COBIT (Control Objective for Information and related Technology)

COBIT

COBIT (Control Objective for Information and related Technology), dikeluarkan dan disusun oleh IT Governance Institute yang merupakan bagian dari ISACA (Information Systems Audit and Control Association) pada tahun 1996. COBIT merupakan kerangka panduan tata kelola TI atau bisa juga disebut toolset pendukung yang bisa digunakan untuk menjembatani gap antara kebutuhan dan bagaimana teknis pelaksanaan pemenuhan kebutuhan tersebut dalam suatu organisasi.

COBIT memungkinkan pengembangan kebijakan yang jelas dan sangat baik digunakan untuk IT kontrol seluruh organisasi, membantu meningkatkan kualitas dan nilai serta menyerdehanakan pelaksanan alur proses sebuah organisasi dari sisi penerapan IT. Adapun salah satu COBIT yang diterbitkan oleh ISACA yaitu COBIT 5. COBIT 5 menyediakan kerangka kerja yang komprehensif yang membantu perusahaan untuk mencapai tujuan mereka dan memberikan nilai melalui pemerintahan yang efektif dan manajemen perusahaan TI.

Cobit 5 principles [Sumber : ISACA, 2012]

Domain dan Proses Pada Cobit 5 COBIT 5 memiliki 5 domain yang terbagi dalam domain governance dan management, masing- masing domain memiliki proses yang memungkinkan untuk mencapai tujuannya [14].

 Satu domain berasal dari governance dan empat lainnya berasal dari management. Domain yang berasal dari area governance of enterprise IT adalah (Evaluate, Direct, and Monitor) EDM yang terdiri dari 5 proses. Sedangkan domain yang berasal dari management of enterprise IT sejalan dengan tanggung jawab pada area plan, build, run, and monitor (PBRM). Terdapat 32 proses yang dipecah kedalam masing-masing domain sebagai berikut :

1. Align, Plan and Organize (APO) dengan13 proses.

2. Build, Acquire and Implement (BAI) dengan 10 proses.

3. Deliver, Service and Support (DSS) dengan 6 proses.

4. Monitor, Evaluate and Assess (MEA) dengan 3 proses.

Domain APO (Align, Plan and Organize)

 Memberikan arah untuk pengiriman solusi (BAI) dan penyediaan layanan dan dukungan (DSS). Domain ini menjangkau strategi dan taktik, serta mengidentifikasi resiko yang merupakan cara terbaik TI agar dapat berkontribusi pada pencapaian tujuan bisnis. Penerapan visi strategis perlu direncanakan, dikomunikasikan dan dikelola untuk perspektif yang berbeda. Sebuah organisasi yang tepat, serta infrastruktur teknologi, harus dimasukkan ke dalam tempatnya.

Saat ini perkembangan teknologi informasi menjadi bagian yang sangat penting bagi setiap lembaga atau perusahaan terutama Perguruan Tinggi. Teknologi Informasi ini sangat berperan dalam mendukung operasional akademika dan proses bisnis organisasi dalam kegiatan sehari-hari di Universitas Telkom, dimana terdapat berbagai macam layanan atau unit-unit yang diperuntukan bagi mahasiswa dan masyarakat secara umum. Universitas Telkom ini bergerak dibidang pendidikan , merupakan salah satu Perguruan Tinggi di Bandung yang telah menerapkan penggunaan teknologi informasi sebagai penunjang dalam hal pelayanan akademik diperuntukan bagi seluruh civitas akademika.Direktorat Sistem Informasi (SISFO) merupakan salah satu unit pelayanan teknis di Universitas Telkom yang mempunyai fungsi pelayanan di bidang Teknologi Informasi dan Komunikasi (TIK). Unit ini berhubungan dengan seluruh satuan kerja , temasuk staf Dosen, Karyawan, dan Mahasiswa. Namun dalam hal ini, dikarenakan Universitas Telkom baru dicanangkan pada juli 2013, maka operasional sistem dan kegiatan organisasi banyak yang berubah sehingga belum sempurna dan belum optimal. Beberapa masalah yang terjadi di dalam sistem atau aplikasi , pelaporan kinerja TI, infrastruktur , maupun dari sumber daya TI lainnya, masih belum ada ukuran secara keseluruhan untuk menangani permasalahan yang mendasar untuk meningkatkan manajemen kualitasnya saat ini. Berangkat dari permasalahan di atas, maka diperlukan adanya proses pengukuran tingkat kematangan untuk meningkatkan manajemen kualitas di Direktorat Sistem Informasi Universitas Telkom. Oleh karena itu, dibutuhkan proses pengawasan dan evaluasi yang dilakukan oleh auditor hanya meliputi layanan akademik dan dikembangkan oleh pihak Direktorat Sistem Informasi Universitas Telkom, agar menjadi solusi TI yang diberikan oleh pihak tersebut bersifat kritis bagi proses bisnis Universitas Telkom dan sarana maupun infrastruktur jaringan yang dikelola hanya sebagai pendukung (tidak diutamakan). Pengukuran manajemen kualitas tersebut dapat diukur dengan menggunakan capability level pada setiap aktivitas di proses Manage Quality. Maka dari itu, Audit sistem informasi ini dilakukan dengan menggunakan standar COBIT 5 yang berfokus pada Domain APO (Align, Plan, and Organise) subdomain Manage Quality. Standar Cobit 5 digunakan karena cukup baik sebagai panduan dan kedetailan setiap aktifitas di prosesnya. Cobit 5 merupakan Standar untuk mengaudit penggunaan sebuah TI dan digunakan sebagai acuan untuk menghasilkan dokumen (temuan dan rekomendasi) yang merupakan hasil audit sistem informasi pada Direktorat Sistem Informasi Universitas Telkom yang diharapkan dapat membantu meningkatkan manajemen kualitas demi perbaikan Direktorat Sistem Informasi Universitas Telkom mencapai keunggulan operasional sehingga dapat bermanfaat bagi kemajuan organisasi.

Tahapan-tahapan aktivitas pada Domain APO (Align, Plan, and Organise) Manage Quality

 1) APO11.01 Establish a quality management system Didalam proses area Establish a quality management system ini, membangun dan memelihara QMS yang menyediakan standar, pendekatan khusus dan berkesinambungan untuk manajemen kualitas, teknologi yang memungkinkan dan proses bisnis yang selaras dengan kebutuhan bisnis dan manajemen kualitas perusahaan. Dan didalam APO11.01 ini terdapat 6 aktifitas yang dijalankan.

2) APO11.02 Define and manage quality standarts, pratices and procedures Didalam proses area Define and Manage quality standarts, practice and procedures ini, mengidentifikasi dan mempertahankan persyaratan, standar, prosedur dan praktek sebagai kunci proses untuk memandu perusahaan dalam memenuhi maksud dari persetujuan QMS. Ini harus sesuai dengan persyaratan kerangka kontrol IT. Pertimbangkan sertifikasi untuk kunci semua proses, unit organisasi, produk atau jasa. Dan didalam APO11.02 ini ada 2 aktifitas yang dijalankan.

 3) APO11.03 Focus quality management on customers Didalam proses area Focus Quality Management on Customers ini, Manajemen kualitas fokus pada pelanggan dengan menentukan kebutuhan dan memastikan keselarasan dengan praktek manajemen kualitas. Dan didalam APO11.03 terdapat 6 aktifitas yang dijalankan.

4) APO11.04 Perform quality monitoring, control and review Didalam proses area Perform Quality Monitoring, Control and Review ini, memantau kualitas proses dan jasa secara terus menerus seperti yang didefinisikan oleh QMS. Mendeskripsikan, merencanakan dan melaksanakan pengukuran untuk memantau kepuasan pelanggan dengan kualitas serta penyedia QMS. Informasi yang dikumpulkan harus digunakan oleh pemilik proses untuk meningkatkan kualitas.Dan didalam APO11.04 terdapat 7 aktifitas yang dijalankan.

5) APO11.05 Integrate quality management into solutions for development and service delivery. Didalam proses area Integrate quality management into solutions for development and service delivery ini, menggabungkan praktekpraktek manajemen kualitas yang relevan ke dalam definisi, pemantauan, pelaporan dan manajemen lanjut dalam pengembangan untuk solusi dan penawaran layanan. Dan didalam APO11.05 terdapat 3 aktifitas yang dijalankan.

6) APO11.06 Maintain continuous improvement Didalam proses area Maintain Continuous Improvement ini, menjaga dan mengkomunikasikan rencana kualitas keseluruhan yang mempromosikan perbaikan terus-menerus secara teratur. Ini harus mencakup kebutuhan, dan manfaat perbaikan terus-menerus. Mengumpulkan dan menganalisis data tentang QMS, dan meningkatkan efektivitasnya. Mengkoreksi ketidaksesuaian untuk pencegahan. Mempromosikan budaya kualitas dan perbaikan berkelanjutan. Dan didalam APO11.06 terdapat 8 aktifitas yang dijalankan.

Analisis Audit Sistem Informasi pada Domain APO (Align, Plan, and Organise) Manage Quality dengan menggunakan Cobit Framework

 (Studi Kasus : Direktorat Sistem Informasi Universitas Telkom)

Proses Analisis

Pada tahap ini merupakan proses atau langkah yang dilakukan oleh peneliti sebagai analisis untuk menggunakan lembar kerja audit (LKA) sehingga dapat mengetahui capability level pada proses kaji APO11- Manage Quality.

Gambar 1 Proses Analisis

 1 Identifikasi Manajemen Kualitas 

Identifikasi kualitas TI menghasilkan pemahaman terhadap kualitas di Direktorat Sistem Informasi ini maupun yang akan datang serta dapat menimbulkan dampak terhadap organisasi ini. Identifikasi penelitian ini berdasarkan Detail Control Objectives pada APO11 Manage Quality , dengan ini dapat dilihat bagaimana didalam suatu organisasi mengimlementasikan manajemen kualitas sehingga stakeholder puas dengan kualitas solusi dan layanan, proyek dan hasil pelayanan dapat diprediksi, dan persyaratan mutu yang diterapkan dalam semua proses.

2 Alat Audit APO11 (Align, Plan and Organise)

Manage quality Alat audit ini digunakan sebagai lembar kerja audit (LKA) untuk mengetahui seberapa jauh Direktorat Sistem Informasi Universitas Telkom menjalankan manajemen kualitas didalam organisasi dan laporan hasil audit (LHA) ini sesuai analisis peneliti yang didapat dari kuisioner dan survei lapangan.

 APO11.01 Membangun Sistem Manajemen Kualitas.

Proses ini mengukur sejauh mana capaian aktivitas yang dilakukan oleh organisasi dalam membangun sistem manajemen kualitas.

Tabel 1 Document APO11.01 Membangun Sistem Manajemen Kualitas

Nama Document	Bukti atau Output	Deskripsi
Standard Operating Procedure (SOP)	Peran Quality Management System (Aturan)	Direktorat SISFO memiliki sendiri aturan di dalam organisasi .
SOTK (Susunan Organisasi dan Tata Kerja)	Tanggung Jawab dan Hak Keputusan	Terdapat tanggung jawab dan Hak Keputusan di top management atau di Direktur SISFO
RKM (Rencana Kerja)	Rencana Manajemen Kualitas	Rencana manajemen hanya secara umum
Dokumen Evaluasi	Hasil ulasan keefektifitasan QMS (Quality Management System)	Dilakukan selama Triwulan

APO11.02 Menentukan dan Mengelola Standar Kualitas, pelaksanaan dan prosedur.

Proses ini mengukur sejauh mana capaian aktivitas yang dilakukan oleh organisasi dalam menentukan dan mengelola standar kualitas pelaksanaan dan prosedur.

Tabel 2 Document APO11.02 Menentukan dan Mengelola Standar Kualitas, pelaksanaan dan prosedur

APO11.03 Manajemen Kualitas Fokus pada pelanggan.

Proses ini mengukur sejauh mana capaian aktivitas yang dilakukan oleh organisasi dalam manajemen kualitas fokus pada pelanggan (stakeholder).

Tabel 3 Document APO11.03 Manajemen Kualitas Fokus pada pelanggan (Stakeholder)

Nama Document	Bukti atau Output	Deskripsi
SKPL (Spesifikasi Kebutuhan Perangkat Lunak) dan Feedback	Kebutuhan stakeholder untuk manajemen kualitas	Kebutuhan ini ada di dalam SKPL yang terdokumentasi sebagai kebutuhan perangkat lunak dan sesuai kebutuhan stakeholder.
Dokumen Monitoring dan Dokumen Evaluasi	Kriteria penerimaan kualitas	Penerimaan kualitas ini ada didalam dokumen evaluasi dan setelah adanya kesepakatan dalam rapat
Feedback dan UAT (User Acceptance Test)	Tinjauan hasil kualitas layanan termasuk umpan balik stakeholder	Tinjauan kualitas ada dari kepuasan stakeholder kepada layanan yang diberikan Direktorat SISFO dengan adanya umpan balik dari stakeholder dan didalam dokumen UAT.

APO11.04 Menjalankan Pemantauan Kualitas, Pengendalian dan Ulasan.

 Proses ini mengukur sejauh mana capaian aktivitas yang dilakukan oleh organisasi dalam menjalankan pemantauan kualitas, pengendalian dan Ulasan.

Tabel 4 Document APO11.04 Menjalankan Pemantauan Kualitas, Pengendalian dan Ulasan

APO11.05 Mengintegrasikan manajemen kualitas menjadi solusi untuk pengembangan.

Proses ini mengukur sejauh mana capaian aktivitas yang dilakukan oleh organisasi dalam mengintegrasikan manajemen kualitas menjadi solusi untuk pengembangan.

Tabel 5 Document APO11.05 Mengintegrasikan manajemen kualitas menjadi solusi untuk pengembangan

APO11.06 Menjaga Perbaikan TerusMenerus.

Proses ini mengukur sejauh mana capaian aktivitas yang dilakukan oleh organisasi dalam menjaga perbaikan terus-menerus.

Tabel 6 Document APO11.06 Menjaga Perbaikan Terus-Menerus

 Hasil Analisis

Tabel 8 Hasil Evaluasi dan Pelaksanaan Audit sesuai dengan AP011-Manage Quality

Objek Wawancara Penelitian	1. Direktur Sistem Informasi Universitas Telkom 2. Manajer Divisi OPSI, INFRAKON, RISBANGSI  3. Unit SDM , BAA, SPM, dan SAI
Responden Kuisioner Penelitian	1. Pihak Internal (Direktorat Sistem Informasi Universitas Telkom) 2. Pihak Eksternal (Mahasiswa, Dosen dan Kaprodi)
Identifikasi Bukti tertulis yang diperoleh berkaitan dengan APO11 Manage Quality	1. Struktur Organisasi Direktorat Sistem Inoformasi Universitas Telkom. 2. Lembar bukti dokumen hasil wawancara dengan inti pertanyaan yang berfokus pada APO11 Manage Quality dan pada IT resource.  3. Lembar bukti dokumen hasil kuisioner kepada pihak internal Direktorat Sistem Informasi tentang Manage Quality. 4. Lembar bukti dokumen hasil kuisioner kepada pihak eksternal sebagai stakeholder (mahasiswa, dosen, dan kaprodi). 5. Lembar Audit sebagai lembar kerja untuk auditor (LKA) melakukan evaluasi pada pada penelitian ini yang berfokus pada APO11 (Manage Quality) pada COBIT 5 .  6. Lembar Bukti yang diperoleh dari hasil Audit (Kelengkapan Dokumen) .  7. Lembar hasil audit (LHA) sebagai rekomendasi untuk pihak Direktorat Sistem Informasi
Capability Level	Level 3,38 Dari hasil proses analisis yang dilakukan oleh peneliti, proses kaji APO11 – Manage Quality di Direktorat SISFO ini menghasilkan capability level rata-rata 3,38 , artinya APO11 sedang dalam tahap menuju capability level 4 dan masih mencapai 0,38 di atas level 3. Pembulatan ke bawah dipilih sesuai dengan konsep penentuan capability level proses tertentu. Maka dari itu untuk APO11 capability level masih dianggap 3, sehingga capability level target yang diinginkan adalah level yang sedang ditujunya yaitu level 4.
Level Target	Level 4

Dari hasil audit yang dilaksanakan, pengukuran capability level proses area APO11-Manage Quality pada Direktorat Sistem Informasi Universitas Telkom, diperoleh hasil level kapabilitas 3, level rata-rata 3,38 , artinya APO11 sedang dalam tahap menuju capability level 4 dan masih mencapai 0,38 di atas level 3. Pembulatan ke bawah dipilih sesuai dengan konsep penentuan capability level proses tertentu. Maka dari itu untuk APO11 capability level masih dianggap 3, sehingga capability level target yang diinginkan adalah level yang sedang ditujunya yaitu level 4.

 Kesimpulan

 Kesimpulan yang dapat diambil dari Tugas Akhir ini adalah

1) Telah melaksanakan audit sistem informasi di Direktorat Sistem Informasi Universitas Telkom dengan menggunakan COBIT 5 sehingga mendapatkan capability level atau tingkat kematangan yang berfokus pada APO11- Manage Quality .

2) Dari hasil audit yang dilaksanakan, pengukuran capability level proses area APO11-Manage Quality pada Direktorat Sistem Informasi Universitas Telkom, diperoleh hasil level kapabilitas 3, level rata-rata 3,38 , artinya APO11 sedang dalam tahap menuju capability level 4 dan masih mencapai 0,38 di atas level 3. Pembulatan ke bawah dipilih sesuai dengan konsep penentuan capability level proses tertentu. Maka dari itu untuk APO11 capability level masih dianggap 3, sehingga capability level target yang diinginkan adalah level yang sedang ditujunya yaitu level 4.

3) Dari perolehan level kapabilitas proses area kaji di atas, maka diketahui level kapabilitas Direktorat SISFO berada di level 3 Established Process yang artinya proses direncanakan, dimonitor, disesuaikan serta proses didefinisikan untuk mencapai hasil prosesnya.

4) Untuk mencapai level 4 Predictable Process rekomendasi yang disusun adalah Direktorat SISFO sebaiknya membuat SOP untuk proses APO11- Manage Quality ini yang lebih rinci disetiap divisi didalam Direktorat SISFO dan dapat mendistribusikan sumber daya yang lebih tepat di setiap aktivitas .

SUMBER :

[7]Anon., n.d. Pengertian Sistem Informasi. [Online] Available at: http://artikel-teknologiinformasi.blogspot.com/2013/03/pengertiansistem-informasi.html [Accessed 03 2013].

[8]Aprianto, A., 2012. Audit Sistem Informasi menggunakan Standar Cobit 4.1 Domain Monitor and Evaluate pada Universitas Pembangunan Nasional "veteran" Jawa Timur. Aris Aprianto.

 [9]Dewa, n.d. Penyusunan Kuisioner. In: s.l.:s.n.

[10]Fitrianah, D., 2012. Audit Sistem Informasi/Teknologi Informasi Dengan Kerangka Kerja Cobit Untuk Evaluasi Manajemen Teknologi Informasi di Universitas XYZ. Devi Fitrianah dan Yudho Giri Sucahyo.

[11]Gandhi, A., 2012. Process Capability Levels ISO/EIC 15504. [Online] Available at: http://r5alburuj.blogspot.com/2012/10/processcapability-levels-isoeic-15504.html

[17]Lestari, E., 2013. Cobit (Control Objective Information and Related Technology). [Online] Available at: http://estiklestari.blogspot.com/2013/01/cobitcontrol-objective-for-information.html

[18]Lucianasi, 2011. Audit Sistem Informasi. [Online] Available at: http://2lucianasi2011.blogspot.com/

[19]Mas, R., 2013. Konsepsi Audit. [Online] Available at: http://raidenmas.blogspot.com/2013/04/konseps i-audit-sdm.html

[20]Myless, 2012. Process Goal for Quality. [Online] Available at: http://h30499.www3.hp.com/t5/DiscoverPerformance-Blog/3-COBIT-processes-thatmake-quality-job-one/ba-p/5805425 [Accessed September 2012].

[12]Gondodiyoto, S., 2007. Audit SIstem Informasi + Pendekatan Cobit . In: M. W. Media, ed. Jakarta: s.n.

[13]Handoyo, E., 2010. http://ekohandoyo.blog.undip.ac.id. [Online] Available at: http://ekohandoyo.blog.undip.ac.id/2010/01/18/ cfg-context-free-grammar/

[14]ISACA, 2012. COBIT 5 : A Business Framework for Governance & Management IT. In: s.l.:s.n.

[15]ISACA, 2012. COBIT 5 : Enabling Processes. In: s.l.:s.n.

[16]Jeremia, V., n.d. Audit. [Online] Available at: http://victorjeremia.blogspot.com/2014/04/perb edaan-audit-around-computer-dengan_16.html [Accessed April 2014].

[17]Lestari, E., 2013. Cobit (Control Objective Information and Related Technology). [Online] Available at: http://estiklestari.blogspot.com/2013/01/cobitcontrol-objective-for-information.html [18]Lucianasi, 2011. Audit Sistem Informasi. [Online] Available at: http://2lucianasi2011.blogspot.com/

[19]Mas, R., 2013. Konsepsi Audit. [Online] Available at: http://raidenmas.blogspot.com/2013/04/konseps i-audit-sdm.html

[20]Myless, 2012. Process Goal for Quality. [Online] Available at: http://h30499.www3.hp.com/t5/DiscoverPerformance-Blog/3-COBIT-processes-thatmake-quality-job-one/ba-p/5805425 [Accessed September 2012].

Audit Teknologi Sistem Informasi

APA ITU AUDIT SISTEM INFORMASI?

       Audit merupakan sebuah kegiatan yang melakukan pemeriksaan untuk menilai dan mengevaluasi sebuah aktivitas atau objek seperti implementasi pengendalian internal pada sistem informasi akuntansi yang pekerjaannya ditentukan oleh manajemen atau proses fungsi akuntansi yang membutuhkan kemajuan. Proses auditing telah menjadi sangat rapi di Amerika Serikat, khususnya pada bidang profesional accounting association. Akan tetapi, baik profesi audit internal maupun eksternal harus secara terus menerus bekerja keras untuk meningkatkan dan memperluas teknik, karena profesi tersebut akan menjadi tidak mampu untuk mengatasi perkembangan dalam teknologi informasi dan adanya tuntutan yang semakin meningkat oleh para pemakai informasi.

    Meskipun berbagai macam tipe audit dilaksanakan, sebagian besar audit menekankan pada sistem infromasi akuntansi dalam suatu organisasi dan pencatatan keuangan dan pelaksanaan operasi organisasi yang efektif dan efisien.

    Secara garis besar perlunya pelaksanaan audit dalam sebuah perusahaan yang telah mempunyai keahlian dalam bidang teknologi informasi yaitu antara lain: Kerugian akibat kehilangan data, kerugian akibat kesalahan pemrosesan komputer, pengambilan keputusan yang salah akibat informasi yang salah, kerugian karena penyalahgunaan komputer (Computer Abused), Nilai hardware, software dan personil sistem informasi, dan terakhir pemeliharaan kerahasiaan informasi.

Tujuan audit sistem informasi dapat dikelompokkan ke dalam dua aspek utama, yaitu: Conformance(Kesesuaian)- pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu: Confidentiality (kerahasiaan), Integrity (integritas), Availability (ketersediaan), dan compliance (kepatuhan). Berikutnya adalah Performance(Kinerja)- pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu : effectiveness (efektifitas), efficiency (efisiensi), reliability (kehandalan).

Terakhir, audit yang dilaksanakan sesuai tipe perusahaan yaitu opersional, compliance, pengembangan sistem, internal control, financial, dan kecurangan audit. Empat jenis auditor yang dilibatkan dalam menyelenggarakan audit yang di list adalah:

Internal auditor adalah karyawan perusahaan, yang pada umumnya melaksanakan compliance, operasional, pengembangan sistem, pengawasan intern, dan kecurangan audit.

Eksternal auditor adalah akuntan publik independen yang ditugaskan oleh perusahaan, secara khusus melaksanakan audit keuangan. Dalam berbagai macam audit keuangan, eksternal auditor dibantu oleh internal auditor. Akan tetapi, auditor eksternal yang bertanggung jawan untuk menegaskan kewajaran laporan keuangan.

Government auditor melaksanakan pemenuhan audit atau menguji laporan perusahaan atas pengawasana yang menyangkut para pegawai pemerintahan. Sebagai contoh, pemeriksa bank pemerintahan melaksanakan audit bank, auditor yang ditugaskan oleh auditor negara yang umumnya melaksanakan audit daerah dan para pegawai pemerintah.

Fraud auditor, mengkhususkan dalam menyelidiki kecurangan dan bekerja secara tertutup dengan internal auditor dan pengacara. Fraud examminer misalnya : kesatuan FBI penyelidikan kecurangan, perusahaan besar akuntan publik, IRS, dan perusahaan asuransi.

Audit teknologi informasi (Inggris: information technology (IT) audit atau information systems (IS) audit) adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Audit teknologi informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya.

þ      Definisi tata kelola TI

Merupakan suatu cabang dari tata kelola perusahaan yang terfokus pada Sistem/Teknologi informasi serta manajemen Kinerja dan risikonya. Tata kelola TI adalah struktur kebijakan atau prosedur dan kumpulan proses yang bertujuan untuk memastikan kesesuaian penerapan TI dengan dukungannya terhadap pencapaian tujuan institusi, dengan cara mengoptimalkan keuntungan dan kesempatan yang ditawarkan TI, mengendalikan penggunaan terhadap sumber daya TI dan mengelola risiko-risiko terkait TI

þ     Tatakelola teknologi informasi bukan bidang yang terpisah dari

pengelolaan perusahaan, melainkan merupakan komponen pengelolaan perusahaan secara keseluruhan, dengan tanggung jawab utama sebagai berikut:

1. Memastikan kepentingan stakeholder diikutsertakan dalam penyusunan strategi perusahaan.

2. Memberikan arahan kepada proses-proses yang menerapkan strategi perusahaan.

3. Memastikan proses-proses tersebut menghasilkan keluaran yang terukur.

4. Memastikan adanya informasi mengenai hasil yang diperoleh dan mengukurnya.

5. Memastikan keluaran yang dihasilkan sesuai dengan yang diharapkan

þ     Pentingnya Tata Kelola TI

Di lingkungan yang sudah memanfaatkan Teknologi Informasi (TI), tata kelola TI menjadi hal penting yang harus diperhatikan. Hal ini dikarenakan ekspektasi dan realitas seringkali tidak sesuai. Pihak shareholder perusahaan selalu berharap agar perusahaan dapat :

1. Memberikan solusi TI dengan kualitas yang bagus, tepat waktu, dan sesuai dengan anggaran.

2. Menguasai dan menggunakanTI untuk mendatangkan keuntungan.

3. Menerapkan TI untuk meningkatkan efisiensi dan produktivitas sambil menangani risikoTI.

þ   Pengabaian Tata Kelola TI

Tata kelola TI yang dilakukan secara tidak efektif akan menjadi awal terjadinya pengalaman buruk yang dihadapi perusahaan, yang memicu munculnya fenomena investasi TI yang tidak diharapkan, seperti:

1.Kerugian bisnis, berkurangnya reputasi, dan melemahnya posisi kompetisi.

2.Tenggang waktu yang terlampaui, biaya lebih tinggi dari yang di perkirakan, dan kualitas lebih rendah dari yang telah diantisipasi.

3.Efisiensi dan proses inti perusahaan terpengaruh secara negatif oleh rendahnya kualitas penggunaanTI.

4.Kegagalan dari inisiatif TI untuk melahirkan inovasi atau

5 memberikan keuntungan yang dijanjikan

Manfaat Tata kelola TI

1. Untuk mengatur penggunaanTI,

2. Memastikan kinerja TI sesuai dengan tujuan/fokus utama area tata kelolaTI

þ     Strategic Alignment

Memastikan adanya hubungan perencanaan organisasi dan TI dengan cara:

 Menetapkan,

 Memelihara,

 Menyesuaikan operasional TI dengan operasional organisasi.

þ   Value Delivery

Fokus dengan melaksanakan proses TI agar supaya proses tersebut sesuai dengan siklusnya, mulai dari

1. menjalankan rencana,

2. memastikanTI dapat memberikan manfaat yang diharapkan,

3. mengoptimalkan penggunaan biaya sehingga pada akhirnya:

4. TI dapat mencapai hasil yang diinginkan

þ      Resource Management

Fokus pada kegiatan yang dapat mengoptimalkan dan mengelola sumber dayaTI, yang terdiri atas:

1. aplikasi,

2. informasi,

3. infrastruktur, dan

4. sumber daya manusia

þ     Risk management

Untuk melaksanakan pengelolaan terhadap risiko, dibutuhkan kesadaran anggota organisasi dalam memahami adanya risiko, kebutuhan organisasi, dan risiko–risiko signifikan yang dapat terjadi, serta menanamkan tanggung jawab dalam mengelola risiko yang ada di organisasi.

þ    Performance Measurement

Mengikuti dan mengawasi jalannya

1. pelaksanaan rencana,

2. pelaksanaan proyek,

3. pemanfaaatan sumber daya,

4. kinerja poses,

5. penyampaian layanan, sampai dengan

6. pencapaian hasilTI

þ      MODEL TATAKELOLA TEKNOLOGI INFORMASI

1. The IT Infrastructure Library (ITIL)

ITIL dikembangkan oleh The Office of Government Commerce (OGC) suatu badan di bawah pemerintah Inggris, dengan bekerja sama dengan The IT Service Management Forum (itSMF) dan British Standard Institute (BSI).  ITIL merupakan suatu framework pengelolaan layananTI (IT Service Management – ITSM) yang sudah diadopsi sebagai standar industri pengembangan industri perangkat lunak di dunia.

ITSM memfokuskan diri pada 3 (tiga) tujuan utama, yaitu:

1. Menyelaraskan layananTI dengan kebutuhan sekarang dan akan datang dari bisnis dan pelanggannya.

2. Memperbaiki kualitas layanan-layanan TI.

3. Mengurangi biaya jangka panjang dari pengelolaan layanan-layanan tersebut

Standar ITIL berfokus kepada pelayanan customer, dan sama sekali tidak menyertakan proses penyelarasan strategi perusahaan terhadap strategi TI yang dikembangkan.

2. ISO/IEC 17799

ISO/IEC 17799 dikembangkan oleh The International Organization for Standardization (ISO) dan The International Electrotechnical Commission (IEC) ISO/IEC 17799 bertujuan memperkuat 3 (tiga) element dasar keamanan informasi, yaitu:

1. Confidentiality – memastikan bahwa informasi hanya dapat diakses oleh yang berhak.

2.Integrity – menjaga akurasi dan selesainya informasi dan metode pemrosesan.

3. Availability – memastikan bahwa user yang terautorisasi mendapatkan akses kepada informasi dan aset yang terhubung dengannya ketika memerlukannya

3. COSO

COSO merupakan kependekan dari Committee of Sponsoring Organization of the Treadway Commission, sebuah organisasi di Amerika yang berdedikasi dalam meningkatkan kualitas pelaporan finansial mencakup etika bisnis, kontrol internal dan corporate governance

COSO framework terdiri dari 3 dimensi yaitu:

3. 1. Komponen kontrol COSO

COSO mengidentifikasi 5 komponen kontrol yang diintegrasikan dan dijalankan dalam semua unit bisnis, dan akan membantu mencapai sasaran kontrol internal:

a. Monitoring.

b. Information and communications.

c. Control activities.

d. Risk assessment.

e. Control environment.

3.2. Sasaran kontrol internal

Sasaran kontrol internal dikategorikan menjadi beberapa area sebagai berikut:

a. Operations – efisisensi dan efektivitas operasi dalam mencapai sasaran bisnis yang juga meliputi tujuan kinerja dan keuntungan.

b. Financial reporting – persiapan pelaporan anggaran finansial yang dapat dipercaya.

c. Compliance – pemenuhan hukum dan aturan yang dapat dipercaya.

3.3. Unit/AktivitasTerhadap Organisasi

Dimensi ini mengidentifikasikan unit/aktifitas pada organisasi yang menghubungkan kontrol internal. Kontrol internal menyangkut keseluruhan organisasi dan semua bagian-bagiannya. Kontrol internal seharusnya diimplementasikan terhadap unit-unit dan aktifitas organisasi.

4. Control OBjectives for Information and related

Technology (COBIT) COBIT Framework dikembangkan oleh IT Governance Institute, sebuah organisasi yang melakukan studi tentang model pengelolaanTI yang berbasis di Amerika Serikat COBIT Framework terdiri atas 4 domain utama:

1. Planning & Organisation.

2. Acquisition & Implementation.

3. Delivery & Support.

4. Monitoring.

1. Planning & Organisation.

Domain ini menitikberatkan pada proses perencanaan dan penyelarasan strategi TI dengan strategi perusahaan.

2. Acquisition & Implementation.

Domain ini menitikberatkan pada proses pemilihan, pengadaaan dan penerapan teknologi informasi yang digunakan.

3. Delivery & Support.

Domain ini menitikberatkan pada proses pelayanan TI dan dukungan teknisnya.

4. Monitoring.

Domain ini menitikberatkan pada proses pengawasan pengelolaan TI pada organisasi.

COBIT mempunyai model kematangan (maturity models), untuk mengontrol proses-proses TI dengan menggunakan metode penilaian (scoring) sehingga suatu organisasi dapat menilai proses-proses TI yang dimilikinya dari skala non-existent sampai dengan optimised (dari 0 sampai 5). COBIT juga mempunyai ukuran-ukuran lainnya sebagai berikut:

1. Critical Success Factors (CSF) – mendefinisian

2. Key Goal Indicators (KGI) – mendefinisikan

3. Key Performance Indicators (KPI) – mendefinisikan

1. Critical Success Factors (CSF) – mendefinisian hal-hal atau kegiatan penting yang dapat digunakan manajemen untuk dapat mengontrol proses-prosesTI di organisasinya.

2. Key Goal Indicators (KGI) – Mendefinisikan ukuran-ukuran yang akan memberikan gambaran kepada manajemen apakah proses-proses TI yang ada telah memenuhi kebutuhan proses bisnis yang ada. KGI biasanya berbentuk kriteria informasi:

a. Ketersediaan informasi yang diperlukan dalam mendukung

kebutuhan bisnis.

b. Tidak adanya risiko integritas dan kerahasiaan data.

c. Efisiensi biaya dari proses dan operasi yang dilakukan.

d. Konfirmasi reliabilitas, efektivitas, dan compliance.

3. Key Performance Indicators (KPI) – mendefinisikan ukuran-ukuran untuk menentukan kinerja proses-proses TI dilakukan untuk mewujudkan tujuan yang telah ditentukan. KPI biasanya berupa indikator kapabilitas, pelaksanaan, dan kemampuan sumber daya TI.

  Ruang Lingkup Audit SI

´  Audit Data perusahaan

´  Data dapat menyebabkan kebutuhan sumber daya menjadi kritis untuk keberlangsungan operasional organisasi (baik untuk memberikan gambaran masa lalu,masa kini dan masa yang akan datang)

´  Jika data akurat, maka organisasi akan mempunyai kemampuan untuk beradaptasi dan bertahan dalam lingkungan yang berubah. Jika tidak (data hilang), maka organisasi akan mengalami kehilangan data yang cukup penting.

´  Contoh jika data master barang di suatu toko swalayan rusak, maka kasir tidak dapat melakukan transaksi pembelian yang dilakukan oleh konsumen

´  Audit Pengambilan keputusan

´  Untuk membuat keputusan yang berkualitas dan dapat dipercaya, maka perlu di dukung oleh data yang akurat melalui sistem informasi berbasis komputer

´  Termasuk : deteksi, investigasi, dan koreksi proses yang diluar kontrol (connection of out-of- control process)

´  Akibat data yang salah akan mempunyai dampak terhadap minat investor terhadap perusahaan. Contoh : jika penyediaan laporan keuangan salah (inaccurate financial information), maka investor akan membatalkan atas keputusan investasinya

´  Penting juga diperhatikan tentang ‘aturan-aturan keputusan yang akurat(accurate decision rules).

´  Contoh jika aturan pengambilan keputusan (decision rule) dalam sistem pakar untuk mendukung diagnosis, salah, mengakibatkan dokter akan salah dalam memberikan keputusan / pemberian resep kepada pasiennya, ini akan berakibat fatal

´  Audit Keamanan komputer

´  Sebagian besar sebab yang mendorong pengembangan fungsi audit SI di perusahaan adalah akibat seringnya terjadi penyalahgunaan komputer

´  Penyalahgunaan komputer : “segala kejadian yang berhubungan dengan teknologi komputer yang mengakibatkan kerugian pada korban atau mengakibatkan kehilangan yang diakibatkan oleh pelaku kejahatan untuk mencari keuntungan”

Akibat Penyalahgunaan Komputer

´  Perusakan Aset

´  Pencurian Aset

´  Modifikasi Aset

´  Pelanggaran Privasi

´  Pengacauan Operasi

´  Penyalahgunaan Otorisasi Aset

´  Kejahatan Fisik terhadap Personal

SUMBER :

syatantra.staff.gunadarma.ac.id/Downloads/files/.../Audit+Teknologi+Informasi.pptx

https://id.wikipedia.org/wiki/Audit_teknologi_informasi

http://scdc.binus.ac.id/isgbinus/2016/04/apa-itu-audit-sistem-informasi/

rizal.blog.undip.ac.id/files/2009/08/7_Pertemuan-ke-7-Terakhir-IT-Governance.pdf