Embed Size (px)
Citation preview
Oleh:Dian Arisanti 09.41010.0233
AUDIT SISTEM INFORMASI DITINJAU DARI PERSPEKTIF KEUANGAN MENGGUNAKAN STANDAR COBIT 4.1 PADA
DIREKTORAT KEUANGAN PELABUHAN INDONESIA III
LATAR BELAKANGPT. Pelindo III
mengorganisir informasi yang diciptakan secara lokal akses informasi yang tersebar secara global
Sistem InformasiKeuangan Layanan
Bergerak dalam bidang perhubungan angkutan laut
Direktorat Keuangan
SI KEUANGAN
LATAR BELAKANGSelaras?
AUDIT SIBalanced Scorecard Ditinjau dari Perspektif Keuangan:
* tujuan keuangan fokus bagi tujuan-tujuan strategis* unit-unit bisnis tujuan keuangan strategi perusahaan
* ukuran-ukuran semua perspektif dalam Balanced Sorecard * sepuluh tujuan bisnis dan tujuan TI menurut survei ITGI
COBIT 4.1Dapat memberikan gambaran paling detail mengenai strategi dan pengaturan proses TI yang mendukung strategi bisnis
Standar
SI KEUANGAN TUJUAN BISNIS ORGANSASI
PERUMUSAN MASALAH
Bagaimana melaksanakan audit sistem informasi berdasarkan analisis proses-proses TI terhadap tingkat keselarasan tujuan TI dan tujuan bisnis
Bagaimana menganalisis temuan hasil audit sistem informasi berupa rekomendasi pada Direktorat Keuangan PT. Pelindo III.
Bagaimana membuat perencanaan dan melaksanakan audit sistem informasi pada Direktorat Keuangan PT. Pelindo III
BATASAN MASALAH Audit sistem informasi ini dibatasi oleh kegiatan sisteminformasi keuangan pada Direktorat Keuangan Kantor Pusat PT. Pelindo III, dan tidak membahas tentang sistem informasi yang berkaitan dengan cabang perusahaan.
Hasil temuan dan rekomendasi yang ada merupakan output dari audit sistem informasi yang ada pada Direktorat Keuangan PT. Pelindo III.
Tugas akhir ini hanya menggunakan standar COBIT 4.1 tanpa melakukan perbandingan dengan standar audit sistem informasi lainnya
TUJUANMembuat perencanaan dan melaksanakan audit sistem informasi pada Direktorat Keuangan PT. Pelindo III berdasarkan pada perspektif keuangan menggunakan standar COBIT 4.1
Melaksanakan audit sistem informasi berdasarkan analisis proses-proses TI terhadap tingkat keselarasan tujuan TI dan tujuan bisnis sesuai dengan hasil wawancara, kuesioner yang dibuat, analisis tingkat kebutuhan pengelolaan TI dan identifikasi terhadap risiko-risiko, penilaian hasil perhitungan maturity level yang digambarkan dengana jaring laba-laba dan dokumentasi temuan audit sistem informasi serta menyusun laporan hasil audit sistem informasi sebagai masukan Direktorat Keuangan.
Menganalisis temuan hasil audit sistem informasi untuk menghasilkan rekomendasi proses-proses sistem informasi pada Direktorat Keuangan PT. Pelindo III.
1
2
3
LANDASAN TEORISISTEM INFORMASI
SI dapat mempertemukan kebutuhan pengolahan transaksi harian, Mendukung operasi, bersifat manajerial, dan menyediakan pihak luar tertentu dengan laporan-laporan yang diperlukan (Davis, G.B dalam Jogiyanto, 1989)
Kumpulan sumber daya
Jaringan Prosedur
Berkaitan &
Integrasi
Mengolah Data Informasi(Gondodiyoto, 2007) Pengaliran Informasi
Komponen perusahaan
Komponenperusahaan
Organisasi
Mendukung
(Indrajit, 2000)
Aset Perusahaa
nBerkompetens
i
Kesuksesan
Tolok ukur
Rencana organisasi Pengoperasian SI(Maniah dan Surendro, 2005)
Peranan SI:• Mendukung operasi bisnis• Mendukung dalam pengambilan keputusan
manajerial• Meraih keuntungan strategik(Kristanto, 2003)
LANDASAN TEORIAUDIT SISTEM INFORMASI
Gondodiyoto, 2007 pemeriksaan terhadap aspek-aspek Teknologi Informasi (TI) pada sistem informasi. Audit dilakukan sesuai dengan ketentuan standar profesional
Djatmiko dalam Mukaromah, 2007 Audit Sistem Informasi digunakan untuk menilai proses penyampaian dan dukungan dalam pelayanan informasi
Gondodiyoto, 2007 audit sistem informasi dilakukan untuk memeriksa tingkat kematangan atau kesiapan suatu organisasi dalam melakukan pengelolaan TI, tingkat kepedulian (awareness) seluruh stakeholder (semua pihak terkait) tentang posisi sekarang dan arah yang diinginkan dimasa depan bidang TI pada suatu organisasi atau perusahaan.
LANDASAN TEORITujuan Bisnis
Tujuan bisnis
Strrategi bisnis
Rangkaian kegiatan yg terintegrasi
Tujuan perusahaan
(Edwards, 1995) Tujuan bisnis akan dicapai dan kejadian-kejadian yang tidak diinginkan akan dapat dicegah, dideteksi atau dikoreksi (Sarno, 2009).
Menurut Indrajit (2000) menyatakan bahwa strategi bisnis merupakan dokumen yang harus dijadikan landasan berpijak utama dalam pembuatan TI Strategy karena dalam dokumen tersebut disebutkan visi dan misi perusahaan beserta target kinerja masing-masing fungsi pada struktur organisasi.
17 Tujuan bisnis berdasarkan COBIT (ITGI, 2007):* Investasi yg baik* pengelolaan risiko* tata kelola perusahaan* kebijakan* biaya proses* perubahan proses bisnis* Layanan pelanggan* …
peranan TI yang sesuai dengan
strategi perusahaan
LANDASAN TEORIBalanced Scorecard
Balanced Scorecard merupakan suatu konsep manajemen yang membantu menerjemahkan strategi ke dalam tindakan sehingga dapat diukur untuk melaksanakan proses-proses manajemen kritis (Kaplan dan Norton dalam Gaspersz, 2005)
Dalam perspektif keuangan, untuk membangun suatu Balanced Scorecard,
unit-unit bisnis harus dikaitkan dengan tujuan keuangan yang berkaitan dengan strategi perusahaan. Tujuan keuangan berperan sebagai fokus
bagi tujuan-tujuan strategis dan ukuran-ukuran semua perspektif dalam Balanced Sorecard (Kaplan dan Norton dalam Gaspersz, 2005).
PERSPEKTIF KEUANGAN
Perspektif keuangan menjadi dasar untuk meningkatkan nilai utama dalam suatu perusahaan yaitu memperoleh keuntungan/laba dengan strategi TI yang sesuai dengan standar dan tujuan bisnis (Niven, 2007)
LANDASAN TEORIControl Objectives for Information and Related Technologies 4.1
Strategi, taktik, dan pengidentifikasian TI dalam mendukung tercapainya tujuan bisnis
Realisasi solusi TI perlu diidentifikasikan, dikembangkan, diimplementasikan, dan diintegrasikan ke dalam proses bisnis
fokus pd penyampaian TI mencakup dukungan & layanan TI pd bisnis, mulai dr penanganan keamanan & dkgn pengguna serta manaj. data.
pentingnya semua proses TI perlu diakses secara berkala untuk menjaga kualitas & kesesuaian dgn standar yg telah ditetapkan
COBIT
Menurut Tanuwijaya dan Sarno (2010: 81), COBIT digunakan untuk mengukur tingkat kematangan suatu proses TI dan mengukur keselarasan antara bisnis dan tujuan TI.
ITGI, 2007
LANDASAN TEORIKeselarasan Tujuan Pengukuran Tujuan Bisnis dan
Tujuan Teknologi Informasi
(Maniah dan Surendro, 2005)
Tujuan pengukuran SI
untuk meyakinkan manajemen
kinerja SI organisasi
sesuai dengan perencanaan dan tujuan usaha yang dimilikinya
Kontribusi TI
Terarah dan Selaras?
Tujuan bisnis
diperlukan?
Analisis kinerja dari penggunaan sistem informasi yang menggambarkan penilaian kemampuan kerja
sehingga dapat diketahui pemenuhan terhadap pencapaian yang diharapkan (Sarno, 2009)
Keselarasan tujuan pengukuran tujuan bisnis dan tujuan TI penggunakan COBIT menyediakan pemetaan keselarasan dalam perspektif masing-masing (ITGI, 2007)
LANDASAN TEORI
Pemetaan acuan bagi perusahaan menerjemahkan kebutuhan bisnis terhadap TI yang ada (Sarno dalam Tanuwijaya dan Sarno 2010)
Sumber: Information Technology Governance Institute, 2007
Perspektif
KinerjaNo. Tujuan Bisnis Tujuan TI
Perspektif
Keuangan
1. Penyediaan pengembalian investasi yang baik dari bisnis
yang dibangkitkan TI
24
2. Pengelolaan resiko bisnis yang terkait dengan TI 2 14 17 18 19 21 22
3. Peningkatan transparansi dan tata kelola perusahaan 2 18
Hubungan Tujuan Bisnis dan Tujuan TI dalam Perspektif Keuangan
LANDASAN TEORIMaturity Level dan Jaring Laba-laba
Penentuan tingkat kedewasaan (maturity level) merupakan bagian dari pengujian kepatutan terhadap aktivitas yang seharusnya ada/dilakukan di tiap proses TI berdasarkan kerangka kerja COBIT sesuai tingkatan levelnya. Sebuah pengembangan TI harus terukur dengan baik, agar mekanisme tata kelola TI dapat berjalan secara baik dan efektif maka harus melalui tahap kematangan tertentu (Indrajit, 2004).
1
2
3
4
5
PO6
DS12
DS11
DS5
Skala maturity level sebuah perusahaan terkait dengan keberadaan dan kinerja proses Information Technology (IT) Governance terdiri dari 6 level (ITGI, 2007)
Non-existent0
Initial1
Repeatable but Intuitif
2Defined
3Managed
4Optimised
5
2.33
Jaring Laba-laba Penyusunan hasil audit dengan jaring laba-laba, berdasarkan hasil maturity level dan target yang telah ditetapkan pada tujuan bisnis dan tujuan TI. Jaring Laba-laba yang menggambarkan nilai Maturity Level. (Sarno, 2009)
Control Objectives
LANDASAN TEORI
Control objectives diperlukan oleh proses-proses TI agar implementasinya dapat terarah dan memberikan jaminan bahwa telah diimplementasikan sesuai dengan standar pengelolaan yang baik pada tiap proses terkait (Sarno, 2009).
ukuran dalam mencapai tujuan perusahaan
Adapun langkah-langkah untuk menyusun rekomendasi, yaitu:1. Penentuan hasil audit TIPenentuan hasil audit dilakukan dengan mengevaluasi hasil audit yang didapatkan untuk mengembangkan opini audit yang disusun dalam rekomendasi hasil audit.
2. Penyusunan laporan hasil audit TILaporan audit merupakan hasil akhir dari pekerjaan audit TI yang berisikan temuan dan rekomendasi kepada manajemen.
3. Audit untuk perbaikan berkelanjutan (rekomendasi)Audit untuk perbaikan berkelanjutan diperlukan untuk penyediaan rekomendasi panduan praktek bagi manajemen sebagai inisiatif penataan TI yang diimplementasikan
LANDASAN TEORIPenyusunan Hasil Audit dan Rekomendasi
Setelah audit dilaksanakan maka sebelum hasil audit dikomunikasikan, pengaudit TI perlu berdiskusi untuk mendapatkan kesepahaman terhadap hasil temuan dan mengembangkan rekomendasi untuk memperbaiki hasil audit tersebut (Sarno, 2009).
Input: Observasi, Wawancara, Bukti Pengumpulan Data
Melihat Pemetaan Berdasarkan Balanced
Scorecard
Meninjau Pemetaan Perspektif Keuangan
Berdasarkan Balanced Scorecaard
Melihat Empat Perspektif Balanced Scorecard
Menentukan Pemetaan Tujuan Bisnis dan Tujuan TI Berdasarkan Balanced
Scorecard
Membuat Pernyataan sesuai dengan Control Objectives
Memperhatikan 24 Control Objective dalam Perspektif Keuangan dan Tujuan TI
pada COBIT
Melakukan Pengisian Kertas Kerja Audit oleh Auditor
Mencatat Hasil Pengisian Kertas Kerja Audit
Menggambarkan Jaring Laba-laba
Output Menghasilkan: Maturity Model, Jaring Laba-laba, Laporan
Hasil Audit, Temuan dan Rekomendasi
Menghitung Nilai Maturity Level
Menentukan Ruang Lingkup Direktorat
Keuangan
Menentukan Control Objectives yang sesuai dengan Ruang Lingkup
Direktorat Keuangan
Melihat Tujuan Bisnis dan Tujuan TI Terpenting Berdasarkan COBIT
Proses
Menentukan tugas dalam RACI chart sesuai dengan
tugas dan wewenang dalam Struktur Organisasi
Menggambarkan Maturity Model
METODOLOGI
PENELITIANBlock Diagram Model Pengembangan
METODOLOGI PENELITIANPengambilan Data
Wawancara proses bisnis perusahaan.
Survei menggunakan daftar pertanyaan, informasi lanjutan yang sekiranya berpotensi untuk memberikan kontribusi pada tahap analisisPeninjauan terhadap dokumen mengumpulkan informasi tentang situasi sistem peninjauan terhadap aktivitas perusahaan.Observasi bertujuan untuk pemrosesan dan pengkonfirmasian hasil-hasil dari wawancara identifikasi dokumen-dokumen yang perlu untuk analisis lebih lanjut.
Informal Brainstorming Group Session mendefinisikan ruang lingkup dari audit
1
2
3
4
5
METODOLOGI PENELITIANPenentuan Ruang Lingkup Audit Sistem
Informasi1
Pengumpulan Bukti 2
Pelaksanaan Uji Kepatutan3
Perhitungan Nilai Maturity Level4
Penyusunan Temuan dan Rekomendasi5
(Sarno, 2009)
IMPLEMENTASI DAN HASIL
Penentuan Ruang Lingkup dan Tujuan Audit Sistem Informasi
Keseluruhan Kebutuhan Proses TI pada Perspektif Keuangan
Berdasarkan pemetaan pada perspektif keuangan dan tahap-tahap audit pada Metodologi Penelitian, perspektif keuangan dipetakan dalam 3 (tiga) tujuan bisnis dan 8 (delapan) tujuan TI yang terdiri dari 20 proses TI.
Kertas kerja audit
Alat bantu? Isi?Pertanyaan yg mengacu pada COBIT
Daftar Pertanyaan yang mengacu pada COBIT
Pengumpulan Bukti
IMPLEMENTASI DAN HASILPelaksanaan Uji Kepatutan dan Perhitungan Nilai Maturity Level
Tujuan TI Proses TINilai Maturity
Level Per Proses TI
2 Respon terhadap kebutuhan tata kelola yang sesuai dengan arahan direksi
PO1 2.37PO4 2.43
PO10 2.53ME1 2.41ME3 2.38
Hasil Rata-rata Maturity Level pada Tujuan TI 2
2.42
Contoh Hasil Rata-rata Maturity Level pada Tujuan TI 2 Contoh Jaring Laba-laba Hasil Rata-rata Maturity Level pada Tujuan TI 2
No. Tujuan Bisnis Hasil Rata-rata Maturity Level pada Tujuan TI
Nilai Maturity Level Per Proses TI
2 Pengelolaan resiko bisnis yang terkait dengan TI
2 Respon terhadap kebutuhan tata kelola yang sesuai dengan arahan direksi
2.42
14 Kemampuan memberikan penjelasan dan perlindungan terhadap aset-aset TI
2.35
17 Perlindungan terhadap pencapaian sasaran TI
2.29
18 Penentuan kejelasan mengenai risiko dari dampak bisnis terhadap sasaran dan sumber daya TI
2.06
19 Jaminan bahwa informasi yang kritis dan rahasia disembunyikan dari pihak-pihak yang tidak berkepentingan
2.37
21 Jaminan bahwa layanan dan infrastruktur TI dapat sepatutnya mengatasi dan memulihkan kegagalan karena error, serangan yang disengaja maupun bencana alam
2.49
22 Kepastian akan minimnya dampak bisnis dalam kejadian gangguan layanan atau perubahan TI
2.42
Hasil Rata-rata Maturity Level pada Tujuan Bisnis 2 2.34
Contoh Jaring Laba-laba Hasil Rata-rata Maturity Level pada Tujuan Bisnis 2
IMPLEMENTASI DAN HASILHasil Rata-rata Maturity Level pada Tujuan Bisnis 2
IMPLEMENTASI DAN HASIL Hasil Rata-rata Maturity Level pada Perspektif Keuangan
Perspektif Kinerja No. Tujuan Bisnis
Nilai Maturity Level Per Proses
BisnisPerspektif Keuangan
1. Penyediaan pengembalian investasi yang baik dari bisnis yang dibangkitkan sistem informasi.
2.40
2. Pengeolaan risiko bisnis yang terkait dengan sistem informasi
2.34
3. Peningkatan transparansi dan tata kelola perusahaan
2.24
Hasil Rata-rata Maturity Level pada Perspektif Keuangan 2.33
Jaring Laba-laba Hasil Rata-rata Maturity Level pada Perspektif Keuangan
IMPLEMENTASI DAN HASILPenyusunan Temuan
Fakta yang sesuai dengan standar COBIT
Terdapat kebijakan dan prosedur sistem informasi yang jelas dan didokumentasikan, distandarisasi, dikomunikasikan dan disosialisasikan
Terdapat tujuan TI, tujuan bisnis, proses TI, rencana strategis TI dan risiko TI yang di dokumentasikan dengan jelas pada master plan TI
Terdapat pengendalian terhadap prosedur permintaan data
Terdapat pengendalian terhadap perubahan
Terdapat pelatihan yang bersifat formal bagi user
Terdapat pemantauan aktivitas internal perusahaan
Terdapatt pengembangan sistem informasi
Terdapat dasar penganggaran investasi TI yang diputuskan oleh manajemen
Terdapat perencanaan investasi TI
IMPLEMENTASI DAN HASILPenyusunan Temuan
Fakta yang kurang sesuai dengan standar COBIT
Terdapat perbedaan pada realisasi anggaran investasi TI, yang masih tergantung dari keputusan yang bersifat individu. Sehingga terjadi perbedaan antara anggaran yang ditetapkan dengan realisasi anggaran. Hal ini perlu diperhatikan karena dapat mempengaruhi target keuntungan bisnis perusahaan.
Risiko telah dipertimbangkan, tetapi terdapat risiko TI antara lain:
Pemenuhan sumber daya TI yang berhubungan dengan Pemasok dan alat audit internal belum memadai, sehingga mempengaruhi pelaporan yang terintegrasi.
Sistem diimplementasikan belum sesuai dengan jadwal yang ditetapkan
Sistem yang telah dibangun, dianggap user tidak memenuhi kebutuhan user
IMPLEMENTASI DAN HASILPenyusunan Rekomendasi
Untuk mengatasi perbedaan realisasi anggaran investasi TI, Manajer TI melakukan analisa terhadap investasi TI secara umum terhadap penggunaan teknologi dengan cara:* Membuat sistem informasi untuk pemantauan realisasi investasi TI* Pemantauan realisasi investasi TI dilakukan per bulan maupun per tri wulan dengan menunjukkan grafik serta prosentasi pemakaian investasi TI* Menyusun analisis pemakaian investasi TI jika terdapat selisih atau perbedaan realisasi investasi TI
Terkait dengan temuan pemenuhan sumber daya TI yang berhubungan dengan Pemasok dan alat audit internal yang belum memadai, Manajer membuat rencana penyempurnaan TI dengan cara: * Menyempurnakan laporan sistem informasi yang telah dibuat, dengan mereview proses bisnis yang pernah dibuat * Menunjuk staf TI sesuai dengan job desc dan diperkuat dengan surat perintah untuk menyusun sistem informasi yang belum terintegrasi* Menyusun rencana penerapan proses bisnis yang telah disempurnakan* Melakukan pemantauan dan progress report terhadap sistem informasi
IMPLEMENTASI DAN HASILPenyusunan Rekomendasi
Tim manajemen melengkapi risiko TI yang sudah ada, dengan mempertimbangkan:* Mereview jadwal implementasi sistem informasi dengan sumber daya yang ada* Jaminan bahwa sumberdaya manusia yang mengerjakan sistem informasi berkompeten terhadap kondisi sistem TI yang akan atau yang sedang digunakan* Evaluasi terhadap sistem informasi yan telah ada dan dilakukan oleh sumber daya manusia yang mememiliki sertifikasi TI* Meningkatkan sumber daya manusia dengan mengadakan pelatihan kepada user untuk implementasi sistem informasi
KESIMPULAN1. Audit sistem informasi ditinjau dari perspektif keuangan Balanced
Scorecard pada Direktorat Keuangan memiliki ruang lingkup tujuan bisnis sebanyak 3 (tiga), tujuan TI sebanyak 8 (delapan) dan total proses TI sebanyak 20 (dua puluh) proses.
2. Pengumpulan bukti pelaksanaan audit sistem informasi berupa form hasil wawancara, dengan ditunjukkan dokumen-dokumen kebijakan dan operasional keuangan, serta aplikasi-aplikasi yang digunakan dalam proses keuangan.
3. Hasil perhitungan nilai rata-rata maturity level yang didapatkan adalah 2.33 yang berarti tingkat maturity level sistem informasi Direktorat Keuangan PT. Pelindo III berdasarkan COBIT 4.1 adalah repeatable but intuitive. Hal ini berarti bahwa secara umum aktivitas-aktivitas pada Proses tersebut telah diterapkan dengan cukup baik, namun masih terdapat kekurangan dalam implementasi prosedur yang telah distandarisasi dan didokumentasikan serta dikomunikasikan oleh manajemen. Implementasi tersebut ada kalanya tergantung pada individu
DAFTAR PUSTAKAEdwards, C. 1995. The Essence of Information Systems 2nd Edition. United Kingdom: Prentice Hall
International. Yogyakarta: Andi Publiser.Gaspersz, V. 2005. Sistem Manajemen Kinerja terintegrasi Balanced Scorecard dengan Six Sigma untuk
Organisasi Bisnis dan Pemerintah. Jakarta: PT. Grameedia Pustaka Utama.Gondodiyoto, S. 2007. Audit Sistem Informasi: Pendekatan Cobit, Edisi Revisi. Jakarta: Mitra Wacana Media.Indrajit, R.E. 2000. Pengantar Konsep Dasar Manajemen Sistem Informasi dan Teknologi Informasi. Jakarta:
PT Elex Media Komputindo.Indrajit, R.E. 2004. Kajian Strategis Cost Benefit Teknologi Informasi. Yogyakarta: Penerbit Andi.Information Technology Governance Institute. 2007. COBIT 4.10: Control Objective, Management Guidelines,
Maturity Models. United States of America: IT Governance Institute.Jogiyanto, H.M. 1989. Analisis dan Disain Sistem Informasi: pendekatan terstruktur teori dan praktek aplikasi
bisnis. Yogyakarta : Penerbit ANDI.Maniah dan Surendro, K. 2005. Usulan Model Audit Sistem Informasi (Studi Kasus: Sistem Informasi Perawatan
Pesawat Terbang. Seminar Nasional Aplikasi Teknologi Informasi 2005 (SNATI 2005). Yogyakarta.Mukaromah, S. 2009. Audit Sistem Informasi Akademik Menggunakan Standar Cobit 4.0 Domain Acquire And
Implement (Studi Kasus pada STIKOM SURABAYA), Tugas Akhir, Program Studi S1 Sistem Informasi, STIKOM SURABAYA, Surabaya.
Niven, P.R. 2007. Balanced Scorecard Diagnostics Mempertahankan kinerja Maksimal. Jakarta : PT. Elex media Komputindo
Sarno, R. 2009. Audit Sistem & Teknologi Informasi. Surabaya: ITS Press.Tanuwijaya, H. dan Sarno, R. 2010. Comparation of CobiT Maturity Model and Structural Equation Model for
Measuring the Alignment between University Academic Regulati ons and Information Technology Goals, International Journal of Computer Science and Network Security, VOL.10 No.6, June 2010. Surabaya: ITS Press.
TERIMAKASIH
