MAKALAH
AUDIT
TEKNOLOGI SISTEM INFORMASI
“Audit
Sistem Informasi pada lingkungan universitas XYZ”.
DISUSUN
OLEH :
1D114254 DWI ANDHIKA A
13114606 ERIKA PRADITA
1A114225 SHERLIANNA DEWI
UNIVERSITAS
GUNADARMA
FAKULTAS
ILMU KOMPUTER DAN TEKNIK INFORMATIKA
TAHUN
AJARAN 2017/2018
BAB I
PENDAHULUAN
Pemenuhan
kebutuhan akan sistem informasi bagi semua jenis organisasi menyebabkan perkembangan
sistem informasi yang begitu pesat. Begitu pula dengan perkembangan di sektor
pelayanan pendidikan yang dikenal dengan Sistem Informasi Akademik.
Sistem Informasi
Akademik merupakan suatu kebutuhan yang mutlak bagi pelayanan pendidikan
terutama pada perguruan tinggi, sehingga dapat memberikan kemudahan dalam
administrasi bagi perguruan tinggi yang menerapkannya. Dengan adanya Sistem
Informasi Akademik dan Sistem Informasi lainnya di universitas XYZ, bukan hanya
pelayanan terhadap mahasiswa yang menjadi lebih baik tetapi juga pelayanan
untuk seluruh pihak terkait dengan proses akademik yang ada seperti staf
pengajar, biro administrasi bahkan orangtua dan alumni. Peranan Sistem
Informasi yang signifikan inilah yang tentu saja harus diimbangi dengan pengaturan
dan pengelolaan yang tepat sehingga kerugian–kerugian yang mungkin terjadi
dapat dihindari. Kerugian yang dimaksud bisa dalam bentuk informasi yang tidak
akurat yang disebabkan oleh pemrosesan data yang salah sehingga dapat
mempengaruhi pengambilan keputusan yang salah pula. Keamanan asetnya salah
satunya adalah data tidak terjaga, integritas data yang tidak dapat dipertahankan,
hal–hal inilah yang dapat mempengaruhi efektifitas dan efisiensi dalam
pencapaian tujuan dan strategi organisasi.Sehubungan dengan alasan tersebut
diperlukan adanya sebuah mekanisme kontrol terhadap pengelolaan teknologi
informasi [1]. Masalah yang sering timbul di Universitas XYZ adalah adanya
kasus kehilangan data, kesalahan dalam pengambilan keputusan, kebocoran data,
penyalahgunaan komputer dan nilai investigasi TI yang tinggi tetapi tidak
diimbangi dengan pengembalian nilai yang sesuai. Berawal dari sini maka
diperlukan sebuah mekanisme kontrol atau audit Sistem Informasi atau audit
Teknologi Informasi. Audit SI/TI dalam kerangka kerja COBIT lebih sering
disebut dengan istilah IT Assurance ini bukan hanya dapat memberikan evaluasi
terhadap keadaan tata kelola Teknologi Informasi di unversitas XYZ tetapi dapat
juga memberikan masukan yang dapat digunakan untuk perbaikan pengelolaannya di
masa yang akan datang.
1.2 Rumusan masalah
Berdasarkan
uraian dari latar belakang permasalahan diatas penulis dapat merumuskan
permasalahan penelitian sebagai berikut:
Jenis evaluasi
manajemen TI yang sesuai untuk organisasi seperti Universitas XYZ.
Kontrol objektif
yang digunakan dalam melakukan evaluasi.
1.3 Tujuan dan manfaat
Dari penelitian ini adalah melakukan
evaluasi terhadap pengelolaan teknologi informasi atau manajemen teknologi informasi yang
ada di universitas XYZ. Hasil yang
diperoleh dari kajian ini diharapkan dapat dijadikan landasan dalam pembuatan
kerangka kerja tata kelola TI yang sesuai dengan standar.
1.4 Batasan masalah
Penelitian
ini difokuskan untuk melakukan evaluasi terhadap pengelolaan teknologi
informasi yang mengacu pada proses pelaksanaan di Universitas XYZ dengan
menerapkan IT assurance yang berbasis kepada control objective yang ada pada
COBIT versi 4.1.
BAB II
PEMBAHASAN
2.1 Pengertian
Sistem Informasi
Sistem
informasi adalah kombinasi dari teknologi informasi dan aktifitas, yang
menggunakan teknologi untuk mendukung kinerja, manajemen dan pembuatan
keputusan (Beynon, 2004). Dalam hal ini, sistem informasi digunakan tidak hanya
untuk menggambarkan komputer dan perangkatnya serta interaksinya dengan
organisasi, tetapi juga digunakan untuk menggambarkan interaksi seluruh
komponen yang terlibat dalam proses bisnis organisasi tersebut.
2.2 Pengerrtian
Audit Teknologi Informasi
Audit
teknologi informasi adalah bentuk pengawasan dan pengendalian dari
infrastruktur teknologi informasi secara menyeluruh. Audit teknologi informasi
ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau
dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Pada mulanya istilah
ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit
teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari
semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit
teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan
apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan
integratif dalam mencapai target organisasinya.
Dalam
pelaksanaanya, auditor TI mengumpulkan bukti-bukti yang memadaimelalui berbagai
teknik termasuk survey, wawancara, observasi dan review dokumentasi.Satu hal
yang unik, bukti-bukti audit yang diambil oleh auditor biasanyamencakup pula
bukti elktronis. Biasanya, auditor TI menerapkan teknik audit
berbantuancomputer, disebut juga dengan CAAT (Computer Aided Auditing Technique).
Teknik
ini digunakan untuk menganalisa data, misalnya saha data transaksi penjualan,
pembelian,transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain.
2.3 Tujuan Audit
Teknologi Informasi adalah:
Memahami Peran
Auditor TI dan Lingkungannya
Departemen
Internal Audit
Organisasi
Finansial,
Operasional dan Teknologi
Tujuan Audit
Teknologi Informasi (TI)
Menguasai
Framework COBIT
Ruang Lingkup
COBIT
Menggunakan
Control Objectives COBIT
Memahami Control
Maturity Model
Memahami dan
Menguasai Manajemen TI
Tata Kelola dan
Dukungan Manajemen Serta Eksekutif Perusahaan
Manajemen TI,
Struktur dan Budaya Departement TI
Memahami
Manajemen Resiko
Menguasai
Manajemen Konfigurasi Perangkat Keras dan Pengembangan Sistem
Konfigurasi
Server
Konfigurasi
Workstation
Framework
Pengembangan Sistem
Menggunakan SDLC
dalam Manajemen Proyek
Memahami Fungsi
Project Management Office (PMO)
Menguasai
Manajemen Data dan Perubahan
Memahami Konsep
Basis Data Relasional
Memahami Media
Penyimpanan, Jenis dan Tipe Akses
Menguasai
Klasifikasi dan Perlindungan Data
Memahami
Pengendalian Library Perangkat Lunak
Menguasai
Penyelarasan Antara Library Kode Sumber dan Executable
Menguasai
manajemen patch
Menguasai
Manajemen Jaringan dan Keamanan Informasi
Memahami Konsep
Jaringan dan Firewall
Menguasai
Manajemen Konfigurasi Jaringan
Menguasai Teknik
Mengawasi Intrusion Detection dan Penetration Testing
Memahami dan
Menguasai Kebijakan Keamanan Informasi
Mengawasi
Implementasi Keamanan Informasi
Memahami Standar
ISO27002
Menguasai Manajemen
IT Contingency
Memahami
Business Continuity dan Disaster Recovery
Menjalankan
Rencana Business Continuity dan Disaster Recovery
Mengawasi
Implementasi Business Continuity dan Disaster Recovery
Memahami IT
Outsourcing
Memilih dan
Menggunakan Jasa Outsourcing
Mengawasi,
Memeriksa Aktivitas Outsourcing
Melakukan Review
Atas Jasa Outsourcing
Metode Audit
Teknologi Informasi adalah:
Data Pengujian
Pendekatan
Fasilitas Uji Terintegrasi (ITF)
Simulasi Paralel
Perangkat Lunak
Audit
Generalized
Audit Software (GAS)
PC Software (ACL
Software)
Embedded Audit
Routine
Extended Record
Snapshot
Tracing
Dokumentasi
Tinjauan Sistem
Flowchart
Pengendalian
Mapping
(pemetaan)
2.4 Pengertian COBIT
COBOT
yaitu Control Objectives for Information and Related Technology yang merupakan
audit sistem informasi dan dasar pengendalian yang dibuat oleh Information
Systems Audit and Control Association (ISACA), dan IT Governance Institute
(ITGI) pada tahun 1992. COBIT juga dapat dikatakan sebagai metode terapan yang
menyediakan seperangkat praktek yang dapat diterima pada umumnya karena dapat
membantu para eksekutif meningkatkan nilai dan mengurangi resiko. COBIT
didasari oleh analisis dan harmonisasi dari standar teknologi informasi dan
praktek terbaik (best practices) yang ada, serta sesuai dengan prinsip
governance yang diterima secara umum. COBIT berada pada level atas yang
dikendalikan oleh kebutuhan bisnis, yang mencakupi seluruh aktifitas teknologi
informasi, dan mengutamakan pada apa yang seharusnya dicapai dari pada bagaimana
untuk mencapai tatakelola, manajemen dan kontrol yang efektif. COBIT Framework
bergerak sebagai integrator dari praktik IT governance dan juga yang
dipertimbangkan kepada petinggi manajemen atau manager; manajemen teknologi
informasi dan bisnis; para ahli governance, asuransi dan keamanan; dan juga
para ahli auditor teknologi informasi dan kontrol. COBIT Framework dibentuk
agar dapat berjalan berdampingan dengan standar dan best practices yang
lainnya.
COBIT
menggambarkan tatakelola sebagai sebuah kubus 3 dimensi yang disebut sebagai
“COBIT Cube”. Berdasarkan gambar tersebut, untuk memahami tatakelola perlu
dilihat keterkaitan 3 aspek dalam implementasi yaitu Kebutuhan Bisnis (Business
Requirement), Proses TI (IT Process), dan sumber daya TI (IT Resources).
COBIT (Control
Objectives for Information and related Technology) IT Governance adalah sistem
yang mengatur dan mengendalikan seluruh proses teknologi informasi
perusahaan/organisasi yang strukturnya akan menetapkan pendistribusian hak dan
tanggung jawab antara pihak-pihak yang terlibat juga berisikan peraturan serta
strategi yang ditetapkan perusahaan/ organisasi (Prasojo, 2005, Warsilah, 2007
dan Alindita, 2008).
Tujuan Bisnis
Menurut McLeod (2004), tujuan bisnis dapat tercapai apabila dijalankan dengan
menggunakan strategi bisnis yang tepat. Strategi (Edwards, 1995) dapat
didefinisikan sebagai suatu rangkaian kegiatan yang terintegrasi dan ditujukan
untuk meningkatkan faktor-faktor yang menentukan tujuan dan kemampuan
organisasi.
COBIT (Sarno, 2009:
19) mendefinisikan tujuan bisnis terkait dengan aktivitas teknologi informasi
yang umumnya ada di perusahaan. Pada kerangka kerja COBIT hanya menjelaskan
tujuan-tujuan bisnis yang berkaitan dengan proses teknologi informasi. Demi
memudahkan proses kontrol, COBIT mengelompokkan tujuan tersebut ke dalam
perspektif kinerja Balanced Scorecard seperti terlihat dalam tabel F.1 (ITGI,
COBIT 4.1, 2007). Perusahaan/organisasi mungkin tidak memiliki semua tujuan
bisnis seperti yang dikelompokkan dalam tabel tersebut. Dalam penyusunan tujuan
bisnis, perusahaan dapat memilih yang sesuai dengan karakteristik organisasinya
masing-masing. Pemilihan tujuan bisnis dapat dilakukan dengan mendefinisikan
proses bisnis utama maupun bisnis pendukung organisasi terlebih dahulu.
Karakteristik
utama kerangka kerja COBIT menurut Surendro (2004: 243) dan Pandji (2007: 13)
adalah pengelompokkan aktivitas teknologi informasi dalam empat domain, yaitu
Plan and Organise (PO), Acquire and Implement (AI), Deliver and Support (DS)
serta Monitor and Evaluate (ME). Domain PO menyediakan arahan untuk mewujudkan
solusi penyampaian (AI) dan penyampaian jasa (DS). AI menyediakan solusi dan
menyalurkannya untuk dapat diubah menjadi jasa. Sementara DS menerima solusi
tersebut dan membuatnya lebih bermanfaat bagi pengguna akhir. Sedangkan ME
memonitor seluruh proses untuk kepastian bahwa arahan yang diberikan telah
diikuti. Keterkaitan keempat domain COBIT dapat dilihat dalam gambar F.2 (ITGI,
COBIT 4.1, 2007).
Secara jelas,
COBIT membagi proses pengelolaan teknologi informasi menjadi empat domain utama
dengan total tiga puluh empat proses teknologi informasi. Masing-masing domain
dalam COBIT mempunyai beberapa rincian sebagai berikut (Sarno, 2009: 31-42):
1. Plan and
Oganise (PO) Dalam perencanaan dan organisasi perusahaan ini sudah Mencakup
strategi, taktik dan perhatian atas identifikasi bagaimana IT secara maksimal
dapat berkontribusi dalam pencapaian tujuan bisnis. Tetapi disini , startegis
perlu direncanakan, dikomunikasikan, dan dikelola untuk berbagai perspektif
yang berbeda. Disini sebuah pengorganisasian serta infrastruktur teknologi
sudah ditempatkan di tempat yang semestinya. Domain PO ini terdiri dari 10
(sepuluh) proses teknologi informasi seperti terlihat pada tabel F.3.
2.Acquire and
Implement (AI) Solusi IT sudah diidentifikasi dan dikembangkan serta
diimplementasikan, namun belum diimplementasikan dan terintegrasi ke dalam
proses bisnis, tetapi sudah ada perubahan serta pemeliharaan system yang
mencakup di dalam domain ini. Pada domain Acquire and Implement sebuah solusi
teknologi informasi perlu diidentifikasikan, dikembangkan, diimplementasikan
dan diintegrasikan ke dalam proses bisnis. Domain AI ini terdiri dari 7 (tujuh)
proses teknologi informasi seperti terlihat pada tabel F.4.
3. Deliver and
Support (DS) Domain ini berfokus utama pada aspek penyampaian/pengiriman dari
IT. Domain ini mencakup area-area seperti pengoperasian aplikasi-aplikasi dalam
sistem IT dan hasilnya, serta proses dukungan yang memungkinkan pengoperasian
sistem IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk
isu/ masalah keamanan dan juga pelatihan. Domain DS ini terdiri dari 13 (tiga
belas) proses teknologi informasi seperti terlihat pada tabel F.5.
4. Monitor and
Evaluate (ME) Menyelenggarakan audit TI yang dilakukan oleh pihak Independent
untuk meningkatkan kepercayaan dan memastikan kesesuaian penerapan dan
pengelolaan TI dalam mendukung pencapaian tujuan organisasi. Pada domain ini
akan ditekankan kepada pentingnya semua proses teknologi informasi perlu
diakses secara berkala untuk menjaga kualitas dan kesesuaian dengan standar
yang telah ditetapkan. Domain ME ini terdiri dari 4 (empat) proses teknologi
informasi seperti terlihat pada tabel F.6.
Metodologi Audit
SI/TI
Dalam
melaksanakan audit TI diterapkan metodologi audit TI yang sesuai dengan
metodologi yang diajukan oleh IT Assurance Guide: Using COBIT. Tetapi sebelum
menentukan pilihan menggunakan COBIT sebagai kerangka kerja audit, dilakukan
beberapa pertimbangan diantaranya yaitu dengan melakukan benchmarking antara
kerangka kerja audit yang ada seperti Ron Weber [1], Queensland Audit Office
dan Jack Champlain [3]. Semua kerangka audit tersebut dipetakan sehingga
didapat sebuah kesimpulan bahwa kerangka COBIT adalah kerangka kerja audit yang
paling lengkap. Kemudian penulis juga melakukan perbandingan antara COBIT
dengan ITIL (Information Technology Infrastructure Library) [4] untuk
mendapatkan gambaran yang lebih jelas dalam proses pada domain Delivery and
Support.
Dalam
melaksanakan tahapan audit, tidak semua langkah yang ada didalam panduan
tersebut dilaksanakan semuanya, dengan alasan mengurangi pengulangan aktivitas,
maka tetap berpegang pada aturan-aturan yang bersifat umum yang telah
ditetapkan oleh IT Assurance Guide [5].
Pada dasarnya
dalam metodologi audit/assurance, dilakukan metodologi pengumpulan data, yang
meliputi:
i. Penelaahan dokumentasi kebijakan
teknik maupun non-teknis yang menjadi dasar pengembangan Universitas XYZ.
Observasi dan
wawancara dengan pihak terkait, wawancara dilakukan dengan pihak terkait yaitu
kepala pusat Unit Cybernet, kepala pusat
pengembangan
sistem, staf Cybernet, Direktur Akademik, staf pengajar dan mahasiswa.
Analisa basis
data.
Analisa
jaringan.
Dalam
melaksanakan evaluasi, dilakukan beberapa langkah, yaitu:
Penentuan Rencana
Audit
Dalam penentuan
rencana audit, terdapat langkah-langkah yang dilakukan, yaitu:
Memahami visi
dan misi dari Universitas XYZ, sasaran, tujuan dan prosesnya.
Mengidentifikasi
kebijakan, standar, pedoman serta prosedur dari Universitas XYZ.
Melakukan
analisis resiko.
Menentukan
lingkup audit dan tujuan audit Dalam menentukan lingkup audit dan tujuan audit
penulis
melakukan hal-hal berikut:
Menentukan
tujuan audit TI.
Melakukan
pemilihan control objective yang akan digunakan untuk menguji keefektifan dari
proses TI yang ada.
Mendokumentasikan
arsitektur yang ada di Universitas XYZ.
Mendefinisikan
proses-proses TI yang akan dikaji.
Mendefinisikan
komponen TI yang ada di Universitas XYZ.
Melakukan kajian
di universitas XYZ
Kajian akan
dilakukan dengan menggunakan panduan yang ada dalam melakukan sebuah kajian
teknologi informasi/IT assurance guide. Kajian ini meliputi detailed control
objective yang disesuaikan dengan keadaan dari Universitas XYZ (berdasar pada
high level control objective). Kajian akan dilakukan dengan pendekatan audit
yang sudah dibuat. Setelah proses pengkajian selesai tahap berikutnya adalah
mendokumentasikan temuan-temuan hasil audit.
Melakukan
analisa hasil audit
Setelah kajian dilakukan, selanjutnyavmenganalisis
temuan-temuan yang didapat. Diharapkan hasil dari tahap analisis ini
mendapatkan suatu kesimpulan alasan terjadinya permasalahan serta solusi
terhadap permasalahan tersebut.
Audit Dengan
Kerangka Kerja IT Assurance Guide
PPT :
