RESUME AUDIT SISTEM INFORMASI
+erusahaa +erus ahaan n aka akan n men mengor gorban bankan kan ban banyak yak uang ua ng## prod pr odu ukt ktiv ivit itas as dan da n keu eung nggu gula lan n kompetitif dengan tidak mengimplementasikan I" governance.
Auditi Auditing ng adalah adalah proses proses sis sistem temati atis s untuk untuk memperoleh dan mengevauasi bukti secara obje objekt ktif if terk terkai aitt aser asersi si-a -ase sers rsii meng mengen enai ai tind tindak akan an ekon ekonom omii dan dan kejadi ejadian an2 2 untu untuk k memas memasti tika kan n ting tingka katt keses esesua uaia ian n anta antara ra asersi dengan kriteria yang telah dit ditetap etapk kan dan dan meng mengk komuni munik kasik asika an hasilnya kepada pengguna yang terkait.
+ara e +ara eecutiv ecutives es membutu membutuhkan hkan jalan yang lebih baik untuk: o
o
o
Jenis Audit: Intern rnal al audi auditin ting: g: fung fungsi si peni penilai laian an Inte independen dalam sebuah organisasi untuk memeriksa dan mengevaluasi kegiatan2 dalam organisasi Financial Audits perational Audits !ompliance Audits Fraud Audits I" Audits
/engarahka /engara hkan n I" unt untuk uk ke keunt untung ungan an optimal /engukur nilai tambah yang disediakan oleh I" /engelola risiko terkait I"
Komponen IT Governance (COBIT) 0. 1esel ela arasan strat ateg egi# i# I" sela larras dengan kondisi dan jenis bisnis 2. +encapaian nilai# I" mendukung orga gani nis sas asii dan da n mem emak aksi sima malk lkan an keuntungan . +en enge gelo lola laan an su sumb mber er da daya ya## 3u 3umb mber er daya I" digunakan secara bertanggungja,ab 4. /a /ana najem jemen en ris risik iko# o# 5i 5isi sik ko I" dikel dikelola ola dengan baik 6. +en engu guku kura ran n kin kiner erja# ja# tra trans nspa paran ransi si I" dicapai melalui pengukuran kinerja
Audit "I: menyediakan jasa audit di mana proses atau data# atau keduanya# menggunakan teknologi informasi. "unduk pada etika# pedoman# dan o "unduk standar profesi $jika berserti%kat& 'ersama dengan internal# eksternal# o dan audit penipuan (ingkup cakupan audit "I meningkat o )itandai dengan !AA""s o I" govern governanc ance e sebaga sebagaii bagian bagian dari dari o tata kelola perusahaan
in!"#p $roses IT Governance 0. +er erenc encana anaan an 3is 3iste tem m a. Ar Arsi site tekt ktur ur info inform rmas asii b. Ar Arsi site tekt ktur ur apl aplik ikas asii c. Ars Arsite itektu kturr infras infrastru truktu kturr teknol teknologi ogi d. r rgan ganisa isasi si dan man manajem ajemen en e. +endekatan dan roadmap implementasi 2. /an /anaje ajemen men bel belanj anja7i a7inve nvesta stasi si a. 8m 8mur ur eko ekono nomis mis si sist stem em b. 1ete eterse rsedia diaan an ang anggar garan an c. "ing ingkat kat kece kecepat patan an keusa keusanga ngan n sistem sistem d. 9i 9ilai lai st strat rategi egis s "I1 "I1 e. 1ara 1arakteris kteristik tik proy proyek ek $sk $skala# ala# risik risiko& o& f. 8rgensi g. 1et eter erse sedi diaa aan n pe pema maso sok k h. 1ete eterse rsedia diaan an sum sumber ber day daya a i. !a !ap pit ita al bud budge gettin ing g . 5ea eali lisa sas si 3i 3is ste tem# m# yai aitu tu pr pros oses es yan ang g mena me nang nga ani pem pe mil ilih ihan an## pen pe net etap apan an## peng pe ngem emba bang ngan an7a 7aku kuis isis isi# i# sist si stem em "I1# "I 1# serta manajemen proyek "I1
I" *overnance Defnisi +rose +r oses s tat tata-k a-kelo elola la ada adalah lah pr prose oses-p s-pros roses es yang yan g dit dituju ujukan kan unt untuk uk mem memast astika ikan n bah bah,a ,a tuju tu juan an-t -tuj ujua uan n ut utam ama a ta tata ta-k -kel elol ola a da dapa patt tercapai# terkait dengan pencapaian tujuan organisasi# pengelolaan sumber daya# dan manajemen risiko. I" *overnance merupakan bagian integral dari tata kelola organisasi yang terdiri dari kep epem emim impi pina nan n da dan n st stru rukt ktur ur or orga gani nisa sasi si serta proses-proses# yang menjamin I" dari organisasi dapat bertahan dan membantu mencapai tujuan dari organisasi $menurut I"*I&.
0
4.
6. a. b. c. d. e.
a. Identi%kasi dan pemilihan alternatif sistem b. 5ealisasi soft,are aplikasi c. 5ealisasi infrastruktur teknologi d. +engelolaan data +engoperasian 3istem# yaitu proses yang memberikan jaminan tingkat layanan dan keamanan operasi sistem I" a. /anajemen tingkat layanan b. 1eamanan dan keberlangsungan sistem c. /anajemen soft,are aplikasi d. /anajemen infrastruktur teknologi e. /anajemen data f. /anajemen layanan olh pihak ketiga +emeliharaan 3istem +emeliharaan soft,are aplikasi +emeliharaan infrastruktur teknologi +emeliharaan data 3iklus hidup dan likuidasi sumber )aya infrastruktur teknologi
mendukung dan memungkinkan para manager untuk menjembatani jarak $gap& yang ada antara kebutuhan yang dikendalikan $control re>uirement masalah teknis $technical issues& dan resiko bisnis $bussiness risk&. !'I" mempermudah perkembangan peraturan yang jelas $clear policy development& dan praktik baik $good practice& untuk mengendalikan I" dalam organisasi.!'I" menekankan keputusan terhadap peraturan# membantu organisasi untuk meningkatkan nilai yang ingin dicapai dengan penggunaan I"# memungkinkan untuk menyelaraskan dan menyederhanakan penerapan dari kerangka !'I".
Se'ara. !obI" disusun oleh I" *overnance Institute $I"*I& dan Information 3ystem and !ontrol Association $I3A!A&. !'I" muncul pertama kali pada tahun 0??@ yaitu !'I" versi 0 yang menekankan pada bidang audit# !'I" versi 2 pada tahun 0?? yang menekankan pada tahap control# !'I" versi pada tahun 2<<< yang berorientasi kepada manajemen# !'I" versi 4 yang lebih mengarah pada I" *overnance# dan terakir dirilis adalah !'I" versi 6 pada tahun 2<02 yang mengarah pada tata kelola dan menejemen untuk aset-aset perusahaan I".
Me"anisme $roses IT Governance 0. 1ebijakan 8mum# merupakan pernyataan yang akan menjadi arahan dan batasan bagi setiap proses tata kelola 2. /onitoring dan valuasi# untuk memastikan adanya perbaikan berkesinambungan# mekanisme monev akan memberi feedback atas seluruh proses tata kelola %enis&'enis IT Governance Frameor" 0. !ontrol bjectives for Information and related "echnology $!'I"& 2. I" Infrastructure (ibrary $I"I(& . I3 2;<<2 = 2<0
COBIT (Conro* O+'ecives ,or In,ormaion an- Re*aeTec.no*o!/) Defnisi !'I" $!ontrol bjectives for Information and 5elated "echnology& adalah kerangka kerja tata kelola I" $I" *overnance Frame,ork& dan kumpulan perangkat yang
Domain !obI" mende%nisikan aktivitas "I dalam model proses generik yang mencakup empat domain. +lan and rganise $+&. /encakup pembahasan tentang identi%kasi dan strategi investasi "I yang dapat memberikan yang terbaik untuk mendukung pencapaian tujuan bisnis. 3elanjutnya identi%kasi dan visi strategis perlu direncanakan# dikomunikasikan# dan diatur pelaksanaannya. "opics
3trategi dan taktik /erencanakan Bisi rganisasi and 2
Apakah I" ditetapka Apakah pe
infrastruktur
menggunakan secara maksimum diharapkanC sumber dayanyaC )ari orang empat domain ini# !obI" telah di dlm org. Apakah semua mengidenti%kasi 4 proses I" yang secara sudah memahami sasaran I"C umum digunakan. Eampir semua Apakah resiko I" sudah dipahami D perusahaan telah mende%nisikan tanggung diaturC ja,ab plan# build# run# dan monitor I"# dan Apakah mutu sistem I" sudah sesuai hampir semua mempunyai kunci proses dgn kebutuhan yang bisnisC sama# sebagian kecil mempunyai struktur proses yang sama atau Ac>uire and Implement $AI& mengadopsi 4 proses !obI". /erealisasikan strategi "I# perlu diatur 0. +erencanaan dan organisasi $plan and kebutuhan "I# diidenti%kasi# dikembangkan# organie G align& atau diimplementasikan secara terpadu dalam proses bisnis perusahan. a. +0 )e%ne a strategic I" plan. "opics b. +2 )e%ne the information Apakah proyek baruarchitecture. dapat memberikan I" solutions +erubahan dan c. + )etermine solusi terhadap kebutuhan bisnisC technological Apakah proyek barudirection. dapat selesai tepat +emeliharaan +4 )e%ne the I" processes# org and ,aktu dan sesuaid.anggaranC Apakah sistem kerjarelationship yg baru bisa e. +6 /anage the I" investment. diterapkan dgn baikC Apakah perubahan dibuat tdk f. yg +@ !ommunicate mgt aims and direction merepotkan kegiatan bisnis yg berjalanC g. +; /anage I" human resources. )eliver and 3upport $)3& h. + /anage >uality. )omain ini lebih dipusatkan pada ukuran i. +? Assess and manage I" risks. tentang aspek dukungan "I terhadap j. +0< /anage projects. kegiatan operasional bisnis $tingkat jasa layanan "I aktual atau service level& dan 2. +engadaan dan implementasi $ac>uire aspek urutan $prioritas implementasi dan and implement G build& untuk pelatihannya&. a. AI0 Identify automated solutions. "opics b. AI2 Ac>uire and maintain application soft,are. diberikan sesuai (ayanan pengantaranD Apakah layanan I" yg dukungan dgn prioritas bisnisC c. AI Ac>uire and maintain tech infrastr. dioptimalkanC )ukungan proses Apakah biaya I" dapat menggunakan Apakah pekerja mampu penyusunan d. AI4 nable operation and use. +engolahan sistem sistem I" lebih produktif dan amanC e. AI6 +rocure I" resources. Apakah keamanan# integritas dan aplikasi f. AI@ /anage changes. ketersediaan sudah pada tempatnyaC g. AI; Install and accredit solutions and changes. /onitor and valuate $/& . +engantaran dan dukungan $deliver and 3emua proses I" yangperlu dinlai secara support G service& berkala agar kualitas dan dukungan "I a. )30 )e%ne and manage service tercapai# dan kelengkapannya berdasarkan levels. pada syarat kontol internal yang baik. "opics b. )32 /anage third-party services. c. )3 /anage )apatkan I" mendeteksi suatu performance and Penilaian over time, jaminan capacity. permasalahan sebelum semuanya pengiriman d. )34 nsure continuous service. Sistem pengendalian terlambatC )36 nsure Apakah jaminane. kemandirian ygsystems security. manajemen kesalahan Pengukuran pekerjaan f. )3@ Identify and allocate costs. diperlukan dpt memastikan bidang2 g. )3; ducate kritis bisa beroperasi sesuai dgn and yg train users.
h. )3 /anage service desk and incidents. i. )3? /anage the con%guration. j. )30< /anage problems. k. )300 /anage data. l. )302 /anage the physical environment. m. )30 /anage operations. 4. /onitoring dan evaluasi $Gassess& a. /0 /onitor and evaluate I" performance. b. /2 /onitor and evaluate internal control. c. / nsure compliance ,7 eternal re>uirements. d. /4 +rovide I" governance
Man,aa $enerapan COBIT a. /engelola Informasi dengan kualitas yang tinggi untuk mendukung keputusan bisnis. b. /encapai tujuan strategi dan manfaat bisnis melalui pemakaian "I secara efektif dan inovatif. c. /encapai tingkat operasional yang lebih baik dengan aplikasi teknologi yang reliable dan e%sien. d. /engelola resiko terkait "I tingkatan yang dapat diterima.
pada
e. /engoptimalkan biaya dari layanan dan teknologi "I. f.
$rincip*e 01 Meein! Sa"e.o*-er Nee-s2 nterprises have man/ stakeholders# and Hcreating value means dierent Kand sometimes conLictingKthings to each of them. *overnance is about negotiating and deciding amongst dierent stakeholders value interests. governance system should "he consider all stakeholders ,hen making bene%t# resource and risk assessment decisions. For each decision# the follo,ing can and should be asked: Mho receives the bene%tsC Mho bears the riskC Mhat resources are re>uiredC
/endukung kepatuhan pada hukum# peraturan# perjanjian kontrak# dan kebijakan.
4
$rincip*e 31 Coverin! .e Enerprise En-&o&en-2 !'I" 6 addresses the governance and management of information and related technology from an enterprise,ide# end-to-end perspective. "his means that !'I" 6: governance of Integrates enterprise I" into enterprise governance# i.e.# the governance system for enterprise I" proposed by !'I" 6 integrates seamlessly in any governance system because !'I" 6 aligns ,ith the latest vie,s on governance. all functions and !overs processes ,ithin the enterpriseN COBIT 4 -oes no ,oc#s on*/ on .e 5IT but treats ,#ncion6 # information and related technologies as assets that need to be dealt ,ith just like any other asset by everyone in the enterprise.
• •
$rinsip COBIT 0.
2.
.
4.
$rincip*e 71 App*/in! a Sin!*e Ine!rae- Frameor"2 !'I" 6 aligns ,ith the latest relevant other standards and frame,orks used by enterprises: nterprise: !3# !3 5/# I37I! ?<<<# I37I! 0<<< I"-related: I37I! 6<<# I"I(# I37I! 2;<<< series# "*AF# +/'17+5I9!2# !//I tc. "his allo,s the enterprise to use !'I" 6 as the overarching governance and management frame,ork integrator. I3A!A plans a capability to facilitate !'I" user mapping of practices and activities to third-party references.
6.
/emenuhi kebutuhan stakeholder# /enciptakan nilai bagi para stakeholdernya dengan menjaga keseimbangan antara realisasi keuntungan dan optimasi risiko dan penggunaan sumber daya. /elingkupi seluruh perusahaan# mengintegrasikan tata kelola "I perusahaan kedalam tata kelola perusahaan /enerapkan satu kerangka tunggal yang terintegrasi# prinsip ini menyatukan semua pengetahuan yang sebelumnya tersebar dalam berbagai frame,ork I3A!A $!'I"# BA( I"# 5isk I"# '/I3# I"AF# dll& /enggunakan sebuah pendekatan menyeluruh$holistic approach memandang bah,a setiap enabler saling memperngaruhi satu sama lain dan menentukan apakah penerapan !'I" 6 akan berhasil. +emisahan tata kelola dari manajemen# membuat perbedaan yang cukup jelas antara tata kelola dan manajemen. 1edua hal tersebut mencakup brbagai kegiatan yang berbeda# memerlukan struktur organisasi yang berbeda# dan melayani untuk tujuan yang berbeda pula.
COBIT ena+*er 0. 2. . 4. 6. @.
+rinciples# policies and frame,ork +rocesses rganisational structure !ulture# ethic and behavior Information 3ervices# infrastructure and application ;. +eople# skill and competencies
$rincip*e 81 Ena+*in! a 9o*isic Approac. "he vehicles to translate the desired behavior into practical guidance for dayto-day management $rincip*e 41 Separain! ,rom Mana!emen
)ierent activities and dierent responsibilities Interactions bet,een them are facilitated through the nablers
Ke*e+i.an COBIT 0. 2.
Governance
6
fektif dan %sien 'erhubungan dengan informasi yang relevan dan berkenaan dengan proses bisnis# dan sebaik mungkin informasi
dikirim tepat ,aktu# benar# konsisten# dan berguna. . 5ahasia 4. +roteksi terhadap informasi yang sensitif dari akses yang tidak bertanggung ja,ab. 6. Integritas @. 'erhubungan dengan ketepatan dan kelengkapan dari sebuah informasi. ;. 1etersediaan . 'erhubungan dengan tersedianya informasi ketika dibutuhkan oleh proses bisnis sekarang dan masa depan. ?. 1epatuhan 9yata 0<. 'erhubungan dengan penyediaan informasi yang sesuai untuk manajemen.
dalam memudahkan pengelolaan layanan I"# meningkatkan kualitas layanan I"# bahkan sampai membuahkan kepuasan pengguna layanan I". I"I( juga diartikan sebagai best practice dari 3ervice /anagement I" dan menjadi pilihan terpopuler saat ini sebagai frame,ork analyst business seorang7sebuah client untuk de%ning roadmap bisnis dan infrastruktur I" yang konsisten dan komprehensif# agar bisnis perusahaan $business plan7strategy& sejalan dengan I" dan infrastruktur-nya. 3ehingga kedepannya dapat mencapai kualitas dukungan layanan I" yang terkelola. I"I( mencakup delapan kumpulan yaitu:0. 3ervice 3upport# 2. 3ervice )elivery# . +lanning to Implement 3ervice /anagement# 4. I!" Infrastructure /anagement# 6. Application /anagement# @. 'usiness +erspective# ;. 3ecurity /anagement# . 3oft,are Asset /anagement. "iga diantaranya# yaitu Service S#ppor: Service De*iver/: -an Sec#ri/ Mana!emenmerupakan area utama# yang disebut juga I" 3ervice /anagement $I"3/&.
Ke*ema.an COBIT 0.
!'I" hanya memberikan panduan kendali dan tidak memberikan panduan implementasi operasional. )alam memenuhi kebutuhan !'I" dalam lingkungan operasional# maka perlu diadopsi berbagai frame,ork tata kelola operasional seperti I"I( $"he Information "echnology Infrastructure (ibrary& yang merupakan sebuah kerangka pengelolaan layanan "I yang terbagi ke dalam proses dan fungsi. 2. 1erumitan penerapan. Apakah semua control objective dan detailed control objective harus diadopsi# ataukah hanya sebagian sajaC 'agaimana memilihnyaC . !'I" hanya berfokus pada kendali dan pengukuran. 4. !'I" kurang dalam memberikan panduan keamanan namun memberikan ,a,asan umum atas proses "I pada organisasi daripada I"I( misalnya.
+ada dasarnya# kerangka kerja I"I( bertujuan secara kelanjutan meningkatkan e%siensi operasional "I dan kualitas layanan pelanggan. 1erangka kerja yang diberikan belum memberikan panduan pengelolaan "I yang memenuhi kebutuhan ditingkat yang lebih tinggi $high level objective& di perusahaan sepert !'I" yang dibahas sebelumnya.
ISO;IEC 0<<== International rganiation for 3tandardiation disingkat I3 atau Iso& adalah badan penetap standar internasional yang terdiri dari ,akil-,akil dari badan standardisasi nasional setiap negara. +ada a,alnya# singkatan dari nama lembaga tersebut adalah I3# bukan I3. "etapi sekarang lebih sering memakai singkatan I3# karena dalam bahasa Ounani isos berarti sama $e>ual&. +enggunaan ini dapat dilihat pada kata isometrik atau isonomi.
ITI ( In,ormaion Tec.no*o!/ In,rasr#c#re i+rar/) I" Infrastructure (ibrary $I"I(& merupakan sebuah frame,ork yang memberikan panduan $guidance& mengenai pengelolaan I" berbasis layanan yang telah banyak diadopsi oleh berbagai organisasi dan perusahaan diberbagai industri dan sektor. Apabila I"I( diterapkan secara tepat# maka akan memberikan manfaat yang optimal @
)idirikan pada 2 Februari 0?4;# I3 menetapkan standar-standar industrial dan komersial dunia. I3# yang merupakan lembaga nirlaba internasional# pada a,alnya dibentuk untuk membuat dan memperkenalkan standardisasi internasional untuk apa saja. 3tandar yang sudah kita kenal antara lain standar jenis %lm fotogra%# ukuran kartu telepon# kartu A"/ 'ank# ukuran dan ketebalan kertas dan lainnya. )alam menetapkan suatu standar tersebut mereka mengundang ,akil anggotanya dari 0< negara untuk duduk dalam 1omite "eknis $"! 3ub 1omite $3!& dan 1elompok 1erja $M*&.
I3 I! 0;;?? adalah kode praktis pengelolaan keamanan informasi yang dikembangkan oleh "he International rganiation for 3tandardiation $I3& dan "he International lectronical !ommission $I!&. I37I! 0;;?? adalah panduan yang terdiri dari saran dan rekomendasi yang digunakan untuk memastikan keaman informasi perusahaan. I3 I! 0;;?? bertujuan memperkuat tiga elemen dasar keamanan informasi # yaitu: Confdentiality, Integrity, Availability . I3 I! 0;;?? disajikan dalam entuk panduan dan rekomendasi yang terdiri dari @ security objectives dan 02; security controls yang dikelompokkan kedalam 0< domain keamanan informasi. 'erikut 0< domain keamanan informasi I3 I! 0;;??# yaitu Security Policy, Organizational Security, Asset Classifcation And Control, Personel Security, Physical And Environmental Security, Communications And Operation Management, Access Control, Syestem evelopment And Maintenance, !usiness Continuity Management, Compliance"
/eski I3 adalah organisasi nonpemerintah# kemampuannya untuk menetapkan standar yang sering menjadi hukum melalui persetujuan atau standar nasional membuatnya lebih berpengaruh daripada kebanyakan organisasi nonpemerintah lainnya# dan dalam prakteknya I3 menjadi konsorsium dengan hubungan yang kuat dengan pihak-pihak pemerintah.+eserta I3 termasuk satu badan standar nasional dari setiap negara dan perusahaan-perusahaan besar. I3 bekerja sama dengan 1omisi lektroteknik Internasional $I!& yang bertanggung ja,ab terhadap standardisasi peralatan elektronik.
CISA (Certifed Inormation Systems Auditor)
+enerapan I3 di suatu perusahaan berguna untuk : 0. /eningkatkan citra perusahaan 2. /eningkatkan kinerja lingkungan perusahaan . /eningkatkan e%siensi kegiatan 4. /emperbaiki manajemen organisasi dengan menerapkan perencanaan# pelaksanaan# pengukuran dan tindakan perbaikan $plan# do# check# act& 6. /eningkatkan penataan terhadap ketentuan peraturan perundangundangan dalam hal pengelolaan lingkungan @. /engurangi risiko usaha ;. /eningkatkan daya saing . /eningkatkan komunikasi internal dan hubungan baik dengan berbagai pihak yang berkepentingan ?. /endapat kepercayaan dari konsumen7mitra kerja7pemodal
!erti%ed Information 3ystems Auditor $!I3A& adalah serti%kasi profesional audit sistem informasi yang disponsori oleh I3A!A dengan tujuan : •
•
;
/engembangkan dan memelihara instrument testing yang dapat digunakan untuk mengevaluasi kompetensi individu dalam melakukan audit sistem informasi. /enyediakan mekanisme untuk memotivasi sistem informasi auditor untuk memelihara kompetensi dan memonitor kesuksesan maintenance program. /embantu top manajemen dalam membangun fungsi audit sistem informasi dengan menyediakan kriteria untuk seleksi dan pengembangan personel.
3erti%kasi ini dibentuk pada tahun 0?; dan ujiannya untuk pertama kali diadakan pada tahun 0?0.A,alnya ujian !I3A diadakan sekali setahun pada setiap bulan Juni.+ada tahun 2<<6# I3A!A mengumumkan bah,a ujian !I3A diadakan setiap dua kali tiap tahun# pada bulan Juni dan )esember# mulai tahun 2<<6 tersebut.
Area
+rogram !I3A telah menjadi satu-satunya designation yang dikenal secara global untuk audit sistem informasi dan profesional kontrol.!I3A designation mendapat penghargaan tinggi dari pemerintah dan pemilik perusahaan di berbagai industri# bahkan telah menjadi kriteria pekerjaan dan7atau kemajuan dalam organisasi. )engan dikenal sebagai !I3A# akan memberikan nilai profesional dan sejumlah besar keuntungan. +encapaian dari program !I3A mendemonstrasikan keahlian audit sistem informasi serta memberikan tanda dalam melayani sebuah organisasi dengan perbedaan. /ereka yang telah menjadi !I3A bergabung dengan para profesional dunia yang telah mendapatkan profesional designation. )engan audit sistem informasi# kontrol# dan profesi keamanan yang terhubung erat# para praktisi yang berpengalaman telah melihat cara untuk mempromosikan pengetahuan dan keahlian mereka ke dalam dunia bisnis. 3erti%kasi profesional ini memberikan bukti pencapaian pengetahuan dan keahlian profesional tersebut. )engan kata lain# serti%kasi untuk eclusive program ,orld,ide untuk profesional audit I3# kontrol# dan keamanan di bidang mereka adalah !erti%ed Information 3ystems AuditorP $!I3A& designation. 3eperti !erti%ed +rofessional Accountant $!+A& atau !hartered Accountant $!A& designation untuk profesional akuntansi# !I3A designation menunjukkan kemampuan individu dalam mengaplikasikan audit 3I# kontrol# prinsip dan praktik keamanan. 'agi employers ,orld,ide# profesional audit 3I dan kontrol dengan !I3A designation lebih diminati dan seringkali mendapatkan kompensasi yang lebih tinggi. 3ebagai tambahan# pemegang !I3A ini juga tetap perlu berkecimpung dalam profesi mereka dengan mengikuti pendidikan profesional yang berkesinambungan.
COBIT
ITI
Function
/appin g I" proces s
/appin g I" service level manage ment
Area
4 domai n# 4 proces s
? process
Issuer
I3A!A
*!
Implemen tation
Inform ation 3yste m Audit
/engat ur service level
!onsultan t
Accoun ting %rm# I" %rm
I" !onsulti ng %rm
ISO 0<<== Inform ation securit y frame ,ork 0< domai n I3 'A5) /emen uhi aspekaspek securit y standa rd I" !onsul ting %rm# securit y %rm# net,or k consult ant
Genera* Conro* > App*icaion Conro* +ada dasarnya# Audit 3istem Informasi dapat dibedakan menjadi dua kategori# yaitu +engendalian Aplikasi $Application !ontrol& dan +engendalian 8mum $*eneral !ontrol&. "ujuan pengendalian umum lebih menjamin integritas data yang terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas program atau aplikasi yang digunakan untuk melakukan pemrosesan data. 3ementara# tujuan pengendalian aplikasi dimaksudkan untuk memastikan bah,a data di-input secara benar ke dalam aplikasi# diproses secara benar# dan terdapat pengendalian yang memadai atas output yang dihasilkan.
$en!en-a*ian Um#m +engendalian 8mum terdiri dari: 0. +engendalian organisasi dan $manajemen&
$er+an-in!an anar Frameor"
operasi
alat untuk menciptakan kerangka kerja organisasi +) untuk memberi jaminan bah,a sumber-sumber daya organisasi hanya digunakan untuk mencapai tujuan organisasi 'eberapa prinsip pengendalian: +emisahan Fungsi )epartemen +) dengan )epartemen non +) dan dalam )epartemen +) itu sendiri torisasi "ransaksi +engendalian +ersonil +erencanaan# +enganggaran dan 3istem +embebanan kepada +emakai $#ser & 2. +engendalian piranti keras dan lunak untuk mendeteksi kesalahan yang terjadi atau ketidak-beresan peralatan komputer untuk mencegah akses yang tidak ada otorisasinya# baik terhadap data# program atau peralatan komputer untuk menjamin keberlangsungan aktivitas peralatan 'eberapa prinsip pengendalian: +engendalian soft,are: access controlN read7,rite checks# dsb. +engendalian hard,are: %le protection ringN 8+3# dsb.
+engamanan %sik terhadap data 'ackup dan remote site Asuransi terhadap data dan program )isaster recovery planning Audit intern 6. +engendalian dokumentasi /erupakan catatan# laporan# kertas kerja dan hal lain yang menjelaskan mengenai sistem dan prosedur-prosedur untuk melaksanakan pekerjaan pengolahan data )okumentasi biasanya menjelaskan mengenai: sistem dan program bagan alir tata letak $layout& record prosedur pengendalian instruksi pengoperasian sistem contoh dokumen masukan contoh laporan keluaran bagaimana cara kerja sistem dan $program& aplikasi +engelompokkan pengendalian dokumentasi dokumentasi standar dokumentasi sistem dokumentasi program dokumentasi pelaksanaan dokumentasi $untuk& pemakai @. +engendalian pengembangan sistem: a. +engendalian pengembangan sistem baru 'ertujuan untuk menjamin Adanya otorisasi# pengujian# penelaahan# pendoku-mentasian dan persetujuan 'ah,a sistem tersebut diterapkan 3tandar# kebijakan dan prosedur yang ada benar-benar dilaksanakan 'ah,a sistem tersebut auditable 'eberapa jenis pengendalian pengembangan sistem baru: +artisipasi pemakai# manajemen dan auditor +engembangan standar dan pedoman untuk melaksa-nakan koordinasi +engujian sistem dan konversi +enelaahan sistem setelah diaplikasikan
•
•
•
•
•
• • •
• •
•
• • •
•
• • •
•
•
• •
•
• • •
. +engendalian akses agar hanya personil yang sah saja yang dapat mengakses piranti keras# program# dokumentasi program dan %le-%le data untuk memperoleh kepastian bah,a sumber-sumber daya digunakan secara memadai 'eberapa prinsip pengendalian akses: akses ke piranti keras# program# dokumentasi program dan %le-%le data harus dikendalikan kata sandi harus diubah secara berkala program dan %le harus diacak $encrypt& 4. +engendalian data dan prosedural /emberikan kerangka kerja untuk mengendalikan aktivitas +) seharihari /enjaga agar tidak terjadi kesalahan pengolahan data 'eberapa jenis pengendalian data dan prosedur: !ontrol group +engendalian %le dan database $biasanya oleh )'A& +rosedur-prosedur standar •
•
•
• •
•
•
•
•
•
•
•
•
•
•
b. +engendalian pemeliharaan perubahan sistem dan program
• •
•
?
dan
1arena biaya pengembangan dan penerapan sistem mahal# perlu dipelihara +engendalian yang diperlukan sama dengan pengendalian pengembangan sistem baru: Ada otorisasinya 1eterlibatan pemakai# manajemen dan auditor +ersetujuan pemakai Adanya standar dan pedoman
•
•
programmed limit D reasonable tests pengendalian terhadap %le
. +engendalian keluaran /emberikan jaminan bah,a data yang diproses adalah: lengkap o akurat o tepat ,aktu o didistribusikan kepada yg berhak o serta untuk memberikan keyakinan yang memadai bah,a hasil pengolahan adalah cermat o akses terhadap keluaran dibatasi o hanya bagi karya,an yang mendapat otorisasi keluaran disediakan secara tepat o ,aktu bagi karya,an yang mendapat otorisasi Jenis-jenisnya: rekonsiliasi keluaran o penelaahanDpengujian hasil o pengolahan distribusi keluaran o record retention o
• •
• •
$en!en-a*ian Ap*i"asi "ujuan pengendalian aplikasi adalah: 8ntuk memberikan kepastian bah,a pencatatan transaksi# pengklasi%kasian transaksi# pengikhtisaran transaksi dan pemutakhiran master %le akan menghasilkan info yang akurat# lengkap dan tepat ,aktu Agar hasil pemrosesan digunakan sesuai maksudnya Agar aplikasi yang ada dapat berfungsi dengan baik •
•
•
Jenis +engendalian Aplikasi: 0. +engendalian masukan /emberikan jaminan bah,a data yang akan diproses adalah: lengkap ada otorisasinya tidak mengandung kesalahan dalam bentuk yang dapat dibaca komp. diidenti%kasikan ada langkah2 pembuatannya $capturred& diserahkan untuk diproses Jenis-jenisnya: otorisasi dan validasi masukan pengendalian konversi data pengendalian transmisi data penanganan kesalahan
Ke*ompo" $e!aai /an! Ter*i+a -a*am $en!en-a*ian Ap*i"asi
•
8ser dan pembuat data asal kualitas data input dan → agar informasi output dapat diandalkan +erancang sistem • jaringan kontrol yang →agar diimplementasikan tsb benar-benar )+ !ontrol *roup • →sbg %lter pra D pasca pengolahan +ersonil operasi pengolahan data • menjamin pelaksanaan →untuk pengolahan data sesuai prosedur yang berlaku Internal auditor • 2 →untuk mereviu pekerjaan dlm I-+- data
•
•
• •
• •
•
• • • •
2. +engendalian pengolahan /emberikan jaminan bah,a pemrosesan data di dalam sistem akan lengkap# akurat dan dapat mencegah7mende-teksi kesalahankesalahan seperti: gagal7salah memproses data masukan %le yang diproses salah masukan yg diproses tak logis7,ajar ada data yg hilang7terdistorsi Jenis-jenisnya: dg mempertahankan akurasi data
Te"ni" A#-i Ber+an#an Komp#er (TABK)7 Computer Assisted Audit Techniques (CAAT )
•
• •
+engertian "A'1
•
•
•
0<
/elakukan menggunakan
audit bantuan
dengan komputer
dan program-program untuk membantu audit
komputer
0. *eneralied audit soft,are7*A3 $+rogram +emeriksaan 8mum& a. /erupakan soft,are khusus yang dirancang untuk membantu kegiatan audit b. 8mumnya digunakan untuk pengujian substantif# namun dapat juga untuk pengujian ketaatan c. /udah digunakan# dan relatif murah harganya. "ujuan: a. mengakses data dan informasi yang hanya dapat dibaca oleh program komputer b. /enangani data yang banyak secara efektif c. /eningkatkan e%siensi dalam pengujian substantif d. /engurangi ketergantungan auditor terhadap staf )+ dari auditan e. /eningkatkan pemahaman auditor terhadap sistem informasi +) dari auditan f. /eningkatkan kualitas pekerjaaan audit Fungsi7tugas *A3 a. /embuat %le untuk auditor b. /encari dan membuka record c. /enjumlahkan dan melakukan operasi matematis lainnya d. /embuat ikhtisar e. /emilih sample f. /enyortir g. /enggabungkan# membandingkan mengupdate h. /encetak i. /elakukan fungsi statistik 1ebaikan *A3 a. 8ser friendly b. /enghemat ,aktu c. )apat mengakses berbagai record d. )apat meningkatkan keandalan audit e. Auditor memegang kendali sepenuhnya atas soft,are *A3 f. +emeriksaan menjadi praktis dan feasible 1elemahan *A3 a. 'elum tentu dapat digunakan pada semua jenis hard,are b. "idak seluruh pekerjaan audit dapat dicakup oleh *A3 c. )alam hal tertentu *A3 menjadi mahal d. 1egunaannya terbatas
Man,aa TABK )apat mengakses data yang hanya dapat dibaca dengan bahasa mesin /emudahkan meringkas# mengelompokkan dan mengolah data /emudahkan menelaah data untuk menemukan pengecualian7kejanggalan /enguji hasil perkalian dan penjumlaan /elaksanakan sampling statistik dari populasi yang ada /emilih dan mencetak kon%rmasi /embandingkan data yang sama dari dua sumber yang berbeda /emudahkan penelaahan analitis melalui identi%kasi Luktuasi yang tidak biasa /enguji perincian transaksi dan saldo# baik secara sensus maupun sampling /enguji pengendalian umum dan pengendalian aplikasi /engakses %le dari format yang berbeda-beda /engkompilasi %le /embuat laporan /elakukan operasi lojik# seperti A9)# 5#Q#R#S#IF dan sebagainya. •
•
•
•
•
• •
•
•
•
•
• • •
an!"a.&*an!"a. Men!!#na"an TABK /enetapkan tujuan penerapan "A'1 /enentukan isi dan dapat tidaknya suatu %le untuk diakses /ende%nisikan tipe transaksi /ende%nisikan prosedur yang harus dilaksanakan terhadap data /ende%nisikan persyaratan keluaran /ende%nisikan staf audit dan komputer yang dapat berpartisipasi dalam perancangan dan penerapan "A'1 /emperhalus taksiran biaya dan manfaat /enjamin bah,a penggunaan "A'1 dikendalikan dan didokumentasikan semestinya /engatur aktivitas administrasi# termasuk ketrampilan dan fasilitas komputer yang diperlukan /elaksanakan aplikasi "A'1 /engevaluasi hasil • •
• •
• •
•
•
•
• •
%enis&'enis So,are #n#" A#-iin! 00
e. Eanya bisa membaca live data
5+ $Enterprise %esource Planning& atau dalam bahasa Indonesia sering disebut dengan +erencanaan 3umberdaya +erusahaan adalah struktur sistem informasi yang digunakan untuk mengintegrasikan proses bisnis dalam perusahaan manufaktur7jasa yang meliputi operasional dan distribusi produk yang dihasilkan0<. "ujuan dari implementasi 5+ adalah menyatukan semua divisi yang ada dalam perusahaan menjadi satu sistem yang dapat dikendalikan secara terpusat. 5+ lebih ditujukan pada sistem backoTce# dimana sistem 5+ tidak bersentuhan secara langsung dengan konsumen.
2. Integrated "est Facility Fasilitas pengujian yang dirancang secara built$in pada $menjadi satu dengan& sistem +) yang diaudit# baik fasilitas hard,are maupun soft,are-nya "ujuannya: 8ntuk mengetahui keakuratan pengolahan data yang tidak meninggalkan jejak audit sama sekali sehingga tidak dapat ditelusuri oleh auditor . +arallel 3imulation 3oft,are "eknik audit yg membandingkan pengolahan data yg dilakukan oleh 2 program $milik auditor dan auditan& dg input yg sama $baik real data atau dummy data& untuk memperoleh keyakinan bah,a kedua program tersebut menghasilkan keluaran yg sama $identik&
*ambaran 5+ adalah sebagai berikut: o
o
4. mbedded Audit /odules +rogram !ode !omparison 6. /icrosoft cel @. /icrosoft Access ;. A!( . I)A
o
o
o
Enerprise Reso#rce $*annin! (ER$) o
+roses bisnis dalam perusahaan harus berjalan dengan efektif# untuk menunjang kebutuhan perusahaan akan persaingan yang semakin ketat. Implementasi I" dapat mendukung hal ini. 9amun# implementasi I" yang tidak tepat akan menambah beban perusahaan. leh karena itu# implementasi I" sebaiknya dirancang sedemikian rupa untuk menciptakan sistem yang sesuai dengan kebutuhan perusahaan dan dapat meningkatkan efekti%tas proses bisnis yang berjalan. 3alah satu implementasi I" yang banyak digunakan dan terbukti dapat meningkatkan efektivitas perusahaan adalah 5+. 'erikut ini akan dibahas pengertian 5+# keuntungan dan kerugian 5+# serta implementasi 5+ di perusahaan di Indonesia.
o
o
3istem 5+ adalah suatu paket perangkat lunak yang didesain untuk lingkungan pelanggan pengguna server# apakah itu secara tradisional atau berbasis jaringan. 3istem 5+ memadukan sebagian besar dari proses bisnis. 3istem 5+ memproses sebagian besar dari transaksi perusahaan. 3istem 5+ menggunakan database perusahaan yang secara tipikal menyimpan setiap data sekali saja. 3istem 5+ memungkinkan mengakses data secara ,aktu nyata $real time&. )alam beberapa hal sistem 5+ memungkinkan perpaduan proses transaksi dan kegiatan perencanaan. 3istem 5+ menunjang sistem multi mata uang dan bahasa# yang sangat diperlukan oleh perusahaan multinasional. 3istem 5+ memungkinkan penyesuaian untuk kebutuhan khusus perusahaan tanpa melakukan pemrograman kembali.
+ada umumnya# 5+ dibangun sebagai sistem berbasis modul yang menangani proses manufaktur# logistik# distribusi# inventori# invoice# akuntasi perusahaan dan lain sebagainya. )ari modul-modul tersebut# maka aktivitas penjualan# pengiriman# produksi# manajemen persediaan# manajemen kualitas dan sumber daya manusia dapat dikontrol dengan baik dan informasi yang
$en!erian ER$
02
berhubungan dengan aktivitas dapat diperoleh dengan cepat.
tersebut
perusahaan yang lain# atau perbaikan proses bisnis dalam perusahaan cukup untuk meningkatkan e%siensi dan efektivitas.
5+ dibagi menjadi tiga modul utama# yaitu modul operasi# modul %nancial dan akuntansi# dan modul sumber daya manusia. 1etiga modul ini berjalan secara terpisah# sehingga perusahaan tidak harus mengimplementasikan ketiganya secara langsung. 9amun# ketiga modul tersebut berhubungan langsung dengan satu database terpusat. /isalnya ketika bagian penjualan menerima pesanan dari konsumen# bagian gudang langsung mengetahui dan mempersiapkan pesanan tersebut. 1emudian bagian akuntansi dapat melihat apakah barang pesanan sudah dikirim atau belum# sehingga ia dapat mempersiapkan tagihan untuk konsumen. 3istem yang seperti ini akan menghemat banyak resource perusahaan# seperti ,aktu# biaya dan tenaga kerja. 3emua orang dalam sistem melihat data yang sama dan akan memperoleh informasi terbaru dari semua divisi dalam perusahaan. )alam meningkatkan daya saingnya# lebih dari @
Agar sebuah perusahaan dapat menerapkan konsep 5+ dengan baik# setiap aspek dari organisasi# manusia# informasi# dan teknologi harus dipersiapkan dengan baik. )engan demikian penerapan tata kelola perusahaan yang baik dapat diimplementasikan pada industri sehingga dapat meningkatkan daya saing di pasar. 'erikut akan dibahas beberapa komponen yang mempengaruhi implementasi 5+.
a1 $i.a" Mana'emen -an "ar/aan )ukungan dari pihak manajemen merupakan faktor utama kesuksesan implementasi I" dalam perusahaan. +ara eksekutif perusahaan harus memiliki pengertian bah,a I" adalah membutuhkan strategi pengembangan yang dinamis dan berkesinambungan# I" harus berjalan seiring dengan proses bisnis perusahaan# selain itu pihak eksekutif harus memba,a !I ke jalan yang sama dengan jalannya perusahaan;. 3elain itu# karya,an juga memegang peranan yang penting dalam keberhasilan implementasi 5+. 3ebaiknya# sebelum implementasi dijalankan# karya,an dipersiapkan untuk perubahan Hbesar yang akan terjadi# bila perlu karya,an diikut sertakan dalam tahap analisis proses bisnis# sehingga terbangun rasa memiliki yang kuat terhadap sistem baru. )engan demikian# ketika implementasi benar-benar dijalankan# karya,an telah siap dan memiliki kemauan untuk belajar dan mendukung keberhasilan 5+ tersebut. 5+ tidak selalu identik dengan perampingan karya,an. +emikiran ini yang dapat menyebabkan karya,an antipasti terhadap perubahan ke sistem 5+# karena merasa posisinya terancam dengan kemudahan yang dita,arkan 5+.
Implementasi 5+ membutuhkan persiapan yang matang# karena kesalahan implementasi akan mengakibatkan kerugian yang tidak sedikit. "ahap paling a,al dari implementasi 5+ adalah membangun bisnis proses yang baik. "anpa bisnis proses yang baik# semua sistem informasi berbasis komputer dengan teknik apapun tidak akan mampu meningkatkan e%siensi dan efektivitas perusahaan tersebut. 3elain itu# kesiapan karya,an akan perubahan sistem merupakan salah satu hal yang harus diperhitungkan. 5ancangan 5+ yang sempurna tidak akan membantu jika tidak dijalankan dengan baik. Oang harus diingat adalah tidak semua perusahaan membutuhkan 5+ dalam sistemnya. 1arena proses bisnis setiap perusahaan bersifat unik# sehingga 5+ dalam satu perusahaan belum tentu dapat digunakan pada sistem di
+1 Bisnis proses 8ntuk membangun sistem 5+# bisnis proses harus disusun dengan jelas dan tepat. "anpa proses bisnis yang benar# sistem apapun yang diterapkan tidak akan mampu memperbaiki keadaan perusahaan. )alam membangun sistem 5+# sebaiknya batasan sistem yang akan dibangun jelas# 0
sehingga implementasi berkembang ke hal-hal diperlukan.
5+ yang
tidak tidak
1euntungan diatas adalah keuntungan yang dapat dirasakan namun tidak dapat diukur. 1eberhasilan implementasi 5+ dapat dilihat dengan mengukur tingkat %eturn on Investment $5I dan komponen lainnya# seperti: +engurangan lead-time +eningkatan kontrol keuangan +enurunan inventori +enurunan tenaga kerja secara total +eningkatan service level +eningkatan sales +eningkatan kepuasan dan loyalitas konsumen +eningkatan market share perusahaan +engiriman tepat ,aktu 1inerja pemasok yang lebih baik +eningkatan Leksibilitas +engurangan biaya-biaya +enggunaan sumber daya yang lebih baik +eningkatan akurasi informasi dan kemampuan pembuatan keputusan.
c1 ?en-or Bendor adalah perusahaan yang menyediakan paket sistem 5+ yang akan diimplementasikan di perusahaan. 3elain menyediakan soft,are dan hard,are# vendor juga harus memberikan pelatihan pada karya,an perusahaan yang menggunakan jasanya# agar karya,an terbiasa dengan sistem I" yang baru# dan memastikan sistem yang baru ini berjalan sesuai dengan permintaan perusahaan dan sesuai dengan proses bisnisnya. Bendor yang baik memiliki respon yang cepat terhadap masalah yang dihadapi perusahaan maupun error yang terjadi pada sistem. 3ebelum menentukan vendor mana yang akan digunakan# sebaiknya perusahaan benar-benar menyelidiki latar belakang dan pro%l dari vendor tersebut. Eal ini perlu dilakukan karena kerja sama ini biasanya dilakukan dalam jangka panjang# dan jika perusahaan salah memilih vendor# akan merugikan bagi perusahaan itu sendiri.
• • • • • • •
•
• • • • •
•
1erugian yang mungkin terjadi ketika salah menerapkan 5+ antara lain adalah: 3trategi operasi tidak sejalan dengan business process design dan pengembangannya Maktu dan biaya implementasi yang melebihi anggaran 1arya,an tidak siap untuk menerima dan beroperasi dengan sistem yang baru +ersiapan implementation tidak dilakukan dengan baik 'erkurangnya Leksibilitas sistem setelah menerapkan 5+ •
Ke#n#n!an -an Ker#!ian ER$
•
•
1euntungan dari implementasi 5+ antara lain002
•
- Integrasi data keuangan leh karena semua data disimpan secara terpusat# maka para eksekutif perusahaan memperoleh data yang upto-date dan dapat mengatur keuangan perusahaan dengan lebih baik. - 3tandarisasi +roses perasi 5+ menerapkan sistem yang standar# dimana semua divisi akan menggunakan sistem dengan cara yang sama. )engan demikian# operasional perusahaan akan berjalan dengan lebih e%sien dan efektif. - 3tandarisasi )ata dan Informasi )atabase terpusat yang diterapkan pada 5+# membentuk data yang standar# sehingga informasi dapat diperoleh dengan mudah dan Leksibel untuk semua divisi yang ada dalam perusahaan.
•
1erugian diatas dapat terjadi ketika: 1urangnya komitmen top management# sehingga tim I" kurang mendapat dukungan pada rancangan sistemnya. Eal ini bisa muncul karena ketakutan tertentu# seperti ka,atir data bocor ke pihak luar. 3elain itu# anggapan bah,a implementasi 5+ adalah milik orang I" juga dapat membuat kurangnya rasa memiliki dari top management dan karya,an divisi lain. +adahal# implementasi 5+ sebenarnya adalah suatu proyek bisnis# dimana I" hadir untuk membantunya. pende%nisian kebutuhan 1urangnya perusahaan# sehingga hasil analisis strategi bisnis perusahaan tidak sejalan 04
dengan kenyataan di lapangan. +erusahaan sebaiknya menentukan dari a,al# apakah perusahaan akan mengikuti standar 5+ atau sebaliknya. 1esalahan proses seleksi soft,are# karena penyelidikan soft,are yang tidak lengkap atau terburu-buru memutuskan. Eal ini bisa berakibat pada membengkaknya ,aktu dan biaya yang dibutuhkan. "idak cocoknya soft,are dengan business process perusahaan. 1urangnya sumber daya# seperti manusia# infrastruktur dan modal perusahaan. "erbentuknya budaya organisasi yang berada dalam ona nyaman dan tidak mau berubah atau merasa terancam dengan keberadaan soft,are $takut tidak dipekerjakan lagi&.
06
1urangnya training dan pembelajaran untuk karya,an# sehingga karya,an tidak benar-benar siap menghadapi perubahan sistem# dimana semua karya,an harus siap untuk selalu menyediakan data yang up$to$date. 1urangnya komunikasi antar personel. !acatnya project design dan management. 3aran penghematan yang menyesatkan dari orang yang tidak tepat. 1eahlian vendor yang tidak sesuai dengan kebutuhan perusahaan. Faktor teknis lainnya# seperti bahasa# kebiasaan dokumentasi cetak menjadi %le# dan lain sebagainya.