Audit Teknologi Sistem Informasi COBIT
TUGAS SOFTSKILL TENTANG
Audit Teknologi Sistem Informasi COBIT
Pendahuluan
COBIT (Control Objectives for Information and
related Technology) adalah suatu panduan standar praktek manajemen
teknologi informasi dan sekumpulan dokumentasi best practices untuk tata kelola
TI yang dapat membantu auditor, manajemen, dan pengguna untuk menjembatani
pemisah (gap) antara risiko bisnis, kebutuhan pengendalian, dan permasalahan-permasalahan
teknis.
Sasaran
utama COBIT :
1. Menyediakan
kebijakan yang jelas dan praktik-praktik yang baik untuk IT governance dalam organisasi tingkatan dunia.
2. Membantu
senior management memahami dan memanage resiko-resiko terkait dengan TI. COBIT
melaksanakannya dengan menyediakan satu kerangka IT governance dan petunjuk
control objective rinci untuk managemen, pemilik proses business , users, dan auditors
Kerangka
kerja COBIT :
1.
Control Objectives
Terdiri atas 4 tujuan
pengendalian tingkat tinggi (high level control objectives) yang tercermin
dalam 4 domain.
2.
Audit Guidlines
Berisi sebanyak 318
tujuan – tujuan pengendali rinci (detailed control objectives) untuk membantu
para auditor dalam memeberikan management assurance atau saran perbaikan.
3.
Management Guidlines
Berisi arahan baik secara
umum maupun spesifik mengenai apa saja yang harus dilakukan.
4. Maturity
Models
Untuk memetakan status
maturity proses – proses IT.
Domain COBIT :
1. Plan
and Organize (PO)
2. Acquire
and Implement (AI)
3. Deliver
and Support (DS)
4. Monitor
and Evaluate (ME)
1. Teori (mengenai Plan and Organize)
Plan
and Organize secara umum domain ini meliputi strategi dan taktik serta
identifikasi bagaimana TI dapat berkontribusi terhadap pencapaian sasaran
bisnis. Domain ini dibagi ke dalam 10 fase proses yaitu :
1. PO1 : Mendefinisikan
rencana strategis TI.
2. PO2 : Mendefinisikan
arsitektur informasi.
3. PO3 : Menentukan
arahan teknologi.
4. PO4 : Mendefinisikan
proses TI, organisasi dan keterhubungannya.
5. PO5 : Mengelola
investasi TI.
6. PO6 : Mengkomunikasikan
tujuan dan arahan manajemen.
7. PO7 : Mengelola
sumber daya TI.
8. PO8 : Mengelola
kualitas.
9. PO9 : Menaksir
dan mengelola resiko TI.
10. PO10 : Mengelola
proyek.
11. PO11 : Manajemen
kualitas.
2.
Acquire and Implement (AI)
Domain
ini menggambarkan bagaimana perubahan dan pemeliharaan dari sistem yang ada
selaras dengan sasaran bisnis. Domain AI terbagi menjadi tujuh proses TI yang
dapat dilihat pada tabel berikut:
1)
AI1 :
Mengidentifikasi Solusi Otomatis
2)
AI2 :
Memperoleh dan Memelihara Software Aplikasi
3)
AI3 :
Memperoleh dan Memelihara Infrastruktur Teknologi
4)
AI4 :
Memungkinkan Operasional dan Penggunaan
5)
AI5 :
Memenuhi Sumber Daya TI
6)
AI6 :
Mengelola Perubahan
7)
AI7 :
Instalasi dan Akreditasi Solusi beserta Perubahannya
3.
Deliver and Support (DS)
Domain
ini mencakup penyampaian hasil aktual dari layanan yang diminta, termasuk
pengelolaan kelancaran dan keamanan, dukungan layanan terhadap pengguna serta
pengelolaan data dan operasional fasilitas, yang meliputi:
1)
DS1 : Mengidentifikasi dan Mengelola
Tingkat Layanan
2)
DS2 : Mengelola Layanan Pihak Ketiga
3)
DS3 : Mengelola Kinerja dan Kapasitas
4)
DS4 : Memastikan Layanan yang
Berkelanjutan
5)
DS5 : Memastikan Keamanan Sistem
6) DS6 : Mengidentifikasi dan
Mengalokasikan Biaya
7) DS7 : Mendidik dan Melatih Pengguna
8) DS8 : Mengelola service desk
9) DS9 : Mengelola Konfigurasi
10) DS10: Mengelola Permasalahan
10) DS10: Mengelola Permasalahan
11)
DS11: Mengelola Data
12)
DS12: Mengelola Lingkungan Fisik
13)
DS13: Mengelola Operasi
4.
Monitor and Evalute (ME)
Domain
ini terkait dengan kinerja manajemen, kontrol internal, pemenuhan terhadap
aturan serta menyediakan tata kelola. Fungsi doman ini sendiri adalah untuk
memastikan seluruh proses TI dapat dikontrol secara periodik yang bermaksud
untuk menjaga kualitas dan pemenuhan kebutuhan pasar. Berbeda dari domain
yang lain, ME hanya terdiri dari 4 proses TI, yaitu:
1)
ME1: Mengawasi dan Mengevaluasi Kinerja
TI
2)
ME2: Mengawasi dan Mengevaluasi Kontrol
Internal
3)
ME3: Memastikan Pemenuhan terhadap
Kebutuhan Eksternal
4)
ME4: Menyediakan Tata Kelola TI
Pembahasan dan contoh
kasus
Audit Sistem Informasi Menggunakan Framework COBIT 4.1 (Dengan Domain Monitor and Evaluate) Pada PT. Samudera Indonesia Tbk
ABSTRAK
PT. Samudera Indonesia Tbk merupakan perusahaan yang bergerak di bidang jasa logistik meliputi seluruh wilayah Indonesia dan mengjangkau ranah internasional. Perusahaan ini membagi portfolio bisnisnya menjadi 4 lini bagian, yaitu Samudera Shipping (bisnis pelayaran), Samudera Agencies (bisnis keagenan), Samudera Logistics (bisnis logistik), dan Samudera Terminal (bisnis pelabuhan) guna menghadirkan layanan jasa transportasi dan logistik terpadu, salah satu kantor cabang di Surabaya melayani di bidang keagenan.
Bagi sebuah perusahaan yang besar dengan proses bisnis dengan kompleksitas tinggi dan dibantu dengan teknologi informasi, perusahaan harus mampu memberikan pelayanan yang sesuai dengan tujuan bisnis yang ingin dicapai. Investasi terhadap teknologi informasi yang sudah diterapkan, belum memberikan jaminan yang pasti bagi perusahaan. Ada faktor lain yang harus diperhatikan, tidak hanya berfokus pada penggunaan aset teknologi informasi, melainkan perusahaan harus berfokus pada pemantauan, pemeliharaan, pengelolaan dan adanya jaminan bahwa perusahaan mematuhi peraturan terkait teknologi informasi yang berlaku.
Oleh sebab itu, peneliti menggunakan domain Monitor and Evaluate, untuk mengukur tingkat kedewasaan dari teknologi informasi perusahaan berdasarkan proses pemeliharaan, pengelolaan dan sejauh mana PT. Samudera Indonesia Tbk mematuhi peraturan hukum dalam teknologi informasi yang berlaku dan persyaratan eksternal lainnya.
Bagi sebuah perusahaan yang besar dengan proses bisnis dengan kompleksitas tinggi dan dibantu dengan teknologi informasi, perusahaan harus mampu memberikan pelayanan yang sesuai dengan tujuan bisnis yang ingin dicapai. Investasi terhadap teknologi informasi yang sudah diterapkan, belum memberikan jaminan yang pasti bagi perusahaan. Ada faktor lain yang harus diperhatikan, tidak hanya berfokus pada penggunaan aset teknologi informasi, melainkan perusahaan harus berfokus pada pemantauan, pemeliharaan, pengelolaan dan adanya jaminan bahwa perusahaan mematuhi peraturan terkait teknologi informasi yang berlaku.
Oleh sebab itu, peneliti menggunakan domain Monitor and Evaluate, untuk mengukur tingkat kedewasaan dari teknologi informasi perusahaan berdasarkan proses pemeliharaan, pengelolaan dan sejauh mana PT. Samudera Indonesia Tbk mematuhi peraturan hukum dalam teknologi informasi yang berlaku dan persyaratan eksternal lainnya.
Kata Kunci: Audit Sistem Informasi, COBIT 4.1, Monitor and Evaluate
1. PENDAHULUAN
Perkembangan ilmu pengetahuan dan teknologi yang terus meningkat, membuat kedua hal tersebut saling berpadu menjadikan sebuah teknologi informasi yang membantu pekerjaan manusia. Dalam bidang teknologi informasi, khususnya dalam dunia bisnis, hal ini sangat diandalkan untuk menjalankan proses bisnisnya. Salah satunya, perusahaan memanfaatkan teknologi informasi (TI) untuk menjadikan sistem informasi yang terintegrasi dan dapat diakses secara langsung oleh karyawan, sehingga dengan adanya sistem informasi tersebut pengerjaan operasional bisa terbantu.
Selain penerapan TI, perusahaan memerlukan proses pengontrolan terhadap sistem informasi yang diterapkan, yaitu dengan memanfaatkan audit sistem informasi sesuai standar Control Objective for Information and related Technology (COBIT), yang dikeluarkan oleh organisasi bernama Information System Audit and Control Association (ISACA) pada tahun 1992. COBIT juga memiliki model kematangan (Maturity Model) yang digunakan untuk mengetahui posisi kematangannya saat ini dan secara terus menerus serta berkesinambungan harus berusaha untuk meningkatkan levelnya sampai tingkat tertinggi agar aspek pengelolaan (governance) terhadap TI dapat berjalan secara efektif.
PT. Samudera Indonesia Tbk., yang memiliki kantor cabang di Kota Surabaya merupakan perusahaan yang bergerak di bidang jasa yaitu, shipping agency.
Selama ini, perusahaan telah mengimplementasikan sistem Open Ticket Request System (OTRS) untuk mengetahui permasalahan TI yang terjadi. Cara kerja sistem tersebut, yaitu staf TI maupun staf biasa yang menemui kendala yang berkaitan langsung dengan sistem informasi atau infrastruktur jaringan (semua bagian dari critical assets) yang dikelola oleh perusahaan, dapat melaporkan masalah tersebut melalui sistem OTRS. Sistem tersebut memiliki daftar kendala yang biasa dialami oleh staf, beserta dengan besaran biaya yang dicantumkan sesuai masalah yang ditangani oleh staf TI. Namun, sistem tersebut belum memiliki standar yang jelas atau ukuran yang formal mengenai pelaporan kinerja TI, salah satunya,kinerja staf TI dinilai ketika ada setiap laporan permasalahan dari staf terkait penggunaan TI dalam perusahaan.
Oleh sebab itu, PT. Samudera Indonesia Tbk. memerlukan adanya pengontrolan atau audit sistem informasi, untuk mengawasi dan mengevaluasi seluruh aset TI yang digunakan oleh staf perusahaan, sehingga penulis menggunakan metode audit sistem informasi dengan framework COBIT 4.1 yang berfokus pada domain Monitor and Evaluate. Domain ini menitikberatkan pada proses pengawasan dan evaluasi yang ditujukan untuk solusi TI pada perusahaan dan seluruh proses bisnis yang diterapkan, sehingga ada standar penilaian secara umum bagi perusahaan.
2. TINJAUAN PUSTAKA
2.1 COBIT 4.1
COBIT (Control Objective for Information and Related Technology) merupakan kerangka dari best of practices manajemen teknologi informasi (TI) yang membantu organisasi untuk memaksimalkan keuntungan bisnis, serta dapat membantu auditor, user dan manajemen mengelola resiko bisnis dan masalah-masalah teknis dalam organisasi. Framework COBIT disusun oleh Information System Audit and Control Association (ISACA) dan IT Governance Institute (ITGI) . COBIT dapat digunakan untuk mengukur level kedewasaan (maturity level) dalam proses TI dan mengukur kesesuaian antara kebutuhan bisnis dan tujuan TI dalam organisasi.
Domain COBIT yang digunakan oleh peneliti, yaitu:
1. ME 1 (Monitor and Evaluate IT Performance)
Domain ME 1 menjelaskan mengenai kebutuhan proses pemantauan terhadap kinerja manajemen TI dalam perusahaan yang efektif. Proses ini mencakup indikator kinerja, mendefinisikan hal-hal yang relevan, pelaporan yang sistematis dan tepat waktu, dan cepat bertindak atas penyimpangan. Pemantauan diperlukan untuk memastikan bahwa hal yang benar dilakukan dan sejalan dengan arah dan kebijakan yang telah ditetapkan.
2. ME 2 (Monitor and Evaluate Internal Controls)
Domain ME 2 menentukan program pengendalian internal dan proses monitoring untuk TI perusahaan. Proses ini meliputi pemantauan dan pelaporan kontrol, ulsan dari hasil penilaian diri dan pihak ketiga. Manfaat utama dari pemantauan pengendalian internal adalah untuk memberikan keyakinan yang berkaitan dengan operasi yang efektif dan efisien serta kepatuhan terhadap hukum dan peraturan yang berlaku.
3. ME 3 (Ensure Compliance with External Requirements)
3. ME 3 (Ensure Compliance with External Requirements)
Domain ME 3 menjelaskan mengenai kepatuhan perusahaan terhadap undang-undang dan peraturan persyaratan kontrak. Proses ini meliputi identifikasi persyaratan kepatuhan, mengoptimalkan dan mengevaluasi respon, memperoleh jaminan bahwa persyaratan telah dipenuhi dan pada akhirnya, mengintegrasikan pelaporan kepatuhan TI dengan bisnis
4. ME 4 (Provide IT Governance)
Domain ME 4 mempunyai tujuan memberi kepastian pada perusahaan apakah investasi kebutuhan TI sesuai dengan strategi bisnis yang sudah diterapkan. Selain itu, domain ini menjelaskan mengenai pembentukan kerangka kerja pengelolaan teknologi informasi yang efektif untuk mencapai strategi tersebut.
4. ME 4 (Provide IT Governance)
Domain ME 4 mempunyai tujuan memberi kepastian pada perusahaan apakah investasi kebutuhan TI sesuai dengan strategi bisnis yang sudah diterapkan. Selain itu, domain ini menjelaskan mengenai pembentukan kerangka kerja pengelolaan teknologi informasi yang efektif untuk mencapai strategi tersebut.
2.2 Control Practices
COBIT memiliki standar control practices yang digunakan sebagai pengukur bagi sebuah organisasi. Dari domain monitor and evaluate yang digunakan oleh peneliti, memiliki control practices, antara lain:
1. ME 1 (Monitor and Evaluate IT Performance)
- ME 1.1 Monitoring Approach
- ME 1.2 Definition and Collection of Monitoring Data
- ME 1.3 Monitoring Method
- ME 1.4 Performance Assessment
- ME 1.5 Board and Executive Reporting
- ME 1.6 Remedial Actions
- ME 2.1 Monitoring of Internal Control Framework
- ME 2.2 Supervisory Review
- ME 2.3 Control Exception
- ME 2.4 Control Self-assesment
- ME 2.5 Assurance of Internal Control
- ME 2.6 Internal Control at Third Parties
- ME 2.7 Remedial Actions
- ME 3.1 Identification of External Legal, Regulatory and Contractual Compliance Requirements
- ME 3.2 Optimisation of Response to External Requirements
- ME 3.3 Evaluation of Compliance With External Requirements
- ME 3.4 Positive Assurance of Compliance
- ME 3.5 Integrated Reporting
4. ME 4 (Provide IT Governance)
Tingkat kedewasaan memiliki peranan sebagai pengukur seberapa matang proses TI yang sudah diterapkan oleh perusahaan. Penerapan yang tepat pada tata kelola TI di lingkungan perusahaan, tergantung pada pencapaian tiga aspek kedewasaan (maturity), yaitu kemampuan, jangkauan dan kontrol. Dampak dari peningkatan maturity akan mengurangi risiko dan meningkatkan efisiensi, mendorong berkurangnya kesalahan dan meningkatkan kuantitas proses yang dapat diperkirakan kualitasnya, serta mendorong efisiensi biaya terkait dengan penggunaan sumber daya TI. Tingkat kemampuan pengelolaan TI berdasarkan kerangka kerja COBIT 4.1., memiliki level kedewasaan dengan skala dari level 0 sampai level 5, antara lain:
3.1 PT. Samudera Indonesia Tbk
PT. Samudera Indonesia merupakan perusahaan yang bergerak dibidang jasa atau pelayanan transportasi kargo dan logistik terpadu bagi pelanggan domestik dan internasional. Awalnya, perusahaan didirikan oleh Soedarpo Sastrosatomo, yang mulai merintis usaha di bidang keagenan pelayaran pada tahun 1953. Perusahaan kemudian berkembang dan resmi berstatus sebagai sebuah perusahaan pelayaran dengan nama PT. Samudera Indonesia pada tahun 1964, dan mampu bertahan hingga kini, serta berpusat di Ibu Kota Jakarta.
- ME 4.1 Establishment of an IT Governance Framework
- ME 4.2 Strategic Alignment
- ME 4.3 Value Delivery
- ME 4.4 Resource Management
- ME 4.5 Risk Management
- ME 4.6 Performance Measurement
- ME 4.7 Independent Assurance
Tingkat kedewasaan memiliki peranan sebagai pengukur seberapa matang proses TI yang sudah diterapkan oleh perusahaan. Penerapan yang tepat pada tata kelola TI di lingkungan perusahaan, tergantung pada pencapaian tiga aspek kedewasaan (maturity), yaitu kemampuan, jangkauan dan kontrol. Dampak dari peningkatan maturity akan mengurangi risiko dan meningkatkan efisiensi, mendorong berkurangnya kesalahan dan meningkatkan kuantitas proses yang dapat diperkirakan kualitasnya, serta mendorong efisiensi biaya terkait dengan penggunaan sumber daya TI. Tingkat kemampuan pengelolaan TI berdasarkan kerangka kerja COBIT 4.1., memiliki level kedewasaan dengan skala dari level 0 sampai level 5, antara lain:
- Level 0 Non-existent perusahaan tidak mengetahui dan tidak memahami proses teknologi informasi yang harus dilakukan.
- Level 1 Initial: pada level ini, secara keseluruhan manajemen TI belum diatur dengan baik. Terdapat bukti bahwa perusahaan telah mengetahui proses-proses pengendalian sistem. Walaupun tidak ada proses yang sesuai standar, ada pendekatan secara ad hoc dan hanya diterapkan pada case tertentu saja.
- Level 2 Repeatable: proses yang telah dilakukan sampai tahap, yaitu untuk prosedur yang sama dilakukan oleh orang yang berbeda didalam melakukan tindakan yang sama. Tidak terdapat pelatihan resmi atau koordinasi mengenai prosedur standar dan tanggung jawab standar yang diberikan kepada setiap personel.
- Level 3 Defined: proses yang dilakukan telah memiliki standar dan perusahaan mendokumentasi yang telah dikomunikasikan melalui pelatihan, sehingga memaksa setiap personel atau staf untuk mengikuti prosedur dan meminimalkan kejadian penyimpangan. Prosedur yang ada, masih dinilai tidak memuaskan.
- Level 4 Managed: proses yang dilakukan berada dalam peningkatan yang konsisten dan mengarah pada tujuan, serta memungkinkan untuk melakukan pengawasan dan mengukur tingkat kesesuaian dengan prosedur. Apabila proses yang dijalankan tidak berjalan efektif, akan diambil tindakan.
- Level 5 Optimised: secara keseluruhan dari proses yang ada, telah mencapai tingkat best practices, dan didasarkan pada hasil pengembangan secara kontinu, serta membandingkan pemodelan maturity dengan organisasi atau perusahaan lain. Proses TI yang diterapkan dapat digunakan terintegrasi untuk membuat sistem alur kerja yang lebih otomatis. Penyediaan atau pengadaan perangkat untuk meningkatkan efektivitas dan kualitas yang membuat perusahaan lebih cepat beradaptasi.
3.1 PT. Samudera Indonesia Tbk
PT. Samudera Indonesia merupakan perusahaan yang bergerak dibidang jasa atau pelayanan transportasi kargo dan logistik terpadu bagi pelanggan domestik dan internasional. Awalnya, perusahaan didirikan oleh Soedarpo Sastrosatomo, yang mulai merintis usaha di bidang keagenan pelayaran pada tahun 1953. Perusahaan kemudian berkembang dan resmi berstatus sebagai sebuah perusahaan pelayaran dengan nama PT. Samudera Indonesia pada tahun 1964, dan mampu bertahan hingga kini, serta berpusat di Ibu Kota Jakarta.
Perusahaan membagi portofolio bisnisnya ke dalam 4 lini bisnis. Keempat lini bisnis tersebut antara lain, Samudera Shipping (bisnis pelayaran), Samudera Agencies (bisnis keagenan), Samudera Logistics (bisnis logistik), dan Samudera Terminal (bisnis pelabuhan) guna menghadirkan layanan jasa transportasi dan logistik terpadu [1]. Salah satu anak perusahaannya yang bergerak di bidang keagenan terdapat di Surabaya, berlokasi di Perak Barat No. 400, Surabaya, Jawa Timur.
Proses bisnis yang dijalankan pada kantor di Surabaya, yaitu customer yang akan mengirim suatu barang dalam jumlah besar, akan dilayani oleh staf Sales. Setelah pendataan barang dan informasi dari customer didapatkan, maka staf sales akan mengkonfirmasikan semua data yang didapat kepada staf customer services dan staf financial. Staf customer services akan mendata ulang secara lengkap jenis pengiriman barang, seberapa banyak barang yang akan dikirim, berapa lama perkiraan barang akan sampai ke tempat tujuan dan memberikan informasi bagaimana customer dapat melakukan tracking terhadap barangnya yang dikirim. Sedangkan untuk staf financial, akan mengecek apakah customer tersebut memiliki riwayat pengiriman sebelumnya atau tidak. Jika belum ada, akan dibuatkan akun baru sesuai dengan identitas customer. Staf financial juga akan menetapkan harga pengiriman barang berdasarkan jarak lokasi pengiriman, total berat barang yang akan dikirim, dan setelah data total pembayaran terhitung nominalnya, akan diserahkan kepada staf sales untuk disampaikan kepada customer.
3.2 Visi, Misi, Target, dan Strategi PT. Samudera
PT. Samudera Indonesia memiliki visi, yaitu Global Connectivity to meet people’s need, yang berarti perusahaan memiliki tujuan menghubungkan secara global untuk memenuhi kebutuhan konsumen.
Selain visi yang telah disebutkan diatas, PT. Samudera Indonesia memiliki misi, yaitu:
Proses bisnis yang dijalankan pada kantor di Surabaya, yaitu customer yang akan mengirim suatu barang dalam jumlah besar, akan dilayani oleh staf Sales. Setelah pendataan barang dan informasi dari customer didapatkan, maka staf sales akan mengkonfirmasikan semua data yang didapat kepada staf customer services dan staf financial. Staf customer services akan mendata ulang secara lengkap jenis pengiriman barang, seberapa banyak barang yang akan dikirim, berapa lama perkiraan barang akan sampai ke tempat tujuan dan memberikan informasi bagaimana customer dapat melakukan tracking terhadap barangnya yang dikirim. Sedangkan untuk staf financial, akan mengecek apakah customer tersebut memiliki riwayat pengiriman sebelumnya atau tidak. Jika belum ada, akan dibuatkan akun baru sesuai dengan identitas customer. Staf financial juga akan menetapkan harga pengiriman barang berdasarkan jarak lokasi pengiriman, total berat barang yang akan dikirim, dan setelah data total pembayaran terhitung nominalnya, akan diserahkan kepada staf sales untuk disampaikan kepada customer.
3.2 Visi, Misi, Target, dan Strategi PT. Samudera
PT. Samudera Indonesia memiliki visi, yaitu Global Connectivity to meet people’s need, yang berarti perusahaan memiliki tujuan menghubungkan secara global untuk memenuhi kebutuhan konsumen.
Selain visi yang telah disebutkan diatas, PT. Samudera Indonesia memiliki misi, yaitu:
- Menyediakan layanan jasa transportasi untuk memenuhi kebutuhan distribusi barang dari dan ke seluruh Indonesia maupun Internasional.
- Senantiasa memastikan pertumbuhan bisnis yang berkelanjutan seraya memberikan nilai tambah bagi pemegang saham.
- Berkontribusi positif terhadap pertumbuhan ekonomi Indonesia dengan memberikan solusi logistik yang efisien.
- Turut berperan serta dalam menciptakan lapangan kerja dan membangun kompetensi sumber daya manusia di Indonesia.
Sesuai dengan visi dan misi yang dimiliki oleh perusahaan, maka target perusahaan untuk ke depannya, yaitu berusaha menyediakan layanan berkualitas tinggi dalam transportasi barang dan logistik untuk konsumen, serta untuk mencapai target tersebut, perusahaan memiliki strategi, antara lain:
- Memberikan pelayanan yang terbaik untuk pelanggan di setiap lini bisnis perusahaan.
- Meningkatkan investasi di sarana pendukung kegiatan logistik seperti pusat layanan peti kemas, gudang, truk dan heavy-lift equipment.
Dalam melaksanakan audit sistem informasi, penulis menerapkan metodologi yang diterapkan sesuai dengan metodologi yang dianjurkan oleh IT Assurance Guide: Using COBIT. Dasar untuk melaksanakan metodologi pengumpulan data dalam audit sistem informasi, meliputi observasi dan wawancara dengan pihak perusahaan. Berikut penjabaran metode audit yang dilakukan oleh penulis antara lain:
1. Menentukan Audit Resource
Tahap ini bertujuan untuk mengumpulkan sumber data atau dokumen yang diperlukan untuk proses audit sistem informasi, menghubungi narasumber yang berkaitan dengan pengelolaan atau monitor aset-aset TI dalam perusahaan, untuk meminta kesediaan mengisi kuisioner, melakukan wawancara mengenai kondisi TI perusahaan, dan menyamakan pendapat berdasarkan data yang sudah diperoleh.
2. Evaluasi Kontrol
Tahap selanjutnya ditujukan untuk mengetahui apakah seluruh kontrol (seluruh peraturan, standar prosedur, dan strukur organisasi) yang sudah diterapkan dapat memenuhi standar berdasarkan COBIT 4.1. Apabila kontrol yang sudah ada, dapat dipenuhi secara efektif sesuai dengan standar COBIT tersebut, maka kontrol dapat digunakan sebagai standar untuk pengukuran tahap berikutnya, yaitu evaluasi kesesuaian antara proses terhadap kontrol. Jika kontrol tersebut tidak memenuhi standar pengukuran, maka proses berikutnya melalui evaluasi substansi signifikan.
3. Evaluasi Kesesuaian Proses terhadap Kontrol
Tahap ini dilakukan apabila kontrol dinyatakan secara efektif mencapai standar ideal yang sesuai dengan COBIT 4.1. Untuk proses selanjutnya, membandingkan realita yang terjadi di perusahaan dengan kontrol (peraturan dan standar prosedur), untuk memeriksa kesesuaian proses sesungguhnya yang telah diterapkan dengan konsisten.
4. Evaluasi Substansi Terbatas
Tahap ini dilakukan apabila tahap ketiga memiliki kesimpulan yang tidak absolut. Pada dasarnya, tahap ketiga biasanya sudah dapat diketahui apakah sebuah proses dapat mencapai target yang sesuai terhadap kontrol. Untuk mengatasi hal tersebut, maka proses yang tidak dapat di evaluasi secara absolut memerlukan uji substansi dengan memanfaatkan dokumen proses, kuesioner, dan wawancara terhadap pelaku proses agar dapat mengambil keputusan. Tahap ini tidak dilakukan dalam seluruh aspek audit, hanya untuk proses-proses yang memerlukan pengujian lebih lanjut.
5. Evaluasi Substansi Signifikan
Tahapan ini dilakukan apabila pada tahap kedua, hasil yang diperoleh membuktikan bahwa kontrol tidak dapat mencapai gambaran ideal secara efektif sesuai COBIT. Aspek yang akan diuji merupakan aspek keseluruhan mengenai pengelolaan dan pemeliharaan aplikasi, infrastruktur atau aset TI tanpa melihat apakah kontrol untuk aspek tersebut mencapai nilai yang efektif atau tidak.
6. Pengukuran Level Kedewasaan
Tahap ini memberikan informasi mengenai level perbandingan antara kondisi ideal yang selalu dinyatakan dengan level 5 dengan kondisi yang ada di lingkungan perusahaan.
7. Menentukan Kesimpulan dan Rekomendasi
Setelah melalui tahap kedua hingga tahap keenam, rekomendasi yang dibuat didasarkan pada hasil evaluasi sesuai control objectives dan memanfaatkan penilaian dari auditor atau staf ahli professional di bidang ini.
3.4 Langkah Audit Sistem Informasi
Langkah-langkah yang dilakukan dalam proses audit sistem informasi adalah:
- Membuat kuisioner untuk mengetahui tujuan teknologi informasi (TI) dan survei ke perusahaan untuk menentukan domain audit yang sesuai dengan permasalahan.
- Melakukan pengumpulan data dengan metode judgemental sampling, wawancara, observasi, dan kuisioner.
- Memahami strategi dan proses bisnis yang dimiliki oleh PT. Samudera Indonesia Tbk.
- Melakukan mapping antara tujuan TI dan proses TI.
- Penentuan aspek yang perlu diukur tingkat kedewasaan (maturity level) sesuai dengan domain audit (dalam skripsi ini domain yang digunakan adalah monitor and evaluate).
- Mengukur tingkat kedewasaan (maturity level) sesuai dengan domain audit.
- Validasi data yang diperoleh secara internal dan eksternal dengan narasumber.
- Mengambil kesimpulan dan rekomendasi berdasarkan hasil analisa audit sistem informasi, serta saran maupun harapan yang diberikan oleh staf IT perusahaan.
Jumlah komputer yang dimiliki oleh PT. Samudera Indonesia Tbk., mencapai 50 komputer yang berbasis Windows 7. Semua komputer sudah terkoneksi dengan seluruh aplikasi yang dimiliki oleh perusahaan. Berikut spesifikasi komputer yang dimiliki oleh perusahaan:
- Operating System: Microsoft Windows 7 Professional 32-bit
- Processor: Intel® Core (TM) i3 CPU
- RAM : 4 Gigabyte (Gb)
- VGA : Intel® High Definition (HD) Graphic
- HDD : 500 Gigabyte (Gb)
- Monitor: HP
- Mouse: HP
- Keyboard: HP
4.1 Audit Awal Teknologi Informasi
Proses audit awal ini dilakukan dengan melakukan pengisian kuisioner keseluruhan domain yang terdapat di COBIT 4.1, hal ini dilakukan untuk mengetahui sejauh mana kondisi TI yang diketahui oleh staf. Hasil dari kuisioner audit awal (yang berfokus pada domain Monitor and Evaluate) digunakan sebagai nilai pembanding dengan hasil analisa kontrol dan analisa evaluasi oleh penulis.
Setelah melakukan penyebaran kuisioner kepada staf IT di perusahaan, berikut hasil olah data kuisioner dari PT. Samudera Indonesia Tbk., mengenai keseluruhan domain yang terdapat pada COBIT:
Perhitungan nilai rata-rata pada Tabel 1 berasal dari nilai yang didapat dari hasil kuisioner yang diisi oleh pihak perusahaan. Pada kuisioner tersebut, setiap domain mempunyai poin kontrol yang menjelaskan mengenai domain tersebut dengan nilai maksimal 5 dan dapat dilihat pada grafik Gambar 1.
Gambar 2. Diagram Hasil Kuisioner AI
Perhitungan nilai rata-rata pada Tabel 2 berasal dari nilai yang didapat dari hasil kuisioner yang diisi oleh pihak perusahaan. Pada kuisioner tersebut, setiap domain mempunyai poin kontrol yang menjelaskan mengenai domain tersebut dengan nilai maksimal 5 dan dapat dilihat pada grafik Gambar 2.
Perhitungan nilai rata-rata pada Tabel 3 berasal dari nilai yang didapat dari hasil kuisioner yang diisi oleh pihak perusahaan. Pada kuisioner tersebut, setiap domain mempunyai poin kontrol yang menjelaskan mengenai domain tersebut dengan nilai maksimal 5 dan dapat dilihat pada grafik Gambar 3.
Perhitungan nilai rata-rata pada Tabel 4 berasal dari nilai yang didapat dari hasil kuisioner yang diisi oleh pihak perusahaan. Pada kuisioner tersebut, setiap domain mempunyai poin kontrol yang menjelaskan mengenai domain tersebut dengan nilai maksimal 5 dan dapat dilihat pada grafik Gambar 4.
4.2 Perbandingan Tingkat Kedewasaan PT. Samudera Indonesia dan Hasil Observasi Lapangan
Dalam uraian tabel 5, perhitungan nilai tingkat kedewasaan PT. Samudera Indonesia merupakan total nilai yang didapat pada domain ME saat melakukan audit awal. Sedangkan untuk kolom selanjutnya, tingkat kedewasaan berdasarkan kegiatan observasi dan wawancara dari penulis dengan narasumber mengenai evaluasi kontrol, evaluasi proses, sehingga hasil akhir yang didapat merupakan analisa yang dilakukan oleh penulis beserta pemberian saran maupun rekomendasi.
5. KESIMPULAN DAN SARAN
5.1. Kesimpulan
Secara keseluruhan proses TI yang ada di PT. Samudera Indonesia sudah dilakukan kegiatan pemantauan dan evaluasi sesuai dengan prosedur yang ada, namun belum dilakukan dengan sangat baik dan belum mencapai control practices dari COBIT 4.1.
- Hasil penilaian tingkat kedewasaan mengenai domain ME1, ME2, ME3, dan ME4, sudah tergolong sesuai prosedur yang dimiliki, dan dengan hasil perolehan nilai ME1 Monitoring and Evaluate IT Performance sebesar 4,04; ME2 Monitoring and Evaluate Internal Control sebesar 3,87; ME3 Ensure Compliance with External Requirements sebesar 3,74: ME4 Provide IT Governance sebesar 3,91.
- Penilaian tingkat kedewasaan TI pada PT. Samudera Indonesia yang tergolong kriteria defined, disebabkan karena perusahaan sudah menerapkan proses TI sesuai dengan prosedur dan standar yang telah ditentukan, dan sudah disesuaikan dengan model bisnis, strategi dan tujuan bisnis dari perusahaan.
- Kegiatan pemantauan sangat penting bagi perusahaan untuk mencegah risiko bisnis yang timbul akibat investasi TI yang tidak sesuai dengan tujuan bisnis dan perlu memperhatikan kerangka kerja, yang sebaiknya dibuat oleh divisi IT perusahaan sesuai dengan kebutuhan dan memberikan hasil evaluasi yang dapat menekan pengeluaran biaya investasi TI, sehingga bersifat realistis serta mematuhi peraturan, hukum dan regulasi yang berlaku.
- Pertanyaan wawancara dibuat lebih detail dengan mengarahkan narasumber sesuai topik agar dapat memahami pertanyaan lebih baik
Daftar Pustaka :
- https://hepiprayudi.files.wordpress.com/2012/06/pengertian-cobit.pdf (1 Nopember 2018 pukul 13.00 WIB)
- https://itgid.org/cobit-5-adalah/ (1 Nopember 2018 pukul 13.30 WIB)
- https://dosenindonesia.wordpress.com/tag/cobit/ (1 Nopember 2018 pukul 14.01 WIB)
- https://www.s-notess.tk/2017/10/cobit-dan-contoh-kasus.html(1 Nopember 2018 pukul 14.30 WIB)
- http://publication.petra.ac.id/index.php/teknik-informatika/article/download/6382/5803 (1 Nopember 2018 pukul 14.33 WIB)
Komentar
Posting Komentar