By :http://sisteminfomasi.blogspot.

com/

AUDIT SISTEM INFORMASI DENGAN MENGGUNAKAN ACUAN COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY)

Disusun Oleh : Adi Guna Darmadi 0906 00!0"9 Arie Adriansyah 0906 00!0! #asmo Ari $ibo%o 0906 00!0!" &epti $idiyanti 0906 00!0 'ommy &etia%am 0906 00!0 (erdyas &ahmad 0906 00!0

UNIVERSITAS SRIWIJAYA PALEMBANG 2009

By :http://sisteminfomasi.blogspot.com/

COBIT
Con !o" O#$%& '(% )o! In)o!*+ 'on +n, !%"+ %, T%&-no"o./) dising*at COBIT) adalah suatu panduan standar pra*ti* mana+emen te*nologi informasi. ,obit dirancang sebagai alat penguasaan -' yang membantu dalam pemahaman dan memanage resi*o) manfaat serta e.aluasi yang berhubungan dengan -' 0 &tandar ,OB-' di*eluar*an oleh -' Go.ernance -nstitute yang merupa*an bagian dari -&A,A. ,OB-' /.0 merupa*an .ersi terbaru. Disusun oleh Information Systems Audit and Control Foundation 0-&A,(12 pada tahun 996. 3disi *edua dari ,OB-' diterbit*an pada tahun 994. 5ada tahun "000 dirilis ,OB-' !.0 oleh -'G- 0Information Technology Governance Institute2 dan ,OB-' /.0 pada tahun "006. 7ilis tera*hir ,OB-' /. dirilis pada tahun "008. ,OB-' merupa*an standar yang dinilai paling leng*ap dan menyeluruh sebagai frame%or* -' audit *arena di*embang*an secara ber*elan+utan oleh lembaga s%adaya profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara dibangun chapter yang dapat mengelola para profesional tersebut. 'arget pengguna dari frame%or* ,OB-' adalah organisasi/perusahaan dari berbagai latar bela*ang dan para profesional e9ternal assurance. &ecara mana+erial target pengguna ,OB-' adalah mana+er) pengguna dan profesional '- serta penga%as/pengendali profesional. &ecara resmi tida* ada sertifi*asi profesional resmi yang diterbit*an oleh -'Gatau organisasi manapun sebagai penyusun standar ,OB-'. Di Ameri*a &eri*at standar ,OB-' sering diguna*an dalam standar sertifi*asi Certified Public Accountants 0,5As2 danChartered Accountants 0,As2 berdasar*an Statement on Auditing Standards (SAS) No !" Service #rganisations revie$% Systrust certification or Sarbanes&#'ley com(liance. &ertifi*asi non ,OB-' yang merupa*an penga*uan profesional auditor -' diterbit*an olehISACA) sebagai afiliasi ITGI yaitu Certified Information Systems Auditor (CISA®)dan Certified Information Security Manager® (CISM®).

By :http://sisteminfomasi.blogspot.com/

:ing*up *riteria informasi yang sering men+adi perhatian dalam ,OB-' adalah:
o

3ffecti.eness ;eniti*berat*an pada se+auh mana efe*tifitas informasi di*elola dari data<data yang diproses oleh sistem informasi yang dibangun.

o

3fficiency ;eniti*berat*an pada se+auh mana efisiensi in.estasi terhadap informasi yang diproses oleh sistem.

o

,onfidentiality ;eniti*berat*an pada pengelolaan *erahasiaan informasi secara hierar*is.

o

-ntegrity ;eniti*berat*an pada integritas data/informasi dalam sistem.

o

A.ailability ;eniti*berat*an pada *etersediaan data/informasi dalam sistem informasi.

o

,ompliance ;eniti*berat*an pada *esesuaian data/informasi dalam sistem informasi.

o

7eliability ;eniti*berat*an pada *emampuan/*etangguhan sistem informasi dalam pengelolaan data/informasi.

&edang*an fo*us terhadap pengelolaan sumber daya te*nologi informasi dalam ,OB-' adalah pada:
o o o o

Applications -nformation -nfrastructure 5eople

By :http://sisteminfomasi.blogspot.com/

=al yang menari* dari ,OB-' adalah adanya .ersi *husus untu* s*ala usaha *ecil<menengah 0>?;2 yang disebut C#)IT *uic+start. ,OB-' memili*i / ca*upan domain) yaitu :
   

5erencanaan dan organisasi 0(lan and organise2 5engadaan dan implementasi 0ac,uire and im(lement2 5engantaran dan du*ungan 0deliver and su((ort2 5enga%asan dan e.aluasi 0monitor and evaluate2

Co#' V'1'on &ebagai model untu* penguasaan -' Co#' M'1'on ;ela*u*an penelitian) pengembangan) publi*asi dan promosi terhadap control ob+ecti.e dari te*nologi informasi yang secara umum diterima di ling*ungan internasional untu* pema*aian sehari<hari oleh manager dan auditor. ,OB-' di*enal sebagai best (ractice dalam membangun frame$or+ *ontrol dan -' audit bai* diadopsi sebagian maupun seluruhnya. 66@ responden perusahaan di -ndonesia mengata*an bah%a ,OB-' merupa*an standard yang diguna*an untu* mela*u*an audit -' Go.ernance. 0&umber : &haring Aision) #uni "0082 Alasan utama peusahaan dalam penggunaan ,OB-' adalah untu*: B>ntu* perencanaan audit dan pengembangan program audit B>ntu* mem.alidasi *ontrol C *ontrol -' B>ntu* menge.aluasi resi*o C resi*o -' B>ntu* mengurangi resi*o C resi*o -' B&ebagai frame%or* untu* mening*at*an *iner+a -' 0&umber : &ur.ey -&A,A/(/-'G- untu* ,oB-') ;ei "00"2 !0@ ,OB-' diguna*an hanya sebagai referensi) /0@ diguna*an sebagai pedoman umum) /"@ sebagai sebagian dari frame%or* *ontrol dan -' audit) @ diguna*an sebagai frame%or* control dan -' audit secara *eseluruhan) !@ diadopsi sebagai *ebi+a*an perusahaan. 0&umber : &ur.ey -&A,A/(/-'G- untu* ,oB-') ;ei "00"2. COBIT (Con !o" O#$%& '(% )o! In)o!*+ 'on +n, !%"+ %, T%&-no"o./) • COBIT G2',%"'n%1 ?erang*a *er+a ,OB-' terdiri atas beberapa arahan/pedoman) ya*ni: . ,ontrol Ob+ecti.es 'erdiri atas / tu+uan pengendalian ting*at<tinggi 0high<le.el control ob+ecti.es2 yang tercermin dalam / domain) yaitu: planning D organiEation ) acFuisition D implementation ) deli.ery D support ) dan monitoring.

By :http://sisteminfomasi.blogspot.com/ ". Audit Guidelines Berisi sebanya* ! 4 tu+uan<tu+uan pengendalian yang bersifat rinci 0detailed control ob+ecti.es2 untu* membantu para auditor dalam memberi*an management assurance dan/atau saran perbai*an. !. ;anagement Guidelines Berisi arahan) bai* secara umum maupun spesifi*) mengenai apa sa+a yang mesti dila*u*an) terutama agar dapat men+a%ab pertanyaan< pertanyaan beri*ut : a. &e+auh mana Anda 0'-2 harus bergera*) dan apa*ah biaya 'yang di*eluar*an sesuai dengan manfaat yang dihasil*annya. b. Apa sa+a indi*ator untu* suatu *iner+a yang bagusG c. Apa sa+a fa*tor atau *ondisi yang harus dicipta*an agar dapat mencapai su*ses 0 critical success factors 2G d. Apa sa+a risi*o<risi*o yang timbul) apabila *ita tida* mencapai sasaran yang ditentu*anG e. Bagaimana dengan perusahaan lainnya C apa yang mere*a la*u*anG f. Bagaimana Anda mengu*ur *eberhasilan dan bagaimana pula membanding*annya.

Gambar 6 ?aitan -' Go.ernance dan ,OB-' • P'-+3 K%#2 2-+n Kon !o" COBIT a. Dire*tur dan 3*se*utif  >ntu* memasti*an mana+emen mengi*uti dan mengimplementasi*an strategi searah dengan -'. b. ;ana+emen  >ntu* mengambil *eputusan in.estasi -'.  >ntu* *eseimbangan resi*o dan *ontrol in.estasi.  >ntu* benchmar* ling*ungan -' se*arang dan masa depan. c. >sers  >ntu* memperoleh +aminan *eamanan dan control produ* dan +asa yang dibutuh*an secara internal maupun e*sternal.

By :http://sisteminfomasi.blogspot.com/ d. Auditors  >ntu* memper*uat opini untu* mana+emen dalam control internal.  >ntu* memberi*an saran pada control minimum yang diperlu*an. • P!'n1'4 D+1+! COBIT >ntu* menyedia*an informasi yang dibutuh*an perusahaan untu* mencapai tu+uan organisasi.5rinsip dasar ,OB-' menggambar*an : . ?ebutuhan bisnis ". Orientasi proses !. &umber daya -'

Gambar 8 5rinsip Dasar ,OB-' • T-% COBIT C2#%

Gambar 4 'he ,OB-' ,ube  K%#2 2-+n B'1n'1

By :http://sisteminfomasi.blogspot.com/ a. 3fe*ti.itas (-ffectiveness)) mengurai*an informasi yang rele.an dan berhubungan dengan proses bisnis yang disampai*an tepat pada %a*tunya dengan cara yang benar) *onsisten dan tepat diguna*an. b. 3fisiensi (-fficiency)) menyang*ut *etentuan informasi melalui penggunaan sumberdaya yang optimal 0lebih produ*tif dan e*onomis2. c. ?erahasiaan (Confidentiality)) menyang*ut perlindungan informasi yang sensitif dari a*ses yang tida* sah. d. -ntegritas (Integrity)) ber*aitan dengan *ea*uratan dan *eleng*apan informasi +uga *eabsahannya yang sesuai dengan harapan 0e'(ectation) dan nilai bisnis. e. ?etersediaan (Availability)) ber*aitan dengan informasi yang tersedia yang diperlu*an oleh proses bisnis saat ini dan yang a*an datang) +uga menyang*ut pen+agaan sumberdaya yang perlu dan *emampuan yang ter*ait. f. 5emenuhan (Com(liance)) mengurai*an pemenuhan hu*um) peraturan dan persetu+uan yang bersifat *ontra* dimana proses bisnisnya merupa*an subye*) ya*ni *riteria bisnis yang ditentu*an dari luar. g. ?eterandalan informasi (.eliability of Information)% ber*aitan dengan *etentuan informasi yang memadai bagi mana+emen untu* men+alan*an dan mela*sana*an *eseluruhan finansialnya dan pemenuhan laporan tanggung +a%ab.  S2*#%! D+/+ IT a. Data) adalah obye*<obye* dalam pengertian yang lebih luas 0ya*ni internal dan e*sternal2) terstru*tur dan tida* terstru*tur) grafi*) suara dan sebagainya. b. &istem apli*asi) dipahami untu* menyimpul*an atau mering*as) bai* prosedur manual maupun yang terprogram. c. 'e*nologi) menca*up hard%are) sistem operasi) sistem mana+emen database) +aringan (net$or+ing)) multimedia) dan lain< lain. d. (asilitas) adalah semua sumberdaya untu* menyimpan dan mendu*ung system informasi. e. ;anusia termasu* staf ahli) *esadaran dan produ*ti.itas untu* merencana*an) mengorganisasi*an atau mela*sana*an) memperoleh) menyampai*an) mendu*ung dan memantau layanan sistem informasi. 
I T Domains
• Plan and • Acquire and
I mplement • Deliver and Support • Monitor and Evaluate Organise

O!'%n +1' P!o1%1

I T Processes
• • • • • • •
I T strategy Computer operations I ncident handling Acceptance testing Change management Contingency planning Pro lem management

Activities
• • • • • •
!ecord ne" pro lem Analyse Propose solution Monitor solution !ecord #no"n pro lem Etc$

By :http://sisteminfomasi.blogspot.com/ (rame%or* ,OB-' terdiri dari !/ high<le.el control ob+ecti.e) dimana tiap<tiap -' proses di*elompo**an dalam empat domain utama: 50 P"+nn'n. +n, O!.+n'6+ 'on  menca*up strategi dan ta*ti* yang menyang*ut identifi*asi tentang bagaimana '- dapat memberi*an *ontribusi terbai* dalam pencapaian tu+uan bisnis organisasi sehingga terbentu* sebuah organisasi yang bai* dengan infrastru*tur te*nologi yang bai* pula.            5O 5O" 5O! 5O/ 5O6 5O6 5O8 5O4 5O9 5O 0 5O Define a strategic information technology plan Define the information architecture Determine the technological direction Define the -' organisation and relationships ;anage the in.estment in information technology ,ommunicate management aims and direction ;anage human resources 3nsure compliance %ith e9ternal reFuirements Assess ris*s ;anage pro+ects ;anage Fuality

20 A&72'1' 'on +n, I*4"%*%n + 'on  identifi*asi solusi '- dan *emudian diimplementasi*an dan diintegrasi*an dalam proses bisnis untu* me%u+ud*an strategi '-.       AA-" A-! A-/ A-6 A-6 -dentify automated solutions AcFuire and maintain application soft%are AcFuire and maintain technology infrastructure De.elop and maintain -' procedures -nstall and accredit systems ;anage changes

80 D%"'(%!/ +n, S244o!  domain yang berhubungan dengan penyampaian layanan yang diingin*an) yang terdiri dari operasi pada sistem *eamanan dan aspe* *esinambungan bisnis sampai dengan pengadaan training.         D& D&" D&! D&/ D&6 D&6 D&8 D&4 Define and manage ser.ice le.els ;anage third<party ser.ices ;anage performance and capacity 3nsure continuous ser.ice 3nsure systems security -dentify and allocate costs 3ducate and train users Assist and ad.ise customers

By :http://sisteminfomasi.blogspot.com/      D&9 D& 0 D& D& " D& ! ;anage the configuration ;anage problems and incidents ;anage data ;anage facilities ;anage operations

90 Mon' o!'n.  semua proses '- perlu dinilai secara teratur dan ber*ala bagaimana *ualitas dan *esesuaiannya dengan *ebutuhan *ontrol     ; ;onitor the process ;" Assess internal control adeFuacy ;! Obtain independent assurance ;/ 5ro.ide for independent audit

O2I T

B21'n%11 O#$%& '(%1
riteria
• • • • • • • #ffectiveness #fficienc, onfidencialit, Integrit, (vaila-ilit, ompliance 1elia-ilit,

0rame$or)
M1 M2 M3 M4 Monitor the process (ssess internal control ade&uac, O-tain independent assurance Provide for independent audit

IT RESOURCES
• • • • •

PO1 Define a strategic IT plan PO2 Define the information architecture PO3 Determine the technological direction PO4 Define the IT organisation and relationships PO5 Manage the IT investment PO6 ommunicate management aims and direction PO! Manage human resources PO" #nsure compliance $ith e%ternal re&uirements PO' (ssess ris)s PO1* Manage pro+ects PO11 Manage &ualit,

Data (pplication s,stems Technolog, 0acilities People

PLAN AND ORGANISE

MONITOR AND EVALUATE
D.1 Define service levels D.2 Manage third/part, services D.3 Manage peformance and capacit, D.4 #nsure continuous service D.5 #nsure s,stems securit, D.6 Identif, and attri-ute costs D.! #ducate and train users D." (ssist and advise IT customers D.' Manage the configuration D.1* Manage pro-lems and incidents D.11 Manage data D.12 Manage facilities D.13 Manage operations

AC:UIRE AND IMPLEMENT

DELIVER AND SUPPORT

(I1 (I2 (I3 (I4 (I5 (I6

Identif, automated solutions (c&uire and mantain application soft$are (c&uire and maintain technolog, infrastructure Develop and maintain IT procedures Install and accredit s,stems Manage changes

Gambar 9 ?erang*a ,OB-' 'he ,OB-' (rame%or* memasu**an +uga hal<hal beri*ut ini:

By :http://sisteminfomasi.blogspot.com/ a. ;aturity ;odels C >ntu* memeta*an status maturity proses< proses -' 0dalam s*ala 0 < 62 dibanding*an dengan Hthe best in the class in the -ndustryI dan +uga -nternational best practices b. ,ritical &uccess (actors 0,&(s2 C Arahan implementasi bagi mana+emen agar dapat mela*u*an *ontrol<*ontrol atas proses -' dalam perusahaan. c. ?ey Goal -ndicators 0?G-s2 C ?iner+a proses<proses -' sehubungan dengan business reFuirements d. ?ey 5erformance -ndicators 0?5-s2 C ?iner+a proses<proses -' sehubungan dengan proses pencapaian tu+uan. ,OB-' di*embang*an sebagai suatu generally applicable and accepted standard for good -nformation 'echnology 0-'2 security and control practices . -stilah H generally applicable and accepted I diguna*an secara e*splisit dalam pengertian yang sama seperti Generally Accepted Accounting 5rinciples 0GAA52. &edang) ,OB-'Js Hgood practicesI mencermin*an *onsensus antar para ahli di seluruh dunia. ,OB-' dapat diguna*an sebagai -' Go.ernance tools) dan +uga membantu perusahaan mengoptimal*an in.estasi -' mere*a. =al penting lainnya) ,OB-' dapat +uga di+adi*an sebagai acuan atau referensi apabila ter+adi suatu *esimpang<siuran dalam penerapan te*nologi. &uatu perencanaan Audit &istem -nformasi berbasis te*nologi 0audit -'2 oleh -nternal Auditor) dapat dimulai dengan menentu*an area<area yang rele.an dan berisi*o paling tinggi) melalui analisa atas *e<!/ proses tersebut. &ementara untu* *ebutuhan penugasan tertentu) misalnya audit atas proye* -') dapat dimulai dengan memilih proses yang rele.an dari proses<proses tersebut. :ebih lan+ut) auditor dapat mengguna*an Audit Guidelines dengan menerap*an seluruh domain yang terdapat dalam ,OB-') ya*ni planning< organiEation 05O2) acFuisition<implementation 0A-2) Deli.ery<support 0D&2 dan ;onitoring 0;2 untu* merancang prosedur audit. &ing*atnya) ,OB-' *hususnya guidelines dapat dimodifi*asi dengan mudah) sesuai dengan industri) *ondisi -' di 5erusahaan atau organisasi Anda) atau ob+e* *husus di ling*ungan -'. &elain dapat diguna*an oleh Auditor) ,OB-' dapat +uga diguna*an oleh mana+emen sebagai +embatan antara risi*o<risi*o -' dengan pengendalian yang dibutuh*an 0-' ris* management2 dan +uga referensi utama yang sangat membantu dalam penerapan -' Go.ernance di perusahaan. PENUTUP S+!+n ;ana+emen bertanggung +a%ab untu* *ontrol -'. 'anggung +a%ab itu perlu suatu *erang*a: ?ebutuhan bisnis dapat dinyata*an sebagai *riteria informasi) -' biasanya diorganisir dalam seperang*at proses) dan -' memerlu*an se+umlah sumber daya K%1'*42"+n >ntu* audit sistem informasi dapat dila*u*an dengan mengguna*an frame%or* ,OB-' yang merupa*an salah satu alat 0tool2 yang disiap*an untu* mengatur te*nologi informasi 0IT Governance tool2 sehingga memung*in*an perusahaan untu* memperoleh

By :http://sisteminfomasi.blogspot.com/ *eunggulan penuh terhadap informasi) *euntungan yang ma*simal) modal) peluang dan *eunggulan *ompetitif dalam bersaing. Dimana ,OB-' memung*in*an auditor mere.ie% proses *husus '- terhadap tu+uan pengendalian yang dire*omendasi*an) untu* membantu men+amin mena+emen terhadap pengendalian yang memadai) atau memberi saran *epada mana+emen apa*ah proses perlu diting*at*an.