Disusun oleh:
Bab 1
Pendahuluan
Pada saat ini, Teknologi Informasi (TI) merupakan bagian yang tidak bisa
terpisahkan dari suatu perusahaan. Ilmu dan teknologi yang bergerak maju dan
berkembang ternyata tidak sedikit menimbulkan masalah, terutama dalam
menghadapi kompleksitas dan intensitas tantangan yang semakin berat. Pimpinan
dan para pembuat kebijakan perusahaan dituntut berpikir kreatif untuk menemukan
berbagai terobosan strategi yang mampu menciptakan sinergi, yang memberi
kontribusi optimal dalam pencapaian tujuan perusahaan. Namun, kenyataannya
sering kita jumpai bahwa pemanfaatan TI itu justru menghabiskan sumber daya,
sementara hasil yang diharapkan tidak tercapai. Untuk itu, perlu dilakukan
manajemen informasi efektif dan pemanfaatan teknologi secara efisien. Hal ini
sudah sering dikemukakan dan dibahas. Dari pembahasan itu, makin disadari
pentingnya “IT Governance”.
IT Governance adalah sebuah struktur dari hubungan relasi dan proses untuk
mengarahkan dan mengendalikan suatu perusahaan dalam mencapai tujuan dengan
memberikan nilai tambah ketika menyeimbangkan resiko dengan menyesuaikan TI
dan proses bisnis perusahaan. IT Governance muncul sebagai jembatan antara scope
bisnis dengan TI, yang disebabkan terjadinya sebuah gap antara teknologi yang
diterapkan tidak sesuai dengan yang diharapkan. IT Governance bukanlah suatu
manajemen tersendiri, tetapi pada dasarnya juga merupakan bagian dari manajemen
perusahaan. Manfaat IT Governance itu sendiri pada dasarnya sangat sulit untuk
dikuantifikasikan karena ukuran keberhasilan penanganan TI itu pada dasarnya
bersifat intangible.
Teknologi informasi adalah suatu aset yang sangat berharga dalam suatu
perusahaan, dimana peranan teknologi informasi (TI) telah mampu mengubah pola
pekerjaan, kinerja karyawan bahkan sistem manajemen dalam mengelola sebuah
organisasi. Teknologi informasi bisa memiliki peranan penting menggantikan peran
manusia secara otomatis terhadap suatu siklus sistem mulai dari input, proses dan
output di dalam melaksanakan aktivitas pekerjaan serta telah menjadi fasilitator
utama bagi kegiatan-kegiatan bisnis yang memberikan andil besar terhadap
perkembangan organisasi.
Agar pembahasan menjadi lebih terarah pada tujuan-tujuan yang ingin dicapai,
maka ruang lingkup penulisan akan dibatasi pada:
a) Pengertian dan aspek penting dari tata kelola perusahaan di bidang teknologi
informasi secara keseluruhan
b) Pemahaman terhadap fokus utama dari area tata kelola IT di dalam suatu
perusahaan
Berdasarkan latar belakang, maka dapat ditentukan tujuan dari penulisan ini
adalah untuk mengulas bagaimana audit terhadap tata kelola teknologi informasi di
dalam suatu perusahaan dilakukan, terutama dengan menggunkan metode COBIT.
a) Metode Analisis
b) Studi Kepustakaan
Kegiatan ini dilakukan dengan cara membaca buku-buku dari referensi yang
berkaitan dengan masalah tersebut serta pengumpulan informasi yang digunakan
dalam studi artikel media internet. Penelitian kepustakaan ini secara teoritis
sangat membantu didalam penyusunan penulisan ini.
BAB 2
LANDASAN TEORI
COBIT pertama sekali diperkenalkan pada tahun 1996 adalah merupakan alat
(tool) yang disiapkan untuk mengatur teknologi informasi (IT Governance tool).
COBIT telah dikembangkan sebagai sebuah aplikasi umum dan telah diterima
menjadi standar yang baik bagi praktek pengendalian dan keamanan TI yang
menyediakan sebuah kerangka kerja bagi pengelola, user, audit sistem informasi, dan
pelaksana pengendalian dan keamanan.
Sedangkan visi dari COBIT adalah dijadikan COBIT sendiri sebagai satu-satunya
model pengurusan dan pengendalian teknologi informasi (Information Technology
Governance).
a) Dari segi biaya, lebih hemat dalam peralatan dan personil, karena
peralatan dan personil yang dipakai relatif lebih sedikit.
b) Dengan hanya satu pusat atau pangkalan data, konsistensi data dapat
lebih terjamin dari duplikasi.
a) Inadequate Documentation
b) Program Fraud
Ketika programmer yang membuat aplikasi juga
melakukan maintenance terhadap program yang dibuatnya
sendiri, maka potensi terjadinya kecurangan akan semakin
besar. Programmer dapat secara sengaja melakukan perubahan
hal-hal yang menimbulkan program menjadi error sehingga
tidak dapat digunakan.
a) Harga mahal. Hal ini disebabkan sangat sulit untuk membuat sistem
database distribusi.
2.3.2. Construction
Kondisi bangunan tempat dimana komputer atau pusat data harus
dalam keadaan bagus dan kokoh agar tidak mudah rubuh dan diusahakan
listrik jangan sampai terputus. Supply listrik harus diperhatikan dan
bangunan harus selalu dalam keadaan bersih dijauhkan dari debu-debu
agar pada saat mengakses data tidak terjadi gangguan pada server.
2.3.3. Access
a) Construction
b) Access
c) Air Conditioning
d) Fire Suppression
e) Fault tolerance
f) Asuransi
Melakukan pendaftaran asuransi pada data server agar jika terjadi hal-
hal yang tidak diinginkan, maka tidak terlalu merugikan perusahaan,
serta dicek apakah asuransi tersebut diperpanjang tiap tahunnya.
Disaster recovery plan adalah sebuah proses atau kemampuan dari organisasi
untuk menanggapi bencana atau gangguan dalam pelayanan melalui implementasi
rencana pemulihan bencana untuk menstabilkan dan memulihkan fungsi kritis
organisasi. Rencana ini dibuat untuk membantu mengembalikan proses bisnis dari
perusahaan serta mengurangi dampak bila terjadi bencana yang mengakibatkan
kerusakan atau kehilangan data elektronik yang mendukung proses bisnis
perusahaan.
Tujuan audit pada fungsi DRP adalah untuk memverifikasi bahwa rencana
pemulihan bencana perusahaan cukup untuk memenuhi kebutuhan perusahaan dan
bahwa implementasinya dapat dilakukan serta praktis. Prosedur auditnya, yakni
memverifikasi bahwa DRP pihak manajemen adalah solusi yang realistis untuk
menangani suatu bencana yang dapat meniadakan sumber daya komputer
perusahaan. Berbagai pengujian dilakukan, seperti pengecekan atau observasi terkait
keberadaan tim penanganan bencana, daftar aplikasi-aplikasi penting perusahaan,
dan back-up software, serta data master.
Dalam iklim persaingan usaha yang semakin ketat, perusahaan berusaha untuk
melakukan efisiensi biaya produksi (cost of production). Salah satu solusinya adalah
dengan sistem outsourcing, dimana dengan sistem ini perusahaan diharapkan dapat
menghemat pengeluaran dalam membiayai sumber daya manusia (SDM) yang
bekerja di perusahaan yang bersangkutan. Outsourcing atau contracting out adalah
pemindahan pekerjaan dari satu perusahaan ke perusahaan lain.
Salah satu bidang yang menjadi obyek outsourcing pada berbagai perusahaan
adalah fungsi TI. Bagi perusahaan, fungsi TI merupakan bidang penunjang (support
function) untuk mendukung operasional perusahaan yang lebih efektif dan efisien.
Sebagai support function fungsi IT di-outsource pada perusahaan outsourcing TI,
dengan pertimbangan untuk meningkatkan efisiensi dan agar perusahaan dapat lebih
memfokuskan diri pada bidang usaha yang ditekuninya. Melalui outsourcing,
perusahaan dapat memfokuskan segenap sumberdaya yang dimilikinya untuk
mencapai misi organisasi, sehingga perusahaan mampu memberikan layanan terbaik
pada konsumen. Selain itu, dengan outsourcing, perusahaan juga dapat
meningkatkan efisiensinya karena dikerjakan oleh pemberi jasa yang mempunyai
spesialisasi pada bidangnya dan perusahaan dapat mengurangi biaya langsung dan
biaya overhead pada bidang yang di-outsource.
c) Waktu yang digunakan menjadi lebih singkat untuk pengadaan sumber daya TI
a) Contract
b) Statement of work
Informasi penting berikutnya dari sebuah kontrak adalah statement of
work atau laporan kerja yang berisi daftar pekerjaan yang harus
dilakukan oleh penyedia layanan. Auditor harus memeriksa apakah
proyek pekerjaan benar-benar dilakukan oleh penyedia layanan dan
sama dengan yang disebutkan dalam kontrak.
c) Data security
d) Impact on IT strategy
Meskipun semua masalah tata kelola IT penting bagi organisasi, tidak semua
dari masalah tersebut adalah mengenai hal pengendalian internal di bawah SOX
yang berpotensi dapat mempengaruhi proses laporan keuangan. Dalam bab ini, kita
mempertimbangkan tiga isu tata kelola TI yang ditangani oleh SOX dan kerangka
pengendalian internal COSO. yaitu:
Tes ini dapat dilakukan oleh auditor eksternal sebagai bagian dari layanan
atestasi mereka atau dengan auditor internal (atau jasa konsultasi profesional) yang
menyediakan bukti kepatuhan manajemen dengan SOX. Dalam hal ini , kita tidak
membeda-bedakan dua jenis layanan.
i) Tolok ukur keberhasilan unit TI dipandang tidak ada artinya bagi unit bisnis
pengguna.
3.1 IT Governance
Weill dan Ross (2004:2) mendefenisikan IT Governance sebagai keputusan-keputusan yang diambil,
yang memastikan adanya alokasi penggunaan TI dalamstrategi-strategi organisasi yang bersangkutan.
IT Governance merefleksikan adanya penerapan prinsip-prinsip organisasi dengan
memfokuskan pada kegiatan manajemendan penggunaan TI untuk pencapaian organisasi.
Dengan demikian, IT governance pada intinya mencakup pembuatan keputusan, akuntabilitas
pelaksanaan kegiatan penggunaan TI, siapa yang mengambil keputusan, dan memanaje proses pembuatandan
pengimplementasian keputusan-keputusan yang berkaitan dengan TI. Contoh bidang cakupan IT
governance sektor publik adalah keputusan pemerintah yangmenentukan siapa yang memiliki
wewenang dan tanggungjawab dalam pembuatankeputusan tentang berapa jumlah investasi
yang dapat dilakukan pada sektor publik Xdengan memanfaatkan TI.
Tata kelola IT (IT Governance) sangat diperlukan diantaranya untuk tetap menjaga
investasi, meningkatkan daya saing (memberikan nilai tambah), serta menjaga
keberlangsungan bisnis/usaha/pemerintahan. COBIT adalah kerangka tata kelola IT (IT
Governace framework) yang banyak dipakai oleh praktisi.
Pengaturan perusahaan (enterprise governance) dan sistem oleh entitas diarahkan dan
dikendalikan, melalui kumpulan dan arahan IT Governance. Pada saat yang sama, TI
dapat menyediakan masukan kritis, dan merupakan komponen penting bagi perencanaan
strategis. Pada kenyataannya TI dapat mempengaruhi peluang strategis yang ditetapkan oleh
perusahaan. Aktivitas perusahaan membutuhkan informasi dari aktivitas TI dengan maksud
untuk mempertemukan tujuan bisnis. Jaminan kesuksesan organisasi diakibatkan oleh adanya
saling ketergantungan antara perencanaan strategis dan aktivitas TI lainnya.
Kegiatan perusahaan perlu informasi dari kegiatan TI agar dapat mengintegrasikan
tujuan bisnis. Siklus pengaturan perusahaan dapat dijelaskan sebagai berikut : pengaturan
perusahaan ditentukan oleh praktek terbaik yang secara umum dapat diterima untuk
menjamin perusahaan mencapai tujuannya, melalui pengendalian tertentu. Dari tujuan-tujuan
ini mengalir arahan organisasi, yang mengatur kegiatan atau aktivitas perusahaan dengan
menggunakan sumberdaya perusahaan. Hasil kegiatan atau aktivitas perusahaan diukur dan
dilaporkan, memberikan masukan bagi pengendalian, demikian seterusnya, kembali ke awal
siklus.
4.2 Saran
Untuk audit system informasi dilakukan dengan menggunakan framework COBIT
merupakan salah satu alat bantu yang dapat digunakan dalam melakukan audit dan telah
mendapat pengakuan cukup baik di dunia internasional. Suatu perencanaan audit system
informasi berbasis teknologi (audit TI) oleh internal auditor, dapat dimulai dengan
menentukan area-area yang relevan dan beresiko paling tinggi, melalui analisa atas ke-34
proses tersebut. Sementara untuk kebutuhan penugasan tertentu, misalnya audit atas
proyek TI, dapat dimulai dengan memilih proses yang relevan dari proses-proses tersebut.
DAFTAR PUSTAKA
Alter, Steven. 1999. Information System : A managerial perspective, 3rd edition. Addison.
Wesley. USA
Gondodiyoto, S. (2007). Audit Sistem Informasi + Pendekatan CobIT. Jakarta: Mitra Wacana
Media.
IT-Governance - scribd (www.scribd.com/doc/80926158/IT-Governance)
McLeod Jr.R. 1996. Sistem Informasi Manajemen, Jilid 1, edisi Bahasa Indonesia.
Terjemahan Teguh,H. Prenhallindo, Jakarta.