AUDI TI NG IT GOVERNANCE CONTROLS CONTROLS
F0174 – F0174 – Audit Audit Laporan Keuangan Berbasis Komputer
Disusun oleh:
Bab 1 Pendahuluan 1.1. Latar Belakang
Pada saat ini, Teknologi Informasi (TI) merupakan bagian yang tidak bisa terpisahkan dari suatu perusahaan. Ilmu dan teknologi yang bergerak maju dan berkembang ternyata tidak sedikit menimbulkan masalah, terutama dalam menghadapi kompleksitas dan intensitas tantangan yang semakin berat. Pimpinan dan para pembuat pembuat kebijakan perusahaan dituntut berpikir kreatif kreatif untuk menemukan berbagai terobosan strategi yang mampu menciptakan sinergi, yang memberi kontribusi optimal dalam pencapaian tujuan perusahaan. Namun, kenyataannya sering kita jumpai bahwa pemanfaatan TI itu justru menghabiskan sumber daya, sementara hasil yang diharapkan tidak tercapai. Untuk itu, perlu dilakukan manajemen informasi efektif dan pemanfaatan teknologi secara efisien. Hal ini sudah sering dikemukakan dan dibahas. Dari pembahasan itu, makin disadari pentingnya “ IT Governance” Governance”. IT Governance adalah Governance adalah sebuah struktur dari hubungan relasi dan proses untuk mengarahkan dan mengendalikan suatu perusahaan dalam mencapai tujuan dengan memberikan nilai tambah ketika menyeimbangkan resiko dengan menyesuaikan TI dan proses bisnis perusahaan. IT perusahaan. IT Governance muncul Governance muncul sebagai jembatan antara scope antara scope bisnis dengan TI, yang disebabkan terjadinya sebuah gap gap antara teknologi yang diterapkan tidak sesuai dengan yang diharapkan. diharapkan . IT Governance Governance bukanlah suatu manajemen tersendiri, tetapi pada dasarnya juga merupakan bagian dari manajemen perusahaan. Manfaat IT Governance Governance itu sendiri pada dasarnya sangat sulit untuk dikuantifikasikan karena ukuran keberhasilan penanganan TI itu pada dasarnya bersifat intangible. intangible. Teknologi informasi adalah suatu aset yang sangat berharga dalam suatu perusahaan, dimana peranan teknologi informasi (TI) telah mampu mengubah pola pekerjaan, kinerja karyawan bahkan sistem manajemen dalam mengelola sebuah organisasi. Teknologi informasi bisa memiliki peranan penting menggantikan peran manusia secara otomatis terhadap suatu siklus sistem mulai dari input , proses dan output di dalam melaksanakan aktivitas pekerjaan serta telah menjadi fasilitator
utama bagi kegiatan-kegiatan bisnis yang memberikan andil besar terhadap perkembangan organisasi. Terdapat beberapa alasan penting mengapa audit TI perlu dilakukan, antara lain: (1) kerugian akibat kehilangan data; (2) kesalahan dalam pengambilan keputusan (3) risiko kebocoran data; (4) penyalahgunaan komputer; (5) kerugian akibat kesalahan proses perhitungan; dan (6) tingginya nilai investasi perangkat keras dan perangkat lunak komputer serta semakin ketatnya persaingan antar perusahaan dalam menjalankan bisnisnya yang berbasis teknologi informasi
1.2. Ruang Lingkup
Agar pembahasan menjadi lebih terarah terar ah pada tujuan-tujuan yang ingin dicapai, maka ruang lingkup penulisan akan dibatasi pada: a) Pengertian dan aspek penting dari tata kelola perusahaan di bidang teknologi informasi secara keseluruhan b) Pemahaman terhadap fokus utama dari area tata kelola IT di dalam suatu perusahaan c) Melaksanakan audit TI dimana metodologi audit TI yang sesuai dengan metodologi yang diajukan oleh IT oleh IT Assurance Guide: Guide: COBIT.
1.3. Tujuan dan Manfaat
Berdasarkan latar belakang, maka dapat ditentukan tujuan dari penulisan ini adalah untuk mengulas bagaimana audit terhadap tata kelola teknologi informasi di dalam suatu perusahaan dilakukan, terutama dengan menggunkan metode COBIT.
Dengan adanya tulisan ini, diharapkan dapat memberikan manfaat-manfaat sebagai berikut:
a) Mendapatkan gambaran yang lebih jelas dalam proses audit terhadap tata kelola teknologi informasi. b) Memberikan gambaran atas suatu kontrol terhadap investasi teknologi informasi di dalam perusahaan. c) Memastikan manajemen dan akuntabilitas kinerja yang efektif di dalam fungsi teknologi informasi di suatu perusahaan. d) Mengkomunikasikan informasi risiko dan pengendalian ke area-area yang terkait di dalam organisasi.
1.4. Metodologi Metodologi Penulisan
Metodologi penelitian yang digunakan penulis dalam penelitian ini, antara lain: a) Metode Analisis Metode analisis digunakan dengan menganalisis berbagai macam metodemetode pengembangan aplikasi untuk mobile. b) Studi Kepustakaan Kegiatan ini dilakukan dengan cara membaca buku-buku dari referensi yang berkaitan dengan masalah tersebut serta pengumpulan informasi yang digunakan dalam studi artikel media internet. Penelitian kepustakaan ini secara teoritis sangat membantu didalam penyusunan penulisan ini.
BAB 2 LANDASAN TEORI
2.1. I nf ormation T echnology (I T) Gove Govern ance
IT
Governance Governance merupakan
suatu
komitmen,
kesadaran
dan
proses
pengendalian manajemen organisasi terhadap t erhadap sumber daya teknologi informasi atau sistem informasi yang dibeli dengan harga mahal, yang mencakup mulai dari sumber daya komputer ( software, software, brainware, brainware, database dan database dan sebagainya), hingga ke teknologi informasi dan jaringan LAN atau internet. “Governance” Governance” merupakan turunan dari kata “ government ”, ”, yang artinya membuat kebijakan ( policies) policies) yang sejalan atau selaras dengan keinginan atau aspirasi masyarakat. Sedangkan penggunaan pengertian “ governance” governance” terhadap IT Governance Governance maksudnya adalah, penerapan kebijakan TI di dalam organisasi agar pemakaian TI (berikut pengadaan dan pelayanannya) pelayanannya) diarahkan sesuai dengan tujuan organisasi tersebut. Sanyoto Gondodiyoto (2007) menyatakan bahwa IT Governance Governance merupakan salah satu bagian terpenting dari kesuksesan penerapan good corporate governance. governance . IT Governance memastikan Governance memastikan pengukuran efektifitas dan efisiensi peningkatan proses bisnis perusahaan melalui struktur yang terkait dengan TI menuju ke arah tujuan strategis perusahaan. IT perusahaan. IT Governance memadukan Governance memadukan best practice proses practice proses perencanaan, pengelolaan, penerapan, pelaksanaan dan pengawasan kinerja untuk memastikan bahwa TI benar-benar mendukung pencapaian perusahaan. IT Governance Governance dimaksudkan sebagai pola dari otoritas atau kebijakan terhadap aktivitas TI ( IT Process). Process). Pola ini diantaranya adalah membangun kebijakan dan pengelolaan IT Infrastructure, Infrastructure, penggunaan TI oleh end-user secara efisien, efektif dan aman, serta proses IT proses IT Project Management yang yang efektif. Standar COBIT dari lembaga ISACA di Amerika Serikat mendefinisikan IT Governance sebagai berikut: “structure of relationships and processes to direct and control the enterprise in order to achieve the entreprise’s goals by value while balancing risk versus return over IT and its processes”.
IT Governance Governance sebagai kumpulan kebijakan, proses atau aktivitas dan prosedur untuk mendukung pengoperasian p engoperasian TI agar hasilnya sejalan dengan strategi bisnis. Ruang lingkup IT lingkup IT Governance di Governance di perusahaan skala besar biasanya mencakup hal-hal yang berkaitan dengan Change Management , Problem Management , Release Management , Availability Management dan bahkan Service-Level Management . Lebih lanjut, IT Governance Governance yang baik harus berkualitas, well-defined dan bersifat “repeatable processes” processes” yang terukur. IT Governance Governance yang dikembangkan dalam suatu organisasi modern berfungsi pula mendefinisikan kebijakan-kebijakan TI, menetapkan prosedur penting proses TI, dokumentasi aktivitas TI, termasuk membangun IT membangun IT Plan yang Plan yang efektif berdasarkan berdasar kan perubahan lingkungan perusahaan dan perkembangan TI. Dari beberapa definisi Tata Kelola TI tersebut, maka dapat di simpulkan bahwa tujuan dibangunnya IT Governance Governance adalah, menyelaraskan IT Resources yang sudah diinvestasikan tersebut dengan strategi organisasi. Untuk mewujudkan IT Governance Governance dalam suatu organisasi, maka suatu organisasi harus membangun struktur yang dinamakan dengan IT Governance Framework , yang berpola sebagai berikut:
Gambar 2.1 Ruang Lingkup IT Lingkup IT Governance
Untuk mewujudkan tujuan yang bersifat integratif dan komprehensif tersebut, maka tidak mungkin pengelolaan TI pada organisasi skala menengah dan besar hanya menjadi urusan dari departemen komputer saja ( IT ( IT Function), Function), akan tetapi harus melibatkan semua pihak, termasuk stakeholder , sesuai dengan proporsinya, mulai dari dewan komisaris, top management , manajer fungsional, manajer operasional, karyawan sebagai end-user , tapi tentu saja terutama manajer teknologi informasi. Dengan adanya IT Govenance Govenance yang baik yang berjalan di dalam suatu organisasi perusahaan, maka puluhan IT puluhan IT Process beserta Process beserta IT IT Activities dapat Activities dapat berjalan secara sistematis, terkendali dan efektif. Bahkan hingga menciptakan efisiensi dengan sendirinya, mengurangi biaya operasional dan meningkatkan daya saing. Output dan dan outcome dari outcome dari IT IT Governance yang Governance yang baik tersebut hanya dapat dicapai jika tata kelola tersebut dikembangkan dengan menggunakan IT Framework berstandar internasional, misalnya dengan mengimplementasikan COBIT, IT-IL Management, COSO, ISO IT Security dan lain sebagainya.
Gambar 2.2 COBIT pada IT pada IT Governance
2.1.1.
Control Objective Objective for I nf ormation and Relate Related d Technology Technology (COBI (COBI T)
(weber, p57) COBIT dapat diartikan sebagai tujuan pengendalian untuk informasi dan teknologi terkait dan merupakan standar terbuka untuk pengendalian
terhadap teknologi informasi yang dikembangkan dan dipromosikan oleh Institut IT Governance. COBIT pertama sekali diperkenalkan pada tahun 1996 adalah merupakan alat (tool ) yang disiapkan untuk mengatur teknologi informasi ( IT ( IT Governance tool ). ). COBIT telah dikembangkan sebagai sebuah aplikasi umum dan telah diterima menjadi standar yang baik bagi praktek pengendalian dan keamanan TI yang menyediakan sebuah kerangka kerja bagi pengelola, user, audit sistem informasi, dan pelaksana pengendalian dan keamanan. COBIT, di terbitkan oleh Institut IT Governance. Pedoman COBIT memungkinkan perusahaan untuk mengimplementasikan pengaturan TI secara efektif dan pada dasarnya dapat diterapkan di seluruh organisasi. Khususnya, komponen pedoman manajemen COBIT yang berisi sebuah respon kerangka kerja untuk kebutuhan manajemen bagi pengukuran dan pengendalian TI dengan menyediakan alat-alat untuk menilai dan mengukur kemampuan TI perusahaan untuk 34 proses TI COBIT. Alat-alat tersebut yaitu : 1. Elemen pengukuran kinerja (pengukuran hasil dan kinerja yang mengarahkan bagi seluruh proses TI) 2. Daftar faktor kritis kesuksesan (CSF) yang disediakan secara ringkas, praktek terbaik non teknis dari tiap proses TI 3. Model maturity untuk membantu dalam benchmarking dan pengambilan keputusan bagi peningkatan kemampuan
Komponen COBIT terdiri dari Executive dari Executive Summary, Framework, Control Objectives, Audit Guidelines, Implemenation Tool Set , Management Guidelines
COBIT memiliki misi melakukan riset, mengembangkan, mempublikasikan, dan mempromosikan makalah-makalah, serta meng-update meng-update tatanan tatanan atau ketentuan TI controls objective yang objective yang dapat diterima umum ( generally accepted control objectives objecti ves)) berikut panduan pelengkap yang dikenal sebagai Audit Guidelines Guidelines yang memungkinkan penerapan framework dan control objectives objectives dapat berjalan mudah. Tatanan atau ketentuan tersebut selanjutnya digunakan oleh para manajer dunia usaha maupun auditor dalam menjalankan profesinya. Sedangkan visi dari COBIT adalah dijadikan COBIT sendiri sebagai satu-satunya model pengurusan dan pengendalian teknologi informasi ( Information ( Information Technology Governance). Governance).
2.2. Struktur dari Fungsi TI 2.2.1.
Centr ali al i zed Data Dat a Pr oces ocessi ng (CDP) (CDP)
Centralized data processing adalah adalah merupakan suatu gambaran tentang pengolahan data, sekelompok unit komputer menjalankan semua proses data yang lebih besar pada sebuah central site yang site yang akan membantu para pemakainya dalam organisasi. Keuntungan dalam penerapan Centralized Data Processing ialah: a) Dari segi biaya, lebih hemat dalam peralatan dan personil, karena peralatan dan personil yang dipakai relatif lebih sedikit. b) Dengan hanya satu pusat atau pangkalan data, konsistensi data dapat lebih terjamin dari duplikasi. c) Dengan adanya satu pangkalan data, langkah-langkah pengamanan data dapat diambil dengan mudah. Dengan kata lain, mudah dalam menegakkan standar dan keamanan. Di sisi lain centralized data processing juga memiliki kekurangan, antara lain: a) Timbulnya kesan bahwa para pemilik data merasa kehilangan hak memiliki data yang diperlukan untuk penyelenggaraan fungsinya
karena apabila data tertentu diperlukannya, ia harus meminta kepada pusat pengolahan data. b) Resiko yang tinggi terhadap pusat atau pangkalan data berdampak pada keberlangsungan aktivitas pada seluruh fungsi di dalam sebuah organisasi.
2.2.2.
Segregation gregation of I ncompatible ncompatible IT F un ctions
2.2.2.1.
Separati ng Syste ystem m Development Development fr om Computer Oper Oper ation
Pemisahan operasional
proses
merupakan
pengembangan hal
yang
sistem
perlu
dan
kegiatan
dilakukan.
Proses
pengembangan sistem harus dapat menentukan hak akses dari setiap user mana yang dapat memasukkan data dan menjalankan program. Bagian operasional harus dapat menjalankan sistem tersebut dan tidak berhubungan langsung selama proses pembuatan sistem. Jika bagian operasional mengetahui logika dasar pemrograman aplikasi komputer yang dijalankannya, maka bagian operasional tersebut dapat mengubah dengan sengaja cara kerja aplikasi selama menjalankan aplikasi tersebut. 2.2.2.2.
Separ par ating D atabas atabase e Admin Admin istration f rom other F un ction
Fungsi dari database administration administration adalah membuat skema database, database, memberikan hak akses database ke user, mengawasi penggunaan database, merencanakan pengembangan dari database itu sendiri.
2.2.2.3.
Separ Separati ati ng N ew Sys Systems tems D evel vel opment fr om M ain tenance
Dalam pengembangan sistem, perusahaan mengatur sistemnya ke dalam 2 kelompok yaitu: System analyst bertugas untuk menentukan desain dari sistem yang baru dengan melakukan pendekatan dengan user yang akan menggunakan sistem yang baru tersebut dengan cara melakukan wawancara atau membagikan kuesioner Tim programming membuat program atau aplikasi yang akan digunakan dalam sistem dengan menggunakan source code code yang sesuai dengan aplikasi yang diinginkan. Selain membuat program. Tim programming juga
harus
melakukan
perbaikan
atau
mainteneance mainteneance secara berkala terhadap aplikasi yang dibuatnya, agar aplikasi tersebut dapat berjalan sebagaimana mestinya. Cara
ini
juga
dapat
menimbulkan
kerugian
dalam
pelaksanaannya di antara lain : a) Inadequate Documentation Proses mendokumentasikan biasanya tidak terlalu diperhatikan oleh programmer , karena hal ini tidak terlalu menarik
perhatian programmer .
Mereka
lebih
senang
mengerjakan proyek baru, daripada untuk membuat sebuah laporan pada saat satu proyek telah selesai Job Security. Security. Ketika dokumen tidak dicatat dengan baik,
maka
akan
susah
untuk
dilakukan
interpretasi,
pengetesan, dan menjalankan program atau aplikasi yang sudah dibuat. Terlebih lagi jika programmer yang sudah membuat program meninggalkan perusahaan, akan menjadi sebuah kesulitan yang sangat besar bagi programmer baru yang menggantikannya untuk menangani program tersebut b) Program Fraud Program Fraud
Ketika programmer yang membuat aplikasi juga melakukan maintenance maintenance terhadap program yang dibuatnya sendiri, maka potensi terjadinya kecurangan akan semakin besar. Programmer besar. Programmer dapat dapat secara sengaja melakukan perubahan hal-hal yang menimbulkan program menjadi error sehingga tidak dapat digunakan. Pada saat proses maintenance, maintenance, programmer dapat dengan bebas mengakses sistem, dan membetulkan source code code yang sebenarnya sengaja dibuat salah pada proses pembuatan
program.
Hal
ini
tentu
sangat
merugikan
perusahaan yang harus mengeluarkan biaya tambahan untuk membayar jasa programmer jasa programmer tersebut. tersebut.
2.2.3.
Di str i buted Data Proces Processi ng (DD P)
Distributed data processing (DDP) merupakan bentuk yang sering digunakan akhir-akhir ini sebagai perkembangan dari time sharing system. system. Bila beberapa sistem komputer yang bebas tersebar yang masing-masing dapat memproses data sendiri dan dihubungkan dengan jaringan telekomunikasi, maka istilah time sharing sudah tidak tepat lagi. DDP dapat didefinisikan sebagai suatu sistem komputer interaktif yang terpencar secara geografis dan dihubungkan dengan jalur telekomunikasi dan seitap komputer mampu memproses data secara mandiri dan mempunyai kemampuan berhubungan dengan komputer lain dalam suatu sistem.
Gambar 2.5 Contoh Distributed Contoh Distributed data Processing Contoh dari distributed data processing adalah komputer yang dirancang untuk tugas-tugas melaksanakan proyek, analisis finansial, penjadwalan waktu w aktu dan akuntansi. Contoh lainnya, pengolahan data pada server yahoo yang tersebar hampir di seluruh dunia secara distribusi, setiap wilayah mempunyai server masing-masing. Seperti di indonesia mempunyai server tersendiri sehingga pengolahan data tidak di pusat melainkan di wilayah masing-masing, dll. Model distributed data processing memiliki beberapa keuntungan, antara lain: a) Pengawasan distribusi dan pengambilan data. Jika beberapa site site yang berbeda dihubungkan, seorang pemakai yang berada pada satu site dapat mengakses data pada site site lain. Contoh: sistem distribusi pada sebuah bank memungkinkan seorang pemakai pada salah satu cabang dapat mengakses data cabang lain.
b) Reliability Reliability dan availability. availability. Sistem distribusi dapat terus menerus berfungsi dalam menghadapi kegagalan dari site site sendiri atau mata rantai komunikasi antar site antar site.. c) Kecepatan pemrosesan query. query. Contoh: jika site-site site-site gagal dalam sebuah sistem terdistribusi, site terdistribusi, site lainnya lainnya dapat melanjutkan operasi jika data telah direplikasi pada beberapa site. d) Otonomi lokal. Pendistribusian sistem mengijinkan sekelompok individu dalam sebuah perusahaan untuk melatih pengawasan lokal melalui
data
mereka
sendiri.
Dengan
kemampuan
ini
dapat
mengurangi ketergantungan pada pusat pemrosesan. e) Efisiensi dan fleksibel. Data dalam sistem distribusi dapat disimpan dekat dengan titik dimana data tersebut dipergunakan. Data dapat secara dinamik bergerak atau disain, atau salinannya dapat dihapus. Di sisi lain distributed data processing juga memiliki kekurangan, antara lain: a) Harga mahal. Hal ini disebabkan sangat sulit untuk membuat sistem database distribusi. database distribusi. b) Kompleksitas. Site-site Site-site beroperasi secara paralel sehingga lebih sulit untuk menjamin kebenaran dan algoritma. Adanya kesalahan mungkin tak dapat diketahui. c) Biaya
pemrosesan
tinggi.
Perubahan
pesan
dan
penambahan
perhitungan dibutuhkan untuk untuk mencapai koordinasi antar site antar site.. d) Redudansi data. Berbagai data diolah di berbagai site, site, hal tersebut dapat menimbulkan adanya data yang berulang atar site site atau redudansi. e) Sulit menjaga keutuhan data. Banyaknya pengaksesan data membuat kurangnya sekuritas terhadap data yang telah terdistribusi. f) Perancangan basis data lebih kompleks. Sebelumnya menjadi keuntungan.
Tetapi
karena
distribusi
menyebabkan
masalah
sinkronisasi dan koordinasi, kontrol terdistribusi menjadi kerugian atau kekurangan di masalah ini.
2.2.4.
Controllin g the DD P Envir onment onment
Distributed data processing memang memiliki banyak keunggulan terlebih untuk struktur organisasi saat ini. Namun diantara keunggulan itu, distributed data processing juga memungkinkan suatu sistem menjadi lebih kompleks, karena banyaknya database database yang tersebar dan jumlah data yang banyak dan terus meningkat didalam suatu organisasi maupun perusahaan. Kompleksitas dari model ini menuntut perusahaan untuk meningkatkan kontrolnya. Kontrol pada tata kelola TI dengan model distributed data processing merupakan tantangan besar sebuah perusahaan, bagaimana aset yang terkait dengan model tersebut, yang menyebar di berbagai area dapat terus dikontrol keberadaan serta terjamin fungsionalitasnya. Perusahaan harus menetapkan beberapa orang diberbagai area distribusi untuk secara rutin mengontrol hal ini.
Center 2.3. Computer Center
2.3.1.
Physical Physical L ocation ocation
Lokasi fisik yang harus diatur agar tidak terjadi kerusakan yg diakibatkan oleh bencana alam ataupun kesalahan yang dilakukan oleh manusia. Contoh: Perusahaan diusahakan mencari atau memilih lokasi tempat yang tepat untuk menghindari terjadi bencana alam seperti gempa bumi atau banjir.
2.3.2.
Construction
Kondisi bangunan tempat dimana komputer atau pusat data harus dalam keadaan bagus dan kokoh agar tidak mudah rubuh dan diusahakan listrik jangan sampai terputus. Supply Supply listrik harus diperhatikan dan bangunan harus selalu dalam keadaan bersih dijauhkan dari debu-debu agar pada saat mengakses data tidak terjadi gangguan pada server pada server .
2.3.3.
Access
Keamanan pada pusat server pusat server harus harus diperketat, dapat dilakukan dengan cara pintu dikunci atau menggunakan kartu pada saat pekerja masuk ruangan agar tidak semua orang bisa masuk kedalam ruangan server ruangan server untuk untuk menjaga keamanan pada penyimpanan data. Dan pada pintu darurat juga diperhatikan, serta ruangan dipasang kamera perekam (CCTV) agar pada setiap kegiatan dapat diketahui dan tidak menimbulkan kasus-kasus yang tidak baik dalam ruangan server.
2.3.4.
Air Conditioning
Suhu pada ruangan server harus diperhatikan harus sesuai dengan kebutuhan komputer karena bisa terjadi error atau pemrosesan yang lamban akibat suhu yang panas. Jadi udara diusahakan agar tetap dingin supaya komputer tidak terganggu pada saat bekerja.
2.3.5.
F ir e Suppr ession
Penyedia layanan penuh terhadap sistem, termasuk pencegahan kebakaran harus terstruktur dengan baik. Contoh: Perusahaan harus bisa memilih penempatan yang tepat untuk meletakkan alat tabung kebakaran atau alarm kebakaran dan melakukan pelatihan jika terjadi musibah kebakaran maka user atau atau pekerja agar mereka tidak panik.
2.3.6.
F ault Tol er ance
Fault tolerance tolerance adalah kemampuan sistem untuk melanjutkan operasinya ketika sebagian dari sistem tersebut gagal karena adanya kegagalan peranti keras, kesalahan dalam program aplikasi, atau kesalahan operator. Cara di mana sistem operasi merespon keras atas kegagalan perangkat lunak. Istilah ini pada dasarnya mengacu pada kemampuan sistem untuk memungkinkan kegagalan atau kerusakan, dan kemampuan ini dapat disediakan oleh perangkat lunak, perangkat keras atau kombinasi keduanya. Untuk menangani kesalahan ini, beberapa sistem komputer diharapkan memiliki dua atau lebih sistem data duplikat. Contoh: Perusahaan sebaiknya membuat sistem bayangan. Jadi membuat data duplikat yang disimpan di tempat lain jika terjadi kesalahan pada data pertama masih memiliki data duplikat. Dan cara kedua dengan menggunakan Unit Power Supply (UPS), agar pada saat supply listrik supply listrik ke server terputus, terputus, terdapat jeda sebelum komputer mati, jadi masih memiliki waktu untuk menyimpan atau menyelamatkan data.
2.3.7.
Au dit Objecti Objecti ves ves
Audit Objective dari IT governance governance khususnya data center adalah untuk memastikan bahwa kontrol-kontrol yang ada terhadap data center tersedia keberadaanya dan berfungsi serta dimaintain di maintain dengan dengan baik.
2.3.8.
Au dit Pr ocedur ocedur es
Rincian untuk memperoleh bukti audit yang cukup tepat dengan melakukan pengecekan ulang atau observasi, apakah sudah sesuai dengan
prosedur sistem audit. Contohnya dengan melakukan pengecekan pada area-area terkait, sebagai berikut: a) Construction Melakukan pengecekan pada bangunan apakah sudah terjamin kokoh dan pemilihan ruangan atau penempatan computer center (yang (yang lebih baik ditempatkan di lantai atas), serta apakah instalasi listrik sudah dipasang dengan baik agar tidak terjadi korsleting atau listrik putus pada saat melakukan proses pada server pada server . b) Access Melakukan pengecekan pada alat tapping kartu, apakah alat tersebut sudah dapat bekerja dengan baik dan tidak terjadi kerusakan, atau keberadaan CCTV yang berfungsi dengan baik. c) Air Conditioning Melakukan pengecekan pada suhu pendingin, apakah sudah sesuai dengan kebutuhan suhu yang dibutuhkan oleh komputer agar tidak terjadi error . d) Fire Suppression Melakukan pengecekan pada tabung alat pemadam kebakaran, apakah tabung masih terisi dan dapat digunakan jika terjadi kebakaran. Dan melakukan pengecekan pada alarm kebakaran, apakah alarm berfungsi dengan baik jika ada tanda-tanda terjadi kebakaran. e) Fault tolerance Melakukan pengecekan pada cara-cara mengatasi toleransi kesalahan, apakah data yang diduplikat sudah terduplikasi dan tersimpan dengan baik pada server yang lainnya. la innya. Dan melakukan pengecekan pada alat UPS apakah baterai pada UPS masih dapat menyimpan energi listrik yang digunakan pada saat terjadi pemadaman listrik. f) Asuransi
Melakukan pendaftaran asuransi pada data server agar agar jika terjadi halhal yang tidak diinginkan, maka tidak terlalu merugikan perusahaan, serta dicek apakah asuransi tersebut diperpanjang tiap tahunnya.
asterr Recov Recove er y Plan ni ng 2.4. Di saste
Menurut
Maiwald-Sieglein
(2002),
suatu
bencana
( disaster ) (disaster
dapat
didefinisikan sebagai kejadian tentang segala peristiwa yang menyebabkan suatu gangguan penting pada kemampuan teknologi informasi. Itu adalah suatu peristiwa yang mengganggu yang proses bisnis normal dan mengakibatkan kerugian keuangan yang dapat diukur. Bencana itu sendiri ada yang berasal dari alam, seperti banjir dan gempa, bencana yang bersumber dari manusia, seperti sabotase atau human error , maupun bencana yang berasal dari sistem itu sendiri, seperti kegagalan drive, drive, kehilangan power kehilangan power , atau crash pada crash pada sistem operasi. Disaster recovery plan adalah plan adalah sebuah proses atau kemampuan dari organisasi untuk menanggapi bencana atau gangguan dalam pelayanan melalui implementasi rencana pemulihan bencana untuk menstabilkan dan memulihkan fungsi kritis organisasi. Rencana ini dibuat untuk membantu mengembalikan proses bisnis dari perusahaan serta mengurangi dampak bila terjadi bencana yang mengakibatkan kerusakan atau kehilangan data elektronik yang mendukung proses bisnis perusahaan. Disaster recovery plan plan terdiri atas tiga perencanaan yaitu perencanaan proteksi, perencanaan pengatasan bencana dan perencanaan pemulihan. Perencanaan proteksi adalah perencanaan yang dibuat untuk mencegah terjadinya bencana. Perencanaan pengatasan bencana adalah perencanaan yang dibuat untuk mengurangi dampak dari bencana terhadap perusahaan. Perencanaan pemulihan adalah perencanaan yang dibuat untuk membantu perusahaan dalam dal am melakukan pemulihan agar proses bisnis dapat berjalan kembali. Spesifikasi dari disaster rocovery plan itu sendiri, terdiri dari tiga aktivitas dasar, yakni: a) Mengidektifikasi aplikasi penting b) Membangun tim penanganan bencana
c) Menyediakan situs back-up cadangan Tujuan audit pada fungsi DRP adalah untuk memverifikasi bahwa rencana pemulihan bencana perusahaan cukup untuk memenuhi kebutuhan perusahaan dan bahwa implementasinya dapat dilakukan serta praktis. Prosedur auditnya, yakni memverifikasi bahwa DRP pihak manajemen adalah solusi yang realistis untuk menangani suatu bencana yang dapat meniadakan sumber daya komputer perusahaan. Berbagai pengujian dilakukan, seperti pengecekan atau observasi terkait keberadaan tim penanganan bencana, daftar aplikasi-aplikasi penting perusahaan, dan back-up software back-up software,, serta data master .
2.4.1.
I denti denti fy Cr Cr iti cal cal Applications
Usaha pemulihan harus terkonsentrasi pada fitur yang sangat penting agar perusahaan dapat bertahan dalam waktu pendek. Pada komponen ini, perusahaan atau organisasi or ganisasi harus menentukan daftar aplikasi penting yang menunjang operasional perusahaan. Dalam hal ini auditor harus juga mengkaji daftar aplikasi penting untuk memastikan bahwa daftar tersebut lengkap.
Aplikasi
yang
terlewat
dapat
mengakibatkan
kegagalan
pemulihan. Akan tetapi, hal yang sama juga berlaku untuk pemulihan aplikasi yang tidak penting. Memasukkan suatu aplikasi ke dalam daftar aplikasi penting padahal tidak terlalu dibutuhkan untuk mencapai tujuan bertahan hidup jangka ja ngka pendek dapat memecah perhatian dari tujuan yang utama selama masa pemulihan.
2.4.2.
Cr eati eati ng a D i saster aster Recove Recoverr y Team
DRP harus dengan jelas mencantumkan nama, alamat, dan nomor telepon darurat para anggota tim pemulihan dari bencana. Auditor harus memverifikasi bahwa para anggota tim adalah karyawan yang masih bekerja dan menyadari tanggung jawab yang diberikan kepada mereka. Para anggota tim haruslah para ahli dalam bidang masing-masing dan memiliki pekerjaan tertentu yang ditugaskan padanya. Setelah terjadinya
bencana, anggota tim akan mendelegasikan berbagai subpekerjaan ke bawahan mereka. Lingkungan yang terbentuk akibat rencana mungkin mengharuskan dilakukannya pelanggaran atas teknik pengendalian, seperti pemisahan pekerjaan, pengendalian akses, dan pengawasan.
Gambar 2.6 Tim Pemulihan Bencana
2.4.3.
Provi din g Second-S Second-Sit it e Backu Backu p
Bahan yang penting dalam sebuah DRP adalah rencana tersebut memungkinkan adanya fasilitas pemrosesan data duplikat setelah terjadi suatu bencana. Di antara berbagai pilihan yang tersedia adalah hot site (pusat operasi pemulihan), cold site (ruang site (ruang kosong), perjanjian silang yang
saling menguntungkan, cadangan yang disediakan secara internal, dan lain-lainnya. Disini, seorang auditor harus mengevaluasi kecukupan pengaturan lokasi cadangan.
2.5. Outsourcing Fungsi Fungsi TI
Dalam iklim persaingan usaha yang semakin ketat, perusahaan berusaha untuk melakukan efisiensi biaya produksi (cost (cost of production). production ). Salah satu solusinya adalah dengan sistem outsourcing , dimana dengan sistem ini perusahaan diharapkan dapat menghemat pengeluaran dalam membiayai sumber daya manusia (SDM) yang bekerja di perusahaan yang bersangkutan. ber sangkutan. Outsourcing atau contracting out adalah pemindahan pekerjaan dari satu perusahaan ke perusahaan lain. IT outsourcing sendiri sendiri tidak berbeda jauh dengan definisi outsourcing secara umum. IT outsourcing adalah penyediaan tenaga ahli yang profesional dibidang teknologi informasi untuk mendukung dan memberikan solusi guna meningkatkan kinerja perusahaan. Salah satu bidang yang menjadi obyek outsourcing pada pada berbagai perusahaan adalah fungsi TI. Bagi perusahaan, fungsi TI merupakan bidang penunjang ( support ( support function) function) untuk mendukung operasional perusahaan yang lebih efektif dan efisien. Sebagai support function function fungsi IT di-outsource di-outsource pada perusahaan outsourcing TI, dengan pertimbangan untuk meningkatkan efisiensi dan agar perusahaan dapat lebih memfokuskan diri pada bidang usaha yang ditekuninya. Melalui outsourcing , perusahaan dapat memfokuskan segenap sumberdaya yang dimilikinya untuk mencapai misi organisasi, sehingga perusahaan mampu memberikan layanan terbaik pada
konsumen.
Selain
itu,
dengan
outsourcing ,
perusahaan
juga
dapat
meningkatkan efisiensinya karena dikerjakan oleh pemberi jasa yang mempunyai spesialisasi pada bidangnya dan perusahaan dapat mengurangi biaya langsung dan biaya overhead pada pada bidang yang di-outsource di- outsource.. Terdapat keuntungan-keuntungan yang dirasakan perusahaan apabila melakukan IT outsourcing , antara lain:
a) Perusahaan dapat fokus pada core business-nya dengan tetap menikmati nilainilai positif dari sistem dan teknologi informasi. b) Teknologi yang maju. IT maju. IT outsourcing memberikan memberikan akses kepada organisasi klien berupa kemajuan teknologi dan pengalaman pengalaman personil. c) Waktu yang digunakan menjadi lebih singkat untuk pengadaan sumber daya TI d) Mengurangi biaya dari pengadaan fungsi TI di perusahaan e) Jasa yang diberikan oleh outsourcer lebih berkualitas dibandingkan dikerjakan sendiri secara internal, karena outsourcer memang memang spesialisasi dan ahli di bidang tersebut.
2.5.1.
Risks I nherent nherent to I T Outsour Outsour cing
Walau demikian penerapan strategi outsourcing fungsi TI bukan berarti tanpa kendala. Ada resiko-resiko yang mungkin terjadi bila perusahaan meng-outsource meng-outsource fungsi fungsi TI-nya, antara lain: a) Performa dari sumber daya IT dapat gagal karena itu semua bergantung pada vendor vendor atau penyedia layanan b) Dapat terjadi ketidakseimbangan biaya dengan manfaat yang dirasakan c) Resiko terhadap keamanan data perusahaan, dimana IT outsource sangat berhubungan dengan data perusahaan d) Rentan
dapat
ditiru
oleh
pesaing
lain
bila
aplikasi
yang
dioutsourcingkan adalah aplikasi strategik e) Kegagalan dalam keselarasan strategi antara perencanaan TI dengan perencanaan bisnis perusahaan secara keseluruhan f) Adanya kecenderungan outsourcer untuk merahasiakan sistem yang digunakan dalam membangun sistem informasi bagi pelanggannya agar jasanya tetap digunakan.
2.5.2.
Audit I mplications mplications of I T Outsourcing Outsourcing
Dalam situasi dimana perusahaan melakukan outsourcing terhadap sumber daya TI yang dimiliki, auditor harus mampu melakukan audit, dimana tujuan audit dan metodologinya tetap sama, outsourcing tidak memperkenalkan unsur-unsur baru tertentu yang perlu dipertimbangkan. Area-area yang berhubungan dengan audit pada IT oursourcing , seperti: software
development ,
application
support
and
maintenance , maintenance,
infrastructure management services. Tujuan dari audit ini sendiri, antara lain: a) Menilai resiko yang terkait dengan outsourcing , seperti ketersediaan kelanjutan dari jasa, tingkat layanan dan keamanan informasi b) Menelaah apakah tujuan dari outsourcing tercapai tercapai c) Menilai strategi TI apakah telah dimodifikasi sehingga sesuai dengan rencana IT rencana IT outsourcing outsourcing Seorang auditor dapat membuat checklist mengenai hal-hal penting selama mengaudit IT mengaudit IT outsourcing, outsourcing, seperti: a) Contract Kebanyakan pengaturan outsourcing diberlakukan diberlakukan setelah proses rinci evaluasi, due diligence diligence dan negosiasi, dengan pertukaran komunikasi antara perusahaan dan penyedia layanan selama periode waktu. Penting bagi kedua belah pihak untuk memiliki memili ki dokumen kontrak yang memiliki kekuatan hukum dan merinci harapan yang disepakati mengenai berbagai aspek pengaturan. Untuk auditor, titik awal yang baik dalam mengaudit adalah dari kontrak outsourcing . Auditor harus membuat pengawasan menyeluruh terhadap kontrak, seperti yang akan dilakukan untuk setiap kontrak komersial besar, dan mengevaluasi semua risiko seperti yang dilakukan dalam pemeriksaan kontrak. b) Statement of work
Informasi penting berikutnya dari sebuah kontrak adalah statement of work atau laporan kerja yang berisi daftar pekerjaan yang harus dilakukan oleh penyedia layanan. Auditor harus memeriksa apakah proyek pekerjaan benar-benar dilakukan oleh penyedia layanan dan sama dengan yang disebutkan dalam kontrak. c) Data security Berbagai tingkat akses ke aplikasi dan sistem harus diberikan kepada personil
penyedia
layanan
untuk
memungkinkan
mereka
melaksanakan pekerjaan. Prosedur yang tepat harus ditentukan untuk menentukan bagaimana akses tersebut diberikan dan dipelihara. Keamanan berkaitan dengan menjaga kerahasiaan, integritas dan ketersediaan informasi. Auditor harus memeriksa apakah kebijakan keamanan dan proses dari penyedia layanan sinkron dengan orangorang dari perusahaan. Auditor harus memeriksa apakah mekanisme telah ditetapkan untuk pemantauan keamanan dan proses yang terkait. Dalam beberapa kasus, tergantung pada sifat dari pekerjaan outsourcing , personil dari penyedia layanan bahkan mungkin diberi akses superuser akses superuser ke ke beberapa sistem. d) Impact on IT strategy IT outsourcing sering dilakukan dalam skala yang cukup besar. Outsourcing perlu dimasukkan ke dalam bisnis dan strategi TI perusahaan. Dalam proses outsourcing , perusahaan tidak boleh melupakan kenyataan bahwa TI berdampak pada bisnis secara signifikan dan bermanfaat bagi perusahaan. Auditor harus melakukan cek dari keseluruhan skenario TI perusahaan setelah outsourcing.
2.6. Audit I T Gove Govern rn ance ance
Meskipun semua masalah tata kelola IT penting bagi organisasi, tidak semua dari masalah tersebut adalah mengenai hal pengendalian internal di bawah SOX yang berpotensi dapat mempengaruhi proses laporan keuangan. Dalam bab ini, kita
mempertimbangkan tiga isu tata kelola TI yang ditangani oleh SOX dan kerangka pengendalian internal COSO. yaitu: yaitu: a) Struktur organisasi fungsi IT b) Pusat Operasi Komputer c) Perencanaan pemulihan bencana Pembahasan pada masing-masing masalah ini, tata kelola dimulai dengan penjelasan tentang sifat risiko dan deskripsi pengendalian yang diperlukan untuk mengurangi risiko tersebut. Kemudian, tujuan audit disajikan, yang menetapkan apa yang perlu diverifikasi mengenai fungsi kontrol di tempat. Akhirnya, contoh tes kontrol
yang
ditawarkan
yang
menggambarkan
bagaimana
auditor
dapat
mengumpulkan bukti untuk memenuhi tujuan audit. Tes ini dapat dilakukan oleh auditor eksternal sebagai bagian dari layanan atestasi mereka atau dengan auditor internal (atau jasa konsultasi profesional) yang menyediakan bukti kepatuhan manajemen dengan SOX. Dalam hal ini , kita tidak membeda-bedakan dua jenis layanan.
Gambar 2.7 Hubungan Komponen Risiko Audit Pada bagan di atas, melalui pengendalian IT governance governance suatu auditor dapat menilai inherent risk dan control risk yang terdapat di dalam suatu perusahaan,
inherent risk merupakan resiko bawaan yang melekat dengan menganggap bahwa suatu perusahaan tidak memiliki pengendalian internal, sedangkan control risk merupakan resiko yang timbul dari kesalahan-kesalahan yang tidak terdeteksi oleh pengendalian internal dan detection risk adalah resiko bahwa auditor tidak mendeteksi salah saji yang terjadi. Ketika auditor menilai pengendalian IT governance suatu governance suatu perusahaan baik maka inherent risk dan dan control risk pada pada suatu IT suatu IT governance perusahaan governance perusahaan rendah, maka detection risk yang yang timbul akan tinggi karena auditor merasa bahwa pengendalian IT pengendalian IT governance perusahaan governance perusahaan tersebut sudah cukup baik sehingga auditor merasa tidak perlu melakukan pemeriksaan pemeriksa an secara detail. Dari segi substantive segi substantive test yang yang timbul juga menunjukan bahwa sampel yang di ambil akan memiliki ruang lingkup yang kecil yang bersifat hanya untuk meyakinkan saja,dan dijalankan oleh auditor yang memiliki pengalaman baru. Sedangkan ketika auditor menilai bahwa pengendalian IT governance suatu governance suatu perusahaan buruk maka inherent dan control risk IT governance tersebut governance tersebut tinggi sehingga detection risk yang yang timbul menjadi rendah karena auditor merasa perlu melakukan pemeriksaan secara lebih mendalam untuk menemukan-menemukan misstatement. Dari segi pengujian substantive substantive juga pengambilan sampel yang dilakukan luas serta dilakukan oleh auditor yang memiliki pengalaman yang cukup tinggi. Penerapan TI dalam organisasi perlu dikontrol karena investasi bidang TI relatif sangat mahal; meliputi biaya pengadaan/implementasi, biaya operasional, dan biaya pemeliharaan bahkan termasuk biaya untuk sistem-sistem sistem-siste m yang tidak ti dak berhasil. Tata kelola TI juga diperlukan karena seringkali anggaran TI tersebar/terisolasi di berbagai satuan kerja organisasi. Selain itu, dampak kegagalan investasi bidang TI (risiko) berpotensi mematikan kelangsungan bisnis. Terdapat gejala-gejala tidak terkontrolnya TI yang dapat diidentifikasi sebagai berikut: a) Manajemen bisnis dan manajemen TI jarang atau tidak t idak saling berkomunikasi b) Pimpinan unit TI tidak memahami kebutuhan bisnis c) Pimpinan unit bisnis tidak memahami potensi inovasi berbasis TI d) Pimpinan unit bisnis tidak memiliki rasa memiliki terhadap inisiatif TI
e) Pengelolaan TI terlalu birokratis dan lambat untuk mengakomodasi kebutuhan bisnis f) Implementasi-implementasi TI sering gagal dalam memenuhi kebutuhan bisnis atau terlambat dalam penyelesaiannya dan melampaui anggaran yang disediakan g) Risiko pemanfaatan TI tidak dipahami atau dikelola secara efektif sebagai bagian dari risiko bisnis h) Kegagalan unit TI organisasi untuk mematuhi ketentuan regulator atau kontrak dengan penggunanya i)
Tolok ukur keberhasilan unit TI dipandang tidak ada artinya bagi unit bisnis pengguna. Kurangnya kontrol terhadap pengelolaan TI dapat diakibatkan oleh
keengganan eksekutif bisnis yang memandang bahwa TI adalah bagian terpisah dari fungsi bisnis, yaitu hanya dianggap sebagai dukungan teknis terhadap proses bisnis; atau dapat pula dianggap terlalu teknis untuk dibahas oleh level eksekutif bisnis. Perlu disadari bahwa pemanfaatan TI akan sulit berhasil tanpa adanya komitmen dari pimpinan bisnis. Lima fokus utama dalam tata kelola TI adala h: a) Strategic Alignment : harmonisasi antara kemampuan TI organisasi dengan tuntutan bisnis organisasi. b) Value Delivery: Delivery: penciptaan solusi TI yang bernilai tambah bagi organisasi. c) Risk Management : pengelolaan risiko penerapan TI sebagai risiko bisnis organisasi. d) Resource Management : pengelolaan aset TI organisasi secara tepat guna. e) Performance Measurement : penyempurnaan layanan melalui pengukuran kinerja layanan TI.
BAB III PEMBAHASAN
3.1 IT Governance Weill dan Ross (2004:2) mendefenisikan IT Governance sebagai keputusan-keputusan yang diambil, yang memastikan adanya alokasi penggunaan TI dalamstrategi-strategi organisasi yang bersangkutan. IT Governance merefleksikan adanya penerapan prinsip-prinsip organisasi dengan memfokuskan pada kegiatan manajemendan penggunaan TI untuk pencapaian organisasi. Deng De ngan an demi de miki kian an,, IT gove govern rnan ance ce pada intinya intinya mencak mencakup up pembu pembuatan atan kepu keputusan tusan,, akunta akuntabili bilitas tas pel pelaaksan sanaan kegia egiata tan n pengguna unaan TI, TI, siap siapaa yang meng engambil mbil keputusa tusan n, dan mema meman naje aje proses ses pemb embuata atandan pen peng gimp implem lementa entasi siaan kepu eputusa tusan n-ke -keputusan san yang ang berk erkait aitan dengan TI. TI. Contoh toh bidang cakupan IT governance sektor publik adalah keputusan pemerintah yangmenentukan siapa yang memiliki wewenang dan tanggungjawab dalam pembuatankeputusan tentang berapa jumlah investasi yang dapat dap at dilakuk dil akukan an pada pad a sektor sek tor publik publ ik Xdenga Xdengan n mem meman anfa faat atka kan n TI. TI. 3.1.2
Tujuan IT Governance
IT Governance bertujuan untuk mengarahkan IT dan memastikan pencapaian kinerja sesuai dengan tujuan yang diinginkan, antara lain : a) IT menjadi searah dengan perusahaan dan manfaat yang dijanjikan dapat terealisasi b) IT memungkinkan perusahaan memanfaatkan peluang dan memaksimalkan keuntungan. c) Sumber daya IT digunakan secara bertanggung jawab d) IT berkaitan erat dengan resiko yang harus diatur dengan baik. 3.1.3 Proses IT Governance Proses IT Governance dimulai dengan menentukan sasaran untuk IT perusahaan, menyediakan petunjuk awal. Setelah itu, perulangan secara berkelanjutan dibentuk; kinerja diukur dan dibandingkan dengan sasaran awal, menghasilkan arahan kembali dari aktivitas yang diperlukan dan perubahan sasaran yang sesuai. Ketika sasaran menjadi tanggung jawab utama dan ukuran kinerja manajemen, itu jelas harus dikembangkan dengan perencanaan yang baik sehingga sasaran dapat terjangkau dan ukuran menggambarkan sasaran dengan tepat 3.1.4 Tata Kelola IT Tata kelola TI suatu perusahaan sangat terkait dengan tanggung jawab dan tindakan pengurus dan manajemen eksekutif (CIOs). Mereka bertanggung jawab terhadap arah strategi perusahaan, memastikan bahwa tujuan perusahaan dapat tercapai dan berbagai sumber daya perusahaan telah dimanfaatkan dengan tepat. Tata kelola TI membutuhkan pengaturan yang tepat untuk memadukan strategi TI dan pemanfaatan sumberdaya TI guna memberikan keuntungan yang kompetitif bagi perusahaan. Sederhananya, tata kelola TI menggunakan prinsip-prinsip tata kelola perusahaan terhadap departemen TI. Menyadari bahwa TI terkait dengan semua aspek bisnis perusahaan, maka tata kelola TI harus dilihat sama nilai pentingnya dengan standar pengelolaan bisnis. Tata kelola TI yang efektif mampu menghasilkan keuntungan-keuntungan bisnis yang nyata misalnya reputasi, kepercayaan, dan pangsa pasara. Hal itu mampu menurunkan resiko manajemen. Perkembangan bisnis yang sangt cepat dewasa ini seringkali membutuhkan pengambilan keputusan yang juga cepat, yang berdasarkan pada data penjualan dan kecenderungan pasar. Keputusan-keputusan itu tidak bisa dibuat jika sistem yang menyediakan data dan
informasi tersebut tidak berjalan baik. Selain itu, karyawan yang sering kali membrowsing situs web yang tidak sesuai dengan tanggungjawab pekerjaannya atau mengirim e-mail yang aneh-aneh misalnya justru dapat secara dramatis berdampak terhadap reputasi perusahaan selama bertahun-tahun. Semakin tinggi kebutuhan (demand) akan informasi tentunya produksi perangkat teknologi informasi juga akan meningkat. Vendor-vendor teknologi berlomba-lomba mengembangkan produknya dengan segala keunggulan teknologi dan harga yang kompetitif. Disisi pengguna baik individu maupun korporasi, tentunya ada hal positif yang dapat diambil dari persaingan vendor diatas, diantaran ya adalah banyak pilihan yang dapat disesuaikan dengan anggaran yang ada. Disisi korporasi, tentunya perubahan yang cepat terhadap teknologi informasi bisa berimpact positif dan negatif. Over investment adalah hal negatif yang dapat terjadi jika korporasi salah dalam menetapkan, menjalankan maupun menjaga strategi bisnisnya sejalan dengan perkembangan teknologi informasi.Impact positif akan didapatkan hanya jika korporasi dapat menetapkan, menjalankan maupun menjaga strategi bisnisnya sejalan dengan perkembangan teknologi informasi.Disinilah muncul terminologi Tata kelola IT (IT Governance) yang banyak dibicarakan oleh korporasi maupun institusi pemerintah. Tata kelola IT (IT Governance) sangat diperlukan diantaranya untuk tetap menjaga investasi, meningkatkan daya saing (memberikan nilai tambah), serta menjaga keberlangsungan bisnis/usaha/pemerintahan. COBIT adalah kerangka tata kelola IT (IT Governace framework) yang banyak dipakai oleh praktisi. 3.1.5
Identifikasi IT Process
Planning : Pada tahap planning ini, kita melakukan identifikasi target ,identifikasi Risk business process, identifikasi dan pemahaman prosedure dan regulasi yang berlaku di organisasi, membuat report target dari tahapan audit methodolgy yang ingin diraih dan langkah terakhir meminta persetujuan report dari management. Discovery : Tahap discovery ini, kita melakukan observasi terhadap metode planning yang telah kita buat dan disetujui oleh management organisasi. Tahapan ini merangkum semua informasi yang dapat diperoleh dari hasil observasi tahapan planning, yang nantinya informasi tersebut berguna untuk tahapan berikutnya. Vulnerability Analysis : Setelah melakukan observasi dan mendapatkan kecukupan informasi yang sesuai dengan tahapan planning, maka tahapan ini lebih berfokus kepada analisa, membandingkan dan melakukan opini kemudian memberikan action kepada tindakan seperlunya. Perbandingan pada tahapan ini dilakukan dengan mengacu kepada standar IT yang berlaku umum [ COBIT / CISA ]. Reporting : Tahapan akhir dari methodology Audit. Report yang dihasilkan setelah melakukan perbaikan terhadap tahapan vulnerability analysis, dan melakukan testing. Hasil perbaikan dari tahapan vulnerability analysis dan hasil testing akan terangkum dalam suatu report.
3.1.6 Good Governance Kunci utama memahami good governance adalah pemahaman atas prinsip-prinsip di dalamnya. Bertolak dari prinsip-prinsip ini akan didapatkan tolak ukur kinerja suatu pemerintahan. Baik-buruknya pemerintahan bisa dinilai bila ia telah bersinggungan dengan semua unsur prinsip-prinsip good governance. Menyadari pentingnya masalah ini, prinsip-prinsip good governance governance diurai satu persatu sebagaimana tertera di bawah ini: 1) Partisipasi Masyarakat Semua warga masyarakat mempunyai suara dalam pengambilan keputusan, baik secara langsung maupun melalui lembaga-lembaga perwakilan sah yang mewakili kepentingan mereka. Partisipasi menyeluruh tersebut dibangun berdasarkan kebebasan berkumpul dan mengungkapkan pendapat, serta kapasitas untuk berpartisipasi secara konstruktif. 2) Tegaknya Supremasi Hukum Kerangka hukum harus adil dan diberlakukan tanpa pandang bulu, termasuk di dalamnya hukum-hukum yang menyangkut hak asasi manusia. 3) Transparansi Tranparansi dibangun atas dasar arus informasi yang bebas. Seluruh proses pemerintahan, lembaga-lembaga dan informasi perlu dapat diakses oleh pihak-pihak yang berkepentingan, dan informasi yang tersedia harus memadai agar dapat dimengerti dan dipantau. 4) Peduli pada Stakeholder Lembaga-lembaga dan seluruh proses pemerintahan harus berusaha melayani semua pihak yang berkepentingan. 5) Berorientasi pada Konsensus Tata pemerintahan yang baik menjembatani kepentingan-kepentingan yang berbeda demi terbangunnya suatu konsensus menyeluruh dalam hal apa yang terbaik bagi kelompok-kelompok masyarakat, dan bila mungkin, konsensus dalam hal kebijakan-kebijakan dan prosedur-prosedur. 6) Kesetaraan Semua warga masyarakat mempunyai kesempatan memperbaiki atau mempertahankan kesejahteraan mereka. 7) Efektifitas dan Efisiensi Proses-proses pemerintahan dan lembaga-lembaga membuahkan hasil sesuai kebutuhan warga masyarakat dan dengan menggunakan sumber-sumber daya yang ada seoptimal mungkin. 8) Akuntabilitas Para pengambil keputusan di pemerintah, sektor swasta dan organisasi-organisasi masyarakat bertanggung jawab baik kepada masyarakat maupun kepada lembagalembaga yang berkepentingan. Bentuk pertanggung jawaban tersebut berbeda satu dengan lainnya tergantung dari jenis organisasi yang bersangkutan. 9) Visi Strategis Para pemimpin dan masyarakat memiliki perspektif yang luas dan jauh ke depan atas tata pemerintahan yang baik dan pembangunan manusia, serta kepekaan akan apa saja yang dibutuhkan untuk mewujudkan perkembangan tersebut. Selain itu mereka juga harus memiliki pemahaman atas kompleksitas kesejarahan, budaya dan sosial yang menjadi dasar bagi perspektif ters ebut. 3.2 COBIT (Control Objective for Information and related Tecnology) 3.2.1 COBIT COBIT adalah suatu metodologi yang memberikan kerangka dasar dalam menciptakan sebuah TI yang sesuai dengan kebutuhan organisasi. Tujuan COBIT adalah
menyediakan model dasar yang memungkinkan pengembangan aturan yang jelas dan praktek yang baik dalam mengontrol informasi dalam suatu organisasi/perusahaan dalam mencapai tujuannya. Control Objectives for Information and related Technology adalah sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen dan pengguna untuk menjembatani gap antara resiko bisnis, kebutuhan control dan permasalahan-permasalahan teknis. COBIT dikembangkan oleh IT Governance Institute, yang merupakan bagian dari Information dari Information Systems Audit and Control Association (ISACA). COBIT memberikan arahan yang berorientasi pada bisnis, dank arena itu diharapkan dapat memanfaatkan guideline ini dengan sebaik-baiknya. COBIT adalah suatu framework untuk membangun suatu IT Governance. Dengan mengacu pada framework COBIT, suatu organisasi diharapkan mampu menerapkan IT governance dalam pencapaian tujuannya IT governance mengintegrasikan cara optimal dari proses perencanaan dan pengorganisasian, pengimplementasian, dukungan serta proses pemantauan kinerja TI. COBIT dapat digunakan sebagai tools yang digunakan untuk mengefektifkan implementasi IT Governance, yakni sebagai management guideline dengan menerapkan seluruh domain yang terdapat dalam COBIT, yakni planning-organization (PO), azquisitionimplementation (AI), Delivery-support (DS) dan Monitoring (M). 3.2.2 Kegunaan COBIT COBIT memiliki fungsi untuk: o Meningkatkan pendekatan/program audit o Mendukung audit kerja dengan arahan audit secara rinci o Memberikan petunjuk untuk IT governance Sebagai penilaian benchmark untuk kendali IS/IT o o Meningkatkan control IS/IT Sebagai standarisasi pendekatan/program audit o
3.2.3 Perusahaan dan IT Governance IT Governance menyediakan suatu stuktur yang berhubungan dengan proses TI, sumberdaya TI dan informasi untuk strategi dan tujuan perusahaan. Cara mengintegrasikan IT Governance dan optimalisasi perusahaan yaitu melalui perencanaan dan pengorganisasian (PO), akuisisi dan implementasi (AI), penyampaian dan dukungan (DS), dan pengawasan (M) kinerja TI. IT Governance merupakan bagian terintegrasi bagi kesuksesan pengaturan perusahaan dengan jaminan efisiensi dan efektivitas perbaikan pengukuran dalam kaitan dengan proses perusahaan. IT perusahaan. IT Governance memungkinkan perusahaan untuk memperoleh keunggulan penuh terhadap informasi, keuntungan yang maksimal, modal, peluang dan keunggulan kompetitif dalam bersaing. Pengaturan perusahaan (enterprise (enterprise governance) governance) dan sistem oleh entitas diarahkan dan dikendalikan, melalui kumpulan dan arahan IT arahan IT Governance. Governance. Pada saat yang sama, TI dapat menyediakan masukan kritis, dan merupakan komponen penting bagi perencanaan strategis. Pada kenyataannya TI dapat mempengaruhi peluang strategis yang ditetapkan oleh perusahaan. Aktivitas perusahaan membutuhkan informasi dari aktivitas TI dengan maksud untuk mempertemukan tujuan bisnis. Jaminan kesuksesan organisasi diakibatkan oleh adanya saling ketergantungan antara perencanaan strategis dan aktivitas TI lainnya.
Kegiatan perusahaan perlu informasi dari kegiatan TI agar dapat mengintegrasikan tujuan bisnis. Siklus pengaturan perusahaan dapat dijelaskan sebagai berikut : pengaturan perusahaan ditentukan oleh praktek terbaik yang secara umum dapat diterima untuk menjamin perusahaan mencapai tujuannya, melalui pengendalian tertentu. Dari tujuan-tujuan ini mengalir arahan organisasi, yang mengatur kegiatan atau aktivitas perusahaan dengan menggunakan sumberdaya perusahaan. Hasil kegiatan atau aktivitas perusahaan diukur dan dilaporkan, memberikan masukan bagi pengendalian, demikian seterusnya, kembali ke awal siklus. Siklus pengaturan TI dapat dijelaskan sebagai berikut : pengaturan TI, di tentukan oleh praktek terbaik yang menjamin informasi perusahaan dan teknologi terkait mendukung tujuan bisnisnya, sumberdaya digunakan dengan tanggung jawab dan resiko diatur secara memadai. Praktek tersebut membentuk dasar arahan kegiatan TI yang dapat dikelompokan kedalam PO, AI, DS dan M, dengan tujuan untuk pengaturan (memperoleh keamanan, keandalan dan pemenuhan) dan mendapat keuntungan (meningkatkan efektivitas, dan efisiensi). Laporan dikeluarkan melalui hasil kegiatan atau aktivitas TI, yang diukur dari praktek dan pengendalian yang bervariasi, demikian seterusnya, kembali ke awal siklus. Agar menjamin manajemen mencapai tujuan bisnisnya, maka harus mengatur dan mengarahkan kegiatan TI dalam mencapai keseimbangan yang efektif antara mengatur resiko dan mendapatkan keuntungan. Untuk melaksanakannya, manajemen perlu mengidentifikasikan kegiatan terpenting. Selain itu, perlu juga kemampuan mengevaluasi tingkat kesiapan organisasi terhadap praktek terbaik dan standar internasional.
BAB 4 PENUTUP 4.1 Simpulan
Dari penulisan ini, dapat disimpulkan : a) Cobit adalah suatu standar audit SI yang diterima secara internasional. b) Audit SI sangat penting untuk mencapai tujuan perusahaan. c) IT sangat dibutuhkan untuk keuntungan kompetitif dan pertumbuhan perusahaan. d) Manajemen bertanggung jawab untuk kontrol IT. e) Tanggung jawab itu memerlukan suatu kerangka Kebutuhan bisnis dapat dinyatakan sebagai kriteria informasi. o IT biasanya diorganisir dalam seperangkat proses. o IT memerlukan sejumlah sumber daya o 4.2 Saran
Untuk audit system informasi dilakukan dengan menggunakan framework COBIT merupakan salah satu alat bantu yang dapat digunakan dalam melakukan audit dan telah mendapat pengakuan cukup baik di dunia internasional. Suatu perencanaan audit system informasi berbasis teknologi (audit TI) oleh internal auditor, dapat dimulai dengan menentukan area-area yang relevan dan beresiko paling tinggi, melalui analisa atas ke-34 proses tersebut. Sementara untuk kebutuhan penugasan tertentu, misalnya audit atas proyek TI, dapat dimulai dengan memilih proses yang relevan dari proses-proses tersebut.
DAFTAR PUSTAKA Alter, Steven. 1999. Information System : A managerial perspective, 3rd edition. Addison. Wesley. USA COBIT - Wikipedia (http://en.wikipedia.org/ http://en.wikipedia.org/))
Gondodiyoto, S. (2007). Audit Sistem Informasi + Pendekatan Pendekatan CobIT. Jakarta: CobIT. Jakarta: Mitra Wacana Media. IT-Governance - scribd (www.scribd.com/doc/80926158/IT-Governance)
McLeod Jr.R. 1996. Sistem Informasi Manajemen, Jilid 1, edisi Bahasa Indonesia. Terjemahan Teguh,H. Prenhallindo, Jakarta.