BAB 2 LANDAS AN TEORI 2.1. Pengertian Efektivitas M enurut O’Brien (2003,p31), success should be also measure by the efectiveness of information technology supporting an organization’s business strategies, enabling it’s business processes enhaching it’s organizational structur e and culture, and increasing the customer and business value of enterprise. Yan g berarti, kesuksesan seharusnya juga diukur oleh keefektifan dari teknologi informas i yang mendukung strategi bisnis suatu perusahaan, menciptakan proses bisnisnya, meningkatkan struktur dan kebudayaan organisasi dan meningkatkan jumlah pelanggan serta nilai bisnis perusahaan tersebut. M enurut http://mtsu32.mtsu.edu:11409/698-Delone&M cLean-TenYearUpda te.pdf, mengutip, Yankey dan M cClellan (2003), Organizational effectiveness is the extent to which an organization has met its stated goals and objectives and how well it performed in the process, yang berarti efektivitas organisasi adalah besaran ukuran dimana sebuah organisasi telah mencapai sasaran dan objektivitasnya dan bagaimana hal tersebut dilakukan dalam prosesnya. M enurut CobIT 4.1, To achieve effective governance, executives require that controls be implemented by operational managers within a defined control framework for all IT processes. COBIT’s IT control objectives are organised by IT process; therefore, the framework provides a clear link among IT governance requirements, IT processes and IT controls. Yang artinya untuk mencapai tatakelola perusahaan yang efektif , pihak eksekutif membutuhkan pengendalian yang diimplementasikan oleh manajer operasional dimana kontrol didefinisikan untuk 8
kerangka kerja bagi semua proses TI. Pengendalian objektif COBIT telah diatur oleh proses TI untuk itu kerangka kerja menyediakan keterkaitan yang jelas antara kebutuhan pengendalian TI, proses TI , dan pengendalian TI.
2.2. Pengertian Sistem M enurut Gondodiyoto dan Hendarti (2006, p94), Sistem adalah komponen elemen-elemen atau sumber daya yang saling berkaitan secara terpadu, terintegrasi dalam suatu hubungan hirarkis tertentu, dan bertujuan untuk mencapai tujuan tertentu. M enurut O’Brien (2005,p8), sistem adalah suatu kumpulan dari komponen yang berhubungan yang bekerja bersama untuk mencapai suatu tujuan dengan menerima input dan menghasilkan output melalui suatu proses transformasi. Jadi, dapat disimpulkan bahwa sistem adalah kumpulan dari komponenkomponen yang saling berhubungan satu dengan yang lainnya membentuk satu kesatuan untuk mencapai tujuan tertentu.
2.3. Pengertian Informasi M enurut O’Brien (2005, p13), informasi adalah data yang ditempatkan pada suatu konteks yang berarti dan berguna untuk end user dari suatu sistem. M enurut Gondodiyoto (2007, p110), Informasi adalah merupakan data yang sudah diolah menjadi bentuk yang lebih berguna dan lebih berarti (bermanfaat) bagi penerimanya, menggambarkan suatu kejadian dan kesatuan nyata yang dapat dipahami dan dapat digunakan untuk pengambilan keputusan sekarang atau mas a depan. 9
M enurut M cLeod, Jr. (2001, p4), Informasi adalah salah satu sumber daya yang tersedia bagi menejer, yang dapat dikelola seperti hal sumber daya yang lain. Informasi dari komputer dapat digunakan oleh para manajer, non menejer, serta orang-orang dalam lingkungan perusahaan. Jadi, dapat disimpulkan bahwa informasi adalah data yang sudah diproses atau sudah mempunyai arti dan berguna untuk pihak yang berkepentingan.
2.4. Pengertian Sistem Informasi O’Brein (2008,p6) mendefinisikan, “Information System can be any organized combination of people, hardware, software, communication networks, and data resource that collect, transform, disseminates information in an organization”. Diterjemahkan Sistem Informasi adalah suatu kesatuan yang terdiri dari manusia (brainware), perangkat keras (hardware), perangkat lunak (software), jaringan komputer, dan sumber daya yang mengumpulkan, mentransformasikan dan mendistribusikan informasi di dalam suatu organisasi. M enurut Gondodiyoto (2007, p112), sistem informasi masih dapat didefinisikan sebagai kumpulan elemen-elemen atau sumber daya dan jaringan prosedur yang saling berkaitan secara terpadu, terintegrasi dalam suatu hubungan hirearki tertentu dan bertujuan untuk mengolah data menjadi informasi. M enurut Witten, Bantley & Bittman (2004, p12), sistem informasi adalah peraturan, orang, data, proses dan teknologi informasi yang berinteraksi untuk mengumpulkan, memproses, menyimpan, dan menyediakan sebagai output informasi yang di perlukan untuk mendukung sebuah organisasi.
10
Jadi, dapat disimpulkan sistem informasi adalah sekumpulan komponen yang saling bekerja sama didalam suatu organisasi untuk mengumpulkan, memproses dan menyimpan informasi untuk mendukung proses pengambilan keputusan.
2.5. Evaluasi 2.5.1. Pengertian Evaluasi M enurut kamus bahasa Indonesia kontemporer (2002, p14), evaluasi adalah kegiatan dengan sungguh mengamati, menimbang baik buruknya suatu masalah yang dilakukan oleh suatu tim dan secara formal dengan dasar-dasar tertentu kemudian memberikan penghargaan seberapa bobotnya, kualitasnya atau kemampuannya. M enurut Umar (2005,p36), evaluasi adalah suatu proses untuk menyediakan Informasi tentang sejauh mana kegiatan tertentu telah dicapai, bagaimana perbedaan pencapaian itu dengan suatu standar tertentu untuk mengetahui apakah ada selisih diantara keduanya serta bagaimana manfaat yang telah dikerjakan itu bila dibandingkan dengan harapan-harapan yang ingin diperoleh. M enurut Agoes (2004, p2), Evaluating adalah suatu pemeriksaan yang dilakukan secara kritis dan sistematis oleh pihak independen, terhadap laporan keuangan yang telah disusun oleh manajemen, beserta catatancatatan pembukuan dan bukti-bukti pendukungnya dengan tujuan untuk memberikan pendapat mengenai kewajaran laporan keuangan tersebut.
11
Berdasarkan definisi diatas dapat disimpulkan bahwa evaluas i adalah suatu proses pengumpulan data atau bukti yang kompeten yang dilakukan oleh orang yang independen dan kompeten dibidangnya untuk digunakan sebagai alat dalam penelusuran guna menentukan secara objektif kehandalan informasi yang disampaikan oleh manajemen.
2.5.2. Jenis-jenis Evaluasi M enurut Arens, Elder & Beasley (2003,p19-20), terdapat 3 (tiga) jenis evaluasi yang dapat dibedakan dan dipahami, atas penjelasan menurut adalah sebagai berikut : 1) Evaluasi Operasional Adalah tinjauan atas bagian-bagian tertentu dari prosedur, serta metode-metode operasional tertentu, yang bertujuan untuk mengevaluasi suatu efesiensi dan efektivitas dari prosedur serta metode-metode tersebut.
Dimana pada saat
suatu
evaluasi operasional selesai
dilaksanakan, maka pihak manajemen pada umumnya mengharapkan sejumlah
rekomendasi,
maupun
saran,
yang
bertujuan
untuk
meningkatkan kegiatan operasional perusahaan. 2) Evaluasi Kepatuhan Adalah bertujuan untuk menentukan apakah klien (evaluating), telah mengikuti prosedur, tata cara, serta peraturan yang dibuat oleh otoritas yang lebih tinggi. Dimana temuan evaluasi kepatuhan umumnya disampaikan pada seseorang didalam unit organisasi yang dievaluasi, dari pada disampaikan pada suatu lingkup pengguna yang lebih luas. 12
3) Evaluasi atas Laporan Keuangan Adalah evaluasi yang dilaksanakan untuk menentukan, apakah seluruh laporan keuangan atau informasi yang diuji, telah dinyatakan sesuai dengan kriteria tertentu. Dimana kriteria tersebut adalah merupakan pernyataan standar akuntansi keuangan yang berlaku umum.
2.5.3. Prosedur Evaluasi M enurut Umar (2005,p38), evaluasi pada umumnya memiliki tahapan-tahapannya sendiri. Berikut penjelasan salah satu tahapan evaluasi yang umumnya digunakan : 1) M enentukan apa yang akan dievaluasi. Dalam bisnis, apa saja yang dapat dievaluasi, dapat mengacu pada program kerja perusahaan. Di sana banyak terdapat aspek-aspek yang kiranya dapat dan perlu dievaluasi. Tetapi biasanya yang di prioritaskan untuk dievaluasi adalah hal-hal yang menjadi key-succeess factor –nya. 2) M erancang (desain) kegiatan evalusi. Sebelum
evaluasi
dilakukan,
tentukan
terlebih
dahulu
desain
evaluasinya agar data apa saja yang dibutuhkan, tahapan-tahapan kerja apa saja yang dilalui, siapa saja yang akan dilibatkan, serta apa saja yang akan dihasilkan menjadi jelas. 3) Pengumpulan data. Berdasarkan desain yang telah disiapkan, pengumpulan data dapat dilakukan secara efektif dan efisien, yaitu sesuai dengan kaidah-kaidah ilmiah yang berlaku dan sesuai dengan kebutuhan dan kemampuan. 13
4) Pengolahan dan analisis data. Setelah data terkumpul, data tersebut diolah untuk dikelompokkan agar mudah dianalisis dengan menggunakan alat-alat analisis yang sesuai, sehingga dapat menghasilkan fakta yang dapat dipercaya. Selanjutnya, dibandingkan antara fakta dan harapan/rencana untuk menghasilkan gap. Besar gap akan sesuai dengan tolok ukur terttentu sebagai hasil evaluasinya. 5) Pelaporan hasil evalusi. Agar hasil evaluasi dapat dimanfaatkan bagi pihak-pihak yang berkepentingan, hendaknya hasil evalusi didokumentasikan secara tertulis dan diinformasikan baik secara lisan maupun tulisan. 6) Tindak lanjut evaluasi Evaluasi merupakan salah satu bagian dari fungsi manajemen. Oleh karena itu, hasil evaluasi hendaknya dimanfaatkan oleh manajemen untuk
mengambil keputusan
dalam rangka mengatasi masalah
manajemen baik di tingkat strategi maupun di tingkat implementasi strategi.
2.6. Pengendalian Internal 2.6.1. Pengertian Pengendalian Internal M enurut Gondodiyoto dan Hendarti (2007, p.69-70), “Pengendalian Internal digunakan dalam pengertian lebih luas, yaitu sebagai mekanisme untuk mendukung kebijakan perusahaan, pengamanan aset perusahaan,
14
pendukung mutu organisasi dan sebagai persyaratan dicapainya tujuan perusahaan”. M enurut Rama dan Jones (2008, p132), pengendalian internal adalah suatu proses, yang dipengaruhi oleh dewan direksi entitas, manajemen, dan personel lainnya, yang dirancang untuk memberikan kepastian yang beralasan terkait dengan pencapaian sasaran kategori sebagai berikut: efektivitas dan efisiensi operasi; keandalan pelaporan keuangan; dan ketaatan terhadap hukum dan peraturan yang berlaku.
2.6.2. Sifat-Sifat Pengendalian Internal M enurut Gondodiyoto (2009, 137), pengendalian internal digolongkan dalam preventive, detection, corrective : a. Preventive control, yaitu pengendalian internal yang dirancang dengan maksud untuk mengurangi kemungkinan (atau mencegah/menjaga jangan sampai
terjadi
kesalahan,
kekeliruan,
kelalaian,
error)
maupun
penyalahgunaan (kecurangan, fraud) b. Detection control, yaitu pengendalian yang didisain dengan tujuan agar apabila data direkam (di-entry)/dikonfersi dari media sumber (media input) untuk di transfer ke sistem komputer dapat dideteksi apabila terjadi kesalahan (maksudnya tidak sesuai dengan kriteria yang ditetapkan). c. Corrective control, ialah pengendalian yang sifatnya jika terdapat data yang sebenarnya error tetapi tidak terdeteksi oleh program validasi, harus ada prosedur yang jelas tentang bagaimana melakukan pembetulan terhadap data
15
yang salah dengan maksud untuk mengurangi kemungkinan kerugian atau kesalahan/ penyalahgunaan tersebut sudah benar-benar terjadi.
2.6.3. Komponen S istem Pengendalian Internal M enurut Rama dan Jones (2008, p133), Terdapat lima komponen pengendalian internal : 1. Lingkungan pengendalian 2. Aktivitaas pengendalian 3. Penilaian resiko 4. Informasi dan komunikasi 5. Pengawasan
2.6.4. Jenis-jenis Pengendalian Internal 2.6.4.1. Pengendalian Umum M enurut Romney dan Steinbart (2003, p251), Pengendalian umum adalah
sistem pengendalian
yang memastikan
bahwa
lingkungan pengendalian perusahaan stabil dan teratur dengan baik untuk meningkatkan keefektifan pengendalian aplikasi. 2.6.4.1.1. Pengendalian Sistem Operasi M enurut James A. Hall (2002,p352), Sistem operasi merupakan program kontrol yang dimiliki komputer. Sistem ini memungkinkan para pemakai dan aplikasi-aplikasi mereka untuk bersama-sama menggunakan dan mengakses
16
sumberdaya komputer, seperti prosesor, memori utama, database, dan printer.
2.6.4.1.2. Pengendalian Manajemen Data M enurut James A.Hall (2002,p363), pengendalian manajemen data memiliki dua kategori umum: pengendalian atau kontrol akses dan pengendalian atau kontrol pendukung (backup). Kontrol akses dirancang untuk mencegah individu-individu yang tidak memiliki otorisasi untuk memeriksa, mengambil, merusak atau mengkorupsi data organisasi. Kontrol pendukung (backup) memastikan bahwa dalam peristiwa hilangnya data karena akses yang tidak sah, kegagalan peralatan, atau bencana fisik, organisasi dapat memulihkan file-file database.
2.6.4.2. Pengendalian Aplikasi M enurut James A.Hall (2002, p428), Pengendalian aplikasi berkenaan dengan eksposur-eksposure dalam aplikasi tertentu, seperti sistem pembayaran gaji, pembelian, dan sistem pengeluaran kas.r Kontrol-kontrol aplikasi yang dapat berupa tindakan atau prosedur manual yang diprogram dalam sebuah aplikasi.
2.6.4.2.1. Pengendalian Input M enurut James A. Hall (2002, p428), Komponen pengendalian data dari sistem informasi bertanggung jawab untuk membawa data ke dalam sistem untuk diproses. Pengendalian input pada tahap ini 17
memastikan bahwa transaksi-transaksi tersebut sah, akurat, dan lengkap. Prosedur input data dapat berupa input yang digerakkan oleh dokumen sumber (batch) atau input langsung (real-time). Kontrol-kontrol input di bagi dalam kelas-kelas besar berikut ini : 1)
Source document control Dalam sistem yang menggunakan dokumen sumber untuk memulai transaksi, harus dilakukan tindakan kontrol yang cermat terhadap instrumen-instrumen ini. Organisasi harus mengimplementasikan prosedur kontrol terhadap dokumendokumen sumber untuk memperhatikan setiap dokumen, seperti: menggunakan dokumen sumber yang sebelumnya telah diberi nomer urut, menggunakan dokumen sumber secara berurutan, dan mengaudit dokumen sumber secara berkala.
2)
Data coding control Pengendalian atau kontrol pengkodean merupakan pemeriksaan terhadap integritas kode-kode data yang digunakan dalam pemrosesan.
3)
Validation Control Kontrol validasi bertujuan untuk mendeteksi kesalahan dalam data transaksi sebelum data sudah di proses. Prosedur validasi menjadi prosedur yang paling efektif ketika mereka dilakukan sedekat mungkin dengan transaksi.
18
4)
Input Error Corection Ketika di deteksi terdapat kesalahan dalam sebuah batch, mereka harus dikoreksi dan record dimasukan kembali untuk di proses ulang.
2.6.4.2.2.
Pengendalian Proses M enurut James A. Hall (2002, p444), Setelah menjalani tahap input data, transaksi-transaksi memasuki tahap pemrosesan dari sebuah sistem. Kontrol pemrosesan dibagi menjadi tiga kategori : a. Run-to-run Control Kontrol run-to-run menggunakan angka-angka batch untuk mengawasi batch seakan-akan ia bergerak dari satu prosedur yang terprogram (run) ke prosedur terprogram lainnya. b. Operator Intervention Control Intervensi operator meningkatkan kemungkinan kesalahan manusia. sistem yang dibatasi intervensi operator melalui kontrol intervensi operator karenanya tidak banyak mengalami kesalahan pemrosesan. c. Audit Trail Control Pelestarian sebuah jejak audit merupakan salah satu tujuan penting dalam kontrol proses. Dalam sebuah akuntansi, setiap akuntansi harus dicatat melalui setiap
tahap
pemrosesan
dari sumber
ekonomisnya ke
penyajiannya dalam laporan keuangan. Dalam suatu lingkungan SIBK (Sistem Informasi Berbasis Komputer), Jejak audit bisa begitu terpecahpecah dan sulit diikuti. Oleh karena itu menjadi penting bahwa setiap
19
operasi utama diterapkan pada transaksi dan
seluruhnya telah
didokumentasikan.
2.6.4.2.3.
Pengendalian Output M enurut James A. Hall (2002, p448), Teknik mengontrol tiap fase dalam proses output adalah sebagai berikut : a.
Output spooling
b.
Print programs
c.
Bursting
d.
Waste
e.
Data control
f.
Report distribution
g.
End user control
2.7. Manajemen Proyek M enurut Schwalbe (2007, p10), M anajemen proyek adalah ”the application of knowledge, skills, tools, and technique to project activities to meet project requirements”. M anajemen proyek adalah penerapan pengetahuan, skill, alat dan teknik untuk proyek kegiatan untuk memenuhi persyaratan proyek. M enurut Santosa (2003, p3), M enejemen Proyek adalah kegiatan merencanakan, mengorganisasikan, mengarahkan dan mengendalikan sumberdaya organisasi perusahaan untuk mencapai tujuan tertentu dalam waktu tertentu dengan sumberdaya tertentu.
20
2.7.1. Proses yang Berkaitan Dengan Manajemen Proyek M enurut Schwalbe (2007, p80-81), M anajemen proyek adalah sebuah upaya yang terintegratif, keputusan dan tindakan yang diambil dalam satu bidang pengetahuan pada waktu tertentu, biasanya mempengaruhi bidang pengetahuan lain. M engelola interaksi ini sering membuat trade-off antara lingkup proyek, waktu dan biaya pada manajemen proyek. Seorang manajer proyek mungkin perlu membuat trade-off antara daerah-daerah lain, seperti antara resiko dan sunber daya manusia. Akibatnya, kita dapat melihat manajemen proyek sebagai sejumlah proses yang terkait. Proses yang berkaitan dengan manajemen proyek adalah : 1.
Proses Inisiasi Proses dari serangkaian tindakan yang diarahkan kepada hasil tertentu. Kemajuan proses manajemen proyek tergantung dari kegiatan inisiasi perencanaan, pelaksanaan, monitoring, pengendalian dan penutup. Dimulai dari proses pendefinisian dan pengotorisasisan sebuah proyek. Untuk memulai sebuah proyek, seseorang harus mensponsori peoyek dan seseorang harus mengambil peran manajer proyek. Akan ada fase proyek yang berbeda, tapi semua proyek akan mencakup lima proses kelompok.
2.
Proses Perencanaan Ada beberapa rencana, seperti rencana pengelolaan ruang lingkup, rencana pengelolaan jadwal, rencana pengelolaan biaya, rencana pengelolaan resiko, dan sebagainya, mendefinisikan setiap bidang pengetahuan yang berhubungan dengan proyek pada titik tersebut.
21
3.
Proses Pelaksanaan M eliputi koordinasi orang-orang dan
sumber
daya lain
untuk
melaksanakan berbagai rencana dan menghasilkan produk, jasa, atau hasil dari proyek. 4.
Proses Pengawasan dan Pengendalian Proses ini secara teratur mengukur dan memantau kemajuan untuk memastikan bahwa tim proyek memenuhi tujuan proyek. M anajer proyek dan staff memonitor dan mengukur kemajuan terhadap rencana dan mengambil tindakan korektif yang diperlukan.
5.
Proses Penutupan M emformalkan proses penutupan meliputi penerimaan proyek atau fase proyek dan berakhir dengan efisien. Administrasi kegiatanini sering terlibat dalam proses ini, seperti pengelompokan pengarsipan file proyek, menutup kontrak, mendokumentasikan pelajaran yang diperoleh, dan menerima penerimaan resmi yang dikirimkan sebagai bagian dari fase proyek.
2.8. Diagram Aliran Data 2.8.1. Overview Activity Diagram M enurut Rama & Jones (2008, p79), Overview diagram menyajikan suatu
pandangan
tingkat
tinggi
dari
proses
bisnis
dengan
mendokumentasikan kejadian-kejadian penting, urutan kejadian-kejadian, dan aliran informasi antar kejadian.
22
Langkah – langkah membuat Overview Activity Diagram: 1.
M embaca uraian narasi dan mengidentifikasikan kejadian penting.
2.
M embubuhi keterangan pada narasi agar lebih jelas menunjukkan batasan kejadian dan nama-nama kejadian.
3.
M enunjukkan agen internal yang bertanggung jawab yang terlibat didalam proses bisnis dengan menggunakan swimlanes.
4.
M embuat diagram untuk masing-masing kejadian
5.
M enggambar dokumen yang dibuat dan digunakan di dalam proses bisnis. Tungjukkan arus informasi dari kejadian ke dokumen, dan sebaliknya.
6.
M enggambar table (file) yang dibuat dan digunakan di dalam proses bisnis. Tunjukkan arus informasi dari kejadian ke tabel dan sebaliknya.
2.8.2. Detailed Activity Diagram M enurut Jones dan Rama (2008, p80), Detailed diagram sama dengan peta dari sebuah kota. Diagram ini menyediakan suatu penyajian yang lebih detail dari aktivitas yang berhubungan dengan satu atau dua kejadian yang ditunjukkan pada overview activity diagram. Langkah-langkah untuk membuat Detailed Activity Diagram. 1.
Tambah penjelasan naratif untuk menunjukkan aktivitas.
2.
Buatlah tabel arus kerja
3.
Identifikasikan diagram terperinci yang diperlukan
4.
Untuk setiap detailed activity diagram, lakukan beberapa langkah pendahuluan sebagai berikut: 23
a. Buatlah swimlane untuk agen-agen yang terlibat pada satu atau beberapa kejadian yang ditunjukkan pada detailed diagram. b. Tambahkan segi empat panjang untuk setiap aktivitas di dalam kejadian yang didokumentasikan pada detailed diagram tersebut. c. Gunakan segi empat panjang untuk setiap aktivitas di dalam kejadian yang di dokumentasikan pada detailed activity diagram. d. Atur dokumen yang dibuat atau digunakan oleh aktivitas-aktivitas di dalam diagram itu. e. Gunakan garis putus-putus untuk menghubungkan aktivitas dan dokumen. f. Dokumentasikan setiap tabel yang dibuat, di modifikasi, atau digunakan oleh aktivitas dalam diagram yang ada dalam kolom komputer, g. Gunakan garis putus-putus untuk menghubungkan aktivitas dan tabel. Symbol-simbol Activity Diagram. 1) Lingkaran penuh, memulai proses dalam suatu diagram aktivitas. 2) Segi empat panjang . kejadian, aktivitas, atau pemicu. 3) Garis tidak terputus. Urutan dari satu kejadian atau aktivitas ke yang berikutnya. 4) Garis putus-putus dengan panah digunakan untuk menunjukkan aliran informasi antar kejadian. 5) Dokumen. M enunjukkan dokumen sumber atau laporan. 6) Berlian. Sebuah cabang. 24
7) Tabel. Suatu file komputer dari mana data bias dibaca atau di rekam selama kejadian bisnis. 8) Catatan. M emberikan acuan bagi pembaca pada diagram atau dokumen lain untuk perincianya. 9) Symbol mata banteng menunjukkan akhir dari proses.
2.9. CobIT 2.9.1. Pengertian CobIT M enurut Gondodiyoto (2007, p153), CobIT adalah sekumpulan dokumentasi best practices untuk
IT governance yang dapat membantu
auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis TI. COBIT describes IT processes and associated control objectives, management guidelines (activities, accountabilities, responsibilities and performance metrics), and maturity models. Additionally, it supports enterprise management in the development, implementation, continuous improvement and monitoring of good IT-related practices.
2.9.2. Kriteria Kerja CobIT M enurut Gondodiyoto, 2007 (p153), sumberdaya TI merupakan suatu elemen yang sangat disoroti CobIT, termasuk pemenuhan kebutuhan bisnis terhadap: efektivitas, efisiensi, kerahasiaan, keterpaduan, ketersedian, kepatuhan pada kebijakan/aturan dan keandalan informasi. Kriteria kerja CobIT meliputi : 25
Tabel 2.1KriteriaKerja COBIT Efekti fitas
Untuk memperoleh inform asi yang rel evan dan berhubungan dengan proses bisnis seperti penyampaian informasi dengan benar, konsisten, dapat dipercaya dan tepat waktu.
Efisiensi
Memfokuskan pada ketentuan informasi melalui penggunaan sumber daya yang optimal.
Kerahasiaan
Memfokuskan proteksi terhadap informasi yang penting dari orang yang tidak memiliki hak otorisasi.
Integritas
Berhubungan dengan keakuratan dan kel engkapan informasi sebagai kebenaran yang sesuai dengan harapan dan nilai bisnis.
Keters ediaan
Berhubungan dengan informasi yang ters edia ketika diperlukan dalam proses bisnis sekarang dan yang akan datang.
Kepatuhan
Sesuai menurut hukum, peraturan dan rencana perj anjian untuk proses bisnis.
Keakuratan
Berhubungan dengan ket entuan kecocokan informasi untuk
Informasi
manajemen mengoperasikan entitas dan mengukur pel atihan keuangan dan kelengkapan laporan pertanggung jawaban.
2.9.3. Kerangka Kerja CobIT M enurut Gondodiyoto (2007, p157) Kerangka kerja CobIT terdiri atas beberapa arahan (guidelines), tujuan pengendalian tingkat-tinggi (high-level control objectives) yang tercermin dalam empat domain, yaitu: planing & organization, acquisition & implementation, delivery & suport dan monitoring.
26
1) Planing & Organization Yaitu mencakup pembahasan tentang identifikasi dan strategi investasi TI yang dapat memberikan yang terbaik untuk mendukung pencapaian tujuan bisnis. Selanjutnya identifikasi dan visi strategi perlu direncanakan, dikomunikasikan, dan diatur pelaksanaannya (dari segi perspektif). 2) Acquisition & implementation Yaitu untuk merealisasi strategi TI, perlu diatur kebutuhan TI, diidentifikasi, dikembangkan, atau diimplementasikan secara terpadu dalam proses bisnis perusahaan. 3) Delivery & suport Domain ini lebih dipusatkan pada ukuran tentang aspek dukungan TI terhadap kegiatan operasional bisnis (tingkat jasa layanan TI akutual atau servis level) dan aspek urutan (prioritas implementasi dan untuk pelatihannya). 4) Monitoring Yaitu semua proses TI yang perlu dinilai secara berkala agar kualitas dan tujuan dukungan TI tercapai, dan kelengkapannya berdasarkan pada syarat kontrol internal yang baik.
27
2.9.3.1. Control Objectives Domain Plan and Organise PO1 Define a Strategic IT Plan IT strategic planning is required to manage and direct all IT resources in line with the business strategy and priorities. The IT function and business stakeholders are responsible for ensuring that optimal value is realised from project and service portfolios. The strategic plan improves key stakeholders’ understanding of IT opportunities and limitations, assesses current performance, identifies capacity and human resource requirements, and clarifies the level of investment required. The business strategy and priorities are to be reflected in portfolios and executed by the IT tactical plan(s), which specifies concise objectives, action plans and tasks that are understood and accepted by both business and IT. PO2 Define the Information Architecture The information systems function creates and regularly updates a business information model and defines the appropriate systems to optimise the use of this information. This encompasses the development of a corporate data dictionary with the organisation’s data syntax rules, data classification scheme and security levels. This process improves the quality of management decision making by making sure that reliable and secure information is provided, and it enables rationalising information systems resources to appropriately match business strategies. This IT process is also needed to increase accountability for the integrity and security of data and
28
to enhance the effectiveness and control of sharing information across applications and entities. PO3 Determine Technological Direction The information services function determines the technology direction to support the business. This requires the creation of a technological infrastructure plan and an architecture board that sets and manages clear and realistic expectations of what technology can offer in terms of products, services and delivery mechanisms. The plan is regularly updated and encompasses aspects such as systems architecture, technological direction, acquisition plans, standards, migration strategies and contingency. This enables timely responses to changes in the competitive environment, economies of scale for information systems staffing and investments, as well as improved interoperability of platforms and applications. PO4 Define the IT Processes, Organisation and Relationships An IT organisation is defined by considering requirements for staff, skills, functions,
accountability,
authority,
roles
and
responsibilities, and
supervision. This organisation is embedded into an IT process framework that ensures transparency and control as well as the involvement of senior executives and business management. A strategy committee ensures board oversight of IT, and one or more steering committees in which business and IT participate determine the prioritisation of IT resources in line with business needs. Processes, administrative policies and procedures are in place for all functions, with specific attention to control, quality assurance, risk management, information security, data and systems ownership, and 29
segregation of duties. To ensure timely support of business requirements, IT is to be involved in relevant decision processes. PO5 Manage the IT Investment A framework is established and maintained to manage IT-enabled investment programmes and that encompasses cost, benefits, prioritisation within budget, a formal budgeting process and management against the budget. Stakeholders are consulted to identify and control the total costs and benefits within the context of the IT strategic and tactical plans, and initiate corrective action where needed. The process fosters partnership between IT and business stakeholders; enables the effective and efficient use of IT resources; and provides transparency and accountability into the total cost of ownership (TCO), the realisation of business benefits and the ROI of ITenabled investments. PO6 Communicate Management Aims and Direction Management develops an enterprise IT control framework and defines and communicates
policies.
An
ongoing
communication
programme is
implemented to articulate the mission, service objectives, policies and procedures,
etc.,
approved
and
supported
by
management.
The
communication supports achievement of IT objectives and ensures awareness and understanding of business and IT risks, objectives and direction. The process ensures compliance with relevant laws and regulations.
30
PO7 Manage IT Human Resources A competent workforce is acquired and maintained for the creation and delivery of IT services to the business. This is achieved by following defined and agreed-upon practices supporting recruiting, training, evaluating performance, promoting and terminating. This process is critical, as people are important assets, and governance and the internal control environment are heavily dependent on the motivation and competence of personnel. PO8 Manage Quality A QMS is developed and maintained that includes proven development and acquisition processes and standards. This is enabled by planning, implementing and maintaining the QMS by providing clear quality requirements, procedures and policies. Quality requirements are stated and communicated in quantifiable and achievable indicators. Continuous improvement is achieved by ongoing monitoring, analysis and acting upon deviations, and communicating results to stakeholders. Quality management is essential to ensure that IT is delivering value to the business, continuous improvement and transparency for stakeholders. PO9 Assess and Manage IT Risks A risk management framework is created and maintained. The framework documents a common and agreed-upon level of IT risks, mitigation strategies and residual risks. Any potential impact on the goals of the organisation caused by an unplanned event is identified, analysed and assessed. Risk mitigation strategies are adopted to minimise residual risk to an accepted level. The result of the assessment is understandable to the 31
stakeholders and expressed in financial terms, to enable stakeholders to align risk to an acceptable level of tolerance. PO10 Manage Projects A programme and project management framework for the management of all IT projects is established. The framework ensures the correct prioritisation and co-ordination of all projects. The framework includes a master plan, assignment of resources, definition of deliverables, approval by users, a phased approach to delivery, QA, a formal test plan, and testing and postimplementation review after installation to ensure project risk management and value delivery to the business. This approach reduces the risk of unexpected costs and project cancellations, improves communications to and involvement of business and end users, ensures the value and quality of project deliverables, and maximises their contribution to IT-enabled investment programmes. Domain Acquire and Implement AI1 Identify Automated Solutions The need for a new application or function requires analysis before acquisition or creation to ensure that business requirements are satisfied in an effective and efficient approach. This process covers the definition of the needs, consideration of alternative sources, review of technological and economic feasibility, execution of a risk analysis and cost-benefit analysis, and conclusion of a final decision to ‘make’ or ‘buy’. All these steps enable organisations to minimise the cost to acquire and implement solutions whilst ensuring that they enable the business to achieve its objectives. 32
AI2 Acquire and Maintain Application Software Applications are made available in line with business requirements. This process covers the design of the applications, the proper inclusion of application controls and security requirements, and the development and configuration in line with standards. This allows organisations to properly support business operations with the correct automated applications. AI3 Acquire and Maintain Technology Infrastructure Organisations have processes for the acquisition, implementation and upgrade of the technology infrastructure. This requires a planned approach to acquisition, maintenance and protection of infrastructure in line with agreed-upon technology strategies and the provision of development and test environments. This ensures that there is ongoing technological support for business applications. AI4 Enable Operation and Use Knowledge about new systems is made available. This process requires the production of documentation and manuals for users and IT, and provides training to ensure the proper use and operation of applications and infrastructure. AI5 Procure IT Resources IT resources, including people, hardware, software and services, need to be procured. This requires the definition and enforcement of procurement procedures, the selection of vendors, the setup of contractual arrangements, and the acquisition itself. Doing so ensures that the organisation has all required IT resources in a timely and cost-effective manner. 33
AI6 Manage Changes All changes, including emergency maintenance and patches, relating to infrastructure and applications within the production environment are formally managed in a controlled manner. Changes (including those to procedures, processes, system and service parameters) are logged, assessed and authorised prior to implementation and reviewed against planned outcomes following implementation. This assures mitigation of the risks of negatively impacting the stability or integrity of the production environment. AI7 Install and Accredit Solutions and Changes New systems need to be made operational once development is complete. This requires proper testing in a dedicated environment with relevant test data, definition of rollout and migration instructions, release planning and actual promotion to production, and a post-implementation review. This assures that operational systems are in line with the agreed-upon expectations and outcomes.
Domain Deliver and Support DS1 Define and Manage Service Levels Effective communication between IT management and business customers regarding services required is enabled by a documented definition of and agreement on IT services and service levels. This process also includes monitoring and timely reporting to stakeholders on the accomplishment of service levels. This process enables alignment between IT services and the related business requirements. 34
DS2 Manage Third-party Services The need to assure that services provided by third parties (suppliers, vendors and partners) meet business requirements requires an effective third-party management process. This process is accomplished by clearly defining
the roles, responsibilities and expectations in
third-party
agreements as well as reviewing and monitoring such agreements for effectiveness and compliance. Effective management of third-party services minimises the business risk associated with non-performing suppliers. DS3 Manage Performance and Capacity The need to manage performance and capacity of IT resources requires a process to periodically review current performance and capacity of IT resources. This process includes forecasting future needs based on workload, storage and contingency requirements. This process provides assurance that information resources supporting business requirements are continually available. DS4 Ensure Continuous Service The need for providing continuous IT services requires developing, maintaining and testing IT continuity plans, utilising offsite backup storage and providing periodic continuity plan training. An effective continuous service process minimises the probability and impact of a major IT service interruption on key business functions and processes.
35
DS5 Ensure Systems Security The need to maintain the integrity of information and protect IT assets requires a security management process. This process includes establishing and maintaining IT security roles and responsibilities, policies, standards, and procedures. Security management also includes performing security monitoring and periodic testing and implementing corrective actions for identified security weaknesses or incidents. Effective security management protects all IT assets to minimise the business impact of security vulnerabilities and incidents. DS6 Identify and Allocate Costs The need for a fair and equitable system of allocating IT costs to the business requires accurate measurement of IT costs and agreement with business users on fair allocation. This process includes building and operating a system to capture, allocate and report IT costs to the users of services. A fair system of allocation enables the business to make more informed decisions regarding the use of IT services. DS7 Educate and Train Users Effective education of all users of IT systems, including those within IT, requires identifying the training needs of each user group. In addition to identifying needs, this process includes defining and executing a strategy for effective training and measuring the results. An effective training programme increases effective use of technology by reducing user errors, increasing productivity and increasing compliance with key controls, such as user security measures. 36
DS8 Manage Service Desk and Incidents Timely and effective response to IT user queries and problems requires a well-designed and well-executed service desk and incident management process. This process includes setting up a service desk function with registration, incident escalation, trend and root cause analysis, and resolution. The business benefits include increased productivity through quick resolution of user queries. In addition, the business can address root causes (such as poor user training) through effective reporting. DS9 Manage the Configuration Ensuring the integrity of hardware and software configurations requires the establishment and maintenance of an accurate and complete configuration repository.
This
process
includes
collecting
initial
configuration
information, establishing baselines, verifying and auditing configuration information, and updating the configuration repository as needed. Effective configuration management facilitates greater system availability, minimises production issues and resolves issues more quickly. DS10 Manage Problems Effective problem management requires the identification and classification of problems, root cause analysis and resolution of problems. The problem management process also includes the formulation of recommendations for improvement, maintenance of problem records and review of the status of corrective actions. An effective problem management process maximises system availability, improves service levels, reduces costs, and improves customer convenience and satisfaction. 37
DS11 Manage Data Effective data management requires identifying data requirements. The data management process also includes the establishment of effective procedures to manage the media library, backup and recovery of data, and proper disposal of media. Effective data management helps ensure the quality, timeliness and availability of business data. DS12 Manage the Physical Environment Protection for computer equipment and personnel requires well-designed and well-managed physical facilities. The process of managing the physical environment includes defining the physical site requirements, selecting appropriate facilities, and designing effective processes for monitoring environmental factors and managing physical access. Effective management of the physical environment reduces business interruptions from damage to computer equipment and personnel. DS13 Manage Operations Complete and accurate processing of data requires effective management of data processing procedures and diligent maintenance of hardware. This process includes defining operating policies and procedures for effective management of scheduled
processing,
protecting
sensitive output,
monitoring infrastructure performance and ensuring preventive maintenance of hardware. Effective operations management helps maintain data integrity and reduces business delays and IT operating costs.
38
Domain Monitor and Evaluate ME1 Monitor and Evaluate IT Performance Effective IT performance management requires a monitoring process. This process includes defining relevant performance indicators, reporting performance in a timely and systematic manner, and acting promptly upon deviations. Monitoring is needed to make sure that the right things are done and are in line with the set directions and policies. ME2 Monitor and Evaluate Internal Control Establishing an effective internal control programme for IT requires a welldefined monitoring process. This process includes the monitoring and reporting of control exceptions, results of self-assessments and third-party reviews. A key benefit of internal control monitoring is to provide assurance regarding effective and efficient operations and compliance with applicable laws and regulations. ME3 Ensure Compliance With External Requirements Effective oversight of compliance requires the establishment of a review process to ensure compliance with laws, regulations and contractual requirements. This process includes identifying compliance requirements, optimising and evaluating the response, obtaining assurance that the requirements have been complied with and, finally, integrating IT’ s compliance reporting with the rest of the business. ME4 Provide IT Governance Establishing
an
effective governance framework
includes
defining
organisational structures, processes, leadership, roles and responsibilities to 39
ensure that enterprise IT investments are aligned and delivered in accordance with enterprise strategies and objectives.
2.9.4. Maturity Models Maturity model adalah suatu cara untuk mengukur bagaimana suatu proses manajemen telah dilakukan. Secara umum, maturity model berguna untuk memampukan perusahaan melakukan branch marking dan identifikasi pembaharuan yang dilakukan. Keuntungan dari pendekatan maturity model ini adalah kemudahan bagi manajemen untuk menempatkan dirinya pada skala tertentu dan menghargai apa yang perlu diikutsertakan jika peningkatan performa diperlukan. Model akan membantu para profesional untuk menjelaskan kepada para manajer dimana manajemen proses TI muncul dan menetapkan target dimana perusahaan harus ada. Maturity yang dapat dipengaruhi oleh bussiness objective perusahaan, lingkungan operasional, dan praktik industri. Setiap proses pada CobIT terdapat skala penilaian berdasarkan deskripsi maturity model secara umum dibawah ini: 1) Level 0 – Non existent Benar-benar kurang proses yang sepenuhnya diketahui perusahaan. Perusahaan bahkan belum mengenali isu yang harus dihadapi 2) Level 1 – Initial Ada bukti bahwa perusahaan telah menganali isu-isu yang ada dan harus diselesaikan. Namun tidak ada proses yang terstandarisasi dan ada beberapa pendekatan yang bersifat ad-hoc yang cenderung diaplikasikan pada kasus individual atau kasus per kasus. 40
3) Level 2 – Repeatable Proses telah dikembangkan pada tahap dimana prosedur yang sama diikuti oleh beberapa orang yang berbeda pada saat melakukan tugas yang sama. Tidak ada pelatihan formal atau komunikasi tiap individu. Ada kecenderungan untuk bertumpu pada pengetahuan individu sehingga kesalan cenderung terjadi. 4) Level 3 – defined Prosedur telah distandarisasi dan didokumentasi serta dikomunikasikan melalui pelatihan. Namun hal ini diserahkan pelaksanaannya kepada masing-masing
individu
untuk
mengikutinya
atau
tidak,
dan
pengimpangan sulit untuk dideteksi. 5) Level 4 – Managed Adalah mungkin untuk memonitor dan mengukur kepatuhan terhadap prosedur-prosedur dan melakukan suatu tindakan ketika suatu proses tidak sesuai. 6) Level 5 – Optimised Proses telah diperbaiki pada tingkat best practice berdasarkan pada hasil dari peningkatan yang berkelanjutan dan maturity modelling dengan perusahaan lain. TI digunakan pada cara yang terintegrasi ke arus kerja yang telah terotomatisasi, menyediakan perangkat untuk meningkatkan kualitas
dan
efektivitas
sehingga
beradaptasi.
41
membuat
perusahaan
cepat
Gambar 2.1 G raphic representation of maturiry model
2.9.5. S tandar Audit S istem Informasi Standard Audit Sistem Informasi menurut ISACA (Information System Audit and Control Association) : S 1 Audit Charter 1. Tujuan, tanggung jawab, kewenangan dan akuntabilitas dari fungsi audit sistem informasi atau penilaian audit sistem informasi harus didokumentasikan dengan pantas dalam sebuah audit charter atau perjanjian tertulis. 2. Audit charter atau perjanjian tertulis harus mendapat persetujuan dan pengabsahan pada tingkatan yang tepat dalam organisasi. S 2 Independence 1. Professional Independence Dalam semua permasalahan yang berhubungan dengan audit, auditor sistem informasi harus independen terhadap auditee baik dalam sikap maupun penampilan.
42
2. Organisational Independence Fungsi audit sistem informasi harus independen tehadap area atau aktivitas yang sedang diperiksa agar tujuan penilaian audit terselesaikan. S 3 Professional Ethics and Standards 1. Auditor sistem informasi harus tunduk pada kode etika profesi dari ISACA dalam melakukan tugas audit. 2. Auditor sistem informasi harus patuh pada penyelenggarakan profesi, termasuk observasi terhadap standar audit profesional yang dipakai dalam melakukan tugas audit. S 4 Professional Competence 1. Auditor sistem informasi harus seorang profesional yang kompeten, memiliki keterampilan dan pengetahuan untuk melakukan tugas audit. 2. Auditor
sistem informasi harus
mempertahankan
kompetensi
profesionalnya secara terus menerus dengan melanjutkan edukasi dan training. S 5 Planning 1. Auditor sistem informasi harus merencanakan peliputan audit sistem informasi sampai pada tujuan audit dan tunduk pada standar audit profesional dan hukum yang berlaku. 2. Audit sistem informasi harus membangun dan mendokumentasikan resiko yang didasarkan pada pendekatan audit.
43
S 6 Performance of Audit Work 1. Pengawasan-staff audit sistem informasi harus diawasi untuk memberikan keyakinan yang masuk akal bahwa tujuan audit telah sesuai dan standar audit profesional yang ada. 2. Bukti-Selama berjalannya audit, auditor sistem informasi harus mendapatkan bukti yang cukup, layak dan relevan untuk mencapai tujuan audit. Temuan audit dan kesimpulan didukung oleh analisis yang tepat dan interprestasi terhadap bukti-bukti yang ada. 3. Dokumentasi-Proses audit harus didokumentasikan,
mencakup
pelaksanaan kerja audit dan bukti audit untuk mendukung temuan dan kesimpulan auditor sistem informasi. S 7 Reporting 1. Auditor sistem informasi harus menyajikan laporan, dalam pola yang tepat, atas penyelesaian audit. 2. Laporan audit harus berisikan ruang lingkup, tujuan, periode peliputan, waktu dan tingkatan kerja audit yang dilaksanakan. 3. Laporan
audit
harus
berisikan
temuan,
kesimpulan
dan
rekomendasikan serta berbagai pesan, kualifikasi atau batasan dalam ruang lingkup bahwa auditor sistem informasi bertanggung jawab terhadap audit. 4. Auditor sistem informasi harus memiliki bukti yang cukup dan tepat untuk mendukung hasil pelaporan.
44
S 8 Follow up Activities Setelah laporan hasil audit yang mengemukakan temuan dan rekomendasi, auditor SI harus mengevaluasi informasi yang relevan untuk memperoleh keyakinan apakah tindak lanjut yang diperlukan (atas rekomendasi) telah dilaksanakan oleh pihak manajemen sesuai jadwal yang diusulkan (tepat waktu). S 9 Irregularities and Illegal Acts 1. Dalam perencanaan dan pelaksanaan audit untuk mengurangi resiko audit, auditor harus mempertimbangkan resiko ketidakteraturan dan illegal acts. 2. Auditor SI harus bersikap profesional skeptis dalam pelaksanaan audit, paham kemungkinan misstatement yang material dapat saja terjadi karena adanya irregularities dan illegal acts, diluar evaluasi yang telah dilakukan. 3. Auditor SI harus memahami organisasi dan lingkungannya, termasuk sistem pengendalian internal bidang yang diperiksa. S 10 IT Governance 1. Auditor sistem informasi harus meninjau dan menilai apakah fungsi sistem informasi sesuai dengan misi organisasi, visi, nilai, objektif dan strategi. 2. Auditor sistem informasi harus meninjau apakah fungsi sistem informasi mempunyai pernyataan yang jelas mengenai kinerja yang diharapkan dari bisnis (efektif dan efisiensi) dan menilai pencapaian yang diperoleh. 45
3. Auditor sistem informasi harus meninjau dan menilai efektifitas dari sumber sistem informasi dan kinerja proses manajemen. 4. Auditor sistem informasi harus meninjau dan menilai pelaksanaan yang legal/sah, lingkungan dan kualitas informasi dan fiduciary dan persyaratan keamanan. 5. Pendekatan secara resiko harus digunakan oleh auditor sistem informasi untuk menilai fungsi sistem informasi. 6. Auditor sistem informasi harus meninjau dan menilai control environment dari organisasi. 7. Auditor sistem informasi harus meninjau dan menilai resiko yang mungkin merugikan pengaruh dari lingkungan sistem informasi. S 11 Use of Risk Assessment in Audit planning 1. Auditor sistem informasi harus menggunakan teknik penilaian resiko yang tepat atau pendekatan dalam mengembangkan perencanaan audit sistem informasi secara keseluruhan dan didalam prioritas determinasi untuk alokasi yang efektif dari sumber audit sistem informasi. 2. Ketika planning individual reviews, auditor sistem informasi harus mengidentifikasi dan menilai resiko yang berkaitan dengan area yang ditinjau. S 12 Audit Materiality 1. Auditor SI harus mempertimbangkan konsep materialitas dalam hubungannya dengan resiko audit.
46
2. Dalam
merencanakan
audit,
auditor
SI
mempertimbangkan
kelemahan-kelemahan potensial atau tidak adanya kontrol internal dan apakah hal itu dapat mempunyai akibat yang signifikan pada SI. 3. Auditor SI harus mempertimbangkan dampak kumulatif dari kelemahan atau ketiadaan pengendalian interen. 4. Laporan auditor SI harus mengungkapkan adanya pengendalian interen yang lebih efektif atau tidak adanya pengendalian interen (terhadap resiko tertentu) dan dampaknya. S 13 Using the Work of Other Experts 1. Auditor SI harus, jika memungkinkan, menggunakan hasil kerja auditor atau tenaga ahli lain. 2. Auditor SI harus menilai kualifikasi profesional, kempetensi, pengalaman yang relevan, sumber daya, independensi, dan proses quality control dari ahli lain tersebut, sebelum menerima penugasan audit. 3. Auditor SI harus meninjau, menilai dan mengevaluasi hasil kerja tenaga ahli lain tersebut sebagai bagian dari audit dan menentukan tingkat penggunaan atau mengesampingkan has il kerja tenaga lain tersebut. 4. Auditor SI harus menentukan dan menyimpulkan apakah hasil kerja tenaga ahli lain tersebut cukup memadai dan lengkap untuk mendukung auditor SI menarik kesimpulan sesuai tujuan audit (dan kesimpulan tersebut harus secara jelas didokumentasikan).
47
5. Auditor SI perlu melaksanakan prosedur pemeriksaan posedur pemeriksaan tambahan untuk memperoleh bukti audit yang lebih sufficient dan appropriate pada situasi dimana auditor berpendapat bahwa bukti audit dari hasil kerja tenaga ahli lain tersebut tidak cukup. 6. Auditor SI harus memberikan opini tentang kecukupan bukti audit dan pembatasan ruang-lingkup pemeriksaan (jika ada), terkait kelengkapan bukti audit yang diperoleh melalui pemeriksaan tambahan. S 14 Audit Evidence 1. Auditor sistem informasi harus memperoleh bukti audit yang cukup dan tepat untuk menarik kesimpulan yang masuk akal berdasarkan hasil audit. Auditor sistem informasi harus memeriksa kecukupan bukti audit yang diperoleh selama audit.
2.9.6. Guideline Audit Sistem Informasi Guideline Audit Sistem Informasi menurut ISACA (Information System Audit and Control Association). G1 Using the Work of Other Auditor and Experts Isi pokok panduan : Hak mengakses pekerjaan oleh auditor atau pakar lain. Auditor SI harus mendapat keyakinan bahwa jika harus menggunakan hasil pekerjaan
48
auditor atau ahli lain untuk tujuan auditnya, maka hal itu harus jelas diatur dalam audit charter (letter of engagement). G2 Audit Evidence Requirement Isi pokok panduan : Dalam perencanaan audit, auditor SI harus menentukan tipe bukti audit yang akan dikumpulkan dan digunakan untuk tujuan audit, serta tingkat realibilitasnya. G3 Use of Computer Assisted Audit Technique (CAATs) Isi pokok panduan : CAATs dapat menghasilkan banyak audit pada audit SI, karena itu auditor harus merencanakan penggunaan CAATs dengan seksama. CAATs juga dapat digunakan untuk mengerjakan berbagai prosedur audit seperti uji transaksi / saldo, prosedur analistik, uji pengendalian umum SI, uji pengendalian aplikasi SI, tes penetrasi. G4 Outsourcing of IS Activities to Another Organisations Isi pokok panduan : 1. Responsibilitas, otoritas dan akuntabilitas 2. Jika fungsi SI di-outsourced, pada audit charter harus tegas mencakup hak auditor SI untuk review aggrement di antara pemakai jasa
dan
auditor,
melakukan
pemeriksaan
jika
memang
dipertimbangkan perlu, dan melaporkan temuan, kesimpulan dan rekomendasi.
49
G5 Audit Charter Isi pokok panduan : 1. M andat bagi audit SI untuk melaksanakan fungsinya harus jelas tertuang pada uraian tugas pokok dan fungsi yang lazimnya disebut audit charter. 2. Audit charter harus dengan jelas mencantumkan tiga aspek: tanggung jawab, otoritas, dan akuntabilitas. G6 Materiality Concepts for Auditing Information Isi pokok panduan : Tingkat
materialitas
adalah
sepenuhnya
auditor’s
professional
judgement. Dalam menilai materialitas, auditor, atau aturan serta kesalahan yang dapat diterima manajemen, auditor, atau aturan serta dampak akumulasi kesalahan kecil yang bias menjadi material. G7 Due Professional Care Isi pokok panduan : Due care ialah tingkat ketelitian / ketekunan / seksama seorang professional secara berhati-hati dan kompeten bekerja dalam lingkungan tertentu. Due professional care adalah keadaan seperti itu untuk profesi atau keterampilan teknis tertentu, misalnya dalam audit SI. G8 Audit Documentation Isi pokok panduan : Dokumentasi harus menyebutkan informasi yang diperlukan berkaitan dengan hukum, regulasi, kebijakan perusahaan, dan standar professional terkait, serta disusun dengan jelas, terstruktur, mudah dipahami. 50
G9 Audit Consideration for Irregularities Isi pokok panduan : Auditor SI harus memperhatikan audit charter atau letter of engagement untuk memperjelas tanggung jawab auditor terkait dengan preventing, detecting, dan reporting irregularities. G10 Audit Samplin Isi pokok panduan : Dalam menarik kesimpulan auditor menggunakan data sampel, karena tidak mungkin auditor memeriksa seluruh data. Karena itu auditor SI harus merancang audit sample, prosedur audit dan evaluasi audit sample yang layak dengan metode audit sampling. G11 Effect of Pervasive IS Control Isi pokok panduan : CobIT mendefinisikan control sebagai kebijakan, prosedur, practices, dan struktur organisasi, yang dirancang untuk memperoleh keyakinan memadai bahwa tujuan organisasi akan tercapai, dan jika banyak terdapat hal-hal yang tidak diinginkan dapat dicegah, dideteksi, dan dikoreksi. G12 Organizational Relationship and Independence Isi pokok panduan : Pengertian independen mencakup sikap dan perilaku sesuai kode etik dan standar. Audit charter harus menjamin adanya independensi, otoritas, dan akuntabilitas fungsi audit, semuanya diatur pada manajemen organisasi. 51
G13 Use of Risk Assesment in Audit Planning Isi pokok panduan : Banyak metoda dan teknik penaksiran resiko, berbasis komputer/ manual, mulai dari sederhana (hanya dengan klasifikasi high, medium, dan low berdasarkan auditor’s judgement). Sampai ke yang rumit dengan “kalkulasi ilmiah” untuk menyusun numeric risk rating. G14 Application Systems Review Isi pokok panduan : Salah satu bagian penting dalam audit planning adalah memahami sestem informasi, tingkat kerumitan, dan ketergantungan proses bisnis maupun kegiatan organisasi tersebut terhadap sistem informasinya. Pengendalian intern system aplikasi menunjukkan tingkat resiko berjalan dengan baik / tidaknya system aplikasi tersebut. G15 Plannning Revised Isi pokok panduan : Auditor SI harus memahami arsitektur informasi yang diaudit serta arah teknologi informasinya, melakukan risk assessment and prioritization, menentukan lingkup pemeriksaan, dan melakukan preliminary assessment of internal controls. Tingkat pemahaman mengenai organisasi dan proses serta hal-hal lain yang berkaitan dengan auditan bergantung pada tingkat detail pemeriksaan yang akan dilakukan.
52
G16 Effect of Third Parties on an Organization’s IT Controls Isi pokok panduan : Auditor SI harus menilai kurang / tidak berfungsinya kontrol, pada bidang kegiatan yang mana, dan apakah secara signifikan berpengaruh terhadap lingkungan pengendalian intern. G17 Effect of Nonaudit Role on the IS Auditor’s Independence Isi pokok panduan : Audit charter perlu mencantumkan kemungkinan pemberian tugas non-audit kepada staf unit audit, dan dalam setiap penugasan auditor harus yakin bahwa hal itu tidak melanggar aturan yang ada pada audit charter. G18 IT Governance Isi pokok panduan : IT Governance adalah salah satu domain didalam enterprise governance. Karena TI sekarang dipandang bukan lagi hanya sebagai alat pengolah data atau sekedar alat pelengkap organisasi bisnis, melainkan bagian integral dari strategi perusahaan. Berdasarkan pandangan itu maka korporasi perlu memperoleh keyakinan IT governance, dan untuk itu diperlukan audit. G19 Irregularities and Illegal Acts Isi pokok panduan : 1. Fraud, berbagai hal bersifat kecurangan untuk memperoleh keuntungan. 2. M anipulasi, pemalsuan, pengubahan data atau dokumen. 53
G20 Reporting Isi pokok panduan : Auditor SI harus membuat laporan hasil pemeriksaan yang disusun dalam format yang tepat segera setelah selesai melakukan tugasnya. G21 Enterprise Resou rce Planning (ERP) Systems Review Isi pokok panduan : ERP mendukung system operasi dan system informasi perusahaan, tetapi di sisi lain mengandung risiko dan tantangan bagi organisasi: lingkungan bisnis, perilaku organisasi, prosedur dan proses bisnis, integritas data, system functionality, kelanjutan bisnis. G22 Business to Consumer (B2C) E-Commerce Review Isi pokok panduan : Auditor SI harus menilai secara kritis tujuan EC, strategi, model, tingkat persaingan dan posisi perusahaan, apakah EC merupakan inisiatif baru atau merupakan kelanjutan bisnis yang sudah ada, tingkat ketergantungan ekonomi perusahaan terhadap EC. G23 Systems Development Life Cycle Review Isi pokok panduan : SDLC adalah rangkaian tahap prosedur pembangunan system berbasis TI. Sistem dapat dibangun sendiri, dibeli (implementasi paket software yang tanpa diubah-ubah lagi atau paket software yang dimodifikasi sehingga bisa memenuhi keinginan kita), atau kombinasi.
54
G24 Internet Banking Isi pokok panduan : Auditor SI harus mengumpulkan informasi terkait tujuan internet banking, strategi yang digunakan untuk mencapai tujuan, cara bank menggunkan teknologi internet, dan hubungannya dengan customer. Auditor SI harus menilai resiko-resiko seperti penilaian strategi dan analisis resiko, integritas tujuan strategis perusahaan / bank, seleksi dan manajemen infrastruktur teknologi. G25 Review of Virtual Private Networks Isi pokok panduan : Auditor SI harus menetapkan pendekatan audit yang akan dilakukan, hal
ini
bergantung
tahap
pre-implementasi,
dalam
proses
implementasi, atau post implementasi. Jika dalam pemeriksaan akan digunakan bantuan ahli atau akan digunakan testing / monitoring tools, perlu dikomunikasikan pada manajemen. G26 Business Process Reenginering (BRP) Project Review Isi pokok panduan : Pengertian BRP adalah suatu pemikiran kembali secara mendasar dengan redesain secara radikal terhadap proses bisnis agar terjadi perbaikan yang dramatis dalam ukuran-ukuran kontemporer, seperti: biaya, mutu, service dan speed.
55
G27 Mobile Computing Isi pokok panduan : Auditor SI harus memperhatikan risiko-risiko yang terkait dengan mobile devices, terutama yang berkaitan dengan akses terhadap sistem/ data, dari connectivity, dan affordability mobile device meningkatkan risiko. G28 Computer Forensic Isi pokok panduan : Auditor SI harus membuat laporan yang antara lain memuat ruang lingkup, tujuan, dan hakekat pemeriksaan, waktu dan tingkat pemeriksaan yang dilakukan, temuan dan rekomendasi secara jelas, organisasi/ pihak-pihak yang berhak menerima laporan tersebut, serta pembatasan. G29 Post-Implementation Review Isi pokok panduan : Laporan hasil review post implementasi seharusnya memuat antara lain tujuan, ruang lingkup, asumsi, dan metodologi yang digunakan dalam pemeriksaan, penilaian apakah tujuan implementasi tercapai, penialian secara umum terhadap proses implementasi. G30 Competence Isi pokok panduan : Auditor SI memelihara kemampuan dan pengetahuan mereka secara berkelanjutan untuk memelihara tingkat kompetensi yang dapat diterima. Hal ini dapat dilakukan melalui pendidikan professional yang 56
berkelanjutan
meliputi: pelatihan,
kursus pendidikan,
program
sertifikasi, universitas, konferensi, seminar. G31 Privacy Isi pokok panduan : 1. Harus dicegah terjadinya deviation (penyimpangan) atau breaches (pelanggaran) penggunaan informasi. 2. Tiap organisasi harus mengatur prosedur dan tanggung jawab yang berkaitan dengan privacy. 3. Aturan umum yang harus patuhi ialah bahwa semua pihak hendaknya hanta mengakses data yang terkait tugasnya. 4. Dibuat user identification dan access privileges G32 Business Continuity Plan (BCP) Review From IT Perspective Isi pokok panduan : Auditor SI harus merumuskan area penting seperti proses bisnis dan teknologi yang terkait dengan penilaian resiko, dan harus dapat dijamin bahwa rencana kerja harus dapat dilaksanakan. G33 General Considerations on the use of the Internet Isi pokok panduan : Auditor SI menilai resiko: ancaman yang dihadapi dan perubahan atau perkembangannya, biaya jika terjadi masalah, tingkat kemungkinan ada security incident, konsekuensi jika ada data yang dibajak, dan lainnya.
57
G34 Respon sibility, Authority and Accountability Isi pokok panduan : Auditor SI harus memiliki pengetahuan yang cukup untuk identifikasi indikasi adanya kecurangan, bekerja secara seksama dan menggunakan keterampilan yang diperlukan untuk bekerja secara kompeten dan kehati - hatian professional jika menggunakan tenaga bantuan ahli lain selalu evaluasi dengan cermat. G35 Follow-up Activities Isi pokok panduan : Auditor SI harus membahas dengan manajemen mengenai tindak lanjut atas rekomendasi, dan sebaiknya dibuat action plan, tindak lanjut tersebut perlu dicatat sebagai management response. Jika terjadi perbedaan pendapat atas rekomendasi atau komentar penyeimbang dari pihak auditan, maka hal itu harus diungkapkan, dan bila perlu dengan alas an masing - masing. G36 Biometric Controls Isi pokok panduan : Identifikasi dan autentifikasi tradisional sebagai access controls. M elakukan pemeriksaan terhadap seleksi dan pengadaan biometrics, operasional dan pemeliharaan sistem biometric, kinerja system biometric dll.
58
2.10.
Pengertian Redmine Redmine adalah aplikasi manajemen proyek yang dibuat menggunakan
framework Ruby on Rails. Redmine mendukung multiple project sehingga Redmine bisa diinstal di perusahaan untuk mengelola semua proyek yang sedang berjalan. Untuk pengelolaan proyek, Redmine memiliki Gantt chart dan Calendar untuk mengelola dokumentasi proyek, serta menggunakan wiki yang sudah tersedia. Tugas dibagikan pada team member dengan menggunakan konsep issue. Saat ini Redmine dapat melihat isi repository Subversion, CVS, M ercurial, dan Darcs. Dengan menggunakan aplikasi ini, berbagai aspek dalam manajemen proyek dapat dikelola secara terpusat. (http://endy.artivisi.com/blog/aplikasi/redmine/) Fitur-fitur yang terdapat dalam redmine adalah sebagai berikut :
1) M ultiple projects support 2) Flexible role based access control 3) Flexible issue tracking system 4) Gantt chart and calendar 5) News, documents & files management 6) Feeds & email notifications 7) Per project wiki 8) Per project forums 9) Time tracking 10) Custom fields for issues, time-entries, projects and users 11) SCM integration (SVN, CVS, Git, M ercurial, Bazaar and Darcs) 59
12) Issue creation via email 13) M ultiple LDAP authentication support 14) User self-registration support 15) M ultilanguage support 16) M ultiple databases support
60
