaitan dengan pengiriman, yaitu : a. Shipping/Shipment adalah pengiriman barang yang melibatkan shiper, penyedia jasa, consignee, dan armada pengakutan mitra bisnis penyedia jasa pengiriman barang. b. Shipping Instruction (SI) adalah surat perintah pengiriman barang yang diberikan oleh shipper kepada pihak penyedia jasa pengiriman barang. c. Shipper adalah pelanggan retail atau korporat yang memanfaatkan jasa layanan pengiriman barang. d. Consignee adalah penerima barang dari shipper melalui penyedia jasa layanan pengiriman barang. e. Agent adalah pihak penyedia jasa layanan pengiriman barang yang bertanggung jawab atas pengiriman barang berangkat dari bandara atas pelabuhan untuk selanjutnya dikirimkan kepada consignee. f. Notify Party adalah pihak yang bertanggung jawab atas penerimaan barang.
15
g. Airway Bill adalah surat tanda bukti pengiriman barang dengan tanda nomor tertentu yang telah disetujui oleh pihak penyedia jasa pengiriman barang dan armada pengangkutan udara mitra bisnisnya. Airway Bill dikenal juga sebagai Surat Muatan Udara. h. Bill of Lading adalah surat tanda bukti pengiriman barang yang dibuat oleh pihak PT. Tiki Jalur Nugraha Ekakurir dan dikirim ke pihak agent dan shipper. i. Tracking adalah kegiatan menampilkan informasi barang shipper melalui suatu media tertentu. Tujuannya adalah memberikan status informasi pengiriman barang yang dibutuhkan oleh shipper mengenai kirimannya. Kegiatan tracking ini dilakukan oleh shipper, bukan oleh pihak penyedia jasa pengiriman barang : pihak penyedia jasa hanya menyediakan status informasi yang dibutuhkan oleh shipper. j. Invoice adalah surat tagihan jasa pengiriman barang yang dikeluarkan oleh pihak penyedia jasa pengiriman barang kepada shipper.
2.7
Audit Sistem Informasi
2.7.1
Pengertian Audit Sistem Informasi Menurut Gondodiyoto (2007, p443), Audit Sistem informasi dimaksudkan untuk
mengevaluasi tingkat kesesuaian antara sistem informasi dengan prosedur bisnis (business processes) perusahaan (kebutuhan pengguna, user needs), untuk mengetahui apakah suatu sistem informasi telah didesain dan diimplementasikan secara efektif,
16
efisien dan ekonomis, memiliki mekanisme kepengamanan aset, serta menjamin integritas data yang memadai. Menurut Rommey dan Steinbart (2006, p783), information systems audit reviews the general and application controls of an accounting information system(AIS) to assess its compliance with internal control policies and procedures and its effectiveness in safeguarding assets. Menurut pengertian diatas maka dapat disimpulkan bahwa Audit Sistem Informasi adalah suatu proses mengumpulkan dan mengevaluasi bukti-bukti untuk mengetahui apakah sistem aplikasi sudah menerapkan pengendalian internal yang memadai agar dapat dilindungi dengan baik dan terhindar dari penyalahgunaan.
2.7.2 Prosedur Audit Sistem Informasi According to Cannon (2011, p137), the audit program policy informs everyone that the overall auditing program is important. We use standards as a uniform rule of measurement, and each standard is supported by a set of procedures. The audit program is run in the same manner as an ISO 9001 quality management program. Every auditor needs to ensure that the following procedures are in the toolkit: a) Audit planning; b) Scheduling audits; c) Assuring competence of auditors and audit team leaders; d) Selecting appropriate audit teams; e) Assigning roles and responsibilities; f) Conducting audits; g) Maintaining audit program records; h) Monitoring performance and effectiveness; i) Complaint tracking; j) Reporting to top management an overall achievement.
17
Diterjemahkan menjadi, kebijakan program audit menginformasikan kepada semua orang bahwa program audit secara keseluruhan adalah penting. Kami menggunakan standar sebagai aturan pengukuran yang seragam, dan masing-masing standar didukung oleh satu set prosedur. Program audit dijalankan dengan cara yang sama sebagai program manajemen mutu ISO 9001. Setiap auditor harus memastikan bahwa prosedur-prosedur berikut ini terdapat dalam toolkit : a) Perencanaan Audit; b) Penjadwalan audit; c) Menjamin kompetensi auditor dan pemimpin tim audit; d) Memilih tim audit yang sesuai; e) Menetapkan peran dan tanggung jawab; f) Melakukan audit; g) Mempertahankan catatan program audit; h) Pemantauan kinerja dan efektivitas; i) Pengaduan pelacakan; j) Melaporkan kepada manajemen puncak atas keseluruhan prestasi.
2.7.3. Standar Audit Sistem Informasi Adapun standar profesional untuk audit sistem informasi yang berdasarkan pada ISACA (Information Sistem Audit and Control Association) standards (2010, p9-24) adalah : 1. Audit Charter Purpose, Responbility, Authority, and Accountability. Diterjemahkan menjadi, tujuan, tanggung jawab, otoritas, dan akuntabilitas dari fungsi audit sistem informasi lebih tepat bila didokumentasikan dalam suatu surat perjanjian. Surat perjanjian tersebut harus disetujui oleh suatu tingkatan yang tepat diorganisasi. 2. Independency
18
a. Profesional Independence Dalam permasalahan yang berkaitan dengan audit, auditor sistem informasi harus bersikap independen dalam tingkah laku dan tindakannya. b. Organizational Relationship Fungsi audit sistem informasi berada independen dari area yang diaudit untuk mencapai tujuan objectivitas dari suatu proses audit. 3. Professional Ethics and Standard a. Code Of Profesional Ethics Auditor sistem informasi harus menghormati dan mentaati etika professional dalam melakukan tugas audit. b. Due Professional Care Auditor sistem informasi harus melakukan ketelitian professional yang seharusnya, termasuk ketaatan standard audit professional yang dapat dipakai dalam melakukan tugas audit. 4. Professional Competence Auditor sistem informasi harus mampu secara professional, memiliki kemampuan dan keahlian untuk melakukan tugas audit. Auditor sistem informasi harus memelihara kompetensi professional melalui pendidikan dan pelatihan lanjut professional yang tepat. 5. Audit Planning
19
Auditor sistem informasi harus merencanakan ulasan sistem informasi untuk menempatkan tujuan audit dan untuk melengkapi hokum yang berlaku dan standard professional audit. 6. Performance of Audit Work a. Supervision Staf dari sistem informasi harus diawasi untuk menyediakan jaminan yang cukup bahwa tujuan audit telah dijalankan dan standar professional auditing dapat dipengaruhi. b. Evidence Selama masa pekerjaan audit, auditor sistem informasi harus mendapatkan bukti yang tepat, dapat dipercaya, relevan dan berguna untuk mencapai tujuan objektif dari suatu audit. Penemuan dan kesimpulan audit harus didukung dengan analisa dan intreprestrasi yang tepat atas bukti tersebut. c. Documentation Proses Audit harus didokumentasikan,menggambarkan pelaksanaan kerja audit, dan bukti yang mendukung penemuan dan kesimpulan auditor sistem informasi. 7. Reporting Auditor sistem informasi harus menyediakan laporan dalam bentuk yang tepat dalam penyelesaian tugas audit. Laporan audit harus mengidentifikasikan perusahaan, penerima yang dimaksud, dan setiap pembatasannya pada distribusinya. Laporan audit yang berupa lingkup, tujuan, periode audit, dan
20
lingkungan dan rekomendasi, kualifikasi atau batasan lingkup yang harus dihormati oleh auditor sistem informasi dalam audit. Auditor sistem informasi harus memiliki bukti yang cukup dan tepat untuk mendukung hasil yang dilaporkan. Ketika dikeluarkan, laporan auditor sistem informasi harus ditandatangani, diberi tanggal, dan didistribusikan berdasarkan bentuk piagam audit atau surat perjanjian. 8. Follow Up Activities Setelah melaporkan penemuan dan simpulan, auditor sistem informasi harus meminta dan mengevaluasi informasi yang sesuai untuk menyimpulkan apakah tindakan yang tepat telah dilakukan oleh manajemen secara tepat waktu. 9. Irregularities and Ilegal Acts a. Dalam perencanaan dan pelaksanaan audit untuk mengurangi resiko pada tingkat yang rendah, auditor sistem informasi harus mempertimbangkan resiko irregularities and illegal act, dengan memahami perusahaan dan lingkungannya secara pengendalian internal perolehan bukti audit yang cukup dan tepat. b. Auditor sistem informasi harus merancang dan melaksanakan prosedur untuk menguji pengendalian internal yang tepat dan resiko pengendalian simpangan manajemen. c. Jika sistem informasi telah mengidentifikasikan, irregularities and illegal act yang melibatkan manajemen atau karyawan yang memiliki role penting dalam
pengendalian
internal,
auditor
sistem
informasi
harus
21
mengkomunikasikan tepat waktu untuk orang-orang yang bertanggung jawab terhadap governance. d. Auditor sistem informasi harus mengdokumentasikan semua komunikasi, perencanaan, hasil, evaluasi, dan kesimpulan yang berhubungan dengan irregularities and illegal act. 10. IT Governance Auditor sistem informasi harus meninjau dan menilai fungsi sistem informasi sesuai dengan visi, misi, nilai, tujuan dan strategi perusahaan. Juga menilai keefektifan sumber daya informasi dan pelaksanaan proses manajemen, pemenuhan keabsahan, kualitas lingkungan dan informasi, serta kebutuhan pengendalian keamanan. Selain itu dinilai pula lingkungan pengendalian dan resiko dalam lingkungan sistem informasi. 11. Use of Risk Assesment in Audit Planning Auditor sistem informasi harus menggunakan teknik atau pendekatan penilaian resiko yang tepat dalam pengembangan rencana audit sistem informasi secara keseluruhan, dan menentukan prioritas pembagian sumber daya audit sistem informasi secara efektif. 12. Audit Materiality Auditor sistem informasi harus mempertimbangkan audit secara material dan hubungannnya dengan resiko audit menentukan sifat, waktu, dan isi dari proses audit. 13. Using the Work of Other Experts
22
Auditor sistem informasi harus mempertimbangkan penggunaan ahli lain dalam melakukan audit. 14. Audit Evidence Auditor sistem informasi harus memperoleh bukti yang cukup dan tepat untuk membuat kesimpulan yang beralasan sebagai dasar dari hasil audit.
2.7.4
Tujuan Audit Sistem Informasi
Tujuan Audit Sistem Informasi menurut Gondodiyoto, (2007, p474), yaitu : 1. Pengamanan Aset. Aset informasi suatu perusahaan seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia, file/data dan fasilitas lain harus dijaga dengan sistem pengendalian intern yang baik agar tidak terjadi penyalahgunaan aset perusahaan. Dengan demikian sistem pengamanan aset merupakan suatu hal yang sangat penting harus dipenuhi oleh perusahaan. 2. Efektifitas Sistem. Efektifitas sistem informasi perusahaan memiliki peranan penting dalam proses pengambilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi tersebut sudah dirancang dengan bener (doing the right thing), telah sesuai dengan kebutuhan user. Informasi yang dibutuhkan oleh para manajer dapat dipenuhi dengan baik. 3. Efisiensi Sistem.
23
Efsiensi menjadi sangat penting ketika sumber daya kapasitasnya terbatas. Jika cara kerja dari sistem aplikasi komputer menurun maka pihak manajemen harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya, karena suatu sistem dikatakan efesien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya informasi yang minimal. Cara sistem kerja benar (doing thing right). 4. Ketersediaan (availibility). Berhubungan dengan ketersediaan dukungan/layanan teknologi informasi (TI). TI hendaknya dapat mendukung secara continue terhadap proses bisnis (kegiatan perusahaan). Makin sering terjadi gangguan (System Down) maka berarti tingkat ketersediaan sistem rendah. 5. Kerahasiaan (confidentiality). Fokusnya ialah pada proteksi terhadap informasi dan supaya terlindungi dari akses dari pihak-pihak tidak berwenang. 6. Kehandalan (Realibility). Berhubungan dengan kesesuaian dan keakuratan bagi manajemen dalam pengelolaan organisasi,pelaporan dan petanggungjawaban. 7. Menjaga Integritas Data. Integritas data (data integrity) adalah salah satu konsep dasar dari sistem informasi data memiliki atribut-atribut seperti : kelengkapan,kebenaran,keakuratan.
2.7.5
Tinjauan Penting dalam Audit SI/TI
24
Menurut Sarno (2009, p28-29), Adapun elemen utama dari aktivitas peninjauan yang dilakukan dalam Audit SI/TI dapat diklasifikasikan ke dalam tinjauan penting berikut : a. Tinjauan terkait dengan fisik dan lingkungan, yakni : hal-hal yang terkait dengan keamanan fisik, suplai sumber daya, temperatur, kontrol kelembaban dan faktor lingkungan lain. b. Tinjauan administrasi sistem, yaitu mencakup tinjauan keamanan sistem operasi, sistem manajemen database, seluruh prosedur administrasi sistem dan pelaksanaannya. c. Tinjauan perangkat lunak, perangkat lunak yang dimaksud merupakan aplikasi bisnis yang dapat berupa sistem berbasis web untuk pemrosesan permintaan pelanggan hingga Entreprise Resource Planing (ERP) yang kini menjadi inti dari proses bisnis di perusahaan. Tinjauan terhadap perangkat lunak tersebut juga mencakup kontrol akses dan otorisasi ke dalam sistem, validasi dan penanganan kesalahan termasuk pengecualian dalam sistem serta aliran proses bisnis dalam perangkat lunak beserta kontrol secara manual dan prosedur penggunaannya. Sebagai tambahan, tinjauan juga perlu dilakukan terhadap siklus hidup pengembangan sistem. d. Tinjauan keamanan jaringan yang mencakup tinjauan jaringan internal dan eksternal yang terhubung dengan sistem, batasan tingkat keamanan, tinjauan terhadap firewall, daftar kontrol akses router, port scaning serta pendeteksian akan gangguan maupun ancaman terhadap sistem.
25
e. Tinjauan kontinuitas bisnis dengan memastikan ketersediaan prosedur backup dan penyimpanan, dokumentasi dari prosedur tersebut serta dokumentasi pemulihan bencana/kontinuitas bisnis yang dimiliki. f. Tinjauan integritas data yang bertujuan untuk memastikan ketelitian data yang beroperasi sehingga dilakukan verifikasi kecukupan kontrol dan dampak dari kurangnya kontrol yang ditetapkan
2.7.6
Laporan Audit
2.7.6.1 Struktur Laporan Audit Menurut Sarno (2009, p167), Secara umum laporan audit akan berisikan struktur pembahasan sebagai berikut : a. Pendahuluan, termasuk pernyataan tujuan dan area yang akan diaudit,periode cakupan audit serta pernyataan umum dari sifat dasar dan cakupan prosedur audit yang diuji selama proses audit. b. Batasan terhadap pelaksanaan audit SI/TI. c. Syarat atau kualifikasi pengaudit SI/TI yang sesuai dengan ketentuan atau standar pengaudit. Hal tersebut akan mungkin menetapkan bahwa kontrol atau prosedur yang ditemukan sudah cukup atau masih kurang memenuhi standar.Keseimbangan laporan audit seharusnya mendukung kesimpulan dan bukti secara keseluruhan yang terkumpul seharusnya menyediakan dukungan pada level yang lebih tinggi. d. Pernyataan panduan audit SI/TI yang diikuti selama aktivitas audit dilaksanakan.
26
e. Detil temuan audit dan rekomendasi serta keputusan apakah memasukkan atau tidak memasukkan temuan kedalam laporan audit.Hal tersebut bergantung pada panduan yang disediakan oleh manajemen tingkat yang lebih tinggi. f. Keanekaragaman temuan yang beberapa diantaranya bersifat penting.
Kesimpulan keseluruhan dari pengaudit SI/TI dan pendapat dari kecukupan kontrol dan prosedur yang diuji selama audit.
2.7.6.2 Dokumentasi Laporan Audit SI/TI Menurut Sarno (2009, p168), Dokumentasi laporan audit SI/TI seharusnya berisikan : a. Perencanaan dan persiapan audit SI/TI yang mencakup ruang lingkup dan tujuan audit (scope dan objective). b. Kondisi sistem informasi. c. Program audit SI/TI yang dilakukan. d. Langkah audit SI/TI yang dilakukan dan bukti (evidence) audit SI/TI yang dikumpulkan. e. Temuan audit (findings) dan tingkat kedewasaan proses TI. f. Kesimpulan dari hasil temuan. g. Laporan – laporan lain terkait sebagai hasil dari pekerjaan audit SI/TI. h. Tinjauan pengawas berupa rekomendasi untuk perbaikan berkelanjutan.
2.7.7 Fungsi Internal Auditor
27
Menurut Basalamah dalam Hunton et al., (2011, p17), seorang auditor TI sebaiknya mampu melakukan pekerjaan-pekerjaan sebagai berikut: 1. Mengevaluasi pengendalian atas aplikasi-aplikasi tertentu, yang mencakup analisis terhadap resiko dan pengendalian atas aplikasi-aplikasi seperti e-business, sistem perencanaan sumberdaya perusahaan (enterprise resource planning atau ERP) atau program-program lainnya. 2. Memberikan asersi (assurance) atas proses-proses tertentu, seperti audit dengan prosedur-prosedur tertentu yang disepakati bersama dengan auditan mengenai lingkup asersi. 3. Memberikan asersi atas aktivitas pengolahan data pihak ketiga, dengan tujuan untuk memberikan asersi bagi pihak lain yang memerlukan informasi mengenai aktivitas pengolahan data yang dilakukan oleh pihak ketiga tersebut. 4. Pengujian penetrasi, yaitu upaya untuk mengakses sumberdaya informasi guna menemukan kelemahan-kelemahan yang ada dalam pengolahan data tersebut. 5. Memberikan dukungan atas pekerjaan audit keuangan, yang mencakup evaluasi atas resiko dan pengendalian TI yang dapat mempengaruhi keandalan sistem pelaporan keuangan. 6. Mencari kecurangan yang berbasis TI, yaitu menginvestigasi catatan-catatan komputer dalam investigasi kecurangan.
2.8
COBIT (Control Objectives for Information and Related Technology)
2.8.1
Pengertian COBIT
28
Menurut Gondodiyoto, (2007, p276), COBIT adalah sekumpulan dokumentasi best practice untuk IT governance yang dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis TI. COBIT bermanfaat bagi auditor,IT users, manager yaitu: 1. Bagi Auditor, karena merupakan teknik yang dapat membantu dalam identifikasi IT control issues. 2. Bagi IT users, karena memperoleh keyakinan atas kehandalan sistem aplikasi yang dipergunakan. 3. Bagi Manager, memperoleh manfaat dalam keputusan investasi di bidand TI serta infrastrukturnya, menyusun strategic IT plan, menentukan information architecture, dan keputusan atas procurement (pengadaan/pembelian) mesin.
Menurut Cascarino (2007, p188) “Control Objectives for information and related technology (COBIT) is one of the most widely accepted models of the IT governance and control utilized to manage risks and implement controls within an IT enviroment in order to achieve business objectives. COBIT was introduced to meld existing IT standards and best practices into one comprehensive structure designed to achieve international accepted governance standards. COBIT utilized a framework of domains and processes to create a logical structure of IT activities in a manner that can be easily subject to managerial control”. Menurut Hari Setiabudi et.al (2010, p971), CobIT adalah sekumpulan dokumentasi best practices untuk IT Governance yang dapat membantu auditor, pengguna (user), dan
29
manajemen untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis TI. CobIT bermanfaat bagi auditor karena merupakan teknik yang dapat membantu dalam identifikasi IT control issues. CobIT berguna para IT user karena memperoleh keyakinan atas kehandalan sistem aplikasi yang dipergunakan. Sedangkan para manajer memperoleh manfaat dalam keputusan investasi di bidang TI serta infrastrukturnya, menyusun strategic IT plan, menentukan informasi arsitektur, dan keputusan atas procurement (pengadaan/pembelian) mesin. Berdasarkan beberapa pengertian COBIT diatas, maka dapat disimpulkan bahwa COBIT adalah Suatu kumpulan dokumentasi best practices yang dapat membantu para auditor, pengguna dan manajemen dalam melakukan pengelolaan terhadap TI perusahaan untuk mengatasi resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis TI.
2.8.2 COBIT Benefits and Resources Menurut IT Governance Institute (2007), The benefits of implementing COBIT as a governance framework over IT include. 1. Better alignment, based on a bussines focus. 2. A view, understandable to management, of what IT does. 3. Clear ownership and responsibilities,based on a common language. 4. General acceptability with third parties and regulators. 5. Shared understanding amongst all stakeholders, based on a common language. 6. Fulfillment of the COSO requirement for the IT control environment.
30
Berdasarkan manfaat COBIT diatas, maka dapat disimpulkan bahwa COBIT memiliki beberapa manfaat sebagai kerangka tata kelola TI yaitu : Keselarasan yang lebih baik berdasarkan pada fokus bisnis, Pandangan yang dapat dimengerti untuk manajemen dari apa yang TI lakukan, Kepemilikan dan tanggung jawab yang jelas berdasarkan pada bahasa umum yang digunakan, Dapat diterima oleh pihak ketiga dan pengatur, Pemahaman bersama di antara semua pemegang kepentingan berdasarkan bahasa yang umum, Pemenuhan persyaratan COSO untuk lingkungan pengendalian TI.
2.8.3 Sasaran COBIT Menurut ISACA, COBIT terutama ditujukan untuk manajemen, pengguna bisnis TI dan auditor. Gunanya, bisnis dan konsultan TI dapat memberikan manajemen dengan saran pada kontrol dan tata kelola manajemen layanan IT professional. According to Brand and Boonen (2008, p23), the main target groups are described in the following paragraphs : a. Managers Within organizations managers are the ones that hold execute responsibility for operation of the operation of the enterprise. They need information in order to order to control the internal operations and to direct business processes. IT is an integral part of business operations. COBIT can help both business and IT managers to balance risk and control investment in an often unpredictable IT environment. b. End-Users
31
Most organizations realize that having the right IT services is the responsibility of the business process owner. This is even the case when delivery of IT services is delegated to internal or external service providers. COBIT offers a framework to obtain assurance on the security and controls of IT services provided by internal or external parties. c. Auditors In order to provide independent assurance of the quality and applicability of controls, organizations employ auditors. Often an audit committee at the board or Top Management Level directs auditing. COBIT helps auditors to structure and substantite their opinions and provide advice to management on how to improve internal controls. d. Business and IT Consultants New frameworks and methods, e.g. on IT governance often originate outside the enterprise. Business and IT consultants can bring this knowledge into the enterprise and thus provide advice to business and IT management on improving IT governance. e. IT Service Management Professionals In the IT service management community, Information Technology Infrastructure Library (ITIL) is the dominant framework. COBIT helps to further improve IT service management by providing a framework that covers the complete lifecycle of IT systems and services.
32
Berdasarkan sasaran COBIT diatas, maka dapat disimpulkan bahwa COBIT memiliki sasaran dalam pengimplementasiannya yang ditujukan kepada : Manajer, Pengguna Akhir, Auditor, Konsultan TI dan Bisnis dan Manajemen Profesional untuk layanan TI.
2.8.4
Framework COBIT
Menurut Gondodiyoto, (2007, p.281), COBIT framework mencakup tujuan pengendalian yang terdiri dari 4 domain yaitu: 1. Perencanaan & Organisasi (Planning & Organization) Yaitu mencakup pembahasan tentang identifikasi dan strategi investasi TI yang memberikan yang terbaik untuk mendukung pencapaian tujuan bisnis. Selanjutnya identifikasi dan visi strategi perlu direncanakan, dikomunikasikan, dan diatur pelaksanaannya (dari berbagai perspektif). 2. Perolehan dan Implementasi (Aquisition and Implementation) Yaitu untuk merealisasikan strategi TI, perlu diatur kebutuhan TI, diidentifikasi, dikembangkan, atau diimplementasikan secara terpadu dalam proses bisnis perusahaan. 3. Penyerahan dan Pendukung (Delivery and Support) Domain ini lebih dipusatkan pada ukuran tentang aspek dukungan TI terhadap kegiatan operasional bisnis (tingkat jasa layanan TI actual atau service level) dan aspek urutan (prioritas implementasi dan untuk pelatihannya). 4. Memantau dan Evaluasi (Monitor and Evaluate)
33
Yaitu semua proses TI yang perlu dinilai secara berkala agar kualitas dan tujuan dukungan TI tercapai, dan kelengkapannya berdasarkan pada syarat kontrol internal yang baik. Tabel 2.1 Domain & High level Controls COBIT COBIT Domains 1.
Plan
High Level Objectives and
Organize
1. Define a strategic IT Plan and direction 2. Define the information architecture 3. Define technological direction 4. Define IT processes, organization and relationship 5. Manage the IT Investment 6. Communicate management aim and direction 7. Manage IT human resources 8. Manage Quality 9. Assess and manage IT risks 10. Manage projects
2.
Acquire implement
and
1. Identify automated solutions 2. Acquire and maintain application software
34
3. Acquire and maintain technology infrastructure 4. Enable operation and use 5. Procure IT resource 6. Manage Changes 7. Install and accredit solution and changes 3.
Deliver support
and
1. Define and manage service levels 2. Manage third-party services 3. Manage performance and capacity 4. Ensure continous service 5. Ensure systems security 6. Identify and allocate costs 7. Educate and train users 8. Manage service desk and incidents 9. Manage the configuration 10. Manage problems 11. Manage data
35
12. Manage the physical environment 13. Manage operation 4.
Monitor evaluate
and
1. Monitor and evaluate IT process 2. Monitor and evaluate internal control 3. Ensure regulatory compliance 4. Provide IT Governance Sumber : Gondodiyoto (2007, p282)
36
Gambar 2.1 COBIT Processes Defined Within The Four Domain Sumber : ITGI-COBIT 4.1th edition (2007, p26)
37
2.8.5
Kerangka Kerja COBIT
Menurut Gondodiyoto, (2007, p.279-280), Kerangka kerja COBIT terdiri atas beberapa arahan (guidelines), yaitu : a. Control Objectives terdiri dari 4 tujuan pengendalian tingkat-tingkat (high-level control objectives) yang tercermin dalam 4 domain, yaitu : planning & organization, acquisition & implementation, delivery & support, dan monitoring. b. Audit Guidelines, berisi sebanyak 318 tujuan-tujuan pengendalian rinci (detailed control objectives) untuk membantu para auditor dalam memberikan management assurance dan atau saran perbaikan. c. Management Guidelines, berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan.
COBIT Framework memasukkan juga hal-hal berikut ini : 1. Maturity Models. Untuk memetakan status maturity proses-proses TI (dalam skala 0-5) dibandingkan dengan “The best in the class in the industry” dan juga International best practices. 2. Critical Success Factors (CSFs). Arahan implementasi bagi manajemen agar dapat melakukan kontrol atas proses TI. 3. Key Goal Indicators (KGIs). Kinerja proses-proses TI yang berhubungan dengan business requirements.
38
4. Key Performance Indicators (KPIs). Kinerja proses-proses TI sehubungan dengan process goals.