it audit
DESCRIPTION
Berisi tulisan tulisan yang berhubungan dengan audit Sistem Informasi.TRANSCRIPT
Audit Sistem Informasi
Konsep Dasar Audit
Kata Audit berasal dari bahasa Latin ‘Audire’ (B.N.Tandon, 2000, p.l) yang berarti ‘mendengar’, yaitu pada jaman dahulu apabila seorang pemilik usaha merasa ada suatu kesalahan / penyalahgunaan, maka ia akan mendengarkan kesaksian orang tertentu. Dengan menunjuk orang tertentu sebagai auditor yang akan memeriksa akun perusahaan dan menyatakan pendapat mengenai akun perusahaan tersebut serta menerbitkan laporan.
Audit sesungguhnya dilakukan untuk mengevaluasi apakah kegiatan kerja atau kinerja suatu organisasi sudah sesuai dengan yang direncanakan, sudah efektif, efisien, sesuai dengan pedoman standar produktivitas yang direncanakan.
Pada dasarnya Audit merupakan proses sistematis dan objektif dalam memperoleh dan mengevaluasi bukti-bukti tindakan ekonomi, guna memberikan asersi dan menilai seberapa jauh tindakan ekonomi sudah sesuai dengan kriteria berlaku, dan mengkomunikasikan hasilnya kepada pihak terkait.
Pada umumnya terdapat tiga jenis Audit yaitu :
- Audit Keuangan
- Audit Operasional / Manajemen
- Audit Sistem Informasi
2.2. Pengertian Audit Sistem Informasi
Ron Weber (1999,10) mengemukakan bahwa audit sistem informasi adalah :” Information systems auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently”.
“Audit sistem informasi adalah proses pengumpulan dan penilaian bukti - bukti untuk menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya secara efisien”.
Ada beberapa aspek yang diperiksa pada audit sistem informasi:
- Audit secara keseluruhan menyangkut : efektifitas, efisiensi, availability system, reliability, confidentiality, dan integrity, serta aspek security.
- Selanjutnya adalah audit atas proses, modifikasi program, audit atas sumber data, dan data file.
Proses audit sistem informasi dilakukan berdasarkan prosedur melalui tahap-tahap sebagai berikut :
a. Perencanaan Audit (Planning The Audit)
b. Pengujian Pengendalian (Test Of Controls)
c. Pengujian Transaksi (Test Of Transaction)
d. Pengujian Keseimbangan atau Keseluruhan Hasil (Tests Of Balances or Overal Result)
e. Penyelesaian / Pengakhiran Audit (Completion Of The Audit)
Berikut penjelasan dari tahap-tahap Audit :
a. Perencanaan Audit (Planning The Audit)
Perencanaan merupakan fase pertama dari kegiatan audit, bagi auditor eksternal hal ini artinya adalah melakukan investigasi terhadap klien untuk mengetahui apakah pekerjaan mengaudit dapat diterima, menempatkan staff audit, menghasilkan perjanjian audit, menghasilkan informasi latar belakang klien, mengerti tentang masalah hukum klien dan melakukan analisa tentang prosedur yang ada untuk mengerti tentang bisnis klien dan mengidentifikasikanresiko audit.
b. Pengujian Pengendalian (Test Of Controls)
Auditor melakukan kontrol test ketika mereka menilai bahwa kontrol resiko berada pada level kurang dari maksimum, mereka mengandalkan kontrol sebagai dasar untuk mengurangi biaya testing. Sampai pada fase ini auditor tidak mengetahui apakah identifikasi kontrol telah berjalan dengan efektif, oleh karena itu diperlukan evaluasi yang spesifik.
c. Pengujian Transaksi (Test Of Transaction)
Auditor menggunakan test terhadap transaksi untuk mengevaluasi apakah kesalahan atau proses yang tidak biasa terjadi pada transaksi yang mengakibatkan kesalahan pencatatan material pada laporan keuangan. Tes transaksi ini termasuk menelusuri jurnal dari sumber dokumen, memeriksa file dan mengecek keakuratan.
d. Pengujian Keseimbangan atau Keseluruhan Hasil (Tests Of Balances or Overal Result)
Untuk mengetahui pendekatan yang digunakan pada fase ini, yang harus diperhatikan adalah pengamatan harta dan kesatuan data. Beberapa jenis subtantif tes yang digunakan adalah konfirmasi piutang, perhitungan fisik persediaan dan perhitungan ulang aktiva tetap.
e. Penyelesaian / Pengakhiran Audit (Completion Of The Audit)
Pada fase akhir audit, eksternal audit akan menjalankan beberapa test tambahan terhadap bukti yang ada agar dapat dijadikan laporan.
Lingkup Audit Sistem Informasi pada umumnya difokuskan kepada seluruh sumber daya sistem informasi yang ada, yaitu Aplikasi, Informasi, Infrastruktur dan Personil.
2.3. Tujuan Audit Sistem Informasi
Tujuan Audit Sistem Informasi dapat dikelompokkan ke dalam dua aspek utama dari ketatakelolaan IT, yaitu :
a. Conformance (Kesesuaian) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu : Confidentiality (Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan) dan Compliance (Kepatuhan).
b. Performance (Kinerja) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu : Effectiveness (Efektifitas), Efficiency (Efisiensi), Reliability (Kehandalan).
Tujuan audit sistem informasi menurut Ron Weber tujuan audit yaitu :
1. Mengamankan asset
2. Menjaga integritas data
3. Menjaga efektivitas sistem
4. Mencapai efisiensi sumberdaya.
Keempat tujuan tersebut dapat dijelaskan sebagai berikut :
Mengamankan aset, aset (activa) yang berhubungan dengan instalasi sistem informasi mencakup: perangkat keras (hardware), perangkat lunak (software), manusia (people), file data, dokumentasi sistem, dan peralatan pendukung lainnya.
Sama halnya dengan aktiva - aktiva yang lain, maka aktiva ini juga perlu dilindungi dengan memasang pengendalian internal. Perangkat keras dapat rusak karena unsur kejahatan atau sebab-sebab lain. Perangkat lunak dan isi file data dapat dicuri. Peralatan pendukung dapat digunakan untuk tujuan yang tidak diotorisasi.
Menjaga integritas data, integritas data merupakan konsep dasar audit sistem informasi. Integritas data berarti data memiliki atribut: kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian. Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan potret dirinya dengan benar atau kejadian yang ada tidak terungkap seperti apa adanya. Akibatnya, keputusan maupun langkah-langkah penting di organisasi salah sasaran karena tidak didukung dengan data yang benar. Meskipun demikian, perlu juga disadari bahwa menjaga integritas data tidak terlepas dari pengorbanan biaya. Oleh karena itu, upaya untuk menjaga integritas data, dengan konsekuensi akan ada biaya prosedur pengendalian yang dikeluarkan harus sepadan dengan manfaat yang diharapkan.
Menjaga efektivitas sistem, sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya. Untuk menilai efektivitas sistem, perlu upaya untuk mengetahui kebutuhan pengguna sistem tersebut (user). Selanjutnya, untuk menilai apakah sistem menghasilkan laporan atau informasi yang bermanfaat bagi user (misalnya pengambil keputusan), auditor perlu mengetahui karakteristik user berikut proses pengambilan keputusannya. Biasanya audit efektivitas sistem dilakukan setelah suatu sistem berjalan beberapa waktu. Manajemen dapat meminta auditor untuk melakukan post audit guna menentukan sejauh mana sistem telah mencapai tujuan yang telah ditetapkan. Evaluasi ini akan memberikan masukan bagi pengambil keputusan apakah kinerja sistem layak dipertahankan; harus ditingkatkan atau perlu dimodifikasi; atau sistem sudah usang, sehingga harus ditinggalkan dan dicari penggantinya
Audit efektivitas sistem dapat juga dilaksanakan pada tahap perencanaan sistem (system design). Hal ini dapat terjadi jika desainer sistem mengalami kesulitan untuk mengetahui kebutuhan user, karena user sulit mengungkapkan atau mendeskripsikan kebutuhannya. Jika sistem bersifat komplek dan besar biaya penerapannya, manajemen dapat mengambil sikap agar sistem dievaluasi terlebih dahulu oleh pihak yang independen untuk mengetahui apakah rancangan sistem sudah sesuai dengan kebutuhan user. Melihat kondisi seperti ini, auditor perlu mempertimbangkan untuk melakukan evaluasi sistem dengan berfokus pada kebutuhan dan kepentingan manajemen.
Mencapai efisiensi sumberdaya, suatu sistem sebagai fasilitas pemrosesan informasi dikatakan efisien jika ia menggunakan sumberdaya seminimal mungkin untuk menghasilkan output yang dibutuhkan. Pada kenyataannya, sistem informasi menggunakan berbagai sumberdaya, seperti mesin, dan segala perlengkapannya, perangkat lunak, sarana komunikasi dan tenaga kerja yang mengoperasikan sistem tersebut. Sumberdaya seperti ini biasanya sangat terbatas adanya. Oleh karena itu, beberapa kandidat sistem (system alternatif) harus berkompetisi untuk memberdayakan sumberdaya yang ada tersebut.
Adapun tujuan yang lain adalah :
1. Untuk memeriksa kecukupan dari pengendalian lingkungan, keamanan fisik, keamanan logikal serta keamanan operasi sistem informasi yang dirancang untuk melindungi piranti keras, piranti lunak dan data terhadap akses yang tidak sah, kecelakaan, perubahan yang tidak dikehendaki.
2. Untuk memastikan bahwa sistem informasi yang dihasilkan benar-benar sesuai dengan kebutuhan sehingga bisa membantu organisasi untuk mencapai tujuan strategis.
2.4. Perlunya Pengendalian dan Audit
Semenjak komputer menjadi alat utama dalam pemrosesan data dan penyediaan informasi untuk berbagai keputusan, maka sangat perlu bagi pengguna sistem informasi berbasis komputer untuk mengendalikan pemakaian sistem pengolah data berbasis komputer tersebut secara lebih baik. Beberapa alasan untuk manajemen memerlukan sebuah Audit Sistem Informasi, yaitu antara lain adalah sebagai berikut:
a. Kerugian akibat kehilangan data.
Data yang diolah menjadi sebuah informasi, merupakan aset penting dalam organisasi bisnis saat ini. Banyak aktivitas operasi mengandalkan beberapa informasi yang penting. Informasi sebuah organisasi bisnis akan menjadi sebuah potret atau gambaran dari kondisi organisasi tersebut di masa lalu, kini dan masa mendatang. Jika informasi ini hilang akan berakibat cukup fatal bagi organisasi dalam menjalankan aktivitasnya.
Sebagai contoh adalah jika data nasabah sebuah bank hilang akibat rusak, maka informasi yang terkait akan hilang, misalkan siapa saja nasabah yang mempunyai tagihan pembayaran kredit yang telah jatuh tempo. Atau juga misalkan kapan bank harus mempersiapkan pembayaran simpanan deposito nasabah yang akan jatuh tempo beserta jumlahnya. Sehingga organisasi bisnis seperti bank akan benar-benar memperhatikan bagaimana menjaga keamanan datanya.
Kehilangan data juga dapat terjadi karena tiadanya pengendalian yang memadai, seperti tidak adanya prosedur back-up file. Kehilangan data dapat disebabkan karena gangguan sistem operasi pemrosesan data, sabotase, atau gangguan karena alam seperti gempa bumi, kebakaran atau banjir.
b. Kerugian akibat kesalahan pemrosesan komputer.
Pemrosesan komputer menjadi pusat perhatian utama dalam sebuah sistem informasi berbasis komputer. Banyak organisasi telah menggunakan komputer sebagai sarana untuk meningkatkan kualitas pekerjaan mereka. Mulai dari pekerjaan yang sederhana, seperti perhitungan bunga berbunga sampai penggunaan komputer sebagai bantuan dalam navigasi pesawat terbang atau peluru kendali. Dan banyak pula di antara organisasi tersebut sudah saling terhubung dan terintegrasi. Akan sangat mengkhawatirkan bila terjadi kesalahan dalam pemrosesan di dalam komputer. Kerugian mulai dari tidak dipercayainya perhitungan matematis sampai kepada ketergantungan kehidupan manusia.
c. Pengambilan keputusan yang salah akibat informasi yang salah.
Kualitas sebuah keputusan sangat tergantung kepada kualitas informasi yang disajikan untuk pengambilan keputusan tersebut. Tingkat akurasi dan pentingnya sebuah data atau informasi tergantung kepada jenis keputusan yang akan diambil. Jika top manajer akan mengambil keputusan yang bersifat strategik, mungkin akan dapat ditoleransi berkaitan dengan sifat keputusan yang berjangka panjang. Tetapi kadangkala informasi yang menyesatkan akan berdampak kepada pengambilan keputusan yang menyesatkan pula.
d. Kerugian karena penyalahgunaan komputer (Computer Abused)
Tema utama yang mendorong perkembangan dalam audit sistem informasi dalam sebuah organisasi bisnis adalah karena sering terjadinya kejahatan penyalahgunaan komputer. Beberapa jenis tindak kejahatan dan penyalah-gunaan komputer antara lain adalah virus, hacking, akses langsung yang tak legal (misalnya masuk ke ruang komputer tanpa ijin atau menggunakan sebuah terminal komputer dan dapat berakibat kerusakan fisik atau mengambil data atau program komputer tanpa ijin) dan atau penyalahgunaan akses untuk kepentingan pribadi (seseorang yang mempunyai kewenangan menggunakan komputer tetapi untuk tujuan-tujuan yang tidak semestinya).
- Hacking - seseorang yang dengan tanpa ijin mengakses sistem komputer sehingga dapat melihat, memodifikasi, atau menghapus program komputer atau data atau mengacaukan sistem.
- Virus – virus adalah sebuah program komputer yang menempelkan diri dan menjalankan sendiri sebuah program komputer atau sistem komputer di sebuah disket, data atau program yang bertujuan mengganggu atau merusak jalannya sebuah program atau data komputer yang ada di dalamnya. Virus dirancang dengan dua tujuan, yaitu pertama mereplikasi dirinya sendiri secara aktif dan kedua mengganggu atau merusak sistem operasi, program atau data.
Ø Dampak dari kejahatan dan penyalahgunaan komputer tersebut antara lain:
· Hardware, software, data, fasilitas, dokumentasi dan pendukung lainnya rusak atau hilang dicuri atau dimodifikasi dan disalahgunakan.
· Kerahasiaan data atau informasi penting dari orang atau organisasi rusak atau hilang dicuri atau dimodifikasi.
· Aktivitas operasional rutin akan terganggu.
· Kejahatan dan penyalahgunaan komputer dari waktu ke waktu semakin meningkat, dan hampir 80% pelaku kejahatan komputer adalah ‘orang dalam’.
e. Nilai hardware, software dan personil sistem informasi
Dalam sebuah sistem informasi, hardware, software, data dan personil adalah merupakan sumberdaya organisasi. Beberapa organisasi bisnis mengeluarkan dana yang cukup besar untuk investasi dalam penyusunan sebuah sistem informasi, termasuk dalam pengembangan sumberdaya manusianya. Sehingga diperlukan sebuah pengendalian untuk menjaga investasi di bidang ini.
f. Pemeliharaan kerahasiaan informasi
Informasi di dalam sebuah organisasi bisnis sangat beragam, mulai data karyawan, pelanggan, transaksi dan lainya adalah amat riskan bila tidak dijaga dengan benar. Seseorang dapat saja memanfaatkan informasi untuk disalahgunakan. Sebagai contoh bila data pelanggan yang rahasia, dapat digunakan oleh pesaing untuk memperoleh manfaat dalam persaingan.
2.5. Teknik Audit
Ada beberapa teknik audit untuk mengetes automated control. Auditor dapat menggunakan tiga kategori berikut dalam menguji pengendalian biasa juga disebut sebagai teknik audit berbantuan computer / TABK (Computer Assisted Audit Techniques/CAAT) yang terdiri atas:
a. Auditing Around the Computer
Dengan teknik ini auditor menguji reliability dari computer generated information dengan terlebih dahulu menghitung hasil yang diinginkan dari transaksi yang dimasukkan dalam sistem, dan kemudian membandingkan hasil perhitungan dengan hasil proses atau output. Jika terbukti akurat dan valid, maka diasumsikan bahwa sistem pengendalian berfungsi seperti yang seharusnya. Kondisi ini cocok jika sistem aplikasi otomasi sederhana dan ringkas. Pendekatan ini masih relevan dipakai di perusahaan yang menggunakan software akuntansi yang bervariasi dan melakukan proses secara periodic.
b. Auditing With the Computer
Adalah auditing dengan pendekatan komputer, menggunakan teknik yang bervariasi yang biasa juga disebut Computer Assisted Audit Technique (CAAT). Penggunaan CAAT telah meningkatkan secara dramatis kapabilitas dan efektifitas auditor, dalam melakukan susbstantif test. Salah satu CAAT yang lazim dipakai adalah general audit software (GAS). GAS sering dipakai untuk melakukan substantive test dan digunakan test of control yang terbatas. Sebagai contoh GAS sering dipakai untuk mengetes fungsi algoritma yang komplek dalam program komputer. Tetapi ini memerlukan pengalaman yang luas dalam penggunaan software ini.
c. Audit Through the Computer
Teknik ini fokus pada testing tahapan pemrosesan computerised, logic program, edit routines dan program controls. Pendekatan ini mengasumsikan bahwa jika program pemrosesan dikembangkan dengan baik, dan memenuhi edit routines dan programme check yang memadai, maka error dan kecurangan tidak akan mudah terjadi tanpa terdeteksi.
2.6. Auditor
Auditor merupakan seseorang yang memiliki kualifikasi tertentu dalam melakukan audit atas laporan keuangan dan kegiatan suatu perusahaan atau organisasi. Seiring dengan perkembangan teknologi informasi maka berkembang pulalah suatu keahlian dalam profesi auditor, yaitu auditor sistem informasi. Hal ini didasari bahwa semakin banyak transaksi keuangan yang berjalan dalam sebuah sistem komputer. Maka dari itu perlu dibangun sebuah kontrol yang mengatur agar proses komputasi berjalan menjadi baik. Saat ini auditor sistem informasi umumnya digunakan pada perusahaan-perusahaan besar yang sebagian besar transaksi berjalan secara otomatis. Auditor sistem informasi dapat berlatar belakang IT atau akuntansi tentunya dengan kelebihan dan kekurangan masing-masing.
Pada umumnya terdapat tiga jenis auditor, yaitu:
a. Auditor Pemerintah adalah auditor yang bertugas melakukan audit pada instansi-instansi pemerintah.
b. Auditor Intern merupakan auditor yang bekerja pada suatu perusahaan dan oleh karenanya berstatus sebagai pegawai pada perusahaan tersebut. Tugas utamanya ditujukan untuk membantu manajemen perusahaan tempat dimana ia bekerja.
c. Auditor Independen atau Akuntan Publik adalah melakukan fungsi pengauditan yang diterbitkan oleh perusahaan. Pengauditan ini dilakukan pada perusahaan terbuka, yaitu perusahaan yang go public, perusahaan-perusahaan besar dan juga perusahaan kecil serta organisasi-organisasi yang tidak bertujuan mencari laba. Praktik akuntan publik harus dilakukan melalui suatu Kantor Akuntan Publik (KAP).
Syarat-syarat yang harus dimiliki oleh seorang auditor, diantaranya :
a. Audit harus dilaksanakan oleh seorang atau lebih yang memilki keahlian dan pelatihan teknis yang cukup sebagai auditor.
Dalam melaksanakan audit sampai pada suatu pernyataan pendapat, auditor harus senantiasa bertindak sebagai seorang ahli dalam bidang auditing. Pencapaian keahlian tersebut dimulai dari pendidikan formal ditambah dengan pengalaman-pengalaman dalam praktik audit dan menjalani pelatihan teknis yang cukup. Asisten junior yang baru masuk dalam karir auditing harus memperoleh pengalaman profesionalnya dengan mendapatkan supervisi yang memadai dan review atas pekerjaannya dari atasannya yang lebih berpengalaman. Pelatihan yang dimaksudkan disini, mencakup pula pelatihan kesadaran untuk secara terus-menerus mengikuti perkembangan yang terjadi dalam bidang bisnis dan profesinya. Ia harus mempelajari, memahami, dan menerapkan ketentuan-ketentuan baru dalam prinsip dan standar auditing yang telah ditetapkan.
b. Dalam semua hal yang berhubungan dengan perikatan, independensi dan sikap mental harus dipertahankan oleh auditor.
Standar ini mengharuskan seorang auditor bersikap independen, yang artinya seorang auditor tidak mudah dipengaruhi, karena pekerjaannya untuk kepentingan umum. Kepercayaan masyarakat umum atas independensi sikap auditor independen sangat penting bagi perkembangan profesi akuntan publik. Untuk menjadi independen, seorang auditor harus secara intelektual jujur.Profesi akuntan publik telah menetapkan dalam Kode Etik Akuntan Indonesia, agar anggota profesi menjaga dirinya dari kehilangan persepsi independensi dari masyarakat. Independensi secara intrinsik merupakan masalah mutu pribadi, bukan merupakan suatu aturan yang dirumuskan untuk dapat diuji secara objektif.
c. Dalam pelaksanaan audit dan penyusunan laporannya, auditor wajib menggunakan kemahiran profesionalnya dengan cermat dan seksama. Penggunaan kemahiran profesional dengan cermat dan seksama menekankan tanggung jawab setiap profesional yang bekerja dalam organisasi auditor. Selain itu juga menyangkut apa yang dikerjakan auditor dan bagaimana kesempurnaan pekerjaannya tersebut. Seorang auditor harus memiliki “tingkat keterampilan yang umumnya dimiliki” oleh auditor pada umumnya dan harus menggunakan keterampilan tersebut dengan “kecermatan dan keseksamaan yang wajar”. Untuk itu, auditor dituntut untuk memiliki skeptisme profesional dan keyakinan yang memadai dalam mengevaluasi bukti audit.
Berikut ini merupakan peran auditor, yaitu:
1. Perencanaan, Pengendalian dan Pencatatan. Auditor perlu merencanakan, mengendalikan dan mencatat pekerjannya.
2. Sistem Pemrosesan Transaksi. Auditor harus mengetahui dengan pasti sistem pencatatan dan pemrosesan transaksi dan menilai kecukupannya sebagai dasar penyusunan laporan.
3. Bukti Audit. Auditor akan memperoleh bukti audit yang relevan dan reliable untuk memberikan kesimpulan rasional.
4. Pengendalian Intern. Bila auditor berharap untuk menempatkan kepercayaan pada pengendalian internal, hendaknya memastikan dan mengevaluasi pengendalian itu dan melakukan compliance test.
5. Peninjauan Ulang Laporan. Auditor melaksanakan tinjau ulang laporan yang relevan seperlunya, dalam hubungannya dengan kesimpulan yang diambil berdasarkan bukti audit lain yang didapat, dan untuk memberi dasar rasional atas pendapat mengenai laporan yang ada.
Pengertian EDP (Electronic Data Processing) - Pemrosesan data elektronik (Inggris: electronic data processing disingkat EDP) adalah metode dalam suatu pemrosesan data komersial. Sebagai bagian dari teknologi informasi, EDP melakukan pemrosesan data secara berulang kali terhadap data yang sejenis dengan bentuk pemrosesan yang relatif sederhana. Sebagai contoh,pemrosesan data elektronis dipakai untuk pemutakhiran (update) stock dalam suatu daftar barang (inventory), pemrosesan transaksi nasabah bank, pemrosesan booking untuk tiket pesawat terbang, reservasi kamar hotel, pembuatan tagihan untuk suatu jenis layanan, dll. Selain itu, Pengertian Electronic Data Processing ( EDP ) secara umum adalah penggunaan metode automatis dalam pengolahan data komersil. Biasanya penggunaan edp ini relatif simple, aktivitas yg berulang untuk memproses informasi dalam jumlah yg besar. Misalnya : update stok barang untuk dimasukkan ke dalam inventaris, transaksi banking untuk dimasukkan ke dalam account dan master file pelanggan, booking dan pemesanan tiket ke system reservasi maskapai penerbangan, dll.
Pengertian EDP Auditing/Computer Auditing:
1. Electronic Data Processing (EDP) can refer to the use of automated methods to process commercial data. Typically, this uses relatively simple, repetitive activities to process large volumes of similar information. For example: stock updates applied to an inventory, banking transactions applied to account and customer master files, booking and ticketing transactions to an airline's reservation system, billing for utility services.
2. Menurut Ron Weber, EDP auditing adalah proses mengumpulkan dan menilai bukti untuk menentukan apakah sistsem computer mampu mengamankan harta, memelihara kebenaran data maupun mencapai tujuan organisasi perusahaan secara efektif dan menggunakan aktiva perusahaan secara hemat.
3. Menurut Gallegos, Richardson dan Borthick: Computer auditing is the evaluation of computer information systems, practices and operation to assure the integrity of an entity’s information. Include one or both of the following:
o Assessment of internal controls within the CIS environment to assure the validity, reliability and security of information
o Assessment of the efficiency and effectiveness of the CIS environment in economic terms.
Metode audit EDP
1. Auditing-around the computer, yaitu pendekatan audit dengan memperlakukan komputer sebagai kotak hitam, teknik ini tidak menguji langkah langkah proses secara langsung, hanya berfokus pada input dan output dari sistem computer. Kelemahannya:
o Umumnya data base mencakup jumlah data yang banyak dan sulit untuk ditelusuri secara manual
o Tidak membuat auditor memahami sistem computer lebih baik
o Mengabaikan pengendalian sistem, sehingga rawan terhadap kesalahan dan kelemahan potensial dalam system.
o Lebih berkenaan dengan hal yang lalu dari pada audit yang preventif
o Kemampuan computer sebagai fasilitas penunjang audit mubazir
o Tidak mencakup keseluruhan maksud dan tujuan audit.
2. Auditing-through the computer, pendekatan audit yang berorientasi computer yang secara langsung berfokus pada operasi pemrosesan dalam system computer dengan asumsi bila terdapat pengendalian yang memadai dalam pemrosesan, maka kesalahan dan penyalahgunaan dapat dideteksi.
3. Auditing-with the computer, menggunakan computer (audit software) untuk membantu melaksanakan langkah langkah audit. Generalized Audit Software Program (GASP) untuk substantive test.
Manfaat GASP:a. memungkinkan auditor memiliki tingkat independensi yang tinggib. mengurangi keperluan tingkat keahlian computer dan pelatihanc. dapat mengakses berbagai catatan klien tanpa program khususd. memungkinkan auditor mengendalikan pelaksanaan programe. memanfaatkan kecepatan dan keakuratan computer
Kelemahan GASP:a. dirancang untuk kemudahan implementasi tapi mengabaikan efisiensib. banyak GASP hanya berfungsi pada computer tertentu
Perbedaan sistem audit manual dan EDP:1. Visibility2. Sarana dan fasilitas3. Personalia4. Pemisahan tugas5. Kemungkinan terjadinya kesalahan dan kecurangan6. Meningkatnya supervisi manajemen7. Pelaksanaan transaksi secara otomatis dengan computer
Sistem pengendalian intern dalam EDPSPI meliputi rencana organisasi serta metode dan ketentuan yg terkoordinir dalam suatu perusahaan:1. untuk melindungi aktiva2. mengecek kecermatan dan keandalan data akuntansi3. meningkatkan efisiensi usaha4. mendorong ditaatinya kebijakan manajemen
Pengendalian tambahan dalam EDP:1. pengendalian umum (general control)2. pengendalian aplikasi (application control)
Resiko audit (audit risk)Adalah kemungkinan akuntan mengeluarkan pendapat wajar atas laporan keuangan yang mengandung kesalahan yang material.1. resiko inheren adalah resiko adanya kesalahan yang material yg didukung oleh laporan keuangan yang diaudit.2. resiko pengendalian adalah resiko karena ketidakmampuan system untuk menemukan dan menghindari kesalahan secara dini3. resiko deteksi adalah resiko yang timbul karena auditor tidak menemukan kesalahan material saat melakukan audit.
Transaction Flow Auditing (TFA)Suatu metode yang digunakan untuk mendokumentasikan pengendalian aplikasi terkomputerisasi guna mengaudit arus transaksi yang meliputi:- siklus aktifitas bisnis organisasi- tipe transaksi yg mngalir melalui siklus- fungsi yg dilaksanakan dalam setiap sklus: mengakui, mengotorisasi, memproses, mengklasifikasi dan melaporkan transaksi
Perdekatan TFA diorganisasi dalam 5 fase1. General Risk Analysis (GRA)2. Transaction Flow Review (TFR)3. Specific Risk Analysis (SRA)4. Compliance and substrantive audit test5. Final reporting
Pengetahuan yang harus dimiliki auditor computer1. Computer system, operation and software2. CIS techniques3. Management concept and practices4. Security of CIS function5. Assessment of risk and threats6. Auditing concepts and practices7. Additional qualifications
Kualitas yg harus dimiliki auditor computer:1. ability to evaluate objectively2. ability to recognize key issues quickly3. ability to communicate effectively4. Knowledge of the CIS function
TOOLS IT AUDIT
Standard tools tersebut dikembangkan sebagai framework yang disusun berdasarkan best pratices dari hasil riset serta pengalaman bertahun-tahun dalam kegiatan audit TI. Framework tersebut tentunya mengalami penyempurnaan yang berkelanjutan sebagai upaya menciptakan standar yang semakin baik, efektif dan efisien.Berikut ini adalah standard tools/framework yang banyak digunakan di dunia:
1. COBIT® (Control Objectives for Information and related Technology)2. COSO (Committee of Sponsoring Organisations of the Treadway Commission) Internal
Control—Integrated Framework3. ISO/IEC 17799:2005 Code of Practice for Information Security Management4. FIPS PUB 2005. ISO/IEC TR 133356. ISO/IEC 15408:2005/Common Criteria/ITSEC7. PRINCE28. PMBOK9. TickIT10. CMMI11. TOGAF 8.112. IT Baseline Protection Manual13. NIST 800-14
1. COBIT® (Control Objectives for Information and related Technology)Disusun oleh Information Systems Audit and Control Foundation (ISACF®) pada tahun 1996. Edisi kedua dari COBIT diterbitkan pada tahun 1998. Pada tahun 2000 dirilis COBIT 3.0 oleh ITGI (Information Technology Governance Institute) dan COBIT 4.0 pada tahun 2005. Rilis terakhir COBIT 4.1 dirilis pada tahun 2007.COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara dibangun chapter yang dapat mengelola para profesional tersebut.Target pengguna dari framework COBIT adalah organisasi/perusahaan dari berbagai latar belakang dan para profesional external assurance. Secara manajerial target pengguna COBIT adalah manajer, pengguna dan profesional TI serta pengawas/pengendali profesional.Secara resmi tidak ada sertifikasi profesional resmi yang diterbitkan oleh ITGI atau organisasi manapun sebagai penyusun standar COBIT. Di Amerika Serikat standar COBIT sering digunakan dalam standar sertifikasi Certified Public Accountants (CPAs) dan CharteredAccountants (CAs) berdasarkan Statement on Auditing Standards (SAS) No. 70 Service Organisations review, Systrust certification or Sarbanes-Oxley compliance.Sertifikasi non COBIT yang merupakan pengakuan profesional auditor IT diterbitkan oleh ISACA, sebagai afiliasiITGI yaitu Certified Information Systems Auditor (CISA®) dan Certified Information Security Manager® (CISM®).
Lingkup kriteria informasi yang sering menjadi perhatian dalam COBIT adalah:
EffectivenessMenitikberatkan pada sejauh mana efektifitas informasi dikelola dari data-data yang diproses oleh sistem informasi yang dibangun.
EfficiencyMenitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh sistem.
ConfidentialityMenitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis.
IntegrityMenitikberatkan pada integritas data/informasi dalam sistem.
AvailabilityMenitikberatkan pada ketersediaan data/informasi dalam sistem informasi.
ComplianceMenitikberatkan pada kesesuaian data/informasi dalam sistem informasi.
ReliabilityMenitikberatkan pada kemampuan/ketangguhan sistem informasi dalam pengelolaan data/informasi.Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi dalam COBIT adalah pada: Applications Information Infrastructure PeopleHal yang menarik dari COBIT adalah adanya versi khusus untuk skala usaha kecil-menengah (UKM) yang disebutCOBIT Quickstart.
2. COSO (Committee of Sponsoring Organisations of the Treadway Commission) Internal Control—Integrated FrameworkCOSO adalah organisasi swasta yang menyusun Internal Control – Integrated Network bagi peningkatan kualitas penyampaian laporan keuangan dan pengawasan internal untuknya yang lebih efektif.Tujuan dari penyusunan framework ini adalah peningkatan sistem pengawasan terpadu untuk pengendalian perusahaan/organisasi dalam beberapan langkah. Hal ini diarahkan untuk memberikan para pemegang kebijakan di organisasi dapat melakukan pengawasan internal dalam pelaksanaan tugas kepada para eksekutif, mencapai laba yang menguntungkan serta mengelola resiko-resiko yang timbul.Internal Control – Integrated Framework yang disusun oleh COSO diterbitkan pertama kali pada tahun 1992 dan masih diperbarui hingga saat ini. Hingga saat ini COSO maupun organisasi lainnya tidak melakukan/menerbitkan sertifikasi keahlian/profesional bagi framework ini.Lingkup kriteria informasi yang sering menjadi perhatian dalam Internal Control – Integrated Framework COSOadalah:
Effectiveness Efficiency Confidentiality Integrity Availability Compliance Reliability
Jika dilihat dari lingkup kriteria informasi di atas maka dapat dilihat bahwa komponen-komponen yang menjadi perhatian dalam Internal Control – Integrated Framework COSO identik dengan COBIT.Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi pun dalam Internal Control – Integrated Framework COSO identik dengan COBIT.
3. ITIL (Information Technology Infrastructure Library)Sebenarnya ITIL bukan merupakan standar dalam audit TI. ITIL lebih merupakan framework/best practice bagi IT service management untuk menciptakan layanan teknologi informasi yang bermutu tinggi.ITIL terdiri atas delapan buku berseri yang disusun dan diterbitkan oleh Central Computer and Telecommunications Agency (CCTA) yang sekarang dikenal sebagai the British Office of Government Commerce (OGC).Delapan serial buku ITIL tersebut terdiri atas:
Software Asset Management Service Support Service Delivery Planning to Implement Service Management ICT Infrastructure Management Application Management Security Management Business Perspective
British Standard (BS) 15000 adalah sertifikasi keahlian/profesional yang diterbitkan oleh Pemerintah Inggris untuk manajemen TI dimana ITIL dapat digunakan sebagai panduan dalam penetapan sertifikasi.Sedangkan untuk pemusatan perhatian pada kebutuhan keamanan sistem diterbitkan sertifikasi BS 7799 yang berdasarkan pada bagian dari BS 15000.Sertifikasi untuk IT service management terbagi atas tiga tingkat yaitu:
Foundation certificateSertifikasi ini diberikan setelah menjalani kursus selama tiga hari dan lulus dari ujian tulis dengan model pilihan berganda. Sertifikat untuk tingkatan ini merupakan sertifikasi pertama dari tingkatan yang ada.
Practitioner’s certificateUntuk mencapai tingkatan ini diperlukan proses penilaian dan pengujian dengan mengikuti kursus, studi kasus serta ujian tulis dengan model pilihan berganda. Di tingkatan ini sertifikasi diberikan secara khusus pada bagian tertentu saja
(spesialisasi).
Manager’s certificateUntuk memperoleh sertifikasi ini harus menempuh sepuluh hari pelatihan, akreditasi dari badan khusus serta lulus dari dua kali ujian tulis dalam model uraian.Lingkup kriteria informasi yang sering menjadi perhatian dalam ITIL adalah:
Effectiveness Efficiency Confidentiality Integrity Availability Compliance
Namun pada bagian kriteria informasi ini tidak terlalu terfokus seperti dalam COBIT.Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi dalam ITIL identik dengan COBIT.
4. ISO/IEC 17799:2005 Code of Practice for Information Security ManagementISO/IEC 17799:2005 Code of Practice for Information Security Management adalah standar internasional. Tujuan utama dari penyusunan standar ini adalah penerapan keamanan informasi dalam organisasi. Framework ini diarahkan untuk mengembangkan dan memelihara standar keamanan dan praktek manajemen dalam organisasi untuk meningkatkan ketahanan (reliability) bagi keamanan informasi dalam hubungan antar organisasi.Dalam framework ini didefinisikan 11 (sebelas) bagian besar yang dibagi dalam 132 (seratus tigapuluh dua) strategi kontrol keamanan. Standar ini lebih menekankan pada pentingnya manajemen resiko dan tidak menuntut penerapan pada setiap komponen tapi dapat memilih pada bagian-bagian yang terkait saja.Edisi pertama dari ISO/IEC 17799:2005 Code of Practice for Information Security Management diterbitkan pada tahun 2000 dan edisi keduanya terbit pada tahun 2005.Sejak edisi kedua tersebut ISO/IEC 17799:2005 Code of Practice for Information Security Management menjadi standar resmi ISO yang berdampak pada diperlukannya revisi dan pemutakhiran setiap tiga hingga lima tahun sekali.Pada bulan April 2007, ISO memasukkan framework ini ke dalam ISO 2700x series, Information Security Management System sebagai ISO 27002. Standar tersebut dapat digolongkan dalam best practice termutakhir dalam lingkup sistem manajemen keamanan informasi.Secara langsung tidak ada sertifikasi untuk ISO/IEC 17799:2005. Namun terdapat sertifikasi yang sesuai dengan ISO/IEC 27001 (BS 7799-2).Pada standar ini terdapat perbedaan perhatian lingkup kriteria informasi dibandingkan dengan COBIT. Dimana dalam ISO/IEC 17799:2005 tidak memfokuskan pada effectiveness dan efficiency serta hanya memberikan sedikit perhatian pada reliability.Sedangkan pada pengelolaan sumber daya TI dalam ISO/IEC 17799:2005 tidak terlalu memfokuskan padainfrastructure.
CoBIT1. Fokus Pengguna Utama adalah manajemen, operator dan auditor sistem informasi.2. Sudut pandang atas internal control adalah kesatuan beberapa proses yang terdiri atas kebijakan, prosedur, penerapan serta struktur organisasi.3. Tujuan yang ingin dicapai dari sebuah internal control adalah pengoperasian sistem yang efektif dan efisien, kerahasiaan, kesatuan dan ketersediaan informasi yang dilengkapi dengan sistem pelaporan keuangan yang handal disesuaikan dengan peraturan yang berlaku.4. Komponen/domain yang dituju adalah perencanaan dan pengorganisasian, pemaduan dan penerapan, pengawasan atas dukungan serta pendistribusian.5. Fokus pengendalian dari CoBIT adalah sisi teknologi informasi.6. Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian tersebut diterapkan dalam periode waktu yang sudah ditetapkan.7. Pertanggungjawaban atas sistem pengendalian dari CoBIT ditujukan kepada manajemen.
COSO1. Fokus Pengguna Utama adalah manajemen.2. Sudut pandang atas internal control adalah kesatuan beberapa proses secara umum.3. Tujuan yang ingin dicapai dari sebuah internal control adalah pengoperasian sistem yang efektif dan efisien, pelaporan laporan keuangan yang handal serta kesesuaian dengan peraturan yang berlaku.4. Komponen/domain yang dituju adalah pengendalian atas lingkungan, manajemen resiko, pengawasan serta pengendalian atas aktivitas informasi dan komunikasi.5. Fokus pengendalian dari eSAC adalah keseluruhan entitas.6. Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian tersebut diterapkan dalam poin waktu tertentu.7. Pertanggungjawaban atas sistem pengendalian dari eSAC ditujukan kepada manajemen.
Jika melihat dari hal-hal tersebut maka dapat dilihat adanya persamaan sebagai berikut:• Seluruh tujuan dari framework CoBIT, eSAC dan COSO adalah pengendalian serta pengawasan atas proses dan lingkungan.• Pertanggungjawaban ditujukan kepada manajemen.• Seluruh sistem pelaporan dan prosedur wajib mengikuti aturan yang berlaku.
Artikel Standar Framework Pada Proses Pengelolaan IT Governance Dan Audit Sistem Informasi
IT Governance bukan bidang yang terpisah dari pengelolaan organisasi, melainkan merupakan komponen dari pengelolaan organisasi secara keseluruhan, dengan tanggung jawab utama yang memastikan kepentingan stakeholder diikutsertakan dalam penyusunan strategi organisasi, memberikan arahan kepada proses-proses yang menerapkan strategi organisasi, memastikan proses-proses tersebut menghasilkan keluaran yang terukur, memastikan adanya informasi mengenai hasil yang diperoleh dan memastikan keluaran yang dihasilkan sesuai dengan yang
diharapkan. Penerapan TI di suatu perusahaan tidak selamanya selaras dengan strategi dan tujuan organisasi. Untuk itu perlu dilakukan analisis terhadap infrastruktur dan Pengelolaan TI yang ada agar dapat selalu dipastikan kesesuaian infrastruktur dan pengelolaan yang ada dengan tujuan organisasi.
Analisis yang dilakukan haruslah berdasarkan standar yang umum dan diakui secara luas. Ada beberapa standar yang telah mendapat pengakuan secara luas, antara lainITIL, ISO/IEC 17799, COSO dan COBIT.
Dengan menggunakan standar-standar tersebut, maka tujuan penerapan TI di sebuah perusahaan akan sesuai dengan tujuan yang diharapkan dan menghindarkan dari terjadinya kerugian akibat risiko-risiko penerapan yang tidak terpetakan.
IT GovernancePenerapan TI di perusahaan akan dapat dilakukan dengan baik apabila ditunjang dengan suatu pengelolaan TI (IT Governance) dari mulai perencanaan sampai implementasinya. Definisi IT Governance menurut ITGI adalah: “Suatu bagian terintegrasi dari kepengurusan perusahaan serta mencakup kepemimpinan dan struktur serta proses organisasi yang memastikan bahwa TI perusahaan mempertahankan dan memperluas strategi dan tujuan organisasi.”
Kegunaan IT Governance adalah untuk mengatur penggunaan TI, dan memastikan performa TI sesuai dengan tujuan berikut ini :
1. Keselarasan TI dengan perusahaan dan realisasi keuntungan-keuntungan yang dijanjikan dari penerapan TI.
2. Penggunaan TI agar memungkinkan perusahaan mengekploitasi kesempatan yang ada dan memaksimalkan keuntungan.
3. Penggunaan sumber daya TI yang bertanggung jawab.4. Penanganan manajemen risiko yang terkait TI secara tepat.
Alasan terpenting mengapa IT governance penting adalah bahwa ekspektasi danrealitas sering kali tidak sesuai. Shareholder perusahaan selalu berharap tentang perusahaan untuk :
1. Memberikan solusi TI dengan kualitas yang bagus, tepat waktu, dan sesuai dengan anggaran.2. Menguasai dan menggunakan TI untuk mendatangkan keuntungan.3. Menerapkan TI untuk meningkatkan efisiensi dan produktifitas sambil menangani risiko TI.
IT governance yang tidak efektif akan menjadi awal terjadinya pengalaman buruk yang dihadapi perusahaan seperti:
1. Kerugian bisnis, berkurangnya reputasi, dan melemahnya posisi kompetisi.2. Tenggat waktu yang terlampaui, biaya lebih tinggi dari yang diperkirakan, dan kualitas lebih
rendah dari yang telah diantisipasi.3. Efisiensi dan proses inti perusahaan terpengaruh secara negatif oleh rendahnya kualitas
penggunaan TI.4. Kegagalan inisiatif TI untuk melahirkan inovasi atau memberikan keuntungan yang
dijanjikan.
Dalam studi ITGI mengenai Status Global Penguasaan IT, ada 10 masalah besar di bidang TI yang dialami oleh para CEO dan CIO, yaitu
1. Kurangnya pandangan mengenai seberapa baik TI berfungsi.2. Kegagalan operasional TI.3. Masalah penempatan karyawan bidang TI.
Kegunaan TI Governance adalah untuk mengatur penggunaan TI, dan memastikan performa TI sesuai dengan tujuan berikut ini :1. Keselarasan TI dengan perusahaan dan realisasi keuntungan-keuntungan yang dijanjikan dari penerapan TI.2. Penggunaan TI agar memungkinkan perusahaan mengekploitasi kesempatan yang ada dan memaksimalkan keuntungan.3. Penggunaan sumber daya TI yang bertanggung jawab.4. Penanganan manajemen risiko yang terkait TI secara tepat.
Alasan terpenting mengapa IT governance penting adalah bahwa ekspektasi danrealitas sering kali tidak sesuai. Shareholder perusahaan selalu berharap perusahaan untuk :1. Memberikan solusi TI dengan kualitas yang bagus, tepat waktu, dan sesuai dengan anggaran.2. Menguasai dan menggunakan TI untuk mendatangkan keuntungan.3. Menerapkan TI untuk meningkatkan efisiensi dan produktifitas sambil menangani risiko TI.
IT governance yang tidak efektif akan menjadi awal terjadinya pengalaman buruk yang dihadapi perusahaan, seperti:1. Kerugian bisnis, berkurangnya reputasi, dan melemahnya posisi kompetisi.2. Tenggat waktu yang terlampaui, biaya lebih tinggi dari yang diperkirakan, dan kualitas lebih rendah dari yang telah diantisipasi.3. Efisiensi dan proses inti perusahaan terpengaruh secara negatif oleh rendahnya kualitas penggunaan TI.4. Kegagalan inisiatif TI untuk melahirkan inovasi atau memberikan keuntungan yang dijanjikan.
Dalam studi ITGI mengenai Status Global Penguasaan IT, ada 10 masalah besar di bidang TI yang dialami oleh para CEO dan CIO, yaitu1. Kurangnya pandangan mengenai seberapa baik TI berfungsi.2. Kegagalan operasional TI.3. Masalah penempatan karyawan bidang TI.4. Jumlah masalah dan kejadian dalam TI.5. Biaya TI yang tinggi dengan perolehan kembali modal (ROI) yang rendah.6. Kurangnya pengetahuan mengenai sistem penting.7. Kurangnya kemampuan mengelola data.8. Pemutusan hubungan antara strategi TI dan bisnis.
9. Ketergantungan pada entitas di luar pengawasan langsung.10. Jumlah kesalahan yang disebabkan oleh sistem penting.11. Jumlah masalah dan kejadian dalam TI.
Marios Damianides, ketua internasional ITGI menyatakan, "Hasil-hasil ini menunjukkan kesenjangan antara masalah TI dan pendahuluan rencana aksi untuk memusatkan perhatian pada masalah tersebut".Penggunaan standar IT Governance mempunyai keuntungan-keuntungan sebagai berikut:
1. The Wheel Exists – penggunaan standar yang sudah ada dan mature akan sangat efisien. Perusahaan tidak perlu mengembangkan sendiri frameworkdengan mengandalkan pengalamannya sendiri yang tentunya sangat terbatas.
2. Structured – standar-standar yang baik menyediakan suatu framework yang sangat terstruktur yang dapat dengan mudah difahami dan diikuti oleh manajemen. Lebih lanjut lagi, framework yang terstruktur dengan baik akan memberikan setiap orang pandangan yang relatif sama.
3. Best Practices – standar-standar tersebut telah dikembangkan dalam jangka waktu yang relatif lama dan melibatkan ratusan orang dan organisasi di seluruh dunia. Pengalaman yang direfleksikan dalam model-model pengelolaan yang ada tidak dapat dibandingkan dengan suatu usaha dari satu perusahaan tertentu.
4. Knowledge Sharing – dengan mengikuti standar yang umum, manajemen akan dapat berbagi ide dan pengalaman antar organisasi melalui user groups, website, majalah, buku, dan media informasi lainnya.
5. Auditable – tanpa standar baku, akan sangat sulit bagi auditor, terutama auditor dari pihak ketiga, untuk melakukan kontrol secara efektif. Dengan adanya standar, maka baik
manajemen maupun auditor mempunyai dasar yang sama dalam melakukan pengelolaan TI dan pengukurannya.
Model Standar IT GovernanceAda berbagai standar model IT Governance yang banyak digunakan saat ini, antara lain:
1. ITIL (The IT Infrastructure Library)2. ISO/IEC 17799 (The International Organization for Standardization / The International
Electrotechnical Commission)3. COSO (Committee of Sponsoring Organization of the Treadway Commission)4. COBIT (Control Objectives for Information and related Technology)
1. ITIL – The IT Infrastructure LibraryITIL dikembangkan oleh The Office of Government Commerce (OGC)suatu badan dibawah pemerintah Inggris, dengan bekerja sama dengan TheIT Service Management Forum (itSMF) – suatu organisasi independen mengenai manajemen pelayanan TI – dan British Standard Institute (BSI) – suatu badan penetapan standar pemerintah Inggris.ITIL merupakan suatu framework pengelolaan layanan TI (IT Service Management – ITSM) yang sudah diadopsi sebagai standar industri pengembangan industri perangkat lunak di dunia.ITIL framework terdiri dari dua bagian utama, yaitu:1. Service Support
a. Service Desk.b. Incident Management.c. Problem Management.d. Configuration Management.e. Change Management.f. Release Management.
2. Service Deliverya. Availability Management.b. Capacity Management.c. IT Service Continuity Management.d. Service Level Management.e. Financial Management for TI Services.f. Security Management.
Standar ITIL berfokus kepada pelayanan customer, dan sama sekali tidak menyertakan proses penyelarasan strategi perusahaan terhadap strategi TI yang dikembangkan.
2. ISO/IEC 17799ISO/IEC 17799 dikembangkan oleh The International Organization for Standardization (ISO) dan The International Electrotechnical Commission (IEC) dengan titel "Information Technology - Code of Practice for Information Security Management". ISO/IEC 17799 dirilis pertama kali pada bulan desember 2000.ISO/IEC 17799 bertujuan memperkuat 3 (tiga) element dasar keamanan informasi (1), yaitu1. Confidentiality – memastikan bahwa informasi hanya dapat diakses oleh yang berhak.2. Integrity – menjaga akurasi dan selesainya informasi dan metode pemrosesan.
3. Availability – memastikan bahwa user yang terotorisasi mendapatkan akses kepada informasi dan aset yang terhubung dengannya ketika memerlukannya.ISO/IEC 17799 terdiri dari 10 domain (1), yaitu:
1. Security Policy – memberikan panduan dan masukan pengelolaan dalam meningkatkan keamanan informasi.
2. Organizational Security – memfasilitasi pengelolaan keamanan informasi dalam organisasi.3. Asset Classification and Control – melakukan inventarisasi aset dan melindungi aset tersebut
dengan efektif.4. Personnel Security – meminimalisasi risiko human error, pencurian, pemalsuan atau
penggunaan peralatan yang tidak selayaknya.5. Physical and Environmental Security –
menghindarkan violation, deteriorationatau disruption dari data yang dimiliki.6. Communications and Operations Management – memastikan penggunaan yang baik dan
selayaknya dari alat-alat pemroses informasi.7. Access Control – mengontrol akses informasi.8. Systems Development and Maintenance – memastikan bahwa keamanan telah terintegrasi
dalam sistem informasi yang ada.9. Business Continuity Management – meminimalkan dampak dari terhentinya proses bisnis
dan melindungi proses-proses perusahaan yang mendasar dari kegagalam dan kerusakan yang besar.
10. Compliance – menghindarkan terjadinya tindakan pelanggaran atas hukum, kesepakatan atau kontrak, dan kebutuhan keamanan.
3. COSO – Committee of Sponsoring Organization of the Treadway CommissionCOSO merupakan kependekan dari Committee of Sponsoring Organization of the Treadway Commission, sebuah organisasi di Amerika yang berdedikasi dalam meningkatkan kualitas pelaporan finansial mencakup etika bisnis, kontrol internal dan corporate governance. Komite ini didirikan pada tahun 1985 untuk mempelajari faktor-faktor yang menunjukan ketidaksesuaian dalam laporan finansial.
1. Komponen kontrol COSOCOSO mengidentifikasi 5 komponen kontrol yang diintegrasikan dan dijalankan dalam semua unit bisnis, dan akan membantu mencapai sasaran kontrol internal:a. Monitoring.b. Information and communications.c. Control activities.d. Risk assessment.e. Control environment.2. Sasaran kontrol internalSasaran kontrol internal dikategorikan menjadi beberapa area sebagai berikut:a. Operations – efisisensi dan efektifitas operasi dalam mencapai sasaran bisnis yang juga meliputi tujuan performansi dan keuntungan.b. Financial reporting – persiapan pelaporan anggaran finansial yang dapat dipercaya.c. Compliance – pemenuhan hukum dan aturan yang dapat dipercaya.
3. Unit / Aktifitas Terhadap OrganisasiDimensi ini mengidentifikasikan unit/aktifitas pada organisasi yang menghubungkan kontrol internal. Kontrol internal menyangkut keseluruhan organisasi dan semua bagian-bagiannya. Kontrol internal seharusnya diimplementasikan terhadap unit-unit dan aktifitas organisasi.
3. COBIT – Control Objectives forInformation and related TechnologyCOBIT Framework dikembangkan oleh IT Governance Institute, sebuah organisasi yang melakukan studi tentang model pengelolaan TI yang berbasis di Amerika Serikat.COBIT Framework terdiri atas 4 domain utama:
1. Planning & Organisation.Domain ini menitikberatkan pada proses perencanaan dan penyelarasan strategi TI dengan strategi perusahaan.
2. Acquisition & Implementation.Domain ini menitikberatkan pada proses pemilihan, pengadaaan dan penerapan teknologi informasi yang digunakan.
3. Delivery & Support.Domain ini menitikberatkan pada proses pelayanan TI dan dukungan teknisnya.4. Monitoring.Domain ini menitikberatkan pada proses pengawasan pengelolaan TI pada organisasi.
Masing-masing domain terdiri dari high-level control-objectives sebagai berikut:
Domain Planning & Organisation1. PO1 Define a Strategic TI Plan2. PO2 Define the Information Architecture3. PO3 Determine Technological Direction4. PO4 Define the TI Organisation and Relationships5. PO5 Manage the TI Investment6. PO6 Communicate Management Aims and Direction7. PO7 Manage IT Human Resources8. PO8 Manage Quality9. PO9 Assess and Manage IT Risks10. PO10 Manage Projects
Domain Acquisition & Implementation1. AI1 Identify Automated Solutions2. AI2 Acquire and Maintain Application Software3. AI3 Acquire and Maintain Technology Infrastructure4. AI4 Enable Operation and use5. AI5 Procure IT Resources6. AI6 Manage Changes7. AI7 Install and Accredit Solutions and changes
Domain Delivery & Support1. DS1 Define and Manage Service Levels2. DS2 Manage Third-party Services3. DS3 Manage Performance and Capacity4. DS4 Ensure Continous Services5. DS5 Ensure System Security6. DS6 Indentify and Allocate Cost7. DS7 Educate and Train Users
8. DS8 Manage Service desk and incidents9. DS9 Manage the Configurations10. DS10 Manage Problems11. DS11 Manage Data12. DS12 Manage the Physical Environment13. DS13 Manage Operations
Domain Monitoring1. M1 Monitor and Evaluate IT Performance2. M2 Monitor and Evaluate IInternal Controll3. M3 Ensure Compliance with external requirements4. M4 Provide IT Governance
COBIT mempunyai model kematangan (maturity models) untuk mengontrol proses-proses TI dengan menggunakan metode penilaian (scoring) sehingga suatu organisasi dapat menilai proses-proses TI yang dimilikinya dari skala non-existentsampai dengan optimised (dari 0 sampai 5). Maturity models ini akan memetakan:1. Current status dari organisasi – untuk melihat posisi organisasi saat ini.2. Current status dari kebanyakan industri saat ini – sebagai perbandingan.3. Current status dari standar internasional – sebagai perbandingan tambahan.4. Strategi organisasi dalam rangka perbaikan – level yang ingin dicapai oleh organisasi.
Perbandingan Model-model Standar TI Governance1. Perbandingan COBIT dengan ITILTabel 1 menunjukkan bahwa ITIL sangat fokus kepada proses desain dan implementasi TI, serta pelayanan pelanggan (customer service), hal ini diperlihatkan bahwa hampir seluruh proses pada domain AI dan DS COBIT dilakukan, sementara sebagian proses PO dilakukan, ini menunjukkan bahwa ITIL tidak terlalu fokus pada proses penyelarasan strategi perusahaan dengan pengelolaan TI. Proses pada domain M sama sekali tidak dilakukan oleh ITIL, hal ini menunjukkan ITIL tidak melakukan pengawasan yang akan memastikan kesesuaian pengelolaan TI dengan keadaan perusahaan di masa yang akan datang.
1. Perbandingan COBIT dengan ISO/IEC 17799Tabel 2 menunjukkan bahwa ISO/IEC 17799 melakukan sebagian proses-proses pada seluruh domain COBIT.
Hal ini menunjukkan ISO/IEC 17799 mempunyai spektrum yang luas dalam hal pengelolaan TI sebagaimana halnya COBIT, namun ISO/IEC 17799 tidak sedalam COBIT dalam hal detail proses-proses yang dilakukan dalam domain-domain tersebut.
1. Perbandingan COBIT dengan COSOTabel 3 menunjukkan bahwa COSO melakukan sebagian proses di domain PO, AI, dan DS, namun tidak satupun proses pada domain M dilakukan.
Hal ini menunjukkan bahwa COSO fokus kepada proses penyelarasan TI dengan strategi perusahaan, dan sangat fokus dalam hal desain dan implementasi TI.
Kesimpulan Perbandingan Model-model Standar Pengelolaan TITabel 4 memperlihatkan bahwa model-model standar selain COBIT tidak mempunyai range spektrum yang seluas COBIT. Model-model tersebut hanya melakukan sebagian dari proses-proses pengelolaan yang ada di dalam COBIT
Gambar 5 memetakan standar COBIT dengan standar lainnya dalam hal kelengkapan proses-proses TI yang dilihat dalam dua dimensi:
1. Vertical – melihat kedetailan atau kedalaman standar dalam hal teknis dan operasional.2. Horizontal – melihat kelengkapan proses-proses TI
Dan dari Gambar 2.5, dapat dilihat bahwa COBIT mempunyai kompromi antara dimensi horisontal dan vertikal yang lebih baik dari standar-standar lainnya. COBIT mempunyai spektrum proses TI yang lebih luas dan lebih mendetail. ITIL merupakan standar yang paling mendetail dan mendalam dalam mendefinisikan proses-proses TI yang bersifat teknis dan operasional. Sedangkan COSO mempunyai detail yang dangkal, walaupun spektrum proses teknis dan operasionalnya cukup luas