170. CSRID Journal, Vol.2 No.3 Oktober 2010, Hal.

170 - 179

AUDIT SISTEM INFORMASI UNTUK MEWUJUDKAN TATA KELOLA

SISTEM INFORMASI (IT GOVERNANCE) DI ORGANISASI
BERBASISKAN TEKNOLOGI INFORMASI

Julisar

Universitas Bina Nusantara, Jl. K.H. Syahdan No. 9, Palmerah, Jakarta Barat, 11480
Email : julisar@binus.ac.id atau julisar_s@yahoo.com

ABSTRAK

Audit merupakan suatu proses terpadu mengenai pengumpulan, penilaian dan penguji-
an atas aktifitas suatu kegiatan. Audit Sistem Informasi merupakan proses terpadu kegi-
atan yaitu melakukan pengumpulan, penilaian dan pengujian atas aktifitas kegiatan di
lingkungan Sistem Informasi.Dengan mengacu pada COBIT (Control Objective for Infor-
mation and Related Technology) dapat digunakan sebagai alat yang dapat digunakan
untuk mengefektifkan implementasi sistem informasi dalam perusahaan. COBIT terdiri
dari 4 (empat) domain, yaitu Planning-Organization, Acquisition-Implementation, Deli-
very-Support dan Monitoring.COBIT framework digunakan untuk menyusun dan mene-
rapkan model audit system informasi dengan tujuan untuk memberikan masukan dan re-
komendasi bagi pihak manajemen perusahaan untuk perbaikan pengelolaan sistem infor-
masi (IT Governance) di masa mendatang.

Kata Kunci : Audit Sistem Informasi, Pengumpulan, Penilaian, Pengujian, IT Governance.

ABSTRACT

Audit is an integrated process of collection, assessment and testing for all activities of
an activity. Audit Information System is an integrated process of collecting activities,
assessment and testing of activities and activities within the system Informasi.Dengan
refers to COBIT (Control Objective for Information and Related Technology) can be used
as a tool that can be used to streamline enterprise information system implementation.
COBIT consists of 4 (four) domains, namely Planning, Organization, Acquisition, Imple-
mentation, Delivery, Support and Monitoring.COBIT framework used to develop and
implement a model of information system audit in order to provide input and recommen-
dations for the management company to improve management systems information (IT
governance) in the future.

Keywords: Information System Audit, Collection, Assessment, Testing, IT Governance.

PENDAHULUAN

Dalam era globalisasi sekarang ini, perkembangan Teknologi Informasi demikian pesat. Hal
ini dibarengi dengan pertumbuhan berbagai macam piranti lunak (Software), piranti keras (Hardware),
jaringan telekomunikasi (Networking), orang-orang yang terlibat dalam perkembangan Teknologi In-
formasi (People), pengetahuan tentang Sistem Basis Data (System Database) dan prosedur-prosedur
yang mengikuti.
Peranan fungsi dari Audit Sistem Informasi harus dibangun oleh suatu standard yang sudah
baku. Auditor Sistem Informasi diperlukan untuk membantu eksternal auditor dan internal auditor
dalam melakukan pemeriksaan terhadap Sistem Informasi. Auditor Sistem Informasi akan melaksana-
kan evaluasi dan testing terhadap pengendalian dan prosedur yang berlaku serta menerapkan dan me-
ngembangkan teknik-teknik audit komputer termasuk pengembangan audit piranti lunak (Software).
 Julisar, Audit Sistem Informasi Untuk... 171

Dengan komputerisasi di berbagai bidang kegiatan akan membawa dampak terhadap kegiatan
pemeriksaan atau audit, baik secara langsung maupun tidak langsung. Perubahan cara pembukuan dari
manual menjadi komputerisasi menyebabkan perubahan seperti :
(1) Dokumen dari bentuk kertas menjadi non-visual. (2) Sebagian besar data yang akan dianalisa ter-
simpan dalam file yang berupa disket, pita magnetik atau tape; (3) Cara pemeriksaan secara tradision-
al/manual memerlukan banyak waktu dan tenaga. Sebaliknya, pemeriksaan dengan cara komputerisasi
jauhlebih efisien. (4) Bagi auditor sendiri, bila tidak memahami masalah komputer maka dapat meny-
ebabkan hasil audit tidak optimal.
Dengan perubahan-perubahan tersebut, auditor dituntut untuk memahami konsep dan sistem
komputerisasi yang dilaksanakan oleh objek, sehingga hasil audit akan mencapai sasaran.
ISACA (Information Systems Audit and Control Association) yang merupakan suatu organi-
sasi internasional dalam bidang Audit dan Pengendalian, mensyaratkan perlunya tanggung jawab
(responsibility), wewenang (authority) dan pertanggung-jawaban (accountability) fungsi dari Sistem
Informasi yang dikeluarkan oleh sebuah Audit Charter.

Pengertian Audit
James Hall mengatakan :
"Auditing is a systematic process of objectively obtaining and evaluating evidence regarding asser-
tions about economic actions and events to ascertain the degree of correspondence between those
assertions and establishing criteria and communicating the results to interested users
The Institute of Internal Auditors (IIA) mendefinisikan Internal Auditing:
As an independent appraisal function established within an organization to examine and evaluate its
activities as a service to the organization.

Pengertian Teknologi Informasi

Menurut OBrien (2003, p7) :
Teknologi Informasi adalah piranti keras, piranti lunak, telekomunikasi, manajemen basis data dan
teknolgi pemerosesan informasi lainnya yang digunakan berdasarkan CBIS
Jadi secara umum, teknologi informasi adalah semua bentuk teknologi berupa piranti keras,
piranti lunak, telekomunimasik, manajemen basis data dan teknologi lainnya yang digunakan untuk
membuat, menyimpan, mengubah dan menggunakan informasi dengan menggunakan komputer ber-
basi sistem informasi.

Pengertian Information Technology Governance

Menurut (http://en.wikipedia.org/wiki/IT_Governance) IT Governance adalah tata kelola tek-
nologi informasi. (IT Governance) adalah suatu cabang dari tata kelola perusahaan yang terfokus pada
sistem Teknologi Informasi (TI) serta manajemen kinerja dan resikonya.
Meningkatnya minat pada tata kelola Teknolgi Informasi sebagian besar muncul karena ada-
nya prakarsa kepatuhan (seperti Sar-banex-Oxley di Amerika Serikat dan Basel II di Eropa) serta se-
makin diakuinya kemudahan proyek Teknologi Informasi untuk lepas kendali yang dapat berakibat
besar terhadap kinerja suatu organisasi. Menurut (http://www.continentalsoftware.com/it-governance/
focus-areas), Information Technology Governance Focus Area (according to COBIT) adalah :
Performance Measurement
Tracks and monitors strategy implementation, projects completion, resource usage, process
performance and service delivery, using. For example, balance scorecard that translate strategy into
action to achieve goals measurable beyond conventional accounting.
Resource Management
Is about the optimal investment in, and the proper management of, critical IT resources:
applications, information, infrastructure and people. Key issues relate to the optimization of know-
ledge and infrastructure.
Risk Management
Requires risk awareness by senior corporate officers, a clear understanding of the enterpri-
ses appetite for risk, understanding of compliance requirement, transparency about the significant ri-
sks to the enterprise and embedding of risk management responsibility into the organization
172. CSRID Journal, Vol.2 No.3 Oktober 2010, Hal. 170 - 179

Strategic Alignment
Focus on ensuring the linkage of business and Information Technology plans : defining, ma-
intaining and validating the Information Technology value proposition; and aligning Information
Technology operations with enterprise operations.
Value Delivery
Is about executing the value proposition throughout the delivery cycle, ensuring that Informa-
tion Technology delivers the promised benefit against the strategy, concentrating on optimizing costs
an proving the intrinsic value of Information Technology

Audit Sistem Informasi

Menurut Turban (2007, p 16) :
An Information System is collects, processes, stores, analyzes, and disseminates information for a
specific purposes.
A computer-based information system (CBIS) is an information system that uses computer technology
to perform some or all of its intended tasks.

Audit Sistem Informasi merupakan proses pengumpulan dan evaluasi bukti-bukti untuk me-
nentukan apakah sistem komputer yang digunakan telah dapat melindungi harta milik organisasi, ma-
mpu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta me-
nggunakan sumber daya yang dimiliki secara efisien (Weber,1999).
Mengacu pada pendapat Weber, R. (1999, p 11), audit dan sistem pengendalian menjadi sem-
akin penting dalam sistem informasi berbasis komputerisasi, dengan alasan sebagai berikut :
(1) Besarnya biaya dan kerugian apabila data di dalam komputer hilang. (2) Biaya yang harus dibayar
bila sampai mutu keputusan buruk akibat pengolahan data yang salah (informasi untuk bahan penga-
mbilan keputusan salah). (3) Potensi kerugian kalau terjadi kesalahan/penyalahgunaan komputer. (4)
Nilai (investasi) yang tinggi dalam pengadaan maupun perawatan mesin (hardware dan software). (5)
Nilai atau biaya yang tinggi yang dikeluarkan untuk pendidikan personil. (6) Biaya yang tinggi bila
terjadi computer errors. (7) Perlunya dijaga privacy, mengingat di komputer tersedia data rahasia. (8)
Agar perkembangan dan pertumbuhan komputerisasi dapat terkendali (controlled evolution of
computer used)
Audit Sistem Informasi sendiri merupakan gabungan dari berbagai macam ilmu, antara lain :
Tradisional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer dan
Behavioral Science.

Pendekatan Audit Sistem Informasi

Seorang Auditor Sistem Informasi, apabila telah memperoleh sertifikasi, maka akan mendapat
gelar Certified Information System Auditor (CISA).
Audit Sistem Informasi digolongkan menjadi tiga jenis, yaitu :
(1) Auditing around the computer
Auditor hanya membandingkan input dan output, tanpa menilai atau mengetahui proses kom-
puter yang digunakan. Pendekatan ini merupakan pendekatan yang mula-mula ditempuh auditor. As-
umsi yang digunakan dalam pendekatan ini adalah apabila contoh output dari suatu sistem adalah be-
nar berdasarkan input, maka pemrosesannya tentu dapat diandalkan. Berdasarkan kualitas pemrosesan
dan sistem aplikasi, pemrosesan sistem aplikasi tidak diperiksa secara langsung. Selain itu, auditor
memandang komputer sebagai black box. Auditor menggunakan metode ini hanya untuk mendapat-
kan biaya murah.
Keadaan dapat dipulihkan kembali jika sistem aplikasi mempunyai tiga karakteristik sebagai
berikut :
(1) Sistem harus sederhana dan berorientasi pada sistem batch, Pada umumnya, sistem batch kompu-
ter merupakan suatu pengembangan langsung dari sistem manual. Sistem batch harus mempunyai
kriteria sebagai berikut :
(a) Resiko yang ada harus rendah. Resiko ini tidak dapat dikelompokkan dengan subjek kesalahan
material akibat ketidakberesan dan ketidakefisienan dalam beroperasi. (b) Logika sistem harus tepat
sasaran. Tidak ada rutinitas (kegiatan) yang dikembangkan untuk mengizinkan komputer untuk mem-
proses data. (c) Transaksi inout dilakukan dengan sistem batch dan kontrol diperlihara dengan metode
 Julisar, Audit Sistem Informasi Untuk... 173

tradisional. (d) Proses utama terdiri dari penyelesaian input data dan memperbaharui file master seca-
ra terus-menerus. (e) Adanya jejak audit (audit trail) yang jelas. Laporan terperinci dipersiapkan pada
kunci pokok dalam sistem. (f) Jadwal pekerjaan relatif sangat stabil dan sistem jarang dimodifikasi.
(2) Seringkali keefisienan biaya dalam metode Auditing Around the Computer pada saat aplikasi yang
digunakan untuk keseragaman kemasan dalam program software.
(3) Auditor harus menggunakan metode Auditing Around the Computer pada pengguna lebih tinggi
daripada sistem kontrol komputer untuk menjaga perawatan keintegrasian data dan mencapai tujuan
keefektifan dan keefisienan sistem. Biasanya metode Auditing Around the Computer adalah pendekat-
an yang sederhana yang berhubungan dengan audit dan dapat dipraktekan oleh auditor yang mempu-
nyai pengetahuan teknik yang sedikit tentang komputer.
Kelemahan yang ada pada pendekatan ini antara lain :
(a) Umumnya database mencakup jumlah data yang banyak dan sukar ditelusuri secara manual. (b)
Tidak memberikan ruang lingkup yang luas bagi auditor untuk menghayati dan mendalami keberada-
an komputer. (c) Cara ini mengabaikan pengendalian sistem dalam pengolahan komputer itu sendiri
sehingga rawan terhadap adanya kelemahan dan kesalahan yang terdapat di dalam komputer itu sen-
diri. (d) Kemampuan komputer sebagai fasilitas penunjang pelaksaan audit menjadi sia-sia. (e) Tidak
dapat mencakup keseluruhan maksud dan tujuan penyelenggaraan audit.

(2) Auditing with the computer

Dalam melaksanakan pemeriksaan auditor menggunakan bantuan komputer. Misalnya untuk
melakukan analisa data dan mengecek kebenaran perhitungan, menggunakan bantuan audit software.
Pendekatan ini merupakan cara audit yang sangat bermanfaat, khususnya dalam pengujian substantif
atas file dan record perusahaan. Audit software yang digunakan merupakan program komputer yang
membantu auditor untuk melakukan pengujian dan evaluasi kehandalan data, file dan record perusa-
haan . Bentuk yang lebih maju dalam metode ini adalah Generalized Audit Software yaitu program
audit yang berlaku umum untuk klien.
Keunggulan metode ini adalah :
(a) Merupakan program komputer yang diproses untuk membantu pengujian pengendalian sistem
komputer klien itu sendiri. (b) Dapat melaksanakan tugas audit yang terpisah dari catatan klien, yaitu
dengan mengambil copy data atau file untuk dilakukan pengujian dengan komputer lain.

Kelemahan metode ini adalah dibutuhkan upaya dan biaya yang relatif besar untuk pengemba-
ngannya.

(3) Auditing through the computer

Auditor melakukan pengetesan data untuk diproses dan hasil proses tersebut kemudian diana-
lisa untuk membuktikan keandalan dan keakuratan program komputer tersebut. Dengan kata lain me-
tode ini adalah pendekatan audit yang berorientasi pada komputer dengan membuka black box dan
secara langsung berfokus pada operasi pemrosesan dalam sistem komputer. Dengan asumsi bahwa
apabila pemrosesan mempunyai pengendalian yang memadai, maka kesalahan dan penyalahgunaan
tidak akan terlewat untuk dideteksi, sebagai akibat dari keluaran yang dapat diterima.

Keunggulan dari metode ini adalah :

(a) Dapat meningkatkan kekuatan terhadap pengujian sistem aplikasi secara efektif, dimana ruang
ling-kup dan kemampuan dari pengujian yang dilakukan dapat diperluas sehingga tingkat kepercayaan
terhadap keandalan dari pengumpulan dan pengevaluasian bukti dapat ditingkatkan. (b) Dengan me-
meriksa secara langsung, logika pemrosesan dari sistem aplikasi, dapat diperkirakan kemampuan sis-
tem dalam menangani perubahan dan kemungkinan kehilangan yang terjadi pada masa yang akan da-
tang.

Kelemahan dari metode ini adalah :

(a) Biaya yang dibutuhkan relatif tinggi yang disebabkan jumlah jam kerja yang banyak untuk dapat
lebih memahami struktur kontrol internal dari pelaksanaan sistem aplikasi. (b) Butuh banyak keahlian
teknis yang lebih mendalam untuk memahami cara kerja sistem.
174. CSRID Journal, Vol.2 No.3 Oktober 2010, Hal. 170 - 179

Penerapan komputerisasi dalam suatu organisasi untuk mengelola sumber daya dan dana,
pencatatan, pengawasan dan pelaporan kegiatan serta laporan keuangan, akan membawa akibat
terhadap prosedur dan teknik audit yang dilakukan oleh internal auditor maupun eksternal auditor.
Audit manual menekankan pentingnya evaluasi bukti pendukung yang dihasilkan oleh suatu system
yaitu untuk mendukung pendapat auditor. Sedangkan audit komputer lebih menekankan pada
keandalan pengendlian di lingkungan Pengolahan Data Elektronik.
Pada kondisi inilah Auditor Sistem Informasi (Information System Auditor = IS Auditor)
diperlukan untuk membantu eksternal auditor dan internal auditor dalam melaksanakan pemeriksaan.
IS Auditor akan melaksanakan evaluasi dan testing terhadap pengendalian dan prosedur yang berlaku
serta menerapkan dan mengembangkan teknik-teknik audit komputer termasuk pengembangan audit
software.
Seorang auditor di bidang Sistem Informasi harus mengetahui dan memahami konsep
teknologi informasi seperti :
(a) Sistem Informasi dan Organisasi dari Sistem Informasi Manajemen. (b) Konsep computer. (c) Pe-
ngetahuan di bidang komputer (hardware dan software). (d) Sistem dan jaringan telekomunikasi . (e)
Kemampuan untuk mengidentifikasi resiko baru dan pengendalian yang diperlukan dalam lingkungan
bisnis yang berbasis computer. (f) Pengetahuan tentang bagaimana menggunakan komputer untuk
mengaudit komputer. (g) Untuk memperoleh tenaga IS Auditor dapat dilakukan dengan beberapa
cara :
(1) Mendidik personil yang memiliki latar belakang akunting/auditing untuk memahami konsep dasar
prinsip data processing, struktur sistem komputer, prosedur dan pengendalian sistem aplikasi
komputer manajemen data, pengendalian operasi komputer serta pengendalian terhadap
pengembangan suatu sistem. (2) Mendidik personil yang memiliki latar belakang EDP untuk
memahami masalah auditing, khususnya yang berkaitan dengan masalah kontrol atau pengendalian
internal.

Lima Tahapan Audit Sistem Informasi

Untuk melaksanakan audit sistem informasi, ada beberapa tahapan yang perlu dilakukan.
Tahapan-tahapan tersebut ialah :
1. Planning the Audit
Perencanaan merupakan tahap pertama dari kegiatan audit. Bagi eksternal auditor hal ini arti-
nya adalah melakukan investigasi terhadap klien untuk mengetahui :
(a) Apakah pekerjaan mengaudit dapat diterima. (b) Staff yang akan ditempatkan untuk melaksanakan
audit. (c) Membuat perjanjian perjanjian audit. (c) Menghasilkan informasi latar belakang klien. (d)
Mengerti tentang masalah hukum klien. (e) Melakukan analisa terhadap prosedur yang ada untuk me-
ngerti tentang bisnis klien.(f) Mengidentifikasi resiko audit.

2. Test of Control
Auditor melakukan Test of Control ketika menilai bahwa resiko terhadap control (pengedali-
an) berada pada level kurang dari maksimum, mereka mengandalkan control sebagai dasar untuk me-
ngurangi biaya testing. Sampai pada tahap ini auditor tidak mengetahui apakah identifikasi control
telah berjalan dengan efektif, test of control memerlukan evaluasi yang lebih spesifik terhadap materi
control.

3. Test of Transaction
Auditor melakukan test (pengujian) terhadap transaksi untuk mengevaluasi Apakah kesalahan
atau proses yang tidak biasa terjadi pada transaksi yang mengakibatkan kesalahan pencatatan yang
material pada laporan keuangan. Pengujian terhadap transaksi ini termasuk menelusuri jurnal dari su-
mber dokumen, memeriksa file berharga dan mengecek keakuratan perhitungan. Pemakaian kompu-
ter sangat membantu pekerjaan ini dan auditor harus menggunakan software audit umum untuk meng-
ecek apakah bunga yang dibayar kepada bank telah sesuai perhitungannya.

4. Test of Balances or Overall Result

Untuk mengetahui pendekatan yang digunakan pada tahap ini, yang harus diperhatikan adalah
tujuan pengamanan harta dan data integrity. Beberapa jenis substantive test terhadap saldo yang digu-
 Julisar, Audit Sistem Informasi Untuk... 175

nakan adalah konfirmasi piutang, perhitungan fisik persediaan dan perhitungan ulang penyusutan ak-
tiva tetap.

5. Completion of The Audit

Pada tahap ini, auditor harus merumuskan pendapat tentang kehilangan material dan
keabsahan pernyataan laporan muncul dan memuat sebuah laporan.
Jenis-jenis pendapat auditor yaitu :
a. Disclaimer of Opinion (Tidak Memberikan Pendapat)
Setelah melakukan audit, auditor tidak dapat memberikan opini
b. Adverse Opnion (Pendapat Tidak Wajar)
Auditor menyimpulkan bahwa kehilangan material telah muncul atau laporan keuangan telah
dinyatakan salah secara material.
c. Qualified Opinion (Wajar Dengan Pengecualian)
Auditor menyimpulkan bahwa kehilangan telah muncul / kesalahan laporan secara\material.
d. Unqualified Opinion (Wajar Tanpa Pengecualian)
Auditor percaya bahwa tidak ada kehilangan material / laporan yang salah.

COBIT (Control Objective for Information and Related Technology)

Sejarah COBIT
COBIT pertama kali dikembangkan pada tahun 1996 oleh Information system Audit and Con-
trol Association (ISACA) dan disusun berdasarkan control objective yang dimiliki ISACA.
COBIT edisi kedua dipublikasikan pada tahun 1998 dengan menambahkan Implementation
Tool Set dan sedikit revisi pada high level control objective dan detailed control objectives.
COBIT edisi ketiga dirilis pada tahun 2000 dan mulai dikelola Information Technology Gov-
ernance Institute (ITGI). Edisi ini berisi pengembangan arahan bagi manajemen dan pembaharuan da-
ri edisi kedua yang memberikan referensi baru dan standar internasional. Kerangka kerjanya diperba-
harui dan ditambahkan untuk meningkatkan pengendalian bagi manajemen, kinerja manajemen dan
berorientasi pada pengembangan tata kelola Teknologi Informasi dengan menyediakan maturity mo-
del, critical success factors, key goal indicator dan key performance indicators untuk pengelolaan Te-
knologi Informasi.
COBIT edisi keempat dirilis pada bulan November 2005. Dalam edisi ini terdapat perubahan-
perubahan yang cukup menonjol yaitu domain Monitor berubah menjadi Monitor and Evaluate (ME),
serta adanya beberapa perubahan yang terjadi pada proses-proses yang ada. Selain itu pada COBIT
edisi sebelumnya terdapat 318 detailed control objective namun pada COBIT 4.0 ini menjadi 215 bu-
ah.

Misi COBIT
COBIT mempunyai misi untuk meneliti, mengembangkan, memperkenalkan, mempromosi-
kan dan meng-update tujuan pengendalian Teknologi Informasi yang dapat digunakan oleh manaje-
men dan auditor serta dapat diterima secara internasional.

Manfaat COBIT
COBIT memberikan manfaat yang berarti bagi mereka yang menyadari akan pentingnya pe-
ngendalian terhadap sistem dan informasi.
Manfaat-manfaat tersebut :
(1) COBIT telah diakui secara internasional dan disusun berdasarkan pengalaman para ahli dari selur-
uh dunia. (2) Memenuhi standar ISO17799, COSO I dan COSO II serta standar internasional lainnya.
(3) Mampu menjembatani komunikasi antara divisi Teknologi Informasi, pihak manajemen dan audi-
tor dengan cara memberikan pendekatan yang umum dan mudah untuk dipahami. (4) Berorientasi pa-
da manajemen serta mudah digunakan. (5) Mendukung pelaksanaan audit Teknologi Informasi sehi-
ngga dapat memberikan hasil audit dan opini yang berkualitas tinggi. (6) Merupakan pendekatan yang
fleksibel dan memungkinkan untuk disesuaikan dengan semua organisasi yang mempunyai budaya,
ukuran serta kebutuhan yang berbeda-beda. (7) Apa yang terdapat dalam COBIT lengkap, dikemba-
ngkan terus menerus dan dipelihara oleh organisasi non-profit terkemuka.
176. CSRID Journal, Vol.2 No.3 Oktober 2010, Hal. 170 - 179

Produk COBIT
Produk-produk COBIT yaitu :
1. Board Briefing on Information Technology, 2nd edition
Membantu para eksekutif memahami betap pentingnya Information Technology Governance apa
yang menjadi masalah dan tanggung jawab mereka dalam pengelolannya.
2. Management Guidelines / Maturity Model
Membantu menentukan tanggungjawab, pengukuran kinerja, tolok ukur dan menemukan gap
dalam kapabilitasnya.
3. Frameworks
Mengorganisasikan objektif Information Technology Governance dan Good Practices pada
domain dan proses Teknologi Informasi, serta menghubungkannya dengan kebutuhan bisnis.
4. Control Objectives
Menyediakan sebuah kumpulan komplit dari kebutuhan tingkat tinggi yang akan dipertimbangkan
oleh manajemen guna mengendalikan setiap proses Teknologi Informasi agar lebih efektif.
5. Information Technology Governance Implementation Guide : Using COBIT and Val IT TM,
2nd edition
Menyediakan peta jalan yang umum untuk mengimplementasikan Information Technology
Governance dengan menggunakan COBIT dan Val IT TM resources.
6. COBIT Control Practices : Guidance to Achieve Control Objectives for Successful IT
Governance, 2nd edtion
Menyediakan petunjuk mengenai mengapa control sangat penting untuk perlu diimplementasikan
dan bagaimana untuk mengimplementasikannya.
7. IT Assurance Guide : Using COBIT
Menyediakan pedoman mengenai bagaimana COBIT dapat digunakan untuk mendukung jaminan
dari keanekaragaman aktivitas bersama dengan langkah pengujian yang diusulkan dalam proses
Teknologi Informasi dan objektif kontrol.

Prinsip Dasar Kerangka Kerja COBIT

Prinsip dasar kerangka kerja COBIT adalah proses Teknologi Informasi mengelola semua
sumber daya Teknologi Informasi yang ada seupaya dapat mencapai tujuan Teknologi Informasi,
yaitu tujuan untuk memenuhi kebutuhan organisasi.
COBIT mengkategorikan sumber daya Teknologi Informasi menjadi sebagai berikut :
(1) Application (Aplikasi), Sistem yang mengolah informasi, baik yang dilakukan secara otomatis
maupun yang masih manual. (2) Information (Informasi), Semua data yang terlibat pada saat Input,
Process dan Output. (3) Infrastructure (Infrastruktur), Merupakan semua teknologi informasi dan fa-
silitas yang mendukung jalannya aplikasi. (4) People (orang), Individu-individu yang dibutuhkan un-
tuk merencanakan, mengatur, mengadakan, melaksanakan, mendukung, mengawasi dan mengevaluasi
system. Individu-individu ini dapat berasal dari dalam organisasi atau pihak luar, tergantung kebutu-
han organisasi.

Dengan mengelola semua atau sebagian dari sumber daya di atas, maka diharapkan proses
Teknologi Informasi dapat menghasilkan kebutuhan informasi dengan maksimal.

COBIT mengkategorikan kebutuhan informasi sebagai berikut :

1. Effectiveness - Informasi yang dihasilkan relevan dengan proses bisnis yang ada serta dapat dise-
lesaikan dengan benar, tepat waktu, konsisten dan bermanfaat
2. Efficiency - Informasi yang dihasilkan lebih produktif dan ekonomis.
3. Confidentiality - Informasi-informasi penting dapat terlindungi dari pihak-pihak yang tidak ber-
wenang
4. Integrity - Informasi yang dihasilkan kengkap dan akurat
5. Availability - Informasi dapat tersedia ketika dibutuhkan
6. Compliance - Informasi yang dihasilkan sesuai dengan hukum, peraturan dan perjanjian yang ber-
laku
7. Reliability - Menyediakan informasi yang layak agar dapat digunakan dalam kegiatan operasional
dan keuangan, serta membantu dalam menyelesaikan laporan.
 Julisar, Audit Sistem Informasi Untuk... 177

Contoh Kasus
Dari http://blog.unila.ac.id/albertus/files/2009/06/albertus-novendri3.pdf
Dikutip dan diedit seperlunya.

PT. Indosat Tbk, mulai menerapkan sistem alur kerja secara otomatis yang memungkinkan
para pegawai menciptakan user name and password secara on-line dan menerima proses lewat
email. Bahkan operator seluler itu menggunakan oracle identity management untuk 55 aplikasi bis-
nis dan telekomunikasi. Ini termasuk pembayaran tagihan enterprise resource, sumber daya manusia,
manajemen produk telekomunikasi. Oracle identity dan access management menawarkan pengimp-
lementasian cepat, konfigurasi yang mudah dan yang minimal. Ini berarti perusahaan dapat mencipta-
kan dan mengintegrasikan identity management solution dengan cepat dan sekaligus mengurangi re-
siko dan menjamin kepatuhan.
Pada saat bersamaan, perusahaan meningkatkan perlindungan data dan konsumen.
Dengan meminimalisasi resiko akan akses dari sistem yang berwenang, PT. Indosat akan
mendemonstrasikan kepatuhan terhadap Sarbanex-Oxley Regulation. PT. Indosat telah mencipta-
kan landasan keamanan Teknologi Informasi yang dibutuhkan untuk meraih kesempatan bisnis dan
keuntungan menjawab permintaan pasar.
PT. Indosat Tbk., dapat dilihat sudah mewujudkan:
I. Tata Kelola Sistem Informasi (IT Governance) dalam beberapa hal :
1) Menerapkan sistem alur kerja secara otomatis
2) Para pegawai menciptakan user name dan password secara on-line dan menerima persetujuan
lewat email
II. COBIT dalam beberapa hal :
1) Menggunakan Oracle Identity Management untuk 55 aplikasi bisnis dan telekomunikasi
2) Tagihan enterprise resource, sumber daya manusia, manajemen produk telekomunikasi
3) Oracle identity dan access management, yang menawarkan pengimplementasian cepat, konfigurasi
yang mudah dan cepat, sehingga dapat menciptakan dan mengintegrasikan identity management
solution dengan cepat dan sekaligus mengurangi resiko dan menjamin kepatuhan.

Dari Rohajawati, Siti (2004), Proteksi dan Teknik Keamanan Sistem Informasi (Studi Kasus
Di PT. Percetakan dan Penerbitan Jaya), Program Magister Teknologi Informasi, Fakultas Ilmu
Komputer, Universitas Indonesia
Dikutip dan diedit seperlunya

PT. Percetakan dan Penerbitan Jaya berdiri sejak tahun 1993, tepatnya diresmikan pada tang-
gal 27 Juli 1993. Perusahaan ini dibangun oleh beberapa investor yang tidak saja menjadi penanam
modal akan tetapi sekaligus menjadi pemilik perusahaan. Guna meningkatkan profit, perusahaan
memperluas bidang usaha dengan memberikan beberapa jenis layanan penyediaan yaitu:
(1) layanan alat tulis kantor. (2) layanan buku-buku bacaan, buku pelajaran, dan jurnal berkala. (3)
layanan peralatan suku cadang ukur, survei, laboratorium, dan timbangan khusus. (4) layanan peralat-
an suku cadang computer. (5) layanan kimia teknis. (6) layanan fotokopi. (7) layanan warung telepon.
(8) layanan warung internet.
Selanjutnya perusahaan secara spesifik terbagi pada dua jenis usaha yaitu percetakan dan pe-
nerbitan. Perusahaan percetakan dipimpin oleh dua orang komisaris, seorang direktur dan seorang wa-
kil direktur serta membawahi beberapa orang manajer yaitu manajer administrasi, gudang, pemasaran,
dan produksi. Sedangkan perusahaan penerbitan dipimpin oleh tiga orang pembina, satu pemimpin
umum perusahaan, satu pemimpin redaksi, serta dibantu oleh bagian sekretaris redaksi, editor ahli,
redaksi, pengasuh rubrik, desain dan tata letak, keuangan, marketing, distribusi dan korespondensi.
Untuk mengetahui tentang kebijakan perusahaan PT Percetakan dan Penerbitan Jaya Khusus-
nya dalam keamanan bisnisnya, akan diuraikan beberapa domain tentang proteksi dan teknik keaman-
an sistem informasinya.
Berikut disajikan secara rinci dua belas (12) domain yang meliputi
(a) Access control system and methodology. (b) Telecommunications and network security, (c) Securi-
ty management practice.(d) Application and systems development security. (e) Cryptography. (f) Se-
178. CSRID Journal, Vol.2 No.3 Oktober 2010, Hal. 170 - 179

curity architecture and models. (g) Operations security. (h) disaster recovery and business continuity
plan. (i) laws. (j) Investigations and ethics. (k) Physical security. (l) Auditing and assurance.
Beberapa domain dari proteksi dan teknik keamanan sistem informasi memerlukan perhatian
khusus agar data dan informasi dapat diakses sesuai dengan kebutuhan, terhindar dari berbagai benca-
na, ancaman dan kerawanan keamanan.
Penekanan yang utama adalah pada akses kontrol yang melibatkan administrator ataupun ma-
najer yang menuntut mereka harus mampu mengelola hak-hak dan peranan dari user dalam memanfa-
atkan data dan informasi perusahaan. Keamanan bagi telekomunikasi dan jaringan sangat mendukung
ketersediaan data dan informasi dalam pengaksesannya.
Hal ini adalah untuk mewujudkan IT Governance yang unsur-unsurnya adalah : Performance
Measurement, Resource Management, Risk Management, Strategic Alignment, Value Delivery
Dengan pengaturan yang baik, PT. Percetakan dan Penerbitan Jaya, dapat memenuhi kebutu-
han informasi yang : efektif, efisiensi, bersifat rahasia, integrity, availability, compliance dan reliabil-
ity.

SIMPULAN

Dalam era digital sekarang ini, semakin banyak perusahaan yang menggunakan pemrosesan
data secara elektronik. Untuk mewujudkan Tata Kelola Sistem Informasi (IT Governance) yang baik,
maka dibutuhkan suatu audit sistem informasi yang memadai untuk dapat mewujudkan Tata Kelola
Sistem Informasi (IT Governance)
COBIT adalah salah satu standar yang dapat digunakan untuk audit dan telah mendapat peng-
akuan di dunia internasional
Dengan melakukan perencanaan audit yang sesuai dengan framework COBIT, maka auditor
sistem informasi dapat memulai dengan menentukan area-area yang relevan dan mempunyai resiko
yang paling tinggi di dalam pemrosesan data secara elektronik tersebut.

SARAN

Di dalam organisasi yang berbasikan teknologi informasi, maka sebaiknya organisasi tersebut
melakukan audit sistem informasi secara berkala. Manajemen bertanggung jawab dalam pengendalian
di dalam perusahaan. Untuk mencapai standar audit yang diakui, terutama dalam dunia internasional,
sebaiknya perusahaan menggunakan standar yang dikeluarkan oleh ISACA (Information System Audit
and Control Association) yaitu COBIT (Control Objectives for Information and Related Technology)

DAFTAR RUJUKAN

An Introduction to Computer Audit (2009)

Hall, James A, (2005) Information Technology Auditing and Assurance, 2nd edition, Thomson, South-
Western
OBrien, James, (2003) Introduction to Information System, 11th edition, McGraw-Hill, New Jersey,
USA
Rohajawati, Siti (2004), Proteksi dan Teknik Keamanan Sistem Informasi (Studi Kasus Di PT.
Percetakan dan Penerbitan Jaya), Program Magister Teknologi Informasi, Fakultas Ilmu
Komputer, Universitas Indonesia
Sarbanex-Oxley Compliance (2009):
http://proquest.umi.com/pqdweb?index=0&did=1492954961&SrchMode=1&sid=9&Fmt=6&VIn
st=PROD&VType=PQD&RQT=309&VName=PQD&TS=1236913120&clientId=68814
Turban, Efraim, et. al, (2007), Introduction to Information System : Supporting and Transforming
Business, John Wiley & Sons, Inc.
Turban, Efraim, et. al (2008), Information Technology for Management : Transforming Organization
in the Digital Economy, John Wiley & Sons, Inc.
Weber, R (1999), Information System Control and Audit, 9th edition, New Jersey, Prentice Hall, Inc.
 Julisar, Audit Sistem Informasi Untuk... 179

http://www.barclaysimpson.com/document_uploaded/Introduction%20to%20Computer%20Audit
.pdf
A Guide to Computer Assisted Audit Techniques
http://www.mass.gov/Ador/docs/dor/Publ/PDFS/caat.pdf (29 Mei 2009, 07:33)
Audit Sistem Informasi Berbasis Kendali
http://home.unpar.ac.id/~integral/Volume%209/Integral%209%20No.%201/Audit%20Sistem%20
Informasi%20-%20Kendali.pdf (29 Mei 2009, 07:55)
Evaluasi Penerapan Audit Sistem Informasi
http://puspasca.ugm.ac.id/files/(0035-H-2004).pdf (29 Mei 2009, 08:00)
Langkah2 Umum Program Audit Sistem Informasi A_ B_ Mutiara
http://amutiara.wordpress.com/2007/11/08/19-langkah2-umum-program-audit-sistem-infomasi/
29 Mei 2009, 08:05
Peranan Teknologi Informasi Dalam Audit Sistem Informasi
http://jurnal.unikom.ac.id/ed9/04-Supriyati.pdf (29 Mei 2009, 08:10)
Peranan Audit Sistem Informasi Akuntansi Berbasis Komputer Dalam Penyajian Financial Report
http://jurnal.unikom.ac.id/ed9/03-Dony.pdf (29 Mei 2009, 08:33)
http://en.wikipedia.org/wiki/COBIT (12 Juni 2009, 15:00)
http://en.wikipedia.org/IT_Governance (12 Juni 2009, 15:15)
Penggunaan Teknologi Informasi Audit dalam Good Corporate Governance Khususnya Sarbanex
Oxley
http://blog.unila.ac.id/albertus/files/2009/06/albertus-novendri3.pdf (09 November 2009, 08:45)
Audit danTata Pamong Teknologi Informasi
http://jazieko.com/wp-content/uploads/2008/04/audit-ti-jazi.pdf (09 November 2009, 09:10)