Audit Penjagaan Aset (Asset Safeguarding) Data PT Indonesia Computer Square dengan Menggunakan Cobit 4.1.
ABSTRACT
Information is a very important asset for a company, so important that it needed a security mechanism with the ultimate purpose to ensure data confidentiality from unauthorized access, also to ensure data integrity and to ensure data availability. In a asset safeguarding in the company is done by giving a password on each application, provide the login on the database, access rights granted in accordance with each department and any sensitive data is not used anymore will be destroyed. Technology and information systems have a major role in disseminating information. The information or data is an asset for the company. Indirect data security can ensure business continuity, reduce risk, and seeking business opportunities. More company information that is stored, managed and shared, the greater the risk of damage, loss or exposure of data to external parties that are not desired.
(2)
viii
DAFTAR ISI
LEMBAR PENGESAHAN ... i
PERNYATAAN PUBLIKASI LAPORAN PENELITIAN ... ii
PERNYATAAN ORISINALITAS LAPORAN PENELITIAN ... iv
PRAKATA ... v
ABSTRACT ... vii
DAFTAR ISI ... viii
DAFTAR GAMBAR ... x
DAFTAR TABEL ... xi
DAFTAR LAMPIRAN ... xii
BAB I PENDAHULUAN... 1
1.1 Latar Belakang Masalah... 1
1.2 Rumusan Masalah ... 1
1.3 Tujuan Pembahasan ... 2
1.4 Ruang Lingkup ... 2
1.5 Sumber Data ... 4
1.6 Sistematika Penyajian ... 4
BAB II KAJIAN TEORI ... 5
2.1 Audit Sistem Informasi ... 5
2.2 Tahapan Audit Sistem Informasi ... 6
2.3 Alasan mengapa perlu Audit Sistem Informasi ... 6
2.4 IT Audit Standard Tools/Framework ... 9
2.5 Data ... 15
2.6 Jenis Data ... 16
2.7 Cobit 4.1 ... 17
2.8 Control Objective ... 27
BAB III ANALISIS DAN PERANCANGAN ... 32
3.1 Sejarah Perusahaan ... 32
3.2 Visi dan Misi Perusahaan ... 32
3.3 Struktur Organisasi ... 33
3.4 Aplikasi Perusahaan ... 34
3.5 Program Audit ... 35
3.6 Hasil Audit ... 39
3.6.1 Accuracy, Completeness and Authenticity Checks ... 39
3.6.2 Application Security ... 39
3.6.3 Training ... 40
3.6.4 Performance and Capacity Planning ... 40
3.6.5 Exchange of Sensitive Data... 41
3.6.6 User Account Management ... 42
3.6.7 Business Requirements for Data Management ... 42
3.6.8 Storage and Retention Arrangements ... 43
3.6.9 Disposal ... 43
3.6.10 Backup and Restoration ... 44
3.6.11 Security Requirements for Data Management ... 44
3.6.12 Sensitive Documents and Output Devices ... 45
BAB IV HASIL TERCAPAI ... 49
(3)
4.2 Application Security ... 50
4.3 Training ... 50
4.4 Performance and Capacity Planning ... 51
4.5 Exchange of Sensitive Data ... 52
4.6 User Account Management ... 53
4.7 Business Requirements for Data Management ... 53
4.8 Storage and Retention Arrangements ... 54
4.9 Disposal ... 55
4.10 Backup and Restoration ... 56
4.11 Security Requirements for Data Management ... 57
4.12 Sensitive Documents and Output Devices... 57
BAB V KESIMPULAN DAN SARAN... 59
5.1 Kesimpulan ... 59
5.2 Saran ... 60
(4)
x
DAFTAR GAMBAR
Gambar 1 Cobit Family of Products ... 18
Gambar 2 Cobit Business Control Objectives-IT Governance ... 25
Gambar 3 Cobit Control Objectives ... 26
(5)
DAFTAR TABEL
Tabel I Kriteria Kerja Cobit ... 19 Tabel II Domain & High Level Controls Cobit ... 23 Tabel III Program Audit ... 36
(6)
xii
Daftar Lampiran
Lampiran A Foto-Foto ... A-1 Lampiran B Data ... B-1 Lampiran C Hasil wawancara ... C-1
(7)
BAB I PENDAHULUAN
1.1 Latar Belakang Masalah
PT Indonesia Computer Square adalah perusahaan yang bergerak dalam bidang penjualan komputer dan alat – alat elektronik lainnya. Memiliki 5 cabang yang tersebar di wilayah Jabodetabek. Sebagai sebuah vendor dalam bidang teknologi dan elektronik, menyediakan beragam produk TI yang lengkap dengan harga kompetitif, mulai dari PC desktop dan notebook merek global dan lokal terkemuka maupun produk-produk Apple, komponen/periferal PC seperti hard disk, motherboard, keyboard, memori, casing, kartu grafis, printer, proyektor, monitor, dan flash disk, hingga gadget seperti PDA, PDA Phone, dan iPod. Teknologi dan sistem informasi mempunyai peranan yang besar dalam penyampaian informasi. Informasi atau data adalah aset bagi perusahaan. Keamanan data secara tidak langsung dapat memastikan kontinuitas bisnis, mengurangi resiko, dan mencari kesempatan bisnis. Semakin banyak informasi perusahaan yang disimpan, dikelola dan di-sharing maka semakin besar resiko terjadinya kerusakan, kehilangan atau tereksposnya data ke pihak eksternal yang tidak diinginkan.
Agar kinerja IT pada suatu organisasi dapat berjalan dengan baik maka diperlukan suatu kendali control internal atau sebuah framework yang dapat mengontrol seluruh proses proses yang terdapat pada IT.
1.2 Rumusan Masalah
Rumusan masalah penelitian ini adalah :
Apakah PT.Indonesia Computer telah melakukan penjagaan aset (asset safeguarding) khususnya dalam hal data dengan baik?
(8)
2
1.3 Tujuan Pembahasan
Tujuan dilakukan pembahasan ini adalah :
Untuk mengetahui apakah PT.Indonesia Computer telah melakukan penjagaan aset (asset safeguarding) khususnya dalam hal data dengan baik dengan cara melakukan audit teknologi informasi.
1.4 Ruang Lingkup
Audit yang dilakukan mengacu kepada COBIT Framework Sasaran kontrol (control objectives) yang harus dipenuhi
sebagai acuan pengauditan adalah :
Accuracy, Completeness and Authenticity Checks
Kontrol ini membahas mengenai bahwa data adalah akurat, lengkap dan valid menvalidasi data yang diinput, dan mengedit atau mengirim kembali untuk koreksi
Application Security
Kontrol ini membahas mengenai menjaga keamanan aplikasi.
Training
Kontrol ini membahas mengenai pelatihan staf dan kelompok IT sesuai dengan pelaksanaan rencana dan terkait bahan, sebagai bagian dari setiap sistem informasi
Performance and Capacity Planning
Kontrol ini membahas mengenai proses perencanaan untuk meninjau kinerja dan kapasitas sumber daya IT
Exchange of Sensitive Data
Kontrol ini membahas mengenai pertukaran data transaksi sensitif melalui jalur yang terpercaya atau dengan kontrol untuk menyediakan konten keaslian, bukti penyerahan, dan bukti penerimaan
(9)
3
User Account Management
Kontrol ini membahas mengenai hak dan kewajiban berkaitan dengan akses ke sistem perusahaan dan informasi harus diatur dalam kontrak untuk semua jenis pengguna
Business Requirements for Data Management
Kontrol ini membahas mengenai memverifikasi bahwa semua diharapkan untuk memproses data yang diterima dan diproses sepenuhnya, akurat dan pada waktu yang tepat, dan semua output disampaikan sesuai dengan kebutuhan bisnis.
Storage and Retention Arrangements
Kontrol ini membahas mengenai mendefinisikan dan menerapkan prosedur yang efektif dan efisien untuk penyimpanan data.
Disposal
Kontrol ini membahas mengenai mendefinisikan dan
menerapkan prosedur untuk memastikan bahwa
persyaratan bisnis untuk perlindungan data sensitif dan software telah terpenuhi
Backup and Restoration
Kontrol ini membahas mengenai mendefinisikan dan menerapkan prosedur untuk backup dan pemulihan sistem, aplikasi, data dan dokumentasi
Security Requirements for Data Management
Kontrol ini membahas mengenai menentukan dan
melaksanakan kebijakan dan prosedur untuk
mengidentifikasi dan menerapkan persyaratan keamanan yang berlaku untuk penerimaan, pengolahan, penyimpanan dan output data untuk memenuhi tujuan bisnis
(10)
4
Sensitive Documents and Output Devices
Kontrol ini membahas mengenai menetapkan perlindungan fisik yang sesuai pengelolaan aset IT yang lebih sensitif
1.5 Sumber Data
Sumber data diambil dari perusahaan yang bersangkutan, yang dalam hal ini PT Indonesia Computer Square
Wawancara dengan staff dan pimpinan
Studi pustaka,buku ataupun internet1.6 Sistematika Penyajian
Bab I Pendahuluan
Bab ini berisikan Latar Belakang Masalah, Perumusan Masalah, Tujuan, Batasan Masalah, Sistematika Penulisan, Metode dan Teknik Penelitian
Bab II Landasan Teori
Bab ini berisikan Teori-teori yang menjadi dasar bagi penulis dalam melakukan kerja praktek ini. Yaitu teori mengenai COBIT framework dan penjelasan mengenai proses proses yang akan diaudit.
Bab III Analisis
Bab ini menjelaskan perancangan rencana audit dan proses evidence collection.
Bab IV Hasil Tercapai
Bab ini akan menjelaskan mengenai proses evidence evaluation.
Bab V Penutup (Kesimpulan dan Saran)
Bab ini berisikan kesimpulan dari seluruh hasil kerja praktek dan Saran bagi perusahaan berdasarkan hasil audit.
(11)
BAB V KESIMPULAN DAN SARAN
5.1 Kesimpulan
Dari hasil pengauditan yang dilakukan penulis di PT Indonesia Computer Square dan berdasarkan hasil temuan dan analisa data yang didapat maka dapat disimpulkan bahwa:
1. Dari keduabelas kontrol yang diambil untuk melakukan audit di PT Indonesia Computer Square yang sudah memenuhi kontrol COBIT framework adalah Application Security, User Account Management
sedangkan untuk kontrol yang lain penerapan dan prosesnya tersebut masih belum lengkap atau masih ada yang kurang. Seperti perusahaan tidak mengidentifikasi resiko kemungkinan kehilangan data atau pengubahan data oleh orang yang tidak berhak.
2. Penjagaan aset data yang dilakukan sudah baik yaitu setiap hari kerja dilakukan backup data penjualan yang disimpan di harddisk server dan CD. Penyimpanan di server dilakukan offsite agar dapat dibuat server baru dengan data yang ada untuk mencegah data hilang yang disebabkan server mati dan menggunakan shredder untuk membuang dokumen sensitif.
3. Banyak dari kegiatan perusahaan di IT tidak terdokumentasi dalam penjagaan aset seperti dalam hal report backup data dan perusahaan tidak mengidentifikasi resiko-resiko sehingga tidak mengetahui apakah keamanan yang dimiliki sekarang benar-benar melindungi informasi perusahaan.
(12)
Universitas Kristen Maranatha
60
5.2 Saran
1. Perusahaan sebaiknya dapat memberikan bukti dengan lebih lengkap, tidak hanya berupa bukti eletronik, tetapi berupa bukti dokumen fisik perusahaan.
2. Perusahaan sebaiknya memiliki dokumentasi terhadap penjagaan aset IT untuk meminimalisasi resiko-resiko yang kemungkinan terjadi yang dapat merugikan perusahaan.
3. Sebaiknya audit dilanjutkan oleh pihak perusahaan dengan orang yang ahli, sehingga dapat mengetahui bagaian-bagian mana yang harus diperbaiki dan dikembangkan.
(13)
DAFTAR PUSTAKA
Gandodiyoto,Sanyoto.(2007).Audit Sistem Informasi + Pendekatan COBIT.Jakarta:Mitra Wacana Media
Chemodz. (2008). Jenis Data. Retrieved November, 26, 2008. From http://one.indoskripsi.com/node/6495
Sasongko, Budi. (2007).Audit Sistem Informasi.Retrieved September, 9, 2007. From http://theakuntan.com/auditing/audit-sistem-informasi-at-a-glance/
Setiabudi.(2007).IT Audit Standard Tools/ Framework (bagian I). Retrieved Juni, 5, 2007. From http://www.setiabudi.name/archives/20
Tenjomaya, Putra. (2008). Pengertian Data, Informasi, dan Tek. Informasi. From
http://t3nj0m4y4.blogspot.com/2007/07/pengertian-data-informasi-dan-teknologi.html
Webber,Ron.(1999).Pengenalan audit sistem informasi.From http://repository.binus.ac.id/content/KA122/KA12297769.pdf
Webber,Ron.(1999).Tahapan Audit Sistem Informasi.From
http://digilib.petra.ac.id/viewer.php?page=2&submit.x=13&submit.y=21&submit=n ext&qual=high&submitval=next&fname=/jiunkpe/s1/eakt/2004/jiunkpe-ns-s1-2004-32499028-1197-hotel_majapahit-chapter2.pdf
(1)
2
1.3 Tujuan Pembahasan
Tujuan dilakukan pembahasan ini adalah :
Untuk mengetahui apakah PT.Indonesia Computer telah melakukan penjagaan aset (asset safeguarding) khususnya dalam hal data dengan baik dengan cara melakukan audit teknologi informasi.
1.4 Ruang Lingkup
Audit yang dilakukan mengacu kepada COBIT Framework
Sasaran kontrol (control objectives) yang harus dipenuhi sebagai acuan pengauditan adalah :
Accuracy, Completeness and Authenticity Checks
Kontrol ini membahas mengenai bahwa data adalah akurat, lengkap dan valid menvalidasi data yang diinput, dan mengedit atau mengirim kembali untuk koreksi
Application Security
Kontrol ini membahas mengenai menjaga keamanan aplikasi.
Training
Kontrol ini membahas mengenai pelatihan staf dan kelompok IT sesuai dengan pelaksanaan rencana dan terkait bahan, sebagai bagian dari setiap sistem informasi Performance and Capacity Planning
Kontrol ini membahas mengenai proses perencanaan untuk meninjau kinerja dan kapasitas sumber daya IT
Exchange of Sensitive Data
Kontrol ini membahas mengenai pertukaran data transaksi sensitif melalui jalur yang terpercaya atau dengan kontrol untuk menyediakan konten keaslian, bukti penyerahan, dan bukti penerimaan
(2)
Universitas Kristen Maranatha User Account Management
Kontrol ini membahas mengenai hak dan kewajiban berkaitan dengan akses ke sistem perusahaan dan informasi harus diatur dalam kontrak untuk semua jenis pengguna
Business Requirements for Data Management
Kontrol ini membahas mengenai memverifikasi bahwa semua diharapkan untuk memproses data yang diterima dan diproses sepenuhnya, akurat dan pada waktu yang tepat, dan semua output disampaikan sesuai dengan kebutuhan bisnis.
Storage and Retention Arrangements
Kontrol ini membahas mengenai mendefinisikan dan menerapkan prosedur yang efektif dan efisien untuk penyimpanan data.
Disposal
Kontrol ini membahas mengenai mendefinisikan dan menerapkan prosedur untuk memastikan bahwa persyaratan bisnis untuk perlindungan data sensitif dan
software telah terpenuhi Backup and Restoration
Kontrol ini membahas mengenai mendefinisikan dan menerapkan prosedur untuk backup dan pemulihan sistem, aplikasi, data dan dokumentasi
Security Requirements for Data Management
Kontrol ini membahas mengenai menentukan dan melaksanakan kebijakan dan prosedur untuk mengidentifikasi dan menerapkan persyaratan keamanan yang berlaku untuk penerimaan, pengolahan, penyimpanan dan output data untuk memenuhi tujuan bisnis
(3)
4
Sensitive Documents and Output Devices
Kontrol ini membahas mengenai menetapkan perlindungan fisik yang sesuai pengelolaan aset IT yang lebih sensitif
1.5 Sumber Data
Sumber data diambil dari perusahaan yang bersangkutan, yang dalam hal ini PT Indonesia Computer Square
Wawancara dengan staff dan pimpinan
Studi pustaka,buku ataupun internet1.6 Sistematika Penyajian
Bab I Pendahuluan
Bab ini berisikan Latar Belakang Masalah, Perumusan Masalah, Tujuan, Batasan Masalah, Sistematika Penulisan, Metode dan Teknik Penelitian
Bab II Landasan Teori
Bab ini berisikan Teori-teori yang menjadi dasar bagi penulis dalam melakukan kerja praktek ini. Yaitu teori mengenai COBIT framework dan penjelasan mengenai proses proses yang akan diaudit.
Bab III Analisis
Bab ini menjelaskan perancangan rencana audit dan proses
evidence collection. Bab IV Hasil Tercapai
Bab ini akan menjelaskan mengenai proses evidence evaluation.
Bab V Penutup (Kesimpulan dan Saran)
Bab ini berisikan kesimpulan dari seluruh hasil kerja praktek dan Saran bagi perusahaan berdasarkan hasil audit.
(4)
59
Universitas Kristen Maranatha
5.1 Kesimpulan
Dari hasil pengauditan yang dilakukan penulis di PT Indonesia Computer Square dan berdasarkan hasil temuan dan analisa data yang didapat maka dapat disimpulkan bahwa:
1. Dari keduabelas kontrol yang diambil untuk melakukan audit di PT Indonesia Computer Square yang sudah memenuhi kontrol COBIT framework adalah Application Security, User Account Management sedangkan untuk kontrol yang lain penerapan dan prosesnya tersebut masih belum lengkap atau masih ada yang kurang. Seperti perusahaan tidak mengidentifikasi resiko kemungkinan kehilangan data atau pengubahan data oleh orang yang tidak berhak.
2. Penjagaan aset data yang dilakukan sudah baik yaitu setiap hari kerja dilakukan backup data penjualan yang disimpan di harddisk server
dan CD. Penyimpanan di server dilakukan offsite agar dapat dibuat
server baru dengan data yang ada untuk mencegah data hilang yang disebabkan server mati dan menggunakan shredder untuk membuang dokumen sensitif.
3. Banyak dari kegiatan perusahaan di IT tidak terdokumentasi dalam penjagaan aset seperti dalam hal report backup data dan perusahaan tidak mengidentifikasi resiko-resiko sehingga tidak mengetahui apakah keamanan yang dimiliki sekarang benar-benar melindungi informasi perusahaan.
(5)
60
5.2 Saran
1. Perusahaan sebaiknya dapat memberikan bukti dengan lebih lengkap, tidak hanya berupa bukti eletronik, tetapi berupa bukti dokumen fisik perusahaan.
2. Perusahaan sebaiknya memiliki dokumentasi terhadap penjagaan aset IT untuk meminimalisasi resiko-resiko yang kemungkinan terjadi yang dapat merugikan perusahaan.
3. Sebaiknya audit dilanjutkan oleh pihak perusahaan dengan orang yang ahli, sehingga dapat mengetahui bagaian-bagian mana yang harus diperbaiki dan dikembangkan.
(6)
Universitas Kristen Maranatha xiii
Gandodiyoto,Sanyoto.(2007).Audit Sistem Informasi + Pendekatan COBIT.Jakarta:Mitra Wacana Media
Chemodz. (2008). Jenis Data. Retrieved November, 26, 2008. From http://one.indoskripsi.com/node/6495
Sasongko, Budi. (2007).Audit Sistem Informasi.Retrieved September, 9, 2007. From http://theakuntan.com/auditing/audit-sistem-informasi-at-a-glance/
Setiabudi.(2007).IT Audit Standard Tools/ Framework (bagian I). Retrieved Juni, 5, 2007. From http://www.setiabudi.name/archives/20
Tenjomaya, Putra. (2008). Pengertian Data, Informasi, dan Tek. Informasi. From
http://t3nj0m4y4.blogspot.com/2007/07/pengertian-data-informasi-dan-teknologi.html
Webber,Ron.(1999).Pengenalan audit sistem informasi.From http://repository.binus.ac.id/content/KA122/KA12297769.pdf
Webber,Ron.(1999).Tahapan Audit Sistem Informasi.From
http://digilib.petra.ac.id/viewer.php?page=2&submit.x=13&submit.y=21&submit=n ext&qual=high&submitval=next&fname=/jiunkpe/s1/eakt/2004/jiunkpe-ns-s1-2004-32499028-1197-hotel_majapahit-chapter2.pdf