DIREKTORAT KEUANGAN PELABUHAN INDONESIA III
TUGAS AKHIR
Nama
: Dian Arisanti
NIM
: 09.41010.0233
Program : S1 (Strata Satu)
Jurusan
: Sistem Informasi
SEKOLAH TINGGI
MANAJEMEN INFORMATIKA & TEKNIK KOMPUTER
SURABAYA
ix
KATA PENGANTAR ...
vii
DAFTAR ISI ...
ix
DAFTAR TABEL ...
xi
DAFTAR GAMBAR ... xiii
DAFTAR LAMPIRAN ...
xv
BAB I PENDAHULUAN ...
1
1.1 Latar Belakang ...
1
1.2 Perumusan Masalah ...
4
1.3 Batasan Masalah ...
4
1.4 Tujuan ...
5
1.5 Sistematika Penulisan ...
5
BAB II LANDASAN TEORI ...
8
2.1 Sistem Informasi ...
8
2.2 Audit Sistem Informasi ...
9
2.3 Tujuan Bisnis ...
9
2.4 Balanced Scorecard ...
11
2.5 Control Objectives for Information and Related Technologies 4.1
14
2.6 Keselarasan Tujuan Pengukuran Tujuan Bisnis dan Tujuan
Teknologi Informasi ...
20
2.7 Maturity Level ...
24
2.8 Jaring Laba-laba ...
28
2.9 Control Objectives ...
28
x
3.2 Cara Pengambilan Data ...
34
3.3 Teknik Pelaksanaan Audit Sistem Informasi ...
35
3.3.1 Penentuan Ruang Lingkup Audit Sistem Informasi ...
35
3.3.2 Pengumpulan Bukti ...
36
3.3.3 Pelaksanaan Uji Kepatutan ...
43
3.3.4 Perhitungan Nilai Maturity Level ...
43
3.3.5 Penyusunan Temuan ...
46
3.3.6 Penyusunan Rekomendasi ...
46
BAB IV HASIL DAN PEMBAHASAN ...
48
4.1 Evaluasi Hasil Pelaksanaan Audit Sistem Informasi ...
48
4.2 Penyusunan Temuan dan Rekomendasi ...
77
BAB V PENUTUP ...
89
5.1 Kesimpulan ...
92
5.2 Saran ...
93
DAFTAR PUSTAKA ...
94
LAMPIRAN 1 RACI Chart ...
96
LAMPIRAN 2 Daftar Pertanyaan Pendukung Audit Sistem Informasi
pada Direktorat Keuangan PT. Pelindo III ...
99
1
1.1
Latar Belakang
Sistem Informasi merupakan kumpulan elemen-elemen/sumberdaya dan
jaringan prosedur yang saling berkaitan secara terpadu, terintegrasi dalam suatu
hubungan hirarkis tertentu (Gondodiyoto, 2007: 106-109). Audit adalah proses
pengumpulan dan penilaian bahan bukti tentang informasi untuk menentukan dan
melaporkan kesesuaian informasi dengan kriteria-kriteria yang telah ditetapkan
dan dilakukan oleh orang berkompeten dan independent (Gondodiyoto, 2007:
442-447). Aktivitas audit dilakukan untuk memastikan pengelolaan sistem
informasi sehingga terarah dalam kerangka perbaikan berkelanjutan (Sarno, 2009:
173-174).
Fungsi keuangan yang telah dilakukan oleh Direktorat Keuangan PT.
Pelindo III yaitu berupa perencanaan pengembangan Teknologi Informasi (TI)
yang terintegrasi dengan cara memasukkan layanan dan sistem informasi
keuangan sehingga mampu mengorganisir informasi yang diciptakan secara lokal
dan akses informasi yang tersebar secara global. Kondisi saat ini, TI yang telah
diimplementasikan pada Direktorat Keuangan belum pernah terukur dan diaudit.
Oleh karena itu diperlukan standar pengukuran dan audit sistem informasi yang
dapat mengukur keselarasan antara proses bisnis, aplikasi, dan strategi bisnis
perusahaan. Mengingat bahwa audit diperlukan sebuah standar, maka standar
tepat adalah menggunakan COBIT 4.1 dengan mengacu pada Balanced Scorecard.
Standar COBIT dipilih karena dapat memberikan gambaran paling detail
mengenai strategi dan kontrol dalam pengaturan proses TI yang mendukung
strategi bisnis, dimana kerangka kerjanya terdiri dari 4
domain (Sarno, 2009).
Selain itu, dalam COBIT terdapat perhitungan
maturity level yang
merepresentasikan tingkat kematangan suatu perusahaan.
survei
Information Technology Governance Institute (ITGI). Oleh karena itu
dipilih perspektif keuangan untuk melakukan audit sistem informasi.
Direktorat Keuangan PT. Pelindo III dalam menggunakan aplikasi sistem
informasi dalam kegiatan operasionalnya, tetapi masih terdapat kekeliruan dalam
implementasinya dan belum ada pemecahan untuk menangani permasalahan
tersebut, sehingga perlu dilakukan audit sistem informasi. Tidak adanya
pengukuran keselarasan pada Direktorat Keuangan berakibat antara lain, sering
terjadi kesalahan pemrosesan data, perubahan proses bisnis yang tidak sesuai
standar, tingkat human error yang tinggi dan pemrosesan data memerlukan waktu
yang lama, sehingga belum bisa diukur telah sesuai ketentuan atau tidak. Standar
pengukuran yang sesuai kebutuhan Direktorat Keuangan adalah
Balanced
Scorecard yang ditinjau dari perspektif keuangan. Hal ini sesuai dengan tujuan
keuangan perusahaan yang menjadi fokus bagi tujuan-tujuan strategis perusahaan.
Selain itu, menurut Kaplan dan Norton (1996), keempat perspektif dalam
Balanced Scorecard saling berkaitan satu sama lain. Pendapat tersebut sama
halnya dengan manajemen Direktorat Keuangan agar aplikasi TI berkaitan dengan
pencapaian visi, misi maupun tujuan strategis sistem informasi. Salah satu tujuan
strategi sistem informasi adalah mendukung TI sehingga menentukan kinerja
keuangan yang berpengaruh pada penerimaan negara.
1.2
Perumusan Masalah
Berdasarkan latar belakang yang telah diuraikan, didapatkan perumusan
permasalahan sebagai berikut :
1.
Bagaimana membuat perencanaan dan melaksanakan audit sistem informasi
pada Direktorat Keuangan PT. Pelindo III berdasarkan pada perspektif
keuangan menggunakan standar COBIT 4.1.
2.
Bagaimana melaksanakan audit sistem informasi berdasarkan analisis
proses-proses TI terhadap tingkat keselarasan tujuan TI dan tujuan bisnis
sesuai dengan melakukan wawancara, pembagian kuesioner, analisis tingkat
kebutuhan pengelolaan TI dan identifikasi terhadap risiko-risiko,
perhitungan
maturity level yang digambarkan dengan jaring laba-laba,
dokumentasi temuan audit sistem informasi.
3.
Bagaimana menganalisis temuan hasil audit sistem informasi berupa
rekomendasi pada Direktorat Keuangan PT. Pelindo III.
1.3
Batasan Masalah
Agar lebih fokus dalam pembahasan maka penelitian ini akan dibatasi
pada beberapa hal sebagai berikut :
1.
Audit sistem informasi ini dibatasi oleh kegiatan sistem informasi keuangan
pada Direktorat Keuangan Kantor Pusat PT. Pelindo III, dan tidak
membahas tentang sistem informasi yang berkaitan dengan cabang
perusahaan.
3.
Tugas akhir ini hanya menggunakan standar COBIT 4.1 tanpa melakukan
perbandingan dengan standar audit sistem informasi lainnya
1.4
Tujuan
Berdasarkan rumusan masalah yang ada maka tujuan yang ingin dicapai
dalam penelitian ini adalah :
1.
Membuat perencanaan dan melaksanakan audit sistem informasi pada
Direktorat Keuangan PT. Pelindo III berdasarkan pada perspektif keuangan
menggunakan standar COBIT 4.1
2.
Melaksanakan audit sistem informasi berdasarkan analisis proses-proses TI
terhadap tingkat keselarasan tujuan TI dan tujuan bisnis sesuai dengan hasil
wawancara, kuesioner yang dibuat, analisis tingkat kebutuhan pengelolaan
TI dan identifikasi terhadap risiko-risiko, penilaian hasil perhitungan
maturity level yang digambarkan dengana jaring laba-laba dan dokumentasi
temuan audit sistem informasi serta menyusun laporan hasil audit sistem
informasi sebagai masukan Direktorat Keuangan.
3.
Menganalisis temuan hasil audit sistem informasi untuk menghasilkan
rekomendasi proses-proses sistem informasi pada Direktorat Keuangan PT.
Pelindo III.
1.5
Sistematika Penulisan
BAB I
: PENDAHULUAN
Pada bab ini membahas tentang latar belakang, penjelasan
permasalahan, perumusan masalah, batasan masalah, dan tujuan
dari pembuatan tugas akhir serta sistematika penulisan buku ini.
BAB II
: LANDASAN TEORI
Pada bab ini membahas mengenai penjelasan tentang Sistem
Informasi, Audit Sistem Informasi, Tujuan Bisnis,
Balanced
Scorecard,
Control Objectives for Information and Related
Technologies 4.1, Keselarasan Tujuan Pengukuran Bisnis dan
Tujuan Teknologi Informasi,
Maturity Level,
Jaring Laba-laba,
Control Objectives, Penyusunan Hasil Audit dan Rekomendasi.
BAB III
: METODE PENELITIAN
Pada bab ini berisi uraian mengenai gambaran perusahaan,
menentukan tujuan utama dari audit sistem informasi, ruang
lingkup, dan metode yang akan digunakan.
BAB IV
: HASIL DAN PEMBAHASAN
BAB V
: PENUTUP
BAB II
LANDASAN TEORI
2.1
Sistem Informasi
Sistem informasi adalah kumpulan sumber daya dan jaringan prosedur
yang saling berkaitan secara terpadu, terintegrasi dalam suatu hubungan hirarkis
tertentu dan bertujuan untuk mengolah data menjadi informasi (Gondodiyoto,
2007: 112-115). Sedangkan menurut Indrajit (2000: 29-30), sistem informasi
merupakan suatu kumpulan dari komponen-komponen dalam perusahaan atau
organisasi yang berhubungan dengan proses penciptaan dan pengaliran informasi
yang mendukung dalam organisasi atau perusahaan. Sistem informasi dapat
mempertemukan kebutuhan pengolahan transaksi harian, mendukung operasi,
bersifat manajerial, dan menyediakan pihak luar tertentu dengan laporan-laporan
yang diperlukan (Davis, G.B dalam Jogiyanto, 1989: 11).
Maniah dan Surendro (2005: 1) juga menyatakan bahwa sistem informasi
merupakan aset bagi suatu perusahaan yang bila diterapkan dengan baik akan
memberikan
kelebihan
untuk
berkompetensi
sekaligus
meningkatkan
kemungkinan bagi kesuksesan suatu usaha. Dalam mengimplementasikan sistem
informasi tersebut harus adanya suatu tolok ukur untuk mencegah terjadinya
hal-hal di luar rencana organisasi, dan pengoperasian sistem informasi yang dilakukan
secara efektif dan efisien.
Menurut Kristanto (2003: 15-16) berdasarkan definisi sistem informasi
tersebut, peranan sistem informasi dalam bisnis, antara lain:
1.
Mendukung operasi bisnis
2.
Mendukung dalam pengambilan keputusan manajerial
3.
Meraih keuntungan strategik
2.2 Audit Sistem Informasi
Menurut Gondodiyoto (2007: 442-447), audit sistem informasi adalah
pemeriksaan terhadap aspek-aspek Teknologi Informasi (TI) pada sistem
informasi. Audit dilakukan sesuai dengan ketentuan standar profesional bahwa
auditor
harus memahami sistem dan
internal controls
serta melakukan tes
substantive
.
Audit Sistem Informasi digunakan untuk menilai proses penyampaian dan dukungan dalam pelayanan informasi (Djatmiko dalam Mukaromah, 2007: 4).Selanjutnya Gondodiyoto (2007: 56-60) juga menyatakan bahwa audit sistem
informasi dilakukan untuk memeriksa tingkat kematangan atau kesiapan suatu
organisasi dalam melakukan pengelolaan TI, tingkat kepedulian (
awareness
)
seluruh
stakeholder
(semua pihak terkait) tentang posisi sekarang dan arah yang
diinginkan dimasa depan bidang TI pada suatu organisasi atau perusahaan.
2.3
Tujuan Bisnis
kejadian-kejadian yang tidak diinginkan akan dapat dicegah, dideteksi atau
dikoreksi (Sarno, 2009: 2).
Menurut Indrajit (2000: 31) menyatakan bahwa strategi bisnis merupakan
dokumen yang harus dijadikan landasan berpijak utama dalam pembuatan TI
Strategy
karena dalam dokumen tersebut disebutkan visi dan misi perusahaan
beserta target kinerja masing-masing fungsi pada struktur organisasi. Di dalam
dokumen ini pula ditegaskan peranan TI yang sesuai dengan strategi perusahaan
dan perlu diingat bahwa untuk setiap perusahaan sejenis, posisi TI dapat berbeda,
sehingga filosofi yang digunakan dalam pengembangan TI
Strategy
harus sesuai
dengannya. Tujuan bisnis berdasarkan standar COBIT (ITGI, 2007), yaitu:
1.
Penyediaan pengembalian investasi yang baik dari bisnis yang dibangkitkan
sistem informasi
2.
Pengelolaan risiko bisnis yang terkait dengan sistem informasi
3.
Peningkatan transparansi dan tata kelola perusahaan
4.
Peningkatan layanan dan orientasi terhadap pelanggan
5.
Penawaran produk dan jasa yang kompetitif
6.
Penentuan ketersediaan dan kelancaran layanan
7.
Penciptaan ketangkasan untuk menjawab permintaan bisnis yang berubah
8.
Pencapaian optimasi biaya dari penyampaian layanan
9.
Perolehan informasi yang bermanfaat dan handal untuk membuat keputusan
strategis
10.
Peningkatan dan pemeliharaan fungsionalitas proses bisnis
11.
Penurunan biaya proses
13.
Penyediaan kepatutan terhadap kebijakan internal
14.
Pengelolaan perubahan bisnis
15.
Peningkatan dan pengelolaan produktivitas operasional dan staf
16.
Pengelolaan inovasi produk dan bisnis
17.
Perolehan dan pemeliharaan karyawan yang cakap dan termotivasi
2.4
Balanced Scorecard
Balanced Scorecard
merupakan suatu konsep manajemen yang membantu
menerjemahkan strategi ke dalam tindakan sehingga dapat diukur untuk
melaksanakan proses-proses manajemen kritis (Kaplan dan Norton dalam
Gaspersz, 2005: 9). Perspektif
Balanced Scorecard
dalam suatu aktivitas
perusahaan dapat dievaluasi oleh manajemen sebagai berikut: perspektif finansial
(keuangan), perspektif pelanggan, perspektif proses bisnis internal, perspektif
pembelajaran dan pertumbuhan (Tanuwijaya dan Sarno, 2010: 81). Pemetaan
tujuan bisnis dari empat perspektif
Balanced Scorecard
berdasarkan standar
Control Objectives for Information and Related Technologie
(COBIT) (ITGI,
2007), dijelaskan pada Tabel 2.1.
Tabel 2.1 Pemetaan Tujuan Bisnis dari Empat Perspektif
Balanced Scorecard
Berdasarkan Standar COBIT
Perspektif Kinerja
No.
Tujuan Bisnis
Perspektif Keuangan 1.
Penyediaan pengembalian investasi yang baik dari
bisnis yang dibangkitkan sistem informasi.
2.
Pengeolaan risiko bisnis yang terkait dengan sistem
informasi
3.
Peningkatan transparansi dan tata kelola perusahaan
Perspektif
Pelanggan
4.
Peningkatan layanan dan orientasi terhadap
pelanggan
Perspektif Kinerja
No.
Tujuan Bisnis
6.
Penentuan ketersediaan dan kelancaran layanan
7.
Penciptaan ketangkasan untuk menjaawab
permintaan bisnis yang berubah
8.
Pencapaian optimasi biaya dari penyampaian
layanan
9.
Perolehan informasi yang bermanfaat dan handal
untuk membuat keputusan strategis
10. Peningkatan dan pemeliharaan fungsionalitas
proses bisnis
Perspektif Proses
Bisnis Internal
11. Penuruan biaya proses
12. Penyediaan kepatutan terhadap hokum eksternal,
regulasi dan kontrak
13. Penyediaan kepatutan terhadap kebijakan internal
14. Pengelolaan perubahan bisnis
15. Peningkatan dan pengelolaan produktivitas
operasional dan staf
Perspektif
Pembelajaran dan
Pertumbuhan
16. Pengelolaan inovasi produk dan bisnis
17. Perolehan dan pemeliharaan karyawan yang cakap
dan termotivasi
Sumber:
Information Technology Governance Institute
, 2007
Kerangka keseluruhan manajemen suatu perusahaan perlu diketahui posisi
bisnis dari bisnis yang direpresentasikan kinerjanya oleh
Balanced Scorecard
dengan kerangka COBIT. Hubungan keterkaitan tersebut secara garis besar yaitu:
a.
Balanced Scorecard
sebagai alat ukur kinerja bisnisnya
b.
COBIT sebagai alat ukur proses bisnis perusahaan, sesuai dengan pemetaan
keselarasan antara proses TI dan tujuan bisnis dalam perspektif
Balanced
Scorecard.
Dengan perspektif keuangan, perusahaan dapat memastikan bahwa dalam
pencapaian hasil dan melakukan prosesnya dengan cara yang efisien. (Niven,
2007: 96-98). Pemahaman mengenai perspektif keuangan dalam manajemen
Balanced Scorecard
adalah sangat penting karena keberlangsungan suatu unit
bisnis sangat tergantung pada posisi dan kekuatan finansial (Gaspersz, 2005:
38-40). Perspektif keuangan
Balanced Scorecard
mempunyai tujuan agar
keuangan terus mencapai posisi yang tinggi berdasarkan analisis hasil dengan cara
memberikan bukti, sehingga ukuran keuangan menjadi standar defakto dari
pengukuran kesuksesan bisnis perusahaan (Niven, 2007: 3).
Menurut Sarno (2009: 1-4) penting bagi pengaudit TI untuk mengetahui
bagaimana proses TI dikelola sebelum melaksanakan kegiatan audit itu sendiri.
Pengelolaan proses TI tidak hanya mencakup bagaimana agar proses yang
berjalan efisien dan standar, namun juga mampu memenuhi harapan bisnis akan
penyediaan informasi yang dibutuhkan melalui keberadaan TI.
2.5
Control Objectives for Information and Related Technologies 4.1
Information
System
Audit
and
Control
Association
(ISACA)
memperkenalkan sebuah kerangka untuk mengelola IT
Governance
di sebuah
perusahaan yang dikenal dengan nama COBIT (Indrajit, 2004). Menurut
Tanuwijaya dan Sarno (2010: 81), menyatakan bahwa COBIT digunakan untuk
mengukur tingkat kematangan suatu proses TI dan mengukur keselarasan antara
bisnis dan tujuan TI.
COBIT dapat menyediakan seperangkat praktek yang dapat diterima pada
umumnya karena dapat membantu para direktur, eksekutif dan manajer
meningkatkan nilai TI dan mengecilkan risiko. COBIT mencakup bimbingan bagi
para direktur dan semua level manajemen dan terdiri atas empat seksi (ITGI,
2007):
1.
Gambaran luas mengenai eksekutif
2.
Kerangka kerja
3.
Isi utama (tujuan pengendalian, petunjuk manajemen dan model kedewasaan)
4.
Appendiks (pemetaan, ajuan silang dan daftar kata-kata)
Isi utama dibagi menurut 34 (tiga puluh empat) proses TI dan memberikan
gambaran yang sempurna mengenai cara mengendalikan, mengelola dan
mengukur masing-masing proses, selain itu standar COBIT juga:
1.
Menganalisa bagaimana tujuan pengendalian dapat dipetakan ke dalam lima
wilayah penentuan TI agar dapat mengidentifikasi gap potensial.
2.
Menyesuaikan dan memetakan COBIT ke standar yang lain (
Information
of Knowledge
(PMBOK),
Standard of Good Practise
(ISF) and
International
Organization for Standardization
(ISO) 17799)
3.
Mengklarifikasikan indikator tujuan utama dan indikator hubungan kinerja
utama, dengan mengenal bagaimana indikator tujuan utama dapat bergerak
mencapai hubungan kinerja utama.
4.
Menghubungkan tujuan bisnis, TI dan proses TI (penelitian mendalam di 8
(delapan) industri dengan pandangan yang lebih jelas tentang bagaimana
proses COBIT mendukung tercapainya tujuan TI spesifik dan dengan
perluasan tujuan bisnis).
Gambaran kerangka COBIT secara keseluruhan dapat dilihat pada
Gambar 2.1.
Terdapat 4 (empat)
domain
utama pada COBIT (ITGI, 2007) yaitu:
A.
Plan and Organize
Domain Plan and Organize
(PO) membahas mengenai strategi, taktik, dan
pengidentifikasian TI dalam mendukung tercapainya tujuan bisnis. Di
dalamnya terdapat 10 (sepuluh) hal, yaitu:
1. PO1: Mendefinisikan rencana strategis sistem informasi
2. PO2: Mendefinisikan arsitektur informasi
3. PO3: Menenukan arahan teknologi
4. PO4: Mendefinisikan proses sistem informasi, organisasi dan
keterhubungannya
5. PO5: Mengelola investasi sistem informasi
6. PO6: Mengkomunikasikan tujuan dan arahan manajemen
7. PO7: Mengeelola sumber daya sistem informasi
8. PO8: Mengelola kualitas
9. PO9: Menaksir dan mengelola risiko sistem informasi
10. PO10: Mengelola proyek
B.
Acquire and Implement
Pada
domain Acquire and Implement
(AI) sebuah solusi TI perlu
diidentifikasikan, dikembangkan, diimplementasikan, dan diintegrasikan ke
dalam proses bisnis. Di dalamnya terdapat 7 (tujuh) hal yaitu:
1. AI1: Mengidentifikasi solusi otomatis
5. AI5: Memenuhi sumber daya sistem informasi
6. AI6: Mengelola perubahan
7. AI7: Instalasi dan akreditasi solusi beserta perubahannya
C.
Deliver and Support
(DS)
Domain
Deliver and Support
(DS) mempunyai fokus pada aspek
penyampaian TI kepada dukungan dan layanan TI mencakup dukungan dan
layanan TI pada bisnis, mulai dari penanganan keamanan dan kesinambungan,
dukungan bagi pengguna serta manajemen data.
Pada
domain Deliver and Support
terdapat 13 (tiga belas) hal yaitu:
1. DS1: Mendefinisikan dan mengelola tingkat layanan
2. DS2: Mengelola layanan pihak ketiga
3. DS3: Mengelola kinerja dan kapasitas
4. DS4: Memastikan layanan yang berkelanjutan
5. DS5: Memastikan keamanan sistem
6. DS6: Mengidentifikasi dan mengalokasikan biaya
7. DS7: Mendidik dan melatih pengguna
8. DS8: Mengelola
service desk
dan insiden
9. DS9: Mengelola konfigurasi
10. DS10: Mengelola permasalahan
11. DS11: Mengelola data
12. DS12: Mengelola lingkungan fisik
D.
Monitor and Evaluate
Pada
domain Monitor and Evaluate
(ME) ditekankan kepada pentingnya
semua proses TI perlu diakses secara berkala untuk menjaga kualitas dan
kesesuaian dengan standar yang telah ditetapkan. Pada
domain
ME terdapat 4
(empat) hal yang menjadi fokus, yaitu:
1. ME1: Mengawasi dan mengevaluasi kinerja sistem informasi
2. ME2: Mengawasi dan mengevaluasi kontrol internal
3. ME3: Memastikan pemenuhan terhadap kebutuhan eksternal
4. ME4: Menyediakan tata kelola sistem informasi
Menurut Sarno (2009: 147-163), pengukuran informasi dilaksanakaan
dalam audit sistem informasi yang mengacu pada contoh yang baik (
best practice
)
dengan kerangka COBIT, sebagai berikut:
1.
Penentuan Ruang Lingkup dan Tujuan Audit TI
Ruang lingkup yang dimaksud adalah area yang akan diaudit mencakup
sistem secara spesifik, fungsi atau unit organisasi yang menjadi tujuan (fokus)
dari proses audit untuk meminimalkan risiko bisnis.
2.
Pengumpulan Bukti
3.
Pelaksanaan Uji Kepatutan
Uji kepatutan (
compliance test
) dilakukan dengan menguji kepatutan proses
TI dengan melihat kepatutan proses yang berlangsung terhadap standar dan
regulasi yang berlaku. Kepatutan proses dapat diketahui berdasarkan hasil
pengumpulan bukti. Langkah-langkah dalam uji kepatutan, yaitu:
a.
Tahapan pengidentifikasian objek yang diaudit, bertujuan agar pengaudit
mengenal lebih jauh terkait dengan hal-hal yang harus dipenuhi dalam
objektif kontrol, identifikasi perihal pengelolaan yang didukung TI,
identifikasi terhadap individu yang bertanggung jawab, implementasi
terhadap proses, lokasi dan prosedur yang mengontrol proses terkait.
b.
Tahapan evaluasi audit, bertujuan untuk mendapatan prosedur tertulis
dan memperkirakan jika prosedur yang ada telah menghasilkan struktur
kontrol yang efektif dan prosedur telah sesuai dengan kerangka kerja
pengelolaan proses TI.
4.
Penentuan Tingkat Kedewasaan
2.6
Keselarasan Tujuan Pengukuran Tujuan Bisnis dan Tujuan Teknologi
Informasi
Tujuan pengukuran terhadap sistem informasi adalah untuk meyakinkan
manajemen bahwa kinerja sistem informasi yang ada pada organisasinya sesuai
dengan perencanaan dan tujuan usaha yang dimilikinya (Maniah dan Surendro,
2005: 1). Selanjutnya menurut Sarno (2009: 56-61), agar kontribusi yang
diberikan TI dapat terarah dan selaras dengan tujuan bisnis diperlukan analisis
kinerja dari penggunaan sistem informasi yang menggambarkan penilaian
kemampuan kerja sehingga dapat diketahui pemenuhan terhadap pencapaian yang
diharapkan.
Keselarasan tujuan pengukuran tujuan bisnis dan tujuan TI pada Direktorat
Keuangan PT. Pelindo III, dimulai dengan COBIT. COBIT menyediakan
pemetaan keselarasan dalam perspektif masing-masing (ITGI, 2007). Pemetaan
ini sangat penting karena menjadi acuan bagi perusahaan untuk menerjemahkan
kebutuhan bisnis terhadap TI yang ada (Sarno dalam Tanuwijaya dan Sarno 2010:
82). Tabel 2.2 menunjukkan jumlah hubungan tujuan bisnis yaitu 3 (tiga) dan 8
(delapan) tujuan TI dalam perspektif keuangan.
Tabel 2.2. Hubungan Tujuan Bisnis dan Tujuan TI dalam Perspektif
Keuangan
Perspektif
Kinerja
No.
Tujuan Bisnis
Tujuan TI
Perspektif
Keuangan
1.
Penyediaan
pengembalian investasi
yang baik dari bisnis
yang dibangkitkan TI
24
2.
Pengelolaan resiko
bisnis yang terkait
dengan TI
Perspektif
Kinerja
No.
Tujuan Bisnis
Tujuan TI
3.
Peningkatan
transparansi dan tata
kelola perusahaan
2
18
Sumber:
Information Technology Governance Institute
, 2007
Setelah
mendefinisikan
tujuan
TI,
langkah
selanjutnya
adalah
menggambarkan proses TI yang terkait. Setiap tujuan memiliki satu atau lebih
proses TI. Pada suatu proses TI, satu proses bisa memiliki beberapa tujuan
(Tanuwijaya dan Sarno, 2010: 82). Direktorat Keuangan PT. Pelindo III, apabila
ditinjau dari perspektif keuangan memiliki tujuan bisnis nomor 19 berhubungan
dengan tujuan TI nomor 21 yang terdiri memastikan bahwa informasi yang kritis
dan rahasia disembunyikan dari pihak-pihak yang tidak berkepentingan. Tujuan
nomor 19 dipilih karena data Direktorat Keuangan sangat penting dan rahasia
yang memiliki tingkat resiko yang tinggi, dan harus dilindungi. Hal ini sesuai
dengan Sarno dalam Tanuwijaya dan Sarno (2010: 82) yang menyatakan bahwa,
proses penentuan tujuan TI pada perusahaan tergantung pada pentingnya proses
bisnis, yang didasarkan pada tingkat resiko perusahaan. Deskripsi Tujuan TI
Dijelaskan pada Tabel 2.3.
Tabel 2.3 Deskripsi Tujuan Teknologi Informasi
Tujuan TI
2
Respon terhadap kebutuhan tata kelola yang sesuai dengan arahan direksi
14
Kemampuan memberikan penjelasan dan perlindungan terhadap aset-aset
TI
18
Penentuan kejelasan mengenai risiko dari dampak bisnis terhadap sasaran
dan sumber daya TI
19
Jaminan bahwa informasi yang kritis dan rahasia disembunyikan dari
pihak-pihak yang tidak berkepentingan
21
Jaminan bahwa layanan dan infrastruktur TI dapat sepatutnya mengatasi
dan memulihkan kegagalan karena
error
, serangan yang disengaja
maupun bencana alam
22
Kepastian akan minimnya dampak bisnis dalam kejadian gangguan
layanan atau perubahan TI
24
Peningkatan terhadap efisiensi biaya TI dan kontribusinya terhadap
keuntungan bisnis
Sumber:
Information Technology Governance Institute
, 2007
Keterkaitan proses sistem informasi dalam pemetaan dalam perspektif
keuangan, diuraikan pada Tabel 2.4. Deskripsi Proses TI didefinisikan pada
Tabel 2.5 di halaman 23.
Tabel 2.4 Keterkaitan Tujuan Teknologi Iinformsi dan Proses Teknologi
Informasi
Tujuan TI
Proses TI
2
Respon terhadap
kebutuhan tata kelola
yang sesuai dengan
arahan direksi
PO1
PO4
PO1
0
ME1 ME3
14
Kemampuan
memberikan
penjelasan dan
perlindungan terhadap
aset-aset TI
PO9
DS5
DS9
DS1
2
ME2
17
Perlindungan terhadap
pencapaian sasaran TI
PO9
DS1
0
ME2
18
Penentuan kejelasan
mengenai risiko dari
dampak bisnis
terhadap sasaran dan
sumber daya TI
PO9
19
Jaminan bahwa
informasi yang kritis
dan rahasia
PO6
DS5
DS1
1
Tujuan TI
Proses TI
disembunyikan dari
pihak-pihak yang
tidak berkepentingan
21
Jaminan bahwa
layanan dan
infrastruktur TI dapat
sepatutnya mengatasi
dan memulihkan
kegagalan karena
error
, serangan yang
disengaja maupun
bencana alam
PO6
AI7
DS4
DS5
DS1
2
DS1
3
ME2
22
Kepastian akan
minimnya dampak
bisnis dalam kejadian
gangguan layanan
atau perubahan TI
PO6
AI6
DS4
DS1
2
24
Peningkatan terhadap
efisiensi biaya TI dan
kontribusinya
terhadap keuntungan
bisnis
PO5
AI5
DS6
Sumber:
Information Technology Governance Institute
, 2007
Tabel 2.5 Deskripsi Proses Teknologi Informasi
Proses TI
Deskripsi Proses TI
PO1
Mendefinisikan rencana strategis sistem informasi
PO4
Mendefinisikan
proses
sistem
informasi,
organisasi
dan
keterhubungannya
PO5
Mengelola investasi sistem informasi
PO6
Mengkomunikasikan tujuan dan arahan manajemen
PO9
Menaksir dan mengelola risiko sistem informasi
PO10
Mengelola proyek
AI5
Memenuhi sumber daya sistem informasi
AI6
Mengelola perubahan
AI7
Instalasi dan akreditasi solusi beserta perubahannya
DS4
Memastikan layanan yang berkelanjutan
DS5
Memastikan keamanan sistem
DS6
Mengidentifikasi dan mengalokasikan biaya
DS9
Mengelola konfigurasi
Proses TI
Deskripsi Proses TI
DS12
Mengelola lingkungan fisik
DS13
Mengelola operasi
ME1
Mengawasi dan mengevaluasi kinerja sistem informasi
ME2
Mengawasi dan mengevaluasi kontrol internal
ME3
Memastikan pemenuhan terhadap kebutuhan eksternal
Sumber:
Information Technology Governance Institute
, 2007
2.7
Maturity Level
Penentuan tingkat kedewasaan (
maturity level
) merupakan bagian dari
pengujian kepatutan terhadap aktivitas yang seharusnya ada/dilakukan di tiap
proses TI berdasarkan kerangka kerja COBIT sesuai tingkatan levelnya. Sebuah
pengembangan TI harus terukur dengan baik, agar mekanisme tata kelola TI dapat
berjalan secara baik dan efektif maka harus melalui tahap kematangan tertentu
(Indrajit, 2004). Dengan menggunakan
maturity model
sebuah perusahaan dapat
mengukur poisisi kematangannya dalam pengembangan TI.
Maturity model
ditunjukkan pada Gambar 2.2.
Teknik pengukuran
Maturity Level
menggunakan beberapa
statement
(pernyataan) dimana setiap pernyataan dapat dinilai tingkat kepatutannya dengan
menggunakan standar nilai, seperti pada Tabel. 2.6.
Tabel 2.6 Standar Penilaian
Maturity Level
Complience Level Numeric Values
Agreement With
Statement
Complience Value
Not at all
0
A Little
0,33
Quite a lot
0,66
Completely
1
Sumber: Pederiva, 2003:2
Adapun penentuan tingkat kedewasaan akan dilakukan pada tiap proses
TI dan dilakukan terhadap semua level, mulai dari level nol (0) hingga level lima
(5). Pembobotan (kuantitatif) terhadap tiap pernyataan sesuai dengan kondisi
perusahaan. Skala
maturity level
sebuah perusahaan terkait dengan keberadaan
dan kinerja proses
Information Technology
(IT)
Governance
terdiri dari 6 level
(ITGI, 2007), dapat dilihat pada Tabel 2.7.
Tabel 2.7 Skala Pengukuran
Maturity Level
Level
Kriteria Kedewasaan
0
Non
Existent
Level
Kriteria Kedewasaan
1
Initial/Ad
Hoc
Perusahaan menyadari pentingnya suatu isu. Tetapi belum ada
prosedur standar yang ditetapkan melainkan hanya pendekatan tim
(
ad hoc
) yang dilaksanakan secara terpisah dan kasuistis.
Pendekatan dilakukan manajemen secara tidak terorganisasi.
Proses dan prosedur yang ada belum terintegrasi.
2
Repeatabl
e but
Intuitif
Proses telah dikembangkan pada suatu tingkat dimana prosedur
yang sama dilakukan oleh orang yang berbeda dalam melakukan
aktivitas yang sama. Tidak terdapat pelatihan formal atau
komunikasi mengenai prosedur standar dan tanggung jawab masih
bersifat individual. Ketergantungan pada pengetahuan orang per
orang sangat tinggi dan sering terjadi kesalahan.
3
Defined
Prosedur telah distandarisasi dan didokumentasikan, dan
dikomunikasikan melalui pelatihan yang memadai. Namun tidak
ada kewajiban untuk mengikuti standard dan penyimpangan
seringkali tidak diperhatikan. Prosedur tidak terlalu berkualitas
namun hanya sekedar formalisasi dari kegiatan sehari-hari.
4
Managed
And
Measurabl
e
Proses monitoring dan pengukuran ketaatan atas prosedur standar
telah dilakukan dan ada tindakan bilamana proses dilakukan tidak
efektif. Proses dilakukan dalam kerangka peningkatan kinerja
berkelanjutan (improvement) dan dilakukan dengan cara yang
baik. Perangkat otomasi telah digunakan secara terbatas dan
terpisah-pisah.
5
Optimised
Proses telah dikembangkan sedemikian rupa pada level yang
terbaik (best practice), berdasarkan hasil dari perbaikan yang terus
menerus dan membandingkan
maturity modeling
dengan
organisasi lain. TI telah digunakan secara terintegrasi untuk
melakukan otomatisasi proses kerja (
workflow
), menyediakan alat
untuk melakukan peningkatan kualitas dan efektivitas, sehingga
memungkinkan perusahaan mengadaptasi secara cepat.
Sumber:
Information Technology Governance Institute,
2007
Penentuan level kedewasaan dimulai dari level 0, seperti ditunjukkan
Gambar 2.3 di halaman 27. Bentuk
Form
Level kedewasaan 0 sampai dengan 5
adalah sama, sedangkan isi menyesuaikan sesuai level kedewasaan.
level
COBIT, kemudian dilakukan pembobotan berdasarkan tingkat kepentingan
yang dikonversikan pada skor antara 0.0-1.0. Setelah
auditor
mengisi setiap
pertanyaan dengan skor, langkah berikutnya adalah menghitung skor dari
masing-masing
maturity level
proses TI. Contoh hasil perhitungan untuk
maturity
level
PO6 ditampilkan pada Tabel 2.8.
Maturity level
proses TI dari empat proses
TI (Tujuan TI 19) dapat dilihat pada Tabel 2.9 di halaman 28.
Apakah sepakat? Nama Proses Memastikan Keamanan Sistem
T id ak S am a S ek al i S e d ik it D al a m ti n g k at an te rt en tu S el u ru h n y a N IL A I
Nomor Proses
DS5
Level Kedewasaan0
No. Pernyataan Bobot 0.00 0.33 0.66 1.00 1 Terdapat kesadaran akan kebutuhan
keamanan TI
2 Terdapat penugasan tanggung jawab untuk memastikan keamanan 3 Terdapat penugasan akuntabilitas
untuk memastikan keamanan 4 Terdapat tindakan yang mendukung
pengelolaan keamanan TI 5 Terdapat respon dari laporan
keamanan TI
6 Terdapat proses keamanan administrasi sistem yang memadai
Total Bobot = Tingkat Kepatutan
Total Nilai
Gambar 2.3 Contoh Penentuan Level Kedewasaan Level 0 pada Proses
[image:30.612.99.515.269.501.2]Teknologi Informasi DS 5
Tabel 2.8. Contoh Hasil
Maturity Level
dari Proses Teknologi Informasi PO6
Maturity Level
Tingkat Kepatutan
(
compliance score
)
Kontribusi Tiap Level
Nilai
(
level score
)
0
1.00
0.0
0.0
1
0.55
0.3
0.2
2
0.50
0.7
0.4
3
0.48
1.0
0.5
4
0.28
1.3
0.4
5
0.72
1.7
1.2
Tabel 2.9. Contoh
Maturity Level
dari Tujuan Teknologi Informasi 19
Proses TI
Deskripsi
Maturity Level
PO6
Mengkomunikasikan Tujuan dan Arahan
Manajemen
2.6
DS5
Memastikan keamanan sistem
3.4
DS11
Mengelola data
0.9
DS12
Mengelola lingkungan fisik
0.8
Rata-rata
7.7
Sumber: Tanuwijaya dan Sarno (2010: 84)
2.8
Jaring Laba-laba
Penyusunan hasil audit dengan jaring laba-laba, berdasarkan hasil
maturity
level
dan target yang telah ditetapkan pada tujuan bisnis dan tujuan TI. Jaring
laba-laba ditunjukkan pada Gambar 2.4. Jaring Laba-laba yang menggambarkan
nilai
Maturity Level
.
1 2 3 4 5
PO6
DS12
DS11
DS5
Gambar 2.4. Jaring Laba-laba yang Menggambarkan Nilai
Maturity Level
Sumber: Sarno, 2009
2.9
Control Objectives
Penilaian dengan
control objectives
sebagai ukuran dalam mencapai tujuan
perusahaan
control objectives
dilakukan dalam rangka mengelola TI yang terkait
dengan risiko bisnis, dilakukan dengan cara, antara lain: 1. Mulai dengan tujuan
bisnis yang ingin dicapai, 2. Memilih proses dan kontrol TI yang sesuai untuk
perusahaan
dari
control objectives,
3. Operasikan rencana bisnis, 4. Menilai
prosedur dan hasil dengan pedoman audit (Effendi, 2008: 17).
2.10 Penyusunan Hasil Audit dan Rekomendasi
Setelah audit dilaksanakan maka sebelum hasil audit dikomunikasikan,
pengaudit TI perlu berdiskusi untuk mendapatkan kesepahaman terhadap hasil
temuan dan mengembangkan rekomendasi untuk memperbaiki hasil audit tersebut
(Sarno, 2009: 165-174). Adapun langkah-langkah untuk menyusun rekomendasi,
yaitu:
1)
Penentuan hasil audit TI
2)
Penyusunan laporan hasil audit TI
Laporan audit merupakan hasil akhir dari pekerjaan audit TI yang berisikan
temuan dan rekomendasi kepada manajemen. Format dari laporan tersebut
akan bervariasi di setiap organisasi sehingga tidak ada format baku dalam
penyusunannya. Laporan yang dibuat seharusnya seimbang yang
mendeskripsikan tidak hanya isu negatif namun juga pernyataan konstruktif
yang positif berkaitan dengan peningkatan proses dan kontrol yang
dijalankan telah efektif.
3)
Audit untuk perbaikan berkelanjutan (rekomendasi)
Audit untuk perbaikan berkelanjutan diperlukan untuk penyediaan
rekomendasi panduan praktek bagi manajemen sebagai inisiatif penataan TI
yang diimplementasikan. Area perbaikan harus bisa menggambarkan area
perbaikan yang perlu dilakukan perusahaan berdasarkan uji kepatutan dan
tingkat kedewasaan saat pelaksanaan audit. Contoh penyusunan laporan
hasil Audit berupa penyusunan temuan dan rekomendasi laporan hasil audit
ditunjukkan pada Tabel 2.10.
Tabel 2.10. Contoh Laporan Hasil Audit Daftar Temuan dan Rekomendasi Audit
Sistem Informasi
Proses TI
Temuan
Rekomendasi
PO6
Mengkomunikasika
n Arah dan Tujuan
Manajemen
Komunikasi dari arah
dan tujuan TI masih
bersifat informal
Membentuk komunikasi arah
dan tujuan TI terhadap setiap
proses dan mulai
31
Langkah pelaksanaan audit sistem informasi berdasarkan
best practice
(Sarno, 2009: 147-163), yaitu: Penentuan Ruang Lingkup Audit Sistem Informasi,
Pengumpulan Bukti, Pelaksanaan Uji Kepatutan, Perhitungan Nilai Maturity Level,
[image:34.612.101.514.290.496.2]Penyusunan Temuan dan Penyusunan Rekomendasi.
Gambar 3.1 Skema Langkah Pelaksanaan Audit Sistem Informasi
Pada Gambar 3.1 merupakan langkah-langkah yang akan dilakukan untuk
melaksanakan audit. Dari langkah-langkah tersebut akan dibahas meliputi:
Penentuan Ruang Lingkup Audit Sistem Informasi, Pengumpulan Bukti,
3.1
Block Diagram
Model Pengembangan
Input: Observasi, W awancara, Bukti Pengum pulan D ata
M elihat Pem etaan Berdasarkan Balanced
Scorecard
M eninjau Pem etaan Perspektif Keuangan Berdasarkan Balanced
Scorecaard Melihat Em pat Perspektif
Balanced Scorecard
M enentukan Pem etaan Tujuan Bisnis dan Tujuan TI Berdasarkan Balanced
Scorecard
M em buat Pernyataan sesuai dengan Control O bjectives M em perhatikan 24 C ontrol
Objective dalam Perspektif Keuangan dan Tujuan TI
pada CO BIT
M elakukan Pengisian Kertas Kerja Audit oleh Auditor Mencatat Hasil P engisian
Kertas Kerja Audit
M enggam barkan Jaring Laba-laba
O utput Menghasilkan: M aturity M odel, Jaring Laba -laba, Laporan
Hasil Audit, Tem uan dan Rekom endasi Menghitung Nilai M aturity
Level M enentukan R uang
Lingkup D irektorat Keuangan
M enentukan Control Objectives yang sesuai dengan Ruang Lingkup
Direktorat Keuangan Melihat Tujuan Bisnis dan
Tujuan TI Terpenting Berdasarkan C OBIT Proses
M enentukan tugas dalam R ACI chart sesuai dengan tugas dan w ewenang dalam
Struktur Organisasi
M enggam barkan M aturity M odel
Keterangan:
1.
Observasi, wawancara dan bukti pengumpulan data sebagai analisis kondisi
eksisting (Sarno, 2009:33), yaitu dilakukan untuk mengetahui kondisi hal-hal
yang berhubungan dengan pengelolaan sistem informasi pada Direktorat
Keuangan.
2.
Melihat Pemetaan Berdasarkan
Balanced Scorecard sebagai suatu konsep
manajemen yang membantu menerjemahkan strategi ke dalam tindakan
sehingga dapat diukur untuk melaksanakan proses-proses manajemen kritis
(Kaplan dan Norton dalam Gaspersz, 2005: 9).
3.
Meninjau Pemetaan Perspektif Keuangan Berdasarkan
Balanced Scorecard
sebagai pemahaman mengenai perspektif keuangan dalam manajemen karena
keberlangsungan suatu unit bisnis sangat tergantung pada posisi dan kekuatan
keuangan, agar tujuan keuangan terus mencapai posisi yang tinggi, sehingga
ukuran keuangan menjadi standar defakto dari pengukuran kesuksesan bisnis
perusahaan (Niven, 2007: 3; Gaspersz, 2005: 38-40). Pemilihan perspektif
keuangan karena untuk membangun suatu
Balanced Scorecard unit-unit
bisnis harus dikaitkan dengan tujuan keuangan yang berkaitan dengan strategi
perusahaan. Selain itu,
Balanced Scorecard termasuk dalam sepuluh tujuan
bisnis dan tujuan TI terpenting berdasarkan survei ITGI.
4.
Menentukan Pemetaan Tujuan Bisnis dan Tujuan TI berdasarkan
Balanced
Scorecard sebagai alat ukur kinerja bisnisnya dalam kerangka keseluruhan
manajemen suatu perusahaan agar diketahui posisi bisnis dari bisnis yang
5.
Membuat Pernyataan sesuai dengan
control objectives yaitu
pernyataan-pernyataan yang dikemukakan sesuai dengan control objectives.
6.
Menentukan Control Objectives yang sesuai dengan ruang lingkup Direktorat
Keuangan, yaitu pernyataan-pernyataan yang dikemukakan sesuai dengan
ruang lingkup pada Direktorat Keuangan
7.
Melakukan Pengisian Kertas Kerja Audit oleh
Auditor yaitu menyiapkan
pertanyaan sesuai dengan pernyataan yang sesuai
control objectives dan
ruang lingkup pada Direktorat Keuangan, berdasarkan hasil observasi,
wawancara dan pengumpulan bukti. Pertanyaan pada kertas kerja untuk
mengetahui pengelolaan TI pada Direktorat Keuangan PT. Pelindo III.
8.
Mencatat Hasil Pengisian Kertas Kerja Audit dilakukan setelah
Auditor
mengisi kertas kerja audit.
9.
Menghitung nilai maturity level sesuai hasil penilaian pada kertas kerja.
10.
Menggambarkan jaring laba-laba berdasarkan nilai maturity level.
11.
Menggambar
maturity model agar perusahaan dapat mengukur poisisi
kematangannya dalam pengembangan TI
12.
Penyusunan laporan hasil audit, termasuk berisi temuan-temuan. Penyusunan
rekomendasi berdasarkan kertas kerja sebagai langkah akhir dalam
pelaksanaan audit sistem informasi.
3.2. Cara Pengambilan Data
Dalam pencarian dan pengumpulan data yang relevan, teknik pengumpulan
a.
Wawancara, dilakukan untuk mengetahui proses bisnis yang ada di
perusahaan.
b.
Survei menggunakan daftar pertanyaan, dilakukan untuk mendapatkan
informasi lanjutan yang sekiranya berpotensi untuk memberikan kontribusi
pada tahap analisis
c.
Peninjauan terhadap dokumen, dilakukan untuk mengumpulkan informasi
tentang situasi sistem yang ada sebagai peninjauan terhadap aktivitas
perusahaan.
d.
Observasi, bertujuan untuk pemrosesan dan pengkonfirmasian hasil-hasil dari
wawancara, identifikasi dokumen-dokumen yang perlu untuk analisis lebih
lanjut.
e.
Informal Brainstorming Group Session, untuk mendefinisikan ruang lingkup
dari audit yang akan dillakukan oleh pengaudit TI
3.3 Teknik Pelaksanaan Audit Sistem Informasi
Terdapat teknik analisa pada pelaksanaan audit sistem informasi (Sarno,
2009). Teknik analisa tersebut sebagai berikut:
3.3.1 Penentuan Ruang Lingkup Audit Sistem Informasi
Ruang lingkup pada Direktorat Keuangan, berdasarkan kerangka kerja
COBIT, terdapat 34 (tiga puluh empat) proses TI. Berdasarkan perspektif
keuangan pada kerangka kerja COBIT yang mengacu pada Tujuan Bisnis yang
pertama yaitu: penyediaan pengembalian investasi yang baik dari bisnis yang
dibangkitkan TI (Tujuan TI 24), yang meliputi proses TI: PO5, A15, dan DS6.
dengan TI (Tujuan TI 2, 14, 17, 18, 19, 21 dan 22). Adapun tujuan TI 24 meliputi
proses: PO1, PO4, PO10, ME1, ME3. Tujuan TI 14 meliputi: PO9, DS5, DS9,
DS12, ME2; Tujuan TI 17 meliputi proses: PO9, DS10, ME2; Tujuan TI 18
meliputi proses : PO9; Tujuan TI 19, meliputi proses: PO6, DS5, DS11, DS12;
Tujuan TI 21 meliputi proses: PO6, A17, DS4, DS5, DS12, DS13, ME2; Tujuan
TI 22 meliputi proses: PO6, AI6, DS4, DS12; Tujuan TI 24 meliputi proses: PO5,
AI5, DS6. Pada Tujuan Bisnis yang ketiga yaitu: peningkatan transparansi dan
tata kelola perusahaan (Tujuan TI 2 dan 18). Sehingga keseluruhan kebutuhan
Proses TI sebagai berikut: PO1, PO4, PO5, PO6, PO9, PO10, AI5, AI6, AI7, DS4,
DS5, DS6, DS9, DS10, DS11, DS12, DS13, ME1, ME2, ME3, dijelaskan pada
Tabel 3.1.
Tabel 3.1 Ruang Lingkup Audit Sistem Informasi
Perspektif
Kinerja No. Tujuan Bisnis
24
PO5, AI5, DS6
2 14 17 18 19 21 22
PO1, PO4, PO10, ME1, ME3 PO9, DS5, DS9, DS12, PO9, DS10, ME2
PO9 PO6, DS5, DS11, DS12
PO6, AI7, DS4, DS5, DS12, DS13, ME2 PO6, AI6, DS4, DS12 2 18 PO1, PO4, PO10, ME1, ME3 PO9
Tujuan TI dan Proses TI
Penyediaan pengembalian investasi yang baik dari bisnis yang dibangkitkan TI 1.
Pengelolaan resiko bisnis yang terkait dengan TI 2.
Perspektif Keuangan
3. Peningkatan transparansi dan tata kelola perusahaan
Sumber: Information Technology Governance Institute, 2007
3.3.2 Pengumpulan Bukti
a. Gambaran Umum Perusahaan
Sebuah perusahaan harus mempunyai visi dan misi untuk menentukan arah
dicanangkan oleh pendiri perusahaan. Namun yang harus diperhatikan, visi
bukanlah mimpi, namun sesuatu yang mungkin terwujud, sedangkan misi
ditetapkan sebagai jawaban terhadap visi yang telah ditetapkan sebelumnya. Misi
masih merupakan sesuatu yang memiliki arti global dan cenderung generik. Oleh
karena itu, ditentukan beberapa objektif yang ingin dicapai dalam berbagai hal
sehubungan dengan misi yang dicanangkan tersebut.
PT. Pelindo III telah berkomitmen dalam visinya yaitu untuk menjadi
pelaku penyediaan jasa kepelabuhanan yang prima, berkomitmen memacu
integrasi logistik nasional. Adapun misi yang diemban oleh PT. Pelindo III, yaitu:
1.
Menjamin penyediaan jasa pelayanan prima melampaui standar yang berlaku
secara konsisten
2.
Memacu kesinambungan daya saing industri nasional melalui biaya logistik
yang kompetitif
3.
Memenuhi harapan semua
Stake Holders melalui prinsip kesetaraan dan tata
kelola perusahaan yang baik
4.
Menjadikan Sumber Daya Manusia (SDM) yang kompeten, berkinerja handal
dan berbudi pekerti luhur
5.
Mendukung perolehan devisa negara dengan memperlancar arus perdagangan
b. Struktur Organisasi PT. Pelindo III
Struktur organisasi PT. Pelindo III, ditunjukkan pada Gambar 3.3 halaman
38. Berisi fungsi, wewenang dan tanggung jawab organisasi. Struktur organisasi
digunakan untuk menentukan pihak yang bertanggung jawab atas kesuksesan
sebuah aktivitas (accountable), pihak yang mengerti aktivitas (consulted), dan
pihak yang senantiasa diinformasikan perihal perkembangan aktivitas (informed)
(Sarno, 2009: 150). Penentuan RACI dapat dilihat pada Lampiran 1 halaman 96.
c.
Direktorat Keuangan
Dalam mewujudkan visi dan misi perusahaan, diperlukan suatu bagian
yang mengurus tentang keuangan. Fungsi keuangan yang telah dilakukan oleh
Direktorat Keuangan PT. Pelindo III yaitu berupa perencanaan pengembangan
Teknologi Informasi (TI) yang terintegrasi dengan cara memasukkan layanan dan
sistem informasi keuangan sehingga mampu mengorganisir informasi yang
diciptakan secara lokal dan akses informasi yang tersebar secara global.
Kondisi saat ini Direktorat Keuangan menggunakan aplikasi Sistem
Informasi antara lain: Aplikasi Anggaran, Aplikasi Keuangan
General Ledger
(GL)), Aplikasi Perbendaharaan, Aplikasi Aktiva Tetap (fixed asset), Aplikasi
Executive Information System (EIS) dan Konsolidasi, Aplikasi
Payroll, Aplikasi
Perpajakan, Aplikasi Piutang. Gambar 3.4 menggambarkan sistem informasi
keuangan pada Direktorat Keuangan PT. Pelindo III.
Aplikasi Anggaran merupakan aplikasi yang digunakan untuk mencatat
anggaran investasi perusahaan secara keseluruhan. Misalnya penyusunan rencana
kerja anggaran perusahaan. Aplikasi Anggaran ini juga sebagai kontrol terhadap
penggunaan (realisasi) anggaran di lingkungan PT. Pelindo III.
Aplikasi Keuangan
General Ledger (GL) merupakan aplikasi keuangan
yang digunakan untuk mencatat kegiatan transaksi keuangan secara keseluruhan
baik itu berupa aktiva maupun pasiva. Transaksi tersebut kemudian menghasilkan
sebuah laporan keuangan.
Aplikasi Perbendaharaan merupakan aplikasi keuangan yang memiliki
fungsi untuk mencatat keluar masuk uang di lingkungan kantor pusat PT. Pelindo
III. Dalam hal ini bisa memiliki fungsi yang menyerupai kasir.
Aplikasi Aktiva Tetap (fixed asset) merupakan aplikasi yang mencatat
pergerakan aktiva tetap secara keselurahan. Mulai dari pencatatan penambahan
aktiva baru, penyusutan, maupun penghapusan aktiva. Sehingga pada aplikasi ini
menghasilkan laporan secara periodik, maupun sesuai kebutuhan.
Aplikasi Eksekutif Information System (EIS) dan Konsolidasi merupakan
sistem informasi yang terintegrasi dari berbagai database yang dibutuhkan untuk
menganalisa keuangan. Aplikasi EIS kemudian menghasilkan laporan pendapatan,
biaya dan laba rugi dari keseluruhan jasa yang dilakukan pada PT Pelindo III.
Pelayanan jasa tersebut meliputi: pelayanan kapal barang, pelayanan bongkar
muat, pelayanan properti, pelayanan aneka usaha, pelayanan usaha peti kemas.
Aplikasi Payroll merupakan aplikasi yang digunakan untuk mencatat proses
penggajian setiap bulannya. Selain itu aplikasi
payroll juga mencatat proses
Aplikasi Perpajakan merupakan aplikasi yang digunakan untuk memproses
pajak, yang kemudian menghasilkan laporan yang diserahkan pada Direktorat
pajak. Termasuk pajak penghasilan, pajak pertambahan nilai (misalnya: pajak
setiap usaha dan berbagai jenis pelayanan jasa yang dihasilkan), pajak penyusutan
aktiva tetap.
Aplikasi Piutang merupakan aplikasi yang digunakan untuk mencatat
pergerakan piutang pelanggan pelayanan jasa.
d.
Proses Bisnis Perusahaan
Proses Bisnis perusahaan digunakan untuk mengetahui aktivitas operasional
perusahaan. Entity dalam proses bisnis tersebut merupakan pihak-pihak atau
bagian yang terkait dalam sistem pada Direktorat Keuangan.
e.
Jadwal Pelaksanaan Audit
Pelaksanaan audit sistem informasi yang dilakukan pada Direktorat
Keuangan dilaksanakan secara bertahap. Tabel 3.2 menunjukkan jadwal tahapan
pelaksanaan audit. Tabel 3.3 di halaman 42 menjelaskan deskripsi Tugas Utama
Tim Audit.
Tabel 3.2 Jadwal Tahapan Pelaksanaan Audit
NO KEGIATA
N
2010 2011
September Oktober Nopember Desember Januari
Pe-brua
ri
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2
1 Persiapan
dan Perencana-an
v v v v
2 Studi
Pustaka
NO KEGIATA N
2010 2011
September Oktober Nopember Desember Januari
Pe-brua
ri
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2
3 Observasi
prosedur kerja, Mempela-jari dokumen, Wawancara
v v v v
4
Mengajuk-an daftar pertanyaan
v v v v
5
Pelaksana-an Audit
v v v v
6 Penentuan
tingkat kedewasaan
v v v v v v
7 Penyusunan
hasil audit
v v v v v v v v v v v v
8 Penyusunan
rekomenda-si
[image:45.612.106.509.76.703.2]v v v v v v v v v v v v
Tabel 3.3 Tim Audit Consultant
Penugasan
Deskripsi Tugas Utama
Nama
Lead
Auditor
Memimpin audit dalam segala aspek, antara
lain
konsolidasi
dan
persiapan
audit,
pelaksanaan audit, sampai pada analisa dan
laporan audit final.
Lead Auditor
akan
berhubungan
secara
langsung
dengan
perusahaan
serta
melakukan
pemecahan
masalah yang bersifat strategis yang mungkin
muncul serta memastikan bahwa tujuan audit
tercapai dan selesai pada waktu yang telah
ditentukan.
Dian Arisanti
Auditor
Auditor akan melaksanakan dan memastikan
proses dan prosedur audit yang akan dilakukan
dan dipenuhi sesuai dengan standar audit yang
ditentukan.
Auditor akan
mempersiapkan
materi
audit,
serta
melaksanakan
dan
mengalokasikan
sumber
daya
dan
arah
pelaksanaan audit.
Dian Arisanti
Consultant Consultant memberikan masukan
kepada
Auditor
berupa standar yan tepat untuk audit
sistem informasi setelah melihat latar belakang
masalah,
perumusan
masalah,
tujuan,
perhitungan nilai
maturity level, temuan dan
rekomendasi.
Data
Gathering
&
Documenta
tion
Bertanggung jawab terhadap pengumpulan data
dan melakukan dokumentasi dan memastikan
kelengkapan dan validitas dokumen audit yang
diperlukan. Membantu
consultant dan
auditor
dalam melakukan konsolidasi hasil audit dan
analisa audit.
Dian Arisanti
3.3.3 Pelaksanaan Uji Kepatutan
Kepatutan proses dapat diketahui dari hasil pengumpulan bukti. Peneliti
melakukan pengujian kepatutan proses TI dengan melihat proses yang
berlangsung terhadap standar yang berlaku. Berdasarkan desain dan struktur
organisasi maka dapat diidentifikasi Object yang diaudit. Hal ini didukung dengan
kebijakan dan prosedur perusahaan.
3.3.4 Perhitungan Nilai Maturity Level
Peneliti melakukan penelitian untuk meningkatkan kesadaran akan
kepentingan peningkatan pengelolaan proses TI di perusahaan. Hal ini dinyatakan
dengan perhitungan nilai
maturity level. Adapun penentuan tingkat kedewasaan
pada COBIT dilakukan pada tiap Proses TI dan dilakukan pada semua level, mulai
dari level 0 (nol) hingga level 5 (lima). Penentuan tingkat kedewasaan ini,
dilakukan dari hasil wawancara perihal pelaksanaan Proses TI dengan pihak yang
berhubungan dengan pengelolaan proses tersebut. Sebelum wawancara dilakukan,
auditor melakukan pembobotan pernyataan dengan skor antara skala 1-10 (dalam
skala antara 1-10) (Sethuraman, 2007: 5). Selanjutnya skala pembobotan
kepentingan kondisi perusahaan Pengendalian praktek atas informasi, TI dan
risiko terkait pada COBIT dapat diterima secara internasional seperti yang telah
dikeluarkan oleh ITGI. Risiko yang dimaksud terkait dengan manajemen yang
diaktualisasi dalam sistem informasi (Sasongko, 2009: B-109).
Menurut Niekerk dan Labuschagne (2006: 7), tingkat pembobotan dalam
manajemen, secara kualitatif dibagi, yaitu: sangat penting, cukup penting dan
kurang penting. Dimana tingkat pembobotan manajemen diaktualisasikan ke
dalam pengendalian praktek manajemen terkait TI (Sasongko, 2009: B109), maka
tingkat pembobotan manajemen secara kuantitatif dalam skala 1-10, dibagi
sepuluh diperoleh skala 0-1. Contoh penyesuaian skala 1-10 ke skala 0-1, dapat
dilihat pada Tabel 3.4. Kemudian Tingkat kepentingan dalam pembobotan
pernyataan dapat dijelaskan pada Tabel 3.5.
Tabel 3.4. Contoh Penyesuaian Skala 1-10 ke Skala 0-1
No.
Skala 1-10
Skala 0-1
1
1
0,1
[image:47.612.101.510.288.511.2]2
10
1
Tabel 3.5 Tingkat Kepentingan dalam Pembobotan Pernyataan
No.
Nilai Kualitatif
Skala
Keterangan
1
Sangat Penting
0,70 – 9,00
Pernyataan tersebut mempunyai
peranan yang sangat penting
dalam proses sistem informasi
2
Cukup Penting
0,40 – 0,69
Pernyataan tersebut cukup
mempunyai peran dalam proses
sistem informasi
3
Kurang Penting
0,00 – 0,39
Pernyataan tersebut dalam
melengkapi peran dalam sistem
informasi
Setelah dilakukan pembobotan pernyataan pada tiap proses TI, maka
dilakukan audit untuk menguji tingkat kepatutan. Gambar 3.5 menunjukkan
contoh penentuan tingkat kedewasaan.
Apakah sepakat?
Nama Proses
Mendefinisikan Rencana Strategis Sistem Informasi T id ak S am a S e k al i S ed ik it D al am t in g k at an te rt e n tu S e lu ru h n y a N IL A I Nomor
Proses
PO1
Level Kedewasaan0
No. Pernyataan Bobot 0.00 0.33 0.66 1.00
1 Terdapat perencanaan strategis TI yang
telah dilakukan 1,00 1,00
2 Terdapat kesadaran manajemen bahwa
perencanaan strategis TI diperlukan untuk mendukung tujuan bisnis
1,00 1,00
Total Bobot = 2,00 Tingkat Kepatutan 1,00 Total
[image:48.612.104.528.227.460.2]Nilai 2,00
Gambar 3.5 Contoh Tingkat Kedewasaan Level 0 dari Proses TI PO1
Setelah dilakukan perhitungan nilai
maturity level pada tiap
maturity
level,
dibuat jaring laba-laba untuk menggambarkan nilai
maturity level
pada
setiap tujuan TI dan Tujuan Bisnis, seperti ditunjukkan pada Gambar 3.6.
[image:48.612.255.384.552.671.2]Hasil akhir penilaian rata-rata
maturity level digambarkan dengan
maturity model, agar perusahaan mampu mengevaluasi kondisi saat ini dengan
tujuan untuk kemudahan dalam pemahanan secara ringkas bagi pihak manajemen.
Selain itu, dengan
maturity model perusahaan dapat mengukur poisisi
[image:49.612.105.513.286.486.2]kematangannya dalam pengembangan TI, digambarkan seperti pada Gambar 3.7.
Gambar 3.7 Contoh Maturity Model
Sumber: Information Technology Governance Institute, 2007
3.3.5 Penyusunan Temuan
Penyusunan temuan berdasarkan hasil pengisian kertas kerja dan
pertanyaan-pertanyaan wawancara oleh
auditor yang digunakan untuk
mengumpulkan fakta tiap proses yang ada di sistem informasi keuangan saat ini.
Pertanyaan yang diajukan dalam kertas kerja maupun wawancara dibuat
berdasarkan COBIT yang dikembangkan sesuai dengan yang akan diaudit.
3.3.6
Penyusunan Rekomendasi
Penyusunan rekomendasi dari hasil pengumpulan bukti
dokumen-dokumen, prosedur dan kebijakan dari organisasi yang diaudit dikatakan layak
jika ada tanda tangan dari bagian yang bertanggung jawab terhadap suatu aktifitas
tersebut. Sedangkan hasil dari audit nantinya akan diukur dengan menggunakan
maturity model yaitu alat untuk mengukur seberapa baik proses-proses sistem
informasi berkembang. Dengan
model maturity manajemen dapat mengukur
posisi proses sistem informasi yang sekarang dan menilai hal yang diperlukan
untuk meningkatkannya. Alat yang digunakan untuk memetakan posisi proses
sistem informasi adalah dengan menggunakan kertas kerja. Kertas kerja dibuat
dengan menggunakan teknik wawancara. Selanjutnya hasil pemetaan maturity di
review dengan melakukan wawancara ke pihak terkait apakah tingkat
maturity
pengelolaan control process yang telah ditentukan pada tahap sebelumnya sudah
sesuai dengan kondisi di lapangan. Penyusunan rekomendasi dijelaskan pada Bab
BAB IV
HASIL DAN PEMBAHASAN
4.1. Evaluasi Hasil Pelaksanaan Audit Sistem Informasi
Pada bab ini membahas tentang evaluasi hasil pelaksanaan audit sistem
informasi berdasarkan Penentuan Ruang Lingkup Audit Sistem Informasi,
Pengumpulan Bukti, Pelaksanaan Uji Kepatutan dan Perhitungan Nilai
Maturity
Level
. Hasil audit disusun sehingga menghasilkan Penyusunan Temuan, sampai
dengan Penyusunan Rekomendasi audit sistem informasi.
4.1.1.
Penentuan Ruang Lingkup Audit Sistem Informasi
Penentuan Ruang Lingkup pada audit sistem informasi ini berdasarkan
perspektif keuangan
Balanced Scorecard
. Perspektif keuangan dapat digunakan
sebagai tolok ukur keuangan dalam organisasi, sehingga menjadi perhatian utama
karena mengikhtisarkan konsekouensi ekonomis yang terjadi disebabkan oleh
keputusan dan tindakan yang diambil (Supriatna, 2002). Berdasarkan pemetaan
yang diperoleh dari tahap-tahap audit pada Bab III, perspektif keuangan dipetakan
dalam 3 (tiga) tujuan bisnis dan 8 (delapan) tujuan TI. Rincian keseluruhan
kebutuhan proses TI dapat dilihat pada Tabel 4.1.
Tabel 4.1 Keseluruhan Kebutuhan Proses TI pada Perspektif Keuangan
No.
Tujuan Bisnis
Tujuan TI
Proses TI
1
Penyediaan
pengembalian
investasi
yang
baik dari bisnis
yang
dibangkitkan TI
24 Peningkatan
terhadap
efisiensi
biaya
TI
dan
kontribusinya
terhadap
keuntungan bisnis
PO5
Mengelola
investasi
sistem
informasi
AI5
Memenuhi sumber
daya
sistem
informasi
No.
Tujuan Bisnis