8

BAB 2

LANDASAN TEORI

2.1. Pengertian Efektivitas

Menurut O’Brien (2003,p31), success should be also measure by the

efectiveness of information technology supporting an organization’s business

strategies, enabling it’s business processes enhaching it’s organizational structure

and culture, and increasing the customer and business value of enterprise. Yan g

berarti, kesuksesan seharusnya juga diukur oleh keefektifan dari teknologi informas i

yang mendukung strategi bisnis suatu perusahaan, menciptakan proses bisnisnya,

meningkatkan struktur dan kebudayaan organisasi dan meningkatkan jumlah

pelanggan serta nilai bisnis perusahaan tersebut.

Menurut http://mtsu32.mtsu.edu:11409/698-Delone&McLean-TenYearUpda

te.pdf, mengutip, Yankey dan McClellan (2003), Organizational effectiveness is the

extent to which an organization has met its stated goals and objectives and how well

it performed in the process, yang berarti efektivitas organisasi adalah besaran

ukuran dimana sebuah organisasi telah mencapai sasaran dan objektivitasnya dan

bagaimana hal tersebut dilakukan dalam prosesnya.

Menurut CobIT 4.1, To achieve effective governance, executives require that

controls be implemented by operational managers within a defined control

framework for all IT processes. COBIT’s IT control objectives are organised by IT

process; therefore, the framework provides a clear link among IT governance

requirements, IT processes and IT controls. Yang artinya untuk mencapai tata-

kelola perusahaan yang efektif , pihak eksekutif membutuhkan pengendalian yang

diimplementasikan oleh manajer operasional dimana kontrol didefinisikan untuk

9

kerangka kerja bagi semua proses TI. Pengendalian objektif COBIT telah diatur

oleh proses TI untuk itu kerangka kerja menyediakan keterkaitan yang jelas antara

kebutuhan pengendalian TI, proses TI , dan pengendalian TI.

2.2. Pengertian Sistem

Menurut Gondodiyoto dan Hendarti (2006, p94), Sistem adalah komponen

elemen-elemen atau sumber daya yang saling berkaitan secara terpadu, terintegrasi

dalam suatu hubungan hirarkis tertentu, dan bertujuan untuk mencapai tujuan

tertentu.

Menurut O’Brien (2005,p8), sistem adalah suatu kumpulan dari komponen

yang berhubungan yang bekerja bersama untuk mencapai suatu tujuan dengan

menerima input dan menghasilkan output melalui suatu proses transformasi.

Jadi, dapat disimpulkan bahwa sistem adalah kumpulan dari komponen-

komponen yang saling berhubungan satu dengan yang lainnya membentuk satu

kesatuan untuk mencapai tujuan tertentu.

2.3. Pengertian Informasi

Menurut O’Brien (2005, p13), informasi adalah data yang ditempatkan pada

suatu konteks yang berarti dan berguna untuk end user dari suatu sistem.

Menurut Gondodiyoto (2007, p110), Informasi adalah merupakan data yang

sudah diolah menjadi bentuk yang lebih berguna dan lebih berarti (bermanfaat) bagi

penerimanya, menggambarkan suatu kejadian dan kesatuan nyata yang dapat

dipahami dan dapat digunakan untuk pengambilan keputusan sekarang atau masa

depan.

10

Menurut McLeod, Jr. (2001, p4), Informasi adalah salah satu sumber daya

yang tersedia bagi menejer, yang dapat dikelola seperti hal sumber daya yang lain.

Informasi dari komputer dapat digunakan oleh para manajer, non menejer, serta

orang-orang dalam lingkungan perusahaan.

Jadi, dapat disimpulkan bahwa informasi adalah data yang sudah diproses

atau sudah mempunyai arti dan berguna untuk pihak yang berkepentingan.

2.4. Pengertian Sistem Informasi

O’Brein (2008,p6) mendefinisikan, “Information System can be any

organized combination of people, hardware, software, communication networks,

and data resource that collect, transform, disseminates information in an

organization”. Diterjemahkan Sistem Informasi adalah suatu kesatuan yang terdiri

dari manusia (brainware), perangkat keras (hardware), perangkat lunak (software),

jaringan komputer, dan sumber daya yang mengumpulkan, mentransformasikan dan

mendistribusikan informasi di dalam suatu organisasi.

Menurut Gondodiyoto (2007, p112), sistem informasi masih dapat

didefinisikan sebagai kumpulan elemen-elemen atau sumber daya dan jaringan

prosedur yang saling berkaitan secara terpadu, terintegrasi dalam suatu hubungan

hirearki tertentu dan bertujuan untuk mengolah data menjadi informasi.

Menurut Witten, Bantley & Bittman (2004, p12), sistem informasi adalah

peraturan, orang, data, proses dan teknologi informasi yang berinteraksi untuk

mengumpulkan, memproses, menyimpan, dan menyediakan sebagai output

informasi yang di perlukan untuk mendukung sebuah organisasi.

11

Jadi, dapat disimpulkan sistem informasi adalah sekumpulan komponen

yang saling bekerja sama didalam suatu organisasi untuk mengumpulkan,

memproses dan menyimpan informasi untuk mendukung proses pengambilan

keputusan.

2.5. Evaluasi

2.5.1. Pengertian Evaluasi

Menurut kamus bahasa Indonesia kontemporer (2002, p14),

evaluasi adalah kegiatan dengan sungguh mengamati, menimbang baik

buruknya suatu masalah yang dilakukan oleh suatu tim dan secara formal

dengan dasar-dasar tertentu kemudian memberikan penghargaan seberapa

bobotnya, kualitasnya atau kemampuannya.

Menurut Umar (2005,p36), evaluasi adalah suatu proses untuk

menyediakan Informasi tentang sejauh mana kegiatan tertentu telah dicapai,

bagaimana perbedaan pencapaian itu dengan suatu standar tertentu untuk

mengetahui apakah ada selisih diantara keduanya serta bagaimana manfaat

yang telah dikerjakan itu bila dibandingkan dengan harapan-harapan yang

ingin diperoleh.

Menurut Agoes (2004, p2), Evaluating adalah suatu pemeriksaan

yang dilakukan secara kritis dan sistematis oleh pihak independen, terhadap

laporan keuangan yang telah disusun oleh manajemen, beserta catatan-

catatan pembukuan dan bukti-bukti pendukungnya dengan tujuan untuk

memberikan pendapat mengenai kewajaran laporan keuangan tersebut.

12

Berdasarkan definisi diatas dapat disimpulkan bahwa evaluas i

adalah suatu proses pengumpulan data atau bukti yang kompeten yang

dilakukan oleh orang yang independen dan kompeten dibidangnya untuk

digunakan sebagai alat dalam penelusuran guna menentukan secara objektif

kehandalan informasi yang disampaikan oleh manajemen.

2.5.2. Jenis-jenis Evaluasi

Menurut Arens, Elder & Beasley (2003,p19-20), terdapat 3 (tiga) jenis

evaluasi yang dapat dibedakan dan dipahami, atas penjelasan menurut adalah

sebagai berikut :

1) Evaluasi Operasional

Adalah tinjauan atas bagian-bagian tertentu dari prosedur, serta

metode-metode operasional tertentu, yang bertujuan untuk mengevaluasi

suatu efesiensi dan efektivitas dari prosedur serta metode-metode

tersebut. Dimana pada saat suatu evaluasi operasional selesai

dilaksanakan, maka pihak manajemen pada umumnya mengharapkan

sejumlah rekomendasi, maupun saran, yang bertujuan untuk

meningkatkan kegiatan operasional perusahaan.

2) Evaluasi Kepatuhan

Adalah bertujuan untuk menentukan apakah klien (evaluating),

telah mengikuti prosedur, tata cara, serta peraturan yang dibuat oleh

otoritas yang lebih tinggi. Dimana temuan evaluasi kepatuhan umumnya

disampaikan pada seseorang didalam unit organisasi yang dievaluasi, dari

pada disampaikan pada suatu lingkup pengguna yang lebih luas.

13

3) Evaluasi atas Laporan Keuangan

Adalah evaluasi yang dilaksanakan untuk menentukan, apakah

seluruh laporan keuangan atau informasi yang diuji, telah dinyatakan

sesuai dengan kriteria tertentu. Dimana kriteria tersebut adalah

merupakan pernyataan standar akuntansi keuangan yang berlaku umum.

2.5.3. Prosedur Evaluasi

Menurut Umar (2005,p38), evaluasi pada umumnya memiliki

tahapan-tahapannya sendiri. Berikut penjelasan salah satu tahapan evaluasi

yang umumnya digunakan :

1) Menentukan apa yang akan dievaluasi.

Dalam bisnis, apa saja yang dapat dievaluasi, dapat mengacu pada

program kerja perusahaan. Di sana banyak terdapat aspek-aspek yang

kiranya dapat dan perlu dievaluasi. Tetapi biasanya yang di prioritaskan

untuk dievaluasi adalah hal-hal yang menjadi key-succeess factor –nya.

2) Merancang (desain) kegiatan evalusi.

Sebelum evaluasi dilakukan, tentukan terlebih dahulu desain

evaluasinya agar data apa saja yang dibutuhkan, tahapan-tahapan kerja

apa saja yang dilalui, siapa saja yang akan dilibatkan, serta apa saja

yang akan dihasilkan menjadi jelas.

3) Pengumpulan data.

Berdasarkan desain yang telah disiapkan, pengumpulan data dapat

dilakukan secara efektif dan efisien, yaitu sesuai dengan kaidah-kaidah

ilmiah yang berlaku dan sesuai dengan kebutuhan dan kemampuan.

14

4) Pengolahan dan analisis data.

Setelah data terkumpul, data tersebut diolah untuk dikelompokkan agar

mudah dianalisis dengan menggunakan alat-alat analisis yang sesuai,

sehingga dapat menghasilkan fakta yang dapat dipercaya. Selanjutnya,

dibandingkan antara fakta dan harapan/rencana untuk menghasilkan

gap. Besar gap akan sesuai dengan tolok ukur terttentu sebagai hasil

evaluasinya.

5) Pelaporan hasil evalusi.

Agar hasil evaluasi dapat dimanfaatkan bagi pihak-pihak yang

berkepentingan, hendaknya hasil evalusi didokumentasikan secara

tertulis dan diinformasikan baik secara lisan maupun tulisan.

6) Tindak lanjut evaluasi

Evaluasi merupakan salah satu bagian dari fungsi manajemen. Oleh

karena itu, hasil evaluasi hendaknya dimanfaatkan oleh manajemen

untuk mengambil keputusan dalam rangka mengatasi masalah

manajemen baik di tingkat strategi maupun di tingkat implementasi

strategi.

2.6. Pengendalian Internal

2.6.1. Pengertian Pengendalian Internal

Menurut Gondodiyoto dan Hendarti (2007, p.69-70), “Pengendalian

Internal digunakan dalam pengertian lebih luas, yaitu sebagai mekanisme

untuk mendukung kebijakan perusahaan, pengamanan aset perusahaan,

15

pendukung mutu organisasi dan sebagai persyaratan dicapainya tujuan

perusahaan”.

Menurut Rama dan Jones (2008, p132), pengendalian internal adalah

suatu proses, yang dipengaruhi oleh dewan direksi entitas, manajemen, dan

personel lainnya, yang dirancang untuk memberikan kepastian yang

beralasan terkait dengan pencapaian sasaran kategori sebagai berikut:

efektivitas dan efisiensi operasi; keandalan pelaporan keuangan; dan

ketaatan terhadap hukum dan peraturan yang berlaku.

2.6.2. Sifat-Sifat Pengendalian Internal

Menurut Gondodiyoto (2009, 137), pengendalian internal digolongkan

dalam preventive, detection, corrective :

a. Preventive control, yaitu pengendalian internal yang dirancang dengan

maksud untuk mengurangi kemungkinan (atau mencegah/menjaga jangan

sampai terjadi kesalahan, kekeliruan, kelalaian, error) maupun

penyalahgunaan (kecurangan, fraud)

b. Detection control, yaitu pengendalian yang didisain dengan tujuan agar

apabila data direkam (di-entry)/dikonfersi dari media sumber (media input)

untuk di transfer ke sistem komputer dapat dideteksi apabila terjadi

kesalahan (maksudnya tidak sesuai dengan kriteria yang ditetapkan).

c. Corrective control, ialah pengendalian yang sifatnya jika terdapat data yang

sebenarnya error tetapi tidak terdeteksi oleh program validasi, harus ada

prosedur yang jelas tentang bagaimana melakukan pembetulan terhadap data

16

yang salah dengan maksud untuk mengurangi kemungkinan kerugian atau

kesalahan/ penyalahgunaan tersebut sudah benar-benar terjadi.

2.6.3. Komponen Sistem Pengendalian Internal

Menurut Rama dan Jones (2008, p133), Terdapat lima komponen

pengendalian internal :

1. Lingkungan pengendalian

2. Aktivitaas pengendalian

3. Penilaian resiko

4. Informasi dan komunikasi

5. Pengawasan

2.6.4. Jenis-jenis Pengendalian Internal

2.6.4.1. Pengendalian Umum

Menurut Romney dan Steinbart (2003, p251), Pengendalian

umum adalah sistem pengendalian yang memastikan bahwa

lingkungan pengendalian perusahaan stabil dan teratur dengan baik

untuk meningkatkan keefektifan pengendalian aplikasi.

2.6.4.1.1. Pengendalian Sistem Operasi

Menurut James A. Hall (2002,p352), Sistem operasi

merupakan program kontrol yang dimiliki komputer. Sistem

ini memungkinkan para pemakai dan aplikasi-aplikasi

mereka untuk bersama-sama menggunakan dan mengakses

17

sumberdaya komputer, seperti prosesor, memori utama,

database, dan printer.

2.6.4.1.2. Pengendalian Manajemen Data

Menurut James A.Hall (2002,p363), pengendalian manajemen data

memiliki dua kategori umum: pengendalian atau kontrol akses dan

pengendalian atau kontrol pendukung (backup). Kontrol akses dirancang

untuk mencegah individu-individu yang tidak memiliki otorisasi untuk

memeriksa, mengambil, merusak atau mengkorupsi data organisasi. Kontrol

pendukung (backup) memastikan bahwa dalam peristiwa hilangnya data

karena akses yang tidak sah, kegagalan peralatan, atau bencana fisik,

organisasi dapat memulihkan file-file database.

2.6.4.2. Pengendalian Aplikasi

Menurut James A.Hall (2002, p428), Pengendalian aplikasi berkenaan

dengan eksposur-eksposure dalam aplikasi tertentu, seperti sistem pembayaran

gaji, pembelian, dan sistem pengeluaran kas.r Kontrol-kontrol aplikasi yang

dapat berupa tindakan atau prosedur manual yang diprogram dalam sebuah

aplikasi.

2.6.4.2.1. Pengendalian Input

Menurut James A. Hall (2002, p428), Komponen pengendalian

data dari sistem informasi bertanggung jawab untuk membawa data ke

dalam sistem untuk diproses. Pengendalian input pada tahap ini

18

memastikan bahwa transaksi-transaksi tersebut sah, akurat, dan lengkap.

Prosedur input data dapat berupa input yang digerakkan oleh dokumen

sumber (batch) atau input langsung (real-time). Kontrol-kontrol input di

bagi dalam kelas-kelas besar berikut ini :

1) Source document control

Dalam sistem yang menggunakan dokumen sumber untuk

memulai transaksi, harus dilakukan tindakan kontrol yang

cermat terhadap instrumen-instrumen ini. Organisasi harus

mengimplementasikan prosedur kontrol terhadap dokumen-

dokumen sumber untuk memperhatikan setiap dokumen,

seperti: menggunakan dokumen sumber yang sebelumnya telah

diberi nomer urut, menggunakan dokumen sumber secara

berurutan, dan mengaudit dokumen sumber secara berkala.

2) Data coding control

Pengendalian atau kontrol pengkodean merupakan pemeriksaan

terhadap integritas kode-kode data yang digunakan dalam

pemrosesan.

3) Validation Control

Kontrol validasi bertujuan untuk mendeteksi kesalahan dalam

data transaksi sebelum data sudah di proses. Prosedur validasi

menjadi prosedur yang paling efektif ketika mereka dilakukan

sedekat mungkin dengan transaksi.

19

4) Input Error Corection

Ketika di deteksi terdapat kesalahan dalam sebuah

batch, mereka harus dikoreksi dan record dimasukan kembali

untuk di proses ulang.

2.6.4.2.2. Pengendalian Proses

Menurut James A. Hall (2002, p444), Setelah menjalani tahap input

data, transaksi-transaksi memasuki tahap pemrosesan dari sebuah sistem.

Kontrol pemrosesan dibagi menjadi tiga kategori :

a. Run-to-run Control

Kontrol run-to-run menggunakan angka-angka batch untuk mengawasi

batch seakan-akan ia bergerak dari satu prosedur yang terprogram (run)

ke prosedur terprogram lainnya.

b. Operator Intervention Control

Intervensi operator meningkatkan kemungkinan kesalahan manusia.

sistem yang dibatasi intervensi operator melalui kontrol intervensi

operator karenanya tidak banyak mengalami kesalahan pemrosesan.

c. Audit Trail Control

Pelestarian sebuah jejak audit merupakan salah satu tujuan penting dalam

kontrol proses. Dalam sebuah akuntansi, setiap akuntansi harus dicatat

melalui setiap tahap pemrosesan dari sumber ekonomisnya ke

penyajiannya dalam laporan keuangan. Dalam suatu lingkungan SIBK

(Sistem Informasi Berbasis Komputer), Jejak audit bisa begitu terpecah-

pecah dan sulit diikuti. Oleh karena itu menjadi penting bahwa setiap

20

operasi utama diterapkan pada transaksi dan seluruhnya telah

didokumentasikan.

2.6.4.2.3. Pengendalian Output

Menurut James A. Hall (2002, p448), Teknik mengontrol tiap

fase dalam proses output adalah sebagai berikut :

a. Output spooling

b. Print programs

c. Bursting

d. Waste

e. Data control

f. Report distribution

g. End user control

2.7. Manajemen Proyek

Menurut Schwalbe (2007, p10), Manajemen proyek adalah ”the application

of knowledge, skills, tools, and technique to project activities to meet project

requirements”. Manajemen proyek adalah penerapan pengetahuan, skill, alat dan

teknik untuk proyek kegiatan untuk memenuhi persyaratan proyek.

Menurut Santosa (2003, p3), Menejemen Proyek adalah kegiatan

merencanakan, mengorganisasikan, mengarahkan dan mengendalikan sumberdaya

organisasi perusahaan untuk mencapai tujuan tertentu dalam waktu tertentu dengan

sumberdaya tertentu.

21

2.7.1. Proses yang Berkaitan Dengan Manajemen Proyek

Menurut Schwalbe (2007, p80-81), Manajemen proyek adalah sebuah

upaya yang terintegratif, keputusan dan tindakan yang diambil dalam satu

bidang pengetahuan pada waktu tertentu, biasanya mempengaruhi bidang

pengetahuan lain. Mengelola interaksi ini sering membuat trade-off antara

lingkup proyek, waktu dan biaya pada manajemen proyek. Seorang manajer

proyek mungkin perlu membuat trade-off antara daerah-daerah lain, seperti

antara resiko dan sunber daya manusia. Akibatnya, kita dapat melihat

manajemen proyek sebagai sejumlah proses yang terkait. Proses yang

berkaitan dengan manajemen proyek adalah :

1. Proses Inisiasi

Proses dari serangkaian tindakan yang diarahkan kepada hasil tertentu.

Kemajuan proses manajemen proyek tergantung dari kegiatan inisiasi

perencanaan, pelaksanaan, monitoring, pengendalian dan penutup.

Dimulai dari proses pendefinisian dan pengotorisasisan sebuah proyek.

Untuk memulai sebuah proyek, seseorang harus mensponsori peoyek dan

seseorang harus mengambil peran manajer proyek. Akan ada fase proyek

yang berbeda, tapi semua proyek akan mencakup lima proses kelompok.

2. Proses Perencanaan

Ada beberapa rencana, seperti rencana pengelolaan ruang lingkup,

rencana pengelolaan jadwal, rencana pengelolaan biaya, rencana

pengelolaan resiko, dan sebagainya, mendefinisikan setiap bidang

pengetahuan yang berhubungan dengan proyek pada titik tersebut.

22

3. Proses Pelaksanaan

Meliputi koordinasi orang-orang dan sumber daya lain untuk

melaksanakan berbagai rencana dan menghasilkan produk, jasa, atau hasil

dari proyek.

4. Proses Pengawasan dan Pengendalian

Proses ini secara teratur mengukur dan memantau kemajuan untuk

memastikan bahwa tim proyek memenuhi tujuan proyek. Manajer proyek

dan staff memonitor dan mengukur kemajuan terhadap rencana dan

mengambil tindakan korektif yang diperlukan.

5. Proses Penutupan

Memformalkan proses penutupan meliputi penerimaan proyek atau fase

proyek dan berakhir dengan efisien. Administrasi kegiatanini sering

terlibat dalam proses ini, seperti pengelompokan pengarsipan file proyek,

menutup kontrak, mendokumentasikan pelajaran yang diperoleh, dan

menerima penerimaan resmi yang dikirimkan sebagai bagian dari fase

proyek.

2.8. Diagram Aliran Data

2.8.1. Overview Activity Diagram

Menurut Rama & Jones (2008, p79), Overview diagram menyajikan

suatu pandangan tingkat tinggi dari proses bisnis dengan

mendokumentasikan kejadian-kejadian penting, urutan kejadian-kejadian,

dan aliran informasi antar kejadian.

23

Langkah – langkah membuat Overview Activity Diagram:

1. Membaca uraian narasi dan mengidentifikasikan kejadian penting.

2. Membubuhi keterangan pada narasi agar lebih jelas menunjukkan

batasan kejadian dan nama-nama kejadian.

3. Menunjukkan agen internal yang bertanggung jawab yang terlibat

didalam proses bisnis dengan menggunakan swimlanes.

4. Membuat diagram untuk masing-masing kejadian

5. Menggambar dokumen yang dibuat dan digunakan di dalam proses

bisnis. Tungjukkan arus informasi dari kejadian ke dokumen, dan

sebaliknya.

6. Menggambar table (file) yang dibuat dan digunakan di dalam proses

bisnis. Tunjukkan arus informasi dari kejadian ke tabel dan sebaliknya.

2.8.2. Detailed Activity Diagram

Menurut Jones dan Rama (2008, p80), Detailed diagram sama

dengan peta dari sebuah kota. Diagram ini menyediakan suatu penyajian

yang lebih detail dari aktivitas yang berhubungan dengan satu atau dua

kejadian yang ditunjukkan pada overview activity diagram.

Langkah-langkah untuk membuat Detailed Activity Diagram.

1. Tambah penjelasan naratif untuk menunjukkan aktivitas.

2. Buatlah tabel arus kerja

3. Identifikasikan diagram terperinci yang diperlukan

4. Untuk setiap detailed activity diagram, lakukan beberapa langkah

pendahuluan sebagai berikut:

24

a. Buatlah swimlane untuk agen-agen yang terlibat pada satu atau

beberapa kejadian yang ditunjukkan pada detailed diagram.

b. Tambahkan segi empat panjang untuk setiap aktivitas di dalam

kejadian yang didokumentasikan pada detailed diagram tersebut.

c. Gunakan segi empat panjang untuk setiap aktivitas di dalam

kejadian yang di dokumentasikan pada detailed activity diagram.

d. Atur dokumen yang dibuat atau digunakan oleh aktivitas-aktivitas

di dalam diagram itu.

e. Gunakan garis putus-putus untuk menghubungkan aktivitas dan

dokumen.

f. Dokumentasikan setiap tabel yang dibuat, di modifikasi, atau

digunakan oleh aktivitas dalam diagram yang ada dalam kolom

komputer,

g. Gunakan garis putus-putus untuk menghubungkan aktivitas dan

tabel.

Symbol-simbol Activity Diagram.

1) Lingkaran penuh, memulai proses dalam suatu diagram aktivitas.

2) Segi empat panjang . kejadian, aktivitas, atau pemicu.

3) Garis tidak terputus. Urutan dari satu kejadian atau aktivitas ke yang

berikutnya.

4) Garis putus-putus dengan panah digunakan untuk menunjukkan aliran

informasi antar kejadian.

5) Dokumen. Menunjukkan dokumen sumber atau laporan.

6) Berlian. Sebuah cabang.

25

7) Tabel. Suatu file komputer dari mana data bias dibaca atau di rekam

selama kejadian bisnis.

8) Catatan. Memberikan acuan bagi pembaca pada diagram atau dokumen

lain untuk perincianya.

9) Symbol mata banteng menunjukkan akhir dari proses.

2.9. CobIT

2.9.1. Pengertian CobIT

Menurut Gondodiyoto (2007, p153), CobIT adalah sekumpulan

dokumentasi best practices untuk IT governance yang dapat membantu

auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara

resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis TI.

COBIT describes IT processes and associated control objectives,

management guidelines (activities, accountabilities, responsibilities and

performance metrics), and maturity models. Additionally, it supports

enterprise management in the development, implementation, continuous

improvement and monitoring of good IT-related practices.

2.9.2. Kriteria Kerja CobIT

Menurut Gondodiyoto, 2007 (p153), sumberdaya TI merupakan suatu

elemen yang sangat disoroti CobIT, termasuk pemenuhan kebutuhan bisnis

terhadap: efektivitas, efisiensi, kerahasiaan, keterpaduan, ketersedian,

kepatuhan pada kebijakan/aturan dan keandalan informasi. Kriteria kerja

CobIT meliputi :

26

Tabel 2.1KriteriaKerja COBIT

Efekti fitas Untuk memperoleh informasi yang rel evan dan berhubungan

dengan proses bisnis seperti penyampaian informasi dengan

benar, konsisten, dapat dipercaya dan tepat waktu.

Efisiensi Memfokuskan pada ketentuan informasi melalui penggunaan

sumber daya yang optimal.

Kerahasiaan Memfokuskan proteksi terhadap informasi yang penting dari

orang yang tidak memiliki hak otorisasi.

Integritas Berhubungan dengan keakuratan dan kel engkapan informasi

sebagai kebenaran yang sesuai dengan harapan dan nilai bisnis.

Ketersediaan Berhubungan dengan informasi yang tersedia ketika diperlukan

dalam proses bisnis sekarang dan yang akan datang.

Kepatuhan Sesuai menurut hukum, peraturan dan rencana perj anjian untuk

proses bisnis.

Keakuratan

Informasi

Berhubungan dengan ket entuan kecocokan informasi untuk

manajemen mengoperasikan entitas dan mengukur pel atihan

keuangan dan kelengkapan laporan pertanggung jawaban.

2.9.3. Kerangka Kerja CobIT

Menurut Gondodiyoto (2007, p157) Kerangka kerja CobIT terdiri atas

beberapa arahan (guidelines), tujuan pengendalian tingkat-tinggi (high-level

control objectives) yang tercermin dalam empat domain, yaitu: planing &

organization, acquisition & implementation, delivery & suport dan

monitoring.

27

1) Planing & Organization

Yaitu mencakup pembahasan tentang identifikasi dan strategi

investasi TI yang dapat memberikan yang terbaik untuk mendukung

pencapaian tujuan bisnis. Selanjutnya identifikasi dan visi strategi perlu

direncanakan, dikomunikasikan, dan diatur pelaksanaannya (dari segi

perspektif).

2) Acquisition & implementation

Yaitu untuk merealisasi strategi TI, perlu diatur kebutuhan TI,

diidentifikasi, dikembangkan, atau diimplementasikan secara terpadu

dalam proses bisnis perusahaan.

3) Delivery & suport

Domain ini lebih dipusatkan pada ukuran tentang aspek dukungan

TI terhadap kegiatan operasional bisnis (tingkat jasa layanan TI akutual

atau servis level) dan aspek urutan (prioritas implementasi dan untuk

pelatihannya).

4) Monitoring

Yaitu semua proses TI yang perlu dinilai secara berkala agar

kualitas dan tujuan dukungan TI tercapai, dan kelengkapannya

berdasarkan pada syarat kontrol internal yang baik.

28

2.9.3.1. Control Objectives

Domain Plan and Organise

PO1 Define a Strategic IT Plan

IT strategic planning is required to manage and direct all IT resources in

line with the business strategy and priorities. The IT function and business

stakeholders are responsible for ensuring that optimal value is realised from

project and service portfolios. The strategic plan improves key stakeholders’

understanding of IT opportunities and limitations, assesses current

performance, identifies capacity and human resource requirements, and

clarifies the level of investment required. The business strategy and

priorities are to be reflected in portfolios and executed by the IT tactical

plan(s), which specifies concise objectives, action plans and tasks that are

understood and accepted by both business and IT.

PO2 Define the Information Architecture

The information systems function creates and regularly updates a business

information model and defines the appropriate systems to optimise the use of

this information. This encompasses the development of a corporate data

dictionary with the organisation’s data syntax rules, data classification

scheme and security levels. This process improves the quality of

management decision making by making sure that reliable and secure

information is provided, and it enables rationalising information systems

resources to appropriately match business strategies. This IT process is also

needed to increase accountability for the integrity and security of data and

29

to enhance the effectiveness and control of sharing information across

applications and entities.

PO3 Determine Technological Direction

The information services function determines the technology direction to

support the business. This requires the creation of a technological

infrastructure plan and an architecture board that sets and manages clear

and realistic expectations of what technology can offer in terms of products,

services and delivery mechanisms. The plan is regularly updated and

encompasses aspects such as systems architecture, technological direction,

acquisition plans, standards, migration strategies and contingency. This

enables timely responses to changes in the competitive environment,

economies of scale for information systems staffing and investments, as well

as improved interoperability of platforms and applications.

PO4 Define the IT Processes, Organisation and Relationships

An IT organisation is defined by considering requirements for staff, skills,

functions, accountability, authority, roles and responsibilities, and

supervision. This organisation is embedded into an IT process framework

that ensures transparency and control as well as the involvement of senior

executives and business management. A strategy committee ensures board

oversight of IT, and one or more steering committees in which business and

IT participate determine the prioritisation of IT resources in line with

business needs. Processes, administrative policies and procedures are in

place for all functions, with specific attention to control, quality assurance,

risk management, information security, data and systems ownership, and

30

segregation of duties. To ensure timely support of business requirements, IT

is to be involved in relevant decision processes.

PO5 Manage the IT Investment

A framework is established and maintained to manage IT-enabled

investment programmes and that encompasses cost, benefits, prioritisation

within budget, a formal budgeting process and management against the

budget. Stakeholders are consulted to identify and control the total costs and

benefits within the context of the IT strategic and tactical plans, and initiate

corrective action where needed. The process fosters partnership between IT

and business stakeholders; enables the effective and efficient use of IT

resources; and provides transparency and accountability into the total cost

of ownership (TCO), the realisation of business benefits and the ROI of IT-

enabled investments.

PO6 Communicate Management Aims and Direction

Management develops an enterprise IT control framework and defines and

communicates policies. An ongoing communication programme is

implemented to articulate the mission, service objectives, policies and

procedures, etc., approved and supported by management. The

communication supports achievement of IT objectives and ensures

awareness and understanding of business and IT risks, objectives and

direction. The process ensures compliance with relevant laws and

regulations.

31

PO7 Manage IT Human Resources

A competent workforce is acquired and maintained for the creation and

delivery of IT services to the business. This is achieved by following defined

and agreed-upon practices supporting recruiting, training, evaluating

performance, promoting and terminating. This process is critical, as people

are important assets, and governance and the internal control environment

are heavily dependent on the motivation and competence of personnel.

PO8 Manage Quality

A QMS is developed and maintained that includes proven development and

acquisition processes and standards. This is enabled by planning,

implementing and maintaining the QMS by providing clear quality

requirements, procedures and policies. Quality requirements are stated and

communicated in quantifiable and achievable indicators. Continuous

improvement is achieved by ongoing monitoring, analysis and acting upon

deviations, and communicating results to stakeholders. Quality management

is essential to ensure that IT is delivering value to the business, continuous

improvement and transparency for stakeholders.

PO9 Assess and Manage IT Risks

A risk management framework is created and maintained. The framework

documents a common and agreed-upon level of IT risks, mitigation

strategies and residual risks. Any potential impact on the goals of the

organisation caused by an unplanned event is identified, analysed and

assessed. Risk mitigation strategies are adopted to minimise residual risk to

an accepted level. The result of the assessment is understandable to the

32

stakeholders and expressed in financial terms, to enable stakeholders to

align risk to an acceptable level of tolerance.

PO10 Manage Projects

A programme and project management framework for the management of all

IT projects is established. The framework ensures the correct prioritisation

and co-ordination of all projects. The framework includes a master plan,

assignment of resources, definition of deliverables, approval by users, a

phased approach to delivery, QA, a formal test plan, and testing and post-

implementation review after installation to ensure project risk management

and value delivery to the business. This approach reduces the risk of

unexpected costs and project cancellations, improves communications to and

involvement of business and end users, ensures the value and quality of

project deliverables, and maximises their contribution to IT-enabled

investment programmes.

Domain Acquire and Implement

AI1 Identify Automated Solutions

The need for a new application or function requires analysis before

acquisition or creation to ensure that business requirements are satisfied in

an effective and efficient approach. This process covers the definition of the

needs, consideration of alternative sources, review of technological and

economic feasibility, execution of a risk analysis and cost-benefit analysis,

and conclusion of a final decision to ‘make’ or ‘buy’. All these steps enable

organisations to minimise the cost to acquire and implement solutions whilst

ensuring that they enable the business to achieve its objectives.

33

AI2 Acquire and Maintain Application Software

Applications are made available in line with business requirements. This

process covers the design of the applications, the proper inclusion of

application controls and security requirements, and the development and

configuration in line with standards. This allows organisations to properly

support business operations with the correct automated applications.

AI3 Acquire and Maintain Technology Infrastructure

Organisations have processes for the acquisition, implementation and

upgrade of the technology infrastructure. This requires a planned approach

to acquisition, maintenance and protection of infrastructure in line with

agreed-upon technology strategies and the provision of development and test

environments. This ensures that there is ongoing technological support for

business applications.

AI4 Enable Operation and Use

Knowledge about new systems is made available. This process requires the

production of documentation and manuals for users and IT, and provides

training to ensure the proper use and operation of applications and

infrastructure.

AI5 Procure IT Resources

IT resources, including people, hardware, software and services, need to be

procured. This requires the definition and enforcement of procurement

procedures, the selection of vendors, the setup of contractual arrangements,

and the acquisition itself. Doing so ensures that the organisation has all

required IT resources in a timely and cost-effective manner.

34

AI6 Manage Changes

All changes, including emergency maintenance and patches, relating to

infrastructure and applications within the production environment are

formally managed in a controlled manner. Changes (including those to

procedures, processes, system and service parameters) are logged, assessed

and authorised prior to implementation and reviewed against planned

outcomes following implementation. This assures mitigation of the risks of

negatively impacting the stability or integrity of the production environment.

AI7 Install and Accredit Solutions and Changes

New systems need to be made operational once development is complete.

This requires proper testing in a dedicated environment with relevant test

data, definition of rollout and migration instructions, release planning and

actual promotion to production, and a post-implementation review. This

assures that operational systems are in line with the agreed-upon

expectations and outcomes.

Domain Deliver and Support

DS1 Define and Manage Service Levels

Effective communication between IT management and business customers

regarding services required is enabled by a documented definition of and

agreement on IT services and service levels. This process also includes

monitoring and timely reporting to stakeholders on the accomplishment of

service levels. This process enables alignment between IT services and the

related business requirements.

35

DS2 Manage Third-party Services

The need to assure that services provided by third parties (suppliers,

vendors and partners) meet business requirements requires an effective

third-party management process. This process is accomplished by clearly

defining the roles, responsibilities and expectations in third-party

agreements as well as reviewing and monitoring such agreements for

effectiveness and compliance. Effective management of third-party services

minimises the business risk associated with non-performing suppliers.

DS3 Manage Performance and Capacity

The need to manage performance and capacity of IT resources requires a

process to periodically review current performance and capacity of IT

resources. This process includes forecasting future needs based on

workload, storage and contingency requirements. This process provides

assurance that information resources supporting business requirements are

continually available.

DS4 Ensure Continuous Service

The need for providing continuous IT services requires developing,

maintaining and testing IT continuity plans, utilising offsite backup storage

and providing periodic continuity plan training. An effective continuous

service process minimises the probability and impact of a major IT service

interruption on key business functions and processes.

36

DS5 Ensure Systems Security

The need to maintain the integrity of information and protect IT assets

requires a security management process. This process includes establishing

and maintaining IT security roles and responsibilities, policies, standards,

and procedures. Security management also includes performing security

monitoring and periodic testing and implementing corrective actions for

identified security weaknesses or incidents. Effective security management

protects all IT assets to minimise the business impact of security

vulnerabilities and incidents.

DS6 Identify and Allocate Costs

The need for a fair and equitable system of allocating IT costs to the

business requires accurate measurement of IT costs and agreement with

business users on fair allocation. This process includes building and

operating a system to capture, allocate and report IT costs to the users of

services. A fair system of allocation enables the business to make more

informed decisions regarding the use of IT services.

DS7 Educate and Train Users

Effective education of all users of IT systems, including those within IT,

requires identifying the training needs of each user group. In addition to

identifying needs, this process includes defining and executing a strategy for

effective training and measuring the results. An effective training

programme increases effective use of technology by reducing user errors,

increasing productivity and increasing compliance with key controls, such

as user security measures.

37

DS8 Manage Service Desk and Incidents

Timely and effective response to IT user queries and problems requires a

well-designed and well-executed service desk and incident management

process. This process includes setting up a service desk function with

registration, incident escalation, trend and root cause analysis, and

resolution. The business benefits include increased productivity through

quick resolution of user queries. In addition, the business can address root

causes (such as poor user training) through effective reporting.

DS9 Manage the Configuration

Ensuring the integrity of hardware and software configurations requires the

establishment and maintenance of an accurate and complete configuration

repository. This process includes collecting initial configuration

information, establishing baselines, verifying and auditing configuration

information, and updating the configuration repository as needed. Effective

configuration management facilitates greater system availability, minimises

production issues and resolves issues more quickly.

DS10 Manage Problems

Effective problem management requires the identification and classification

of problems, root cause analysis and resolution of problems. The problem

management process also includes the formulation of recommendations for

improvement, maintenance of problem records and review of the status of

corrective actions. An effective problem management process maximises

system availability, improves service levels, reduces costs, and improves

customer convenience and satisfaction.

38

DS11 Manage Data

Effective data management requires identifying data requirements. The data

management process also includes the establishment of effective procedures

to manage the media library, backup and recovery of data, and proper

disposal of media. Effective data management helps ensure the quality,

timeliness and availability of business data.

DS12 Manage the Physical Environment

Protection for computer equipment and personnel requires well-designed

and well-managed physical facilities. The process of managing the physical

environment includes defining the physical site requirements, selecting

appropriate facilities, and designing effective processes for monitoring

environmental factors and managing physical access. Effective management

of the physical environment reduces business interruptions from damage to

computer equipment and personnel.

DS13 Manage Operations

Complete and accurate processing of data requires effective management of

data processing procedures and diligent maintenance of hardware. This

process includes defining operating policies and procedures for effective

management of scheduled processing, protecting sensitive output,

monitoring infrastructure performance and ensuring preventive maintenance

of hardware. Effective operations management helps maintain data integrity

and reduces business delays and IT operating costs.

39

Domain Monitor and Evaluate

ME1 Monitor and Evaluate IT Performance

Effective IT performance management requires a monitoring process. This

process includes defining relevant performance indicators, reporting

performance in a timely and systematic manner, and acting promptly upon

deviations. Monitoring is needed to make sure that the right things are done

and are in line with the set directions and policies.

ME2 Monitor and Evaluate Internal Control

Establishing an effective internal control programme for IT requires a well-

defined monitoring process. This process includes the monitoring and

reporting of control exceptions, results of self-assessments and third-party

reviews. A key benefit of internal control monitoring is to provide assurance

regarding effective and efficient operations and compliance with applicable

laws and regulations.

ME3 Ensure Compliance With External Requirements

Effective oversight of compliance requires the establishment of a review

process to ensure compliance with laws, regulations and contractual

requirements. This process includes identifying compliance requirements,

optimising and evaluating the response, obtaining assurance that the

requirements have been complied with and, finally, integrating IT’ s

compliance reporting with the rest of the business.

ME4 Provide IT Governance

Establishing an effective governance framework includes defining

organisational structures, processes, leadership, roles and responsibilities to

40

ensure that enterprise IT investments are aligned and delivered in

accordance with enterprise strategies and objectives.

2.9.4. Maturity Models

Maturity model adalah suatu cara untuk mengukur bagaimana suatu

proses manajemen telah dilakukan. Secara umum, maturity model berguna

untuk memampukan perusahaan melakukan branch marking dan identifikasi

pembaharuan yang dilakukan. Keuntungan dari pendekatan maturity model

ini adalah kemudahan bagi manajemen untuk menempatkan dirinya pada

skala tertentu dan menghargai apa yang perlu diikutsertakan jika

peningkatan performa diperlukan. Model akan membantu para profesional

untuk menjelaskan kepada para manajer dimana manajemen proses TI

muncul dan menetapkan target dimana perusahaan harus ada. Maturity yang

dapat dipengaruhi oleh bussiness objective perusahaan, lingkungan

operasional, dan praktik industri. Setiap proses pada CobIT terdapat skala

penilaian berdasarkan deskripsi maturity model secara umum dibawah ini:

1) Level 0 – Non existent

Benar-benar kurang proses yang sepenuhnya diketahui perusahaan.

Perusahaan bahkan belum mengenali isu yang harus dihadapi

2) Level 1 – Initial

Ada bukti bahwa perusahaan telah menganali isu-isu yang ada dan harus

diselesaikan. Namun tidak ada proses yang terstandarisasi dan ada

beberapa pendekatan yang bersifat ad-hoc yang cenderung diaplikasikan

pada kasus individual atau kasus per kasus.

41

3) Level 2 – Repeatable

Proses telah dikembangkan pada tahap dimana prosedur yang sama

diikuti oleh beberapa orang yang berbeda pada saat melakukan tugas

yang sama. Tidak ada pelatihan formal atau komunikasi tiap individu.

Ada kecenderungan untuk bertumpu pada pengetahuan individu

sehingga kesalan cenderung terjadi.

4) Level 3 – defined

Prosedur telah distandarisasi dan didokumentasi serta dikomunikasikan

melalui pelatihan. Namun hal ini diserahkan pelaksanaannya kepada

masing-masing individu untuk mengikutinya atau tidak, dan

pengimpangan sulit untuk dideteksi.

5) Level 4 – Managed

Adalah mungkin untuk memonitor dan mengukur kepatuhan terhadap

prosedur-prosedur dan melakukan suatu tindakan ketika suatu proses

tidak sesuai.

6) Level 5 – Optimised

Proses telah diperbaiki pada tingkat best practice berdasarkan pada hasil

dari peningkatan yang berkelanjutan dan maturity modelling dengan

perusahaan lain. TI digunakan pada cara yang terintegrasi ke arus kerja

yang telah terotomatisasi, menyediakan perangkat untuk meningkatkan

kualitas dan efektivitas sehingga membuat perusahaan cepat

beradaptasi.

42

Gambar 2.1 Graphic representation of maturiry model

2.9.5. Standar Audit S istem Informasi

Standard Audit Sistem Informasi menurut ISACA (Information

System Audit and Control Association) :

S1 Audit Charter

1. Tujuan, tanggung jawab, kewenangan dan akuntabilitas dari fungsi

audit sistem informasi atau penilaian audit sistem informasi harus

didokumentasikan dengan pantas dalam sebuah audit charter atau

perjanjian tertulis.

2. Audit charter atau perjanjian tertulis harus mendapat persetujuan dan

pengabsahan pada tingkatan yang tepat dalam organisasi.

S2 Independence

1. Professional Independence

Dalam semua permasalahan yang berhubungan dengan audit, auditor

sistem informasi harus independen terhadap auditee baik dalam sikap

maupun penampilan.

43

2. Organisational Independence

Fungsi audit sistem informasi harus independen tehadap area atau

aktivitas yang sedang diperiksa agar tujuan penilaian audit

terselesaikan.

S3 Professional Ethics and Standards

1. Auditor sistem informasi harus tunduk pada kode etika profesi dari

ISACA dalam melakukan tugas audit.

2. Auditor sistem informasi harus patuh pada penyelenggarakan profesi,

termasuk observasi terhadap standar audit profesional yang dipakai

dalam melakukan tugas audit.

S4 Professional Competence

1. Auditor sistem informasi harus seorang profesional yang kompeten,

memiliki keterampilan dan pengetahuan untuk melakukan tugas

audit.

2. Auditor sistem informasi harus mempertahankan kompetensi

profesionalnya secara terus menerus dengan melanjutkan edukasi dan

training.

S5 Planning

1. Auditor sistem informasi harus merencanakan peliputan audit sistem

informasi sampai pada tujuan audit dan tunduk pada standar audit

profesional dan hukum yang berlaku.

2. Audit sistem informasi harus membangun dan mendokumentasikan

resiko yang didasarkan pada pendekatan audit.

44

S6 Performance of Audit Work

1. Pengawasan-staff audit sistem informasi harus diawasi untuk

memberikan keyakinan yang masuk akal bahwa tujuan audit telah

sesuai dan standar audit profesional yang ada.

2. Bukti-Selama berjalannya audit, auditor sistem informasi harus

mendapatkan bukti yang cukup, layak dan relevan untuk mencapai

tujuan audit. Temuan audit dan kesimpulan didukung oleh analisis

yang tepat dan interprestasi terhadap bukti-bukti yang ada.

3. Dokumentasi-Proses audit harus didokumentasikan, mencakup

pelaksanaan kerja audit dan bukti audit untuk mendukung temuan

dan kesimpulan auditor sistem informasi.

S7 Reporting

1. Auditor sistem informasi harus menyajikan laporan, dalam pola yang

tepat, atas penyelesaian audit.

2. Laporan audit harus berisikan ruang lingkup, tujuan, periode

peliputan, waktu dan tingkatan kerja audit yang dilaksanakan.

3. Laporan audit harus berisikan temuan, kesimpulan dan

rekomendasikan serta berbagai pesan, kualifikasi atau batasan dalam

ruang lingkup bahwa auditor sistem informasi bertanggung jawab

terhadap audit.

4. Auditor sistem informasi harus memiliki bukti yang cukup dan tepat

untuk mendukung hasil pelaporan.

45

S8 Follow up Activities

Setelah laporan hasil audit yang mengemukakan temuan dan

rekomendasi, auditor SI harus mengevaluasi informasi yang relevan

untuk memperoleh keyakinan apakah tindak lanjut yang diperlukan (atas

rekomendasi) telah dilaksanakan oleh pihak manajemen sesuai jadwal

yang diusulkan (tepat waktu).

S9 Irregularities and Illegal Acts

1. Dalam perencanaan dan pelaksanaan audit untuk mengurangi resiko

audit, auditor harus mempertimbangkan resiko ketidakteraturan dan

illegal acts.

2. Auditor SI harus bersikap profesional skeptis dalam pelaksanaan

audit, paham kemungkinan misstatement yang material dapat saja

terjadi karena adanya irregularities dan illegal acts, diluar evaluasi

yang telah dilakukan.

3. Auditor SI harus memahami organisasi dan lingkungannya, termasuk

sistem pengendalian internal bidang yang diperiksa.

S10 IT Governance

1. Auditor sistem informasi harus meninjau dan menilai apakah fungsi

sistem informasi sesuai dengan misi organisasi, visi, nilai, objektif

dan strategi.

2. Auditor sistem informasi harus meninjau apakah fungsi sistem

informasi mempunyai pernyataan yang jelas mengenai kinerja yang

diharapkan dari bisnis (efektif dan efisiensi) dan menilai pencapaian

yang diperoleh.

46

3. Auditor sistem informasi harus meninjau dan menilai efektifitas dari

sumber sistem informasi dan kinerja proses manajemen.

4. Auditor sistem informasi harus meninjau dan menilai pelaksanaan

yang legal/sah, lingkungan dan kualitas informasi dan fiduciary dan

persyaratan keamanan.

5. Pendekatan secara resiko harus digunakan oleh auditor sistem

informasi untuk menilai fungsi sistem informasi.

6. Auditor sistem informasi harus meninjau dan menilai control

environment dari organisasi.

7. Auditor sistem informasi harus meninjau dan menilai resiko yang

mungkin merugikan pengaruh dari lingkungan sistem informasi.

S11 Use of Risk Assessment in Audit planning

1. Auditor sistem informasi harus menggunakan teknik penilaian resiko

yang tepat atau pendekatan dalam mengembangkan perencanaan

audit sistem informasi secara keseluruhan dan didalam prioritas

determinasi untuk alokasi yang efektif dari sumber audit sistem

informasi.

2. Ketika planning individual reviews, auditor sistem informasi harus

mengidentifikasi dan menilai resiko yang berkaitan dengan area yang

ditinjau.

S12 Audit Materiality

1. Auditor SI harus mempertimbangkan konsep materialitas dalam

hubungannya dengan resiko audit.

47

2. Dalam merencanakan audit, auditor SI mempertimbangkan

kelemahan-kelemahan potensial atau tidak adanya kontrol internal

dan apakah hal itu dapat mempunyai akibat yang signifikan pada SI.

3. Auditor SI harus mempertimbangkan dampak kumulatif dari

kelemahan atau ketiadaan pengendalian interen.

4. Laporan auditor SI harus mengungkapkan adanya pengendalian

interen yang lebih efektif atau tidak adanya pengendalian interen

(terhadap resiko tertentu) dan dampaknya.

S13 Using the Work of Other Experts

1. Auditor SI harus, jika memungkinkan, menggunakan hasil kerja

auditor atau tenaga ahli lain.

2. Auditor SI harus menilai kualifikasi profesional, kempetensi,

pengalaman yang relevan, sumber daya, independensi, dan proses

quality control dari ahli lain tersebut, sebelum menerima penugasan

audit.

3. Auditor SI harus meninjau, menilai dan mengevaluasi hasil kerja

tenaga ahli lain tersebut sebagai bagian dari audit dan menentukan

tingkat penggunaan atau mengesampingkan has il kerja tenaga lain

tersebut.

4. Auditor SI harus menentukan dan menyimpulkan apakah hasil kerja

tenaga ahli lain tersebut cukup memadai dan lengkap untuk

mendukung auditor SI menarik kesimpulan sesuai tujuan audit (dan

kesimpulan tersebut harus secara jelas didokumentasikan).

48

5. Auditor SI perlu melaksanakan prosedur pemeriksaan posedur

pemeriksaan tambahan untuk memperoleh bukti audit yang lebih

sufficient dan appropriate pada situasi dimana auditor berpendapat

bahwa bukti audit dari hasil kerja tenaga ahli lain tersebut tidak

cukup.

6. Auditor SI harus memberikan opini tentang kecukupan bukti audit

dan pembatasan ruang-lingkup pemeriksaan (jika ada), terkait

kelengkapan bukti audit yang diperoleh melalui pemeriksaan

tambahan.

S14 Audit Evidence

1. Auditor sistem informasi harus memperoleh bukti audit yang cukup

dan tepat untuk menarik kesimpulan yang masuk akal berdasarkan

hasil audit.

Auditor sistem informasi harus memeriksa kecukupan bukti audit yang

diperoleh selama audit.

2.9.6. Guideline Audit Sistem Informasi

Guideline Audit Sistem Informasi menurut ISACA (Information

System Audit and Control Association).

G1 Using the Work of Other Auditor and Experts

Isi pokok panduan :

Hak mengakses pekerjaan oleh auditor atau pakar lain. Auditor SI harus

mendapat keyakinan bahwa jika harus menggunakan hasil pekerjaan

49

auditor atau ahli lain untuk tujuan auditnya, maka hal itu harus jelas

diatur dalam audit charter (letter of engagement).

G2 Audit Evidence Requirement

Isi pokok panduan :

Dalam perencanaan audit, auditor SI harus menentukan tipe bukti audit

yang akan dikumpulkan dan digunakan untuk tujuan audit, serta tingkat

realibilitasnya.

G3 Use of Computer Assisted Audit Technique (CAATs)

Isi pokok panduan :

CAATs dapat menghasilkan banyak audit pada audit SI, karena itu

auditor harus merencanakan penggunaan CAATs dengan seksama.

CAATs juga dapat digunakan untuk mengerjakan berbagai prosedur

audit seperti uji transaksi / saldo, prosedur analistik, uji pengendalian

umum SI, uji pengendalian aplikasi SI, tes penetrasi.

G4 Outsourcing of IS Activities to Another Organisations

Isi pokok panduan :

1. Responsibilitas, otoritas dan akuntabilitas

2. Jika fungsi SI di-outsourced, pada audit charter harus tegas

mencakup hak auditor SI untuk review aggrement di antara pemakai

jasa dan auditor, melakukan pemeriksaan jika memang

dipertimbangkan perlu, dan melaporkan temuan, kesimpulan dan

rekomendasi.

50

G5 Audit Charter

Isi pokok panduan :

1. Mandat bagi audit SI untuk melaksanakan fungsinya harus jelas

tertuang pada uraian tugas pokok dan fungsi yang lazimnya disebut

audit charter.

2. Audit charter harus dengan jelas mencantumkan tiga aspek: tanggung

jawab, otoritas, dan akuntabilitas.

G6 Materiality Concepts for Auditing Information

Isi pokok panduan :

Tingkat materialitas adalah sepenuhnya auditor’s professional

judgement. Dalam menilai materialitas, auditor, atau aturan serta

kesalahan yang dapat diterima manajemen, auditor, atau aturan serta

dampak akumulasi kesalahan kecil yang bias menjadi material.

G7 Due Professional Care

Isi pokok panduan :

Due care ialah tingkat ketelitian / ketekunan / seksama seorang

professional secara berhati-hati dan kompeten bekerja dalam lingkungan

tertentu. Due professional care adalah keadaan seperti itu untuk profesi

atau keterampilan teknis tertentu, misalnya dalam audit SI.

G8 Audit Documentation

Isi pokok panduan :

Dokumentasi harus menyebutkan informasi yang diperlukan berkaitan

dengan hukum, regulasi, kebijakan perusahaan, dan standar professional

terkait, serta disusun dengan jelas, terstruktur, mudah dipahami.

51

G9 Audit Consideration for Irregularities

Isi pokok panduan :

Auditor SI harus memperhatikan audit charter atau letter of engagement

untuk memperjelas tanggung jawab auditor terkait dengan preventing,

detecting, dan reporting irregularities.

G10 Audit Samplin

Isi pokok panduan :

Dalam menarik kesimpulan auditor menggunakan data sampel, karena

tidak mungkin auditor memeriksa seluruh data. Karena itu auditor SI

harus merancang audit sample, prosedur audit dan evaluasi audit

sample yang layak dengan metode audit sampling.

G11 Effect of Pervasive IS Control

Isi pokok panduan :

CobIT mendefinisikan control sebagai kebijakan, prosedur, practices,

dan struktur organisasi, yang dirancang untuk memperoleh keyakinan

memadai bahwa tujuan organisasi akan tercapai, dan jika banyak

terdapat hal-hal yang tidak diinginkan dapat dicegah, dideteksi, dan

dikoreksi.

G12 Organizational Relationship and Independence

Isi pokok panduan :

Pengertian independen mencakup sikap dan perilaku sesuai kode etik

dan standar. Audit charter harus menjamin adanya independensi,

otoritas, dan akuntabilitas fungsi audit, semuanya diatur pada

manajemen organisasi.

52

G13 Use of Risk Assesment in Audit Planning

Isi pokok panduan :

Banyak metoda dan teknik penaksiran resiko, berbasis komputer/

manual, mulai dari sederhana (hanya dengan klasifikasi high, medium,

dan low berdasarkan auditor’s judgement). Sampai ke yang rumit

dengan “kalkulasi ilmiah” untuk menyusun numeric risk rating.

G14 Application Systems Review

Isi pokok panduan :

Salah satu bagian penting dalam audit planning adalah memahami

sestem informasi, tingkat kerumitan, dan ketergantungan proses bisnis

maupun kegiatan organisasi tersebut terhadap sistem informasinya.

Pengendalian intern system aplikasi menunjukkan tingkat resiko

berjalan dengan baik / tidaknya system aplikasi tersebut.

G15 Plannning Revised

Isi pokok panduan :

Auditor SI harus memahami arsitektur informasi yang diaudit serta

arah teknologi informasinya, melakukan risk assessment and

prioritization, menentukan lingkup pemeriksaan, dan melakukan

preliminary assessment of internal controls. Tingkat pemahaman

mengenai organisasi dan proses serta hal-hal lain yang berkaitan

dengan auditan bergantung pada tingkat detail pemeriksaan yang akan

dilakukan.

53

G16 Effect of Third Parties on an Organization’s IT Controls

Isi pokok panduan :

Auditor SI harus menilai kurang / tidak berfungsinya kontrol, pada

bidang kegiatan yang mana, dan apakah secara signifikan berpengaruh

terhadap lingkungan pengendalian intern.

G17 Effect of Nonaudit Role on the IS Auditor’s Independence

Isi pokok panduan :

Audit charter perlu mencantumkan kemungkinan pemberian tugas

non-audit kepada staf unit audit, dan dalam setiap penugasan auditor

harus yakin bahwa hal itu tidak melanggar aturan yang ada pada audit

charter.

G18 IT Governance

Isi pokok panduan :

IT Governance adalah salah satu domain didalam enterprise

governance. Karena TI sekarang dipandang bukan lagi hanya sebagai

alat pengolah data atau sekedar alat pelengkap organisasi bisnis,

melainkan bagian integral dari strategi perusahaan. Berdasarkan

pandangan itu maka korporasi perlu memperoleh keyakinan IT

governance, dan untuk itu diperlukan audit.

G19 Irregularities and Illegal Acts

Isi pokok panduan :

1. Fraud, berbagai hal bersifat kecurangan untuk memperoleh

keuntungan.

2. Manipulasi, pemalsuan, pengubahan data atau dokumen.

54

G20 Reporting

Isi pokok panduan :

Auditor SI harus membuat laporan hasil pemeriksaan yang disusun

dalam format yang tepat segera setelah selesai melakukan tugasnya.

G21 Enterprise Resource Planning (ERP) Systems Review

Isi pokok panduan :

ERP mendukung system operasi dan system informasi perusahaan,

tetapi di sisi lain mengandung risiko dan tantangan bagi organisasi:

lingkungan bisnis, perilaku organisasi, prosedur dan proses bisnis,

integritas data, system functionality, kelanjutan bisnis.

G22 Business to Consumer (B2C) E-Commerce Review

Isi pokok panduan :

Auditor SI harus menilai secara kritis tujuan EC, strategi, model,

tingkat persaingan dan posisi perusahaan, apakah EC merupakan

inisiatif baru atau merupakan kelanjutan bisnis yang sudah ada, tingkat

ketergantungan ekonomi perusahaan terhadap EC.

G23 Systems Development Life Cycle Review

Isi pokok panduan :

SDLC adalah rangkaian tahap prosedur pembangunan system berbasis

TI. Sistem dapat dibangun sendiri, dibeli (implementasi paket software

yang tanpa diubah-ubah lagi atau paket software yang dimodifikasi

sehingga bisa memenuhi keinginan kita), atau kombinasi.

55

G24 Internet Banking

Isi pokok panduan :

Auditor SI harus mengumpulkan informasi terkait tujuan internet

banking, strategi yang digunakan untuk mencapai tujuan, cara bank

menggunkan teknologi internet, dan hubungannya dengan customer.

Auditor SI harus menilai resiko-resiko seperti penilaian strategi dan

analisis resiko, integritas tujuan strategis perusahaan / bank, seleksi

dan manajemen infrastruktur teknologi.

G25 Review of Virtual Private Networks

Isi pokok panduan :

Auditor SI harus menetapkan pendekatan audit yang akan dilakukan,

hal ini bergantung tahap pre-implementasi, dalam proses

implementasi, atau post implementasi. Jika dalam pemeriksaan akan

digunakan bantuan ahli atau akan digunakan testing / monitoring tools,

perlu dikomunikasikan pada manajemen.

G26 Business Process Reenginering (BRP) Project Review

Isi pokok panduan :

Pengertian BRP adalah suatu pemikiran kembali secara mendasar

dengan redesain secara radikal terhadap proses bisnis agar terjadi

perbaikan yang dramatis dalam ukuran-ukuran kontemporer, seperti:

biaya, mutu, service dan speed.

56

G27 Mobile Computing

Isi pokok panduan :

Auditor SI harus memperhatikan risiko-risiko yang terkait dengan

mobile devices, terutama yang berkaitan dengan akses terhadap sistem/

data, dari connectivity, dan affordability mobile device meningkatkan

risiko.

G28 Computer Forensic

Isi pokok panduan :

Auditor SI harus membuat laporan yang antara lain memuat ruang

lingkup, tujuan, dan hakekat pemeriksaan, waktu dan tingkat

pemeriksaan yang dilakukan, temuan dan rekomendasi secara jelas,

organisasi/ pihak-pihak yang berhak menerima laporan tersebut, serta

pembatasan.

G29 Post-Implementation Review

Isi pokok panduan :

Laporan hasil review post implementasi seharusnya memuat antara

lain tujuan, ruang lingkup, asumsi, dan metodologi yang digunakan

dalam pemeriksaan, penilaian apakah tujuan implementasi tercapai,

penialian secara umum terhadap proses implementasi.

G30 Competence

Isi pokok panduan :

Auditor SI memelihara kemampuan dan pengetahuan mereka secara

berkelanjutan untuk memelihara tingkat kompetensi yang dapat

diterima. Hal ini dapat dilakukan melalui pendidikan professional yang

57

berkelanjutan meliputi: pelatihan, kursus pendidikan, program

sertifikasi, universitas, konferensi, seminar.

G31 Privacy

Isi pokok panduan :

1. Harus dicegah terjadinya deviation (penyimpangan) atau breaches

(pelanggaran) penggunaan informasi.

2. Tiap organisasi harus mengatur prosedur dan tanggung jawab yang

berkaitan dengan privacy.

3. Aturan umum yang harus patuhi ialah bahwa semua pihak

hendaknya hanta mengakses data yang terkait tugasnya.

4. Dibuat user identification dan access privileges

G32 Business Continuity Plan (BCP) Review From IT Perspective

Isi pokok panduan :

Auditor SI harus merumuskan area penting seperti proses bisnis dan

teknologi yang terkait dengan penilaian resiko, dan harus dapat

dijamin bahwa rencana kerja harus dapat dilaksanakan.

G33 General Considerations on the use of the Internet

Isi pokok panduan :

Auditor SI menilai resiko: ancaman yang dihadapi dan perubahan atau

perkembangannya, biaya jika terjadi masalah, tingkat kemungkinan

ada security incident, konsekuensi jika ada data yang dibajak, dan

lainnya.

58

G34 Responsibility, Authority and Accountability

Isi pokok panduan :

Auditor SI harus memiliki pengetahuan yang cukup untuk identifikasi

indikasi adanya kecurangan, bekerja secara seksama dan menggunakan

keterampilan yang diperlukan untuk bekerja secara kompeten dan

kehati - hatian professional jika menggunakan tenaga bantuan ahli lain

selalu evaluasi dengan cermat.

G35 Follow-up Activities

Isi pokok panduan :

Auditor SI harus membahas dengan manajemen mengenai tindak

lanjut atas rekomendasi, dan sebaiknya dibuat action plan, tindak

lanjut tersebut perlu dicatat sebagai management response. Jika terjadi

perbedaan pendapat atas rekomendasi atau komentar penyeimbang dari

pihak auditan, maka hal itu harus diungkapkan, dan bila perlu dengan

alas an masing - masing.

G36 Biometric Controls

Isi pokok panduan :

Identifikasi dan autentifikasi tradisional sebagai access controls.

Melakukan pemeriksaan terhadap seleksi dan pengadaan biometrics,

operasional dan pemeliharaan sistem biometric, kinerja system

biometric dll.

59

2.10. Pengertian Redmine

Redmine adalah aplikasi manajemen proyek yang dibuat menggunakan

framework Ruby on Rails. Redmine mendukung multiple project sehingga Redmine

bisa diinstal di perusahaan untuk mengelola semua proyek yang sedang berjalan.

Untuk pengelolaan proyek, Redmine memiliki Gantt chart dan Calendar

untuk mengelola dokumentasi proyek, serta menggunakan wiki yang sudah tersedia.

Tugas dibagikan pada team member dengan menggunakan konsep issue. Saat ini

Redmine dapat melihat isi repository Subversion, CVS, Mercurial, dan Darcs.

Dengan menggunakan aplikasi ini, berbagai aspek dalam manajemen proyek dapat

dikelola secara terpusat.

(http://endy.artivisi.com/blog/aplikasi/redmine/)

Fitur-fitur yang terdapat dalam redmine adalah sebagai berikut :

1) Multiple projects support

2) Flexible role based access control

3) Flexible issue tracking system

4) Gantt chart and calendar

5) News, documents & files management

6) Feeds & email notifications

7) Per project wiki

8) Per project forums

9) Time tracking

10) Custom fields for issues, time-entries, projects and users

11) SCM integration (SVN, CVS, Git, Mercurial, Bazaar and Darcs)

60

12) Issue creation via email

13) Multiple LDAP authentication support

14) User self-registration support

15) Multilanguage support

16) Multiple databases support