Audit Teknologi Sistem Informasi

TUGAS 1

AUDIT TEKNOLOGI SISTEM INFORMASI #

“TATA KELOLA AUDIT TEKNOLOGI SISTEM INFORMASI”

Dosen :

Qomariyah

Disusun oleh :

                                 Onnadia Tiomauli (18114351)

Kelas : 4KA32

FAKULTAS ILMU KOMPUTER DAN TEKNOLOGI INFORMASI

UNIVERSITAS GUNADARMA

PTA 2017/2018

KATA PENGANTAR

Puji syukur saya panjatkan ke hadirat Tuhan Yang Maha Esa, karena berkat rahmat-Nya saya bisa menyelesaikan makalah yang berjudul “Tata Kelola Audit Teknologi Sistem Informasi”. Makalah ini diajukan guna memenuhi tugas mata kuliah Audit Teknologi Sistem Informasi. Selain itu, untuk menambah wawasan lebih jauh mengenai “” dan hal-hal lain yang berikaitan di dalamnya.

Makalah ini disusun agar penyusun dan pembaca dapat memperluas ilmu tentang Audit Tekologi Sistem Informasi khusus nya dalam pengetahuan ,yang saya sajikan berdasarkan pengamatan dari berbagai sumber informasi, referensi, dan berita. Makalah ini disusun oleh penyusun dengan berbagai rintangan. Baik itu yang datang dari diri penyusun maupun yang datang dari luar. Namun dengan penuh kesabaran dan terutama pertolongan dari Tuhan akhirnya makalah ini dapat terselesaikan.

Semoga makalah ini dapat memberikan wawasan yang lebih luas dan menjadi sumbangan pemikiran kepada pembaca khususnya para mahasiswa Universitas Gunadarma. Saya sadar bahwa makalah ini masih banyak kekurangan dan jauh dari kata sempurna. Oleh karena itu,  kepada  dosen  saya  meminta  masukannya  demi  perbaikan  pembuatan  makalah  saya di masa  yang  akan  datang dan mengharapkan kritik dan saran dari para pembaca.

    Bekasi, 07 Oktober 2017

Onnadia Tiomauli

DAFTAR ISI

KATA PENGANTAR..................................................................2

DAFTAR ISI………………………………………..3

BAB I PENDAHULUAN

1.1 Latar Belakang..........................................5

1.2 Rumusan Masalah 6

              1.3 Tujuan Penulisan……………………….. 6

BAB II PEMBAHASAN

       2.1 Konsep Tata Kelola TI..............................7

2.1.1 Definisi Informasi dan Hubungannya dengan Audit SI 7

                             2.1.2 Teknologi Informasi dan Sistem

                 Informasi……………………………….. 7

                    2.1.3 Definisi Sistem…………………. 7

                    2.1.4 Aspek Demand dan Supply…… 8

          2.2 E Business………………………………. 9

2.2.1 Pengertian

                Ebusiness……………................................9

                    2.2.2 Teknologi Informasi dalam      

                Strategi Perusahaan ………………….  10

          2.3 Tata Kelola Teknologi Informasi……. 11

                    2.3.1 Definisi…………………………11

                    2.3.2 Tujuan dan Fungsi……………12

                    2.3.3 Pentingnya Tata Kelola TI…...12

                    2.3.4 Pengabaian Tata Kelola TI…..12

                    2.3.5 Manfaat Tata kelola TI………13

          2.4 Audit Sistem Informasi……………….. 15

                    2.4.1 Latar Belakang Audit Sistem…15

                    2.4.2 Pengertian Audit Sistem

                         Informasi……………………….....16

                    2.4.3 Sasaran Audit SI………………17

                    2.4.4 Kebutuhan terhadap Audit SI..17

                    2.4.5 Assurance and Consulting

                          Activity……………………………19

                              2.5.1 Pendahuluan………….....19

                              2.5.2 Kerangka Kerja………...20

                    2.4.6 Auditor…………………………22

                    2.4.7 Proses Audit Sistem Informasi..24

                        2.4.8 Kriteria atau Standard Audit SI..25

                        2.4.9 Pembuatan Kesimpulan Audit SI.30

                        2.4.10 Evaluasi Audit SI…………….....30

            2.5 Implementasi……………………………..31

BAB III PENUTUP

                3.1 Kesimpulan……………………...…….. 34

           3.2 Saran…………………………….............34

DAFTAR PUSTAKA……………………………......................35

BAB I

PENDAHULUAN

I.            Latar Belakang

       Latar belakang dalam era globalisasi saat ini, Teknologi Informasi(TI) saat ini menjadi bagian yang tak terpisahkan dan terintegrasi dengan tujuan bisnis organisasi. Bagaimana teknologi informasi diaplikasikan dalam suatu organisasi akan mempengaruhi seberapa jauh organisasi tersebut telah mencapai visi, misi ataupun tujuan strategisnya.          

         Penerapan TI dalam dunia industri sudah sangat penting. Teknologi informasi memberi peluang terjadinya transformasi dan peningkatan produktifitas bisnis. Penerapan teknologi informasi membutuhkan biaya yang cukup besar dengan risiko kegagalan yang tidak kecil. Penerapan teknologi informasi di dalam perusahaan dapat digunakan secara maksimal, untuk itu  dibutuhkan pemahaman yang tepat mengenai konsep dasar dari sistem yang berlaku, teknologi yang dimanfaatkan, aplikasi yang digunakan dan pengelolaan serta pengembangan sistem yang dilakukan pada perusahaan tersebut. Perusahaan harus dapat mengatasi masalah dan perubahan yang terjadi secara cepat dan tepat sasaran. Oleh karena itu, faktor yang harus diperhatikan tidak hanya berfokus pada pengelolaan informasi semata, melainkan juga harus fokus untuk menjaga dan meningkatkan mutu informasi perusahaan.

       

          Dalam konteks ini, informasi dapat dikatakan menjadi kunci untuk mendukung dan meningkatkan manajemen perusahaan agar dapat memenangkan persaingan yang semakin lama akan semakin meningkat. Penerapan TI di perusahaan dapat dilakukan dengan baik apabila ditunjang dengan suatu pengelolaan TI (IT Governcance dari mulai perencanaan sampai implementasinya. IT Governance adalah suatu struktur hubungan dan proses untuk mengatur dan mengontrol perusahaan yang bertujuan untuk mencapai tujuan perusahaan yang telah ditetapkan dengan pertambahan nilai dengan tetap menyeimbangkan risiko-risiko dengan nilai yang didapatkan dari penerapan TI dan proses-prosesnya.

II.         Rumusan Masalah

        Berdasarkan latar belakang yang telah diuraikan, didapatkan suatu rumusan masalah sebagai berikut:

1.      Pengenalan TI, Audit SI dan semua konsep di dalamnya.

2.      Implementasi teori TI dan Audit SI.

III.     Tujuan Penulisan

1.      Memahami Pengenalan TI, Audit SI dan semua konsep di dalamnya.

2.      Mampu menjelaskan implementasi teori TI dan Audit SI.

BAB II

                                                                                     PEMBAHASAN        

2.1 Konsep Tata Kelola TI

      2.1.1 Definisi Informasi dan Hubungannya dengan Audit SI

               Informasi merupakan salah satu sumber daya strategis suatu organisasi. Oleh karena itu, untuk mendukug tercapainya visi dan misi suatu organisasi, pengelolaan informasi menjadi salah satu kunci sukses. Sistem informasi merupakan salah satu subsistem organisasi untuk mengelola informasi. Saat ini sistem informasi dioperasikan oleh hampir seluruh sumber daya manusia suatu organisasi, sehingga tidak dapat dipisahkan dengan operasi dan kehidupan organisasi. Teknologi informasi merupakan komponen penting dari sistem informasi, selain data/informasi, sumber daya manusia dan organisasi. Teknologi informasi yang dmaksud adalah teknologi telematika, telekomunikasi dan informatika, yang mencakup teknologi komputer (perangkat keras, perangkat lunak) dan didukung dengan teknologi telekomunikasi, khususnya komunikasi data digital sebagai infrastruktur dari jaringan komputer.

                 Perlu teknik untuk mengendalikan dan memastikan bahwa sistem informasi sudah sesuai dengan tujuan organisasi. Audit sistem informasi merupakan suatu cara untuk menilai sejauh mana suatu sistem informasi telah mencapai tujuan organisasi.

     2.1.2 Teknologi Informasi dan Sistem Informasi

                Istilah ‘teknologi informasi’ mulai dipergunakan secara luas di pertengahan 80-an. Teknologi ini merupakan pengembangan dari teknologi komputer yang dipadukan dengan teknologi telekomunikasi. Definisi kata ‘informasi’ sendiri secara iternasional telah disepakati sebagai ‘hasil dari pengolahan data’ yang secara prinsip memiliki nilai atau value yang lebih dibandingkan dengan data mentah. Komputer merupakan bentuk teknologi informasi pertama  (cikal bakal) yang dapat melakukan proses pengolahan data menjadi informasi. Dalam kurun waktu yang kurang lebih sama, kemajuan teknologi telekomunikasi terlihat sedemikian pesatnya, sehingga telah mampu membuat dunia terasa lebih kecil (mereduksi ruang dan waktu = time and space). Dari sejarah ini dapat ini dapat disimpulkan bahwa  yang dimaksudkan dengan teknologi informasi adalah suatu teknologi yang berhubungan dengan pengolahan data menjadi informasi  dan proses penyaluran data/informasi tersebut dalam batas-batas ruang dan waktu. Dengan berpegang pada definisi ini, terlihat bahwa komputer hanya merupakan salah satu produk domain teknologi informasi. Modem, Router, Oracle, Printer, Multimedia, Cabling System, VSAT, dan lain sebagainya, merupakan contoh dari produk-produk teknologi informasi.

   2.1.3 Definisi Sistem

           Kata ‘sistem’ mengandung arti ‘kumpulan dari komponen-kompnen yang memiliki unsur keterkaitan antara satu dan lainnya’. Sistem informasi merupakan suatu kumpulan dari komponen-komponen dalam perusahaan atau organisasi yang berhubungan dengan proses penciptaan dan pengaliran informasi. Dalam hal ini, teknologi informasi hanya merupakan salah satu komponen kecil saja dalam format perusahaan. Komponen-komponen lainnya adalah: proses dan prosedur, struktur organisasi, sumber daya manusia, produk, pelanggan, supplier, tekanan dan lain sebagainya. Secara teori, di satu titik ekstrem, suatu sistem informasi yang baik belum tentu harus memiliki komponen teknologi informasi (lihat perusahaan-perushaan pengrajin kecil dengan omset miliaran); sementara di titik ekstrem lain, computer memegang peranan teramat penting dalam pencipta produk (perhatikan perusahaan manufakturing Jepang yang memperkejakan robot untuk seluruh proses perakitan). Jadi, keandalan suatu sistem informasi dalam perusahaan atau organsasi terletak pada keterkaitan antara komponen-komponen yang ada, sehingga dapat dihasilkan dan dialirkan suatu  informasi yang berguna (akurat, terpecaya, detail, cepat, relevan, dsb) untuk lembaga yang bersangkutan.

    2.1.4 Aspek Demand dan Supply 

            Dengan berpegang pada definisi-definisi sederhana di atas, dapat diambil kesimpulan bahwa ada hubungan yang sangat erat antara ‘sistem informasi’ dan ‘teknologi informasi’. Dalam sebuah prespektif lain, kita dapat melihat bahwa ‘sistem informasi’ merupakan sisi demand dari perusahaan dalam menjalankan kegiatan manajemen sehari-hari, sementara ‘teknologi informasi’ merupakan sisi supply dari kebutuhan perusahaan tersebut. Gambaran di atas memperlihatkan contoh umum dari kebutuhan akan sistem informasi peusahaan, dari tingkatan terendah (transaksi, dibutuhkan oleh supervisor) sampai dengan yang tertinggi (strategis, dibutuhkan oleh direktur) yaitu: Database Information System, Transactional Information System, Managemet Information System, Decision Support System dan  Executive Information System. Dari sisi supply, dikembangkan produk-produk teknologi informasi sebagai jawaban terhadap kebutuhan tersebut, mulai dari jenis fisik mengalir, sampai dengan aplikasi-aplikasi multimedia untuk menampilkan informasi yang telah diproses.

2.2  EBusiness

       2.2.1 Pengertian Ebusiness

               Di era modern yang serba dinamis ini, organisasi seperti perusahaan berusaha untuk selalu berubah dari waktu ke waktu. Perkembangan teknologi informasi yang kecepatannya eksponensial saat ini memberikan dampak yang cukup besar bagi peusahaan yang selalu ingin beradaptasi dengan teknologi terbaru. Kemajuan teknologi informasi dan berbagai paradigma bisnis dianggap sebagai kunci sukses perusahaan-perusahaan di era informasi dan di masa-masa mendatang. Secara ringkas, Mohan Sawhney mendefinisikan eBusiness sebagai:

“The use of electronic networks and associated technologies to enable, improve, enhance, transform, or invent a business process or business system to create superior value for current or potential customers.”

                  Secara prinsip, definisi tersebut jelas memperlihatkan bagaimana teknologi elektronik dan digital berfungsi sebagai medium tercapainya proses dan sistem bisnis (pertukaran barang atau jasa) yang jauh lebih baik dibandingkan dengan cara-cara konvensional, terutama dilihat dari manfaat yang dapat dirasakan oleh mereka yang berkepentingan (stakeholders).

         2.2.2 Teknologi Informasi dalam Strategi Perusahaan

                Hampir semua teori manajemen sistem informasi modern menekankan perlunya strategi perencanaan dan pengembangan teknologi informasi dirancang sejalan (align) dengan strategi bisnis perusahaan. Dengan kata lain, para praktisi teknologi informasi di perusahaan (SDM di divisi teknologi informasi) harus mengatahui secara jelas, filosofi keberadaan peralatan komputer dan telekomunikasinya dalam bisnis. Secara sederhana, perusahaan memerlukan strategi karena adanya aspek 3-C (company, customers dan competitors).

 2.3 Tata Kelola Teknologi Informasi

       2.3.1 Definisi

      Merupakan suatu cabang dari tata kelola perusahaan yang terfokus pada Sistem/Teknologi informasi serta manajemen Kinerja dan risikonya. Tata kelola TI adalah struktur kebijakan atau prosedur dan kumpulan proses yang bertujuan untuk memastikan kesesuaian penerapan TI dengan dukungannya terhadap pencapaian tujuan  institusi dengan cara mengoptimalkan keuntungan dan kesempatan yang ditawarkan TI, mengendalikan penggunaan terhadap sumber daya TI dan mengelola risiko-risiko terkait TI.

      2.3.2 Tujuan dan Fungsi

     ITSM(Information Technology Service Management) memfokuskan diri pada 3 tujuan utama, yaitu :

1.      Menyelaraskan layanan TI dengan kebutuhan sekarang dan akan dating dari bisnis dan pelanggannya.

2.      Memeperbaiki kualitas layanan-layanan TI.

3.      Mengurangi biaya jangka panjang dari pengelolaan layanan-layanan tersebut.

Standar ITIL berfokus kepada layanan pelayanan customer, dan sama sekali tidak meyertakan proses penyelarasan strategi perusahaan terhadap strategi TI yang dikembangkan.

2.3.3 Pentingnya Tata Kelola TI

Di lingkungan yang sudah memanfaatkan Teknologi Informasi(TI), tatakelola TI menjadi   hal penting   yang harus diperhatikan. Hal ini dikarenakan ekspektasi dan realitas seringkali tidak sesuai. Pihak shareholder perusahaan selalu berharap agar perusahaan dapat:

1.Memberikan solusi TI dengan kualitas yang bagus, tepat waktu, dan sesuai dengan anggaran.

2.Menguasai dan menggunakan TI untuk mendatangkan keuntungan.

3.Menerapkan TI untuk meningkatkan efisiensi dan produktivitas sambil menangani risiko TI.

2.3.4 Pengabaian Tata Kelola TI                                  

              Tatakelola TI yang dilakukan secara tidak efektif akan menjadi awal terjadinya pengalaman buruk yang dihadapi perusahaan, yang memicu munculnya fenomena investasi TI yang tidak diharapkan,seperti:

1.Kerugian bisnis,berkurangnya reputasi, dan melemahnya posisi kompetisi.

2.Tenggang waktu yang terlampaui, biaya lebih tinggi dari yang diperkirakan, dan kualitas lebih rendah dari yang telah diantisipasi.

3.Efisiensi dan proses inti perusahaan terpengaruh secara negative oleh rendahnya kualitas penggunaan TI.

4.Kegagalan dari inisiatif TI untuk melahirkan inovasi atau memberikan keuntungan yang dijanjikan.

2.3.5 Manfaat Tata kelola TI

1.Untuk mengatur penggunaan TI.

2.Memastikan kinerja TI sesuai dengan tujuan/fokus utama area tatakelola TI.

MODEL TATAKELOLA TEKNOLOGI INFORMASI

       Control  Objectives for Information and related Technology (COBIT) COBIT Framework dikembangkan oleh IT Governance Institute, sebuah organisasi yang  melakukan studi tentang model pengelolaan TI yang berbasis di Amerika Serikat

COBIT Framework terdiri atas 4 domain utama :

1. Planning & Organisation

2. Acquisition & Implementation.

3. Delivery & Support.

4. Monitoring.

1. Planning & Organisation.

    Domain ini menitikberatkan pada proses perencanaan dan penyelarasan strategi TI dengan strategi perusahaan.

2. Acquisition & Implementation.

    Domain ini menitikberatkan pada proses pemilihan, pengadaaan dan penerapan teknologi informasi yang digunakan.

3. Delivery & Support.

    Domain ini menitikberatkan pada proses pelayanan TI dan dukungan teknisnya.

4. Monitoring.

    Domain ini menitikberatkan pada proses pengawasan pengelolaan TI pada organisasi.

COBIT mempunyai model kematangan(maturity models), untuk mengontrol proses-proses TI dengan menggunakan metode penilaian(scoring) sehingga suatu organisasi dapat menilai proses-proses TI yang dimilikinya dari skala non-existent sampai dengan optimised(dari 0 sampai 5). COBIT juga mempunyai ukuran-ukuran lainnya sebagai berikut:

1. Critical Success Factors (CSF)

2. Key Goal Indicators (KGI)

3. Key Performance Indicators (KPI)

1.Critical Success Factors (CSF)

Mendefinisian hal-hal atau kegiatan penting yang dapat digunakan manajemen untuk dapat mengontrol proses-proses TI di organisasinya

2. Key Goal Indicators (KGI)

Mendefinisikan ukuran-ukuran yang akan memberikan gambaran kepada manajemen apakah proses-proses TI yang ada telah memenuhi kebutuhan proses bisnis

yang ada KGI biasanya berbentuk kriteria informasi:

a. Ketersediaan informasi yang diperlukan dalam mendukung kebutuhan bisnis.

b. Tidak adanya risiko integritas dan kerahasiaan data.

c. Efisiensi biaya dari proses dan operasi yang  dilakukan

d. Konfirmasi reliabilitas, efektivitas,  dan compliance.

3. Key Performance Indicators (KPI)

Mendefinisikan ukuran-ukuran untuk menentukan kinerja proses-proses TI dilakukan untuk mewujudkan tujuan yang telah ditentukan. KPI biasanya berupa indikator kapabilitas, pelaksanaan, dan kemampuan sumber daya TI.

2.4 Audit Sistem Informasi

       2.4.1 Latar Belakang Audit Sistem Informasi

               Audit atas sistem informasi perlu dilakukan mengingat besarnya risiko yang harus dihadapi oleh organisasi berkaitan dengan penggunaan teknologi informasi. Risiko-risiko tersebut antara lain:

a.       Kehilangan Data

Data merupakan asset teknologi informasi yang sangat kritikal bagi kelangsungan operasional perusahaan. Dapat dibayangkan apabila sebuah organisasi mengalami kehilangan data, misalnya data piutang atau data pelanggan. Akibat terjadinya gangguan virus atau terjadi kebakaran pada ruangan computer, misalnya, maka seluruh data tagihan tersebut hilang. Kehilangan data tersebur mungkin saja akan mengakibatkan perusaan tidak dapat melakukan penagihan kepada para pelanggan. Atau, kalaupun masih dapat dilakukan, waktu yang dibutuhkan menjadi sangat lama karena harus melakukan verifikasi manual atas dokumen penjualan yang dimiliki.

b.      Kesalahan Pengambilan Keputusan

Sebuah keputusan pada umumnya diambil berdasarkan data dan informasi yang tersedia. Apa yang akan terjadi apabila data dan informasi yang tersedia tidak akurat, tidak lengkap, tidak tepat waktu dan tidak relevan? Contoh: Dalam bidang kedokteran, misalnya, keputusan dokter untuk melakukan tindakan operasi dapat saja ditentukan dengan menggunakan bantuan perangkat lunak Decision Support System(DSS). Dapat dibayangkan risiko yang mungkin dapat ditimbulkan apabila sang dokter salah memasukkan data pasien ke sistem TI yang digunakan. Taruhannya bukan lagi material, melainkan nyawa seseorang.

c.       Penyalahgunaan Komputer

Risiko kemungkinan penyalahgunaan teknologi yang dapat mengakibatkan kerugian yang bahkan tidak terbayangkan. Risiko tersebut dapat berupa ancaman fisik seperti penghancuran dan pencurian asset dan nonfisik seperti hacking, virus dan penyalahgunaan akses. Kejahatan computer juga bisa dilakukan oleh karyawan yang merasa tidak puas dengan kebijakan perusahaan, baik yang saat ini masih aktif bekerja di perusahaan yang bersangkutan maupun yang telah keluar. Sayangnya, tidak semua perusahaan siap mengantisipasi adanya risiko-risiko tersebut.

d.      Nilai Investasi

Sebagian besar investasi dalam teknologi informasi memerlukan dana yang tidak sedikit dan cenderung sulit dikendalikan. Contoh: Indonesia, belum banyak organisasi yang melakukan analisis cost & benefit sebelum melakukan investasi teknologi informasi.

e.       Aspek Privasi

Banyak data dan informasi yang bersifat pribadi tersimpan dalam sistem computer, seperti apabila kita mempunyai kartu kredit, maka data tanggal lahir, tempat tinggal, pekerjaan dan lain-lainnya yang terkadang merupakan informasi pribadi akan tersimpan dalam sistem computer penyedia kartu kredit.

f.       Kesalahan Pengoperasian Komputer

Sering kali, TI digunakan untuk melakukan perhitungan yang rumit. Salah satu alas an digunakannya TI adalah kemampuan untuk mengolah data secara cepat dan akurat(misalnya: perhitungan bunga bank). Penggunaan TI untuk mendukung proses perhitungan bunga bukannya tanpa risiko kesalahan. Risiko ini akan semakin besar, misalnya ketika bank tersebut baru saja berganti sistem dari sistem dari sistem yang sebelumnya mereka gunakan. Tanpa adanya mekanisme pengembangan sistem yang memadai, mungkin saja terjadi kesalahan penghitungan atau bahkan fraud. Kesalahan yang ditimbulkan oleh sistem baru ini akan sulit terdeteksi tanpa adanya audit terhadap sistem tersebut. Akibat kesalahan pengoperasian komputer dapat berupa kerugian finansial dari Rp 0 sampai kepada kebangkrutan bahkan kerugian jiwa.

g.      Evolusi Teknologi

Teknologi informasi, seperti halnya teknologi yang lain mempunyai sifat netral. Sisi baik dan sisi buruk akibat pemanfaatannya tergantung kepada siapa penggunanya dan untuk apa digunakan.

2.4.2 Pengertian Audit Sistem Informasi

         Definisi Audit Sistem Informasi(atau beberapa kalangan lebih menyukai untuk menyebut audit teknologi informasi) dapat dikemukakan sebagai berikut:

a.       Ron Weber – IS Control & Audit, 1999

“The process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficently.”

b.      ISACA – CISA Review Manual

“The process of collecting and evaluating evidence to determine whether information systems and information technology environments adequately safeguards assets, maintain data and system integrity, provide relevant and reliable information, achieve organizational goals effectively, consume resources efficiently, and have in effect internal controls that provide reasonable assurance that operational and control objectives will be meet.”

         Apabila dilihat dari definisi-definisi di atas, maka dapat disimpulkan bahwa tujuan audit sistem informasi adalah untuk menilai apakah pengedalian sistem informasi telah dapat memberikan keyakinan yang memadai atas:

§  Pengamanan Aset

Aset teknologi informasi mencakup perangkat keras, perangkat lunak, fasilitas teknologi informasi, personil, file data, dokumentasi sistem dan perangkat lain. Pengamanan aset yang dimaksudkan di sini adalah sejauh mana TI dapat memberikan jaminan kerahasiaan dan ketersediaan informasi.

§  Integritas Data

Integritas data merupakan konsep dasar audit sistem informasi. Integritas data berarti data memilik atribur: perlengkap.

2.4.3    Sasaran Audit SI

         Sasaran audit adalah untuk meningkatkan kualitas proses-proses termasuk kontrol-kontrolnya dan tujuan akhirnya adalah untuk membantu organisasi mencapai tujuan-tujuannya.

2.4.4 Kebutuhan terhadap Audit SI

            Pengukuran terhadap software developer dengan menggunakan model CMM-SW diharapkan dapat membedakan antara software developer yang “matang” dengan software developer yang kurang “matang”.

           Mengikuti model kematangan ini, terutama aspek awareness-nya, dapat dibedakan tingkat-tingkat kebutuhan terhadap audit TI:

1.      Audit TI belum perlu dilakukan

      Jika regulator suatu industri belum memberikan persyaratan-persyaratan terhadap TI, tidak ada faktor pendorong bagi perusahaan-perusahaan di industri tersebut untuk melakukan audit TI, sehingga tergantung pada masing-masing perusahaan apakah mau melakukannya atau tidak.

      Di tingkat kematangan ini, perusahaan dan manajemen belum memiliki kebutuhan  terhadap audit TI atau sudah mulai merasakan kebutuhan tersebut, namun berdasarkan perkembangan finansial, operasional, dan sebagainya, diputuskan bahwa audit TI belum dilakukan untuk sementara.

      Contoh: pemeriksaan kendaraan sebelum berangkat ke tujuan memungkinkan terjadinya permasalahan ataupun tidak tetapi dengan pemeriksaan tersebut peluang tejadinya kecelakaan lebih kecil.

2.      Audit TI dilakukan karena diwajibkan

      Audit – audit yang dilakukan untuk mengetahui terpenuhi atau tidaknya persyaratan – persyaratan dari eksternal perusahaan ini disebut audit kepatuhan.

     Semua perusahaan di industry , baik besar maupun kecil harus melakukan audit TI. Ditingkat ini, audit dilakukan karena keterpaksaan dan keharusan , dengan adanya audit, perusahaan menjadi memenuhi persyaratan dan lolos dari sanksi.

3.      Audit TI dilakukan karena dianggap bermanfaat

      Dalam suatu model kematangan, tingkat kematangan untuk audit TI tidak ditentukan hanya dari kematangan awareness-nya; tingkat kematangan audit TI dapat dilihat dari berbagai aspek antara lain kejelasan kebijakan dan prosedur, keahlian dan pengalaman melakukan audit, serta penggunaan tools.

      Reasonable assurance dan rekomendasi ini dapat diterapkan dan dirasakan manfaatnya di ketiga manajemen lini pertama (first line manajemen) atau manajemen operasional, manajemen madya (middle management) atau manajemen taktis, dan manajemen puncak (top management) atau manajemen strategis.

        Manajemen puncak melihat organisasi secara keseluruhan, visi dan misinya, dan strategi-strategi yang perlu dijalankan, terasuk relasi dengan pihak-pihak luar perusahaan. Manajemen puncak melihat secara jangka panjang, perjalanan yang perlu ditempuh oleh organisasi

        Manajemen madya menjalankan rencana dan strategi-strategi yang ditetapkan oleh manjamen puncak. Manajemen taktis berurusan dengan pencapaian tujuan jangka menengah, anggaran, sumber daya, dan sebagainya.

       Manajemen lini pertama bertanggung jawab terhadap berjalannya operasi perusahaan sehari-hari (day to day running of the company) dan lebih bersifat jangka pendek.

2.4.5 Assurance and Consulting Activity

2.4.5.1 Pendahuluan

          Assurance activity adalah aktivitas di mana pelakunya menyatakan sebuah kesimpulan/konklusi dari pengukuran atau evaluasi terhadap suatu hal/objek berdasarkan kriteria tertentu dengan tujuan untuk memberikan semacam jaminan/keyakinan kepada sponsor aktivitas tersebut sehingga pihak sponsor dapat membuat keputusan yang berbasiskan informasi (informed decisions). Audit termasuk dalam assurance activity.

        The International Auditing and Assurance Board (IAASB), sebuah lembaga independen yang menyediakan standar internasional untuk audit dan assurance, mendefinisikan unsur-unsur dari assurance activity dalam kerangka kerjanya:

a.       Hubungan tiga pihak yaitu pelaku (dalam konteks audit berarti auditor), pihak yang bertanggung jawab (dalam konteks audit berarti auditee), dan penerima/pengguna laporan.

b.      Pokok bahasan (subject matter) yaitu objek audit .

c.       Kriteria yang digunakan untuk memeriksa dan mengevaluasi objek audit.

d.      Bukti yang tepat dan cukup.

e.       Laporan (assurance report).

      Consulting activity menghasilkan rekomendasi untuk masa yang akan datang, sedangkan assurance activity memeriksa hal yang sedang berjalan untuk mendapatkan indikasi ke depan.

       Jika hanya dua pihak yang terlibat, tidak terlalu dirasakan keperluan untuk menyoroti kelemahan-kelemahan yang ada, dan hal yang terutama diperlukan adalah rekomendasi-rekomendasi untuk perbaikan/pengikatan, review dapat dipilih sebagai tipe aktivitas dan bukannya audit. 

2.4.5.2         Kerangka Kerja

               Bagian ini akan menjelaskan di mana posisi audit TI dalam kerangka kerja assurance secara keseluruhan, yaitu:

A.    Tiga Lini Pertahanan

       Dari sudut pandang ini, manajemen operasional menjadi lini pertahanan pertama(first-liners) mereka bertanggung jawab untuk memastikan proses-proses ti berjalan secara efektif dan efesien.

    Lini pertahanan kedua adalah pihak – pihak TI yang melakukan pemantauan berkesinambungan atau pengawasan melekat, tidak untuk semua aspek namun hanya untuk aspek – aspek yang relevan dengan area mereka.

    Auditor sebagai pihak independen di luar unit TI menjadi lini pertahanan terakhir dalam arti jika lini pertama, kedua dan ketiga tidak dapat mendeteksi risiko , maka tidak adalagi pihak lain yang secara sistematis akan melakukan pendeteksian resiko/masalah TI.

B.     Perencanaan Audit Tahunan

      Ada banyak area/objek yang dapat diaudit sedangkan waktu dan sumber daya yang dimiliki unit audit terbatas. Oleh karena itu, perlu diseleksi area/objek yang penting yang akan diperiksa, urutan pemeriksaannya, dan frekuensi auditnya dalam setahun, termasuk menentukan audit yang direncanakan untuk dilakukan di tahun berikutnya.

     Jika belum dilakukan sebelumnya atau sudah cukup lama, dapat dilakukan audit TI yang bersifat umum terlebih dahulu (termasuk kepatuhan terhadap peraturan perundangan) kemudian diikuti dengan audit-audit yang lebih berfokus di bulan-bulan berikutnya. Dalam audit TI umum, dilakukan pemeriksaan secara umum terhadap semua ranah dengan tujuan antara lain :

-          Mendeteksi permasalahan-permasalahan besar/utama.

-          Mendapatkan kesan secara keseluruhan (overall impression).

-          Mengetahui ranah-ranah/proses-proses yang perlu diaudit dengan lebih detail.

C.     Perencanaan Audit Individual

      Sebelum ditetapkan audit apa saja yang akan dilakukan dalam setahun(atau dua tahun), untuk masing-masing audit tersebut harus dibuat perencanaan auditnya. Tahapan audit secara umum akan berlaku untuk setiap audit ini namun isi atau detail dari tiap tahapan bisa berbeda untuk masing-masing audit. Contoh: perencanaan audit jaringan akan berbeda dengan perencanaan audit pengembangan sistem.

     Meningkatkan kualitas evaluasi audit :

A.    Evaluasi pascaaudit(post-audit evaluation)

B.     Evaluasi audit tahunan

                                      

2.4.6 Auditor

1.      Independensi

      Independen di sini mencakup independensi auditor dan independensi organisasi auditor. Hal yang dimaksud independensi auditor adalah independensi terhadap auditee dalam segala hal, tidak hanya yang diperlihatkan di luar namun juga dalam hati.

       Contohnya di sini adalah hubungan keluarga antara auditor dengan auditee, atau misalnya auditee adalah sahabat karib dari auditor. Selain independensi auditor, organisasi auditor juga harus independen terhadap organisasi auditee yang artinya organisasi auditor tidak memiliki keterkaitan/hubungan atau kepentingan tersembunyi terhadap organisasi auditee. Misalnya dalam kasus organisasi auditor memiliki kepentingan agar organisasi auditee bisa lulus audit karena kedua organisasi masih terkait, organisasi auditor itu tidak independen.

      Auditor atau perusahaan yang mengalami masalah independensi ini seharusnya secara jujur menyatakan permasalahan ini untuk didiskusikan. Jika diputuskan untuk diteruskan, hal ini harus dicantumkan dengan jelas dalam laporan hasil audit. 

2.      Objektivitas

     Objektivitas di sini berarti kemampuan untuk menilai, menyatakan pendapat, dan memberikan rekomendasi tanpa bias, prasangka, atau berat sebelah. Termasuk di sini adalah auditor tidak keras kepala bahwa ia selalu benar sehingga selalu beradu argumen mempertahankan pendapatnya. Auditor dapat juga mengalami masalah objektivitas dan independensi.

      Misalnya dalam kasus unit TI ingin lulus sertifikasi tentu dari badan regulator dan harus diaudit oleh auditor eksternal.  Dalam hal ini, unit TI dan menejemen puncak memiliki harapan agar auditor tidak terlalu ketat dalam mengaudit agar sertifikasi bisa didapat dengan lancar; audit yang ketat dapat menyebabkan auditee tidak lulus sertifikasi sehingga menyebabkan auditee tidak puas dan kemudian menggunakan auditor lain yang lebih akomodatif. Unit TI atau menajemen dapat memberikan pesan secara halus kepada auditor bahwa jika mereka tidak lulus audit maka jasa auditor tersebut tidak akan lagi dicari., dan/atau jika mereka lulus audit, auditor dijanjikan beberapa proyek ke depan.

      Dalam kasus ini, auditor harus selalu ingat kepentingan siapa yang diwakilinya. 

3.      Kompetensi

 Auditor harus kompeten dalam arti:

1.      Memiliki pengetahuan dan pemahaman mengenai audit

2.      Memiliki pengetahuan dan pemahaman mengenai objek yang diaudit

3.      Memiliki keterampilan teknis dan non-teknis untuk melakukan audit

4.      Memiliki pengalaman yang relavan 

   Auditor harus kompeten. Auditor yang kurang mengetahui cara melakukan audit, audit khusus, atau audit dengan cakupan kerja yang tidak umum/lazim, sebaiknyna tidak menjadi auditor utama (lead auditor) tetapi menjadi auditor pendukung dan bekerja di bawah supervisi/pengawasan auditor ahli.

   Jika dirasa kompetensi untuk mengaudit kurang mencukupi, dapat digunakan jasa ahli/spesialis dari luar perusahaan yang memiliki latar belakang pendidikan dna pelatihan lebih tepat, sertifikasi/kualifikasi professional yang relavan, serta pengalaman yang lebih banyak. Contohnya adalah menggunakan jasa ahli/spesialis untuk menguji keamana sistem operasi smartphone dan keamanan mobile applications.

   Selain ketiga hal yang muncul dari definisi-definisi di atas, yaitu independensi, objektivitas, dan kompetensi, auditor juga perlu menerapkan prinsip due diligence & professional skepticism serta intergritas auditor.

4.      Due Diligence & Professional Skepticism

     Prinsip due diligence di sini berarti auditor mengaudit secara professional dengan mengacu kepada standar-standar audit, berhati-hati, teliti, dan lengkap dalam arti tidak ada detail yang tidak diperiksa.

    Setelah mendapatkan  temuan pun, auditor bersikap skeptic dan tidak serta-merta menerimanya namun harus memverifikasi temuan tersebut dengan bukti-buktinya serta menilainya secara kritis.

    Contoh auditor yang kurang menerapkan prinsip ini adlah auditor yang tidak memeriksa formula/kalkulasi dari fungsi-fungsi utama sebuah aplikasi dengan asumsi bahwa fungsi-fungsi utama tentunya sudah diperiksa oleh pemrogram dan juga oleh tim software quality assurance.

5.      Integritas

     Integritas di sini berarti auditor memiliki prinsip-prinsip moral yang baik dan kukuh serta standar perilaku yang konsisten dan persisten terhadap setiap pihak. Auditor yang memiliki integritasakan berpegang teguh pada standar audit dan kode etik profesionalnya, seperti antara lain menolak melakukan segala sesuatu yang melanggar peraturan perundangan dan juga menjaga kerahasiaan informasi yang diperoleh saat audit. Contohnya adalah tidak mencari bukti temuan dengan melakukan penyadapan sistem (yang berarti melanggar UU no. 11 tahun 2008) kecuali telah mendapatkan izin/persetujuan.

    Terkait dengan kode etik profesi tersebut di atas, terdapat ebberapa kode etik yang dapat dijadikan sebagai acuan misalnya Code of Ethics (Pprinciples and Rules of Conduct) dari The Institute of Internal Auditors, Code of Professional Ethics dari ISACA, dan Code of Ethics dari (ISC).

2.4.7 Proses Audit Sistem Informasi

          Berdasarkan definisi-definisi di atas, pelaksanaan audit harus dilakukan dengan disiplin dan sistematis mengikuti langkah-langkah audit sesuai perencanaan. Prosesnya mencakup :

A.    Perencanaan, pemeriksaan dan pengumpulan hal-hal yang dapat menjadi barang bukti

B.     Pelaksanaan evaluasi, dan pebuatan pernyataan/opini dalam laporan mengenai kepatuhan/kesesuaian terhadap kriteria kriteria/standar.

C.     Pemantauan selanjutnya dan implementasi rekomendasi audit.

2.4.8    Kriteria atau Standard Audit SI

            Definisi dari ISACA menyatakan bahwa audit dilakukan untuk memberikan opini mengenai kepatuhan objek audit terhadap suatu kriteria atau standar.

           Pemilihan kriteria harus dilakukan secara cermat dam memiliki justifikasi yang kuat, sehingga pertanyaan mengenai kenapa kriteria tersebut digunakan dapat dijawab dengan tepat dan memuaskan.

           Kriteria yang dapat digunakan terbagi menjadi 2 yaitu:

A.    Kriteria Internal

      Kriteria internal terbagi menjadi acuan internal perusahaan yang telah ada di perusahaan dan kriteria yang didefinisikan sendiri. Pemilihan kriteria berikutnya adalah kriteria internal yang telah ada seperti, prinsip-prinsip TI, kebijakan, prosedur dan instruksi kerja, panduan, standar, kode etik, serta profil manajemen risiko TI.

     Banyak perusahaan yang tidak terlalu mengindahkan peraturan perundangan yang ada dan lebih mementingkan kesesuaian proses-proses TI dengan acuan internal yang ada. Dalam hal ini, audit dilakukan apakah misalnya kebijakan, prosedur, dan instruksi kerja diikuti oleh staf-staf TI dalam menjalankan proses-proses TI. Contoh lain adalah audit terhadap kesesuaian standard operating environment (SOE) atau pemeriksaan kesesuaian standar spesifikasi PC/laptop dan mailbox quota pengguna dengan profil pegawai.

     Sebagai contoh, berdasarkan profil risiko TI perusahaan, control objectives unit TI yang bersifat umum (control objectives sebaiknya spesifik dengan risiko-risiko TI yang juga spesifik) adalah sbb:
                       1.   Informasi terjamin integritasnya.

2.      Tidak ada peraturan perundangn dan peraturan internal yang terlanggar.

3.      Aset informasi terlindungi kegiatan operasional TI berjalan secara efektif dan efisien.

    Kriteria internal – pendefinisian kriteria baru untuk audit yang spesifik, bisa jadi tidak terdapat existing criteria/standard yang benar-benar pas. Dalam kasusu ini, kriteria dapat didefinisikan sendiri oleh auditor. Contohnya, seorang auditor diminta untuk memberikan reasonable assurance bahwa program penarikan undian benar-benar menarik pemenang secara acak. Untuk ruang lingkup tersebut, tidak ada peraturan perundangan atau peraturan regulator yang relavan, tidak ada standar yang benar-benar cocok untuk dapat digunakan sebagai referensi, atau kriteria internal lainnya, sehingga auditor perlu menetapkan kriteria-kriterianya sendiri.

     Hal-hal yang perlu diwaspadai sbb:
                      1.    Penggunaan kriteria-kriteria yang tidak mewakili semua hal yang ingin diperiksa

2.      Penggunaan kriteria yang kurang pas/representative terhadap hal yang ingin diperiksa.

      Dalam pemilihan kriteria-kriteria audit, dari manapun sumbernya, termasuk best practice standards, perlu dipertimbangkan kualitas-kualitas yang perlu ada dalam kriteria. Kriteria audit yang berkualitas adalah kriteria yang memeliki kualifikasi sebagai berikut:

A.Relevan

    Kriteria yang digunakan harus terkait langsung dengan area yang diaudit.Contoh pemilihan kriteria yang kurang relevan adalah pemilihan kriteria-kriteria dari ISO/IEC 27002, sebuah referensi sekuriti, untuk memeriksa manajemen risiko. Contoh lainnya, pemilihan kriteria-kriteria dari The Open Group Architecture Framework (TOGAF) sebagai kriteria untuk memeriksa software requirement padahal TOGAF adalah framework untuk arsitektur informasi.

B.Kredibel

    Kredibilitas di sini mengacu kepada seberapa meyakinkannya kriteria serta tingkat keahlian dan keterpercayaan/keterandalan dari sumber. Kriteria/standar yang dirilis oleh organisasi yang independen, terkenal, dan dapat dipercaya dianggap sebagai kriteria/standar yang kredibel, contohnya standar-standar yang dikeluarkan ISACA. National Institute of Standards and Technology (NIST) yang antara lain mengeluarkan standar-standar SP 800, serta International Organization for Standarization yang mengeluarkan standar-standar ISO, dianggap sebagai standar-standar dengan kredibilitas yang cukup tinggi.

C.Terbaru

    Kriteria yang digunakan harus masih berlaku dan sesuai dengan kondisi saat ini. Hal ini sangat penting untuk peraturan perundangan, di mana cukup sering terjadi persyaratan dalam peraturan perundangan lama diubah., dihilangkan, ditambah, atau diganti dengan persyaratan lain dalam peraturan perundangan yang lebih baru. Contohnya, Peraturan Otoritas Jasa Keuangan no. 38/POJK.03/2016 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum (POJK MRTI) yang menggantikan PBI no. 9/15/PBI/2007. 

D.Lengkap

    Aspek yang diaudit akan memiliki atribut-atribut yang mewakili atau melekat pada aspek itu. Agar didapatkan hasil evaluasi yang menyeluruh terhadap aspek yang daudit, semua atribut perludiaudit; semua atribut dari aspek yang diaudit perlu diperiksa karena bisa jadi hasil pemeriksaan dari salah satu atribut itu mempengaruhi opini audit.

   Sebagai contoh, aspek integritas mengacu kepada:
               1.     Validitas internal (internal validity) dari proses dan kontrol.

                                                       I.            Proses berjalan dengan benar (correct processing) termasuk formula/rumus.

                                                    II.            Kontrol berjalan dengan efektif. 
2. Validitas eksternal (external validity) dari isi/substansi yaitu data benar dan akurat sesuai dengan dunia nyata.

E.Valid

    Valid memiliki basis yang kuat berdasarkan fakta atau logika. Kriteria yang valid akan benar-benar cocok/sesuai dengan konsep/hal yang mau dinilai. Sebagai contoh, suatu audit akan dilakukan terhadap kinerja jaringan memeriksa antara lain response time, processing times, bandwidth utilization, throughtput rates untuk receiving, transmitting, dan rata-ratanya. Hal yang kurang valid untuk audit khusus mengenai kinerja jaringan adalah pemeriksaan apakah user dapat teridentifikasi secara unik di jaringan dan semua aktivitasnya dapat ditelusuri; akuntabilitas akan menjadi kriteria yang valid untuk audit keamanan jaringan namun kurang tepat sebagai kriteria untuk kinerja jaringan.

F.Spesifik

   Kriteria yang digunakna sebaiknya memiliki penjelasan yang jelas dan detail untuk menghindari interpretasi/penerjemahan yang berbeda-beda. Sebagai contoh, salah satu peraturan dari regulator mensyaratkan dilakukannya “system performance review” namun tidak ada penjelasan lebih rinci mengenai factor-factor yang termasuk dalam “performance”. Bisa jadi auditee berpikir bahwa evaluasi terhadap system uptime, sebagai salah satu pengukuran dalam manajemen ketersediaan sistem (availability management), sudah cukup, sementara auditor beranggapan bahwa pengukuran terhadap throughtput, rensponse time, dan pengukuran-pengukuran lain juga harus tercakup karena merupakan bagian dari performance. Perbedaan interpretasi ini dapat berkembang menjadi pertentangan/perselisihan yang sebenarnya bisa dihindari jika kriteria dari regulator spesifik dan jelas atau disepakati sejak awal.

G.Realistis

    Kriteria perlu bersifat realistis dan dapat dicapai. Kadang-kadang kriteria yang dipilih terlalu ideal dan tidak cocok untuk diterapkan pada objek autid. Untuk itu bisa dilakukan modifikasi terhadap kriteria, termasuk pengurangan atau penambahan kiteria. Contohnya, pada sata mengaudit perusahaan menengah-kecil, persyaratan COBIT 5 untuk keberadaan IT strategy committee dapat diadaptasi menjadi tercakupnya fungsi dan tugas-tugas IT strategy committee dalam fungsi dan tugas-tugas IT steering committee. Kurang realistis jika dipaksakan untuk ada dua komite dalam suatu perusahaan kecil.

H.Terukur

    Kriteria perlu dapat diukur untuk mengetahui terpenuhi atau tidaknya kriteria tersebut. Pengukuran sebaiknya bersifat kuantitafif-objektif yang terfasilitasi dengan alat bantu. Jika bersifat kualitatif-keandalan yang baik dalam arti penilaian/pengukuran oleh pihak yang berbeda memberikan hasil pengukuran yang konsisten. 

B.     Kriteria Eksternal

        Kriteria eksternal terbagi menjadi peraturan perundangan dan peraturan regulator terkait TI serta best practice standards. Kriteria eksternal – peraturan perundangan dan regulasi berisi pemilihan kriteria dengan justifikasi terkuat adalah kriteria yang diambil dari peraturan perundangan. Salah satu assurance yang penting bagi perusahaan adalah bahwa proses-proses TI mereka tidak melanggar peraturan perundangan. Untuk itu dilakukan audit kebutuhan (compliance audit) dengan kriteria-kriteria yang mengacu kepada peraturan perundangan yang relavan untuk didapatkan assurance bahwa proses-proses TI telah mengikuti peraturan perundangan. Setelah kriteria-kriteria dari peraturan perundangan, dapat direferensi sumber-sumber kriteria lainnya. Kriteria eksternal-best practice standards berisi Jika tidak menggunakan peraturan perundangan dan peraturan regulator sebagai kriteria, dan juga diputuskan untuk tidak hanya menggunakan kriteria internal, dapat digunakan best practice standards sebagai referensi untuk menetapkan kriteria audit TI.

         Standar yang terutama direkomendasikan sebagai standar ‘payung’ untuk audit SI adalah COBIT dari ISACA. Saat ini versi terbaru dari COBIT adalah COBIT 5 yang bukan lagi kerangka kerja TI untuk diadopsi unit tapi dinyatakan oleh ISACA sebagai kerangka kerja bisnis untuk tata kelola dan manajemen terhadap TI (“business framework for the governance and management of enterprise IT”i) untuk diadopsi perusahaan. Standar ini mencakup semua ranah dna proses TI sehingga cocok disebut sebagai standar ‘paying’, tapi di banyak ranah dan proses tersebut, terdapat standar-standar lain yang lebih detail dan mendalam daripada COBIT.

        Hal yang perlu diingat saat mengacu kepada best practice standards adalah tiada hal yang sempurna, termasuk standar-standar dan tim pembuatnya. Bisa terdapat permasalahan-permasalahan dalam penggunaan best practices standards seperti tidak lengkapnya komponen/bagian tertentu, kurang cocoknya pemetaan yang disediakan, kesulitan penyesuaian kondisi actual ke framework dari standar, dan sebagainya.

        Hal lainnya yang perlu diperhatikan adalah apakah auditee sebelumnya memenag telah mengadopsi suatu standar. Jika tidak, maka perlu berhati-hati dalam menyatakan bahwa auditee tidak conform terhadap standar. Jika ada auditee yang selama ini tidak mencoba mengikuti suatu standar, kemudian diaudit dengan standar tertentu, maka sangat wajar jika banyak ditemukan nonkonformitas.

2.4.9 Pembuatan Kesimpulan Audit SI

           Auditor dapat memeriksa asersi yang dibuat manajemen dan kemudian membuat laporan/kesimpulan mengenai asersi tersebut (indirect report), atau membuat laporan berdasarkan pemeriksaan langsung terhadap objek audit (direct report). Asersi adalah pernyataan resmi tertulis yang dibuat oleh manajemen mengenai suatu entitas atau kejadian. Asersi dibuat manajemen untuk digunakan oleh pihak lain.

2.4.10 Evaluasi Audit SI

              Evaluasi pascaaudit (post-audit evaluation) dilakukan untuk mengetahui antara lain:

ü  Kepatuhan pelaksanaan audit terhadap kebijakan dan prosedur audit.

ü  Efektivitas audit yaitu pencapaian sasaran dan tujuan audit.

ü  Efisiensi audit dari sisi waktu, tenaga dan biaya.

ü  Kinerja, sikap, dan tingkah laku auditor.

ü  Efektivitas dan efisensi manajemen projek.

ü  Kepuasan auditee terhadap hasil audit(hasil audit dianggap auditee memiliki nilai tambah dan dapat meningkatkan kualitas proses dan kontrol) dan manajemen projek.

ü  Hal-hal yang dapat ditingkatkan untuk audit berikutnya (lessons learned).

            Hasil –hasil evaluasi ini digunakan untuk peningkatan kualitas audit secara terus menerus(quality assurance and improvement program).

2.5 IMPLEMENTASI

Tata Kelola Teknologi Informasi di Perguruan Tinggi

Keterlibatan teknologi informasi (TI) dalam dunia pendidikan bukan lagi dianggap sebagai pilihan, tetapi sudah menjelma menjadi kebutuhan mutlak yang harus dimiliki oleh perguruan tinggi, apabila ingin meningkatkan kualitas pelayanan kepada para stakeholder dan meningkatkan keunggulan bersaing (competitive advanced). Peran TI adalah sebagai enabler atau alat yang memungkinkan perguruan tinggi menciptakan proses pendidikan yang lebih murah, lebih baik, dan lebih cepat (cheaper-better-faster). Sebagai back office, TI digunakan untuk mendukung proses administrasi penyelenggaraan pendidikan tinggi atau kegiatan operasional. Sebagai front office, semua informasi yang berkaitan dengan perguruan tinggi tersebut dapat diakses kapan dan dimana saja oleh para stakeholders yang membutuhkannya. Semua kegiatan tersebut dilakukan dengan berbasis TI sebagai salah satu cara bagi perguruan tinggi untuk meningkatkan kualitas penyelenggaran pendidikan.

TI juga harus selaras dan mendukung visi, misi, serta tujuan perguruan tinggi, sehingga diperlukan sistem tata kelola yang baik (IT Governance). Tata kelola TI didefinisikan sebagai struktur hubungan dan proses untuk mengarahkan dan mengontrol suatu institusi (perguruan tinggi) dalam mencapai tujuannya dengan menambahkan nilai dan menyeimbangkan resiko terhadap teknologi informasi dan proses-prosesnya. Tata kelola ini mencakup proses perencanaan, implementasi, dan evaluasi.

COBIT (Control Objectives for Information and Related Technology)
COBIT adalah salah satu metodologi yang memberikan kerangka dasar dalam menciptakan sebuah teknologi informasi yang sesuai dengan kebutuhan organisasi dengan tetap memperhatikan faktor-faktor lain yang berpengaruh. Pada dasarnya COBIT dikembangkan untuk membantu memenuhi berbagai kebutuhan manajemen terhadap informasi dengan menjembatani kesenjangan antara resiko bisnis, kontrol, dan masalah teknik. COBIT memberikan satu langkah praktis melalui domain dan framework yang menggambarkan aktivitas IT dalam suatu struktur dan proses yang dapat disesuaikan. Dalam COBIT terdapat pedoman manajemen yang berisi sebuah respon kerangka kerja untuk kebutuhan manajemen bagi pengukuran dan pengendalian TI dengan menyediakan alat-alat untuk menilai dan mengukur kemampuan TI perusahaan untuk 34 proses TI.

Pada dasarnya kerangka kerja COBIT terdiri dari 3 control objectives, yaitu activities dan tasks, process, dan domains. Activities dan tasks merupakan kegiatan rutin yang memiliki konsep daur hidup, sedangkan tasks merupakan kegiatan yang dilakukan secara terpisah. Selanjutnya kumpulan activity dan tasks ini dikelompokkan ke dalam proses TI yang memiliki permasalahan pengelolaan TI yang sama dikelompokkan ke dalam domains. COBIT terdiri dari 34 high-level control objectives, satu untuk setiap proses TI dan dikelompokkan ke dalam 4 domain, yaitu: 1) Plan and Organise (PO), mencakup masalah mengidentifikasikan cara terbaik TI untuk memberikan konstribusi yang maksimal terhadap pencapaian tujuan bisnis organisasi; 2) Acquire and Implement (AI), menitikberatkan proses pemilihan, pengadaan, dan penerapan TI yang digunakan. Pelaksanaan strategi yang telah ditetapkan harus disertai dengan solusi-solusi TI yang sesuai, dan solusi tersebut diadakan, diimplementasikan dan diintegrasikan ke dalam proses bisnis organisasi; 3) Delivery and Support (DS), menitikberatkan pada teknis-teknis yang mendukung terhadap proses pelayanan TI; and 4) Monitor and Evaluate (ME), dikonsentrasikan pada pengawasan dan evaluasi penerapan TI.

Maturity Models
COBIT mempunyai model kematangan untuk mengontrol proses-proses TI dengan menggunakan metode penilaian/scoring sehingga organisasi dapat menilai proses-proses TI yang dimilikinya (dari skala 0 sampai 5). Maturity Models yang ada pada COBIT dapat dilihat pada Tabel 1. Dengan adanya maturity level models, maka organisasi dapat mengetahui posisi kematangan tata kelola teknologi informasinya. Semakin optimal suatu organisasi dalam mengelola sumber daya teknologi informasinya, akan semakin tinggi nilai akhir tingkat kematangan yang diperoleh.

BAB III

PENUTUP

3.1 Kesimpulan

       Auditor TI memiliki tanggung jawab yang besar. Auditor TI menjadi wakil dari manajemen puncak. Manajemen puncak memberi amanah kepada auditor untuk memastikan kelancaran proses-proses unit TI. Auditor memastikan hal tersebut melalui audit TI yang mengidentifikasi masalah dan masalah potensial sehingga dapat ditangani oleh unit TI dan manajemen puncak. Melalui audit TI tersebut, auditor menambah kredibilitas terhadap proses-proses TI sehingga manajemen puncak menjadi lebih yakin terhadap TI. Dalam hal ini auditor berperan sebagai assurance provider bagi manajemen puncak.

3.2 Saran

        Dosen lebih mengajarkan lebih lanjut mengenai materi Audit SI dan implementasinya di dunia kerja.

DAFTAR PUSTAKA

[1] Aminy, Reza,  M.TI. 2017. Audit Sistem Infomasi: Lima Aspek Audit Sistem Informasi. CV Mega Indo Komunika, Yogyakarta.

[2] Gambar Audit SI: https://www.google.com/imgres?imgurl=http%3A%2F%2Fdarmansyah.weblog.esaunggul.ac.id%2Fwp-content%2Fuploads%2Fsites%2F97%2F2012%2F10%2FIT-Audit-puz.jpg&imgrefurl=http%3A%2F%2Fdarmansyah.weblog.esaunggul.ac.id%2F2012%2F10%2F26%2Faudit-sistem-informasi%2F&docid=aKotvhQKGRFJDM&tbnid=4unOl9BOdjOLAM%3A&vet=10ahUKEwjNluTZ2qPXAhWBRJQKHcXjDtcQMwhLKA8wDw..i&w=249&h=246&client=firefox-b-ab&bih=659&biw=1366&q=audit%20sistem%20informasi&ved=0ahUKEwjNluTZ2qPXAhWBRJQKHcXjDtcQMwhLKA8wDw&iact=mrc&uact=8

[3] Isnanto, Rizal. 2009. “Tata Kelola Teknologi Informasi(IT GOVERNANCE)” URL: http://rizal.blog.undip.ac.id/files/2009/08/7_Pertemuan-ke-7-Terakhir-IT-Governance.pdf, 9 Oktober 2017, 19:00 PM.

[4] Sukardi, Mardiana. 2016. “Tata Kelola Teknologi Informasi di Perguruan Tinggi“ URL: https://dosen.perbanas.id/tata-kelola-teknologi-informasi-di-perguruan-tinggi/, 9 Oktober 2017, 19:30 PM.

[5] Sutimin,Putrapradana,Anugerahsurya. 2017. “Tata Kelola TI:IT Governance” URL: https://www.slideshare.net/putrasutimin/tata-kelola-teknologi-informasi-dan-komunikasi, 9 Oktober 2017 20:10 PM.

[6] Swastika,Agus,Putu,I,M.Kom.,Putra,Raditya,Agung,Lanang,Gusti,I,S.Pd.,M.T. 2016. AUDIT SISTEM INFORMASI DAN TATA KELOLA TEKNOLOGI INFORMASI: Implementasi dan Studi Kasus. Andi, Yogyakarta.

[7] Widyatama. 2016. “Pendahuluan COBIT” URL: http://repository.widyatama.ac.id/xmlui/bitstream/handle/123456789/3782/Bab%201.pdf?sequence=3, 11 Oktober 2017, 19:00 PM.