LAPORAN PROYEK MADYA
Perancangan Audit Teknologi Informasi Menggunakan Kerangka
Kerja COBIT 4.1 Untuk Evaluasi Pengelolaan Resiko Usaha yang
Berkaitan dengan PenerapanTeknologi Informasi di Universitas
Narotama Surabaya
Disusun Oleh :
TIURMA VIVI SUARY SILAEN
NIM : 04207046
PROGRAM STUDI SISTEM INFORMASI
FAKULTAS ILMU KOMPUTER
UNIVERSITAS NAROTAMA
SURABAYA
Perancangan Audit Teknologi Informasi Menggunakan Kerangka
Kerja COBIT 4.1 Untuk Evaluasi Pengelolaan Resiko Usaha yang
Berkaitan dengan PenerapanTeknologi Informasi di Universitas
Narotama Surabaya
Oleh : Tiurma Vivi
Dosen Pembimbing: Indri Sudanawati Rozas, S.Kom
ABSTRAK
Teknologi Informasi (TI) dianggap sebagai pendorong dan pendukung strategi perusahaan dan dianggap sebagai bagian terintegrasi dari strategi perusahaan. Untuk mendapatkan hasil yang maksimal tentunya TI harus didukung dengan pengelolaan yang baik. Pengelolaan TI berbasis resiko menjadi bagian penting dari suatu perusahaan karena kesuksesan tata kelola TI dapat menjamin perbaikan yang terukur secara efektif dan efisien dari proses bisnis yang terkait.
Untuk mengetahui seberapa jauh dukungan TI yang telah diberikan, pihak manajemen seharusnya memastikan bahwa kontrol internal dalam bentuk kerangka kerja (framework) telah ditempatkan sesuai dengan fungsinya. Salah satu cara untuk memastikan bahwa perusahaan telah memenuhi kontrol internal terkait dengan standar pengelolaan proses secara umum adalah dengan Audit TI. Audit TI lebih terfokus kepada penggunaan teknologi untuk mendukung kebutuhan bisnis yang sesuai dengan standar dan kebijakan yang berlaku.
Perancangan audit TI merupakan perancangan yang menjabarkan langkah – langkah hingga proses audit yang nantinya akan dilaksanakan pada tugas akhir. Perancangan ini sendiri menggunakan kerangka kerja (framework) COBIT 4.1 dimana dalam COBIT lebih terfokus pada kontrol yang biasanya digunakan oleh manajemen tingkat atas.
Berdasarkan tujuan bisnis yang didapat dari rangkuman visi misi Universitas Narotama didapatlah beberapa tujuan TI yang menghasilkan proses – proses TI yang menjadi acuan proses pelaksanaan perancangan audit hingga proses audit.
AUDIT INFORMATION TECHNOLOGY DESIGN USING COBIT 4.1
FRAMEWORK TO EVALUATE IT-RELATED BUSINESS RISK
APPLICATION IN NAROTAMA UNIVERSITY SURABAYA
By : Tiurma ViviLecturers:Indri Sudanawati Rozas, S.Kom
ABSTRACT
Information Technology (IT) is considered as the driving and supporting company's strategy and as an integrated part of corporate strategy. To get the maximum benefit of IT, it must be supported by good management. IT risk - based management becomes an important part of a company because the success of IT governance ensures measurable improvements in an effective and efficient related business processes. To find out how much IT support has given, the management should ensure that an internal control of frameworks has been placed in accordance with its function. To ensure that the company has met the standard of internal controls related to generally process management is IT Audit-in. IT Audit focusing the use of technology to support business needs, according standards and policies. Design of the IT audit is a design that outlines the steps up to the audit process which will be held on the final task. The design itself is using the COBIT (Control Objectives for Information and related Technology) framework where it’s more focused on the controls that are typically used by upper management. Based on business goals from the summary of the vision and mission of the Narotama University derived several purposes which outcome some IT goals that become IT processes. These processes will become references of implementation the IT audit designing process and the auditing process.
KATA PENGANTAR
Puji Tuhan Yesus yang selama ini selalu menyertaiku dalam proses pengerjaan proma ini. Saya mengucapkan terima kasih atas bantuan dan dorongan dari berbagai pihak sehingga saya dapat menyelesaikan proma ini dengan judul: “Perancangan Audit Teknologi Informasi Menggunakan Kerangka Kerja COBIT 4.1 Untuk Evaluasi Pengelolaan Resiko Usaha yang Berkaitan dengan PenerapanTeknologi Informasi di Universitas Narotama Surabaya” guna memenuhi persyaratan dalam memperoleh gelar Strata-1 pada Fakultas Ilmu Komputer Program Studi Sistem Informasi, Universitas Narotama Surabaya.
Sangat tidak mungkin bagi saya untuk bisa menyelesaikan proma ini tanpa bantuan serta dukungan dari pihak-pihak lain. Untuk itu saya mengucapkan terima kasih sebesar-besarnya kepada:
1. Bapak Ir. Tony Hartono Bagio, MT, sebagai Dekan Fakultas Ilmu Komputer Universitas Narotama Surabaya
2. Bapak Cahyo Darujati, ST, sebagai Ketua Program Studi Sistem Informasi Komputer Universitas Narotama Surabaya
3. Dosen Pembimbing saya Ibu Indri Sudanawati Rozas, S.Kom, yang dengan sabar mengajar dan membimbing saya dalam proses pengerjaan proma ini. Terima kasih untuk selalu memotivasi saya bahwa “ kamu bisa,Vi!!”, dan menjadi panutan dan teladan yang baik buat saya. You are one of my idol besides my Mom,Mam
4. Untuk semua dosen pengajar yang sudah membina saya sebagai mahasiswa dari tahun 2007 hingga sekarang. Mungkin tidak bisa saya sebutkan satu persatu tapi saya ucapkan banyak terima kasih untuk semua dosen pengajar saya. Love you all Sir/Mam
5. Kepala serta segenap Staff TU Fakultas Ilmu Komputer Universitas Narotama Surabaya, terima kasih atas dorongan semangat serta segala keramahan dan fasilitas-fasilitas yang diberikan.
6. Kepada mendiang Bapak (P.Silaen) dan tak lupa untuk mendiang Ayah tiriku (Joko Susilo), semoga kalian bangga disana melihat putri yang sudah kalian besarkan dan didik bisa berjalan sejauh ini. Buat Mama dan Om yang selalu mendukung saya setiap
waktu, baik dari tenaga, dukungan dan doa. Meski kita tinggal berjauhan tapi tetap dekat dihati. I love u the most Mom. Untuk seseorang yang spesial yang selalu mendukung saya, thank you so much,my dear.
7. Untuk teman baikku Ariany Deasy, Yusron (Yucan), Jesman L.Simatupang dan Lady Putri, thanks buat dukungan dan bantuannya tiap saat. Serta semua pihak yang selalu memberikan motivasi dan dukungannya.
Akhirnya, Penulis menyadari sepenuhnya bahwa penulisan proma ini tidak luput dari kekurangan, oleh karena itu dengan segala kerendahan hati, saran serta kritik dalam rangka penyempurnaan, senantiasa akan diterima dengan terbuka.
Semoga Karya ini dapat menjadi sumbangan pengetahuan dan pengembangan Ilmu Komputer, serta dapat memberikan manfaat bagi penulis dan instansi lain maupun pembaca.
Surabaya, Juni 2011
(Tiurma Vivi S.Silaen)
DAFTAR ISI
KATA PENGANTAR ……….. i
ABSTRAK ……… iii
ABSTRACT ………. iv
BAB I PENDAHULUAN
1.1 Latar Belakang………...1
1.2 Rumusan Masalah………... 2
1.3 Batasan Masalah ……….. 3
1.4 Tujuan dan Manfaat ……….4
1.5 Sistematika Penulisan ………... 5
BAB II LANDASAN TEORI………... 6
2.1 Audit TI ………... 6
2.2 COBIT ………. 7
2.2.1 COBIT ………. 7
2.2.2 COBIT 4.1 ………... 13
2.3 Business Goals, IT Goals and IT Process ………14
2.4 Maturity Model ………... 17
2.5 Control Objectives ………...20
BAB III MEDOTOLOGI PENELITIAN………... 22
3.1 Mengidentifikasi Tujuan dan Ruang Lingkup ……….22
3.2 Mengidentifikasi Proses IT ………..24
3.3 Melakukan Assessment(Penilaian) Kondisi Eksisting ………26
3.4 Melakukan Analisis Hasil dan Menyusun rekomendasi ………..28
3.5 Menyusun laporan audit ……….. 30
BAB IV HASIL DAN PEMBAHASAN ………... 31
4.1 MEASUREMENT TOOLS ……….31
BAB V KESIMPULAN……… 103
5.1 Kesimpulan……….. 103
BAB I PENDAHULUAN 1.1 Latar belakang
Teknologi Informasi dianggap sebagai pendorong dan pendukung strategi perusahaan dan dianggap sebagai bagian terintegrasi dari strategi perusahaan. Untuk mendapatkan hasil yang maksimal tentunya TI harus didukung dengan pengelolaan yang baik. Pengelolaan yang kurang tepat akan berakibat buruk terhadap proses bisnis perusahaan dan aset – aset penting perusahaan.
Saat ini pengelolaan TI berbasis resiko menjadi bagian penting dari suatu perusahaan karena kesuksesan tata kelola dapat menjamin perbaikan yang terukur secara efektif dan efisien dari proses bisnis yang terkait dengan TI.
Untuk mengetahui seberapa jauh dukungan TI yang telah diberikan, pihak manajemen seharusnya memastikan bahwa kontrol internal dalam bentuk kerangka kerja ( framework) telah ditempatkan sesuai dengan fungsinya. Salah satu cara untuk memastikan bahwa perusahaan telah memenuhi kontrol internal terkait dengan standar pengelolaan proses secara umum adalah dengan audit.
Audit SI/TI difokuskan kepada proses yang tingkat resikonya tinggi dan aset yang mempunyai nilai penting bagi kelangsungan bisnis perusahaan. Dengan menguji nilai kepatutan terhadap kontrol internal, resiko buruk terhadap perusahaan bisa berkurang dan mengacu pada best practice yang akan membantu perusahaan dalam menjawab pertanyaan – pertanyaan terkait dengan pengelolaan TI.
1.2 Rumusan Masalah
Berdasarkan latar belakang diatas, Audit dilakukan untuk mengetahui sejauh apa peran TI dan manfaat TI dalam manajemen perusahaan sehingga tujuan bisnis dapat dipenuhi secara maksimal. COBIT (Control Objectives for Information and related Technology) adalah salah satu kerangka kerja dari sekian banyak jenis kerangka kerja ( framework) menyediakan standar kerangka kerja yang lebih banyak terfokus pada kontrol dan sedikit eksekusi. Cobit terdiri dari 4 domain proses yang jumlah keseluruhan prosesnya adalah tiga puluh empat proses (34 proses). Empat domain tersebut adalah PO (Plan and Organize), AI (Acquire and Implement), DS (Deliver and Support) serta ME (Monitor and Evaluate).
Berdasarkan visi dan misi Universitas Narotama yang tercantum pada wall web Narotama,disimpulkan bahwa tujuan bisnis dari Universitas Narotama berdasarkan financial perspective yang didapat dari hasil pemetaan tujuan bisnis COBIT 4.1 adalah Manage IT-related business risk. Dari tujuan bisnis tersebut didapat 8 IT goals atau tujuan TI dari kemudian menghasilkan 17 proses dari keempat jenis domain secara acak yang akan menjadi acuan proses perancangan audit TI pada TI universitas.
Ke- 17 proses tersebut adalah :
Plan and Organize : PO1, PO4, PO6, PO9, PO10
Monitor and Evaluate : ME1, ME2, ME4
Deliver and Support : DS4, DS5, DS9, DS10, DS11, DS12, DS13
Acquire and Implement : AI6, AI7.
1.3 Batasan Masalah
Batasan masalah dalam membuat perancangan audit TI untuk Universitas Narotama Surabaya : - Kerangka kerja/framework yang digunakan adalah COBIT.4.1.
- Tujuan bisnis dari Universitas Narotama berdasarkan financial perspective yang didapat dari hasil pemetaan tujuan bisnis COBIT 4.1 adalah Manage IT-related business risk. yaitu pengaturan TI berbasis resiko terhadap bisnis perusahaan.
- Setelah ditentukannya tujuan TI didapat 17 proses yang nantinya menjadi acuan dalam melakukan proses audit.
- Hasil dari perancangan audit nantinya adalah tabel – tabel penilaian level kedewasaan dan kontrol objektif yang nantinya akan digunakan untuk menguji tiap – tiap proses, contohnya gambar spider chart (dimana spider chart adalah hasil akhir dari keseluruhan perhitungan yang berbentuk mirip jaring laba- laba).
1.4 Tujuan dan Manfaat 1.4.1 Tujuan
Tujuan perancangan ini sendiri adalah untuk memudahkan pengaudit dalam membuat pre- audit planning (perencanaan sebelum audit). Sehingga waktu pada pengerjaan tugas akhir bisa diminimalkan karena sudah dilakukan proses perancangan.
1.4.2 Manfaat
1. Dapat meminimalis kesalahan – kesalahan waktu proses pengauditan
2. Mempermudah kerja pengaudit dalam proses pengumpulan data, menentukan bagian- bagian yang akan diobservasi dan pihak – pihak yang akan diwawancarai.
1.5 Sistematika Penulisan
Dalam penyusunan proyek madya ini menggunakan penulisan yang terbagi dalam lima bab, hal ini digunakan untuk memudahkan penulis untuk merancang kerangka kerja dan sistem pelaporan. Sistematika penulisan proyek madya ini adalah sebagai berikut:
BAB I : PENDAHULUAN
Bab ini berisi latar belakang, rumusan masalah, batasan masalah, tujuan dan manfaat, dan sistematika penulisan.
BAB II : LANDASAN TEORI
Dalam bab ini dikemukakan penjelasan teori – teori yang berkaitan dengan tata kelola dan audit sistem informasi. Seperti pemahaman tentang tata kelola, kontrol internal, audit TI dan tingkat kedewasaan (maturity level).
BAB III : MEDOTOLOGI PENELITIAN
Pada bab ini dijelaskan tentang metode - metode pendukung seperti proses pengindentifikasian ruang lingkup hingga tujuan TI yang nantinya akan diproses menjadi sebuah tools untuk mengaudit dan perencanaan audit yang akan dilaksanakan pada tugas akhir.
BAB IV : HASIL dan PEMBAHASAN
Berisi penjabaran hasil dan bentuk perancangan audit yang berupa tabel untuk menguji tingkat kedewasaan tiap proses mulai dari level 1-5. Dan didapat dari pernyataan dalam tiap proses yang ada dalam COBIT 4.1
BAB V : PENUTUP
Berisi kesimpulan dari seluruh pembahasan dan saran – saran yang mungkin diperlukan agar perancangan ini lebih sempurna sehingga mendapatkan hasil yang maksimal.
Daftar Pustaka
Sarno, Riyanarto. (2009). Audit Sistem & Teknologi Informasi. ITS Press: Surabaya ISACA, The IT Governance Institute, COBIT 4.1, USA, 2007.
N Kaul, Vijayendra. Manual ofInformationTechnology Audit; available:
