Professional Documents
Culture Documents
Makalah 2 - Nur Afni Bungaeja - Maksi B
Makalah 2 - Nur Afni Bungaeja - Maksi B
Disusun oleh:
i
KATA PENGANTAR
Puji dan Syukur Penulis Panjatkan ke Hadirat Tuhan Yang Maha Esa karena berkat
limpahan Rahmat dan Karunian-Nya sehingga penulis dapat menyusun makalah ini yang
berjudul “AUDIT PROGRAM DAN INTERNAL CONTROL” tepat pada waktunya.
Penulis menyadari bahwa didalam pembuatan makalah ini berkat bantuan dan
tuntunan Tuhan Yang Maha Esa dan tidak lepas dari bantuan Dosen mata kuliah pengauditan
, teman-teman dan juga orang-orang yang telah memfasilitasi tim penulis dalam pembuatan
makalah ini.
Akhir kata semoga makalah ini dapat memberikan manfaat kepada para pembaca.
Penulis menyadari bahwa makalah ini masih jauh dari kesempurnaan baik dari bentuk
penyusunan mau pun materinya. Kritik dan saran yang bersifat membangun dari pembaca
sangat tim penulis harapkan untuk penyempurnaan makalah selanjutnya.
Penulis
ii
DAFTAR ISI
iii
BAB I
PENDAHULUAN
IT Governance adalah sebuah struktur dari hubungan relasi dan proses untuk
mengarahkan dan mengendalikan suatu perusahaan dalam mencapai tujuan dengan
memberikan nilai tambah ketika menyeimbangkan resiko dengan menyesuaikan TI
dan proses bisnis perusahaan. IT Governance muncul sebagai jembatan antara scope
bisnis dengan TI, yang disebabkan terjadinya sebuah gap antara teknologi yang
diterapkan tidak sesuai dengan yang diharapkan. IT Governance bukanlah suatu
manajemen tersendiri, tetapi pada dasarnya juga merupakan bagian dari manajemen
perusahaan. Manfaat IT Governance itu sendiri pada dasarnya sangat sulit untuk
dikuantifikasikan karena ukuran keberhasilan penanganan TI itu pada dasarnya
bersifat intangible.
Teknologi informasi adalah suatu aset yang sangat berharga dalam suatu
perusahaan, dimana peranan teknologi informasi (TI) telah mampu mengubah pola
pekerjaan, kinerja karyawan bahkan sistem manajemen dalam mengelola sebuah
organisasi. Teknologi informasi bisa memiliki peranan penting menggantikan peran
manusia secara otomatis terhadap suatu siklus sistem mulai dari input, proses dan
output di dalam melaksanakan aktivitas pekerjaan serta telah menjadi fasilitator
utama bagi kegiatan-kegiatan bisnis yang memberikan andil besar terhadap
perkembangan organisasi.
1
Terdapat beberapa alasan penting mengapa audit TI perlu dilakukan, antara
lain: (1) kerugian akibat kehilangan data; (2) kesalahan dalam pengambilan
keputusan (3) risiko kebocoran data; (4) penyalahgunaan komputer; (5) kerugian
akibat kesalahan proses perhitungan; dan (6) tingginya nilai investasi perangkat
keras dan perangkat lunak komputer serta semakin ketatnya persaingan antar
perusahaan dalam menjalankan bisnisnya yang berbasis teknologi informasi
a) Pengertian dan aspek penting dari tata kelola perusahaan di bidang teknologi
informasi secara keseluruhan
b) Pemahaman terhadap fokus utama dari area tata kelola IT di dalam suatu
perusahaan
a) Mendapatkan gambaran yang lebih jelas dalam proses audit terhadap tata kelola
teknologi informasi.
2
d) Mengkomunikasikan informasi risiko dan pengendalian ke area-area yang terkait
di dalam organisasi.
a) Metode Analisis
b) Studi Kepustakaan
Kegiatan ini dilakukan dengan cara membaca buku-buku dari referensi yang
berkaitan dengan masalah tersebut serta pengumpulan informasi yang digunakan
dalam studi artikel media internet. Penelitian kepustakaan ini secara teoritis
sangat membantu didalam penyusunan penulisan ini.
3
BAB II
PEMBAHASAN
4
bisnis. Ruang lingkup IT Governance di perusahaan skala besar biasanya mencakup
hal-hal yang berkaitan dengan Change Management, Problem Management, Release
Management, Availability Management dan bahkan Service-Level Management.
Lebih lanjut, IT Governance yang baik harus berkualitas, well-defined dan bersifat
“repeatable processes” yang terukur. IT Governance yang dikembangkan dalam
suatu organisasi modern berfungsi pula mendefinisikan kebijakan-kebijakan TI,
menetapkan prosedur penting proses TI, dokumentasi aktivitas TI, termasuk
membangun IT Plan yang efektif berdasarkan perubahan lingkungan perusahaan dan
perkembangan TI.
5
harus melibatkan semua pihak, termasuk stakeholder, sesuai dengan proporsinya,
mulai dari dewan komisaris, top management, manajer fungsional, manajer
operasional, karyawan sebagai end-user, tapi tentu saja terutama manajer teknologi
informasi.
COBIT pertama sekali diperkenalkan pada tahun 1996 adalah merupakan alat
(tool) yang disiapkan untuk mengatur teknologi informasi (IT Governance tool).
6
COBIT telah dikembangkan sebagai sebuah aplikasi umum dan telah diterima
menjadi standar yang baik bagi praktek pengendalian dan keamanan TI yang
menyediakan sebuah kerangka kerja bagi pengelola, user, audit sistem informasi, dan
pelaksana pengendalian dan keamanan.
Sedangkan visi dari COBIT adalah dijadikan COBIT sendiri sebagai satu-satunya model
pengurusan dan pengendalian teknologi informasi (Information Technology Governance).
7
a) Dari segi biaya, lebih hemat dalam peralatan dan personil, karena
peralatan dan personil yang dipakai relatif lebih sedikit.
b) Dengan hanya satu pusat atau pangkalan data, konsistensi data dapat
lebih terjamin dari duplikasi.
8
2.2.2.2. Separating Database Administration from other Function
a) Inadequate Documentation
9
dibuat. Terlebih lagi jika programmer yang sudah membuat
program meninggalkan perusahaan, akan menjadi sebuah
kesulitan yang sangat besar bagi programmer baru yang
menggantikannya untuk menangani program tersebut
b) Program Fraud
10
Gambar 2.5 Contoh Distributed data Processing
11
b) Reliability dan availability. Sistem distribusi dapat terus menerus
berfungsi dalam menghadapi kegagalan dari site sendiri atau mata
rantai komunikasi antar site.
a) Harga mahal. Hal ini disebabkan sangat sulit untuk membuat sistem
database distribusi.
12
sinkronisasi dan koordinasi, kontrol terdistribusi menjadi kerugian
atau kekurangan di masalah ini.
2.3.2. Construction
13
bangunan harus selalu dalam keadaan bersih dijauhkan dari debu-debu
agar pada saat mengakses data tidak terjadi gangguan pada server.
2.3.3. Access
14
kegagalan peranti keras, kesalahan dalam program aplikasi, atau kesalahan
operator.
a) Construction
b) Access
15
Melakukan pengecekan pada alat tapping kartu, apakah alat tersebut
sudah dapat bekerja dengan baik dan tidak terjadi kerusakan, atau
keberadaan CCTV yang berfungsi dengan baik.
c) Air Conditioning
d) Fire Suppression
e) Fault tolerance
f) Asuransi
Melakukan pendaftaran asuransi pada data server agar jika terjadi hal-
hal yang tidak diinginkan, maka tidak terlalu merugikan perusahaan,
serta dicek apakah asuransi tersebut diperpanjang tiap tahunnya.
16
maupun bencana yang berasal dari sistem itu sendiri, seperti kegagalan drive,
kehilangan power, atau crash pada sistem operasi.
Disaster recovery plan adalah sebuah proses atau kemampuan dari organisasi
untuk menanggapi bencana atau gangguan dalam pelayanan melalui implementasi
rencana pemulihan bencana untuk menstabilkan dan memulihkan fungsi kritis
organisasi. Rencana ini dibuat untuk membantu mengembalikan proses bisnis dari
perusahaan serta mengurangi dampak bila terjadi bencana yang mengakibatkan
kerusakan atau kehilangan data elektronik yang mendukung proses bisnis
perusahaan.
Tujuan audit pada fungsi DRP adalah untuk memverifikasi bahwa rencana
pemulihan bencana perusahaan cukup untuk memenuhi kebutuhan perusahaan dan
bahwa implementasinya dapat dilakukan serta praktis. Prosedur auditnya, yakni
memverifikasi bahwa DRP pihak manajemen adalah solusi yang realistis untuk
menangani suatu bencana yang dapat meniadakan sumber daya komputer
perusahaan. Berbagai pengujian dilakukan, seperti pengecekan atau observasi terkait
keberadaan tim penanganan bencana, daftar aplikasi-aplikasi penting perusahaan,
dan back-up software, serta data master.
17
Usaha pemulihan harus terkonsentrasi pada fitur yang sangat penting
agar perusahaan dapat bertahan dalam waktu pendek. Pada komponen ini,
perusahaan atau organisasi harus menentukan daftar aplikasi penting yang
menunjang operasional perusahaan. Dalam hal ini auditor harus juga
mengkaji daftar aplikasi penting untuk memastikan bahwa daftar tersebut
lengkap. Aplikasi yang terlewat dapat mengakibatkan kegagalan
pemulihan. Akan tetapi, hal yang sama juga berlaku untuk pemulihan
aplikasi yang tidak penting. Memasukkan suatu aplikasi ke dalam daftar
aplikasi penting padahal tidak terlalu dibutuhkan untuk mencapai tujuan
bertahan hidup jangka pendek dapat memecah perhatian dari tujuan yang
utama selama masa pemulihan.
18
Gambar 2.6 Tim Pemulihan Bencana
19
2.5 Outsourcing Fungsi TI
Dalam iklim persaingan usaha yang semakin ketat, perusahaan berusaha untuk
melakukan efisiensi biaya produksi (cost of production). Salah satu solusinya adalah
dengan sistem outsourcing, dimana dengan sistem ini perusahaan diharapkan dapat
menghemat pengeluaran dalam membiayai sumber daya manusia (SDM) yang
bekerja di perusahaan yang bersangkutan. Outsourcing atau contracting out adalah
pemindahan pekerjaan dari satu perusahaan ke perusahaan lain.
Salah satu bidang yang menjadi obyek outsourcing pada berbagai perusahaan
adalah fungsi TI. Bagi perusahaan, fungsi TI merupakan bidang penunjang (support
function) untuk mendukung operasional perusahaan yang lebih efektif dan efisien.
Sebagai support function fungsi IT di-outsource pada perusahaan outsourcing TI,
dengan pertimbangan untuk meningkatkan efisiensi dan agar perusahaan dapat lebih
memfokuskan diri pada bidang usaha yang ditekuninya. Melalui outsourcing,
perusahaan dapat memfokuskan segenap sumberdaya yang dimilikinya untuk
mencapai misi organisasi, sehingga perusahaan mampu memberikan layanan terbaik
pada konsumen. Selain itu, dengan outsourcing, perusahaan juga dapat
meningkatkan efisiensinya karena dikerjakan oleh pemberi jasa yang mempunyai
spesialisasi pada bidangnya dan perusahaan dapat mengurangi biaya langsung dan
biaya overhead pada bidang yang di-outsource.
a) Perusahaan dapat fokus pada core business-nya dengan tetap menikmati nilai-
nilai positif dari sistem dan teknologi informasi.
c) Waktu yang digunakan menjadi lebih singkat untuk pengadaan sumber daya TI
20
e) Jasa yang diberikan oleh outsourcer lebih berkualitas dibandingkan dikerjakan
sendiri secara internal, karena outsourcer memang spesialisasi dan ahli di bidang
tersebut.
21
software development, application support and maintenance,
infrastructure management services. Tujuan dari audit ini sendiri, antara
lain:
a) Contract
b) Statement of work
c) Data security
22
Berbagai tingkat akses ke aplikasi dan sistem harus diberikan kepada
personil penyedia layanan untuk memungkinkan mereka
melaksanakan pekerjaan. Prosedur yang tepat harus ditentukan untuk
menentukan bagaimana akses tersebut diberikan dan dipelihara.
Keamanan berkaitan dengan menjaga kerahasiaan, integritas dan
ketersediaan informasi. Auditor harus memeriksa apakah kebijakan
keamanan dan proses dari penyedia layanan sinkron dengan orang-
orang dari perusahaan. Auditor harus memeriksa apakah mekanisme
telah ditetapkan untuk pemantauan keamanan dan proses yang terkait.
Dalam beberapa kasus, tergantung pada sifat dari pekerjaan
outsourcing, personil dari penyedia layanan bahkan mungkin diberi
akses superuser ke beberapa sistem.
d) Impact on IT strategy
23
Pembahasan pada masing-masing masalah ini, tata kelola dimulai dengan
penjelasan tentang sifat risiko dan deskripsi pengendalian yang diperlukan untuk
mengurangi risiko tersebut. Kemudian, tujuan audit disajikan, yang menetapkan apa
yang perlu diverifikasi mengenai fungsi kontrol di tempat. Akhirnya, contoh tes
kontrol yang ditawarkan yang menggambarkan bagaimana auditor dapat
mengumpulkan bukti untuk memenuhi tujuan audit.
Tes ini dapat dilakukan oleh auditor eksternal sebagai bagian dari layanan
atestasi mereka atau dengan auditor internal (atau jasa konsultasi profesional) yang
menyediakan bukti kepatuhan manajemen dengan SOX. Dalam hal ini , kita tidak
membeda-bedakan dua jenis layanan.
24
auditor merasa bahwa pengendalian IT governance perusahaan tersebut sudah cukup
baik sehingga auditor merasa tidak perlu melakukan pemeriksaan secara detail. Dari
segi substantive test yang timbul juga menunjukan bahwa sampel yang di ambil akan
memiliki ruang lingkup yang kecil yang bersifat hanya untuk meyakinkan saja,dan
dijalankan oleh auditor yang memiliki pengalaman baru. Sedangkan ketika auditor
menilai bahwa pengendalian IT governance suatu perusahaan buruk maka inherent
dan control risk IT governance tersebut tinggi sehingga detection risk yang timbul
menjadi rendah karena auditor merasa perlu melakukan pemeriksaan secara lebih
mendalam untuk menemukan-menemukan misstatement. Dari segi pengujian
substantive juga pengambilan sampel yang dilakukan luas serta dilakukan oleh
auditor yang memiliki pengalaman yang cukup tinggi.
25
h) Kegagalan unit TI organisasi untuk mematuhi ketentuan regulator atau kontrak
dengan penggunanya
i) Tolok ukur keberhasilan unit TI dipandang tidak ada artinya bagi unit bisnis
pengguna.
26
BAB III
PEMBAHASAN
.1 IT Governance
Weill dan Ross (2004:2) mendefenisikan IT Governance sebagai keputusan-keputusan yang
diambil, yang memastikan adanya alokasi penggunaan TI dalamstrategi-strategi organisasi yang
bersangkutan. IT Governance merefleksikan adanya penerapan prinsip-prinsip organisasi
dengan memfokuskan pada kegiatan manajemendan penggunaan TI untuk pencapaian
organisasi. Dengan demikian, IT governance pada intinya mencakup pembuatan keputusan,
akuntabilitas pelaksanaan kegiatan penggunaan TI, siapa yang mengambil keputusan, dan memanaje proses
pembuatandan pengimplementasian keputusan-keputusan yang berkaitan dengan TI. Contoh bidang
cakupan IT governance sektor publik adalah keputusan pemerintah yangmenentukan siapa
yang memiliki wewenang dan tanggungjawab dalam pembuatankeputusan tentang berapa
jumlah investasi yang dapat dilakukan pada sektor publik Xdengan memanfaatkan TI.
27
informasi tersebut tidak berjalan baik. Selain itu, karyawan yang sering kali
membrowsing situs web yang tidak sesuai dengan tanggungjawab pekerjaannya atau
mengirim e-mail yang aneh-aneh misalnya justru dapat secara dramatis berdampak
terhadap reputasi perusahaan selama bertahun-tahun.
Semakin tinggi kebutuhan (demand) akan informasi tentunya produksi perangkat
teknologi informasi juga akan meningkat. Vendor-vendor teknologi berlomba-lomba
mengembangkan produknya dengan segala keunggulan teknologi dan harga yang
kompetitif. Disisi pengguna baik individu maupun korporasi, tentunya ada hal positif
yang dapat diambil dari persaingan vendor diatas, diantaranya adalah banyak pilihan yang
dapat disesuaikan dengan anggaran yang ada.
Disisi korporasi, tentunya perubahan yang cepat terhadap teknologi informasi bisa
berimpact positif dan negatif. Over investment adalah hal negatif yang dapat terjadi jika
korporasi salah dalam menetapkan, menjalankan maupun menjaga strategi bisnisnya
sejalan dengan perkembangan teknologi informasi.Impact positif akan didapatkan hanya
jika korporasi dapat menetapkan, menjalankan maupun menjaga strategi bisnisnya sejalan
dengan perkembangan teknologi informasi.Disinilah muncul terminologi Tata kelola IT
(IT Governance) yang banyak dibicarakan oleh korporasi maupun institusi pemerintah.
Tata kelola IT (IT Governance) sangat diperlukan diantaranya untuk tetap menjaga
investasi, meningkatkan daya saing (memberikan nilai tambah), serta menjaga
keberlangsungan bisnis/usaha/pemerintahan. COBIT adalah kerangka tata kelola IT (IT
Governace framework) yang banyak dipakai oleh praktisi.
28
dengan semua unsur prinsip-prinsip good governance. Menyadari pentingnya masalah ini,
prinsip-prinsip good governance diurai satu persatu sebagaimana tertera di bawah ini:
1) Partisipasi Masyarakat
Semua warga masyarakat mempunyai suara dalam pengambilan keputusan, baik
secara langsung maupun melalui lembaga-lembaga perwakilan sah yang mewakili
kepentingan mereka. Partisipasi menyeluruh tersebut dibangun berdasarkan
kebebasan berkumpul dan mengungkapkan pendapat, serta kapasitas untuk
berpartisipasi secara konstruktif.
2) Tegaknya Supremasi
Hukum Kerangka hukum harus adil dan diberlakukan tanpa pandang bulu,
termasuk di dalamnya hukum-hukum yang menyangkut hak asasi manusia.
3) Transparansi Tranparansi dibangun atas dasar arus informasi yang bebas. Seluruh
proses pemerintahan, lembaga-lembaga dan informasi perlu dapat diakses oleh
pihak-pihak yang berkepentingan, dan informasi yang tersedia harus memadai
agar dapat dimengerti dan dipantau.
4) Peduli pada Stakeholder
Lembaga-lembaga dan seluruh proses pemerintahan harus berusaha melayani
semua pihak yang berkepentingan.
5) Berorientasi pada Konsensus
Tata pemerintahan yang baik menjembatani kepentingan-kepentingan yang
berbeda demi terbangunnya suatu konsensus menyeluruh dalam hal apa yang
terbaik bagi kelompok-kelompok masyarakat, dan bila mungkin, konsensus dalam
hal kebijakan-kebijakan dan prosedur-prosedur.
6) Kesetaraan
Semua warga masyarakat mempunyai kesempatan memperbaiki atau
mempertahankan kesejahteraan mereka.
7) Efektifitas dan Efisiensi
Proses-proses pemerintahan dan lembaga-lembaga membuahkan hasil sesuai
kebutuhan warga masyarakat dan dengan menggunakan sumber-sumber daya
yang ada seoptimal mungkin.
8) Akuntabilitas
Para pengambil keputusan di pemerintah, sektor swasta dan organisasi-organisasi
masyarakat bertanggung jawab baik kepada masyarakat maupun kepada lembaga-
lembaga yang berkepentingan. Bentuk pertanggung jawaban tersebut berbeda satu
dengan lainnya tergantung dari jenis organisasi yang bersangkutan.
9) Visi Strategis
Para pemimpin dan masyarakat memiliki perspektif yang luas dan jauh ke depan
atas tata pemerintahan yang baik dan pembangunan manusia, serta kepekaan akan
apa saja yang dibutuhkan untuk mewujudkan perkembangan tersebut. Selain itu
mereka juga harus memiliki pemahaman atas kompleksitas kesejarahan, budaya
dan sosial yang menjadi dasar bagi perspektif tersebut.
29
Control Objectives for Information and related Technology adalah sekumpulan
dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen
dan pengguna untuk menjembatani gap antara resiko bisnis, kebutuhan control dan
permasalahan-permasalahan teknis.
COBIT dikembangkan oleh IT Governance Institute, yang merupakan bagian dari
Information dari Information Systems Audit and Control Association (ISACA). COBIT
memberikan arahan yang berorientasi pada bisnis, dank arena itu diharapkan dapat
memanfaatkan guideline ini dengan sebaik-baiknya.
COBIT adalah suatu framework untuk membangun suatu IT Governance. Dengan
mengacu pada framework COBIT, suatu organisasi diharapkan mampu menerapkan IT
governance dalam pencapaian tujuannya IT governance mengintegrasikan cara optimal dari
proses perencanaan dan pengorganisasian, pengimplementasian, dukungan serta proses
pemantauan kinerja TI.
COBIT dapat digunakan sebagai tools yang digunakan untuk mengefektifkan
implementasi IT Governance, yakni sebagai management guideline dengan menerapkan
seluruh domain yang terdapat dalam COBIT, yakni planning-organization (PO), azquisition-
implementation (AI), Delivery-support (DS) dan Monitoring (M).
Pengaturan perusahaan (enterprise governance) dan sistem oleh entitas diarahkan dan
dikendalikan, melalui kumpulan dan arahan IT Governance. Pada saat yang sama, TI
dapat menyediakan masukan kritis, dan merupakan komponen penting bagi perencanaan
strategis. Pada kenyataannya TI dapat mempengaruhi peluang strategis yang ditetapkan oleh
perusahaan. Aktivitas perusahaan membutuhkan informasi dari aktivitas TI dengan maksud
untuk mempertemukan tujuan bisnis. Jaminan kesuksesan organisasi diakibatkan oleh adanya
saling ketergantungan antara perencanaan strategis dan aktivitas TI lainnya.
30
perusahaan ditentukan oleh praktek terbaik yang secara umum dapat diterima untuk
menjamin perusahaan mencapai tujuannya, melalui pengendalian tertentu. Dari tujuan-tujuan
ini mengalir arahan organisasi, yang mengatur kegiatan atau aktivitas perusahaan dengan
menggunakan sumberdaya perusahaan. Hasil kegiatan atau aktivitas perusahaan diukur dan
dilaporkan, memberikan masukan bagi pengendalian, demikian seterusnya, kembali ke awal
siklus.
31
BAB IV
PENUTUP
4.1 Simpulan
Dari penulisan ini, dapat disimpulkan :
a) Cobit adalah suatu standar audit SI yang diterima secara internasional.
b) Audit SI sangat penting untuk mencapai tujuan perusahaan.
c) IT sangat dibutuhkan untuk keuntungan kompetitif dan pertumbuhan perusahaan.
d) Manajemen bertanggung jawab untuk kontrol IT.
e) Tanggung jawab itu memerlukan suatu kerangka
o Kebutuhan bisnis dapat dinyatakan sebagai kriteria informasi.
o IT biasanya diorganisir dalam seperangkat proses.
o IT memerlukan sejumlah sumber daya
4.2 Saran
Untuk audit system informasi dilakukan dengan menggunakan framework COBIT
merupakan salah satu alat bantu yang dapat digunakan dalam melakukan audit dan telah
mendapat pengakuan cukup baik di dunia internasional. Suatu perencanaan audit system
informasi berbasis teknologi (audit TI) oleh internal auditor, dapat dimulai dengan
menentukan area-area yang relevan dan beresiko paling tinggi, melalui analisa atas ke-34
proses tersebut. Sementara untuk kebutuhan penugasan tertentu, misalnya audit atas proyek
TI, dapat dimulai dengan memilih proses yang relevan dari proses-proses tersebut.
32
33
DAFTAR PUSTAKA
Alter, Steven. 1999. Information System : A managerial perspective, 3rd edition. Addison.
Wesley. USA
Gondodiyoto, S. (2007). Audit Sistem Informasi + Pendekatan CobIT. Jakarta: Mitra Wacana
Media.
IT-Governance - scribd (www.scribd.com/doc/80926158/IT-Governance)
McLeod Jr.R. 1996. Sistem Informasi Manajemen, Jilid 1, edisi Bahasa Indonesia.
Terjemahan Teguh,H. Prenhallindo, Jakarta.
34