Orasi Ilmiah
PROFESI BARU AUDIT SISTEM INFORMASI
1
Oleh : SOLIKIN WS.,S.Si.,MT.2 Jika selama ini kita hanya mengenal kata audit selalu identik dengan audit keuangan, maka kini muncul profesi baru di bidang IT yaitu audit sistem informasi (SI). Apa itu audit SI dan bagaimana gambaran profesi dibidang ini dapat dijelaskan sebagai berikut : Pengertian Auditing Auditing adalah proses pengumpulan dan pengevaluasian bahan bukti tentang informasi yang dapat diukur mengenai suatu entitas ekonomi yang dilakukan seorang yang kompeten dan independen untuk dapat menentukan dan melaporkan kesesuaian informasi dimaksud dengan kriteria-kriteria yang telah ditetapkan 1) Pengertian Audit Sistem Informasi Ron Weber (1999,10) mengemukakan bahwa Audit Sistem Informasi adalah : “Information systems auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently” 2). (Audit Sistem Informasi adalah proses pengumpulan dan penilaian bukti - bukti untuk menentukan apakah ‘sistem komputer’ dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumber daya secara efisien).
1 2
disampaikan pada acara wisuda AMIK Pertiwi Sukabumi tahun akademik 2003/2004, Gedung Joeang, Sukabumi, Kamis, 06 Januari 2005 pengamat IT/ICT, alumni Magister Informatika ITB, tinggal di Bandung
Orasi-ilmiah wisuda II AMIK Pertiwi Sukabumi
oleh Solikin WS
5/9/2008
Page 1 of 31
IS Auditing
Organizations
Improved Safeguarding of Assets
Improved Data Integrity
Improved System Effectiveness
Improved System Efficiency
Gbr. 1.1 Dampak fungsi audit sistem informasi pada suatu organisasi Obyek Perlindungan Aset (Asset Safeguarding Objectives) - Aset SI di dalam organisasi adalah H/W, S/W, Fasilitas, User (Knowledge), file data, dokumentasi sistem, dan persediaan barang. - Sebaiknya semua aset harus dilindungi oleh sistem pengendalian internal. Obyek Integritas Data (Data Integrity Objectives) - Integritas data adalah merupakan konsep dasar di dalam audit SI. Data terdiri dari atribut-atribut yang harus berisi : lengkap (completeness), dapat dipercaya (soundness), bersih (purity), and benar (veracity). - Jika integritas data tidak dipelihara, maka organisasi tidak akan mendapatkan representasi data yang benar untuk suatu aktifitas, akibatnya organisasi tidak dapat berkompetisi. Obyek Efektivitas Sistem (System Effectiveness Objectives) - Audit efektivitas sering dilakukan setelah sistem berjalan untuk beberapa waktu. Manajemen membutuhkan hasil audit efektivitas untuk mengambil keputusan apakah sistem terus dijalankan atau dihentikan sementara untuk proses modifikasi. Obyek Efisiensi Sistem (System Efficiency Objectives) - Efisiensi SI dilakukan dengan cara menggunakan sumber daya yang minimum untuk menyelesaikan suatu tujuan obyek (pekerjaan). Variasi sumber daya terdiri dari mesin, waktu, peripheral, S/W sistem, dan pekerja.
Orasi-ilmiah wisuda II AMIK Pertiwi Sukabumi
oleh Solikin WS
5/9/2008
Page 2 of 31
Organizational Costs of data lost
Cost of incorrect decision making
Cost of computer abuse
Value of H/W,S/W and Personnel
High cost of computer error
Maintenance of privacy
Controlled evolution of computer use
ORGANIZATIONS
Control and Audit of computerbased information systems
Gambar 1.2 Faktor-faktor yang mempengaruhi organisasi sehingga perlu melakukan audit dan pengendalian terhadap Organizational Costs of Data Loss Data dapat menyebabkan kebutuhan sumber daya menjadi kritis untuk keberlangsungan operasional organisasi (baik untuk memberikan gambaran masa lalu,masa kini dan masa yang akan datang). Jika data akurat, maka organisasi akan mempunyai kemampuan untuk beradaptasi dan bertahan dalam lingkungan yang berubah. Jika tidak (data hilang), maka organisasi akan mengalami kehilangan data yang cukup penting. Contoh jika data master barang di suatu toko swalayan rusak, maka kasir tidak dapat melakukan transaksi pembelian yang dilakukan oleh konsumen. Cost of Incorrect Decision Making Untuk membuat keputusan yang berkualitas dan dapat dipercaya, maka perlu di dukung oleh data yang akurat melalui sistem informasi berbasis komputer. Termasuk : deteksi, investigasi, dan koreksi proses yang diluar kontrol (connection of out-of-control process) Akibat data yang salah akan mempunyai dampak terhadap minat investor terhadap perusahaan. Contoh : jika penyediaan laporan keuangan salah (inaccurate financial information), maka investor akan membatalkan atas keputusan investasinya. Penting juga diperhatikan tentang ‘aturan-aturan keputusan yang akurat (accurate decision rules). Contoh jika aturan pengambilan keputusan (decision rule) dalam sistem pakar untuk mendukung diagnosis, salah, mengakibatkan dokter akan salah dalam memberikan keputusan / pemberian resep kepada pasiennya, ini akan berakibat fatal.
Orasi-ilmiah wisuda II AMIK Pertiwi Sukabumi
oleh Solikin WS
5/9/2008
Page 3 of 31
Cost of Computer Abuse Sebagian besar sebab yang mendorong pengembangan fungsi audit SI di perusahaan adalah akibat seringnya terjadi penyalahgunaan komputer. Penyalahgunaan komputer : “segala kejadian yang berhubungan dengan teknologi komputer yang mengakibatkan kerugian pada korban atau mengakibatkan kehilangan ya ng diakibatkan oleh pelaku kejahatan untuk mencari keuntungan” Sebagian besar tipe penyalahgunaan komputer adalah : 1) Hacking : seseorang yang tidak mempunyai akses otoritas terhadap sistem komputer untuk membaca, memodifikasi atau menghapus program atau data untuk mengacaukan proses. 2) Virus : adalah program yang menyerang file executable, area sistem atau disk, atau file data yang berisi macro yang mengakibatkan kekacauan operasi komputer atau kerusakan data / program. 3) Illegal Physical Access : seseorang yang mengambil keuntungan melalui akses fisik secara ilegal terhadap fasilitas komputer. Contoh memasuki ruang komputer atau ruang terminal secara ilegal, merusak H/W, atau copy program dan data yang bukan merupakan wewenangnya. 4) Abuse of Privilages : seseorang yang menggunakan hak- hak istimewanya untuk maksud dan tujuan yang bukan merupakan otoritasnya. Contoh : membuat copy data yang rahasia (sensitif) akan tetapi tidak meminta ijin atau persetujuan kepada yang berwenangnya. Menurut survey Benbow (1990) : 80% penyalahgunaan komputer diakibatkan oleh ‘pegawai intern’. Cost of computer abuse
Hacking
Viruses
Illegal physical access
Abuse of privilages
Gbr. 1.3 Cost of computer abuse
Orasi-ilmiah wisuda II AMIK Pertiwi Sukabumi
oleh Solikin WS
5/9/2008
Page 4 of 31
Konsekuensi Penyalahgunaan Komputer 1. Destruction of asset (perusakan aset) : Hardware, software, data, fasilitas, dokumentasi atau persediaan barang dapat dirusak. 2. Theft of asset (pencurian asset): Hardware, software, data, dokumentasi, atau persediaan barang dapat dipindahkan secara ilegal. 3. Modification of asset : Hardware, software, data atau dokumentasi dimodifikasi dengan cara yang tidah syah 4. Privacy violaction (pelanggaran privasi) : privasi mengenai data seseorang atau organisasi di gunakan untuk kepentingan yang tidak sah. 5. Disruption of Operations (pengacauan operasi) : operasi fungsi sehari- hari (‘day-to-day’) SI dapat terhenti sementara yang diakibatkan oleh operasi yang dikacaukan. 6. Unauthorized use of asset (penyalahgunaan otorisasi aset) : Hardware, software, data, fasilitas, dokumentasi atau persediaan barang digunakan untuk maksud yang tidak sah. contoh penggunaan komputer dinas di kantor untuk maksud private atau konsultasi. 7. Physical harm to personnel (kejahatan fisik terhadap personal) : personal / pegawai dapat menderita akibat kejahatan fisik.
Conse quences of Abuse
Destruction of assets
Theft of assets
Modification of assets
Privacy violations
Discruption of operations
Unauthorized use of assets
Physical harm to personnel
Gbr. 1.4 Consequences of Abuse Value of computer H/W,S/W, Personnel -
Data, H/W, S/W dan personal adalah merupakan sumber daya kritis organisasi Beberapa organisasi telah menginvestasikan ratusan miliar dollar untuk itu.
Orasi-ilmiah wisuda II AMIK Pertiwi Sukabumi
oleh Solikin WS
5/9/2008
Page 5 of 31
High Cost of Computer Error -
-
Komputer saat ini mempunyai peranan / fungsi penting dengan lingkungan sosial. Contoh monitor digunakan untuk memantau pasien, memonitor missile, pengendali reaktor nuklir, dll. Akibatnya jika komputer ‘error’, maka akan mengakibatkan kerugian yang sangat besar (mahal). Contoh : 257 orang meninggal di pegunungan antartika, akibat error pada sistem yang diakibatkan oleh pekerjaan ‘iseng’ seseorang yang mengganti isi / data sistem komputer yang terkait dengan penerbangan.
Maintenance of Privacy -
Sebagian besar data dikumpulkan, merupakan data individu seperti: data pembayar pajak, credit, medical, educational, employment, dan yang lainnya. Data ini dikumpulkan sebelum proses komputerisasi, dan data privasi ini harus dilindungi. Agar hak-hak privasinya terjaga.
Controlled of Evolution of Computer Use -
Konflik, satu sisi komputer digunakan untuk hal- hal yang berguna, tapi di sisi lain komputer digunakan untuk pengendalian nuklir yang mungkin saja digunakan untuk hal-hal yang tidak berguna.
III. Pendekatan Audit SI Pesatnya perkembangan dunia komputer, diikuti dengan peningkatan pengetahuan auditor, ternyata mengundang dua perlakuan berbeda terhadap komputer, yaitu : (1) Komputer dipergunakan sebagai alat bantu auditor dalam melaksanakan audit, misalnya untuk mengambil contoh transaksi, memproses data akuntansi, mencetak surat konfirmasi piutang dan sebagainya. (2) Komputer dijadikan sebagai target audit, karena data di-entry ke komputer dan hasilnya dianalisa untuk menilai kehandalan pemrosesan dan keakuratan program komputer. Dengan berjalannya evolusi tersebut, maka muncullah pendekatan audit sistem informasi yang dapat dikategorikan ke dalam tiga kelompok, yaitu : (a) auditing around the computer (b) auditing with the computer dan (c) auditing throught the computer. (a)
(b)
Auditing around the computer, adalah mentrasir balik (trace -back) hasil olahan komputer antara lain output ke bukti dasarnya antara lain input tanpa melihat prosesnya. Auditing with the computer, pendekatan ini menitikberatkan pada penggunaan komputer sebagai alat bantu audit. Alat bantu audit ini berupa komputer dilengkapi dengan software audit umum (generale audit software, biasa disingkat GAS).
Orasi-ilmiah wisuda II AMIK Pertiwi Sukabumi
oleh Solikin WS
5/9/2008
Page 6 of 31
Contoh GAS antara lain ACL (Audit Command Language), IDEA (Interactive Data Extraction and Analysis) dan lain- lain. (c) Auditing throught the computer, auditor harus memperlakukan komputer sebagai target audit dan melakukan audit throught atau memasuki area program. Oleh sebab itu pendekatan Auditing throught the computer termasuk juga dalam CAATs (Computer Assist ed Audit Technique ) yaitu teknik audit berbantuan komputer (TABK). Beberapa auditor memutuskan menggunakan pendekatan Auditing throught ini karena alasan berikut : a. Ketidakmampuan untuk melokalisir source document atau print-out karena memang rancangan sistem pengarsipan yang digunakan menghendaki demikian. b. Kekhawatiran bahwa jumlah yang ditunjukkan pada print-out komputer tidak sama dengan saldo yang ada (ter-record) di file komputer. IV. Tahapan Audit Sistem Informasi Menurut Ron Weber dalam bukunya Information Systems Control and Audit halaman 4755, terdapat 5 (lima) langkah atau tahapan audit sistem informasi yaitu : 1. Perencanaan Audit (Planning the Audits) 2. Pengetesan Kendali (Tests of Controls) 3. Pengetesan Transaksi (Tests of Transactions) 4. Pengetesan Keseimbangan atau Keseluruhan Hasil (Tests of Balances or Overall Results) dan 5. Pengakhiran (penyelesaian) Audit (Completion of the Audit) Sedangkan menurut Gallegos Cs. dalam bukunya Audit and Control of Informtion Systems (chapter 10), tahapan audit sistem informasi mencakup aktivitas : 1. Perencanaan (Planning) 2. Pemeriksaan Lapangan (Fieldwork) 3. Pelaporan (Reporting ) dan 4. Tindak Lanjut (Follow Up) Planning adalah kegiatan perencanaan untuk melaksanakan audit, Fieldwork adalah kegiatan pemeriksaan dan evaluasi sistem yang dilaksanakan di lapangan, Reporting adalah kegiatan pelaporan hasil- hasil yang diperoleh dari fieldwork dan Follow Up adalah tindakan lebih lanjut yang dilaksanakan oleh pihak manajemen berkaitan dengan laporan hasil pemeriksaan. V. Pengumpulan Fakta Terdapat lima alat dan teknik yang dapat digunakan dalam mengumpulkan fakta, yaitu : 1. Audit Software : secara umum membahas audit software, audit khusus industri software, high level language, utility software, expert systems, neural network software, dan software lainnya. 2. Code Review, Test Data, and Code Comparison : secara umum membahas tentang dimana kesalahan (error) program terjadi dengan cara melihat kode program, tes data dan perbandingan kode.
Orasi-ilmiah wisuda II AMIK Pertiwi Sukabumi
oleh Solikin WS
5/9/2008
Page 7 of 31
3. Concurrent Auditing Techniques : membahas tentang teknik, kebutuhan dan implementasi untuk audit bersamaan. Tipe concurrent auditing technique: integrated test facility, snapshort / extended record, system control / audit review file, continous and intermittent simulation. 4. Interviews, Questionnaires, and Control Flowcharts : membahas tentang desain dan penggunaan interview, kuisioner dan arus pengendalian. Wawancara (Interviews), digunakan untuk memperoleh baik jumlah (quantitative) maupun kualitas (quality) informasi selama pekerjaan pengumpulan fakta. Terdiri dari tiga fase yaitu : (1) persiapan wawancara (preparing for interview); (2) pelaksanaan wawancara (conducting the interview) dan (3) penganalisaan hasil wawancara (analyzing the interview ). Kuesioner (Questionnaires), digunakan untuk mengumpulka n fakta berdasarkan data, seperti apakah ada pengendalian dalam sistem aplikasi. Empat fase kuesioner yaitu (1) desain pertanyaan (design of questions); (2) desain skala respon (design of response scales); (3) desain struktur dan layout (design of the layout and structure) dan (4) jaminan bahwa kuesioner valid dan dapat dipercaya (ensuring the questionnaire is valid and reliable). Arus Pengendalian (Control Flowcharts), digunakan untuk menggambarkan apakah ada pengendalian dalam sistem dan dimana pengendalian itu berada dalam sistem. 5. Performance Monitoring Tools, mendiskusikan tentang obyek dari pengukuran kinerja, karakteristik dari pengawasan pengukuran, hardware, software, firmware, dan pengawasan pengukuran campuran (hybrid), bagaimana hasil dari penguk uran kinerja, dan resiko untuk pemeliharaan integritas data sewaktu pengawasan kinerja dilakukan VI. Model Audit COBIT 6.1 Latar Belakang dan Sejarah Singkat COBIT COBIT edisi ketiga adalah merupakan versi terakhir dari tujuan pengendalian untuk informasi dan teknologi terkait, release pertama diluncurkan oleh yayasan ISACF pada tahun 1996. COBIT edisi kedua, merefleksikan suatu peningkatan sejumlah dokumen sumber, revisi pada tingkat tinggi dan tujuan pengendalian rinci dan tambahan seperangkat alat implementasi (implementation tool set), yang telah dipublikasikan pada tahun 1998. COBIT edisi ke tiga ditandai dengan masuknya penerbit utama baru COBIT yaitu Institut IT Governance. Institut IT Governance dibentuk oleh ISACA dan yayasan terkait pada tahun 1998 dan memberikan pemahaman lebih dan mengadopsi prinsip-prinsip pengaturan TI. Melalui penambahan pedoman manajemen (management guidelines) untuk COBIT edisi ketiga dan fokusnya diperluas dan ditingkatkan pada IT Governance. Institut IT Governance mengambil peranan yang penting dalam pengembangan publikasi. COBIT pada umumnya didasarkan pada tujuan pengendalian (Control Objectives) ISACF dan telah ditingkatkan dengan teknik internasional yang ada, professional, pengaturan, dan standar khusus industri. Hasil tujuan pengendalian telah dikembangkan untuk aplikasi sistem informasi yang luas pada organisasi. Istilah “pada umumnya dapat Orasi-ilmiah wisuda II AMIK Pertiwi Sukabumi
oleh Solikin WS
5/9/2008
Page 8 of 31
diterima dan diterapkan” secara eksplisit digunakan dalam pengertian yang sama dengan prinsip Generally Accepted Accounting Principles (GAAP). 6.2 Pengertian COBIT
COBIT dapat diartikan sebagai tujuan pengendalian untuk informasi dan teknologi terkait dan merupakan standar terbuka untuk pengendalian terhadap teknologi informasi yang dikembangkan dan dipromosikan oleh Institut IT Governance. COBIT pertama sekali diperkenalkan pada tahun 1996 adalah merupakan alat (tool) yang disiapkan untuk mengatur teknologi informasi (IT Governance tool). COBIT telah dikembangkan sebagai sebuah aplikasi umum dan telah diterima menjadi standar yang baik bagi praktek pengendalian dan keamanan TI yang menyediakan sebuah kerangka kerja bagi pengelola, user, audit sistem informasi, dan pelaksana pengendalian dan keamanan. COBIT, di terbitkan oleh Institut IT Governance. Pedoman COBIT memungkinkan perusahaan untuk mengimplementasikan pengaturan TI secara efektif dan pada dasarnya dapat diterapkan di seluruh organisasi. Khususnya, komponen pedoman manajemen COBIT yang berisi sebuah respon kerangka kerja untuk kebutuhan manajemen bagi pengukuran dan pengendalian TI dengan menyediakan alat-alat untuk menilai dan mengukur kemampuan TI perusahaan untuk 34 proses TI COBIT. Alat-alat tersebut yaitu : 1. Elemen pengukuran kinerja (pengukuran hasil dan kinerja yang mengarahkan bagi seluruh proses TI) 2. Daftar faktor kritis kesuksesan (CSF) yang disediakan secara ringkas, praktek terbaik non teknis dari tiap proses TI 3. Model maturity untuk membantu dalam benchmarking dan pengambilan keputusan bagi peningkatan kemampuan Komponen COBIT terdiri dari Executive Summary, Framework, Control Objectives, Audit Guidelines, Implemenation Tool Set, Management Guidelines COBIT memiliki misi melakukan riset, mengembangkan, mempublikasikan, dan mempromosikan makalah- makalah, serta meng-update tatanan atau ketentuan TI controls objective yang dapat diterima umum (generally accepted control objectives) berikut panduan pelengkap yang dikenal sebagai Audit Guidelines yang memungkinkan penerapan framework dan control objectives dapat berjalan mudah. Tatanan atau ketentuan tersebut selanjutnya digunakan oleh para manajer dunia usaha maupun auditor dalam menjalankan profesinya. Sedangkan visi dari COBIT adalah dijadikan COBIT sendiri sebagai satu-satunya model pengurusan dan pengendalian teknologi informasi (Information Technology Governance).
Orasi-ilmiah wisuda II AMIK Pertiwi Sukabumi
oleh Solikin WS
5/9/2008
Page 9 of 31
6.3 Kerangka Kerja COBIT 6.3.1 Kebutuhan Pengendalian Teknologi Informasi Agar organisasi meraih kesuksesan, maka perlu memperhatikan dan memahami mengenai resiko dan keterbatasan TI disemua level organisasi agar mencapai arahan yang efektif dan pengendalian ya ng memadai. Manajemen harus memutuskan investasi yang memadai bagi pengendalian (control) dan keamanan (security) TI dan menyeimbangkan resiko dan investasi pengendalian yang tidak terprediksi dalam lingkungan TI. Oleh karena itu, kebutuhan terhadap manajemen kerangka kerja (framework) yang jelas, secara umum diterima sebagai praktek-praktek pengendalian dan keamanan TI untuk benchmark terhadap perencanaan dan kondisi TI yang ada. Terdapat kebutuhan yang meningkat dari user atas layanan TI untuk penjaminan, akreditasi dan audit atas layanan TI, baik yang disediakan oleh pihak ketiga maupun yang disediakan oleh pihak internal. 6.3.2 Lingkungan Bisnis Di era kompetisi global seperti sekarang ini, organisasi harus melakukan restrukturisasi terhadap kegiatan operasionalnya dan menggunakan keunggulan TI untuk meningkatkan posisi daya saing organisasi. Business re-engineering, right-sizing, outsourcing, empowerment, flattened organization, dan distributed processing merupakan semua perubahan yang mempengaruhi cara bisnis dan operasional perusahaan. Perubahan ini akan terus terjadi dan akan ber implikasi besar terhadap manajemen dan struktur pengendalian operasional dalam organisasi. Penekanan dalam mencapai keuntungan yang kompetitif dan efisiensi biaya , termasuk kepercayaan yang meningkat pada teknologi merupakan komponen besar dalam strategi kebanyakan organisasi. Fungsi organisasi yang otomatis, secara alamiah merupakan penggabungan ketentuan mekanisme pengendalian yang lebih kuat kedalam komputer dan jaringan, berbasis hardware dan software. 6.4 Perusahaan dan IT Governamce IT Governance menyediakan suatu stuktur yang berhubungan dengan proses TI, sumberdaya TI dan informasi untuk strategi dan tujuan perusahaan. Cara mengintegrasikan IT Governance dan optimalisasi perusahaan yaitu melalui perencanaan dan pengorganisasian (PO), akuisisi dan implementasi (AI), penyampaian dan dukungan (DS), dan pengawasan (M) kinerja TI. IT Governance merupakan bagian terintegrasi bagi kesuksesan pengaturan perusahaan dengan jaminan efisiensi dan efektivitas perbaikan pengukuran dalam kaitan dengan proses perusahaan. IT Governance memungkinkan perusahaan untuk memperoleh keunggulan penuh terhadap informasi, keuntungan yang maksimal, modal, peluang dan keunggulan kompetitif dalam bersaing. Orasi-ilmiah wisuda II AMIK Pertiwi Sukabumi
oleh Solikin WS
5/9/2008
Page 10 of 31
Pengaturan perusahaan (enterprise governance) dan sistem oleh entitas diarahkan dan dikendalikan, melalui kumpulan dan arahan IT Governance. Pada saat yang sama, TI dapat menyediakan masukan kritis, dan merupakan komponen penting bagi perencanaan strategis. Pada kenyataannya TI dapat mempengaruhi peluang strategis yang ditetapkan oleh perusahaan. Pengaturan Perusaan
Kumpulan dan Arahan
IT Governance
Gambar 1.5
Pengaruh IT Governance terhadap pengaturan perusahaan [3]
Aktivitas perusahaan membutuhkan informasi dari aktivitas TI dengan maksud untuk mempertemukan tujuan bisnis. Jaminan kesuksesan organisasi diakibatkan oleh adanya saling ketergantungan antara perencanaan strategis dan aktivitas TI lainnya. Kegiatan perusahaan perlu informasi dari kegiatan TI agar dapat mengintegrasikan tujuan bisnis. Aktivitas Perusahaan
Membutuhkan Informasi dari
Aktivitas TI
Gambar 1.6
Aktivitas Perusahaan memerlukan Aktivitas TI [3]
Siklus pengaturan perusahaan dapat dijelaskan sebagai berikut : pengaturan perusahaan ditentukan oleh praktek terbaik yang secara umum dapat diterima untuk menjamin perusahaan mencapai tujuannya, melalui pengendalian tertentu. Dari tujuan-tujuan ini mengalir arahan organisasi, yang mengatur kegiatan atau aktivitas perusahaan dengan Orasi-ilmiah wisuda II AMIK Pertiwi Sukabumi
oleh Solikin WS
5/9/2008
Page 11 of 31
menggunakan sumberdaya perusahaan. Hasil kegiatan atau aktivitas perusahaan diukur dan dilaporkan, memberikan masukan bagi pengendalian, demikian seterusnya, kembali ke awal siklus. Pengaturan Perusahaan Arahan
Tujuan
Pengendalian
Aktivitas Perusahaan
Sumberdaya
Menggunakan Laporan
Gambar 1.7
Siklus pengaturan perusahaan [4]
Siklus pengaturan TI dapat dijelaskan sebagai berikut : pengaturan TI, di tentukan oleh praktek terbaik yang menjamin informasi perusahaan dan teknologi terkait mendukung tujuan bisnisnya, sumberdaya digunakan dengan tanggung jawab dan resiko diatur secara memadai. Praktek tersebut membentuk dasar arahan kegiatan TI yang dapat dikelompokan kedalam PO, AI, DS dan M, dengan tujuan untuk pengaturan (memperoleh keamanan, keandalan dan pemenuhan) dan mendapat keuntungan (meningkatkan efektivitas, dan efisiensi). Laporan dikeluarkan melalui hasil kegiatan atau aktivitas TI, yang diukur dari praktek dan pengendalian yang bervariasi, demikian seterusnya, kembali ke awal siklus. Pengaturan TI Arahan Tujuan o TI disesuaikan dengan bisnis, keuntungan maksimal dan peluang peluang binsis o Sumber daya digunakan dengan bertanggung jawab
Aktivitas TI Perencanaan dan organisasi
PLAN DO CHECK Pengendalian CORRECT
Akuisisi dan Implementasi Penyampaian dan Dukungan Pengawasan Pengaturan Resiko ? Keamanan ? Dapat dipercaya ? Pemenuhan
o Resiko di atur secara memadai
Memperoleh Keuntungan Meningkatkan efektivitas
Menurunkan biaya atau efisiensi
Laporan
Gambar 1.8 Orasi-ilmiah wisuda II AMIK Pertiwi Sukabumi
Siklus pengaturan TI [4] oleh Solikin WS
5/9/2008
Page 12 of 31
Agar menjamin manajemen mencapai tujuan bisnisnya, maka harus mengatur dan mengarahkan kegiatan TI dalam mencapai keseimbangan yang efektif antara mengatur resiko dan mendapatkan keuntungan. Untuk melaksanakannya, manajemen perlu mengidentifikasikan kegiatan terpenting. Selain itu, perlu juga kemampuan mengevaluasi tingkat kesiapan organisasi terhadap praktek terbaik dan standar internasional. Untuk mendukung kebutuhan manajemen tersebut, pedoman manajemen COBIT (COBIT Management Guidelines ) telah secara khusus mengidentifikasikan CSF, KGI, KPI dan model maturity untuk pengaturan TI. 6.5 Definisi Umum Pengendalian, didefinisikan sebagai kebijakan, prosedur, praktek dan struktur organisasi yang dirancang untuk mengadakan jaminan yang tepat dimana tujuan bisnis akan tercapai dan kejadian yang tidak diinginkan akan dicegah atau dideteksi dan dikoreksi. Tujuan pengendalian TI, didefinisikan sebagai suatu pernyataan hasil yang diinginkan atau tujuan yang ingin dicapai oleh prosedur pengendalian implementasi dalam kegiatan TI khusus. Pengaturan TI, didefinisikan sebagai suatu stuktur hubungan dan proses untuk mengarahkan dan mengendalikan perusahaan agar mencapai tujuannya dengan menambah nilai yang menyeimbangkan resiko terhadap nilai kembali atas TI dan prosesnya. Untuk mencapai tujuan organisasi secara memuaskan, informasi harus memenuhi beberapa kriteria. COBIT telah menetapkan kriteria tersebut dengan merujuk pada kebutuhan informasi di organisasi atau perusahaan. COBIT mengkombinasikan beberapa prinsip penyusunan informasi berdasarkan model- model yang sudah ada, dan merumuskannya kedalam tiga kategori utama, yaitu : kualitas (quality), tanggung jawab fidusier (fiduciary responsibility) dan keamanan (security). Berdasarkan tiga persyaratan di atas, muncul tujuh kategori yang saling terkait satu sama lain, dan dijadikan sebagai kriteria untuk mengevaluasi sumberdaya teknologi informasi yang dapat memenuhi kebutuhan organisasi atau perusahaan akan suatu informasi. Kriteria dimaksud adalah : (a) Efektivitas (Effectiveness), menguraikan informasi yang relevan dan berhubungan dengan proses bisnis yang disampaikan tepat pada waktunya dengan cara yang benar, konsisten dan tepat digunakan. (b) Efisiensi (Efficiency), menyangkut ketentuan informasi melalui penggunaan sumberdaya yang optimal (lebih produktif dan ekonomis). (c) Kerahasiaan (Confidentiality), menyangkut perlindungan informasi yang sensitif dari akses yang tidak sah. (d) Integritas (Integrity), berkaitan dengan keakuratan dan kelengkapan informasi juga keabsahannya yang sesuai dengan harapan (expectation) dan nilai bisnis. Orasi-ilmiah wisuda II AMIK Pertiwi Sukabumi
oleh Solikin WS
5/9/2008
Page 13 of 31
(e) Ketersediaan (Availability), berkaitan dengan informasi yang tersedia yang diperlukan oleh proses bisnis saat ini dan yang akan datang, juga menyangkut penjagaan sumberdaya yang perlu dan kemampuan yang terkait. (f) Pemenuhan (Compliance), menguraikan pemenuhan hukum, peraturan dan persetujuan yang bersifat kontrak dimana proses bisnisnya merupakan subyek, yakni kriteria bisnis yang ditentukan dari luar. (g) Keterandalan informasi (Reliability of Information), berkaitan dengan ketentuan informasi yang memadai bagi manajemen untuk menjalankan dan melaksanakan keseluruhan finansialnya dan pemenuhan laporan tanggung jawab. Sumberdaya TI yang diidentifikasikan dalam COBIT dapat diterangkan atau diidentifikasikan sebagai berikut : a. Data, adalah obyek-obyek dalam pengertian yang lebih luas (yakni internal dan eksternal), terstruktur dan tidak terstruktur, grafik, suara dan sebagainya. b. Sistem aplikasi, dipahami untuk menyimpulkan atau meringkas, baik prosedur manual maupun yang terprogram. c. Teknologi, mencakup hardware, sistem operasi, sistem manajemen database, jaringan (networking), multimedia, dan lain- lain. d. Fasilitas, adalah semua sumberdaya untuk menyimpan dan mendukung sistem informasi. e. Manusia termasuk staf ahli, kesadaran dan produktivitas untuk merencanakan, mengorganisasikan atau melaksanakan, memperoleh, menyampaikan, mendukung dan memantau layanan sistem informasi. Cara lain memandang hubungan sumberdaya digambarkan sebagai berikut :
Gambar 1.9
TI untuk penyampaian layanan
Hubungan sumber TI untuk penyampaian layanan [3]
Proses bisnis membutuhkan informasi yang efektif, efisien, kerahasiannya terjamin, integritas data terjaga, memenuhi aturan dan handal. Itu semua harus dapat dipenuhi oleh informasi yang dihasilkan dari sumberdaya TI yang terdiri dari data, sistem aplik asi, teknologi fasilitas dan sumberdaya manusia. Orasi-ilmiah wisuda II AMIK Pertiwi Sukabumi
oleh Solikin WS
5/9/2008
Page 14 of 31
PROSES BISNIS
Apa yang dibutuhkan
Apa yang diperoleh -
INFORMASI
Efektif Efisien Kerahasiaan Integritas Ketersediaan Pemenuhan Keterandalan
SUMBER DAYA TI -
Gambar 1.10
Data Sistem Aplikasi Teknologi Fasilitas Sumber Daya Manusia
Kerangka kerja tujuan pengendalian TI
Kerangka kerja COBIT, terdiri dari tujuan pengendalian tingkat tinggi dan struktur klasifikasi keseluruhan. Terdapat tiga tingkat (level) usaha pengaturan TI yang menyangkut manajemen sumberdaya TI. Mulai dari bawah, yaitu kegiatan dan tugas (activities and tasks) yang diperlukan untuk mencapai hasil yang dapat diukur. Dalam Aktivitas terdapat konsep siklus hidup yang di dalamnya terdapat kebutuhan pengendalian khusus. Kemudian satu lapis di atasnya terdapat proses yang merupakan gabungan dari kegiatan dan tugas (activities and tasks) dengan keuntungan atau perubahan (pengendalian) alami. Pada tingkat yang lebih tinggi, proses biasanya dikelompokan bersama kedalam domain. Pengelompokan ini sering disebut sebagai tanggung jawab domain dalam struktur organisasi dan yang sejalan dengan siklus manajemen atau siklus hidup yang dapat diterapkan pada proses TI.
Orasi-ilmiah wisuda II AMIK Pertiwi Sukabumi
oleh Solikin WS
5/9/2008
Page 15 of 31
Domains
Processes
Activities/ Task
Gambar 1.11
Tiga tingkat usaha pengaturan TI [3]
Selanjutnya, konsep kerangka kerja dapat dilihat dari tiga sudut pandang, yaitu (1) kriteria informasi (information criteria), (2) sumberdaya TI (IT resources), dan (3) proses TI (IT processes). Ketiga sudut pandang tersebut digambarkan dalam kubus COBIT sebagai berikut :
Gambar 1.12
Kubus COBIT [3]
Dalam kerangka kerja sebelumnya, domain diidentifikasikan dengan memakai susunan manajemen yang akan digunakan dalam kegiatan harian organisasi. Kemudian empat domain yang lebih luas diidentifikasikan, yaitu PO, AI, DS, dan M. Definisi keempat domain tersebut, dimasukan dalam klasifikasi tingkat tinggi sebagai berikut :
Orasi-ilmiah wisuda II AMIK Pertiwi Sukabumi
oleh Solikin WS
5/9/2008
Page 16 of 31
(a) PO, domain ini mencakup level strategis dan taktis, dan konsennya pada identifikasi cara TI yang dapat menambah pencapaian terbaik tujuan-tujuan bisnis. (b) AI, untuk merealisasikan strategi TI, solusi TI yang perlu diidentifikasikan, dikembangkan atau diperlukan, juga diimplementasikan dan diintegrasikan dalam proses bisnis. (c) DS, domain ini menyangkut penyampaian aktual dari layanan yang diperlukan, dengan menyusun operasi tradisional terhadap keamanan dan aspek kontinuitas sampai pada pelatihan, domain ini termasuk proses data aktual melalui sistem aplikasi, yang sering diklasifikasikan dalam pengendalian aplikasi. (d) M, semua proses TI perlu dinilai secara teratur atas suatu waktu untuk kualitas dan pemenuhan kebutuhan pengendalian. Domain ini mengarahkan kesalahan manajemen pada proses pengendalian organisasi dan penjaminan independen yang disediakan oleh audit internal dan eksternal atau diperolah dari sumber alternatif. Proses-proses TI ini dapat diterapkan pada tingkatan yang berbeda dalam organisasi, misalnya tingkat perusahaan, tingkat fungsi dan lain-lain. Jelas bahwa semua ukuran pengendalian perlu memenuhi kebutuhan bisnis yang berbeda untuk informasi pada tingkat yang sama. a) Pertama adalah tingkat tujuan pengendalian yang diterapkan secara langsung mempengaruhi kriteria informasi terkait. b) Kedua adalah tingkat tujuan pengendalian yang ditetapkan hanya memenuhi tujuan pengendalian atau secara tidak langsung kriteria informasi terkait. c) Blank dapat diterapkan namun kebutuhannya lebih memenuhi kriteria lain dalam proses ini atau yang lainnya. Agar organisasi mencapai tujuannya, pengaturan TI harus dilaksanakan oleh organisasi untuk menjamin sumberdaya TI yang dijalankan oleh seperangkat proses TI. 6.6 Evolusi Produk COBIT COBIT akan terus berkembang dan akan dijadikan dasar penelitian lebih lanjut. Kelompok (keluarga) produk COBIT akan diciptakan dan tugas-tugas serta kegiatan TI yang menjalankan struktur untuk melaksanakan tujuan pengendalian lebih lanjut akan diperbaiki dan keseimbangan antara domain dan proses ditinjau dari sudut susunan perubahan industri.
Orasi-ilmiah wisuda II AMIK Pertiwi Sukabumi
oleh Solikin WS
5/9/2008
Page 17 of 31
RINGKASAN EKSEKUTIF KUMPULAN ALAT IMPLEMENTASI Tinjauan Eksekutif Studi Kasus FAQs Presentasi Powerpoint Pedoman Implementasi
KERANGKA KERJA (dengan tujuan pengendalian tingkat Tinggi
Diagnostik Kepedulian Manajemen Diagnostik Pengendalian TI
PEDOMAN MANAJEMEN
TUJUAN PENGENDALIAN RINCI
Model Maturity
CSF
Gambar 1.13
KGI
PEDOMAN AUDIT
KPI
Produk keluarga COBIT [3]
6.7 COBIT dan Pedoman Audit Pedoman audit menyediakan alat yang saling melengkapi untuk memungkinkan aplikasi yang mudah dari kerangka kerja COBIT dan tujuan-tujuan pengendalian dalam audit dan kegiatan penilaian. Maksud pedoman audit adalah untuk menyediakan struktur yang sederhana untuk mengaudit dan menilai pengendalian berdasarkan pada praktek audit yang diterima secara umum yang sesuai dengan skema COBIT keseluruhan. Pedoman audit ini menyediakan petunjuk untuk mempersiapkan perencanaan audit yang diintegrasikan dengan kerangka kerja COBIT dan tujuan pengendalian rinci, yang dapat dikembangkan kedalam program audit khusus. Pedoman audit COBIT memungkinkan auditor mereview proses khusus TI terhadap tujuan pengendalian yang direkomendasikan, untuk membantu menjamin menajemen terhadap pengendalian yang memadai, atau memberi saran kepada manajemen apakah proses perlu ditingkatkan. 6.8 Struktur Umum Pedoman Audit Model yang paling umum dalam menilai pengendalian adalah model audit, pendekatan lain yang diambil adalah model analisa resiko.
Orasi-ilmiah wisuda II AMIK Pertiwi Sukabumi
oleh Solikin WS
5/9/2008
Page 18 of 31
Tujuan audit adalah untuk : a) menyediakan jaminan yang layak bagi manajemen dimana tujuan pengendalian diintegrasikan. b) adanya kelemahan pengendalian yang penting untuk mengurangi resiko hasil atau akibatnya. c) memberi saran manajemen pada tindakan korektif. Struktur proses audit yang diterima secara umum adalah : identifikasi dan dokumentasi, evaluasi, pengujian pemenuhan, pengujian substantif Oleh karena itu proses TI diaudit oleh : ? perolehan suatu pemahaman kebutuhan bisnis terkait resiko, ukuran pengendalian yang relevan. ? evaluasi kelayakan pengendalain yang ditetapkan. ? penilaian pemenuhan me lalui pengujian apakah pengendalian yang ditetapkan tersebut berjalan sesuai dengan yang telah ditentukan secara konsisten dan terus menerus. ? menghindari resiko tujuan pengendalian yang tidak diintegrasikan oleh penggunaan teknik analisa dan atau konsultasi atau pemeriksaan sumber alternatif. Pada tingkat tinggi, pendekatan audit umum ini didukung oleh : a) kerangka kerja COBIT, khususnya ringkasan dengan klasifikasi proses TI kriteria informasi yang dapat diterapkan dan sumberdaya TI b) kebutuhan proses audit itu sendiri c) kebutuhan umum pengauditan proses TI d) prinsip pengendalian umum Tingkat ke dua terdiri dari pedoman audit rinci bagi setiap proses TI. Pada tingkat ke tiga dan terendah, auditor dapat melengkapi pedoman audit dengan menggabungkan kondisi lokal, menjalankan fase perencanaan audit dengan poin perhatian audit yang mempengaruhi tujuan pengendalian rinci melalui : kriteria sektor khusus, standar industri, elemen khusus platform, teknik pengendalian rinci yang digunakan. Yang terpenting dari tingkat ini adalah fakta bahwa tujuan pengendalian tidak selalu perlu diterapkan dimana saja. Informasi tingkat tinggi yang mendukung (pedoman umum, kebutuhan proses audit dan observasi pengendalian) akan membantu auditor mengembangkan program audit yang diperlukan.
Orasi-ilmiah wisuda II AMIK Pertiwi Sukabumi
oleh Solikin WS
5/9/2008
Page 19 of 31
Tabel 1.1 Stuktur detil untuk aplikasi pedoman audit [3]
6.9 Kebutuhan Proses Bisnis Untuk menetapkan bidang audit yang benar, dibutuhkan investigasi, analisa dan definisi : a) proses bisnis yang bersangkutan b) platform dan sistem informasi yang mendukung proses bisnis nya juga antar konektifitas dengan platform dan sistem lainnya c) peran dan tanggungjawab TI yang ditetapkan, termasuk yang telah menjadi sumber dalam dan luar d) resiko bisnis terkait dan pilihan strategis Langkah selanjutnya adalah mengidentifikasikan kebutuhan informasi yang ada relevansinya dengan proses bisnis. Selanjutnya diperlukan ide ntifikasi resiko TI yang melekat juga tingkat pengendalian keseluruhan yang dapat diasosiasikan dengan proses bisnis, yakni : a) perubahan yang ada dalam lingkungan bisnis yang berdampak pada TI b) perubahan yang ada pada lingk ungan TI, perkembangan baru dan lain- lain. c) kejadian yang ada, relevan terhadap pengendalian dan lingkungan bisnis. d) pengendalian pemantauan TI diterapkan oleh manajemen e) audit yang ada dan atau laporan sertifikasi f) hasil yang ada pada penilaian itu sendiri Atas dasar informasi yang diperoleh, kita dapat menyeleksi proses COBIT yang relevan juga sumberdaya yang dapat diterapkan. Selain itu harus menerapkan strategi audit atas dasar rencana audit rinci yang lebih lanjut harus diuraikan yakni dengan pendekatan berbasis pengendalian atau pendekatan substantif.
Orasi-ilmiah wisuda II AMIK Pertiwi Sukabumi
oleh Solikin WS
5/9/2008
Page 20 of 31
Tabel 1.2 Kebutuhan Proses Audit [3]
6.10 Pedoman Umum Audit COBIT 6.10.1 Memperoleh Suatu Pemahaman Tahapan audit untuk mendokumentasikan kegiatan pokok tujuan pengendalian, juga mengidentifikasikan ukuran atau prosedur pengendalian yang ditetapkan. Wawancara yang dibutuhkan dari manajemen dan staf untuk memperoleh suatu pemahaman berasal dari kebutuhan bisnis dan resiko terkait, struktur organisasi, peranan dan tanggungjawab, hukum dan peraturan, ukuran pengendalian yang sesuai, dan laporan manajemen (status, kinerja, item tindakan) 6.10.2 Mengevaluasi Pengendalian Tahapan audit untuk menilai efektivitas ukuran pengendalian yang sesuai atau tingkat dimana tujuan pengendalian dicapai. Pada dasarnya memutuskan apa, apakah dan bagaimana menguji. Mengevaluasi kelayakan ukuran pengendalian bagi proses dengan mempertimbangkan kriteria yang diidentifikasi dan praktek standar industri, CSF, ukuran pengendalian dan menerapkan penilaian profesional auditor. Evaluasi pengendalian diperoleh dari keberadaan proses yang didokumentasikan, keberadaan penyampaian yang layak, tanggungjawab dan akuntabilitas yang jelas dan efektif, dan keberadaan pengendalian yang berimbang, apabila perlu menyimpulkan tingkatan dimana tujuan pengendalian diintegrasikan
Orasi-ilmiah wisuda II AMIK Pertiwi Sukabumi
oleh Solikin WS
5/9/2008
Page 21 of 31
6.10.3 Menilai Ketaatan (Pemenuhan Tahapan audit untuk menjamin bahwa ukuran pengendalian yang ditetapkan berjalan seperti yang telah ditentukan, secara konsisten dan terus menerus menyimpulkan kelayakan lingkungan pengendalian. Memperoleh bukti langsung dan tidak langsung untuk item yang diseleksi untuk menjamin bahwa prosedur tersebut telah dipenuhi dalam proses tinjaun dengan menggunakan bukti langsung dan tidak langsung. 6.10.4 Menghindari Resiko Tahapan audit untuk menghindari resiko tujua n pengendalian yang tidak diintegrasikan oleh penggunaan teknik analitis dan atau konsultasi sumber alternatif. Tujuannya adalah untuk mendukung opini, auditor harus kreatif dalam menemukan dan mendapatkan informasi rahasia dan sensitif. Mendokumentasika n kelemahan pengendalian yang mengakibatkan ancaman dan vulnerabilitas. Mengidentifikasikan dan mendokumentasikan dampak potensial, misalnya melalui analisa sebab utama. Menyediakan informasi komparatif, misalnya melalui benchmark. 6.11 Pedoman Manajemen COBIT Institut IT Governance telah melakukan riset utama bekerja sama dengan kalangan akademisi, analis, dan para ahli dunia industri. Riset tersebut menghasilkan definisi pedoman manajemen untuk COBIT, yang terdiri dari model maturity, CSF, KGI, dan KPI, yang kemudian menyediakan manajemen dengan alat untuk menilai dan mengukur lingkungan TI organisasi terhadap 34 proses TI yang diidentifikasikan COBIT. Terdapat perubahan besar dalam TI dan jaringan yang menekankan informasi elektronik dan sistem TI untuk mendukung proses bisnis kritis. Selanjutnya, bisnis yang sukses perlu pengaturan yang lebih baik dalam menghadapi teknologi yang komplek. Dengan meningkatnya pengungkapan kesalahan sistem informasi dan penyalahgunaan (fraud) elektronik, maka lingkungan organisasi memerlukan pengendalian yang teliti terhadap informasi. Saat ini manajemen TI terkait resiko tersebut dipahami sebagai bagian inti dari pengaturan perusahaan. Pengaturan TI yang merupakan bagian dari pengaturan perusahaan, menjadi lebih dirasakan pera nannya dalam mencapai tujuan organisasi dengan menambah nilai melalui penyeimbangan resiko terhadap nilai kembali atas TI dan prosesnya. Pengaturan TI merupakan pelengkap suksesnya pengaturan perusahaan melalui peningkatan yang efisien dan efektif sehubungan dengan proses perusahaan. Pengaturan TI menyediakan stuktur yang berhubungan dengan proses TI, sumberdaya TI, dan informasi untuk strategi dan tujuan perusahaan. Lebih lanjut, pengaturan TI mengintegrasikan dan melembagakan praktek yang berhubungan dengan PO, AI, DS, dan M kinerja TI untuk menjamin bahwa informasi perusahaan dan teknologi terkait mendukung tujuan bisnisnya. Selain itu pengaturan TI memungkinkan perusahaan mengambil keuntungan dari informasi tersebut.
Orasi-ilmiah wisuda II AMIK Pertiwi Sukabumi
oleh Solikin WS
5/9/2008
Page 22 of 31
Dalam lingkungan yang komplek, ma najemen mencari terus informasi yang tepat dan singkat untuk mengatasi masalah resiko dan pengendalian yang sulit, dengan cepat dan sukses. Berikut ini beberapa pertanyaan tradisional dan toolkit informasi manajemen yang digunakan untuk mencari respon : Pertanyaan-pertanyaan manajemen: Bagaimana tanggung jawab manajer ”menjaga kemudi yang berjalan” ?
DASHBOARDS
Bagaimana mencapai hasil yang memuaskan untuk kemungkinan segmentasi yang lebih besar bagi stakeholder?
SCORECARDS
Bagaimana menyesuaikan dengan tepat organisasi pada kecenderungan dan perkembangan dalam lingkungan perusahaan?
BENCHMARKIN G
Gambar 1.14
Pertanyaan dan seperangkat alat informasi manajemen [4]
Dashboard membutuhkan indikator, scorecard membutuhk an ukuran, dan benchmarking membutuhkan skala perbandingan. Respon yang disediakan oleh pedoman manajemen COBIT, umum dan berorientasi tindakan dengan maksud mengarahkan tipe manajemen berikut : a) Ukuran kinerja - indikator-indikator apa dari kinerja yang baik? b) Riwayat pengendalian TI - apa yang penting ? CSF apa untuk pengendalian ? c) Kepedulian - resiko apa yang terjadi apabila tujuannya tidak tercapai? d) Bencmarking - apa yang bisa dilakukan oleh pihak lain? bagaimana kita mengukur dan membandingkannya? Jawaban untuk kebutuhan penetapan ini dan pemantauan keamanan TI yang sesuai dan tingkat pengendalian adalah definisi dari : a) Benchmarking praktek pengendalian TI (dinyatakan sebagai model maturity ) b) Indikator kinerja proses TI - untuk hasil dan kinerjanya c) CSF untuk mendapatkan proses dalam pengendalian ini Pedoman manajemen konsisten dan dibangun atas kerangka kerja COBIT, tujuan pengendalian dan pedoman audit. Selain itu, prinsip balance business scorecard digunakan untuk memfokuskan pada manajemen kinerja, yang membantu menetapkan KGI, mengidentifikasikan dan mengukur hasil proses dan KPI, menilai bagaimana proses dilaksanakan melalui ukuran yang memungkinkan. Oleh karena itu hubungan antara tujuan bisnis dengan ukurannya dan TI dengan tujuan dan ukurannya sangat penting dan dapat digambarkan sebagai berikut :
Orasi-ilmiah wisuda II AMIK Pertiwi Sukabumi
oleh Solikin WS
5/9/2008
Page 23 of 31
Balanced Business Scorecard
Teknologi Informasi Penyebab (Enablers)
Tujuan
ukuran (hasil/keluaran) Gambar 1.15
ukuran (kinerja)
Hubungan antara tujuan dan ukuran bisnis dengan tujuan dan ukuran TI [4]
Ukuran ini akan membantu manajemen dalam memantau organisasi dengan menjawab pertanyaan berikut : 1. Apa yang menjadi perhatian manajemen? Yakinkan bahwa kebutuhan perusahaan dipenuhi 2. Dimana diaturnya? Pada Balanced Business Scorecard sebagai Key Goal Indicator yang menggambarkan hasil proses bisnis. 3. Apa yang menjadi perhatian TI? Bahwa proses TI menyampaikan dasar informasi yang benar dan tepat pada perusahaan memungkinkan kebutuhan bisnis dipenuhi. Ini merupakan CSF bagi perusahaan. 4. Dimana diukurnya? Pada Balanced Business Scorecard TI, sebagai KGI yang menggambarkan hasil TI, dimana informasi tersebut disampaikan dengan kriteria yang benar (efektivitas, efisiensi, kerahasiaan, integritas, ketersediaan, pemenuhan dan keterandalan). 5. Kebutuhan-kebutuhan lain apa yang diukur? Apapun hasilnya secara positif dipengaruhi oleh sejumlah CSF yang perlu diukur sebagai KPI terhadap bagaimana TI berjalan dengan baik. Model maturity untuk pengendalian terhadap proses TI terdiri dari pengembangan suatu metode penyusunan agar suatu organisasi dapat menilai tingkatan posisinya dari nonexistent ke optimised (dari 0 sampai 5). Pendekatan ini diambil dari Maturity Model Software Engineering Institute yang diterapkan untuk kematangan kemampuan pengembangan software. Terhadap tingkat ini, dikembangkan untuk setiap 34 proses TI COBIT, manajemen dapat menggambarkan : a) status organisasi saat ini – dimana organisasi s aat ini b) status terbaik industri saat ini (dikelasnya) – sebagai perbandingan c) status standar internasional saat ini – sebagai perbandingan d) strategi organisasi untuk perbaikan atau peningkatan – ke arah mana keinginan organisasi
Orasi-ilmiah wisuda II AMIK Pertiwi Sukabumi
oleh Solikin WS
5/9/2008
Page 24 of 31
NonExistent 0
Initial
Repeatable
1
2
ARTI SIMBO L
Defined
Managed
Optimised
3
4
5
ARTI RANGKING
Posisi Perusahaan saat ini Pedoman Standar Internasional Praktek Terbaik Industri
0 Non-Existent 1 Initial 2 Repeatable 3 Defined 4 Managed 5 Optimised
- proses manajemen tidak ada - proses bersifat adhoc dan tidak terorganisir - proses mengikuti pola yang teratur - proses didokumentasikan dan dikomunikasikan
- proses dimonitor dan diukur - proses otomatis dan mengikuti standar
Strategi Perusahaan
Gambar 1.16
Model Maturity [4]
CSF menetapkan masalah terpenting atau tindakan untuk manajemen mencapai pengendalian proses TI. CSF harus mengatur orientasi pedoman implementasi dan mengidentifikasikan hal terpenting yang dilakukan secara strategis, teknis, organisasional atau prosedur. KGI menetapkan ukuran yang mengarahkan manajemen setelah fakta – apakah proses TI telah mencapai kebutuhan bisnisnya, biasanya digambarkan atas kriteria informasi : ketersediaan informasi diperlukan untuk mendukung kebutuhan bisnis, ketiadaan atau kekurangan integritas dan resiko kerahasiaaan, efisiensi biaya proses dan operasi, konfirmasi reliabilitas, efektivitas dan pemenuhan KPI menetapkan ukuran untuk menentukan bagaimana proses TI dilaksanakan dengan baik yang memungkinkan tujuan tersebut dicapai. Secara ringkas dapat diuraikan sebagai berikut : a. Model maturity, untuk pilihan strategis dan perbandingan benchmarking b. CSF, untuk mendapatkan proses dalam pengendalian c. KGI, untuk memantau pencapaian tujuan proses d. KPI, untuk memantau kinerja dalam setiap proses TI. Kerangka kerja COBIT menetapkan 34 proses TI dalam lingkungan TI. Untuk setiap proses terdapat satu pertanyaan pengendalian tingkat tinggi dan antara 3 sampai 30 tujuan pengendalian rinci. Pemilik proses harus dapat menetapkan tingkat yang melekat pada tujuan pengendalian. Untuk setiap 34 proses TI, terdapat skala ukuran naik, berdasarkan pada level 0-5, yang digambarkan dari ”tidak ada (Non Existent)” sampai dengan ”dioptimalisasi (Optimised)” sebagai berikut:
Orasi-ilmiah wisuda II AMIK Pertiwi Sukabumi
oleh Solikin WS
5/9/2008
Page 25 of 31
Level 0 Level 1
Level 2
Level 3
Level 4
Level 5
Tabel 1.3 Model Umum Maturity Model Umum Maturity Tidak ada (Non-Existent), kurang lengkapnya setiap proses yang dikenal. Organisasi belum mengenal adanya isu atau masalah yang diarahkan. Inisialisasi (Initial), ada bukti bahwa or ganisasi telah mengenal isu atau masalah yang ada dan perlu diarahkan. Tetapi tidak ada proses standarisasi, tetapi sekurang-kurangnya ada pendekatan khusus (adhoc) yang cenderung diterapkan pada individu atau dasar kasus demi kasus. Pendekatan terhadap keseluruhan manajemen tidak terorganisir. Dapat diulang (Repeatable), proses telah berkembang pada tahap dimana prosedur yang sama diikuti oleh orang yang berbeda dalam menjalankan tugas yang sama, tetapi tidak ada pelatihan formal atau prosedur komunikasi standar. Tanggung jawab diserahkan kepada setiap individu. Kepercayaan terhadap pengetahuan individu sangat tinggi sehingga seringkali terjadi kesalahan. Ditetapkan (Defined), prosedur telah distandarisasi dan didokumentasikan serta dikomunikasikan melalui pelatihan. tetapi imlementasinya masih bergantung pada individu apakah mau mengikuti prosedur tersebut atau tidak. Prosedur dikembangkan sebagai bentuk formalisasi dari praktek yang ada. Diatur (Managed), sudah memungkinkan untuk memantau dan mengukur ketaatan pada prosedur sehingga dapat dengan mudah diambil tindakan apabila proses yang ada tidak berjalan secara efektif. Perbaikan proses dilakukan secara tetap dan memberikan praktek terbaik. Otomasi dan peralatan yang digunakan terbatas. Dioptimalisasi (Optimised), proses telah disaring pada tingkat praktek terbaik berdasarkan pada hasil perbaikan yang terus menerus dan pengukuran model maturity dengan organisasi lain. TI digunakan dalam cara yang terintegrasi untuk me ngotomatisasi arus kerja, menyediakan alat untuk meningkatkan kualitas dan efektivitas, membuat perusahaan mudah untuk beradaptasi.
6.12 Pengendalia n 6.12.1 Definisi Pengendalian Ron Weber (1999,35) mengemukakan Pengendalian (control) adalah sebuah sistem yang digunakan untuk mencegah (prevents), mendeteksi (detects), atau mengkoreksi kejadian yang tidak dibenarkan (unlawful events). Tiga aspek kata kunci definisi pengendalian, yaitu : 1. Pengendalian adalah sebuah sistem (a control is a system) Dengan kata lain, terdiri dari sekumpulan komponen yang saling berelasi yang berfungsi secara bersama-sama untuk menyelesaikan suatu maksud atau tujuan. 2. Kejadian yang tidak dibenarkan (unlawful events) Ketidakabsahan kegiatan dapat muncul jika tidak ada otorisasi (unauthorized), tidak akurat (inaccurate), tidak lengkap (incomplete), redundansi (redundant), tidak efektif (ineffective) atau tidak efisien (inefficient) pemasukan data kedalam sistem. 3. Ketiga, pemeriksaan digunakan untuk mencegah (prevent), mendeteksi (detect), atau mengkoreksi (correct) kejadian yang tidak dibenarkan (unlawful events).
Orasi-ilmiah wisuda II AMIK Pertiwi Sukabumi
oleh Solikin WS
5/9/2008
Page 26 of 31
6.12.2 Pendekatan Pengendalian Dua pendekatan pengendalian yaitu : 1. Pengendalian manajemen (management control), terdiri dari Top Management Controls, Systems Development Management Controls, Programming Management Controls, Data Resource Management Controls, Security Management Controls, Operations Management Controls, dan Quality Assurance Management Controls 2. Pengendalian aplikasi (application control), terdiri dari, Boundary Controls, Input Controls, Communication Controls, Processing Controls, Database Controls, dan Output Controls.
Gambar 1.17
Pengendalian manajemen sebagai suatu lapisan disekitar pengendalian aplikasi [5,45]
Pengendalian terdiri dari dua jenis, yaitu pengendalian intern dan pengendalian ekstern. Pada kesempatan ini hanya akan dijelaskan mengenai pengendalian intern. 6.12.3 Definisi Pengendalian Internal Definisi COBIT merujuk pada bagaimana COSO (committee of sponsoring organization of the treadway commission) mendefinisikan pengendalian sebagai serangkaian kebijakan, prosedur, praktek, dan struktur organisasi yang dirancang untuk menyiapkan keyakinan yang mendasar, bahwa tujuan organisasi atau perusahaan akan dapat dicapai dan hal-hal yang tidak dikehendaki akan terdeteksi atau terkoreksi. Disamping itu COBIT juga mengadaptasi definisi dari IT contol objective yang dikeluarkan oleh SAC (system auditability and control), yaitu suatu pernyataan tentang hasil yang dikehendaki atau direncanakan untuk dicapai dengan menerapkan prosedur prosedur pengendalian di dalam kegiatan teknologi informasi yang terkait.
Orasi-ilmiah wisuda II AMIK Pertiwi Sukabumi
oleh Solikin WS
5/9/2008
Page 27 of 31
6.12.4 Tujuan Pengendalian Internal Tujuan pengendalian TI didefinisikan sebagai suatu pernyataan hasil yang diinginkan atau maksud yang dicapai oleh prosedur pengendalian implementasi dalam kegiatan TI khusus. Tujuan dari pengendalian internal adalah : a. Memeriksa ketelitian dan kebenaran data yang akan menghasilkan laporan- laporan yang dapat diandalkan. b. Efektivitas dan efisiensi dalam operasi, yaitu efektif dalam mencapai tujuan organisasi secara keseluruhan dan efisien dalam pemakaian sumberdaya yang tersedia. c. Membantu agar tidak terjadi penyimpangan terhadap hukum dan peraturan yang berlaku d. Mengamankan harta milik organisasi atau perusahaan termasuk data yang tersedia. 6.12.5 Klasifikasi Proses Pengendalian Sistem Informasi COBIT Framework sebagaimana disebutkan dalam IS Auditing Guidelines pada bab ‘Effect of Perfasive IS Control’ yang mulai berlaku efektif sejak 1 Maret 2000, membagi proses pengendalian sistem informasi ke dalam empat domain, yaitu : 1. Perencanaan dan pengorganisasian (PO : Planning and Organisation) 2. Akuisisi dan implementasi (AI : Acquisition and Implementation) 3. Penyampaian da n dukungan (DS : Delivery and Support) 4. Pemantauan (M : Monitoring) Keempat domain tersebut diatas kemudian dijabarkan menjadi 34 faktor resiko yang harus dievaluasi jika ingin diperoleh suatu kesimpulan mengenai seberapa besar kepedulian manajemen terhadap teknologi informasi, serta bagaimana teknologi informasi dapat memenuhi kebutuhan manajemen akan informasi.
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11.
Tabel 1.4 Tiga puluh empat faktor resiko dan pengendalian PLANNING AND ORGANISATION (PO) PO1 Menetapkan Rencana Strategis Teknologi Informasi (Define a Strategic IT Plan) PO2 Menetapkan Arsitektur Informasi (Define the Information Architecture) PO3 Menetapkan Arah Teknologi (Determine Technological Direction) PO4 Menetapkan Organisasi TI dan Hubungannya (Define the IT Organisatio n and Relationships) PO5 Mengatur Investasi TI (Manage the IT Investment) PO6 Mengkomunikasikan Tujuan dan Arahan Manajemen (Communicate Management Aims and Direction) PO7 Mengelola Sumberdaya Manusia (Manage Human Resources) PO8 Memastikan Kesesuaian dengan Kebutuhan-kebutuhan eksternal (Ensure Compliance with External Requirements) PO9 Menilai Resiko (Assess Risks) PO10 Mengatur Proyek (Manage Projects) PO11 Mengatur Kualitas (Manage Quality)
Orasi-ilmiah wisuda II AMIK Pertiwi Sukabumi
oleh Solikin WS
5/9/2008
Page 28 of 31
12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. 32. 33. 34.
ACQUISITION AND IMPLEMENTATION (AI) AI1 Identifikasi solusi- solusi otomatisasi (Identify Automated Solutions) AI2 Memperoleh dan memelihara Perangkat Lunak Aplikasi (Acquire and Maintain Application Software) AI3 Memperoleh dan memelihara Infrastruktur Teknologi (Acquire and Maintain Technology Infrastructure) AI4 Mengembangkan dan memelihara prosedur (Develop and Maintain Procedures) AI5 Instalasi dan pengakuan sistem (Install and Accredit Systems) AI6 Mengatur Perubahan (Manage Changes) DELIVERY AND SUPPORT (DS) DS1 Menetapkan dan mengatur tingkatan pelayanan (Define and Manage Service Levels) DS2 Mengelola layanan pihak ke tiga (Manage Third-Party Services) DS3 Mengelola kapasitas dan kinerja (Manage Performance and Capacity) DS4 Menjamin layanan berkelanjutan (Ensure Continuous Service) DS5 Menjamin keamanan sistem (Ensure Systems Security) DS6 Mengidentifikasikan dan mengalokasikan biaya (Identify and Allocate Costs) DS7 Mendidik dan melatih user (Educate and Train Users) DS8 Membantu dan memberikan masukan kepada pelanggan (Assist and Advise Customers) DS9 Mengelola konfigurasi (Manage the Configuration) DS10 Mengelola kegiatan dan permasalahan (Manage Problems and Incidents) DS11 Mengelola Data (Manage Data) DS12 Mengelola Fasilitas (Manage Facilities) DS13 Mengelola Operasi (Manage Operations) M ONITORING (M) M1 Mengawasi proses (Monitor the Processes) M2 Menilai kecukupan pengendalian internal (Assess Internal Control Adequacy) M3 Memperoleh jaminan independen (Obtain Independent Assurance) M4 Menyediakan Audit Independen (Provide for Independent Audit )
Orasi-ilmiah wisuda II AMIK Pertiwi Sukabumi
oleh Solikin WS
5/9/2008
Page 29 of 31
Orasi-ilmiah wisuda II AMIK Pertiwi Sukabumi
oleh Solikin WS
5/9/2008
Page 30 of 31
Daftar Pustaka 1. Alvin A, Arens, James K.Loebbecke, Auditing, Edisi Indonesia, Jakarta, 2003. 2. Weber, Ron (1999), Information Systems Control and Audit, The University of Queensland, Prentice Hall. 3. Information System Audit and Control Association (ISACA) (2003), IS Standards, Guidelines and Procedures for Auditing and Control Professionals, http://www.isaca.org., 14 Juli 2003. 4. IT Governance Institute (2000), Executive Summary, COBIT 3rd Edition, http://www.isaca.org, 14 Juli 2003.. 5. IT Governance Institute (2000), Audit Guidelines, COBIT 3rd Edition, http://www.isaca.org, 14 Juli 2003.. 6. IT Governance Institute (2000), Management Guidelines, COBIT 3rd Edition, http://www.isaca.org., 14 Juli 2003. 7. IT Governance Institute (2000), Implemetation Tool Set, COBIT 3rd Edition, http://www.isaca.org., 14 Juli 2003. 8. Yayasan Pendidikan Internal Audit (2002), Institut Pendidikan dan Pelatihan Audit dan Manajemen, Audit Sistem Informasi II, Jakarta.
Orasi-ilmiah wisuda II AMIK Pertiwi Sukabumi
oleh Solikin WS
5/9/2008
Page 31 of 31