ABSTRAK
Teknologi informasi digunakan oleh perusahaan untuk meningkatkan efektifitas
dan efisiensi kerja suatu perusahaan. Untuk mengetahui bahwa teknologi informasi telah
digunakan sesuai dengan tujuan dan kegunaannya, maka dibutuhkan suatu audit terhadap
teknologi informasi. Artikel ini merupakan kajian pustaka mengenai audit teknologi
informasi pada perusahaan yang menggunakan metode COBIT. Penilaian metode COBIT
dilakukan dengan cara kualitatif yang memerlukan perspektif manusia, dimana jika
penilaian ini dilakukan oleh orang yang berbeda bisa didapatkan hasil yang juga
berbeda. Untuk dapat menyempurnakan metode yang digunakan pada audit teknologi
informasi maka kajian pustaka serta penelitian harus selalu dilakukan.
Kata Kunci : audit, teknologi, informasi, COBIT, kualitatif
PENDAHULUAN
Perusahaan menggunakan teknologi khususnya teknologi informasi untuk
meningkatkan efektifitas dan efisiensi sehingga visi, misi, dan tujuan perusahaan dapat
tercapai. Untuk mengetahui bahwa teknologi informasi sudah digunakan sesuai dengan
fungsi kegunaan dan tujuan peruntukkannya, maka dibutuhkan suatu audit terhadap
teknologi informasi itu sendiri. Artikel ini merupakan kajian pustaka mengenai audit
teknologi informasi pada perusahaan yang menggunakan metode COBIT. Penilaian
metode COBIT dilakukan dengan cara kualitatif yang memerlukan perspektif manusia.
Jika penilaian kualitatif ini dilakukan oleh orang yang berbeda bisa didapatkan hasil
yang juga berbeda.
Control Objectives for Information and Related Technology (COBIT) adalah salah
satu pedoman penting untuk tata kelola teknologi informasi, dimana COBIT
menyediakan alat yang berguna bagi perusahaan dalam melakukan evaluasi sendiri
terhadap sistem tata kelola teknologi informasinya. (Abu-Musa, 2009).
TINJAUAN PUSTAKA
Auditor seharusnya menggunakan perangkat lunak khusus untuk memastikan
bahwa peraturan telah diimplementasikan dengan tepat. Sistem audit fokus pada entitas
spesifik dan pengendalian TI (Teknologi Informasi) yang tersedia untuk proses bisnis.
Pada sistem audit terdapat diantaranya seperti : i). Tinjuan terhadap sistem informasi
umum dan pengendalian aplikasi, ii). Aktivitas lifecycle dari pengembangan sistem, iii).
Validasi data dan verifikasi. Auditor patuh pada standar, kode etik, penasehat, COBIT
(Control Objectives for Information and Related technology), dan CAAT
(ComputerAssisted Audit Techniques) (Vazakidis, 2005)
Hamzah (2006) dalam artikelnya membahas mengenai metode COBIT yang
diterapkan dalam pengelolaan perusahaan agar penggunaan teknologi informasi sesuai
dengan kebutuhan perusahaan.
Volders (2005) dalam proyeknya mengkombinasikan COBIT QuickStart dengan
pendekatan Gartner untuk mendefinisikan prioritas untuk teknologi informasi
berdasarkan pada strategi perusahaan. Berikut ini pada gambar 1. menunjukkan
pertanyaan awal “Watch the Heat” dari COBIT QuickStart yang diisi oleh Kepala
Bagian Informasi pada perusahaan.
Definitely Disagree
Somewhat Agree
Fully Agree
Disagree
Disagree
The IT infrastructure is an open, as opposed to closed,
system (interconnections with customers, suppliers, etc)
There are IT-related regulation or contractual requirements
applying to the enterprise.
There is a need to provide outside assurance about IT
Enterprise management is aware of IT issues and wonders
whether a minimums baseline is sufficient
Enterprise management has identified the need for significant
formal training relative to IT
Some IT practices and procedures have been defined,
standardised and documented in a sustainable manner
Enterprise management knows that common tools would
make some IT processes more efective and efficient
The IT expert(s) of the enterprise is need for
developing/improving business process.
Langkah kedua (Volders, 2005) adalah “Stay in The Blue Zone”, dimana perusahaan
tidak berada dalam daerah biru untuk 4 kriteria dari 7 kriteria yang ada, yaitu : SCS
(Simple Command Structure), SCP (Short Communications Path), SOC (Span of
Control), ITL (IT Leadership), ITS (IT Strategic Importance), ITE (IT Expenditure),
dan SEG (Segregation). Berikut ini adalah gambar dari penilaian “Blue Zone”.
Gambar 2. Penilaian Kedua “Stay in the Blue Zone” Sumber : (Volders, 2005)
Setelah melewati dua penilaian didapatkan dokumen hasil dimana tingkat
kematangan dari kemampuan yang digunakan. (Volders, 2005) Kerangka kerja sederhana
dibuat untuk mencirikan kerangka kerja COBIT dari berbagai dimensi, termasuk
didalamnya yaitu : i). Perluasan teori atau orientasi penerapan, ii). Apakah dari praktisi,
kalangan akademisi, sektor organisasi yang sedang berkembang, industri, lokasi geografis
dan tingkat pemanfaatan. Pengembangan kerangka kerja ini akan memberikan
kemudahan untuk memeriksa pustaka yang tersedia dan pustaka yang akan diterbitkan.
(Ridley, 2004)
Level 1
COBIT as an illustration of IT governance control
Level 2
Reviews of spesific IT governance control methodologies
Level 3
COBIT Implementation
Informasi, yang mempunyai anggota sekitar 35.000 dari 100 negara di Asia, Amerika
Tengah, Amerika Utara, Eropa, Afrika, Amerika Selatan, dan Oceania.
COBIT dikembangkan oleh IT Governance Institute (ITGI) yang merupakan bagian dari
ISACA. Kerangka kerja COBIT terdiri atas beberapa arahan, yaitu : Control Objective,
Audit Guideline, Management Guidelines. Audit guideline memberikan ulasan tentang
proses teknologi informasi dengan 318 rekomendasi yang menjelaskan control objective
untuk memberikan kepastian pengelolaan dan/atau saran pengembangan.
Management guidelines memberikan arah secara umum atau spesifik mengenai
apa saja yang harus dilakukan, dan untuk menjawab pertanyaan sebagai berikut :
1. Seberapa jauh harus bejalan, dan biaya yang dikeluarkan untuk mendapatkan
manfaat.
2. Indikator apa saja untuk memperoleh kinerja yang baik.
3. Faktor apa saja yang harus ada untuk mendapatkan sukses.
4. Resiko apa saja yang dapat terjadi jika tidak tercapainya tujuan.
5. Apa yang dilakukan oleh perusahaan yang lain.
6. Bagaimana melakukan pengukuran dan membandingkannya.
Control objective dikelompokkan ke dalam 4 domain : i). Perencanaan dan
Organisasi (Planning and Organisation), ii). Akuisisi dan implementasi (acquisition and
implementation), iii). Pengiriman dan dukungan (delivery and support), iv). Pemantauan
(monitoring). Dapat dilihat pada gambar 4.
Organisasi dan perencanaan terdiri dari : menentukan rencana strategis TI,
menentukan arsitektur informasi, menentukan arah teknologi, menentukan organisasi TI
dan hubungannya, mengelola investasi TI, tujuan komunikasi manajemen dan arahnya,
mengelola sumber daya, memastikan kepatuhan dengan persyaratan eksternal, menilai
resiko, mengatur proyek, mengelola kualitas.
Akuisisi dan implementasi terdiri dari : mengidentifikasi solusi otomatis,
menerima dan memelihara aplikasi perangkat lunak, menerima dan memelihara
infrastuktur teknologi, mengembangkan dan memelihara prosedur, menginstal dan
akreditasi sistem, mengelola perubahan.
Pengiriman dan dukungan terdiri dari : definisi dan mengelola pelayanan,
mengelola layanan pihak ketiga, mengelola kinerja dan kapasitas, memastikan layanan
berkelanjutan, memastikan keamanan sistem, identifikasi dan alokasi biaya, mendidik
dan melatih pengguna, membantu dan memberikan saran pelanggan, mengelola
konfigurasi, mengelola masalah dan kejadian, mengelola data, mengelola fasilitas,
mengelola operasi.
Audit dilakukan tidak hanya dalam hal keuangan, tetapi teknologi informasi juga
memerlukan suatu audit untuk mengetahui bahwa teknologi informasi tersebut sesuai
dengan peruntukkannya. Dari hasil penelitian Abu-Musa (2009) didapatkan hasil bahwa
audit teknologi informasi belum dilakukan oleh banyak perusahaan di Saudi.
Saat ini metode COBIT adalah salah satu pendekatan yang digunakan untuk
melakukan audit terhadap TI. Pada langkah awal penggunaan COBIT Quickstart
(Volders, 2005) auditor diminta untuk merespon beberapa pernyataan dimana tersedia 5
alternatif, yaitu : i). Definitely Disagree, ii). Do Not Completely Disagree, iii). Neither
Agree nor Disagree, iv). Somewhat Agree, dan v). Fully Agree. Selanjutnya ada langkah
kedua untuk penilaian hingga didapatkan dokumen hasil. Dilihat dari langkah awal
penilaian “Watch the Heat” pada COBIT QuickStart menunjukkan bahwa pernyataan
dan alternatif yang tersedia adalah jenis pernyataan kualitatif, dimana pernyataan tersebut
menggunakan perspektif manusia untuk menjawabnya meskipun jawaban tersebut telah
disediakan. Sehingga jika pernyataan ini diajukan kepada auditor yang berbeda, maka
bisa didapatkan respon yang berbeda pula.
Ridley (2004) membuat pendekatan sederhana terhadap kerangka kerja COBIT
untuk memberikan kemudahan bagi perkembangan kerangka kerja yang digunakan untuk
audit teknologi informasi.
KESIMPULAN
Audit teknologi informasi penting dilakukan oleh perusahaan untuk mengetahui
fungsi dan kegunaan atas investasinya terhadap teknologi informasi. Salah satu
pendekatan audit yang digunakan adalah COBIT, yang menggunakan kerangka
kerja/penilaian kualitatif melalui perspektif manusia terhadap pernyataan yang diajukan.
Sehingga jika pernyataan diajukan kepada orang yang berbeda, bisa didapatkan hasil
yang berbeda pula.
Kajian pustaka dan penelitian mengenai audit teknologi informasi sebaiknya terus
dilakukan, sehingga dapat menemukan atau menyempurnakan metode yang telah ada
untuk melakukan audit terhadap teknologi informasi.
DAFTAR PUSTAKA
Abu-Musa, A.A. (2009). Exploring COBIT Processes for ITG in Saudi
Organizations: An Empirical Study. The International Journal of Digital Accounting
Researh. Vol.9. pp.99126. ISSN:1577-8517.