TA : Audit Sistem dan Teknologi Informasi Berdasarkan Cobit 4.1 Pada IT Marketing and Trading (M&T) PT Pertamina (Persero) Marketing Operation Region V Surabaya.
AUDIT SISTEM DAN TEKNOLOGI INFORMASI
BERDASARKAN COBIT 4.1 PADA IT MARKETING AND
TRADING (M&T) PT PERTAMINA (PERSERO) MARKETING
OPERATION REGION V SURABAYA
TUGAS AKHIR
Program Studi S1 Sistem Informasi
Oleh:
ANTONIA RATNA HANJANI 11410100011
FAKULTAS TEKNOLOGI DAN INFORMATIKA
INSTITUT BISNIS DAN INFORMATIKA STIKOM SURABAYA 2016
(2)
xiii
DAFTAR ISI
Halaman
ABSTRAK ... ix
KATA PENGANTAR ... x
DAFTAR ISI ... xiii
DAFTAR GAMBAR ... xvii
DAFTAR TABEL ... xviii
BAB I ... 1
1.1 Latar Belakang ... 1
1.2 Rumusan Masalah ... 3
1.3 Batasan Masalah... 3
1.4 Tujuan ... 4
1.5 Manfaat Penelitian ... 4
1.6 Sistematika Penulisan ... 4
BAB II ... 6
2.1. Penelitian Sebelumnya... 6
2.2. Audit ... 7
2.3. Audit sistem dan teknologi informasi ... 7
2.4. Analisis Risiko ... 12
2.5. COBIT ... 13
BAB III ... 21
3.1 Pembuatan dan Penyetujuan Engagement Letter ... 22
(3)
xiv
3.1.2 Mengidentifikasi Ruang Lingkup dan Tujuan Audit ... 23
3.1.3 Membuat Engagement Letter ... 23
3.2 Preplanning Audit Sistem Informasi ... 23
3.2.1 Menentukan Jadwal Audit (Annual Working Plan/AWP) ... 24
3.2.2 Membuat Pernyataan ... 24
3.2.3 Membuat Pertanyaan ... 24
3.3 Membuat Penilaian Risiko ... 24
3.3.1 Melakukan observasi ... 25
3.3.2 Membuat risk register ... 25
3.4 Pelaksanaan Audit sistem dan teknologi informasi ... 25
3.4.1 Melakukan Wawancara ... 26
3.4.2 Menyusun Dokumen Wawancara ... 26
3.5 Melakukan Pengumpulan Bukti Audit ... 26
3.6 Melakukan Pemeriksaan Bukti... 26
3.7 Analisis Hasil Audit ... 27
3.7.1 Analisis daftar bukti ... 27
3.7.2 Menghitung maturity level ... 27
3.7.3 Membuat Spider Chart... 28
3.7.4 Menyusun daftar temuan... 28
3.8 Pelaporan Audit sistem dan teknologi informasi ... 28
4.8.1 Analisis daftar temuan... 29
4.8.2 Penyusunan rekomendasi berdasarkan temuan ... 29
4.8.3 Menyusun laporan hasil akhir audit ... 29
(4)
xv
4.1. Pembuatan dan Penyetujuan Audit Engagement Letter ... 30
4.1.1 Mengidentifikasi Proses Bisnis dan TI ... 30
4.1.2 Mengidentifikasi Ruang Lingkup dan Tujuan Audit ... 34
4.1.3 Membuat Engagement Letter ... 35
4.2. Preplanning Audit SI ... 36
4.2.1. Menentukan Jadwal Audit ... 36
4.2.2. Membuat Pernyataan ... 37
4.2.3. Membuat Pertanyaan ... 38
4.3. Membuat Penilaian Risiko... 39
4.3.1. Melakukan Observasi ... 39
4.3.2. Menyusun Risk Register... 39
4.4 Pelaksanaan Audit Sistem Informasi ... 46
4.4.1. Pelaksanaan Wawancara ... 46
4.4.2. Pembuatan Dokumen Hasil Wawancara ... 47
4.5 Pengumpulan Bukti Audit ... 48
4.6 Melakukan Pemeriksaan Bukti... 53
4.6.1. Analisis Bukti ... 53
4.6.2. Membuat Hasil Pemeriksaan Bukti ... 53
4.7 Analisis Hasil Audit ... 56
4.7.1. Melakukan Uji Kematangan ... 56
4.7.2. Membuat Spider Chart... 65
4.7.3. Penyusunan Daftar Temuan ... 81
4.8 Pelaporan Audit Sistem Informasi ... 87
(5)
xvi
4.8.2. Penyusunan Rekomendasi ... 88
4.8.3. Penyusunan Laporan Hasil Akhir Audit ... 88
4.8.4 Hasil Audit ... 110
BAB V... 115
5.1 Kesimpulan ... 115
5.2 Saran ... 116
DAFTAR PUSTAKA ... 117
(6)
1
BAB I PENDAHULUAN
1.1 Latar Belakang
Pertamina adalah perusahaan minyak dan gas bumi yang dimiliki Pemerintah Indonesia, berdasarkan Undang-Undang Republik Indonesia Nomor 22 tahun 2001 pada tanggal 23 November 2001 menyangkut tentang Minyak dan Gas Bumi. Selama lebih dari setengah abad, Pertamina telah melayani kebutuhan energi dalam negeri dengan mengelola kegiatan operasi yang terintegrasi di sektor minyak, gas, dan panas bumi. Pertamina juga senantiasa berupaya untuk memperbaiki kinerja operasi dan keuangan guna memberikan kontribusi yang terbaik bagi perekonomian Indonesia. Dalam kerangka good governance, Pertamina perlu melaksanakan bisnis yang transparan dan bersih.
PT Pertamina (Persero) MOR V adalah perusahaan yang bertanggung jawab pada area Jawa Timur, Bali, Nusa Tenggara Barat, Nusa Tenggara Timur, Timor Leste. PT Pertamina (Persero) MOR V telah mengimplementasikan layanan sistem dan teknologi informasi pada perusahaannya dan yang bertanggung jawab pada layanan tersebut yaitu IT Marketing and Trading (M&T) MOR V Surabaya. IT M&T memiliki tanggung jawab untuk layanan sistem dan teknologi informasi yang disediakan antara lain yaitu layanan dukungan Enterprise Resource Planning (ERP), layanan non-ERP, layanan dukungan email dan file sharing, penyediaan perangkat telekomunikasi, penyediaan perangkat multimedia, dan penyediaan perangkat desktop.
(7)
Pada tahun 2014, IT M&T MOR V Surabaya melakukan proses audit dengan tingkat kematangan 3.77 pada domain Plan and Organise (PO), 4.08 pada domain Aqcuire and Implement (AI), 4.21 pada domain Deliver and Support (DS), dan 4,51 pada domain Monitor and Evaluate (ME). Tingkat kematangan tersebut sudah memuaskan, tetapi masih terdapat kendala pada layanan sistem dan teknologi informasi yang sering dilakukan penggunanya. Kendala yang terjadi antara lain yaitu kurangnya respon kepada customer dalam menanggapi permintaan dan adanya keterlambatan pada layanan ERP dan non-ERP. Akibat dari kendala ini yaitu terjadinya lack of service yang berupa keterlambatan pengelolaan layanan yang terjadi pada IT Marketing & Trading (M&T) PT Pertamina (Persero)
Marketing Operation Region V Surabaya. Dampak dari lack of service ini dapat
mengurangi tingkat kepercayaan customer pada IT M&T PT Pertamina (Persero) MOR V Surabaya yang dapat terlihat pada gambar 1.1. Di dalam gambar dapat terlihat bahwa terjadi kecenderungan kepercayaan customer menurun dari tahun 2013 ke tahun 2014.
Gambar 1.1 Tingkat kepercayaan customer pada 3 tahun terakhir
Oleh karena itu perlu dilakukan audit sistem dan teknologi informasi lanjutan yang berdasarkan pada rekomendasi dari audit yang telah dilakukan pada tahun 2014 oleh IT M&T Pertamina Marketing Operation Region (MOR) V Surabaya. Dengan demikian diharapkan audit sistem dan teknologi informasi ini dapat digunakan untuk mengetahui penyebab dari keluhan yang ada. Standar yang
(8)
3
digunakan dalam audit ini adalah COBIT 4.1. Standar tersebut dipilih karena kontrol-kontrol untuk permasalahan-permasalahan yang ada pada Pertamina
Marketing Operation Region (MOR) V Surabaya sudah diidentifikasi
menggunakan COBIT 4.1 sehingga IT M&T memutuskan untuk melanjutkan implementasi dan memonitor apakah tujuan utama yang ditetapkan telah tercapai ataukah belum.
1.2 Rumus an Mas alah
Berdasarkan latar belakang yang telah diuraikan, didapatkan perumusan masalah yaitu bagaimana membuat perencanaan dan melakukan proses audit sistem dan teknologi informasi pada IT M&T PT Pertamina (Persero) Marketing
Operation Region (MOR) V.
1.3 Batas an Masalah
Pada pelaksanaan tugas akhir ini, dilakukan beberapa pembatasan masalah terkait dengan pembahasan yang ada, di antaranya:
1. Customer yang dimaksud yaitu karyawan PT Pertamina (Persero) MOR V
Surabaya yang mencakup area Jawa Timur, Bali, Nusa Tenggara Timur, Nusa Tenggara Barat, dan Timor Leste.
2. Tahapan audit yang dipakai yaitu tahapan yang ada di dalam CISA(2006). 3. Tahapan audit yang tidak dilakukan yaitu tahapan yang ke -10 yaitu tahap
(9)
1.4 Tujuan
Berdasarkan rumusan masalah yang ada maka tujuan yang ingin dicapai dalam penelitian ini adalah menghasilkan dokumen audit yang didalamnya berisi evaluasi dari bukti yang ada serta dokumentasi temuan dan rekomendasi audit.
1.5 Manfaat Penelitian
Manfaat yang diharapkan dari pelaksanaan audit sistem dan teknologi informasi ini adalah sebagai berikut:
1. Memiliki referensi untuk meningkatkan integritas dan ketersediaan sistem dan data yang digunakan.
2. Memiliki referensi untuk meningkatkan peranan sistem dan teknologi informasi (STI) dalam pencapaian tujuan perusahaan secara efektif. 3. Memiliki referensi untuk memperbaiki SLA serta Standard Operation
Procedure (SOP).
1.6 Sistematika Penulisan
Di dalam penulisan laporan tugas akhir secara sistematika diatur dan disusun dalam lima bab, yang masing-masing terdiri dari beberapa subbab. Adapun sistematika bab pertama hingga bab terakhir sebagai berikut:
BAB I PENDAHULUAN
Bab ini berisi tentang latar belakang masalah mengenai audit sistem dan teknologi informasi yang dilakukan, rumusan masalah berdasarkan tujuan dari pelaksanaan audit sistem dan teknologi informasi, batasan masalah
(10)
5
yang akan dibahas, tujuan dari pelaksanaan audit sistem dan teknologi informasi, dan sistematika penulisan.
BAB II LANDASAN TEORI
Pada bab ini membahas tentang teori yang mendukung pokok bahasan pembuatan laporan tugas akhir yang meliputi: penelitian sebelumnya, audit, audit sistem dan teknologi informasi, analisis risiko, dan COBIT.
BAB III METODOLOGI PENELITIAN
Pada bab ini membahas langkah-langkah yang dilakukan mulai dari penyetujuan engagement letter, preplanning audit, penilaian risiko, proses audit, pengumpulan bukti, uji coba bukti audit, analisis hasil audit, dan pelaporan hasil audit.
BAB IV HASIL DAN PEMBAHASAN
Bab ini berisi tentang analisis dan evaluasi dari bukti yang ditemukan selama proses audit dan pelaporan akhir hasil audit berupa temuan dan rekomendasi.
BAB V PENUTUP
Bab ini membahas tentang kesimpulan dari tugas akhir serta saran untuk kemungkinan pengembangan pada penelitian di masa yang akan datang.
(11)
6
BAB II
LANDASAN TEORI
2.1. Penelitian Sebelumnya
Penelitian sebelumnya yang dijadikan referensi berjudul “Audit Keamanan Sistem Informasi Berdasarkan Standar ISO 27002 Pada PT Aneka Jaya Baut Sejahtera (PT AJBS)”. Audit yang digunakan pada penelitian tersebut yaitu audit keamanan informasi. Framework yang digunakan pada penelitian ini yaitu ISO 27002. Tujuan dilakukannya audit keamanan sistem informasi ini yaitu untuk mengetahui sampai di mana tingkat keamanan sistem informasi yang dimiliki oleh sistem informasi Integrated Technology Services (ITS) yang digunakan oleh PT AJBS (Halim, 2012).
Penelitian selanjutnya yang digunakan sebagai referensi berjudul Audit Sistem Informasi Manajemen Aset berdasarkan Perspektif Proses Bisnis Internal
Balanced Scorecard dan Standar COBIT 4.1. pada PT Pertamina (Persero). Audit
yang digunakan pada penelitian tersebut yaitu audit sistem informasi. Framework yang digunakan pada penelitian ini yaitu COBIT 4.1. Tujuan dilakukannya audit ini yaitu untuk memastikan keselarasan sistem informasi dengan tujuan bisnis (Dewi, dkk, 2012).
Perbedaan penelitian ini dengan penelitian sebelumnya terletak pada area audit. Pada penelitian yang berjudul “Audit Keamanan Sistem Informasi Berdasarkan Standar ISO 27002 Pada PT Aneka Jaya Baut Sejahtera (PT AJBS)” lebih menangani kepada evaluasi tentang keamanan sistem informasi Integrated
(12)
7
digunakan berbeda dengan penelitian ini. Sedangkan pada penelitian selanjutnya yang dijadikan referensi memiliki perbedaan pada penanganan audit sistem informasi yang hanya menangani audit pada manajemen aset saja.
2.2. Audit
Audit dapat didefinisikan sebagai proses atau aktivitas yang sistematik, independen dan terdokementasi untuk menemukan suatu bukti-bukti (audit
evidence) dan dievaluasi secara obyektif untuk menentukan apakah telah memenuhi
kriteria pemeriksaan (audit) yang ditetapkan. Tujuan dari audit adalah untuk memberikan gambaran kondisi tertentu yang berlangsung di perusahaan dan pelaporan mengenai pemenuhan terhadap sekumpulan standar yang terdefinisi (Cannon, 2006).
2.3. Audit sistem dan teknologi informasi
Audit sistem dan teknologi informasi adalah proses pengumpulan dan pengevaluasian bukti (evidence) untuk menentukan apakah sistem informasi dapat melindungi aset, serta apakah teknologi informasi yang ada telah memelihara integritas data sehingga keduanya dapat diarahkan kepada pencapaian tujuan bisnis secara efektif dengan menggunakan sumber daya secara efektif. Beberapa elemen utama tinjauan penting dalam audit sistem dan teknologi informasi yaitu dapat diklasifikasikan sebagai berikut (Riyanarto, 2009):
a. Tinjauan terkait dengan fisik dan lingkungan, yakni: hal-hal yang terkait dengan keamanan fisik, suplai sumber daya, temperatur, kontrol kelembaban dan faktor lingkungan lain.
(13)
b. Tinjauan administrasi sistem, yaitu mencakup tinjauan keamanan sistem operasi, sistem manajemen database, seluruh prosedur administrasi sistem dan pelaksanaannya.
c. Tinjauan perangkat lunak. Perangkat lunak yang dimaksud merupakan aplikasi bisnis. Mencakup kontrol akses dan otorisasi ke dalam sistem, validasi dan penanganan kesalahan termasuk pengecualian dalam sistem serta aliran proses bisnis dalam perangkat lunak beserta kontrol secara manual dan prosedur penggunaannya. Sebagai tambahan, tinjauan juga perlu dilakukan terhadap siklus hidup pengembangan sistem.
d. Tinjauan keamanan jaringan yang mencakup tinjauan jaringan internal dan eksternal yang terhubung dengan sistem, batasan tingkat keamanan, tinjauan terhadap firewall, daftar kontrol akses router, port scanning serta pendeteksian akan gangguan maupun ancaman terhadap sistem.
e. Tinjauan kontinuitas bisnis dengan memastikan ketersediaan prosedur backup dan penyimpanan, dokumentasi dari prosedur tersebut serta dokumentasi pemulihan bencana/kontinuitas bisnis yang dimiliki.
f. Tinjauan integritas data yang bertujuan untuk memastikan ketelitian data yang beroperasi sehingga dilakukan verifikasi kecukupan kontrol dan dampak dari kurangnya kontrol yang ditetapkan.
Tahapan audit sistem dan teknologi informasi berdasarkan (Cannon, 2006) dapat dilihat pada gambar 2.1:
(14)
9
Penyetujuan audit charter/engagemen t
letter
Preplanning audit Penilaian risiko Memastikan
kemungkinan audit
Proses audit Pengumpulan bukti
Uji coba audit Analisis hasil audit
Pelaporan hasil audit Tindak lanjut audit
Gambar 2.1 Tahapan audit menurut Cannon (2006)
Di dalam proses audit ada tahapan yang harus dilalui untuk mencapai hasil akhir dari proses audit tersebut. Tahapan audit menurut Cannon (2006):
1. Penyetujuan audit charter atau engagement letter
Tahap pertama di dalam proses audit ini adalah membuat audit charter atau engagement letter untuk disetujui. Auditor harus mengantongi persetujuan dari audit charter atau engagement letter ini agar mendapatkan wewenang untuk melakukan proses audit. Audit charter harus berisi tentang:
a. Tanggung jawab (responsibility): berisi tentang ruang lingkup dengan tujuan dan sasaran audit
b. Kewenangan (authority): memberikan wewenang untuk melakukan audit dan hak untuk mendapatkan akses yang relevan di dalam proses audit
c. Pertanggungjawaban (accountability): mendefinisikan tindakan yang disepakati bersama antara komite audit dan auditor, lengkap dengan kebutuhan pelaporan
(15)
2. Preplanning audit
Tahap kedua di dalam proses audit yaitu untuk merencanakan kebutuhan audit secara spesifik untuk mendapatkan sasaran audit. Auditor harus memikirkan dampak audit di dalam proses bisnis di suatu perusahaan. 3. Melakukan penilaian risiko
Melakukan penilaian risiko adalah tahap selanjutnya di dalam melakukan proses audit dan dilakukan setelah sasaran audit telah diidentifikasi. Tujuan dari penilaian risiko ini adalah untuk memastikan bukti yang cukup akan dikumpulkan selama proses audit.
4. Memastikan kemungkinan dilakukannya audit
Memastikan kemungkinan dilakukannya audit dilakukan setelah menilai risiko audit dan memastikan bahwa prioritas telah terpenuhi. Jika tidak dapat melakukan fungsi audit yang diperlukan, masalah akan dikomunikasikan kepada manajemen dan komite audit. Audit tanpa bukti yang adalah sia-sia.
5. Melakukan proses audit
Tahap selanjutnya yaitu melakukan audit. Di dalam ini audit quality control harus sudah dipastikan, mendefinisikan komunikasi dengan auditee, melakukan pengumpulan data, dan mengulas kontrol yang telah ada
6. Pengumpulan bukti
Tiap auditor harus mengetahui kebutuhan untuk mengumpulkan bukti. Laporan audit haus didasarkan pada bukti untuk mendukung pernyataan
(16)
11
audit. Menurut temuan dan bukti-bukti yang ada harus dikonfirmasikan terlebih dahulu kepada auditee sebelum dilaporkan secara formal kepada Direksi dalam bentuk laporan audit TI (Cannon, 2011).
7. Melakukan uji coba audit
Metode untuk melakukan uji coba audit yaitu:
a. Compliance testing: melakukan uji coba pada ada atau tidaknya sesuatu
yang terdapat pada bukti yang ditemukan
b. Substantive testing: melakukan verifikasi isi dan integritas dari bukti
yang telah dikumpulkan pada tahap sebelumnya 8. Menganalisis hasil audit
Tahap selanjutnya adalah menganalisis bukti dan temuan yang dikumpulkan di tahap sebelumnya untuk menemukan rekomendasi dari temuan yang ada. 9. Melaporkan hasil audit
Setelah melakukan proses audit, tahap selanjutnya adalah melaporkan temuan yang ada. Pelaporan adalah sebuah proses yang dilakukan auditor untuk mengatur temuan audit, termasuk:
a. Ruang lingkup audit b. Sasaran adit
c. Metode dan kriteria yang digunakan d. Sifat temuan
(17)
10. Melakukan tindak lanjut dari hasil audit
Setelah mengeluarkan laporan, auditor diwajibkan untuk melakukan wawancara keluar dengan manajemen untuk memperoleh komitmen untuk rekomendasi yang dibuat dalam audit. Manajemen bertanggung jawab untuk mengakui rekomendasi, dan menunjuk apa pun tindakan korektif akan diambil, termasuk tanggal taksiran tindakan.
Dalam audit berikutnya, akan memeriksa apakah manajemen diberikan komitmen untuk memperbaiki atau memulihkan kekurangan yang ditemukan dalam audit sebelumnya. Jika tidak, Anda mengharapkan manajemen untuk bertindak pada waktu yang tepat untuk memperbaiki kekurangan seperti yang dilaporkan.
2.4. Analisis Risiko
Analisis risiko yaitu suatu prosedur yang digunakan untuk mengenali satu ancaman untuk kemudian dianalisis untuk memastikan bagaimana dampak yang diimbulkan dapat dihilangkan atau dikurangi. Penelitian ini menggunakan metode analisis risiko kualitatif karena analisis risiko kualitatif digunakan untuk meningkatkan kesadaran atas masalah sistem informasi dan sikap dari sistem yang sedang dianalisis Beberapa hal yang harus diperhatikan dalam menerapkan analisis risiko (Merritt, 2014):
1. Menentukan ruang lingkup
2. Mengklasifikasikan sistem informasi ke dalam ruang lingkup yang telah ditentukan
(18)
13
4. Menentukan koefisien dampak. Semua aset sistem informasi memiliki kerentanan yang tidak sama terhadap sebuah risiko.
5. Single loss expentancy. Aset sistem informasi yang berbeda memiliki
respon yang berbeda kepada tiap ancaman yang ada. 6. Melakukan evaluasi.
7. Melakukan perhitungan dan analisis. Terdiri dari acros asset yang berarti analisis yang memiliki tujuan untuk menunjukkan aset tertentu yang harus mendapat prioritas paling utama. Analisis yang kedua disebut across risk yang berarti analisis yang bertujuan untuk menunjukkan ancaman apa dan bagaimana ancaman yang memiliki prioritas paling utama.
8. Pengendalian risiko.
9. Analisis terhaddap pengendalian.
2.5. COBIT
COBIT (Control Objectives for Information and related Technology) merupakan model tata kelola TI dalam menilai TI serta memahami dan mengelola risiko terkait TI untuk membantu auditor, manajemen, dan pengguna lainnya dalam menjembatani jarak antara harapan dengan kenyataan risiko bisnis, kebutuhan kontrol, dan permasalahan-permasalahan teknis sehingga dapat memenuhi kebutuhan tata kelola TI dan menjamin integritas informasi dan sistem informasi perusahaan. Dengan kata lain COBIT (Control Objectives for Information and
Related Technology) adalah sekumpulan dokumentasi best practices untuk IT Governance yang dapat membantu auditor, pengguna (user), dan manajemen,
(19)
untuk menjembatani jarak antara risiko bisnis, kebutuhan control dan masalah-masalah teknis IT (Riyanarto, 2009). Skema COBIT dapat dilihat pada Gambar 2.2.
Orientasi bisnis adalah tema utama COBIT. Hal ini dirancang tidak hanya yang akan digunakan oleh layanan TI penyedia, pengguna dan auditor, tetapi juga, dan yang lebih penting, untuk memberikan bimbingan komprehensif untuk manajemen dan proses bisnis. Kerangka COBIT dapat dilihat pada gambar 2.2.
Gambar 2.2 Kerangka COBIT (Sumber: (ITGI, 2007))
Kerangka COBIT didasarkan pada prinsip untuk memberikan informasi bahwa perusahaan membutuhkan untuk mencapai tujuannya, perusahaan perlu untuk berinvestasi dalam dan mengelola dan mengendalikan sumber daya TI
(20)
15
menggunakan satu set terstruktur proses untuk memberikan layanan yang memberikan informasi perusahaan yang diperlukan. Mengelola dan mengendalikan informasi adalah inti dari kerangka COBIT dan membantu memastikan keselarasan dengan kebutuhan bisnis (ITGI, 2007).
Gambar 2.3 Dasar COBIT 4.1 (Sumber: (ITGI, 2007)) 1. Tujuan COBIT
Tujuan COBIT:
a. Diharapkan dapat membantu menemukan berbagai kebutuhan manajemen yangberkaitan dengan TI.
b. Agar dapat mengoptimalkan investasi TI Menyediakan ukuran atau kriteria ketika terjadi penyelewengan atau penyimpangan. Adapun manfaat jika tujuan tersebut tercapai adalah:
1) Dapat membantu manajemen dalam pengambilan keputusan. 2) Dapat mendukung pencapian tujuan bisnis.
3) Dapat meminimalisasikan adanya tindak kecurangan/fraud yang merugikan perusahaan yang bersangkutan.
(21)
2. Landasan COBIT
a. Menyediakan informasi yang dibutuhkan untuk mencapai sasaran-sasaran b. Suatu organisasi harus mengelola sumberdaya TI nya melalui satu
kumpulan proses-proses yang dikelompokkan secara alami.
c. Kelompok-kelompok proses COBIT disusun secara sederhana dan berorientasi pada hirarki bisnis.
d. Setiap proses merujuk sumberdaya TI, dan persyaratan-persyaratan kualitas, fiduciary/kepercayaan, dan keamanan dari informasi.
3. Kerangka Kerja COBIT
Karakteristik utama kerangka kerja COBIT menurut adalah sebagai berikut (Riyanarto, 2009).
a. Control objectives terdiri atas 4 tujuan pengendalian tingkat tinggi (high level control objectives) yang tercermin dalam 4 domain, yaitu: planning & organization, acquisition & implementation, delivery & support, dan monitoring.
b. Audit guidelines berisi sebanyak 318 tujuan-tujuan pengendali rinci (detailed control objectives) untuk membantu para auditor dalam memberikan management assurance atau saran perbaikan.
c. Management guidelines berisi arahan baik secara umum maupun spesifik
mengenai apa saja yang mesti dilakukan, seperti : apa saja indikator untuk suatu kinerja yang bagus, apa saja resiko yang timbul, dan lain-lain.
d. Maturity models berfungsi untuk memetakan status maturity proses-proses IT
(22)
17
4. Kaitan audit dengan COBIT yaitu sebagai alat untuk mencari bukti dalam pelaksanaan audit teknologi informasi yang ada dalam suatu organisasi yang disesuaikan dan mengacu pada standar proses teknologi informasi yang didefinisikan dalam COBIT. Bukti audit tersebut digunakan untuk melaksanakan uji kepatutan sehingga didapatkan temuan sebagai kepatutan terhadap standar yang berlaku (Riyanarto, 2009).
5. Makna dari hasil uji kematangan 0-5 berdasarkan COBIT 4.1 yaitu:
a. Uji kematangan 0: terjadi kekurangan secara keseluruhan pada proses. Manajemen masih belum menyadari bahwa ada masalah yang harus diperhatikan.
b. Uji kematangan 1: sudah ada bukti bahwa manajemen telah menyadari masalah yang ada dan perlu diperhatikan tetapi masih belum ada proses yang terstandarisasi. Sudah terdapat pendekatan yang disusun dan diterapkan pada setiap individual. Pendekatan keseluruhan pada manajemen masih belum terorganisir.
c. Uji kematangan 2: proses sudah dikembangkan pada tahap dimana prosedur yang sama telah diikuti oleh orang berbeda yang melakukan tugas yang sama. Masih belum ada pelatihan atau komunikasi pada prosedur secara formal. sudah terjadi ketergantungan yang tinggi pada pengetahuan pada individual tetapi masih sering terjadi kesalahan.
d. Uji kematangan 3: prosedur telah terstandarisasi, terdokumentasikan, dan dikomunikasikan melalui pelatihan. Sudah ada kewajiban bahwa prosedur tersebut harus diikuti oleh setiap individu pada keseluruhan manajemen. Masih terjadi penyimpangan walau tidak terlalu banyak.
(23)
e. Uji kematangan 4: manajemen telah memantau dan mengukur kepatuhan individu dengan prosedur dan mengambil tindakan apabila sebuah prosedur tidak bekerja secara efektif. Proses berada di bawah peningkatan berkelanjutn dan menyediakan pelatihan pada prosedur tersebut. Alat yang terotomatisasi telah digunakan secara terbatas.
f. Uji kematangan 5: proses sudah disempurnakan pada tahap kebiasaan yang baik, berdasarkan hasil pada peningkatan secara berkelanjutan dan uji kematangan dengan manajemen lain. TI telah digunakan secara terintegrasi untuk mengotomatisasi alur kerja, menyediakan laat untuk meningkatkan kualitas dan efektivitas, membuat manajemen beradaptasi dengan cepat. 6. Perbedaan COBIT 4.1 dan COBIT 5 menurut ISACA
COBIT 5 merupakan pengembangan dari COBIT 4.1 yang diperkenalkan pada tahun 2012. Namun, IT M&T PT Pertamina (Persero) MOR V Surabaya masih belum mengadopsi COBIT 5 secara penuh, sehingga di IT M&T masih menggunakan framework COBIT 4.1. terdapat beberapa perbedaan antara COBIT 4.1 dan COBIT 5 yang telah dicantumkan di dalam tabel 2.1.
Tabel 2.1 Perbandingan COBIT 4.1 dan COBIT 5
No. Perbandingan Cobit 4.1 Cobit 5
1
Prinsip tata kelola perusahaan
Ada 4 prinsip, yaitu business
requirements, IT resources, IT Processes, dan Enterprise Information. (ITGI, 2007)
Ada 5 prinsip yaitu meeting
stakeholder needs, covering the enterprise end-to-end, applying a single integrated framework, enabling a holistic approach, dan separating governance from management. (ITGI,
(24)
19
Lanjutan Tabel 2.1 Perbandingan COBIT 4.1 dan COBIT 5
No. Perbandingan Cobit 4.1 Cobit 5
2 Enabler
Ada enabler, tapi tidak disebutkan secara spsesifik melainkan tersebar diantara proses yang ada pada cobit 4.1 (ITGI, 2007)
Enabler pada Cobit 5 (ITGI, 2012):
1) Prinsip, kebijakan dan kerangka kerja adalah kendaraan untuk menerjemahkan perilaku yang diinginkan menjadi panduan praktis untuk sehari-hari manajemen.
2) Proses menggambarkan set terorganisir praktek dan kegiatan untuk mencapai tujuan tertentu dan menghasilkan set output dalam mendukung pencapaian
keseluruhan TI-tujuan yang terkait. 3) Struktur organisasi adalah
pengambilan keputusan kunci entitas dalam suatu perusahaan. 4) Budaya, etika dan perilaku individu
dan perusahaan yang sangat sering diremehkan sebagai faktor keberhasilan dalam kegiatan tata kelola dan manajemen.
5) Informasi diperlukan untuk menjaga organisasi berjalan dengan baik dan diatur, tetapi pada tingkat operasional, informasi sangat sering produk utama dari perusahaan itu sendiri.
6) Layanan, infrastruktur dan aplikasi meliputi infrastruktur, teknologi dan aplikasi yang menyediakan perusahaan dengan pengolahan informasi teknologi dan jasa. 7) Manusia, keterampilan dan
kompetensi yang diperlukan untuk berhasil menyelesaikan semua kegiatan, dan untuk membuat keputusan yang benar dan mengambil tindakan korektif.
3
Pengaturan tata kelola dan manajemen
Tata kelola tidak dipisah dengan manajemen (ITGI, 2007)
Tata kelola dipisah dengan manajemen. Tata kelola pada sebagian besar
perusahaan merupakan tanggung jawab dari dewan direksi yang dipimpin oleh pemilik. Manajemen merupakan tanggung jawab semua manajer eksekutif yang dipimpin oleh direktur operasional dalam menjalankan operasional kerja. (ITGI, 2012)
(25)
Lanjutan Tabel 2.1 Perbandingan COBIT 4.1 dan COBIT 5
No. Perbandingan Cobit 4.1 Cobit 5
4 Model referensi
Model Referensi pada Cobit 4.1 yaitu Plan and Organise
(PO), Acquire and
Implement (AI), Deliver and Support (DS), dan Monitor and Evaluate (ME)
(ITGI, 2007)
Model referensi cobit 4.1 ditambah model referensi baru yang berdasarkan pada pemisahan tata kelola dengan manajemen yaitu Evaluate Direct and
Monitor (EDM), Align Plan and Organise (APO), Build Acquire and Implement (BAI), Deliver Service and Support (DSS), dan Monitor Evaluate and Assess. (ITGI, 2012)
5 Aktivitas dan praktek
Cobit 4.1 mencakup control
objective, Value IT dan Risk IT (ITGI, 2007)
Cobit 5 sudah mencakup control objective dari cobit 4.1, Val IT, dan
Risk IT (ITGI, 2012)
6 Tujuan dan pengukuran
Terdapat pada control
objective, Val IT, dan Risk IT (ITGI, 2007)
Sama dengan Cobit 4.1, tetapi terdapat perbedaan nama yaitu control objective menjadi tujuan perusahaan (enterprise
goal), Val IT menjadi IT-related goals,
dan Risk IT menjadi tujuan proses (process goal) (ITGI, 2012) 7 Input dan
output
Cobit 4.1 hanya mencakup
input dan output di level
proses (ITGI, 2007)
Cobit 5 mencakup input dan output di setiap level praktek manajemen (ITGI, 2012)
8 RACI chart
Menyediakan pemain peran bisnis dan TI yang tidak selengkap COBIT 5 (ITGI, 2007)
COBIT 5 menyediakan pemain peran bisnis dan TI yang umum dengan lebih lengkap, rinci dan jelas dan grafik dari COBIT 4.1 untuk setiap praktek manajemen, memungkinkan definisi yang lebih baik dari tanggung jawab pemain peran atau tingkat keterlibatan ketika merancang dan melaksanakan proses. (ITGI, 2012)
(26)
21
BAB III
METODOLOGI PENELITIAN
Pada subbab ini akan dibahas mengenai perencanaan dalam melaksanakan audit sistem dan teknologi informasi. Pembahasan mencakup semua aktivitas dari awal kegiatan hingga hasil akhir audit yang didapat. Metode ini disusun mengacu pada Cannon (2006). Gambar 3.1 merupakan alur dari serangkaian kegiatan audit.
(27)
3.1 Pembuatan dan Penyetujuan Engagement Letter
Tahap pembuatan dan penyetujuan engagement letter ini adalah tahap awal yang dilaksanakan selama proses audit berlangsung. Langkah ini dilakukan untuk menunjukkan pihak perusahaan yang akan diaudit telah memberikan kewenangan demi kelancaran pelaksanaan audit. Pada tahap ini langkah-langkah yang dilakukan yaitu: 1) Melakukan identifikasi proses bisnis dan TI; 2) Mengidentifikasi ruang lingkup dan tujuan; 3) Membuat engagement letter. Tahap ini akan menghasilkan pengetahuan tentang proses bisnis dan TI perusahaan, ruang lingkup dan tujuan yang telah ditentukan, prosesyang digunakan. Output yang dihasilkan di dalam tahap ini berupa engagement letter.
3.1.1Mengidentifikasi Proses Bisnis dan TI
Pada tahap ini, tahap pertama yang dilakukan yaitu memahami proses bisnis dan TI perusahaan yang diaudit (auditee). Pemahaman dilakukan dengan cara melakukan pembelajaran terhadap dokumen yang terkait dengan perusahaan. Dokumen dapat berupa profil perusahaan, standard operating procedure, kebijakan, standar, prosedur, portfolio, arsitektur, infrastruktur aplikasi sistem informasi. Langkah selanjutnya adalah mencari informasi apakah sebelumnya perusahaan telah melaksanakan proses audit.
Untuk menggali pengetahuan tentang auditee langkah pertama yang dilakukan adalah dengan cara mengetahui dan memeriksa dokumen yang terkait dengan proses audit, wawancara manajemen dan staff, serta melakukan observasi terkait kegiatan operasional dan teknologi sistem informasi yang digunakan.
(28)
23
3.1.2 Mengidentifikasi Ruang Lingkup dan Tujuan Audit
Proses selanjutnya pada tahap ini yaitu identifikasi ruang lingkup dan tujuan yang berhubungan dengan kebutuhan dari audit sistem dan teknologi informasi ini. Ruang lingkup audit sistem dan teknologi informasi ini tidak hanya pada sistem informasi yang terdapat di perusahaan, tetapi juga dilihat berdasarkan seluruh kemungkinan kelemahan informasi yang memiliki kemungkinan berasal dari faktor di luar sistem itu sendiri. Ruang lingkup pada sproses audit ini diperoleh dari pemetaan hasil audit sebelumnya dengan tujuan bisnis dan TI yang ada pada panduan COBIT 4.1. Setelah dilakukan pemetaan, proses yang ditetapkan dipilih dengan cara menemukan mana proses yang ada pada hasil audit sebelumnya tersebut yang memiliki 1 tujuan bisnis dan tujuan TI yang sama.
3.1.3 Membuat Engagement Letter
Setelah melakukan survei awal untuk memperoleh gambaran umum perusahaan, mengidentifikasi ruang lingkup dan tujuan audit, langkah selanjutnya adalah membuat perencanaan yang dituliskan di dalam dokumen
engagement letter yang berisi kesepakatan antara auditor dengan pihak
perusahaan dan mengajukan permintaan kebutuhan data.
3.2 Preplanning Audit Sis tem Informasi
Tahap Preplanning Audit Sistem Informasi ini adalah tahap kedua yang dilakukan pada proses audit. Langkah ini dilakukan untuk merencanakan kebutuhan audit secara spesifik untuk mendapatkan sasaran audit. Pada tahap ini langkah-langkah yang dilakukan yaitu: 1) Menentukan jadwal Audit; 2)
(29)
Membuat pernyataan; 3) Membuat pertanyaan. Output yang dihasilkan di dalam tahap ini yaitu dokumen pernyataan dan pertanyaan.
3.2.1 Menentukan Jadwal Audit (Annual Working Plan/AWP)
Pada proses membuat annual working plan langkah yang harus dilakukan yaitu membuat daftar semua kegiatan yang akan dilakukan dalam melakukan proses audit mulai dari proses awal hingga proses pelaporan audit, kemudian memasukkan daftar kegiatan yang akan dilakukan di dalam tabel. 3.2.2 Membuat Pernyataan
Proses selanjutnya pada tahapan persiapan audit ini dilakukan dengan membuat pernyataan berdasarkan domain yang dapat dilihat pada panduan implementasi Cobit 4.1. Pada tiap control objective dapat ditemukan pernyataan yang mendeskripsikan implem entasi dan pemeliharaan control
objective tersebut.
3.2.3 Membuat Pertanyaan
Setelah dibuat pernyataan pada tiap proses TI, maka selanjutnya dibuat pertanyaan berdasarkan pernyataan yang telah disusun pada tahap sebelumnya. Pada tiap pernyataan tidak selalu menghasilkan satu pertanyaan bahkan mungkin menghasilkan lebih dari satu pertanyaan. Pertanyaan tersebut dijadikan pedoman di dalam melakukan wawancara kepada pihak yang telah didelegasikan oleh manajemen.
3.3 Membuat Penilaian Risiko
Melakukan penilaian risiko adalah tahap selanjutnya di dalam melakukan proses audit dan dilakukan setelah sasaran audit telah diidentifikasi. Penilaian risiko
(30)
25
ini dilakukan dengan cara: 1) Melakukan observasi; 2) Membuat risk register. Tujuan dari penilaian risiko ini adalah untuk memastikan bukti yang cukup akan dikumpulkan selama proses audit. Output yang dihasilkan pada tahap ini yaitu dokumen risk register.
3.3.1 Melakukan observasi
Pada proses ini langkah yang dilakukan adalah melakukan observasi. Observasi dilakukan dari hasil proses identifikasi risiko yang telah dilakukan sebelumnya. Proses ini bertujuan untuk menentukan tingkat risiko yang mungkin terjadi.
3.3.2 Membuat risk register
Proses selanjutnya yaitu membuat risk register. Risk register disusun berdasarkan hasil observasi yang telah dilakukan pada tahap sebelumnya. Risk
register ini berisi tentang risiko apa yang mungkin dihadapi selama proses audit
berlangsung serta dampak per risiko yang mungkin ditemukan.
3.4 Pelaksanaan Audit sistem dan teknologi informasi
Pelaksanaan audit sistem dan teknologi informasi ini menggunakan jenis audit kepatutan atau audit kesesuaian. Audit kepatutan yang dilaksanakan untuk tujuan dalam menegaskan apakah control objective yang ditentukan telah diimplementasi, dipelihara, memenuhi syarat pada panduan implementasi dan berjalan sesuai dengan yang diharapkan. Pada tahap ini langkah-langkah yang dilakukan yaitu melakukan wawancara. Tahap ini akan menghasilkan dokumen wawancara.
(31)
3.4.1 Melakukan Wawancara
Pada proses ini langkah yang dilaku kan adalah melakukan wawancara berdasarkan pertanyaan yang telah dibuat. Wawancara dilakukan terhadap pihak yang telah didelegasikan oleh manajemen . Proses ini bertujuan untuk menggali data sebanyak-banyaknya dari pihak yang terkait di dalam proses audit ini.
3.4.2 Menyusun Dokumen Wawancara
Pada proses ini langkah yang dilakukan yaitu menyusun dokumen wawancara. Dokumen wawancara disusun berdasarkan hasil dari wawancara yang telah dilakukan pada tahap sebelumnya.
3.5 Melakukan Pengumpulan Bukti Audit
Pada tahap ini langkah yang dilakukan adalah melakukan dokumentasi baik berupa data maupun bukti-bukti atas temuan atau fakta yang ada. Bukti-bukti tersebut dapat berupa dokumen, foto, rekaman, data atau video. Proses ini bertujuan untuk menggali data sebanyak-banyaknya dari pihak-pihak yang terlibat di dalam proses audit ini. Hasil dari tahap ini yaitu dokumen bukti audit.
3.6 Melakukan Pemeriks aan Bukti
Pada proses pemeriksaan bukti ini langkah yang dilakukan adalah memeriksa data profil perusahaan , kebijakan, standar, prosedur dan portofolio serta mengobservasi standard operating procedure, melakukan wawancara kepada auditee. Seluruh aktivitas tersebut menghasilkan bukti (evidence) yang
(32)
27
berarti terkait dengan sistem yang berlangsung diperusahaan. Ada proses yang telah dilakukan dengan baik, namun terdapat juga beberapa temuan yang masih perlu diperbaiki. Diadakan analisa sebab dan akibat untuk temuan tersebut, serta diberikan rekomendasi untuk perusahaan agar penerapan control
objectives dapat diterapkan dengan lebih baik dan sesuai dengan standar
COBIT 4.1. Tahap ini dilakukan dengan cara: 1) Analisis bukti; 2) Menyusun dokumen hasil pemeriksaan bukti. Output yang dihasilkan pada tahap ini yaitu dokumen hasil pemeriksaan bukti.
3.7 Analisis Has il Audit
Setelah melakukan pemeriksaan dan mendokumentasikan bukti-bukti audit, maka langkah berikutnya yaitu melakukan analisis hasil audit. Tahap ini dilakukan dengan cara: 1) Analisis daftar bukti; 2) Menghitung maturity level; 3) Menyusun daftar temuan. Output yang dihasilkan pada tahap ini yaitu daftar temuan.
3.7.1 Analisis daftar bukti
Tahap analisis dimulai dengan analisis daftar bukti yang telah disusun pada tahap sebelumnya. Analisis daftar bukti ini bertujuan untuk mengetahui tingkat maturity level per control objective yang telah ada.
3.7.2 Menghitung maturity level
Setiap pernyataan dinilai tingkat kepatutannya sesuai dengan hasil pemeriksaan yang ada menggunakan kriteria penilaian yang ada dalam standar penilaian maturity level. Tingkat kriteria yang digunakan meliputi non-eksisten yang memiliki nilai 0 (nol) hingga ke tingkat optimal yang memiliki nilai 5 (lima). Jumlah kriteria nilai yang ada dibagi dengan jumlah seluruh pernyataan dalam satu
(33)
control objectives untuk mendapatkan nilai maturity level pada control objectives
tersebut.
Setelah maturity level setiap control objectives diketahui, maka langkah selanjutnya adalah menghitung maturity level setiap objektif kontrol yang diambil dari rata-rata maturity level setiap control objectives yang ada. Dan rata-rata maturity level keseluruhan objektif kontrol yang ada pada domain COBIT tersebut. Setelah dihasilkan nilai maturity level yang didapat dari seluruh rata-rata nilai tingkat kemampuan control objectives, selanjutnya nilai-nilai tersebut akan direpresentasikan ke dalam diagram jaring.
3.7.3 Membuat Spider Chart
Tahapan selanjutnya di dalam tahap analisis hasil audit yaitu memasukkan hasil maturity level ke dalam spider chart. Fungsi dari spider
chart ini yaitu untuk mengetahui metrik dari tiap proses yang diaudit.
3.7.4 Menyusun daftar temuan
Setelah maturity level diketahui maka tahap selanjutnya adalah menyusun daftar temuan. Daftar temuan disusun berdasarkan bukti yang telah didapatkan di tahap sebelumnya. Daftar bukti dianalisis untuk mendapatkan temuan untuk kemudian disusun menjadi daftar rekomendasi.
3.8 Pelaporan Audit sis tem dan teknologi informasi
Tahap ini adalah tahap akhir yang akan dilalui dalam menjalankan proses audit sistem dan teknologi informasi. Tahap pelaporan audit sistem dan teknologi informasi yang dilakukan dimulai dengan analisis daftar temuan, menyusun
(34)
29
rekomendasi berdasarkan temuan, dan menyusun laporan hasil akhir audit. Tahapan ini menghasilkan dokumen laporan hasil akhir audit.
4.8.1 Analisis daftar temuan
Tahap awal pada pelaporan audit sistem dan teknologi informasi yaitu menganalisis daftar temuan yang telah dibuat pada tahap sebelumnya. Analisis ini bertujuan agar mendapatkan rekomendasi yang tepat sesuai temuan yang telah disusun.
4.8.2 Penyusunan rekomendasi berdasarkan temuan
Tahap selanjutnya yaitu menyusun rekomendasi. Rekomendasi disusun dengan tujuan agar kelemahan yang ditemukan s elama audit dapat teratasi pada tindak lanjut setelah proses audit ini.
4.8.3 Menyusun laporan hasil akhir audit
Berdasarkan seluruh kertas kerja audit, temuan, dan tanggapan auditee, maka auditee harus menyusun draft laporan audit sistem dan teknologi informasi sebagai pertanggungjawaban atas penugasan audit sistem dan teknologi informasi yang telah dilaksanakan. Selanjutnya laporan audit harus ditunjukan kepada pihak yang berhak saja karena laporan audit sistem dan teknologi informasi merupakan dokumen yang bersifat rahasia.
(35)
30
BAB IV
HASIL DAN PEMBAHASAN
Di dalam bab IV ini akan dibahas hasil analisis dan evaluasi mulai dari tahap pembuatan dan penyetujuan audit engagement letter, preplanning audit SI, membuat penilaian risiko, pelaksanaan audit SI, pengumpulan bukti audit, melakukan pemeriksaan bukti, analisis hasil audit, dan pelaporan audit SI.
4.1. Pembuatan dan Penyetujuan Audit Engagement Letter
Proses audit sistem dan teknologi informasi ini diawali dengan proses pembuatan dan penyetujuan engagement letter. Langkah ini diawali dengan membuat non-disclosure agreement yang merupakan perjanjian kerahasiaan antara pihak auditor dan auditee dan dapat dilihat pada lampiran 1. Langkah ini dilakukan untuk memastikan bahwa pihak perusahaan yang akan diaudit telah memberikan kewenangan dan mempersiapkan segala sesuatu demi kelancaran pelaksanaan audit yang akan dilakukan. Proses ini dilakukan dengan cara melakukan observasi awal pada perusahaan.
4.1.1Mengidentifikasi Proses Bisnis dan TI
Berdasarkan hasil identifikasi proses bisnis dan TI yang ada maka diperoleh gambaran umum dari perusahaan yang terdiri dari profil perusahaan, visi misi perusahaan, struktur organisasi, serta gambaran umum lingkungan TI yang sudah ada.
A. Profil Perusahaan
PT Pertamina (Persero) MOR V adalah perusahaan yang bertanggung jawab pada area Jawa Timur, Bali, Nusa Tenggara Barat, Nusa Tenggara
(36)
31
Timur, Timor Leste. PT Pertamina (Persero) MOR V telah mengimplementasikan layanan sistem dan teknologi informasi pada perusahaannya dan yang bertanggung jawab pada layanan tersebut yaitu IT
Marketing and Trading (M&T) MOR V Surabaya.
B. Proses Bisnis Perusahaan
IT M&T memiliki proses bisnis untuk antara lain yaitu dukungan
Enterprise Resource Planning (ERP), non-ERP, dukungan email dan file sharing, penyediaan perangkat telekomunikasi, penyediaan perangkat
multimedia, dan penyediaan perangkat desktop.
Dukungan ERP
Non-ERP
Dukungan email dan file-sharing
Penyediaan perangkat multimedia
Penyediaan perangkat desktop
- finance - Human Resource - Materials M anagement
- Plant Maintena nce
- Pencatatan a rus minyak - memo pelatiha n - project management
- absensi - intranet
- dll
Menggunakan domain pertamina.com
- video conference - teleconf erence system
- LCD Projector - sound system Penyediaan
perangkat telekomunikasi
- IP phone - HT
- video conference - teleconf erence system
- LCD Projector - sound system
(37)
C. Visi dan Misi Perusahaan 1. Visi
Menjadi penyedia layanan operasi Teknologi Informasi (TI) yang dapat dipercaya, dalam mendukung pencapaian tujuan perusahaan 2. Misi
Memberikan layanan operasi TI kepada seluruh fungsi operasi dan penunjang di seluruh lokasi dan unit bisnis dengan berdasarkan pada prinsip-prinsip IT Operational Excellence
D. Struktur Organisasi
Secara fungsional struktur organisasi dari IT M&T PT. Pertamina (Persero) MOR V Surabaya adalah sebagai berikut:
1. Unit Manager IT MOR V Surabaya
Merencanakan, menyelenggarakan, mengatur, mengkoordinasi, dan mengawasi kegiatan:
a. Sistem Informasi:Pelayanan pengolahan informasi/data/database, penyediaan dan pemeliharaan perangkat komputer (perangkat lunak, perangkat keras) serta material pendukung.
b. Telekomunikasi dan Audio Visual: Penyediaan dan pemeliharaan jaringan komunikasi data dan voice, peralatan telekomunikasi, peralatan audio visual guna menunjang kelancaran kegiatan operasional di area ex-unit pemasaran V Surabaya
2. Assisten Manager Business Support & Infrastructure Technology
Merencanakan, menyelenggarakan, mengatur mengkoordinasi, dan mengawasi kegiatan telekomunikasi telepon dan radio, system kontrol,
(38)
33
dan komunikasi data dan sistem support guna menunjang kelancaran kegiatan operasional di wilayah kerja IT M&T Surabaya.
3. Assisten Manager Business Operation and Technology
Merencanakan, menyelenggarakan, mengatur, memelihara, mengevaluasi, mengkoordinasikan dan mengawasi kegiatan layanan dukungan aplikasi ERP, non ERP, layanan user-id/role aplikasi, layanan penyediaan perangkat lunak, layanan perangkat komputer serta material computer, multimedia dan audio visual, layanan data center/server guna menunjang kelancaran kegiatan operasional di wilayah kerja IT M&T Surabaya.
Gambar 4.2 Struktur organisasi IT MOR V Surabaya E. Gambaran Umum Lingkungan TI
Pengelolaan keseluruhan pelaporan ditangani dalam SAP system solution dengan database MySAP melalui peningkatan skill SDM dan pengembangan
(39)
secondary MySAP system. Memiliki layanan penyediaan server dan storage aplikasi iMySAP dan non MySAP, serta layanan email. Layanan jaringan data menggunakan WAN dan LAN dalam mendukung layanan aplikasi MySAP dan non MySAP. Layanan yang terakhir yaitu layanan help desk TI yang berbasiskan konsep Single Point of Contact.
4.1.2Mengidentifikasi Ruang Lingkup dan Tujuan Audit
Setelah dilakukan observasi maka hasil yang diperoleh yaitu penetapan ruang lingkup audit yaitu audit sistem dan teknologi informasi dan standar yang digunakan yaitu standar COBIT 4.1. Tabel ruang lingkup audit dapat dilihat pada tabel 4.1.
Tabel 4.1 Ruang lingkup audit
Proses TI pada periode 2014 Tujuan TI Tujuan Bisnis
DS2
Ensure mutual satisfaction of third-party relationship
(10)
Ensure service continuity and availability PO8 AI4 AI6 AI7 DS10
Reduce solution and service delivery detects and rework (16)
PO6 AI6 DS4 DS12
Ensure minimum business impact
in the event of an IT service disruption or change (22)
DS3 DS4 DS8 DS13 Make sure that
(40)
35
Lanjutan Tabel 4.1 Ruang lingkup audit
Proses TI pada periode 2014 Tujuan TI Tujuan Bisnis
available as required (23)
PO8 AI4 DS1 DS2 DS7 DS8 DS10 DS13
Ensure satisfaction of
end user with service offerings
and service levels (3)
Improve customer orientation and service
DS3 DS4 DS8 DS13
Make sure that IT services are available as required (23)
Di dalam tabel 4.1 dapat dilihat bahwa ruang lingkup audit p roses yang digunakan di antaranya PO6 mengkomunikasikan target dan arah manajemen, PO8 mengelola kualitas, AI4 memungkinkan penggunaan dan operasi, AI6 mengelola perubahan, AI7 menerapkan dan mengakui perubahan dan solusi, DS1 Mendefinisikan dan mengelola tingkat layanan, DS2 mengelola pelayanan pihak ketiga, , DS3 mengelola kapasitas dan kinerja, DS4 memastikan keberlangsungan layanan, DS7 Mendidik dan Melatih Pengguna, DS8 mengelola kapasitas dan kinerja, DS10 mengelola masalah, DS12 mengelola fisik lingkungan, dan DS13 mengelola operasional.
4.1.3Membuat Engagement Letter
Pada audit sistem dan teknologi informasi di IT M&T Surabaya ini menggunakan metode audit kepatuhan dengan acuan dari COBIT 4.1 sebagai pedoman dan melakukan wawancara, observasi, dan pemeriksaan sebagai
(41)
pelaksanaan audit. tahap selanjutnya yaitu merancang dan membuat
engagement letter yang berisi kesepakatan antara auditor dengan pihak
perusahaan dan mengajukan permintaan kebutuhan data. Engagement letter ini dapat dilihat pada lampiran 2.
4.2. Preplanning Audit SI
Tahap Preplanning Audit Sistem Informasi ini adalah tahap kedua yang dilakukan pada proses audit. Langkah ini dilakukan untuk merencanakan kebutuhan audit secara spesifik untuk mendapatkan sasaran audit.
4.2.1. Menentukan Jadwal Audit
Hasil dari penyusunan jadwal audit ini yaitu berupa tabel yang berisi tentang aktivitas yang dilakukan selama proses pelaksanaan audit. Pengerjaan audit sistem dan teknologi informasi dilakukan dalam jangka waktu 2 bulan. pelaksanaan audit sistem dan teknologi informasi ini dapat dilihat pada tabel 4.2. Sesuai pada tabel 4.2, pekerjaan yang dilakukan selama proses audit ada 9 pekerjaan mulai dari pembuatan dan penyetujuan engagement letter hingga pelaporan hasil audit dengan jangka waktu 2 bulan.
Tabel 4.2 Jadwal audit
NO PEKERJAAN
BULAN
NOVEMBER DESEMBER
1 2 3 4 1 2 3 4
1. Pembuatan dan Penyetujuan
Engagement Letter
2. Preplanning Audit SI 3. Membuat Penilaian Risiko 5. Pelaksanaan Audit
(42)
37
Lanjutan Tabel 4.2 Jadwal audit
NO PEKERJAAN
BULAN
NOVEMBER DESEMBER
1 2 3 4 1 2 3 4
6. Pengumpulan bukti 7. Pemeriksaan bukti audit 8. Analisis hasil audit 9. Pelaporan Audit SI 4.2.2. Membuat Pernyataan
Hasil dari proses pembuatan pernyataan yaitu berupa tabel yang berisi tentang rincian pernyataan yang sesuai dengan proses yang tertuang dalam COBIT 4.1. Tabel pernyataan ini dibuat dari goals and metrics per proses yang ada pada panduan COBIT 4.1. Tabel pernyataan ini berisi tentang pernyataan dan ukuran yang digunakan untuk melakukan audit sistem dan teknologi informasi. Contoh pernyataan yang ada pada proses PO6 dapat dilihat pada tabel 4.3 yang berisi tentang pernyataan serta ukuran yang tercantum pada panduan COBIT 4.1. Seperti yang terlihat pada pernyataan nomor 1 yang menyatakan tentang transparansi biaya, keuntungan strategi, kebijakan, dan tingkat layanan TI memiliki ukuran yaitu tingkat pengetahuan biaya, keuntungan, strategi, kebijakan, dan tingkat layanan TI. Pernyataan yang terdapat pada proses lain daoat dilihat pada lampiran 3.
Tabel 4.3 Pernyataan pada proses PO6
PO6. Mengkomunikasikan target dan arah manajemen
No Pernyataan Ukuran
1
Adanya transparansi biaya, keuntungan, strategi, kebijakan, dan tingkat layanan IT
Tingkat pengetahuan biaya, keuntungan, strategi, kebijakan, dan tingkat layanan IT
2 Transaksi bisnis dan pertukaran
(43)
Lanjutan Tabel 4.3 Pernyataan pada proses PO6
PO6. Mengkomunikasikan target dan arah manajemen
No Pernyataan Ukuran
3
Informasi penting dan rahasia dipegang oleh pihak yang seharusnya tidak mempunyai hak akses
Jumlah kasus informasi rahasia dijaga Dan Seterusnya
4.2.3. Membuat Pertanyaan
Hasil dari proses ini yaitu berupa tabel yang berisi pertanyaan yang disusun berdasarkan pernyataan yang telah disusun di dalam tahap sebelumnya. Pertanyaan ini dibuat dari persilangan antara pernyataan dan ukuran yang telah disusun pada tahap sebelumnya. Tabel 4.4 berisi tentang pernyataan dari PO6. Poin 1 berisi tentang pertanyaan tentang dokumen yang mencantumkan tentang transparansi biaya yang disusun berdasarkan pernyaraan adanya transparansi biaya, keuntungan, strategi, kebijakan, dan tingkat layanan TI. Pertanyaan yang disusun pada proses lain terdapat pada lampiran 4.
Tabel 4.4 Pertanyaan yang disusun berdasarkan pernyataan
Nama Proses TI : Nomor Proses TI :
Mengkomunikasikan target dan arah manajemen PO6
No Pernyataan Ukuran Pertanyaan
1 Adanya transparansi biaya, keuntungan, strategi, kebijakan, dan tingkat layanan IT Tingkat pengetahuan biaya, keuntungan, strategi, kebijakan, dan tingkat layanan IT
Apakah ada transparansi biaya?
Dokumen apa yang mencantumkan tentang transparansi iaya?
Adakah strategi layanan TI? Adakah kebijakan TI?
Apa saja tingkat layanan TI yang ada? Apa saja keuntungan yang didapat? Berapa persen tingkat pengetahuan
transparansi biaya, keuntungan, strategi, kebijakan, dan tingkat layanan IT? 2 Transaksi
bisnis dan pertukaran informasi dapat dipercaya
Jumlah kasus informasi rahasia dijaga
Apa saja kriteria stakeholder yang dapat dipercaya?
Adakah perjanjian tertulis antara manajemen dengan stakeholder?
(44)
39
Lanjutan Tabel 4.4 Pertanyaan yang disusun berdasarkan pernyataan
Nama Proses TI : Nomor Proses TI :
Mengkomunikasikan target dan arah manajemen PO6
No Pernyataan Ukuran Pertanyaan
Berapa jumlah kasus yang terjadi disebabkan oleh transaksi bisnis dan pertukaran
informasi yang belum dapat dipercaya?
Dan Seterusnya
4.3. Membuat Penilaian Risiko
Tahap selanjutnya di dalam melaksanakan proses audit ini yaitu membuat penilaian risiko. Tujuan dari penilaian risiko ini adalah untuk memastikan bukti yang cukup akan dikumpulkan selama proses audit. Dalam tahap membuat penilaian risiko ada 2 tahap yang dilakukan yaitu melakukan observasi pada risk
register yang telah disusun sebelumnya dan menyusun risk register dari hasil
observasi yang telah diidentifikasi sebelumnya. 4.3.1. Melakukan Observasi
Pada proses ini langkah yang dilakukan adalah melakukan observasi. Observasi dilakukan terhadap hasil dari identifikasi risiko yang telah disusun oleh perusahaan. Proses ini bertujuan untuk menentukan tingkat rsiko yang mungkin terjadi. Observasi yang dilakukan sebagai jembatan untuk mengetahui risk register yang telah disusun sebelumnya agar menghasilkan
risk register yang baru yang mengacu pada ruang lingkup audit yang telah
diketahui sebelumnya.
4.3.2. Menyusun Risk Register
Proses selanjutnya yaitu membuat risk register. Risk register disusun berdasarkan hasil observasi yang telah dilakukan pada tahap sebelumnya. Risk
(45)
register ini berisi tentang ancaman, dampak, kontrol, serta proses yang terdampak. Risk Register dapat dilihat dalam tabel 4.5.
(46)
41
Tabel 4.5. Risk register
Risk Register
No. Sub Class. Ancaman Impact Severity Detect. Risk
Total Eks. Proses Audit
1 2 3 4 5 6 7=5*6 8 9
1 Audit trails Api Kebakaran Document lost 3 5 15 Medium
PO8 DS4 DS10
2 Business procedure
Duplikasi versi proses bisnis
Informasi yang
didapat tidak valid 3 2 6 Low
PO6 DS3 DS10 DS13 DS1
3 Database and
data files Data corrupt
Database tidak valid
dan update 3 4 12 Medium
PO6 PO8 DS3 DS4 DS10 DS12
4 Report data
Kecerobohan dalam melaporkan data
Dokumen dipegang oleh pihak yang tidak berwenang
4 3 12 Medium
PO6 AI6 AI7 DS4 DS13 DS7
5 System documentation
Penyusupan melalui jaringan
Pencurian data
penting 4 4 16 Medium
PO6 PO8 AI6 AI7 DS3 DS4 DS8 DS10
(47)
42
Lanjutan Tabel 4.5 Risk register
Risk Register
No. Sub Class. Ancaman Impact Severity Detect. Risk
Total Eks. Proses Audit
1 2 3 4 5 6 7=5*6 8 9
DS12 DS13
6 Research information
Kecerobohan dalam research
information
Dokumen dipegang oleh pihak yang tidak berwenang
4 3 12 Medium
PO6 AI6 AI7 DS4 DS10
7 Business process
Proses bisnis yang outdated
Dokumen tidak sesuai dengan kondisi sekarang dan tidak dapat
diterapkan
3 2 6 Low
PO6 AI4 AI6 AI7 DS3 DS1
8 Configuration data Kurangnya supervisi dalam configuration data Bocornya data konfigurasi dan informasi diketahui oleh pihak yang tidak berwenang
5 3 15 Medium
AI4 AI6 AI7 DS12 DS1 DS7
9 Others Api kebakaran Kerusakan hardware 4 4 16 Medium
PO8 DS4 DS12
10 Comm. Equipment
Komponen rusak akibat gangguan listrik, anas, debu
Tidak beroperasinya perangkat, LAN, dan WAN
4 6 24 High
PO8 DS8 DS10 DS12 DS13
(48)
43
Lanjutan Tabel 4.5 Risk register
Risk Register
No. Sub Class. Ancaman Impact Severity Detect. Risk Total Eks. Proses Audit
1 2 3 4 5 6 7=5*6 8 9
11 Hardware non-SAP
Gangguan hardware, virus, intrusion dari internal dan eksternal
Tidak beroperasinya perangkat, bocornya data penting
4 6 24 High
PO6 PO8 AI7 DS2 DS4 DS8 DS10 DS12
12 Business application
Unplanned downtime pada aplikasi bisnis
System overload, database
corrupt 4 5 20 Medium
PO8 DS10 DS12 DS1
13 System utility Bug, data error pada utilitas sistem
Development dan
maintenance software tidak sesuai dengan kebutuhan user
3 5 15 Medium
PO8 AI7 DS3 DS10 DS12
14 Business application
Kehilangan data pada aplikasi bisnis
Layanan aplikasi bisnis
terganggu 4 5 20 Medium
PO6 AI6 DS8 DS10 DS1
15 Productivity software
Kehilangan data pada productivity software
Layanan aplikasi bisnis
terganggu 3 5 15 Medium
PO6 AI6 DS8 DS10
(49)
44
Lanjutan Tabel 4.5 Risk register
Risk Register
No. Sub Class. Ancaman Impact Severity Detect. Risk
Total Eks. Proses Audit
1 2 3 4 5 6 7=5*6 8 9
16
Desktop operation system
Data error pada desktop operating system
Layanan aplikasi
bisnis terganggu 4 5 20 Medium
PO8 DS8 DS10
17 Development tools
Data error pada development tools
Layanan aplikasi
bisnis terganggu 4 5 20 Medium
PO8 DS8 DS10 18 Server operation system Ganggunan hardware, virus, intrusion dari internal dan eksternal pada server operating system Layanan aplikasi
bisnis terganggu 5 5 25 High
PO8 AI7 DS2 DS4 DS8 DS10 DS12 19 Asset rental and support services
Proses kontrak yang lama, delivery lama, tidak sesuai
spesifikasi pada asset rental dan support services
Ketidakmampuan memenuhi permintaan dan kebutuhan pelanggan
4 4 16 Medium
AI4 AI6 DS2 DS3 DS8 DS10 DS13 DS7 20 Computing and comm. services
Proses kontrak yang lama, delivery lama, tidak sesuai spesifikasi pada computing and communication services Ketidakmampuan memenuhi permintaan dan kebutuhan pelanggan
4 4 16 Medium
AI4 AI6 DS2 DS3 DS8 DS10 DS13
(50)
4
5
Eksposur risiko:
Risk total 0-10 = low Risk total 11-20= medium Risk total 21-30= high
(51)
Berdasarkan risk register ini, proses yang akan dilakukan audit yaitu yang memiliki eksposur risiko high dan medium. Proses yang akan dilakukan audit yaitu PO6 mengkomunikasikan target dan arah manajemen, PO8 mengelola kualitas, AI4 memungkinkan penggunaan dan operasi, AI6 mengelola perubahan, AI7 menerapkan dan mengakui perubahan dan solusi, DS1 Mendefinisikan dan mengelola tingkat layanan, DS2 mengelola pelayanan pihak ketiga, , DS3 mengelola kapasitas dan kinerja, DS4 memastikan keberlangsungan layanan, DS7 Mendidik dan Melatih Pengguna, DS8 mengelola kapasitas dan kinerja, DS10 mengelola masalah, DS12 mengelola fisik lingkungan, dan DS13 mengelola operasional.
4.4 Pelaksanaan Audit Sistem Informasi
Pelaksanaan audit sistem dan teknologi informasi ini menggunakan jenis audit kepatutan. Audit kepatutan yang dilaksanakan untuk tujuan dalam menegaskan apakah control objective yang ditentukan telah diimplementasi, dipelihara, memenuhi syarat pada panduan implementasi dan berjalan sesuai dengan yang diharapkan.
4.4.1. Pelaksanaan Wawancara
Langkah selanjutnya yaitu melaksanakan proses wawancara dan observasi. Form pertanyaan yang telah disusun sebelumnya digunakan untuk mengumpulkan informasi di tahap ini. Auditor telah menentukan pihak mana yang akan dimintai data dan bukti ke dalam RACI, tetapi manajemen mendelegasikan kepada satu orang untuk dimintai keterangan berupa data dan bukti.
(52)
47
4.4.2. Pembuatan Dokumen Hasil Wawancara
Berdasarkan hasil dari wawancara pertanyaan yang telah dilakukan sebelumnya, hasil wawancara tersebut dimasukkan ke dalam dokumen hasil wawancara. Dokumen hasil wawancara ini berisi tentang jawaban yang didapatkan dari pertanyaan yang telah disusun sebelumnya berdasarkan hasil wawancara. Contoh hasil dari wawancara pada proses PO6 terlihat pada tabel 4.6. Penjelasan dari tabel 4.6 yang menyatakan tentang dokumen hasil wawancara ini yaitu pada pertanyaan kedua yaitu tentang tersedianya dokumen yang mencantumkan tentang transparansi biaya dan jawaban yang diperoleh atas pertanyaan tersebut yaitu dokumen beban cost center. Hasil wawancara yang ada pada proses lain dapat dilihat pada lampiran 5.
Tabel 4.6 Dokumen hasil wawancara pada proses PO6
Nama Proses TI : Nomor Proses TI :
Mengkomunikasikan target dan arah manajemen PO6
Nama : Jabatan : Tanda Tangan
No Pernyataan Ukuran Pertanyaan Jawaban
1 Adanya transparansi biaya, keuntungan, strategi, kebijakan, dan tingkat layanan IT Tingkat pengetahuan biaya, keuntungan, strategi, kebijakan, dan tingkat layanan IT
Apakah ada transparansi biaya? Dokumen apa
yang mencantumkan tentang transparansi iaya? Adakah strategi layanan TI? Adakah kebijakan TI? Apa saja
tingkat layanan TI yang ada? Apa saja
keuntungan yang didapat?
Ada
Dokumen beban cost center
Ada. Ref: dokumen SLA
Ada. Ref: TKO-TKI Tingkat layanan yang
ada tercantum dalam dokumen SLA dapat mengestimasi
keuntungan dan tranparansi biaya pokok
Tingkat transparansi biaya 95%,
Keuntungan 95%, Strategi 95% kebijakan 95%, Tingkat layanan IT 100%
(53)
Lanjutan Tabel 4.6 Dokumen hasil wawancara pada proses PO6
Nama Proses TI : Nomor Proses TI :
Mengkomunikasikan target dan arah manajemen PO6
Nama : Jabatan : Tanda Tangan
No Pernyataan Ukuran Pertanyaan Jawaban
Berapa persen tingkat pengetahuan transparansi biaya, keuntungan, strategi, kebijakan, dan tingkat layanan IT?
Dan Seterusnya
4.5 Pengumpulan Bukti Audit
Pada tahap ini langkah yang dilakukan adalah melakukan dokumentasi baik berupa data maupun bukti-bukti atas temuan atau fakta yang ada. Bukti-bukti tersebut dapat berupa foto, data, atau video. Proses ini dilakukan dengan cara mengumpulkan bukti yang diperoleh dari tahap sebelumnya. Contoh penjelasan dari indeks bukti ini yaitu pada poin 1, di tabel tersebut dicantumkan bahwa dokumen dengan nomor indeks bukti B1 memiliki nama beban cost center dan berisi tentang penjelasan dokumen tersebut. Hasil dari tahap ini yaitu dokumen indeks bukti audit. dokumen indeks bukti audit dapat dilihat pada tabel 4.7.
Tabel 4.7 Indeks bukti audit
No Indeks Nama
Dokumen Penjelasan Dokumen Proses
1 B1 beban cost
center
Dokumen ini berisi tentang laporan biaya yang ada per divisi sebagai bukti adanya transparansi biaya.
PO6 AI7 DS1 DS2
2 B2 SLA (service
level
agreements)
Dokumen ini berisi tentang struktur organisasi, layanan yang tersedia, dan fitur dari layanan tersebut.
PO6 AI7 DS1 DS2
(54)
49
Lanjutan Tabel 4.7 Indeks bukti audit
No Indeks Nama
Dokumen Penjelasan Dokumen Proses
DS3 DS4 DS8 DS13 3 B3 DRP (Disaster
Recovery Planning)
Dokumen ini berisi tentang perencanaan apabila terjadi suatu musibah PO8 AI4 DS3 DS4 DS8 DS10 DS12
4 B4 TKO (Tata
Kerja Organisasi)
Dokumen ini berisi tentang acuan untuk melaksanakan suatu instruksi yang harus dilakukan oleh seluruh organisasi. PO6 AI4 AI7 DS1 DS2 DS3 DS4 DS7 DS8 DS13
5 B5 TKI (Tata
Kerja Individu)
Dokumen ini berisi tentang acuan untuk melaksanakan suatu instruksi yang harus dilakukan oleh seluruh individu yang ada pada organisasi.
PO6 AI6 AI7 DS1 DS2 DS4 DS13
6 B6 SPB (Surat
Perjanjian Borongan)
Dokumen ini berisi tentang surat perjanjian transaksi kepada pihak di luar organisasi.
PO6 DS2
7 B7 dokumen
masuk data center
Dokumen ini berisi tentang siapa saja individu yang memiliki hak akses untuk masuk ke ruang data
center.
PO6 DS12
8 B8 security awareness
Dokumen ini berisi tentang sosialisasi yang dilakukan oleh organisasi kepada individu tentang keamanan informasi rahasia yang harus dijaga
PO6 DS12
9 B9 business impact analysis
Dokumen ini berisi tentang kegiatan proses bisnis dan potensi dampak apabila terjadi gangguan terhadap proses tersebut.
PO6 AI6 AI7 DS3
(55)
Lanjutan Tabel 4.7 Indeks bukti audit
No Indeks Nama
Dokumen Penjelasan Dokumen Proses
DS4 DS12 10 B10 pedoman
sesuai aplikasi yang ada
Dokumen ini berisi tentang guna dari sistem dan teknologi informasi yang dipakai dengan tujuan agar pemakaian dapat sesuai dengan kebutuhan PO6 AI4 AI7 DS3 DS4 DS7 DS8 DS13 11 B11 pemantauan
service level report per
periode/SLM
all services by date
Dokumen ini berisi tentang laporan penyampaian layanan per periode.
PO6 PO8 AI4 AI7 DS3 DS4 DS7 DS8 12 B13 bukti uji coba
pemulihan dan pertahanan TI
Dokumen ini berisi tentang uji coba pemulihan dan pertahanan TI dari suatu musibah.
PO6 AI7 DS4 DS13 13 B14 dokumen
laporan analisa
survey
Dokumen ini berisi tentang laporan analisa dari survey yang telah dilakukan sebelumnya.
PO8 DS10 DS13 14 B15 MR ISO 2000 Dokumen ini berisi tentang
penerapan COBIT, mapping keterkaitan COBIT dan layanan
PO8 AI4 AI6 AI7 DS1 DS3 DS8 DS10 DS12 15 B16 dokumen
kualitas
Dokumen ini berisi tentang syarat kualitas layanan yang bisa disebut memadai
PO8
16 B17 MR I ISO 2000 SLA
Dokumen ini berisi tentang laporan
survey tentang layanan
PO8 17 B18 fungsi dan
modul integrasi aplikasi ke
Dokumen ini berisi tentang mapping aplikasi ke dalam proses bisnis.
AI4 AI7
(56)
51
Lanjutan Tabel 4.7 Indeks bukti audit
No Indeks Nama
Dokumen Penjelasan Dokumen Proses
dalam proses bisnis
18 B19 user manual Dokumen ini berisi tentang cara penggunaan solusi sistem dan teknologi informasi yang ditujukan kepada pengguna
AI4
19 B20 survey pengguna
Dokumen ini berisi tentang survey keselarasan antara kebutuhan bisnis dan strategi bisnis
AI4 AI6 AI7 DS1 DS3 20 B21 preventive data
center
Dokumen ini berisi tentang laporan pemeliharaan data center
AI6 DS3 DS7 DS12 DS13 21 B22 dokumen
capacity management
Dokumen ini berisi tentang
perencanaan kapasitas infrastruktur TI
AI6
22 B23 sosialisasi GCG
Dokumen ini berisi tentang sosialisasi tentang apa saja yang harus dilakukan apabila terjadi perubahan infrastruktur TI
AI6
23 B24 dokumen pengelolaan kapasitas
Dokumen ini berisi tentang
perencanaan pengelolaan kapasitas infrastruktur agar dapat menjamin kontinuitas dari infrastruktur TI tersebut
AI6 DS3 DS7 DS12 24 B25 KPI Dokumen ini berisi tentang survey
kinerja dari layanan yang dilakukan setiap 3 bulan sekali.
AI6 AI7 DS2 DS13 25 B26 Mitigasi risiko Dokumen ini berisi tentang analisis
risiko yang mungkin terjadi selama penerapan layanan.
AI6 DS8 DS10 26 B27 form
identifikasi risiko
Dokumen ini berisi tentang
identifikasi risiko, nilai risiko, dan kontrol yang harus dilakukan apabila risiko tersebut terjadi
AI6 DS2 DS8 DS12 27 B28 Daftar hadir
komunikasi perubahan
Dokumen ini berisi tentang daftar hadir dari sosialisasi prosedur perubahan
(57)
Lanjutan Tabel 4.7 Indeks bukti audit
No Indeks Nama
Dokumen Penjelasan Dokumen Proses
28 B29 Survey
kepuasan CSS
Dokumen ini berisi tentang survey yang dilakukan oleh organisasi pada pengguna tentang layanan yang ada.
AI7 DS2 DS8 DS13 29 B31 dokumen
TKO- pengelolaan insiden
Dokumen ini berisi tentang acuan untuk melaksanakan suatu instruksi yang harus dilakukan oleh seluruh organisasi apabila terjadi suatu insiden.
AI7
30 B32 dokumen laporan pentest
Dokumen ini berisi tentang hasil uji coba, ancaman, dan rekomendasi yang dilakukan oleh manajemen bisnis
AI7
31 B33 Dokumen
evaluasi kinerja
Dokumen ini berisi tentang evaluasi kinerja dari pihak ketiga
DS2
32 B34 Dokumen
review perencanaan kapasitas infrastruktur ERP
Dokumen ini berisi tentang
perencanaan pengelolaan kapasitas dari infrastruktur ERP
DS3 DS12
33 B35 Printout report
analyzer
Dokumen ini berisi tentang hasil dari pemantauan kinerja sistem
DS3 34 B36 DRP call tree Dokumen ini berisi tentang uji coba
DRP
DS4 DS8
35 B37 Form
permintaan pengguna
Dokumen ini berisi tentang form dari permintaan pengguna
DS8
37 B38 Dokumen aset Dokumen ini berisi tentang aset apa saja yang ada di dalam organisasi
DS12 38 B39 Survey
pengerjaan ulang
Dokumen ini berisi tentang survey dari pengerjaan ulang jika terjadi kecacatan penyampaian layanan
AI4 DS10 39 B40 RFC (request
for change)
Dokumen ini berisi tentang panduan yang ada jika terjadi perubahan infrastruktur TI, aplikasi, dan solusi TI
(58)
53
4.6 Melakukan Pemeriksaan Bukti
Pada proses pemeriksaan bukti ini langkah yang dilakukan adalah memeriksa data profil perusahaan, kebijakan, standar, prosedur dan portofolio serta mengobservasi standard operating procedure, melakukan wawancara kepada
auditee hingga melakukan pemeriksaan atau pengujian secara compliance test.
Seluruh aktivitas tersebut menghasilkan bukti (evidence) yang berarti terkait dengan sistem yang berlangsung diperusahaan. Diadakan analisa sebab dan akibat untuk temuan tersebut, serta diberikan rekomendasi untuk perusahaan agar penerapan control objectives dapat diterapkan dengan lebih baik dan sesuai dengan standar COBIT 4.1.
4.6.1. Analisis Bukti
Tahap selanjutnya adalah melakukan analisis bukti dari hasil yang telah didapatkan sebelumnya. Bukti tersebut dianalisis untuk kemudian disusun hasil pemeriksaan bukti tersebut.
4.6.2. Membuat Hasil Pemeriksaan Bukti
Tahap selanjutnya yaitu menyusun hasil pemeriksaan bukti yang telah dianalisis pada tahap sebelumnya seperti yang terlihat pada tabel 4.8. Pada tabel 4.8 poin 1 terdapat hasil bahwa proses PO6 yaitu mengkomunikasikan target dan arah manajemen dengan hasil pemeriksaan seperti yang terlihat pada tabel 4.8. Hasil pemeriksaan bukti pada proses PO6 dapat dilihat pada tabel 4.8. hasil pemeriksaan bukti pada proses lain terdapat di dalam lampiran 6.
Tabel 4.8 Hasil pemeriksaan bukti pada proses PO6
PO6 Mengkomunikasikan Target dan Arah Manajemen
No. Pernyataan Hasil Pemeriksaan
1 Adanya transparansi biaya, keuntungan, strategi,
Sudah ada dokumen yang mencantumkan tentang transparansi biaya, keuntungan,
(59)
Lanjutan Tabel 4.8 Hasil pemeriksaan bukti pada proses PO6
PO6 Mengkomunikasikan Target dan Arah Manajemen
No. Pernyataan Hasil Pemeriksaan
kebijakan, dan tingkat layanan TI
strategi, kebijakan, dan tingkat layanan TI. Yang mengetahui tentang transparansi biaya, keuntungan, strategi, kebijakan, dan tingkat layanan TI hanya ke pusat saja. Bukti:
Beban cost center (B1) SLA (B2)
TKO (B4) TKI(B5) 2 Transaksi bisnis dan
pertukaran informasi dapat dipercaya
Transaksi bisnis dan pertukaran informasi sudah terpercaya. Belum ada kasus yang terjadi yang disebabkan oleh transaksi bisnis dan pertukaran informasi.
Bukti:
SPB(B6) 3 Informasi penting dan
rahasia dipegang oleh pihak yang seharusnya tidak mempunyai hak akses
Informasi penting dan rahasia masih belum dapat dipastikan dipegang sesuai dengan hak akses pada sistem. Tidak ada kasus yang disebabkan oleh penyalahgunaan hak akses. Masih belum ada dokumentasi pembagian hak akses, hanya hak akses masuk ke data center
Bukti:
Security awareness (B8)
Dokumen hak masuk data center (B7)
4 Dampak bisnis yang disebabkan oleh perubahan layanan IT
didokumentasikan
Dampak bisnis yang terjadi apabila terjadi perubahan layanan TI telah
didokumentasikan .Tidak ada gangguan bisnis yang disebabkan oleh gangguan layanan TI
Bukti
Business impact analysis (B9) 5 Penggunaan dan kinerja
dari solusi teknologi dan aplikasi digunakan sesuai kebutuhan
Penggunaan dan kinerja dari solusi teknologi dan aplikasi digunakan sesuai kebutuhan yang dibuktikan dengan tingkat pengetahuan biaya, keuntungan, strategi, kebijakan, dan tingkat layanan TI yang berkaitan dengan penggunaan STI sudah bagus
Bukti
TKO (B4)
Pedoman sesuai aplikasi yang ada (B10)
(1)
113
Lanjutan Tabel 4.35 Hasil uji kematangan pada tiap proses TI No. Proses
TI
Uji
Kematangan Makna
12 DS10 3,414
Defined yang menunjukkan bahwa prosedur telah terstandarisasi dan telah didokumentasikan serta dikomunikasikan oleh manajemen di dalam pelatihan dan didasarkan pada praktik yang bersifat resmi. Hal ini dibuktikan dengan sudah adanya dokumentasi serta komunikasi yang berkaitan dengan pengelolaan masalah tetapi masih belum ada jaminan terhadap perlindungan pencapaian tujuan TI. (B26)
13 DS12 3,931
Defined yang menunjukkan bahwa prosedur telah terstandarisasi dan telah didokumentasikan serta dikomunikasikan oleh manajemen di dalam pelatihan dan didasarkan pada praktik yang bersifat resmi. Hal ini dibuktikan dengan sudah ada dokumentasi pengelolaan fisik lingkungan tetapi masih belum dikembangkan dengan integrasi pada pembagian hak akses pada sistem. (B8,B27)
14 DS13 4,234
Managed and measurable yang menunjukkan bahwa manajemen telah memantau dan mengukur kepatuhan individu dengan prosedur dan mengambil tindakan apabila sebuah prosedur tidak bekerja secara efektif serta proses berada di bawah peningkatan berkelanjutan dan menyediakan pelatihan pada prosedur tersebut. Hal ini dibuktikan dengan sudah ada sedikit keselarasan pada operasional TI dengan SLA. (B2,B4,B5)
Setelah semua tahap pada proses audit sistem dan teknologi informasi ini telah dilakukan, dapat ditarik kesimpulan bahwa hasil rata-rata dari maturity level pada tujuan bisnis memastikan keberlangsungan dan ketersediaan layanan yaitu 3,61 atau defined yang berarti prosedur telah terstandarisasi dan telah didokumentasikan serta dikomunikasikan oleh manajemen dan rata-rata maturity level pada tujuan bisnis meningkatkan orientasi dan kebutuhan
(2)
114
pelanggan yaitu 3,65 atau defined yang berarti prosedur telah terstandarisasi dan telah didokumentasikan serta dikomunikasikan oleh manajemen. Rata-rata pada maturity level yang terdapat pada kedua tujuan bisnis tersebut yaitu 3,63 yang berarti ada pada posisi defined. Hal ini menunjukkan bahwa prosedur telah terstandarisasi dan telah didokumentasikan. Temuan yang didapat yaitu sebanyak 27 temuan sementara hasil rekomendasi yang didapatkan sebanyak 56 rekomendasi. Kaitan antara hasil uji kematangan pada 2 tujuan bisnis dengan temuan yaitu pada hasil temuan sudah terdapat dokumentasi dan komunikasi pada beberapa proses tetapi masih belum terlihat pengembangan secara berkala pada beberapa proses tersebut. Rekomendasi yang menjadi prioritas untuk dilakukan dapat dilihat pada tabel 4.36. Rekomendasi ini dapat menjadi prioritas yang didapatkan dari hasil analisis dampak temuan yang dinilai dapat merugikan manajemen apabila temuan tersebut tidak ditindaklanjuti. Rekomendasi ini akan dikelompokkan menjadi 5 prioritas dimana prioritas nomor 1 merupakan rekomendasi yang paling penting untuk diterapkan segera di dalam manajemen. Kesimpulan yang dihasilkan pada proses audit ini yaitu hasil yang didapatkan kurang dari ekspektasi manajemen.
Tabel 4.36 Prioritas rekomendasi
Prioritas Rekomendasi
1 Menyediakan dokumentasi keamanan lingkungan dan fisik. 2 Menjamin penyimpanan rencana darurat TI untuk menjamin
perencanaan layanan berkelanjutan.
3 Melakukan penyusunan pelatihan pengguna akan risiko keuangan yang diselaraskan dengan tingkat layanan.
4
Menyelaraskan masalah, kapasitas, dan ketersediaan proses manajemen yang didukung dengan analisis sebab akibat pada kesalahan dan kegagalan.
5 Melakukan penilaian dari subjek perubahan secara keseluruhan untuk meminimalisir masalah yang terjadi setelah implementasi.
(3)
1 BAB V PENUTUP
5.1 Kesimpulan
Berdasarkan hasil audit sistem dan teknologi informasi pada IT M&T PT Pertamina (Persero) Marketing Operation Region (MOR) V, maka dapat ditarik beberapa kesimpulan yaitu:
A. Penelitian ini menghasilkan dokumen audit yang didalamnya berisi evaluasi dari bukti yang ada serta dokumentasi temuan dan rekomendasi audit.
B. Hasil rata-rata dari maturity level pada tujuan bisnis memastikan keberlangsungan dan ketersediaan layanan yaitu 3,61 dan rata -rata maturity level pada tujuan bisnis meningkatkan orientasi dan kebutuhan pelanggan yaitu 3,65. Rata-rata pada maturity level yang terdapat pada kedua tujuan bisnis tersebut yaitu 3,63 yang berarti ada pada posisi defined. Hal ini menunjukkan bahwa prosedur telah terstandarisasi dan telah didokumentasikan serta dikomunikasikan oleh manajemen di dalam pelatihan. Prosedur yang ada didasarkan pada praktik yang bersifat resmi.
C. Harapan manajemen pada kematangan proses audit ini yaitu sebesar 4,00. Kesimpulan yang dihasilkan pada proses audit ini yaitu hasil yang didapatkan kurang dari ekspektasi manajemen. Sesuai pada hasil
(4)
maturity level yang didapatkan terdapat 56 rekomendasi yang dihasilkan dari 27 temuan.
5.2 Saran
Dalam rangka meningkatkan hasil maturity level agar menjadi sesuai harapan perusahaan, maka ada beberapa saran yang diberikan antara lain sebagai berikut:
A. Dengan adanya hasil dari laporan tugas akhir ini, maka pihak IT MOR V diharapkan dapat menerapkan rekomendasi yang telah dihasilkan demi menunjang tujuan perusahaan.
B. Dengan adanya hasil audit ini dapat disarankan untuk melakukan pemantauan terhadap rekomendasi dari h asil audit sebelumnya apakah rekomendasi dari hasil audit sebelumnya tersebut telah diterapkan di dalam perusahaan atau tidak.
(5)
(6)
115
DAFTAR PUSTAKA
Cannon, D. (2011). CISA (Certified Information System Auditor) Study Guide (Vol. 3rd edition). Indiana Polis: Wiley Publishing.
Cannon, D., Bergmann, T., & Pamplin, B. (2006). Certified Information System Auditor Atudy Guide. Indianapolis: Wiley Publishing.
Davis, C., Schiller, M., & Wheeler, K. (2007). IT Auditing Using Controls to Protect Information Assets, 2nd Edition. New York: The McGraw-Hill Companies.
Dewi, E. R., Tanuwijaya, H., & Mastan, I. A. (2012). Audit Sistem Informasi Manajemen Aset Berdasarkan Perspektif Proses Bisnis Internal Balanced Scorecard Dan Standar COBIT 4.1 (Studi Kasus: PT. Pertamina (Persero). Jurnal Sistem Informasi dan Komputerisasi Akuntansi (JSIKA) Vol 1, No 2 (2012), 8.
Halim, M. (2012). Audit Keamanan Sistem Informasi Berdasarkan Standar ISO 27002 Pada PT. Aneka Jaya Baut Sejahtera (PT. AJBS). Laporan Tugas Akhir: STIKOM Surabaya.
ISACA. (2012). Comparing COBIT 4.1 and COBIT 5. Comparing COBIT 4.1 and COBIT 5. ISACA.
ITGI. (2007). COBIT 4.1. Meadows: ITGI. ITGI. (2012). COBIT 5. Meadows: ITGI.
Merritt, J. W. (2014). A Method for Quantitative Risk Analysis. A Method for Quantitative Risk Analysis, 34.