Embed Size (px)
Citation preview
7
BAB 2
LANDASAN TEORI
2.1 Evaluasi
2.1.1 Pengertian Evaluasi
Menurut Umar (2005, p36), Evaluasi adalah suatu proses untuk menyediakan
informasi tentang sejauh mana kegiatan tertentu telah dicapai, bagaimana perbedaan
pencapaiaan itu dengan suatu standar tertentu untuk mengetahui apakah ada selisih
diantara keduanya serta bagaimana manfaat yang telah dikerjakan itu bila dibandingkan
dengan harapan-harapan yang ingin diperoleh.
2.1.2 Jenis-Jenis Evaluasi
Menurut Arens, Elder & Beasley (2003,p19-20), terdapat 3 (tiga) jenis evaluasi
yang dapat dibedakan dan dipahami, atas penjelesan menurut adalah sebagai berikut:
1. Evaluasi Operasional
Adalah tinjauan atas bagian-bagian tertentu dari prosedur, serta metode-metode
operasional dan efektivitas dari prosedur serta metode-metode tersebut. Dimana pada
suatu saat suatu evaluasi operasional selesai dilaksanakan, maka pihak manajemen pada
umumnya mengharapkan sejumlah rekomendasi , maupun saran, yang bertujuan untuk
meningkatkan kegiatan operasional perusahaan.
2. Evaluasi Kepatuhan
Adalah bertujuan untuk menentukan apakah klien (Evaluating), telah mengikuti
prosedur, tata cara, serta peraturan yang dibuat oleh otoritas yang lebih tinggi. Dimana
8
temuan evaluasi kepatuhan umumnya disampaikan pada seseorang di dalam unit
organisasi yang dievaluasi, dari pada disampaikan pada suatu lingkup pengguna yang
lebih luas.
3. Evaluasi atas Laporan Keuangan
Adalah evaluasi yang dilaksanakan untuk menentukan, apakah seluruh lapongan
atau informasi yang diuji, telah dinyatakan sesuai dengan criteria tertentu. Dimana
criteria tersebut adalah merupakan pernyataan standar akuntansi keuangan yang berlaku
umum.
2.1.3 Prosedur Evaluasi
Menurut Umar (2005,p38), Evaluasi pada umumnya memiliki tahapan-
tahapannya sendiri. Berikut penjelasan salah satu tahapan evaluasi yang umumnya
digunakan
1. Menentukan apa yang akan dievaluasi
Dalam bisnis, apa saja yang dapat dievaluasi, dapat mengacu pada program kerja
perusahaan. Di sana banyak terdapat aspek-aspek yang kiranya dapat dan perlu
dievaluasi. Tetapi biasanya yang diprioritaskan untuk dievaluasi adalah hal-hal yang
menjadi key-succesess factor nya.
2. Merancang (desain) kegiatan evaluasi
Sebelum evaluasi dilakukan, tentukan terlebih dahulu desain evaluasinya agar
data apa saja yang dibutuhkan, tahapan-tahapan kerja apa saja yang dilalui, siapa saja
yang akan dilibatkan, serta apa saja yang akan dihasilkan menjadi jelas.
9
3. Pengumpulan data
Berdasarkan desain apa yang telah disiapkan, pengumpulan data dapat dilakukan
secara efektif dan efisien, yaitu sesuai dengan kaidah-kaidah ilmiah yang berlaku dan
sesuai dengan kebutuhan dan kemampuan.
4. Pengolahan dan analisis data
Setelah data terkumpul, data tersebut diolah untuk dikelompokkan agar mudah
dianalisis dengan menggunakan alat-alat analisis yang sesuai, sehingga dapat
menghasilkan fakta yang dapat dipercaya. Selanjutnya, dibandingkan antara fakta dan
harapan/rencana untuk menghasilkan gap. Besar gap yang akan sesuai dengan tolok
ukur tertentu sebagai hasil evaluasinya.
5. Pelaporan hasil evaluasi
Agar hasil evaluasi dapat dimanfaatkan bagi pihak-pihak yang berkepentingan,
hendaknya hasil evaluasi didokumentasikan secara tertulis dan diinformasikan baik
secara lisan maupun tulisan.
6. Tindak lanjut evaluasi
Evaluasi merupakan salah satu bagian dari fungsi manajemen. Oleh karena itu,
hasil evaluasi hendaknya dimanfaatkan oleh manajemen untuk mengambil keputusan
dalam rangka mengatasi masalah manajemen baik di tingkat strategi maupun di tingkat
implementasi strategi.
2.2 Informasi
2.2.1 Kualitas Informasi
10
Menurut Gelinas dan Dull (2010, p21), kualitas informasi terdiri dari tujuh
kriteria antara lain :
a. Effectiveness: deals with the information being relevant and pertinent to the
business process as well as being delivered in a timely, correct, consistent, and
usable manner.
b. Efficiency : concerns the provision of information through the optimal (most
productive and economical) use of resources.
c. Confidentiality : concerns the protection of sensitive information from
unauthorized disclosure.
d. Integrity : relates to the accuracy and completeness of information as well as to
its validity in accordance with business values and expectations.
e. Availability : relates to information being available when required by the
business process now and in the future. It also concerns the safeguarding of
necessary resources and associated capabilities.
f. Compliance : deals with complying with the laws, regulations , and contractual
arrangements to which the business process is subject, that is, externally
imposed business criteria, as well as internal policies.
g. Reliability : relates to the provision of appropriate information for management
to operate the entity and exercise its fiduciary and governance responsibilities.
Berdasarkan kualitas informasi diatas, maka dapat disimpulkan bahwa informasi yang
berkualitas memiliki kriteria-kriteria yaitu : efektifitas (harus relevan), efisiensi (tepat
11
guna), konfidensialitas (memiliki perlindungan data), integritas (akurat), availibilitas
(ketersediaan data), kepatuhan dan realibilitas (kehandalan).
2.3 Sistem Informasi
2.3.1 Pengertian Sistem Informasi
Menurut Gelinas dan Dull (2010, p12 ), An information system is a man made
system generally consists of an integrated set of computer-based components and
manual components establish to collect ,store ,and manage data and to provide output
information to users.
Menurut O`Brien (2008, p7), “information system can be any organized
combination of people,hardware,sotware,communication networks and data resources
that collect,transform,disseminates information in a organization.”
Menurut Gondodiyoto (2007, p.112), menyatakan bahwa sistem informasi masih
dapat didefinisikan sebagai kumpulan elemen-elemen/sumberdaya dan jaringan prosedur
yang saling berkaitan secara terpadu, terintegrasi dalam suatu hubungan hierarki tertentu
dan bertujuan untuk mengolah data menjadi informasi.
Dari beberapa pengertian sistem informasi diatas, maka ditarik kesimpulan
bahwa sistem informasi adalah suatu kesatuan berbagai komponen yang diproses untuk
menghasilkan informasi yang berguna bagi perusahaan dalam mencapai sasaran dan
tujuannya.
2.4. Database
12
2.4.1 Pengertian Database
Menurut Connoly dan Begg (2005, p15), database adalah kumpulan dari data
yang saling berhubungan secara logical dan menjelaskan data tersebut, dirancang untuk
memenuhi kebutuhan informasi perusahaan
Menurut Inmon (2005, p493), database adalah kumpulan dari data yang saling
berhubungan yang disimpan berdasarkan skema.
Dapat disimpulkan bahwa database adalah sekumpulan dari data yang dimiliki
perusahaan yang berhubungan secara logical dan disimpan berdasarkan skema yang
dirancang untuk memenuhi kebutuhan informasi perusahaan.
2.5 Evaluasi Pengendalian Sistem Informasi
2.5.1 Pengertian Evaluasi Pengendalian Sistem Informasi
Menurut Hari Setiabudi et.al (2010, p971), Evaluasi Pengendalian Sistem
Informasi merupakan suatu proses untuk menyediakan informasi mengenai hasil
penilaian atas permasalahan yang ditemukan untuk melakukan pencegahan,
pendeteksian, atau perbaikan kelemahan terhadap serangkaian komponen-komponen
yang bekerja sama untuk mengumpulkan, mengolah, menyimpan dan mendistribusikan
informasi yang digunakan sebagai alat untuk mencapai tujuan tertentu.
2.5.2 Tahapan Evaluasi Pengendalian Sistem Informasi
Berikut adalah tahapan evaluasi pengendalian sistem informasi (Hari Setiabudi
et.al, 2010, p971) :
13
1. Langkah-langkah dalam melakukan evaluasi sistem informasi adalah
merencanakan evaluasi, mengevaluasi bukti-bukti pendukung, dan
mengkomunikasikan hasil evaluasi. Tujuan perencanaan evaluasi adalah untuk
menetapkan mengapa, bagaimana, kapan, dan oleh siapa proses evaluasi akan
dilaksanakan. Langkah-langkah dalam perencanaan audit adalah: (1) menetapkan
ruang lingkup dan tujuan evaluasi; (2) mengorganisir tim pengevaluasi; (3)
mengembangkan pengetahuan tentang operasional bisnis; (4) mengidentifikasi
faktor risiko; (5) menyiapkan program audit; (6) mengumpulkan bukti-bukti
pendukung.
2. Metode yang digunakan untuk mengumpulkan bukti-bukti pendukung antara
lain: (1) observasi, mengamati kegiatan operasional; (2) mereview dokumentasi;
(3) berdiskusi dengan para karyawan mengenai pekerjaan mereka dan bagaimana
untuk melaksanakan prosedur tertentu; (4) kuisioner untuk mengumpulkan data
mengenai sistem; (5) pemeriksaan fisik terhadap jumlah dan kondisi tangible
asset. Dalam mengevaluasi bukti-bukti pendukung, auditor mengevaluasi bukti
pendukung yang dikumpulkan dengan dasar tujuan evaluasi dan memutuskan
apakah bukti tersebut mendukung kesimpulan atau tidak. Auditor juga menilai
kualitas pengendalian internal, menilai reliabilitas informasi yang didapat,
menilai kinerja operasi, menentukan kebutuhan untuk menambah bukti,
menentukan faktor risiko, menentukan faktor materialitas, dan
mendokumentasikan temuan-temuan. Tahapan terakhir yaitu
mengkomunikasikan hasil evaluasi. Tim evaluasi menyiapkan laporan tertulis
14
yang meringkas temuan-temuan dan rekomendasi dengan referensi untuk
mendukung bukti hasil evaluasi dalam lembar kerja. Laporan ini disajikan untuk
manajemen dan pihak lain yang terkait.
2.6 Pengiriman
2.6.1 Istilah-istilah Penting Terkait Pengiriman
Menurut Yunarto (2006), menjelaskan beberapa istilah penting yang berkaitan
dengan pengiriman, yaitu :
a. Shipping/Shipment adalah pengiriman barang yang melibatkan shiper, penyedia
jasa, consignee, dan armada pengakutan mitra bisnis penyedia jasa pengiriman
barang.
b. Shipping Instruction (SI) adalah surat perintah pengiriman barang yang diberikan
oleh shipper kepada pihak penyedia jasa pengiriman barang.
c. Shipper adalah pelanggan retail atau korporat yang memanfaatkan jasa layanan
pengiriman barang.
d. Consignee adalah penerima barang dari shipper melalui penyedia jasa layanan
pengiriman barang.
e. Agent adalah pihak penyedia jasa layanan pengiriman barang yang bertanggung
jawab atas pengiriman barang berangkat dari bandara atas pelabuhan untuk
selanjutnya dikirimkan kepada consignee.
f. Notify Party adalah pihak yang bertanggung jawab atas penerimaan barang.
15
g. Airway Bill adalah surat tanda bukti pengiriman barang dengan tanda nomor
tertentu yang telah disetujui oleh pihak penyedia jasa pengiriman barang dan
armada pengangkutan udara mitra bisnisnya. Airway Bill dikenal juga sebagai
Surat Muatan Udara.
h. Bill of Lading adalah surat tanda bukti pengiriman barang yang dibuat oleh pihak
PT. Tiki Jalur Nugraha Ekakurir dan dikirim ke pihak agent dan shipper.
i. Tracking adalah kegiatan menampilkan informasi barang shipper melalui suatu
media tertentu. Tujuannya adalah memberikan status informasi pengiriman
barang yang dibutuhkan oleh shipper mengenai kirimannya. Kegiatan tracking
ini dilakukan oleh shipper, bukan oleh pihak penyedia jasa pengiriman barang :
pihak penyedia jasa hanya menyediakan status informasi yang dibutuhkan oleh
shipper.
j. Invoice adalah surat tagihan jasa pengiriman barang yang dikeluarkan oleh pihak
penyedia jasa pengiriman barang kepada shipper.
2.7 Audit Sistem Informasi
2.7.1 Pengertian Audit Sistem Informasi
Menurut Gondodiyoto (2007, p443), Audit Sistem informasi dimaksudkan untuk
mengevaluasi tingkat kesesuaian antara sistem informasi dengan prosedur bisnis
(business processes) perusahaan (kebutuhan pengguna, user needs), untuk mengetahui
apakah suatu sistem informasi telah didesain dan diimplementasikan secara efektif,
16
efisien dan ekonomis, memiliki mekanisme kepengamanan aset, serta menjamin
integritas data yang memadai.
Menurut Rommey dan Steinbart (2006, p783), information systems audit reviews
the general and application controls of an accounting information system(AIS) to assess
its compliance with internal control policies and procedures and its effectiveness in
safeguarding assets.
Menurut pengertian diatas maka dapat disimpulkan bahwa Audit Sistem
Informasi adalah suatu proses mengumpulkan dan mengevaluasi bukti-bukti untuk
mengetahui apakah sistem aplikasi sudah menerapkan pengendalian internal yang
memadai agar dapat dilindungi dengan baik dan terhindar dari penyalahgunaan.
2.7.2 Prosedur Audit Sistem Informasi
According to Cannon (2011, p137), the audit program policy informs everyone
that the overall auditing program is important. We use standards as a uniform rule of
measurement, and each standard is supported by a set of procedures. The audit program
is run in the same manner as an ISO 9001 quality management program. Every auditor
needs to ensure that the following procedures are in the toolkit:
a) Audit planning; b) Scheduling audits; c) Assuring competence of auditors and audit
team leaders; d) Selecting appropriate audit teams; e) Assigning roles and
responsibilities; f) Conducting audits; g) Maintaining audit program records; h)
Monitoring performance and effectiveness; i) Complaint tracking; j) Reporting to top
management an overall achievement.
17
Diterjemahkan menjadi, kebijakan program audit menginformasikan kepada
semua orang bahwa program audit secara keseluruhan adalah penting. Kami
menggunakan standar sebagai aturan pengukuran yang seragam, dan masing-masing
standar didukung oleh satu set prosedur. Program audit dijalankan dengan cara yang
sama sebagai program manajemen mutu ISO 9001. Setiap auditor harus memastikan
bahwa prosedur-prosedur berikut ini terdapat dalam toolkit :
a) Perencanaan Audit; b) Penjadwalan audit; c) Menjamin kompetensi auditor dan
pemimpin tim audit; d) Memilih tim audit yang sesuai; e) Menetapkan peran dan
tanggung jawab; f) Melakukan audit; g) Mempertahankan catatan program audit; h)
Pemantauan kinerja dan efektivitas; i) Pengaduan pelacakan; j) Melaporkan kepada
manajemen puncak atas keseluruhan prestasi.
2.7.3. Standar Audit Sistem Informasi
Adapun standar profesional untuk audit sistem informasi yang berdasarkan pada
ISACA (Information Sistem Audit and Control Association) standards (2010, p9-24)
adalah :
1. Audit Charter
Purpose, Responbility, Authority, and Accountability. Diterjemahkan menjadi,
tujuan, tanggung jawab, otoritas, dan akuntabilitas dari fungsi audit sistem
informasi lebih tepat bila didokumentasikan dalam suatu surat perjanjian. Surat
perjanjian tersebut harus disetujui oleh suatu tingkatan yang tepat diorganisasi.
2. Independency
18
a. Profesional Independence
Dalam permasalahan yang berkaitan dengan audit, auditor sistem informasi
harus bersikap independen dalam tingkah laku dan tindakannya.
b. Organizational Relationship
Fungsi audit sistem informasi berada independen dari area yang diaudit untuk
mencapai tujuan objectivitas dari suatu proses audit.
3. Professional Ethics and Standard
a. Code Of Profesional Ethics
Auditor sistem informasi harus menghormati dan mentaati etika professional
dalam melakukan tugas audit.
b. Due Professional Care
Auditor sistem informasi harus melakukan ketelitian professional yang
seharusnya, termasuk ketaatan standard audit professional yang dapat dipakai
dalam melakukan tugas audit.
4. Professional Competence
Auditor sistem informasi harus mampu secara professional, memiliki
kemampuan dan keahlian untuk melakukan tugas audit. Auditor sistem informasi
harus memelihara kompetensi professional melalui pendidikan dan pelatihan
lanjut professional yang tepat.
5. Audit Planning
19
Auditor sistem informasi harus merencanakan ulasan sistem informasi
untuk menempatkan tujuan audit dan untuk melengkapi hokum yang berlaku dan
standard professional audit.
6. Performance of Audit Work
a. Supervision
Staf dari sistem informasi harus diawasi untuk menyediakan jaminan yang
cukup bahwa tujuan audit telah dijalankan dan standar professional auditing
dapat dipengaruhi.
b. Evidence
Selama masa pekerjaan audit, auditor sistem informasi harus mendapatkan
bukti yang tepat, dapat dipercaya, relevan dan berguna untuk mencapai
tujuan objektif dari suatu audit. Penemuan dan kesimpulan audit harus
didukung dengan analisa dan intreprestrasi yang tepat atas bukti tersebut.
c. Documentation
Proses Audit harus didokumentasikan,menggambarkan pelaksanaan kerja
audit, dan bukti yang mendukung penemuan dan kesimpulan auditor sistem
informasi.
7. Reporting
Auditor sistem informasi harus menyediakan laporan dalam bentuk yang
tepat dalam penyelesaian tugas audit. Laporan audit harus mengidentifikasikan
perusahaan, penerima yang dimaksud, dan setiap pembatasannya pada
distribusinya. Laporan audit yang berupa lingkup, tujuan, periode audit, dan
20
lingkungan dan rekomendasi, kualifikasi atau batasan lingkup yang harus
dihormati oleh auditor sistem informasi dalam audit. Auditor sistem informasi
harus memiliki bukti yang cukup dan tepat untuk mendukung hasil yang
dilaporkan. Ketika dikeluarkan, laporan auditor sistem informasi harus
ditandatangani, diberi tanggal, dan didistribusikan berdasarkan bentuk piagam
audit atau surat perjanjian.
8. Follow Up Activities
Setelah melaporkan penemuan dan simpulan, auditor sistem informasi
harus meminta dan mengevaluasi informasi yang sesuai untuk menyimpulkan
apakah tindakan yang tepat telah dilakukan oleh manajemen secara tepat waktu.
9. Irregularities and Ilegal Acts
a. Dalam perencanaan dan pelaksanaan audit untuk mengurangi resiko pada
tingkat yang rendah, auditor sistem informasi harus mempertimbangkan
resiko irregularities and illegal act, dengan memahami perusahaan dan
lingkungannya secara pengendalian internal perolehan bukti audit yang
cukup dan tepat.
b. Auditor sistem informasi harus merancang dan melaksanakan prosedur untuk
menguji pengendalian internal yang tepat dan resiko pengendalian simpangan
manajemen.
c. Jika sistem informasi telah mengidentifikasikan, irregularities and illegal act
yang melibatkan manajemen atau karyawan yang memiliki role penting
dalam pengendalian internal, auditor sistem informasi harus
21
mengkomunikasikan tepat waktu untuk orang-orang yang bertanggung jawab
terhadap governance.
d. Auditor sistem informasi harus mengdokumentasikan semua komunikasi,
perencanaan, hasil, evaluasi, dan kesimpulan yang berhubungan dengan
irregularities and illegal act.
10. IT Governance
Auditor sistem informasi harus meninjau dan menilai fungsi sistem
informasi sesuai dengan visi, misi, nilai, tujuan dan strategi perusahaan. Juga
menilai keefektifan sumber daya informasi dan pelaksanaan proses manajemen,
pemenuhan keabsahan, kualitas lingkungan dan informasi, serta kebutuhan
pengendalian keamanan. Selain itu dinilai pula lingkungan pengendalian dan
resiko dalam lingkungan sistem informasi.
11. Use of Risk Assesment in Audit Planning
Auditor sistem informasi harus menggunakan teknik atau pendekatan
penilaian resiko yang tepat dalam pengembangan rencana audit sistem informasi
secara keseluruhan, dan menentukan prioritas pembagian sumber daya audit
sistem informasi secara efektif.
12. Audit Materiality
Auditor sistem informasi harus mempertimbangkan audit secara material
dan hubungannnya dengan resiko audit menentukan sifat, waktu, dan isi dari
proses audit.
13. Using the Work of Other Experts
22
Auditor sistem informasi harus mempertimbangkan penggunaan ahli lain
dalam melakukan audit.
14. Audit Evidence
Auditor sistem informasi harus memperoleh bukti yang cukup dan tepat
untuk membuat kesimpulan yang beralasan sebagai dasar dari hasil audit.
2.7.4 Tujuan Audit Sistem Informasi
Tujuan Audit Sistem Informasi menurut Gondodiyoto, (2007, p474), yaitu :
1. Pengamanan Aset.
Aset informasi suatu perusahaan seperti perangkat keras (hardware), perangkat
lunak (software), sumber daya manusia, file/data dan fasilitas lain harus dijaga
dengan sistem pengendalian intern yang baik agar tidak terjadi penyalahgunaan aset
perusahaan. Dengan demikian sistem pengamanan aset merupakan suatu hal yang
sangat penting harus dipenuhi oleh perusahaan.
2. Efektifitas Sistem.
Efektifitas sistem informasi perusahaan memiliki peranan penting dalam proses
pengambilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem
informasi tersebut sudah dirancang dengan bener (doing the right thing), telah sesuai
dengan kebutuhan user. Informasi yang dibutuhkan oleh para manajer dapat
dipenuhi dengan baik.
3. Efisiensi Sistem.
23
Efsiensi menjadi sangat penting ketika sumber daya kapasitasnya terbatas. Jika
cara kerja dari sistem aplikasi komputer menurun maka pihak manajemen harus
mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber
daya, karena suatu sistem dikatakan efesien jika sistem informasi dapat memenuhi
kebutuhan user dengan sumber daya informasi yang minimal. Cara sistem kerja
benar (doing thing right).
4. Ketersediaan (availibility).
Berhubungan dengan ketersediaan dukungan/layanan teknologi informasi (TI).
TI hendaknya dapat mendukung secara continue terhadap proses bisnis (kegiatan
perusahaan). Makin sering terjadi gangguan (System Down) maka berarti tingkat
ketersediaan sistem rendah.
5. Kerahasiaan (confidentiality).
Fokusnya ialah pada proteksi terhadap informasi dan supaya terlindungi dari
akses dari pihak-pihak tidak berwenang.
6. Kehandalan (Realibility).
Berhubungan dengan kesesuaian dan keakuratan bagi manajemen dalam
pengelolaan organisasi,pelaporan dan petanggungjawaban.
7. Menjaga Integritas Data.
Integritas data (data integrity) adalah salah satu konsep dasar dari sistem
informasi data memiliki atribut-atribut seperti : kelengkapan,kebenaran,keakuratan.
2.7.5 Tinjauan Penting dalam Audit SI/TI
24
Menurut Sarno (2009, p28-29), Adapun elemen utama dari aktivitas peninjauan yang
dilakukan dalam Audit SI/TI dapat diklasifikasikan ke dalam tinjauan penting berikut :
a. Tinjauan terkait dengan fisik dan lingkungan, yakni : hal-hal yang terkait dengan
keamanan fisik, suplai sumber daya, temperatur, kontrol kelembaban dan faktor
lingkungan lain.
b. Tinjauan administrasi sistem, yaitu mencakup tinjauan keamanan sistem operasi,
sistem manajemen database, seluruh prosedur administrasi sistem dan
pelaksanaannya.
c. Tinjauan perangkat lunak, perangkat lunak yang dimaksud merupakan aplikasi
bisnis yang dapat berupa sistem berbasis web untuk pemrosesan permintaan
pelanggan hingga Entreprise Resource Planing (ERP) yang kini menjadi inti dari
proses bisnis di perusahaan. Tinjauan terhadap perangkat lunak tersebut juga
mencakup kontrol akses dan otorisasi ke dalam sistem, validasi dan penanganan
kesalahan termasuk pengecualian dalam sistem serta aliran proses bisnis dalam
perangkat lunak beserta kontrol secara manual dan prosedur penggunaannya.
Sebagai tambahan, tinjauan juga perlu dilakukan terhadap siklus hidup
pengembangan sistem.
d. Tinjauan keamanan jaringan yang mencakup tinjauan jaringan internal dan
eksternal yang terhubung dengan sistem, batasan tingkat keamanan, tinjauan
terhadap firewall, daftar kontrol akses router, port scaning serta pendeteksian
akan gangguan maupun ancaman terhadap sistem.
25
e. Tinjauan kontinuitas bisnis dengan memastikan ketersediaan prosedur backup
dan penyimpanan, dokumentasi dari prosedur tersebut serta dokumentasi
pemulihan bencana/kontinuitas bisnis yang dimiliki.
f. Tinjauan integritas data yang bertujuan untuk memastikan ketelitian data yang
beroperasi sehingga dilakukan verifikasi kecukupan kontrol dan dampak dari
kurangnya kontrol yang ditetapkan
2.7.6 Laporan Audit
2.7.6.1 Struktur Laporan Audit
Menurut Sarno (2009, p167), Secara umum laporan audit akan berisikan struktur
pembahasan sebagai berikut :
a. Pendahuluan, termasuk pernyataan tujuan dan area yang akan diaudit,periode
cakupan audit serta pernyataan umum dari sifat dasar dan cakupan prosedur audit
yang diuji selama proses audit.
b. Batasan terhadap pelaksanaan audit SI/TI.
c. Syarat atau kualifikasi pengaudit SI/TI yang sesuai dengan ketentuan atau
standar pengaudit. Hal tersebut akan mungkin menetapkan bahwa kontrol atau
prosedur yang ditemukan sudah cukup atau masih kurang memenuhi
standar.Keseimbangan laporan audit seharusnya mendukung kesimpulan dan
bukti secara keseluruhan yang terkumpul seharusnya menyediakan dukungan
pada level yang lebih tinggi.
d. Pernyataan panduan audit SI/TI yang diikuti selama aktivitas audit dilaksanakan.
26
e. Detil temuan audit dan rekomendasi serta keputusan apakah memasukkan atau
tidak memasukkan temuan kedalam laporan audit.Hal tersebut bergantung pada
panduan yang disediakan oleh manajemen tingkat yang lebih tinggi.
f. Keanekaragaman temuan yang beberapa diantaranya bersifat penting.
Kesimpulan keseluruhan dari pengaudit SI/TI dan pendapat dari kecukupan
kontrol dan prosedur yang diuji selama audit.
2.7.6.2 Dokumentasi Laporan Audit SI/TI
Menurut Sarno (2009, p168), Dokumentasi laporan audit SI/TI seharusnya berisikan :
a. Perencanaan dan persiapan audit SI/TI yang mencakup ruang lingkup dan tujuan
audit (scope dan objective).
b. Kondisi sistem informasi.
c. Program audit SI/TI yang dilakukan.
d. Langkah audit SI/TI yang dilakukan dan bukti (evidence) audit SI/TI yang
dikumpulkan.
e. Temuan audit (findings) dan tingkat kedewasaan proses TI.
f. Kesimpulan dari hasil temuan.
g. Laporan – laporan lain terkait sebagai hasil dari pekerjaan audit SI/TI.
h. Tinjauan pengawas berupa rekomendasi untuk perbaikan berkelanjutan.
2.7.7 Fungsi Internal Auditor
27
Menurut Basalamah dalam Hunton et al., (2011, p17), seorang auditor TI
sebaiknya mampu melakukan pekerjaan-pekerjaan sebagai berikut:
1. Mengevaluasi pengendalian atas aplikasi-aplikasi tertentu, yang mencakup analisis
terhadap resiko dan pengendalian atas aplikasi-aplikasi seperti e-business, sistem
perencanaan sumberdaya perusahaan (enterprise resource planning atau ERP) atau
program-program lainnya.
2. Memberikan asersi (assurance) atas proses-proses tertentu, seperti audit dengan
prosedur-prosedur tertentu yang disepakati bersama dengan auditan mengenai
lingkup asersi.
3. Memberikan asersi atas aktivitas pengolahan data pihak ketiga, dengan tujuan untuk
memberikan asersi bagi pihak lain yang memerlukan informasi mengenai aktivitas
pengolahan data yang dilakukan oleh pihak ketiga tersebut.
4. Pengujian penetrasi, yaitu upaya untuk mengakses sumberdaya informasi guna
menemukan kelemahan-kelemahan yang ada dalam pengolahan data tersebut.
5. Memberikan dukungan atas pekerjaan audit keuangan, yang mencakup evaluasi atas
resiko dan pengendalian TI yang dapat mempengaruhi keandalan sistem pelaporan
keuangan.
6. Mencari kecurangan yang berbasis TI, yaitu menginvestigasi catatan-catatan
komputer dalam investigasi kecurangan.
2.8 COBIT (Control Objectives for Information and Related Technology)
2.8.1 Pengertian COBIT
28
Menurut Gondodiyoto, (2007, p276), COBIT adalah sekumpulan dokumentasi best
practice untuk IT governance yang dapat membantu auditor, pengguna (user), dan
manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan
masalah-masalah teknis TI. COBIT bermanfaat bagi auditor,IT users, manager yaitu:
1. Bagi Auditor, karena merupakan teknik yang dapat membantu dalam identifikasi
IT control issues.
2. Bagi IT users, karena memperoleh keyakinan atas kehandalan sistem aplikasi yang
dipergunakan.
3. Bagi Manager, memperoleh manfaat dalam keputusan investasi di bidand TI serta
infrastrukturnya, menyusun strategic IT plan, menentukan information architecture,
dan keputusan atas procurement (pengadaan/pembelian) mesin.
Menurut Cascarino (2007, p188) “Control Objectives for information and related
technology (COBIT) is one of the most widely accepted models of the IT governance and
control utilized to manage risks and implement controls within an IT enviroment in
order to achieve business objectives. COBIT was introduced to meld existing IT
standards and best practices into one comprehensive structure designed to achieve
international accepted governance standards. COBIT utilized a framework of domains
and processes to create a logical structure of IT activities in a manner that can be
easily subject to managerial control”.
Menurut Hari Setiabudi et.al (2010, p971), CobIT adalah sekumpulan dokumentasi
best practices untuk IT Governance yang dapat membantu auditor, pengguna (user), dan
29
manajemen untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan
masalah-masalah teknis TI. CobIT bermanfaat bagi auditor karena merupakan teknik
yang dapat membantu dalam identifikasi IT control issues. CobIT berguna para IT user
karena memperoleh keyakinan atas kehandalan sistem aplikasi yang dipergunakan.
Sedangkan para manajer memperoleh manfaat dalam keputusan investasi di bidang TI
serta infrastrukturnya, menyusun strategic IT plan, menentukan informasi arsitektur, dan
keputusan atas procurement (pengadaan/pembelian) mesin.
Berdasarkan beberapa pengertian COBIT diatas, maka dapat disimpulkan bahwa
COBIT adalah Suatu kumpulan dokumentasi best practices yang dapat membantu para
auditor, pengguna dan manajemen dalam melakukan pengelolaan terhadap TI
perusahaan untuk mengatasi resiko bisnis, kebutuhan kontrol dan masalah-masalah
teknis TI.
2.8.2 COBIT Benefits and Resources
Menurut IT Governance Institute (2007), The benefits of implementing COBIT as a
governance framework over IT include.
1. Better alignment, based on a bussines focus.
2. A view, understandable to management, of what IT does.
3. Clear ownership and responsibilities,based on a common language.
4. General acceptability with third parties and regulators.
5. Shared understanding amongst all stakeholders, based on a common language.
6. Fulfillment of the COSO requirement for the IT control environment.
30
Berdasarkan manfaat COBIT diatas, maka dapat disimpulkan bahwa COBIT
memiliki beberapa manfaat sebagai kerangka tata kelola TI yaitu : Keselarasan yang
lebih baik berdasarkan pada fokus bisnis, Pandangan yang dapat dimengerti untuk
manajemen dari apa yang TI lakukan, Kepemilikan dan tanggung jawab yang jelas
berdasarkan pada bahasa umum yang digunakan, Dapat diterima oleh pihak ketiga dan
pengatur, Pemahaman bersama di antara semua pemegang kepentingan berdasarkan
bahasa yang umum, Pemenuhan persyaratan COSO untuk lingkungan pengendalian TI.
2.8.3 Sasaran COBIT
Menurut ISACA, COBIT terutama ditujukan untuk manajemen, pengguna bisnis
TI dan auditor. Gunanya, bisnis dan konsultan TI dapat memberikan manajemen dengan
saran pada kontrol dan tata kelola manajemen layanan IT professional.
According to Brand and Boonen (2008, p23), the main target groups are
described in the following paragraphs :
a. Managers
Within organizations managers are the ones that hold execute responsibility for
operation of the operation of the enterprise. They need information in order to order
to control the internal operations and to direct business processes. IT is an integral
part of business operations. COBIT can help both business and IT managers to
balance risk and control investment in an often unpredictable IT environment.
b. End-Users
31
Most organizations realize that having the right IT services is the responsibility of
the business process owner. This is even the case when delivery of IT services is
delegated to internal or external service providers. COBIT offers a framework to
obtain assurance on the security and controls of IT services provided by internal or
external parties.
c. Auditors
In order to provide independent assurance of the quality and applicability of
controls, organizations employ auditors. Often an audit committee at the board or
Top Management Level directs auditing. COBIT helps auditors to structure and
substantite their opinions and provide advice to management on how to improve
internal controls.
d. Business and IT Consultants
New frameworks and methods, e.g. on IT governance often originate outside the
enterprise. Business and IT consultants can bring this knowledge into the enterprise
and thus provide advice to business and IT management on improving IT
governance.
e. IT Service Management Professionals
In the IT service management community, Information Technology Infrastructure
Library (ITIL) is the dominant framework. COBIT helps to further improve IT
service management by providing a framework that covers the complete lifecycle of
IT systems and services.
32
Berdasarkan sasaran COBIT diatas, maka dapat disimpulkan bahwa COBIT
memiliki sasaran dalam pengimplementasiannya yang ditujukan kepada : Manajer,
Pengguna Akhir, Auditor, Konsultan TI dan Bisnis dan Manajemen Profesional
untuk layanan TI.
2.8.4 Framework COBIT
Menurut Gondodiyoto, (2007, p.281), COBIT framework mencakup tujuan
pengendalian yang terdiri dari 4 domain yaitu:
1. Perencanaan & Organisasi (Planning & Organization)
Yaitu mencakup pembahasan tentang identifikasi dan strategi investasi TI yang
memberikan yang terbaik untuk mendukung pencapaian tujuan bisnis. Selanjutnya
identifikasi dan visi strategi perlu direncanakan, dikomunikasikan, dan diatur
pelaksanaannya (dari berbagai perspektif).
2. Perolehan dan Implementasi (Aquisition and Implementation)
Yaitu untuk merealisasikan strategi TI, perlu diatur kebutuhan TI, diidentifikasi,
dikembangkan, atau diimplementasikan secara terpadu dalam proses bisnis
perusahaan.
3. Penyerahan dan Pendukung (Delivery and Support)
Domain ini lebih dipusatkan pada ukuran tentang aspek dukungan TI terhadap
kegiatan operasional bisnis (tingkat jasa layanan TI actual atau service level) dan
aspek urutan (prioritas implementasi dan untuk pelatihannya).
4. Memantau dan Evaluasi (Monitor and Evaluate)
33
Yaitu semua proses TI yang perlu dinilai secara berkala agar kualitas dan tujuan
dukungan TI tercapai, dan kelengkapannya berdasarkan pada syarat kontrol internal
yang baik.
Tabel 2.1 Domain & High level Controls COBIT
COBIT Domains High Level Objectives
1. Plan and
Organize
1. Define a strategic IT Plan and direction
2. Define the information architecture
3. Define technological direction
4. Define IT processes, organization and relationship
5. Manage the IT Investment
6. Communicate management aim and direction
7. Manage IT human resources
8. Manage Quality
9. Assess and manage IT risks
10. Manage projects
2. Acquire and
implement
1. Identify automated solutions
2. Acquire and maintain application software
34
3. Acquire and maintain technology infrastructure
4. Enable operation and use
5. Procure IT resource
6. Manage Changes
7. Install and accredit solution and changes
3. Deliver and
support
1. Define and manage service levels
2. Manage third-party services
3. Manage performance and capacity
4. Ensure continous service
5. Ensure systems security
6. Identify and allocate costs
7. Educate and train users
8. Manage service desk and incidents
9. Manage the configuration
10. Manage problems
11. Manage data
35
Sumber : Gondodiyoto (2007, p282)
12. Manage the physical environment
13. Manage operation
4. Monitor and
evaluate
1. Monitor and evaluate IT process
2. Monitor and evaluate internal control
3. Ensure regulatory compliance
4. Provide IT Governance
36
Gambar 2.1 COBIT Processes Defined Within The Four Domain
Sumber : ITGI-COBIT 4.1th edition (2007, p26)
37
2.8.5 Kerangka Kerja COBIT
Menurut Gondodiyoto, (2007, p.279-280), Kerangka kerja COBIT terdiri atas beberapa
arahan (guidelines), yaitu :
a. Control Objectives terdiri dari 4 tujuan pengendalian tingkat-tingkat (high-level
control objectives) yang tercermin dalam 4 domain, yaitu : planning &
organization, acquisition & implementation, delivery & support, dan monitoring.
b. Audit Guidelines, berisi sebanyak 318 tujuan-tujuan pengendalian rinci (detailed
control objectives) untuk membantu para auditor dalam memberikan
management assurance dan atau saran perbaikan.
c. Management Guidelines, berisi arahan, baik secara umum maupun spesifik,
mengenai apa saja yang mesti dilakukan.
COBIT Framework memasukkan juga hal-hal berikut ini :
1. Maturity Models.
Untuk memetakan status maturity proses-proses TI (dalam skala 0-5)
dibandingkan dengan “The best in the class in the industry” dan juga
International best practices.
2. Critical Success Factors (CSFs).
Arahan implementasi bagi manajemen agar dapat melakukan kontrol atas proses
TI.
3. Key Goal Indicators (KGIs).
Kinerja proses-proses TI yang berhubungan dengan business requirements.
38
4. Key Performance Indicators (KPIs).
Kinerja proses-proses TI sehubungan dengan process goals.
