AUDI TI NG I T GOVERNANCE CONTROLS

F0174 Audit Laporan Keuangan Berbasis Komputer

Disusun oleh:




























Bab 1
Pendahuluan

1.1. Latar Belakang
Pada saat ini, Teknologi Informasi (TI) merupakan bagian yang tidak bisa
terpisahkan dari suatu perusahaan. Ilmu dan teknologi yang bergerak maju dan
berkembang ternyata tidak sedikit menimbulkan masalah, terutama dalam
menghadapi kompleksitas dan intensitas tantangan yang semakin berat. Pimpinan
dan para pembuat kebijakan perusahaan dituntut berpikir kreatif untuk menemukan
berbagai terobosan strategi yang mampu menciptakan sinergi, yang memberi
kontribusi optimal dalam pencapaian tujuan perusahaan. Namun, kenyataannya
sering kita jumpai bahwa pemanfaatan TI itu justru menghabiskan sumber daya,
sementara hasil yang diharapkan tidak tercapai. Untuk itu, perlu dilakukan
manajemen informasi efektif dan pemanfaatan teknologi secara efisien. Hal ini
sudah sering dikemukakan dan dibahas. Dari pembahasan itu, makin disadari
pentingnya IT Governance.
IT Governance adalah sebuah struktur dari hubungan relasi dan proses untuk
mengarahkan dan mengendalikan suatu perusahaan dalam mencapai tujuan dengan
memberikan nilai tambah ketika menyeimbangkan resiko dengan menyesuaikan TI
dan proses bisnis perusahaan. IT Governance muncul sebagai jembatan antara scope
bisnis dengan TI, yang disebabkan terjadinya sebuah gap antara teknologi yang
diterapkan tidak sesuai dengan yang diharapkan. IT Governance bukanlah suatu
manajemen tersendiri, tetapi pada dasarnya juga merupakan bagian dari manajemen
perusahaan. Manfaat IT Governance itu sendiri pada dasarnya sangat sulit untuk
dikuantifikasikan karena ukuran keberhasilan penanganan TI itu pada dasarnya
bersifat intangible.
Teknologi informasi adalah suatu aset yang sangat berharga dalam suatu
perusahaan, dimana peranan teknologi informasi (TI) telah mampu mengubah pola
pekerjaan, kinerja karyawan bahkan sistem manajemen dalam mengelola sebuah
organisasi. Teknologi informasi bisa memiliki peranan penting menggantikan peran
manusia secara otomatis terhadap suatu siklus sistem mulai dari input, proses dan
output di dalam melaksanakan aktivitas pekerjaan serta telah menjadi fasilitator
utama bagi kegiatan-kegiatan bisnis yang memberikan andil besar terhadap
perkembangan organisasi.
Terdapat beberapa alasan penting mengapa audit TI perlu dilakukan, antara
lain: (1) kerugian akibat kehilangan data; (2) kesalahan dalam pengambilan
keputusan (3) risiko kebocoran data; (4) penyalahgunaan komputer; (5) kerugian
akibat kesalahan proses perhitungan; dan (6) tingginya nilai investasi perangkat
keras dan perangkat lunak komputer serta semakin ketatnya persaingan antar
perusahaan dalam menjalankan bisnisnya yang berbasis teknologi informasi

1.2. Ruang Lingkup
Agar pembahasan menjadi lebih terarah pada tujuan-tujuan yang ingin dicapai,
maka ruang lingkup penulisan akan dibatasi pada:
a) Pengertian dan aspek penting dari tata kelola perusahaan di bidang teknologi
informasi secara keseluruhan
b) Pemahaman terhadap fokus utama dari area tata kelola IT di dalam suatu
perusahaan
c) Melaksanakan audit TI dimana metodologi audit TI yang sesuai dengan
metodologi yang diajukan oleh IT Assurance Guide: COBIT.

1.3. Tujuan dan Manfaat
Berdasarkan latar belakang, maka dapat ditentukan tujuan dari penulisan ini
adalah untuk mengulas bagaimana audit terhadap tata kelola teknologi informasi di
dalam suatu perusahaan dilakukan, terutama dengan menggunkan metode COBIT.

Dengan adanya tulisan ini, diharapkan dapat memberikan manfaat-manfaat
sebagai berikut:
a) Mendapatkan gambaran yang lebih jelas dalam proses audit terhadap tata kelola
teknologi informasi.
b) Memberikan gambaran atas suatu kontrol terhadap investasi teknologi informasi
di dalam perusahaan.
c) Memastikan manajemen dan akuntabilitas kinerja yang efektif di dalam fungsi
teknologi informasi di suatu perusahaan.
d) Mengkomunikasikan informasi risiko dan pengendalian ke area-area yang terkait
di dalam organisasi.

1.4. Metodologi Penulisan
Metodologi penelitian yang digunakan penulis dalam penelitian ini, antara
lain:
a) Metode Analisis
Metode analisis digunakan dengan menganalisis berbagai macam metode-
metode pengembangan aplikasi untuk mobile.
b) Studi Kepustakaan
Kegiatan ini dilakukan dengan cara membaca buku-buku dari referensi yang
berkaitan dengan masalah tersebut serta pengumpulan informasi yang digunakan
dalam studi artikel media internet. Penelitian kepustakaan ini secara teoritis
sangat membantu didalam penyusunan penulisan ini.












BAB 2
LANDASAN TEORI

2.1. I nformation Technology (I T) Governance
IT Governance merupakan suatu komitmen, kesadaran dan proses
pengendalian manajemen organisasi terhadap sumber daya teknologi informasi atau
sistem informasi yang dibeli dengan harga mahal, yang mencakup mulai dari sumber
daya komputer (software, brainware, database dan sebagainya), hingga ke teknologi
informasi dan jaringan LAN atau internet.
Governance merupakan turunan dari kata government, yang artinya
membuat kebijakan (policies) yang sejalan atau selaras dengan keinginan atau
aspirasi masyarakat. Sedangkan penggunaan pengertian governance terhadap IT
Governance maksudnya adalah, penerapan kebijakan TI di dalam organisasi agar
pemakaian TI (berikut pengadaan dan pelayanannya) diarahkan sesuai dengan tujuan
organisasi tersebut.
Sanyoto Gondodiyoto (2007) menyatakan bahwa IT Governance merupakan
salah satu bagian terpenting dari kesuksesan penerapan good corporate governance.
IT Governance memastikan pengukuran efektifitas dan efisiensi peningkatan proses
bisnis perusahaan melalui struktur yang terkait dengan TI menuju ke arah tujuan
strategis perusahaan. IT Governance memadukan best practice proses perencanaan,
pengelolaan, penerapan, pelaksanaan dan pengawasan kinerja untuk memastikan
bahwa TI benar-benar mendukung pencapaian perusahaan.
IT Governance dimaksudkan sebagai pola dari otoritas atau kebijakan
terhadap aktivitas TI (IT Process). Pola ini diantaranya adalah membangun
kebijakan dan pengelolaan IT Infrastructure, penggunaan TI oleh end-user secara
efisien, efektif dan aman, serta proses IT Project Management yang efektif. Standar
COBIT dari lembaga ISACA di Amerika Serikat mendefinisikan IT Governance
sebagai berikut: structure of relationships and processes to direct and control the
enterprise in order to achieve the entreprises goals by value while balancing risk
versus return over IT and its processes.
IT Governance sebagai kumpulan kebijakan, proses atau aktivitas dan
prosedur untuk mendukung pengoperasian TI agar hasilnya sejalan dengan strategi
bisnis. Ruang lingkup IT Governance di perusahaan skala besar biasanya mencakup
hal-hal yang berkaitan dengan Change Management, Problem Management, Release
Management, Availability Management dan bahkan Service-Level Management.
Lebih lanjut, IT Governance yang baik harus berkualitas, well-defined dan bersifat
repeatable processes yang terukur. IT Governance yang dikembangkan dalam
suatu organisasi modern berfungsi pula mendefinisikan kebijakan-kebijakan TI,
menetapkan prosedur penting proses TI, dokumentasi aktivitas TI, termasuk
membangun IT Plan yang efektif berdasarkan perubahan lingkungan perusahaan dan
perkembangan TI.
Dari beberapa definisi Tata Kelola TI tersebut, maka dapat di simpulkan
bahwa tujuan dibangunnya IT Governance adalah, menyelaraskan IT Resources
yang sudah diinvestasikan tersebut dengan strategi organisasi. Untuk mewujudkan
IT Governance dalam suatu organisasi, maka suatu organisasi harus membangun
struktur yang dinamakan dengan IT Governance Framework, yang berpola sebagai
berikut:

Gambar 2.1 Ruang Lingkup IT Governance

Untuk mewujudkan tujuan yang bersifat integratif dan komprehensif tersebut,
maka tidak mungkin pengelolaan TI pada organisasi skala menengah dan besar
hanya menjadi urusan dari departemen komputer saja (IT Function), akan tetapi
harus melibatkan semua pihak, termasuk stakeholder, sesuai dengan proporsinya,
mulai dari dewan komisaris, top management, manajer fungsional, manajer
operasional, karyawan sebagai end-user, tapi tentu saja terutama manajer teknologi
informasi.
Dengan adanya IT Govenance yang baik yang berjalan di dalam suatu
organisasi perusahaan, maka puluhan IT Process beserta IT Activities dapat berjalan
secara sistematis, terkendali dan efektif. Bahkan hingga menciptakan efisiensi
dengan sendirinya, mengurangi biaya operasional dan meningkatkan daya saing.
Output dan outcome dari IT Governance yang baik tersebut hanya dapat dicapai jika
tata kelola tersebut dikembangkan dengan menggunakan IT Framework berstandar
internasional, misalnya dengan mengimplementasikan COBIT, IT-IL Management,
COSO, ISO IT Security dan lain sebagainya.

Gambar 2.2 COBIT pada IT Governance

2.1.1. Control Objective for I nformation and Related Technology (COBI T)
(weber, p57) COBIT dapat diartikan sebagai tujuan pengendalian untuk
informasi dan teknologi terkait dan merupakan standar terbuka untuk pengendalian
terhadap teknologi informasi yang dikembangkan dan dipromosikan oleh Institut IT
Governance.

COBIT pertama sekali diperkenalkan pada tahun 1996 adalah merupakan alat
(tool) yang disiapkan untuk mengatur teknologi informasi (IT Governance tool).

COBIT telah dikembangkan sebagai sebuah aplikasi umum dan telah diterima
menjadi standar yang baik bagi praktek pengendalian dan keamanan TI yang
menyediakan sebuah kerangka kerja bagi pengelola, user, audit sistem informasi, dan
pelaksana pengendalian dan keamanan.

COBIT, di terbitkan oleh Institut IT Governance. Pedoman COBIT
memungkinkan perusahaan untuk mengimplementasikan pengaturan TI secara efektif
dan pada dasarnya dapat diterapkan di seluruh organisasi. Khususnya, komponen
pedoman manajemen COBIT yang berisi sebuah respon kerangka kerja untuk
kebutuhan manajemen bagi pengukuran dan pengendalian TI dengan menyediakan
alat-alat untuk menilai dan mengukur kemampuan TI perusahaan untuk 34 proses TI
COBIT.

Alat-alat tersebut yaitu :
1. Elemen pengukuran kinerja (pengukuran hasil dan kinerja yang mengarahkan
bagi seluruh proses TI)
2. Daftar faktor kritis kesuksesan (CSF) yang disediakan secara ringkas, praktek
terbaik non teknis dari tiap proses TI
3. Model maturity untuk membantu dalam benchmarking dan pengambilan
keputusan bagi peningkatan kemampuan
Komponen COBIT terdiri dari Executive Summary, Framework, Control
Objectives, Audit Guidelines, Implemenation Tool Set, Management Guidelines

COBIT memiliki misi melakukan riset, mengembangkan, mempublikasikan,
dan mempromosikan makalah-makalah, serta meng-update tatanan atau ketentuan TI
controls objective yang dapat diterima umum (generally accepted control objectives)
berikut panduan pelengkap yang dikenal sebagai Audit Guidelines yang
memungkinkan penerapan framework dan control objectives dapat berjalan mudah.
Tatanan atau ketentuan tersebut selanjutnya digunakan oleh para manajer dunia usaha
maupun auditor dalam menjalankan profesinya.

Sedangkan visi dari COBIT adalah dijadikan COBIT sendiri sebagai satu-satunya
model pengurusan dan pengendalian teknologi informasi (Information Technology
Governance).


2.2. Struktur dari Fungsi TI
2.2.1. Centralized Data Processing (CDP)
Centralized data processing adalah merupakan suatu gambaran tentang
pengolahan data, sekelompok unit komputer menjalankan semua proses
data yang lebih besar pada sebuah central site yang akan membantu para
pemakainya dalam organisasi.
Keuntungan dalam penerapan Centralized Data Processing ialah:
a) Dari segi biaya, lebih hemat dalam peralatan dan personil, karena
peralatan dan personil yang dipakai relatif lebih sedikit.
b) Dengan hanya satu pusat atau pangkalan data, konsistensi data dapat
lebih terjamin dari duplikasi.
c) Dengan adanya satu pangkalan data, langkah-langkah pengamanan
data dapat diambil dengan mudah. Dengan kata lain, mudah dalam
menegakkan standar dan keamanan.
Di sisi lain centralized data processing juga memiliki kekurangan,
antara lain:
a) Timbulnya kesan bahwa para pemilik data merasa kehilangan hak
memiliki data yang diperlukan untuk penyelenggaraan fungsinya
karena apabila data tertentu diperlukannya, ia harus meminta kepada
pusat pengolahan data.
b) Resiko yang tinggi terhadap pusat atau pangkalan data berdampak
pada keberlangsungan aktivitas pada seluruh fungsi di dalam sebuah
organisasi.



2.2.2. Segregation of I ncompatible I T Functions
2.2.2.1. Separating System Development from Computer Operation
Pemisahan proses pengembangan sistem dan kegiatan
operasional merupakan hal yang perlu dilakukan. Proses
pengembangan sistem harus dapat menentukan hak akses dari
setiap user mana yang dapat memasukkan data dan menjalankan
program.
Bagian operasional harus dapat menjalankan sistem tersebut
dan tidak berhubungan langsung selama proses pembuatan sistem.
Jika bagian operasional mengetahui logika dasar pemrograman
aplikasi komputer yang dijalankannya, maka bagian operasional
tersebut dapat mengubah dengan sengaja cara kerja aplikasi selama
menjalankan aplikasi tersebut.
2.2.2.2. Separating Database Administration from other Function
Fungsi dari database administration adalah membuat skema
database, memberikan hak akses database ke user, mengawasi
penggunaan database, merencanakan pengembangan dari database
itu sendiri.


2.2.2.3. Separating New Systems Development from Maintenance
Dalam pengembangan sistem, perusahaan mengatur sistemnya
ke dalam 2 kelompok yaitu:
System analyst bertugas untuk menentukan desain dari sistem
yang baru dengan melakukan pendekatan dengan user yang akan
menggunakan sistem yang baru tersebut dengan cara melakukan
wawancara atau membagikan kuesioner
Tim programming membuat program atau aplikasi yang akan
digunakan dalam sistem dengan menggunakan source code yang
sesuai dengan aplikasi yang diinginkan. Selain membuat program.
Tim programming juga harus melakukan perbaikan atau
mainteneance secara berkala terhadap aplikasi yang dibuatnya,
agar aplikasi tersebut dapat berjalan sebagaimana mestinya.
Cara ini juga dapat menimbulkan kerugian dalam
pelaksanaannya di antara lain :
a) Inadequate Documentation
Proses mendokumentasikan biasanya tidak terlalu
diperhatikan oleh programmer, karena hal ini tidak terlalu
menarik perhatian programmer. Mereka lebih senang
mengerjakan proyek baru, daripada untuk membuat sebuah
laporan pada saat satu proyek telah selesai
Job Security. Ketika dokumen tidak dicatat dengan
baik, maka akan susah untuk dilakukan interpretasi,
pengetesan, dan menjalankan program atau aplikasi yang sudah
dibuat. Terlebih lagi jika programmer yang sudah membuat
program meninggalkan perusahaan, akan menjadi sebuah
kesulitan yang sangat besar bagi programmer baru yang
menggantikannya untuk menangani program tersebut
b) Program Fraud
Ketika programmer yang membuat aplikasi juga
melakukan maintenance terhadap program yang dibuatnya
sendiri, maka potensi terjadinya kecurangan akan semakin
besar. Programmer dapat secara sengaja melakukan perubahan
hal-hal yang menimbulkan program menjadi error sehingga
tidak dapat digunakan.
Pada saat proses maintenance, programmer dapat
dengan bebas mengakses sistem, dan membetulkan source
code yang sebenarnya sengaja dibuat salah pada proses
pembuatan program. Hal ini tentu sangat merugikan
perusahaan yang harus mengeluarkan biaya tambahan untuk
membayar jasa programmer tersebut.

2.2.3. Distributed Data Processing (DDP)
Distributed data processing (DDP) merupakan bentuk yang sering
digunakan akhir-akhir ini sebagai perkembangan dari time sharing system.
Bila beberapa sistem komputer yang bebas tersebar yang masing-masing
dapat memproses data sendiri dan dihubungkan dengan jaringan
telekomunikasi, maka istilah time sharing sudah tidak tepat lagi. DDP
dapat didefinisikan sebagai suatu sistem komputer interaktif yang
terpencar secara geografis dan dihubungkan dengan jalur telekomunikasi
dan seitap komputer mampu memproses data secara mandiri dan
mempunyai kemampuan berhubungan dengan komputer lain dalam suatu
sistem.

Gambar 2.5 Contoh Distributed data Processing
Contoh dari distributed data processing adalah komputer yang
dirancang untuk tugas-tugas melaksanakan proyek, analisis finansial,
penjadwalan waktu dan akuntansi. Contoh lainnya, pengolahan data pada
server yahoo yang tersebar hampir di seluruh dunia secara distribusi,
setiap wilayah mempunyai server masing-masing. Seperti di indonesia
mempunyai server tersendiri sehingga pengolahan data tidak di pusat
melainkan di wilayah masing-masing, dll.
Model distributed data processing memiliki beberapa keuntungan,
antara lain:
a) Pengawasan distribusi dan pengambilan data. Jika beberapa site yang
berbeda dihubungkan, seorang pemakai yang berada pada satu site
dapat mengakses data pada site lain. Contoh: sistem distribusi pada
sebuah bank memungkinkan seorang pemakai pada salah satu cabang
dapat mengakses data cabang lain.
b) Reliability dan availability. Sistem distribusi dapat terus menerus
berfungsi dalam menghadapi kegagalan dari site sendiri atau mata
rantai komunikasi antar site.
c) Kecepatan pemrosesan query. Contoh: jika site-site gagal dalam
sebuah sistem terdistribusi, site lainnya dapat melanjutkan operasi jika
data telah direplikasi pada beberapa site.
d) Otonomi lokal. Pendistribusian sistem mengijinkan sekelompok
individu dalam sebuah perusahaan untuk melatih pengawasan lokal
melalui data mereka sendiri. Dengan kemampuan ini dapat
mengurangi ketergantungan pada pusat pemrosesan.
e) Efisiensi dan fleksibel. Data dalam sistem distribusi dapat disimpan
dekat dengan titik dimana data tersebut dipergunakan. Data dapat
secara dinamik bergerak atau disain, atau salinannya dapat dihapus.
Di sisi lain distributed data processing juga memiliki kekurangan,
antara lain:
a) Harga mahal. Hal ini disebabkan sangat sulit untuk membuat sistem
database distribusi.
b) Kompleksitas. Site-site beroperasi secara paralel sehingga lebih sulit
untuk menjamin kebenaran dan algoritma. Adanya kesalahan mungkin
tak dapat diketahui.
c) Biaya pemrosesan tinggi. Perubahan pesan dan penambahan
perhitungan dibutuhkan untuk mencapai koordinasi antar site.
d) Redudansi data. Berbagai data diolah di berbagai site, hal tersebut
dapat menimbulkan adanya data yang berulang atar site atau
redudansi.
e) Sulit menjaga keutuhan data. Banyaknya pengaksesan data membuat
kurangnya sekuritas terhadap data yang telah terdistribusi.
f) Perancangan basis data lebih kompleks. Sebelumnya menjadi
keuntungan. Tetapi karena distribusi menyebabkan masalah
sinkronisasi dan koordinasi, kontrol terdistribusi menjadi kerugian
atau kekurangan di masalah ini.

2.2.4. Controlling the DDP Environment
Distributed data processing memang memiliki banyak keunggulan
terlebih untuk struktur organisasi saat ini. Namun diantara keunggulan itu,
distributed data processing juga memungkinkan suatu sistem menjadi
lebih kompleks, karena banyaknya database yang tersebar dan jumlah
data yang banyak dan terus meningkat didalam suatu organisasi maupun
perusahaan.
Kompleksitas dari model ini menuntut perusahaan untuk meningkatkan
kontrolnya. Kontrol pada tata kelola TI dengan model distributed data
processing merupakan tantangan besar sebuah perusahaan, bagaimana
aset yang terkait dengan model tersebut, yang menyebar di berbagai area
dapat terus dikontrol keberadaan serta terjamin fungsionalitasnya.
Perusahaan harus menetapkan beberapa orang diberbagai area distribusi
untuk secara rutin mengontrol hal ini.

2.3. Computer Center
2.3.1. Physical Location
Lokasi fisik yang harus diatur agar tidak terjadi kerusakan yg
diakibatkan oleh bencana alam ataupun kesalahan yang dilakukan oleh
manusia. Contoh: Perusahaan diusahakan mencari atau memilih lokasi
tempat yang tepat untuk menghindari terjadi bencana alam seperti gempa
bumi atau banjir.

2.3.2. Construction
Kondisi bangunan tempat dimana komputer atau pusat data harus
dalam keadaan bagus dan kokoh agar tidak mudah rubuh dan diusahakan
listrik jangan sampai terputus. Supply listrik harus diperhatikan dan
bangunan harus selalu dalam keadaan bersih dijauhkan dari debu-debu
agar pada saat mengakses data tidak terjadi gangguan pada server.

2.3.3. Access
Keamanan pada pusat server harus diperketat, dapat dilakukan dengan
cara pintu dikunci atau menggunakan kartu pada saat pekerja masuk
ruangan agar tidak semua orang bisa masuk kedalam ruangan server untuk
menjaga keamanan pada penyimpanan data. Dan pada pintu darurat juga
diperhatikan, serta ruangan dipasang kamera perekam (CCTV) agar pada
setiap kegiatan dapat diketahui dan tidak menimbulkan kasus-kasus yang
tidak baik dalam ruangan server.

2.3.4. Air Conditioning
Suhu pada ruangan server harus diperhatikan harus sesuai dengan
kebutuhan komputer karena bisa terjadi error atau pemrosesan yang
lamban akibat suhu yang panas. Jadi udara diusahakan agar tetap dingin
supaya komputer tidak terganggu pada saat bekerja.

2.3.5. Fire Suppression
Penyedia layanan penuh terhadap sistem, termasuk pencegahan
kebakaran harus terstruktur dengan baik. Contoh: Perusahaan harus bisa
memilih penempatan yang tepat untuk meletakkan alat tabung kebakaran
atau alarm kebakaran dan melakukan pelatihan jika terjadi musibah
kebakaran maka user atau pekerja agar mereka tidak panik.

2.3.6. Fault Tolerance
Fault tolerance adalah kemampuan sistem untuk melanjutkan
operasinya ketika sebagian dari sistem tersebut gagal karena adanya
kegagalan peranti keras, kesalahan dalam program aplikasi, atau kesalahan
operator.
Cara di mana sistem operasi merespon keras atas kegagalan perangkat
lunak. Istilah ini pada dasarnya mengacu pada kemampuan sistem untuk
memungkinkan kegagalan atau kerusakan, dan kemampuan ini dapat
disediakan oleh perangkat lunak, perangkat keras atau kombinasi
keduanya. Untuk menangani kesalahan ini, beberapa sistem komputer
diharapkan memiliki dua atau lebih sistem data duplikat. Contoh:
Perusahaan sebaiknya membuat sistem bayangan. Jadi membuat data
duplikat yang disimpan di tempat lain jika terjadi kesalahan pada data
pertama masih memiliki data duplikat. Dan cara kedua dengan
menggunakan Unit Power Supply (UPS), agar pada saat supply listrik ke
server terputus, terdapat jeda sebelum komputer mati, jadi masih memiliki
waktu untuk menyimpan atau menyelamatkan data.



2.3.7. Audit Objectives
Audit Objective dari IT governance khususnya data center adalah
untuk memastikan bahwa kontrol-kontrol yang ada terhadap data center
tersedia keberadaanya dan berfungsi serta dimaintain dengan baik.

2.3.8. Audit Procedures
Rincian untuk memperoleh bukti audit yang cukup tepat dengan
melakukan pengecekan ulang atau observasi, apakah sudah sesuai dengan
prosedur sistem audit. Contohnya dengan melakukan pengecekan pada
area-area terkait, sebagai berikut:
a) Construction
Melakukan pengecekan pada bangunan apakah sudah terjamin kokoh
dan pemilihan ruangan atau penempatan computer center (yang lebih
baik ditempatkan di lantai atas), serta apakah instalasi listrik sudah
dipasang dengan baik agar tidak terjadi korsleting atau listrik putus
pada saat melakukan proses pada server.
b) Access
Melakukan pengecekan pada alat tapping kartu, apakah alat tersebut
sudah dapat bekerja dengan baik dan tidak terjadi kerusakan, atau
keberadaan CCTV yang berfungsi dengan baik.
c) Air Conditioning
Melakukan pengecekan pada suhu pendingin, apakah sudah sesuai
dengan kebutuhan suhu yang dibutuhkan oleh komputer agar tidak
terjadi error.
d) Fire Suppression
Melakukan pengecekan pada tabung alat pemadam kebakaran, apakah
tabung masih terisi dan dapat digunakan jika terjadi kebakaran. Dan
melakukan pengecekan pada alarm kebakaran, apakah alarm berfungsi
dengan baik jika ada tanda-tanda terjadi kebakaran.
e) Fault tolerance
Melakukan pengecekan pada cara-cara mengatasi toleransi kesalahan,
apakah data yang diduplikat sudah terduplikasi dan tersimpan dengan
baik pada server yang lainnya. Dan melakukan pengecekan pada alat
UPS apakah baterai pada UPS masih dapat menyimpan energi listrik
yang digunakan pada saat terjadi pemadaman listrik.
f) Asuransi
Melakukan pendaftaran asuransi pada data server agar jika terjadi hal-
hal yang tidak diinginkan, maka tidak terlalu merugikan perusahaan,
serta dicek apakah asuransi tersebut diperpanjang tiap tahunnya.

2.4. Disaster Recovery Planning
Menurut Maiwald-Sieglein (2002), suatu bencana (disaster) dapat
didefinisikan sebagai kejadian tentang segala peristiwa yang menyebabkan suatu
gangguan penting pada kemampuan teknologi informasi. Itu adalah suatu peristiwa
yang mengganggu yang proses bisnis normal dan mengakibatkan kerugian keuangan
yang dapat diukur. Bencana itu sendiri ada yang berasal dari alam, seperti banjir dan
gempa, bencana yang bersumber dari manusia, seperti sabotase atau human error,
maupun bencana yang berasal dari sistem itu sendiri, seperti kegagalan drive,
kehilangan power, atau crash pada sistem operasi.
Disaster recovery plan adalah sebuah proses atau kemampuan dari organisasi
untuk menanggapi bencana atau gangguan dalam pelayanan melalui implementasi
rencana pemulihan bencana untuk menstabilkan dan memulihkan fungsi kritis
organisasi. Rencana ini dibuat untuk membantu mengembalikan proses bisnis dari
perusahaan serta mengurangi dampak bila terjadi bencana yang mengakibatkan
kerusakan atau kehilangan data elektronik yang mendukung proses bisnis
perusahaan.
Disaster recovery plan terdiri atas tiga perencanaan yaitu perencanaan
proteksi, perencanaan pengatasan bencana dan perencanaan pemulihan. Perencanaan
proteksi adalah perencanaan yang dibuat untuk mencegah terjadinya bencana.
Perencanaan pengatasan bencana adalah perencanaan yang dibuat untuk mengurangi
dampak dari bencana terhadap perusahaan. Perencanaan pemulihan adalah
perencanaan yang dibuat untuk membantu perusahaan dalam melakukan pemulihan
agar proses bisnis dapat berjalan kembali. Spesifikasi dari disaster rocovery plan itu
sendiri, terdiri dari tiga aktivitas dasar, yakni:
a) Mengidektifikasi aplikasi penting
b) Membangun tim penanganan bencana
c) Menyediakan situs back-up cadangan
Tujuan audit pada fungsi DRP adalah untuk memverifikasi bahwa rencana
pemulihan bencana perusahaan cukup untuk memenuhi kebutuhan perusahaan dan
bahwa implementasinya dapat dilakukan serta praktis. Prosedur auditnya, yakni
memverifikasi bahwa DRP pihak manajemen adalah solusi yang realistis untuk
menangani suatu bencana yang dapat meniadakan sumber daya komputer
perusahaan. Berbagai pengujian dilakukan, seperti pengecekan atau observasi terkait
keberadaan tim penanganan bencana, daftar aplikasi-aplikasi penting perusahaan,
dan back-up software, serta data master.

2.4.1. I dentify Critical Applications
Usaha pemulihan harus terkonsentrasi pada fitur yang sangat penting
agar perusahaan dapat bertahan dalam waktu pendek. Pada komponen ini,
perusahaan atau organisasi harus menentukan daftar aplikasi penting yang
menunjang operasional perusahaan. Dalam hal ini auditor harus juga
mengkaji daftar aplikasi penting untuk memastikan bahwa daftar tersebut
lengkap. Aplikasi yang terlewat dapat mengakibatkan kegagalan
pemulihan. Akan tetapi, hal yang sama juga berlaku untuk pemulihan
aplikasi yang tidak penting. Memasukkan suatu aplikasi ke dalam daftar
aplikasi penting padahal tidak terlalu dibutuhkan untuk mencapai tujuan
bertahan hidup jangka pendek dapat memecah perhatian dari tujuan yang
utama selama masa pemulihan.

2.4.2. Creating a Disaster Recovery Team
DRP harus dengan jelas mencantumkan nama, alamat, dan nomor
telepon darurat para anggota tim pemulihan dari bencana. Auditor harus
memverifikasi bahwa para anggota tim adalah karyawan yang masih
bekerja dan menyadari tanggung jawab yang diberikan kepada mereka.
Para anggota tim haruslah para ahli dalam bidang masing-masing dan
memiliki pekerjaan tertentu yang ditugaskan padanya. Setelah terjadinya
bencana, anggota tim akan mendelegasikan berbagai subpekerjaan ke
bawahan mereka. Lingkungan yang terbentuk akibat rencana mungkin
mengharuskan dilakukannya pelanggaran atas teknik pengendalian, seperti
pemisahan pekerjaan, pengendalian akses, dan pengawasan.

Gambar 2.6 Tim Pemulihan Bencana

2.4.3. Providing Second-Site Backup
Bahan yang penting dalam sebuah DRP adalah rencana tersebut
memungkinkan adanya fasilitas pemrosesan data duplikat setelah terjadi
suatu bencana. Di antara berbagai pilihan yang tersedia adalah hot site
(pusat operasi pemulihan), cold site (ruang kosong), perjanjian silang yang
saling menguntungkan, cadangan yang disediakan secara internal, dan
lain-lainnya. Disini, seorang auditor harus mengevaluasi kecukupan
pengaturan lokasi cadangan.

2.5. Outsourcing Fungsi TI
Dalam iklim persaingan usaha yang semakin ketat, perusahaan berusaha untuk
melakukan efisiensi biaya produksi (cost of production). Salah satu solusinya adalah
dengan sistem outsourcing, dimana dengan sistem ini perusahaan diharapkan dapat
menghemat pengeluaran dalam membiayai sumber daya manusia (SDM) yang
bekerja di perusahaan yang bersangkutan. Outsourcing atau contracting out adalah
pemindahan pekerjaan dari satu perusahaan ke perusahaan lain.
IT outsourcing sendiri tidak berbeda jauh dengan definisi outsourcing secara
umum. IT outsourcing adalah penyediaan tenaga ahli yang profesional dibidang
teknologi informasi untuk mendukung dan memberikan solusi guna meningkatkan
kinerja perusahaan.
Salah satu bidang yang menjadi obyek outsourcing pada berbagai perusahaan
adalah fungsi TI. Bagi perusahaan, fungsi TI merupakan bidang penunjang (support
function) untuk mendukung operasional perusahaan yang lebih efektif dan efisien.
Sebagai support function fungsi IT di-outsource pada perusahaan outsourcing TI,
dengan pertimbangan untuk meningkatkan efisiensi dan agar perusahaan dapat lebih
memfokuskan diri pada bidang usaha yang ditekuninya. Melalui outsourcing,
perusahaan dapat memfokuskan segenap sumberdaya yang dimilikinya untuk
mencapai misi organisasi, sehingga perusahaan mampu memberikan layanan terbaik
pada konsumen. Selain itu, dengan outsourcing, perusahaan juga dapat
meningkatkan efisiensinya karena dikerjakan oleh pemberi jasa yang mempunyai
spesialisasi pada bidangnya dan perusahaan dapat mengurangi biaya langsung dan
biaya overhead pada bidang yang di-outsource.
Terdapat keuntungan-keuntungan yang dirasakan perusahaan apabila melakukan
IT outsourcing, antara lain:
a) Perusahaan dapat fokus pada core business-nya dengan tetap menikmati nilai-
nilai positif dari sistem dan teknologi informasi.
b) Teknologi yang maju. IT outsourcing memberikan akses kepada organisasi klien
berupa kemajuan teknologi dan pengalaman personil.
c) Waktu yang digunakan menjadi lebih singkat untuk pengadaan sumber daya TI
d) Mengurangi biaya dari pengadaan fungsi TI di perusahaan
e) Jasa yang diberikan oleh outsourcer lebih berkualitas dibandingkan dikerjakan
sendiri secara internal, karena outsourcer memang spesialisasi dan ahli di bidang
tersebut.

2.5.1. Risks I nherent to I T Outsourcing
Walau demikian penerapan strategi outsourcing fungsi TI bukan
berarti tanpa kendala. Ada resiko-resiko yang mungkin terjadi bila
perusahaan meng-outsource fungsi TI-nya, antara lain:
a) Performa dari sumber daya IT dapat gagal karena itu semua
bergantung pada vendor atau penyedia layanan
b) Dapat terjadi ketidakseimbangan biaya dengan manfaat yang dirasakan
c) Resiko terhadap keamanan data perusahaan, dimana IT outsource
sangat berhubungan dengan data perusahaan
d) Rentan dapat ditiru oleh pesaing lain bila aplikasi yang
dioutsourcingkan adalah aplikasi strategik
e) Kegagalan dalam keselarasan strategi antara perencanaan TI dengan
perencanaan bisnis perusahaan secara keseluruhan
f) Adanya kecenderungan outsourcer untuk merahasiakan sistem yang
digunakan dalam membangun sistem informasi bagi pelanggannya
agar jasanya tetap digunakan.

2.5.2. Audit Implications of I T Outsourcing
Dalam situasi dimana perusahaan melakukan outsourcing terhadap
sumber daya TI yang dimiliki, auditor harus mampu melakukan audit,
dimana tujuan audit dan metodologinya tetap sama, outsourcing tidak
memperkenalkan unsur-unsur baru tertentu yang perlu dipertimbangkan.
Area-area yang berhubungan dengan audit pada IT oursourcing, seperti:
software development, application support and maintenance,
infrastructure management services. Tujuan dari audit ini sendiri, antara
lain:
a) Menilai resiko yang terkait dengan outsourcing, seperti ketersediaan
kelanjutan dari jasa, tingkat layanan dan keamanan informasi
b) Menelaah apakah tujuan dari outsourcing tercapai
c) Menilai strategi TI apakah telah dimodifikasi sehingga sesuai dengan
rencana IT outsourcing
Seorang auditor dapat membuat checklist mengenai hal-hal penting
selama mengaudit IT outsourcing, seperti:
a) Contract
Kebanyakan pengaturan outsourcing diberlakukan setelah proses rinci
evaluasi, due diligence dan negosiasi, dengan pertukaran komunikasi
antara perusahaan dan penyedia layanan selama periode waktu.
Penting bagi kedua belah pihak untuk memiliki dokumen kontrak yang
memiliki kekuatan hukum dan merinci harapan yang disepakati
mengenai berbagai aspek pengaturan. Untuk auditor, titik awal yang
baik dalam mengaudit adalah dari kontrak outsourcing. Auditor harus
membuat pengawasan menyeluruh terhadap kontrak, seperti yang akan
dilakukan untuk setiap kontrak komersial besar, dan mengevaluasi
semua risiko seperti yang dilakukan dalam pemeriksaan kontrak.
b) Statement of work
Informasi penting berikutnya dari sebuah kontrak adalah statement of
work atau laporan kerja yang berisi daftar pekerjaan yang harus
dilakukan oleh penyedia layanan. Auditor harus memeriksa apakah
proyek pekerjaan benar-benar dilakukan oleh penyedia layanan dan
sama dengan yang disebutkan dalam kontrak.
c) Data security
Berbagai tingkat akses ke aplikasi dan sistem harus diberikan kepada
personil penyedia layanan untuk memungkinkan mereka
melaksanakan pekerjaan. Prosedur yang tepat harus ditentukan untuk
menentukan bagaimana akses tersebut diberikan dan dipelihara.
Keamanan berkaitan dengan menjaga kerahasiaan, integritas dan
ketersediaan informasi. Auditor harus memeriksa apakah kebijakan
keamanan dan proses dari penyedia layanan sinkron dengan orang-
orang dari perusahaan. Auditor harus memeriksa apakah mekanisme
telah ditetapkan untuk pemantauan keamanan dan proses yang terkait.
Dalam beberapa kasus, tergantung pada sifat dari pekerjaan
outsourcing, personil dari penyedia layanan bahkan mungkin diberi
akses superuser ke beberapa sistem.
d) Impact on IT strategy
IT outsourcing sering dilakukan dalam skala yang cukup besar.
Outsourcing perlu dimasukkan ke dalam bisnis dan strategi TI
perusahaan. Dalam proses outsourcing, perusahaan tidak boleh
melupakan kenyataan bahwa TI berdampak pada bisnis secara
signifikan dan bermanfaat bagi perusahaan. Auditor harus melakukan
cek dari keseluruhan skenario TI perusahaan setelah outsourcing.

2.6. Audit I T Governance
Meskipun semua masalah tata kelola IT penting bagi organisasi, tidak semua
dari masalah tersebut adalah mengenai hal pengendalian internal di bawah SOX
yang berpotensi dapat mempengaruhi proses laporan keuangan. Dalam bab ini, kita
mempertimbangkan tiga isu tata kelola TI yang ditangani oleh SOX dan kerangka
pengendalian internal COSO. yaitu:
a) Struktur organisasi fungsi IT
b) Pusat Operasi Komputer
c) Perencanaan pemulihan bencana
Pembahasan pada masing-masing masalah ini, tata kelola dimulai dengan
penjelasan tentang sifat risiko dan deskripsi pengendalian yang diperlukan untuk
mengurangi risiko tersebut. Kemudian, tujuan audit disajikan, yang menetapkan apa
yang perlu diverifikasi mengenai fungsi kontrol di tempat. Akhirnya, contoh tes
kontrol yang ditawarkan yang menggambarkan bagaimana auditor dapat
mengumpulkan bukti untuk memenuhi tujuan audit.
Tes ini dapat dilakukan oleh auditor eksternal sebagai bagian dari layanan
atestasi mereka atau dengan auditor internal (atau jasa konsultasi profesional) yang
menyediakan bukti kepatuhan manajemen dengan SOX. Dalam hal ini , kita tidak
membeda-bedakan dua jenis layanan.

Gambar 2.7 Hubungan Komponen Risiko Audit
Pada bagan di atas, melalui pengendalian IT governance suatu auditor dapat
menilai inherent risk dan control risk yang terdapat di dalam suatu perusahaan,
inherent risk merupakan resiko bawaan yang melekat dengan menganggap bahwa
suatu perusahaan tidak memiliki pengendalian internal, sedangkan control risk
merupakan resiko yang timbul dari kesalahan-kesalahan yang tidak terdeteksi oleh
pengendalian internal dan detection risk adalah resiko bahwa auditor tidak
mendeteksi salah saji yang terjadi. Ketika auditor menilai pengendalian IT
governance suatu perusahaan baik maka inherent risk dan control risk pada suatu IT
governance perusahaan rendah, maka detection risk yang timbul akan tinggi karena
auditor merasa bahwa pengendalian IT governance perusahaan tersebut sudah cukup
baik sehingga auditor merasa tidak perlu melakukan pemeriksaan secara detail. Dari
segi substantive test yang timbul juga menunjukan bahwa sampel yang di ambil akan
memiliki ruang lingkup yang kecil yang bersifat hanya untuk meyakinkan saja,dan
dijalankan oleh auditor yang memiliki pengalaman baru. Sedangkan ketika auditor
menilai bahwa pengendalian IT governance suatu perusahaan buruk maka inherent
dan control risk IT governance tersebut tinggi sehingga detection risk yang timbul
menjadi rendah karena auditor merasa perlu melakukan pemeriksaan secara lebih
mendalam untuk menemukan-menemukan misstatement. Dari segi pengujian
substantive juga pengambilan sampel yang dilakukan luas serta dilakukan oleh
auditor yang memiliki pengalaman yang cukup tinggi.
Penerapan TI dalam organisasi perlu dikontrol karena investasi bidang TI
relatif sangat mahal; meliputi biaya pengadaan/implementasi, biaya operasional, dan
biaya pemeliharaan bahkan termasuk biaya untuk sistem-sistem yang tidak berhasil.
Tata kelola TI juga diperlukan karena seringkali anggaran TI tersebar/terisolasi di
berbagai satuan kerja organisasi. Selain itu, dampak kegagalan investasi bidang TI
(risiko) berpotensi mematikan kelangsungan bisnis.
Terdapat gejala-gejala tidak terkontrolnya TI yang dapat diidentifikasi sebagai
berikut:
a) Manajemen bisnis dan manajemen TI jarang atau tidak saling berkomunikasi
b) Pimpinan unit TI tidak memahami kebutuhan bisnis
c) Pimpinan unit bisnis tidak memahami potensi inovasi berbasis TI
d) Pimpinan unit bisnis tidak memiliki rasa memiliki terhadap inisiatif TI
e) Pengelolaan TI terlalu birokratis dan lambat untuk mengakomodasi kebutuhan
bisnis
f) Implementasi-implementasi TI sering gagal dalam memenuhi kebutuhan bisnis
atau terlambat dalam penyelesaiannya dan melampaui anggaran yang disediakan
g) Risiko pemanfaatan TI tidak dipahami atau dikelola secara efektif sebagai
bagian dari risiko bisnis
h) Kegagalan unit TI organisasi untuk mematuhi ketentuan regulator atau kontrak
dengan penggunanya
i) Tolok ukur keberhasilan unit TI dipandang tidak ada artinya bagi unit bisnis
pengguna.
Kurangnya kontrol terhadap pengelolaan TI dapat diakibatkan oleh
keengganan eksekutif bisnis yang memandang bahwa TI adalah bagian terpisah dari
fungsi bisnis, yaitu hanya dianggap sebagai dukungan teknis terhadap proses bisnis;
atau dapat pula dianggap terlalu teknis untuk dibahas oleh level eksekutif bisnis.
Perlu disadari bahwa pemanfaatan TI akan sulit berhasil tanpa adanya komitmen
dari pimpinan bisnis. Lima fokus utama dalam tata kelola TI adalah:
a) Strategic Alignment: harmonisasi antara kemampuan TI organisasi dengan
tuntutan bisnis organisasi.
b) Value Delivery: penciptaan solusi TI yang bernilai tambah bagi organisasi.
c) Risk Management: pengelolaan risiko penerapan TI sebagai risiko bisnis
organisasi.
d) Resource Management: pengelolaan aset TI organisasi secara tepat guna.
e) Performance Measurement: penyempurnaan layanan melalui pengukuran kinerja
layanan TI.






BAB III
PEMBAHASAN


3.1 IT Governance
Weill dan Ross (2004:2) mendefenisikan IT Governance sebagai keputusan-keputusan yang diambil,
yang memastikan adanya alokasi penggunaan TI dalamstrategi-strategi organisasi yang bersangkutan.
IT Governance merefleksikan adanya penerapan prinsip-prinsip organisasi dengan
memfokuskan pada kegiatan manajemendan penggunaan TI untuk pencapaian organisasi.
Dengan demikian, IT governance pada intinya mencakup pembuatan keputusan, akuntabilitas
pelaksanaan kegiatan penggunaan TI, siapa yang mengambil keputusan, dan memanaje proses pembuatandan
pengimplementasian keputusan-keputusan yang berkaitan dengan TI. Contoh bidang cakupan IT
governance sektor publik adalah keputusan pemerintah yangmenentukan siapa yang memiliki
wewenang dan tanggungjawab dalam pembuatankeputusan tentang berapa jumlah investasi
yang dapat dilakukan pada sektor publik Xdengan memanfaatkan TI.

3.1.2 Tujuan IT Governance

IT Governance bertujuan untuk mengarahkan IT dan memastikan pencapaian
kinerja sesuai dengan tujuan yang diinginkan, antara lain :
a) IT menjadi searah dengan perusahaan dan manfaat yang dijanjikan dapat
terealisasi
b) IT memungkinkan perusahaan memanfaatkan peluang dan memaksimalkan
keuntungan.
c) Sumber daya IT digunakan secara bertanggung jawab
d) IT berkaitan erat dengan resiko yang harus diatur dengan baik.

3.1.3 Proses IT Governance
Proses IT Governance dimulai dengan menentukan sasaran untuk IT perusahaan,
menyediakan petunjuk awal. Setelah itu, perulangan secara berkelanjutan dibentuk;
kinerja diukur dan dibandingkan dengan sasaran awal, menghasilkan arahan kembali dari
aktivitas yang diperlukan dan perubahan sasaran yang sesuai. Ketika sasaran menjadi
tanggung jawab utama dan ukuran kinerja manajemen, itu jelas harus dikembangkan
dengan perencanaan yang baik sehingga sasaran dapat terjangkau dan ukuran
menggambarkan sasaran dengan tepat
3.1.4 Tata Kelola IT
Tata kelola TI suatu perusahaan sangat terkait dengan tanggung jawab dan tindakan
pengurus dan manajemen eksekutif (CIOs). Mereka bertanggung jawab terhadap arah
strategi perusahaan, memastikan bahwa tujuan perusahaan dapat tercapai dan berbagai
sumber daya perusahaan telah dimanfaatkan dengan tepat. Tata kelola TI membutuhkan
pengaturan yang tepat untuk memadukan strategi TI dan pemanfaatan sumberdaya TI
guna memberikan keuntungan yang kompetitif bagi perusahaan. Sederhananya, tata
kelola TI menggunakan prinsip-prinsip tata kelola perusahaan terhadap departemen TI.
Menyadari bahwa TI terkait dengan semua aspek bisnis perusahaan, maka tata kelola
TI harus dilihat sama nilai pentingnya dengan standar pengelolaan bisnis. Tata kelola TI
yang efektif mampu menghasilkan keuntungan-keuntungan bisnis yang nyata misalnya
reputasi, kepercayaan, dan pangsa pasara. Hal itu mampu menurunkan resiko manajemen.
Perkembangan bisnis yang sangt cepat dewasa ini seringkali membutuhkan pengambilan
keputusan yang juga cepat, yang berdasarkan pada data penjualan dan kecenderungan
pasar. Keputusan-keputusan itu tidak bisa dibuat jika sistem yang menyediakan data dan
informasi tersebut tidak berjalan baik. Selain itu, karyawan yang sering kali
membrowsing situs web yang tidak sesuai dengan tanggungjawab pekerjaannya atau
mengirim e-mail yang aneh-aneh misalnya justru dapat secara dramatis berdampak
terhadap reputasi perusahaan selama bertahun-tahun.
Semakin tinggi kebutuhan (demand) akan informasi tentunya produksi perangkat
teknologi informasi juga akan meningkat. Vendor-vendor teknologi berlomba-lomba
mengembangkan produknya dengan segala keunggulan teknologi dan harga yang
kompetitif. Disisi pengguna baik individu maupun korporasi, tentunya ada hal positif
yang dapat diambil dari persaingan vendor diatas, diantaranya adalah banyak pilihan yang
dapat disesuaikan dengan anggaran yang ada.
Disisi korporasi, tentunya perubahan yang cepat terhadap teknologi informasi bisa
berimpact positif dan negatif. Over investment adalah hal negatif yang dapat terjadi jika
korporasi salah dalam menetapkan, menjalankan maupun menjaga strategi bisnisnya
sejalan dengan perkembangan teknologi informasi.Impact positif akan didapatkan hanya
jika korporasi dapat menetapkan, menjalankan maupun menjaga strategi bisnisnya sejalan
dengan perkembangan teknologi informasi.Disinilah muncul terminologi Tata kelola IT
(IT Governance) yang banyak dibicarakan oleh korporasi maupun institusi pemerintah.
Tata kelola IT (IT Governance) sangat diperlukan diantaranya untuk tetap menjaga
investasi, meningkatkan daya saing (memberikan nilai tambah), serta menjaga
keberlangsungan bisnis/usaha/pemerintahan. COBIT adalah kerangka tata kelola IT (IT
Governace framework) yang banyak dipakai oleh praktisi.
3.1.5 Identifikasi IT Process
Planning : Pada tahap planning ini, kita melakukan identifikasi target
,identifikasi Risk business process, identifikasi dan pemahaman prosedure dan
regulasi yang berlaku di organisasi, membuat report target dari tahapan audit
methodolgy yang ingin diraih dan langkah terakhir meminta persetujuan report
dari management.
Discovery : Tahap discovery ini, kita melakukan observasi terhadap metode
planning yang telah kita buat dan disetujui oleh management organisasi.
Tahapan ini merangkum semua informasi yang dapat diperoleh dari hasil
observasi tahapan planning, yang nantinya informasi tersebut berguna untuk
tahapan berikutnya.
Vulnerability Analysis : Setelah melakukan observasi dan mendapatkan
kecukupan informasi yang sesuai dengan tahapan planning, maka tahapan ini
lebih berfokus kepada analisa, membandingkan dan melakukan opini
kemudian memberikan action kepada tindakan seperlunya. Perbandingan pada
tahapan ini dilakukan dengan mengacu kepada standar IT yang berlaku umum
[ COBIT / CISA ].
Reporting : Tahapan akhir dari methodology Audit. Report yang dihasilkan
setelah melakukan perbaikan terhadap tahapan vulnerability analysis, dan
melakukan testing. Hasil perbaikan dari tahapan vulnerability analysis dan
hasil testing akan terangkum dalam suatu report.


3.1.6 Good Governance
Kunci utama memahami good governance adalah pemahaman atas prinsip-prinsip di
dalamnya. Bertolak dari prinsip-prinsip ini akan didapatkan tolak ukur kinerja suatu
pemerintahan. Baik-buruknya pemerintahan bisa dinilai bila ia telah bersinggungan
dengan semua unsur prinsip-prinsip good governance. Menyadari pentingnya masalah ini,
prinsip-prinsip good governance diurai satu persatu sebagaimana tertera di bawah ini:
1) Partisipasi Masyarakat
Semua warga masyarakat mempunyai suara dalam pengambilan keputusan, baik
secara langsung maupun melalui lembaga-lembaga perwakilan sah yang mewakili
kepentingan mereka. Partisipasi menyeluruh tersebut dibangun berdasarkan
kebebasan berkumpul dan mengungkapkan pendapat, serta kapasitas untuk
berpartisipasi secara konstruktif.
2) Tegaknya Supremasi
Hukum Kerangka hukum harus adil dan diberlakukan tanpa pandang bulu,
termasuk di dalamnya hukum-hukum yang menyangkut hak asasi manusia.
3) Transparansi Tranparansi dibangun atas dasar arus informasi yang bebas. Seluruh
proses pemerintahan, lembaga-lembaga dan informasi perlu dapat diakses oleh
pihak-pihak yang berkepentingan, dan informasi yang tersedia harus memadai
agar dapat dimengerti dan dipantau.
4) Peduli pada Stakeholder
Lembaga-lembaga dan seluruh proses pemerintahan harus berusaha melayani
semua pihak yang berkepentingan.
5) Berorientasi pada Konsensus
Tata pemerintahan yang baik menjembatani kepentingan-kepentingan yang
berbeda demi terbangunnya suatu konsensus menyeluruh dalam hal apa yang
terbaik bagi kelompok-kelompok masyarakat, dan bila mungkin, konsensus dalam
hal kebijakan-kebijakan dan prosedur-prosedur.
6) Kesetaraan
Semua warga masyarakat mempunyai kesempatan memperbaiki atau
mempertahankan kesejahteraan mereka.
7) Efektifitas dan Efisiensi
Proses-proses pemerintahan dan lembaga-lembaga membuahkan hasil sesuai
kebutuhan warga masyarakat dan dengan menggunakan sumber-sumber daya
yang ada seoptimal mungkin.
8) Akuntabilitas
Para pengambil keputusan di pemerintah, sektor swasta dan organisasi-organisasi
masyarakat bertanggung jawab baik kepada masyarakat maupun kepada lembaga-
lembaga yang berkepentingan. Bentuk pertanggung jawaban tersebut berbeda satu
dengan lainnya tergantung dari jenis organisasi yang bersangkutan.
9) Visi Strategis
Para pemimpin dan masyarakat memiliki perspektif yang luas dan jauh ke depan
atas tata pemerintahan yang baik dan pembangunan manusia, serta kepekaan akan
apa saja yang dibutuhkan untuk mewujudkan perkembangan tersebut. Selain itu
mereka juga harus memiliki pemahaman atas kompleksitas kesejarahan, budaya
dan sosial yang menjadi dasar bagi perspektif tersebut.

3.2 COBIT (Control Objective for Information and related Tecnology)
3.2.1 COBIT
COBIT adalah suatu metodologi yang memberikan kerangka dasar dalam
menciptakan sebuah TI yang sesuai dengan kebutuhan organisasi. Tujuan COBIT adalah
menyediakan model dasar yang memungkinkan pengembangan aturan yang jelas dan praktek
yang baik dalam mengontrol informasi dalam suatu organisasi/perusahaan dalam mencapai
tujuannya.
Control Objectives for Information and related Technology adalah sekumpulan
dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen
dan pengguna untuk menjembatani gap antara resiko bisnis, kebutuhan control dan
permasalahan-permasalahan teknis.
COBIT dikembangkan oleh IT Governance Institute, yang merupakan bagian dari
Information dari Information Systems Audit and Control Association (ISACA). COBIT
memberikan arahan yang berorientasi pada bisnis, dank arena itu diharapkan dapat
memanfaatkan guideline ini dengan sebaik-baiknya.
COBIT adalah suatu framework untuk membangun suatu IT Governance. Dengan
mengacu pada framework COBIT, suatu organisasi diharapkan mampu menerapkan IT
governance dalam pencapaian tujuannya IT governance mengintegrasikan cara optimal dari
proses perencanaan dan pengorganisasian, pengimplementasian, dukungan serta proses
pemantauan kinerja TI.
COBIT dapat digunakan sebagai tools yang digunakan untuk mengefektifkan
implementasi IT Governance, yakni sebagai management guideline dengan menerapkan
seluruh domain yang terdapat dalam COBIT, yakni planning-organization (PO), azquisition-
implementation (AI), Delivery-support (DS) dan Monitoring (M).

3.2.2 Kegunaan COBIT
COBIT memiliki fungsi untuk:
o Meningkatkan pendekatan/program audit
o Mendukung audit kerja dengan arahan audit secara rinci
o Memberikan petunjuk untuk IT governance
o Sebagai penilaian benchmark untuk kendali IS/IT
o Meningkatkan control IS/IT
o Sebagai standarisasi pendekatan/program audit

3.2.3 Perusahaan dan IT Governance
IT Governance menyediakan suatu stuktur yang berhubungan dengan proses TI,
sumberdaya TI dan informasi untuk strategi dan tujuan perusahaan. Cara mengintegrasikan IT
Governance dan optimalisasi perusahaan yaitu melalui perencanaan dan pengorganisasian
(PO), akuisisi dan implementasi (AI), penyampaian dan dukungan (DS), dan pengawasan (M)
kinerja TI.

IT Governance merupakan bagian terintegrasi bagi kesuksesan pengaturan perusahaan
dengan jaminan efisiensi dan efektivitas perbaikan pengukuran dalam kaitan dengan proses
perusahaan. IT Governance memungkinkan perusahaan untuk memperoleh
keunggulan penuh terhadap informasi, keuntungan yang maksimal, modal, peluang dan
keunggulan kompetitif dalam bersaing.

Pengaturan perusahaan (enterprise governance) dan sistem oleh entitas diarahkan dan
dikendalikan, melalui kumpulan dan arahan IT Governance. Pada saat yang sama, TI
dapat menyediakan masukan kritis, dan merupakan komponen penting bagi perencanaan
strategis. Pada kenyataannya TI dapat mempengaruhi peluang strategis yang ditetapkan oleh
perusahaan. Aktivitas perusahaan membutuhkan informasi dari aktivitas TI dengan maksud
untuk mempertemukan tujuan bisnis. Jaminan kesuksesan organisasi diakibatkan oleh adanya
saling ketergantungan antara perencanaan strategis dan aktivitas TI lainnya.

Kegiatan perusahaan perlu informasi dari kegiatan TI agar dapat mengintegrasikan
tujuan bisnis. Siklus pengaturan perusahaan dapat dijelaskan sebagai berikut : pengaturan
perusahaan ditentukan oleh praktek terbaik yang secara umum dapat diterima untuk
menjamin perusahaan mencapai tujuannya, melalui pengendalian tertentu. Dari tujuan-tujuan
ini mengalir arahan organisasi, yang mengatur kegiatan atau aktivitas perusahaan dengan
menggunakan sumberdaya perusahaan. Hasil kegiatan atau aktivitas perusahaan diukur dan
dilaporkan, memberikan masukan bagi pengendalian, demikian seterusnya, kembali ke awal
siklus.

Siklus pengaturan TI dapat dijelaskan sebagai berikut : pengaturan TI, di tentukan
oleh praktek terbaik yang menjamin informasi perusahaan dan teknologi terkait mendukung
tujuan bisnisnya, sumberdaya digunakan dengan tanggung jawab dan resiko diatur secara
memadai. Praktek tersebut membentuk dasar arahan kegiatan TI yang dapat dikelompokan
kedalam PO, AI, DS dan M, dengan tujuan untuk pengaturan (memperoleh keamanan,
keandalan dan pemenuhan) dan mendapat keuntungan (meningkatkan efektivitas, dan
efisiensi). Laporan dikeluarkan melalui hasil kegiatan atau aktivitas TI, yang diukur dari
praktek dan pengendalian yang bervariasi, demikian seterusnya, kembali ke awal siklus. Agar
menjamin manajemen mencapai tujuan bisnisnya, maka harus mengatur dan mengarahkan
kegiatan TI dalam mencapai keseimbangan yang efektif antara mengatur resiko dan
mendapatkan keuntungan. Untuk melaksanakannya, manajemen perlu mengidentifikasikan
kegiatan terpenting. Selain itu, perlu juga kemampuan mengevaluasi tingkat kesiapan
organisasi terhadap praktek terbaik dan standar internasional.



























BAB 4
PENUTUP
4.1 Simpulan
Dari penulisan ini, dapat disimpulkan :
a) Cobit adalah suatu standar audit SI yang diterima secara internasional.
b) Audit SI sangat penting untuk mencapai tujuan perusahaan.
c) IT sangat dibutuhkan untuk keuntungan kompetitif dan pertumbuhan
perusahaan.
d) Manajemen bertanggung jawab untuk kontrol IT.
e) Tanggung jawab itu memerlukan suatu kerangka
o Kebutuhan bisnis dapat dinyatakan sebagai kriteria informasi.
o IT biasanya diorganisir dalam seperangkat proses.
o IT memerlukan sejumlah sumber daya

4.2 Saran
Untuk audit system informasi dilakukan dengan menggunakan framework COBIT
merupakan salah satu alat bantu yang dapat digunakan dalam melakukan audit dan telah
mendapat pengakuan cukup baik di dunia internasional. Suatu perencanaan audit system
informasi berbasis teknologi (audit TI) oleh internal auditor, dapat dimulai dengan
menentukan area-area yang relevan dan beresiko paling tinggi, melalui analisa atas ke-34
proses tersebut. Sementara untuk kebutuhan penugasan tertentu, misalnya audit atas
proyek TI, dapat dimulai dengan memilih proses yang relevan dari proses-proses tersebut.



























DAFTAR PUSTAKA
Alter, Steven. 1999. Information System : A managerial perspective, 3
rd
edition. Addison.
Wesley. USA

COBIT - Wikipedia (http://en.wikipedia.org/)

Gondodiyoto, S. (2007). Audit Sistem Informasi + Pendekatan CobIT. Jakarta: Mitra Wacana
Media.
IT-Governance - scribd (www.scribd.com/doc/80926158/IT-Governance)

McLeod Jr.R. 1996. Sistem Informasi Manajemen, Jilid 1, edisi Bahasa Indonesia.
Terjemahan Teguh,H. Prenhallindo, Jakarta.