Upload
others
View
25
Download
2
Embed Size (px)
Citation preview
UNIVERSITAS GUNADARMA
FAKULTAS ILMU KOMPUTER DAN TEKNOLOGI INFORMASI
Disusun Oleh:
Nama : - Alisha Salama Khinzsy (10115554)
- Fadil Arif Muhammad (12115354)
- Hasna Putri Izzati (13115081)
Kelas : 4KA24
TUGAS AUDIT SISTEM INFORMASI
UNIVERSITAS GUNADARMA
2018
i
KATA PENGANTAR
Puji dan syukur kehadirat Allah SWT yang telah memberikan rahmat dan
karunia Nya, sehinggan penulis dapat menyelesaikan makalah ini. Makalah ini
disusun guna melengkapi sebagian syarat dalam mendapatkan nilai mata kuliah
Softskill Audit Teknologi dan Sistem Informasi. Adapun judul dari makalah ini
adalah Melakukan Audit Terhadap Sistem Informasi. Makalah ini membahas
tentang proses audit sistem informasi, analisis resiko, kontrol internal pada sistem
informasi, cara melakukan audit sistem informasi. Kiranya kelak makalah ini dapat
bermanfaat bagi masyarakat luas pada umumnya dan Mahasiswa/I Fakultas Ilmu
Komputer dan Teknologi Informasi Universitas Gunadarma. Kami menyadari
bahwa makalah ini masih jauh dari apa yang diharapkan dalam menapai
kesempurnaan. Oleh karena itu, kami sangat mengharapkan kritik dan saran yang
membangun dari dosen dan Mahasiswa/I supaya kiranya makalah ini dapat
mencapai kesempurnaan agar makalah ini nantinya juga dapat bermanfaat bagi kita
semua. Atas perhatiannya kami ucapkan terima kasih.
ii
DAFTAR ISI
Halaman
KATA PENGANTAR ............................................................................................. i
DAFTAR ISI ........................................................................................................... ii
DAFTAR GAMBAR ............................................................................................. iii
1. PENDAHULUAN ............................................................................................... 1
2. TINJAUAN PUSTAKA....................................................................................... 2
2.1 Audit .............................................................................................................. 2
2.2 COBIT Framework ........................................................................................ 2
3. Analisa ................................................................................................................. 4
3.1 Hasil DS1 Menetapkan dan Mengatur Tingkat Layanan ...................... 4
3.2 Hasil DS2 Pengaturan Layanan dengan Pihak Ketiga .......................... 4
3.3 Hasil DS3 Memastikan Ketersediaan Layanan ..................................... 5
3.4 Hasil DS4 Mengelola Bantuan Layanan dan Insiden............................ 5
3.5 Hasil DS5 Mengelola Data .................................................................... 5
3.6 Hasil DS6 Mengelola Fasilitas .............................................................. 6
4. Kesimpulan .......................................................................................................... 8
4.1 kesimpulan ............................................................................................ 8
DAFTAR PUSTAKA .............................................................................................. 9
iii
DAFTAR TABEL
Halaman
Tabel 3.1 Hasil DS12 Mengelola Fasilitas ......................................................... 7
1
1. Pendahuluan
HIJ Cargo adalah perusahaan yang bergerak dibidang jasa pengiriman
barang atau logistic. Jasa pengiriman barang yang dilakukan melalui darat. HIJ
Cargo berkomitmen untuk mengutamakan kepercayaan dan kepuasan sebagai
kunci kesuksesan, dengan dedikasi Manajemen dan staff dalam memenuhi
kebutuhan dan harapan pelanggan. Saat ini banyak bermunculan jenis usaha
yang sama, hal ini tentunya memperketat persaingan, baik dari sisi kualitas
pegiriman barang sampai kepada kualitas pelayanan terhadap konsumen. Untuk
Memastikan kualitas dan layanan yang diberikan oleh HIJ Cargo dapat terarah
dan selaras dengan tujuan bisnis perusahaan, maka diterapkan tata kelola
teknologi informasi. Tata kelola teknologi informasi (IT governance) adalah
suatu cabang dari tata kelola perusahaan yang terfokus pada sistem teknologi
informasi (TI) serta manajemen kinerja dan risikonya. Meningkatnya minat pada
tata kelola TI sebagian besar muncul karena adanya prakarsa kepatuhan (seperti
Sarbanes-Oxley di Amerika Serikat dan Basel II di Eropa) serta semakin
diakuinya kemudahan proyek TI untuk lepas kendali yang dapat berakibat besar
terhadap kinerja suatu organisasi. Tata kelola TI merupakan tanggung jawab
pihak manajemen didalam suatu organisasi, sehingga bagaimana TI bisa menjadi
lebih efisien dan efektif dalam mendukung proses bisnis yang dijalankan
tersebut.
Tujuan dari penelitian ini adalah mendapatkan gambaran mengenai kinerja
dari tata kelola teknologi informasi di perusahaan HIJ Cargo yang sedang
berjalan saat ini, dengan beberapa aspek yang diperhatikan seperti: efektivitas
(effectiveness), efisiensi (efficiency), unit fungsional teknologi informasi pada
suatu organisasi, data integrity, saveguarding assets, realibility, confidentiality,
availability, dan security. Manfaat dari penelitian ini adalah untuk mengetahui
tingkat maturity level tata kelola teknologi informasi pada HIJ Cargo
menggunakan cobit 4.1, fokus pada domain AI (Acquire Implement) dan DS
(Delever Support).
2
2. Tinjauan Pustaka
2.1 Audit
Sarno (2009) mendefinisikan audit sebagai proses sistematis yang dilakukan
dengan memperhatikan keobyektifan dari pihak kompeten dan independen
dalam perolehan dan penilaian bukti-bukti terhadap tuntutan tuntutan yang yang
terkait dengan hal-hal atau kejadian. Tujuan dari audit adalah untuk menentukan
dan melaporkan tingkat kesamaan antara informasi yang dinilai dengan ukuran
atau kriteria yang ada (Surendro, 2005). Audit SI/TI dalam kerangka kerja
COBIT lebih sering disebut dengan istilah IT Assurance ini bukan hanya dapat
memberikan evaluasi terhadap keadaan tata kelola Teknologi Informasi di HIJ
Cargo tetapi dapat juga memberikan masukan yang dapat digunakan untuk
perbaikan pengelolaannya di masa yang akan datang. Audit Sistem Informasi
adalah proses untuk mengumpu lkan dan mengevaluasi bukti dalam menentukan
apakah sistem informasi telah dibangun sehingga memelihara integritas data,
menjaga aset, membuat sasaran organisasi dapat tercapai secara efektif, dan
menggunakan sumber daya yang efisien.
2.2 COBIT Framework
Contol Objective for Information and Related Technologi (COBIT)
merupakan audit sistem informasi dan pengendalian yang dibuat oleh
Information Systems Audit and Control Association (ISACA). COBIT
memberikan kebijakan yang jelas dan praktik yang baik dalam tata kelola
teknologi dengan membantu dalam memahami dan mengelola risiko yang terkait
dengan tata kelola teknologi informasi dengan cara memberikan kerangka kerja
tata kelola teknologi informasi dan panduan tujuan pengendalian terinci /
detailed control objective bagi pihak manajemen, pemilik proses bisnis,
pengguna dan juga auditor [6].
Framework tata kelola TI Cobit 4.1 berorientasi pada bagaimana
menghubungkan tujuan bisnis dengan tujuan TI, menyediakan metrik dan
maturity model untuk mengukur pencapaiannya, dan mengidentifikasi tanggung
jawab terkait bisnis dan pemilik proses TI [7]. Sumberdaya TI merupakan suatu
elemen yang sangat disoroti COBIT, termasuk pemenuhan kebutuhan bisnis
terhadap: efektivitas, efisiensi, kerahasiaan, keterpaduan, ketersediaan,
kepatuhan pada kebijakan/aturan dan keandalan informasi (effectiveness,
efficiency, confidentiality, integrity, availability, compliance, dan reliability).
COBIT menyediakan langkah-langkah praktis terbaik yang dapat diambil dan
lebih difokuskan pada pengendalian (control), yang selanjutnya dijelaskan
3
dalam tahap dan framework proses. Manfaat dari langkah-langkah praktis
terbaik yang dapat diambil tersebut antara lain:
Membantu mengoptimalkan investasi teknologi informasi yang mungkin
dapat dilakukan.
Menjamin pengiriman service.
Framework COBIT 4.1, secara keseluruhan terdiri dari 4 domain, yaitu:
PO (Plan & Organized) (nanti kita tambahin lg pengertiannya apa)
AI, (Aquire & Implement)
DS (Deliver & Support) dan
ME (Monitor & Evaluated) dan berisi 34 macam proses aktifitas dari
domain-domain tersebut.
Berikut Kriteria Kerja COBIT
Efektifitas: Untuk memperoleh informasi yang relevan dan berhubungan
dengan proses bisnis seperti penyampaian informasi dengan benar,
konsisten, dapat dipercaya dan tepat waktu.
Efisiensi: Memfokuskan pada ketentuan informasi melalui penggunaan
sumber daya yang optimal.
Kerahasiaan: Memfokuskan proteksi terhadap informasi yang penting
dari orang yang tidak memiliki hak otorisasi.
Integritas: Berhubungan dengan keakuratan dan kelengkapan informasi
sebagai kebenaran yang sesuai dengan harapan dan nilai bisnis.
Ketersediaan: Berhubungan dengan informasi yang tersedia ketika
diperlukan dalam proses bisnis sekarang dan yang akan datang.
Kepatuhan: Sesuai menurut hukum, peraturan dan rencana perjanjian
untuk proses bisnis.
Keakuratan Informasi: Berhubungan dengan ketentuan kecocokan
informasi untuk manajemen mengoperasikan entitas dan mengatur
pelatihan keuangan dan kelengkapan laporan pertanggungjawaban.
(sumber: Surbakti, Herison., 2012)
4
3. Analisa
3.1 Hasil DS1 Menetapkan dan Mengatur Tingkat Layanan
Komunikasi yang efektif antara IT management dan konsumen bisnis
mengenai service yang diperlukan akan dibantu dengan adanya dokumentasi dan
persetujuan dari IT service serta service level yang telah ditentukan sebelumnya.
Proses ini juga meliputi monitoring dan adanya laporan yang tepat waktu kepada
stakeholders mengenai pencapaian service level. Proses ini dapat membantu
untuk menyesuaikan antara IT service dan keperluan bisnis yang berhubungan.
Dalam hal service levels, XC selalu memikirkan pelayanan yang selalu Acquire
diberikan kepada konsumen-konsumennya. Setiap terjadi perubahan ataupun
upgrade dari aplikasi yang mereka buat, maka seluruh konsumen akan
dikabarkan guna untuk meng-update aplikasinya atau tidak perlu. XC memiliki
minimnya dokumentasi secara formal. Dari penjelasan diatas disimpulkan
bahwa untuk proses DS1 yaitu menetapkan dan mengatur tingkat layanan, rata-
rata berada dilevel 2.3, Repeatable But Intuitive.
3.2 Hasil DS2 Pengaturan Layanan Dengan Pihak Ketiga
Suatu kebutuhan untuk menjamin bahwab service yang disediakan oleh
pihak ketiga sesuai dengan keperluan bisnis, selain itu juga diperlukan
prosesmanajemen dari pihak ketiga yang lebih efektif. Proses ini dilakukan
dengan cara membuat perjanjian dengan pihak ketiga, perjanjian tersebut berisi
tentang peraturan, tanggungjawab serta keinginan yang jelas dari masing-masing
pihak, selain itu juga membahas tentang peninjauan dan monitoring yang akan
dilakukan berkaitan dengan efektifitas dan pemenuhan proses. Layanan dengan
pihak ketiga dalam XC merupakan orang-orang yang bekerja dengan XC tetapi
bersifat freelance atau pekerja lepas. Orang-orang yang menjadi pekerja lepas
untuk TC merupakan orang-orang yang sudah dikenal dan sering melakukan
kerja sama dengan TC, sehingga untuk masalah kekompakan atau kecocokan
kerjasama antara TC dengan para pekerja lepas sudah terjalin dengan baik. Lalu
untuk masalah dokumentasi perjanjian kerja, penjelasan tentang tanggung
jawab, dan lain-lain telah belum terdokumentasi dengan cukup baik, lebih
dominan pada saling percaya. Dari penjelasan diatas, disimpulkan bahwa untuk
proses DS2 yaitu pengaturan layanan dengan pihak ketiga, rata-rata berada
dilevel 2.4, Repeatable But Intuitive.
5
3.3 Hasil DS3 Memastikan Ketersediaan Layanan
Kebutuhan untuk menyediakan IT services yang berkelanjutan akan
memerlukan suatu pengembangan, perawatan dan percobaan rencana kelancaran
IT, penyimpanan offsite backup serta rencana pelatihan yang akan dilaksanakan
secara berkala. Proses service berkelanjutan yang efektif akan dapat
meminimalkan kemungkinan dan pengaruh gangguan IT service yang utama
pada fungsi dan proses-proses bisnis. Untuk pelayanan lanjutan yang diberikan
XC kepada konsumen, harus berdasarkan kesepakatan bersama antara XC
dengan konsumen. Dan untuk aplikasi yang dimiliki sendiri oleh Perusahaan
diatur pelayanannya oleh individu masing-masing yang berurusan langsung
dengan aplikasi tersebut. Tetapi semua yang diatas tetap dilakukan berdasarkan
keputusan senior management dan harus sesuai dengan IT strategi. Dan semua
juga masih dilakukan berdasarkan intuisi dan pengalaman dari senior
management. Dari penjelasan diatas disimpulkan bahwa untuk proses DS4 yaitu
memastikan ketersediaan layanan, rata-rata berada dilevel 2.7, Repeatable But
Intuitive.
3.4 Hasil DS4 Mengelola Bantuan Layanan dan Insiden
Respon yang tepat dan efektif terhadap IT user queries dan masalah yang
timbul, memerlukan perancangan serta pelaksanaan yang baik dari service desk
dan proses manajemen kecelakaan. Proses ini meliputi, pemasangan fungsi dari
service desk yaitu registrasi, proses peningkatan kecelakaan, analisa tren dan
akar masalah serta penyelesaiannya. Manfaat bisnis meliputi peningkatan
produktifitas melalui penyelesaian yang cepat dari user queries. Sementara itu,
bisnis dapat menjawab akar masalah yang ada dengan sistem pelaporan yang
efektif. Terdapat kesadaran dalam hal service desk function dan incident
management process. Tetapi pertolongan-pertolongan yang dilakukan terhadap
pertanyaan users maupun kendala-kendala users diberikan secara informal
berdasarkan atas pengetahuan individu masing-masing karyawan XC. Ada
training dan komunikasi secara formal dalam standar prosedur dan
tanggungjawab diserahkan untuk individu yang bersangkutan. Dari penjelasan
diatas, disimpulkan bahwa untuk proses DS8 yaitu mengelola bantuan layanan
dan insiden, rata-rata berada dilevel 2.4, Repeatable But Intuitive.
3.5 Hasil DS5 Mengelola Data
Efektifnya, pengaturan data akan memerlukan penentuan data yang
diperlukan. Proses pengaturan data juga meliputi penetapan prosedur yang
efektif untuk mengatur media library, backup dan recovery data, serta media
6
pemusnahan yang tepat. Pengaturan data yang efektif akan membantu menjamin
kualitas, timeliness dan ketersediaan data bisnis. Didalam XC data merupakan
salah satu hal yang paling fatal, ini semua dikarenakan Perusahaan tersebut
selain menjadi IT Consultant mereka juga menerima outsourcing payroll yang
isinya berupa seluruh data-data karyawan yang menggunakan produk mereka.
Oleh karena itu, data di XC mendapatkan perhatian yang lebih, mulai dari
disiapkannya storage server, satu komputer server guna menyimpan data juga,
dan lain-lain. Keamanan data users juga dilindungi oleh perjanjian hitam diatas
putih antara TC dengan para users dan untuk keamanan data dalam perusahaan
dibuat sedemikian rupa agar dimudah ditembus oleh parah orang-orang usil. Dan
yang mengatur dan mengawasi seluruh itu semuanya ada ditangan senior
management. Dari penjelasan diatas, disimpulkan bahwa untuk proses DS11
yaitu mengelola data, rata-rata berada dilevel 3.0, Defined Process.
3.6 Hasil DS6 Mengelola Fasilitas
Perlindungan untuk perlengkapan komputer dan personil memerlukan
rancangan dan pengaturan fasilitas fisik yang baik. Proses untuk mengatur
lingkungan fisik, meliputi penentuan keperluan physical sit, pemilihan fasilitas
yang sesuai serta perancangan proses-proses yang efektif untuk mengawasi
faktor-faktor lingkungan dan mengatur akses fisik. Untuk masalah perlindungan
fisik sebagian besar merupakan tanggungjawab masingmasing karyawan XC. Ini
dikarenakan sebagian besar karyawan menggunakan laptop untuk bekerja, dan
laptop tersebut sering dibawa pulang guna melanjutkan pekerjaan dirumah.
Untuk masalah dikantor seperti storage server tidak dilindungi oleh
perlindungan fisik apapun. Didalam perusahaan juga tidak terdapat perlindungan
anti-maling, kebakaran, atau sejenisnya. Dari penjelasan diatas, disimpulkan
bahwa untuk proses DS12 yaitu mengelola fasilitas, rata-rata berada dilevel 1.5,
initial / Ad Hoc.
7
Tabel 3.1 Hasil DS 12 Mengelola Fasilitas
Delivery and Support Level
DS 1 Menetapkan dan mengatur tingkat layanan
2.3
DS 2 Pengaturan layanan dengan pihak ketiga
2.4
DS 3 Memastikan ketersediaan layanan
2.7
DS 4 Mengelola bantuan layanan dan insiden
2.4
DS 5 Mengelola data 3.0
DS 6 Mengelola fasilitas 1.5
8
4. Kesimpulan
4.1 Kesimpulan
Tata kelola TI pada HIJ Cargo sudah dilakukan walaupun masih belum
berjalan secara optimal karena belum mencapai pada tingkat kematangan yang
diharapkan.
Tingkat kematangan (maturity level) pada setiap proses TI yang terdapat
dalam domain Acquire Implement (AI) Deliver Support (DS) rata - rata pada
level 2,83 dan level 2,56 yang masih berada pada level 2
Proses tata kellola TI di HIJ Company telah memiliki pola yang berulangkali
dilakukan. Dalam melakukan manajemen aktivitas terkait dengan tata kelola
teknologi informasi, namun keberadaannya belum terdefinisi secara baik dan
formal sehingga masih terjadi ketidak konsistenan.
9
DAFTAR PUSTAKA
[1] Revinggar, Bilqish Nadia., Tanuwijaya Haryanto., Mastan, Ignatius Adrian.,
“Audit Sistem Informasi Instalasi Rawat Jalan Berdasarkan Perspektif Pelanggan
Balanced Scorecard dan Standar Cobit 4.1 (Studi Kasus: Rumah Sakit Umum Haji
Surabaya)”, Sekolah Tinggi Manajemen Komputer & Teknik Komputer Surabaya.
[2] Harris, Ivan., Tarigan, Muara Laut Adong., Mawlan, Suwirno., “Analisis
Manajemen Risiko Pada Implementasi Sistem Informasi Keamanan di PT. Pupuk
Sriwidjaja Dengan Framework COBIT 4.1”, STMIK GI MDP.
[3] Sarno, Riyanarto. , 2009, “Audit Sistem & Teknologi Informasi” ITS Press,
Surabaya
[4] Surendro, Kridanto., 2005, “Implementasi Tata Kelola Teknologi Informasi”,
Jakarta, Informatika.
[5] Andry, J. F., 2016, “Audit Tata Kelola TI Menggunakan Kerangka Kerja
Cobit Pada Domain DS dan ME di Perusahaan Kreavi Informatika Solusindo”,
Seminar Nasional Teknologi Informasi dan Komunikasi, pp. 287-294.