AUDIT SISTEM INFORMASI DENGAN MENGGUNAKAN COBIT(CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY

Perkembangan Information of Technology (IT) mengalami kemajuan yang begitu pesat pada saat ini. Kemajuan IT ini menjadikan setiap penggunanya dapat mengakses berbagai data-data dan informasi-informasi yang dibutuhkan dengan mudah dan cepat.Peningkatan peran IT dalam perusahaan yang t erjadi saat ini sebenarnya juga diikutid e n g a n p e r u b a h a n p r o s e s b i s n i s p e r u s a h a a n . P e n g e m b a n g a n s t r a t e g i b i s n i s s e l a l u dikaitkan dengan pengembangan strategi IT. Terkadang, pelaksanaan strategi systeminformasi tidaklah berjalan dengan baik. Konsep Information of Technology (IT) governance adalah cara mengel o l a penggunaan teknologi informasi di sebuah organisasi. IT Govern ance menggabungkang o o d p r a c t i c e s d a r i p e r e n c a n a a n d a n p e n g o r g a n i s a s i a n , p e m b a n g u n a n d a n pengimplementasian, delivery dan support, serta memonitor kinerja system informasiuntuk memastikan kalau informasi dan teknologi yang berhubungan mendukung tujuandan misi organisasi. Salah satu cara mengetahui hal tersebut adalah dengan melakukan proses audit terhadap sistem tersebut. Audit dilakukan dengan tujuan untuk menetapkankondisi saat ini, mencari kekurangan-kekurangan dan merekomendasikan perbaikan agar sistem informasi lebih berguna dalam mendukung organisasi. Audit Sistem Informasi dapat dilakukan perusahaan untuk mengevaluasi/audit sistem yang telah ada juka terdapatkekurangan terhadap sistem yang ada.Penulisan ini bertujuan untuk mengungkapkan pentingnya audit sistem informasidalam perusahaan. Dalam penulisan ini, COBIT (Control Obejctive for Information and Related Technology) dapat digunakan sebagai toolsya n g d i g u n a k a n u n t u k mengefektifkan implementasi sistem informasi dalam perusahaan. COBIT terdiri dari 4domain, yaitu Planning-Oragnization (PO), AcquisitionImplementation (AI), Delivery-Support (DS), dan Monitoring (M). COBIT framework digunakan untuk menyusun danmenerapkan model audit sistem infromasi dengan tujuan untuk memberikan masukan danrekomendasi bagi pihak manajemen perusahaan untuk perbaikan pengelolaan sisteminformasi di masa mendatang. Kata Kunci : audit IT, sistem informasi, COBIT

BAB I Pendahuluan L a t a r B e l a k a n g

Pemanfaatan IT dalam dunia industri sudah sangat penting. IT memberi peluangterjadinya transformasi dan peningkatan produktifitas bisnis. Penerapan IT membutuhkan b i a ya y a n g c u k u p b e s a r d e n g a n r e s i k o k e g a g a l a n ya n g t i d a k k e c i l , ya i t u b i l a t e r j a d i gangguan pada IT yang dimiliki. Penerapan IT di dalam perusahaan dapat digunakansecara maksimal, untuk itu dibutuhkan pemahaman yang tepat mengenai konsep dasar dari sistem yang berlaku, teknologi yang dimanfaatkan, aplikasi yang digunakan dan pengelolaan serta pengembangan sistem IT yang dilakukan. Era globalisasi sekarang ini, perusahaan harus dapat mengatasi masalah d a n perubahan yang terjadi secara cepat dan sesuai sasaran. Oleh karena itu, faktor yangharus diperhatikan tidak hanya berfokus pada pengelolaan informasi semata, melainkan juga harus fokus untuk menjaga dan meningkatkan mutu informasi perusahaan. Dalamk o n t e k s i n i , i n f o r m a s i d a p a t d i k a t a k a n m e n j a d i k u n c i u n t u k m e n d u k u n g d a n meningkatkan manajemen perusahaan agar da p a t m e m e n a n g k a n p e r s a i n g a n ya n g semakin lama akan semakin meningkat.Peningkatan kebutuhan dari para pelanggan terhadap tuntutan kinerja perusahaanyang lebih baeik semakin lama semakin tinggi. Dari satu sisi, tidak hanya melalui hasil(output) berupa produk atau jasa semata, tetapi dewasa ini juga telah mencakup proses ya n g b e r h u b u n g a n d e n g a n p e l a n g g a n . M u l a i d a r i p r o s e s p e m e s a n a n b a r a n g , p r o s e s pengiriman barang pelanggan, sampai ke bagian keuangan yang berhubungan dengan p e l a n g g a n a k a n l e b i h t e r k e n d a l i b i l a t e r j a d i p e r t u k a r a n i n f o r m a s i s e c a r a r e a l t i m e . Apabila perusahaan tidak dapat mengelola informasi dengan baik, maka pelanggan akandengan mudah berpindah-pindah menuju perusahaan lain.Salah satu metode pengelolaan teknologi informasi yang digunakan secara luasadalah IT governance yang terdapat pada COBIT (Control Objectives for Informationa n d R e l a t e d T e c h n o l o g y) . C O B I T d a p a t d i k a t a k a n s e b a g a i k e r a n g k a k e r j a t e k n o l o g i informasi yang dipublikasikan oleh ISACA (Information System Audit and ControlAssociation). COBIT berfungsi mempertemukan semua bisnis kebutuhan kontrol dan isu-isu teknik. Di samping itu, COBIT juga dirancang agar dapat menjadi alat b antu yangdapat memecahkan permasalahan pada IT governance dalam memahami dan mengelolaresiko serta keuntungan yang behubungan dengan sumber daya informasi perusahaan.

1.2 Ruang Lingkup Untuk lebih mengarahkan penyusunan dan penulisan, topik yang dibahas meliputi: Evaluasi sistem informasi dengan menggunakanCOBIT Pembuatan meliputi pentingnya IT Governance dalam pengelolaan IT yang baik. COBIT secara keseluruhan terbagi menjadi 4 domain, yaitu Planning &Organization, Acquisition & Implementation, D e l i v e r y & S u p p o r t , d a n Monitoring & Evaluation. Penjabaran 4 domain tersebut dituangkan ke dalam 34 proses 1 . 3 T u j u a n d a n M a n f a a t

Adapun tujuan dari penulisan paper ini adalah : M e l a k u k a n p e n e l i t i a n t e r h a d a p m e t o d e C O B I T y a n g a d a s e h i n g g a d a p a t mengevaluasi kelebihan dan kekurangan system informasi yang ada dalam perusahaan Menganalisa kebutuhan control yang diperlukan perusahaan, khususnya dalammengelola teknologi informasi. M e m b e r i k a n w a w a s a n l e b i h j a u h t e r h a d a p k e m a j u a n i l m u p e n g e t a h u a n t erutama dalam bidang Audit Sistem Informasi dan Teknologi Informasi d engan standar COBIT 1 . 3 . 2 M a n f a a t Adapun manfaat-manfaat dari penulisan paper ini adalah : M e m b e r i k a n p e n i l a i a n d a n a r a h a n ya n g b e r o r i e n t a s i p a d a b i s n i s d e n g a n menggunakan standar COBIT terhadap kebutuhan kontrol bagi pi h a k manajemen Proses dan hasil penelitian dapat dijadikan arah untuk menuju penerapan ITGovernance yang baik bagi perusahaan. Memberikan referensi bagi mahasiswa-mahasiswi BINUS University yangingin memahami konsep COBIT Pemahaman terhadap IT Governance dengan acuan COBIT yang merupakansalah satu topic skripsi yang dapat diambil mahasiswa BINUS. 1 . 4 M e t o d o l o g i P e n u l i s a n

D a l a m m e n ye l e s a i k a n t u g a s p a p e r i n i s a ya m e n g a m b i l s u m b e r s u m b e r d a r i internet, google, website-website, jurnal, dan buku-buku yang berhubungan dengan topik BAB 2 LANDASAN TEORI 2.1Teori-teori Umum 2 . 1 . 1 P e n g e r t i a n S i s t e m

Menurut OBrien, system merupakan sekumpulan komponenkomponen yangsaling berhubungan dan bekerja sama untuk mencapai tujuan bersama, dengan menerimamasukan dan menghasilkan pengeluaran melalui proses transformasi yang terorganisir.

Menurut Mathiassen, system adalah sekumpulan k o m p o n e n y a n g mengimplementasikan kebutuhan pemodelan fungsi dan antar muka.Jadi secara umum, system adalah gabungan kompenen -komponen yang saling bekerja sama, yang dapat mengolah transformasi yang teratur, sehingga output tersebutdapat berguna bagi pelaksanaan suatu kegiatan atau fungsi utama dari sebuah organisasi. 2 . 1 . 2 P e n g e r t i a n I n f o r m a s i

M e n u r u t O B r i e n , i n f o r m a s i a d a l a h a d a t a ya n g t e l a h d i u b a h k e d a l a m s e b u a h bentuk yang mempunyai arti dan berguna bagi pemakai tertentu atau khusus. Menurut Mcleod, informasi adalah data yang telah diproses sehingga menjadi data yang mempunyai arti dan berguna bagi pemakainya.Jadi secara umum kesimpulan definisi informasi adalah kumpulan dari fakta ataudata yang dapat diatur dan diproses dalam beberapa cara sehingga dapat berguna bagi pengguna. 2.1.3Pengertian Teknologi Informasi

Teknologi Informasi adalah suatu hardware (perangkat keras) dan softw a r e (perangkat lunak) yang digunakan oleh sistem informasi, hardware atau perangkat kerasmerupakan peralatan fisik yang terlibat dalam pemrosesan informasi seperti computer,workstation, peralatan jaringan, tempat penyimpanan data serta peralatan transmisi.Software adalah program computer yang menginterpretasikan apa yang harus dilakukan. Teknologi Informasi adalah teknologi computer untuk me m p r o s e s d a n m e n y i m p a n i n f o r m a s i , s a m a b a i k n ya d e n g a n t e k n o l o g i k o m u n i k a s i u n t u k t r a n s m i s i informasi 2.2Teori-teori Khusus 2 . 2 . 1 P e n g e r t i a n I T G o v e r n a n c e

Menurut Wikipedia, IT governance adalah satu cabang dari tata kelola perusahaany a n g t e r f o k u s p a d a s ys t e m t e k n o l o g i i n f o r m a s i ( T I ) s e r t a m a n a j e m e n k i n e r j a d a n resikonya. Meningkatnya minat pada tata kelola TI sebagian besar muncul karena adanya prakarsa kepatuhan serta semakin diakuinya kemudahan proyek TI untuk lepas kendali yang dapat berakibat besar terhadap kinerja suatu organisasi. 2 . 2 . 2 P e n g e r t i a n A u d i t S I

Menurut Wikipedia, audit teknologi informasi adalah bentuk pengawasan dan p e n g e n d a l i a n d a r i i n f r a s t r u k t u r t e k n o l o g i i n f o r m a s i s e c a r a m e n ye l u r u h . A u d i t teknologi informasi ini dapat berjalan bersama-sama dengan audit financial dan auditi n t e r n a l , a t a u d e n g a n k e g i a t a n p e n g a w a s a n d a n e v a l u a s i l a i n ya n g s ejenis.

P a d a mulanya istilah ini dikenal dengan audit pemrosesan data elektronik, dan sekarangaudit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasidari semua kegiatan system informasi dalam perusahaan itu. Istilah lain dari auditteknologi informasi adalah audit computer yang banyak dipakai untuk menentukana p a k a h a s s e t s ys t e m i n f o r m a s i p e r u s a h a a n i t u t e l a h b e k e r j a s e c a r a e f e k t i f , d a n integrative dalam mencapai target organisasinya. 2.2.3Pengertian Pengendalian Internal

Menurut Weber, komponen pengendalian internal meliputi : a ) L i n g k u n a n P e n g e n d a l i a n Prosedur-prosedur pengendalian harus dioperasikan b ) P e n a k s i r a n R e s i k o Meliputi tentang identifikasi resiko, analisa resiko, dan cara pengendalian resiko c)Aktivitas Pengendalian d ) P e m r o s e s a n I n f o r m a s i d a n K o m u n i k a s i Meliputi identifikasi informasi dan pengelolaan informasi e ) P e m a n t a u a n Memastikan pengendalian berjalan dengan baik 2 . 2 . 4 C O B I T

2.2.4.1Pengertian COBIT COBIT (Control Objectives for Information and Related Technology)merupakan sekumpulan dokumentasi dan panduan yang mengarahkan pada ITgovernance yang dapat membantu auditor, manajemen, dan pengguna (user)u n t u k m e n j e m b a t a n i p e m i s a h a n t a r a r e s i k o b i s n i s , k e b u t u h a n k o n t r o l , d a n permasalahan-permasalahan teknis. COBIT dikembangkan oleh IT governanceInstitute (ITGI) yang merupakan bagian dari Information Systems Audit andControl Association (ISACA) Menurut Campbell COBIT merupakan suatu cara untuk menerapkan ITgovernance. COBIT berupa kerangka kerja yang harus digunakan oleh suatuo r g a n i s a s i b e r s a m a a n d e n g a n s u m b e r d a ya l a i n n ya u n t u k m e m b e n t u k s u a t u s t a n d a r ya n g u m u m b e r u p a p a n d u a n p a d a l i n g k u n g a n ya n g l e b i h spesifik.Secara terstruktur, COBIT terdiri dari seperangkat contol obje ctives untuk bidang teknologi indormasi, dirancang untuk memungkink a n t a h a p a n b a g i audit.Menurut IT Governance Institute C ontrol Objectives for Information andr e l a t e d T e c h n o l o g y (COBIT, saat ini edisi ke-4) adalah sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor,manajemen and pengguna ( user ) untuk menjembatani gap antara risiko bisnis,kebutuhan kontrol dan permasalahan-permasalahan teknis. 2.2.4.2COBIT dan sejarah perkembangannya COBIT muncul pertama kali pada tahun 1996 yaitu COBIT versi 1 yangm e n e k a n k a n p a d a b i d a n g a u d i t , C O B I T v e r s i 2 p a d a t a h u n 1 9 9 8 y a n g menekankan pada tahap kontrol, COBIT versi 3

p a d a t a h u n 2 0 0 0 y a n g berorientasi kepada manajemen, dan COBIT ve r s i 4 ya n g l e b i h m e n g a r a h kepada IT governance. COBIT terdiri dari 4 domain, yaitu: Planning & Organization Acquisition & Implementation Delivery & Support Monitoring & Evalution 2.2.4.3Kerangka kerja COBIT Menurut Campbell dalam hirarki COBIT terdapat 4 domain COBIT yangt e r b a g i m e n j a d i 3 4 p r o s e s d a n 3 1 8 c o n t r o l o b j e c t i v e s , s e r t a 1 5 4 7 c o n t r o l practitices. Dalam setiap domain dan proses di dalamnya tersedia pula panduanmanajemen, panduan audit, dan ringkasan bagi pihak eksekutif Adapun kerangka kerja COBIT secara keseluruhan terdiri atas arahan sebagai berikut: Control Obejctives: terdiri atas 4 tujuan pengendalian tingkat tinggi yangtercermin dalam 4 domain. Audit guidelines: berisi 318 tujuan pengendalian bersifat rinci Management guidelinesL berisi arahan, baik secara umum dan spesifik mengenai hal-hal yang menyangkut kebutuhan manajemen. Secara garis besar dapat memberikan jawaban mengenai: oApa saja indikator untuk mencapai hasil kinerja yang baik? oFaktor apa saja yang harus diperhatikan untuk mencapai sukses? oApa resiko yang mungkin muncul bila tidak mencapai sasaran? Disamping itu, dalam kerangka kerja COBIT juga memasukkan bagianbagianseperti : Maturity models: untuk menilai tahap maturity IT dalam skala 0-5 Critical Success Factors (CSFs): arahan implementasi bagi manajemendalam melakukan pengendalian atas proses IT. K e y G o a l I n d i c a t i r s ( K G I s ) : b e r i s i m e n g e n a i a r a h a n k i n e r j a p r o s e s proses IT sehubungan dengan kebutuhan bisnis. K e y P e r f o r m a n c e I n d i c a t o r s ( K P I s ) : k i n e r j a p r o s e s p r o s e s I T sehubungan dengan sasaran/tujuan proses (process goals)

BAB 3 PEMBAHASAN 3.1IT Governance 3 . 1 . 1 I T G o v e r n a n c e

I n s t i t u t e

The It Governance Institute (ITGITM) didirikan pada tahun 199 8 untuk m e m a j u k a n p e m i k i r a n d a n s t a n d a r i n t e r n a s i o n a l u n t u k m e n g a r a h k a n d a n mngendalikan suatu IT perusahaan. ITGI mengembangkan Control Objective for Information and related Technology (COBIT), sekarang dalam edisi keempat dan ValI T T M , d a n m e n a w a r k a n s t u d i k a s u s d a n r i s e t u n t u k m e m b a n t u p a r a p e m i m p i n perusahaan dan dewan direktur dalam mempertanggungjawabkan IT Governancemereka.

ITGI merupakan suatu pemikiran riset yang ada sebagai acuan yang terkemuka p a d a s i s t e m b i s n i s I T G o v e r n a n c e u n t u k k o m u n i t a s b i s n is yang global. I T G I mengarahkan untuk keuntungan bagi perusahaan dengan membantu para pemimpin p e r u s a h a a n d i d a l a m t a n g g u n g j a w a b m e r e k a u n t u k m e r a i h kesuksesan IT dalam m e n d u k u n g t u j u a n d a n m i s i p e r u s a h a a n . D e n g a n p e l a k s a n a a n r i s e t p a d a I T Governance dan berhubungan topi k , I T G I m e m b a n t u p a r a p e m i m p i n p e r u s a h a a n memahami dan memiliki tools untuk memastikan efektifitas Governance pada IT di dalam perusahaan mereka. 3 . 1 . 2 T u j u a n I T G o v e r n a n c e

IT Governance bertujuan untuk mengarahkan IT dan memastikan pencap a i a n kinerja sesuai dengan tujuan yang diinginkan, antara lain : a)IT menjadi searah dengan perusahaan d a n m a n f a a t y a n g d i j a n j i k a n d a p a t terealisasi b)IT memungkinkan perusahaan memanfaatkan peluang dan m e m a k s i m a l k a n keuntungan. c)Sumber daya IT digunakan secara bertanggung jawab d)IT berkaitan erat dengan resiko yang harus diatur dengan baik. 3 . 1 . 3 S a s a r a n I T G o v e r n a n c e

Secara umum sasaran aktivitas IT Governance adalah untuk memahami isu dan pentingnya IT yang strategis, untuk memastikan sebuah perusahaan dapat mendukungo p e r a s i n y a d a n u n t u k m e m a s t i k a n p e r u s a h a a n d a p a t m e n e r a p k a n s t r a t e g i ya n g d i p e r l u k a n u n t u k m e m p e r l u a s a k t i v i t a s n y a m e n u j u m a s a d e p a n . P r a k t e k I T Governance mengarah dpada kepastian perkir a a n u n t u k I T ya n g d i k e m b a n g k a n , kinerja IT dapat diukur, sumber dayanya dapat diatur dan resiko dapat dikurangi. 3 . 1 . 4 F o k u s A r e a I T G o v e r n a n c e

Fokus area IT Governance antara lain :a)Strategic alignment, dengan focus pada arah bisnis dan solusi kolaboratif b)Value delivery, focus pada optimasi biata dan membuktikan nilai dari ITc ) R i s k m a n a g e m e n t , m e n u n j u k k a n p e r l i n d u n g a n a s s e t I T , p e n a n g g u l a n g a n bencana, dan operasi kontinuitasd)Resource Management, optimisasi pengetahuan dan infrastruktur ITe ) P e r f o r m a n c e m e a s u r e m e n t , p e n g e c e k a n p e n g e m b a n g a n p r o y e k d a n monitor pelayanan IT. 3 . 1 . 5 P r o s e s I T G o v e r n a n c e

Proses IT Governance dimulai dengan menentukan sasaran untuk IT perusahaan,menyediakan petunjuk awal. Setelah itu, perulangan secara berkelanjutan dibentuk;kinerja diukur dan dibandingkan dengan sasaran awal, menghasilkan arahan kembalidari aktivitas yang diperlukan dan perubahan sasaran yang sesuai.

Ketikasasaranm e n j a d i t a n g g u n g j a w a b u t a m a d a n u k u r a n k i n e r j a m a n a j e m e n , i t u j e l a s h a r u s dikembangkan dengan perencanaan yang baik sehingga sasaran dapat terjangkau danukuran menggambarkan sasaran dengan tepat. 3 . 1 . 6 P e n t i n g n y a I T G o v e r n a n c e

Alasan terakhir IT Governance penting dikarenakan ketidaksesuaian ant a r a harapan dan realita/kenyataan. Direktur selalu mengharapkan manajemen untuk : a)Memberikan solusi IT dengan kualitas yang baik, tepat waktu, dan efisien. b)Pemanfaatan IT memberikan pengembalian business value. c)Pemanfaatan IT untuk meningkatkan efisiensi dan produktivit a s k e t i k a mengelola resiko K e t i d a k e f e t i f a n I T G o v e r n a n c e m e m u n g k i k a n p e n ye b a b d a r i p e n g a l a m a n negative perusahaan dalam pemanfaatan IT, antara lain : a)Kerugian bisnis, kerusakan reputasi atau posisi ko m p e t i t i f y a n g menurun/lemah. b)Batas waktu tidak tercapai, biaya lebih tinggi dibandingkan harapan yangdiinginkan c)Efisiensi dan proses perusahaan memberi dampak negati f t e r h a d a p rendahnya kualitas penggunaan IT. d)Kegagalan inisiatif IT dapat membawa inovasi dan manf a a t y a n g dijanjikan. Menurut Fox dan Zonneveld, menyimpulkan dalam tatakelola yang baik, perananIT Governance merupakan hal yang sangat penting, dalam konteks organisasi bisnisyang berkembang kebutuhan akan IT bukan merupakan barang yang langka. 3 . 1 . 7 T a t a K e l o l a I T Tata kelola TI suatu perusahaan sangatterkait dengan tanggung jawab d antindakan pengurus dan manajemen eksekutif (CIOs). Mereka bertangg ung jawabterhadap arah strategi perusahaan, memastikan bahwa tujuan p e r u s a h a a n d a p a t tercapai dan berbagai sumber daya perusahaan telah dimanfaatkan dengan tepat. Tatakelola TI membutuhkan pengaturan yang tepat untuk memadukan strategi TI dan pemanfaatan sumberdaya TI guna memberikan keuntungan yang kompetitif bagi perusahaan. Sederhananya, tata kelola TI menggunakan prinsip-prinsip tata kelola perusahaan terhadap departemen TI.Menyadari bahwa TI terkait dengan semua aspek bisnis perusahaan, maka tata kelola TI harus dilihat sama nilai pentingnya dengan standar pengelolaan bisnis. Tatakelola TI yang efektif mampu menghasilkan keuntungan-keuntungan bisnis yangnyata misalnya reputasi, kepercayaan, dan pangsa pasara. Hal itu mampu menurunkanr e s i k o m a n a j e m e n . P e r k e m b a n g a n b i s n i s ya n g s a n g t c e p a t d e w a s a i n i s e r i n g k a l i membutuhka n pengambilan keputusan yang juga cepat, yang berdasarkan pada data penjualan dan kecenderungan pasar. Keputusan-keputusan itu tidak bisa dibuat jikasistem yang menyediakan data dan informasi tersebut tidak berjalan baik. Selainitu,k a r y a w a n y a n g s e r i n g k a l i m e m b r o w s i n g s i t u s w e b y a n g t i d a k s e s u a i d e n g a n tanggungjawab pekerjaannya atau mengirim e -mail yang

aneh-aneh misalnya justrudapat secara dramatis berdampak terhadap reputasi perusahaan selama bertahun-tahun.Semakin tinggi kebutuhan (demand) akan informasi tentunya produksi perangkatteknologi informasi juga akan meningkat. Vendor-vendor teknologi berlomba-lombamengembangkan produknya dengan segala keunggulan teknologi dan harga yangkompetitif. Disisi pengguna baik individu maupun korporasi, tentunya ada hal positif yang dapat diambil dari persaingan vendor diatas, diantaranya adalah banyak pilihanyang dapat disesuaikan dengan anggaran yang ada.Disisi korporasi, tentunya perubahan yang cepat terhadap teknologi informasi bisa berimpact positif dan negatif. Over investment adalah hal negatif yang dapat terjadi j i k a k o r p o r a s i s a l a h d a l a m m e n e t a p k a n , m e n j a l a n k a n m a u p u n m e n j a g a s t r a t e g i bisnisnya sejalan dengan perkembangan teknologi informas i. Impact positif akandidapatkan hanya jika korporasi dapat menetapkan, menjalankan maupun menjagas t r a t e g i b i s n i s n ya s e j a l a n d e n g a n p e r k e m b a n g a n t e k n o l o g i i n f o r masi. D i s i n i l a h m u n c u l t e r m i n o l o g i T a t a k e l o l a I T ( I T G o v e r n a n c e ) ya n g b a n y a k d i b i c a r a k a n oleh korporasi maupun institusi pemerintah T a t a k e l o l a I T ( I T G o v e r n a n c e ) s a n g a t d i p e r l u k a n d i a n t a r a n ya u n t u k t e t apm e n j a g a i n v e s t a s i , m e n i n g k a t k a n d a y a s a i n g ( m e m b e r i k a n n i l a i t a m b a h ) , serta menjaga keberlangsungan bisnis/usaha/pemerintahan. COBIT adalah kerangkatata kelola IT (IT Governace framework) yang banyak dipakai oleh praktisi. 3 . 1 . 8 G o o d G o v e r n a n c e

Kunci utama memahami good governance adalah pemahaman atas prinsip-prinsipdi dalamnya. Bertolak dari prinsip -prinsip ini akan didapatkan tolak ukur kinerjas u a t u p e m e r i n t a h a n . B a i k b u r u k n y a p e m e r i n t a h a n b i s a d i n i l a i b i l a i a t e l a h bersinggungan dengan semua unsur prinsipprinsip good governance. Menyadari p e n t i n g n y a m a s a l a h i n i , p r i n s i p p r i n s i p g o o d g o v e r n a n c e d i u r a i s a t u p e r s a t u sebagaimana tertera di bawah ini: 1 ) P a r t i s i p a s i M a s y a r a k a t Semua warga masyarakat mempunyai suara dalam pengambilan keputusan, baik secara langsung maupun melalui lembaga-lembaga perwakilan sah yangm e w a k i l i k e p e n t i n g a n m e r e k a . P a r t i s i p a s i m e n y e l u r u h t e r s e b u t d i b angun berdasarkan kebebasan berkumpul dan mengungkapkan pendapa t , s e r t a kapasitas untuk berpartisipasi secara konstruktif. 2 ) T e g a k n y a S u p r e m a s i Hukum Kerangka hukum harus adil dan diberlakukan tanpa pandang bulu,termasuk di dalamnya hukum-hukum yang menyangkut hak asasi manusia. 3)Transparansi Tranparansi dibangun atas dasar arus informasi y a n g b e b a s . Seluruh proses pemerintahan, lembaga-lembaga dan informasi perlu dapatdiakses oleh pihak-pihak yang berkepentingan, dan informasi yang tersediaharus memadai agar dapat dimengerti dan dipantau.

4 ) P e d u l i p a d a S t a k e h o l d e r Lembaga-lembaga dan seluruh proses pemerintahan harus berusaha melayanisemua pihak yang berkepentingan. 5 ) B e r o r i e n t a s i p a d a K o n s e n s u s Tata pemerintahan yang baik menjembatani kepentingan-kepentingan yang berbeda demi terbangunnya suatu konsensus menyeluruh dalam hal apa yangterbaik bagi kelompok-kelompok masyarakat, dan bila mungkin, konsensusdalam hal kebijakan-kebijakan dan prosedur-prosedur. 6 ) K e s e t a r a a n Semua warga masyarakat mempunyai kesempata n m e m p e r b a i k i a t a u mempertahankan kesejahteraan mereka. 7 ) E f e k t i f i t a s d a n E f i s i e n s i Proses-proses pemerintahan dan lembagalembaga membuahkan hasil sesuaikebutuhan warga masyarakat dan dengan menggunakan sumber-sumber dayayang ada seoptimal mungkin. 8 ) A k u n t a b i l i t a s Para pengambil keputusan di pemerintah, sektor sw a s t a d a n o r g a n i s a s i - organisasi masyarakat bertanggung jawab baik kepada masyarakat maupunkepada lembaga-lembaga yang berkepentingan. Bentuk pertanggung jawabantersebut berbeda satu dengan lainnya tergantung dari jenis organisasi yang bersangkutan. 9 ) V i s i S t r a t e g i s Para pemimpin dan masyarakat memiliki perspektif yang luas dan jauh ked e p a n a t a s t a t a p e m e r i n t a h a n y a n g b a i k d a n p e m b a n g u n a n m a n u s i a , s e r t a kepekaan akan apa saja yang dibutuhkan untuk mewujudkan perkembangantersebut. Selain itu mereka juga harus memiliki pemahaman atas kompleksitaskesejarahan, budaya dan sosial yang menjadi dasar bagi perspektif tersebut. 3.2Audit SI Audit sebuah system teknologi informasi untuk saat ini adalah sebuah keharusan.Audit perlu dilakukan agar sebuat system mampu memenuhi syarat IT Governance. Audit system informasi adalah cara untuk melakukan pengujian terhadap system informasi yangada ldalam organisasi untuk mengetahui apakah system informasi yang dimiliki telahsesuai dengan visi, misi dan tujuan organisasi, menguji performa system informasi danuntuk mendeteksi resiko-resiko dan efek potensial yang mungkin timbul. 3 . 2 . 1 T i p e - t i p e A u d i t

Tipe-Tipe audit antara lain : Adequacy Audit, yakni menentukan sejauh mana suatu system manajemen y a n g t e l a h t e r d o k u m e n t a s i d a p a t c u k u p m e m e n u h i p e r s ya r a t a n s t a n d a r d . Dalam hal ini perlu diperhatikan adanya identifikasi dan mencatat area aream a n a y a n g t i d a k m e m e n u h i s t a n d a r d b e r d a s a r k a n a n a l i s a d o k u m e n t a s i sehingga perlu adanya pengetahuan yang mendalam terhadap standard. Compliance Audit, yakni menentukan sejauh mana suatu system manajemenyang telah terdokumentasi diterapkan secara berkesinambungan. Dalam hali n i p e r l u d i c a t a t a d a n ya p e r b e d a a n p e r b e d a a n a n t a r a p e n e r a p a n d e n g a n dokumen berdasarkan sample dari kegiatan dan bukti yang objektif.

3.2.2Fungsi

dasar

dari

Internal

Audit

Internal auditing adalah suatu penilaian, yang dilakukan oleh pegawai perusahaanyang terlatih mengenai ketelitian, dapat dipercayainya, efisiensi, dan kegunaan catatan-catatan (akutansi) perusahaan, serta pengendalian intern yang terdapat dalam perusahaan. Tujuannya adalah untuk membantu pimpinan perusahaan ( m a n a j e m e n ) d a l a m m e l a k s a n a k a n t a n g g u n g j a w a b n ya d e n g a n m e m b e r i k a n a n a l i s a , p e n i l a i a n , s a r a n , d a n komentar mengenai kegiatan yang di audit. Untuk mencapai tujuan tersebut, internalauditor melakukan kegiatankegiatan berikut: Menelaah dan menilai kebaikan, memadai tidaknya dan penerapa n s i s t e m pengendalian manajemen, struktur pengendalian intern, dan p e n g e n d a l i a n o p e r a s i o n a l l a i n n ya s e r t a m e n g e m b a n g k a n p e n g e n d a l i a n ya n g e f e k t i f d e n g a n biaya yang tidak terlalu mahal, Memastikan ketaatan terhadap kebijakan, rencana dan prosedurprosedur yangtelah ditetapkan oleh manajemen M e m a s t i k a n s e b e r a p a j a u h h a r t a p e r u s a h a a n d i p e r t a n g g u n g j a w a b k a n d a n dilindungi dari kemungkinan terjadinya segala bentuk pencurian, kecurangan dan penyalahgunaan Memastikan bahwa pengelolaan data yang dikembangkan dalam organisasi dapatdipercaya Menilai mutu pekerjaan setiap bagian dalam melaksanakan tugas yang diberikanoleh manajemen Menyarankan perbaikanperbaikan operasional dalam rangka meningkatkanefisensi dan efektifitas. Dari kegiatankegiatan yang dilakukannya tersebut dapatdisimpulkan bahwa internalauditor antara lain memiliki peranan dalam : Pencegahan Kecurangan (Fraud Prevention), Pendeteksian Kecurangan (Fraud Detection), dan Penginvestigasian Kecurangan ( Fraud Investigation) 3.2.3Prinsip Laporan Audit Hasil aktivitas audit adalah laporan audit itu sendiri. Laporan audit merupakanm e d i a y a n g d i p a k a i o l e h a u d i t o r d a l a m b e r k o m u n i k a s i d e n g a n m a s y a r a k a t lingkungannya. Laporan audit berupa komunikasi dan ekspresi auditor terhadap objek yang diaudit agar laporan atau ekspresi auditor tadi dapat dimengerti maka laporan ituharus mampu dipahami oleh penggunanya. Artinya laporan ini mampu menyampaikantingkat kesesuaian antara informasi yang diperoleh dan diperiksa dengan kriteria yangt e l a h d i t e t a p k a n . Dalam pelaporan audit terdapat standar -standar yang harus dianut oleh auditor.Standar Pelaksanaan audit adalah pedoman bagi akuntan publik dalam menilai kualitashasil pekerjaan dan mengukur tingkat tanggung jawab akuntan. Secara

baku standar yangmenjadi ukuran pekerjaan auditor tersebut ditetapkan oleh organisasi akuntan profesional,contohnya Generally Accepted Auditing Standards (GAAS). GAAS mencakup mutu profesional akuntan publik dan pertimbangan dalam pelaksanaan dan pelaporan audit.GAAS terdiri dari : Standar Umum oA u d i t h a r u s d i l a k s a n a k a n o l e h s e s e o r a n g a t a u l e b i h y a n g m e m i l i k i keahlian dalam bidangnya dan telah menjalani latihan teknis yang cukup. oDalam semua hal yang berhubungan dengan penugasan yang diberikank e p a d a n y a , a u d i t o r h a r u s s e n a n t i a s a m e m p e r t a h a n k a n s i k a p m e n t a l independen. oDalam pelaksanaan audit dan penyusunan laporan keuangannya , auditor w a j i b m e n g g u n a k a n k e m a h i r a n p r o f e s i o n a l n y a d e n g a n c e r m a t d a n seksama. Standar Pelaksanaan Audit oA u d i t h a r u s d i r e n c a n a k a n s e b a i k - b a i k n ya d a n j i k a d i g u n a k a n asisten harus dipimpin dan diawasi dengan semestinya. oSistem Pengendalian intern yang ada harus dipelajari dan dinilaid e n g a n s e c u k u p n ya u n t u k m e n e n t u k a n d a p a t / t i d a k n y a s i s t e m t e r s e b u t diandalkan sebagai dasar untuk menetapkan luasnya pengujian yang harusdilakukan serta prosedur audit yang digunakan. oB u k t i k o m p e t e n y a n g c u k u p h a r u s d i p e r o l e h m e l a l u i i n s p e k s i , pengamata n, tanya jawab, dan konfirmasi sebagai dasar yang layak untuik menyatakan pendapat atas laporan yang diaudit. Standar Pelaporan oLaporan audit harus menyatakan apakah laporan keuangan telah disusun dengan prinsip akuntansi yang berlaku umum. oLaporan audit harus menyatakan apakah prinsip akuntansi dalam periode berjalan, telah dilaksanakan secara konsisten dibandingkan dengan periode sebelumnya oP e n g u n g k a p a n i n f o r m a t i f d e n g a n l a p o r a n k e u a n g a n h a r u s di pandang memadai, kecuali dinyatakan lain dalam laporan keuangan. oLaporan audit harus memuat suatu pernyataan mengenai laporank e u a n g a n s e c a r a m e n y e l u r u h a t a u m e m u a t s u a t u p e n e g a s a n bahwa pernyataan demikian tidak dapat diberikan, maka alasan n y a h a r u s diberikan. Dalam hal auditor dikaitkan dengan laporan keuangan, makalaporan audit harus memuat pertunjuk yang jelas mengenai sifat pekerjaanaudit, jika ada dan tingkat tanggung jawab yang dipikulnya. 3 . 2 . 4 M e t o d o l o g i A u d i t I T Dalam pelaksanaanya, auditor TI mengumpulkan buktib u k t i ya n g m e m a d a i melalui berbagai teknik termasuk survey, wawancara, observasi dan review dokumentasi.S a t u h a l y a n g u n i k , b u k t i b u k t i a u d i t y a n g d i a m b i l o l e h a u d i t o r b i a s a n y a mencakup pula bukti elktronis. Biasanya, auditor TI menerapkan teknik audit berbantuancomputer, disebut juga dengan CAAT (Computer Aided Auditing Technique). Teknik inidigunakan untuk menganalisa data, misalnya saha data transaksi penjualan, pembelian,transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain.

3 . 2 . 5 L a n g k a h

d a s a r

A u d i t

S I

Audit dalam konteks teknologi informasi adalah memeriksa apakah sist e m komputer berjalan semestinya. Tujuh langkah proses audit: 1.Implementasikan sebuah strategi audit berbasis manajemen risiko s e r t a control practiceyang dapat disepakati semua pihak 2 . T e t a p k a n l a n g k a h - l a n g k a h a u d i t ya n g r i n c i . 3.Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta bermanfaat 4.Buatlah laporan beserta kesimpulannya berdasarkan fakta yang dikumpulkan. 5.Telaah apakah tujuan audit tercapai 6.Sampaikan laporan kepada pihak yang berkepentingan. 7.Pastikan bahwa organisasi mengimplementasikan managemen risiko serta control practice.Sebelum menjalankan proses audit, tentu saja proses audit harus direncanakanterlebih dahulu. Audit planning (perencanaan audit) harus secara jelas menerangkantujuan audit, kewenangan auditor, adanya persetujuan managemen tin ggi, dan metodeaudit. Metodologi audit: 1. Audit subject : Menentukan apa yang akan diaudit. 2. Audit objective: Menentukan tujuan dari audit 3. Audit Scope: Menentukan sistem, fungsi, dan bagian dari organisasi yangsecara spesifik/khusus akan diaudit. 4. Preaudit Planning:M e n g i d e n t i f i k a s i s u m b e r d a y a d a n S D M y a n g dib utuhkan, menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit, menentukan lokasi audit. 5.A u d i t p r o c e d u r e s a n d s t e p s f o r d a t a g a t h e r i n g . M e n e n t u k a n c a r a melakukan audit untuk memeriksa dan menguji kendali, menentukan siapayang akan diwawancara 6.Evaluasi hasil pengujian dan pemeriksaan. Spesifik pada tiap organisasi. 7.Prosedur komunikasi dengan pihak manajemen. Spesifik p a d a t i a p organisasi. 8. Audit Report Preparation. Menentukan bagaimana cara memeriksa hasilaudit, yaitu evaluasi kesahihan dari dokumen-dokumen, prosedur, dankebijakan dari organisasi yang diaudit. Struktur dan isi laporan audit tidak baku, tapi umumnya terdiri atas: oP e n d a h u l u a n . T u j u a n , r u a n g l i n g k u p , l a m a n ya a u d i t , p r o s e d u r audit. oKesimpulan umum dari auditor. oHasil audit. Apa yang ditemukan dalam audit, apakah prosedur dankontrol layak atau tidak oRekomendasi. Tanggapan dari manajemen (bila perlu). oExit interview. Interview t e r a k h i r a n t a r a a u d i t o r d e n g a n p i h a k manajemen untuk membicarakan temuantemuan dan rekomendasi tindak lanjut. Sekaligus meyakinkan tim manajemen bahwa hasil audit sahih. 3.3COBIT (Control Objective for Information and related Tecnology) 3 . 3 . 1 C O B I T

COBIT adalah suatu metodologi yang memberikan kerangka dasa r d a l a m menciptakan sebuah TI yang sesuai dengan kebutuhan organisasi. Tujuan COBIT adalahmenyediakan model dasar yang memungkinkan pengembangan aturan yang jelas dan praktek yang baik dalam mengontrol informasi dalam suatu organisasi/perusahaan dalammencapai tujuannya. Control Objectives for Information and related Technology adalah sekumpuland o k u m e n t a s i b e s t p r a c t i c e s u n t u k I T g o v e r n a n c e y a n g d a p a t m e m b a n t u a u d i t o r , manajemen dan pengguna untuk menjembata n i g a p a n t a r a r e s i k o b i s n i s , k e b u t u h a n control dan permasalahan-permasalahan teknis.COBIT dikembangkan oleh IT Governance Institute, yang merupakan bagian dariInformation dari Information Systems Audit and Control Association (ISACA). COBITm e m b e r i k a n a r a h a n ya n g b e r o r i e n t a s i p a d a b i s n i s , d a n k a r e n a i t u d i h a r a p k a n d a p a t memanfaatkan guideline ini dengan sebaik-baiknya.COBIT adalah suatu framework untuk membangun suatu IT Governance. Denganmengacu pada framework COBIT, suatu organisasi diharapkan mampu menerapkan ITgovernance dalam pencapaian tujuannya IT governance mengintegrasikan cara optimaldari proses perencanaan dan pengorganisasian, pengimplementasian, dukungan serta proses pemantauan kinerja TI. COBIT dapat digunakan sebagai tools yang digunakan untuk mengefekti f k a n implementasi IT Governance, yakni sebagai management guideline dengan menerapkans e l u r u h d o m a i n y a n g t e r d a p a t d a l a m C O B I T , y a k n i p l a n n i n g - o r g a n i z a t i o n ( P O ) , azquisition-implementation (AI), Delivery-support (DS) dan Monitoring (M). 3.3.2ISACA (Information System Audit and Control Associati on) I S A C A a t a u I n f o r m a t i o n S ys t e m s A u d i t a n d C o n t r o l A s s o c i a t i o n m e r u p a k a n perkumpulan atau asosiasi yang anggota-anggotanya terdiri dari Auditors, IndonesiaSystem Auditor dan mereka yang mempunyai minat terhadap control, audit dan securitysystem informasi. 3.3.3CISA (Certified Information Systems Auditor) Program Certified Information Systems Auditor (CISA) didirikan pada tahun1978 oleh Information Systems Audit and Control Association (ISACA) dengan tujuan: oMengembangkan dan memelihara instrument testing yang dapat digunakan untuk mengevaluasi kompetensi individu dalam melakukan audit sistem informasi. o M e n ye d i a k a n m e k a n i s m e u n t u k m e m o t i v a s i s i s t e m i n f o r m a s i a u d i t or untuk memelihara kompetensi dan memonitor kesuksesan maintenance program. Membantu top manajemen dalam membangun fungsi audit sistem inform a s i dengan menyediakan kriteria untuk seleksi dan pengembangan personel.Program CISA telah menjadi satu-satunya designation

yang dikenal secara globalu n t u k a u d i t s i s t e m i n f o r m a s i d a n p r o f e s i o n a l k o n t r o l . C I S A designation mendapat penghargaan tinggi dari pemerintah dan pemilik perusahaan di berbagai industri, bahkantelah menjadi kriteria pekerjaan dan/atau kemajuan dalam organisasi. Dengandikenals e b a g a i C I S A , a k a n m e m b e r i k a n n i l a i p r o f e s i o n a l d a n s e j u m l a h b e s a r k e u n t u n g a n . Pencapaian dari program CISA mendemonstrasikan keahlian audit sistem informasi sertamemberikan tanda dalam melayani sebuah organisasi dengan perbedaan. Mereka yangtelah menjadi CISA bergabung dengan para profesional dunia yang telah mendapatkan profesional designation Dengan audit sistem informasi, kontrol, dan profesi keamanan yang terhubunge r a t , p a r a p r a k t i s i ya n g b e r p e n g a l a m a n t e l a h m e l i h a t c a r a u n t u k mempromosikan pengetahuan dan keahlian mereka ke dalam dunia bis n i s . S e r t i f i k a s i p r o f e s i o n a l i n i memberikan bukti pencapaian pengetahuan dan keahlian profesional tersebut. Dengankata lain, sertifikasi untuk exclusive program worldwideuntuk profesional audit IS,kontrol, dan keamanan di bidang mereka adalah Certified Information Systems Auditor(CISA)Designation.Seperti Certified Professional Accountant (CPA) atau CharteredA c c o u n t a n t ( C A ) designation u n t u k p r o f e s i o n a l a k u n t a n s i , C I S A designationmenunjukkan kemampuan individu dalam mengaplikasikan audit SI, kontrol, prinsip dan praktik keamanan. Bagiemployers worldwide, profesional audit SI dan kontrol dengan CISA designationlebih diminati dan seringkali mendapatkan kompensasi yang lebihtinggi. Sebagai tambahan, pemegang CISA ini juga tetap perlu berkecimpung dalam profesi mereka dengan mengikuti pendidikan profesional yang berkesinambungan. 3 . 3 . 4 K e g u n a a n C O B I T

COBIT memiliki fungsi untuk: oMeningkatkan pendekatan/program audit oMendukung audit kerja dengan arahan audit secara rinci oMemberikan petunjuk untuk IT governance oSebagai penilaian benchmark untuk kendali IS/IT oMeningkatkan control IS/IT oSebagai standarisasi pendekatan/program audit. 3 . 3 . 5 C O B I T G u i d e l i n e s

Kerangka kerja COBIT, terdiri dari tujuan pengendalian tingkat tinggi d a n struktur klasifikasi keseluruhan. Terdapat tiga tingkat (level ) usaha pengaturan TI yangmenyangkut manajemen sumberdaya TI. Mulai dari bawah, yaitu kegiatan dan tugas(activities and tasks) yang diperlukan untuk mencapai hasil yang dapat diukur. DalamA k t i v i t a s t e r d a p a t k o n s e p s i k l u s h i d u p y a n g d i d a l a m n y a t e r d a p a t k e b u t u h a n pengendalian khusus. Kemudian satu lapis di

atasnya terdapat proses yang merupakang a b u n g a n d a r i k e g i a t a n d a n t u g a s ( a c t i v i t i e s a n d t a s k s ) d e n g a n k e u n t u n g a n a t a u perubahan (pengendalian) alami. Pada tingkat ya n g l e b i h t i n g g i , p r o s e s b i a s a n ya dikelompokan bersama kedalam domain.Pengelompokan ini sering disebut sebagai tanggung jawab domain dalam struktur o r g a n i s a s i d a n ya n g s e j a l a n d e n g a n s i k l u s m a n a j e m e n a t a u s i k l u s h i d u p ya n g d a p a t diterapkan pada proses TI.Selanjutnya, konsep kerangka kerja dapat dilihat dari tiga sudut pandang, yaitu: okriteria informasi(information criteria), osumberdaya TI(IT resources), dan o proses TI(IT processes). manajemen yang akan digunakan dalam kegiatan harian organisasi. Kemudiane m p a t d o m a i n ya n g l e b i h l u a s d i i d e n t i f i k a s i k a n , ya i t u P O , A I , D S , d a n M . D e f i n i s i keempat domain tersebut, dimasukan dalam klasifikasi tingkat tinggi sebagai berikut : oP O , d o m a i n i n i m e n c a k u p l e v e l s t r a t e g i s d a n t a k t i s , d a n k o n s e n n y a p a d a i d e n t i f i k a s i c a r a T I ya n g d a p a t m e n a m b a h p e n c a p a i a n t e r b a i k t u j u a n - t u j u a n bisnis. o AI,u n t u k m e r e a l i s a s i k a n s t r a t e g i T I , s o l u s i T I ya n g p e r l u d i i d e n t i f i k a s i k a n , dikembangkan atau diperlukan, juga diimplementasikan dan diintegrasikan dalam proses bisnis. oDS, domain ini menyangkut penyampaian aktual dari layanan yang diperlukan,dengan menyusun operasi tradisional terhadap keamanan dan aspek kontinuitassampai pada pelatihan, domain ini termasuk proses data aktual melalui sistemaplikasi, yang sering diklasifikasikan dalam pengendalian aplikasi. oM, semua proses TI perlu dinilai secara teratur atas suatu waktu untuk kualitasdan pemenuhan kebutuhan pengendalian. Domain ini mengarahkan kesalahanm a n a j e m e n p a d a p r o s e s p e n g e n d a l i a n o r g a n i s a s i d a n p e n j a m i n a n i n d e p e n d e n ya n g d i s e d i a k a n o l e h a u d i t i n t e r n a l d a n e k s t e r n a l a t a u d i p e r o l a h d a r i s u m b e r alternatif. Prosesproses TI ini dapat diterapkan pada tingkatan yang berbeda dala m organisasi, misalnya tingkat perusahaan, tingkat fungsi dan lain-lain. Jelas bahwa semuaukuran pengendalian perlu memenuhi kebutuhan bisnis yang berbeda untuk informasi pada tingkat yang sama. 1.Pertama adalah tingkat tujuan pengendalian yang diterapkan s e c a r a langsung mempengaruhi kriteria informasi terkait. 2.Kedua adalah tingkat tujuan pengendalian yang ditetapk a n h a n y a memenuhi tujuan pengendalian atau secara tidak langsung kr i t e r i a informasi terkait. 3.Blank dapat diterapkan namun kebutuhannya lebih memenuhi kriteria lain dalam proses ini atau yang lainnya. A g a r o r g a n i s a s i m e n c a p a i t u j u a n n ya , p e n g a t u r a n T I h a r u s d i l a k s a n a k a n o l e h organisasi untuk menjamin sumberdaya TI yang dijalankan oleh seperangkat proses TI. 3 . 3 . 6 S u m b e r D a y a I T Sumberdaya TI yang diidentifikasikan dalam COBIT dapat diterangkan atau diidentifikasikan sebagai berikut :

o Data, adalah obyek-obyek dalam pengertian yang lebih luas (yakni internal dan eksternal), terstruktur dan tidak terstruktur, grafik, suara dan sebagainya. o Sistem aplikasi, dipahami untuk menyimpulkan atau meringkas, baik prosedur manual maupun yang terprogram. o Teknologi, mencakup hardware, sistem operasi, sistem manajemen database, jarin gan (networking) , m u l t i m e d i a , d a n l a i n - l a i n . F a s i l i t a s , a d a l a h s e m u a sumberdaya untuk menyimpan dan mendukung system informasi. o Manusia termasuk staf ahli, kesadaran dan produktivitas untuk merencanakan,m e n g o r g a n i s a s i k a n a t a u m e l a k s a n a k a n , m e m p e r o l e h , m e n y a m p a i k a n , mendukung dan memantau layanan sistem informasi. 3.3.7Cakupan Audit dan IT Governance Cakupan Audit TI cukup luas, karena tidak terbatas pada aspek teknologinya saja,melainkan dapat mencakup aspek orang dan proses sistem informasi berbasis komputer.Begitu juga manfaatnya, antara lain kepastian (assurance) bagi manajemen bahwa suatus i s t e m ( m i s a l n y a , B a n k i n g A p p l i c a t i o n s , s y s t e m E R P , e - G o v e r n m e n t , N e t w o r k Communication, dll) akan dapat memenuhi harapan manajemen.Karenanya, agar memberikan hasil audit TI yang memuaskan, maka tim audit TIharus memiliki pemahaman yang mendalam mengenai bisnis perusahaan yang diauditdan juga wawasan yang luas tentang aspek governance dan kontrol suatu proses TI ataus i s t e m i n f o r m a s i ya n g m e n j a d i o b y e k p e m e r i k s a a n n ya . P e m a h a m a n akan konsep ITG o v e r n a n c e a k a n s a n g a t m e m b a n t u a u d i t o r T I d a l a m m e m b e r i k a n p e n e k a n a n pemeriksaan pada aspek-aspek berikut:1.Perencanaan dan manajemen proyek-proyek TI dan kaitannya dengan sasaran bisnis.2.Manajemen risiko guna menghindari kesalahan fatal atas operasional TI, dan,3.Pemanfaatan sumber daya TI yang optimal dan dapat dipertanggungjawabkan.D e n g a n b e g i t u , s e o r a n g a u d i t o r T I d a p a t m e n j a d i a d v i s o r y a n g "menyenangkan" bagi auditee (pihak yang diperiksa) karena kemampuannyamemberikan practical value-added recommendation yang dapat membantu perusahaan mencapai tujuannya

Kode Etik Profesional The Information Systems Audit and Control Association (ISACA) mengeluarkankode etik professional (Code of Professional Ethics) untuk dijadikan panduan perilaku b a g i p a r a p e r s o n a l m a u p u n p r o f e s s i o n a l a n g g o t a a s o s i a s i d a n a t a u p a r a p e n ya n d a n g sertifikasi, yaitu:Anggota dan para penyandang sertifikasi ISACA, harus:1.Mendukung penerapan, dan mendorong kesesuaian de ngan, standar, prosedur dan pengendalian sistem informasi yang tepat.2 . M e l a k u k a n t u g a s - t u g a s m e r e k a s e c a r a s u n g g u h - s u n g g u h ( d u e d i l i g e n c e ) d a n profesional, sesuai dengan standar-standar professional dan praktik terbaik (best practices).20 3.Memenuhi kebutuhan para stakeholders dengan secara jujur d a n m e m e n u h i aturan/hokum, sambil menjaga tindakan dan perilaku, dan tidak terlibat dalamtindakan-tindakan yang merugikan profesi.4 . T e t a p m e n j a g a p r i v a s i d a n k e r a h a s i a a n i n f o r m a s i y a n g d i p e r o l e h s e l a m a melakukan tugast u g a s m e r e k a , k e c u a l i h a l i t u d i m i n t a o l e h p i h a k ya n g berwajib (legal authority). Informasi semacam itu tak boleh digunakan untuk keuntungan pribadi atau diberikan kepada pihak yang tidak berkompeten.5 . T e t a p m e n j a g a k o m p e t e n s i d i b i d a n g m a s i n g m a s i n g d a n b e r s e d i a h a n y a melakukan kegiatan tersebut, yang dapat mereka harapkan untuk diselesaikandengan kompetensi profesional.6 . M e m b e r i t a h u p a r a p i h a k y a n g b e r k o m p e t e n m e n g e n a i h a s i l k e r j a y a n g dilakukan; memberitahu semua fakta nyata kepada mereka.7 . M e n d u k u n g e d u k a s i p r o f e s s i o n a l k e p a d a p a r a s t a k e h o l d e r d a l a m u p a y a meningkatkan pemahaman mereka mengenai keamanan d a n p e n g e n d a l i a n sistem informasi.8 . G a g a l d a l a m m e m e n u h i K o d e E t i k P r o f e s i o n a l i n i a k a n b e r a k i b a t dilakukannya investigasi terhadap perilaku anggota dan pemegang sertifikasidan, setinggi-tingginya, akan mendapatkan tindakan indisipliner Perusahaan dan IT Governance IT Governance menyediakan suatu stuktur yang berhubungan dengan proses TI,s u m b e r d a y a T I d a n i n f o r m a s i u n t u k s t r a t e g i d a n t u j u a n p e r u s a h a a n . C a r a mengintegrasikan IT Governance dan optimalisasi perusahaan yaitu melalui perencanaandan pengorganisasian (PO), akuisisi dan implementasi (AI), penyampaian dan dukungan(DS), dan pengawasan (M) kinerja TI. IT Governance m e r u p a k a n b a g i a n t e r i n t e g r a s i b a g i k e s u k s e s a n p e n g a t u r a n perusahaan dengan jaminan efisiensi dan efektivitas perbaikan pengukuran dalam kaitandengan proses perusahaan. IT Governance memungkinkan perusahaan untuk memperolehkeunggulan penuh terhadap informasi, keuntungan yang maksimal, modal, peluang dan keunggulan kompetitif dalam bersaing.Pengaturan perusahaan ( enterprise governance ) dan sistem oleh entitas diarahkandan dikendalikan, melalui kumpulan dan arahan IT Governance

. Pada saat yang sama, TIdapat menyediakan masukan kritis, dan merupakan komponen penting bagi perencanaanstrategis. Pada kenyataannya TI dapat mempengaruhi peluang strategis yang ditetapkanoleh perusahaan. Aktivitas perusahaan membutuhkan informasi dari aktivitas TI denganmaksud untuk mempertemukan tujuan bisnis. Jaminan kesuksesan organisasi diakibatkanoleh adanya saling ketergantungan antara perencanaan strategis dan aktivitas TI lainnya.K e g i a t a n p e r u s a h a a n p e r l u i n f o r m a s i d a r i k e g i a t a n T I a g a r d a p a t mengintegrasikan tujuan bisnis. Siklus pengaturan perusahaan dapat dijelaskan sebagai berikut : pengaturan perusahaan ditentukan oleh praktek terbaik yang secara umum dapatditerima untuk menjamin perusahaan mencapai tujuannya, melalui pengendalian tertentu.Dari tujuan-tujuan ini mengalir arahan organisasi, yang mengatur kegiatan atau aktivitas perusahaan dengan menggunakan sumberdaya perusahaan. Hasil kegiatan atau aktivitas perusahaan diukur dan dilaporkan, memberikan masukan bagi pengendalian , demikianseterusnya, kembali ke awal siklus.Siklus pengaturan TI dapat dijelaskan sebagai berikut : pengaturan TI, di tentukano l e h p r a k t e k t e r b a i k y a n g m e n j a m i n i n f o r m a s i p e r u s a h a a n d a n t e k n o l o g i t e r k a i t mendukung tujuan bisnisnya, sumberdaya digunakan dengan tanggung jawab dan resikodiatur secara memadai. Praktek tersebut membentuk dasar arahan kegiatan TI yang dapatdikelompokan kedalam PO, AI, DS dan M, dengan tujuan untuk pengaturan (memperolehk e a m a n a n , k e a n d a l a n d a n p e m e n u h a n ) d a n m e n d a p a t k e u n t u n g a n ( m e n i n g k a t k a n efektivitas, dan efisiensi). Laporan dikeluarkan melalui hasil kegiatan atau aktivitas TI,yang diukur dari praktek dan pengendalian yang bervariasi, demikian seterusnya, kembalik e a w a l s i k l u s . A g a r m e n j a m i n m a n a j e m e n m e n c a p a i t u j u a n b i s n i s n ya , m a k a h a r u s m e n g a t u r d a n m e n g a r a h k a n k e g i a t a n T I d a l a m m e n c a p a i k e s e i m b a n g a n ya n g efektif a n t a r a m e n g a t u r r e s i k o d a n m e n d a p a t k a n k e u n t u n g a n . U n t u k m e l a k s a n a k a n n y a , manajemen perlu mengidentifikasikan kegiatan t erpenting. Selain itu, perlu jugakemampuan mengevaluasi tingkat kesia p a n o r g a n i s a s i t e r h a d a p p r a k t e k t e r b a i k d a n standar internasional.Untuk mendukung kebutuhan manajemen tersebut, pedoman manajemen COBIT( COBIT Management Guidelines ) telah secara khusus mengidentifikasikan CSF, KGI, KPI dan model maturity untuk pengaturan TI.

BAB 4 PENUTUP 4.1 Simpulan Dari penulisan ini, dapat disimpulkan :a)Cobit adalah suatu standar audit SI yang diterima secara internasional. b)Audit SI sangat penting untuk mencapai tujuan perusahaan.c ) I T s a n g a t d i b u t u h k a n u n t u k k e u n t u n g a n k o m p e t i t i f d a n p e r t u m b u h a n perusahaan.d)Manajemen

bertanggung jawab untuk kontrol IT.e ) T a n g g u n g j a w a b i t u m e m e r l u k a n suatu kerangka o Kebutuhan bisnis dapat dinyatakan sebagai kriteria informasi. o IT biasanya diorganisir dalam seperangkat proses. o IT memerlukan sejumlah sumber daya 4.2 Saran Untuk audit system informasi dilakukan dengan menggunakan framework COBITmerupakan salah satu alat bantu yang dapat digunakan dalam melakukan audit dan telahmendapat pengakuan cukup baik di dunia internasional. Suatu perencanaan audit systemi n f o r m a s i b e r b a s i s t e k n o l o g i ( a u d i t T I ) o l e h i n t e r n a l a u d i t o r , d a p a t d i m u l a i d e n g a n menentukan area-area yang relevan dan beresiko paling tinggi, melalui analisa atas ke-34 proses tersebut. Sementara untuk kebutuhan penugasan tertentu, misalnya audit atas p r o ye k T I , d a p a t d i m u l a i d e n g a n m e m i l i h p r o s e s ya n g r e l e v a n d a r i p r o s e s - p r o s e s tersebut