Audit Sistem Informasi

Konsep Dasar Audit

Kata Audit berasal dari bahasa Latin Audire (B.N.Tandon, 2000, p.l) yang berarti
mendengar, yaitu pada jaman dahulu apabila seorang pemilik usaha merasa ada suatu kesalahan /
penyalahgunaan, maka ia akan mendengarkan kesaksian orang tertentu. Dengan menunjuk orang
tertentu sebagai auditor yang akan memeriksa akun perusahaan dan menyatakan pendapat
mengenai akun perusahaan tersebut serta menerbitkan laporan.
Audit sesungguhnya dilakukan untuk mengevaluasi apakah kegiatan kerja atau kinerja suatu
organisasi sudah sesuai dengan yang direncanakan, sudah efektif, efisien, sesuai dengan pedoman
standar produktivitas yang direncanakan.
Pada dasarnya Audit merupakan proses sistematis dan objektif dalam memperoleh dan
mengevaluasi bukti-bukti tindakan ekonomi, guna memberikan asersi dan menilai seberapa jauh
tindakan ekonomi sudah sesuai dengan kriteria berlaku, dan mengkomunikasikan hasilnya kepada
pihak terkait.
Pada umumnya terdapat tiga jenis Audit yaitu :
- Audit Keuangan
- Audit Operasional / Manajemen
- Audit Sistem Informasi
2.2. Pengertian Audit Sistem Informasi
Ron Weber (1999,10) mengemukakan bahwa audit sistem informasi adalah :
Information systems auditing is the process of collecting and evaluating evidence to determine
whether a computer system safeguards assets, maintains data integrity, allows organizational goals
to be achieved effectively, and uses resources efficiently.
Audit sistem informasi adalah proses pengumpulan dan penilaian bukti - bukti untuk menentukan
apakah sistem komputer dapat mengamankan aset, memelihara integritas data, dapat mendorong
pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya secara efisien.
Ada beberapa aspek yang diperiksa pada audit sistem informasi:
- Audit secara keseluruhan menyangkut : efektifitas, efisiensi, availability system, reliability,
confidentiality, dan integrity, serta aspek security.
- Selanjutnya adalah audit atas proses, modifikasi program, audit atas sumber data, dan data file.
Proses audit sistem informasi dilakukan berdasarkan prosedur melalui tahap-tahap sebagai berikut :
a. Perencanaan Audit (Planning The Audit)
b. Pengujian Pengendalian (Test Of Controls)
c. Pengujian Transaksi (Test Of Transaction)
d. Pengujian Keseimbangan atau Keseluruhan Hasil (Tests Of Balances or Overal Result)
e. Penyelesaian / Pengakhiran Audit (Completion Of The Audit)
Berikut penjelasan dari tahap-tahap Audit :
a. Perencanaan Audit (Planning The Audit)
Perencanaan merupakan fase pertama dari kegiatan audit, bagi auditor eksternal hal ini artinya
adalah melakukan investigasi terhadap klien untuk mengetahui apakah pekerjaan mengaudit dapat
diterima, menempatkan staff audit, menghasilkan perjanjian audit, menghasilkan informasi latar
belakang klien, mengerti tentang masalah hukum klien dan melakukan analisa tentang prosedur
yang ada untuk mengerti tentang bisnis klien dan mengidentifikasikanresiko audit.
b. Pengujian Pengendalian (Test Of Controls)
Auditor melakukan kontrol test ketika mereka menilai bahwa kontrol resiko berada pada
level kurang dari maksimum, mereka mengandalkan kontrol sebagai dasar untuk mengurangi biaya
testing. Sampai pada fase ini auditor tidak mengetahui apakah identifikasi kontrol telah berjalan
dengan efektif, oleh karena itu diperlukan evaluasi yang spesifik.
c. Pengujian Transaksi (Test Of Transaction)
Auditor menggunakan test terhadap transaksi untuk mengevaluasi apakah kesalahan atau
proses yang tidak biasa terjadi pada transaksi yang mengakibatkan kesalahan pencatatan material
pada laporan keuangan. Tes transaksi ini termasuk menelusuri jurnal dari sumber dokumen,
memeriksa file dan mengecek keakuratan.
d. Pengujian Keseimbangan atau Keseluruhan Hasil (Tests Of Balances or Overal Result)
Untuk mengetahui pendekatan yang digunakan pada fase ini, yang harus diperhatikan
adalah pengamatan harta dan kesatuan data. Beberapa jenis subtantif tes yang digunakan adalah
konfirmasi piutang, perhitungan fisik persediaan dan perhitungan ulang aktiva tetap.
e. Penyelesaian / Pengakhiran Audit (Completion Of The Audit)
Pada fase akhir audit, eksternal audit akan menjalankan beberapa test tambahan terhadap
bukti yang ada agar dapat dijadikan laporan.
Lingkup Audit Sistem Informasi pada umumnya difokuskan kepada seluruh sumber daya sistem
informasi yang ada, yaitu Aplikasi, Informasi, Infrastruktur dan Personil.
2.3. Tujuan Audit Sistem Informasi
Tujuan Audit Sistem Informasi dapat dikelompokkan ke dalam dua aspek utama dari ketatakelolaan
IT, yaitu :
a. Conformance (Kesesuaian) Pada kelompok tujuan ini audit sistem informasi difokuskan untuk
memperoleh kesimpulan atas aspek kesesuaian, yaitu : Confidentiality (Kerahasiaan), Integrity
(Integritas), Availability (Ketersediaan) dan Compliance (Kepatuhan).
b. Performance (Kinerja) Pada kelompok tujuan ini audit sistem informasi difokuskan untuk
memperoleh kesimpulan atas aspek kinerja, yaitu : Effectiveness (Efektifitas), Efficiency (Efisiensi),
Reliability (Kehandalan).
Tujuan audit sistem informasi menurut Ron Weber tujuan audit yaitu :
1. Mengamankan asset
2. Menjaga integritas data
3. Menjaga efektivitas sistem
4. Mencapai efisiensi sumberdaya.
Keempat tujuan tersebut dapat dijelaskan sebagai berikut :
Mengamankan aset, aset (activa) yang berhubungan dengan instalasi sistem informasi mencakup:
perangkat keras (hardware), perangkat lunak (software), manusia (people), file data, dokumentasi
sistem, dan peralatan pendukung lainnya.
Sama halnya dengan aktiva - aktiva yang lain, maka aktiva ini juga perlu dilindungi dengan
memasang pengendalian internal. Perangkat keras dapat rusak karena unsur kejahatan atau sebab-
sebab lain. Perangkat lunak dan isi file data dapat dicuri. Peralatan pendukung dapat digunakan
untuk tujuan yang tidak diotorisasi.
Menjaga integritas data, integritas data merupakan konsep dasar audit sistem informasi. Integritas
data berarti data memiliki atribut: kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian.
Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan potret dirinya dengan benar
atau kejadian yang ada tidak terungkap seperti apa adanya. Akibatnya, keputusan maupun langkah-
langkah penting di organisasi salah sasaran karena tidak didukung dengan data yang benar.
Meskipun demikian, perlu juga disadari bahwa menjaga integritas data tidak terlepas dari
pengorbanan biaya. Oleh karena itu, upaya untuk menjaga integritas data, dengan konsekuensi akan
ada biaya prosedur pengendalian yang dikeluarkan harus sepadan dengan manfaat yang diharapkan.
Menjaga efektivitas sistem, sistem informasi dikatakan efektif hanya jika sistem tersebut dapat
mencapai tujuannya. Untuk menilai efektivitas sistem, perlu upaya untuk mengetahui kebutuhan
pengguna sistem tersebut (user). Selanjutnya, untuk menilai apakah sistem menghasilkan laporan
atau informasi yang bermanfaat bagi user (misalnya pengambil keputusan), auditor perlu
mengetahui karakteristik user berikut proses pengambilan keputusannya. Biasanya audit efektivitas
sistem dilakukan setelah suatu sistem berjalan beberapa waktu. Manajemen dapat meminta auditor
untuk melakukan post audit guna menentukan sejauh mana sistem telah mencapai tujuan yang telah
ditetapkan. Evaluasi ini akan memberikan masukan bagi pengambil keputusan apakah kinerja sistem
layak dipertahankan; harus ditingkatkan atau perlu dimodifikasi; atau sistem sudah usang, sehingga
harus ditinggalkan dan dicari penggantinya
Audit efektivitas sistem dapat juga dilaksanakan pada tahap perencanaan sistem (system design).
Hal ini dapat terjadi jika desainer sistem mengalami kesulitan untuk mengetahui kebutuhan user,
karena user sulit mengungkapkan atau mendeskripsikan kebutuhannya. Jika sistem bersifat komplek
dan besar biaya penerapannya, manajemen dapat mengambil sikap agar sistem dievaluasi terlebih
dahulu oleh pihak yang independen untuk mengetahui apakah rancangan sistem sudah sesuai
dengan kebutuhan user. Melihat kondisi seperti ini, auditor perlu mempertimbangkan untuk
melakukan evaluasi sistem dengan berfokus pada kebutuhan dan kepentingan manajemen.
Mencapai efisiensi sumberdaya, suatu sistem sebagai fasilitas pemrosesan informasi dikatakan
efisien jika ia menggunakan sumberdaya seminimal mungkin untuk menghasilkan output yang
dibutuhkan. Pada kenyataannya, sistem informasi menggunakan berbagai sumberdaya, seperti
mesin, dan segala perlengkapannya, perangkat lunak, sarana komunikasi dan tenaga kerja yang
mengoperasikan sistem tersebut. Sumberdaya seperti ini biasanya sangat terbatas adanya. Oleh
karena itu, beberapa kandidat sistem (system alternatif) harus berkompetisi untuk memberdayakan
sumberdaya yang ada tersebut.
Adapun tujuan yang lain adalah :
1. Untuk memeriksa kecukupan dari pengendalian lingkungan, keamanan fisik, keamanan logikal
serta keamanan operasi sistem informasi yang dirancang untuk melindungi piranti keras, piranti
lunak dan data terhadap akses yang tidak sah, kecelakaan, perubahan yang tidak dikehendaki.
2. Untuk memastikan bahwa sistem informasi yang dihasilkan benar-benar sesuai dengan kebutuhan
sehingga bisa membantu organisasi untuk mencapai tujuan strategis.
2.4. Perlunya Pengendalian dan Audit
Semenjak komputer menjadi alat utama dalam pemrosesan data dan penyediaan informasi untuk
berbagai keputusan, maka sangat perlu bagi pengguna sistem informasi berbasis komputer untuk
mengendalikan pemakaian sistem pengolah data berbasis komputer tersebut secara lebih baik.
Beberapa alasan untuk manajemen memerlukan sebuah Audit Sistem Informasi, yaitu antara lain
adalah sebagai berikut:
a. Kerugian akibat kehilangan data.
Data yang diolah menjadi sebuah informasi, merupakan aset penting dalam organisasi bisnis saat ini.
Banyak aktivitas operasi mengandalkan beberapa informasi yang penting. Informasi sebuah
organisasi bisnis akan menjadi sebuah potret atau gambaran dari kondisi organisasi tersebut di masa
lalu, kini dan masa mendatang. Jika informasi ini hilang akan berakibat cukup fatal bagi organisasi
dalam menjalankan aktivitasnya.
Sebagai contoh adalah jika data nasabah sebuah bank hilang akibat rusak, maka informasi yang
terkait akan hilang, misalkan siapa saja nasabah yang mempunyai tagihan pembayaran kredit yang
telah jatuh tempo. Atau juga misalkan kapan bank harus mempersiapkan pembayaran simpanan
deposito nasabah yang akan jatuh tempo beserta jumlahnya. Sehingga organisasi bisnis seperti bank
akan benar-benar memperhatikan bagaimana menjaga keamanan datanya.
Kehilangan data juga dapat terjadi karena tiadanya pengendalian yang memadai, seperti tidak
adanya prosedur back-up file. Kehilangan data dapat disebabkan karena gangguan sistem operasi
pemrosesan data, sabotase, atau gangguan karena alam seperti gempa bumi, kebakaran atau banjir.
b. Kerugian akibat kesalahan pemrosesan komputer.
Pemrosesan komputer menjadi pusat perhatian utama dalam sebuah sistem informasi berbasis
komputer. Banyak organisasi telah menggunakan komputer sebagai sarana untuk meningkatkan
kualitas pekerjaan mereka. Mulai dari pekerjaan yang sederhana, seperti perhitungan bunga
berbunga sampai penggunaan komputer sebagai bantuan dalam navigasi pesawat terbang atau
peluru kendali. Dan banyak pula di antara organisasi tersebut sudah saling terhubung dan
terintegrasi. Akan sangat mengkhawatirkan bila terjadi kesalahan dalam pemrosesan di dalam
komputer. Kerugian mulai dari tidak dipercayainya perhitungan matematis sampai kepada
ketergantungan kehidupan manusia.
c. Pengambilan keputusan yang salah akibat informasi yang salah.
Kualitas sebuah keputusan sangat tergantung kepada kualitas informasi yang disajikan untuk
pengambilan keputusan tersebut. Tingkat akurasi dan pentingnya sebuah data atau informasi
tergantung kepada jenis keputusan yang akan diambil. Jika top manajer akan mengambil keputusan
yang bersifat strategik, mungkin akan dapat ditoleransi berkaitan dengan sifat keputusan yang
berjangka panjang. Tetapi kadangkala informasi yang menyesatkan akan berdampak kepada
pengambilan keputusan yang menyesatkan pula.
d. Kerugian karena penyalahgunaan komputer (Computer Abused)
Tema utama yang mendorong perkembangan dalam audit sistem informasi dalam sebuah
organisasi bisnis adalah karena sering terjadinya kejahatan penyalahgunaan komputer. Beberapa
jenis tindak kejahatan dan penyalah-gunaan komputer antara lain adalah virus, hacking, akses
langsung yang tak legal (misalnya masuk ke ruang komputer tanpa ijin atau menggunakan sebuah
terminal komputer dan dapat berakibat kerusakan fisik atau mengambil data atau program
komputer tanpa ijin) dan atau penyalahgunaan akses untuk kepentingan pribadi (seseorang yang
mempunyai kewenangan menggunakan komputer tetapi untuk tujuan-tujuan yang tidak
semestinya).
- Hacking - seseorang yang dengan tanpa ijin mengakses sistem komputer sehingga dapat melihat,
memodifikasi, atau menghapus program komputer atau data atau mengacaukan sistem.
- Virus virus adalah sebuah program komputer yang menempelkan diri dan menjalankan sendiri
sebuah program komputer atau sistem komputer di sebuah disket, data atau program yang
bertujuan mengganggu atau merusak jalannya sebuah program atau data komputer yang ada di
dalamnya. Virus dirancang dengan dua tujuan, yaitu pertama mereplikasi dirinya sendiri secara aktif
dan kedua mengganggu atau merusak sistem operasi, program atau data.
Dampak dari kejahatan dan penyalahgunaan komputer tersebut antara lain:
Hardware, software, data, fasilitas, dokumentasi dan pendukung lainnya rusak atau hilang dicuri
atau dimodifikasi dan disalahgunakan.
Kerahasiaan data atau informasi penting dari orang atau organisasi rusak atau hilang dicuri atau
dimodifikasi.
Aktivitas operasional rutin akan terganggu.
Kejahatan dan penyalahgunaan komputer dari waktu ke waktu semakin meningkat, dan hampir
80% pelaku kejahatan komputer adalah orang dalam.
e. Nilai hardware, software dan personil sistem informasi
Dalam sebuah sistem informasi, hardware, software, data dan personil adalah merupakan
sumberdaya organisasi. Beberapa organisasi bisnis mengeluarkan dana yang cukup besar untuk
investasi dalam penyusunan sebuah sistem informasi, termasuk dalam pengembangan sumberdaya
manusianya. Sehingga diperlukan sebuah pengendalian untuk menjaga investasi di bidang ini.
f. Pemeliharaan kerahasiaan informasi
Informasi di dalam sebuah organisasi bisnis sangat beragam, mulai data karyawan, pelanggan,
transaksi dan lainya adalah amat riskan bila tidak dijaga dengan benar. Seseorang dapat saja
memanfaatkan informasi untuk disalahgunakan. Sebagai contoh bila data pelanggan yang rahasia,
dapat digunakan oleh pesaing untuk memperoleh manfaat dalam persaingan.
2.5. Teknik Audit
Ada beberapa teknik audit untuk mengetes automated control. Auditor dapat menggunakan tiga
kategori berikut dalam menguji pengendalian biasa juga disebut sebagai teknik audit berbantuan
computer / TABK (Computer Assisted Audit Techniques/CAAT) yang terdiri atas:
a. Auditing Around the Computer
Dengan teknik ini auditor menguji reliability dari computer generated information dengan terlebih
dahulu menghitung hasil yang diinginkan dari transaksi yang dimasukkan dalam sistem, dan
kemudian membandingkan hasil perhitungan dengan hasil proses atau output. Jika terbukti akurat
dan valid, maka diasumsikan bahwa sistem pengendalian berfungsi seperti yang seharusnya. Kondisi
ini cocok jika sistem aplikasi otomasi sederhana dan ringkas. Pendekatan ini masih relevan dipakai di
perusahaan yang menggunakan software akuntansi yang bervariasi dan melakukan proses secara
periodic.
b. Auditing With the Computer
Adalah auditing dengan pendekatan komputer, menggunakan teknik yang bervariasi yang biasa juga
disebut Computer Assisted Audit Technique (CAAT). Penggunaan CAAT telah meningkatkan secara
dramatis kapabilitas dan efektifitas auditor, dalam melakukan susbstantif test. Salah satu CAAT yang
lazim dipakai adalah general audit software (GAS). GAS sering dipakai untuk melakukan substantive
test dan digunakan test of control yang terbatas. Sebagai contoh GAS sering dipakai untuk mengetes
fungsi algoritma yang komplek dalam program komputer. Tetapi ini memerlukan pengalaman yang
luas dalam penggunaan software ini.
c. Audit Through the Computer
Teknik ini fokus pada testing tahapan pemrosesan computerised, logic program, edit routines dan
program controls. Pendekatan ini mengasumsikan bahwa jika program pemrosesan dikembangkan
dengan baik, dan memenuhi edit routines dan programme check yang memadai, maka error dan
kecurangan tidak akan mudah terjadi tanpa terdeteksi.
2.6. Auditor
Auditor merupakan seseorang yang memiliki kualifikasi tertentu dalam melakukan audit atas laporan
keuangan dan kegiatan suatu perusahaan atau organisasi. Seiring dengan perkembangan teknologi
informasi maka berkembang pulalah suatu keahlian dalam profesi auditor, yaitu auditor sistem
informasi. Hal ini didasari bahwa semakin banyak transaksi keuangan yang berjalan dalam sebuah
sistem komputer. Maka dari itu perlu dibangun sebuah kontrol yang mengatur agar proses
komputasi berjalan menjadi baik. Saat ini auditor sistem informasi umumnya digunakan pada
perusahaan-perusahaan besar yang sebagian besar transaksi berjalan secara otomatis. Auditor
sistem informasi dapat berlatar belakang IT atau akuntansi tentunya dengan kelebihan dan
kekurangan masing-masing.
Pada umumnya terdapat tiga jenis auditor, yaitu:
a. Auditor Pemerintah adalah auditor yang bertugas melakukan audit pada instansi-instansi
pemerintah.
b. Auditor Intern merupakan auditor yang bekerja pada suatu perusahaan dan oleh karenanya
berstatus sebagai pegawai pada perusahaan tersebut. Tugas utamanya ditujukan untuk membantu
manajemen perusahaan tempat dimana ia bekerja.
c. Auditor Independen atau Akuntan Publik adalah melakukan fungsi pengauditan yang diterbitkan
oleh perusahaan. Pengauditan ini dilakukan pada perusahaan terbuka, yaitu perusahaan yang go
public, perusahaan-perusahaan besar dan juga perusahaan kecil serta organisasi-organisasi yang
tidak bertujuan mencari laba. Praktik akuntan publik harus dilakukan melalui suatu Kantor Akuntan
Publik (KAP).
Syarat-syarat yang harus dimiliki oleh seorang auditor, diantaranya :
a. Audit harus dilaksanakan oleh seorang atau lebih yang memilki keahlian dan pelatihan teknis
yang cukup sebagai auditor.
Dalam melaksanakan audit sampai pada suatu pernyataan pendapat, auditor harus senantiasa
bertindak sebagai seorang ahli dalam bidang auditing. Pencapaian keahlian tersebut dimulai dari
pendidikan formal ditambah dengan pengalaman-pengalaman dalam praktik audit dan menjalani
pelatihan teknis yang cukup. Asisten junior yang baru masuk dalam karir auditing harus memperoleh
pengalaman profesionalnya dengan mendapatkan supervisi yang memadai dan review atas
pekerjaannya dari atasannya yang lebih berpengalaman. Pelatihan yang dimaksudkan disini,
mencakup pula pelatihan kesadaran untuk secara terus-menerus mengikuti perkembangan yang
terjadi dalam bidang bisnis dan profesinya. Ia harus mempelajari, memahami, dan menerapkan
ketentuan-ketentuan baru dalam prinsip dan standar auditing yang telah ditetapkan.
b. Dalam semua hal yang berhubungan dengan perikatan, independensi dan sikap mental harus
dipertahankan oleh auditor.
Standar ini mengharuskan seorang auditor bersikap independen, yang artinya seorang auditor tidak
mudah dipengaruhi, karena pekerjaannya untuk kepentingan umum. Kepercayaan masyarakat
umum atas independensi sikap auditor independen sangat penting bagi perkembangan profesi
akuntan publik. Untuk menjadi independen, seorang auditor harus secara intelektual jujur.
Profesi akuntan publik telah menetapkan dalam Kode Etik Akuntan Indonesia, agar anggota profesi
menjaga dirinya dari kehilangan persepsi independensi dari masyarakat. Independensi secara
intrinsik merupakan masalah mutu pribadi, bukan merupakan suatu aturan yang dirumuskan untuk
dapat diuji secara objektif.
c. Dalam pelaksanaan audit dan penyusunan laporannya, auditor wajib menggunakan kemahiran
profesionalnya dengan cermat dan seksama. Penggunaan kemahiran profesional dengan cermat
dan seksama menekankan tanggung jawab setiap profesional yang bekerja dalam organisasi auditor.
Selain itu juga menyangkut apa yang dikerjakan auditor dan bagaimana kesempurnaan pekerjaannya
tersebut. Seorang auditor harus memiliki tingkat keterampilan yang umumnya dimiliki oleh auditor
pada umumnya dan harus menggunakan keterampilan tersebut dengan kecermatan dan
keseksamaan yang wajar. Untuk itu, auditor dituntut untuk memiliki skeptisme profesional dan
keyakinan yang memadai dalam mengevaluasi bukti audit.
Berikut ini merupakan peran auditor, yaitu:
1. Perencanaan, Pengendalian dan Pencatatan. Auditor perlu merencanakan, mengendalikan dan
mencatat pekerjannya.
2. Sistem Pemrosesan Transaksi. Auditor harus mengetahui dengan pasti sistem pencatatan dan
pemrosesan transaksi dan menilai kecukupannya sebagai dasar penyusunan laporan.
3. Bukti Audit. Auditor akan memperoleh bukti audit yang relevan dan reliable untuk memberikan
kesimpulan rasional.
4. Pengendalian Intern. Bila auditor berharap untuk menempatkan kepercayaan pada pengendalian
internal, hendaknya memastikan dan mengevaluasi pengendalian itu dan melakukan compliance
test.
5. Peninjauan Ulang Laporan. Auditor melaksanakan tinjau ulang laporan yang relevan seperlunya,
dalam hubungannya dengan kesimpulan yang diambil berdasarkan bukti audit lain yang didapat, dan
untuk memberi dasar rasional atas pendapat mengenai laporan yang ada.





Pengertian EDP (Electronic Data Processing) - Pemrosesan data elektronik (Inggris: electronic data
processing disingkat EDP) adalah metode dalam suatu pemrosesan data komersial. Sebagai bagian
dari teknologi informasi, EDP melakukan pemrosesan data secara berulang kali terhadap data yang
sejenis dengan bentuk pemrosesan yang relatif sederhana. Sebagai contoh,pemrosesan data
elektronis dipakai untuk pemutakhiran (update) stock dalam suatu daftar barang (inventory),
pemrosesan transaksi nasabah bank, pemrosesan booking untuk tiket pesawat terbang, reservasi
kamar hotel, pembuatan tagihan untuk suatu jenis layanan, dll. Selain itu, Pengertian Electronic Data
Processing ( EDP ) secara umum adalah penggunaan metode automatis dalam pengolahan data
komersil. Biasanya penggunaan edp ini relatif simple, aktivitas yg berulang untuk memproses
informasi dalam jumlah yg besar. Misalnya : update stok barang untuk dimasukkan ke dalam
inventaris, transaksi banking untuk dimasukkan ke dalam account dan master file pelanggan,
booking dan pemesanan tiket ke system reservasi maskapai penerbangan, dll.

Pengertian EDP Auditing/Computer Auditing:
1. Electronic Data Processing (EDP) can refer to the use of automated methods to process
commercial data. Typically, this uses relatively simple, repetitive activities to process large
volumes of similar information. For example: stock updates applied to an inventory, banking
transactions applied to account and customer master files, booking and ticketing
transactions to an airline's reservation system, billing for utility services.
2. Menurut Ron Weber, EDP auditing adalah proses mengumpulkan dan menilai bukti untuk
menentukan apakah sistsem computer mampu mengamankan harta, memelihara kebenaran
data maupun mencapai tujuan organisasi perusahaan secara efektif dan menggunakan
aktiva perusahaan secara hemat.
3. Menurut Gallegos, Richardson dan Borthick: Computer auditing is the evaluation of
computer information systems, practices and operation to assure the integrity of an entitys
information. Include one or both of the following:
o Assessment of internal controls within the CIS environment to assure the validity,
reliability and security of information
o Assessment of the efficiency and effectiveness of the CIS environment in economic
terms.
Metode audit EDP
1. Auditing-around the computer, yaitu pendekatan audit dengan memperlakukan komputer
sebagai kotak hitam, teknik ini tidak menguji langkah langkah proses secara langsung, hanya
berfokus pada input dan output dari sistem computer. Kelemahannya:
o Umumnya data base mencakup jumlah data yang banyak dan sulit untuk ditelusuri
secara manual
o Tidak membuat auditor memahami sistem computer lebih baik
o Mengabaikan pengendalian sistem, sehingga rawan terhadap kesalahan dan
kelemahan potensial dalam system.
o Lebih berkenaan dengan hal yang lalu dari pada audit yang preventif
o Kemampuan computer sebagai fasilitas penunjang audit mubazir
o Tidak mencakup keseluruhan maksud dan tujuan audit.
2. Auditing-through the computer, pendekatan audit yang berorientasi computer yang secara
langsung berfokus pada operasi pemrosesan dalam system computer dengan asumsi bila
terdapat pengendalian yang memadai dalam pemrosesan, maka kesalahan dan
penyalahgunaan dapat dideteksi.
3. Auditing-with the computer, menggunakan computer (audit software) untuk membantu
melaksanakan langkah langkah audit. Generalized Audit Software Program (GASP) untuk
substantive test.

Manfaat GASP:
a. memungkinkan auditor memiliki tingkat independensi yang tinggi
b. mengurangi keperluan tingkat keahlian computer dan pelatihan
c. dapat mengakses berbagai catatan klien tanpa program khusus
d. memungkinkan auditor mengendalikan pelaksanaan program
e. memanfaatkan kecepatan dan keakuratan computer

Kelemahan GASP:
a. dirancang untuk kemudahan implementasi tapi mengabaikan efisiensi
b. banyak GASP hanya berfungsi pada computer tertentu

Perbedaan sistem audit manual dan EDP:
1. Visibility
2. Sarana dan fasilitas
3. Personalia
4. Pemisahan tugas
5. Kemungkinan terjadinya kesalahan dan kecurangan
6. Meningkatnya supervisi manajemen
7. Pelaksanaan transaksi secara otomatis dengan computer

Sistem pengendalian intern dalam EDP
SPI meliputi rencana organisasi serta metode dan ketentuan yg terkoordinir dalam suatu
perusahaan:
1. untuk melindungi aktiva
2. mengecek kecermatan dan keandalan data akuntansi
3. meningkatkan efisiensi usaha
4. mendorong ditaatinya kebijakan manajemen

Pengendalian tambahan dalam EDP:
1. pengendalian umum (general control)
2. pengendalian aplikasi (application control)

Resiko audit (audit risk)
Adalah kemungkinan akuntan mengeluarkan pendapat wajar atas laporan keuangan yang
mengandung kesalahan yang material.
1. resiko inheren adalah resiko adanya kesalahan yang material yg didukung oleh laporan keuangan
yang diaudit.
2. resiko pengendalian adalah resiko karena ketidakmampuan system untuk menemukan dan
menghindari kesalahan secara dini
3. resiko deteksi adalah resiko yang timbul karena auditor tidak menemukan kesalahan material saat
melakukan audit.

Transaction Flow Auditing (TFA)
Suatu metode yang digunakan untuk mendokumentasikan pengendalian aplikasi terkomputerisasi
guna mengaudit arus transaksi yang meliputi:
- siklus aktifitas bisnis organisasi
- tipe transaksi yg mngalir melalui siklus
- fungsi yg dilaksanakan dalam setiap sklus: mengakui, mengotorisasi, memproses, mengklasifikasi
dan melaporkan transaksi

Perdekatan TFA diorganisasi dalam 5 fase
1. General Risk Analysis (GRA)
2. Transaction Flow Review (TFR)
3. Specific Risk Analysis (SRA)
4. Compliance and substrantive audit test
5. Final reporting

Pengetahuan yang harus dimiliki auditor computer
1. Computer system, operation and software
2. CIS techniques
3. Management concept and practices
4. Security of CIS function
5. Assessment of risk and threats
6. Auditing concepts and practices
7. Additional qualifications

Kualitas yg harus dimiliki auditor computer:
1. ability to evaluate objectively
2. ability to recognize key issues quickly
3. ability to communicate effectively
4. Knowledge of the CIS function

TOOLS IT AUDIT
Standard tools tersebut dikembangkan sebagai framework yang disusun berdasarkan best
pratices dari hasil riset serta pengalaman bertahun-tahun dalam kegiatan audit
TI. Framework tersebut tentunya mengalami penyempurnaan yang berkelanjutan sebagai upaya
menciptakan standar yang semakin baik, efektif dan efisien.
Berikut ini adalah standard tools/framework yang banyak digunakan di dunia:

1. COBIT (Control Objectives for Information and related Technology)
2. COSO (Committee of Sponsoring Organisations of the Treadway Commission) Internal
ControlIntegrated Framework
3. ISO/IEC 17799:2005 Code of Practice for Information Security Management
4. FIPS PUB 200
5. ISO/IEC TR 13335
6. ISO/IEC 15408:2005/Common Criteria/ITSEC
7. PRINCE2
8. PMBOK
9. TickIT
10. CMMI
11. TOGAF 8.1
12. IT Baseline Protection Manual
13. NIST 800-14


1. COBIT (Control Objectives for Information and related Technology)
Disusun oleh Information Systems Audit and Control Foundation (ISACF) pada tahun 1996.
Edisi kedua dari COBIT diterbitkan pada tahun 1998. Pada tahun 2000 dirilis COBIT 3.0 oleh
ITGI (Information Technology Governance Institute) dan COBIT 4.0 pada tahun 2005. Rilis
terakhir COBIT 4.1 dirilis pada tahun 2007.
COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework IT
audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor
yang tersebar di hampir seluruh negara. Dimana di setiap negara dibangun chapter yang
dapat mengelola para profesional tersebut.
Target pengguna dari framework COBIT adalah organisasi/perusahaan dari berbagai latar
belakang dan para profesional external assurance. Secara manajerial target pengguna COBIT
adalah manajer, pengguna dan profesional TI serta pengawas/pengendali profesional.
Secara resmi tidak ada sertifikasi profesional resmi yang diterbitkan oleh ITGI atau organisasi
manapun sebagai penyusun standar COBIT. Di Amerika Serikat standar COBIT sering
digunakan dalam standar sertifikasi Certified Public Accountants (CPAs) dan Chartered
Accountants (CAs) berdasarkan Statement on Auditing Standards (SAS) No. 70 Service
Organisations review, Systrust certification or Sarbanes-Oxley compliance.
Sertifikasi non COBIT yang merupakan pengakuan profesional auditor IT diterbitkan
oleh ISACA, sebagai afiliasiITGI yaitu Certified Information Systems Auditor
(CISA) dan Certified Information Security Manager (CISM).
Lingkup kriteria informasi yang sering menjadi perhatian dalam COBIT adalah:

Effectiveness
Menitikberatkan pada sejauh mana efektifitas informasi dikelola dari data-data yang
diproses oleh sistem informasi yang dibangun.
Efficiency
Menitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang
diproses oleh sistem.
Confidentiality
Menitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis.
Integrity
Menitikberatkan pada integritas data/informasi dalam sistem.
Availability
Menitikberatkan pada ketersediaan data/informasi dalam sistem informasi.
Compliance
Menitikberatkan pada kesesuaian data/informasi dalam sistem informasi.
Reliability
Menitikberatkan pada kemampuan/ketangguhan sistem informasi dalam
pengelolaan data/informasi.
Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi dalam
COBIT adalah pada:
Applications
Information
Infrastructure
People
Hal yang menarik dari COBIT adalah adanya versi khusus untuk skala usaha kecil-
menengah (UKM) yang disebutCOBIT Quickstart.

2. COSO (Committee of Sponsoring Organisations of the Treadway Commission) Internal
ControlIntegrated Framework
COSO adalah organisasi swasta yang menyusun Internal Control Integrated Network bagi
peningkatan kualitas penyampaian laporan keuangan dan pengawasan internal untuknya
yang lebih efektif.
Tujuan dari penyusunan framework ini adalah peningkatan sistem pengawasan terpadu
untuk pengendalian perusahaan/organisasi dalam beberapan langkah. Hal ini diarahkan
untuk memberikan para pemegang kebijakan di organisasi dapat melakukan pengawasan
internal dalam pelaksanaan tugas kepada para eksekutif, mencapai laba yang
menguntungkan serta mengelola resiko-resiko yang timbul.
Internal Control Integrated Framework yang disusun oleh COSO diterbitkan pertama kali
pada tahun 1992 dan masih diperbarui hingga saat ini. Hingga saat ini COSO maupun
organisasi lainnya tidak melakukan/menerbitkan sertifikasi keahlian/profesional
bagi framework ini.
Lingkup kriteria informasi yang sering menjadi perhatian dalam Internal Control Integrated
Framework COSOadalah:

Effectiveness
Efficiency
Confidentiality
Integrity
Availability
Compliance
Reliability
Jika dilihat dari lingkup kriteria informasi di atas maka dapat dilihat bahwa komponen-
komponen yang menjadi perhatian dalam Internal Control Integrated Framework
COSO identik dengan COBIT.
Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi pun dalam Internal
Control Integrated Framework COSO identik dengan COBIT.

3. ITIL (Information Technology Infrastructure Library)
Sebenarnya ITIL bukan merupakan standar dalam audit TI. ITIL lebih merupakan
framework/best practice bagi IT service management untuk menciptakan layanan teknologi
informasi yang bermutu tinggi.
ITIL terdiri atas delapan buku berseri yang disusun dan diterbitkan oleh Central Computer
and Telecommunications Agency (CCTA) yang sekarang dikenal sebagai the British Office of
Government Commerce (OGC).
Delapan serial buku ITIL tersebut terdiri atas:

Software Asset Management
Service Support
Service Delivery
Planning to Implement Service Management
ICT Infrastructure Management
Application Management
Security Management
Business Perspective
British Standard (BS) 15000 adalah sertifikasi keahlian/profesional yang diterbitkan oleh
Pemerintah Inggris untuk manajemen TI dimana ITIL dapat digunakan sebagai panduan
dalam penetapan sertifikasi.
Sedangkan untuk pemusatan perhatian pada kebutuhan keamanan sistem diterbitkan
sertifikasi BS 7799 yang berdasarkan pada bagian dari BS 15000.
Sertifikasi untuk IT service management terbagi atas tiga tingkat yaitu:
Foundation certificate
Sertifikasi ini diberikan setelah menjalani kursus selama tiga hari dan lulus dari ujian
tulis dengan model pilihan berganda. Sertifikat untuk tingkatan ini merupakan
sertifikasi pertama dari tingkatan yang ada.
Practitioners certificate
Untuk mencapai tingkatan ini diperlukan proses penilaian dan pengujian dengan
mengikuti kursus, studi kasus serta ujian tulis dengan model pilihan berganda. Di
tingkatan ini sertifikasi diberikan secara khusus pada bagian tertentu saja
(spesialisasi).

Managers certificate
Untuk memperoleh sertifikasi ini harus menempuh sepuluh hari pelatihan, akreditasi
dari badan khusus serta lulus dari dua kali ujian tulis dalam model uraian.
Lingkup kriteria informasi yang sering menjadi perhatian dalam ITIL adalah:

Effectiveness
Efficiency
Confidentiality
Integrity
Availability
Compliance
Namun pada bagian kriteria informasi ini tidak terlalu terfokus seperti dalam COBIT.
Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi dalam ITIL identik
dengan COBIT.

4. ISO/IEC 17799:2005 Code of Practice for Information Security Management
ISO/IEC 17799:2005 Code of Practice for Information Security Management adalah standar
internasional. Tujuan utama dari penyusunan standar ini adalah penerapan keamanan
informasi dalam organisasi. Framework ini diarahkan untuk mengembangkan dan
memelihara standar keamanan dan praktek manajemen dalam organisasi untuk
meningkatkan ketahanan (reliability) bagi keamanan informasi dalam hubungan antar
organisasi.
Dalam framework ini didefinisikan 11 (sebelas) bagian besar yang dibagi dalam 132 (seratus
tigapuluh dua) strategi kontrol keamanan. Standar ini lebih menekankan pada pentingnya
manajemen resiko dan tidak menuntut penerapan pada setiap komponen tapi dapat
memilih pada bagian-bagian yang terkait saja.
Edisi pertama dari ISO/IEC 17799:2005 Code of Practice for Information Security
Management diterbitkan pada tahun 2000 dan edisi keduanya terbit pada tahun 2005.
Sejak edisi kedua tersebut ISO/IEC 17799:2005 Code of Practice for Information Security
Management menjadi standar resmi ISO yang berdampak pada diperlukannya revisi dan
pemutakhiran setiap tiga hingga lima tahun sekali.
Pada bulan April 2007, ISO memasukkan framework ini ke dalam ISO 2700x series,
Information Security Management System sebagai ISO 27002. Standar tersebut dapat
digolongkan dalam best practice termutakhir dalam lingkup sistem manajemen keamanan
informasi.
Secara langsung tidak ada sertifikasi untuk ISO/IEC 17799:2005. Namun terdapat sertifikasi
yang sesuai dengan ISO/IEC 27001 (BS 7799-2).
Pada standar ini terdapat perbedaan perhatian lingkup kriteria informasi dibandingkan
dengan COBIT. Dimana dalam ISO/IEC 17799:2005 tidak memfokuskan pada effectiveness
dan efficiency serta hanya memberikan sedikit perhatian pada reliability.
Sedangkan pada pengelolaan sumber daya TI dalam ISO/IEC 17799:2005 tidak terlalu
memfokuskan padainfrastructure.

CoBIT
1. Fokus Pengguna Utama adalah manajemen, operator dan auditor sistem informasi.
2. Sudut pandang atas internal control adalah kesatuan beberapa proses yang terdiri atas kebijakan,
prosedur, penerapan serta struktur organisasi.
3. Tujuan yang ingin dicapai dari sebuah internal control adalah pengoperasian sistem yang efektif
dan efisien, kerahasiaan, kesatuan dan ketersediaan informasi yang dilengkapi dengan sistem
pelaporan keuangan yang handal disesuaikan dengan peraturan yang berlaku.
4. Komponen/domain yang dituju adalah perencanaan dan pengorganisasian, pemaduan dan
penerapan, pengawasan atas dukungan serta pendistribusian.
5. Fokus pengendalian dari CoBIT adalah sisi teknologi informasi.
6. Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian tersebut diterapkan
dalam periode waktu yang sudah ditetapkan.
7. Pertanggungjawaban atas sistem pengendalian dari CoBIT ditujukan kepada manajemen.

COSO
1. Fokus Pengguna Utama adalah manajemen.
2. Sudut pandang atas internal control adalah kesatuan beberapa proses secara umum.
3. Tujuan yang ingin dicapai dari sebuah internal control adalah pengoperasian sistem yang efektif
dan efisien, pelaporan laporan keuangan yang handal serta kesesuaian dengan peraturan yang
berlaku.
4. Komponen/domain yang dituju adalah pengendalian atas lingkungan, manajemen resiko,
pengawasan serta pengendalian atas aktivitas informasi dan komunikasi.
5. Fokus pengendalian dari eSAC adalah keseluruhan entitas.
6. Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian tersebut diterapkan
dalam poin waktu tertentu.
7. Pertanggungjawaban atas sistem pengendalian dari eSAC ditujukan kepada manajemen.

Jika melihat dari hal-hal tersebut maka dapat dilihat adanya persamaan sebagai berikut:
Seluruh tujuan dari framework CoBIT, eSAC dan COSO adalah pengendalian serta pengawasan atas
proses dan lingkungan.
Pertanggungjawaban ditujukan kepada manajemen.
Seluruh sistem pelaporan dan prosedur wajib mengikuti aturan yang berlaku.













Artikel Standar Framework Pada Proses Pengelolaan IT Governance Dan
Audit Sistem Informasi
IT Governance bukan bidang yang terpisah dari pengelolaan
organisasi, melainkan merupakan komponen dari pengelolaan
organisasi secara keseluruhan, dengan tanggung jawab utama
yang memastikan kepentingan stakeholder diikutsertakan dalam
penyusunan strategi organisasi, memberikan arahan kepada
proses-proses yang menerapkan strategi organisasi, memastikan
proses-proses tersebut menghasilkan keluaran yang terukur,
memastikan adanya informasi mengenai hasil yang diperoleh dan
memastikan keluaran yang dihasilkan sesuai dengan yang
diharapkan. Penerapan TI di suatu perusahaan tidak selamanya selaras dengan strategi dan tujuan
organisasi. Untuk itu perlu dilakukan analisis terhadap infrastruktur dan Pengelolaan TI yang ada
agar dapat selalu dipastikan kesesuaian infrastruktur dan pengelolaan yang ada dengan tujuan
organisasi.

Analisis yang dilakukan haruslah berdasarkan standar yang umum dan diakui secara luas. Ada
beberapa standar yang telah mendapat pengakuan secara luas, antara lainITIL, ISO/IEC 17799,
COSO dan COBIT.

Dengan menggunakan standar-standar tersebut, maka tujuan penerapan TI di sebuah perusahaan
akan sesuai dengan tujuan yang diharapkan dan menghindarkan dari terjadinya kerugian akibat
risiko-risiko penerapan yang tidak terpetakan.

IT Governance
Penerapan TI di perusahaan akan dapat
dilakukan dengan baik apabila ditunjang
dengan suatu pengelolaan TI (IT Governance)
dari mulai perencanaan sampai
implementasinya. Definisi IT
Governance menurut ITGI adalah: Suatu
bagian terintegrasi dari kepengurusan
perusahaan serta mencakup kepemimpinan
dan struktur serta proses organisasi yang
memastikan bahwa TI perusahaan
mempertahankan dan memperluas strategi
dan tujuan organisasi.






Kegunaan IT Governance adalah untuk mengatur penggunaan TI, dan memastikan performa TI
sesuai dengan tujuan berikut ini :
1. Keselarasan TI dengan perusahaan dan realisasi keuntungan-keuntungan yang dijanjikan
dari penerapan TI.
2. Penggunaan TI agar memungkinkan perusahaan mengekploitasi kesempatan yang ada dan
memaksimalkan keuntungan.
3. Penggunaan sumber daya TI yang bertanggung jawab.
4. Penanganan manajemen risiko yang terkait TI secara tepat.

Alasan terpenting mengapa IT governance penting adalah bahwa ekspektasi danrealitas sering kali
tidak sesuai. Shareholder perusahaan selalu berharap tentang perusahaan untuk :
1. Memberikan solusi TI dengan kualitas yang bagus, tepat waktu, dan sesuai dengan anggaran.
2. Menguasai dan menggunakan TI untuk mendatangkan keuntungan.
3. Menerapkan TI untuk meningkatkan efisiensi dan produktifitas sambil menangani risiko TI.

IT governance yang tidak efektif akan menjadi awal terjadinya pengalaman buruk yang dihadapi
perusahaan seperti:
1. Kerugian bisnis, berkurangnya reputasi, dan melemahnya posisi kompetisi.
2. Tenggat waktu yang terlampaui, biaya lebih tinggi dari yang diperkirakan, dan kualitas lebih
rendah dari yang telah diantisipasi.
3. Efisiensi dan proses inti perusahaan terpengaruh secara negatif oleh rendahnya kualitas
penggunaan TI.
4. Kegagalan inisiatif TI untuk melahirkan inovasi atau memberikan keuntungan yang
dijanjikan.

Dalam studi ITGI mengenai Status Global Penguasaan IT, ada 10 masalah besar di bidang TI yang
dialami oleh para CEO dan CIO, yaitu
1. Kurangnya pandangan mengenai seberapa baik TI berfungsi.
2. Kegagalan operasional TI.
3. Masalah penempatan karyawan bidang TI.
Kegunaan TI Governance adalah untuk mengatur penggunaan TI, dan memastikan performa TI sesuai
dengan tujuan berikut ini :
1. Keselarasan TI dengan perusahaan dan realisasi keuntungan-keuntungan yang dijanjikan dari
penerapan TI.
2. Penggunaan TI agar memungkinkan perusahaan mengekploitasi kesempatan yang ada dan
memaksimalkan keuntungan.
3. Penggunaan sumber daya TI yang bertanggung jawab.
4. Penanganan manajemen risiko yang terkait TI secara tepat.

Alasan terpenting mengapa IT governance penting adalah bahwa ekspektasi danrealitas sering kali
tidak sesuai. Shareholder perusahaan selalu berharap perusahaan untuk :
1. Memberikan solusi TI dengan kualitas yang bagus, tepat waktu, dan sesuai dengan anggaran.
2. Menguasai dan menggunakan TI untuk mendatangkan keuntungan.
3. Menerapkan TI untuk meningkatkan efisiensi dan produktifitas sambil menangani risiko TI.
IT governance yang tidak efektif akan menjadi awal terjadinya pengalaman buruk yang dihadapi
perusahaan, seperti:
1. Kerugian bisnis, berkurangnya reputasi, dan melemahnya posisi kompetisi.
2. Tenggat waktu yang terlampaui, biaya lebih tinggi dari yang diperkirakan, dan kualitas lebih
rendah dari yang telah diantisipasi.
3. Efisiensi dan proses inti perusahaan terpengaruh secara negatif oleh rendahnya kualitas
penggunaan TI.
4. Kegagalan inisiatif TI untuk melahirkan inovasi atau memberikan keuntungan yang dijanjikan.

Dalam studi ITGI mengenai Status Global Penguasaan IT, ada 10 masalah besar di bidang TI yang
dialami oleh para CEO dan CIO, yaitu
1. Kurangnya pandangan mengenai seberapa baik TI berfungsi.
2. Kegagalan operasional TI.
3. Masalah penempatan karyawan bidang TI.
4. Jumlah masalah dan kejadian dalam TI.
5. Biaya TI yang tinggi dengan perolehan kembali modal (ROI) yang rendah.
6. Kurangnya pengetahuan mengenai sistem penting.
7. Kurangnya kemampuan mengelola data.
8. Pemutusan hubungan antara strategi TI dan bisnis.

9. Ketergantungan pada entitas di luar pengawasan langsung.
10. Jumlah kesalahan yang disebabkan oleh sistem penting.
11. Jumlah masalah dan kejadian dalam TI.

Marios Damianides, ketua internasional ITGI menyatakan, "Hasil-hasil ini menunjukkan kesenjangan
antara masalah TI dan pendahuluan rencana aksi untuk memusatkan perhatian pada masalah
tersebut".
Penggunaan standar IT Governance mempunyai keuntungan-keuntungan sebagai berikut:
1. The Wheel Exists penggunaan standar yang sudah ada dan mature akan sangat efisien.
Perusahaan tidak perlu mengembangkan sendiri frameworkdengan mengandalkan
pengalamannya sendiri yang tentunya sangat terbatas.
2. Structured standar-standar yang baik menyediakan suatu framework yang sangat
terstruktur yang dapat dengan mudah difahami dan diikuti oleh manajemen. Lebih lanjut
lagi, framework yang terstruktur dengan baik akan memberikan setiap orang pandangan
yang relatif sama.
3. Best Practices standar-standar tersebut telah dikembangkan dalam jangka waktu yang
relatif lama dan melibatkan ratusan orang dan organisasi di seluruh dunia. Pengalaman yang
direfleksikan dalam model-model pengelolaan yang ada tidak dapat dibandingkan dengan
suatu usaha dari satu perusahaan tertentu.
4. Knowledge Sharing dengan mengikuti standar yang umum, manajemen akan dapat
berbagi ide dan pengalaman antar organisasi melalui user groups, website, majalah, buku,
dan media informasi lainnya.
5. Auditable tanpa standar baku, akan sangat sulit bagi auditor, terutama auditor dari pihak
ketiga, untuk melakukan kontrol secara efektif. Dengan adanya standar, maka baik
manajemen maupun auditor mempunyai dasar yang sama dalam melakukan pengelolaan TI
dan pengukurannya.

Model Standar IT Governance
Ada berbagai standar model IT Governance yang banyak digunakan saat ini, antara lain:
1. ITIL (The IT Infrastructure Library)
2. ISO/IEC 17799 (The International Organization for Standardization / The International
Electrotechnical Commission)
3. COSO (Committee of Sponsoring Organization of the Treadway Commission)
4. COBIT (Control Objectives for Information and related Technology)

1. ITIL The IT Infrastructure Library
ITIL dikembangkan oleh The Office of Government Commerce (OGC)suatu badan dibawah
pemerintah Inggris, dengan bekerja sama dengan TheIT Service Management Forum (itSMF) suatu
organisasi independen mengenai manajemen pelayanan TI dan British Standard Institute (BSI)
suatu badan penetapan standar pemerintah Inggris.
ITIL merupakan suatu framework pengelolaan layanan TI (IT Service Management ITSM) yang
sudah diadopsi sebagai standar industri pengembangan industri perangkat lunak di dunia.
ITIL framework terdiri dari dua bagian utama, yaitu:
1. Service Support
a. Service Desk.
b. Incident Management.
c. Problem Management.
d. Configuration Management.
e. Change Management.
f. Release Management.
2. Service Delivery
a. Availability Management.
b. Capacity Management.
c. IT Service Continuity Management.
d. Service Level Management.
e. Financial Management for TI Services.
f. Security Management.
Standar ITIL berfokus kepada pelayanan customer, dan sama sekali tidak menyertakan proses
penyelarasan strategi perusahaan terhadap strategi TI yang dikembangkan.

2. ISO/IEC 17799
ISO/IEC 17799 dikembangkan oleh The International Organization for Standardization (ISO) dan The
International Electrotechnical Commission (IEC) dengan titel "Information Technology - Code of
Practice for Information Security Management". ISO/IEC 17799 dirilis pertama kali pada bulan
desember 2000.
ISO/IEC 17799 bertujuan memperkuat 3 (tiga) element dasar keamanan informasi (1), yaitu
1. Confidentiality memastikan bahwa informasi hanya dapat diakses oleh yang berhak.
2. Integrity menjaga akurasi dan selesainya informasi dan metode pemrosesan.
3. Availability memastikan bahwa user yang terotorisasi mendapatkan akses kepada informasi
dan aset yang terhubung dengannya ketika memerlukannya.
ISO/IEC 17799 terdiri dari 10 domain (1), yaitu:
1. Security Policy memberikan panduan dan masukan pengelolaan dalam meningkatkan
keamanan informasi.
2. Organizational Security memfasilitasi pengelolaan keamanan informasi dalam organisasi.
3. Asset Classification and Control melakukan inventarisasi aset dan melindungi aset tersebut
dengan efektif.
4. Personnel Security meminimalisasi risiko human error, pencurian, pemalsuan atau
penggunaan peralatan yang tidak selayaknya.
5. Physical and Environmental Security
menghindarkan violation, deteriorationatau disruption dari data yang dimiliki.
6. Communications and Operations Management memastikan penggunaan yang baik dan
selayaknya dari alat-alat pemroses informasi.
7. Access Control mengontrol akses informasi.
8. Systems Development and Maintenance memastikan bahwa keamanan telah terintegrasi
dalam sistem informasi yang ada.
9. Business Continuity Management meminimalkan dampak dari terhentinya proses bisnis
dan melindungi proses-proses perusahaan yang mendasar dari kegagalam dan kerusakan
yang besar.
10. Compliance menghindarkan terjadinya tindakan pelanggaran atas hukum, kesepakatan
atau kontrak, dan kebutuhan keamanan.

3. COSO Committee of Sponsoring Organization of the Treadway Commission
COSO merupakan kependekan dari Committee of Sponsoring Organization of the Treadway
Commission, sebuah organisasi di Amerika yang berdedikasi dalam meningkatkan kualitas pelaporan
finansial mencakup etika bisnis, kontrol internal dan corporate governance. Komite ini didirikan pada
tahun 1985 untuk mempelajari faktor-faktor yang menunjukan ketidaksesuaian dalam laporan
finansial.

1. Komponen kontrol COSO
COSO mengidentifikasi 5 komponen kontrol yang diintegrasikan dan dijalankan dalam semua unit
bisnis, dan akan membantu mencapai sasaran kontrol internal:
a. Monitoring.
b. Information and communications.
c. Control activities.
d. Risk assessment.
e. Control environment.
2. Sasaran kontrol internal
Sasaran kontrol internal dikategorikan menjadi beberapa area sebagai berikut:
a. Operations efisisensi dan efektifitas operasi dalam mencapai sasaran bisnis yang juga meliputi
tujuan performansi dan keuntungan.
b. Financial reporting persiapan pelaporan anggaran finansial yang dapat dipercaya.
c. Compliance pemenuhan hukum dan aturan yang dapat dipercaya.

3. Unit / Aktifitas Terhadap Organisasi
Dimensi ini mengidentifikasikan unit/aktifitas pada organisasi yang menghubungkan kontrol internal.
Kontrol internal menyangkut keseluruhan organisasi dan semua bagian-bagiannya. Kontrol internal
seharusnya diimplementasikan terhadap unit-unit dan aktifitas organisasi.

3. COBIT Control Objectives forInformation and related Technology
COBIT Framework dikembangkan oleh IT Governance Institute, sebuah organisasi yang melakukan
studi tentang model pengelolaan TI yang berbasis di Amerika Serikat.
COBIT Framework terdiri atas 4 domain utama:
1. Planning & Organisation.
Domain ini menitikberatkan pada proses perencanaan dan penyelarasan strategi TI dengan strategi
perusahaan.
2. Acquisition & Implementation.
Domain ini menitikberatkan pada proses pemilihan, pengadaaan dan penerapan teknologi informasi
yang digunakan.
3. Delivery & Support.
Domain ini menitikberatkan pada proses pelayanan TI dan dukungan teknisnya.
4. Monitoring.
Domain ini menitikberatkan pada proses pengawasan pengelolaan TI pada organisasi.


Masing-masing domain terdiri dari high-level control-objectives sebagai berikut:

Domain Planning & Organisation
1. PO1 Define a Strategic TI Plan
2. PO2 Define the Information Architecture
3. PO3 Determine Technological Direction
4. PO4 Define the TI Organisation and Relationships
5. PO5 Manage the TI Investment
6. PO6 Communicate Management Aims and Direction
7. PO7 Manage IT Human Resources
8. PO8 Manage Quality
9. PO9 Assess and Manage IT Risks
10. PO10 Manage Projects
Domain Acquisition & Implementation
1. AI1 Identify Automated Solutions
2. AI2 Acquire and Maintain Application Software
3. AI3 Acquire and Maintain Technology Infrastructure
4. AI4 Enable Operation and use
5. AI5 Procure IT Resources
6. AI6 Manage Changes
7. AI7 Install and Accredit Solutions and changes

Domain Delivery & Support
1. DS1 Define and Manage Service Levels
2. DS2 Manage Third-party Services
3. DS3 Manage Performance and Capacity
4. DS4 Ensure Continous Services
5. DS5 Ensure System Security
6. DS6 Indentify and Allocate Cost
7. DS7 Educate and Train Users
8. DS8 Manage Service desk and incidents
9. DS9 Manage the Configurations
10. DS10 Manage Problems
11. DS11 Manage Data
12. DS12 Manage the Physical Environment
13. DS13 Manage Operations
Domain Monitoring
1. M1 Monitor and Evaluate IT Performance
2. M2 Monitor and Evaluate IInternal Controll
3. M3 Ensure Compliance with external requirements
4. M4 Provide IT Governance

COBIT mempunyai model kematangan (maturity models) untuk mengontrol proses-proses TI
dengan menggunakan metode penilaian (scoring) sehingga suatu organisasi dapat menilai proses-
proses TI yang dimilikinya dari skala non-existentsampai dengan optimised (dari 0 sampai
5). Maturity models ini akan memetakan:
1. Current status dari organisasi untuk melihat posisi organisasi saat ini.
2. Current status dari kebanyakan industri saat ini sebagai perbandingan.
3. Current status dari standar internasional sebagai perbandingan tambahan.
4. Strategi organisasi dalam rangka perbaikan level yang ingin dicapai oleh organisasi.

Perbandingan Model-model Standar TI Governance
1. Perbandingan COBIT dengan ITIL
Tabel 1 menunjukkan bahwa ITIL sangat fokus kepada proses desain dan implementasi TI, serta
pelayanan pelanggan (customer service), hal ini diperlihatkan bahwa hampir seluruh proses pada
domain AI dan DS COBIT dilakukan, sementara sebagian proses PO dilakukan, ini menunjukkan
bahwa ITIL tidak terlalu fokus pada proses penyelarasan strategi perusahaan dengan pengelolaan TI.
Proses pada domain M sama sekali tidak dilakukan oleh ITIL, hal ini menunjukkan ITIL tidak
melakukan pengawasan yang akan memastikan kesesuaian pengelolaan TI dengan keadaan
perusahaan di masa yang akan datang.

1. Perbandingan COBIT dengan ISO/IEC 17799
Tabel 2 menunjukkan bahwa ISO/IEC 17799 melakukan sebagian proses-proses pada seluruh domain
COBIT.

Hal ini menunjukkan ISO/IEC 17799 mempunyai spektrum yang luas dalam hal pengelolaan TI
sebagaimana halnya COBIT, namun ISO/IEC 17799 tidak sedalam COBIT dalam hal detail proses-
proses yang dilakukan dalam domain-domain tersebut.

1. Perbandingan COBIT dengan COSO
Tabel 3 menunjukkan bahwa COSO melakukan sebagian proses di domain PO, AI, dan DS, namun
tidak satupun proses pada domain M dilakukan.

Hal ini menunjukkan bahwa COSO fokus kepada proses penyelarasan TI dengan strategi perusahaan,
dan sangat fokus dalam hal desain dan implementasi TI.

Kesimpulan Perbandingan Model-model Standar Pengelolaan TI
Tabel 4 memperlihatkan bahwa model-model standar selain COBIT tidak
mempunyai range spektrum yang seluas COBIT. Model-model tersebut hanya melakukan sebagian
dari proses-proses pengelolaan yang ada di dalam COBIT

Gambar 5 memetakan standar COBIT dengan standar lainnya dalam hal kelengkapan proses-proses
TI yang dilihat dalam dua dimensi:
1. Vertical melihat kedetailan atau kedalaman standar dalam hal teknis dan operasional.
2. Horizontal melihat kelengkapan proses-proses TI
Dan dari Gambar 2.5, dapat dilihat bahwa COBIT mempunyai kompromi antara dimensi horisontal
dan vertikal yang lebih baik dari standar-standar lainnya. COBIT mempunyai spektrum proses TI yang
lebih luas dan lebih mendetail. ITIL merupakan standar yang paling mendetail dan mendalam dalam
mendefinisikan proses-proses TI yang bersifat teknis dan operasional. Sedangkan COSO mempunyai
detail yang dangkal, walaupun spektrum proses teknis dan operasionalnya cukup luas