COBIT

Pengertian COBIT

Control Objective for Information & Related Technology (COBIT) adalah sekumpulan dokumentasi best practice untuk IT Governance yang dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT (Sasongko, 2009).

COBIT mendukung tata kelola TI dengan menyediakan kerangka kerja untuk mengatur keselarasan TI dengan bisnis. Selain itu, kerangka kerja juga memastikan bahwa TI memungkinkan bisnis, memaksimalkan keuntungan, resiko TI dikelola secara tepat, dan sumber daya TI digunakan secara bertanggung jawab (Tanuwijaya dan Sarno, 2010).

COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara dibangun chapter yang dapat mengelola para profesional tersebut.

Monitoring and Evaluation.

Domain ini berfokus pada masalah kendali-kendali yang diterapkan dalam organisasi, pemeriksaan intern dan ekstern dan jaminan independent dari proses pemeriksaan yang dilakukan.

Domain ini meliputi:

·           ME1 – Mengawasi dan mengevaluasi performansi TI.

·           ME2 – Mengevaluasi dan mengawasi kontrol internal

·           ME3 – Menjamin kesesuaian dengan kebutuhan eksternal.

·           ME4 – Menyediakan IT Governance.

ANALISIS MONITORING DAN EVALUASI KINERJA TEKNOLOGI INFORMASI (ME1) MENGGUNAKAN FRAMEWORK COBIT 4.1 PADA PT. BANK RAKYAT INDONESIA (Persero) Tbk KANTOR WILAYAH KOTA SEMARANG

Teknologi informasi merupakan aset yang sangat berharga dalam suatu perusahaan, dimana peranan teknologi informasi (TI) mampu mengubah pola pekerjaan, kinerja karyawan bahkan sistem manajemen yang berlangsung dalam mengelola sebuah organisasi. Perkembangan teknologi informasi juga telah banyak dimanfaatkan dalam bidang perbankan untuk memfasilitasi para nasabah dalam melakukan transaksi perbankan. Pemanfaatan secara nyata teknologi informasi tersebut dilakukan dalam kegiatan transaksi yang menggunakan media elektronik. Seperti penggunaan teknologi pada layanan Electronic Data Capture (EDC), Internet Banking (EBanking), Mobile Banking (MBanking), serta Automatic Teller Machine (ATM). Fasilitas yang memanfaatkan teknologi informasi pada bidang perbankan berhubungan dengan pengelolaan teknologi informasi perbankan. Pada contoh pemanfaatan yang demikian teknologi informasi memiliki peranan penting menggantikan peran manusia secara otomatis terhadap suatu siklus sistem mulai dari input, proses dan output didalam melaksanakan aktivitas pekerjaan serta telah menjadi fasilitator utama bagi kegiatan  kegiatan bisnis yang memberikan andil besar terhadap perkembangan dunia perbankan.

Pemanfaatan teknologi informasi dalam kegiatan operasional perbankan tentu memiliki resiko-resiko yang dihadapi. Berbagai resiko tentang fenomena yang sering terjadi dalam penerapan pemanfaatan teknologi informasi di dunia perbankan, baik berupa murni tindakan kejahatan maupun kesalahan yang disebabkan pihak internal antara lain sebagai berikut: adanya perusakan jaringan komputer yang dilakukan pihak luar maupun dalam sehingga menyebabkan errornya sistem pelayanan seperti gangguan e-banking, atm error, gangguan layanan transfer, sampai kejahatan ATM. Juga adanya kesalahan dari sistem yang berjalan didalam proses bisnis seperti halnya maintenance dalam sebuah sistem informasi maupun kesalahan dari user dalam melakukan proses penginputan disebabkan karena sistim yang rumit atau kurang adanya pelatihan secara khusus guna mendukung upaya peningkatan monitoring dan evaluasi terhadap sistem. Selain itu juga ada permasalahan lainya yang timbul mengingat banyaknya kantor cabang, koordinasi yang belum berjalan dengan baik dari kantor pusat hingga unit terkecil, dan beragamnya produk BRI tentu membutuhkan sistem/teknologi informasi pengelolaan dan pengawasan yang baik agar tidak terjadi penyimpangan dalam menjalankan bisnis. Banyaknya kantor cabang tersebut dapat mempersulit BRI untuk mengetahui kondisi perusahaan secara keseluruhan. Demikian halnya dengan masalah perkembangan produk yang ada dalam tiap kantor cabangnya

Dari beberapa resiko-resiko yang dijabarkan diatas perlu adanya tata kelola yang mengacu pada framework COBIT 4.1 domain monitoring dan evaluasi kinerja TI (ME1). Karena dengan adanya penerapan domain tersebut maka tata kelola TI terhadap sistem informasi yang berjalan di Bank BRI akan senantiasa diawasi dan dievaluasi kinerja TI dalam bank untuk meminimalisasi resiko-resiko keajahatan dan permasalahan yang timbul terkait pemanfaatan sarana komputer, telekomunikasi dan sarana elektronik lainnya yang digunakan dalam pengolahan dan pelayanan jasa perbankan. Tanpa adanya penerapan  domain monitoring dan evaluasi kinerja TI (ME1) dalam tata kelola teknologi informasi pada bisnis perbankan maka dapat menyebabkan terjadinya risiko kegagalan layanan, sistem error, serta penghamburan investasi TI.

Tata Kelola Teknologi Informasi

Tata Kelola Teknologi Informasi Tata kelola teknologi informasi memiliki definisi inklusif yang mencakup sistem informasi (SI), teknologi dan komunikasi, bisnis, dan hukum serta isu-isu lain yang melibatkan seluruh pemangku kepentingan, baik direktur, manajemen eksekutif, pemilik proses, supplier, pengguna TI bahkan pengguna audit SI/TI. Pembentukan dan penyusunan tata kelola tersebut merupakan tanggung jawab dari jajaran direksi dan manajemen[7]

 Adapun area yang menjadi area faokus dalam proses pengelolaan tata kelola

teknologi informasi, dibedakan menjadi lima area utama [6]:

1. Penyelarasan strategi (Strategic aligment): Proses-proses penyelarasan strategi meliputi perencanaan strategis teknologi informasi, perencanaan operasional teknologi informasi, serta analisis stakeholder yang meliputi hal layanan (kebutuhan sekarang dan yang akan datang), harapan unjuk kerja dan kepuasan serta resiko. Sedangkan fokus pada keselarasan antara rencana bisnis dan rencana TI.

 2. Penyampaian nilai (Value Delivery): Pada penyampaian nilai, ditekankan bahwa nilai yang diberikan oleh bisnis, dan diukur dengan secara transparan dapat menunjukan dampak dan kontribusi investasi teknologi informasi dalam proses pembentukan nilai dalam perusahaan. Prinsip utama dari nilai teknologi informasi adalah penyerahan tepat waktu, sesuai anggaran, dan memberikan manfaat seperti yang telah diperhitungkan. Dengan demikian, proses-proses teknologi informasi harus dirancang, diterapkan, dan dioperasikan secara efisien. Fokus area ini adalah pada pengoptimalan dan pembuktian akan nilai TI.

3. Manajemen sumber daya (Resource Manajemen): manajemen resiko memfokuskan pada proses-proses untuk memelihaa nilai. Untuk itu manajemen resiko harus menjadi proses yang berkelanjutan yang dimulai dengan mengidentifikasikan resiko (damapak pada asset, ancaman dan kemudahan diserang), dan dilanjutkan dengan mitigasi resiko dengan menerapkan kontrolkontrol, investasi yang optimal, manajemen yang baik untuk sumber daya aplikasi, informasi, infrastruktur dan manusia.

4. Manajemen Resiko (Risk Management): berbeicara mengenai membangung dan menerapkan kapabilitas teknologi informasi yang sesuai bagi kebutuhan bisnis. Dengan manajemen sumber daya yang baik, tersedia infrastruktur teknologi informasi yang terintegrasi dan ekonomis, teknologi baru diperlukan sesuai kebutuhan bisnis, dan sistem yang using diperbarui atau digantikan. Disini, pentinganya sumber daya manusia dapat dikenali, memungkinkan perusahaan mendapatkan keuntungan dari pengetahuan dan keahlian secara internal maupun eksternal.

5. Pengukuran Kinerja (Performance Measurement): tanpa adanya ukuran-ukuran unjuk kerja yang dibuat dan dimonitor, area fokus lainya sulit untuk mencapai hasil yang diharapkan. Fase pengukuran unjuk kerja meliputi aktivitas audit dan penilaian, serta pengukuran unjuk kerja yang berkelanjutan. Hal ini, menjadi penghubung bagi fase penyelarasan dengan menyediakan bukti bahwa arahan yang ditetapkan telah diikuti. Pada fokus area ini, umum digunakan IT balance scorecard. Menelusiri dan memonitor implementasi strategi, penyebab penggunaan resource, kinerja proses dan service delivery menggunakan, misalnya balance scorecard.

Maturity Model

Maturity model merupakan model yang digunakan untuk mengukur tingkat kematangan (maturit level) pengelolaan teknologi informasi dalam suatu organisasi. maturity model terdiri dari lima tingkat kematangan pengeloaan TI, meliputi : tingkat 0 (non-existent), tingkat 1 (Initial/ad hoc), tingkat 2 (repeatable but intuitive),  tingkat 3 (defined process), tingkat 4 (managed and measurable) dan tingkat 5 (optimised). Semakin tinggi maturity level akan semakin baik proses pengelolaan teknologi informasi, yang berarti semakin dapat diandalkan dukungan teknologi informasi dalam proses pencapaian tujuan organisasi. Maturity model dibuat berdsarkan generic qualitative model dimana prinsip dari atribut sebagai berikut [6]:

1. Kepedulian dan komunikasi (Awarness and communication).

2. Kebijakan, Standar, dan Prosedur (Policies, standards, and procedure).

3. Perangkat bantu dan otomatisasi (Tools and automation).

4. Keterampilan dan keahlian (Skills and experites).

5. Pertanggungjawaban internal dan eksternal (Responsibility and accountability).

6. Penetapan tujuan, pengkuran, dan Tanggungjawab (Goal, setting, and measurement)

 

                                      Gambar 2.4 Model Tingkat Kematangan COBIT 4.1

 Keterangan masing-masing level tingkat kematangan :

1. 0-Non-Existent (Tidak ada) Pengelolaan teknologi informasi masih dalam tahap paling awal. Proses manajemen tidak ada sama sekali. Perusahaan belum mengetahui tentang pengelolaan TI

 2. 1-Initial/Ad Hoc (Permulaan) Perusahaan telah menyadari perlunya pengelolaan TI, tetapi belum ada proses standar yang harus dilakukan. Penyelesaian masalah dilakukan secara individu atau berdasarkan kasus-kasus yang muncul. Sudah mulai ada penyusunan sistem komputerisasi yang lebih terarah. Pengelolaan tidak terorganisir

3. 2-Repeatable but Intuitive (Pengulangan) Proses pengelolaan TI sudah dikembangkan Manajemen telah memiliki pola untuk melakukan proses pengelolaan berdasarkan pengalaman berulang yang pernah dilakukan sebelumnya. Prosedur belum terstandarisasi dan tanggung jawab proses tata kelola diserahkan kepada individu masing-masing. Prosedur yang tidak terstandarisasi dan tidak dikomunikasikan serta keterbatasan staf ahli menyebabkan masih terjadi penyimpangan. Tidak tersedia pelatihan formal

4. 3-Defined Process (Terdefinisi) Perusahaan telah menyadari dan mengetahui akan kebutuhan pengelolaan TI. Prosedur TI telah distandarisasi, didokumentasikan dan dikomunikasikan melalui pelatihan. Prosedur belum sempurna.Pada tahap ini manajemen telah berhasil menciptakan dan mengkomunikasikan standar baku pengelolaan proses terkait walaupun belum dilakukan secara terintegrasi.

5. 4-Manage and Measurable (Dikelola) Perusahaan telah memahami pengelolaan TI di seluruh bagian. Pada tahap ini proses standar telah diterapkan secara formal dan terintegrasi. Manajemen mengawasi dan mengukur kinerja TI dengan prosedur, serta mengambil tindakan ketika proses tidak berjalan dengan efektif

6. 5-Optimised (Optimal) Proses dalam perusahaan telah disesuaikan dengan best practice, praktek terbaik berdasarkan hasil pengembangan secara terus-menerus dengan perusahaan lain. Teknologi informasi digunakan sebagai cara terintegrasi untuk mengotomatisasi alur kerja, penyediaan alat untuk meningkatkan kualitas dan efektifitas serta membuat perusahaan beradaptasi. Pengelolaan TI dengan cepat serta mendukung kebutuhan secara menyeluruh.

Metode penelitian 

Metode penelitian dalam peneleitian ini diperlukan sebagai panduan dalam proses pengerjaan proyek tugas akhir agar tahapan dalam pengerjaan dapat berjalan terarah dan sistematis. Metode yang akan digunakan dalam penelitian ini mengacu pada metode standar COBIT yang digunakan untuk mengelola proses tata kelola TI yang terdiri dari beberapa tahap antara laim: tinjauan kepustakaan, pengumpulan data, penelolaan dan analisis data, perancangan solusi dan kesimpulan.

Pengumpulan Data

Untuk pengumpulan data, sumber data adalah karyawan Bank BRI dalam penelitian ini teknik pengumpulan datanya dengan melakukan survey menggunakan kuesioner dan melakukan wawancara serta mempelajari dokumen terkait.

Wawancara

Wawancara dilakukan kepada 3 orang yaitu pada 1 kepala bagian divisi TSI, 1 staf/karyawan divisi TSI, dan 1 SPV Echanel Bank BRI untuk mendapatkan gambaran, dan mengetahui bagaimana tata kelola dilakukan selama ini secara detail.

Kuisioner Maturity Model

Kuisioner ini diberikan pada bagian Operasional Jaringan & layanan (OJL) yaitu pada sub divisi TSI, teknisi, AMK, jaringan, layanan, dan E-chanel, diperoleh sebaran kuisioner kepada responden dengan memperhitungkan berdasarkan jabatan, departemen, dan sebaran jawaban responden. Fungsi kuisioner ini digunakan untuk menilai dan mengukur tingkat kematangan TI pada Bank BRI baik untuk kondisi saat ini (as-is) maupun kondisi yang diharapkan (to-be). Kuisioner terdiri dari 2 pertanyaan yaitu: 

- Pertanyaan 1 untuk mengetahui kondisi yang saat ini (as is)

- Pertanyaan 2 untuk mengetahui tingkat kematangan yang diharapkan (to be) Penilaian tingkat kematangan dilakukan dengan memperhitungkan 6 atribut kematangan.

Analisis Data

Adapun dalam proses g analisis data pada penelitian ini ada beberapa cara, sebagai berikut:

a. Dalam mendapat gambaran mengenai tata kelola TI saat ini, proses analisa akan dilakukan dengan cara menyusun formula hasil-hasil yang didapatkan melalui kuisioner.

b. Dalam analisis tingkat kematangan (maturity level) akan dilakukan metode pembandingan tingkat kematangan kondisi saat ini dan tingkat kematangan yang diharapkan yaitu minimal pada level 3 standar tingkat kematangan ratarata pada industry.

c. Hasil kesenjangan yang didapatkan kondisi saat ini dengan kondisi yang diharapkan akan dijadikan indikator didalam membuat rekomendasi perbaikan tata kelola TI.

Perhitungan Kematangan

Untuk melakukan analisis data kuisioner, pengelolaanya menggunakan

progam SPSS versi 16. Perhitungan tingkat kematangan dilakukan dengan mempertimbangkan nilai enam atribut kematangan COBIT 4.1. Indeks kematangan untuk setiap atribut diperoleh dari perhitungan total bobot pilihan jawaban kuisioner dibagi dengan total responden. Penilaian yang diperoleh dari hasil kuisioner digunakan rumus sebagai berikut: Bobot untuk setiap pilihan jawaban dapat dilihat pada table 3.1.

Hasil Perhitungan ME1 Untuk menentukan tingkat kematangan pada sub domain monitoring dan evaluasi kinerja TI (ME1) dilakukan beberapa perhitungan dari hasil jawaban kuisioner yang telah disebar dan diisi oleh para responden. Pertama kali dilakukan adalah menentukan bobot dari masing-masing jawaban yang telah ditentukan yaitu jawaban A bernilai 0, jawaban B bernilai 1, jawaban C bernilai 2, jawaban D benilai 3, jawaban E benilai 4, dan terakhir jawaban F benilai 5. Setelah dilakukan perhitungan nilai bobot dari masing-masing jawaban, maka proses selanjutnya adalah menghitung nilai kematangan kondisi saat ini (as is) pada sub domain monitoring dan evaluasi kinerja TI pada Bank BRI Kanwil Kota Semarang. Hasil perhitungan dari penjumlahan bobot tiap jawaban kemudian dibagi dengan jumlah responden.

Tingkat kematangan saat ini (as is) dan yang diharapkan (to be) pada proses monitoring and evaluation IT performance (ME1) dapat dipresentasikan dengan spider chart pada gambar sebagai berikut:

Analisa Kesenjangan 

Dari hasil perhitungan maturity level pada proses monitoring and evaluation IT performance kondisi saat ini (as is) didapatkan masih berada pada level 3 dan kondisi yang diharapkan (to be) berada pada level 4 artinya terkelola dan terukur dengan baik. Mengingat Bank BRI merupakan salah satu bank yang terkemuka di perbankan Indonesia, namun masih terdapat kesenjangan (GAP).Kesenjangan tingkat kematangan yakni satu tingkat pada masing-masing atribut kematangan AC, PSP, TA, SE, RA, dan GSM. Semua atribut merujuk pada tingkat 5, seperti ditunjukan pada gambar diagram rising star sebagai berikut.

Rekomendasi pencapaian level 4 Pada analisa kesenjangan, semua atribut kematangan memerlukan langkahlangkah atau rekomendasi untuk mencapai tingkat 4. Beberapa rekomendasi yang diusulkan dalam proses monitoring and evaluation IT performance (ME1) untuk mencapai tingkat kematangan 4, yaitu :

1. Manajemen Bank BRI harus menetapkan toleransi akan kesadaran diamana proses monitoring dan evaluasi kinerja TI itu sangat penting harus beroperasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencapai solusi bersama atas permasalahan yang timbul dalam kinerja teknologi informasi.

2. Adanya prosedur yang jelas untuk proses monitoring dan evaluasi kinerja TI seperti adanya prosedur pendekatan pemantauan, dewan pelaporan eksekutif, dan prosedur aksi perbaikan yang sudah ada termasuk dalam status laporan sejauh mana direncanakan dan sejauh mana tujuan telah dicapai

3. Adanya Tools yang harus terintegrasi disemua proyek pemantauan dan evaluasi, adanya alat yang terintegrasi secara otomatis/software tools yang berpengaruh terhadap tujuan luas organisasi untuk mengumpulkan dan memantau informasi operasional aplikasi, sistem, dan proses pemantauan dan evaluasi TI

4. Progam pendidikan dan pelatihan formal terhadap monitoring dan evaluasi kinerja TI harus di tingkatkan dan dilakukan dengan baik. Adanya pelatihan formal terhadap staff bagian TSI terkait manajemen pemantauan dan evaluasi kinerja TI secara rutin dan berkala yang terencana sesuai jadwal kepada staff TSI.

5. Peran dan tanggung jawab manajemen pemantauan dan evaluasi kinerja TI didefinisikan secara jelas. Ditetapkan dan dikomunikasikan kedalam organisasi.

6. Penetapan penggunaan IT balance scorecard untuk proses pemantauan dan evaluasi kinerja TI dilakukan secara konsisten pada perusahaan. Proses monitoring dan evaluasi kinerja TI secara berkala dan terjadwal yang dilakukan oleh auditor TI

Kesimpulan

Berdasarakan dari hasil pembahasan pada bab-bab sebelumnya mengenai analisa maturity level domain monitoring dan evaluasi kinerja TI (ME1) pada Bank BRI Kantor Wilayah Kota Semarang, maka kesimpulan yang bisa diambil dari penelitian ini adalah sebagai berikut:

1. Bank Rakyat Indonesia telah melaksanakan pengawasan dan evaluasi terhadap teknologi informasi yang sesuai dengan framework COBIT 4.1.

2. Ditinjau dari framework COBIT 4.1, Hasil pengukuran berdasarkan analisa kuisioner Bank BRI Kantor Wilayah Kota Semarang menunjukan bahwa tingkat kematangan saat ini (as is) ada pada level 3 (Defined) yang artinya Bank BRI telah menerapkan teknologi informasi TI terkait pelaksanaan monitoring dan evaluasi kinerja TI , Prosedur TI telah distandarisasi, didokumentsi dan dikomunikasikan melalui pelatihan. Namun prosedur belum sempurna. Pada tahap ini manajemen telah berhasil menciptakan dan mengkomunikasikan standar baku pengelolaan proses terkait monitoring dan evaluasi kinerja TI walaupun belum dilakukan secara terintegrasi ke seluruh kantor-kantor cabang. Tingkat kematangan yang diharapkan berada pada level 4 terkelola dan terukur (managed) yang artinya Perusahaan telah memahami pengelolaan TI diseluruh bagian. Pada tahap ini proses standar telah diterapkan secara formal dan terintegrasi. Manajemen mengawasi dan mengukur kinerja TI dengan prosedur, serta mengambil tindakan ketika proses tidak berjalan dengan efektif. 

3. Setelah dilakukan analisis terhadap tingkat kematangan, terjadi kesenjangan, Oleh karena itu, dilakukan analisis kesenjangan (GAP) yang terjadi. Dalam penelitian ini terjadi kesenjangan dari pencapaian level 3 menuju level 4. Dimana strategi yang diperlukan untuk mencapai level 4 dipetakan kedalam atribut tingkat kematanga masing-masing yaitu AC, PSP, TA, SE, RA, GSM. Rekomendasi strategi perbaikan yang perlu dilakukan untuk mengatasi kesenjangan, perlu dilakukan peningkatan pada aspek-aspek atribut tingkat kematangan AC, PSP, TA, SE, RA, GSM, sesuai standar yang ditetapkan COBIT 4.1

DAFTAR PUSTAKA

 [1] Devi, Yudho Giri. (2012), Audit Sistem Informasi / Teknologi Informasi Dengan Kerangka Kerja Cobit Untuk Evaluasi Manajemen Teknologi Informasi Di Universitas XYZ, Universitas Mercu Buana, Depok

[2] Gondodiyoto, Sanyoto dan Hendarti, Henny. (2006), Audit Sistim Informasi. Mitra Wacana Media, Jakarta 

[3] Gultom, Manorang. (2012), Audit Tata Kelola Teknologi Informasi Pada PT PN 13 Pontianak Menggunakan Framework COBIT, AMIK Panca Bhakti, Pontianak

[4] Hendriani, Ade, Jajuli, M , Siwi, Kun T .(2012), Pengukuran Kinerja Sistem Informasi Akademik Dengan Menggunakan Kerangka Kerja COBIT 4.1 Pada Domain Plan And Organise Di Universitas Singaperbangsa Karawang, Universitas Singaperbangsa Karawang, Bekasi.

[5] IT Governance Institute. (2000), “COBIT Third Edition Audit Guidelines”, IT Governance Institute.

[6] IT Govenance Institute. (2007), “COBIT Control Practices : Guidance to achieve Control Objectives For Successfull IT Governance Second Edition”, IT Govenance Institute.

[7] Sarno, Riyanarto, 2009, Audit Sistem Informasi/Teknologi Informasi, Surabaya: ITS Press [8] Susanto, Erdi. (2013), Analisa Pengelolaan Service desk dan Insiden TI dan Komunikasi (DS8) Universitas Dian Nuswantoro Semarang Berdasarkan Framework COBIT4.1, Universitas Dian Nuswantoro, Semarang.  

[9] Supradono, Bambang. (2011), Tingkatan Kematangan Tata Kelola Teknologi  Iformasi (IT Governance) Pada Layanan Dan Dukungan Teknologi Informasi (Kasus : Perguruan Tinggi Swasta Di Kota Semarang)”, Jurnar Seminar Nasional Teknologi Informasi Dan Komunikasi Terapan 2011. Semarang  

[10] Surendro, Kridianto.(2009), Implementasi Tata Kelola Teknologi Informasi. Penerbit Informatika. Bandung.  

[11] Weber, Ron.(1999), Information Systems Control and Audit, The University of Queensland, Prentice Hall. [12] Wiani Sinarsari, Noviani Ayu. (2011), IT Governance Pada Domain Deliver and Support (DS) Perbankan Dengan Menggunakan Maturity Model COBIT 4.1 (Studi Kasus pada Perbankan Wilayah Kota Semarang)”, Jurnal Seminar Nasional Ilmu Ekonomi Terapan 2011.Bekasi.

https://haendra.wordpress.com/2012/06/08/pengertian-cobit/

Audit Sistem Informasi

Audit Sistem Informasi

Pengertian Audit Sistem Informasi

Audit Sistem Informasi (Informatin System Audit) atau EDP Audit (Electronic Data Processing Audit) atau computer audit  adalah proses pengumpulan data dan pengevaluasian bukti-bukti untuk menentukan apakah suatu sistem aplikasi komputerisasi telah menetapkan dan menerapkan sistem pengendalian internal yang memadai, semua aktiva dilindungi dengan baik atau disalahgunakan serta terjaminnya integritas data, keandalan serta efektifitas dan efesiensi penyelenggaraan sistem informasi berbasis komputer (Ron Weber 1999:10).

Makin Perlunya Audit TI

Audit TI sangat diperlukan karena akuntan yang melakukan audit laporan keuangan harus memahami dan menguji sistem dan pengendalian internnya, dan dalam rangka memeriksa data akuntansi (substantine test). Selain alasan tersebut, audit TI makin diperlukan sehubungan dengan resiko yang semakin tinggi di bidang sistem berbasis teknologi informasi, yaitu antara lain:

·         Resiko penggunaan teknologi secara tidak layak (tidak tepat)

·         Kesalahan berantai atau pengulangan kesalahan secara cepat konsistem pada sistem berbasis komputer

·         Logika pengolahan  salah (dapat menyebabkan kesalahan-kesalahan serius).

·         Ketidakmampuan menterjemahkan kebutuhan (sistem tidak sesuai).

·         Konsentrasi tanggungjawab, antara lain konsentrasi data pada satu lokasi atau orang-orang TI (khususnya database administrator).

·         Kerusakan sistem komunikasi yang dapat berakibat pada proses atau data.

·         Data input atau informasi bisa saja tidak akurat, kurang mutakhir, palsu.

·         Ketidakmampuan mengendalikan teknologi.

·         Praktek pengamanan sistem informasi yang tidak efektif, kurang memadai atau bahkan mungkin tidak direncanakan dengan baik.

·         Penyalahgunaan atau kesalahan pengoperasian atau penggunaan data.

·         Akses sistem yang tidak terkendali.

Jenis-jenis Audit Sistem Informasi

Audit sistem informasi dapat digolongkan dalam tipe atau jenis-jenis audit sebagai berikut.

a. Audit Laporan Keuangan (Financial Statement Audit)

Adalah audit yang dilakukan untuk mengetahui tingkat kewajaran laporan keuangan yang disajikan oleh perusahaan (apakah sesuai dengan standar akuntansi keuangan serta tidak menyalahi uji materialitas). Apabila sistem akuntansi organisasi yang diaudit merupakan sistem akuntansi berbasis komputer, maka dilakukan audit terhadap sistem informasi akuntansi apakah proses/mekanisme sistem dan program komputer telah sesuai, pengendalian umum sistem memadai dan data telah substantif.

b. Audit Operasional (Operational Audit)

Audit terhadap aplikasi komputer terbagi menjadi tiga jenis, antara lain:

1.                  Post implementation Audit (Audit setelah implementasi)
Auditor memeriksa apakah sistem-sistem aplikasi komputer yang telah diimplementasikan pada suatu organisasi/perusahaan telah sesuai dengan kebutuhan penggunanya (efektif) dan telah dijalankan dengan sumber daya optimal (efisien). Auditor mengevaluasi apakah sistem aplikasi tertentu dapat terus dilanjutkan karena sudah berjalan baik dan sesuai dengan kebutuhan usernya atau perlu dimodifikasi dan bahkan perlu dihentikan.
Pelaksanaan audit ini dilakukan oleh auditor dengan menerapkan pengalamannya dalam pengembangan sistem aplikasi, sehingga auditor dapat mengevaluasi apakah sistem yang sudah diimplementasikan perlu dimutakhirkan atau diperbaiki atau bahkan dihentikan apabila sudah tidak sesuai kebutuhan atau mengandung kesalahan.

2.                  Concurrent audit (audit secara bersama)
Auditor menjadi anggota dalam tim pengembangan sistem (system development team). Mereka membantu tim untuk meningkatkan kualitas pengembangan sistem yang dibangun oleh para sistem analis, designer dan programmer dan akan diimplementasikan. Dalam hal ini auditor mewakili pimpinan proyek dan manajemen sebagai quality assurance.

3.                  Concurrent Audits (audit secara bersama-sama)
Auditor mengevaluasi kinerja unit fngsional atau fungsi sistem informasi (pusat/instalasi komputer) apakah telah dikelola dengan baik, apakah kontrol dalam pengembangan sistem secara keseluruhan sudah dilakukan dengan baik, apakah sistem komputer telah dikelola dan dioperasikan dengan baik.
Dalam mengaudit sistem komputerisasi yang ada, audit ini dilakukan dengan mengevaluasi pengendalian umum dari sistem-sistem komputerisasi yang sudah diimplementasikan pada perusahaan tersebut secara keseluruhan.
Saat melakuan pengujian-pengujian digunakan bukti untuk menarik kesimpulan dan memberikan rekomendasi kepada manajemen tentang hal-hal yang berhubungan dengan efektifitas, efisiensi, dan ekonomisnya sistem.

C. Audit Arround the Computer

Dalam pendekatan audit di sekitar komputer, auditor (dalam hal ini harus akuntan yang registered, dan bersertifikasi akuntan publik) dapat mengambil kesimpulan dan merumuskan opini dengan hanya menelaah struktur pengendalian dan melaksanakan pengujian transaksi dan prosedur verifikasi saldo perkiraan dengan cara sama seperti pada sistem akuntansi manual.

Kunci pendekatan audit ini ialah pada penelusuran transaksi terpilih mulai dari dokumen sumber sampai ke bagan-perkiraan (akun) dan laporannya. Keunggulan metode audit di sekitar komputer adalah:

·   Pelaksanaan audit lebih sederhana.

·  Auditor yang memiliki pengetahuan minimal di bidang komputer dapat dilatih dengan mudah untuk melaksanakan audit.

Kelemahannya adalah jika kondisi (user requirements) berubah, mungkin sistem itupun perlu diredesain dan perlu penyesuaian (update) program-program, bahkan mungkin struktur data/file, sehingga auditor perlu menilai/menelaah ulang apakah sistem masih berjalan dengan baik.

D. Audit Through the Computer

Dalam pendekatan audit ke sistem komputer (audit through the computer) auditor melakukan pemeriksaan langsung terhadap program-program dan file-file komputer pada audit SI berbasis TI. Auditor menggunakan komputer (software) atau dengan cek logika atau listing program (desk test on logic or programs source code) untuk menguji logika program dalam rangka prngujian pengendalianyang ada pada komputer. Selain itu auditor juga dapat meminta penjelasan dari para teknisi komputer mengenai spefikasi sistem dan/atau program yang diaudit.

Keunggulan pendekatan audit dengan pemeriksaan sistem komputerisasi, ialah:

(a)  Auditor memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian  terhadap sistem komputer.

(b)  Auditor akan merasa lebih yakin terhadap kebenaran hasil kerjanya.

(c)  Auditor dapat menilai kemampuan sistem komputer tersebut untuk menghadapi perubahan lingkungan.

Sebetulnya mungkin tidak dapat dikatakan sebagai suatu kelemahan dalam pendekatan audit ini, namun jelas bahwa audit through the computer memerlukan tenaga ahli auditor yang terampil dalam pengetahuan teknologi informasi dan mungkin perlu biaya yang besar pula.

E. Audit with the Computer

Audit dengan komputer untuk kegiatan pendukung dan administrasi paling sering digunakan, bahkan meskipun sistem klien yang diaudit telah berbasis komputer. Selain untuk kegiatan administratif, penyusunan program audit dan kuesioner serta pencatatan-pencatatan dan pelaporan hasil audit, komputer biasanya juga digunakan oleh auditor atau pegawai perusahaan klien untuk melakukan analisis atau pengikgtisaran, pembuatan grafik dan tabel-tabel tentang hasil audit, sertapemaparan atau presentasi hasil audit (misalnya dengan Microsoft Word, PowerPoint, dan Excel).

Tujuan Audit Sistem Informasi

Tujuan audit sistem informasi menurut Ron Weber (1999:11-13) secara garis besar terbagi menjadi empat tahap, yaitu:

a. Pengamanan Aset

Aset informasi suatu perusahaan seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia, file data harus dijaga oleh suatu sistem pengendalian intern yang baik agar tidak terjadi penyalahgunaan aset perusahaan. Dengan demikian sistem pengamanan aset merupakan suatu hal yang sangat penting yang harus dipenuhi oleh perusahaan.

b. Menjaga integritas data

Integritas data (data integrity) adalah salah satu konsep dasar sistem inforamasi. Data memeiliki atribut-atribut tertentu seperti: kelengkapan, keberanaran, dan keakuratan. Jika integritas data tidak terpalihara, maka suatu perusahaan tidak akan lagi memilki hasil atau laporan yang beanr bahkan perusahaan dapat menderita kerugian

c. Efektifitas Sistem

Efektifitas sistem informasi perusahaan melikiki peranan pentigndalam proses pemgambilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi tersebut telah sesuai dengan kebutuhan user

d. Efisiensi Sistem

Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi memilki kapasitas yang memadai atau harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya informasi yang minimal.

e. Ekonomis

Ekonomis mencerminkan kalkulasi untuk rugi ekonomi (cost/benefit) yang lebih bersifat kuantifikasi nilai moneter (uang). Efisiensi berarti sumber daya minimum untuk mencapai hasil maksimal. Sedangkan ekonomis lebih bersifat pertimbangan ekonomi.

Perlunya kontrol dan audit

Faktor-faktor yang mendorong pentingnya kontrol dan audit SI adalah antara lain untuk:

a)    Mendeteksi agar komputer tidak dikelola secara kurang terarah

b)    Mendeteksi resiko pengambilan keputusan yang salah akibat informasi hasil proses system komputerisasi salah/lambat/tidak lengkap

c)    Menjaga aset perusahaan karena nilai hardware, software dan dan personil lazimnya tinggi

d)    Mendeteksi resiko error komputer

e)    Mendeteksi resiko penyalahgunaan komputer (fraud)

f)     Menjaga kerahasiaan

g)    Meningkatkan pengendalian evolusi penggunaan komputer

Tahapan Audit

a)    Subjek Audit

       Tentukan/identifkasi unit/lokasi yang diaudit

b)    Sasaran audit

       Tentukan sistem secra spesifik, fungsi atau unit orgainisasi yang akan diperiksa

c)    Jangkauan audit

       Identifikasi sistem secara spesifik, fungsi atau unit organisasi untuk dimasukkan lingkup  pemeriksaan.

d)    Rencana pre-audit

       1.    Identifikasi kebutuhan keahlian teknik dan sumber daya yang diperlukan untuk audit

       2.    Identifikasi sumber bukti untuk tes atau review seperti fungsi flowchart, kebijakan,   standard prosedur dan kertas kerja audit sebelumnya.

e)    Prosedur audit dan langka-langkah pengumpulann bukti audit

        1.   Identifikasi dan pilih pendekatan audit untuk memeriksa dan menguji pengendalian intern

       2.    Identifikasi daftar individu untuk interview

       3.    Identifikasi dan menghasilkan kebijakan yang berhubungan dengan bagian, standar dan pedoman untuk interview

       4.    Mengembangakn instrumen audit dan metodologi pengujian dan pemeriksaan kontrol internal

f)     Prosedur untuk evaluasi

       1.    Organisasikan sesuai kondisi dan situasi

       2.    Identifikasi prosedur evaluasi atas tes efektifitas dan efisiensi sistem, evaluasi kekuatan dari dokumen, kebijakan dan prosedur yang diaudit

g)    Laporan hasil audit

       Siapkan laporan yang objektif, konsteuktif (bersifat membangun) dan menampung penjelasan audit.

Daftar Pustaka

·                     Ikatan Akuntan Publik. 2001. Standar Profesional Akuntan Publik. Salemba Empat:Jakarta.

·                     Ron Weber .1999. Information System Control and Audit. Prentice-Hall, Inc: New Jersey.

·                     http://www.kajianpustaka.com/2014/02/audit-sistem-informasi.html

·                     http://fitharikhadir.blogspot.com/2016/01/audit-sistem-informasi-dan-prosedur.html