bab 2 landasan teori 2.1. pengertian efektivitas dilakukan secara kritis dan sistematis oleh pihak...
Post on 30-Mar-2018
220 Views
Preview:
TRANSCRIPT
8
BAB 2
LANDASAN TEORI
2.1. Pengertian Efektivitas
Menurut O’Brien (2003,p31), success should be also measure by the
efectiveness of information technology supporting an organization’s business
strategies, enabling it’s business processes enhaching it’s organizational structure
and culture, and increasing the customer and business value of enterprise. Yan g
berarti, kesuksesan seharusnya juga diukur oleh keefektifan dari teknologi informas i
yang mendukung strategi bisnis suatu perusahaan, menciptakan proses bisnisnya,
meningkatkan struktur dan kebudayaan organisasi dan meningkatkan jumlah
pelanggan serta nilai bisnis perusahaan tersebut.
Menurut http://mtsu32.mtsu.edu:11409/698-Delone&McLean-TenYearUpda
te.pdf, mengutip, Yankey dan McClellan (2003), Organizational effectiveness is the
extent to which an organization has met its stated goals and objectives and how well
it performed in the process, yang berarti efektivitas organisasi adalah besaran
ukuran dimana sebuah organisasi telah mencapai sasaran dan objektivitasnya dan
bagaimana hal tersebut dilakukan dalam prosesnya.
Menurut CobIT 4.1, To achieve effective governance, executives require that
controls be implemented by operational managers within a defined control
framework for all IT processes. COBIT’s IT control objectives are organised by IT
process; therefore, the framework provides a clear link among IT governance
requirements, IT processes and IT controls. Yang artinya untuk mencapai tata-
kelola perusahaan yang efektif , pihak eksekutif membutuhkan pengendalian yang
diimplementasikan oleh manajer operasional dimana kontrol didefinisikan untuk
9
kerangka kerja bagi semua proses TI. Pengendalian objektif COBIT telah diatur
oleh proses TI untuk itu kerangka kerja menyediakan keterkaitan yang jelas antara
kebutuhan pengendalian TI, proses TI , dan pengendalian TI.
2.2. Pengertian Sistem
Menurut Gondodiyoto dan Hendarti (2006, p94), Sistem adalah komponen
elemen-elemen atau sumber daya yang saling berkaitan secara terpadu, terintegrasi
dalam suatu hubungan hirarkis tertentu, dan bertujuan untuk mencapai tujuan
tertentu.
Menurut O’Brien (2005,p8), sistem adalah suatu kumpulan dari komponen
yang berhubungan yang bekerja bersama untuk mencapai suatu tujuan dengan
menerima input dan menghasilkan output melalui suatu proses transformasi.
Jadi, dapat disimpulkan bahwa sistem adalah kumpulan dari komponen-
komponen yang saling berhubungan satu dengan yang lainnya membentuk satu
kesatuan untuk mencapai tujuan tertentu.
2.3. Pengertian Informasi
Menurut O’Brien (2005, p13), informasi adalah data yang ditempatkan pada
suatu konteks yang berarti dan berguna untuk end user dari suatu sistem.
Menurut Gondodiyoto (2007, p110), Informasi adalah merupakan data yang
sudah diolah menjadi bentuk yang lebih berguna dan lebih berarti (bermanfaat) bagi
penerimanya, menggambarkan suatu kejadian dan kesatuan nyata yang dapat
dipahami dan dapat digunakan untuk pengambilan keputusan sekarang atau masa
depan.
10
Menurut McLeod, Jr. (2001, p4), Informasi adalah salah satu sumber daya
yang tersedia bagi menejer, yang dapat dikelola seperti hal sumber daya yang lain.
Informasi dari komputer dapat digunakan oleh para manajer, non menejer, serta
orang-orang dalam lingkungan perusahaan.
Jadi, dapat disimpulkan bahwa informasi adalah data yang sudah diproses
atau sudah mempunyai arti dan berguna untuk pihak yang berkepentingan.
2.4. Pengertian Sistem Informasi
O’Brein (2008,p6) mendefinisikan, “Information System can be any
organized combination of people, hardware, software, communication networks,
and data resource that collect, transform, disseminates information in an
organization”. Diterjemahkan Sistem Informasi adalah suatu kesatuan yang terdiri
dari manusia (brainware), perangkat keras (hardware), perangkat lunak (software),
jaringan komputer, dan sumber daya yang mengumpulkan, mentransformasikan dan
mendistribusikan informasi di dalam suatu organisasi.
Menurut Gondodiyoto (2007, p112), sistem informasi masih dapat
didefinisikan sebagai kumpulan elemen-elemen atau sumber daya dan jaringan
prosedur yang saling berkaitan secara terpadu, terintegrasi dalam suatu hubungan
hirearki tertentu dan bertujuan untuk mengolah data menjadi informasi.
Menurut Witten, Bantley & Bittman (2004, p12), sistem informasi adalah
peraturan, orang, data, proses dan teknologi informasi yang berinteraksi untuk
mengumpulkan, memproses, menyimpan, dan menyediakan sebagai output
informasi yang di perlukan untuk mendukung sebuah organisasi.
11
Jadi, dapat disimpulkan sistem informasi adalah sekumpulan komponen
yang saling bekerja sama didalam suatu organisasi untuk mengumpulkan,
memproses dan menyimpan informasi untuk mendukung proses pengambilan
keputusan.
2.5. Evaluasi
2.5.1. Pengertian Evaluasi
Menurut kamus bahasa Indonesia kontemporer (2002, p14),
evaluasi adalah kegiatan dengan sungguh mengamati, menimbang baik
buruknya suatu masalah yang dilakukan oleh suatu tim dan secara formal
dengan dasar-dasar tertentu kemudian memberikan penghargaan seberapa
bobotnya, kualitasnya atau kemampuannya.
Menurut Umar (2005,p36), evaluasi adalah suatu proses untuk
menyediakan Informasi tentang sejauh mana kegiatan tertentu telah dicapai,
bagaimana perbedaan pencapaian itu dengan suatu standar tertentu untuk
mengetahui apakah ada selisih diantara keduanya serta bagaimana manfaat
yang telah dikerjakan itu bila dibandingkan dengan harapan-harapan yang
ingin diperoleh.
Menurut Agoes (2004, p2), Evaluating adalah suatu pemeriksaan
yang dilakukan secara kritis dan sistematis oleh pihak independen, terhadap
laporan keuangan yang telah disusun oleh manajemen, beserta catatan-
catatan pembukuan dan bukti-bukti pendukungnya dengan tujuan untuk
memberikan pendapat mengenai kewajaran laporan keuangan tersebut.
12
Berdasarkan definisi diatas dapat disimpulkan bahwa evaluas i
adalah suatu proses pengumpulan data atau bukti yang kompeten yang
dilakukan oleh orang yang independen dan kompeten dibidangnya untuk
digunakan sebagai alat dalam penelusuran guna menentukan secara objektif
kehandalan informasi yang disampaikan oleh manajemen.
2.5.2. Jenis-jenis Evaluasi
Menurut Arens, Elder & Beasley (2003,p19-20), terdapat 3 (tiga) jenis
evaluasi yang dapat dibedakan dan dipahami, atas penjelasan menurut adalah
sebagai berikut :
1) Evaluasi Operasional
Adalah tinjauan atas bagian-bagian tertentu dari prosedur, serta
metode-metode operasional tertentu, yang bertujuan untuk mengevaluasi
suatu efesiensi dan efektivitas dari prosedur serta metode-metode
tersebut. Dimana pada saat suatu evaluasi operasional selesai
dilaksanakan, maka pihak manajemen pada umumnya mengharapkan
sejumlah rekomendasi, maupun saran, yang bertujuan untuk
meningkatkan kegiatan operasional perusahaan.
2) Evaluasi Kepatuhan
Adalah bertujuan untuk menentukan apakah klien (evaluating),
telah mengikuti prosedur, tata cara, serta peraturan yang dibuat oleh
otoritas yang lebih tinggi. Dimana temuan evaluasi kepatuhan umumnya
disampaikan pada seseorang didalam unit organisasi yang dievaluasi, dari
pada disampaikan pada suatu lingkup pengguna yang lebih luas.
13
3) Evaluasi atas Laporan Keuangan
Adalah evaluasi yang dilaksanakan untuk menentukan, apakah
seluruh laporan keuangan atau informasi yang diuji, telah dinyatakan
sesuai dengan kriteria tertentu. Dimana kriteria tersebut adalah
merupakan pernyataan standar akuntansi keuangan yang berlaku umum.
2.5.3. Prosedur Evaluasi
Menurut Umar (2005,p38), evaluasi pada umumnya memiliki
tahapan-tahapannya sendiri. Berikut penjelasan salah satu tahapan evaluasi
yang umumnya digunakan :
1) Menentukan apa yang akan dievaluasi.
Dalam bisnis, apa saja yang dapat dievaluasi, dapat mengacu pada
program kerja perusahaan. Di sana banyak terdapat aspek-aspek yang
kiranya dapat dan perlu dievaluasi. Tetapi biasanya yang di prioritaskan
untuk dievaluasi adalah hal-hal yang menjadi key-succeess factor –nya.
2) Merancang (desain) kegiatan evalusi.
Sebelum evaluasi dilakukan, tentukan terlebih dahulu desain
evaluasinya agar data apa saja yang dibutuhkan, tahapan-tahapan kerja
apa saja yang dilalui, siapa saja yang akan dilibatkan, serta apa saja
yang akan dihasilkan menjadi jelas.
3) Pengumpulan data.
Berdasarkan desain yang telah disiapkan, pengumpulan data dapat
dilakukan secara efektif dan efisien, yaitu sesuai dengan kaidah-kaidah
ilmiah yang berlaku dan sesuai dengan kebutuhan dan kemampuan.
14
4) Pengolahan dan analisis data.
Setelah data terkumpul, data tersebut diolah untuk dikelompokkan agar
mudah dianalisis dengan menggunakan alat-alat analisis yang sesuai,
sehingga dapat menghasilkan fakta yang dapat dipercaya. Selanjutnya,
dibandingkan antara fakta dan harapan/rencana untuk menghasilkan
gap. Besar gap akan sesuai dengan tolok ukur terttentu sebagai hasil
evaluasinya.
5) Pelaporan hasil evalusi.
Agar hasil evaluasi dapat dimanfaatkan bagi pihak-pihak yang
berkepentingan, hendaknya hasil evalusi didokumentasikan secara
tertulis dan diinformasikan baik secara lisan maupun tulisan.
6) Tindak lanjut evaluasi
Evaluasi merupakan salah satu bagian dari fungsi manajemen. Oleh
karena itu, hasil evaluasi hendaknya dimanfaatkan oleh manajemen
untuk mengambil keputusan dalam rangka mengatasi masalah
manajemen baik di tingkat strategi maupun di tingkat implementasi
strategi.
2.6. Pengendalian Internal
2.6.1. Pengertian Pengendalian Internal
Menurut Gondodiyoto dan Hendarti (2007, p.69-70), “Pengendalian
Internal digunakan dalam pengertian lebih luas, yaitu sebagai mekanisme
untuk mendukung kebijakan perusahaan, pengamanan aset perusahaan,
15
pendukung mutu organisasi dan sebagai persyaratan dicapainya tujuan
perusahaan”.
Menurut Rama dan Jones (2008, p132), pengendalian internal adalah
suatu proses, yang dipengaruhi oleh dewan direksi entitas, manajemen, dan
personel lainnya, yang dirancang untuk memberikan kepastian yang
beralasan terkait dengan pencapaian sasaran kategori sebagai berikut:
efektivitas dan efisiensi operasi; keandalan pelaporan keuangan; dan
ketaatan terhadap hukum dan peraturan yang berlaku.
2.6.2. Sifat-Sifat Pengendalian Internal
Menurut Gondodiyoto (2009, 137), pengendalian internal digolongkan
dalam preventive, detection, corrective :
a. Preventive control, yaitu pengendalian internal yang dirancang dengan
maksud untuk mengurangi kemungkinan (atau mencegah/menjaga jangan
sampai terjadi kesalahan, kekeliruan, kelalaian, error) maupun
penyalahgunaan (kecurangan, fraud)
b. Detection control, yaitu pengendalian yang didisain dengan tujuan agar
apabila data direkam (di-entry)/dikonfersi dari media sumber (media input)
untuk di transfer ke sistem komputer dapat dideteksi apabila terjadi
kesalahan (maksudnya tidak sesuai dengan kriteria yang ditetapkan).
c. Corrective control, ialah pengendalian yang sifatnya jika terdapat data yang
sebenarnya error tetapi tidak terdeteksi oleh program validasi, harus ada
prosedur yang jelas tentang bagaimana melakukan pembetulan terhadap data
16
yang salah dengan maksud untuk mengurangi kemungkinan kerugian atau
kesalahan/ penyalahgunaan tersebut sudah benar-benar terjadi.
2.6.3. Komponen Sistem Pengendalian Internal
Menurut Rama dan Jones (2008, p133), Terdapat lima komponen
pengendalian internal :
1. Lingkungan pengendalian
2. Aktivitaas pengendalian
3. Penilaian resiko
4. Informasi dan komunikasi
5. Pengawasan
2.6.4. Jenis-jenis Pengendalian Internal
2.6.4.1. Pengendalian Umum
Menurut Romney dan Steinbart (2003, p251), Pengendalian
umum adalah sistem pengendalian yang memastikan bahwa
lingkungan pengendalian perusahaan stabil dan teratur dengan baik
untuk meningkatkan keefektifan pengendalian aplikasi.
2.6.4.1.1. Pengendalian Sistem Operasi
Menurut James A. Hall (2002,p352), Sistem operasi
merupakan program kontrol yang dimiliki komputer. Sistem
ini memungkinkan para pemakai dan aplikasi-aplikasi
mereka untuk bersama-sama menggunakan dan mengakses
17
sumberdaya komputer, seperti prosesor, memori utama,
database, dan printer.
2.6.4.1.2. Pengendalian Manajemen Data
Menurut James A.Hall (2002,p363), pengendalian manajemen data
memiliki dua kategori umum: pengendalian atau kontrol akses dan
pengendalian atau kontrol pendukung (backup). Kontrol akses dirancang
untuk mencegah individu-individu yang tidak memiliki otorisasi untuk
memeriksa, mengambil, merusak atau mengkorupsi data organisasi. Kontrol
pendukung (backup) memastikan bahwa dalam peristiwa hilangnya data
karena akses yang tidak sah, kegagalan peralatan, atau bencana fisik,
organisasi dapat memulihkan file-file database.
2.6.4.2. Pengendalian Aplikasi
Menurut James A.Hall (2002, p428), Pengendalian aplikasi berkenaan
dengan eksposur-eksposure dalam aplikasi tertentu, seperti sistem pembayaran
gaji, pembelian, dan sistem pengeluaran kas.r Kontrol-kontrol aplikasi yang
dapat berupa tindakan atau prosedur manual yang diprogram dalam sebuah
aplikasi.
2.6.4.2.1. Pengendalian Input
Menurut James A. Hall (2002, p428), Komponen pengendalian
data dari sistem informasi bertanggung jawab untuk membawa data ke
dalam sistem untuk diproses. Pengendalian input pada tahap ini
18
memastikan bahwa transaksi-transaksi tersebut sah, akurat, dan lengkap.
Prosedur input data dapat berupa input yang digerakkan oleh dokumen
sumber (batch) atau input langsung (real-time). Kontrol-kontrol input di
bagi dalam kelas-kelas besar berikut ini :
1) Source document control
Dalam sistem yang menggunakan dokumen sumber untuk
memulai transaksi, harus dilakukan tindakan kontrol yang
cermat terhadap instrumen-instrumen ini. Organisasi harus
mengimplementasikan prosedur kontrol terhadap dokumen-
dokumen sumber untuk memperhatikan setiap dokumen,
seperti: menggunakan dokumen sumber yang sebelumnya telah
diberi nomer urut, menggunakan dokumen sumber secara
berurutan, dan mengaudit dokumen sumber secara berkala.
2) Data coding control
Pengendalian atau kontrol pengkodean merupakan pemeriksaan
terhadap integritas kode-kode data yang digunakan dalam
pemrosesan.
3) Validation Control
Kontrol validasi bertujuan untuk mendeteksi kesalahan dalam
data transaksi sebelum data sudah di proses. Prosedur validasi
menjadi prosedur yang paling efektif ketika mereka dilakukan
sedekat mungkin dengan transaksi.
19
4) Input Error Corection
Ketika di deteksi terdapat kesalahan dalam sebuah
batch, mereka harus dikoreksi dan record dimasukan kembali
untuk di proses ulang.
2.6.4.2.2. Pengendalian Proses
Menurut James A. Hall (2002, p444), Setelah menjalani tahap input
data, transaksi-transaksi memasuki tahap pemrosesan dari sebuah sistem.
Kontrol pemrosesan dibagi menjadi tiga kategori :
a. Run-to-run Control
Kontrol run-to-run menggunakan angka-angka batch untuk mengawasi
batch seakan-akan ia bergerak dari satu prosedur yang terprogram (run)
ke prosedur terprogram lainnya.
b. Operator Intervention Control
Intervensi operator meningkatkan kemungkinan kesalahan manusia.
sistem yang dibatasi intervensi operator melalui kontrol intervensi
operator karenanya tidak banyak mengalami kesalahan pemrosesan.
c. Audit Trail Control
Pelestarian sebuah jejak audit merupakan salah satu tujuan penting dalam
kontrol proses. Dalam sebuah akuntansi, setiap akuntansi harus dicatat
melalui setiap tahap pemrosesan dari sumber ekonomisnya ke
penyajiannya dalam laporan keuangan. Dalam suatu lingkungan SIBK
(Sistem Informasi Berbasis Komputer), Jejak audit bisa begitu terpecah-
pecah dan sulit diikuti. Oleh karena itu menjadi penting bahwa setiap
20
operasi utama diterapkan pada transaksi dan seluruhnya telah
didokumentasikan.
2.6.4.2.3. Pengendalian Output
Menurut James A. Hall (2002, p448), Teknik mengontrol tiap
fase dalam proses output adalah sebagai berikut :
a. Output spooling
b. Print programs
c. Bursting
d. Waste
e. Data control
f. Report distribution
g. End user control
2.7. Manajemen Proyek
Menurut Schwalbe (2007, p10), Manajemen proyek adalah ”the application
of knowledge, skills, tools, and technique to project activities to meet project
requirements”. Manajemen proyek adalah penerapan pengetahuan, skill, alat dan
teknik untuk proyek kegiatan untuk memenuhi persyaratan proyek.
Menurut Santosa (2003, p3), Menejemen Proyek adalah kegiatan
merencanakan, mengorganisasikan, mengarahkan dan mengendalikan sumberdaya
organisasi perusahaan untuk mencapai tujuan tertentu dalam waktu tertentu dengan
sumberdaya tertentu.
21
2.7.1. Proses yang Berkaitan Dengan Manajemen Proyek
Menurut Schwalbe (2007, p80-81), Manajemen proyek adalah sebuah
upaya yang terintegratif, keputusan dan tindakan yang diambil dalam satu
bidang pengetahuan pada waktu tertentu, biasanya mempengaruhi bidang
pengetahuan lain. Mengelola interaksi ini sering membuat trade-off antara
lingkup proyek, waktu dan biaya pada manajemen proyek. Seorang manajer
proyek mungkin perlu membuat trade-off antara daerah-daerah lain, seperti
antara resiko dan sunber daya manusia. Akibatnya, kita dapat melihat
manajemen proyek sebagai sejumlah proses yang terkait. Proses yang
berkaitan dengan manajemen proyek adalah :
1. Proses Inisiasi
Proses dari serangkaian tindakan yang diarahkan kepada hasil tertentu.
Kemajuan proses manajemen proyek tergantung dari kegiatan inisiasi
perencanaan, pelaksanaan, monitoring, pengendalian dan penutup.
Dimulai dari proses pendefinisian dan pengotorisasisan sebuah proyek.
Untuk memulai sebuah proyek, seseorang harus mensponsori peoyek dan
seseorang harus mengambil peran manajer proyek. Akan ada fase proyek
yang berbeda, tapi semua proyek akan mencakup lima proses kelompok.
2. Proses Perencanaan
Ada beberapa rencana, seperti rencana pengelolaan ruang lingkup,
rencana pengelolaan jadwal, rencana pengelolaan biaya, rencana
pengelolaan resiko, dan sebagainya, mendefinisikan setiap bidang
pengetahuan yang berhubungan dengan proyek pada titik tersebut.
22
3. Proses Pelaksanaan
Meliputi koordinasi orang-orang dan sumber daya lain untuk
melaksanakan berbagai rencana dan menghasilkan produk, jasa, atau hasil
dari proyek.
4. Proses Pengawasan dan Pengendalian
Proses ini secara teratur mengukur dan memantau kemajuan untuk
memastikan bahwa tim proyek memenuhi tujuan proyek. Manajer proyek
dan staff memonitor dan mengukur kemajuan terhadap rencana dan
mengambil tindakan korektif yang diperlukan.
5. Proses Penutupan
Memformalkan proses penutupan meliputi penerimaan proyek atau fase
proyek dan berakhir dengan efisien. Administrasi kegiatanini sering
terlibat dalam proses ini, seperti pengelompokan pengarsipan file proyek,
menutup kontrak, mendokumentasikan pelajaran yang diperoleh, dan
menerima penerimaan resmi yang dikirimkan sebagai bagian dari fase
proyek.
2.8. Diagram Aliran Data
2.8.1. Overview Activity Diagram
Menurut Rama & Jones (2008, p79), Overview diagram menyajikan
suatu pandangan tingkat tinggi dari proses bisnis dengan
mendokumentasikan kejadian-kejadian penting, urutan kejadian-kejadian,
dan aliran informasi antar kejadian.
23
Langkah – langkah membuat Overview Activity Diagram:
1. Membaca uraian narasi dan mengidentifikasikan kejadian penting.
2. Membubuhi keterangan pada narasi agar lebih jelas menunjukkan
batasan kejadian dan nama-nama kejadian.
3. Menunjukkan agen internal yang bertanggung jawab yang terlibat
didalam proses bisnis dengan menggunakan swimlanes.
4. Membuat diagram untuk masing-masing kejadian
5. Menggambar dokumen yang dibuat dan digunakan di dalam proses
bisnis. Tungjukkan arus informasi dari kejadian ke dokumen, dan
sebaliknya.
6. Menggambar table (file) yang dibuat dan digunakan di dalam proses
bisnis. Tunjukkan arus informasi dari kejadian ke tabel dan sebaliknya.
2.8.2. Detailed Activity Diagram
Menurut Jones dan Rama (2008, p80), Detailed diagram sama
dengan peta dari sebuah kota. Diagram ini menyediakan suatu penyajian
yang lebih detail dari aktivitas yang berhubungan dengan satu atau dua
kejadian yang ditunjukkan pada overview activity diagram.
Langkah-langkah untuk membuat Detailed Activity Diagram.
1. Tambah penjelasan naratif untuk menunjukkan aktivitas.
2. Buatlah tabel arus kerja
3. Identifikasikan diagram terperinci yang diperlukan
4. Untuk setiap detailed activity diagram, lakukan beberapa langkah
pendahuluan sebagai berikut:
24
a. Buatlah swimlane untuk agen-agen yang terlibat pada satu atau
beberapa kejadian yang ditunjukkan pada detailed diagram.
b. Tambahkan segi empat panjang untuk setiap aktivitas di dalam
kejadian yang didokumentasikan pada detailed diagram tersebut.
c. Gunakan segi empat panjang untuk setiap aktivitas di dalam
kejadian yang di dokumentasikan pada detailed activity diagram.
d. Atur dokumen yang dibuat atau digunakan oleh aktivitas-aktivitas
di dalam diagram itu.
e. Gunakan garis putus-putus untuk menghubungkan aktivitas dan
dokumen.
f. Dokumentasikan setiap tabel yang dibuat, di modifikasi, atau
digunakan oleh aktivitas dalam diagram yang ada dalam kolom
komputer,
g. Gunakan garis putus-putus untuk menghubungkan aktivitas dan
tabel.
Symbol-simbol Activity Diagram.
1) Lingkaran penuh, memulai proses dalam suatu diagram aktivitas.
2) Segi empat panjang . kejadian, aktivitas, atau pemicu.
3) Garis tidak terputus. Urutan dari satu kejadian atau aktivitas ke yang
berikutnya.
4) Garis putus-putus dengan panah digunakan untuk menunjukkan aliran
informasi antar kejadian.
5) Dokumen. Menunjukkan dokumen sumber atau laporan.
6) Berlian. Sebuah cabang.
25
7) Tabel. Suatu file komputer dari mana data bias dibaca atau di rekam
selama kejadian bisnis.
8) Catatan. Memberikan acuan bagi pembaca pada diagram atau dokumen
lain untuk perincianya.
9) Symbol mata banteng menunjukkan akhir dari proses.
2.9. CobIT
2.9.1. Pengertian CobIT
Menurut Gondodiyoto (2007, p153), CobIT adalah sekumpulan
dokumentasi best practices untuk IT governance yang dapat membantu
auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara
resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis TI.
COBIT describes IT processes and associated control objectives,
management guidelines (activities, accountabilities, responsibilities and
performance metrics), and maturity models. Additionally, it supports
enterprise management in the development, implementation, continuous
improvement and monitoring of good IT-related practices.
2.9.2. Kriteria Kerja CobIT
Menurut Gondodiyoto, 2007 (p153), sumberdaya TI merupakan suatu
elemen yang sangat disoroti CobIT, termasuk pemenuhan kebutuhan bisnis
terhadap: efektivitas, efisiensi, kerahasiaan, keterpaduan, ketersedian,
kepatuhan pada kebijakan/aturan dan keandalan informasi. Kriteria kerja
CobIT meliputi :
26
Tabel 2.1KriteriaKerja COBIT
Efekti fitas Untuk memperoleh informasi yang rel evan dan berhubungan
dengan proses bisnis seperti penyampaian informasi dengan
benar, konsisten, dapat dipercaya dan tepat waktu.
Efisiensi Memfokuskan pada ketentuan informasi melalui penggunaan
sumber daya yang optimal.
Kerahasiaan Memfokuskan proteksi terhadap informasi yang penting dari
orang yang tidak memiliki hak otorisasi.
Integritas Berhubungan dengan keakuratan dan kel engkapan informasi
sebagai kebenaran yang sesuai dengan harapan dan nilai bisnis.
Ketersediaan Berhubungan dengan informasi yang tersedia ketika diperlukan
dalam proses bisnis sekarang dan yang akan datang.
Kepatuhan Sesuai menurut hukum, peraturan dan rencana perj anjian untuk
proses bisnis.
Keakuratan
Informasi
Berhubungan dengan ket entuan kecocokan informasi untuk
manajemen mengoperasikan entitas dan mengukur pel atihan
keuangan dan kelengkapan laporan pertanggung jawaban.
2.9.3. Kerangka Kerja CobIT
Menurut Gondodiyoto (2007, p157) Kerangka kerja CobIT terdiri atas
beberapa arahan (guidelines), tujuan pengendalian tingkat-tinggi (high-level
control objectives) yang tercermin dalam empat domain, yaitu: planing &
organization, acquisition & implementation, delivery & suport dan
monitoring.
27
1) Planing & Organization
Yaitu mencakup pembahasan tentang identifikasi dan strategi
investasi TI yang dapat memberikan yang terbaik untuk mendukung
pencapaian tujuan bisnis. Selanjutnya identifikasi dan visi strategi perlu
direncanakan, dikomunikasikan, dan diatur pelaksanaannya (dari segi
perspektif).
2) Acquisition & implementation
Yaitu untuk merealisasi strategi TI, perlu diatur kebutuhan TI,
diidentifikasi, dikembangkan, atau diimplementasikan secara terpadu
dalam proses bisnis perusahaan.
3) Delivery & suport
Domain ini lebih dipusatkan pada ukuran tentang aspek dukungan
TI terhadap kegiatan operasional bisnis (tingkat jasa layanan TI akutual
atau servis level) dan aspek urutan (prioritas implementasi dan untuk
pelatihannya).
4) Monitoring
Yaitu semua proses TI yang perlu dinilai secara berkala agar
kualitas dan tujuan dukungan TI tercapai, dan kelengkapannya
berdasarkan pada syarat kontrol internal yang baik.
28
2.9.3.1. Control Objectives
Domain Plan and Organise
PO1 Define a Strategic IT Plan
IT strategic planning is required to manage and direct all IT resources in
line with the business strategy and priorities. The IT function and business
stakeholders are responsible for ensuring that optimal value is realised from
project and service portfolios. The strategic plan improves key stakeholders’
understanding of IT opportunities and limitations, assesses current
performance, identifies capacity and human resource requirements, and
clarifies the level of investment required. The business strategy and
priorities are to be reflected in portfolios and executed by the IT tactical
plan(s), which specifies concise objectives, action plans and tasks that are
understood and accepted by both business and IT.
PO2 Define the Information Architecture
The information systems function creates and regularly updates a business
information model and defines the appropriate systems to optimise the use of
this information. This encompasses the development of a corporate data
dictionary with the organisation’s data syntax rules, data classification
scheme and security levels. This process improves the quality of
management decision making by making sure that reliable and secure
information is provided, and it enables rationalising information systems
resources to appropriately match business strategies. This IT process is also
needed to increase accountability for the integrity and security of data and
29
to enhance the effectiveness and control of sharing information across
applications and entities.
PO3 Determine Technological Direction
The information services function determines the technology direction to
support the business. This requires the creation of a technological
infrastructure plan and an architecture board that sets and manages clear
and realistic expectations of what technology can offer in terms of products,
services and delivery mechanisms. The plan is regularly updated and
encompasses aspects such as systems architecture, technological direction,
acquisition plans, standards, migration strategies and contingency. This
enables timely responses to changes in the competitive environment,
economies of scale for information systems staffing and investments, as well
as improved interoperability of platforms and applications.
PO4 Define the IT Processes, Organisation and Relationships
An IT organisation is defined by considering requirements for staff, skills,
functions, accountability, authority, roles and responsibilities, and
supervision. This organisation is embedded into an IT process framework
that ensures transparency and control as well as the involvement of senior
executives and business management. A strategy committee ensures board
oversight of IT, and one or more steering committees in which business and
IT participate determine the prioritisation of IT resources in line with
business needs. Processes, administrative policies and procedures are in
place for all functions, with specific attention to control, quality assurance,
risk management, information security, data and systems ownership, and
30
segregation of duties. To ensure timely support of business requirements, IT
is to be involved in relevant decision processes.
PO5 Manage the IT Investment
A framework is established and maintained to manage IT-enabled
investment programmes and that encompasses cost, benefits, prioritisation
within budget, a formal budgeting process and management against the
budget. Stakeholders are consulted to identify and control the total costs and
benefits within the context of the IT strategic and tactical plans, and initiate
corrective action where needed. The process fosters partnership between IT
and business stakeholders; enables the effective and efficient use of IT
resources; and provides transparency and accountability into the total cost
of ownership (TCO), the realisation of business benefits and the ROI of IT-
enabled investments.
PO6 Communicate Management Aims and Direction
Management develops an enterprise IT control framework and defines and
communicates policies. An ongoing communication programme is
implemented to articulate the mission, service objectives, policies and
procedures, etc., approved and supported by management. The
communication supports achievement of IT objectives and ensures
awareness and understanding of business and IT risks, objectives and
direction. The process ensures compliance with relevant laws and
regulations.
31
PO7 Manage IT Human Resources
A competent workforce is acquired and maintained for the creation and
delivery of IT services to the business. This is achieved by following defined
and agreed-upon practices supporting recruiting, training, evaluating
performance, promoting and terminating. This process is critical, as people
are important assets, and governance and the internal control environment
are heavily dependent on the motivation and competence of personnel.
PO8 Manage Quality
A QMS is developed and maintained that includes proven development and
acquisition processes and standards. This is enabled by planning,
implementing and maintaining the QMS by providing clear quality
requirements, procedures and policies. Quality requirements are stated and
communicated in quantifiable and achievable indicators. Continuous
improvement is achieved by ongoing monitoring, analysis and acting upon
deviations, and communicating results to stakeholders. Quality management
is essential to ensure that IT is delivering value to the business, continuous
improvement and transparency for stakeholders.
PO9 Assess and Manage IT Risks
A risk management framework is created and maintained. The framework
documents a common and agreed-upon level of IT risks, mitigation
strategies and residual risks. Any potential impact on the goals of the
organisation caused by an unplanned event is identified, analysed and
assessed. Risk mitigation strategies are adopted to minimise residual risk to
an accepted level. The result of the assessment is understandable to the
32
stakeholders and expressed in financial terms, to enable stakeholders to
align risk to an acceptable level of tolerance.
PO10 Manage Projects
A programme and project management framework for the management of all
IT projects is established. The framework ensures the correct prioritisation
and co-ordination of all projects. The framework includes a master plan,
assignment of resources, definition of deliverables, approval by users, a
phased approach to delivery, QA, a formal test plan, and testing and post-
implementation review after installation to ensure project risk management
and value delivery to the business. This approach reduces the risk of
unexpected costs and project cancellations, improves communications to and
involvement of business and end users, ensures the value and quality of
project deliverables, and maximises their contribution to IT-enabled
investment programmes.
Domain Acquire and Implement
AI1 Identify Automated Solutions
The need for a new application or function requires analysis before
acquisition or creation to ensure that business requirements are satisfied in
an effective and efficient approach. This process covers the definition of the
needs, consideration of alternative sources, review of technological and
economic feasibility, execution of a risk analysis and cost-benefit analysis,
and conclusion of a final decision to ‘make’ or ‘buy’. All these steps enable
organisations to minimise the cost to acquire and implement solutions whilst
ensuring that they enable the business to achieve its objectives.
33
AI2 Acquire and Maintain Application Software
Applications are made available in line with business requirements. This
process covers the design of the applications, the proper inclusion of
application controls and security requirements, and the development and
configuration in line with standards. This allows organisations to properly
support business operations with the correct automated applications.
AI3 Acquire and Maintain Technology Infrastructure
Organisations have processes for the acquisition, implementation and
upgrade of the technology infrastructure. This requires a planned approach
to acquisition, maintenance and protection of infrastructure in line with
agreed-upon technology strategies and the provision of development and test
environments. This ensures that there is ongoing technological support for
business applications.
AI4 Enable Operation and Use
Knowledge about new systems is made available. This process requires the
production of documentation and manuals for users and IT, and provides
training to ensure the proper use and operation of applications and
infrastructure.
AI5 Procure IT Resources
IT resources, including people, hardware, software and services, need to be
procured. This requires the definition and enforcement of procurement
procedures, the selection of vendors, the setup of contractual arrangements,
and the acquisition itself. Doing so ensures that the organisation has all
required IT resources in a timely and cost-effective manner.
34
AI6 Manage Changes
All changes, including emergency maintenance and patches, relating to
infrastructure and applications within the production environment are
formally managed in a controlled manner. Changes (including those to
procedures, processes, system and service parameters) are logged, assessed
and authorised prior to implementation and reviewed against planned
outcomes following implementation. This assures mitigation of the risks of
negatively impacting the stability or integrity of the production environment.
AI7 Install and Accredit Solutions and Changes
New systems need to be made operational once development is complete.
This requires proper testing in a dedicated environment with relevant test
data, definition of rollout and migration instructions, release planning and
actual promotion to production, and a post-implementation review. This
assures that operational systems are in line with the agreed-upon
expectations and outcomes.
Domain Deliver and Support
DS1 Define and Manage Service Levels
Effective communication between IT management and business customers
regarding services required is enabled by a documented definition of and
agreement on IT services and service levels. This process also includes
monitoring and timely reporting to stakeholders on the accomplishment of
service levels. This process enables alignment between IT services and the
related business requirements.
35
DS2 Manage Third-party Services
The need to assure that services provided by third parties (suppliers,
vendors and partners) meet business requirements requires an effective
third-party management process. This process is accomplished by clearly
defining the roles, responsibilities and expectations in third-party
agreements as well as reviewing and monitoring such agreements for
effectiveness and compliance. Effective management of third-party services
minimises the business risk associated with non-performing suppliers.
DS3 Manage Performance and Capacity
The need to manage performance and capacity of IT resources requires a
process to periodically review current performance and capacity of IT
resources. This process includes forecasting future needs based on
workload, storage and contingency requirements. This process provides
assurance that information resources supporting business requirements are
continually available.
DS4 Ensure Continuous Service
The need for providing continuous IT services requires developing,
maintaining and testing IT continuity plans, utilising offsite backup storage
and providing periodic continuity plan training. An effective continuous
service process minimises the probability and impact of a major IT service
interruption on key business functions and processes.
36
DS5 Ensure Systems Security
The need to maintain the integrity of information and protect IT assets
requires a security management process. This process includes establishing
and maintaining IT security roles and responsibilities, policies, standards,
and procedures. Security management also includes performing security
monitoring and periodic testing and implementing corrective actions for
identified security weaknesses or incidents. Effective security management
protects all IT assets to minimise the business impact of security
vulnerabilities and incidents.
DS6 Identify and Allocate Costs
The need for a fair and equitable system of allocating IT costs to the
business requires accurate measurement of IT costs and agreement with
business users on fair allocation. This process includes building and
operating a system to capture, allocate and report IT costs to the users of
services. A fair system of allocation enables the business to make more
informed decisions regarding the use of IT services.
DS7 Educate and Train Users
Effective education of all users of IT systems, including those within IT,
requires identifying the training needs of each user group. In addition to
identifying needs, this process includes defining and executing a strategy for
effective training and measuring the results. An effective training
programme increases effective use of technology by reducing user errors,
increasing productivity and increasing compliance with key controls, such
as user security measures.
37
DS8 Manage Service Desk and Incidents
Timely and effective response to IT user queries and problems requires a
well-designed and well-executed service desk and incident management
process. This process includes setting up a service desk function with
registration, incident escalation, trend and root cause analysis, and
resolution. The business benefits include increased productivity through
quick resolution of user queries. In addition, the business can address root
causes (such as poor user training) through effective reporting.
DS9 Manage the Configuration
Ensuring the integrity of hardware and software configurations requires the
establishment and maintenance of an accurate and complete configuration
repository. This process includes collecting initial configuration
information, establishing baselines, verifying and auditing configuration
information, and updating the configuration repository as needed. Effective
configuration management facilitates greater system availability, minimises
production issues and resolves issues more quickly.
DS10 Manage Problems
Effective problem management requires the identification and classification
of problems, root cause analysis and resolution of problems. The problem
management process also includes the formulation of recommendations for
improvement, maintenance of problem records and review of the status of
corrective actions. An effective problem management process maximises
system availability, improves service levels, reduces costs, and improves
customer convenience and satisfaction.
38
DS11 Manage Data
Effective data management requires identifying data requirements. The data
management process also includes the establishment of effective procedures
to manage the media library, backup and recovery of data, and proper
disposal of media. Effective data management helps ensure the quality,
timeliness and availability of business data.
DS12 Manage the Physical Environment
Protection for computer equipment and personnel requires well-designed
and well-managed physical facilities. The process of managing the physical
environment includes defining the physical site requirements, selecting
appropriate facilities, and designing effective processes for monitoring
environmental factors and managing physical access. Effective management
of the physical environment reduces business interruptions from damage to
computer equipment and personnel.
DS13 Manage Operations
Complete and accurate processing of data requires effective management of
data processing procedures and diligent maintenance of hardware. This
process includes defining operating policies and procedures for effective
management of scheduled processing, protecting sensitive output,
monitoring infrastructure performance and ensuring preventive maintenance
of hardware. Effective operations management helps maintain data integrity
and reduces business delays and IT operating costs.
39
Domain Monitor and Evaluate
ME1 Monitor and Evaluate IT Performance
Effective IT performance management requires a monitoring process. This
process includes defining relevant performance indicators, reporting
performance in a timely and systematic manner, and acting promptly upon
deviations. Monitoring is needed to make sure that the right things are done
and are in line with the set directions and policies.
ME2 Monitor and Evaluate Internal Control
Establishing an effective internal control programme for IT requires a well-
defined monitoring process. This process includes the monitoring and
reporting of control exceptions, results of self-assessments and third-party
reviews. A key benefit of internal control monitoring is to provide assurance
regarding effective and efficient operations and compliance with applicable
laws and regulations.
ME3 Ensure Compliance With External Requirements
Effective oversight of compliance requires the establishment of a review
process to ensure compliance with laws, regulations and contractual
requirements. This process includes identifying compliance requirements,
optimising and evaluating the response, obtaining assurance that the
requirements have been complied with and, finally, integrating IT’ s
compliance reporting with the rest of the business.
ME4 Provide IT Governance
Establishing an effective governance framework includes defining
organisational structures, processes, leadership, roles and responsibilities to
40
ensure that enterprise IT investments are aligned and delivered in
accordance with enterprise strategies and objectives.
2.9.4. Maturity Models
Maturity model adalah suatu cara untuk mengukur bagaimana suatu
proses manajemen telah dilakukan. Secara umum, maturity model berguna
untuk memampukan perusahaan melakukan branch marking dan identifikasi
pembaharuan yang dilakukan. Keuntungan dari pendekatan maturity model
ini adalah kemudahan bagi manajemen untuk menempatkan dirinya pada
skala tertentu dan menghargai apa yang perlu diikutsertakan jika
peningkatan performa diperlukan. Model akan membantu para profesional
untuk menjelaskan kepada para manajer dimana manajemen proses TI
muncul dan menetapkan target dimana perusahaan harus ada. Maturity yang
dapat dipengaruhi oleh bussiness objective perusahaan, lingkungan
operasional, dan praktik industri. Setiap proses pada CobIT terdapat skala
penilaian berdasarkan deskripsi maturity model secara umum dibawah ini:
1) Level 0 – Non existent
Benar-benar kurang proses yang sepenuhnya diketahui perusahaan.
Perusahaan bahkan belum mengenali isu yang harus dihadapi
2) Level 1 – Initial
Ada bukti bahwa perusahaan telah menganali isu-isu yang ada dan harus
diselesaikan. Namun tidak ada proses yang terstandarisasi dan ada
beberapa pendekatan yang bersifat ad-hoc yang cenderung diaplikasikan
pada kasus individual atau kasus per kasus.
41
3) Level 2 – Repeatable
Proses telah dikembangkan pada tahap dimana prosedur yang sama
diikuti oleh beberapa orang yang berbeda pada saat melakukan tugas
yang sama. Tidak ada pelatihan formal atau komunikasi tiap individu.
Ada kecenderungan untuk bertumpu pada pengetahuan individu
sehingga kesalan cenderung terjadi.
4) Level 3 – defined
Prosedur telah distandarisasi dan didokumentasi serta dikomunikasikan
melalui pelatihan. Namun hal ini diserahkan pelaksanaannya kepada
masing-masing individu untuk mengikutinya atau tidak, dan
pengimpangan sulit untuk dideteksi.
5) Level 4 – Managed
Adalah mungkin untuk memonitor dan mengukur kepatuhan terhadap
prosedur-prosedur dan melakukan suatu tindakan ketika suatu proses
tidak sesuai.
6) Level 5 – Optimised
Proses telah diperbaiki pada tingkat best practice berdasarkan pada hasil
dari peningkatan yang berkelanjutan dan maturity modelling dengan
perusahaan lain. TI digunakan pada cara yang terintegrasi ke arus kerja
yang telah terotomatisasi, menyediakan perangkat untuk meningkatkan
kualitas dan efektivitas sehingga membuat perusahaan cepat
beradaptasi.
42
Gambar 2.1 Graphic representation of maturiry model
2.9.5. Standar Audit S istem Informasi
Standard Audit Sistem Informasi menurut ISACA (Information
System Audit and Control Association) :
S1 Audit Charter
1. Tujuan, tanggung jawab, kewenangan dan akuntabilitas dari fungsi
audit sistem informasi atau penilaian audit sistem informasi harus
didokumentasikan dengan pantas dalam sebuah audit charter atau
perjanjian tertulis.
2. Audit charter atau perjanjian tertulis harus mendapat persetujuan dan
pengabsahan pada tingkatan yang tepat dalam organisasi.
S2 Independence
1. Professional Independence
Dalam semua permasalahan yang berhubungan dengan audit, auditor
sistem informasi harus independen terhadap auditee baik dalam sikap
maupun penampilan.
43
2. Organisational Independence
Fungsi audit sistem informasi harus independen tehadap area atau
aktivitas yang sedang diperiksa agar tujuan penilaian audit
terselesaikan.
S3 Professional Ethics and Standards
1. Auditor sistem informasi harus tunduk pada kode etika profesi dari
ISACA dalam melakukan tugas audit.
2. Auditor sistem informasi harus patuh pada penyelenggarakan profesi,
termasuk observasi terhadap standar audit profesional yang dipakai
dalam melakukan tugas audit.
S4 Professional Competence
1. Auditor sistem informasi harus seorang profesional yang kompeten,
memiliki keterampilan dan pengetahuan untuk melakukan tugas
audit.
2. Auditor sistem informasi harus mempertahankan kompetensi
profesionalnya secara terus menerus dengan melanjutkan edukasi dan
training.
S5 Planning
1. Auditor sistem informasi harus merencanakan peliputan audit sistem
informasi sampai pada tujuan audit dan tunduk pada standar audit
profesional dan hukum yang berlaku.
2. Audit sistem informasi harus membangun dan mendokumentasikan
resiko yang didasarkan pada pendekatan audit.
44
S6 Performance of Audit Work
1. Pengawasan-staff audit sistem informasi harus diawasi untuk
memberikan keyakinan yang masuk akal bahwa tujuan audit telah
sesuai dan standar audit profesional yang ada.
2. Bukti-Selama berjalannya audit, auditor sistem informasi harus
mendapatkan bukti yang cukup, layak dan relevan untuk mencapai
tujuan audit. Temuan audit dan kesimpulan didukung oleh analisis
yang tepat dan interprestasi terhadap bukti-bukti yang ada.
3. Dokumentasi-Proses audit harus didokumentasikan, mencakup
pelaksanaan kerja audit dan bukti audit untuk mendukung temuan
dan kesimpulan auditor sistem informasi.
S7 Reporting
1. Auditor sistem informasi harus menyajikan laporan, dalam pola yang
tepat, atas penyelesaian audit.
2. Laporan audit harus berisikan ruang lingkup, tujuan, periode
peliputan, waktu dan tingkatan kerja audit yang dilaksanakan.
3. Laporan audit harus berisikan temuan, kesimpulan dan
rekomendasikan serta berbagai pesan, kualifikasi atau batasan dalam
ruang lingkup bahwa auditor sistem informasi bertanggung jawab
terhadap audit.
4. Auditor sistem informasi harus memiliki bukti yang cukup dan tepat
untuk mendukung hasil pelaporan.
45
S8 Follow up Activities
Setelah laporan hasil audit yang mengemukakan temuan dan
rekomendasi, auditor SI harus mengevaluasi informasi yang relevan
untuk memperoleh keyakinan apakah tindak lanjut yang diperlukan (atas
rekomendasi) telah dilaksanakan oleh pihak manajemen sesuai jadwal
yang diusulkan (tepat waktu).
S9 Irregularities and Illegal Acts
1. Dalam perencanaan dan pelaksanaan audit untuk mengurangi resiko
audit, auditor harus mempertimbangkan resiko ketidakteraturan dan
illegal acts.
2. Auditor SI harus bersikap profesional skeptis dalam pelaksanaan
audit, paham kemungkinan misstatement yang material dapat saja
terjadi karena adanya irregularities dan illegal acts, diluar evaluasi
yang telah dilakukan.
3. Auditor SI harus memahami organisasi dan lingkungannya, termasuk
sistem pengendalian internal bidang yang diperiksa.
S10 IT Governance
1. Auditor sistem informasi harus meninjau dan menilai apakah fungsi
sistem informasi sesuai dengan misi organisasi, visi, nilai, objektif
dan strategi.
2. Auditor sistem informasi harus meninjau apakah fungsi sistem
informasi mempunyai pernyataan yang jelas mengenai kinerja yang
diharapkan dari bisnis (efektif dan efisiensi) dan menilai pencapaian
yang diperoleh.
46
3. Auditor sistem informasi harus meninjau dan menilai efektifitas dari
sumber sistem informasi dan kinerja proses manajemen.
4. Auditor sistem informasi harus meninjau dan menilai pelaksanaan
yang legal/sah, lingkungan dan kualitas informasi dan fiduciary dan
persyaratan keamanan.
5. Pendekatan secara resiko harus digunakan oleh auditor sistem
informasi untuk menilai fungsi sistem informasi.
6. Auditor sistem informasi harus meninjau dan menilai control
environment dari organisasi.
7. Auditor sistem informasi harus meninjau dan menilai resiko yang
mungkin merugikan pengaruh dari lingkungan sistem informasi.
S11 Use of Risk Assessment in Audit planning
1. Auditor sistem informasi harus menggunakan teknik penilaian resiko
yang tepat atau pendekatan dalam mengembangkan perencanaan
audit sistem informasi secara keseluruhan dan didalam prioritas
determinasi untuk alokasi yang efektif dari sumber audit sistem
informasi.
2. Ketika planning individual reviews, auditor sistem informasi harus
mengidentifikasi dan menilai resiko yang berkaitan dengan area yang
ditinjau.
S12 Audit Materiality
1. Auditor SI harus mempertimbangkan konsep materialitas dalam
hubungannya dengan resiko audit.
47
2. Dalam merencanakan audit, auditor SI mempertimbangkan
kelemahan-kelemahan potensial atau tidak adanya kontrol internal
dan apakah hal itu dapat mempunyai akibat yang signifikan pada SI.
3. Auditor SI harus mempertimbangkan dampak kumulatif dari
kelemahan atau ketiadaan pengendalian interen.
4. Laporan auditor SI harus mengungkapkan adanya pengendalian
interen yang lebih efektif atau tidak adanya pengendalian interen
(terhadap resiko tertentu) dan dampaknya.
S13 Using the Work of Other Experts
1. Auditor SI harus, jika memungkinkan, menggunakan hasil kerja
auditor atau tenaga ahli lain.
2. Auditor SI harus menilai kualifikasi profesional, kempetensi,
pengalaman yang relevan, sumber daya, independensi, dan proses
quality control dari ahli lain tersebut, sebelum menerima penugasan
audit.
3. Auditor SI harus meninjau, menilai dan mengevaluasi hasil kerja
tenaga ahli lain tersebut sebagai bagian dari audit dan menentukan
tingkat penggunaan atau mengesampingkan has il kerja tenaga lain
tersebut.
4. Auditor SI harus menentukan dan menyimpulkan apakah hasil kerja
tenaga ahli lain tersebut cukup memadai dan lengkap untuk
mendukung auditor SI menarik kesimpulan sesuai tujuan audit (dan
kesimpulan tersebut harus secara jelas didokumentasikan).
48
5. Auditor SI perlu melaksanakan prosedur pemeriksaan posedur
pemeriksaan tambahan untuk memperoleh bukti audit yang lebih
sufficient dan appropriate pada situasi dimana auditor berpendapat
bahwa bukti audit dari hasil kerja tenaga ahli lain tersebut tidak
cukup.
6. Auditor SI harus memberikan opini tentang kecukupan bukti audit
dan pembatasan ruang-lingkup pemeriksaan (jika ada), terkait
kelengkapan bukti audit yang diperoleh melalui pemeriksaan
tambahan.
S14 Audit Evidence
1. Auditor sistem informasi harus memperoleh bukti audit yang cukup
dan tepat untuk menarik kesimpulan yang masuk akal berdasarkan
hasil audit.
Auditor sistem informasi harus memeriksa kecukupan bukti audit yang
diperoleh selama audit.
2.9.6. Guideline Audit Sistem Informasi
Guideline Audit Sistem Informasi menurut ISACA (Information
System Audit and Control Association).
G1 Using the Work of Other Auditor and Experts
Isi pokok panduan :
Hak mengakses pekerjaan oleh auditor atau pakar lain. Auditor SI harus
mendapat keyakinan bahwa jika harus menggunakan hasil pekerjaan
49
auditor atau ahli lain untuk tujuan auditnya, maka hal itu harus jelas
diatur dalam audit charter (letter of engagement).
G2 Audit Evidence Requirement
Isi pokok panduan :
Dalam perencanaan audit, auditor SI harus menentukan tipe bukti audit
yang akan dikumpulkan dan digunakan untuk tujuan audit, serta tingkat
realibilitasnya.
G3 Use of Computer Assisted Audit Technique (CAATs)
Isi pokok panduan :
CAATs dapat menghasilkan banyak audit pada audit SI, karena itu
auditor harus merencanakan penggunaan CAATs dengan seksama.
CAATs juga dapat digunakan untuk mengerjakan berbagai prosedur
audit seperti uji transaksi / saldo, prosedur analistik, uji pengendalian
umum SI, uji pengendalian aplikasi SI, tes penetrasi.
G4 Outsourcing of IS Activities to Another Organisations
Isi pokok panduan :
1. Responsibilitas, otoritas dan akuntabilitas
2. Jika fungsi SI di-outsourced, pada audit charter harus tegas
mencakup hak auditor SI untuk review aggrement di antara pemakai
jasa dan auditor, melakukan pemeriksaan jika memang
dipertimbangkan perlu, dan melaporkan temuan, kesimpulan dan
rekomendasi.
50
G5 Audit Charter
Isi pokok panduan :
1. Mandat bagi audit SI untuk melaksanakan fungsinya harus jelas
tertuang pada uraian tugas pokok dan fungsi yang lazimnya disebut
audit charter.
2. Audit charter harus dengan jelas mencantumkan tiga aspek: tanggung
jawab, otoritas, dan akuntabilitas.
G6 Materiality Concepts for Auditing Information
Isi pokok panduan :
Tingkat materialitas adalah sepenuhnya auditor’s professional
judgement. Dalam menilai materialitas, auditor, atau aturan serta
kesalahan yang dapat diterima manajemen, auditor, atau aturan serta
dampak akumulasi kesalahan kecil yang bias menjadi material.
G7 Due Professional Care
Isi pokok panduan :
Due care ialah tingkat ketelitian / ketekunan / seksama seorang
professional secara berhati-hati dan kompeten bekerja dalam lingkungan
tertentu. Due professional care adalah keadaan seperti itu untuk profesi
atau keterampilan teknis tertentu, misalnya dalam audit SI.
G8 Audit Documentation
Isi pokok panduan :
Dokumentasi harus menyebutkan informasi yang diperlukan berkaitan
dengan hukum, regulasi, kebijakan perusahaan, dan standar professional
terkait, serta disusun dengan jelas, terstruktur, mudah dipahami.
51
G9 Audit Consideration for Irregularities
Isi pokok panduan :
Auditor SI harus memperhatikan audit charter atau letter of engagement
untuk memperjelas tanggung jawab auditor terkait dengan preventing,
detecting, dan reporting irregularities.
G10 Audit Samplin
Isi pokok panduan :
Dalam menarik kesimpulan auditor menggunakan data sampel, karena
tidak mungkin auditor memeriksa seluruh data. Karena itu auditor SI
harus merancang audit sample, prosedur audit dan evaluasi audit
sample yang layak dengan metode audit sampling.
G11 Effect of Pervasive IS Control
Isi pokok panduan :
CobIT mendefinisikan control sebagai kebijakan, prosedur, practices,
dan struktur organisasi, yang dirancang untuk memperoleh keyakinan
memadai bahwa tujuan organisasi akan tercapai, dan jika banyak
terdapat hal-hal yang tidak diinginkan dapat dicegah, dideteksi, dan
dikoreksi.
G12 Organizational Relationship and Independence
Isi pokok panduan :
Pengertian independen mencakup sikap dan perilaku sesuai kode etik
dan standar. Audit charter harus menjamin adanya independensi,
otoritas, dan akuntabilitas fungsi audit, semuanya diatur pada
manajemen organisasi.
52
G13 Use of Risk Assesment in Audit Planning
Isi pokok panduan :
Banyak metoda dan teknik penaksiran resiko, berbasis komputer/
manual, mulai dari sederhana (hanya dengan klasifikasi high, medium,
dan low berdasarkan auditor’s judgement). Sampai ke yang rumit
dengan “kalkulasi ilmiah” untuk menyusun numeric risk rating.
G14 Application Systems Review
Isi pokok panduan :
Salah satu bagian penting dalam audit planning adalah memahami
sestem informasi, tingkat kerumitan, dan ketergantungan proses bisnis
maupun kegiatan organisasi tersebut terhadap sistem informasinya.
Pengendalian intern system aplikasi menunjukkan tingkat resiko
berjalan dengan baik / tidaknya system aplikasi tersebut.
G15 Plannning Revised
Isi pokok panduan :
Auditor SI harus memahami arsitektur informasi yang diaudit serta
arah teknologi informasinya, melakukan risk assessment and
prioritization, menentukan lingkup pemeriksaan, dan melakukan
preliminary assessment of internal controls. Tingkat pemahaman
mengenai organisasi dan proses serta hal-hal lain yang berkaitan
dengan auditan bergantung pada tingkat detail pemeriksaan yang akan
dilakukan.
53
G16 Effect of Third Parties on an Organization’s IT Controls
Isi pokok panduan :
Auditor SI harus menilai kurang / tidak berfungsinya kontrol, pada
bidang kegiatan yang mana, dan apakah secara signifikan berpengaruh
terhadap lingkungan pengendalian intern.
G17 Effect of Nonaudit Role on the IS Auditor’s Independence
Isi pokok panduan :
Audit charter perlu mencantumkan kemungkinan pemberian tugas
non-audit kepada staf unit audit, dan dalam setiap penugasan auditor
harus yakin bahwa hal itu tidak melanggar aturan yang ada pada audit
charter.
G18 IT Governance
Isi pokok panduan :
IT Governance adalah salah satu domain didalam enterprise
governance. Karena TI sekarang dipandang bukan lagi hanya sebagai
alat pengolah data atau sekedar alat pelengkap organisasi bisnis,
melainkan bagian integral dari strategi perusahaan. Berdasarkan
pandangan itu maka korporasi perlu memperoleh keyakinan IT
governance, dan untuk itu diperlukan audit.
G19 Irregularities and Illegal Acts
Isi pokok panduan :
1. Fraud, berbagai hal bersifat kecurangan untuk memperoleh
keuntungan.
2. Manipulasi, pemalsuan, pengubahan data atau dokumen.
54
G20 Reporting
Isi pokok panduan :
Auditor SI harus membuat laporan hasil pemeriksaan yang disusun
dalam format yang tepat segera setelah selesai melakukan tugasnya.
G21 Enterprise Resource Planning (ERP) Systems Review
Isi pokok panduan :
ERP mendukung system operasi dan system informasi perusahaan,
tetapi di sisi lain mengandung risiko dan tantangan bagi organisasi:
lingkungan bisnis, perilaku organisasi, prosedur dan proses bisnis,
integritas data, system functionality, kelanjutan bisnis.
G22 Business to Consumer (B2C) E-Commerce Review
Isi pokok panduan :
Auditor SI harus menilai secara kritis tujuan EC, strategi, model,
tingkat persaingan dan posisi perusahaan, apakah EC merupakan
inisiatif baru atau merupakan kelanjutan bisnis yang sudah ada, tingkat
ketergantungan ekonomi perusahaan terhadap EC.
G23 Systems Development Life Cycle Review
Isi pokok panduan :
SDLC adalah rangkaian tahap prosedur pembangunan system berbasis
TI. Sistem dapat dibangun sendiri, dibeli (implementasi paket software
yang tanpa diubah-ubah lagi atau paket software yang dimodifikasi
sehingga bisa memenuhi keinginan kita), atau kombinasi.
55
G24 Internet Banking
Isi pokok panduan :
Auditor SI harus mengumpulkan informasi terkait tujuan internet
banking, strategi yang digunakan untuk mencapai tujuan, cara bank
menggunkan teknologi internet, dan hubungannya dengan customer.
Auditor SI harus menilai resiko-resiko seperti penilaian strategi dan
analisis resiko, integritas tujuan strategis perusahaan / bank, seleksi
dan manajemen infrastruktur teknologi.
G25 Review of Virtual Private Networks
Isi pokok panduan :
Auditor SI harus menetapkan pendekatan audit yang akan dilakukan,
hal ini bergantung tahap pre-implementasi, dalam proses
implementasi, atau post implementasi. Jika dalam pemeriksaan akan
digunakan bantuan ahli atau akan digunakan testing / monitoring tools,
perlu dikomunikasikan pada manajemen.
G26 Business Process Reenginering (BRP) Project Review
Isi pokok panduan :
Pengertian BRP adalah suatu pemikiran kembali secara mendasar
dengan redesain secara radikal terhadap proses bisnis agar terjadi
perbaikan yang dramatis dalam ukuran-ukuran kontemporer, seperti:
biaya, mutu, service dan speed.
56
G27 Mobile Computing
Isi pokok panduan :
Auditor SI harus memperhatikan risiko-risiko yang terkait dengan
mobile devices, terutama yang berkaitan dengan akses terhadap sistem/
data, dari connectivity, dan affordability mobile device meningkatkan
risiko.
G28 Computer Forensic
Isi pokok panduan :
Auditor SI harus membuat laporan yang antara lain memuat ruang
lingkup, tujuan, dan hakekat pemeriksaan, waktu dan tingkat
pemeriksaan yang dilakukan, temuan dan rekomendasi secara jelas,
organisasi/ pihak-pihak yang berhak menerima laporan tersebut, serta
pembatasan.
G29 Post-Implementation Review
Isi pokok panduan :
Laporan hasil review post implementasi seharusnya memuat antara
lain tujuan, ruang lingkup, asumsi, dan metodologi yang digunakan
dalam pemeriksaan, penilaian apakah tujuan implementasi tercapai,
penialian secara umum terhadap proses implementasi.
G30 Competence
Isi pokok panduan :
Auditor SI memelihara kemampuan dan pengetahuan mereka secara
berkelanjutan untuk memelihara tingkat kompetensi yang dapat
diterima. Hal ini dapat dilakukan melalui pendidikan professional yang
57
berkelanjutan meliputi: pelatihan, kursus pendidikan, program
sertifikasi, universitas, konferensi, seminar.
G31 Privacy
Isi pokok panduan :
1. Harus dicegah terjadinya deviation (penyimpangan) atau breaches
(pelanggaran) penggunaan informasi.
2. Tiap organisasi harus mengatur prosedur dan tanggung jawab yang
berkaitan dengan privacy.
3. Aturan umum yang harus patuhi ialah bahwa semua pihak
hendaknya hanta mengakses data yang terkait tugasnya.
4. Dibuat user identification dan access privileges
G32 Business Continuity Plan (BCP) Review From IT Perspective
Isi pokok panduan :
Auditor SI harus merumuskan area penting seperti proses bisnis dan
teknologi yang terkait dengan penilaian resiko, dan harus dapat
dijamin bahwa rencana kerja harus dapat dilaksanakan.
G33 General Considerations on the use of the Internet
Isi pokok panduan :
Auditor SI menilai resiko: ancaman yang dihadapi dan perubahan atau
perkembangannya, biaya jika terjadi masalah, tingkat kemungkinan
ada security incident, konsekuensi jika ada data yang dibajak, dan
lainnya.
58
G34 Responsibility, Authority and Accountability
Isi pokok panduan :
Auditor SI harus memiliki pengetahuan yang cukup untuk identifikasi
indikasi adanya kecurangan, bekerja secara seksama dan menggunakan
keterampilan yang diperlukan untuk bekerja secara kompeten dan
kehati - hatian professional jika menggunakan tenaga bantuan ahli lain
selalu evaluasi dengan cermat.
G35 Follow-up Activities
Isi pokok panduan :
Auditor SI harus membahas dengan manajemen mengenai tindak
lanjut atas rekomendasi, dan sebaiknya dibuat action plan, tindak
lanjut tersebut perlu dicatat sebagai management response. Jika terjadi
perbedaan pendapat atas rekomendasi atau komentar penyeimbang dari
pihak auditan, maka hal itu harus diungkapkan, dan bila perlu dengan
alas an masing - masing.
G36 Biometric Controls
Isi pokok panduan :
Identifikasi dan autentifikasi tradisional sebagai access controls.
Melakukan pemeriksaan terhadap seleksi dan pengadaan biometrics,
operasional dan pemeliharaan sistem biometric, kinerja system
biometric dll.
59
2.10. Pengertian Redmine
Redmine adalah aplikasi manajemen proyek yang dibuat menggunakan
framework Ruby on Rails. Redmine mendukung multiple project sehingga Redmine
bisa diinstal di perusahaan untuk mengelola semua proyek yang sedang berjalan.
Untuk pengelolaan proyek, Redmine memiliki Gantt chart dan Calendar
untuk mengelola dokumentasi proyek, serta menggunakan wiki yang sudah tersedia.
Tugas dibagikan pada team member dengan menggunakan konsep issue. Saat ini
Redmine dapat melihat isi repository Subversion, CVS, Mercurial, dan Darcs.
Dengan menggunakan aplikasi ini, berbagai aspek dalam manajemen proyek dapat
dikelola secara terpusat.
(http://endy.artivisi.com/blog/aplikasi/redmine/)
Fitur-fitur yang terdapat dalam redmine adalah sebagai berikut :
1) Multiple projects support
2) Flexible role based access control
3) Flexible issue tracking system
4) Gantt chart and calendar
5) News, documents & files management
6) Feeds & email notifications
7) Per project wiki
8) Per project forums
9) Time tracking
10) Custom fields for issues, time-entries, projects and users
11) SCM integration (SVN, CVS, Git, Mercurial, Bazaar and Darcs)
60
12) Issue creation via email
13) Multiple LDAP authentication support
14) User self-registration support
15) Multilanguage support
16) Multiple databases support
top related