1.1. Latar Belakang Pada saat ini, Teknologi Informasi (TI) merupakan bagian yang tidak bisa terpisahkan dari suatu perusahaan. Ilmu dan teknologi yang bergerak maju dan berkembang ternyata tidak sedikit menimbulkan masalah, terutama dalam menghadapi kompleksitas dan intensitas tantangan yang semakin berat. Pimpinan dan para pembuat kebijakan perusahaan dituntut berpikir kreatif untuk menemukan berbagai terobosan strategi yang mampu menciptakan sinergi, yang memberi kontribusi optimal dalam pencapaian tujuan perusahaan. Namun, kenyataannya sering kita jumpai bahwa pemanfaatan TI itu justru menghabiskan sumber daya, sementara hasil yang diharapkan tidak tercapai. Untuk itu, perlu dilakukan manajemen informasi efektif dan pemanfaatan teknologi secara efisien. Hal ini sudah sering dikemukakan dan dibahas. Dari pembahasan itu, makin disadari pentingnya IT Governance. IT Governance adalah sebuah struktur dari hubungan relasi dan proses untuk mengarahkan dan mengendalikan suatu perusahaan dalam mencapai tujuan dengan memberikan nilai tambah ketika menyeimbangkan resiko dengan menyesuaikan TI dan proses bisnis perusahaan. IT Governance muncul sebagai jembatan antara scope bisnis dengan TI, yang disebabkan terjadinya sebuah gap antara teknologi yang diterapkan tidak sesuai dengan yang diharapkan. IT Governance bukanlah suatu manajemen tersendiri, tetapi pada dasarnya juga merupakan bagian dari manajemen perusahaan. Manfaat IT Governance itu sendiri pada dasarnya sangat sulit untuk dikuantifikasikan karena ukuran keberhasilan penanganan TI itu pada dasarnya bersifat intangible. Teknologi informasi adalah suatu aset yang sangat berharga dalam suatu perusahaan, dimana peranan teknologi informasi (TI) telah mampu mengubah pola pekerjaan, kinerja karyawan bahkan sistem manajemen dalam mengelola sebuah organisasi. Teknologi informasi bisa memiliki peranan penting menggantikan peran manusia secara otomatis terhadap suatu siklus sistem mulai dari input, proses dan output di dalam melaksanakan aktivitas pekerjaan serta telah menjadi fasilitator utama bagi kegiatan-kegiatan bisnis yang memberikan andil besar terhadap perkembangan organisasi. Terdapat beberapa alasan penting mengapa audit TI perlu dilakukan, antara lain: (1) kerugian akibat kehilangan data; (2) kesalahan dalam pengambilan keputusan (3) risiko kebocoran data; (4) penyalahgunaan komputer; (5) kerugian akibat kesalahan proses perhitungan; dan (6) tingginya nilai investasi perangkat keras dan perangkat lunak komputer serta semakin ketatnya persaingan antar perusahaan dalam menjalankan bisnisnya yang berbasis teknologi informasi
1.2. Ruang Lingkup Agar pembahasan menjadi lebih terarah pada tujuan-tujuan yang ingin dicapai, maka ruang lingkup penulisan akan dibatasi pada: a) Pengertian dan aspek penting dari tata kelola perusahaan di bidang teknologi informasi secara keseluruhan b) Pemahaman terhadap fokus utama dari area tata kelola IT di dalam suatu perusahaan c) Melaksanakan audit TI dimana metodologi audit TI yang sesuai dengan metodologi yang diajukan oleh IT Assurance Guide: COBIT.
1.3. Tujuan dan Manfaat Berdasarkan latar belakang, maka dapat ditentukan tujuan dari penulisan ini adalah untuk mengulas bagaimana audit terhadap tata kelola teknologi informasi di dalam suatu perusahaan dilakukan, terutama dengan menggunkan metode COBIT.
Dengan adanya tulisan ini, diharapkan dapat memberikan manfaat-manfaat sebagai berikut: a) Mendapatkan gambaran yang lebih jelas dalam proses audit terhadap tata kelola teknologi informasi. b) Memberikan gambaran atas suatu kontrol terhadap investasi teknologi informasi di dalam perusahaan. c) Memastikan manajemen dan akuntabilitas kinerja yang efektif di dalam fungsi teknologi informasi di suatu perusahaan. d) Mengkomunikasikan informasi risiko dan pengendalian ke area-area yang terkait di dalam organisasi.
1.4. Metodologi Penulisan Metodologi penelitian yang digunakan penulis dalam penelitian ini, antara lain: a) Metode Analisis Metode analisis digunakan dengan menganalisis berbagai macam metode- metode pengembangan aplikasi untuk mobile. b) Studi Kepustakaan Kegiatan ini dilakukan dengan cara membaca buku-buku dari referensi yang berkaitan dengan masalah tersebut serta pengumpulan informasi yang digunakan dalam studi artikel media internet. Penelitian kepustakaan ini secara teoritis sangat membantu didalam penyusunan penulisan ini.
BAB 2 LANDASAN TEORI
2.1. I nformation Technology (I T) Governance IT Governance merupakan suatu komitmen, kesadaran dan proses pengendalian manajemen organisasi terhadap sumber daya teknologi informasi atau sistem informasi yang dibeli dengan harga mahal, yang mencakup mulai dari sumber daya komputer (software, brainware, database dan sebagainya), hingga ke teknologi informasi dan jaringan LAN atau internet. Governance merupakan turunan dari kata government, yang artinya membuat kebijakan (policies) yang sejalan atau selaras dengan keinginan atau aspirasi masyarakat. Sedangkan penggunaan pengertian governance terhadap IT Governance maksudnya adalah, penerapan kebijakan TI di dalam organisasi agar pemakaian TI (berikut pengadaan dan pelayanannya) diarahkan sesuai dengan tujuan organisasi tersebut. Sanyoto Gondodiyoto (2007) menyatakan bahwa IT Governance merupakan salah satu bagian terpenting dari kesuksesan penerapan good corporate governance. IT Governance memastikan pengukuran efektifitas dan efisiensi peningkatan proses bisnis perusahaan melalui struktur yang terkait dengan TI menuju ke arah tujuan strategis perusahaan. IT Governance memadukan best practice proses perencanaan, pengelolaan, penerapan, pelaksanaan dan pengawasan kinerja untuk memastikan bahwa TI benar-benar mendukung pencapaian perusahaan. IT Governance dimaksudkan sebagai pola dari otoritas atau kebijakan terhadap aktivitas TI (IT Process). Pola ini diantaranya adalah membangun kebijakan dan pengelolaan IT Infrastructure, penggunaan TI oleh end-user secara efisien, efektif dan aman, serta proses IT Project Management yang efektif. Standar COBIT dari lembaga ISACA di Amerika Serikat mendefinisikan IT Governance sebagai berikut: structure of relationships and processes to direct and control the enterprise in order to achieve the entreprises goals by value while balancing risk versus return over IT and its processes. IT Governance sebagai kumpulan kebijakan, proses atau aktivitas dan prosedur untuk mendukung pengoperasian TI agar hasilnya sejalan dengan strategi bisnis. Ruang lingkup IT Governance di perusahaan skala besar biasanya mencakup hal-hal yang berkaitan dengan Change Management, Problem Management, Release Management, Availability Management dan bahkan Service-Level Management. Lebih lanjut, IT Governance yang baik harus berkualitas, well-defined dan bersifat repeatable processes yang terukur. IT Governance yang dikembangkan dalam suatu organisasi modern berfungsi pula mendefinisikan kebijakan-kebijakan TI, menetapkan prosedur penting proses TI, dokumentasi aktivitas TI, termasuk membangun IT Plan yang efektif berdasarkan perubahan lingkungan perusahaan dan perkembangan TI. Dari beberapa definisi Tata Kelola TI tersebut, maka dapat di simpulkan bahwa tujuan dibangunnya IT Governance adalah, menyelaraskan IT Resources yang sudah diinvestasikan tersebut dengan strategi organisasi. Untuk mewujudkan IT Governance dalam suatu organisasi, maka suatu organisasi harus membangun struktur yang dinamakan dengan IT Governance Framework, yang berpola sebagai berikut:
Gambar 2.1 Ruang Lingkup IT Governance
Untuk mewujudkan tujuan yang bersifat integratif dan komprehensif tersebut, maka tidak mungkin pengelolaan TI pada organisasi skala menengah dan besar hanya menjadi urusan dari departemen komputer saja (IT Function), akan tetapi harus melibatkan semua pihak, termasuk stakeholder, sesuai dengan proporsinya, mulai dari dewan komisaris, top management, manajer fungsional, manajer operasional, karyawan sebagai end-user, tapi tentu saja terutama manajer teknologi informasi. Dengan adanya IT Govenance yang baik yang berjalan di dalam suatu organisasi perusahaan, maka puluhan IT Process beserta IT Activities dapat berjalan secara sistematis, terkendali dan efektif. Bahkan hingga menciptakan efisiensi dengan sendirinya, mengurangi biaya operasional dan meningkatkan daya saing. Output dan outcome dari IT Governance yang baik tersebut hanya dapat dicapai jika tata kelola tersebut dikembangkan dengan menggunakan IT Framework berstandar internasional, misalnya dengan mengimplementasikan COBIT, IT-IL Management, COSO, ISO IT Security dan lain sebagainya.
Gambar 2.2 COBIT pada IT Governance
2.1.1. Control Objective for I nformation and Related Technology (COBI T) (weber, p57) COBIT dapat diartikan sebagai tujuan pengendalian untuk informasi dan teknologi terkait dan merupakan standar terbuka untuk pengendalian terhadap teknologi informasi yang dikembangkan dan dipromosikan oleh Institut IT Governance.
COBIT pertama sekali diperkenalkan pada tahun 1996 adalah merupakan alat (tool) yang disiapkan untuk mengatur teknologi informasi (IT Governance tool).
COBIT telah dikembangkan sebagai sebuah aplikasi umum dan telah diterima menjadi standar yang baik bagi praktek pengendalian dan keamanan TI yang menyediakan sebuah kerangka kerja bagi pengelola, user, audit sistem informasi, dan pelaksana pengendalian dan keamanan.
COBIT, di terbitkan oleh Institut IT Governance. Pedoman COBIT memungkinkan perusahaan untuk mengimplementasikan pengaturan TI secara efektif dan pada dasarnya dapat diterapkan di seluruh organisasi. Khususnya, komponen pedoman manajemen COBIT yang berisi sebuah respon kerangka kerja untuk kebutuhan manajemen bagi pengukuran dan pengendalian TI dengan menyediakan alat-alat untuk menilai dan mengukur kemampuan TI perusahaan untuk 34 proses TI COBIT.
Alat-alat tersebut yaitu : 1. Elemen pengukuran kinerja (pengukuran hasil dan kinerja yang mengarahkan bagi seluruh proses TI) 2. Daftar faktor kritis kesuksesan (CSF) yang disediakan secara ringkas, praktek terbaik non teknis dari tiap proses TI 3. Model maturity untuk membantu dalam benchmarking dan pengambilan keputusan bagi peningkatan kemampuan Komponen COBIT terdiri dari Executive Summary, Framework, Control Objectives, Audit Guidelines, Implemenation Tool Set, Management Guidelines
COBIT memiliki misi melakukan riset, mengembangkan, mempublikasikan, dan mempromosikan makalah-makalah, serta meng-update tatanan atau ketentuan TI controls objective yang dapat diterima umum (generally accepted control objectives) berikut panduan pelengkap yang dikenal sebagai Audit Guidelines yang memungkinkan penerapan framework dan control objectives dapat berjalan mudah. Tatanan atau ketentuan tersebut selanjutnya digunakan oleh para manajer dunia usaha maupun auditor dalam menjalankan profesinya.
Sedangkan visi dari COBIT adalah dijadikan COBIT sendiri sebagai satu-satunya model pengurusan dan pengendalian teknologi informasi (Information Technology Governance).
2.2. Struktur dari Fungsi TI 2.2.1. Centralized Data Processing (CDP) Centralized data processing adalah merupakan suatu gambaran tentang pengolahan data, sekelompok unit komputer menjalankan semua proses data yang lebih besar pada sebuah central site yang akan membantu para pemakainya dalam organisasi. Keuntungan dalam penerapan Centralized Data Processing ialah: a) Dari segi biaya, lebih hemat dalam peralatan dan personil, karena peralatan dan personil yang dipakai relatif lebih sedikit. b) Dengan hanya satu pusat atau pangkalan data, konsistensi data dapat lebih terjamin dari duplikasi. c) Dengan adanya satu pangkalan data, langkah-langkah pengamanan data dapat diambil dengan mudah. Dengan kata lain, mudah dalam menegakkan standar dan keamanan. Di sisi lain centralized data processing juga memiliki kekurangan, antara lain: a) Timbulnya kesan bahwa para pemilik data merasa kehilangan hak memiliki data yang diperlukan untuk penyelenggaraan fungsinya karena apabila data tertentu diperlukannya, ia harus meminta kepada pusat pengolahan data. b) Resiko yang tinggi terhadap pusat atau pangkalan data berdampak pada keberlangsungan aktivitas pada seluruh fungsi di dalam sebuah organisasi.
2.2.2. Segregation of I ncompatible I T Functions 2.2.2.1. Separating System Development from Computer Operation Pemisahan proses pengembangan sistem dan kegiatan operasional merupakan hal yang perlu dilakukan. Proses pengembangan sistem harus dapat menentukan hak akses dari setiap user mana yang dapat memasukkan data dan menjalankan program. Bagian operasional harus dapat menjalankan sistem tersebut dan tidak berhubungan langsung selama proses pembuatan sistem. Jika bagian operasional mengetahui logika dasar pemrograman aplikasi komputer yang dijalankannya, maka bagian operasional tersebut dapat mengubah dengan sengaja cara kerja aplikasi selama menjalankan aplikasi tersebut. 2.2.2.2. Separating Database Administration from other Function Fungsi dari database administration adalah membuat skema database, memberikan hak akses database ke user, mengawasi penggunaan database, merencanakan pengembangan dari database itu sendiri.
2.2.2.3. Separating New Systems Development from Maintenance Dalam pengembangan sistem, perusahaan mengatur sistemnya ke dalam 2 kelompok yaitu: System analyst bertugas untuk menentukan desain dari sistem yang baru dengan melakukan pendekatan dengan user yang akan menggunakan sistem yang baru tersebut dengan cara melakukan wawancara atau membagikan kuesioner Tim programming membuat program atau aplikasi yang akan digunakan dalam sistem dengan menggunakan source code yang sesuai dengan aplikasi yang diinginkan. Selain membuat program. Tim programming juga harus melakukan perbaikan atau mainteneance secara berkala terhadap aplikasi yang dibuatnya, agar aplikasi tersebut dapat berjalan sebagaimana mestinya. Cara ini juga dapat menimbulkan kerugian dalam pelaksanaannya di antara lain : a) Inadequate Documentation Proses mendokumentasikan biasanya tidak terlalu diperhatikan oleh programmer, karena hal ini tidak terlalu menarik perhatian programmer. Mereka lebih senang mengerjakan proyek baru, daripada untuk membuat sebuah laporan pada saat satu proyek telah selesai Job Security. Ketika dokumen tidak dicatat dengan baik, maka akan susah untuk dilakukan interpretasi, pengetesan, dan menjalankan program atau aplikasi yang sudah dibuat. Terlebih lagi jika programmer yang sudah membuat program meninggalkan perusahaan, akan menjadi sebuah kesulitan yang sangat besar bagi programmer baru yang menggantikannya untuk menangani program tersebut b) Program Fraud Ketika programmer yang membuat aplikasi juga melakukan maintenance terhadap program yang dibuatnya sendiri, maka potensi terjadinya kecurangan akan semakin besar. Programmer dapat secara sengaja melakukan perubahan hal-hal yang menimbulkan program menjadi error sehingga tidak dapat digunakan. Pada saat proses maintenance, programmer dapat dengan bebas mengakses sistem, dan membetulkan source code yang sebenarnya sengaja dibuat salah pada proses pembuatan program. Hal ini tentu sangat merugikan perusahaan yang harus mengeluarkan biaya tambahan untuk membayar jasa programmer tersebut.
2.2.3. Distributed Data Processing (DDP) Distributed data processing (DDP) merupakan bentuk yang sering digunakan akhir-akhir ini sebagai perkembangan dari time sharing system. Bila beberapa sistem komputer yang bebas tersebar yang masing-masing dapat memproses data sendiri dan dihubungkan dengan jaringan telekomunikasi, maka istilah time sharing sudah tidak tepat lagi. DDP dapat didefinisikan sebagai suatu sistem komputer interaktif yang terpencar secara geografis dan dihubungkan dengan jalur telekomunikasi dan seitap komputer mampu memproses data secara mandiri dan mempunyai kemampuan berhubungan dengan komputer lain dalam suatu sistem.
Gambar 2.5 Contoh Distributed data Processing Contoh dari distributed data processing adalah komputer yang dirancang untuk tugas-tugas melaksanakan proyek, analisis finansial, penjadwalan waktu dan akuntansi. Contoh lainnya, pengolahan data pada server yahoo yang tersebar hampir di seluruh dunia secara distribusi, setiap wilayah mempunyai server masing-masing. Seperti di indonesia mempunyai server tersendiri sehingga pengolahan data tidak di pusat melainkan di wilayah masing-masing, dll. Model distributed data processing memiliki beberapa keuntungan, antara lain: a) Pengawasan distribusi dan pengambilan data. Jika beberapa site yang berbeda dihubungkan, seorang pemakai yang berada pada satu site dapat mengakses data pada site lain. Contoh: sistem distribusi pada sebuah bank memungkinkan seorang pemakai pada salah satu cabang dapat mengakses data cabang lain. b) Reliability dan availability. Sistem distribusi dapat terus menerus berfungsi dalam menghadapi kegagalan dari site sendiri atau mata rantai komunikasi antar site. c) Kecepatan pemrosesan query. Contoh: jika site-site gagal dalam sebuah sistem terdistribusi, site lainnya dapat melanjutkan operasi jika data telah direplikasi pada beberapa site. d) Otonomi lokal. Pendistribusian sistem mengijinkan sekelompok individu dalam sebuah perusahaan untuk melatih pengawasan lokal melalui data mereka sendiri. Dengan kemampuan ini dapat mengurangi ketergantungan pada pusat pemrosesan. e) Efisiensi dan fleksibel. Data dalam sistem distribusi dapat disimpan dekat dengan titik dimana data tersebut dipergunakan. Data dapat secara dinamik bergerak atau disain, atau salinannya dapat dihapus. Di sisi lain distributed data processing juga memiliki kekurangan, antara lain: a) Harga mahal. Hal ini disebabkan sangat sulit untuk membuat sistem database distribusi. b) Kompleksitas. Site-site beroperasi secara paralel sehingga lebih sulit untuk menjamin kebenaran dan algoritma. Adanya kesalahan mungkin tak dapat diketahui. c) Biaya pemrosesan tinggi. Perubahan pesan dan penambahan perhitungan dibutuhkan untuk mencapai koordinasi antar site. d) Redudansi data. Berbagai data diolah di berbagai site, hal tersebut dapat menimbulkan adanya data yang berulang atar site atau redudansi. e) Sulit menjaga keutuhan data. Banyaknya pengaksesan data membuat kurangnya sekuritas terhadap data yang telah terdistribusi. f) Perancangan basis data lebih kompleks. Sebelumnya menjadi keuntungan. Tetapi karena distribusi menyebabkan masalah sinkronisasi dan koordinasi, kontrol terdistribusi menjadi kerugian atau kekurangan di masalah ini.
2.2.4. Controlling the DDP Environment Distributed data processing memang memiliki banyak keunggulan terlebih untuk struktur organisasi saat ini. Namun diantara keunggulan itu, distributed data processing juga memungkinkan suatu sistem menjadi lebih kompleks, karena banyaknya database yang tersebar dan jumlah data yang banyak dan terus meningkat didalam suatu organisasi maupun perusahaan. Kompleksitas dari model ini menuntut perusahaan untuk meningkatkan kontrolnya. Kontrol pada tata kelola TI dengan model distributed data processing merupakan tantangan besar sebuah perusahaan, bagaimana aset yang terkait dengan model tersebut, yang menyebar di berbagai area dapat terus dikontrol keberadaan serta terjamin fungsionalitasnya. Perusahaan harus menetapkan beberapa orang diberbagai area distribusi untuk secara rutin mengontrol hal ini.
2.3. Computer Center 2.3.1. Physical Location Lokasi fisik yang harus diatur agar tidak terjadi kerusakan yg diakibatkan oleh bencana alam ataupun kesalahan yang dilakukan oleh manusia. Contoh: Perusahaan diusahakan mencari atau memilih lokasi tempat yang tepat untuk menghindari terjadi bencana alam seperti gempa bumi atau banjir.
2.3.2. Construction Kondisi bangunan tempat dimana komputer atau pusat data harus dalam keadaan bagus dan kokoh agar tidak mudah rubuh dan diusahakan listrik jangan sampai terputus. Supply listrik harus diperhatikan dan bangunan harus selalu dalam keadaan bersih dijauhkan dari debu-debu agar pada saat mengakses data tidak terjadi gangguan pada server.
2.3.3. Access Keamanan pada pusat server harus diperketat, dapat dilakukan dengan cara pintu dikunci atau menggunakan kartu pada saat pekerja masuk ruangan agar tidak semua orang bisa masuk kedalam ruangan server untuk menjaga keamanan pada penyimpanan data. Dan pada pintu darurat juga diperhatikan, serta ruangan dipasang kamera perekam (CCTV) agar pada setiap kegiatan dapat diketahui dan tidak menimbulkan kasus-kasus yang tidak baik dalam ruangan server.
2.3.4. Air Conditioning Suhu pada ruangan server harus diperhatikan harus sesuai dengan kebutuhan komputer karena bisa terjadi error atau pemrosesan yang lamban akibat suhu yang panas. Jadi udara diusahakan agar tetap dingin supaya komputer tidak terganggu pada saat bekerja.
2.3.5. Fire Suppression Penyedia layanan penuh terhadap sistem, termasuk pencegahan kebakaran harus terstruktur dengan baik. Contoh: Perusahaan harus bisa memilih penempatan yang tepat untuk meletakkan alat tabung kebakaran atau alarm kebakaran dan melakukan pelatihan jika terjadi musibah kebakaran maka user atau pekerja agar mereka tidak panik.
2.3.6. Fault Tolerance Fault tolerance adalah kemampuan sistem untuk melanjutkan operasinya ketika sebagian dari sistem tersebut gagal karena adanya kegagalan peranti keras, kesalahan dalam program aplikasi, atau kesalahan operator. Cara di mana sistem operasi merespon keras atas kegagalan perangkat lunak. Istilah ini pada dasarnya mengacu pada kemampuan sistem untuk memungkinkan kegagalan atau kerusakan, dan kemampuan ini dapat disediakan oleh perangkat lunak, perangkat keras atau kombinasi keduanya. Untuk menangani kesalahan ini, beberapa sistem komputer diharapkan memiliki dua atau lebih sistem data duplikat. Contoh: Perusahaan sebaiknya membuat sistem bayangan. Jadi membuat data duplikat yang disimpan di tempat lain jika terjadi kesalahan pada data pertama masih memiliki data duplikat. Dan cara kedua dengan menggunakan Unit Power Supply (UPS), agar pada saat supply listrik ke server terputus, terdapat jeda sebelum komputer mati, jadi masih memiliki waktu untuk menyimpan atau menyelamatkan data.
2.3.7. Audit Objectives Audit Objective dari IT governance khususnya data center adalah untuk memastikan bahwa kontrol-kontrol yang ada terhadap data center tersedia keberadaanya dan berfungsi serta dimaintain dengan baik.
2.3.8. Audit Procedures Rincian untuk memperoleh bukti audit yang cukup tepat dengan melakukan pengecekan ulang atau observasi, apakah sudah sesuai dengan prosedur sistem audit. Contohnya dengan melakukan pengecekan pada area-area terkait, sebagai berikut: a) Construction Melakukan pengecekan pada bangunan apakah sudah terjamin kokoh dan pemilihan ruangan atau penempatan computer center (yang lebih baik ditempatkan di lantai atas), serta apakah instalasi listrik sudah dipasang dengan baik agar tidak terjadi korsleting atau listrik putus pada saat melakukan proses pada server. b) Access Melakukan pengecekan pada alat tapping kartu, apakah alat tersebut sudah dapat bekerja dengan baik dan tidak terjadi kerusakan, atau keberadaan CCTV yang berfungsi dengan baik. c) Air Conditioning Melakukan pengecekan pada suhu pendingin, apakah sudah sesuai dengan kebutuhan suhu yang dibutuhkan oleh komputer agar tidak terjadi error. d) Fire Suppression Melakukan pengecekan pada tabung alat pemadam kebakaran, apakah tabung masih terisi dan dapat digunakan jika terjadi kebakaran. Dan melakukan pengecekan pada alarm kebakaran, apakah alarm berfungsi dengan baik jika ada tanda-tanda terjadi kebakaran. e) Fault tolerance Melakukan pengecekan pada cara-cara mengatasi toleransi kesalahan, apakah data yang diduplikat sudah terduplikasi dan tersimpan dengan baik pada server yang lainnya. Dan melakukan pengecekan pada alat UPS apakah baterai pada UPS masih dapat menyimpan energi listrik yang digunakan pada saat terjadi pemadaman listrik. f) Asuransi Melakukan pendaftaran asuransi pada data server agar jika terjadi hal- hal yang tidak diinginkan, maka tidak terlalu merugikan perusahaan, serta dicek apakah asuransi tersebut diperpanjang tiap tahunnya.
2.4. Disaster Recovery Planning Menurut Maiwald-Sieglein (2002), suatu bencana (disaster) dapat didefinisikan sebagai kejadian tentang segala peristiwa yang menyebabkan suatu gangguan penting pada kemampuan teknologi informasi. Itu adalah suatu peristiwa yang mengganggu yang proses bisnis normal dan mengakibatkan kerugian keuangan yang dapat diukur. Bencana itu sendiri ada yang berasal dari alam, seperti banjir dan gempa, bencana yang bersumber dari manusia, seperti sabotase atau human error, maupun bencana yang berasal dari sistem itu sendiri, seperti kegagalan drive, kehilangan power, atau crash pada sistem operasi. Disaster recovery plan adalah sebuah proses atau kemampuan dari organisasi untuk menanggapi bencana atau gangguan dalam pelayanan melalui implementasi rencana pemulihan bencana untuk menstabilkan dan memulihkan fungsi kritis organisasi. Rencana ini dibuat untuk membantu mengembalikan proses bisnis dari perusahaan serta mengurangi dampak bila terjadi bencana yang mengakibatkan kerusakan atau kehilangan data elektronik yang mendukung proses bisnis perusahaan. Disaster recovery plan terdiri atas tiga perencanaan yaitu perencanaan proteksi, perencanaan pengatasan bencana dan perencanaan pemulihan. Perencanaan proteksi adalah perencanaan yang dibuat untuk mencegah terjadinya bencana. Perencanaan pengatasan bencana adalah perencanaan yang dibuat untuk mengurangi dampak dari bencana terhadap perusahaan. Perencanaan pemulihan adalah perencanaan yang dibuat untuk membantu perusahaan dalam melakukan pemulihan agar proses bisnis dapat berjalan kembali. Spesifikasi dari disaster rocovery plan itu sendiri, terdiri dari tiga aktivitas dasar, yakni: a) Mengidektifikasi aplikasi penting b) Membangun tim penanganan bencana c) Menyediakan situs back-up cadangan Tujuan audit pada fungsi DRP adalah untuk memverifikasi bahwa rencana pemulihan bencana perusahaan cukup untuk memenuhi kebutuhan perusahaan dan bahwa implementasinya dapat dilakukan serta praktis. Prosedur auditnya, yakni memverifikasi bahwa DRP pihak manajemen adalah solusi yang realistis untuk menangani suatu bencana yang dapat meniadakan sumber daya komputer perusahaan. Berbagai pengujian dilakukan, seperti pengecekan atau observasi terkait keberadaan tim penanganan bencana, daftar aplikasi-aplikasi penting perusahaan, dan back-up software, serta data master.
2.4.1. I dentify Critical Applications Usaha pemulihan harus terkonsentrasi pada fitur yang sangat penting agar perusahaan dapat bertahan dalam waktu pendek. Pada komponen ini, perusahaan atau organisasi harus menentukan daftar aplikasi penting yang menunjang operasional perusahaan. Dalam hal ini auditor harus juga mengkaji daftar aplikasi penting untuk memastikan bahwa daftar tersebut lengkap. Aplikasi yang terlewat dapat mengakibatkan kegagalan pemulihan. Akan tetapi, hal yang sama juga berlaku untuk pemulihan aplikasi yang tidak penting. Memasukkan suatu aplikasi ke dalam daftar aplikasi penting padahal tidak terlalu dibutuhkan untuk mencapai tujuan bertahan hidup jangka pendek dapat memecah perhatian dari tujuan yang utama selama masa pemulihan.
2.4.2. Creating a Disaster Recovery Team DRP harus dengan jelas mencantumkan nama, alamat, dan nomor telepon darurat para anggota tim pemulihan dari bencana. Auditor harus memverifikasi bahwa para anggota tim adalah karyawan yang masih bekerja dan menyadari tanggung jawab yang diberikan kepada mereka. Para anggota tim haruslah para ahli dalam bidang masing-masing dan memiliki pekerjaan tertentu yang ditugaskan padanya. Setelah terjadinya bencana, anggota tim akan mendelegasikan berbagai subpekerjaan ke bawahan mereka. Lingkungan yang terbentuk akibat rencana mungkin mengharuskan dilakukannya pelanggaran atas teknik pengendalian, seperti pemisahan pekerjaan, pengendalian akses, dan pengawasan.
Gambar 2.6 Tim Pemulihan Bencana
2.4.3. Providing Second-Site Backup Bahan yang penting dalam sebuah DRP adalah rencana tersebut memungkinkan adanya fasilitas pemrosesan data duplikat setelah terjadi suatu bencana. Di antara berbagai pilihan yang tersedia adalah hot site (pusat operasi pemulihan), cold site (ruang kosong), perjanjian silang yang saling menguntungkan, cadangan yang disediakan secara internal, dan lain-lainnya. Disini, seorang auditor harus mengevaluasi kecukupan pengaturan lokasi cadangan.
2.5. Outsourcing Fungsi TI Dalam iklim persaingan usaha yang semakin ketat, perusahaan berusaha untuk melakukan efisiensi biaya produksi (cost of production). Salah satu solusinya adalah dengan sistem outsourcing, dimana dengan sistem ini perusahaan diharapkan dapat menghemat pengeluaran dalam membiayai sumber daya manusia (SDM) yang bekerja di perusahaan yang bersangkutan. Outsourcing atau contracting out adalah pemindahan pekerjaan dari satu perusahaan ke perusahaan lain. IT outsourcing sendiri tidak berbeda jauh dengan definisi outsourcing secara umum. IT outsourcing adalah penyediaan tenaga ahli yang profesional dibidang teknologi informasi untuk mendukung dan memberikan solusi guna meningkatkan kinerja perusahaan. Salah satu bidang yang menjadi obyek outsourcing pada berbagai perusahaan adalah fungsi TI. Bagi perusahaan, fungsi TI merupakan bidang penunjang (support function) untuk mendukung operasional perusahaan yang lebih efektif dan efisien. Sebagai support function fungsi IT di-outsource pada perusahaan outsourcing TI, dengan pertimbangan untuk meningkatkan efisiensi dan agar perusahaan dapat lebih memfokuskan diri pada bidang usaha yang ditekuninya. Melalui outsourcing, perusahaan dapat memfokuskan segenap sumberdaya yang dimilikinya untuk mencapai misi organisasi, sehingga perusahaan mampu memberikan layanan terbaik pada konsumen. Selain itu, dengan outsourcing, perusahaan juga dapat meningkatkan efisiensinya karena dikerjakan oleh pemberi jasa yang mempunyai spesialisasi pada bidangnya dan perusahaan dapat mengurangi biaya langsung dan biaya overhead pada bidang yang di-outsource. Terdapat keuntungan-keuntungan yang dirasakan perusahaan apabila melakukan IT outsourcing, antara lain: a) Perusahaan dapat fokus pada core business-nya dengan tetap menikmati nilai- nilai positif dari sistem dan teknologi informasi. b) Teknologi yang maju. IT outsourcing memberikan akses kepada organisasi klien berupa kemajuan teknologi dan pengalaman personil. c) Waktu yang digunakan menjadi lebih singkat untuk pengadaan sumber daya TI d) Mengurangi biaya dari pengadaan fungsi TI di perusahaan e) Jasa yang diberikan oleh outsourcer lebih berkualitas dibandingkan dikerjakan sendiri secara internal, karena outsourcer memang spesialisasi dan ahli di bidang tersebut.
2.5.1. Risks I nherent to I T Outsourcing Walau demikian penerapan strategi outsourcing fungsi TI bukan berarti tanpa kendala. Ada resiko-resiko yang mungkin terjadi bila perusahaan meng-outsource fungsi TI-nya, antara lain: a) Performa dari sumber daya IT dapat gagal karena itu semua bergantung pada vendor atau penyedia layanan b) Dapat terjadi ketidakseimbangan biaya dengan manfaat yang dirasakan c) Resiko terhadap keamanan data perusahaan, dimana IT outsource sangat berhubungan dengan data perusahaan d) Rentan dapat ditiru oleh pesaing lain bila aplikasi yang dioutsourcingkan adalah aplikasi strategik e) Kegagalan dalam keselarasan strategi antara perencanaan TI dengan perencanaan bisnis perusahaan secara keseluruhan f) Adanya kecenderungan outsourcer untuk merahasiakan sistem yang digunakan dalam membangun sistem informasi bagi pelanggannya agar jasanya tetap digunakan.
2.5.2. Audit Implications of I T Outsourcing Dalam situasi dimana perusahaan melakukan outsourcing terhadap sumber daya TI yang dimiliki, auditor harus mampu melakukan audit, dimana tujuan audit dan metodologinya tetap sama, outsourcing tidak memperkenalkan unsur-unsur baru tertentu yang perlu dipertimbangkan. Area-area yang berhubungan dengan audit pada IT oursourcing, seperti: software development, application support and maintenance, infrastructure management services. Tujuan dari audit ini sendiri, antara lain: a) Menilai resiko yang terkait dengan outsourcing, seperti ketersediaan kelanjutan dari jasa, tingkat layanan dan keamanan informasi b) Menelaah apakah tujuan dari outsourcing tercapai c) Menilai strategi TI apakah telah dimodifikasi sehingga sesuai dengan rencana IT outsourcing Seorang auditor dapat membuat checklist mengenai hal-hal penting selama mengaudit IT outsourcing, seperti: a) Contract Kebanyakan pengaturan outsourcing diberlakukan setelah proses rinci evaluasi, due diligence dan negosiasi, dengan pertukaran komunikasi antara perusahaan dan penyedia layanan selama periode waktu. Penting bagi kedua belah pihak untuk memiliki dokumen kontrak yang memiliki kekuatan hukum dan merinci harapan yang disepakati mengenai berbagai aspek pengaturan. Untuk auditor, titik awal yang baik dalam mengaudit adalah dari kontrak outsourcing. Auditor harus membuat pengawasan menyeluruh terhadap kontrak, seperti yang akan dilakukan untuk setiap kontrak komersial besar, dan mengevaluasi semua risiko seperti yang dilakukan dalam pemeriksaan kontrak. b) Statement of work Informasi penting berikutnya dari sebuah kontrak adalah statement of work atau laporan kerja yang berisi daftar pekerjaan yang harus dilakukan oleh penyedia layanan. Auditor harus memeriksa apakah proyek pekerjaan benar-benar dilakukan oleh penyedia layanan dan sama dengan yang disebutkan dalam kontrak. c) Data security Berbagai tingkat akses ke aplikasi dan sistem harus diberikan kepada personil penyedia layanan untuk memungkinkan mereka melaksanakan pekerjaan. Prosedur yang tepat harus ditentukan untuk menentukan bagaimana akses tersebut diberikan dan dipelihara. Keamanan berkaitan dengan menjaga kerahasiaan, integritas dan ketersediaan informasi. Auditor harus memeriksa apakah kebijakan keamanan dan proses dari penyedia layanan sinkron dengan orang- orang dari perusahaan. Auditor harus memeriksa apakah mekanisme telah ditetapkan untuk pemantauan keamanan dan proses yang terkait. Dalam beberapa kasus, tergantung pada sifat dari pekerjaan outsourcing, personil dari penyedia layanan bahkan mungkin diberi akses superuser ke beberapa sistem. d) Impact on IT strategy IT outsourcing sering dilakukan dalam skala yang cukup besar. Outsourcing perlu dimasukkan ke dalam bisnis dan strategi TI perusahaan. Dalam proses outsourcing, perusahaan tidak boleh melupakan kenyataan bahwa TI berdampak pada bisnis secara signifikan dan bermanfaat bagi perusahaan. Auditor harus melakukan cek dari keseluruhan skenario TI perusahaan setelah outsourcing.
2.6. Audit I T Governance Meskipun semua masalah tata kelola IT penting bagi organisasi, tidak semua dari masalah tersebut adalah mengenai hal pengendalian internal di bawah SOX yang berpotensi dapat mempengaruhi proses laporan keuangan. Dalam bab ini, kita mempertimbangkan tiga isu tata kelola TI yang ditangani oleh SOX dan kerangka pengendalian internal COSO. yaitu: a) Struktur organisasi fungsi IT b) Pusat Operasi Komputer c) Perencanaan pemulihan bencana Pembahasan pada masing-masing masalah ini, tata kelola dimulai dengan penjelasan tentang sifat risiko dan deskripsi pengendalian yang diperlukan untuk mengurangi risiko tersebut. Kemudian, tujuan audit disajikan, yang menetapkan apa yang perlu diverifikasi mengenai fungsi kontrol di tempat. Akhirnya, contoh tes kontrol yang ditawarkan yang menggambarkan bagaimana auditor dapat mengumpulkan bukti untuk memenuhi tujuan audit. Tes ini dapat dilakukan oleh auditor eksternal sebagai bagian dari layanan atestasi mereka atau dengan auditor internal (atau jasa konsultasi profesional) yang menyediakan bukti kepatuhan manajemen dengan SOX. Dalam hal ini , kita tidak membeda-bedakan dua jenis layanan.
Gambar 2.7 Hubungan Komponen Risiko Audit Pada bagan di atas, melalui pengendalian IT governance suatu auditor dapat menilai inherent risk dan control risk yang terdapat di dalam suatu perusahaan, inherent risk merupakan resiko bawaan yang melekat dengan menganggap bahwa suatu perusahaan tidak memiliki pengendalian internal, sedangkan control risk merupakan resiko yang timbul dari kesalahan-kesalahan yang tidak terdeteksi oleh pengendalian internal dan detection risk adalah resiko bahwa auditor tidak mendeteksi salah saji yang terjadi. Ketika auditor menilai pengendalian IT governance suatu perusahaan baik maka inherent risk dan control risk pada suatu IT governance perusahaan rendah, maka detection risk yang timbul akan tinggi karena auditor merasa bahwa pengendalian IT governance perusahaan tersebut sudah cukup baik sehingga auditor merasa tidak perlu melakukan pemeriksaan secara detail. Dari segi substantive test yang timbul juga menunjukan bahwa sampel yang di ambil akan memiliki ruang lingkup yang kecil yang bersifat hanya untuk meyakinkan saja,dan dijalankan oleh auditor yang memiliki pengalaman baru. Sedangkan ketika auditor menilai bahwa pengendalian IT governance suatu perusahaan buruk maka inherent dan control risk IT governance tersebut tinggi sehingga detection risk yang timbul menjadi rendah karena auditor merasa perlu melakukan pemeriksaan secara lebih mendalam untuk menemukan-menemukan misstatement. Dari segi pengujian substantive juga pengambilan sampel yang dilakukan luas serta dilakukan oleh auditor yang memiliki pengalaman yang cukup tinggi. Penerapan TI dalam organisasi perlu dikontrol karena investasi bidang TI relatif sangat mahal; meliputi biaya pengadaan/implementasi, biaya operasional, dan biaya pemeliharaan bahkan termasuk biaya untuk sistem-sistem yang tidak berhasil. Tata kelola TI juga diperlukan karena seringkali anggaran TI tersebar/terisolasi di berbagai satuan kerja organisasi. Selain itu, dampak kegagalan investasi bidang TI (risiko) berpotensi mematikan kelangsungan bisnis. Terdapat gejala-gejala tidak terkontrolnya TI yang dapat diidentifikasi sebagai berikut: a) Manajemen bisnis dan manajemen TI jarang atau tidak saling berkomunikasi b) Pimpinan unit TI tidak memahami kebutuhan bisnis c) Pimpinan unit bisnis tidak memahami potensi inovasi berbasis TI d) Pimpinan unit bisnis tidak memiliki rasa memiliki terhadap inisiatif TI e) Pengelolaan TI terlalu birokratis dan lambat untuk mengakomodasi kebutuhan bisnis f) Implementasi-implementasi TI sering gagal dalam memenuhi kebutuhan bisnis atau terlambat dalam penyelesaiannya dan melampaui anggaran yang disediakan g) Risiko pemanfaatan TI tidak dipahami atau dikelola secara efektif sebagai bagian dari risiko bisnis h) Kegagalan unit TI organisasi untuk mematuhi ketentuan regulator atau kontrak dengan penggunanya i) Tolok ukur keberhasilan unit TI dipandang tidak ada artinya bagi unit bisnis pengguna. Kurangnya kontrol terhadap pengelolaan TI dapat diakibatkan oleh keengganan eksekutif bisnis yang memandang bahwa TI adalah bagian terpisah dari fungsi bisnis, yaitu hanya dianggap sebagai dukungan teknis terhadap proses bisnis; atau dapat pula dianggap terlalu teknis untuk dibahas oleh level eksekutif bisnis. Perlu disadari bahwa pemanfaatan TI akan sulit berhasil tanpa adanya komitmen dari pimpinan bisnis. Lima fokus utama dalam tata kelola TI adalah: a) Strategic Alignment: harmonisasi antara kemampuan TI organisasi dengan tuntutan bisnis organisasi. b) Value Delivery: penciptaan solusi TI yang bernilai tambah bagi organisasi. c) Risk Management: pengelolaan risiko penerapan TI sebagai risiko bisnis organisasi. d) Resource Management: pengelolaan aset TI organisasi secara tepat guna. e) Performance Measurement: penyempurnaan layanan melalui pengukuran kinerja layanan TI.
BAB III PEMBAHASAN
3.1 IT Governance Weill dan Ross (2004:2) mendefenisikan IT Governance sebagai keputusan-keputusan yang diambil, yang memastikan adanya alokasi penggunaan TI dalamstrategi-strategi organisasi yang bersangkutan. IT Governance merefleksikan adanya penerapan prinsip-prinsip organisasi dengan memfokuskan pada kegiatan manajemendan penggunaan TI untuk pencapaian organisasi. Dengan demikian, IT governance pada intinya mencakup pembuatan keputusan, akuntabilitas pelaksanaan kegiatan penggunaan TI, siapa yang mengambil keputusan, dan memanaje proses pembuatandan pengimplementasian keputusan-keputusan yang berkaitan dengan TI. Contoh bidang cakupan IT governance sektor publik adalah keputusan pemerintah yangmenentukan siapa yang memiliki wewenang dan tanggungjawab dalam pembuatankeputusan tentang berapa jumlah investasi yang dapat dilakukan pada sektor publik Xdengan memanfaatkan TI.
3.1.2 Tujuan IT Governance
IT Governance bertujuan untuk mengarahkan IT dan memastikan pencapaian kinerja sesuai dengan tujuan yang diinginkan, antara lain : a) IT menjadi searah dengan perusahaan dan manfaat yang dijanjikan dapat terealisasi b) IT memungkinkan perusahaan memanfaatkan peluang dan memaksimalkan keuntungan. c) Sumber daya IT digunakan secara bertanggung jawab d) IT berkaitan erat dengan resiko yang harus diatur dengan baik.
3.1.3 Proses IT Governance Proses IT Governance dimulai dengan menentukan sasaran untuk IT perusahaan, menyediakan petunjuk awal. Setelah itu, perulangan secara berkelanjutan dibentuk; kinerja diukur dan dibandingkan dengan sasaran awal, menghasilkan arahan kembali dari aktivitas yang diperlukan dan perubahan sasaran yang sesuai. Ketika sasaran menjadi tanggung jawab utama dan ukuran kinerja manajemen, itu jelas harus dikembangkan dengan perencanaan yang baik sehingga sasaran dapat terjangkau dan ukuran menggambarkan sasaran dengan tepat 3.1.4 Tata Kelola IT Tata kelola TI suatu perusahaan sangat terkait dengan tanggung jawab dan tindakan pengurus dan manajemen eksekutif (CIOs). Mereka bertanggung jawab terhadap arah strategi perusahaan, memastikan bahwa tujuan perusahaan dapat tercapai dan berbagai sumber daya perusahaan telah dimanfaatkan dengan tepat. Tata kelola TI membutuhkan pengaturan yang tepat untuk memadukan strategi TI dan pemanfaatan sumberdaya TI guna memberikan keuntungan yang kompetitif bagi perusahaan. Sederhananya, tata kelola TI menggunakan prinsip-prinsip tata kelola perusahaan terhadap departemen TI. Menyadari bahwa TI terkait dengan semua aspek bisnis perusahaan, maka tata kelola TI harus dilihat sama nilai pentingnya dengan standar pengelolaan bisnis. Tata kelola TI yang efektif mampu menghasilkan keuntungan-keuntungan bisnis yang nyata misalnya reputasi, kepercayaan, dan pangsa pasara. Hal itu mampu menurunkan resiko manajemen. Perkembangan bisnis yang sangt cepat dewasa ini seringkali membutuhkan pengambilan keputusan yang juga cepat, yang berdasarkan pada data penjualan dan kecenderungan pasar. Keputusan-keputusan itu tidak bisa dibuat jika sistem yang menyediakan data dan informasi tersebut tidak berjalan baik. Selain itu, karyawan yang sering kali membrowsing situs web yang tidak sesuai dengan tanggungjawab pekerjaannya atau mengirim e-mail yang aneh-aneh misalnya justru dapat secara dramatis berdampak terhadap reputasi perusahaan selama bertahun-tahun. Semakin tinggi kebutuhan (demand) akan informasi tentunya produksi perangkat teknologi informasi juga akan meningkat. Vendor-vendor teknologi berlomba-lomba mengembangkan produknya dengan segala keunggulan teknologi dan harga yang kompetitif. Disisi pengguna baik individu maupun korporasi, tentunya ada hal positif yang dapat diambil dari persaingan vendor diatas, diantaranya adalah banyak pilihan yang dapat disesuaikan dengan anggaran yang ada. Disisi korporasi, tentunya perubahan yang cepat terhadap teknologi informasi bisa berimpact positif dan negatif. Over investment adalah hal negatif yang dapat terjadi jika korporasi salah dalam menetapkan, menjalankan maupun menjaga strategi bisnisnya sejalan dengan perkembangan teknologi informasi.Impact positif akan didapatkan hanya jika korporasi dapat menetapkan, menjalankan maupun menjaga strategi bisnisnya sejalan dengan perkembangan teknologi informasi.Disinilah muncul terminologi Tata kelola IT (IT Governance) yang banyak dibicarakan oleh korporasi maupun institusi pemerintah. Tata kelola IT (IT Governance) sangat diperlukan diantaranya untuk tetap menjaga investasi, meningkatkan daya saing (memberikan nilai tambah), serta menjaga keberlangsungan bisnis/usaha/pemerintahan. COBIT adalah kerangka tata kelola IT (IT Governace framework) yang banyak dipakai oleh praktisi. 3.1.5 Identifikasi IT Process Planning : Pada tahap planning ini, kita melakukan identifikasi target ,identifikasi Risk business process, identifikasi dan pemahaman prosedure dan regulasi yang berlaku di organisasi, membuat report target dari tahapan audit methodolgy yang ingin diraih dan langkah terakhir meminta persetujuan report dari management. Discovery : Tahap discovery ini, kita melakukan observasi terhadap metode planning yang telah kita buat dan disetujui oleh management organisasi. Tahapan ini merangkum semua informasi yang dapat diperoleh dari hasil observasi tahapan planning, yang nantinya informasi tersebut berguna untuk tahapan berikutnya. Vulnerability Analysis : Setelah melakukan observasi dan mendapatkan kecukupan informasi yang sesuai dengan tahapan planning, maka tahapan ini lebih berfokus kepada analisa, membandingkan dan melakukan opini kemudian memberikan action kepada tindakan seperlunya. Perbandingan pada tahapan ini dilakukan dengan mengacu kepada standar IT yang berlaku umum [ COBIT / CISA ]. Reporting : Tahapan akhir dari methodology Audit. Report yang dihasilkan setelah melakukan perbaikan terhadap tahapan vulnerability analysis, dan melakukan testing. Hasil perbaikan dari tahapan vulnerability analysis dan hasil testing akan terangkum dalam suatu report.
3.1.6 Good Governance Kunci utama memahami good governance adalah pemahaman atas prinsip-prinsip di dalamnya. Bertolak dari prinsip-prinsip ini akan didapatkan tolak ukur kinerja suatu pemerintahan. Baik-buruknya pemerintahan bisa dinilai bila ia telah bersinggungan dengan semua unsur prinsip-prinsip good governance. Menyadari pentingnya masalah ini, prinsip-prinsip good governance diurai satu persatu sebagaimana tertera di bawah ini: 1) Partisipasi Masyarakat Semua warga masyarakat mempunyai suara dalam pengambilan keputusan, baik secara langsung maupun melalui lembaga-lembaga perwakilan sah yang mewakili kepentingan mereka. Partisipasi menyeluruh tersebut dibangun berdasarkan kebebasan berkumpul dan mengungkapkan pendapat, serta kapasitas untuk berpartisipasi secara konstruktif. 2) Tegaknya Supremasi Hukum Kerangka hukum harus adil dan diberlakukan tanpa pandang bulu, termasuk di dalamnya hukum-hukum yang menyangkut hak asasi manusia. 3) Transparansi Tranparansi dibangun atas dasar arus informasi yang bebas. Seluruh proses pemerintahan, lembaga-lembaga dan informasi perlu dapat diakses oleh pihak-pihak yang berkepentingan, dan informasi yang tersedia harus memadai agar dapat dimengerti dan dipantau. 4) Peduli pada Stakeholder Lembaga-lembaga dan seluruh proses pemerintahan harus berusaha melayani semua pihak yang berkepentingan. 5) Berorientasi pada Konsensus Tata pemerintahan yang baik menjembatani kepentingan-kepentingan yang berbeda demi terbangunnya suatu konsensus menyeluruh dalam hal apa yang terbaik bagi kelompok-kelompok masyarakat, dan bila mungkin, konsensus dalam hal kebijakan-kebijakan dan prosedur-prosedur. 6) Kesetaraan Semua warga masyarakat mempunyai kesempatan memperbaiki atau mempertahankan kesejahteraan mereka. 7) Efektifitas dan Efisiensi Proses-proses pemerintahan dan lembaga-lembaga membuahkan hasil sesuai kebutuhan warga masyarakat dan dengan menggunakan sumber-sumber daya yang ada seoptimal mungkin. 8) Akuntabilitas Para pengambil keputusan di pemerintah, sektor swasta dan organisasi-organisasi masyarakat bertanggung jawab baik kepada masyarakat maupun kepada lembaga- lembaga yang berkepentingan. Bentuk pertanggung jawaban tersebut berbeda satu dengan lainnya tergantung dari jenis organisasi yang bersangkutan. 9) Visi Strategis Para pemimpin dan masyarakat memiliki perspektif yang luas dan jauh ke depan atas tata pemerintahan yang baik dan pembangunan manusia, serta kepekaan akan apa saja yang dibutuhkan untuk mewujudkan perkembangan tersebut. Selain itu mereka juga harus memiliki pemahaman atas kompleksitas kesejarahan, budaya dan sosial yang menjadi dasar bagi perspektif tersebut.
3.2 COBIT (Control Objective for Information and related Tecnology) 3.2.1 COBIT COBIT adalah suatu metodologi yang memberikan kerangka dasar dalam menciptakan sebuah TI yang sesuai dengan kebutuhan organisasi. Tujuan COBIT adalah menyediakan model dasar yang memungkinkan pengembangan aturan yang jelas dan praktek yang baik dalam mengontrol informasi dalam suatu organisasi/perusahaan dalam mencapai tujuannya. Control Objectives for Information and related Technology adalah sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen dan pengguna untuk menjembatani gap antara resiko bisnis, kebutuhan control dan permasalahan-permasalahan teknis. COBIT dikembangkan oleh IT Governance Institute, yang merupakan bagian dari Information dari Information Systems Audit and Control Association (ISACA). COBIT memberikan arahan yang berorientasi pada bisnis, dank arena itu diharapkan dapat memanfaatkan guideline ini dengan sebaik-baiknya. COBIT adalah suatu framework untuk membangun suatu IT Governance. Dengan mengacu pada framework COBIT, suatu organisasi diharapkan mampu menerapkan IT governance dalam pencapaian tujuannya IT governance mengintegrasikan cara optimal dari proses perencanaan dan pengorganisasian, pengimplementasian, dukungan serta proses pemantauan kinerja TI. COBIT dapat digunakan sebagai tools yang digunakan untuk mengefektifkan implementasi IT Governance, yakni sebagai management guideline dengan menerapkan seluruh domain yang terdapat dalam COBIT, yakni planning-organization (PO), azquisition- implementation (AI), Delivery-support (DS) dan Monitoring (M).
3.2.2 Kegunaan COBIT COBIT memiliki fungsi untuk: o Meningkatkan pendekatan/program audit o Mendukung audit kerja dengan arahan audit secara rinci o Memberikan petunjuk untuk IT governance o Sebagai penilaian benchmark untuk kendali IS/IT o Meningkatkan control IS/IT o Sebagai standarisasi pendekatan/program audit
3.2.3 Perusahaan dan IT Governance IT Governance menyediakan suatu stuktur yang berhubungan dengan proses TI, sumberdaya TI dan informasi untuk strategi dan tujuan perusahaan. Cara mengintegrasikan IT Governance dan optimalisasi perusahaan yaitu melalui perencanaan dan pengorganisasian (PO), akuisisi dan implementasi (AI), penyampaian dan dukungan (DS), dan pengawasan (M) kinerja TI.
IT Governance merupakan bagian terintegrasi bagi kesuksesan pengaturan perusahaan dengan jaminan efisiensi dan efektivitas perbaikan pengukuran dalam kaitan dengan proses perusahaan. IT Governance memungkinkan perusahaan untuk memperoleh keunggulan penuh terhadap informasi, keuntungan yang maksimal, modal, peluang dan keunggulan kompetitif dalam bersaing.
Pengaturan perusahaan (enterprise governance) dan sistem oleh entitas diarahkan dan dikendalikan, melalui kumpulan dan arahan IT Governance. Pada saat yang sama, TI dapat menyediakan masukan kritis, dan merupakan komponen penting bagi perencanaan strategis. Pada kenyataannya TI dapat mempengaruhi peluang strategis yang ditetapkan oleh perusahaan. Aktivitas perusahaan membutuhkan informasi dari aktivitas TI dengan maksud untuk mempertemukan tujuan bisnis. Jaminan kesuksesan organisasi diakibatkan oleh adanya saling ketergantungan antara perencanaan strategis dan aktivitas TI lainnya.
Kegiatan perusahaan perlu informasi dari kegiatan TI agar dapat mengintegrasikan tujuan bisnis. Siklus pengaturan perusahaan dapat dijelaskan sebagai berikut : pengaturan perusahaan ditentukan oleh praktek terbaik yang secara umum dapat diterima untuk menjamin perusahaan mencapai tujuannya, melalui pengendalian tertentu. Dari tujuan-tujuan ini mengalir arahan organisasi, yang mengatur kegiatan atau aktivitas perusahaan dengan menggunakan sumberdaya perusahaan. Hasil kegiatan atau aktivitas perusahaan diukur dan dilaporkan, memberikan masukan bagi pengendalian, demikian seterusnya, kembali ke awal siklus.
Siklus pengaturan TI dapat dijelaskan sebagai berikut : pengaturan TI, di tentukan oleh praktek terbaik yang menjamin informasi perusahaan dan teknologi terkait mendukung tujuan bisnisnya, sumberdaya digunakan dengan tanggung jawab dan resiko diatur secara memadai. Praktek tersebut membentuk dasar arahan kegiatan TI yang dapat dikelompokan kedalam PO, AI, DS dan M, dengan tujuan untuk pengaturan (memperoleh keamanan, keandalan dan pemenuhan) dan mendapat keuntungan (meningkatkan efektivitas, dan efisiensi). Laporan dikeluarkan melalui hasil kegiatan atau aktivitas TI, yang diukur dari praktek dan pengendalian yang bervariasi, demikian seterusnya, kembali ke awal siklus. Agar menjamin manajemen mencapai tujuan bisnisnya, maka harus mengatur dan mengarahkan kegiatan TI dalam mencapai keseimbangan yang efektif antara mengatur resiko dan mendapatkan keuntungan. Untuk melaksanakannya, manajemen perlu mengidentifikasikan kegiatan terpenting. Selain itu, perlu juga kemampuan mengevaluasi tingkat kesiapan organisasi terhadap praktek terbaik dan standar internasional.
BAB 4 PENUTUP 4.1 Simpulan Dari penulisan ini, dapat disimpulkan : a) Cobit adalah suatu standar audit SI yang diterima secara internasional. b) Audit SI sangat penting untuk mencapai tujuan perusahaan. c) IT sangat dibutuhkan untuk keuntungan kompetitif dan pertumbuhan perusahaan. d) Manajemen bertanggung jawab untuk kontrol IT. e) Tanggung jawab itu memerlukan suatu kerangka o Kebutuhan bisnis dapat dinyatakan sebagai kriteria informasi. o IT biasanya diorganisir dalam seperangkat proses. o IT memerlukan sejumlah sumber daya
4.2 Saran Untuk audit system informasi dilakukan dengan menggunakan framework COBIT merupakan salah satu alat bantu yang dapat digunakan dalam melakukan audit dan telah mendapat pengakuan cukup baik di dunia internasional. Suatu perencanaan audit system informasi berbasis teknologi (audit TI) oleh internal auditor, dapat dimulai dengan menentukan area-area yang relevan dan beresiko paling tinggi, melalui analisa atas ke-34 proses tersebut. Sementara untuk kebutuhan penugasan tertentu, misalnya audit atas proyek TI, dapat dimulai dengan memilih proses yang relevan dari proses-proses tersebut.
DAFTAR PUSTAKA Alter, Steven. 1999. Information System : A managerial perspective, 3 rd edition. Addison. Wesley. USA
COBIT - Wikipedia (http://en.wikipedia.org/)
Gondodiyoto, S. (2007). Audit Sistem Informasi + Pendekatan CobIT. Jakarta: Mitra Wacana Media. IT-Governance - scribd (www.scribd.com/doc/80926158/IT-Governance)
McLeod Jr.R. 1996. Sistem Informasi Manajemen, Jilid 1, edisi Bahasa Indonesia. Terjemahan Teguh,H. Prenhallindo, Jakarta.
Perancangan Tata Kelola Teknologi Informasi Di Pt. Industri Telekomunikasi Indonesia (Inti) Menggunakan Framework Cobit 5 Pada Domain Align, Plan, and Organize (Apo) PDF