KERANGKA KERJA COBIT : SUATU TINJAUAN KUALITATIF AUDIT TEKNOLOGI INFORMASI 1Detty
Purnamasari, 2Dessy Wulandari A.P. 1,2 Universitas Gunadarma Jl. Margonda Raya No.100 Depok Indonesia E-mail: {detty, dessy_wap}@staff.gunadarma.ac.id
ABSTRAK Teknologi informasi digunakan oleh perusahaan untuk meningkatkan efektifitas dan efisiensi kerja suatu perusahaan. Untuk mengetahui bahwa teknologi informasi telah digunakan sesuai dengan tujuan dan kegunaannya, maka dibutuhkan suatu audit terhadap teknologi informasi. Artikel ini merupakan kajian pustaka mengenai audit teknologi informasi pada perusahaan yang menggunakan metode COBIT. Penilaian metode COBIT dilakukan dengan cara kualitatif yang memerlukan perspektif manusia, dimana jika penilaian ini dilakukan oleh orang yang berbeda bisa didapatkan hasil yang juga berbeda. Untuk dapat menyempurnakan metode yang digunakan pada audit teknologi informasi maka kajian pustaka serta penelitian harus selalu dilakukan. Kata Kunci : audit, teknologi, informasi, COBIT, kualitatif
PENDAHULUAN Perusahaan menggunakan teknologi khususnya teknologi informasi untuk meningkatkan efektifitas dan efisiensi sehingga visi, misi, dan tujuan perusahaan dapat tercapai. Untuk mengetahui bahwa teknologi informasi sudah digunakan sesuai dengan fungsi kegunaan dan tujuan peruntukkannya, maka dibutuhkan suatu audit terhadap teknologi informasi itu sendiri. Artikel ini merupakan kajian pustaka mengenai audit teknologi informasi pada perusahaan yang menggunakan metode COBIT. Penilaian metode COBIT dilakukan dengan cara kualitatif yang memerlukan perspektif manusia. Jika penilaian kualitatif ini dilakukan oleh orang yang berbeda bisa didapatkan hasil yang juga berbeda. Control Objectives for Information and Related Technology (COBIT) adalah salah satu pedoman penting untuk tata kelola teknologi informasi, dimana COBIT menyediakan
alat yang berguna bagi perusahaan dalam melakukan evaluasi sendiri terhadap sistem tata kelola teknologi informasinya. (Abu-Musa, 2009)
TINJAUAN PUSTAKA Auditor seharusnya menggunakan perangkat lunak khusus untuk memastikan bahwa peraturan telah diimplementasikan dengan tepat. Sistem audit fokus pada entitas spesifik dan pengendalian TI (Teknologi Informasi) yang tersedia untuk proses bisnis. Pada sistem audit terdapat diantaranya seperti : i). Tinjuan terhadap sistem informasi umum dan pengendalian aplikasi, ii). Aktivitas lifecycle dari pengembangan sistem, iii). Validasi data dan verifikasi. Auditor patuh pada standar, kode etik, penasehat, COBIT (Control Objectives for Information and Related technology), dan CAAT (ComputerAssisted Audit Techniques).( Vazakidis, 2005)
Hamzah (2006) dalam artikelnya membahas mengenai metode COBIT yang diterapkan dalam pengelolaan perusahaan agar penggunaan teknologi informasi sesuai dengan kebutuhan perusahaan. Volders (2005) dalam proyeknya mengkombinasikan COBIT QuickStart dengan pendekatan Gartner untuk mendefinisikan prioritas untuk teknologi informasi berdasarkan pada strategi perusahaan. Berikut ini pada gambar 1. menunjukkan pertanyaan awal “Watch the Heat” dari COBIT QuickStart yang diisi oleh Kepala Bagian Informasi pada perusahaan.
Gambar 1. Penilaian Pertama “Watch the Heat”
Gambar 2. Penilaian Kedua “Stay in the Blue Zone” Sumber : (Volders, 2005)
Setelah melewati dua penilaian didapatkan dokumen hasil dimana tingkat kematangan dari kemampuan yang digunakan. (Volders, 2005) Kerangka kerja sederhana dibuat untuk mencirikan kerangka kerja COBIT dari berbagai dimensi, termasuk didalamnya yaitu : i). Perluasan teori atau orientasi penerapan, ii). Apakah dari praktisi, kalangan akademisi, sektor organisasi yang sedang berkembang, industri, lokasi geografis dan tingkat pemanfaatan. Pengembangan kerangka kerja ini akan memberikan kemudahan untuk memeriksa pustaka yang tersedia dan pustaka yang akan diterbitkan. (Ridley, 2004)
Sumber : (Volders, 2005)
Langkah kedua (Volders, 2005) adalah “Stay in The Blue Zone”, dimana perusahaan tidak berada dalam daerah biru untuk 4 kriteria dari 7 kriteria yang ada, yaitu : SCS (Simple Command Structure), SCP (Short Communications Path), SOC (Span of Control), ITL (IT Leadership), ITS (IT Strategic Importance), ITE (IT Expenditure), dan SEG (Segregation). Berikut ini adalah gambar dari penilaian “Blue Zone”.
Gambar 3. Kerangka Kerja COBIT dan Implementasi. Sumber: (Ridley, 2004)
Abu-Musa (2009) melakukan suatu studi tentang pengaruh kerangka kerja COBIT untuk mengevaluasi dan meningkatkan implementasi tata kelola teknologi informasi pada organisasi di Saudi Arabia. Penelitian dilakukan dengan memberikan kuisioner untuk mengetahui formalitas, audit, tanggung jawab dan akuntabilitas dari proses COBIT. Hasilnya menunjukkan sebagian besar responden mengatakan bahwa departemen TI memiliki tanggung jawab untuk melaksanakan proses COBIT pada organisasinya. Tetapi banyak juga responden yang mengatakan bahwa proses audit TI tidak dilakukan.
Management guidelines memberikan arah secara umum atau spesifik mengenai apa saja yang harus dilakukan, dan untuk menjawab pertanyaan sebagai berikut : 1. Seberapa jauh harus bejalan, dan biaya yang dikeluarkan untuk mendapatkan manfaat. 2. Indikator apa saja untuk memperoleh kinerja yang baik. 3. Faktor apa saja yang harus ada untuk mendapatkan sukses. 4. Resiko apa saja yang dapat terjadi jika tidak tercapainya tujuan. 5. Apa yang dilakukan oleh perusahaan yang lain. 6. Bagaimana melakukan pengukuran dan membandingkannya.
KERANGKA KERJA COBIT ISACA (The International Systems Audit and Control Association) adalah asosiasi professional yang menangani audit, control, keamanan, dan governance untuk Sistem Informasi, yang mempunyai anggota sekitar 35.000 dari 100 negara di Asia, Amerika Tengah, Amerika Utara, Eropa, Afrika, Amerika Selatan, dan Oceania. COBIT dikembangkan oleh IT Governance Institute (ITGI) yang merupakan bagian dari ISACA. Kerangka kerja COBIT terdiri atas beberapa arahan, yaitu : Control Objective, Audit Guideline, Management Guidelines. Audit guideline memberikan ulasan tentang proses teknologi informasi dengan 318 rekomendasi yang menjelaskan control objective untuk memberikan kepastian pengelolaan dan/atau saran pengembangan.
Control objective dikelompokkan ke dalam 4 domain : i). Perencanaan dan Organisasi (Planning and Organisation), ii). Akuisisi dan implementasi (acquisition and implementation), iii). Pengiriman dan dukungan (delivery and support), iv). Pemantauan (monitoring). Dapat dilihat pada gambar 4. Organisasi dan perencanaan terdiri dari : menentukan rencana strategis TI, menentukan arsitektur informasi, menentukan arah teknologi, menentukan organisasi TI dan hubungannya, mengelola investasi TI, tujuan komunikasi manajemen dan arahnya, mengelola sumber daya, memastikan kepatuhan dengan persyaratan eksternal, menilai resiko, mengatur proyek, mengelola kualitas. Akuisisi dan implementasi terdiri dari : mengidentifikasi solusi otomatis, menerima dan memelihara aplikasi perangkat lunak, menerima dan memelihara infrastuktur teknologi, mengembangkan dan memelihara prosedur, menginstal dan akreditasi sistem, mengelola perubahan.
Pengiriman dan dukungan terdiri dari : definisi dan mengelola pelayanan, mengelola layanan pihak ketiga, mengelola kinerja dan kapasitas, memastikan layanan berkelanjutan, memastikan keamanan sistem, identifikasi dan alokasi biaya, mendidik dan melatih pengguna, membantu dan memberikan saran pelanggan, mengelola konfigurasi, mengelola masalah dan kejadian, mengelola data, mengelola fasilitas, mengelola operasi. Pemantauan terdiri dari : pemantauan proses, menilai kecukupan pengendalian internal, memperoleh jaminan independen, menyediakan untuk audit independen. Empat domain tersebut akan membentuk suatu informasi yang memperhatikan efektif, efisien, kerahasiaan, integritas, ketersediaan, pemenuhan, dan keandalan. Selain itu informasi juga diperoleh dari sumber daya TI, yaitu : manusia, sistem aplikasi, teknologi, fasilitas, dan data.
Gambar 4. Proses COBIT dengan Empat Domain. Sumber: ITGI
HASIL DAN PEMBAHASAN Audit dilakukan tidak hanya dalam hal keuangan, tetapi teknologi informasi juga memerlukan suatu audit untuk mengetahui bahwa teknologi informasi tersebut sesuai dengan peruntukkannya. Dari hasil penelitian Abu-Musa (2009) didapatkan hasil bahwa audit teknologi informasi belum dilakukan oleh banyak perusahaan di Saudi. Saat ini metode COBIT adalah salah satu pendekatan yang digunakan untuk melakukan audit terhadap TI. Pada langkah awal penggunaan COBIT Quickstart (Volders, 2005) auditor diminta untuk merespon beberapa pernyataan dimana tersedia 5 alternatif, yaitu : i). Definitely Disagree, ii). Do Not Completely Disagree, iii). Neither Agree nor Disagree, iv). Somewhat Agree, dan v). Fully Agree. Selanjutnya ada langkah kedua untuk penilaian hingga didapatkan dokumen hasil. Dilihat dari langkah awal penilaian “Watch the Heat” pada COBIT QuickStart menunjukkan bahwa pernyataan dan alternatif yang tersedia adalah jenis pernyataan kualitatif, dimana pernyataan tersebut menggunakan perspektif manusia untuk menjawabnya meskipun jawaban tersebut telah disediakan. Sehingga jika pernyataan ini diajukan kepada auditor yang berbeda, maka bisa didapatkan respon yang berbeda pula. Ridley (2004) membuat pendekatan sederhana terhadap kerangka kerja COBIT untuk memberikan kemudahan bagi perkembangan kerangka kerja yang digunakan untuk audit teknologi informasi.
KESIMPULAN Audit teknologi informasi penting dilakukan oleh perusahaan untuk mengetahui fungsi dan kegunaan atas investasinya terhadap teknologi informasi. Salah satu pendekatan audit yang digunakan adalah COBIT, yang menggunakan kerangka kerja/penilaian kualitatif melalui perspektif manusia terhadap pernyataan yang diajukan. Sehingga jika pernyataan diajukan kepada orang yang berbeda, bisa didapatkan hasil yang berbeda pula. Kajian pustaka dan penelitian mengenai audit teknologi informasi sebaiknya terus dilakukan, sehingga dapat menemukan atau menyempurnakan metode yang telah ada untuk melakukan audit terhadap teknologi informasi.
DAFTAR PUSTAKA Abu-Musa, A.A. (2009). Exploring COBIT Processes for ITG in Saudi Organizations: An Empirical Study. The International Journal of Digital Accounting Researh. Vol.9. pp.99126. ISSN:1577-8517. Hamzah, A. (2006). Tata Laksana Teknologi Informasi Metode COBIT. Seminar Nasional Aplikasi Teknologi Informasi 2006 (SNATI). Yogyakarta. Ridley, G, Young, J., dan Carroll, P. (2004). COBIT and its Utilization : A Framework from the Literature. Hawaii, Proceedings of 37th Hawaii International Conference on System Sciences.
Vazakidis, A, dan Folinas , D. (2005). The Effects of Technology in the Auditing Process of Government Tax Provisions : The Case of Feigned and Forged Invoices in Greece. Journal of Information Technology Impact. Vol 5 No. 3 pp.99-108. Volders, G. (2005). IT GovernancePractical Case Using COBIT QuickStart. Information Systems Audit and Control Association. http://techtraining.brevard.k12.fl.us/BE TC2007/GrachisAuditguidelines.pdf, akses 12 Maret 2011.