PADA UNIVERSITAS PEMBANGUNAN NASIONAL ”VETERAN” J AWA TIMUR
SKRIPSI
Disusun Oleh : ARIS APRIANTO
NPM : 0835010074
J URUSAN SISTEM INFORMASI FAKULTAS TEKNOLOGI INDUSTRI
UNIVERSITAS PEMBANGUNAN NASIONAL “VETERAN” J AWA TIMUR
AUDIT SISTEM INFORMASI MENGGUNAKAN STANDAR COBIT 4.1
DOMAIN MONITOR AND EVALUATE PADA
UNIVERSITAS PEMBANGUNAN NASIONAL “VETERAN”
J AWA TIMUR
Disusun Oleh :
ARIS APRIANTO NPM. 0835010074
Telah diper tahankan dan diter ima oleh Tim Penguji Skr ipsi
Pr ogram Studi Sistem Infor masi, Fakultas Teknologi Industr i
Univer sita s Pembangunan Nasional “Veteran” J awa Timur
Pada Tanggal 06 Agustus 2012
Tim Pembimbing,
Dekan Fakultas Teknologi Industr i
Univer sitas Pembangunan Nasional “Veter an J awa Timur Tim Penguji,
AUDIT SISTEM INFORMASI MENGGUNAKAN STANDAR COBIT 4.1
DOMAIN MONITOR AND EVALUATE PADA
UNIVERSITAS PEMBANGUNAN NASIONAL “VETERAN”
J AWA TIMUR
Disusun Oleh :
ARIS APRIANTO NPM. 0835010074
Telah disetujui untuk mengetahui Ujian Negar a Lisan
Gelombang VI Tahun Akademik 2012/2013
Pembimbing I,
Dr . Ronny, S.Kom, M.Kom,M.H. NIDN. 0930097101
Pembimbing II,
Doddy Ridwandono, S.Kom NPT. 378050702181
Mengetahui,
Ketua Pr ogr am Studi Sistem Infor masi
Univer sita s Pembangunan Nasional “Veteran” J awa Timur
Dengan mengucap segala puji syukur terhadap Tuhan Yang Maha Esa atas segala rahmat dan hidayah-Nya, sehingga Laporan SKRIPSI yang telah dilaksanakan di Unit Pelaksana Teknis (UPT) Telematika UPN “Veteran” Jatim dapat terselesaikan dengan baik.
Skripsi dilaksanakan untuk mengasah kemampuan dan menerapkan ilmu yang didapatkan di bangku kuliah. Hal ini sangat membantu mahasiswa untuk meningkatkan kemampuan dan pengalaman langsung dalam penerapan suatu ilmu yang didapatkan selama kuliah terhadap suatu organisasi terutama dalam hal ini adalah organisasi bisnis serta sebagai syarat menempuh jenjang S1.
Pembuatan Skripsi dilaksanakan pada tanggal 16 Maret 2012 sampai dengan 19 Juli 2012. Dengan adanya Skripsi ini setiap mahasiswa dapat belajar menemukan penelitian serta dapat menjawab permasalahan yang berada di dalam perusahaan atau organisasi. Dengan tujuan memberikan solusi terhadap permasalahan yang dihadapi oleh perusahaan maupun organisasi.
Atas kelancaran pembuatan Skripsi, saya berterima kasih atas bimbingan serta bantuan dari berbagai pihak. Sehingga dalam kesempatan ini kami mengucapkan terima kasih yang sebesar - besarnya kepada :
2. Bapak Muhammad Irwan Afandi, ST, MSc selaku Sekretaris Program studi Sistem Informasi Universitas Pembangunan Nasional “Veteran” Jawa Timur. 3. Jajaran Dekanat FTI beserta staf lainnya.
4. Seluruh Dosen Sistem Informasi dan Dosen Se-FTI.
5. Bapak Dr. Ronny, S.Kom, M.Kom, M.H. selaku selaku Dosen Pembimbing Skripsi I.
6. Bapak Doddy Ridwandono, S.Kom selaku Dosen Pembimbing Skripsi II. 7. Bapak Ir. Kemal Wijaya, MTP selaku Kepala UPT Telematika UPN “Veteran”
Jatim dan sebagai Pembimbing Lapangan yang senantiasa memberikan kontribusi yang cukup baik kepada penulis.
8. Ibu Nurul Komariyah S.Pd. MM selaku Kassubag Tata Usaha UPT Telematika UPN “Veteran” Jatim
9. Bapak farid Wajdi, A, Md selaku Kassubag Pengolahan Data UPT Telematika UPN “Veteran” Jatim.
10. Orangtua kami yang senantiasa memberikan dukungan penuh mulai do’a restu serta dukungan morilnya. Semoga Tuhan senantiasa memberikan kesehatan kepada keduanya. Dan semoga diberikan umur panjang.
neisya yang selama 4 musim berturut-turut selalu membantu di kala susah maupun senang.
12. MIO, KOLU, ILC, HIMATIFA, INFORMANIA, POSINUL’8 FC, SIFO’07, SIFO’09, SIFO’10, SIFO’11, TOURSI, HIMASIFO, JUSE, BLOGGER UPN, Al MAQOSI, IKASIFO.
13. Seorang yang mendukung dengan sepenuh hati, moril, serta doa yang selalu dipanjatkanya demi mendukung pengerjaan skripsi ini, Thanks my Beloved “Asmawati”
14. Teman teman dari Asmawati (Stesia) yakni, novi, rina, feni, cece, dony, rikho, resha, wiwi, cendy riri, yang senantiasa memberikan dukungan penuh dengan do’a.
15. Seluruh pihak terkait dan berkepentingan yang telah membantu penyusunan Skripsi tahun 2011/2012 ini.
Akhir kata, kami menyadari bahwa penyusunan Laporan Skripsi ini masih kurang sempurna. Untuk itu, segala saran dan kritik yang bersifat membangun sangat saya harapkan guna penyempurnaan tulisan kami selanjutnya. Harapan saya semoga laporan ini dapat bermanfaat dan berguna bagi semua pihak yang membutuhkan. Atas perhatian dan kebijaksanaanya, saya ucapkan terima kasih.
Wassalamualaikum Wr. Wb.
Surabaya, 02 Juli 2012
LEMBAR PENGESAHAN SKRIPSI
LEMBAR PENGESAHAN DAN PERSETUJUAN LEMBAR KETERANGAN BEBAS REVISI
ABSTRAK... i
KATA PENGANTAR... ii
DAFTAR ISI... v
DAFTAR GAMBAR... xi
DAFTAR TABEL... xii
BAB I PENDAHULUAN ... 1
1.1 Latar Belakang... 1
1.2 Rumusan Masalah... 3
1.3 Batasan Masalah... 4
1.4 Tujuan Penelitian... 5
1.5 Manfaat Penelitian... 6
1.6 Sistematika Penulisan... 7
BAB II LANDASAN TEORI... 9
2.1 Pengertian Audit... 9
2.5 Pengertian Audit Sistem Informasi... 13
2.6 Langkah Dasar Audit SI... 13
2.7 Tujuan Audit Sistem Informasi... 15
a. Pengamanan Aset... 16
b. Menjaga Integritas Data... 16
c. Efektifitas Sistem... 16
d. Efisiensi Sistem... 17
e. Ekonomis... 17
2.8 Perkembangan Pendekatan Audit Sistem Informasi... 17
2.9 IT Governance... 18
2.10 COBIT (Control Objective For Information and related Technology)... 21
1) Perencanaan dan Organisasi (PO) ... 22
2) Pengadaan dan Implementasi (AI)... 23
3) Pengantaran dan Dukungan (DS)... 23
4) Monitoring dan Evaluasi (ME)... 24
2.13 Penentuan Domain... 33
2.14 Control Objectives ( Tujuan Pengendalian )... 34
2.15 Maturity Level ( tingkat kedewasaan )... 35
2.16 Goals And Metric ... 38
BAB III METODE PENELITIAN... 40
3.1 Audit Subject... 43
3.1.1 Gambaran Umum Universitas Pembangunan Nasional “ Veteran” Jawa Timur... 43
3.1.2 Visi Misi dan Tujuan Universitas Pembangunan Nasional “Veteran” Jawa Timur... 45
a) Visi... 45
b) Misi... 45
c) Tujuan... 45
3.1.3 Unit Pelaksana Teknis (UPT) Universitas Pembangunan Nasional “Veteran” Jawa Timur.... 46
3.1.4 Tugas Pokok Unit Pelaksana Teknis (UPT)... 47
Jawa Timur... 48
3.2 Audit Objective... 51
3.3 Preaudit Planning... 52
3.4 Audit Procedure & Steps For Data Gathering... 52
3.5 Prosedur Komunikasi Dengan Pihak Manajemen... 53
3.6 Evaluasi Hasil Pengujian... 53
3.7 Audit Report... 54
BAB IV HASIL DAN PEMBAHASAN... 55
4.1 Kondisi Umum Unit Pelaksana Teknis (UPT) Universitas Pembangunan Nasional “Veteran” Jawa Timur... 56
4.2 Proses dan Hasil Wawancara... 58
4.2.1 Proses Wawancara... 58
4.2.2 Kendala Wawancara... 59
4.2.3 Hasil Wawancara... 60
4.3 Pemetaan Diagram RACI... 63
4.4 Pengawasan dan evaluasi terhadap aplikasi... 67
1) Detailed Control Objectives (DCO) ME1.1
Monitoring Approach... 70
2) Detailed Control Objectives (DCO) ME1.2 Definition and Collection of Monitoring Data... 71
3) Detailed Control Objectives (DCO) ME1.3 Monitoring Method... 72
4) Detailed Control Objectives (DCO) ME1.4 Performance Assessment... 73
5) Detailed Control Objectives (DCO) ME1.5 Board and Executive Reporting 74 6) Detailed Control Objectives (DCO) ME1.6 Remedial Actions... 75
4.5 Maturity Level ME 1 Monitor and Evaluate IT Performance ... 78
4.5.1 Perhitungan Maturity Level 0... 79
4.5.2 Perhitungan Maturity Level 1... 83
4.5.3 Perhitungan Maturity Level 2... 88
4.5.4 Perhitungan Maturity Level 3... 91
4.5.5 Perhitungan Maturity Level 4... 97
4.5.6 Perhitungan Maturity Level 5... 102
4.6 Format Perhitungan Maturity Level ... 107
yang diberikan kepada Responden... 124
BAB V PENUTUP
5.1 Simpulan ... 129 5.2 Saran ... 130
Penyusun : Aris Aprianto
Pembimbing 1 : Dr. Ronny, S.Kom, M.Kom, M.H Pembimbing 2 : Doddy Ridwandono, S.Kom
ABSTRAK
Unit Pelaksana Teknis (UPT) Telematika merupakan salah satu unit pelayanan teknis di UPN “Veteran” Jawa Timur, yang mempunyai fungsi pelayanan di bidang Teknologi Informasi dan Komunikasi (TIK) atau sering disebut dengan IT (Information Technology). UPT Telematika Menyediakan sarana dan prasarana pendukung dan menyajikan informasi berkualitas yang tepat kebutuhan, tepat waktu dan tepat nilai berkaitan pelaksanaan Tridharma Perguruan Tinggi dengan menggunakan perangkat pengolah dan penyaji informasi.
Dalam pengelolaan fasilitas jaringan, UPT Telematika mengembangkan infrastruktur jaringan teknologi informasi dan komunikasi kampus yang dapat diakses secara mudah, cepat dan murah dari berbagai media komunikasi secara internal maupun eksternal. Dalam pelaksanaanya tentunya memerlukan pengawasan dan evaluasi secara berkala dari pihak manajemen maupun lembaga. Pada saat ini, UPT Telematika masih belum mempunyai rencana strategis untuk menentukan standar ukuran proses pengawasan dan evaluasi kinerja TI di UPN “Veteran” Jatim yang berfungsi sebagai tolak ukur dan pedoman bagi keberlangsungan proses bisnis organisasi yang berkorelasi dengan Teknologi Informasi.
Untuk mengatasi permasalahan yang ada, maka perlu dilakukan Audit Sistem Informasi. Audit Sistem Informasi mengacu pada standar Contol Objective For Information Related Technlogy (COBIT) 4.1. Standar Cobit digunakan karena mempunyai tingkat kekompleksitasan yang tinggi dan cakupan yang luas. Untuk domain yang digunakan berdasarkan Cobit adalah Domain Monitor dan Evaluate (ME) dikarenakan pada permasalahan yang ada dibutuhkan terhadap kinerja IT yang berada di UPT Telematika dapat dilakukan secara optimal. Dimana domain ME merupakan pengawasan langsung pada sistem berupa pengendalian internal yang bertanggung jawab melindungi aset organisasi, mencegah dan menemukan kesalahan – kesalahan karena berpotensi mengalami kerugian jika terjadi kesalahan.
1.1 Latar Belakang
Seiring dengan perkembangan teknologi informasi saat ini yang selalu berubah, menjadikan sebuah organisasi di bidang akademik atau perguruan tinggi memerlukan adanya sarana TI yang bisa membantu operasional akademik maupun proses bisnis organisasi dalam kegiatan sehari – hari, dimana terdapat berbagai macam layanan yang diperuntukkan bagi mahasiswa dan masyarakat secara umum. Universitas Pembangunan Nasional “Veteran” JATIM merupakan organisasi yang bergerak di bidang pendidikan, yang telah menerapkan penggunaan teknologi informasi sebagai penunjang dalam hal pelayanan akademik diperuntukkan bagi seluruh civitas akademika.
masalah dalam sistem, pelaporan kinerja TI, infrastruktur jaringan, maupun kerusakan-kerusakan komponen komputer dan sumber daya TI lainya, hanya dilaporkan secara langsung (lesan) kepada pengembang (Unit Pelaksana Teknis (UPT) Telematika), kemudian ditangani secara reaktif dan belum adanya standar atau ukuran secara formal untuk menangani permasalahan yang mendasar.
Berangkat dari permasalahan yang diatas maka penulis akan melakukan audit sistem informasi dengan menggunakan standar COBIT 4.1 yang berfokus pada Domain Monitor and Evaluate ME 1, dimana domain ini mengacu pada kendali perusahaan terhadap proses pengawasan dan evaluasi yang ditujukan untuk solusi TI yang diberikan kepada proses bisnis organisasi. Pengawasan juga meliputi isu penilaian, menetapkan kerangka kerja secara umum serta mengawasi kontribusi TI terhadap proses bisnis Universitas Pembangunan Nasional ”Veteran” Jawa Timur.
dan kedetailan proses – prosesnya. Standar COBIT 4.1 merupakan Standar untuk mengaudit penggunaan sebuah TI dan digunakan sebagai acuan untuk menghasilkan dokumen ( temuan dan rekomendasi ) yang merupakan hasil audit sistem informasi pada Unit Pelaksana Teknis (UPT) Telematika Universitas Pembangunan Nasional “Veteran” Jawa Timur. Hasil dari penelitian ini dapat diharapkan dapat membantu manajemen dalam pengambilan keputusan demi perbaikan Unit Pelaksana Teknis (UPT) Telematika yang ada sehingga dapat bermanfaat guna kemajuan organisasi.
1.2 Rumusan Masalah
Berdasarkan Latar belakang yang telah diuraikan diatas, didapatkan suatu perumusan masalah sebagai berikut :
a) Bagaimana perencanaan audit Sistem Informasi terhadap Universitas Pembangunan Nasional “Veteran” Jawa Timur yang berada di Unit Pelaksana Teknis (UPT) Telematika, dengan mengidentifikasi dokumen-dokumen yang diperlukan, melakukan wawancara dengan siapa yang akan diwawancara berdasarkan Sumber Daya Manusia (SDM) yang berhubungan dengan pengelola layanan Unit Pelaksana Teknis (UPT) Telematika, dengan menggunakan Standar COBIT 4.1
Jawa Timur dengan melakukan penilaian berdasarkan analisis Maturity level, Control Objectives, Goals And Metric , dan hasil wawancara dengan mengggunakan Standar COBIT 4.1
c) Bagaimana membuat laporan hasil Audit Sistem Informasi Unit Pelaksana Teknis (UPT) Telematika Universitas Pembangunan Nasional “Veteran” Jawa Timur sesuai dengan standar Cobit 4.1 yang berfokus pada domain Monitor and Evaluate ME1 Monitor and Evaluate IT Performance
d) Hasil audit sistem informasi terhadap Unit Pelaksana Teknis (UPT) Telematika Universitas Pembangunan Nasional “Veteran” Jawa Timur dengan menggunakan Standar COBIT 4.1 yang berfokus pada domain Monitor and Evaluate ME1 Monitor and Evaluate IT Performance memberikan rekomendasi kepada strategi Unit Pelaksana Teknis (UPT) Telematika dalam menilai kebutuhan IT dan apakah sistem IT yang sekarang memenuhi tujuan yang dibutuhkan, hal ini dikhusukan pada proses pengawasan dan evaluasi.
1.3 Batasan Masalah
a) Tugas akhir ini memfokuskan pada Domain Monitor and Evaluate ME1 Monitor and Evaluate IT Performance .
b) Tugas akhir ini lebih berfokus membahas proses pengawasan dan evaluasi terhadap Aplikasi yang dikembangkan oleh Unit Pelaksana Teknis (UPT) Telematika
c) Tugas akhir ini hanya membahas perhitungan control objective, maturity level dan Goals And Metric yang terdapat pada COBIT 4.1 untuk dijadikan rujukan sebagai temuan dan rekomendasi. d) Audit sistem informasi yang dilakukan hanya berkaitan dengan
operasional dan fungsionalitas Unit Pelaksana Teknis (UPT) Telematika Universitas Pembangunan Nasional “Veteran” Jawa Timur.
1.4 Tujuan
Berdasarkan rumusan masalah yang telah dibahas, penyusunan tugas akhir ini bertujuan antara lain :
b) Melaksanakan Audit Sistem Informasi terhadap Unit Pelaksana Teknis (UPT) Telematika Universitas Pembangunan Nasional “Veteran” Jawa Timur dengan melakukan analisis contol objective ( Pengukuran kontrol ) dan melakukan pengukuran dengan maturity level ( Level kedewasaan ) serta Penilaian Goals And Metric yang ada di dalam Standar COBIT 4.1
1.5 Manfaat
Manfaat dalam penulisan tugas akhir ini adalah sebagai berikut :
a) Membantu memberikan rekomendasi kepada kinerja TI yang sudah dilaksanakan dan berguna untuk pedoman atau referensi evaluasi kinerja TI yang sudah diimpelementasikan.
b) Sebagai referensi bagi mahasiswa jurusan Sistem Informasi yang sedang mengikuti mata kuliah audit sistem informasi.
1.6 Sistematika Penulisan
Sistematika penulisan tugas akhir yang berjudul “ Audit Sistem Informasi Menggunakan Standar COBIT 4.1 dengan Domain Monitor and Evaluate pada Universitas Pembangunan Nasional “Veteran” Jawa Timur secara sistematika diatur dan disusun dalam 5 (lima) bab, antara lain :
BAB I : PENDAHULUAN
Pada bab ini membahas latar belakang masalah, rumusan masalah, batasan masalah yang dibuat serta tujuan dari pembuatan tugas akhir dan sistematika penulisan tugas akhir ini.
BAB II : LANDASAN TEORI
BAB III : METODE PENELITIAN
Pada bab ini membahas penjelasan tentang gambaran institusi akademik, menentukan tujuan utama dari audit organisasi IT, ruang lingkup, dan metode yang digunakan.
BAB IV : HASIL DAN PEMBAHASAN
Pada bab ini membahas tentang mengindentifikasi kendali, memperkirakan resiko, mengumpulkan bukti, mengevaluasi temuan hingga membuat laporan akhir hasil audit sistem informasi.
BAB V : PENUTUP
LANDASAN TEORI
2.1 Audit
Pengertian audit intern menurut Institute of Internal Auditor (IIA), audit intern adalah aktivitas independen, keyakinan objektif dan konsultasi yang dirancang untuk memberi nilai tambah dan meningkatkan operasi organisasi. Audit tersebut membantu organisasi mencapai tujuannya dengan menerapkan pendekatan yang sistematis dan berdisiplin untuk mengevaluasi dan meningkatkan efektivitas proses pengelolaan resiko, kecukupan kontrol, dan pengelolaan organisasi. Messier (2005:514) dikutip dalam accountingforteenager.wordprees.com
2.2 Sistem
(2005 : 34) dikutip dalam elib.unikom.ac.id sistem dapat didefinisikan sebagai kumpulan – kumpulan prosedur yang mempunyai tujuan tertentu. Dengan pendekatan komponen, sistem dapat didefinisikan sebagai kumpulan dari komponen yang saling berhubungan satu dengan yang lainnya membentuk satu kesatuan untuk mencapai tujuan tertentu.
2.3 Infor masi
Tujuan dari perancangan sebuah sistem adalah untuk menghasilkan sebuah sistem informasi yang lebih berguna bagi penerimanya dengan tujuan untuk mendapatkan sebuah keputusan yang diharapkan. Menurut Jogiyanto (2005 : 36) dikutip dalam http://fizzulhaq.blogspot.com Informasi adalah data yang diolah menjadi bentuk yang berguna bagi para pemakainya. Menurut Azhar Susanto (2008 : 38) dikutip dalam elib.unikom.ac.id Informasi adalah hasil pengolahan data yang memberikan arti dan manfaat.
Selain itu informasi mempunyai beberapa fungsi, antara lain sebagai berikut :
1. Menambah pengetahuan 2. Mengurangi ketidakpastian 3. Mengurangi resiko kegagalan.
4. Mengurangi keanekaragaman / variasi yang tidak diperlukan.
1. Menambah pengetahuan adanya informasi akan menambah pengetahuan bagi penerimanya yang dapat digunakan sebagai bahan pertimbangan yang mendukung proses pengambilan keputusan.
2. Mengurangi ketidakpastian. Adanya informasi akan mengurangi ketidakpastian karena apa yang akan terjadi dapat diketahui sebelumnya. Sehingga menghindari keraguan pada saat pengambilan keputusan.
3. Mengurangi resiko kegagalan. Adanya informasi akan mengurangi resiko kegagalan karena apa yang terjadi dapat diantisipasi dengan baik, sehingga kemungkinan terjadinya kegagalan akan dapat dikurangi dengan pengambilan keputusan yang tepat.
4. Mengurangi keanekaragaman/ variasi yang tidak diperlukan. Adanya informasi akan mengurangi keanekaragaman yang tidak diperlukan, karena keputusan yang diambil lebih terarah.
memberikan standar, aturan, ukuran, dan keputusan yang lebih terarah untuk mencapai sasaran dan tujuan yang telah ditetapkan secara baik berdasarkan informasi yang diperoleh.
Berdasarkan penjelasan di atas penulis menyimpulkan bahwa informasi merupakan suatu data yang dikumpulkan, diidentifikasi dan diproses sehingga menghasilkan data yang berarti dan berguna bagi pemakainya. Data hasil pengolahan ini disalurkan kepada para pemakai sebagai laporan dari hasil aktivitas perusahaan. Suatu informasi juga memiliki fungsi bagi tiap pemakai.
2.4 Sistem Infor masi
Menurut O’Brien (2005: 5). Sistem Informasi (SI) adalah kombinasi teratur dari orang, hardware, software, jaringan komunikasi dan sumber daya data yang mengumpulkan, mengubah, dan menyebarkan informasi dalam sebuah organisasi. Peran penting sistem informasi untuk sebuah perusahaan bisnis adalah: (dikutip dalam paper Eva Rosdiana Dewi. Stikom Surabaya)
1. Mendukung proses dan operasi bisnis.
2. Mendukung pengambilan keputusan para pegawai dan manajernya.
Menurut Gondodiyoto (2007: 150), investasi di bidang TI sangat penting dievaluasi karena (dikutip dalam paper Eva Rosdiana Dewi. Stikom Surabaya):
1. Menyangkut dana yang biasanya sangat besar, bahkan ada yang lebih dari 50% total investasi perusahaan.
2. Investasi di bidang TI tidak segera terlihat kaitannya langsung dengan revenue perusahaan.
3. Manfaat yang diperoleh perusahaan dari investasi TI seringkali bersifat intangible (tidak kelihatan langsung, misalnya dalam bentuk layanan ke pelanggan lebih baik).
4. Pandangan para pengguna mengenai manfaat TI pada umumnya berbeda-beda, tergantung pada posisinya.
2.5 Audit Sistem Infor masi
Audit sistem informasi lebih ditekankan pada beberapa aspek penting, yaitu pemeriksaan dilakukan untuk menilai apakah sistem komputerisasi organisasi dapat mendukung pengamanan aset, dapat mendukung pencapaian tujuan organisasi, sudah memanfaatkan sumber daya secara efisien, serta apakah terjamin konsistensi dan keakuratan datanya (Gondodiyoto, 2007: 474) dikutip dalam paper Dian Arisanti. Stikom Surabaya,.
2.6 Langkah dasar Audit SI
menjalankan proses audit, tentu saja proses audit harus direncanakan terlebih dahulu. Audit planning (perencanaan audit) harus secara jelas menerangkan tujuan audit, kewenangan auditor, adanya persetujuan managemen tinggi, dan metode audit. Metodologi audit:
1. Audit subject. Menentukan apa yang akan diaudit. 2. Audit objective. Menentukan tujuan dari audit.
3. Preaudit Planning. Mengidentifikasi sumber daya dan SDM yang dibutuhkan, menentukan dokumen - dokumen apa yang diperlukan untuk menunjang audit, menentukan lokasi audit.
4. Audit procedures and steps for data gathering. Menentukan cara melakukan audit untuk memeriksa dan menguji kendali, menentukan siapa yang akan diwawancara.
5. Evaluasi hasil pengujian dan pemeriksaan. Spesifik pada tiap organisasi.
6. Prosedur komunikasi dengan pihak manajemen. Spesifik pada tiap organisasi.
7. Audit Report Preparation. Menentukan bagaimana cara memeriksa hasil audit, yaitu evaluasi kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari organisasi yang diaudit. Struktur dan isi laporan audit tidak baku, tapi umumnya terdiri atas:
b) Hipotesa umum dari auditor.
c) Hasil audit. Apa yang ditemukan dalam audit, apakah prosedur dan kontrol layak atau tidak
d) Rekomendasi. Tanggapan dari manajemen (bila perlu).
e) Exit interview. Interview terakhir antara auditor dengan pihak manajemen untuk membicarakan temuan-temuan dan rekomendasi tindak lanjut. Sekaligus meyakinkan tim manajemen bahwa hasil audit sahih
2.7 Tujuan Audit Sistem Infor masi
Tujuan audit sistem informasi adalah untuk meninjau dan mengevaluasi pengendalian internal yang melindungi sistem tersebut. Ketika melakukan audit sistem informasi, seorang auditor harus memastikan tujuan - tujuan ini terpenuhi:
1. Perlengkapan keamanan melindungi perlengkapan komputer, program, komunikasi, dan data dari akses yang tidak sah, modifikasi atau penghancuran.
2. Pengembangan dan perolehan program dilaksanakan sesuai dengan otorisasi khusus dan umum dari pihak manajemen
3. Modifikasi program dilaksanakan dengan otorisasi dan persetujuan dari pihak manajemen
5. Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang tepat diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah ditetapkan.
6. File data komputer telah akurat, lengkap dan dijaga kerahasiaannya. Dapat disimpulkan secara garis besar terbagi menjadi empat tahap, yaitu (Ron Weber (1999, p.11-13) dikutip dalam 12puby.files.wordpress.com:
1. Meningkatkan keamanan aset-aset perusahaan. 2. Meningkatkan integritas data.
3. Meningkatkan efektifitas sistem. 4. Meningkatkan efisiensi sistem. a. Pengamanan Aset
Aset informasi suatu perusahaan seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia, file data harus dijaga oleh suatu sistem pengendalian intern yang baik agar tidak terjadi penyalahgunaan aset.
b. Menjaga integritas Data
Integritas data (data integrity) adalah salah satu konsep dasar sistem informasi. Data memiliki atribut-atribut tertentu seperti: kelengkapan, kebenaran, dan keakuratan.
c. Efektifitas Sistem
dapat dikatakan efektif bila sistem informasi tersebut telah sesuai dengan kebutuhan user.
d. Efisiensi Sistem
Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi memiliki kapasitas yang memadai.
e. Ekonomis
Ekonomis mencerminkan kalkukasi untuk rugi ekonomi (cost/ benefit) yang lebih bersifat kuantifikasi nilai moneter (uang).
2.8 Per kembangan Pendekatan Audit Sistem Infor masi
Perkembangan teknologi informasi, perangkat lunak, sistem jaringan dan komunikasi dan otomatisasi dalam pengolahan data berdampak perkembangan terhadap pendekatan audit yang dilakukan, tiga pendekatan yang dilakukan oleh auditor dalam memeriksa laporan keuangan klien yang telah mempergunakan Sistem Informasi Akuntansi yaitu (Watne, 1990) dikutip dalam http://id.shvoong.com:
dapat diandalkan. Dalam pemeriksaan dengan pendekatan ini, auditor melakukan pemeriksaan di sekitar komputer saja.
2. Auditing With The Computer. Pendekatan ini digunakan untuk mengotomatisasi banyak kegiatan audit. Auditor memanfaatkan komputer sebagai alat bantu dalam melakukan penulisan, perhitungan, pembandingan dan sebagainya. Pendekatan ini menggunakan perangkat lunak Generalized Audit Software, yaitu program audit yang berlaku umum untuk berbagai klien.
3. Auditing Through The Computer. Pendekatan ini lebih menekankan pada langkah pemrosesan serta pengendalian program yang dilakukan oleh sistem komputer. Pendekatan ini mengasumsikan bahwa jika program pemrosesan dirancang dengan baik dan memiliki aspek pengendalian yang memadai, maka kesalahan dan penyimpangan kemungkinan besar tidak terjadi. Pendekatan ini biasanya diterapkan pada sistem pengolahan data on-line yang tidak memberikan jejak audit yang memadai.
2.9 IT Governance
hubungan dan proses yang mengarahkan dan mengatur organisasi dalam rangka mencapai tujuannya dengan memberikan nilai tambah dari pemanfaatan teknologi informasi sambil menyeimbangkan risiko dibandingkan dengan hasil yang diberikan oleh teknologi informasi dan prosesnya.
IT Governance menyediakan suatu stuktur yang berhubungan dengan proses TI, sumberdaya TI dan informasi untuk strategi dan tujuan perusahaan. Cara mengintegrasikan IT Governance dan optimalisasi perusahaan yaitu melalui perencanaan dan pengorganisasian (PO), akuisisi dan implementasi (AI), penyampaian dan dukungan (DS), dan pengawasan dan evaluasi (ME) kinerja TI.
IT Governance merupakan bagian terintegrasi bagi kesuksesan pengaturan perusahaan dengan jaminan efisiensi dan efektivitas perbaikan pengukuran dalam kaitan dengan proses perusahaan. IT Governance memungkinkan perusahaan untuk memperoleh keunggulan penuh terhadap informasi, keuntungan yang maksimal, modal, peluang dan keunggulan kompetitif dalam bersaing.
merupakan komponen penting bagi perencanaan strategis. Pada kenyataannya TI dapat mempengaruhi peluang strategis yang ditetapkan oleh perusahaan.
Gambar 2.1 Pengaruh IT Governance terhadap pengaturan perusahaan
Aktivitas perusahaan membutuhkan informasi dari aktivitas TI dengan maksud untuk mempertemukan tujuan bisnis. Jaminan kesuksesan organisasi diakibatkan oleh adanya saling ketergantungan antara perencanaan strategis dan aktivitas TI lainnya. Kegiatan perusahaan perlu informasi dari kegiatan TI agar dapat mengintegrasikan tujuan bisnis.
2.10 COBIT (Contr ol Objective for Information and related Tecnology)
COBIT adalah suatu metodologi yang memberikan kerangka dasar dalam menciptakan sebuah TI yang sesuai dengan kebutuhan organisasi. Tujuan COBIT adalah menyediakan model dasar yang memungkinkan pengembangan aturan yang jelas dan praktek yang baik dalam mengontrol informasi dalam suatu organisasi/ perusahaan dalam mencapai tujuannya.
Control Objectives for Information and related Technology adalah sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen dan pengguna untuk menjembatani gap antara resiko bisnis, kebutuhan control dan permasalahan-permasalahan teknis.
COBIT dikembangkan oleh IT Governance Institute, yang merupakan bagian dari Information Systems Audit and Control Association (ISACA). COBIT memberikan arahan yang berorientasi pada bisnis, dan arena itu diharapkan dapat memanfaatkan guideline ini dengan sebaik-baiknya.
COBIT dapat digunakan sebagai tools yang digunakan untuk mengefektifkan implementasi IT Governance, yakni sebagai management guideline dengan menerapkan seluruh domain yang terdapat dalam COBIT, yakni planning and organization (PO), acquire and implementation (AI), Delivery and support (DS) dan Monitoring And Evaluate (ME).
COBIT terdiri atas 4 tujuan pengendalian tingkat tinggi (high-level control objective) yaitu :
1. Perencanaan dan Organisasi (Plan & Organise)
Mencakup strategi, taktik dan perhatian atas identifikasi bagaimana IT secara maksimal dapat berkontribusi dalam pencapaian tujuan bisnis. Selain itu, realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan dikelola untuk berbagai perspektif yang berbeda. Sebuah pengorganisasian yang baik serta infrastruktur teknologi harus ditempatkan di tempat yang semestinya.
Proses IT dari domain plan and organize antara lain : a) PO1 : Mendefinisikan Rencana Strategis IT
b) PO2 : Mendefinisikan Arsitektur Informasi c) PO3 : Menentukan Petunjuk Teknologis
d) PO4 : Mendefinisikan Proses, Organisasi dan Tujuan IT e) PO5 : Mengelola Investasi IT
g) PO7 : Mengelola SDM IT h) PO8 : Mengelola Kualitas
i) PO9 : Menilai dan Mengelola Resiko IT j) PO10 : Mengelola Proyek - proyek
2. Pengadaan dan Implementasi (Acquire And Implement)
Untuk merealisasikan strategi IT, solusi IT perlu diidentifikasi, dikembangkan atau diperoleh, serta diimplementasikan dan terintegrasi ke dalam proses bisnis. Selain itu, perubahan serta pemeliharaan sistem yang ada harus di cakup dalam domain ini untuk memastikan bahwa siklus hidup akan terus berlangsung untuk sistem-sistem ini.
Proses IT yang dimiliki domain ini antara lain : a) AI1 : Mengidentifikasi Solusi Otomatis
b) AI2 : Memperoleh dan Memelihara Aplikasi Perangkat Lunak c) AI3 : Memperoleh dan Memelihara Infrastruktur Teknologi d) AI4 : Memungkinkan Operasi dan Penggunaan
e) AI5 : Mendapatkan Sumber Daya IT f) AI6 : Mengelola Perubahan
g) AI7 : Instalasi dan Akreditasi Perubahan dan Solusi 3. Pengantaran dan Dukungan (Deliver And Support)
pengoperasian aplikasi - aplikasi dalam sistem IT dan hasilnya, serta proses dukungan yang memungkinkan pengoperasian sistem IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk isu/ masalah keamanan dan juga pelatihan.
Proses IT dari domain ini antara lain :
a) DS1 : Mendefinisikan dan mengelola level layanan b) DS2 : Mengelola Layanan Pihak Ketiga
c) DS3 : Mengelola Kinerja dan Kapasitas d) DS4 : Menjalin Layanan Berkesinambungan e) DS5 : Menjamin Keamanan Sistem
f) DS6 : Mengidentifikasi dan Mengalokasikan Biaya g) DS7 : Mendidik dan Melatih Pengguna
h) DS8 : Mengelola Layanan dan Insiden i) DS9 : Mengelola Konfigurasi
j) DS10 : Mengelola Masalah k) DS11 : Mengelola Data
l) DS12 : Mengelola Lingkungan Fisik m) DS13 : Mengelola Operasi
4. Monitoring dan Evaluasi (Monitor And Evaluate)
proses pengendalian dalam organisasi serta penilaian independen yang dilakukan baik auditor internal maupun eksternal atau diperoleh dari sumber-sumber alternatif lainnya.
Domain ini memiliki proses IT antara lain : a) ME1 : Mengawasi dan Mengevaluasi Proses TI
Pada bagian proses ini menjelaskan bahwa perlunya organisasi memiliki sebuah proses pengawasan dan mengumpulkan informasi informasi yang berkaitan dengan proses pengawasan serta mendefinisikan dan mengintegrasikan tools yang digunakan untuk memantau proses TI.
b) ME2 : Mengawasi dan Mengevaluasi Pengendalian Internal Pada bagian ini proses ini menjelaskan bahwa organisasi memerlukan organisasi keamanan operasional TI dan jaminan pengendalian internal serta kebutuhan untuk menentukan manajemen TI dan menjamin pengendalian internal secara umum.
c) ME3 : Menjamin Kepatuhan pada Kebutuhan Eksternal
keperluan eksternal dan kebutuhan untuk menjamin pada semua.
d) ME4 : Menyediakan Tata Kelola IT
Pada bagian proses ini menjelaskan bahwa organisasi memerlukan adanya kesadaran dan pengakuan penyediaan tata kelola IT. Dimana aktivitas tata kelola IT dan indikator performance meliputi perencanaan IT pengiriman data, dan pengawasan proses-proses.
Berikut deskripsi kriteria maturity level dari Standar Framework COBIT 4.1 (ME) 1 Domain Monitor And Evaluate IT Performance :
0 Non-existent
Organisasi belum memiliki proses pengawasan yang diimplementasikan. Pengawasan proyek atau proses TI tidak dilakukan secara mandiri. Tidak tersedianya laporan yang berguna, tepat waktu dan akurat. Kebutuhan untuk tujuan-tujuan dari proses dipahami dengan jelas tidak dikenali.
1 Initial/Ad Hoc
dilaksanakan secara reaktif untuk kejadian yang menyebabkan kehilangan atau keadaan memalukan terhadap organisasi. Fungsi akuntansi memonitor ukuran keuangan dasar untuk TI.
2 Repeatable but Intuitive
Dasar pengukuran yang akan dimonitor dapat diidentifikasi. Terdapat metode Pengumpulan dan teknik penilaian, namun proses tidak diadopsi di seluruh organisasi. Interpretasi dari hasil pengawasan didasarkan pada keahlian dari orang penting. Alat bantu yang terbatas dipilih dan dilaksanakan untuk mengumpulkan informasi, tetapi pengumpulan itu tidak didasarkan pada pendekatan yang direncanakan.
3 Defined Process
pelanggan dan tingkat layanan sudah ditentukan. Sebuah kerangka kerja sudah didefinisikan untuk mengukur kinerja.
4 Managed and Measurable
Manajemen mendefinisikan toleransi dimana proses - proses mana yang harus beroperasi. Pelaporan hasil pemantauan mempunyai standar (sedang atau normatif) dan dinormalisasi. Terdapat integrasi metrik di seluruh proyek TI dan prosesnya. Sistem manajemen pelaporan organisasi TI telah diformalkan. Alat bantu otomatis telah terintegrasi dan organisasi telah meningkatkan secara keseluruhan untuk mengumpulkan dan memantau informasi operasional pada aplikasi, sistem dan prosesnya. Pihak Manajemen dapat mengevaluasi kinerja berdasarkan kriteria yang disetujui stakeholder. Ukuran TI berfungsi selaras dengan tujuan organisasi.
5 Optimised
secara luas. Pembandingan terhadap industri dan pesaing utama menjadi resmi/ layak, dipahami dengan baik dengan kriteria perbandingan.
2.11 COBIT dan sejar ah perkembangannya
COBIT muncul pertama kali pada tahun 1996 yaitu COBIT versi 1 yang menekankan pada bidang audit, COBIT versi 2 pada tahun 1998 yang menekankan pada tahap kontrol, COBIT versi 3 pada tahun 2000 yang berorientasi kepada manajemen, dan COBIT versi 4 yang lebih mengarah kepada IT governance. COBIT terdiri dari 4 domain, yaitu:
1. Planning & Organization 2. Acquire & Implementation 3. Delivery & Support
4. Monitoring & Evalution
2.12 Kerangka kerja COBIT
Menurut Campbell dalam hirarki COBIT terdapat 4 domain COBIT yang terbagi menjadi 34 proses dan 318 control objectives, serta 1547 control practitices. Dalam setiap domain dan proses di dalamnya tersedia pula panduan manajemen, panduan audit, dan ringkasan bagi pihak eksekutif. (IT Governance Institute. 2007. COBIT 4,1 Excerpt)
a) Control Obejctives: terdiri atas 4 tujuan pengendalian tingkat tinggi yang tercermin dalam 4 domain.
b) Audit guidelines: berisi 318 tujuan pengendalian bersifat rinci
c) Management guidelines L berisi arahan, baik secara umum dan spesifik mengenai hal-hal yang menyangkut kebutuhan manajemen. Secara garis besar dapat memberikan jawaban mengenai:
- Apa saja indikator untuk mencapai hasil kinerja yang baik ? - Faktor apa saja yang harus diperhatikan untuk mencapai
sukses?
- Apa resiko yang mungkin muncul bila tidak mencapai sasaran?
Di samping itu, dalam kerangka kerja COBIT juga memasukkan bagian-bagian seperti (IT Governance Institute. 2007. COBIT 4,1 Excerpt):
a) Maturity models : untuk menilai tahap maturity IT dalam skala 0-5 b) Critical Success Factors (CSFs) : arahan implementasi bagi
manajemen dalam melakukan pengendalian atas proses IT.
c) Key Goal Indicatirs (KGIs) : berisi mengenai arahan kinerja proses-proses IT sehubungan dengan kebutuhan bisnis.
d) Key Performance Indicators (KPIs) : kinerja proses - proses IT sehubungan dengan sasaran/ tujuan proses (process goals).
Hubungan antara komponen dalam Cobit dapat dilihat pada gambar 2.2 menggambarkan bahwa bisnis membutuhkan proses – proses IT yang dikendalikan oleh Control Objective, di audit menggunakan audit guidelines, akan menjadi efektif dan efisien dengan activity goal dan diukur oleh Key Performance Indicator, Key Goal Indicator dan Maturity Model. Dimana hubungan antara komponen dalam Cobit dapat dilihat.
2.13 Penentuan Domain
Dalam menentukan domain dari standar Cobit 4.1 yang digunakan sebagai pedoman mengaudit organisasi dan membantu proses bisnis organisasi, dengan melihat dari Framework yang dimiliki dari standar Cobit 4.1 dan dikorelasikan dengan kondisi proses bisnis TI yang ada di organisasi, dalam hal ini penulis ingin melihat sejauh mana organisasi (Universitas Pembangunan Nasional “Veteran” Jawa Timur) sudah melakukan proses pengawasan dan evaluasi kinerja Teknologi Informasi atau belum, dan auditor menentukan proses tersebut dengan memilih domain ME1 Monitor And Evaluate IT Performance, dan lebih berfokus pada IT solution yang diberikan, dalam hal ini adalah Aplikasi sistem informasi yang dibuat. Di dalam Standar Cobit 4.1 domain ini mempunyai kriteria high level atau tingkat resiko sangat tinggi.
2.14 Control Objectives ( Tujuan Pengendalian )
Tujuan pengendalian Cobit menyediakan pemahaman yang kritis dalam menentukan kebijakan yang jelas dan praktek yang baik untuk pengendalian TI. Termasuk di dalamya pernyataan akan keinginan untuk mencapai 214 tujuan spesifik dan tujuan pengendalian detail dalm 34 proses IT tingkat tinggi ( High - level IT processes ). Pengendalian didefinisikan sebagai kebijakan, prosedur, praktek, dan struktur organisasi yang dirancang untuk memberikan keyakinan yang memadai bahwa tujuan bisnis akan tercapai dan kejadian yang tidak diinginkan dapat dicegah atau dideteksi dan diperbaiki.
Tujuan Pengedalian Teknologi Informasi menyediakan satu set persyaratan tingkat tinggi yang lengkap untuk dipertimbangkan oleh manajemen untuk pengendalian yang efektif pada setiap proses teknologi informasi, yaitu :
a) Apakah peryataan tindakan manajerial utuk meningkatkan nilai atau mengurangi resiko
2.15 Maturity Level ( tingkat kedewasaan )
Tingkat kedewasaan ini, menilai kematangan dan kemampuan proses per proses dan memantu untuk mengatasi kesenjangan. Tingkat kedewasaan untuk manajemen dan pengendalian atau proses teknologi informasi didasarkan pada suatu metode evaluasi organisasi, sehingga dapat diurutkan dari level kematangan tidak ada (0) hingga optimal (5). Pendekatan ini berasal dari tingkat kedewasaan bahwa The Software Enginnering Institute (SEI) yang menentukan untuk kematangan kemampuan pengembangan peragkat lunak (software). Manfaat pendekatan maturity level ini adalah relatif mudah digunakan oleh manajemen dalam menempatkan skala dan menghargai hal yang terlibat ketika peningkatan kinerja diperlukan. Skala nol (0) mengidikasikan kemungkinan tidak ada proses yang terjadi sama sekali. Skala 0-5 berdasarkan skala kematangan yang sederhana yang menunjukkan bagaimana suatu proses itu terjadi dari suatu kapasitas yang non – existenses ke kapasitas yang optimal.
Untuk membuat hasil dengan mudah dapat digunakan dalam briefing manajemen, di mana mereka akan disajikan sebagai sarana untuk mendukung kasus bisnis untuk rencana masa depan, metode presentasi grafis perlu disediakan, berikut presentasi grafis diagram dan garis :
Keterangan gambar penjelasan di atas :
0 - Proses manajemen tidak diterapkan sama sekali. 1- Proses bersifat adhoc dan tidak terorganisir. 2- Proses mengikuti pola teratur.
3- Proses didokumentasikan dan dikomunikasikan. 4- Proses dipantau dan diukur.
5- Praktek yang baik diikuti dan otomatis
Gambar 2.5 Grafis Representasi Model Kematangan (sumber : IT Governance Institute. 2007. COBIT 4,1 Excerpt)
Saat ini status Perusahaan saat ini Rata rata Industri
Gambar diatas menjelaskan menggambarkan sebuah proses yang sebagian besar di tingkat 3 tetapi masih memiliki beberapa masalah kepatuhan dengan persyaratan tingkat yang lebih rendah sementara sudah berinvestasi dalam pengukuran kinerja (tingkat 4) dan optimasi (tingkat 5).
Pada COBIT 4.1 tingkat kematangan manajemen sistem dan teknologi informasi dapat dibagi menjadi enam level, yaitu:
1. 0.Nothing, adalah kondisi dimana perusahaan sama sekali tidak perduli terhadap pentingnya teknologi informasi untuk dikelola secara baik oleh manajemen.
2. 1.Ad-Hoc, adalah kondisi dimana perusahaan secara reaktif melakukan penerapan dan implementasi teknologi informasi sesuai dengan kebutuhan-kebutuhan mendadak yang ada, tanpa didahului dengan perencanaan sebelumnya.
3. 2.Repeatable, adalah kondisi dimana perusahaan telah memiliki pola yang berulang kali dilakukan dalam melakuan manajemen aktivitas terkait dengan tata kelola teknologi informasi, namun keberadaannya belum terdefinisi secara baik dan formal sehingga masih terjadi ketidak konsistenan.
4. 3.Defined, adalah kondisi dimana perusahaan telah memiliki prosedur baku formal dan tertulis yang telah disosialkan ke segenap jajaran manajemen dan karyawan untuk dipatuhi dan dikerjakan dalam aktivitas sehari-hari.
5. 4.Managed, adalah kondisi dimana perusahaan telah memiliki sejumlah indikator atau ukuran kuantitatif yang dijadikan sebagai sasaran maupun obyektif kinerja setiap penerapan aplikasi teknologi informasi yang ada.
6. 5.Optimised, adalah kondisi dimana perusahaan dianggap telah mengimplementasikan tata kelola manajemen teknologi informasi yang mengacu pada “best practice”.
2.16 Goals And Metric
penafsiran penilaian. Goals And Metric dijadikan acuan maupun rujukan untuk pembuatan temuan dan rekomendasi yang nantinya diharapkan dapat membantu manajemen dalam pengambilan keputusan demi perbaikan Unit Pelaksana Teknis (UPT) Telematika yang ada sehingga dapat bermanfaat guna kemajuan organisasi khususnya dalam hal pemanfaatan IT serta proses bisnis IT. Berikut merupakan gambar Presentasi dari Goals And Metric :
Pada bab ini akan membahas tentang prosedur audit. Terdapat tujuh prosedur audit, yaitu : Audit subject, Audit Objective, Preaudit Planning, Audit Prosedur & Step For Data Gathering, Prosedur Komunikasi Dengan pihak Manajemen, Evaluasi Hasil Pengujian, Audit Report akan dibahas lengkap pada bab empat (hasil evaluasi ).
Untuk melakukan langkah - langkah Audit Sistem Informasi diatas, perlu dijelaskan ke dalam bentuk skema, dimana urutan langkah – langkahnya atau prosesnya dijelaskan secara berurutan hingga adanya hasil temuan dan rekomendasi Audit Sistem Informasi pada Unit Pelaksana Teknis (UPT) Telematika Universitas Pembangunan Nasional “Veteran” Jawa Timur.
Adanya pembuatan skema proses ini memungkinkan untuk mempermudah atau membantu langkah – langkah audit sistem informasi yang mengacu kepada standar COBIT 4.1 dan menyeleraskan dengan tujuan bisnis organisasi yang didukung dengan adanya teknologi informasi. Berikut ini merupakan Gambar Skema Proses Audit :
Gambar 3.1 Skema Prosedur Audit (ME 1 Monitor dan Evaluasi Kinerja Teknologi Informasi)
Dokumen Organisasi Dan Tata Kerja UPN “Veteran” Jawa Timur
Hasil Interview/Kuisioner
Analisis Hasil Temuan Analisis Hasil Temuan Analisis Hasil Temuan
Penilaian
Hasil Interview Hasil Interview Bukti Dokumen Hasil Interview/ Bukti Dokumen
Gambar skema di atas dijelaskan bagaimana melakukan langkah – langkah audit dengan merujuk ke dalam standar COBIT 4.1, dimulai langkah awal yaitu melakukan studi Literatur dan mencari beberapa sumber yang membahas judul Audit Sistem Informasi maupun dari hasil penelitian yang membahas tentang prosedur audit dan penerapan tata kelola TI. Untuk langkah yang kedua yaitu menentukan subject audit dan domain mana yang akan digunakan, dalam hal ini yaitu menentukan terlebih dahulu organisasi mana yang mempunyai Core bisnis di bidang TI, serta mengidentifikasi kebutuhan dan proses bisnis yang dilakukan untuk bisa menentukan domain mana yang digunakan untuk audit sistem informasi.
Untuk langkah ketiga mengkorelasikan fungsionalitas struktur organisasi yang di audit ke dalam Diagram RACI, yang berguna untuk mengetahui pihak mana yang berkaitan dengan proses domain yang sudah ditentukan, selengkapnya bisa dijelaskan pada pembahasan pada bab iv mengenai RACI Chart. Untuk langkah ke empat, masih berkaitan juga dengan RACI Chart karena penilaian Maturity level, Control Objectives, dan Goals And Metric masih berkorelasi dengan diagram RACI sebagai pedoman dalam proses penilaian dan kepada siapa orang yang bertanggung jawab maupun orang yang memberikan keputusan. Dari hasil proses penilaian tersebut menghasilkan pernyataan maupun hasil presentase, kemudian selanjutnya di analisa kembali hingga di rumuskanya temuan dan rekomendasi serta dengan menganalisa sebab akibat dari temuan yang dirumuskan.
3.1 Audit Subject
3.1.1 Gambaran Umum Universitas Pembangunan Nasional “ Veteran” J awa Timur
Menentukan siapa subject yang akan diaudit, dimana subject kali ini adalah perguruan tinggi Universitas Pembangunan Nasional “Veteran” Jawa Timur. Universitas Pembangunan Nasional “Veteran” Jawa Timur merupakan salah satu lembaga pendidikan tinggi swasta di Indonesia yang berdiri sejak 5 Juli 1959. Selama kurun waktu 50 tahun, Universitas Pembangunan Nasional “Veteran” Jawa Timur telah mengalami berbagai perubahan status, yaitu:
a. Sejak Juli 1959 s/d 1965 Akademi Administrasi Perusahaan “Veteran” Cabang Surabaya.
b. Pada 17 Mei 1968 Perguruan Tinggi Pembangunan Nasional (PTPN) “Veteran” Cabang Jawa Timur dengan 3 Fakultas (Ekonomi, Pertanian dan Teknik Kimia), berdasarkan Surat Keputusan Kementerian Transmigrasi, Urusan Veteran dan Demobilisasi.
d. Periode tahun 1977, terjadi perubahan nama PTPN “Veteran” Cabang Jawa Timur menjadi Universitas Pembangunan Nasional “Veteran” Cabang Jawa Timur
e. Sejak tahun akademik 1994/1995 penyelenggaraannya dilakukan secara mandiri sebagai Perguruan Tinggi Swasta.
f. Berdasarkan Surat keputusan Badan Akreditasi Nasional Perguruan Tinggi No. 001/BAN-PT/Ak-1/VIII/1998 tanggal 11 Agustus 1998 telah memperoleh status terakreditasi penuh untuk semua Jurusan/Program studi.
g. Pada awal tahun akademik 2005/2006 jumlah mahasiswa yang terdaftar mencapai 12.500 orang, yang berasal dari SMU Negeri/Swasta, SMK Negeri / Swasta, Instansi Pemerintah dan swasta yang berasal dari dalam / luar wilayah Propinsi Jawa Timur. Sampai dengan akhir tahun 2005, UPN “Veteran” Jawa Timur telah meluluskan Sarjana S-1 sejumlah 25.000 orang.
3.1.2 Visi Misi dan Tujuan Universitas Pembangunan Nasional “Veteran” J awa Timur
Berikut adalah visi, misi dan tujuan dari perguruan tinggi Universitas Pembangunan Nasional “Veteran” Jawa Timur : a. Visi :
Menjadi Universitas terdepan dalam pengembangan ilmu pengetahuan dan teknologi serta sumber daya manusia yang dilandasi nilai dan semangat kejuangan.
b. Misi:
1. Menghasilkan Sumber Daya Manusia yang memiliki nilia-nilai moralitas, mentalitas dan intelektualitas serta jasmani yang sehat.
2. Mengembangkan ilmu pengetahuan dan teknologi menuju "Research university".
3. Mengembangkan sistem pemberdayaan masyarakat.
4. Meningkatkan kerjasama dalam bidang akademik dan non akademik dengan Perguruan Tinggi lain, pemerintah dan Swasta
c. Tujuan :
memiliki disiplin, tanggung jawab dan pengabdian yang tinggi serta rasa kepedulian terhadap kesejahteraan masyarakat. Berikut merupakan struktur organisasi Universitas Pembangunan Nasional “Veteran” Jatim, pada gambar 3.2.
Gambar 3.2 Struktur Organisasi Universitas Pembangunan Nasional “Veteran” Jawa Timur
(Sumber : arsip Fakultas Teknologi Industri)
3.1.3 Unit Pelaksana Teknis (UPT) Telematika Univer sitas Pembangunan Nasional “Veteran” J awa Timur
pelayanan di bidang Teknologi Informasi dan Komunikasi (TIK) atau sering disebut dengan IT (Information Technology. kepada seluruh satker, termasuk staf Dosen, karyawan, mahasiswa serta layanan kepada masyarakat umum. Unit Pelaksana Teknis (UPT) Telematika pada awalnya bernama bernama Unit Pelaksana Teknis Puskom yang dibentuk pada tahun 1984 dalam bentuk pelayanan Laboratorium Komputasi dan Statistik di lingkungan kantor Dekan Koordinator Jl. Tambakbayan Tengah 17-19 Surabaya. Pada bulan September tahun 1987 UPN “Veteran” Jawa Timur pindah ke kampus baru di Jl. Raya Rungkut Madya - Gununganyar, kemudian laboratorium Komputasi dan Statistik dititipkan sementara kepada Fakultas Pertanian. Dengan semakin berkembangnya IT dan kompleksitas permasalahan manajerial IT, maka sejak tahun 1994, secara bertahap statusnya ditingkatkan menjadi Unit Pelaksana Teknis Pusat Komputer di tingkat Universitas dan bertanggung jawab langsung kepada Rektor; dan pada tahun 2007 sesuai dengan semakin besarnya beban.
3.1.4 Tugas Pokok Unit Pelaksana Teknis (UPT) Telematika
3.1.5 Fungsi Unit Pelaksana Teknis (UPT) Telematika
a) Menyusun rencana program kegiatan jangka pendek, menengah dan panjang Unit Pelaksana Teknis (UPT) Telematika sebagai pedoman pelaksanaan tugas.
b) Mengkoordinasi bawahan dalam melaksanakan tugas agar terjalin kerjasama yang baik.
c) Mengembangkan perangkat keras dengan cara mengusulkan penambahan dan pemeliharaan untuk terlaksananya berbagai kegiatan yang telah direncanakan.
d) Menyelenggarakan pendidikan dan pelatihan komputer untuk meningkatkan keterampilan dan kemampuan staf Unit Pelaksana Teknis (UPT) Telematika dan satuan kerja lainnya.
e) Melaksanakan urusan pembuatan program / sistem informasi sesuai kebutuhan unit kerja lain, menghasilkan jenis-jenis informasi yang dibutuhkan sub satker.
f) Menyusun laporan Unit Pelaksana Teknis (UPT) Telematika sesuai dengan hasil yang telah dicapai sebagai pertanggung jawaban pelaksanaan tugas.
Bagan organisasi di Unit Pelaksana Teknis Unit Pelaksana Teknis (UPT) Telematika Universitas Pembangunan Nasional “Veteran” Jawa Timur ditampilkan sebagai berikut :
Gambar 3.3 Bagan Organisasi Unit Pelaksana Teknis (UPT) Telematika
Bidang Tugas di Unit Pelaksana Teknis (UPT) Telematika : Ka Telematika :
1. Penanggung jawab rencana program kegiatan
2. Penanggung jawab rencana pengembangan dan kerjasama 3. Penanggung jawab penggunaan anggaran
Ka Tata Usaha :
1. Pelaksana perencanaan dan penggunaan anggaran 2. Pelaporan hasil kegiatan dan anggaran
3. Pelaporan pertanggung jawaban keuangan
4. Pelaporan implementasi Manual Prosedur pada ISO 9001-2008
1. Pelaksana rencana pengolahan data
2. Perancangan dan pemeliharaan perangkat lunak 3. Perancangan sistem database
4. Pelaporan implementasi Manual prosedur pada ISO 9001-2008
Subbag Pemeliharaan Jaringan dan Portal :
1. Pelaksana rencana pengembangan Jaringan (LAN dan WAN) 2. Perancangan dan pemeliharaan jaringan
3. Perancangan dan pengembangan website
4. Perancangan dan pengembangan sistem komputer
5. Pelaporan implementasi sasaran Mutu 3 pada ISO 9001-2008
Subbag Bisnis Aplikasi :
1. Pelaksana program kerjasama Aplikasi Komputer 2. Pelaksana kerjasama Aplikasi Komputer
3. Perancangan dan pengembangan kerjasama Aplikasi Komputer 4. Pelaksana dan pengembangan Bisnis Aplikasi Komputer
5. Pelaporan implementasi sasaran Mutu 1 dan 2 pada ISO 9001-2008 Keterangan punggawa Unit Pelaksana Teknis (UPT) Telematika :
No Nama Personil Jabatan
3.2 Audit Objective
Yang menjadi object dalam pengauditan kali ini, adalah Aplikasi Sistem Informasi yang ada di dalam Unit Pelaksana Teknis (UPT) Telematika merupakan salah satu unit pelayanan teknis di tingkat Universitas yang mempunyai fungsi pelayanan di bidang Teknologi Informasi dan Komunikasi 2 Nurul Komariyah,S.Pd.MM Kasubbag TU Unit Pelaksana Teknis (UPT)
Telematika
3 Abdullah Fadil, S.Kom Kasubbag Operasional Jaringan Unit Pelaksana Teknis (UPT) Telematika 4 Farid Wajdi, A.Md Kasubbag Pengolahan Data Unit Pelaksana
Teknis (UPT) Telematika
5 Mohammad Idhom, S.P Staf Unit Pelaksana Teknis (UPT) Telematika Pengelola Website 6 Fadli Ansori, SIP Staf Unit Pelaksana Teknis (UPT)
Telematika Pengelola Sertifikasi MicroSoft 7 Ronggo Alit, S.Kom Staf Unit Pelaksana Teknis (UPT)
Telematika Wakil Pengelola Sertifikasi MicroSoft
(TIK) atau sering disebut dengan IT (Information Technology) kepada seluruh satker, termasuk staf Dosen, karyawan, mahasiswa serta layanan kepada masyarakat umum.
3.3 Preaudit Planning
Mengidentifikasi sumber daya dan SDM yang dibutuhkan, penentuan dokumen – dokumen apa yang diperlukan untuk menunjang audit sistem informasi, penentuan tempat atau lokasi dan pembuatan penjadwalan untuk melaksanakan audit. Hal ini sangat penting untuk mempersiapkan dalam perencanaan audit sistem informasi.
3.4 Audit Procedure & Steps For Data Gathering
Memperoleh data – data yang diperoleh dari wawancara terhadap pihak yang bersangkutan yaitu Unit Pelaksana Teknis (UPT) Telematika. Untuk mendapatkan data – data yang berkaitan dengan Unit Pelaksana Teknis (UPT) Telematika akan menggunakan kertas kerja (Framework) yang mengacu pada standar Cobit 4.1 dan fokus dengan domain Monitor and Evaluate (ME) yang terdapat 4 proses :
ME 1 : Monitor and Evaluate IT Processes (mengawasi dan mengevaluasi proses IT)
ME 2 : Monitor and Evaluate Internal Control (mengawasi dan mengevaluasi pengendalian internal)
ME 4 : Provide IT Governance (menyediakan tata kelola TI)
3.5 Pr osedur Komunikasi Dengan Pihak Manajemen
Auditor dapat menggunakan berbagai teknik yaitu, termasuk survey, wawancara dan review dokumentasi. Untuk berkomunikasi dengan pihak manajemen dalam memahami organisasi dan sistem informasi yang akan diaudit. Dalam hal ini nantinya auditor menggunakan pengukuran menggunakan Maturity Level, untuk mengontrol menggunakan Control Objective, dan untuk menilai performa serta IT Goal menggunakan Goal And Matrics (IT), Goals And Matrics (IT), Goal And Matrics (Activities). Kemudian sarana wawancara dengan kepala Unit Pelaksana Teknis (UPT) Telematika dan dengan kepala bagiannya, guna mendapatkan data – data yang akan digunakan dalam mengaudit Sistem Informasi Unit Pelaksana Teknis (UPT) Telematika.
3.6 Evaluasi Hasil Pengujian
3.7 Audit Report
BAB IV
HASIL DAN PEMBAHASAN
Pada bab ini membahas mengenai proses dan tahapan audit yang dilakukan di ruang lingkup Unit Pelaksana Teknis Telematika Universitas Pembagunan Nasional “Veteran” Jawa Timur. Proses dan tahapan tersebut antara lain menjelaskan dan memaparkan kondisi umum Unit Pelaksana Teknis (UPT) Telematika Universitas Pembagunan Nasional “Veteran” Jawa Timur, melaksanakan Audit dengan memakai standar COBIT 4.1, proses dari hasil wawancara dengan beberapa pihak manajemen terkait yang berada di UPT Telematika, pemetaan kerangka kerja COBIT, identifikasi kendali dan memperkirakan resiko, mengumpulkan bukti – bukti, mengevaluasi temuan, sampai dengan membuat rekomendasi audit terhadap Unit Pelaksana Teknis ( UPT ) Telematika Universitas Pembagunan Nasional “Veteran” Jawa Timur.
4.1 Kondisi Umum Unit Pelaksana Teknis (UPT) Telematika Universitas Pembagunan Nasional “Veteran” J awa Timur
Unit Pelaksana Teknis (UPT) Telematika merupakan salah satu unit pelayanan teknis di tingkat Universitas yang mempunyai fungsi pelayanan di bidang Teknologi Informasi dan Komunikasi (TIK) atau sering disebut dengan IT (Information Technology) yang ditujukan kepada seluruh satker, termasuk staf Dosen, karyawan, mahasiswa serta layanan kepada masyarakat umum. tugas pokok Unit Pelaksana Teknis (UPT) Telematika menyediakan sarana dan prasarana pendukung dan menyajikan informasi berkualitas yang tepat kebutuhan, tepat waktu dan tepat nilai berkaitan pelaksanaan Tridharma Perguruan Tinggi dengan menggunakan perangkat pengolah dan penyaji informasi khususnya bagi civitas academika UPN “Veteran” Jawa Timur.
Dalam ruang lingkup UPT Telematika, sarana dan prasarana yang dikelola dan diawasi pemeliharaanya antara lain adalah :
Nama Alat/ Aplikasi Lokasi Alat/ Aplikasi Frekuensi Pemeliharaan Sistem informasi
kepegawaian Bagian Personil
(Rektorat/ Ruang Server) 6 Bulan
Sistem informasi
Pelaksana Teknis, Ruang Satker di Universitas Pembangunan Nasional
Software Info Pembelian Ruang Server 12 Bulan
Software SPC Ruang Server 12 Bulan
Sistem Informasi Kas
Bank Ruang Server
6 Bulan
Internal DNS Server Ruang Server 3 Bulan
Mail Server Ruang Server 3 Bulan
Server Database Ruang Server 3 Bulan
Server Aplikasi Ruang Server 3 Bulan
Selain pengelolaan di atas, ada pula pengelolaan terhadap tingkat layanan fasilitas maupun infrastruktur secara terpadu. Dalam pengelolaan fasilitas jaringan, Unit Pelaksana Teknis (UPT) Telematika mengembangkan infrastruktur jaringan teknologi informasi dan komunikasi kampus yang dapat diakses secara mudah, cepat dan murah dari berbagai media komunikasi secara internal maupun eksternal. Dalam pelaksanaanya tentunya memerlukan pengawasan dan evaluasi secara berkala dari pihak manajemen maupun lembaga. Pada saat ini, Unit Pelaksana Teknis (UPT) Telematika masih belum mempunyai rencana strategis untuk menentukan standar ukuran proses pengawasan dan evaluasi kinerja TI di Universitas Pembagunan Nasional “Veteran” Jawa Timur yang berfungsi sebagai tolak ukur dan pedoman bagi keberlangsungan proses bisnis organisasi yang berkorelasi dengan Teknologi Informasi. Dari hasil wawancara dengan Kepala Unit Pelaksana Teknis (UPT) Telematika, rencana strategis masih dalam perencanaan pembuatan dan tahap pengumpulan materi yang dibutuhkan serta masih mendefinisikan alat ukur yang bisa dipakai sebagai pedoman dan pencapaian proses pengerjaanya masih dalam bentuk draft.
4.2 Pr oses dan Hasil Wawancara 4.2.1 Pr oses wawancara
adalah sebuah aktivitas dialog antara dua pihak atau lebih untuk membahas sebuah tema, dengan tujuan untuk menggali informasi yang berguna untuk mendukung suatu pernyataan. Pada langkah-langkah audit, proses wawancara sangat dibutuhkan karena untuk mendukung penggalian data atau informasi dari Unit Pelaksana Teknis (UPT) Telematika Universitas Pembangunan Nasional “Veteran” Jawa Timur.
Dalam hal membuat pertanyaan kepada pihak yang akan diwawancarai pastinya memerlukan sebuah pedoman untuk menyusun pertanyaan tersebut, dan standar COBIT 4.1 merupakan referensi sangat tepat, karena mempunyai kompromi yang cukup baik dalam keluasan cakupan pengelolaan dan kedetailan proses – prosesnya. Untuk penelitian kali ini penulis akan melakukan penilaian yang dihasilkan dari wawancara dari pihak yang berkepentingan.
4.2.2 Kendala Wawancara
tidak optimal, yang nantinya berimbas pada hasil wawancara dan hasil temuan tidak didapatkan secara jelas.
4.2.3 Hasil wawancara
Berikut ini merupakan tabel hasil wawancara dengan Kepala Unit Pelaksana Teknis (UPT) Telematika Universitas Pembagunan Nasional “Veteran” Jawa Timur :
Organisasi : UPT Telematika UPN ”Veter an”J atim
Tanggal :
Rabu, 18 April 2012 Ruang Lingkup : KA Unit Pelaksana
Teknis (UPT) Telematika selaras dengan tujuan Universitas Pembagunan Nasional “Veteran” Jawa Timur ?
4. Apakah hasil pelaporan kinerja IT dijadikan sebagai tolak ukur bagi kedepanya Unit Pelaksana Teknis (UPT) Telematika? 5. Apakah ada unsur pihak ke tiga dalam pengadaan aplikasi atau
sistem ?
Universitas Pembagunan Nasional “Veteran” Jawa Timur? 7. Apakah setiap ada perubahan proses, sistem, termasuk,
prosedur dan parameter layanan akan dicatat atau dinilai dan disahkan sebelum diimplementasikan?
8. Apakah ada formalitas atau prosedur, apabila terjadi kesalahan dalam sistem ?
9. Apakah ada pengawasan dalam setiap membangun aplikasi sampai dengan implementasi ?
10. Apakah sering dilakukan perawatan secara berkala terhadap kinerja sistem di UPT Telematika?
11. Apakah ada evaluasi secara berkala di dalam UPT Telematika? 12. Apakah semua layanan dan pembuatan Aplikasi dibuat oleh
Unit Pelaksana Teknis (UPT) Telematika?
13. Apakah ada alokasi dana untuk pembuatan aplikasi yang baru ? 14. Apakah ada back up data dari server pusat dan di back up di
luar Unit Pelaksana Teknis (UPT) Telematika? 15. Apakah ada jangka panjang dalam hal keamanan IT ?
16. Apakah ada alokasi dana untuk pembuatan Aplikasi baru maupun perawatan sistem ?
17. apakah dalam pengadaan Aplikasi dan infrastruktur jaringan bekerja sama dengan pihak ketiga ?
No. Jawaban
1. Ada evaluasi pengawasan dan perawatan sistem per 6 bulan ( per semester )
2. Tidak adanya pelatihan bagi staff IT secara formalitas, namun bersifat personal ( langsung operasional )
3. Untuk masalah rencana strategis (Renstra), Unit Pelaksana Teknis (UPT) Telematika sudah mempunyai, namun Unit Pelaksana Teknis (UPT) Telematika mengikuti rencana strategis yang sudah dibuat oleh Lembaga atau Universitas sebagai acuan.
4. Iya, dan untuk masalah pelaporan dari hasil kinerja IT di Unit Pelaksana Teknis (UPT) Telematika sudah di targetkan 3 tahun kedepannya.
5. Ada, layanan pihak ketiga untuk pembuatan Aplikasi dan infrastuktur jaringan. Untuk layanan pembuatan Aplikasi : dari Microsoft office (E – biss), Untuk layanan infrastruktur jaringan : PT. Telkom, Lintas Arta
6. Iya, sangat menunjang khususnya dalam hal melayani kebutuhan akademik yang sangat tergantung dengan kebutuhan sarana IT
7. Tidak ada dokumentasi dalam perubahan sistem, namun untuk prosedur layanan mempunyai 2, yaitu : Manual prosedur, Sasaran utuh
8. Tidak ada prosedur maupun dokumentasi dalam menangani error handling (jika ada pelaporan kesalahan, hanya ditangani secara langsung/ personal)
9. Belum ada mekanisme pengawasan sistem dan Aplikasi secara terprosedur.
10. Perawatan hanya dilakukan apabila ada pelaporan kesalahan dan kemudian secara langsung ditangani
4.3 Pemetaan Diagr am RACI
Diagram RACI merupakan salah satu komponen dalam kerangka kerja COBIT 4.1. Diagram ini bertujuan untuk menentukan posisi atau jabatan fungsional di organisasi yang akan diaudit dan kemudian dipetakan kedalam fungsional jabatan versi COBIT.
Fungsional struktur organisasi menurut COBIT antara lain : 1. Board (Dewan Pimpinan Tertinggi)
2. CEO (Chief Executive Officer) 3. CFO (Chief Financial Officer) bulan ( per semester )
12. Layanan Aplikasi semua berada di UPT Telematika, terkecuali Sistem Informasi Akademik (SIAMIK) dan untuk pembuatan juga ada unsur dari pihak ketiga.
13. Tidak ada alokasi dana untuk pembuatan Aplikasi yang baru. 14. Back up data server mengikuti dari tiap – tiap fakultas
(database masih belum terintegrasi)
15. Tidak ada jangka panjang untuk keamanan IT, apabila ada kerusakan secara langsung dilaporkan.
16. Pengelolaan anggaran biaya dalam jangka panjang ( tahunan ), jangka pendek (bulanan)
17. Untuk Instalasi Aplikasi : pakai pihak ketiga (melihat dari keadaan dan kebutuhan )
Untuk pemasangan infrastruktur : personal (melihat dari keadaan dan kebutuhan )
