Disusun Oleh:
Heru Siswanto (1461404978)
PT IJS adalah perusahaan depo container wilayah Surabaya yang bukan hanya
menjual container ke pelanggan tetapi juga memberikan layanan service kepada
konsumen. Dalam menjalani usaha ini, teknologi informasi digunakan dalam
operasional perusahaan baik dalam penjualan, service maupun sistem HRD-nya.
Teknologi informasi yang digunakan dalam perusahaan ini dibagi menjadi dua sektor
utama yaitu TI pada sektor penjualan dan sektor service. Sektor penjualan digunakan
untuk mengelola, menyimpan data pelanggan, menampilkan data spesifikasi kendaraan
serta menunjukkan jumlah kendaraan yang tersedia melalui sistem sedangkan pada
sektor service, TI digunakan untuk menyimpan history record service kendaraan dan
menampilkan keluhan terakhir pelanggan. Selain itu teknologi informasi ini juga untuk
menjelaskan mengenai kepegawaian para karyawan di Daihatsu. Dengan demikian
teknologi informasi memudahkan kinerja perusahaan, dan dapat mengikuti
perkembangan bisnis.
PT IJS sudah cukup lama menggunakan teknologi informasi ini sebagai alat
bantu dalam memberikan layanan kepada konsumen. Agar bisnis berjalan dengan baik
maka perusahaan ini diperlukan audit terhadap teknologi informasi untuk mengetahui
apakah teknologi informasi yang telah berjalan sudah memenuhi standar kontrol umum
atau belum.
B. Rumusan Masalah
Berdasarkan latar belakang di atas, adapun rumusan masalah dari penelitian ini adalah :
1. Bagaimana hasil analisa maturity level teknologi informasi pada PT IJS?
2. Rekomendasi apa yang dapat diberikan berdasarkan hasil analisa maturity level
tersebut?
C. Batasan Masalah
Dalam penelitian ini, penulis membatasi masalah-masalah yang diteliti sebagai
berikut :
1. Audit yang dilakukan hanyalah audit terhadap Teknologi informasi di PT IJS.
2. Framework IT yang digunakan dalam audit yaitu mengacu pada COBIT 4.1
D. Teknik Audit Sistem Informasi
1. Mengamankan Aset
Dalam sebuah perusahaan aset informasi seperti hardware, software, sumber daya
manusia , dan file data harus dijaga oleh suatu sistem pengendalian intern yang baik agar
tidak terjadi penyalahgunaan aset.
Integritas data adalah salah satu konsep dasar sistem informasi. Data memiliki atribut-
atribut tertentu seperti : kelengkapan, kebenaran, dan keakuratan.
3. Efektifitas
Sistem efektifitas sistem informasi perusahaan memiliki peranan penting dalam proses
pengambilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem
informasi tersebut telah sesuai dengan kebutuhan user.
4. Efisiensi
Sistem efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi memiliki
kapasitas yang memadai.
5. Ekonomi
Ekonomis mencerminkan kalkulasi untuk rugi ekonomi (cost/benefit) yang lebih bersifat
kuantifikasi nilai moneter (uang).
Menurut Ron Weber (1999) dalam bukunya “Information System Control and Audit”,
menjelaskan 5 tahapan audit sistem informasi, yaitu :
1. Perencanaan audit (Planning The Audits)
Perencanaan merupakan tahapan pertama pertama dalam audit. Tahapan ini dapat berisi
aktivitasaktivitas yang berbeda bagi auditor internal dan eksternal.
Pengujian kendali dilakukan apabila pada saat penilaian resiko kendali diperoleh hasil
dibawah tingkat maksimum. Tujuan dari pengujian kendali adalah mengevaluasi dan
memastikan kendali tersebut benar-benar reliable.
Pengujian transaksi untuk mengevaluasi apakah kekeliruan atau proses yang tidak menentu
dari suatu transaksi telah membawa pokok pernyataan yang salah dari informasi finansial.
Ciri pembuktian pengujian transaksi meliputi terjemahan catatan jurnal untuk sumber
dokumen, pengujian file-file harga, dan menguji keakuratan perhitungan.
Penyelesaian merupakan tahapan terakhir dalam audit. Tahap ini berisi penyelesaian
keseluruhan audit yang telah dilakukan agar didapatkan hasil yang sesuai dengan yang
diharapkan.
2.3 COBIT
COBIT 5 memungkinkan teknologi informasi melakukan tata kelola dan manajemen secara
holistik untuk keseluruhan enterprise, mengelola bisnis dari ujung ke ujung, bertanggung
jawab pada keseluruhan area fungsi teknologi informasi. Selain itu juga dalam COBIT 5
menyediakan fasilitas dalam cakupan stakeholder internal dan eksternal. COBIT 5 bersikap
global dan bermanfat untuk semua enterprise dengan berbagai skala, baik komersial, non
profit, maupun sektor publik. COBIT 5 mempunyai lima prinsip (ISACA, 2012) :
COBIT 5 berdasarkan lima prinsip kunci pada gambar 2.1 untuk tata kelola dan
manajemen TI (ISACA, 2012) adalah :
Gambar 2.2 Area Kunci Tata Kelola dan Manajemen COBIT 5 (ISACA, 2012)
Proses pada COBIT 5 terdiri dari dua proses yaitu proses tata kelola dan proses
manajemen.
1. Tata kelola: berisi lima proses tata kelola; yang masing-masing proses dievaluasi,
diarahkan, dimonitor (EDM)
2. Manajemen: berisi empat domain, selaras dengan area tanggung jawab untuk
merencanakan, membangun, menjalankan, dan mengawasi (PBRM), dan menyediakan
cakupan teknologi informasi dari ujung ke ujung. Domain ini merupakan evolusi dari
domain
COBIT 4.1 dan struktur proses. Berikut nama domainnya:
a. Align, Plan, Organise (APO)
b. Build, Acquire, and Implement (BAI)
c. Deliver, Service, and Support (DSS)
d. Monitor, Evaluate, and Assess (MEA)
Menurut ISACA (2012;15) COBIT 5 merupakan panduan ISACA yang membahas tata
kelola dan manajemen teknologi informasi. COBIT 5 dibuat berdasarkan best practice dan
pengguna dari komunitas teknologi informasi, resiko, asuransi, dan keamanan. Ada
3 (Tiga) pengguna COBIT, COBIT sengaja merancang berbeda, yaitu :
a. Management : Untuk membantu pihak manajemen, menyeimbangkan resiko dengan
investasi pengendalian dalam teknologi informasi yang sulit diprediksi.
b. User : Untuk memperoleh keyakinan atas layanan keamanan dan pengendalian
disediakan pihak ketiga ataupun internal.
c. Auditor : Untuk mendukung / memperkuat opini yang dihasilkan untuk memberikan
saran kepada manajemen atas pengendalian internal yang ada.
Penilaian dilakukan mulai dari kapabilitas kematangan level satu dan seterusnya.
Untuk mencapai level 1, dapat dilakukan dengan cara:
1. Meninjau hasil proses yang digambarkan dalam deskripsi proses rinci dengan
menggunakan skala peringkat yang dimiliki ISO/IEC 15504 untuk mengetahui derajat
tujuan dicapai. Skala tersebut berdasarkan peringkat:
N (Not achieved) : ada sedikit atau bahkan tidak ada bukti pencapaian atribut yang
ditemukan dalam menilai proses.
P (Partially achieved) : ada beberapa bukti pencapaian yang ditemukan. Aspek pencapaian
atribut tidak terprediksi (15% - 50 % pencapaian).
L (Largely achieved) : ada bukti pendekatan sistematis, pencapaian signifikan, atribut
terdefinisi dalam proses penilaian. Beberapa kelemahan masih ada dalam proses penilain
(50% - 85% pencapaian).
F (Fully achieved) : ada bukti pendekatan lengkap dan sistemtis, pencapaian penuh, atribut
terdifinisi dalam proses penilaian. Tidak ada kelemahan yang signifikan dalam penilaian
proses (85%-100% pencapaian)
2. Praktik proses (tata kelola maupun manajemen) dapat dinilai dengan menggunakan skala
peringkat yang sama, mengungkapkan sejauh mana praktek dasar diterapkan.
3. Untuk lebih menyempurnakan nilai, work product dapat dipertimbangkan untuk
menentukan sejauh mana atribut penilaian tetentu telah dicapai.
Perhitungan jumlah audit sistem informasi pada PT. Mejiku Tri Putra yang
dilihat dari hasil wawancara sebagai berikut :
Tabel 4.11 Kesimpulan-kesimpulan dari kuisioner kuisioner
No Keterangan Jmlh Jmlh Total Jawaban
Jawaban Pertanyaa
n
Y T Y T
(%) (%)
1. Pengendalia 6 5 11 54.55 45.45
n
manajemen
keamanan :
Kuesioner yang
diberkan kepada
2. Pengendalian 8 2 10 80.00 20.00
Boundary:
Kuesioner yang
diberkan kepada
pihak yang
3. Pengendalian Input: 7 1 8 87.50 12.50
Kuesioner yang
diberkan kepada
pihak yang
4 Pengendalian 6 1 7 85.71 14.29
Proses: Kuesioner
yang diberkan
kepada pihak yang
5 Pengendalian 9 1 10 90.00 10.00
Output: Kuesioner
yang diberkan
kepada pihak yang
Jumlah 36 10 46 78.26 21.74
TEMUAN AUDITOR
Temuan Audit yang telah dilakukan namum, dapat dioptimalisasikan aktivitasnya,
bagi terciptanya Tata Kelola IT pada PT. Indra Jaya Swastika dengan lebih baik.
Adanya kebijakan keamanan yang jelas dan berkelanjutan.
Pemahaman pentingnya keamanan pada sebagian personil PT. Indra Jaya Swastika.
1. Adanya evaluasi sistem keamanan oleh pihak ketiga sekitar 4 per periode.
2. Bagian keamanan jaringan secara aktif melakukan deteksi atas penyalahgunaan
akses.
3. Setiap transaksi tercatat dalam log file yang terkelola baik dan terpusat.
4. Telah ada mekanisme peringatan terhadap user yang terdeteksi melakukan percobaan
akses di luar otoritasnya.
5. Telah dipasangnya aplikasi firewall yang melindungi jaringan lokal dengan jaringan
publik
6. Telah diimplementasikannya sistem back-up keamanan yang memungkinkan
recovery secara cepat ketika terjadi disaster.
7. Sistem manajemen IP jaringan sudah mengimplementasikan DHCP dengan host
terdaftar (mac address terdaftar) yang menghindarkan koneksi hardware liar dalam
jaringan.
8. Penanggung jawab keamnanan jaringan dan sistem aplikasi berbeda.
9. Data ditransaksikan dilengkapi atribut informasi user, waktu dan lokasi akses.
10. Penggunaan Software telah menggunakan software lisensi.
11. Mekanisme penambahan instalasi program harus seijin admin jaringan.
12. Mesin server berada pada suatu ruangan khusus dengan pengamanan cukup.
REKOMENDASI
Hasil temuan audit dan simpulan berdasarkan aspke-aspek sumber daya informasi
yang terlibat, makan auditor dapat rekomendasi untuk perbaikan Sistem Keamanan
Teknologi Informasi pada PT. Indra Jaya Swastika dengan skala kebutuhan sebagai
berikut:
Rekomendasi Mempertahankan Aktifitas
1. Adanya evaluasi pihak ketiga atas arsitektur keamanan jaringan yang telah dilakukan
secara periodik [4x dalam setahun ]
2. Adanya pengamanan khusus atas transaksi tertentu yag hanya dapat dilakukan pada
terminal-terminal tertentu saja dengan sistem user yang telah dilakukan pengelolaan
secara terpusat
3. Adanya upgrade berkala pada sistem keamanan yang digunakan.
4. Telah digunakannya sistem firewall yang melindungi jaringan internal dengan
jaringan publik dan adanya pengaman akses jaringan secara hardware (dengan
dilakukan pendaftaran mac address untuk host yang diijinkan terkoneksi dalam
jaringan).
Rekomendasi Meningkatkan Aktifitas Dengan Manajerial Yang Lebih Baik
1. Traning mengenai keamanan sistem untuk semua personil PT. Indra Jaya Swastika
harus selalu ditingkatkan [Rekomensai Usulan Proyek Peningkatan SDM]
2. Sebaiknya dilakukan review dan validasi ulang secara berkala terhadap account user
untuk meningkatkan integritas akses.
3. Transaksi-transaksi penting hendaknya dilengkapi dengan konsep/teknik digital
signature. [Rekomendasi Usulan Proyek Infrastruktur dan Autorisasi Modern]
4. Perlunya peningkatan pengelolaan user jaringan sehingga seluruh komputer
menggunakan otorisasi terpusat, sehingga tidak ada lagi istilah supporting komputer
yang dapat di install bebas tanpa otorisasi dari admin jaringan.
5. Review atas hak akses user secara periodik untuk memastikan hak akses yang
diberikan selalu sesuai dengan kebutuhan organisasi (tidak hanya bersifat
insindental).
KESIMPULAN
Berdasarkan pada temuan audit diatas dan berkaitan dengan aspek pengelolaan
sumber daya informasi yang terlibat, dapat ditarik sebuah kesimpulan berdasarkan aspek-
aspek yang terkait dengan sumber daya.
1. Sumber Daya Manusia (SDM), pada PT. Grogol Sarana Transjaya kesadaran peronel
mengenai keamanan sistem telah terbentuk, imlementasi dalam dinamika teknologi
yang berkembang dengan cepat membutuhkan penambahan ketrampilan pada area
keamanan sistem. Training perlu diintensifkan untuk mengoptimalkan staff yang
terlibat dalam manajemen sistem keamanan pada PT. Grogol Sarana Transjaya.
2. Aplikasi, diterapkan pada PT. Grogol Sarana Transjaya telah diselengarakan dengan
perencanaan yang baik, dilakukan integrasi dengan penataan sistem yang bagus,
namun kebutuhan jangka pendek diperlukan berupa pendefinisian aturan yang jelas
dalam bentuk SOP pada semua area yang melibatkan aplikasi.
3. Teknologi telah diimplemntasikan, namun belum sesuai dengan strandar yang
diterapkan COBIT, sehingga area ini dapat menjadikan pertimbangan kebutuhan
pemanfaatan enkripsi kriptografi dan biometrik, yang skala waktunya dapat
disesuaian dengan kebutuhan anggaran PT. Grogol Sarana Transjaya. Disimpulkan
seperti ini mengingat area keamanan pada PT. Grogol Sarana Transjaya yang relatif
aman dan tidak pernah mendapatkan serangan dari luar.
4. Fasilitas yang dimiliki PT. Grogol Sarana Transjaya telah memenuhi kebutuhan
pengembangan sistem keamanan dengan lebih baik
5. Mekanisme atas penanganan Data telah dilakukan dengan baik, kelemahan muncul
pada sisi autorisasi dan validitas user yang mengirimkan data, karena berdasarkan
arahan Tata Kelola IT berbasis framework COBIT, mekanisme tersebut harus melalui
digital signature, yang belum diterapkan pada PT. Grogol Sarana Transjaya.