Audit
sistem informasi merupakan proses pengumpulan dan pengevaluasian bukti untuk
menentukan apakah sistem informasi ela menetapkan dan menerapkan sistem pengendalian intern yang memadai, semua aset dilindungi dengan baik dan tidak disalahgunakan serta terjaminnya integritas data, keandalan serta efektifitas dan efisiensi penyelenggaraan sistem informasi berbasis komputer. Adapun tools yang dapat kita gunakan untuk audit sistem informasi adalah menggunakan kerangka kerja COBIT. Konsep kerangka kerja COBIT dapat dilihat dari tiga sudut pandang, yaitu
menentukan apakah sistem informasi ela menetapkan dan menerapkan sistem pengendalian intern yang memadai, semua aset dilindungi dengan baik dan tidak disalahgunakan serta terjaminnya integritas data, keandalan serta efektifitas dan efisiensi penyelenggaraan sistem informasi berbasis komputer. Adapun tools yang dapat kita gunakan untuk audit sistem informasi adalah menggunakan kerangka kerja COBIT. Konsep kerangka kerja COBIT dapat dilihat dari tiga sudut pandang, yaitu
1. kriteria informasi (information criteria)
2. sumberdaya TI (IT resources)
3. proses TI (IT processes)
Dalam
kerangka kerja sebelumnya, domain diidentifikasikan dengan memakai susunan
manajemen yang akan digunakan dalam kegiatan harian organisasi. Kemudian empat
domain yang lebih luas diidentifikasikan menjadi 4 domain utama, yaitu :
1) Planning and Organization (PO)
Domain ini mencakup strategi dan taktik, dan perhatian atas identifikasi bagaimana TI
secara maksimal dapat berkontribusi dalam pencapaian tujuan bisnis. Selain itu, realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan dikelola untuk berbagai perspektif yang berbeda.Terakhir, sebuah pengorganisasian yang baik serta infrastruktur teknologi harus di tempatkan ditempat yang semestinya
2) Acquisition and Implementation (AI)
Untuk merealisasikan strategi TI, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta diimplementasikan, dan terintegrasi ke dalam proses bisnis. Selain itu, perubahan serta pemeliharaan sistem yang ada harus di cakup dalam domain ini untuk memastikan bahwa siklus hidup akan terus berlangsung untuk sistem ini.
3) Delivery and Support (DS)
1) Planning and Organization (PO)
Domain ini mencakup strategi dan taktik, dan perhatian atas identifikasi bagaimana TI
secara maksimal dapat berkontribusi dalam pencapaian tujuan bisnis. Selain itu, realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan dikelola untuk berbagai perspektif yang berbeda.Terakhir, sebuah pengorganisasian yang baik serta infrastruktur teknologi harus di tempatkan ditempat yang semestinya
2) Acquisition and Implementation (AI)
Untuk merealisasikan strategi TI, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta diimplementasikan, dan terintegrasi ke dalam proses bisnis. Selain itu, perubahan serta pemeliharaan sistem yang ada harus di cakup dalam domain ini untuk memastikan bahwa siklus hidup akan terus berlangsung untuk sistem ini.
3) Delivery and Support (DS)
Domain ini
memberikan fokus utama pada aspek penyampaian/pengiriman dari TI. Domain ini mencakup
area-area seperti pengoperasian aplikasi-aplikasi dalam sistem TI dan hasilnya,
dan juga,proses dukungan yang memungkinkan pengoperasian sistem TI tersebut dengan
efektif dan efisien.Proses dukungan ini termasuk isu/masalah keamanan dan juga
pelatihan.
4) Monitoring and Evaluation (ME)
Semua proses IT perlu dinilai secara teratur sepanjang waktu untuk menjaga kualitas dan
pemenuhan atas syarat pengendalian. Domain ini menunjuk pada perlunya pengawasan manajemen atas proses pengendalian dalam organisasi serta penilaian independen yang dilakukan baik auditor internal maupun eksternal atau diperoleh dari sumber-sumber alternatif lainnya.
4) Monitoring and Evaluation (ME)
Semua proses IT perlu dinilai secara teratur sepanjang waktu untuk menjaga kualitas dan
pemenuhan atas syarat pengendalian. Domain ini menunjuk pada perlunya pengawasan manajemen atas proses pengendalian dalam organisasi serta penilaian independen yang dilakukan baik auditor internal maupun eksternal atau diperoleh dari sumber-sumber alternatif lainnya.
Pengukuran
tingkat kematangan diatur pada COBIT untuk tingkat manajemen dan memungkinkan para
manajer mengeahui bagaimana pengellaan dan proses-proses IT di organisasi
tersebut sehingga bisa diketahui pada tingkatan mana pengelolaannya. Model
kematangan (maturity
model) pada COBIT merupakan
alat yang digunakan untuk mengukur seberapa baik proses pengelolaan TI yang
berhubungan dengan kontrol internal IT yang juga berkaitan dengan tujuan bisnis
organisasi. Tingkat kemampuan pengelolaan teknologi informasi pada skala
maturity dibagi menjadi 6 level, yaitu :
1) Level o (non- existent)
Perusahaan tidak mengetahui sama sekali proses teknologi informasi di perusahaannya
2) Level 1 (initial level)
Pada level ini, organisasi pada umumnya tidak menyediakan lingkungan yang stabil untuk
mengembangkan suatu produk baru. Pengembangan sistem sangat tergantung pada satu individu
sebagai keahlian perorangan dan belum sepenuhnya diakui sebagai kebutuhan perusahaan.
3) Level 2 (repeatable level)
Pada level ini, kebijakan untuk mengatur pengembangan suatu proyek dan prosedur dalam
mengimplementasikan kebijakan tersebut telah ditetapkan.
4) Level 3 (Defined level)
Pada level ini, proses standar dalam pengembangan suatu produk baru didokumentasikan, proses ini
didasari pada proses pengembangan produk yang telah diintegrasikan.
5) Level 4 (managed level)
Pada level ini, organisasi membuat suatu matrik untuk suatu produk, proses dan pengukuran hasil.
Proyek mempunyai kontrol terhadap produk dan proses untuk mengurangi variasi kinerja proses
sehingga terdapat batasan yang dapat diterima.
6) Level 5 (optimized level)
Pada level ini, seluruh organisasi difokuskan pada proses peningkatan secara terus-menerus.
Teknologi informasi sudah digunakan terintegrasi untuk otomatisasi proses kerja dalam perusahaan,
meningkatkan kualitas, efektifitas, serta kemampuan beradaptasi perusahaan.
1) Level o (non- existent)
Perusahaan tidak mengetahui sama sekali proses teknologi informasi di perusahaannya
2) Level 1 (initial level)
Pada level ini, organisasi pada umumnya tidak menyediakan lingkungan yang stabil untuk
mengembangkan suatu produk baru. Pengembangan sistem sangat tergantung pada satu individu
sebagai keahlian perorangan dan belum sepenuhnya diakui sebagai kebutuhan perusahaan.
3) Level 2 (repeatable level)
Pada level ini, kebijakan untuk mengatur pengembangan suatu proyek dan prosedur dalam
mengimplementasikan kebijakan tersebut telah ditetapkan.
4) Level 3 (Defined level)
Pada level ini, proses standar dalam pengembangan suatu produk baru didokumentasikan, proses ini
didasari pada proses pengembangan produk yang telah diintegrasikan.
5) Level 4 (managed level)
Pada level ini, organisasi membuat suatu matrik untuk suatu produk, proses dan pengukuran hasil.
Proyek mempunyai kontrol terhadap produk dan proses untuk mengurangi variasi kinerja proses
sehingga terdapat batasan yang dapat diterima.
6) Level 5 (optimized level)
Pada level ini, seluruh organisasi difokuskan pada proses peningkatan secara terus-menerus.
Teknologi informasi sudah digunakan terintegrasi untuk otomatisasi proses kerja dalam perusahaan,
meningkatkan kualitas, efektifitas, serta kemampuan beradaptasi perusahaan.
Daftar pustaka
Noor azizah. 2017. Audit Sistem Informasi
Menggunakan Framework Cobit 4.1 Pada E-Learning Unisnu Jepara. Jepara: Jurnal SIMETRIS, Vol.8
No. 1
