ABSTRACT

Information is a very important asset for a company, so important that it needed a security mechanism with the ultimate purpose to ensure data confidentiality from unauthorized access, also to ensure data integrity and to ensure data availability. In a asset safeguarding in the company is done by giving a password on each application, provide the login on the database, access rights granted in accordance with each department and any sensitive data is not used anymore will be destroyed. Technology and information systems have a major role in disseminating information. The information or data is an asset for the company. Indirect data security can ensure business continuity, reduce risk, and seeking business opportunities. More company information that is stored, managed and shared, the greater the risk of damage, loss or exposure of data to external parties that are not desired.

viii

DAFTAR ISI

LEMBAR PENGESAHAN ... i

PERNYATAAN PUBLIKASI LAPORAN PENELITIAN ... ii

PERNYATAAN ORISINALITAS LAPORAN PENELITIAN ... iv

PRAKATA ... v

ABSTRACT ... vii

DAFTAR ISI ... viii

DAFTAR GAMBAR ... x

DAFTAR TABEL ... xi

DAFTAR LAMPIRAN ... xii

BAB I PENDAHULUAN... 1

1.1 Latar Belakang Masalah... 1

1.2 Rumusan Masalah ... 1

1.3 Tujuan Pembahasan ... 2

1.4 Ruang Lingkup ... 2

1.5 Sumber Data ... 4

1.6 Sistematika Penyajian ... 4

BAB II KAJIAN TEORI ... 5

2.1 Audit Sistem Informasi ... 5

2.2 Tahapan Audit Sistem Informasi ... 6

2.3 Alasan mengapa perlu Audit Sistem Informasi ... 6

2.4 IT Audit Standard Tools/Framework ... 9

2.5 Data ... 15

2.6 Jenis Data ... 16

2.7 Cobit 4.1 ... 17

2.8 Control Objective ... 27

BAB III ANALISIS DAN PERANCANGAN ... 32

3.1 Sejarah Perusahaan ... 32

3.2 Visi dan Misi Perusahaan ... 32

3.3 Struktur Organisasi ... 33

3.4 Aplikasi Perusahaan ... 34

3.5 Program Audit ... 35

3.6 Hasil Audit ... 39

3.6.1 Accuracy, Completeness and Authenticity Checks ... 39

3.6.2 Application Security ... 39

3.6.3 Training ... 40

3.6.4 Performance and Capacity Planning ... 40

3.6.5 Exchange of Sensitive Data... 41

3.6.6 User Account Management ... 42

3.6.7 Business Requirements for Data Management ... 42

3.6.8 Storage and Retention Arrangements ... 43

3.6.9 Disposal ... 43

3.6.10 Backup and Restoration ... 44

3.6.11 Security Requirements for Data Management ... 44

3.6.12 Sensitive Documents and Output Devices ... 45

BAB IV HASIL TERCAPAI ... 49

4.2 Application Security ... 50

4.3 Training ... 50

4.4 Performance and Capacity Planning ... 51

4.5 Exchange of Sensitive Data ... 52

4.6 User Account Management ... 53

4.7 Business Requirements for Data Management ... 53

4.8 Storage and Retention Arrangements ... 54

4.9 Disposal ... 55

4.10 Backup and Restoration ... 56

4.11 Security Requirements for Data Management ... 57

4.12 Sensitive Documents and Output Devices... 57

BAB V KESIMPULAN DAN SARAN... 59

5.1 Kesimpulan ... 59

5.2 Saran ... 60

x

DAFTAR GAMBAR

Gambar 1 Cobit Family of Products ... 18

Gambar 2 Cobit Business Control Objectives-IT Governance ... 25

Gambar 3 Cobit Control Objectives ... 26

DAFTAR TABEL

Tabel I Kriteria Kerja Cobit ... 19 Tabel II Domain & High Level Controls Cobit ... 23 Tabel III Program Audit ... 36

xii

Daftar Lampiran

Lampiran A Foto-Foto ... A-1 Lampiran B Data ... B-1 Lampiran C Hasil wawancara ... C-1

BAB I PENDAHULUAN

1.1 Latar Belakang Masalah

PT Indonesia Computer Square adalah perusahaan yang bergerak dalam bidang penjualan komputer dan alat – alat elektronik lainnya. Memiliki 5 cabang yang tersebar di wilayah Jabodetabek. Sebagai sebuah vendor dalam bidang teknologi dan elektronik, menyediakan beragam produk TI yang lengkap dengan harga kompetitif, mulai dari PC desktop dan notebook merek global dan lokal terkemuka maupun produk-produk Apple, komponen/periferal PC seperti hard disk, motherboard, keyboard, memori, casing, kartu grafis, printer, proyektor, monitor, dan flash disk, hingga gadget seperti PDA, PDA Phone, dan iPod. Teknologi dan sistem informasi mempunyai peranan yang besar dalam penyampaian informasi. Informasi atau data adalah aset bagi perusahaan. Keamanan data secara tidak langsung dapat memastikan kontinuitas bisnis, mengurangi resiko, dan mencari kesempatan bisnis. Semakin banyak informasi perusahaan yang disimpan, dikelola dan di-sharing maka semakin besar resiko terjadinya kerusakan, kehilangan atau tereksposnya data ke pihak eksternal yang tidak diinginkan.

Agar kinerja IT pada suatu organisasi dapat berjalan dengan baik maka diperlukan suatu kendali control internal atau sebuah framework yang dapat mengontrol seluruh proses proses yang terdapat pada IT.

1.2 Rumusan Masalah

Rumusan masalah penelitian ini adalah :

Apakah PT.Indonesia Computer telah melakukan penjagaan aset (asset safeguarding) khususnya dalam hal data dengan baik?

2

1.3 Tujuan Pembahasan

Tujuan dilakukan pembahasan ini adalah :

Untuk mengetahui apakah PT.Indonesia Computer telah melakukan penjagaan aset (asset safeguarding) khususnya dalam hal data dengan baik dengan cara melakukan audit teknologi informasi.

1.4 Ruang Lingkup

 Audit yang dilakukan mengacu kepada COBIT Framework  Sasaran kontrol (control objectives) yang harus dipenuhi

sebagai acuan pengauditan adalah :

 Accuracy, Completeness and Authenticity Checks

Kontrol ini membahas mengenai bahwa data adalah akurat, lengkap dan valid menvalidasi data yang diinput, dan mengedit atau mengirim kembali untuk koreksi

 Application Security

Kontrol ini membahas mengenai menjaga keamanan aplikasi.

 Training

Kontrol ini membahas mengenai pelatihan staf dan kelompok IT sesuai dengan pelaksanaan rencana dan terkait bahan, sebagai bagian dari setiap sistem informasi

 Performance and Capacity Planning

Kontrol ini membahas mengenai proses perencanaan untuk meninjau kinerja dan kapasitas sumber daya IT

 Exchange of Sensitive Data

Kontrol ini membahas mengenai pertukaran data transaksi sensitif melalui jalur yang terpercaya atau dengan kontrol untuk menyediakan konten keaslian, bukti penyerahan, dan bukti penerimaan

3

 User Account Management

Kontrol ini membahas mengenai hak dan kewajiban berkaitan dengan akses ke sistem perusahaan dan informasi harus diatur dalam kontrak untuk semua jenis pengguna

 Business Requirements for Data Management

Kontrol ini membahas mengenai memverifikasi bahwa semua diharapkan untuk memproses data yang diterima dan diproses sepenuhnya, akurat dan pada waktu yang tepat, dan semua output disampaikan sesuai dengan kebutuhan bisnis.

 Storage and Retention Arrangements

Kontrol ini membahas mengenai mendefinisikan dan menerapkan prosedur yang efektif dan efisien untuk penyimpanan data.

 Disposal

Kontrol ini membahas mengenai mendefinisikan dan

menerapkan prosedur untuk memastikan bahwa

persyaratan bisnis untuk perlindungan data sensitif dan software telah terpenuhi

 Backup and Restoration

Kontrol ini membahas mengenai mendefinisikan dan menerapkan prosedur untuk backup dan pemulihan sistem, aplikasi, data dan dokumentasi

 Security Requirements for Data Management

Kontrol ini membahas mengenai menentukan dan

melaksanakan kebijakan dan prosedur untuk

mengidentifikasi dan menerapkan persyaratan keamanan yang berlaku untuk penerimaan, pengolahan, penyimpanan dan output data untuk memenuhi tujuan bisnis

4

 Sensitive Documents and Output Devices

Kontrol ini membahas mengenai menetapkan perlindungan fisik yang sesuai pengelolaan aset IT yang lebih sensitif

1.5 Sumber Data

 Sumber data diambil dari perusahaan yang bersangkutan, yang dalam hal ini PT Indonesia Computer Square

 Wawancara dengan staff dan pimpinan



Studi pustaka,buku ataupun internet

1.6 Sistematika Penyajian

 Bab I Pendahuluan

Bab ini berisikan Latar Belakang Masalah, Perumusan Masalah, Tujuan, Batasan Masalah, Sistematika Penulisan, Metode dan Teknik Penelitian

 Bab II Landasan Teori

Bab ini berisikan Teori-teori yang menjadi dasar bagi penulis dalam melakukan kerja praktek ini. Yaitu teori mengenai COBIT framework dan penjelasan mengenai proses proses yang akan diaudit.

 Bab III Analisis

Bab ini menjelaskan perancangan rencana audit dan proses evidence collection.

 Bab IV Hasil Tercapai

Bab ini akan menjelaskan mengenai proses evidence evaluation.

 Bab V Penutup (Kesimpulan dan Saran)

Bab ini berisikan kesimpulan dari seluruh hasil kerja praktek dan Saran bagi perusahaan berdasarkan hasil audit.

BAB V KESIMPULAN DAN SARAN

5.1 Kesimpulan

Dari hasil pengauditan yang dilakukan penulis di PT Indonesia Computer Square dan berdasarkan hasil temuan dan analisa data yang didapat maka dapat disimpulkan bahwa:

1. Dari keduabelas kontrol yang diambil untuk melakukan audit di PT Indonesia Computer Square yang sudah memenuhi kontrol COBIT framework adalah Application Security, User Account Management

sedangkan untuk kontrol yang lain penerapan dan prosesnya tersebut masih belum lengkap atau masih ada yang kurang. Seperti perusahaan tidak mengidentifikasi resiko kemungkinan kehilangan data atau pengubahan data oleh orang yang tidak berhak.

2. Penjagaan aset data yang dilakukan sudah baik yaitu setiap hari kerja dilakukan backup data penjualan yang disimpan di harddisk server dan CD. Penyimpanan di server dilakukan offsite agar dapat dibuat server baru dengan data yang ada untuk mencegah data hilang yang disebabkan server mati dan menggunakan shredder untuk membuang dokumen sensitif.

3. Banyak dari kegiatan perusahaan di IT tidak terdokumentasi dalam penjagaan aset seperti dalam hal report backup data dan perusahaan tidak mengidentifikasi resiko-resiko sehingga tidak mengetahui apakah keamanan yang dimiliki sekarang benar-benar melindungi informasi perusahaan.

Universitas Kristen Maranatha

60

5.2 Saran

1. Perusahaan sebaiknya dapat memberikan bukti dengan lebih lengkap, tidak hanya berupa bukti eletronik, tetapi berupa bukti dokumen fisik perusahaan.

2. Perusahaan sebaiknya memiliki dokumentasi terhadap penjagaan aset IT untuk meminimalisasi resiko-resiko yang kemungkinan terjadi yang dapat merugikan perusahaan.

3. Sebaiknya audit dilanjutkan oleh pihak perusahaan dengan orang yang ahli, sehingga dapat mengetahui bagaian-bagian mana yang harus diperbaiki dan dikembangkan.

DAFTAR PUSTAKA

Gandodiyoto,Sanyoto.(2007).Audit Sistem Informasi + Pendekatan COBIT.Jakarta:Mitra Wacana Media

Chemodz. (2008). Jenis Data. Retrieved November, 26, 2008. From http://one.indoskripsi.com/node/6495

Sasongko, Budi. (2007).Audit Sistem Informasi.Retrieved September, 9, 2007. From http://theakuntan.com/auditing/audit-sistem-informasi-at-a-glance/

Setiabudi.(2007).IT Audit Standard Tools/ Framework (bagian I). Retrieved Juni, 5, 2007. From http://www.setiabudi.name/archives/20

Tenjomaya, Putra. (2008). Pengertian Data, Informasi, dan Tek. Informasi. From

http://t3nj0m4y4.blogspot.com/2007/07/pengertian-data-informasi-dan-teknologi.html

Webber,Ron.(1999).Pengenalan audit sistem informasi.From http://repository.binus.ac.id/content/KA122/KA12297769.pdf

Webber,Ron.(1999).Tahapan Audit Sistem Informasi.From

http://digilib.petra.ac.id/viewer.php?page=2&submit.x=13&submit.y=21&submit=n ext&qual=high&submitval=next&fname=/jiunkpe/s1/eakt/2004/jiunkpe-ns-s1-2004-32499028-1197-hotel_majapahit-chapter2.pdf

2

1.3 Tujuan Pembahasan

Tujuan dilakukan pembahasan ini adalah :

Untuk mengetahui apakah PT.Indonesia Computer telah melakukan penjagaan aset (asset safeguarding) khususnya dalam hal data dengan baik dengan cara melakukan audit teknologi informasi.

1.4 Ruang Lingkup

 Audit yang dilakukan mengacu kepada COBIT Framework

 Sasaran kontrol (control objectives) yang harus dipenuhi sebagai acuan pengauditan adalah :

 Accuracy, Completeness and Authenticity Checks

Kontrol ini membahas mengenai bahwa data adalah akurat, lengkap dan valid menvalidasi data yang diinput, dan mengedit atau mengirim kembali untuk koreksi

 Application Security

Kontrol ini membahas mengenai menjaga keamanan aplikasi.

 Training

Kontrol ini membahas mengenai pelatihan staf dan kelompok IT sesuai dengan pelaksanaan rencana dan terkait bahan, sebagai bagian dari setiap sistem informasi  Performance and Capacity Planning

Kontrol ini membahas mengenai proses perencanaan untuk meninjau kinerja dan kapasitas sumber daya IT

 Exchange of Sensitive Data

Kontrol ini membahas mengenai pertukaran data transaksi sensitif melalui jalur yang terpercaya atau dengan kontrol untuk menyediakan konten keaslian, bukti penyerahan, dan bukti penerimaan

Universitas Kristen Maranatha  User Account Management

Kontrol ini membahas mengenai hak dan kewajiban berkaitan dengan akses ke sistem perusahaan dan informasi harus diatur dalam kontrak untuk semua jenis pengguna

 Business Requirements for Data Management

Kontrol ini membahas mengenai memverifikasi bahwa semua diharapkan untuk memproses data yang diterima dan diproses sepenuhnya, akurat dan pada waktu yang tepat, dan semua output disampaikan sesuai dengan kebutuhan bisnis.

 Storage and Retention Arrangements

Kontrol ini membahas mengenai mendefinisikan dan menerapkan prosedur yang efektif dan efisien untuk penyimpanan data.

 Disposal

Kontrol ini membahas mengenai mendefinisikan dan menerapkan prosedur untuk memastikan bahwa persyaratan bisnis untuk perlindungan data sensitif dan

software telah terpenuhi  Backup and Restoration

Kontrol ini membahas mengenai mendefinisikan dan menerapkan prosedur untuk backup dan pemulihan sistem, aplikasi, data dan dokumentasi

 Security Requirements for Data Management

Kontrol ini membahas mengenai menentukan dan melaksanakan kebijakan dan prosedur untuk mengidentifikasi dan menerapkan persyaratan keamanan yang berlaku untuk penerimaan, pengolahan, penyimpanan dan output data untuk memenuhi tujuan bisnis

4

 Sensitive Documents and Output Devices

Kontrol ini membahas mengenai menetapkan perlindungan fisik yang sesuai pengelolaan aset IT yang lebih sensitif

1.5 Sumber Data

 Sumber data diambil dari perusahaan yang bersangkutan, yang dalam hal ini PT Indonesia Computer Square

 Wawancara dengan staff dan pimpinan



Studi pustaka,buku ataupun internet

1.6 Sistematika Penyajian

 Bab I Pendahuluan

Bab ini berisikan Latar Belakang Masalah, Perumusan Masalah, Tujuan, Batasan Masalah, Sistematika Penulisan, Metode dan Teknik Penelitian

 Bab II Landasan Teori

Bab ini berisikan Teori-teori yang menjadi dasar bagi penulis dalam melakukan kerja praktek ini. Yaitu teori mengenai COBIT framework dan penjelasan mengenai proses proses yang akan diaudit.

 Bab III Analisis

Bab ini menjelaskan perancangan rencana audit dan proses

evidence collection.  Bab IV Hasil Tercapai

Bab ini akan menjelaskan mengenai proses evidence evaluation.

 Bab V Penutup (Kesimpulan dan Saran)

Bab ini berisikan kesimpulan dari seluruh hasil kerja praktek dan Saran bagi perusahaan berdasarkan hasil audit.

59

Universitas Kristen Maranatha

5.1 Kesimpulan

Dari hasil pengauditan yang dilakukan penulis di PT Indonesia Computer Square dan berdasarkan hasil temuan dan analisa data yang didapat maka dapat disimpulkan bahwa:

1. Dari keduabelas kontrol yang diambil untuk melakukan audit di PT Indonesia Computer Square yang sudah memenuhi kontrol COBIT framework adalah Application Security, User Account Management sedangkan untuk kontrol yang lain penerapan dan prosesnya tersebut masih belum lengkap atau masih ada yang kurang. Seperti perusahaan tidak mengidentifikasi resiko kemungkinan kehilangan data atau pengubahan data oleh orang yang tidak berhak.

2. Penjagaan aset data yang dilakukan sudah baik yaitu setiap hari kerja dilakukan backup data penjualan yang disimpan di harddisk server

dan CD. Penyimpanan di server dilakukan offsite agar dapat dibuat

server baru dengan data yang ada untuk mencegah data hilang yang disebabkan server mati dan menggunakan shredder untuk membuang dokumen sensitif.

3. Banyak dari kegiatan perusahaan di IT tidak terdokumentasi dalam penjagaan aset seperti dalam hal report backup data dan perusahaan tidak mengidentifikasi resiko-resiko sehingga tidak mengetahui apakah keamanan yang dimiliki sekarang benar-benar melindungi informasi perusahaan.

60

5.2 Saran

1. Perusahaan sebaiknya dapat memberikan bukti dengan lebih lengkap, tidak hanya berupa bukti eletronik, tetapi berupa bukti dokumen fisik perusahaan.

2. Perusahaan sebaiknya memiliki dokumentasi terhadap penjagaan aset IT untuk meminimalisasi resiko-resiko yang kemungkinan terjadi yang dapat merugikan perusahaan.

3. Sebaiknya audit dilanjutkan oleh pihak perusahaan dengan orang yang ahli, sehingga dapat mengetahui bagaian-bagian mana yang harus diperbaiki dan dikembangkan.

Universitas Kristen Maranatha xiii

Gandodiyoto,Sanyoto.(2007).Audit Sistem Informasi + Pendekatan COBIT.Jakarta:Mitra Wacana Media

Chemodz. (2008). Jenis Data. Retrieved November, 26, 2008. From http://one.indoskripsi.com/node/6495

Sasongko, Budi. (2007).Audit Sistem Informasi.Retrieved September, 9, 2007. From http://theakuntan.com/auditing/audit-sistem-informasi-at-a-glance/

Setiabudi.(2007).IT Audit Standard Tools/ Framework (bagian I). Retrieved Juni, 5, 2007. From http://www.setiabudi.name/archives/20

Tenjomaya, Putra. (2008). Pengertian Data, Informasi, dan Tek. Informasi. From

http://t3nj0m4y4.blogspot.com/2007/07/pengertian-data-informasi-dan-teknologi.html

Webber,Ron.(1999).Pengenalan audit sistem informasi.From http://repository.binus.ac.id/content/KA122/KA12297769.pdf

Webber,Ron.(1999).Tahapan Audit Sistem Informasi.From

http://digilib.petra.ac.id/viewer.php?page=2&submit.x=13&submit.y=21&submit=n ext&qual=high&submitval=next&fname=/jiunkpe/s1/eakt/2004/jiunkpe-ns-s1-2004-32499028-1197-hotel_majapahit-chapter2.pdf