ANGGOTA KELOMPOK

BINA SARANA INFORMATIKA (AMIK)
KOMPUTER AKUNTANSI
ANGGOTA KELOMPOK EPTIK

BAMBANG AGUS SETIAWAN
11101797
11.5B.07














SILVIA DWI WAHYUNI
11101495
11.5B.07











MARCELLYNO DONOVAN
11101586
11.5B.07

ACHMAD TAUFIK

11101493

11.5B.07

AUDIT IT

AUDITING TEKNOLOGI INFORMASI

Filed Under: Umum

            Auditing Teknologi Informasi muncul seiring dengan pesatnya teknologi informasi. Dimana peranan komputer dalam proses auditing sangat penting, mulai dari input, proses, dan output telah banyak yang menggunakan komputer atau sudah tidak manual lagi.

Gore dan Stubbe (1979) tahap awal pengolahan data dilakukan melalui sistem manual dengan menggunakan pena atau tinta, selanjutnya pengolahan data dilakukan secara mekanik dengan alat bantu semacam kalkulator dan register kas, tahap berikutnya adalah sistem pengolahan data secara elektro mekanis dengan menggunakan listrik pada berbagai macam mesin penghitungan dan mesin pembukuan termasuk mesin-mesin pelubang kartu, tahap terakhir adalah sistem pengolahan data secara elektronik dengan bantuan komputer. Tahap terakhir inilah yang sering disebut dengan Pengolahan Data Elektronik (PDE) atau Electronic Data Processing (EDP).

Auditing teknologi informasi digunakan umumnya untuk menjelaskan perbedaan dua jenis aktivitas yang terkait dengan komputer. Seperti untuk menjelaskan proses mengkaji ulang dan mengevaluasi pengendalian internal dalam sebuah sistem pemprosesan data elektronik.

Ada Tiga Pendekatan Auditing

1. Auditing Around Computer (Audit Sekitar Komputer) yaitu dimana penggunaan komputer pada tahap proses diabaikan.
2. Auditing Throught Computer (Auditing Melalui Komputer) yaitu dimana pada tahap proses penggunaan komputer telah aktif.
3. Auditing With Computer (Auditing Dengan Komputer) yaitu dimana input, proses dan output telah menggunakan komputer.

I.     Konsep-konsep auditing PDE

PDE sebagai serangkaian kegiatan dengan menggunakan komputer untuk mengubah informasi yang masih mentah (data) menjadi informasi yang berguna yang sesuai dengan tujuannya. Rangkaian kegiatan pengolahan data tersebut terdiri dari lima bagian yaitu: inputting, storing, processing, outputting, dan controlling.

Berikut adalah konsep-konsep auditing PDE :

1. Evidence
2. Due Audit Care
3. Fair Presentation
4. Independence, dan
5. Ethical Conduct

II.     Teknologi PDE auditing

Auditing PDE sebagai audit terhadap informasi yang dihasilkan dari lingkungan yang terkomputerisasi. Auditor system informasi yang terlatih menerapkan teknik audit dengan bantuan komputer, disebut juga dengan CAAT (Computer Aided Auditing Technique). Teknik ini digunakan untuk menganalisa data, contoh data transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain. Sesuai dengan standar auditing ISACA (Information Systems Audit and Control Association), selain melakukan pekerjaan lapangan, auditor juga harus menyusun laporan yang mencakup tujuan pemeriksaan, sifat dan kedalaman pemeriksaan yang dilakukan.

III.     Jenis-jenis PDE auditing

1.      Systems and Applications

            Pemrosesan data melalui aplikasi perangkat lunak komputer yang dikelola melalui suatu system.Sehingga proses auditnya sendiri akan meliputi verifikasi terhadap system untuk memastikan kebenaran, kehandalan, kecepatan maupun keamanan pada saat pengiriman, pemrosesan serta pengeluaran informasi di setiap tingkatan kegiatan sistem.

2.      Information Processing Facilities

            Merupakan komponen yang terkait dengan fasilitas-fasilitas yang digunakan untuk mengolah informasi di suatu organisasi. Biasanya ini terkait dengan perangkat keras seperti misalkan scanner, komputer server, formulir, dsb.

3.      Systems Development

            Adalah bagian dari proses pembangunan maupun pengembangan dari sistem yang sudah ada dalam suatu organisasi sesuai tujuan-tujuan aktivitasnya.

4.      Management of IT and Enterprise Architecture

      Pengelolaan atas teknologi informasi serta arsitektur seluruh lingkup internal organisasi yang disesuaikan dengan struktur dan prosedur yang ditetapkan oleh manajemen Hal tersebut memerlukan proses audit yang dilaksanakan untuk memastikan apakah segenap lingkungan/komponen organisasi dalam pemrosesan informasinya dilakukan secara terkendali dan efisien.

5.      Client/Server, Telecommunications, Intranets, and Extranets

            Komputer, peralatan telekomunikasi, sistem jaringan komunikasi data elektronik (intranet/extranet) serta perangkat-perangkat keras pengolahan data elektronik lainnya adalah komponen dari sebuah teknologi informasi..

Tujuan Audit Sistem Informasi

      Ada 4 tujuan Audit Sistem Informasi, yaitu

• Mengamankan Asset
  Aset (aktiva) yang berhubungan dengan instalasi sistem informasi mencakup: perangkat keras (hardware), perangkat lunak (software), manusia (people), file data, dokumentasi sistem, dan peralatan pendukung lainnya.
• Menjaga Integritas Data
  Integritas data berarti data memiliki atribut:
  kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian.
  Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan potret dirinya dengan benar atau kejadian yang ada tidak terungkap seperti apa adanya.
1. Keputusan maupun langkah-langkah penting di organisasi salah sasaran karena tidak didukung dengan data yang benar.
2. Perlu pengorbanan biaya.
3. Oleh karena itu, upaya untuk menjaga integritas data, dengan konsekuensi akan ada biaya prosedur pengendalian yang dikeluarkan harus sepadan dengan manfaat yang diharapkan.
   
   
• Menjaga Efektifitas Sistem
   Sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya.
1. perlu upaya untuk mengetahui kebutuhan pengguna sistem tersebut (user)
2. apakah sistem menghasilkan laporan atau informasi yang bermanfaat bagi user (misal pengambil keputusan)
3. auditor perlu mengetahui karakteristik user berikut proses pengambilan keputusannya

Biasanya audit efektivitas sistem dilakukan setelah suatu sistem berjalan beberapa waktu.Manajemen dapat meminta auditor untuk melakukan post audit guna menentukan sejauh mana sistem telah mencapai tujuan.
Evaluasi ini akan memberikan masukan bagi pengambil keputusan apakah kinerja sistem layak dipertahankan; harus ditingkatkan atau perlu dimodifikasi; atau sistem sudah usang, sehingga harus ditinggalkan dan dicari penggantinya

• Efisiensi Sumber Daya
  Dikatakan efisien jika ia menggunakan sumberdaya seminimal mungkin untuk menghasilkan output yang dibutuhkan. Pada kenyataannya, sistem informasi menggunakan berbagai sumberdaya, seperti mesin, dan segala perlengkapannya, perangkat lunak, sarana komunikasi dan tenaga kerja yang mengoperasikan sistem tersebut.

Pentingnya  Audit Teknologi  Informasi

IT Audit atau audit teknologi informasi adalah suatu proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sebuah sistem komputer telah dirancang untuk menjaga integritas data, menjaga aset, memungkinkan tercapainya tujuan organisasi dapat secara efektif dan penggunaan sumber daya secara efisien. Audit TI juga dikenal sebagai audit pengolahan dataotomatis dan audit komputer.

Manajemen menggunakan sistem informasi untuk mencapai tujuan dan harapan atas investasi besar yang telah dilakukan. Alasan untuk menerapkan Teknologi Informasi dan Komunikasi dalam organisasi adalah untuk mendapatkan nilai bisnis melalui pengurangan biaya, efektivitas yang lebih besar, peningkatan efisiensi ditingkatkan dan meningkatkan kualitas layanan. Biasanya, tujuan manajemen dan tujuan dalam memanfaatkan teknologi untuk mendukung proses bisnis meliputi: kerahasiaan, integritas, ketersediaan, keandalan dan kepatuhan terhadap persyaratan hukum dan peraturan.

Kerahasiaan
Kerahasiaan menyangkut perlindungan terhadap informasi-informasi penting dari kemungkinan kebocoran. Perhatian dan pertimbangan harus dilakukan terhadap level pentingnya suatu data, karena ini akan menentukan bagaimana kontrol ketat atas akses data yang seharusnya. Manajemen perlu jaminan kemampuan organisasi untuk menjaga informasi rahasia, karena kebocoran data dapat membahayakan reputasi masyarakat yang signifikan, terutama di mana informasi tersebut berhubungan dengan data klien yang sensitif.

Integritas
Integritas mengacu pada keakuratan dan kelengkapan informasi serta keabsahannya sesuai dengan nilai-nilai bisnis dan harapan. Ini merupakan tujuan audit yang penting untuk mendapatkan jaminan kepada manajemen dan pengguna laporan eksternal bahwa informasi yang dihasilkan oleh sistem informasi organisasi dapat diandalkan dan dipercaya untuk membuat keputusan bisnis.

Ketersediaan
Ketersediaan berkaitan dengan informasi yang tersedia bila diperlukan oleh proses bisnis sekarang dan di masa depan. Hal ini juga menyangkut pengamanan sumber daya yang diperlukan dan kemampuan yang terkait. Mengingat sifatnya berisiko tinggi untuk menjaga informasi penting yang tersimpan pada sistem komputer, adalah penting bahwa organisasi memperoleh jaminan bahwa informasi kebutuhan untuk membuat keputusan tersedia bila diperlukan. Ini berarti memastikan bahwa organisasi memiliki langkah-langkah di tempat untuk menjamin kelangsungan bisnis dan memastikan pemulihan yang dapat dibuat dengan cara yang tepat waktu dari suatu masalah sehingga informasi yang dibutuhkan tersedia bila diperlukan.

Keandalan
Keandalan mengacu pada tingkat konsistensi dari sistem atau kemampuan suatu sistem untuk melakukan fungsi yang diperlukan di bawah kondisi yang dinyatakan. Keandalan merupakan tujuan audit yang penting dalam rangka untuk memberikan jaminan bahwa sistem beroperasi secara konsisten dan melakukan fungsinya seperti yang diharapkan.

Kesesuaian dengan persyaratan hukum dan peraturan
Kepatuhan berkaitan dengan mematuhi hukum, peraturan dan kewajiban kontrak dimana proses bisnis adalah subjeknya. Manajemen dan stakeholder kunci memerlukan jaminan bahwa prosedur kepatuhan yang diperlukan telah berada pada tempatnya, karena ada potensi risiko bahwa organisasi dapat dikenakan hukuman jika prosedur hukum dan peraturan tidak ditegakkan

Perlunya Audit Sistem Informasi

Dengan ketergantungan kita terhadap Sistem Informasi Akuntansi berbasis komputer maka ada beberapa alasan untuk manajemen memerlukan sebuah Audit Sistem Informasi, yaitu antara lain adalaH

1. Kerugian akibat kehilangan data.

Data yang diolah menjadi sebuah informasi, merupakan aset penting dalam organisasi bisnis saat ini. Banyak aktivitas operasi mengandalkan beberapa informasi yang penting. Informasi sebuah organisasi bisnis akan menjadi sebuah potret atau gambaran dari kondisi organisasi tersebut di masa lalu, kini dan masa mendatang. Jika informasi ini hilang akan berakibat cukup fatal bagi organisasi dalam menjalankan aktivitasnya.
Sebagai contoh adalah jika data nasabah sebuah bank hilang akibat rusak, maka informasi yang terkait akan hilang, misalkan siapa saja nasabah yang mempunyai tagihan pembayaran kredit yang telah jatuh tempo. Atau juga misalkan kapan bank harus mempersiapkan pembayaran simpanan deposito nasabah yang akan jatuh tempo beserta jumlahnya. Sehingga organisasi bisnis seperti bank akan benar-benar memperhatikan bagaimana menjaga keamanan datanya.
Kehilangan data juga dapat terjadi karena tiadanya pengendalian yang memadai, seperti tidak adanya prosedur back-up file. Kehilangan data dapat disebabkan karena gangguan sistem operasi pemrosesan data, sabotase, atau gangguan karena alam seperti gempa bumi, kebakaran atau banjir.

2. Kerugian akibat kesalahan pemrosesan komputer.

Pemrosesan komputer menjadi pusat perhatian utama dalam sebuah sistem informasi berbasis komputer. Banyak organisasi telah menggunakan komputer sebagai sarana untuk meningkatkan kualitas pekerjaan mereka. Mulai dari pekerjaan yang sederhana, seperti perhitungan bunga berbunga sampai penggunaan komputer sebagai bantuan dalam navigasi pesawat terbang atau peluru kendali. Dan banyak pula di antara organisasi tersebut sudah saling terhubung dan terintegrasi. Akan sangat mengkhawatirkan bila terjadi kesalahan dalam pemrosesan di dalam komputer. Kerugian mulai dari tidak dipercayainya perhitungan matematis sampai kepada ketergantungan kehidupan manusia.

3. Pengambilan keputusan yang salah akibat informasi yang salah.

Kualitas sebuah keputusan sangat tergantung kepada kualitas informasi yang disajikan untuk pengambilan keputusan tersebut. Tingkat akurasi dan pentingnya sebuah data atau informasi tergantung kepada jenis keputusan yang akan diambil. Jika top manajer akan mengambil keputusan yang bersifat strategik, mungkin akan dapat ditoleransi berkaitan dengan sifat keputusan yang berjangka panjang. Tetapi kadangkala informasi yang menyesatkan akan berdampak kepada pengambilan keputusan yang menyesatkan pula.

4. Kerugian karena penyalahgunaan komputer (Computer Abused)

Tema utama yang mendorong perkembangan dalam audit sistem informasi dalam sebuah organisasi bisnis adalah karena sering terjadinya kejahatan penyalahgunaan komputer. Beberapa jenis tindak kejahatan dan penyalah-gunaan komputer antara lain adalah virus, hacking, akses langsung yang tak legal (misalnya masuk ke ruang komputer tanpa ijin atau menggunakan sebuah terminal komputer dan dapat berakibat kerusakan fisik atau mengambil data atau program komputer tanpa ijin) dan atau penyalahgunaan akses untuk kepentingan pribadi (seseorang yang mempunyai kewenangan menggunakan komputer tetapi untuk tujuan-tujuan yang tidak semestinya).

• Hacking – seseorang yang dengan tanpa ijin mengakses sistem komputer sehingga dapat melihat, memodifikasi, atau menghapus program komputer atau data atau mengacaukan sistem.

• Virus – virus adalah sebuah program komputer yang menempelkan diri dan menjalankan sendiri sebuah program komputer atau sistem komputer di sebuah disket, data atau program yang bertujuan mengganggu atau merusak jalannya sebuah program atau data komputer yang ada di dalamnya. Virus dirancang dengan dua tujuan, yaitu pertama mereplikasi dirinya sendiri secara aktif dan kedua mengganggu atau merusak sistem operasi, program atau data.

Dampak dari kejahatan dan penyalahgunaan komputer tersebut antara lain:

• Hardware, software, data, fasilitas, dokumentasi dan pendukung lainnya rusak atau hilang dicuri atau dimodifikasi dan disalahgunakan.
• Kerahasiaan data atau informasi penting dari orang atau organisasi rusak atau hilang dicuri atau dimodifikasi.
• Aktivitas operasional rutin akan terganggu.
• Kejahatan dan penyalahgunaan komputer dari waktu ke waktu semakin meningkat, dan hampir 80% pelaku kejahatan komputer adalah ‘orang dalam’.

5. Nilai hardware, software dan personil sistem informasi

Dalam sebuah sistem informasi, hardware, software, data dan personil adalah merupakan sumberdaya organisasi. Beberapa organisasi bisnis mengeluarkan dana yang cukup besar untuk investasi dalam penyusunan sebuah sistem informasi, termasuk dalam pengembangan sumberdaya manusianya. Sehingga diperlukan sebuah pengendalian untuk menjaga investasi di bidang ini.

6. Pemeliharaan kerahasiaan informasi

Informasi di dalam sebuah organisasi bisnis sangat beragam, mulai data karyawan, pelanggan, transaksi dan lainya adalah amat riskan bila tidak dijaga dengan benar. Seseorang dapat saja memanfaatkan informasi untuk disalahgunakan. Sebagai contoh bila data pelanggan yang rahasia, dapat digunakan oleh pesaing untuk memperoleh manfaat dalam persaingan.

Dampak Komputer dalam Audit

Pada saat komputer pertama kali digunakan, banyak auditor mempunyai pemikiran bahwa proses audit akan harus nbanyak mengalami perubahan untuk menyesuaikan dengan penggunaan teknologi komputer. Ada dua utama yang harus diperhatikan dalam audit atas pemrosesan data elektronik, yaitu pengumpulan bukti (evidence collection) dan evaluasi bukti (evidence evaluation).

Proses Pengumpulam Bukti

Proses keandalan pengumpulan bukti dalam sebuah sistem yang terkomputerisasi seringkali akan lebih kompleks daripada sebuah sistem manual. Karena auditor akan berhadapan dengan keberadaan sebuah pengendalian internal yang kompleks karena teknologi yang melekat dan sangat berbeda dengan pengendalian sistem manual.
Sebagai contoh dalam sebuah proses ‘update‘ data memerlukan seperangkat pengendalian yang memang berbeda karena kondisi alamiah yang melekatinya. Atau dalam proses pengembangan sebuah sistem, maka diperlukan pengendalian lewat berbagai ‘testing program’ yang mungkin tidak ditemui dalam sistem manual. Untuk itu auditor harus mampu memahami pengendaliannya untuk dapat memperoleh keandalan sebuah bukti yang kompeten.
Namun malangnya, memahami pengendalian dalam sebuah sistem yang berbasis teknologi sangatlah tidak mudah. Perangkat keras maupun lunak terus berkembang secara cepat seiring perkembangan teknologi. Sehingga selalu ada kesenjangan waktu antara teknologi yang dipelajari oleh auditor dengan perkembangan teknologi yang cepat.
Sebagai contoh, dengan meningkatnya penggunaan transmisi komunikasi data, maka auditor paling tidak juga harus memahami prinsip-prinsip kriptografi (penyandian) dalam sebuah jaringan yang terintegrasi.

Evaluasi Bukti
Bukti audit dalam sistem informasi akuntansi berbasis komputer seringkali berupa angka-angka digital, dan kadangkalan sulit dalam penelusurannya karena tidak berbentuk fisik seperti di lingkungan manual.

TUJUAN dan LINGKUP AUDIT SISTEM INFORMASI

Tujuan Audit Sistem Informasi dapat dikelompokkan ke dalam dua aspek utama, yaitu:

• Conformance (Kesesuaian) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu : Confidentiality (Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan) dan Compliance (Kepatuhan).
• Performance (Kinerja) - Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu : Effectiveness (Efektifitas), Efficiency (Efisiensi), Reliability (Kehandalan).

 AUDIT OPERASIONAL DALAM DEPARTEMEN PEMROSESAN INFORMASI

Sifat Audit Operasional Pemrosesan Data

Satu tipe utama audit operasional meliputi pengauditan fungsi pemrosesan informasi. Audit operasional pemrosesan data secara sistematis memperkirakan keefektifan unit-unit dalam mencapai tujuan dan mengidentifikasikan kondisi yang dibutuhkan untuk perbaikan. Pemrosesan data audit operasional mempunyai sifat yang luas meliputi semua kegiatan departemen pemrosesan atau mungkin dihubungkan dengan segmen khusus dalam kegiatan tersebut, tergantung pada tujuan manajemen.

Situasi Yang Muncul Dalam Audit Operasional Pemrosesan Data

Dalam hal pemrosesan data yang umumnya terjadi adalah:

1. Biayanya tinggi untuk penyediaan jasa komputer.
2. Bagian utama dari rencana perusahaan.
3. Usulan perolehan hardware yang utama atau meng-upgrade software.
4. Ketidakmampuan menerima pemrosesan data komputer secara eksekutif.
5. Kebutuhan pemrosesan data eksekutif yang baru untuk penilaian secara intensif.
6. Ketidakteraturan perputaran personil dalam departemen pemrosesan data.
7. Usulan untuk mengkonsolidasi atau mendistribusikan sumberdaya pemrosesan data.
8. Merupakan sistem utama yang tidak responsif terhadap kebutuhan atau sulit dalam pemeliharaan.
9. Meningkatnya jumlah komplain user.

Proses Audit Operasional Pemrosesan Data

• Audit planning phase

Audit operasional pada fungsi data processing tidak mempunyai starting place, tetapi berpedoman pada tujuan audit. Masing-masing audit mempunyai ciri khas dan memerlukan individual treatment karenanya lingkup audit berbeda sesuai dengan tujuannya.
Dengan mengabaikan lingkup audit, tugas pertama dalam audit operasional yaitu untuk memperkenalkan diri pada organisasi dan DP departemen untuk diaudit. Hal ini adalah sebuah tahap penting bagi auditor untuk memperoleh dan meninjau ulang latar belakang informasi pada unit, aktivitas, dan fungsi yang akan diaudit.Tahap ini penting dan sebaiknya diikuti dengan mengabaikan audit operasional yang dilakukan secara internal. auditor sebaiknya mengumpulkan informasi dari klien untuk memperoleh pemahaman tentang DP departemen dan tujuannya. Banyak latar belakang informasi yang sebaiknya digunakan auditor pada tahap ini mencakup lokasi departemen DP, nama manajer pada DP, no SDM pada DP berdasar level dan tipe,metode evaluasi SDM, tingkat pertukaran SDM, tugas dan tanggung jawab karyawan, identifikasi peralatan komputer yang digunakan dan identifikasi sistem operasi yang digunakan. phisical layout chart pusat komputer sebaiknya diperoleh dari DP manajer ( atau, jika tak tersedia, disiapkan oleh auditor). kerjasama DP manajemen menjadi hal yang penting selama tahap perencanaan.

• Preliminary survey phase

setelah tujuan audit tealah ditetapkan, dan lingkup audit telah ditentukan serta manajemen cooperation diperoleh, maka auditor siap untuk preliminary survey. survei membantu auditor untuk mengidentifikasi lingkup masalah, sensitive area, dan operasi yang rumit tentang audit DP departement. Setelah preliminary survey, auditor harus bisa menentukan tingkat kompleksitas audit operasional.selama preliminnary survey, auditor akan mempelajari permasalahan operasional manajemen DP. Auditor perlu mendalami mengenai DP center sehingga familiar dengan pengoperasiannya. Auditor sebaiknya membuat rencana dalam mengusulkan petunjuk DP centernya dan bertindak sebagai penghubung bagi semua data collection dan dokumentasi syang diperoleh. Auditor akan membentuk rencana tahapan dalam operasi actual yang disesuaikan dengan diskripsi tertulis maupun lisan dan pemahaman yang telah diberikan oleh DP personil kepada auditor. Proses verifikasi ini memerlukan contoh transaksi atau lingkup kerja yang diuji secara detail.

Prelimanary phase pada operational audit merupakan basis pada tahap pengujian audit yang terperinci. DP manajemen sebaiknya diberitahu pengungkapan penyimpangan dan membantu dalam petunjuk pada lingkup permasalahan. Auditor mendisain program audit untuk maenemukan pertimbangan atau penyebab ketidakcocokan.

• Detailed audit phase

Aktivitas untuk menguji dan mengevaluasi tahap audit ini meliputi:

1. fungsi pengolahan informasi pada organisasi
2. praktek dan kebijakan sumber daya manusia
3. operasi komputer
4. pengembangan sistem dan implementasinya
5. aplication system operation

lima area terdaftar ini diharapkan dapat menyajikan beberapa faktor-faktor penting yang harus dipertimbangkan. ketika mereka memberi auditor suatu pandangan umum tentang komponen penting DP functioni dan dapat bertindak sebagai starting point yang baik.

• Reporting

pada tahap penyelesaian opersional audit laporan diberikan kepada manajemen dan komite audit perusahaan.Isi dari laporan ini bervariasi sesuai pada harapan manajemen.contohnya : laporan mungkin terdiri dari pendapat yang mengacu pada fungsi pengelolaan informasi yang efektif dan efisien, dan saran-saran yang membangun.Internal auditor diwajibkan untuk melakukan follow up pada report audit findings dan memberikan rekomendasi untuk memastikan bahwa komite audit mengambil langkah yang tepat.

KASUS 1

 KASUS 1     

PTS XYZ memiliki visi untuk menjadi perguruan berkelas internasional yang unggul di bidang infokom. Dalam organisasinya PTS XYZ terbagi menjadi 4 Departemen dan 5 Direktorat dengan tugas dan fungsi yang berbeda-beda.Perbedaan fungsi dan tugas dari setiap bagian ini berpengaruh pada perbedaan kebutuhan teknologi informasi yangdigunakan sehari-hari. Pada PTS XYZ, terdapat sebuah bagian yang bertanggungjawab dan berfungsi mengelola kegiatan administrasi dan layanan informasi serta pengembangan sistem, yaitu bagian Bagian Pusat Pengolahan Data yang berada di bawah Direktorat Dukungan Manajemen. Bagian Pusat Pengolahan Data ini dipimpin oleh seorang Kepala Bagian yang dalam melaksanakan tugas bertanggung jawab kepada Direktur Dukungan Manajemen, dengan unsur pelaksana terdiri dari:

a. Kepala Bagian Pusat Pengolahan Data;

b. Kepala Urusan Administrasi dan Layanan Informasi;

c. Kepala Urusan Pengembangan Sistem;

d. Staf Pelaksana.

Integritas dan validitas data sangat diperlukan untuk melaksanakan layanan yang ditugaskan kepada Bagian Pusat Pengolahan Data, yaitu mencakup data logistik, keuangan, sumber daya manusia, registrasi, kegiatan belajar mengajar,alumni PTS XYZ, dan masih banyak lagi. Berdasarkan pada banyak dan pentingnya data-data tersebut, maka adanya suatu sistem informasi dalam kegiatan yang dilakukan oleh Bagian Pusat Pengolahan Data menjadi suatu hal yang sangat penting. Akan tetapi, hal ini tidak menutup kemungkinan bagi Bagian Pusat Pengolahan Data untuk bekerja dengan baik dengan menggunakan sistem informasi yang ada pada saat ini. Oleh karena itu, penelitian ini akan membahas dan melaporkan mengenai hasil audit yang telah kami lakukan sebelumnya. Adapun tujuan dari penelitian ini adalah untuk melakukan audit terhadap Bagian Pusat Pengolahan Data PTS XYZ dengan tahapan menentukan management

awareness, kemudian plotting terhadap COBIT 4.1 dan perhitungan maturity level yang ada serta memberikan masukan berdasarkan hasil audit yang telah dilakukan dengan cara analisis sistem informasi secara langsung pada Bagian Pusat Pengolahan Data PTS XYZ berdasarkan COBIT 4.1.

1. Landasan Teori

COBIT 4.1 (Control Objectives for Information and related Technology) merupakan suatu standar untuk mengontrol teknologi informasi, dikembangkan dan dipromosikan oleh IT Governance Institute. COBIT 4.1 dirancang sebagai tool IT governance yang membantu dalam memahami dan mengatur resiko dan keuntungan yang berhubungan dengan informasi dan IT.

 IT Governance Institute telah mengembangkan framework ini dengan riset mendalam, bekerja sama dengan ahli industri, analis, dan akademisi di seluruh dunia. Hasilnya adalah Management Guidelines for COBIT 4.1 ini,yang terdiri dari Maturity Models, Critical Success Factors (CSFs), Key Goal Indicators (KGIs) dan Key Performance Indicators (KPIs).

Konferensi Nasional Sistem dan Informatika 2010; Bali, November 13, 2010 KNS&I10-049

298 Maturity Model untuk mengontrol proses IT terdiri dari pengembangan suatu metode penilaian sehingga suatu organisasi dapat menilai dirinya sendiri dari keadaaan non-existent sampai keadaaan optimized (0 - 5). Untuk setiap proses IT, terdapat suatu skala ukuran bertahap, berdasarkan rating “0” sampai “5”. Skala ini berhubungan dengan deskripsi qualitative maturity model yang berkisar dari “Non Existent” sampai “Optimized” seperti terlihat dalam Gambar 1

2. Metodologi Penelitian

Dalam pelaksanaannya, proses audit ini dibagi menjadi 5 tahapan, yaitu:

2.1 Perencanaan Audit

Tahapan perencanaan, sebagai suatu pendahuluan, mutlak perlu dilakukan agar auditor mengenal benar objek yang akan diperiksa. Disamping itu, auditor dapat memastikan bahwa qualified resources sudah dimiliki, yang dalam hal ini mencakup aspek SDM yang berpengalaman dan juga referensi praktik-praktik terbaik (best practices).

Tahapan perencanaan ini akan menghasilkan suatu program audit yang didesain sedemikian rupa, sehingga pelaksanaannya akan berjalan efektif dan efisien, dan dilakukan oleh orang-orang yang kompeten, serta dapat diselesaikan dalam waktu yang sesuai dengan yang disepakati.

2.2 Penilaian Management Awareness & Penilaian Resiko

Penilaian terhadap management awareness perlu dilakukan dengan menggunakan tools yang ada dan juga penilaian resiko perlu dilakukan untuk mengidentifikasi dan mengevaluasi resiko serta dampak yang terjadi jika resiko tersebut muncul.

2.3 Analisa Data

 Analisa data ini meliputi tahapan-tahapan:

• Pemetaan hasil risk assessment ke dalam Cobit

• Pemetaan hasil penentuan management awareness

• Menentukan proses Cobit domain yang akan diaudit

• Penentuan CSF, KGI, dan KPI

• Indikator pengukuran kinerja

• Penentuan maturity model

3. Penilaian Management Awareness Dan Resiko

Berdasarkan hasil diskusi dan pengisian kuesioner maka didapatkan hasil kesimpulan bahwa pihak manajemen Bagian Pusat Pengolahan Data menitikberatkan pada bagaimana seharusnya Bagian Pusat Pengolahan Data dapat memberikan layanan IT kepada civitas akademika PTS XYZ secara kontinu dan reliable dengan memperhatikan aspek-aspek keamanan dan juga bagaimana pemeliharaan terhadap data yang ada. Hal ini disebabkan karena proses tersebutlah yang paling penting dukungannya untuk keberlangsungan dukungan IT di lingkungan PTS XYZ.

Melalui wawancara dan observasi, bisa diketahui kondisi perusahaan saat ini dan mengetahui sejauh mana pelaksanaan kontrol diefektifkan,Penilaian resiko ini perlu dilakukan untuk mengidentifikasi dan mengevaluasi resiko serta dampak yang terjadi jika resiko tersebut muncul.

Dalam penilaian resiko ini yang digunakan adalah Metode Scoring IS Risk Assessment. Beberapa kategori penilaian resiko yang diambil didasarkan pada resiko umum yang sering dijumpai dalam pelaksanaan kontrol perusahaan. Kategori yang dipilih meliputi Operasi Data Centre, Sistem Aplikasi (Produksi), Sistem Aplikasi (Pengembangan),Procurement Sistem Informasi (Material dan Tenaga Kerja), Akuisisi Paket Software, dan Fungsi Sistem Informasi lainnya.

4. Analisa Data

4.1. Pemetaan Hasil Risk Assessment Ke Dalam Cobit

Dari hasil risk assessmets di atas nilai threshold ditentukan sebesar 0,75 maka rating factor yang akan diambil hanya yang lebih atau sama dengan 0,75 yang mengindikasikan kendali dengan resiko tinggi. Selanjutnya beberapa rating factor yang diambil, dimapping ke proses COBIT 4.1 domain. Beberapa rating factor yang diambil antara lain:

a. Operasi Data Centre

• Efek terhadap bisnis perusahaan

• Jumlah pengguna

• Pengelolaan pemrosesan

b. Sistem Aplikasi (Produksi)

• Efek kegagalan sistem

• Lingkup sistem

c. Sistem aplikasi (Pengembangan)

• Platform pengembangan

d. Procurement Sistem Informasi (material dan tenaga kerja)

• Dampak

e. Akuisisi Paket Software

• Lingkup sistem

• Efek bisnis

f. Fungsi Sistem Informasi lainnya

• Efek kegagalan fungsi

• Lingkup fungsi

Dari beberapa kendali dengan resiko tinggi yang telah didapat, selanjutnya akan disesuaikan dengan tujuan kendali yang terdapat pada domain COBIT 4.1. Table hasil pemetaan risk assessment ke dalam proses COBIT 4.1 domain yang disesuaikan dengan domain Delivery & Support dalam Tabel 2.

4.2 Menentukan Proses Cobit Domain Yang Akan Diaudit

Tidak semua control objective dari COBIT 4.1 domain harus diaudit. Proses audit hanya dilakukan pada tujuan control yang dirasa perlu, di antaranya pada tujuan kontrol yang memenuhi kriteria-kriteria antara lain:

- Proses yang memiliki ketersediaan rating factor tertinggi

- Proses dengan biaya pengerjaan tertinggi

- Proses dengan kondisi yang paling kritis

- Disesuaikan dengan sarana pendukung

Berdasarkan beberapa kriteria tersebut, high level control objectives yang diambil untuk diaudit ialah:

- Ensure Continous Service (DS 4)

- Ensure Systems Security (DS 5)

- Manage Operations (DS 11)

4.3 Penentuan CSF, KGI, dan KPI

Langkah ini diperlukan untuk menentukan arahan yang akan diberikan kepada pihak manajemen, baik secara umum maupun spesifik, mengenai apa saja yang harus dilakukan, terutama mengenai:

􀂃 Sejauh mana TI harus bergerak, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.

􀂃 Indikator untuk suatu kinerja yang bagus

􀂃 Faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses

􀂃 Risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan

Untuk mendapatkan hal-hal di atas framework COBIT 4.1 perlu terlebih dahulu didefinisikan termasuk:

- Critical Success Factors (CSF)

Konferensi Nasional Sistem dan Informatika 2010; Bali, November 13, 2010 KNS&I10-049

300

- Key Goal Indicators (KGI)

- Key Performance Indicators (KPI)

Tabel 2. Pemetaan Hasil Pada Domain Cobit4.1

NO

High Level Control Objectives Delivery & Support

1

2

3

4

5

6

1.2

1.4

1.6

2.1

2.3

3.4

4.1

5.1

5.8

6.1

6.3

1

Define and Manage Service Levels

X

X

X

X

X

2

Manage Third Party Services

X

3

Manage Performance and Capacity

X

X

X

X

X

X

4

Ensure Continuous Service

X

X

X

X

X

X

5

Ensure Systems Security

X

X

X

X

X

X

X

X

6

Identify and Allocate Costs

X

X

7

Educate and Train Users

X

X

X

8

Manage Service Desk and Incident

X

X

9

Manage the Configuration

X

X

X

X

X

10

Manage Problems

X

X

X

X

X

11

Manage Data

X

X

X

X

X

X

X

12

Manage the Physical Environment

X

X

X

X

13

Manage Operations

X

X

X

X

X

Pengukuran Maturity

Pengukuran maturity level dilakukan dengan menggunakan Maturity Measurement toolkit. Dengan hasil sebagai berikut:

                                                                        

 Tabel 3. DS4

Level	Compliance	Contribution	Value
1	0,943333333	1,00	0,943333333
2	0,83	1,00	0,83
3	0,83125	1,00	0,83125
4	0,698888889	1,00	0,698888889
5	0,729	1,00	0,739
		Maturity level =	4,032472222

Maturity Level untuk DS5 = 4,03 ≈ 4

   Tabel 4. DS5

Level	Compliance	Contribution	Value
1	1	1,00	1
2	0,66375	1,00	0,66375
3	0,807142857	1,00	0,807142857
4	0,275	1,00	0,275
5	0,275	1,00	0,275
		Maturity level =	3,020892857

Maturity Level untuk DS5 = 3,02 ≈ 3

Tabel 5. DS11

Level	Compiance	Contribution	Value
1	0,864	1,00	0,864
2	0,932	1,00	0,932
3	0,758571429	1,00	0,758571429
4	0,773333333	1,00	0,773333333
5	0,71	1,00	0,71
		Maturity level =	4,037904762

Maturity Level DS11 = 4,04 ≈ 4

Jika digambarkan hasil dari maturity model proses yang ada dengan menggunakan Caviar Chart adalah sebagai berikut:

                                                        Gambar 2. Maturity Model

Kesimpulan

Setelah diketahui bahwa Bagian Pusat Pengolahan Data berada pada level 4 (managed), selanjutnya bisa diajukan beberapa rekomendasi berdasarkan tiap proses COBIT 4.1 domain untuk membawa perusahaan menuju level yang lebih tinggi.

A.    Rekomendasi untuk DS 4

          Dari hasil pengukuran maturity, pada dasarnya sudah baik hanya perlu            peningkatansebagai berikut:

1.     Perbaikan ketersediaan layanan yang proaktif

2.     Pengawasan ketersediaan secara otomatis terhadap sejumlah          komponen infrastruktur kritis

B.     Rekomendasi untuk DS 5

1.  Melakukan perbaikan terhadap pelaporan yang berkaitan dengan   masalah keamanan system

2.  Pengadaan training berkaitan dengan keamanan sistem bagi pengelola

3.  Melakukan perencanaan mengenai keamanan sistem dan solusi      berdasarkan suatu proses analisa    resiko

C.     Rekomendasi untuk DS 11

1.  Pembentukan backup data melalui mekanisme redudansi dan          duplikasi.

2.  Memastikan adanya prosedur pengelolaan data dengan berdasarkan        standar tertentu

3.  Memastikan kesesuaian mekanisme penjagaan integritas data yang     diterapkan

4.  Pengawasan integritas secara otomatis terhadap sejumlah komponen     infrastruktur kritis