Audit Sistem Informasi

Konsep Dasar Audit

Kata Audit berasal dari bahasa Latin Audire (B.N.Tandon, 2000, p.l) yang
berarti mendengar, yaitu pada jaman dahulu apabila seorang pemilik usaha
merasa ada suatu kesalahan / penyalahgunaan, maka ia akan mendengarkan
kesaksian orang tertentu. Dengan menunjuk orang tertentu sebagai auditor yang
akan memeriksa akun perusahaan dan menyatakan pendapat mengenai akun
perusahaan tersebut serta menerbitkan laporan.

Audit sesungguhnya dilakukan untuk mengevaluasi apakah kegiatan kerja atau

kinerja suatu organisasi sudah sesuai dengan yang direncanakan, sudah efektif,
efisien, sesuai dengan pedoman standar produktivitas yang direncanakan.

Pada dasarnya Audit merupakan proses sistematis dan objektif dalam

memperoleh dan mengevaluasi bukti-bukti tindakan ekonomi, guna memberikan
asersi dan menilai seberapa jauh tindakan ekonomi sudah sesuai dengan kriteria
berlaku, dan mengkomunikasikan hasilnya kepada pihak terkait.

Pada umumnya terdapat tiga jenis Audit yaitu :

- Audit Keuangan

- Audit Operasional / Manajemen

- Audit Sistem Informasi

2.2. Pengertian Audit Sistem Informasi

Ron Weber (1999,10) mengemukakan bahwa audit sistem informasi adalah :

Information systems auditing is the process of collecting and evaluating
evidence to determine whether a computer system safeguards assets, maintains
data integrity, allows organizational goals to be achieved effectively, and uses
resources efficiently.

Audit sistem informasi adalah proses pengumpulan dan penilaian bukti - bukti
untuk menentukan apakah sistem komputer dapat mengamankan aset,
memelihara integritas data, dapat mendorong pencapaian tujuan organisasi
secara efektif dan menggunakan sumberdaya secara efisien.

Ada beberapa aspek yang diperiksa pada audit sistem informasi:

- Audit secara keseluruhan menyangkut : efektifitas, efisiensi, availability

system, reliability, confidentiality, dan integrity, serta aspek security.

- Selanjutnya adalah audit atas proses, modifikasi program, audit atas sumber
data, dan data file.

Proses audit sistem informasi dilakukan berdasarkan prosedur melalui tahap-

tahap sebagai berikut :
a. Perencanaan Audit (Planning The Audit)

b. Pengujian Pengendalian (Test Of Controls)

c. Pengujian Transaksi (Test Of Transaction)

d. Pengujian Keseimbangan atau Keseluruhan Hasil (Tests Of Balances or Overal

Result)

e. Penyelesaian / Pengakhiran Audit (Completion Of The Audit)

Berikut penjelasan dari tahap-tahap Audit :

a. Perencanaan Audit (Planning The Audit)

Perencanaan merupakan fase pertama dari kegiatan audit, bagi auditor eksternal
hal ini artinya adalah melakukan investigasi terhadap klien untuk mengetahui
apakah pekerjaan mengaudit dapat diterima, menempatkan staff audit,
menghasilkan perjanjian audit, menghasilkan informasi latar belakang klien,
mengerti tentang masalah hukum klien dan melakukan analisa tentang prosedur
yang ada untuk mengerti tentang bisnis klien dan mengidentifikasikanresiko
audit.

b. Pengujian Pengendalian (Test Of Controls)

Auditor melakukan kontrol test ketika mereka menilai bahwa kontrol resiko
berada pada level kurang dari maksimum, mereka mengandalkan kontrol
sebagai dasar untuk mengurangi biaya testing. Sampai pada fase ini auditor
tidak mengetahui apakah identifikasi kontrol telah berjalan dengan efektif, oleh
karena itu diperlukan evaluasi yang spesifik.

c. Pengujian Transaksi (Test Of Transaction)

Auditor menggunakan test terhadap transaksi untuk mengevaluasi apakah

kesalahan atau proses yang tidak biasa terjadi pada transaksi yang
mengakibatkan kesalahan pencatatan material pada laporan keuangan. Tes
transaksi ini termasuk menelusuri jurnal dari sumber dokumen, memeriksa file
dan mengecek keakuratan.

d. Pengujian Keseimbangan atau Keseluruhan Hasil (Tests Of Balances or Overal

Result)

Untuk mengetahui pendekatan yang digunakan pada fase ini, yang harus
diperhatikan adalah pengamatan harta dan kesatuan data. Beberapa jenis
subtantif tes yang digunakan adalah konfirmasi piutang, perhitungan fisik
persediaan dan perhitungan ulang aktiva tetap.

e. Penyelesaian / Pengakhiran Audit (Completion Of The Audit)

Pada fase akhir audit, eksternal audit akan menjalankan beberapa test
tambahan terhadap bukti yang ada agar dapat dijadikan laporan.
Lingkup Audit Sistem Informasi pada umumnya difokuskan kepada seluruh
sumber daya sistem informasi yang ada, yaitu Aplikasi, Informasi, Infrastruktur
dan Personil.

2.3. Tujuan Audit Sistem Informasi

Tujuan Audit Sistem Informasi dapat dikelompokkan ke dalam dua aspek utama
dari ketatakelolaan IT, yaitu :

a. Conformance (Kesesuaian) Pada kelompok tujuan ini audit sistem

informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian,
yaitu : Confidentiality (Kerahasiaan), Integrity (Integritas), Availability
(Ketersediaan) dan Compliance (Kepatuhan).

b. Performance (Kinerja) Pada kelompok tujuan ini audit sistem informasi

difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu :
Effectiveness (Efektifitas), Efficiency (Efisiensi), Reliability (Kehandalan).

Tujuan audit sistem informasi menurut Ron Weber tujuan audit yaitu :

1. Mengamankan asset

2. Menjaga integritas data

3. Menjaga efektivitas sistem

4. Mencapai efisiensi sumberdaya.

Keempat tujuan tersebut dapat dijelaskan sebagai berikut :

Mengamankan aset, aset (activa) yang berhubungan dengan instalasi sistem

informasi mencakup: perangkat keras (hardware), perangkat lunak (software),
manusia (people), file data, dokumentasi sistem, dan peralatan pendukung
lainnya.

Sama halnya dengan aktiva - aktiva yang lain, maka aktiva ini juga perlu
dilindungi dengan memasang pengendalian internal. Perangkat keras dapat
rusak karena unsur kejahatan atau sebab-sebab lain. Perangkat lunak dan isi file
data dapat dicuri. Peralatan pendukung dapat digunakan untuk tujuan yang tidak
diotorisasi.

Menjaga integritas data, integritas data merupakan konsep dasar audit sistem
informasi. Integritas data berarti data memiliki atribut: kelengkapan, baik dan
dipercaya, kemurnian, dan ketelitian. Tanpa menjaga integritas data, organisasi
tidak dapat memperlihatkan potret dirinya dengan benar atau kejadian yang ada
tidak terungkap seperti apa adanya. Akibatnya, keputusan maupun langkah-
langkah penting di organisasi salah sasaran karena tidak didukung dengan data
yang benar. Meskipun demikian, perlu juga disadari bahwa menjaga integritas
data tidak terlepas dari pengorbanan biaya. Oleh karena itu, upaya untuk
menjaga integritas data, dengan konsekuensi akan ada biaya prosedur
pengendalian yang dikeluarkan harus sepadan dengan manfaat yang
diharapkan.

Menjaga efektivitas sistem, sistem informasi dikatakan efektif hanya jika

sistem tersebut dapat mencapai tujuannya. Untuk menilai efektivitas sistem,
perlu upaya untuk mengetahui kebutuhan pengguna sistem tersebut (user).
Selanjutnya, untuk menilai apakah sistem menghasilkan laporan atau informasi
yang bermanfaat bagi user (misalnya pengambil keputusan), auditor perlu
mengetahui karakteristik user berikut proses pengambilan keputusannya.
Biasanya audit efektivitas sistem dilakukan setelah suatu sistem berjalan
beberapa waktu. Manajemen dapat meminta auditor untuk melakukan post audit
guna menentukan sejauh mana sistem telah mencapai tujuan yang telah
ditetapkan. Evaluasi ini akan memberikan masukan bagi pengambil keputusan
apakah kinerja sistem layak dipertahankan; harus ditingkatkan atau perlu
dimodifikasi; atau sistem sudah usang, sehingga harus ditinggalkan dan dicari
penggantinya

Audit efektivitas sistem dapat juga dilaksanakan pada tahap perencanaan

sistem (system design). Hal ini dapat terjadi jika desainer sistem mengalami
kesulitan untuk mengetahui kebutuhan user, karena user sulit mengungkapkan
atau mendeskripsikan kebutuhannya. Jika sistem bersifat komplek dan besar
biaya penerapannya, manajemen dapat mengambil sikap agar sistem dievaluasi
terlebih dahulu oleh pihak yang independen untuk mengetahui apakah
rancangan sistem sudah sesuai dengan kebutuhan user. Melihat kondisi seperti
ini, auditor perlu mempertimbangkan untuk melakukan evaluasi sistem dengan
berfokus pada kebutuhan dan kepentingan manajemen.

Mencapai efisiensi sumberdaya, suatu sistem sebagai fasilitas pemrosesan

informasi dikatakan efisien jika ia menggunakan sumberdaya seminimal mungkin
untuk menghasilkan output yang dibutuhkan. Pada kenyataannya, sistem
informasi menggunakan berbagai sumberdaya, seperti mesin, dan segala
perlengkapannya, perangkat lunak, sarana komunikasi dan tenaga kerja yang
mengoperasikan sistem tersebut. Sumberdaya seperti ini biasanya sangat
terbatas adanya. Oleh karena itu, beberapa kandidat sistem (system alternatif)
harus berkompetisi untuk memberdayakan sumberdaya yang ada tersebut.

Adapun tujuan yang lain adalah :

1. Untuk memeriksa kecukupan dari pengendalian lingkungan, keamanan fisik,

keamanan logikal serta keamanan operasi sistem informasi yang dirancang
untuk melindungi piranti keras, piranti lunak dan data terhadap akses yang tidak
sah, kecelakaan, perubahan yang tidak dikehendaki.

2. Untuk memastikan bahwa sistem informasi yang dihasilkan benar-benar

sesuai dengan kebutuhan sehingga bisa membantu organisasi untuk mencapai
tujuan strategis.

2.4. Perlunya Pengendalian dan Audit

Semenjak komputer menjadi alat utama dalam pemrosesan data dan penyediaan
informasi untuk berbagai keputusan, maka sangat perlu bagi pengguna sistem
informasi berbasis komputer untuk mengendalikan pemakaian sistem pengolah
data berbasis komputer tersebut secara lebih baik. Beberapa alasan untuk
manajemen memerlukan sebuah Audit Sistem Informasi, yaitu antara lain adalah
sebagai berikut:

a. Kerugian akibat kehilangan data.

Data yang diolah menjadi sebuah informasi, merupakan aset penting dalam
organisasi bisnis saat ini. Banyak aktivitas operasi mengandalkan beberapa
informasi yang penting. Informasi sebuah organisasi bisnis akan menjadi sebuah
potret atau gambaran dari kondisi organisasi tersebut di masa lalu, kini dan
masa mendatang. Jika informasi ini hilang akan berakibat cukup fatal bagi
organisasi dalam menjalankan aktivitasnya.

Sebagai contoh adalah jika data nasabah sebuah bank hilang akibat rusak, maka
informasi yang terkait akan hilang, misalkan siapa saja nasabah yang
mempunyai tagihan pembayaran kredit yang telah jatuh tempo. Atau juga
misalkan kapan bank harus mempersiapkan pembayaran simpanan deposito
nasabah yang akan jatuh tempo beserta jumlahnya. Sehingga organisasi bisnis
seperti bank akan benar-benar memperhatikan bagaimana menjaga keamanan
datanya.

Kehilangan data juga dapat terjadi karena tiadanya pengendalian yang

memadai, seperti tidak adanya prosedur back-up file. Kehilangan data dapat
disebabkan karena gangguan sistem operasi pemrosesan data, sabotase, atau
gangguan karena alam seperti gempa bumi, kebakaran atau banjir.

b. Kerugian akibat kesalahan pemrosesan komputer.

Pemrosesan komputer menjadi pusat perhatian utama dalam sebuah sistem

informasi berbasis komputer. Banyak organisasi telah menggunakan komputer
sebagai sarana untuk meningkatkan kualitas pekerjaan mereka. Mulai dari
pekerjaan yang sederhana, seperti perhitungan bunga berbunga sampai
penggunaan komputer sebagai bantuan dalam navigasi pesawat terbang atau
peluru kendali. Dan banyak pula di antara organisasi tersebut sudah saling
terhubung dan terintegrasi. Akan sangat mengkhawatirkan bila terjadi kesalahan
dalam pemrosesan di dalam komputer. Kerugian mulai dari tidak dipercayainya
perhitungan matematis sampai kepada ketergantungan kehidupan manusia.

c. Pengambilan keputusan yang salah akibat informasi yang salah.

Kualitas sebuah keputusan sangat tergantung kepada kualitas informasi

yang disajikan untuk pengambilan keputusan tersebut. Tingkat akurasi dan
pentingnya sebuah data atau informasi tergantung kepada jenis keputusan yang
akan diambil. Jika top manajer akan mengambil keputusan yang bersifat
strategik, mungkin akan dapat ditoleransi berkaitan dengan sifat keputusan yang
berjangka panjang. Tetapi kadangkala informasi yang menyesatkan akan
berdampak kepada pengambilan keputusan yang menyesatkan pula.
d. Kerugian karena penyalahgunaan komputer (Computer Abused)

Tema utama yang mendorong perkembangan dalam audit sistem

informasi dalam sebuah organisasi bisnis adalah karena sering terjadinya
kejahatan penyalahgunaan komputer. Beberapa jenis tindak kejahatan dan
penyalah-gunaan komputer antara lain adalah virus, hacking, akses langsung
yang tak legal (misalnya masuk ke ruang komputer tanpa ijin atau menggunakan
sebuah terminal komputer dan dapat berakibat kerusakan fisik atau mengambil
data atau program komputer tanpa ijin) dan atau penyalahgunaan akses untuk
kepentingan pribadi (seseorang yang mempunyai kewenangan menggunakan
komputer tetapi untuk tujuan-tujuan yang tidak semestinya).

- Hacking - seseorang yang dengan tanpa ijin mengakses sistem komputer

sehingga dapat melihat, memodifikasi, atau menghapus program komputer atau
data atau mengacaukan sistem.

- Virus virus adalah sebuah program komputer yang menempelkan diri dan
menjalankan sendiri sebuah program komputer atau sistem komputer di sebuah
disket, data atau program yang bertujuan mengganggu atau merusak jalannya
sebuah program atau data komputer yang ada di dalamnya. Virus dirancang
dengan dua tujuan, yaitu pertama mereplikasi dirinya sendiri secara aktif dan
kedua mengganggu atau merusak sistem operasi, program atau data.

Dampak dari kejahatan dan penyalahgunaan komputer tersebut antara lain:

Hardware, software, data, fasilitas, dokumentasi dan pendukung lainnya rusak

atau hilang dicuri atau dimodifikasi dan disalahgunakan.

Kerahasiaan data atau informasi penting dari orang atau organisasi rusak atau
hilang dicuri atau dimodifikasi.

Aktivitas operasional rutin akan terganggu.

Kejahatan dan penyalahgunaan komputer dari waktu ke waktu semakin

meningkat, dan hampir 80% pelaku kejahatan komputer adalah orang dalam.

e. Nilai hardware, software dan personil sistem informasi

Dalam sebuah sistem informasi, hardware, software, data dan personil adalah
merupakan sumberdaya organisasi. Beberapa organisasi bisnis mengeluarkan
dana yang cukup besar untuk investasi dalam penyusunan sebuah sistem
informasi, termasuk dalam pengembangan sumberdaya manusianya. Sehingga
diperlukan sebuah pengendalian untuk menjaga investasi di bidang ini.

f. Pemeliharaan kerahasiaan informasi

Informasi di dalam sebuah organisasi bisnis sangat beragam, mulai data

karyawan, pelanggan, transaksi dan lainya adalah amat riskan bila tidak dijaga
dengan benar. Seseorang dapat saja memanfaatkan informasi untuk
disalahgunakan. Sebagai contoh bila data pelanggan yang rahasia, dapat
digunakan oleh pesaing untuk memperoleh manfaat dalam persaingan.
2.5. Teknik Audit

Ada beberapa teknik audit untuk mengetes automated control. Auditor dapat
menggunakan tiga kategori berikut dalam menguji pengendalian biasa juga
disebut sebagai teknik audit berbantuan computer / TABK (Computer Assisted
Audit Techniques/CAAT) yang terdiri atas:

a. Auditing Around the Computer

Dengan teknik ini auditor menguji reliability dari computer generated

information dengan terlebih dahulu menghitung hasil yang diinginkan dari
transaksi yang dimasukkan dalam sistem, dan kemudian membandingkan hasil
perhitungan dengan hasil proses atau output. Jika terbukti akurat dan valid,
maka diasumsikan bahwa sistem pengendalian berfungsi seperti yang
seharusnya. Kondisi ini cocok jika sistem aplikasi otomasi sederhana dan ringkas.
Pendekatan ini masih relevan dipakai di perusahaan yang menggunakan
software akuntansi yang bervariasi dan melakukan proses secara periodic.

b. Auditing With the Computer

Adalah auditing dengan pendekatan komputer, menggunakan teknik yang

bervariasi yang biasa juga disebut Computer Assisted Audit Technique (CAAT).
Penggunaan CAAT telah meningkatkan secara dramatis kapabilitas dan
efektifitas auditor, dalam melakukan susbstantif test. Salah satu CAAT yang
lazim dipakai adalah general audit software (GAS). GAS sering dipakai untuk
melakukan substantive test dan digunakan test of control yang terbatas. Sebagai
contoh GAS sering dipakai untuk mengetes fungsi algoritma yang komplek dalam
program komputer. Tetapi ini memerlukan pengalaman yang luas dalam
penggunaan software ini.

c. Audit Through the Computer

Teknik ini fokus pada testing tahapan pemrosesan computerised, logic program,
edit routines dan program controls. Pendekatan ini mengasumsikan bahwa jika
program pemrosesan dikembangkan dengan baik, dan memenuhi edit routines
dan programme check yang memadai, maka error dan kecurangan tidak akan
mudah terjadi tanpa terdeteksi.

2.6. Auditor

Auditor merupakan seseorang yang memiliki kualifikasi tertentu dalam

melakukan audit atas laporan keuangan dan kegiatan suatu perusahaan atau
organisasi. Seiring dengan perkembangan teknologi informasi maka berkembang
pulalah suatu keahlian dalam profesi auditor, yaitu auditor sistem informasi. Hal
ini didasari bahwa semakin banyak transaksi keuangan yang berjalan dalam
sebuah sistem komputer. Maka dari itu perlu dibangun sebuah kontrol yang
mengatur agar proses komputasi berjalan menjadi baik. Saat ini auditor sistem
informasi umumnya digunakan pada perusahaan-perusahaan besar yang
sebagian besar transaksi berjalan secara otomatis. Auditor sistem informasi
dapat berlatar belakang IT atau akuntansi tentunya dengan kelebihan dan
kekurangan masing-masing.

Pada umumnya terdapat tiga jenis auditor, yaitu:

a. Auditor Pemerintah adalah auditor yang bertugas melakukan audit pada

instansi-instansi pemerintah.

b. Auditor Intern merupakan auditor yang bekerja pada suatu perusahaan dan
oleh karenanya berstatus sebagai pegawai pada perusahaan tersebut. Tugas
utamanya ditujukan untuk membantu manajemen perusahaan tempat dimana ia
bekerja.

c. Auditor Independen atau Akuntan Publik adalah melakukan fungsi

pengauditan yang diterbitkan oleh perusahaan. Pengauditan ini dilakukan pada
perusahaan terbuka, yaitu perusahaan yang go public, perusahaan-perusahaan
besar dan juga perusahaan kecil serta organisasi-organisasi yang tidak bertujuan
mencari laba. Praktik akuntan publik harus dilakukan melalui suatu Kantor
Akuntan Publik (KAP).

Syarat-syarat yang harus dimiliki oleh seorang auditor, diantaranya :

a. Audit harus dilaksanakan oleh seorang atau lebih yang memilki

keahlian dan pelatihan teknis yang cukup sebagai auditor.

Dalam melaksanakan audit sampai pada suatu pernyataan pendapat, auditor

harus senantiasa bertindak sebagai seorang ahli dalam bidang auditing.
Pencapaian keahlian tersebut dimulai dari pendidikan formal ditambah dengan
pengalaman-pengalaman dalam praktik audit dan menjalani pelatihan teknis
yang cukup. Asisten junior yang baru masuk dalam karir auditing harus
memperoleh pengalaman profesionalnya dengan mendapatkan supervisi yang
memadai dan review atas pekerjaannya dari atasannya yang lebih
berpengalaman. Pelatihan yang dimaksudkan disini, mencakup pula pelatihan
kesadaran untuk secara terus-menerus mengikuti perkembangan yang terjadi
dalam bidang bisnis dan profesinya. Ia harus mempelajari, memahami, dan
menerapkan ketentuan-ketentuan baru dalam prinsip dan standar auditing yang
telah ditetapkan.

b. Dalam semua hal yang berhubungan dengan perikatan, independensi

dan sikap mental harus dipertahankan oleh auditor.

Standar ini mengharuskan seorang auditor bersikap independen, yang artinya

seorang auditor tidak mudah dipengaruhi, karena pekerjaannya untuk
kepentingan umum. Kepercayaan masyarakat umum atas independensi sikap
auditor independen sangat penting bagi perkembangan profesi akuntan publik.
Untuk menjadi independen, seorang auditor harus secara intelektual jujur.
Profesi akuntan publik telah menetapkan dalam Kode Etik Akuntan Indonesia,
agar anggota profesi menjaga dirinya dari kehilangan persepsi independensi dari
masyarakat. Independensi secara intrinsik merupakan masalah mutu pribadi,
bukan merupakan suatu aturan yang dirumuskan untuk dapat diuji secara
objektif.

c. Dalam pelaksanaan audit dan penyusunan laporannya, auditor wajib

menggunakan kemahiran profesionalnya dengan cermat dan seksama.
Penggunaan kemahiran profesional dengan cermat dan seksama menekankan
tanggung jawab setiap profesional yang bekerja dalam organisasi auditor. Selain
itu juga menyangkut apa yang dikerjakan auditor dan bagaimana kesempurnaan
pekerjaannya tersebut. Seorang auditor harus memiliki tingkat keterampilan
yang umumnya dimiliki oleh auditor pada umumnya dan harus menggunakan
keterampilan tersebut dengan kecermatan dan keseksamaan yang wajar.
Untuk itu, auditor dituntut untuk memiliki skeptisme profesional dan keyakinan
yang memadai dalam mengevaluasi bukti audit.

Berikut ini merupakan peran auditor, yaitu:

1. Perencanaan, Pengendalian dan Pencatatan. Auditor perlu

merencanakan, mengendalikan dan mencatat pekerjannya.

2. Sistem Pemrosesan Transaksi. Auditor harus mengetahui dengan pasti

sistem pencatatan dan pemrosesan transaksi dan menilai kecukupannya sebagai
dasar penyusunan laporan.

3. Bukti Audit. Auditor akan memperoleh bukti audit yang relevan dan reliable
untuk memberikan kesimpulan rasional.

4. Pengendalian Intern. Bila auditor berharap untuk menempatkan

kepercayaan pada pengendalian internal, hendaknya memastikan dan
mengevaluasi pengendalian itu dan melakukan compliance test.

5. Peninjauan Ulang Laporan. Auditor melaksanakan tinjau ulang laporan

yang relevan seperlunya, dalam hubungannya dengan kesimpulan yang diambil
berdasarkan bukti audit lain yang didapat, dan untuk memberi dasar rasional
atas pendapat mengenai laporan yang ada.

Pengertian EDP (Electronic Data Processing) - Pemrosesan data elektronik

(Inggris: electronic data processing disingkat EDP) adalah metode dalam suatu
pemrosesan data komersial. Sebagai bagian dari teknologi informasi, EDP
melakukan pemrosesan data secara berulang kali terhadap data yang sejenis
dengan bentuk pemrosesan yang relatif sederhana. Sebagai contoh,pemrosesan
data elektronis dipakai untuk pemutakhiran (update) stock dalam suatu daftar
barang (inventory), pemrosesan transaksi nasabah bank, pemrosesan booking
untuk tiket pesawat terbang, reservasi kamar hotel, pembuatan tagihan untuk
suatu jenis layanan, dll. Selain itu, Pengertian Electronic Data Processing ( EDP )
secara umum adalah penggunaan metode automatis dalam pengolahan data
komersil. Biasanya penggunaan edp ini relatif simple, aktivitas yg berulang untuk
memproses informasi dalam jumlah yg besar. Misalnya : update stok barang
untuk dimasukkan ke dalam inventaris, transaksi banking untuk dimasukkan ke
dalam account dan master file pelanggan, booking dan pemesanan tiket ke
system reservasi maskapai penerbangan, dll.

Pengertian EDP Auditing/Computer Auditing:

1. Electronic Data Processing (EDP) can refer to the use of automated

methods to process commercial data. Typically, this uses relatively simple,
repetitive activities to process large volumes of similar information. For
example: stock updates applied to an inventory, banking transactions
applied to account and customer master files, booking and ticketing
transactions to an airline's reservation system, billing for utility services.

2. Menurut Ron Weber, EDP auditing adalah proses mengumpulkan dan

menilai bukti untuk menentukan apakah sistsem computer mampu
mengamankan harta, memelihara kebenaran data maupun mencapai
tujuan organisasi perusahaan secara efektif dan menggunakan aktiva
perusahaan secara hemat.

3. Menurut Gallegos, Richardson dan Borthick: Computer auditing is the

evaluation of computer information systems, practices and operation to
assure the integrity of an entitys information. Include one or both of the
following:

o Assessment of internal controls within the CIS environment to

assure the validity, reliability and security of information

o Assessment of the efficiency and effectiveness of the CIS

environment in economic terms.

Metode audit EDP

1. Auditing-around the computer, yaitu pendekatan audit dengan

memperlakukan komputer sebagai kotak hitam, teknik ini tidak menguji
langkah langkah proses secara langsung, hanya berfokus pada input dan
output dari sistem computer. Kelemahannya:

o Umumnya data base mencakup jumlah data yang banyak dan sulit
untuk ditelusuri secara manual

o Tidak membuat auditor memahami sistem computer lebih baik

o Mengabaikan pengendalian sistem, sehingga rawan terhadap

kesalahan dan kelemahan potensial dalam system.
 o Lebih berkenaan dengan hal yang lalu dari pada audit yang
preventif

o Kemampuan computer sebagai fasilitas penunjang audit mubazir

o Tidak mencakup keseluruhan maksud dan tujuan audit.

2. Auditing-through the computer, pendekatan audit yang berorientasi

computer yang secara langsung berfokus pada operasi pemrosesan dalam
system computer dengan asumsi bila terdapat pengendalian yang
memadai dalam pemrosesan, maka kesalahan dan penyalahgunaan dapat
dideteksi.

3. Auditing-with the computer, menggunakan computer (audit software)

untuk membantu melaksanakan langkah langkah audit. Generalized Audit
Software Program (GASP) untuk substantive test.

Manfaat GASP:
a. memungkinkan auditor memiliki tingkat independensi yang tinggi
b. mengurangi keperluan tingkat keahlian computer dan pelatihan
c. dapat mengakses berbagai catatan klien tanpa program khusus
d. memungkinkan auditor mengendalikan pelaksanaan program
e. memanfaatkan kecepatan dan keakuratan computer

Kelemahan GASP:
a. dirancang untuk kemudahan implementasi tapi mengabaikan efisiensi
b. banyak GASP hanya berfungsi pada computer tertentu

Perbedaan sistem audit manual dan EDP:

1. Visibility
2. Sarana dan fasilitas
3. Personalia
4. Pemisahan tugas
5. Kemungkinan terjadinya kesalahan dan kecurangan
6. Meningkatnya supervisi manajemen
7. Pelaksanaan transaksi secara otomatis dengan computer

Sistem pengendalian intern dalam EDP

SPI meliputi rencana organisasi serta metode dan ketentuan yg terkoordinir
dalam suatu perusahaan:
1. untuk melindungi aktiva
2. mengecek kecermatan dan keandalan data akuntansi
3. meningkatkan efisiensi usaha
4. mendorong ditaatinya kebijakan manajemen

Pengendalian tambahan dalam EDP:

1. pengendalian umum (general control)
2. pengendalian aplikasi (application control)
Resiko audit (audit risk)
Adalah kemungkinan akuntan mengeluarkan pendapat wajar atas laporan
keuangan yang mengandung kesalahan yang material.
1. resiko inheren adalah resiko adanya kesalahan yang material yg didukung oleh
laporan keuangan yang diaudit.
2. resiko pengendalian adalah resiko karena ketidakmampuan system untuk
menemukan dan menghindari kesalahan secara dini
3. resiko deteksi adalah resiko yang timbul karena auditor tidak menemukan
kesalahan material saat melakukan audit.

Transaction Flow Auditing (TFA)

Suatu metode yang digunakan untuk mendokumentasikan pengendalian aplikasi
terkomputerisasi guna mengaudit arus transaksi yang meliputi:
- siklus aktifitas bisnis organisasi
- tipe transaksi yg mngalir melalui siklus
- fungsi yg dilaksanakan dalam setiap sklus: mengakui, mengotorisasi,
memproses, mengklasifikasi dan melaporkan transaksi

Perdekatan TFA diorganisasi dalam 5 fase

1. General Risk Analysis (GRA)
2. Transaction Flow Review (TFR)
3. Specific Risk Analysis (SRA)
4. Compliance and substrantive audit test
5. Final reporting

Pengetahuan yang harus dimiliki auditor computer

1. Computer system, operation and software
2. CIS techniques
3. Management concept and practices
4. Security of CIS function
5. Assessment of risk and threats
6. Auditing concepts and practices
7. Additional qualifications

Kualitas yg harus dimiliki auditor computer:

1. ability to evaluate objectively
2. ability to recognize key issues quickly
3. ability to communicate effectively
4. Knowledge of the CIS function

TOOLS IT AUDIT
Standard tools tersebut dikembangkan sebagai framework yang disusun
berdasarkan best pratices dari hasil riset serta pengalaman bertahun-tahun
dalam kegiatan audit TI. Framework tersebut tentunya mengalami
penyempurnaan yang berkelanjutan sebagai upaya menciptakan standar yang
semakin baik, efektif dan efisien.
Berikut ini adalah standard tools/framework yang banyak digunakan di dunia:

1. COBIT (Control Objectives for Information and related Technology)

2. COSO (Committee of Sponsoring Organisations of the Treadway
Commission) Internal ControlIntegrated Framework
3. ISO/IEC 17799:2005 Code of Practice for Information Security Management
4. FIPS PUB 200
5. ISO/IEC TR 13335
6. ISO/IEC 15408:2005/Common Criteria/ITSEC
7. PRINCE2
8. PMBOK
9. TickIT
10.CMMI
11.TOGAF 8.1
12.IT Baseline Protection Manual
13.NIST 800-14

1. COBIT (Control Objectives for Information and related Technology)

Disusun oleh Information Systems Audit and Control Foundation (ISACF)
pada tahun 1996. Edisi kedua dari COBIT diterbitkan pada tahun 1998.
Pada tahun 2000 dirilis COBIT 3.0 oleh ITGI (Information Technology
Governance Institute) dan COBIT 4.0 pada tahun 2005. Rilis terakhir COBIT
4.1 dirilis pada tahun 2007.
COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh
sebagai framework IT audit karena dikembangkan secara berkelanjutan
oleh lembaga swadaya profesional auditor yang tersebar di hampir
seluruh negara. Dimana di setiap negara dibangun chapter yang dapat
mengelola para profesional tersebut.
Target pengguna dari framework COBIT adalah organisasi/perusahaan dari
berbagai latar belakang dan para profesional external assurance. Secara
manajerial target pengguna COBIT adalah manajer, pengguna dan
profesional TI serta pengawas/pengendali profesional.
Secara resmi tidak ada sertifikasi profesional resmi yang diterbitkan oleh
ITGI atau organisasi manapun sebagai penyusun standar COBIT. Di
Amerika Serikat standar COBIT sering digunakan dalam standar
sertifikasi Certified Public Accountants (CPAs) dan Chartered
Accountants (CAs) berdasarkan Statement on Auditing Standards (SAS)
No. 70 Service Organisations review, Systrust certification or Sarbanes-
Oxley compliance.
Sertifikasi non COBIT yang merupakan pengakuan profesional auditor IT
diterbitkan oleh ISACA, sebagai afiliasiITGI yaitu Certified Information
Systems Auditor (CISA) dan Certified Information Security Manager
(CISM).
Lingkup kriteria informasi yang sering menjadi perhatian dalam COBIT
 adalah:

Effectiveness
Menitikberatkan pada sejauh mana efektifitas informasi dikelola dari
data-data yang diproses oleh sistem informasi yang dibangun.
Efficiency
Menitikberatkan pada sejauh mana efisiensi investasi terhadap
informasi yang diproses oleh sistem.
Confidentiality
Menitikberatkan pada pengelolaan kerahasiaan informasi secara
hierarkis.
Integrity
Menitikberatkan pada integritas data/informasi dalam sistem.
Availability
Menitikberatkan pada ketersediaan data/informasi dalam sistem
informasi.
Compliance
Menitikberatkan pada kesesuaian data/informasi dalam sistem
informasi.
Reliability
Menitikberatkan pada kemampuan/ketangguhan sistem informasi
dalam pengelolaan data/informasi.
Sedangkan fokus terhadap pengelolaan sumber daya teknologi
informasi dalam COBIT adalah pada:
Applications
Information
Infrastructure
People
Hal yang menarik dari COBIT adalah adanya versi khusus untuk
skala usaha kecil-menengah (UKM) yang disebutCOBIT Quickstart.

2. COSO (Committee of Sponsoring Organisations of the Treadway

Commission) Internal ControlIntegrated Framework
COSO adalah organisasi swasta yang menyusun Internal Control
Integrated Network bagi peningkatan kualitas penyampaian laporan
keuangan dan pengawasan internal untuknya yang lebih efektif.
Tujuan dari penyusunan framework ini adalah peningkatan sistem
pengawasan terpadu untuk pengendalian perusahaan/organisasi dalam
beberapan langkah. Hal ini diarahkan untuk memberikan para pemegang
kebijakan di organisasi dapat melakukan pengawasan internal dalam
pelaksanaan tugas kepada para eksekutif, mencapai laba yang
menguntungkan serta mengelola resiko-resiko yang timbul.
Internal Control Integrated Framework yang disusun oleh COSO
diterbitkan pertama kali pada tahun 1992 dan masih diperbarui hingga
saat ini. Hingga saat ini COSO maupun organisasi lainnya tidak
melakukan/menerbitkan sertifikasi keahlian/profesional bagi framework ini.
Lingkup kriteria informasi yang sering menjadi perhatian dalam Internal
 Control Integrated Framework COSOadalah:

Effectiveness
Efficiency
Confidentiality
Integrity
Availability
Compliance
Reliability
Jika dilihat dari lingkup kriteria informasi di atas maka dapat dilihat bahwa
komponen-komponen yang menjadi perhatian dalam Internal Control
Integrated Framework COSO identik dengan COBIT.
Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi
pun dalam Internal Control Integrated Framework COSO identik
dengan COBIT.

3. ITIL (Information Technology Infrastructure Library)

Sebenarnya ITIL bukan merupakan standar dalam audit TI. ITIL lebih
merupakan framework/best practice bagi IT service management untuk
menciptakan layanan teknologi informasi yang bermutu tinggi.
ITIL terdiri atas delapan buku berseri yang disusun dan diterbitkan
oleh Central Computer and Telecommunications Agency (CCTA) yang
sekarang dikenal sebagai the British Office of Government Commerce
(OGC).
Delapan serial buku ITIL tersebut terdiri atas:

Software Asset Management

Service Support
Service Delivery
Planning to Implement Service Management
ICT Infrastructure Management
Application Management
Security Management
Business Perspective
British Standard (BS) 15000 adalah sertifikasi keahlian/profesional yang
diterbitkan oleh Pemerintah Inggris untuk manajemen TI dimana ITIL dapat
digunakan sebagai panduan dalam penetapan sertifikasi.
Sedangkan untuk pemusatan perhatian pada kebutuhan keamanan sistem
diterbitkan sertifikasi BS 7799 yang berdasarkan pada bagian dari BS
15000.
Sertifikasi untuk IT service management terbagi atas tiga tingkat yaitu:
Foundation certificate
Sertifikasi ini diberikan setelah menjalani kursus selama tiga hari
dan lulus dari ujian tulis dengan model pilihan berganda. Sertifikat
untuk tingkatan ini merupakan sertifikasi pertama dari tingkatan
yang ada.
Practitioners certificate
 Untuk mencapai tingkatan ini diperlukan proses penilaian dan
pengujian dengan mengikuti kursus, studi kasus serta ujian tulis
dengan model pilihan berganda. Di tingkatan ini sertifikasi diberikan
secara khusus pada bagian tertentu saja (spesialisasi).

Managers certificate
Untuk memperoleh sertifikasi ini harus menempuh sepuluh hari
pelatihan, akreditasi dari badan khusus serta lulus dari dua kali
ujian tulis dalam model uraian.
Lingkup kriteria informasi yang sering menjadi perhatian
dalam ITIL adalah:

Effectiveness
Efficiency
Confidentiality
Integrity
Availability
Compliance
Namun pada bagian kriteria informasi ini tidak terlalu terfokus seperti
dalam COBIT.
Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi
dalam ITIL identik dengan COBIT.

4. ISO/IEC 17799:2005 Code of Practice for Information Security

Management
ISO/IEC 17799:2005 Code of Practice for Information Security
Management adalah standar internasional. Tujuan utama dari penyusunan
standar ini adalah penerapan keamanan informasi dalam organisasi.
Framework ini diarahkan untuk mengembangkan dan memelihara standar
keamanan dan praktek manajemen dalam organisasi untuk meningkatkan
ketahanan (reliability) bagi keamanan informasi dalam hubungan antar
organisasi.
Dalam framework ini didefinisikan 11 (sebelas) bagian besar yang dibagi
dalam 132 (seratus tigapuluh dua) strategi kontrol keamanan. Standar ini
lebih menekankan pada pentingnya manajemen resiko dan tidak
menuntut penerapan pada setiap komponen tapi dapat memilih pada
bagian-bagian yang terkait saja.
Edisi pertama dari ISO/IEC 17799:2005 Code of Practice for Information
Security Management diterbitkan pada tahun 2000 dan edisi keduanya
terbit pada tahun 2005.
Sejak edisi kedua tersebut ISO/IEC 17799:2005 Code of Practice for
Information Security Management menjadi standar resmi ISO yang
berdampak pada diperlukannya revisi dan pemutakhiran setiap tiga
hingga lima tahun sekali.
Pada bulan April 2007, ISO memasukkan framework ini ke dalam ISO
2700x series, Information Security Management System sebagai ISO
27002. Standar tersebut dapat digolongkan dalam best
 practice termutakhir dalam lingkup sistem manajemen keamanan
informasi.
Secara langsung tidak ada sertifikasi untuk ISO/IEC 17799:2005. Namun
terdapat sertifikasi yang sesuai dengan ISO/IEC 27001 (BS 7799-2).
Pada standar ini terdapat perbedaan perhatian lingkup kriteria informasi
dibandingkan dengan COBIT. Dimana dalam ISO/IEC 17799:2005 tidak
memfokuskan pada effectiveness dan efficiency serta hanya memberikan
sedikit perhatian pada reliability.
Sedangkan pada pengelolaan sumber daya TI dalam ISO/IEC
17799:2005 tidak terlalu memfokuskan padainfrastructure.

CoBIT
1. Fokus Pengguna Utama adalah manajemen, operator dan auditor sistem
informasi.
2. Sudut pandang atas internal control adalah kesatuan beberapa proses yang
terdiri atas kebijakan, prosedur, penerapan serta struktur organisasi.
3. Tujuan yang ingin dicapai dari sebuah internal control adalah pengoperasian
sistem yang efektif dan efisien, kerahasiaan, kesatuan dan ketersediaan
informasi yang dilengkapi dengan sistem pelaporan keuangan yang handal
disesuaikan dengan peraturan yang berlaku.
4. Komponen/domain yang dituju adalah perencanaan dan pengorganisasian,
pemaduan dan penerapan, pengawasan atas dukungan serta pendistribusian.
5. Fokus pengendalian dari CoBIT adalah sisi teknologi informasi.
6. Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian
tersebut diterapkan dalam periode waktu yang sudah ditetapkan.
7. Pertanggungjawaban atas sistem pengendalian dari CoBIT ditujukan kepada
manajemen.

COSO
1. Fokus Pengguna Utama adalah manajemen.
2. Sudut pandang atas internal control adalah kesatuan beberapa proses secara
umum.
3. Tujuan yang ingin dicapai dari sebuah internal control adalah pengoperasian
sistem yang efektif dan efisien, pelaporan laporan keuangan yang handal serta
kesesuaian dengan peraturan yang berlaku.
4. Komponen/domain yang dituju adalah pengendalian atas lingkungan,
manajemen resiko, pengawasan serta pengendalian atas aktivitas informasi dan
komunikasi.
5. Fokus pengendalian dari eSAC adalah keseluruhan entitas.
6. Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian
tersebut diterapkan dalam poin waktu tertentu.
7. Pertanggungjawaban atas sistem pengendalian dari eSAC ditujukan kepada
manajemen.

Jika melihat dari hal-hal tersebut maka dapat dilihat adanya persamaan sebagai
berikut:
Seluruh tujuan dari framework CoBIT, eSAC dan COSO adalah pengendalian
serta pengawasan atas proses dan lingkungan.
Pertanggungjawaban ditujukan kepada manajemen.
Seluruh sistem pelaporan dan prosedur wajib mengikuti aturan yang berlaku.

Artikel Standar Framework Pada Proses Pengelolaan IT

Governance Dan Audit Sistem Informasi
IT Governance bukan bidang yang terpisah dari
pengelolaan organisasi, melainkan merupakan komponen
dari pengelolaan organisasi secara keseluruhan, dengan
tanggung jawab utama yang memastikan kepentingan
stakeholder diikutsertakan dalam penyusunan strategi
organisasi, memberikan arahan kepada proses-proses yang
menerapkan strategi organisasi, memastikan proses-proses
tersebut menghasilkan keluaran yang terukur,
memastikan adanya informasi mengenai hasil yang
diperoleh dan memastikan keluaran yang dihasilkan sesuai dengan yang
diharapkan. Penerapan TI di suatu perusahaan tidak selamanya selaras dengan
strategi dan tujuan organisasi. Untuk itu perlu dilakukan analisis terhadap
infrastruktur dan Pengelolaan TI yang ada agar dapat selalu dipastikan
kesesuaian infrastruktur dan pengelolaan yang ada dengan tujuan organisasi.

Analisis yang dilakukan haruslah berdasarkan standar yang umum dan diakui
secara luas. Ada beberapa standar yang telah mendapat pengakuan secara luas,
antara lainITIL, ISO/IEC 17799, COSO dan COBIT.

Dengan menggunakan standar-standar tersebut, maka tujuan penerapan TI di

sebuah perusahaan akan sesuai dengan tujuan yang diharapkan dan
menghindarkan dari terjadinya kerugian akibat risiko-risiko penerapan yang tidak
terpetakan.

IT Governance
Penerapan TI di perusahaan akan dapat dilakukan dengan baik apabila ditunjang
dengan suatu pengelolaan TI (IT Governance) dari mulai perencanaan sampai
implementasinya. Definisi IT Governance menurut ITGI adalah: Suatu bagian
terintegrasi dari kepengurusan perusahaan serta mencakup kepemimpinan dan
 struktur serta proses organisasi yang memastikan bahwa TI
perusahaan mempertahankan dan memperluas strategi dan
tujuan organisasi.

Kegunaan IT Governance adalah untuk mengatur

penggunaan TI, dan memastikan performa TI sesuai dengan
tujuan berikut ini :
1. Keselarasan TI dengan perusahaan dan
realisasi keuntungan-keuntungan yang
dijanjikan dari penerapan TI.
2. Penggunaan TI agar memungkinkan perusahaan mengekploitasi
kesempatan yang ada dan memaksimalkan keuntungan.
3. Penggunaan sumber daya TI yang bertanggung jawab.
4. Penanganan manajemen risiko yang terkait TI secara tepat.

Alasan terpenting mengapa IT governance penting adalah

bahwa ekspektasi danrealitas sering kali tidak sesuai. Shareholder perusahaan
selalu berharap tentang perusahaan untuk :
1. Memberikan solusi TI dengan kualitas yang bagus, tepat waktu, dan sesuai
dengan anggaran.
2. Menguasai dan menggunakan TI untuk mendatangkan keuntungan.
3. Menerapkan TI untuk meningkatkan efisiensi dan produktifitas sambil
menangani risiko TI.

IT governance yang tidak efektif akan menjadi awal terjadinya pengalaman

buruk yang dihadapi perusahaan seperti:
1. Kerugian bisnis, berkurangnya reputasi, dan melemahnya posisi kompetisi.
2. Tenggat waktu yang terlampaui, biaya lebih tinggi dari yang diperkirakan,
dan kualitas lebih rendah dari yang telah diantisipasi.
3. Efisiensi dan proses inti perusahaan terpengaruh secara negatif oleh
rendahnya kualitas penggunaan TI.
4. Kegagalan inisiatif TI untuk melahirkan inovasi atau memberikan
keuntungan yang dijanjikan.

Dalam studi ITGI mengenai Status Global Penguasaan IT, ada 10 masalah besar
di bidang TI yang dialami oleh para CEO dan CIO, yaitu
1. Kurangnya pandangan mengenai seberapa baik TI berfungsi.
2. Kegagalan operasional TI.
3. Masalah penempatan karyawan bidang TI.
Kegunaan TI Governance adalah untuk mengatur penggunaan TI, dan
memastikan performa TI sesuai dengan tujuan berikut ini :
1. Keselarasan TI dengan perusahaan dan realisasi keuntungan-keuntungan
yang dijanjikan dari penerapan TI.
2. Penggunaan TI agar memungkinkan perusahaan mengekploitasi
kesempatan yang ada dan memaksimalkan keuntungan.
3. Penggunaan sumber daya TI yang bertanggung jawab.
4. Penanganan manajemen risiko yang terkait TI secara tepat.

Alasan terpenting mengapa IT governance penting adalah

bahwa ekspektasi danrealitas sering kali tidak sesuai. Shareholder perusahaan
selalu berharap perusahaan untuk :
1. Memberikan solusi TI dengan kualitas yang bagus, tepat waktu, dan sesuai
dengan anggaran.
2. Menguasai dan menggunakan TI untuk mendatangkan keuntungan.
3. Menerapkan TI untuk meningkatkan efisiensi dan produktifitas sambil
menangani risiko TI.
IT governance yang tidak efektif akan menjadi awal terjadinya pengalaman
buruk yang dihadapi perusahaan, seperti:
1. Kerugian bisnis, berkurangnya reputasi, dan melemahnya posisi kompetisi.
2. Tenggat waktu yang terlampaui, biaya lebih tinggi dari yang diperkirakan,
dan kualitas lebih rendah dari yang telah diantisipasi.
3. Efisiensi dan proses inti perusahaan terpengaruh secara negatif oleh
rendahnya kualitas penggunaan TI.
4. Kegagalan inisiatif TI untuk melahirkan inovasi atau memberikan
keuntungan yang dijanjikan.

Dalam studi ITGI mengenai Status Global Penguasaan IT, ada 10 masalah besar
di bidang TI yang dialami oleh para CEO dan CIO, yaitu
1. Kurangnya pandangan mengenai seberapa baik TI berfungsi.
2. Kegagalan operasional TI.
3. Masalah penempatan karyawan bidang TI.
4. Jumlah masalah dan kejadian dalam TI.
5. Biaya TI yang tinggi dengan perolehan kembali modal (ROI) yang rendah.
6. Kurangnya pengetahuan mengenai sistem penting.
7. Kurangnya kemampuan mengelola data.
8. Pemutusan hubungan antara strategi TI dan bisnis.

9. Ketergantungan pada entitas di luar pengawasan langsung.

10. Jumlah kesalahan yang disebabkan oleh sistem penting.
11. Jumlah masalah dan kejadian dalam TI.

Marios Damianides, ketua internasional ITGI menyatakan, "Hasil-hasil ini

menunjukkan kesenjangan antara masalah TI dan pendahuluan rencana aksi
untuk memusatkan perhatian pada masalah tersebut".
Penggunaan standar IT Governance mempunyai keuntungan-keuntungan
sebagai berikut:
1. The Wheel Exists penggunaan standar yang sudah ada dan mature akan
sangat efisien. Perusahaan tidak perlu mengembangkan
 sendiri frameworkdengan mengandalkan pengalamannya sendiri yang
tentunya sangat terbatas.
2. Structured standar-standar yang baik menyediakan suatu framework
yang sangat terstruktur yang dapat dengan mudah difahami dan diikuti
oleh manajemen. Lebih lanjut lagi, framework yang terstruktur dengan
baik akan memberikan setiap orang pandangan yang relatif sama.
3. Best Practices standar-standar tersebut telah dikembangkan dalam
jangka waktu yang relatif lama dan melibatkan ratusan orang dan
organisasi di seluruh dunia. Pengalaman yang direfleksikan dalam model-
model pengelolaan yang ada tidak dapat dibandingkan dengan suatu
usaha dari satu perusahaan tertentu.
4. Knowledge Sharing dengan mengikuti standar yang umum, manajemen
akan dapat berbagi ide dan pengalaman antar organisasi melalui user
groups, website, majalah, buku, dan media informasi lainnya.
5. Auditable tanpa standar baku, akan sangat sulit bagi auditor, terutama
auditor dari pihak ketiga, untuk melakukan kontrol secara efektif. Dengan
adanya standar, maka baik manajemen maupun auditor mempunyai dasar
yang sama dalam melakukan pengelolaan TI dan pengukurannya.

Model Standar IT Governance

Ada berbagai standar model IT Governance yang banyak digunakan saat ini,
antara lain:
1. ITIL (The IT Infrastructure Library)
2. ISO/IEC 17799 (The International Organization for Standardization / The
International Electrotechnical Commission)
3. COSO (Committee of Sponsoring Organization of the Treadway
Commission)
4. COBIT (Control Objectives for Information and related Technology)

1. ITIL The IT Infrastructure Library

ITIL dikembangkan oleh The Office of Government Commerce (OGC)suatu badan
dibawah pemerintah Inggris, dengan bekerja sama dengan TheIT Service
Management Forum (itSMF) suatu organisasi independen mengenai
manajemen pelayanan TI dan British Standard Institute (BSI) suatu badan
penetapan standar pemerintah Inggris.
ITIL merupakan suatu framework pengelolaan layanan TI (IT Service
Management ITSM) yang sudah diadopsi sebagai standar industri
pengembangan industri perangkat lunak di dunia.
ITIL framework terdiri dari dua bagian utama, yaitu:
1. Service Support
a. Service Desk.
b. Incident Management.
c. Problem Management.
d. Configuration Management.
e. Change Management.
f. Release Management.
2. Service Delivery
 a. Availability Management.
b. Capacity Management.
c. IT Service Continuity Management.
d. Service Level Management.
e. Financial Management for TI Services.
f. Security Management.
Standar ITIL berfokus kepada pelayanan customer, dan sama sekali tidak
menyertakan proses penyelarasan strategi perusahaan terhadap strategi TI yang
dikembangkan.

2. ISO/IEC 17799
ISO/IEC 17799 dikembangkan oleh The International Organization for
Standardization (ISO) dan The International Electrotechnical Commission (IEC)
dengan titel "Information Technology - Code of Practice for Information Security
Management". ISO/IEC 17799 dirilis pertama kali pada bulan desember 2000.
ISO/IEC 17799 bertujuan memperkuat 3 (tiga) element dasar keamanan
informasi (1), yaitu
1. Confidentiality memastikan bahwa informasi hanya dapat diakses oleh
yang berhak.
2. Integrity menjaga akurasi dan selesainya informasi dan metode
pemrosesan.
3. Availability memastikan bahwa user yang terotorisasi mendapatkan akses
kepada informasi dan aset yang terhubung dengannya ketika memerlukannya.
ISO/IEC 17799 terdiri dari 10 domain (1), yaitu:
1. Security Policy memberikan panduan dan masukan pengelolaan dalam
meningkatkan keamanan informasi.
2. Organizational Security memfasilitasi pengelolaan keamanan informasi
dalam organisasi.
3. Asset Classification and Control melakukan inventarisasi aset dan
melindungi aset tersebut dengan efektif.
4. Personnel Security meminimalisasi risiko human error, pencurian,
pemalsuan atau penggunaan peralatan yang tidak selayaknya.
5. Physical and Environmental Security
menghindarkan violation, deteriorationatau disruption dari data yang
dimiliki.
6. Communications and Operations Management memastikan penggunaan
yang baik dan selayaknya dari alat-alat pemroses informasi.
7. Access Control mengontrol akses informasi.
8. Systems Development and Maintenance memastikan bahwa keamanan
telah terintegrasi dalam sistem informasi yang ada.
9. Business Continuity Management meminimalkan dampak dari
terhentinya proses bisnis dan melindungi proses-proses perusahaan yang
mendasar dari kegagalam dan kerusakan yang besar.
10.Compliance menghindarkan terjadinya tindakan pelanggaran atas
hukum, kesepakatan atau kontrak, dan kebutuhan keamanan.
3. COSO Committee of Sponsoring Organization of the Treadway
Commission
COSO merupakan kependekan dari Committee of Sponsoring Organization of the
Treadway Commission, sebuah organisasi di Amerika yang berdedikasi dalam
meningkatkan kualitas pelaporan finansial mencakup etika bisnis, kontrol internal
dan corporate governance. Komite ini didirikan pada tahun 1985 untuk
mempelajari faktor-faktor yang menunjukan ketidaksesuaian dalam laporan
finansial.

1. Komponen kontrol COSO

COSO mengidentifikasi 5 komponen kontrol yang diintegrasikan dan dijalankan
dalam semua unit bisnis, dan akan membantu mencapai sasaran kontrol internal:
a. Monitoring.
b. Information and communications.
c. Control activities.
d. Risk assessment.
e. Control environment.
2. Sasaran kontrol internal
Sasaran kontrol internal dikategorikan menjadi beberapa area sebagai berikut:
a. Operations efisisensi dan efektifitas operasi dalam mencapai sasaran bisnis
yang juga meliputi tujuan performansi dan keuntungan.
b. Financial reporting persiapan pelaporan anggaran finansial yang dapat
dipercaya.
c. Compliance pemenuhan hukum dan aturan yang dapat dipercaya.

3. Unit / Aktifitas Terhadap Organisasi

Dimensi ini mengidentifikasikan unit/aktifitas pada organisasi yang
menghubungkan kontrol internal. Kontrol internal menyangkut keseluruhan
organisasi dan semua bagian-bagiannya. Kontrol internal seharusnya
diimplementasikan terhadap unit-unit dan aktifitas organisasi.

3. COBIT Control Objectives forInformation and related Technology

COBIT Framework dikembangkan oleh IT Governance Institute, sebuah
organisasi yang melakukan studi tentang model pengelolaan TI yang berbasis di
Amerika Serikat.
COBIT Framework terdiri atas 4 domain utama:
1. Planning & Organisation.
Domain ini menitikberatkan pada proses perencanaan dan penyelarasan strategi
TI dengan strategi perusahaan.
2. Acquisition & Implementation.
Domain ini menitikberatkan pada proses pemilihan, pengadaaan dan penerapan
teknologi informasi yang digunakan.
3. Delivery & Support.
Domain ini menitikberatkan pada proses pelayanan TI dan dukungan teknisnya.
4. Monitoring.
Domain ini menitikberatkan pada proses pengawasan pengelolaan TI pada
organisasi.

Masing-masing domain terdiri dari high-level control-objectives sebagai berikut:

Domain Planning & Organisation

1. PO1 Define a Strategic TI Plan
2. PO2 Define the Information Architecture
3. PO3 Determine Technological Direction
4. PO4 Define the TI Organisation and Relationships
5. PO5 Manage the TI Investment
6. PO6 Communicate Management Aims and Direction
7. PO7 Manage IT Human Resources
8. PO8 Manage Quality
9. PO9 Assess and Manage IT Risks
10.PO10 Manage Projects

Domain Acquisition & Implementation

1. AI1 Identify Automated Solutions
2. AI2 Acquire and Maintain Application Software
3. AI3 Acquire and Maintain Technology Infrastructure
 4. AI4 Enable Operation and use
5. AI5 Procure IT Resources
6. AI6 Manage Changes
7. AI7 Install and Accredit Solutions and changes

Domain Delivery & Support

1. DS1 Define and Manage Service Levels
2. DS2 Manage Third-party Services
3. DS3 Manage Performance and Capacity
4. DS4 Ensure Continous Services
5. DS5 Ensure System Security
6. DS6 Indentify and Allocate Cost
7. DS7 Educate and Train Users
8. DS8 Manage Service desk and incidents
9. DS9 Manage the Configurations
10.DS10 Manage Problems
11.DS11 Manage Data
12.DS12 Manage the Physical Environment
13.DS13 Manage Operations

Domain Monitoring
1. M1 Monitor and Evaluate IT Performance
2. M2 Monitor and Evaluate IInternal Controll
3. M3 Ensure Compliance with external requirements
4. M4 Provide IT Governance

COBIT mempunyai model kematangan (maturity models) untuk mengontrol

proses-proses TI dengan menggunakan metode penilaian (scoring) sehingga
suatu organisasi dapat menilai proses-proses TI yang dimilikinya dari skala non-
existentsampai dengan optimised (dari 0 sampai 5). Maturity models ini akan
memetakan:
1. Current status dari organisasi untuk melihat posisi organisasi saat ini.
2. Current status dari kebanyakan industri saat ini sebagai perbandingan.
3. Current status dari standar internasional sebagai perbandingan
tambahan.
4. Strategi organisasi dalam rangka perbaikan level yang ingin dicapai oleh
organisasi.

Perbandingan Model-model Standar TI Governance

1. Perbandingan COBIT dengan ITIL
Tabel 1 menunjukkan bahwa ITIL sangat fokus kepada proses desain dan
implementasi TI, serta pelayanan pelanggan (customer service), hal ini
diperlihatkan bahwa hampir seluruh proses pada domain AI dan DS COBIT
dilakukan, sementara sebagian proses PO dilakukan, ini menunjukkan bahwa ITIL
tidak terlalu fokus pada proses penyelarasan strategi perusahaan dengan
pengelolaan TI. Proses pada domain M sama sekali tidak dilakukan oleh ITIL, hal
ini menunjukkan ITIL tidak melakukan pengawasan yang akan memastikan
kesesuaian pengelolaan TI dengan keadaan perusahaan di masa yang akan
datang.
1. Perbandingan COBIT dengan ISO/IEC 17799
Tabel 2 menunjukkan bahwa ISO/IEC 17799 melakukan sebagian proses-proses
pada seluruh domain COBIT.

Hal ini menunjukkan ISO/IEC 17799 mempunyai spektrum yang luas dalam hal
pengelolaan TI sebagaimana halnya COBIT, namun ISO/IEC 17799 tidak sedalam
COBIT dalam hal detail proses-proses yang dilakukan dalam domain-domain
tersebut.

1. Perbandingan COBIT dengan COSO

Tabel 3 menunjukkan bahwa COSO melakukan sebagian proses di domain PO, AI,
dan DS, namun tidak satupun proses pada domain M dilakukan.
Hal ini menunjukkan bahwa COSO fokus kepada proses penyelarasan TI dengan
strategi perusahaan, dan sangat fokus dalam hal desain dan implementasi TI.

Kesimpulan Perbandingan Model-model Standar Pengelolaan TI

Tabel 4 memperlihatkan bahwa model-model standar selain COBIT tidak
mempunyai range spektrum yang seluas COBIT. Model-model tersebut hanya
melakukan sebagian dari proses-proses pengelolaan yang ada di dalam COBIT

Gambar 5 memetakan standar COBIT dengan standar lainnya dalam hal

kelengkapan proses-proses TI yang dilihat dalam dua dimensi:
1. Vertical melihat kedetailan atau kedalaman standar dalam hal teknis dan
operasional.
2. Horizontal melihat kelengkapan proses-proses TI
Dan dari Gambar 2.5, dapat dilihat bahwa COBIT mempunyai kompromi antara
dimensi horisontal dan vertikal yang lebih baik dari standar-standar lainnya.
COBIT mempunyai spektrum proses TI yang lebih luas dan lebih mendetail. ITIL
merupakan standar yang paling mendetail dan mendalam dalam mendefinisikan
proses-proses TI yang bersifat teknis dan operasional. Sedangkan COSO
mempunyai detail yang dangkal, walaupun spektrum proses teknis dan
operasionalnya cukup luas