ABSTRACT
Information is a very important asset for a company, so important that it
needed a security mechanism with the ultimate purpose to ensure data
confidentiality from unauthorized access, also to ensure data integrity and to
ensure data availability. In a asset safeguarding in the company is done by giving a password on each application, provide the login on the database, access rights granted in accordance with each department and any sensitive data is not used anymore will be destroyed. Technology and information systems have a major role in disseminating information. The information or data is an asset for the company. Indirect data security can ensure business continuity, reduce risk, and seeking business opportunities. More company information that is stored, managed and shared, the greater the risk of damage, loss or exposure of data to external parties that are not desired.
viii
DAFTAR ISI
LEMBAR PENGESAHAN ... i
PERNYATAAN PUBLIKASI LAPORAN PENELITIAN ... ii
PERNYATAAN ORISINALITAS LAPORAN PENELITIAN ... iv
PRAKATA ... v
ABSTRACT ... vii
DAFTAR ISI ... viii
DAFTAR GAMBAR ... x
DAFTAR TABEL ... xi
DAFTAR LAMPIRAN ... xii
BAB I PENDAHULUAN... 1
1.1 Latar Belakang Masalah... 1
1.2 Rumusan Masalah ... 1
1.3 Tujuan Pembahasan ... 2
1.4 Ruang Lingkup ... 2
1.5 Sumber Data ... 4
1.6 Sistematika Penyajian ... 4
BAB II KAJIAN TEORI ... 5
2.1 Audit Sistem Informasi ... 5
2.2 Tahapan Audit Sistem Informasi ... 6
2.3 Alasan mengapa perlu Audit Sistem Informasi ... 6
2.4 IT Audit Standard Tools/Framework ... 9
2.5 Data ... 15
2.6 Jenis Data ... 16
2.7 Cobit 4.1 ... 17
2.8 Control Objective ... 27
BAB III ANALISIS DAN PERANCANGAN ... 32
3.1 Sejarah Perusahaan ... 32
3.2 Visi dan Misi Perusahaan ... 32
3.3 Struktur Organisasi ... 33
3.4 Aplikasi Perusahaan ... 34
3.5 Program Audit ... 35
3.6 Hasil Audit ... 39
3.6.1 Accuracy, Completeness and Authenticity Checks ... 39
3.6.2 Application Security ... 39
3.6.3 Training ... 40
3.6.4 Performance and Capacity Planning ... 40
3.6.5 Exchange of Sensitive Data... 41
3.6.6 User Account Management ... 42
3.6.7 Business Requirements for Data Management ... 42
3.6.8 Storage and Retention Arrangements ... 43
3.6.9 Disposal ... 43
3.6.10 Backup and Restoration ... 44
3.6.11 Security Requirements for Data Management ... 44
3.6.12 Sensitive Documents and Output Devices ... 45
BAB IV HASIL TERCAPAI ... 49
4.2 Application Security ... 50
4.3 Training ... 50
4.4 Performance and Capacity Planning ... 51
4.5 Exchange of Sensitive Data ... 52
4.6 User Account Management ... 53
4.7 Business Requirements for Data Management ... 53
4.8 Storage and Retention Arrangements ... 54
4.9 Disposal ... 55
4.10 Backup and Restoration ... 56
4.11 Security Requirements for Data Management ... 57
4.12 Sensitive Documents and Output Devices... 57
BAB V KESIMPULAN DAN SARAN... 59
5.1 Kesimpulan ... 59
5.2 Saran ... 60
x
DAFTAR GAMBAR
Gambar 1 Cobit Family of Products ... 18
Gambar 2 Cobit Business Control Objectives-IT Governance ... 25
Gambar 3 Cobit Control Objectives ... 26
DAFTAR TABEL
xii
Daftar Lampiran
BAB I PENDAHULUAN
1.1 Latar Belakang Masalah
PT Indonesia Computer Square adalah perusahaan yang bergerak dalam
bidang penjualan komputer dan alat – alat elektronik lainnya. Memiliki 5
cabang yang tersebar di wilayah Jabodetabek. Sebagai sebuah vendor
dalam bidang teknologi dan elektronik, menyediakan beragam produk TI
yang lengkap dengan harga kompetitif, mulai dari PC desktop dan notebook merek global dan lokal terkemuka maupun produk-produk Apple, komponen/periferal PC seperti hard disk, motherboard, keyboard, memori, casing, kartu grafis, printer, proyektor, monitor, dan flash disk, hingga gadget seperti PDA, PDA Phone, dan iPod. Teknologi dan sistem informasi mempunyai peranan yang besar dalam penyampaian informasi. Informasi
atau data adalah aset bagi perusahaan. Keamanan data secara tidak
langsung dapat memastikan kontinuitas bisnis, mengurangi resiko, dan
mencari kesempatan bisnis. Semakin banyak informasi perusahaan yang
disimpan, dikelola dan di-sharing maka semakin besar resiko terjadinya
kerusakan, kehilangan atau tereksposnya data ke pihak eksternal yang tidak
diinginkan.
Agar kinerja IT pada suatu organisasi dapat berjalan dengan baik maka
diperlukan suatu kendali control internal atau sebuah framework yang dapat mengontrol seluruh proses proses yang terdapat pada IT.
1.2 Rumusan Masalah
Rumusan masalah penelitian ini adalah :
Apakah PT.Indonesia Computer telah melakukan penjagaan aset (asset
2
1.3 Tujuan Pembahasan
Tujuan dilakukan pembahasan ini adalah :
Untuk mengetahui apakah PT.Indonesia Computer telah melakukan
penjagaan aset (asset safeguarding) khususnya dalam hal data dengan baik dengan cara melakukan audit teknologi informasi.
1.4 Ruang Lingkup
Audit yang dilakukan mengacu kepada COBIT Framework Sasaran kontrol (control objectives) yang harus dipenuhi
sebagai acuan pengauditan adalah :
Accuracy, Completeness and Authenticity Checks
Kontrol ini membahas mengenai bahwa data adalah akurat,
lengkap dan valid menvalidasi data yang diinput, dan
mengedit atau mengirim kembali untuk koreksi
Application Security
Kontrol ini membahas mengenai menjaga keamanan
aplikasi.
Training
Kontrol ini membahas mengenai pelatihan staf dan kelompok IT sesuai dengan pelaksanaan rencana dan
terkait bahan, sebagai bagian dari setiap sistem informasi
Performance and Capacity Planning
Kontrol ini membahas mengenai proses perencanaan untuk
meninjau kinerja dan kapasitas sumber daya IT
Exchange of Sensitive Data
Kontrol ini membahas mengenai pertukaran data transaksi
sensitif melalui jalur yang terpercaya atau dengan kontrol
untuk menyediakan konten keaslian, bukti penyerahan, dan
3
User Account Management
Kontrol ini membahas mengenai hak dan kewajiban
berkaitan dengan akses ke sistem perusahaan dan
informasi harus diatur dalam kontrak untuk semua jenis
pengguna
Business Requirements for Data Management
Kontrol ini membahas mengenai memverifikasi bahwa
semua diharapkan untuk memproses data yang diterima
dan diproses sepenuhnya, akurat dan pada waktu yang
tepat, dan semua output disampaikan sesuai dengan kebutuhan bisnis.
Storage and Retention Arrangements
Kontrol ini membahas mengenai mendefinisikan dan
menerapkan prosedur yang efektif dan efisien untuk
penyimpanan data.
Disposal
Kontrol ini membahas mengenai mendefinisikan dan
menerapkan prosedur untuk memastikan bahwa
persyaratan bisnis untuk perlindungan data sensitif dan software telah terpenuhi
Backup and Restoration
Kontrol ini membahas mengenai mendefinisikan dan
menerapkan prosedur untuk backup dan pemulihan sistem, aplikasi, data dan dokumentasi
Security Requirements for Data Management
Kontrol ini membahas mengenai menentukan dan
melaksanakan kebijakan dan prosedur untuk
mengidentifikasi dan menerapkan persyaratan keamanan
4
Sensitive Documents and Output Devices
Kontrol ini membahas mengenai menetapkan perlindungan
fisik yang sesuai pengelolaan aset IT yang lebih sensitif
1.5 Sumber Data
Sumber data diambil dari perusahaan yang bersangkutan, yang dalam hal ini PT Indonesia Computer Square
Wawancara dengan staff dan pimpinan
Studi pustaka,buku ataupun internet1.6 Sistematika Penyajian
Bab I PendahuluanBab ini berisikan Latar Belakang Masalah, Perumusan
Masalah, Tujuan, Batasan Masalah, Sistematika Penulisan,
Metode dan Teknik Penelitian Bab II Landasan Teori
Bab ini berisikan Teori-teori yang menjadi dasar bagi penulis
dalam melakukan kerja praktek ini. Yaitu teori mengenai COBIT framework dan penjelasan mengenai proses proses yang akan
diaudit.
Bab III Analisis
Bab ini menjelaskan perancangan rencana audit dan proses
evidence collection. Bab IV Hasil Tercapai
Bab ini akan menjelaskan mengenai proses evidence evaluation.
Bab V Penutup (Kesimpulan dan Saran)
Bab ini berisikan kesimpulan dari seluruh hasil kerja praktek
BAB V KESIMPULAN DAN SARAN
5.1 Kesimpulan
Dari hasil pengauditan yang dilakukan penulis di PT Indonesia Computer
Square dan berdasarkan hasil temuan dan analisa data yang didapat maka dapat disimpulkan bahwa:
1. Dari keduabelas kontrol yang diambil untuk melakukan audit di PT Indonesia Computer Square yang sudah memenuhi kontrol COBIT
framework adalah Application Security, User Account Management
sedangkan untuk kontrol yang lain penerapan dan prosesnya tersebut
masih belum lengkap atau masih ada yang kurang. Seperti
perusahaan tidak mengidentifikasi resiko kemungkinan kehilangan
data atau pengubahan data oleh orang yang tidak berhak.
2. Penjagaan aset data yang dilakukan sudah baik yaitu setiap hari kerja dilakukan backup data penjualan yang disimpan di harddisk server dan CD. Penyimpanan di server dilakukan offsite agar dapat dibuat server baru dengan data yang ada untuk mencegah data hilang yang disebabkan server mati dan menggunakan shredder untuk membuang dokumen sensitif.
3. Banyak dari kegiatan perusahaan di IT tidak terdokumentasi dalam penjagaan aset seperti dalam hal report backup data dan perusahaan tidak mengidentifikasi resiko-resiko sehingga tidak mengetahui
apakah keamanan yang dimiliki sekarang benar-benar melindungi
Universitas Kristen Maranatha
60
5.2 Saran
1. Perusahaan sebaiknya dapat memberikan bukti dengan lebih lengkap, tidak hanya berupa bukti eletronik, tetapi berupa bukti dokumen fisik
perusahaan.
2. Perusahaan sebaiknya memiliki dokumentasi terhadap penjagaan aset IT untuk meminimalisasi resiko-resiko yang kemungkinan terjadi
yang dapat merugikan perusahaan.
3. Sebaiknya audit dilanjutkan oleh pihak perusahaan dengan orang yang ahli, sehingga dapat mengetahui bagaian-bagian mana yang
DAFTAR PUSTAKA
Gandodiyoto,Sanyoto.(2007).Audit Sistem Informasi + Pendekatan
COBIT.Jakarta:Mitra Wacana Media
Chemodz. (2008). Jenis Data. Retrieved November, 26, 2008. From
http://one.indoskripsi.com/node/6495
Sasongko, Budi. (2007).Audit Sistem Informasi.Retrieved September, 9, 2007.
From http://theakuntan.com/auditing/audit-sistem-informasi-at-a-glance/
Setiabudi.(2007).IT Audit Standard Tools/ Framework (bagian I). Retrieved Juni, 5, 2007. From http://www.setiabudi.name/archives/20
Tenjomaya, Putra. (2008). Pengertian Data, Informasi, dan Tek. Informasi. From
http://t3nj0m4y4.blogspot.com/2007/07/pengertian-data-informasi-dan-teknologi.html
Webber,Ron.(1999).Pengenalan audit sistem informasi.From
http://repository.binus.ac.id/content/KA122/KA12297769.pdf
Webber,Ron.(1999).Tahapan Audit Sistem Informasi.From
http://digilib.petra.ac.id/viewer.php?page=2&submit.x=13&submit.y=21&submit=n
