viii
ABSTRACT
This paper will discuss about information system auditing process which held in PT. X, a pharmaceutical manufacture company using framework COBIT 4.1, that comprise 12 process that is Define a strategic IT plan (PO1) Manage IT Human Resources (PO7), Assess and Manage IT risks (PO9), Manage Project (PO10), Enabled Operation and Use (AI4), Procure IT resources (AI5), Define and manage service levels (DS1), Ensure system security(DS5), Identify and allocate cost (DS6) Educate and Train Users (DS7), Monitor and evaluate IT performance (ME1) and Monitor and Evaluate Internal Control (ME2). The purpose of this audit is to inform the company about the information system they implemented, is accordingly to standard COBIT 4.1 or not and also give recommendations and solutions to solving their problems. The writer using COBIT 4.1 as Guidance and references. and method for collecting information in this auditing process is by interviewing related person and observation. In this paper also include suggestions and inputs for the company to help increasing their performance achieving their goal.
ix
ABSTRAK
Dalam laporan ini akan dibahas mengenai proses audit sistem informasi yang dilakukan pada PT X, perusahaan manufaktur yang memproduksi obat-obatan menggunakan framework COBIT 4.1. yang terdiri dari 12 proses yaitu Define a strategic IT plan (PO1) Manage IT Human Resources (PO7), Assess and Manage IT risks
(PO9), Manage Project (PO10), Enabled Operation and Use (AI4), Procure IT resources (AI5), Define and manage service levels (DS1), Ensure system security(DS5), Identify and allocate cost (DS6) Educate and Train Users (DS7), Monitor and evaluate IT performance (ME1) dan Monitor and Evaluate Internal Control (ME2)..
Tujuan dari proses audit ini adalah untuk memberikan informasi kepada perusahaan mengenai sistem informasi yang diterapkan oleh perusahaan apakah sudah sesuai dengan standar COBIT 4.1 atau belum, dan juga memberikan rekomendasi dan solusi untuk menyelesaikan masalah perusahaan. Penulis menggunakan COBIT 4.1 sebagai petunjuk dan referensi. Metoda dalam mengumpulkan data dalam laporan proses audit ini adalah dengan melakukan wawancara dengan pihak terkait dan melakukan observasi. Laporan ini juga disertai dengan pendapat dan masukan untuk perusahaan untuk meningkatkan kinerja sistem informasi dalam mencapai tujuan bisnis perusahaan.
x
DAFTAR ISI
LEMBAR PENGESAHAN ... i
PERNYATAAN ORISINALITAS LAPORAN PENELITIAN ... iii
PERNYATAAN PUBLIKASI LAPORAN PENELITIAN ... iv
PRAKATA ... vi
ABSTRACT ... viii
ABSTRAK ... ix
DAFTAR ISI ... x
DAFTAR GAMBAR ... xii
DAFTAR TABEL ... xiii
DAFTAR LAMPIRAN ... xiv
BAB I PENDAHULUAN ... 1
I.1 Latar Belakang Masalah ... 1
I.2 Perumusan Masalah ... 2
I.3 Tujuan ... 2
I.4 Batasan Masalah ... 3
I.5 Sumber Data ... 5
I.6 Metode Penelitian ... 5
I.7 Sistematika Penulisan ... 5
BAB II LANDASAN TEORI ... 7
II.1 IT Governance... 7
II.2 Audit ... 9
II.3 Sistem Informasi ... 10
II.4 Audit Sistem Informasi ... 13
II.4.1 Standar yang digunakan dalam audit SI ... 22
II.4.2 Prosedur audit SI ... 23
II.5 COBIT (control objective for information related technology) ... 25
II.6 Proses-proses COBIT yang akan diterapkan ... 26
BAB III ANALISIS ... 39
III.1 Sejarah Perusahaan ... 39
III.2 Visi dan Misi Perusahaan ... 40
III.2.1 Visi ... 40
III.2.2 Misi ... 40
III.3 Struktur Organisasi Umum Perusahaan ... 41
III.4 Struktur Organisasi MIS (Management Information System) ... 42
xi
III.6 Proses Bisnis Perusahaan ... 44
III.7 Alur Proses Bisnis Perusahaan ... 45
III.8 Perencanaan Audit ... 46
III.9 Proses-proses yang akan dianalisis ... 47
III.9.1 Define a Strategic IT Plan (PO1) ... 47
III.9.2 Manage IT Human Resources (PO7) ... 50
III.9.3 Assess and Manage IT Risks (PO9) ... 54
III.9.4 Manage Project (PO10) ... 57
III.9.5 Enable Operation and Use (AI4) ... 61
III.9.6 Procure IT Resources (AI5) ... 64
III.9.7 Define and Manage Service Levels (DS1) ... 67
III.9.8 Ensure System Security (DS5) ... 70
III.9.9 Identify and Allocate Costs (DS6) ... 74
III.9.10 Educate and Train Users (DS7) ... 77
III.9.11 Monitor and Evaluate IT Performance (ME1) ... 80
III.9.12 Monitor and Evaluate Internal Control (ME2) ... 83
BAB IV PENUTUP ... 87
IV.1 Kesimpulan ... 87
IV.2I Saran ... 89
xii
DAFTAR GAMBAR
GAMBAR 1 MAKIN PERLUNYA KONTROL DAN AUDIT ... 16
GAMBAR 2 STRUKTUR ORGANISASI UMUM ... 42
GAMBAR 3 STRUKTUR ORGANISASI MIS... 43
GAMBAR 4 ALUR PROSES BISNIS ... 45
xiii
DAFTAR TABEL
TABEL 1 GOAL AND METRIC (PO1) ... 49
TABEL 2 GOAL AND METRIC (PO7) ... 53
TABEL 3 GOAL AND METRIC (PO9) ... 56
TABEL 4 GOAL AND METRIC (PO10) ... 60
TABEL 5 GOAL AND METRIC (AI4) ... 63
TABEL 6 GOAL AND METRIC (AI5) ... 66
TABEL 7 GOAL AND METRIC (DS1) ... 69
TABEL 8 GOAL AND METRIC (DS5) ... 73
TABEL 9 GOAL AND METRIC (DS6) ... 76
TABEL 10 GOAL AND METRIC (DS7) ... 79
TABEL 11 GOAL AND METRIC (ME1) ... 82
TABEL 12 GOAL AND METRIC (ME2) ... 85
xiv
DAFTAR
LAMPIRAN
xv
1
Universitas Kristen Maranatha
BAB I PENDAHULUAN
I.1 Latar Belakang
Sistem informasi merupakan salah satu faktor penting dalam menentukan
suksesnya sebuah perusahaan. Untuk mendukung tercapainya tujuan
perusahaan tersebut diperlukan sebuah sistem informasi yang efektif, efisien
dan sesuai dengan kebutuhan perusahaan. Maka dari itu dibutuhkan tata kelola
teknologi informasi (TI) yang baik dan sesuai dengan standar internasional
dalam mengelola sumber daya TI yang mencakup sumber daya manusia SDM,
hardware, software,
dan infrastruktur dalam rangka menciptakan sebuah sistem
informasi yang benar-benar baik.
Untuk itu perlu dilakukan standarisasi proses-proses pada perusahaan
dengan standar internasional yang ada dalam hal ini standar yang dibunakan
adalah COBIT 4.1. Penerapan
IT Governance
juga tak lepas dari kegiatan audit
karena pada saat melakukan penerapan / standarisasi dilakukan juga
pengumpulan dan evaluasi bukti yang dapat membantu membuat sebuah solusi
untuk menyelesaikan masalah yang mungkin muncul dalam penerapan
IT
governance.
PT. X merupakan sebuah perusahaan manufaktur yang bergerak di
bidang farmasi. Berdiri sejak tahun 1975, berawal dari industri rumahan yang
hanya memiliki 7 orang karyawan perusahaan terus berkembang hingga
menjadi salah satu perusahaan farmasi terkemuka di Indonesia. Untuk
mendukung tercapainya tujuan perusahaan dibutuhkan sebuah sistem informasi
dan tata kelola TI yang baik. Sistem informasi yang baik harus bisa menjaga
keutuhan, keakuratan, dan ketepatan dari informasi itu sendiri, karena akan
berpengaruh terhadap pengambilan keputusan. Sedangkan tata kelola TI yang
2
Universitas Kristen Maranatha
pengelolaan sumber daya TI (sumberdaya daya manusia, infrastruktur,
hardware, software
)
Untuk 12 proses yang digunakan dipilih berdasarkan pentingnya proses
tersebut terhdap perusahaan sebagai pondasi dan pendukung tercapainya
tujuan perusahaan mulai dari mendefinisikan perencaan stategis yang
didalamnya terdapat perencanaan taktikal untuk mendukung tercapainya
rencana strategis tersebut, pengelolaan sumber daya manusia mulai dari
rekrutmen, penyediaan sarana belajar dan pelatihan, pengelolaan resiko,
memastikan aspek keamanan, menetapkan prosedur dalam memperoleh
sumber daya TI, evaluasi kinerja dan yang terakhir melakukan pengawasan
terhadap kontrol intern perusahaan.
I.2 Perumusan Masalah
1. Apakah kegiatan perusahaan pada 12 proses yang dievaluasi sudah
sesuai dengan standar COBIT 4.1?
2. Apa saja masalah yang menghambat dan bagaimana cara mangatasi
masalah tersebut agar proses-proses yang belum sesuai dapat
disesuaikan dengan COBIT 4.1?
3. Apa saja hal yang harus dilakukan (rekomendasi) dalam rangka
menyesuaikan proses yang belum sesuai dengan standar
framework
yang digunakan?
I.3 Tujuan
Melakukan audit sistem informasi dengan menggunakan
framework
COBIT 4.1 sebagai standar, mengukur proses pada perusahaan dengan g
oal
3
Universitas Kristen Maranatha
I.4 Batasan Masalah
1. Hasil temuan yang tidak memiliki bukti dokumen maka akan disertakan bukti
hasil tanya jawab/
interview
dengan pihak terkait untuk menguatkan hasil
temuan.
2. Untuk lampiran yang berupa dokumen disimpan di dalam folder lampiran
dokumen yang disertakan dalam cd, dikarenakan beberapa dokumen
memiliki format dan ekstensi berbeda-beda yang tidak memungkinkan
disimpan dalam lembar lampiran.
3. Pengukuran goal and metric didapat dari hasil tanya jawab dengan MIS
manager Perusahaan sehingga hasil pengukuran belum benar-benar akurat
hal ini disebabkan karena keterbatasan akses auditor terhadap lingkungan
perusahaan.
4. Dalam audit sistem informasi di PT. X ini menggunakan
framework
COBIT
4.1 dengan 12 proses yang akan di analisis yaitu :
1. PO1 Define a strategic IT plan,
Mendefinisikan dan
menerapkan
perencanaan strategis TI untuk mengelola dan mengarahkan semua
sumber daya TI agar sejalan dengan strategi bisnis dan prioritas
perusahaan. Dan melakukan penilaian terhadap kemampuan TI.
2. PO7 Manage IT human resources,
Mendefinisikan proses pengelolaan
sumber daya manusia mulai dari tahap rekrutmen, pelatihan,
pendeskripsian kerja yang jelas hingga penilaian kinerja personil dalam
penggunaan TI.
3. PO9 Assess and manage IT risks,
Menyusun dan memelihara
framework
pengelolaan resiko, melakukan analisis terhadap resiko dan
mengkomunikasikan dampak yang akan dihasilkan dan perngaruhnya
4
Universitas Kristen Maranatha
4. PO10 Manage project,
Menyusun program dan
framework
pengelolaan
proyek untuk mengelola semua proyek TI yang bertujuan meyakinkan
bahwa pengerjaan proyek sudah sesuai waktu, anggaran dana, dan
kualitas yang telah ditentukan.
5. AI4 Enable operation and use,
Menyediakan dokumentasi atau
user
manual
untuk penggunaan aplikasi dan infrastruktur yang digunakan oleh
perusahaan, dan juga menyediakan pelatihan untuk memastikan
penggunaan dan pengoperasian aplikasi yang efektif dan efisien.
6. AI5 Procure IT resources,
Mendefinisikan dan menjalankan prosedur
dalam rangka memperoleh sumber daya TI yang meliputi sumber daya
manusia (SDM),
hardware, software,
dan pelayanan secara efektif dalam
hal waktu dan biaya.
7. DS1 Define and manage service levels,
Menciptakan sebuah
komunikasi yang efektif antara manajemen TI dan pelanggan bisnis
mengenai kebutuhan bisnis dengan definisi dan perjanjian layanan TI
dalam perjanjian
service level
yang terdokumentasi.
8. DS5 Ensure system security,
Menyusun sebuah proses pengelolaan
keamanan dalam menjaga keutuhan informasi dan melindungi aset TI.
Proses ini meliputi menyusun dan memelihara keamanan TI dan
tanggung jawab, kebijakan, standard, prosedur dan juga termasuk
pengawasan keamanan, testing secara periodik dan menerapkan
tindakan penanggulangan untuk mengidentifikasi kelemahan keamanan
dan kejadian yang tiba-tiba.
9. DS6 Identify and allocate costs,
Menyusun dan menjalankan sebuah
sistem yang berfungsi memperoleh, menyediakan, dan melaporkan biaya
TI kepada pengguna layanan, sehingga perusahaan dapat mengambil
5
Universitas Kristen Maranatha
10. DS7 Educate and Train Users,
Mendefinisikan dan menjalankan sebuah
kurikulum pelatihan yang isinya didapat dari hasil identifikasi kebutuhan
setiap pengguna dalam rangka meningkatkan efektifitas kinerja dalam
pengunaan
teknologi
dan
untuk
mengurangi
kesalahan
serta
meningkatkan kualitas kerja karyawan
11. Me1 Monitor and evaluate IT performance,
Mendefinisikan sebuah
proses pengawasan kinerja TI yang didalamnya terdapat penentuan
indikator kinerja yang relevan, sistematis, pelaporan kinerja secara
periodik
dan
tindakan
penanggulangan
cepat
ketika
terjadi
penyimpangan.
12. Me2 Monitor and evaluate internal control,
Menyusun program
pengawasan intern yang didalamnya terdapat pengawasan dan
pelaporan pengecualian kontrol, hasil penilaian dan pemeriksaan
terhadap pihak ketiga untuk memastikan efektifitas dan efisiensi operasi
dan pelaksanaan hukum dan regulasi.
I.5 Sumber Data
1. Sumber data diambil langsung dari perusahaan yang bersangkutan.
2. Teori diambil buku referensi dan
Ebook.
I.6 Metode Penelitian
Langkah
–
langkah yang digunakan adalah sebagai berikut:
1. Observasi dan Wawancara dengan pihak terkait
2. Study pustaka, buku referensi dan internet
6
Universitas Kristen Maranatha
BAB I PENDAHULUAN, berisi Latar belakang, perumusan masalah, tujuan,
batasan masalah, dan sistematika penulisan.
BAB II LANDASAN TEORI, berisi penjelasan mengenai teori-teori yang
menunjang termasuk framework COBIT 4.1 sebagai teori penunjang dalam
proses audit sistem informasi.
BAB III ANALISIS DAN EVALUASI, berisi analisis dan pembahasan
terperinci dari 12 proses yang telah memenuhi standar COBIT 4.1 beserta
bukti-bukti yang dapat dilampirkan, sedangkan untuk standar yang belum sesuai
perusahaan akan diberi rekomendasi dan solusi yang bermanfaat bagi
perusahaan.
BAB IV PENUTUP, berisi kesimpulan dan saran yang dapat berguna bagi
perusahaan dalam meningkatkan efektifitas dan efisiensi penggunaan sistem
87
Universitas Kristen Maranatha
BAB IV PENUTUP
IV.1 Kesimpulan
Dari hasil audit sistem informasi menggunakan
framework
COBIT 4.1
pada proses PO1, PO7, PO9, PO10, AI4, AI5, DS1, DS5, DS6, DS7, ME1, ME2
di PT. X dan berdasarkan dari hasil analisis, dapat disimpulkan bahwa:
1. Sekitar 80 persen proses yang dianalis dan dievaluasi sudah sesuai
dengan standar COBIt 4.1 pada tingkat
repeatable
dan
defined
dengan
beberapa sasaran kontrol yang belum terpenuhi.
Sedangkan 20 persen
sisanya berada pada tingkat
initial
yang tentunya masih banyak sasaran
kontrol yang belum terpenuhi. Untuk lebih jelasnya dapat dilihat pada
tabel dibawah ini yang akan dijabarkan ke 12 proses tersebut berikut
dengan tingkat kematanganya dari yang paling rendah ke tingkat yang
paling tinggi:
No
Proses
Tingkat kematangan
1
PO9- Assess and manage IT risk
Initial
2
DS1- Define and manage service levels
Initial
3
PO1- Define a strategic IT plan
Repeatable
4
PO7- Manage IT human resources
Repeatable
5
PO10- Manage project
Repeatable
6
DS6- Identify and allocate cost
Repeatable
88
Universitas Kristen Maranatha
8
ME2- Monitor and evaluate internal control
Repeatable
9
AI4- Enabled operation and use
Defined
10
AI5- Procure IT resources
Defined
11
DS5- ensure system security
Defined
12
ME1- monitor and evaluate IT performance
Defined
2. Dari hasil analisis tidak ditemukan masalah yang signifikan pada PT. X
dalam menerapkan standar COBIT 4.1, ke tiadaan beberapa sasaran
kontrol ini mungkin dikarenakan oleh migrasi sistem yang dilakukan oleh
MIS dari sistem lama berbasis DOS novel netware menuju sistem yang
berbasis web menggunakan java yang masih dalam tahap implementasi
sehingga sasaran kontrol yang belum terpenuhi harus dipending hingga
proses migrasi selesai.
3. Setelah mengetahui
current state
dari hasil audit ini sebaiknya
perusahaan mulai menetapkan target minimal satu tingkatan lebih tinggi
dari kodisi saat ini, namun sasaran kontrol dari keseluruhan proses yang
masih kurang harus sudah terpenuhi. Perusahaan juga harus
menentukan jangka waktu dalam melakukan peningkatan tingkat
kematangan TI sehingga sistem informasi yang efektif dan efisien dapat
tercapai secara bertahap dan cepat.
89
Universitas Kristen Maranatha
IV.2 Saran
untuk mengoptimalkan sistem informasi pada proses yang diaudit penulis
memiliki saran sebagai berikut:
1. Menyusun dan mendokumentasikan kebijakan, aturan dan
SOP
untuk
seluruh proses yang ada diperusahaan sehingga aturan dan kebijakan
jelas adanya.
2. mengadakan suatu program pelatihan atau seminar secara reguler
mengenai sistem informasi, penggunaan teknologi informasi, dan
perkembangan teknologi informasi bagi para karyawan untuk
memastikan karyawan dapat mengerti dan memahami sistem informasi
dan teknologi informasi lebih mendalam.
3. Agar perusahaan mempertahankan semua proses yang sudah sesuai
dengan standar COBIT 4.1 dan menyesuaikan proses yang belum sesuai
dengan standar COBIT 4.1.
4. perusahaan dapat mulai memikirkan pentingnya melakukan identifikasi
resiko dan ketaatan terhadap kontrol intern karena dampak yang dihasil
kan dari keduanya akan sangat menghambat pencapaian target dan
tujuan bisnis.
5. Diharapkan perusahaan melakukan audit sistem informasi secara
reguler, lebih mendalam dan menyeluruh untuk mengukur perkembangan
dalam perenrapan tata kelola TI yang baik dan benar mengikuti best
practice, terencana terorganisir dan menggunakan methodology yang
xvi
Universitas Kristen Maranatha
DAFTAR PUSTAKA
1. IT Governance Institute,
COBIT 3
rdEdition Management Guidelines,
USA, 2000
2. IT Governance Institute,
COBIIT 3
rdEdition Framework, USA, 2000
3. IT Governance Institute,
COBIT 4.1 Edition Framework, USA, 2007
4. Gondodiyoto, Sanyoto. (2003).
Audit Sistem Informasi: pendekatan
konsep
. Pengkaji Materi So, I.G. PT. Media Global Edukasi, Jakarta
5. Gondodiyoto, Sanyoto. (2006, 2007).
Audit Sistem Informasi: pendekatan
cobIT
. Penerbit Mitra Wacana Media
6. Weber, Ron. (1998).
Information System Auditing
, October 2000.
Prentice-Hall, New Jersey, USA
7. Wilkinson, joseph W, (2004).
Audit Sistem Informasi (edisi kedua).
Jakarta. Penerbit Erlangga
8. Http://home.unpar.ac.id/~itegral/Volume%209/integral%209%20No.%201