84
Perancangan
Panduan Kerja Audit Sistem Informasi Pada Perusahaan Jasa Web Hosting Berbasis Framework
COBIT 4.1 Studi Kasus PT XYZ
Clarien Rumbayan, Universitas Ciputra, UC
Town, Surabaya, 60219 Kartika Gianina Tileng, Universitas Ciputra, UC Town,
Surabaya, 60219
ABSTRAK |
Sistem informasi merupakan bagian yang penting bagi suatu
perusahaan jasa terutama yang berhubungan dengan kerahasiaan dan keamanan data.
Penerapan teknologi dan sistem informasi harus diimbangi dengan penerapan yang
tepat untuk tidak terjadi kerugian seperti kehilangan data atau investasi yang tidak sesuai dengan kebutuhan. Oleh
karena itu diperlukan audit sistem informasi untuk mengevaluasi penerapan
sistem informasi pada perusahaan. Terdapat beberapa framework yang dapat
digunakan, namun tidak semua bagian framework
tersebut tepat digunakan untuk audit sistem informasi pada perusahaan jasa web hosting. Dengan menggunakan COBIT 4.1 domain Delivery
and Support dan mempelajari bisnis proses perusahaan jasa web hosting
membuat perancangan panduan audit sistem informasi untuk perusahaan jasa web hosting.
Melakukan uji coba dan evaluasi terhadap panduan audit sistem informasi pada PT
XYZ. Sehingga menghasilkan panduan audit sistem informasi pada perusahaan jasa web hosting
berdasarkan frarework COBIT 4.1 domain Delivery and Support dan Monitor and Evaluate.
Kata Kunci: Audit sistem informasi, panduan, Jasa Web Hosting , COBIT
4.1, Delivery and Support dan Monitor and Evaluate
 |
1. Pendahuluan
1.1 Latar Belakang
Solusi akan kebutuhan akan sistem informasi bagi berbagai
jenis organisasi maupun individu semakin berkembang pesat. Hal ini bisa dilihat
dari semakin dibutuhkannya pengelolaan data dan informasi dalam berbagai aspek
kehidupan masyarakat. Perkembangan terkini, dunia pendidikan memiliki e- learning, dunia bisnis dengan e-commerce, dan pada pemerintahan mulai
semarak dengan e-government. Melalui website, masalah perdagangan, pemasaran,
pembelajaran dapat diatasi dengan menggunakan teknologi. Semakin banyak
perusahaan bisnis yang telah menggunakan website
untuk mendukung penyampaian informasi, negosiasi dan keputusan bisnis.
Permintaan website yang semakin meningkat menyebabkan
perusahaan jasa penyedia hosting memacu
layanannya untuk memberikan pelayanan yang menjamin keamanan data dan kemudahan
mengakses website. Penerapan
teknologi informasi pada sebuah perusahaan dinilai dapat menjadi suatu inovasi
bagi perusahaan dalam menghadapi para kompetitor serta era globalisasi ke depan.
Pada perusahaan layanan web hosting, dibutuhkan pengaturan dan penataan teknologi yang
tepat, sehingga dapat mencegah kerugian yang mungkin terjadi, seperti kebocoran
data, kehilangan data, informasi data yang tidak akurat, penyalahgunaan
perangkat IT, yang pada akhirnya bisa merugikan
perusahaan tersebut. Selain itu, pengaturan dan penataan
teknologi juga dibutuhkan karena data yang tersimpan di perusahaan tidak hanya
milik perusahaan tersebut namun menyangkut data-data dan informasi klien
perusahaan jasa web hosting.
Maka dari itu, diperlukan adanya mekanisme kontrol
terhadap pengolaan teknologi informasi. Audit
sistem informasi/ teknologi memiliki
beberapa framework yang sering
digunakan untuk melakukan evaluasi dan memberikan masukan yang untuk perbaikan pengelolaan. Framework yang sudah sering dipakai untuk hal tersebut adalah seperti COBIT, ITIL, ISO. Namun tidak semua bagian dari framework tersebut sesuai untuk
melakukan audit untuk teknologi informasi pada perusahaan jasa web hosting.
Oleh karena itu, penelitian ini akan merancangkan panduan
kerja untuk melakukan audit teknologi informasi terhadap sistem perusahaan jasa
web hosting Sehingga tahapan audit,
hasil temuan, rekomendasi yang diberikan dapat sesuai dengan kebutuhan
perusahaan jasa web hosting dan
meningkatkan peranan dan pengelolaan teknologi informasi yang mendukung tujuan
bisnis organisasi.
1.2 Rumusan Masalah
Berdasarkan uraian masalah pada latar belakang, maka
penulis merumuskan yang akan dibahas pada penulisan ini adalah:
1.
Bagaimana merancang dokumen-dokumen yang dibutuhkan untuk
penelitian audit sistem informasi pada perusahaan jasa layanan hosting dengan framework COBIT 4.1 dengan menggunakan domain “Delivery and Support dan Monitor
and Evaluate”?
2. Bagaimana
membuat panduan kerja penerapan audit sistem informasi untuk perusahaan jasa
layanan hosting menurut COBIT 4.1 dengan
fokus pada domain “Delivery and Support dan
Monitor and Evaluate”?
1.3 Tujuan Penelitian
Tujuan dari penelitian ini adalah sebagai
berikut:
1.
Menghasilkan panduan awal sebagai persiapan untuk
pelaksanaan proses audit di perusahaan jasa layanan web hosting.
2.
Menghasilkan pedoman untuk memperoleh kelengkapan sumber,
data, dan persyaratan untuk melakukan proses audit sistem informasi pada
perusahaan jasa layanan web hosting.
3.
Memperoleh pedoman kerja audit sistem informasi yang
lebih kontekstual pada perusahaan jasa layanan web hosting.
1.4 Batasan Masalah
Lingkup
dari penelitian ini adalah terbatas pada pembuatan panduan kerja audit sistem
informasi pada perusahaan jasa layanan hosting
yang mengacu pada standar COBIT 4.1 dengan fokus
pada domain “Delivery and Support dan
Monitor and Evaluate” Yang termasuk dalam
ruang lingkup perencanaan panduan kerja audit sistem informasi:
1.
Bisnis Proses perusahaan
DS1, DS8, ME1
2.
Infrastruktur IT
DS3,
DS5,DS13, ME4
3.
Business Continue Plan dan Disaster
Recovery Plan
DS4
4.
Software dan Hardware
DS2,
DS7
5.
Penyimpanan dan keamanan
data
DS10, DS11, DS12
1.5 Manfaat Penelitian
Manfaat dari penelitian ini adalah sebagai
berikut:
1. Bisa menjadi
referensi untuk menambah informasi dalam upaya meningkatkan efektivitas
perencanaan audit sistem informasi pada perusahaan jasa layanan web hosting.
2. Dapat
digunakan sebagai referensi bagi dan kajian ilmiah bagi mahasiswa atau peneliti
pemula yang akan melakukan penelitian mengenai audit sistem informasi.
3. Menambah
wawasan dan pengetahuan bagi peneliti mengenai audit sistem informasi untuk
perusahaan jasa layanan web hosting.
2. Landasan Teori
2.1 Perusahaan Jasa Web Hosting
Perusahaan yang bergerak di bidang jasa penyewaan
server dan aplikasi/software-nya,
termasuk Managed Hosting Solutions,
Dedicated Server Solutions,
Colocation, VPS, Bandwidth Delivery, dan Managed Services serta layanan IT Support kepada konsumen.
2.2 Audit Sistem Informasi
Menurut Konrath (2002), audit adalah proses sistmatis
untuk secara objektif mendapatkan dan mengevaluasi bukti mengenai asersi
tentang kegiatan-kegiatan dan kejadian-kejadian ekonomi untuk meyakinkan
tingkat keterkaitan antara asersi tersebut dan kriteria yang telah ditetapkan
dan mengkomunikasikan hasilnya kepada pihak-pihak berkepentingan.
2.3
COBIT 4.1
COBIT memberikan satu
langkah praktis melalui domain dan framework yang menggambarkan aktivitas
teknologi informasi dalam suatu struktur dan proses yang disesuaikan.
Berdasarkan (IT GOVERNANCE INSTITUTE, 2007) terdapat
empat domain utama dengan memiliki tiga puluh empat subdomain.
-
Plan and
Organise (PO)
Pada domain ini membahas mengenai strategi, taktik dan
pengidentifikasian teknologi informasi. Terdapat sepuluh subdomain.
-
Acquire and
Implement (AI)
Pada domain ini membahas mengenai solusi teknologi
informasi perlu diidentifikasikan, dikembangkan dan diimplemantasikan kedalam
bisnis proses.
-
Delivery and
Support (DS)
Domain ini membahan mengenai teknologi informasi terhadap
dukungan dan layanan teknologi informasi. Mencakup dukungan dan layanan
teknologi informasi dalam bisnis.
-
Monitor and
Evaluate (ME)
Pada domain ini dikhususkan pada pentingnya proses
teknologi informasi perlu diakses secara berkala untuk menjaga kualitas dan
kesesuaian dengan standart yang ditetapkan.
Gambar
2.1 Kerangka Kerja COBIT 4.1
2.4 Maturity Level
Maturity dimodelkan untuk kepentingan manajemen yang digunakan
untuk mengontrol IT berdasarakan metode evaluasi dari perusahaan dengan skala
level 0 (Non-existent) ke level 5 (Optimised). Awalnya maturity model digunakan untuk menilai tingkat kematangan dari
kemampuan pengembangan software oleh Software Engineering Institute.
Menurut Indrajit (2004), secara umum, masing – masing
skala maturity model dapat diartikan sebagai berikut :
-
Level 0 (Non-existent)
Terdapat banyak proses yang masih belum dilaksanakan.
Organisasi bahkan tidak mengetahui sama sekali proses TI yang ada di
organisasinya.
-
Level 1 (Initial)
Organisasi secara reaktif melakukan penerapan dan
implementasi teknologi informasi apabila terdapat kebutuhan – kebutuhan
mendadak, tanpa didahului dengan perencanaan
sebelumnya.
-
Level 2 (Repeatable)
Organisasi telah memiliki pola yang berulang kali dilakukan dalam melakukan tata kelola TI,
namun keberadaannya belum terdefinisi secara baik dan formal sehingga masih
terjadi ketidakkonsistenan.
-
Level 3 (Defined)
Organisasi telah memiliki prosedur baku, formal, dan
tertulis, serta telah disosialisasikan ke segenap jajaran manajemen dan
karyawan untuk dipatuhi dan dikerjakan dalam aktivitas sehari-hari.
-
Level 4 (Managed)
Organisasi telah memiliki sejumlah indikator atau
ukuran kuantitatif yang dijadikan sebagai
sasaran maupun objektif kinerja setiap penerapan aplikasi
teknologi informasi yang ada.
- Level 5 (Optimized)
Organisasi telah mengimplementasikan tata
kelola TI yang mengacu pada best practice.
3. Analisis Dan Pedoman Audit Sistem Informasi
3.1 Perusahaan Jasa Web Hosting
Panduan kerja audit sistem
informasi ditujukan untuk melakukan audit pada perusahaan web hosting sebagai
subyek dan obyek dalam penelitian. Perusahaan web hosting merupakan
perusahaan yang bergerak dalam bidang jasa penyewaan server dan aplikasi,
termasuk Managed Hosting Solution,
Dediceted Server Solution, Colocation, Virtualization, Bandwidth Delivery, dan
Managed Services serta layanan IT Support kepada konsumen. Pada
penelitian ini menggunakan studi kasus sebuah perusahaan web hosting PT XYZ.
Gambar
3.1 Struktur Organisasi Perusahaan Web Hosting
3.2 Metode Pengumpulan Data
Dalam
melaksanakan tahapan audit bagian terpenting adalah mengumpulkan data-data atau
informasi yang dijadikan bukti dan dilakukan pengujian kepatuhan. Beberapa
teknik pengumpulan data yang dilakukan yaitu:
1.
Wawancara
Wawancara
adalah sebuah proses memperoleh data atau informasi untuk tujuan penelitian
dengan cara tanya jawab dan bertatap muka antara auditor dan narasumber
2.
Kuesioner
Terdapat 2
jenis kuesioner yang digunakan pada penelitian ini, yaitu kuesioner kesadaran
pengelolaan (Management Awareness)
dan kuesioner tingkat kematangan (Maturity
Level).
3.
Pinjauan Dokumen
Auditor
mengambil informasi tentang situasi sistem yang ada pada perusahaan dari
permintaan data yang telah diberikan kepada perusahaan
4.
Observasi
Observasi
atau pengamatan yang dilakukan berstruktur, auditor mengetahui aspek dan
aktivitas yang akan diamati, yang relevan
dengan tujuan
audit. Auditor melakukan observasi terhadap pengelolaan yang diterapkan oleh
perusahaan.
3.3 Tahapan Audit Sistem Informasi
Perencanaan yang memadai adalah hal penting untuk
memperoleh pelaksanaan audit sistem informasi yang efektif. Tahapan dalam audit
sistem informasi dapat dibagi menjadi beberapa tahapan. Gambar berikut merupakan
tahapan-tahapan audit sistem informasi.
 |
Gambar 3.2 Tahapan - Tahapan Audit Sistem Informasi
Contoh daftar
dokumen yang diperlukan untuk melakukan audit sistem informasi pada perusahaan web hosting untuk BCP dan DRP, yaitu:
Tabel 3.1
Dokumen Pada Business Continuity Plan dan
Disaster Recovery Plan
|
No
|
Dokumen
|
Keterangan
|
|
1.
|
Dokumen Business
Continuity Plan
(BCP)
|
|
|
2.
|
Laporan pelaksanaan prosedur
Business
Continuity Plan
|
|
|
3.
|
Dokumen Disaster
Recovery Plan
|
|
|
4.
|
Laporan pelaksanaan prosedur
Disaster
Recovery Plan
|
|
3.4 Audit Program
Audit program adalah kumpulan
prosedur audit yang rinci dan dijalankan untuk mencapai tujuan audit.
Pada penelitian ini audit program disusun berdasarkan framework COBIT
4.1 dengan domain yang digunakan adalah “Delivery
and Support” dan “Monitoring and
Evaluation”. Audit program
terbagi menjadi 5 bagian untuk melakukan audit.
Berikut adalah
contoh audit program yang digunakan untuk melakukan audit sistem informasi pada
BCP dan DRP:
3.5 Kuesioner
Berikut adalah
contoh daftar pertanyaan yang digunakan untuk kuisoner saat melakukan audit
sistem informasi pada bagian BCP/DRP:
4 Hasil Dan Pembahasan
4.1 Pelaksanaan Tahapan Audit
Panduan kerja
audit sistem informasi pada perusahaan web hosting dilakukan pengujian dengan
menggunakan studi kasus pada salah satu perusahaan web hosting yaitu PT
XYZ.
Pertama yang
dilakukan adalah mencari perusahaan dan menjelaskan mengenai kebutuhan dan
tujuan dari pelaksanaan audit sistem informasi yang dilakukan. Setelah
mendapatkan persetujuan perusahaan dilakukan tahapan sebagai berikut:
 |
Gambar 4.1 Flowchart Tahapan - Tahapan Audit Sistem
Informasi
4.2 Hasil Audit Program
Pelaksanaan
simulasi panduan audit sistem informasi menggunakan audit program yang telah
dirancang peneliti untuk tahapan pengumpulan bukti dan uji kepatuhan. Pada
hasil audit program mencakup nomor dokumen working
paper (W/P) yang dibuat oleh peneliti, informasi aktivitas pada audit
program yang dilaksanakan, tanggal pelaksanaan aktivitas audit program dan
hasil yang diperoleh setelah melakukan aktivitas audit program. Berikut adalah
hasil audit program simulasi panduan audit sistem informasi, yaitu :
4.3
Analisis Tingkat Kematangan (Maturity Level) Peneliti melakukan penilaian
tingkat kematangan (Maturity Level)
untuk setiap sub domain menggunakan kuesioner yang
telah dibagian saat melakukan aktvitas audit untuk setiap bagian
pemeriksaan. Terdapat 5 kuesioner yang dibagikan
kepada pegawai perusahaan. Setiap kuesioner memiliki jumlah responden yang berbeda.
Pada setiap kuesioner jumlah pertanyaan untuk setiap bagian dan sub domain berbeda-beda. Dari
pertanyaan-pertanyaan tersebut diambil rata-rata untuk mengetahui tingkat
kematangan penerapan teknologi informasi perusahaan PT XYZ.
Secara keseluruhan hasil rekaptulasi kuesioner untuk tingkat kematangan,
sebagai berikut:
Tabel 4.6 Rekaptulasi Penilaian Maturity Level
|
Bagian
|
Sub Domain
|
Jumlah Pertanyaan
|
Jumlah Narasumber
|
Tingkat Kematangan
|
|
|
DS1
|
15
|
3
|
3,178
|
|
Bisnis Proses Perusahaan
|
DS 8
|
14
|
3
|
3,357
|
|
|
ME 1
|
7
|
3
|
3,19
|
|
|
DS3
|
18
|
2
|
3,75
|
|
IT
Infrastruktur
|
DS5
|
25
|
2
|
3,4
|
|
|
DS13
|
7
|
2
|
3
|
|
|
ME4
|
9
|
2
|
3,56
|
|
BCP dan DRP
|
DS4
|
13
|
2
|
2,77
|
|
Software & Hardware
|
DS2
|
9
|
2
|
3,5
|
|
|
DS7
|
17
|
2
|
3,65
|
|
|
DS10
|
12
|
3
|
3,07
|
|
Keamanan Data
|
DS11
|
7
|
3
|
2,47
|
|
|
DS12
|
9
|
3
|
3,48
|
Hasil
rekaptulasi penilaian maturity level yang dibuat peneliti untuk simulasi
panduan audit sistem informasi berisikan sub
domain, jumlah pertanyaan yang
diberikan untuk setiap sub domain, jumlah responden/narasamber
dan nilai tingkat kematangan yang diperoleh dari jumlah nilai dibagi dengan
jumlah pertanyaan dan jumlah
responden/narasumber.
5 Kesimpulan Dan Saran
5.1 Kesimpulan
Berdasarkan penyusunan dan uji coba pada perusahaan PT
XYZ sebagai studi kasus yang telah dilakukan peneliti terhadap panduan audit
sistem informasi untuk perusahaan jasa web
hosting, maka peneliti mendapatkan kesimpulan sebagai berikut:
1.
Panduan audit sistem informasi berdasarkan COBIT 4.1 dapat
dilaksanakan dan diterapkan kepada perusahaan jasa web hosting.
2.
Pelaksanaan simulasi panduan kerja audit sistem informasi
dengan studi kasus pada PT XYZ terlaksana sesuai dengan panduan audit sistem informasi.
3.
Kebutuhan informasi dan kelengkapan data yang diperoleh
untuk lima bagian yang telah
ditetapkan terpenuhi.
5.2 Saran
Saran
peneliti bagi penelitian selanjutnya yang dapat dilakukan seperti berikut:
1. Selain lima
bagian yang telah ditetapkan peneliti dalam membuat panduan audit sistem
informasi, peneliti selanjutnya dapat melakukan pemetaan secara keseluruhan
perusahaan untuk
2.
penelitian selanjutnya menggunakan framework COBIT 4.1dengan domain “Plan
and Organise” dan “Acquire and Implement”
3.
Pada penelitian selanjutnya merancang panduan kerja audit
sistem infotmasi menggunakan framework yang
dikhususkan untuk organisasi layanan seperti SSAE-16 terutama pada bagian
keamanan dan kerahasiaan data.
4. Peneliti selanjutnya dapat
membuat panduan audit sistem informasi pada pembagian keamanan data, IT
infrastrukur, BCP dan DRP menggunakan framework
ISO 27001-2013 dengan klausa Asset
management, Access controls and managing user access, Physical security,
Operational security, Secure communications and data transfer, Incident
management, Business continuity/disaster recovery.
DAFTAR PUSTAKA
Abdul Kadir. 2003. Pengenalan Sistem Informasi. ANDI
Yogyakarta, Yogyakarta.
Agoes, S. (1996). Pemeriksaan Akuntansi
(Auditing) oleh Kantor Akuntan Publik, Edisi ke-2. Lembaga penerbit Fakultas
Ekonomi Universitas Indonesia,Jakarta
Alter, Steven (1999). Information System: A
Manajerial Perspective. 3rd Edition.
Addison-Wesley,
USA
Arens, A.A dan Loebbecker, J.K. (1997).
Auditing. Edisi revisi. Diterjemahkan oleh Amir Abadi Jusuf. Salemba Empat,
Jakarta
Campbell, P. L. (2005). a
COBIT Primer. Sandia National, Philadelphia
Gondodiyoto, S. (2007).
Audit Sistem Informasi + Pendekatan COBIT. Edisi
Revisi. Mitra Wacana Media. Jakarta.
Indrajit,
Richardus Eko. (2004). e-Government Strategi
Pembangunan Dan Pengembangan Sistem Pelayanan Publik Berbasis Teknologi
Digital. Yogyakarta: Andi Offset.
IT GOVERNANCE INSTITUTE, 2007,Audit
Assurance Guide Using COBIT , United States
Konrath, Larry F, 2002, Auditing: A
Risk Analysis
Approach, fifth edition, South Western.
McLeod, Raymond, Jr-George P. Schell.
(2004).
Management Information
Systems. Prentice Hall, New Jersey
Muchtar, A.M. (1999). Audit Sistem
Informasi: Pendekatan Terstuktur Teori dan
Praktek Aplikasi Bisnis. Edisi ke-1. Andi
Offset, Yogyakarta.
O`Brien James A. (2003), Introduction to
Information System, 11th Edition McGraw Hill, New York.
Weber R. (1999), System
Information Control And Audit. Prentice Hall, New Jersey. Whittington.
O.Ray, Kurt Pany. (2001). Principles of Auditing, 13th
Edition. MGraw Hill, Singapore. www.ISACA.org/COBIT
Sumber :
