TA : Audit Sistem Informasi Ditinjau dari Perspektif Keuangan Menggunakan Standar Cobit 4.1 Pada Direktorat Keuangan Pelabuhan Indonesia III.
DIREKTORAT KEUANGAN PELABUHAN INDONESIA III
TUGAS AKHIR
Nama
: Dian Arisanti
NIM
: 09.41010.0233
Program : S1 (Strata Satu)
Jurusan
: Sistem Informasi
SEKOLAH TINGGI
MANAJEMEN INFORMATIKA & TEKNIK KOMPUTER
SURABAYA
(2)
ix
KATA PENGANTAR ...
vii
DAFTAR ISI ...
ix
DAFTAR TABEL ...
xi
DAFTAR GAMBAR ... xiii
DAFTAR LAMPIRAN ...
xv
BAB I PENDAHULUAN ...
1
1.1 Latar Belakang ...
1
1.2 Perumusan Masalah ...
4
1.3 Batasan Masalah ...
4
1.4 Tujuan ...
5
1.5 Sistematika Penulisan ...
5
BAB II LANDASAN TEORI ...
8
2.1 Sistem Informasi ...
8
2.2 Audit Sistem Informasi ...
9
2.3 Tujuan Bisnis ...
9
2.4 Balanced Scorecard ...
11
2.5 Control Objectives for Information and Related Technologies 4.1
14
2.6 Keselarasan Tujuan Pengukuran Tujuan Bisnis dan Tujuan
Teknologi Informasi ...
20
2.7 Maturity Level ...
24
2.8 Jaring Laba-laba ...
28
2.9 Control Objectives ...
28
(3)
x
3.2 Cara Pengambilan Data ...
34
3.3 Teknik Pelaksanaan Audit Sistem Informasi ...
35
3.3.1 Penentuan Ruang Lingkup Audit Sistem Informasi ...
35
3.3.2 Pengumpulan Bukti ...
36
3.3.3 Pelaksanaan Uji Kepatutan ...
43
3.3.4 Perhitungan Nilai Maturity Level ...
43
3.3.5 Penyusunan Temuan ...
46
3.3.6 Penyusunan Rekomendasi ...
46
BAB IV HASIL DAN PEMBAHASAN ...
48
4.1 Evaluasi Hasil Pelaksanaan Audit Sistem Informasi ...
48
4.2 Penyusunan Temuan dan Rekomendasi ...
77
BAB V PENUTUP ...
89
5.1 Kesimpulan ...
92
5.2 Saran ...
93
DAFTAR PUSTAKA ...
94
LAMPIRAN 1 RACI Chart ...
96
LAMPIRAN 2 Daftar Pertanyaan Pendukung Audit Sistem Informasi
pada Direktorat Keuangan PT. Pelindo III ...
99
(4)
1
1.1
Latar Belakang
Sistem Informasi merupakan kumpulan elemen-elemen/sumberdaya dan
jaringan prosedur yang saling berkaitan secara terpadu, terintegrasi dalam suatu
hubungan hirarkis tertentu (Gondodiyoto, 2007: 106-109). Audit adalah proses
pengumpulan dan penilaian bahan bukti tentang informasi untuk menentukan dan
melaporkan kesesuaian informasi dengan kriteria-kriteria yang telah ditetapkan
dan dilakukan oleh orang berkompeten dan independent (Gondodiyoto, 2007:
442-447). Aktivitas audit dilakukan untuk memastikan pengelolaan sistem
informasi sehingga terarah dalam kerangka perbaikan berkelanjutan (Sarno, 2009:
173-174).
PT. Pelabuhan Indonesia (Pelindo) III merupakan Badan Usaha Milik
Negara (BUMN) yang bergerak dalam bidang perhubungan yang bertujuan untuk
menghasilkan penerimaan keuangan negara dan kemakmuran rakyat. PT. Pelindo
III bertanggung jawab untuk mengelola Pelabuhan Umum pada 7 (tujuh) propinsi
yang meliputi wilayah Jawa Timur, Jawa Tengah, Bali, Kalimantan Selatan,
Kalimantan Tengah, Nusa Tenggara Barat dan Nusa Tenggara Timur. Dalam
menjalankan kegiatan bisnisnya, PT. Pelindo III memiliki tugas utama untuk
menjamin kelangsungan dan kelancaran khususnya angkutan laut. Oleh karena itu
sebagai evaluasi untuk mengetahui sejauh mana sistem informasi pada Direktorat
Keuangan telah selaras dengan tujuan bisnis organisasi perlu dilakukan audit
sistem informasi (Sarno, 2009: 56-61).
(5)
Fungsi keuangan yang telah dilakukan oleh Direktorat Keuangan PT.
Pelindo III yaitu berupa perencanaan pengembangan Teknologi Informasi (TI)
yang terintegrasi dengan cara memasukkan layanan dan sistem informasi
keuangan sehingga mampu mengorganisir informasi yang diciptakan secara lokal
dan akses informasi yang tersebar secara global. Kondisi saat ini, TI yang telah
diimplementasikan pada Direktorat Keuangan belum pernah terukur dan diaudit.
Oleh karena itu diperlukan standar pengukuran dan audit sistem informasi yang
dapat mengukur keselarasan antara proses bisnis, aplikasi, dan strategi bisnis
perusahaan. Mengingat bahwa audit diperlukan sebuah standar, maka standar
tepat adalah menggunakan COBIT 4.1 dengan mengacu pada Balanced Scorecard.
Standar COBIT dipilih karena dapat memberikan gambaran paling detail
mengenai strategi dan kontrol dalam pengaturan proses TI yang mendukung
strategi bisnis, dimana kerangka kerjanya terdiri dari 4
domain (Sarno, 2009).
Selain itu, dalam COBIT terdapat perhitungan
maturity level yang
merepresentasikan tingkat kematangan suatu perusahaan.
Menurut Kaplan dan Norton dalam Gaspersz (2005) Perspektif
Balanced
Scorecard dalam suatu aktivitas perusahaan dapat dievaluasi oleh manajemen
yaitu: perspektif finansial (keuangan), perspektif pelanggan, perspektif proses
bisnis internal, perspektif pembelajaran dan pertumbuhan. Untuk membangun
suatu
Balanced Scorecard unit-unit bisnis harus dikaitkan dengan tujuan
keuangan yang berkaitan dengan strategi perusahaan. Tujuan keuangan berperan
sebagai fokus bagi tujuan-tujuan strategis dan ukuran-ukuran semua perspektif
dalam Balanced Sorecard. Selain itu, dipilih pemetaan dari perspektif keuangan
karena termasuk dalam sepuluh tujuan bisnis dan tujuan TI terpenting berdasarkan
(6)
survei
Information Technology Governance Institute (ITGI). Oleh karena itu
dipilih perspektif keuangan untuk melakukan audit sistem informasi.
Direktorat Keuangan PT. Pelindo III dalam menggunakan aplikasi sistem
informasi dalam kegiatan operasionalnya, tetapi masih terdapat kekeliruan dalam
implementasinya dan belum ada pemecahan untuk menangani permasalahan
tersebut, sehingga perlu dilakukan audit sistem informasi. Tidak adanya
pengukuran keselarasan pada Direktorat Keuangan berakibat antara lain, sering
terjadi kesalahan pemrosesan data, perubahan proses bisnis yang tidak sesuai
standar, tingkat human error yang tinggi dan pemrosesan data memerlukan waktu
yang lama, sehingga belum bisa diukur telah sesuai ketentuan atau tidak. Standar
pengukuran yang sesuai kebutuhan Direktorat Keuangan adalah
Balanced
Scorecard yang ditinjau dari perspektif keuangan. Hal ini sesuai dengan tujuan
keuangan perusahaan yang menjadi fokus bagi tujuan-tujuan strategis perusahaan.
Selain itu, menurut Kaplan dan Norton (1996), keempat perspektif dalam
Balanced Scorecard saling berkaitan satu sama lain. Pendapat tersebut sama
halnya dengan manajemen Direktorat Keuangan agar aplikasi TI berkaitan dengan
pencapaian visi, misi maupun tujuan strategis sistem informasi. Salah satu tujuan
strategi sistem informasi adalah mendukung TI sehingga menentukan kinerja
keuangan yang berpengaruh pada penerimaan negara.
Dengan dilakukan audit sistem informasi pada Direktorat Keuangan
Pelindo III ini diharapkan dapat digunakan sebagai pengukuran keselarasan TI
dan tujuan bisnis. Sehingga dapat menganalisis temuan dan menghasilkan
rekomendasi untuk perbaikan sistem informasi.
(7)
1.2
Perumusan Masalah
Berdasarkan latar belakang yang telah diuraikan, didapatkan perumusan
permasalahan sebagai berikut :
1.
Bagaimana membuat perencanaan dan melaksanakan audit sistem informasi
pada Direktorat Keuangan PT. Pelindo III berdasarkan pada perspektif
keuangan menggunakan standar COBIT 4.1.
2.
Bagaimana melaksanakan audit sistem informasi berdasarkan analisis
proses-proses TI terhadap tingkat keselarasan tujuan TI dan tujuan bisnis
sesuai dengan melakukan wawancara, pembagian kuesioner, analisis tingkat
kebutuhan pengelolaan TI dan identifikasi terhadap risiko-risiko,
perhitungan
maturity level yang digambarkan dengan jaring laba-laba,
dokumentasi temuan audit sistem informasi.
3.
Bagaimana menganalisis temuan hasil audit sistem informasi berupa
rekomendasi pada Direktorat Keuangan PT. Pelindo III.
1.3
Batasan Masalah
Agar lebih fokus dalam pembahasan maka penelitian ini akan dibatasi
pada beberapa hal sebagai berikut :
1.
Audit sistem informasi ini dibatasi oleh kegiatan sistem informasi keuangan
pada Direktorat Keuangan Kantor Pusat PT. Pelindo III, dan tidak
membahas tentang sistem informasi yang berkaitan dengan cabang
perusahaan.
2.
Hasil temuan dan rekomendasi yang ada merupakan output dari audit sistem
informasi yang ada pada Direktorat Keuangan PT. Pelindo III.
(8)
3.
Tugas akhir ini hanya menggunakan standar COBIT 4.1 tanpa melakukan
perbandingan dengan standar audit sistem informasi lainnya
1.4
Tujuan
Berdasarkan rumusan masalah yang ada maka tujuan yang ingin dicapai
dalam penelitian ini adalah :
1.
Membuat perencanaan dan melaksanakan audit sistem informasi pada
Direktorat Keuangan PT. Pelindo III berdasarkan pada perspektif keuangan
menggunakan standar COBIT 4.1
2.
Melaksanakan audit sistem informasi berdasarkan analisis proses-proses TI
terhadap tingkat keselarasan tujuan TI dan tujuan bisnis sesuai dengan hasil
wawancara, kuesioner yang dibuat, analisis tingkat kebutuhan pengelolaan
TI dan identifikasi terhadap risiko-risiko, penilaian hasil perhitungan
maturity level yang digambarkan dengana jaring laba-laba dan dokumentasi
temuan audit sistem informasi serta menyusun laporan hasil audit sistem
informasi sebagai masukan Direktorat Keuangan.
3.
Menganalisis temuan hasil audit sistem informasi untuk menghasilkan
rekomendasi proses-proses sistem informasi pada Direktorat Keuangan PT.
Pelindo III.
1.5
Sistematika Penulisan
Di dalam penulisan Tugas Akhir ini secara sistematika diatur dan disusun
dalam 4 (empat) bab, yaitu:
(9)
BAB I
: PENDAHULUAN
Pada bab ini membahas tentang latar belakang, penjelasan
permasalahan, perumusan masalah, batasan masalah, dan tujuan
dari pembuatan tugas akhir serta sistematika penulisan buku ini.
BAB II
: LANDASAN TEORI
Pada bab ini membahas mengenai penjelasan tentang Sistem
Informasi, Audit Sistem Informasi, Tujuan Bisnis,
Balanced
Scorecard,
Control Objectives for Information and Related
Technologies 4.1, Keselarasan Tujuan Pengukuran Bisnis dan
Tujuan Teknologi Informasi,
Maturity Level,
Jaring Laba-laba,
Control Objectives, Penyusunan Hasil Audit dan Rekomendasi.
BAB III
: METODE PENELITIAN
Pada bab ini berisi uraian mengenai gambaran perusahaan,
menentukan tujuan utama dari audit sistem informasi, ruang
lingkup, dan metode yang akan digunakan.
BAB IV
: HASIL DAN PEMBAHASAN
Pada Pada bab ini membahas tentang hasil pelaksanaan audit
sistem informasi berdasarkan Penentuan Ruang Lingkup Audit
Sistem Informasi, Pengumpulan Bukti, Pelaksanaan Uji Kepatutan
dan Perhitungan Nilai Maturity Level. Hasil audit disusun sehingga
menghasilkan Penyusunan Temuan, sampai dengan Penyusunan
Rekomendasi audit sistem informasi.
(10)
BAB V
: PENUTUP
Berisi kesimpulan dari Tugas Akhir, serta saran sehubungan
dengan adanya kemungkinan pengembangan sistem pada masa
yang akan datang.
(11)
BAB II
LANDASAN TEORI
2.1
Sistem Informasi
Sistem informasi adalah kumpulan sumber daya dan jaringan prosedur
yang saling berkaitan secara terpadu, terintegrasi dalam suatu hubungan hirarkis
tertentu dan bertujuan untuk mengolah data menjadi informasi (Gondodiyoto,
2007: 112-115). Sedangkan menurut Indrajit (2000: 29-30), sistem informasi
merupakan suatu kumpulan dari komponen-komponen dalam perusahaan atau
organisasi yang berhubungan dengan proses penciptaan dan pengaliran informasi
yang mendukung dalam organisasi atau perusahaan. Sistem informasi dapat
mempertemukan kebutuhan pengolahan transaksi harian, mendukung operasi,
bersifat manajerial, dan menyediakan pihak luar tertentu dengan laporan-laporan
yang diperlukan (Davis, G.B dalam Jogiyanto, 1989: 11).
Maniah dan Surendro (2005: 1) juga menyatakan bahwa sistem informasi
merupakan aset bagi suatu perusahaan yang bila diterapkan dengan baik akan
memberikan
kelebihan
untuk
berkompetensi
sekaligus
meningkatkan
kemungkinan bagi kesuksesan suatu usaha. Dalam mengimplementasikan sistem
informasi tersebut harus adanya suatu tolok ukur untuk mencegah terjadinya
hal-hal di luar rencana organisasi, dan pengoperasian sistem informasi yang dilakukan
secara efektif dan efisien.
Menurut Kristanto (2003: 15-16) berdasarkan definisi sistem informasi
tersebut, peranan sistem informasi dalam bisnis, antara lain:
(12)
1.
Mendukung operasi bisnis
2.
Mendukung dalam pengambilan keputusan manajerial
3.
Meraih keuntungan strategik
2.2 Audit Sistem Informasi
Menurut Gondodiyoto (2007: 442-447), audit sistem informasi adalah
pemeriksaan terhadap aspek-aspek Teknologi Informasi (TI) pada sistem
informasi. Audit dilakukan sesuai dengan ketentuan standar profesional bahwa
auditor
harus memahami sistem dan
internal controls
serta melakukan tes
substantive
.
Audit Sistem Informasi digunakan untuk menilai proses penyampaian dan dukungan dalam pelayanan informasi (Djatmiko dalam Mukaromah, 2007: 4).Selanjutnya Gondodiyoto (2007: 56-60) juga menyatakan bahwa audit sistem
informasi dilakukan untuk memeriksa tingkat kematangan atau kesiapan suatu
organisasi dalam melakukan pengelolaan TI, tingkat kepedulian (
awareness
)
seluruh
stakeholder
(semua pihak terkait) tentang posisi sekarang dan arah yang
diinginkan dimasa depan bidang TI pada suatu organisasi atau perusahaan.
2.3
Tujuan Bisnis
Bisnis merupakan kegiatan yang dimulai dengan harapan yang optimis dan
menjanjikan, yang disertai dengan kinerja-kinerja dalam manajemen (Sarno,
2009: 5-8). Tujuan bisnis harus dijalankan dengan strategi bisnis yang tepat,
strategi dapat didefinisikan sebagai suatu rangkaian kegiatan yang terintegrasi dan
ditujukan untuk meningkatkan faktor-faktor yang menentukan tujuan dan
kemampuan perusahaan (Edwards, 1995). Tujuan bisnis akan dicapai dan
(13)
kejadian-kejadian yang tidak diinginkan akan dapat dicegah, dideteksi atau
dikoreksi (Sarno, 2009: 2).
Menurut Indrajit (2000: 31) menyatakan bahwa strategi bisnis merupakan
dokumen yang harus dijadikan landasan berpijak utama dalam pembuatan TI
Strategy
karena dalam dokumen tersebut disebutkan visi dan misi perusahaan
beserta target kinerja masing-masing fungsi pada struktur organisasi. Di dalam
dokumen ini pula ditegaskan peranan TI yang sesuai dengan strategi perusahaan
dan perlu diingat bahwa untuk setiap perusahaan sejenis, posisi TI dapat berbeda,
sehingga filosofi yang digunakan dalam pengembangan TI
Strategy
harus sesuai
dengannya. Tujuan bisnis berdasarkan standar COBIT (ITGI, 2007), yaitu:
1.
Penyediaan pengembalian investasi yang baik dari bisnis yang dibangkitkan
sistem informasi
2.
Pengelolaan risiko bisnis yang terkait dengan sistem informasi
3.
Peningkatan transparansi dan tata kelola perusahaan
4.
Peningkatan layanan dan orientasi terhadap pelanggan
5.
Penawaran produk dan jasa yang kompetitif
6.
Penentuan ketersediaan dan kelancaran layanan
7.
Penciptaan ketangkasan untuk menjawab permintaan bisnis yang berubah
8.
Pencapaian optimasi biaya dari penyampaian layanan
9.
Perolehan informasi yang bermanfaat dan handal untuk membuat keputusan
strategis
10.
Peningkatan dan pemeliharaan fungsionalitas proses bisnis
11.
Penurunan biaya proses
(14)
13.
Penyediaan kepatutan terhadap kebijakan internal
14.
Pengelolaan perubahan bisnis
15.
Peningkatan dan pengelolaan produktivitas operasional dan staf
16.
Pengelolaan inovasi produk dan bisnis
17.
Perolehan dan pemeliharaan karyawan yang cakap dan termotivasi
2.4
Balanced Scorecard
Balanced Scorecard
merupakan suatu konsep manajemen yang membantu
menerjemahkan strategi ke dalam tindakan sehingga dapat diukur untuk
melaksanakan proses-proses manajemen kritis (Kaplan dan Norton dalam
Gaspersz, 2005: 9). Perspektif
Balanced Scorecard
dalam suatu aktivitas
perusahaan dapat dievaluasi oleh manajemen sebagai berikut: perspektif finansial
(keuangan), perspektif pelanggan, perspektif proses bisnis internal, perspektif
pembelajaran dan pertumbuhan (Tanuwijaya dan Sarno, 2010: 81). Pemetaan
tujuan bisnis dari empat perspektif
Balanced Scorecard
berdasarkan standar
Control Objectives for Information and Related Technologie
(COBIT) (ITGI,
2007), dijelaskan pada Tabel 2.1.
Tabel 2.1 Pemetaan Tujuan Bisnis dari Empat Perspektif
Balanced Scorecard
Berdasarkan Standar COBIT
Perspektif Kinerja
No.
Tujuan Bisnis
Perspektif Keuangan 1.
Penyediaan pengembalian investasi yang baik dari
bisnis yang dibangkitkan sistem informasi.
2.
Pengeolaan risiko bisnis yang terkait dengan sistem
informasi
3.
Peningkatan transparansi dan tata kelola perusahaan
Perspektif
Pelanggan
4.
Peningkatan layanan dan orientasi terhadap
pelanggan
(15)
Perspektif Kinerja
No.
Tujuan Bisnis
6.
Penentuan ketersediaan dan kelancaran layanan
7.
Penciptaan ketangkasan untuk menjaawab
permintaan bisnis yang berubah
8.
Pencapaian optimasi biaya dari penyampaian
layanan
9.
Perolehan informasi yang bermanfaat dan handal
untuk membuat keputusan strategis
10. Peningkatan dan pemeliharaan fungsionalitas
proses bisnis
Perspektif Proses
Bisnis Internal
11. Penuruan biaya proses
12. Penyediaan kepatutan terhadap hokum eksternal,
regulasi dan kontrak
13. Penyediaan kepatutan terhadap kebijakan internal
14. Pengelolaan perubahan bisnis
15. Peningkatan dan pengelolaan produktivitas
operasional dan staf
Perspektif
Pembelajaran dan
Pertumbuhan
16. Pengelolaan inovasi produk dan bisnis
17. Perolehan dan pemeliharaan karyawan yang cakap
dan termotivasi
Sumber:
Information Technology Governance Institute
, 2007
Kerangka keseluruhan manajemen suatu perusahaan perlu diketahui posisi
bisnis dari bisnis yang direpresentasikan kinerjanya oleh
Balanced Scorecard
dengan kerangka COBIT. Hubungan keterkaitan tersebut secara garis besar yaitu:
a.
Balanced Scorecard
sebagai alat ukur kinerja bisnisnya
b.
COBIT sebagai alat ukur proses bisnis perusahaan, sesuai dengan pemetaan
keselarasan antara proses TI dan tujuan bisnis dalam perspektif
Balanced
Scorecard.
Dalam perspektif keuangan, untuk membangun suatu
Balanced Scorecard
,
unit-unit bisnis harus dikaitkan dengan tujuan keuangan yang berkaitan dengan
strategi perusahaan. Tujuan keuangan berperan sebagai fokus bagi tujuan-tujuan
strategis dan ukuran-ukuran semua perspektif dalam
Balanced Sorecard
(Kaplan
dan Norton dalam Gaspersz, 2005).
(16)
Dengan perspektif keuangan, perusahaan dapat memastikan bahwa dalam
pencapaian hasil dan melakukan prosesnya dengan cara yang efisien. (Niven,
2007: 96-98). Pemahaman mengenai perspektif keuangan dalam manajemen
Balanced Scorecard
adalah sangat penting karena keberlangsungan suatu unit
bisnis sangat tergantung pada posisi dan kekuatan finansial (Gaspersz, 2005:
38-40). Perspektif keuangan
Balanced Scorecard
mempunyai tujuan agar
keuangan terus mencapai posisi yang tinggi berdasarkan analisis hasil dengan cara
memberikan bukti, sehingga ukuran keuangan menjadi standar defakto dari
pengukuran kesuksesan bisnis perusahaan (Niven, 2007: 3).
Menurut Sarno (2009: 1-4) penting bagi pengaudit TI untuk mengetahui
bagaimana proses TI dikelola sebelum melaksanakan kegiatan audit itu sendiri.
Pengelolaan proses TI tidak hanya mencakup bagaimana agar proses yang
berjalan efisien dan standar, namun juga mampu memenuhi harapan bisnis akan
penyediaan informasi yang dibutuhkan melalui keberadaan TI.
Perspektif keuangan menjadi dasar untuk meningkatkan nilai utama dalam
suatu perusahaan yaitu memperoleh keuntungan/laba dengan strategi TI yang
sesuai dengan standar dan tujuan bisnis (Niven, 2007: 3-7). Keterkaitan antara
tujuan bisnis dan TI yang mengacu pada kerangka kerja COBIT, memberikan
pemetaan sehingga dapat dijadikan perusahaan dalam menerjemahkan kebutuhan
bisnis akan ketersediaan TI. Setiap tujuan sistem informasi dapat terdiri dari
beberapa proses sistem informasi. Satu proses sistem informasi dapat digunakan
untuk memenuhi beberapa tujuan sistem informasi.
(17)
2.5
Control Objectives for Information and Related Technologies 4.1
Information
System
Audit
and
Control
Association
(ISACA)
memperkenalkan sebuah kerangka untuk mengelola IT
Governance
di sebuah
perusahaan yang dikenal dengan nama COBIT (Indrajit, 2004). Menurut
Tanuwijaya dan Sarno (2010: 81), menyatakan bahwa COBIT digunakan untuk
mengukur tingkat kematangan suatu proses TI dan mengukur keselarasan antara
bisnis dan tujuan TI.
COBIT dapat menyediakan seperangkat praktek yang dapat diterima pada
umumnya karena dapat membantu para direktur, eksekutif dan manajer
meningkatkan nilai TI dan mengecilkan risiko. COBIT mencakup bimbingan bagi
para direktur dan semua level manajemen dan terdiri atas empat seksi (ITGI,
2007):
1.
Gambaran luas mengenai eksekutif
2.
Kerangka kerja
3.
Isi utama (tujuan pengendalian, petunjuk manajemen dan model kedewasaan)
4.
Appendiks (pemetaan, ajuan silang dan daftar kata-kata)
Isi utama dibagi menurut 34 (tiga puluh empat) proses TI dan memberikan
gambaran yang sempurna mengenai cara mengendalikan, mengelola dan
mengukur masing-masing proses, selain itu standar COBIT juga:
1.
Menganalisa bagaimana tujuan pengendalian dapat dipetakan ke dalam lima
wilayah penentuan TI agar dapat mengidentifikasi gap potensial.
2.
Menyesuaikan dan memetakan COBIT ke standar yang lain (
Information
Technology Infrastructure Library
(ITIL),
Capablity Maturity Model
(CMM),
Committee of Sponsoring Organizations
(COSO),
Project Management Body
(18)
of Knowledge
(PMBOK),
Standard of Good Practise
(ISF) and
International
Organization for Standardization
(ISO) 17799)
3.
Mengklarifikasikan indikator tujuan utama dan indikator hubungan kinerja
utama, dengan mengenal bagaimana indikator tujuan utama dapat bergerak
mencapai hubungan kinerja utama.
4.
Menghubungkan tujuan bisnis, TI dan proses TI (penelitian mendalam di 8
(delapan) industri dengan pandangan yang lebih jelas tentang bagaimana
proses COBIT mendukung tercapainya tujuan TI spesifik dan dengan
perluasan tujuan bisnis).
Gambaran kerangka COBIT secara keseluruhan dapat dilihat pada
Gambar 2.1.
Gambar 2.1 COBIT (Sumber:
Information Technology Governance Institute
,
2007)
(19)
Terdapat 4 (empat)
domain
utama pada COBIT (ITGI, 2007) yaitu:
A.
Plan and Organize
Domain Plan and Organize
(PO) membahas mengenai strategi, taktik, dan
pengidentifikasian TI dalam mendukung tercapainya tujuan bisnis. Di
dalamnya terdapat 10 (sepuluh) hal, yaitu:
1. PO1: Mendefinisikan rencana strategis sistem informasi
2. PO2: Mendefinisikan arsitektur informasi
3. PO3: Menenukan arahan teknologi
4. PO4: Mendefinisikan proses sistem informasi, organisasi dan
keterhubungannya
5. PO5: Mengelola investasi sistem informasi
6. PO6: Mengkomunikasikan tujuan dan arahan manajemen
7. PO7: Mengeelola sumber daya sistem informasi
8. PO8: Mengelola kualitas
9. PO9: Menaksir dan mengelola risiko sistem informasi
10. PO10: Mengelola proyek
B.
Acquire and Implement
Pada
domain Acquire and Implement
(AI) sebuah solusi TI perlu
diidentifikasikan, dikembangkan, diimplementasikan, dan diintegrasikan ke
dalam proses bisnis. Di dalamnya terdapat 7 (tujuh) hal yaitu:
1. AI1: Mengidentifikasi solusi otomatis
2. AI2: Memperoleh dan memelihara perangkat lunak aplikasi
3. AI3: Memperoleh dan memelihara infrastrutur teknologi
4. AI4: Memungkinkan operasional dan penggunaan
(20)
5. AI5: Memenuhi sumber daya sistem informasi
6. AI6: Mengelola perubahan
7. AI7: Instalasi dan akreditasi solusi beserta perubahannya
C.
Deliver and Support
(DS)
Domain
Deliver and Support
(DS) mempunyai fokus pada aspek
penyampaian TI kepada dukungan dan layanan TI mencakup dukungan dan
layanan TI pada bisnis, mulai dari penanganan keamanan dan kesinambungan,
dukungan bagi pengguna serta manajemen data.
Pada
domain Deliver and Support
terdapat 13 (tiga belas) hal yaitu:
1. DS1: Mendefinisikan dan mengelola tingkat layanan
2. DS2: Mengelola layanan pihak ketiga
3. DS3: Mengelola kinerja dan kapasitas
4. DS4: Memastikan layanan yang berkelanjutan
5. DS5: Memastikan keamanan sistem
6. DS6: Mengidentifikasi dan mengalokasikan biaya
7. DS7: Mendidik dan melatih pengguna
8. DS8: Mengelola
service desk
dan insiden
9. DS9: Mengelola konfigurasi
10. DS10: Mengelola permasalahan
11. DS11: Mengelola data
12. DS12: Mengelola lingkungan fisik
13. DS13: Mengelola operas
i
(21)
D.
Monitor and Evaluate
Pada
domain Monitor and Evaluate
(ME) ditekankan kepada pentingnya
semua proses TI perlu diakses secara berkala untuk menjaga kualitas dan
kesesuaian dengan standar yang telah ditetapkan. Pada
domain
ME terdapat 4
(empat) hal yang menjadi fokus, yaitu:
1. ME1: Mengawasi dan mengevaluasi kinerja sistem informasi
2. ME2: Mengawasi dan mengevaluasi kontrol internal
3. ME3: Memastikan pemenuhan terhadap kebutuhan eksternal
4. ME4: Menyediakan tata kelola sistem informasi
Menurut Sarno (2009: 147-163), pengukuran informasi dilaksanakaan
dalam audit sistem informasi yang mengacu pada contoh yang baik (
best practice
)
dengan kerangka COBIT, sebagai berikut:
1.
Penentuan Ruang Lingkup dan Tujuan Audit TI
Ruang lingkup yang dimaksud adalah area yang akan diaudit mencakup
sistem secara spesifik, fungsi atau unit organisasi yang menjadi tujuan (fokus)
dari proses audit untuk meminimalkan risiko bisnis.
2.
Pengumpulan Bukti
Bukti (
evidence
) merupakan informasi apapun yang digunakan oleh
pengaudit TI untuk menentukan data yang diaudit sesuai dengan kriteria dan
tujuan audit. Kemudian pelaksaanan audit TI untuk melakukan bukti dari
proses TI yang ada di perusahaan dengan menyesuaikan standar proses TI
yang didefinisikan dalam COBIT. Bukti tersebut digunakan untuk
melaksanakan uji kepatutan sehingga didapatkan temuan sebagai kepatutan
terhadap standar yang berlaku.
(22)
3.
Pelaksanaan Uji Kepatutan
Uji kepatutan (
compliance test
) dilakukan dengan menguji kepatutan proses
TI dengan melihat kepatutan proses yang berlangsung terhadap standar dan
regulasi yang berlaku. Kepatutan proses dapat diketahui berdasarkan hasil
pengumpulan bukti. Langkah-langkah dalam uji kepatutan, yaitu:
a.
Tahapan pengidentifikasian objek yang diaudit, bertujuan agar pengaudit
mengenal lebih jauh terkait dengan hal-hal yang harus dipenuhi dalam
objektif kontrol, identifikasi perihal pengelolaan yang didukung TI,
identifikasi terhadap individu yang bertanggung jawab, implementasi
terhadap proses, lokasi dan prosedur yang mengontrol proses terkait.
b.
Tahapan evaluasi audit, bertujuan untuk mendapatan prosedur tertulis
dan memperkirakan jika prosedur yang ada telah menghasilkan struktur
kontrol yang efektif dan prosedur telah sesuai dengan kerangka kerja
pengelolaan proses TI.
4.
Penentuan Tingkat Kedewasaan
Penentuan tingkat kedewasaan (
maturity level
) digunakan untuk kesadaran
akan kepentingan peningkatan pengelolaan proses TI dan pengidentifikasian
prioritas dalam peningkatan yang dilakukan. Tingkat kedewasaan yang
dimaksud merupakan representasi kedewasaan proses TI yang berlangsung
dalam perusahaan. Nilai tingkat kedewasaan akan menunjukkan level
kedewasaan proses TI dengan pengidentifikasian secara menyeluruh terhadap
setiap level.
(23)
2.6
Keselarasan Tujuan Pengukuran Tujuan Bisnis dan Tujuan Teknologi
Informasi
Tujuan pengukuran terhadap sistem informasi adalah untuk meyakinkan
manajemen bahwa kinerja sistem informasi yang ada pada organisasinya sesuai
dengan perencanaan dan tujuan usaha yang dimilikinya (Maniah dan Surendro,
2005: 1). Selanjutnya menurut Sarno (2009: 56-61), agar kontribusi yang
diberikan TI dapat terarah dan selaras dengan tujuan bisnis diperlukan analisis
kinerja dari penggunaan sistem informasi yang menggambarkan penilaian
kemampuan kerja sehingga dapat diketahui pemenuhan terhadap pencapaian yang
diharapkan.
Keselarasan tujuan pengukuran tujuan bisnis dan tujuan TI pada Direktorat
Keuangan PT. Pelindo III, dimulai dengan COBIT. COBIT menyediakan
pemetaan keselarasan dalam perspektif masing-masing (ITGI, 2007). Pemetaan
ini sangat penting karena menjadi acuan bagi perusahaan untuk menerjemahkan
kebutuhan bisnis terhadap TI yang ada (Sarno dalam Tanuwijaya dan Sarno 2010:
82). Tabel 2.2 menunjukkan jumlah hubungan tujuan bisnis yaitu 3 (tiga) dan 8
(delapan) tujuan TI dalam perspektif keuangan.
Tabel 2.2. Hubungan Tujuan Bisnis dan Tujuan TI dalam Perspektif
Keuangan
Perspektif
Kinerja
No.
Tujuan Bisnis
Tujuan TI
Perspektif
Keuangan
1.
Penyediaan
pengembalian investasi
yang baik dari bisnis
yang dibangkitkan TI
24
2.
Pengelolaan resiko
bisnis yang terkait
dengan TI
(24)
Perspektif
Kinerja
No.
Tujuan Bisnis
Tujuan TI
3.
Peningkatan
transparansi dan tata
kelola perusahaan
2
18
Sumber:
Information Technology Governance Institute
, 2007
Setelah
mendefinisikan
tujuan
TI,
langkah
selanjutnya
adalah
menggambarkan proses TI yang terkait. Setiap tujuan memiliki satu atau lebih
proses TI. Pada suatu proses TI, satu proses bisa memiliki beberapa tujuan
(Tanuwijaya dan Sarno, 2010: 82). Direktorat Keuangan PT. Pelindo III, apabila
ditinjau dari perspektif keuangan memiliki tujuan bisnis nomor 19 berhubungan
dengan tujuan TI nomor 21 yang terdiri memastikan bahwa informasi yang kritis
dan rahasia disembunyikan dari pihak-pihak yang tidak berkepentingan. Tujuan
nomor 19 dipilih karena data Direktorat Keuangan sangat penting dan rahasia
yang memiliki tingkat resiko yang tinggi, dan harus dilindungi. Hal ini sesuai
dengan Sarno dalam Tanuwijaya dan Sarno (2010: 82) yang menyatakan bahwa,
proses penentuan tujuan TI pada perusahaan tergantung pada pentingnya proses
bisnis, yang didasarkan pada tingkat resiko perusahaan. Deskripsi Tujuan TI
Dijelaskan pada Tabel 2.3.
Tabel 2.3 Deskripsi Tujuan Teknologi Informasi
Tujuan TI
2
Respon terhadap kebutuhan tata kelola yang sesuai dengan arahan direksi
14
Kemampuan memberikan penjelasan dan perlindungan terhadap aset-aset
TI
(25)
18
Penentuan kejelasan mengenai risiko dari dampak bisnis terhadap sasaran
dan sumber daya TI
19
Jaminan bahwa informasi yang kritis dan rahasia disembunyikan dari
pihak-pihak yang tidak berkepentingan
21
Jaminan bahwa layanan dan infrastruktur TI dapat sepatutnya mengatasi
dan memulihkan kegagalan karena
error
, serangan yang disengaja
maupun bencana alam
22
Kepastian akan minimnya dampak bisnis dalam kejadian gangguan
layanan atau perubahan TI
24
Peningkatan terhadap efisiensi biaya TI dan kontribusinya terhadap
keuntungan bisnis
Sumber:
Information Technology Governance Institute
, 2007
Keterkaitan proses sistem informasi dalam pemetaan dalam perspektif
keuangan, diuraikan pada Tabel 2.4. Deskripsi Proses TI didefinisikan pada
Tabel 2.5 di halaman 23.
Tabel 2.4 Keterkaitan Tujuan Teknologi Iinformsi dan Proses Teknologi
Informasi
Tujuan TI
Proses TI
2
Respon terhadap
kebutuhan tata kelola
yang sesuai dengan
arahan direksi
PO1
PO4
PO1
0
ME1 ME3
14
Kemampuan
memberikan
penjelasan dan
perlindungan terhadap
aset-aset TI
PO9
DS5
DS9
DS1
2
ME2
17
Perlindungan terhadap
pencapaian sasaran TI
PO9
DS1
0
ME2
18
Penentuan kejelasan
mengenai risiko dari
dampak bisnis
terhadap sasaran dan
sumber daya TI
PO9
19
Jaminan bahwa
informasi yang kritis
dan rahasia
PO6
DS5
DS1
1
DS1
2
(26)
Tujuan TI
Proses TI
disembunyikan dari
pihak-pihak yang
tidak berkepentingan
21
Jaminan bahwa
layanan dan
infrastruktur TI dapat
sepatutnya mengatasi
dan memulihkan
kegagalan karena
error
, serangan yang
disengaja maupun
bencana alam
PO6
AI7
DS4
DS5
DS1
2
DS1
3
ME2
22
Kepastian akan
minimnya dampak
bisnis dalam kejadian
gangguan layanan
atau perubahan TI
PO6
AI6
DS4
DS1
2
24
Peningkatan terhadap
efisiensi biaya TI dan
kontribusinya
terhadap keuntungan
bisnis
PO5
AI5
DS6
Sumber:
Information Technology Governance Institute
, 2007
Tabel 2.5 Deskripsi Proses Teknologi Informasi
Proses TI
Deskripsi Proses TI
PO1
Mendefinisikan rencana strategis sistem informasi
PO4
Mendefinisikan
proses
sistem
informasi,
organisasi
dan
keterhubungannya
PO5
Mengelola investasi sistem informasi
PO6
Mengkomunikasikan tujuan dan arahan manajemen
PO9
Menaksir dan mengelola risiko sistem informasi
PO10
Mengelola proyek
AI5
Memenuhi sumber daya sistem informasi
AI6
Mengelola perubahan
AI7
Instalasi dan akreditasi solusi beserta perubahannya
DS4
Memastikan layanan yang berkelanjutan
DS5
Memastikan keamanan sistem
DS6
Mengidentifikasi dan mengalokasikan biaya
DS9
Mengelola konfigurasi
DS10
Mengelola permasalahan
DS11
Mengelola data
(27)
Proses TI
Deskripsi Proses TI
DS12
Mengelola lingkungan fisik
DS13
Mengelola operasi
ME1
Mengawasi dan mengevaluasi kinerja sistem informasi
ME2
Mengawasi dan mengevaluasi kontrol internal
ME3
Memastikan pemenuhan terhadap kebutuhan eksternal
Sumber:
Information Technology Governance Institute
, 2007
2.7
Maturity Level
Penentuan tingkat kedewasaan (
maturity level
) merupakan bagian dari
pengujian kepatutan terhadap aktivitas yang seharusnya ada/dilakukan di tiap
proses TI berdasarkan kerangka kerja COBIT sesuai tingkatan levelnya. Sebuah
pengembangan TI harus terukur dengan baik, agar mekanisme tata kelola TI dapat
berjalan secara baik dan efektif maka harus melalui tahap kematangan tertentu
(Indrajit, 2004). Dengan menggunakan
maturity model
sebuah perusahaan dapat
mengukur poisisi kematangannya dalam pengembangan TI.
Maturity model
ditunjukkan pada Gambar 2.2.
Gambar 2.2
Maturity Model
(Sumber:
Information Technology Governance
Institute
, 2007)
(28)
Teknik pengukuran
Maturity Level
menggunakan beberapa
statement
(pernyataan) dimana setiap pernyataan dapat dinilai tingkat kepatutannya dengan
menggunakan standar nilai, seperti pada Tabel. 2.6.
Tabel 2.6 Standar Penilaian
Maturity Level
Complience Level Numeric Values
Agreement With
Statement
Complience Value
Not at all
0
A Little
0,33
Quite a lot
0,66
Completely
1
Sumber: Pederiva, 2003:2
Adapun penentuan tingkat kedewasaan akan dilakukan pada tiap proses
TI dan dilakukan terhadap semua level, mulai dari level nol (0) hingga level lima
(5). Pembobotan (kuantitatif) terhadap tiap pernyataan sesuai dengan kondisi
perusahaan. Skala
maturity level
sebuah perusahaan terkait dengan keberadaan
dan kinerja proses
Information Technology
(IT)
Governance
terdiri dari 6 level
(ITGI, 2007), dapat dilihat pada Tabel 2.7.
Tabel 2.7 Skala Pengukuran
Maturity Level
Level
Kriteria Kedewasaan
0
Non
Existent
Tidak ada proses yang dilakukan, organisasi bahkan tidak
mengenali bahwa ada hal-hal yang seharusnya dilakukan. Proses
dijalankan dengan prosedur yang tidak terintegrasi dengan sistem
dan unit bisnis. Sehingga organisasi memiliki kekurangan pada
hampir tiap proses.
(29)
Level
Kriteria Kedewasaan
1
Initial/Ad
Hoc
Perusahaan menyadari pentingnya suatu isu. Tetapi belum ada
prosedur standar yang ditetapkan melainkan hanya pendekatan tim
(
ad hoc
) yang dilaksanakan secara terpisah dan kasuistis.
Pendekatan dilakukan manajemen secara tidak terorganisasi.
Proses dan prosedur yang ada belum terintegrasi.
2
Repeatabl
e but
Intuitif
Proses telah dikembangkan pada suatu tingkat dimana prosedur
yang sama dilakukan oleh orang yang berbeda dalam melakukan
aktivitas yang sama. Tidak terdapat pelatihan formal atau
komunikasi mengenai prosedur standar dan tanggung jawab masih
bersifat individual. Ketergantungan pada pengetahuan orang per
orang sangat tinggi dan sering terjadi kesalahan.
3
Defined
Prosedur telah distandarisasi dan didokumentasikan, dan
dikomunikasikan melalui pelatihan yang memadai. Namun tidak
ada kewajiban untuk mengikuti standard dan penyimpangan
seringkali tidak diperhatikan. Prosedur tidak terlalu berkualitas
namun hanya sekedar formalisasi dari kegiatan sehari-hari.
4
Managed
And
Measurabl
e
Proses monitoring dan pengukuran ketaatan atas prosedur standar
telah dilakukan dan ada tindakan bilamana proses dilakukan tidak
efektif. Proses dilakukan dalam kerangka peningkatan kinerja
berkelanjutan (improvement) dan dilakukan dengan cara yang
baik. Perangkat otomasi telah digunakan secara terbatas dan
terpisah-pisah.
5
Optimised
Proses telah dikembangkan sedemikian rupa pada level yang
terbaik (best practice), berdasarkan hasil dari perbaikan yang terus
menerus dan membandingkan
maturity modeling
dengan
organisasi lain. TI telah digunakan secara terintegrasi untuk
melakukan otomatisasi proses kerja (
workflow
), menyediakan alat
untuk melakukan peningkatan kualitas dan efektivitas, sehingga
memungkinkan perusahaan mengadaptasi secara cepat.
Sumber:
Information Technology Governance Institute,
2007
Penentuan level kedewasaan dimulai dari level 0, seperti ditunjukkan
Gambar 2.3 di halaman 27. Bentuk
Form
Level kedewasaan 0 sampai dengan 5
adalah sama, sedangkan isi menyesuaikan sesuai level kedewasaan.
Penilaian dilakukan oleh
auditor
kepada pihak manajemen maupun staf
yang mempunyai peran dan tanggung jawab terhadap proses-proses manajemen
TI. Pertanyaan-pertanyaan tersebut dihasilkan dari pernyataan dalam
maturity
(30)
level
COBIT, kemudian dilakukan pembobotan berdasarkan tingkat kepentingan
yang dikonversikan pada skor antara 0.0-1.0. Setelah
auditor
mengisi setiap
pertanyaan dengan skor, langkah berikutnya adalah menghitung skor dari
masing-masing
maturity level
proses TI. Contoh hasil perhitungan untuk
maturity
level
PO6 ditampilkan pada Tabel 2.8.
Maturity level
proses TI dari empat proses
TI (Tujuan TI 19) dapat dilihat pada Tabel 2.9 di halaman 28.
Apakah sepakat? Nama Proses Memastikan Keamanan Sistem
T id ak S am a S ek al i S e d ik it D al a m ti n g k at an te rt en tu S el u ru h n y a N IL A I
Nomor Proses
DS5
Level Kedewasaan0
No. Pernyataan Bobot 0.00 0.33 0.66 1.00 1 Terdapat kesadaran akan kebutuhan
keamanan TI
2 Terdapat penugasan tanggung jawab untuk memastikan keamanan 3 Terdapat penugasan akuntabilitas
untuk memastikan keamanan 4 Terdapat tindakan yang mendukung
pengelolaan keamanan TI 5 Terdapat respon dari laporan
keamanan TI
6 Terdapat proses keamanan administrasi sistem yang memadai
Total Bobot = Tingkat Kepatutan
Total Nilai
Gambar 2.3 Contoh Penentuan Level Kedewasaan Level 0 pada Proses
Teknologi Informasi DS 5
Tabel 2.8. Contoh Hasil
Maturity Level
dari Proses Teknologi Informasi PO6
Maturity Level
Tingkat Kepatutan
(
compliance score
)
Kontribusi Tiap Level
Nilai
(
level score
)
0
1.00
0.0
0.0
1
0.55
0.3
0.2
2
0.50
0.7
0.4
3
0.48
1.0
0.5
4
0.28
1.3
0.4
5
0.72
1.7
1.2
Hasil
Maturity Level
dari Proses TI PO6
2.6
Sumber: Sarno (2009: 162)
(31)
Tabel 2.9. Contoh
Maturity Level
dari Tujuan Teknologi Informasi 19
Proses TI
Deskripsi
Maturity Level
PO6
Mengkomunikasikan Tujuan dan Arahan
Manajemen
2.6
DS5
Memastikan keamanan sistem
3.4
DS11
Mengelola data
0.9
DS12
Mengelola lingkungan fisik
0.8
Rata-rata
7.7
Sumber: Tanuwijaya dan Sarno (2010: 84)
2.8
Jaring Laba-laba
Penyusunan hasil audit dengan jaring laba-laba, berdasarkan hasil
maturity
level
dan target yang telah ditetapkan pada tujuan bisnis dan tujuan TI. Jaring
laba-laba ditunjukkan pada Gambar 2.4. Jaring Laba-laba yang menggambarkan
nilai
Maturity Level
.
1 2 3 4 5
PO6
DS12
DS11
DS5
Gambar 2.4. Jaring Laba-laba yang Menggambarkan Nilai
Maturity Level
Sumber: Sarno, 2009
2.9
Control Objectives
Control objectives
diperlukan oleh proses-proses TI agar implementasinya
dapat terarah dan memberikan jaminan bahwa telah diimplementasikan sesuai
dengan standar pengelolaan yang baik pada tiap proses terkait (Sarno, 2009).
(32)
Penilaian dengan
control objectives
sebagai ukuran dalam mencapai tujuan
perusahaan
control objectives
dilakukan dalam rangka mengelola TI yang terkait
dengan risiko bisnis, dilakukan dengan cara, antara lain: 1. Mulai dengan tujuan
bisnis yang ingin dicapai, 2. Memilih proses dan kontrol TI yang sesuai untuk
perusahaan
dari
control objectives,
3. Operasikan rencana bisnis, 4. Menilai
prosedur dan hasil dengan pedoman audit (Effendi, 2008: 17).
2.10 Penyusunan Hasil Audit dan Rekomendasi
Setelah audit dilaksanakan maka sebelum hasil audit dikomunikasikan,
pengaudit TI perlu berdiskusi untuk mendapatkan kesepahaman terhadap hasil
temuan dan mengembangkan rekomendasi untuk memperbaiki hasil audit tersebut
(Sarno, 2009: 165-174). Adapun langkah-langkah untuk menyusun rekomendasi,
yaitu:
1)
Penentuan hasil audit TI
Penentuan hasil audit dilakukan dengan mengevaluasi hasil audit yang
didapatkan untuk mengembangkan opini audit. Opini-opini berdasarkan
hasil temuan tersebut nantinya disusun dalam rekomendasi hasil audit. Hasil
audit
tersebut
ditentukan
oleh
pengaudit
TI
yang
kemudian
dikomunikasikan kepada pihak manajemen dan jajaran direksi yang
berkepentingan untuk mendapatkan kesepakatan mengenai hasil audit.
Setelah diperoleh kesepakatan maka langkah selanjutnya adalah menyusun
hasil audit ke dalam laporan hasil audit.
(33)
2)
Penyusunan laporan hasil audit TI
Laporan audit merupakan hasil akhir dari pekerjaan audit TI yang berisikan
temuan dan rekomendasi kepada manajemen. Format dari laporan tersebut
akan bervariasi di setiap organisasi sehingga tidak ada format baku dalam
penyusunannya. Laporan yang dibuat seharusnya seimbang yang
mendeskripsikan tidak hanya isu negatif namun juga pernyataan konstruktif
yang positif berkaitan dengan peningkatan proses dan kontrol yang
dijalankan telah efektif.
3)
Audit untuk perbaikan berkelanjutan (rekomendasi)
Audit untuk perbaikan berkelanjutan diperlukan untuk penyediaan
rekomendasi panduan praktek bagi manajemen sebagai inisiatif penataan TI
yang diimplementasikan. Area perbaikan harus bisa menggambarkan area
perbaikan yang perlu dilakukan perusahaan berdasarkan uji kepatutan dan
tingkat kedewasaan saat pelaksanaan audit. Contoh penyusunan laporan
hasil Audit berupa penyusunan temuan dan rekomendasi laporan hasil audit
ditunjukkan pada Tabel 2.10.
Tabel 2.10. Contoh Laporan Hasil Audit Daftar Temuan dan Rekomendasi Audit
Sistem Informasi
Proses TI
Temuan
Rekomendasi
PO6
Mengkomunikasika
n Arah dan Tujuan
Manajemen
Komunikasi dari arah
dan tujuan TI masih
bersifat informal
Membentuk komunikasi arah
dan tujuan TI terhadap setiap
proses dan mulai
mendefinisikan standar, atau
menggunakan standar khusus
mengenai arah dan tujuan TI.
(34)
31
Langkah pelaksanaan audit sistem informasi berdasarkan
best practice
(Sarno, 2009: 147-163), yaitu: Penentuan Ruang Lingkup Audit Sistem Informasi,
Pengumpulan Bukti, Pelaksanaan Uji Kepatutan, Perhitungan Nilai Maturity Level,
Penyusunan Temuan dan Penyusunan Rekomendasi.
Gambar 3.1 Skema Langkah Pelaksanaan Audit Sistem Informasi
Pada Gambar 3.1 merupakan langkah-langkah yang akan dilakukan untuk
melaksanakan audit. Dari langkah-langkah tersebut akan dibahas meliputi:
Penentuan Ruang Lingkup Audit Sistem Informasi, Pengumpulan Bukti,
Pelaksanaan Uji Kepatutan, Perhitungan Nilai Maturity Level.
(35)
3.1
Block Diagram
Model Pengembangan
Input: Observasi, W awancara, Bukti Pengum pulan D ata
M elihat Pem etaan Berdasarkan Balanced
Scorecard
M eninjau Pem etaan Perspektif Keuangan Berdasarkan Balanced
Scorecaard Melihat Em pat Perspektif
Balanced Scorecard
M enentukan Pem etaan Tujuan Bisnis dan Tujuan TI Berdasarkan Balanced
Scorecard
M em buat Pernyataan sesuai dengan Control O bjectives M em perhatikan 24 C ontrol
Objective dalam Perspektif Keuangan dan Tujuan TI
pada CO BIT
M elakukan Pengisian Kertas Kerja Audit oleh Auditor Mencatat Hasil P engisian
Kertas Kerja Audit
M enggam barkan Jaring Laba-laba
O utput Menghasilkan: M aturity M odel, Jaring Laba -laba, Laporan
Hasil Audit, Tem uan dan Rekom endasi Menghitung Nilai M aturity
Level M enentukan R uang
Lingkup D irektorat Keuangan
M enentukan Control Objectives yang sesuai dengan Ruang Lingkup
Direktorat Keuangan Melihat Tujuan Bisnis dan
Tujuan TI Terpenting Berdasarkan C OBIT Proses
M enentukan tugas dalam R ACI chart sesuai dengan tugas dan w ewenang dalam
Struktur Organisasi
M enggam barkan M aturity M odel
(36)
Keterangan:
1.
Observasi, wawancara dan bukti pengumpulan data sebagai analisis kondisi
eksisting (Sarno, 2009:33), yaitu dilakukan untuk mengetahui kondisi hal-hal
yang berhubungan dengan pengelolaan sistem informasi pada Direktorat
Keuangan.
2.
Melihat Pemetaan Berdasarkan
Balanced Scorecard sebagai suatu konsep
manajemen yang membantu menerjemahkan strategi ke dalam tindakan
sehingga dapat diukur untuk melaksanakan proses-proses manajemen kritis
(Kaplan dan Norton dalam Gaspersz, 2005: 9).
3.
Meninjau Pemetaan Perspektif Keuangan Berdasarkan
Balanced Scorecard
sebagai pemahaman mengenai perspektif keuangan dalam manajemen karena
keberlangsungan suatu unit bisnis sangat tergantung pada posisi dan kekuatan
keuangan, agar tujuan keuangan terus mencapai posisi yang tinggi, sehingga
ukuran keuangan menjadi standar defakto dari pengukuran kesuksesan bisnis
perusahaan (Niven, 2007: 3; Gaspersz, 2005: 38-40). Pemilihan perspektif
keuangan karena untuk membangun suatu
Balanced Scorecard unit-unit
bisnis harus dikaitkan dengan tujuan keuangan yang berkaitan dengan strategi
perusahaan. Selain itu,
Balanced Scorecard termasuk dalam sepuluh tujuan
bisnis dan tujuan TI terpenting berdasarkan survei ITGI.
4.
Menentukan Pemetaan Tujuan Bisnis dan Tujuan TI berdasarkan
Balanced
Scorecard sebagai alat ukur kinerja bisnisnya dalam kerangka keseluruhan
manajemen suatu perusahaan agar diketahui posisi bisnis dari bisnis yang
direpresentasikan kinerjanya.
(37)
5.
Membuat Pernyataan sesuai dengan
control objectives yaitu
pernyataan-pernyataan yang dikemukakan sesuai dengan control objectives.
6.
Menentukan Control Objectives yang sesuai dengan ruang lingkup Direktorat
Keuangan, yaitu pernyataan-pernyataan yang dikemukakan sesuai dengan
ruang lingkup pada Direktorat Keuangan
7.
Melakukan Pengisian Kertas Kerja Audit oleh
Auditor yaitu menyiapkan
pertanyaan sesuai dengan pernyataan yang sesuai
control objectives dan
ruang lingkup pada Direktorat Keuangan, berdasarkan hasil observasi,
wawancara dan pengumpulan bukti. Pertanyaan pada kertas kerja untuk
mengetahui pengelolaan TI pada Direktorat Keuangan PT. Pelindo III.
8.
Mencatat Hasil Pengisian Kertas Kerja Audit dilakukan setelah
Auditor
mengisi kertas kerja audit.
9.
Menghitung nilai maturity level sesuai hasil penilaian pada kertas kerja.
10.
Menggambarkan jaring laba-laba berdasarkan nilai maturity level.
11.
Menggambar
maturity model agar perusahaan dapat mengukur poisisi
kematangannya dalam pengembangan TI
12.
Penyusunan laporan hasil audit, termasuk berisi temuan-temuan. Penyusunan
rekomendasi berdasarkan kertas kerja sebagai langkah akhir dalam
pelaksanaan audit sistem informasi.
3.2. Cara Pengambilan Data
Dalam pencarian dan pengumpulan data yang relevan, teknik pengumpulan
data dalam penelitian ini adalah:
(38)
a.
Wawancara, dilakukan untuk mengetahui proses bisnis yang ada di
perusahaan.
b.
Survei menggunakan daftar pertanyaan, dilakukan untuk mendapatkan
informasi lanjutan yang sekiranya berpotensi untuk memberikan kontribusi
pada tahap analisis
c.
Peninjauan terhadap dokumen, dilakukan untuk mengumpulkan informasi
tentang situasi sistem yang ada sebagai peninjauan terhadap aktivitas
perusahaan.
d.
Observasi, bertujuan untuk pemrosesan dan pengkonfirmasian hasil-hasil dari
wawancara, identifikasi dokumen-dokumen yang perlu untuk analisis lebih
lanjut.
e.
Informal Brainstorming Group Session, untuk mendefinisikan ruang lingkup
dari audit yang akan dillakukan oleh pengaudit TI
3.3 Teknik Pelaksanaan Audit Sistem Informasi
Terdapat teknik analisa pada pelaksanaan audit sistem informasi (Sarno,
2009). Teknik analisa tersebut sebagai berikut:
3.3.1 Penentuan Ruang Lingkup Audit Sistem Informasi
Ruang lingkup pada Direktorat Keuangan, berdasarkan kerangka kerja
COBIT, terdapat 34 (tiga puluh empat) proses TI. Berdasarkan perspektif
keuangan pada kerangka kerja COBIT yang mengacu pada Tujuan Bisnis yang
pertama yaitu: penyediaan pengembalian investasi yang baik dari bisnis yang
dibangkitkan TI (Tujuan TI 24), yang meliputi proses TI: PO5, A15, dan DS6.
Kemudian Tujuan Bisnis yang kedua yaitu: pengelolaan risiko bisnis yang terkait
(39)
dengan TI (Tujuan TI 2, 14, 17, 18, 19, 21 dan 22). Adapun tujuan TI 24 meliputi
proses: PO1, PO4, PO10, ME1, ME3. Tujuan TI 14 meliputi: PO9, DS5, DS9,
DS12, ME2; Tujuan TI 17 meliputi proses: PO9, DS10, ME2; Tujuan TI 18
meliputi proses : PO9; Tujuan TI 19, meliputi proses: PO6, DS5, DS11, DS12;
Tujuan TI 21 meliputi proses: PO6, A17, DS4, DS5, DS12, DS13, ME2; Tujuan
TI 22 meliputi proses: PO6, AI6, DS4, DS12; Tujuan TI 24 meliputi proses: PO5,
AI5, DS6. Pada Tujuan Bisnis yang ketiga yaitu: peningkatan transparansi dan
tata kelola perusahaan (Tujuan TI 2 dan 18). Sehingga keseluruhan kebutuhan
Proses TI sebagai berikut: PO1, PO4, PO5, PO6, PO9, PO10, AI5, AI6, AI7, DS4,
DS5, DS6, DS9, DS10, DS11, DS12, DS13, ME1, ME2, ME3, dijelaskan pada
Tabel 3.1.
Tabel 3.1 Ruang Lingkup Audit Sistem Informasi
Perspektif
Kinerja No. Tujuan Bisnis
24
PO5, AI5, DS6
2 14 17 18 19 21 22
PO1, PO4, PO10, ME1, ME3 PO9, DS5, DS9, DS12, PO9, DS10, ME2
PO9 PO6, DS5, DS11, DS12
PO6, AI7, DS4, DS5, DS12, DS13, ME2 PO6, AI6, DS4, DS12 2 18 PO1, PO4, PO10, ME1, ME3 PO9
Tujuan TI dan Proses TI
Penyediaan pengembalian investasi yang baik dari bisnis yang dibangkitkan TI 1.
Pengelolaan resiko bisnis yang terkait dengan TI 2.
Perspektif Keuangan
3. Peningkatan transparansi dan tata kelola perusahaan
Sumber: Information Technology Governance Institute, 2007
3.3.2 Pengumpulan Bukti
a. Gambaran Umum Perusahaan
Sebuah perusahaan harus mempunyai visi dan misi untuk menentukan arah
perkembangannya. Definisi dari visi (Indrajit, 2000) merupakan sesuatu yang
(40)
dicanangkan oleh pendiri perusahaan. Namun yang harus diperhatikan, visi
bukanlah mimpi, namun sesuatu yang mungkin terwujud, sedangkan misi
ditetapkan sebagai jawaban terhadap visi yang telah ditetapkan sebelumnya. Misi
masih merupakan sesuatu yang memiliki arti global dan cenderung generik. Oleh
karena itu, ditentukan beberapa objektif yang ingin dicapai dalam berbagai hal
sehubungan dengan misi yang dicanangkan tersebut.
PT. Pelindo III telah berkomitmen dalam visinya yaitu untuk menjadi
pelaku penyediaan jasa kepelabuhanan yang prima, berkomitmen memacu
integrasi logistik nasional. Adapun misi yang diemban oleh PT. Pelindo III, yaitu:
1.
Menjamin penyediaan jasa pelayanan prima melampaui standar yang berlaku
secara konsisten
2.
Memacu kesinambungan daya saing industri nasional melalui biaya logistik
yang kompetitif
3.
Memenuhi harapan semua
Stake Holders melalui prinsip kesetaraan dan tata
kelola perusahaan yang baik
4.
Menjadikan Sumber Daya Manusia (SDM) yang kompeten, berkinerja handal
dan berbudi pekerti luhur
5.
Mendukung perolehan devisa negara dengan memperlancar arus perdagangan
b. Struktur Organisasi PT. Pelindo III
Struktur organisasi PT. Pelindo III, ditunjukkan pada Gambar 3.3 halaman
38. Berisi fungsi, wewenang dan tanggung jawab organisasi. Struktur organisasi
digunakan untuk menentukan pihak yang bertanggung jawab atas kesuksesan
aktivitas (responsible), pihak penanggung jawab yang menyetujui pelaksanaan
(41)
(42)
sebuah aktivitas (accountable), pihak yang mengerti aktivitas (consulted), dan
pihak yang senantiasa diinformasikan perihal perkembangan aktivitas (informed)
(Sarno, 2009: 150). Penentuan RACI dapat dilihat pada Lampiran 1 halaman 96.
c.
Direktorat Keuangan
Dalam mewujudkan visi dan misi perusahaan, diperlukan suatu bagian
yang mengurus tentang keuangan. Fungsi keuangan yang telah dilakukan oleh
Direktorat Keuangan PT. Pelindo III yaitu berupa perencanaan pengembangan
Teknologi Informasi (TI) yang terintegrasi dengan cara memasukkan layanan dan
sistem informasi keuangan sehingga mampu mengorganisir informasi yang
diciptakan secara lokal dan akses informasi yang tersebar secara global.
Kondisi saat ini Direktorat Keuangan menggunakan aplikasi Sistem
Informasi antara lain: Aplikasi Anggaran, Aplikasi Keuangan
General Ledger
(GL)), Aplikasi Perbendaharaan, Aplikasi Aktiva Tetap (fixed asset), Aplikasi
Executive Information System (EIS) dan Konsolidasi, Aplikasi
Payroll, Aplikasi
Perpajakan, Aplikasi Piutang. Gambar 3.4 menggambarkan sistem informasi
keuangan pada Direktorat Keuangan PT. Pelindo III.
Gambar 3.4 Sistem Informasi Keuangan pada Direktorat Keuangan
PT. Pelindo III
(43)
Aplikasi Anggaran merupakan aplikasi yang digunakan untuk mencatat
anggaran investasi perusahaan secara keseluruhan. Misalnya penyusunan rencana
kerja anggaran perusahaan. Aplikasi Anggaran ini juga sebagai kontrol terhadap
penggunaan (realisasi) anggaran di lingkungan PT. Pelindo III.
Aplikasi Keuangan
General Ledger (GL) merupakan aplikasi keuangan
yang digunakan untuk mencatat kegiatan transaksi keuangan secara keseluruhan
baik itu berupa aktiva maupun pasiva. Transaksi tersebut kemudian menghasilkan
sebuah laporan keuangan.
Aplikasi Perbendaharaan merupakan aplikasi keuangan yang memiliki
fungsi untuk mencatat keluar masuk uang di lingkungan kantor pusat PT. Pelindo
III. Dalam hal ini bisa memiliki fungsi yang menyerupai kasir.
Aplikasi Aktiva Tetap (fixed asset) merupakan aplikasi yang mencatat
pergerakan aktiva tetap secara keselurahan. Mulai dari pencatatan penambahan
aktiva baru, penyusutan, maupun penghapusan aktiva. Sehingga pada aplikasi ini
menghasilkan laporan secara periodik, maupun sesuai kebutuhan.
Aplikasi Eksekutif Information System (EIS) dan Konsolidasi merupakan
sistem informasi yang terintegrasi dari berbagai database yang dibutuhkan untuk
menganalisa keuangan. Aplikasi EIS kemudian menghasilkan laporan pendapatan,
biaya dan laba rugi dari keseluruhan jasa yang dilakukan pada PT Pelindo III.
Pelayanan jasa tersebut meliputi: pelayanan kapal barang, pelayanan bongkar
muat, pelayanan properti, pelayanan aneka usaha, pelayanan usaha peti kemas.
Aplikasi Payroll merupakan aplikasi yang digunakan untuk mencatat proses
penggajian setiap bulannya. Selain itu aplikasi
payroll juga mencatat proses
Tunjangan Hari Raya (THR) dan jasa produksi (misalnya: bonus).
(44)
Aplikasi Perpajakan merupakan aplikasi yang digunakan untuk memproses
pajak, yang kemudian menghasilkan laporan yang diserahkan pada Direktorat
pajak. Termasuk pajak penghasilan, pajak pertambahan nilai (misalnya: pajak
setiap usaha dan berbagai jenis pelayanan jasa yang dihasilkan), pajak penyusutan
aktiva tetap.
Aplikasi Piutang merupakan aplikasi yang digunakan untuk mencatat
pergerakan piutang pelanggan pelayanan jasa.
d.
Proses Bisnis Perusahaan
Proses Bisnis perusahaan digunakan untuk mengetahui aktivitas operasional
perusahaan. Entity dalam proses bisnis tersebut merupakan pihak-pihak atau
bagian yang terkait dalam sistem pada Direktorat Keuangan.
e.
Jadwal Pelaksanaan Audit
Pelaksanaan audit sistem informasi yang dilakukan pada Direktorat
Keuangan dilaksanakan secara bertahap. Tabel 3.2 menunjukkan jadwal tahapan
pelaksanaan audit. Tabel 3.3 di halaman 42 menjelaskan deskripsi Tugas Utama
Tim Audit.
Tabel 3.2 Jadwal Tahapan Pelaksanaan Audit
NO KEGIATA
N
2010 2011
September Oktober Nopember Desember Januari
Pe-brua
ri
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2
1 Persiapan
dan Perencana-an
v v v v
2 Studi
Pustaka
(45)
NO KEGIATA N
2010 2011
September Oktober Nopember Desember Januari
Pe-brua
ri
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2
3 Observasi
prosedur kerja, Mempela-jari dokumen, Wawancara
v v v v
4
Mengajuk-an daftar pertanyaan
v v v v
5
Pelaksana-an Audit
v v v v
6 Penentuan
tingkat kedewasaan
v v v v v v
7 Penyusunan
hasil audit
v v v v v v v v v v v v
8 Penyusunan
rekomenda-si
v v v v v v v v v v v v
Tabel 3.3 Tim Audit Consultant
Penugasan
Deskripsi Tugas Utama
Nama
Lead
Auditor
Memimpin audit dalam segala aspek, antara
lain
konsolidasi
dan
persiapan
audit,
pelaksanaan audit, sampai pada analisa dan
laporan audit final.
Lead Auditor
akan
berhubungan
secara
langsung
dengan
perusahaan
serta
melakukan
pemecahan
masalah yang bersifat strategis yang mungkin
muncul serta memastikan bahwa tujuan audit
tercapai dan selesai pada waktu yang telah
ditentukan.
Dian Arisanti
Auditor
Auditor akan melaksanakan dan memastikan
proses dan prosedur audit yang akan dilakukan
dan dipenuhi sesuai dengan standar audit yang
ditentukan.
Auditor akan
mempersiapkan
materi
audit,
serta
melaksanakan
dan
mengalokasikan
sumber
daya
dan
arah
pelaksanaan audit.
Dian Arisanti
Consultant Consultant memberikan masukan
kepada
Auditor
berupa standar yan tepat untuk audit
sistem informasi setelah melihat latar belakang
Haryanto
Tanuwijaya,
Erwin Sutomo
(46)
masalah,
perumusan
masalah,
tujuan,
perhitungan nilai
maturity level, temuan dan
rekomendasi.
Data
Gathering
&
Documenta
tion
Bertanggung jawab terhadap pengumpulan data
dan melakukan dokumentasi dan memastikan
kelengkapan dan validitas dokumen audit yang
diperlukan. Membantu
consultant dan
auditor
dalam melakukan konsolidasi hasil audit dan
analisa audit.
Dian Arisanti
3.3.3 Pelaksanaan Uji Kepatutan
Kepatutan proses dapat diketahui dari hasil pengumpulan bukti. Peneliti
melakukan pengujian kepatutan proses TI dengan melihat proses yang
berlangsung terhadap standar yang berlaku. Berdasarkan desain dan struktur
organisasi maka dapat diidentifikasi Object yang diaudit. Hal ini didukung dengan
kebijakan dan prosedur perusahaan.
3.3.4 Perhitungan Nilai Maturity Level
Peneliti melakukan penelitian untuk meningkatkan kesadaran akan
kepentingan peningkatan pengelolaan proses TI di perusahaan. Hal ini dinyatakan
dengan perhitungan nilai
maturity level. Adapun penentuan tingkat kedewasaan
pada COBIT dilakukan pada tiap Proses TI dan dilakukan pada semua level, mulai
dari level 0 (nol) hingga level 5 (lima). Penentuan tingkat kedewasaan ini,
dilakukan dari hasil wawancara perihal pelaksanaan Proses TI dengan pihak yang
berhubungan dengan pengelolaan proses tersebut. Sebelum wawancara dilakukan,
auditor melakukan pembobotan pernyataan dengan skor antara skala 1-10 (dalam
skala antara 1-10) (Sethuraman, 2007: 5). Selanjutnya skala pembobotan
pernyaataan tersebut disesuaikan terhadap tiap pernyataan sesuai dengan tingkat
(1)
9
0
Proses TI Temuan Rekomendasi
mengevaluasi kinerja sistem informasi
belum memadai pengawasan, yang berguna untuk merencanakan secara sistematis dan terstruktur agar proses pengawasan berjalan sesuai dengan apa yang dibutuhkan atau direncanakan.
Alat bantu manajerial yang relevan bisa digunakan oleh manajemen, antara lain:
1. Buku laporan kegiatan operasional, sebagai teknik pengawasan yang memungkinkan hanya penyimpangan kecil antara yang direncanakan dan kinerja aktual. Alat bantu manajerial untuk pemantauan akuntasi misalnya: pembukuan. Apabila pembukuan tersebut mencatat semua peristiwa ekonomi, maka proses akuntansi mencakup juga cara pengkomunikasian data tersebut, Dalam organisasi bidang akuntansi mempunyai peranan yang besar yaitu sebagai penyedia data untuk mendukung penetapan kebijakan bagi General Manager, berupa: perencanaan, pengawasan, dan evaluasi
2. Management Information System (MIS), yaitu suatu metoda informal pengadaan dan penyediaan bagi manajemen, informasi yang diperlukan dengan akurat dan tepat waktu untuk membantu proses pembuatan keputusan dan memungkinkan fungsi-fungsi perencanaan, pengawasan dan operasional organisasi yang dilaksanakan secara efektif
Belum terdapat alat otomatis yang terintegrasi dalam mengumpulkan berbagai informasi tentang proses
Manajemen perusahaan merancang MIS agar berjalan efektif. Adapun hal-hal yang relevan bisa dilakukan Manajemen perusahaan, sebagai berikut:
1. Mengikut sertakan pemakai dalam tim perancangan 2. Mempertimbangkan secara hati-hati biaya system 3. Memperlakukan informasi yang relevan dan terseleksi 4. Adanya pengujian pendahuluan
5. Menyediakan latihan dokumentasi tertulis bagi para operator dan pemakai sistem Belum menggunakan alat
otomatis yang terintegrasi dalam memantau berbagai informasi tentang proses
Manajemen mengupayakan alat pematauan otomatis, berupa sistem informasi terintegrasi untuk memantau berbagai informasi tentang proses. Adapun Sedangkan kriteria utama MIS efektif yaitu: 1. Pengawasan terhadap kegiatan yang benar
2. Tepat waktu dalam pemakainya 3. Menekan biaya secara efektif
4. Sistem yang digunakan harus tepat dan akurat 5. Dapat diterima oleh yang bersangkutan ME2
Mengawasi dan mengevaluasi kontrol
internal
Peralatan terintegrasi yang ada belum memenuhi dalam penilaian pengendalian TI
Manajemen dalam hal ini ditentukan oleh Manajer TI mengupayakan peralatan yang terintegrasi dalam penilaian pengendalian TI untuk mendukung alat bantu Manajerial yang sudah ada. Peralatan TI yang terintegrasi tersebut membantu untuk menyediakan suatu stuktur yang berhubungan dengan proses TI, sumberdaya TI dan informasi untuk strategi dan tujuan perusahaan
(2)
9
1
Proses TI Temuan Rekomendasi
Peralatan terintegrasi dapat mendeteksi insiden pengendalian TI, tetapi belum memadai.
Manajer TI mengkaji kembali peralatan TI yang dapat mendeteksi insiden. Hal ini dilakukan dengan tujuan untuk membuat keputusan yang berkualitas dan dapat dipercaya, maka perlu di dukung oleh data yang akurat melalui sistem informasi berbasis komputer, termasuk: deteksi, investigasi, dan koreksi proses yang diluar kontrol.
ME3 Memastikan pemenuhan terhadap
kebutuhan eksternal
Terdapat kebutuhan eksternal, tetapi belum ada penilaian yang jelas sejauhmana kebutuhan eksternal tersebut dapat dipenuhi.
Manajemen perusahaan menyusun kebutuhan eksternal perusahaan. Kebutuhan tersebut disusun
berdasarkan kelompok kebutuhan eksternal yang mempengaruhi perusahaan. Adapun kebutuhan eksternal yang dapat mempengaruhi perusahaan sebagai berikut:
1. Keadaan alam, misalnya berhubungan dengan kondisi pengiriman jasa barang keluar pulau 2. Politik dan hukum, yaitu: sistem dan prosedur pelayanan harus sesuai dengan peraturan
perundang-undangan yang telah ditetapkan oleh pemerintah
3. Kondisi perekonomian, yaitu semakin banyak kebutuhan diluar pulau, maka semakin banyak yang menggunakan jasa pengiriman sehingga berpengaruh pada pendapatan perusahaan
(3)
BAB V
PENUTUP
5.1 Simpulan
Dari hasil audit sistem informasi keuangan yang telah dilakukan, maka
didapatkan kesimpulan sebgai berikut:
1.
Audit sistem informasi ditinjau dari perspektif keuangan
Balanced Scorecard
pada Direktorat Keuangan memiliki ruang lingkup tujuan bisnis sebanyak 3
(tiga), tujuan TI sebanyak 8 (delapan) dan total proses TI sebanyak 20 (dua
puluh) proses.
2.
Pengumpulan bukti pelaksanaan audit sistem informasi berupa form hasil
wawancara,
dengan
ditunjukkan
dokumen-dokumen
kebijakan
dan
operasional keuangan, serta aplikasi-aplikasi yang digunakan dalam proses
keuangan.
3.
Direktorat Keuangan telah melaksanakan aktivitas sistem informasi pada
perspektif keuangan. Aktivitas tersebut diperlukan untuk menjaga kualitas
layanan keuangan dan pengembangannya. Tingkat kematangan (
maturity
level
) yang dimiliki pada masing-masing proses TI berbeda-beda. Hasil
perhitungan nilai rata-rata
maturity level
yang didapatkan adalah 2.32 yang
berarti tingkat
maturity level
sistem informasi Direktorat Keuangan PT.
Pelindo III berdasarkan COBIT 4.1 adalah
repeatable but intuitive.
Hal ini
berarti bahwa:
a.
Aktivitas-aktivitas pada Proses TI tersebut telah diterapkan dengan cukup
baik, namun masih terdapat kekurangan dalam implementasi prosedur
(4)
yang telah distandarisasi dan didokumentasikan serta dikomunikasikan
oleh manajemen. Implementasi tersebut ada kalanya tergantung pada
individu.
b.
Risiko TI yang telah ada di
master plan
TI belum diimplementasikan
seluruhnya.
c.
Telah memiliki suatu bagian yang bertugas mengukur aktivitas internal
perusahaan. Bagian tersebut bertugas untuk mengendalikan prosedur
perusahaan yang sedang berjalan, memberikan saran perbaikan apabila
terdapat temuan prosedur yang kurang sesuai.
d.
Terdapat kerangka kerja pengembangan TI dengan mempertimbangkan
perbandingan pengendalian internal dengan praktek terbaik industri.
5.2 Saran
Saran bagi pengembangan yang berkaitan dengan pencapaian hasil yang
optimal dari audit sistem sistem informasi ini sebagai berikut:
1.
Mempertimbangkan dan melaksanakan rekomendasi yang relevan agar
terarah dalam kerangka perbaikan sistem informasi berkelanjutan.
2.
Aktivitas perusahaan dapat dievaluasi oleh tim independen dengan
membangun
Balanced Scorecard
serta mengembangkan perspektif yang lain,
tidak hanya perspektif keuangan saja.
3.
Perusahaan dapat menggunakan standar audit sistem informasi selain COBIT
4.1 sebagai pembanding dalam mengetahui sejauh mana penerapan tujuan
sistem informasi dan bisnis pada Direktorat Keuangan.
(5)
94
DAFTAR PUSTAKA
Darwas, R. 2010.
Evaluasi Peran Sistem Informasi Manajemen Koperasi
Swadharma dengan Menggunakan Model Maturity Level pada Kerangka
Kerja COBIT pada Domain Plan and Orgnize,
Thesis, Program Pasca
Sarjana, Program Magister Sistem Informasi Akuntansi, Universitas
Gunadarma, Jakarta.
Edwards, C. 1995.
The Essence of Information Systems 2nd Edition. United
Kingdom: Prentice Hall International.
Yogyakarta: Andi Publiser.
Effendi, D. 2008.
Perancangan IT Governance pada Layanan Akademik di
UNIKOM (Universita Komputer Indonesia) Menggunakan COBIT (Control
Objectives for Information and Related Technolgy) Versi 4.0
, Tesis,
Program PascaSarjana, Program Studi Magister Informatika, Institut
Teknologi Bandung, Bandung.
Gaspersz, V. 2005.
Sistem Manajemen Kinerja terintegrasi Balanced Scorecard
dengan Six Sigma untuk Organisasi Bisnis dan Pemerintah
. Jakarta: PT.
Grameedia Pustaka Utama.
Gondodiyoto, S. 2007.
Audit Sistem Informasi: Pendekatan Cobit, Edisi Revisi.
Jakarta: Mitra Wacana Media.
Indrajit, R.E. 2000.
Pengantar Konsep Dasar Manajemen Sistem Informasi dan
Teknologi Informasi
. Jakarta: PT Elex Media Komputindo.
Indrajit, R.E. 2004.
Kajian Strategis Cost Benefit Teknologi Informasi
.
Yogyakarta: Penerbit Andi.
Information Technology Governance Institute. 2007.
COBIT 4.10: Control
Objective, Management Guidelines, Maturity Models
. United States of
America: IT Governance Institute.
Jogiyanto, H.M. 1989. Analisis dan Disain Sistem Informasi: pendekatan
terstruktur teori dan praktek aplikasi bisnis. Yogyakarta: Penerbit ANDI.
Kaplan, R. dan Norton, D. 1996.
Balanced Scorecard: Menerapkan Strategi
Menjadi Aksi
. Jakarta: Erlangga.
Kristanto, A. 2003.
Perancangan Sistem Informasi dan Aplikasinya
. Yogyakarta:
Gava Media.
Maniah dan Surendro, K. 2005.
Usulan Model Audit Sistem Informasi (Studi
Kasus: Sistem Informasi Perawatan Pesawat Terbang
. Seminar Nasional
(6)