AUDIT SISTEM INFORMASI PADA PT ANTAM (PERSERO) TBK MENGGUNAKAN PENDEKATAN CobIT

Transkripsi

1 AUDIT SISTEM INFORMASI PADA PT ANTAM (PERSERO) TBK MENGGUNAKAN PENDEKATAN CobIT Wanda Triandini, Stefanus Ariyanto Binus University, Jln. Kebon Jeruk Raya No. 9, Jakarta Barat 11480, , ABSTRACT The purpose of this study was to determine and understand the conditions of the implementation of IT governance that goes to PT Antam (Persero) Tbk, to evaluate and understand the performance of IT Maturity Level with Antam using CobIT approach as a guide, as well as to understand and evaluate the general controls and application controls. This is a qualitative study using interviews and observations to assess the processes of the 4 domains contained in the standards-based CobIT 4.1 Maturity Level. Overall IT Governance in PT Antam (Persero) Tbk gained 3.9 level (Defined), where there are 29 CobIT processes that must be considered by the company to the public for unqualified opinion as 5 other processes that are not detected are not too big influence on other processes. General controls and application controls the company has also been quite good but still need to do some improvements to make it more effective and more efficient in its implementation. (WT) Keywords: CobIT 4.1, Maturity Level, General Controls, Applications Controls, Information Systems Audit. ABSTRAK Tujuan penelitian ini ialah untuk mengetahui dan memahami kondisi penerapan tata kelola TI yang berjalan di PT ANTAM (Persero) Tbk, mengevaluasi dan memahami kinerja dari TI ANTAM menggunakan Maturity Level dengan CobIT sebagai pedoman, serta untuk memahami dan mengevaluasi pengendalian umum dan pengendalian aplikasi. Penelitian ini bersifat kualitatif dengan menggunakan metode wawancara dan observasi untuk menilai proses-proses dari 4 domain yang terdapat dalam standar Maturity Level berbasis CobIT 4.1. Secara keseluruhan Tata Kelola di PT ANTAM (Persero) Tbk memperoleh level 3,9 (Defined), dimana terdapat 29 proses CobIT yang harus diperhatikan oleh perusahaan dengan opini umum untuk unqualified karena 5 proses lainnya yang tidak terdeteksi tidak terlalu berpengaruh besar terhadap proses lainnya. Pengendalian umum dan pengendalian aplikasi perusahaan juga sudah cukup baik namun masih perlu dilakukan beberapa perbaikan agar lebih efektif dan efisien lagi dalam pelaksanaanya. (WT)

2 Kata Kunci CobIT 4.1, Maturity Level, Pengendalian Umum, Pengendalian Aplikasi, Audit Sistem Informasi PENDAHULUAN Seiring dengan berkembangnya zaman, pemenuhan kebutuhan akan sistem informasi bagi semua jenis organisasi menyebabkan perkembangan sistem informasi yang begitu pesat. Penerapan teknologi informasi pada proses bisnis suatu perusahaan dipandang sebagai suatu solusi yang nantinya dapat meningkatkan kemampuan perusahaan di dalam persaingan. Hal ini menyebabkan pentingnya peningkatan peran teknologi informasi agar selaras dengan investasi yang telah dikeluarkan, sehingga dibutuhkan perencanaan secara implementasi yang optimal. Peranan Sistem Informasi yang signifikan ini tentu harus diimbangi dengan pengaturan dan pengelolaan yang tepat, sehingga kerugian-kerugian yang mungkin terjadi dapat dihindari. Kerugian yang dimaksud dapat timbul dari masalah-masalah, seperti adanya kasus kehilangan data, kebocoran data, informasi yang tersedia tidak akurat yang disebabkan oleh pemrosesan data yang salah sehingga integritas data tidak dapat dipertahankan, penyalahgunaan komputer, serta pengadaan investasi Teknologi Informasi (TI) yang bernilai tinggi namun tidak diimbangi dengan pengembalian nilai yang sesuai. Hal-hal tersebut tentunya sangat mempengaruhi pengambilan keputusan, termasuk mempengaruhi efektifitas dan efisiensi di dalam pencapaian tujuan dan strategi organisasi. Sehubungan dengan alasan tersebut diperlukan adanya sebuah mekanisme kontrol audit sistem informasi atau audit terhadap pengelolaan teknologi informasi. Audit SI/TI dalam kerangka kerja CobIT, yang lebih sering disebut dengan istilah IT Assurance ini bukan hanya dapat memberikan evaluasi terhadap keadaan tata kelola Teknologi Informasi di PT ANTAM (Persero) Tbk, tetapi dapat juga memberikan masukan yang dapat digunakan untuk perbaikan pengelolaannya di masa yang akan datang. Penelitian ini mengangkat kasus pada PT ANTAM (Persero) Tbk dimana saat ini Perusahaan ini sedang dalam tahap menerapkan tata kelola TI. PT ANTAM (Persero) Tbk sudah menerapkan TI sebagai salah satu cara untuk mencapai tujuan bisnis agar investasi yang dikeluarkan sebanding dengan tujuan yang akan dicapai perusahaan, oleh karenanya penegakan IT Governance menjadi sebuah keharusan. Selama ini PT ANTAM (Persero)

3 Tbk terus melakukan pengembangan di dalam pengelolaan IT nya, namun hal tersebut belum menjamin bahwa perusahaan sudah betul-betul menerapkan tata kelola TI nya dengan baik. Atas dasar tersebut, penulis ingin menilai penerapan tata kelola TI yang selama ini sudah berjalan pada PT ANTAM (Persero) Tbk dengan melakukan penelitian yang berjudul AUDIT SISTEM INFORMASI PADA PT ANTAM (PERSERO) TBK MENGGUNAKAN PENDEKATAN COBIT FORMULASI MASALAH Berdasarkan uraian yang telah dipaparkan penulis dalam latar belakang masalah dan agar pembahasan tidak menyimpang dari judul penulisan, maka penulis merumuskan masalah sebagai berikut: 1. Bagaimana penerapan tata kelola TI yang baik menurut CobIT framework 4.1 pada PT ANTAM (Persero) Tbk? 2. Sejauh mana PT ANTAM (Persero) Tbk telah menerapkan tata kelola TI dengan menggunakan CobIT framework (berdasarkan hasil penelitian Maturity Level)? 3. Bagaimana penerapan pengendalian umum dan pengendalian aplikasi pada PT ANTAM (Persero) Tbk? METODE PENELITIAN Bodgan dan Taylor (1992) mendefinisikan bahwa metodologi kualitatif, ialah prosedur penelitian yang menghasilkan data deskriptif berupa kata-kata tertulis atau lisan dari orang-orang dan perilaku yang dapat diamati. Pendekatan ini diarahkan pada latar dan individu tersebut secara holistic (utuh), sehingga kita tidak dapat mengisolasikan individu atau organisasi ke dalam variabel atau hipotesis, melainkan dipandang sebagai bagian dari suatu keutuhan. Metode penelitian yang digunakan pada penelitian ini adalah metode kualitatif, dengan menggunakan studi kasus (objek), yaitu suatu cara yang sistematis dalam melihat suatu kejadian, mengumpulkan data, menganalisa informasi dan melaporkan hasilnya. Dalam studi kasus ini, pengumpulan data utama dilakukan dengan wawancara dan analisa dokumen-dokumen perusahaan terkait dengan penelitian. Metode penelitian yang digunakan dalam pengumpulan data-data untuk penulisan ini adalah sebagai berikut : 1. Studi Kepustakaan

4 Penelitian ini dilakukan dengan cara mencari dan mengumpulkan data, sumber informasi dan bahan-bahan yang diperoleh dari buku, literatur, artikel terkait CobIT, IT Governance, Audit Sistem Informasi, SAP, metode penelitian yang digunakan dan sebagainya. 2. Studi Lapangan Studi ini dilakukan dengan mendapatkan data secara langsung dari objek penelitian. Data sekunder yang diambil merupakan data berupa Rencana Strategis dan lain-lain. 3. Wawancara Melakukan Tanya jawab dengan pihak terkait untuk mendapatkan informasi data-data yang dibutuhkan. 4. Observasi Melakukan pengamatan secara langsung pada lingkungan serta penerapan sistem informasi pada perusahaan dan penggunaan sistem informasi oleh user terkait. HASIL DAN BAHASAN Audit Atas Pengendalian Umum Audit atas pengendalian umum adalah audit sistem informasi pada lingkungan ICT perusahaan yang terdiri dari pengendalian manajemen, pengendalian fisik, pengendalian lingkungan dan akses logis ke dalam sistem dan aplikasi. Hasil dari audit atas pengendalian umum pada PT Antam Persero (Tbk) Adalah: No. Pengendalian Umum Simpulan Keterangan 1. Pengendalian manajemen Cukup a. Sudah terdapat IT strategy, kebijakan dan prosedur tertulis. b. Arah kebijakan TI sudah didefinisikan dengan jelas dan sudah dikomunikasikan kepada staff. c. Sudah terdapat keseragaman arsitektur informasi. d. Tenaga kerja bagian TI sudah cukup dalam hal jumlah dan kompetensi. e. Sudah terdapat monitoring atas kinerja bagian TI. f. Sudah ada quality assurance dan

5 analisa resiko. g. Sudah terdapat manajemen proyek. h. Dokumentasi sudah lengkap dan sudah memenuhi standar. 2. Pengendalian fisik Cukup Sudah terdapat auto lock dan auto logout. 3. Pengendalian lingkungan Cukup a. Sudah ada peraturan tertulis mengenai persyaratan ruang server. b. Sudah terdapat peralatan yang cukup untuk menjaga kondisi ruangan server. c. Sudah ada Disaster Recovery Planning (DRP) dan Disaster Recovery Center (DRC). 4. Akses logis ke dalam sistem dan aplikasi Cukup Sudah terdapat aturan pembatasan akses logis ke dalam sistem dan aplikasi walaupun terbatas. Identifikasi Maturity Level menggunakan pendekatan CobIT 4.1 Ada beberapa tahapan yang harus dilakukan untuk mengidentifikasi Maturity Level pada perusahan menggunakan pendekatan CobIT 4.1. Diantaranya adalah mengidentifikasi business goals perusahaan, lalu menghubungkan business goals perusahaan dengan business goals CobIT 4.1, setelah itu medeteksi IT goals perusahaan, lalu menghubungkan IT goals perusahaan dengan IT goals CobIT 4.1, setelah itu baru dapat terdeteksi IT process CobIT 4.1 mana saja yang terdeteksi pada perusahaan. Setelah melakukan tahapan tersebut, hasil IT process CobIT 4.1 yang terdeteksi pada PT ANTAM (Persero) Tbk adalah sebagai berikut: IT Domain Plan and Organise Acquire and Implementation Deliver and Support Monitor and Evaluation TOTAL: IT Process PO1, PO2, PO3, PO4, PO5, PO6, PO7, PO8, PO10 AI1, AI2, AI3, AI4, AI5, AI6, AI7 DS1, DS2, DS3, DS4, DS6, DS7, DS8, DS9, DS10, DS12, DS13 ME1, ME4 29/34 proses CobIT

6 Sedangkan hasil perhitungan dari Maturity Level atas IT process yang terdeteksi tersebut adalah: Domains Level PO (Plan and Organise) 3,6 AI (Acquire and Implement) 4 DS (Deliver and Support) 4 ME (Monitor and Evaluate) 4, Rata-rata 3,9 Hasil opini audit menggunakan CobIT 4.1adalah: Opinion Total Unqualified 9 Qualified 25 Disclaimer 0 Adverse 0 Sehingga penulis dapat menyimpulkan dari perbandingan perolehan opini tersebut, bahwa opini umum untuk PT ANTAM (Persero) Tbk adalah Qualified, yaitu sudah menemukan pola pengembangan yang terarah dan berjalan dengan pola yang sama. Pengendalian Aplikasi Dalam hal ini penulis melakukan audit atas pengendalian aplikasi yang terdiri dari audit atas pengendalian batasan (Boundary Controls), pengendalian masukan (Input Controls), pengendalian proses (Process Controls) dan pengendalian keluaran (Output Controls). Hasil dari masing-masing pengendalian aplikasi adalah sebagai berikut: 1. Pengendalian batasan (Boundary Controls) Kendali batasan meyakinakan bahwa Sistem Aplikasi dilengkapi dengan login akses berupa password dan username serta terdapat batasan-batasan terhadap kewenangan user dalam mengakses aplikasi. Adapun temuan audit yang dihasilkan dari Pengendalian Batasan (Boundary Controls) adalah:

7 Resiko Rekomendasi Dengan tidak adanya batasan sistem kesalahan dalam penginputan login akses (password dan username), hal ini akan memberikan kemudahan bagi orang-orang yang tidak memiliki otoritas untuk mengakses ke sistem aplikasi. Sebaiknya Sistem Aplikasi memberikan batasan sistem dalam penginputan login akses (password dan username). Kesalahan penginputan sebaiknya dibatasi sebanyak 3 kali, jika melewati batas tersebut maka sistem secara otomatis akan keluar dari aplikasi. 2. Pengendalian masukan (Input Controls) Kendali input meyakinkan bahwa transaksi di-input ke dalam dan diterima oleh komputer, diproses hanya sekali, tanpa duplikat dan kesalahan. Adapun temuan audit yang dihasilkan dari Pengendalian Masukan (Input Controls) adalah: Resiko Rekomendasi Akibat tidak adanya perubahan warna pada tampilan layar, jika terjadi kesalahan penginputan data maka user tidak mengetahui adanya kesalahan pada saat penginputan, sehingga mengurangi Sistem Aplikasi sebaiknya dilengkapi dengan fasilitas perubahan warna pada tampilan layar jika terjadi kesalahan penginputan, tidak hanya menampilkan error message saja agar lebih efektif lagi. keefektifan kerja user Petugas entri data tidak selalu membubuhkan tanda check ( ) setelah dokumen sumber selesai di input, sehingga terdapat kemungkinan terjadinya penginputan yang berulang kali Sebaiknya petugas entri data mulai membiasakan memberikan tanda check ( ) setelah dokumen sumber selesai di input agar dapat menghindari penginputan yang berulang kali

8 3. Pengendalian proses (Process Controls) Kendali pemrosesan meyakinkan bahwa transaksi: diterima oleh komputer, diproses dengan logika yang valid, melalui seluruh fase pemrosesan, dan di update ke file dan data yang benar. Adapun temuan audit yang dihasilkan dari Pengendalian Proses (Process Controls) adalah: Resiko Rekomendasi Ketidakefektifan Sistem aplikasi yang tidak dapat mencegah atau mendeteksi data masukan yang tidak valid. Sebaiknya Sistem Aplikasi dibuat dapat mencegah atau mendeteksi data masukan yang tidak valid dengan management user agar lebih efektif dalam pelaksanaanya. Kesalahan dalam pemrosesan tidak selalu dengan segera diperbaiki dengan cepat. Sebaiknya apabila terdapat kesalahan dalam pemrosesan dapat dengan segera diperbaiki dengan cepat agar lebih efektif dan efisien dalam pelaksanaanya. 4. Pengendalian keluaran (Output Controls) Kendali output meyakinkan bahwa data output: dilaporkan dengan cara yang benar, dapat dilihat/tersedia hanya untuk personil yang memiliki otoritas serta ditahan atau dihancurkan secara wajar/memadai. Adapun temuan audit yang dihasilkan dari Pengendalian Keluaran (Output Controls) adalah: Resiko Rekomendasi Tidak selalu terdapat contact person tertentu apabila terjadi sesuatu atas laporan yang dihasilkan menyebabkan ketidakefektifan dalam pelaksanaanya. Sebaiknya ditentukan dengan jelas contact person yang dapat dihubungi apabila terjadi sesuatu atas laporan yang dihasilkan agar lebih efektif. Dengan tidak adanya end of page untuk laporan Sebaiknya laporan yang lebih dari 1 (satu) yang lebih dari 1 (satu) halaman, kemungkinan

9 akan menyebabkan kekeliruan atau halaman diberi end of page. kebingungan. Tidak terdapat batas waktu penyimpanan laporan sehingga menyebabkan ketidaefisienan Sebaiknya terdapat batas waktu penyimpanan laporan agar lebih efisien. dalam pelaksanaannya. SIMPULAN DAN SARAN a. Berdasarkan hasil analisis pengendalian umum pada PT ANTAM (Persero) Tbk secara keseluruhan pengendalian umum sudah cukup, karena: 1. Pada pengendalian manajemen sudah terdapat: a) IT strategy jangka pendek dan janga panjang, kebijakan dan prosedur tertulis. b) Arah kebijakan TI sudah didefinisikan dengan jelas dan sudah dikomunikasikan kepada staff. c) Sudah terdapat keseragaman arsitektur informasi d) Tenaga kerja bagian TI sudah cukup dalam hal jumlah dan kompetensi. e) Sudah terdapat monitoring atas kinerja bagian TI, f) Sudah terdapat quality assurance dan analisa resiko. g) Sudah terdapat manajemen proyek. h) Dokumentasi sudah lengkap dan sudah memenuhi standar. 2. Pada pengendalian fisik sudah terdapat: a) Auto lock dan auto logout. 3. Pada pengendalian lingkungan sudah terdapat: a) Peraturan tertulis mengenai persyaratan ruang server. b) Sudah terdapat peraturan peralatan yang cukup untuk menjaga kondisi ruangan server. 99 c) Sudah terdapat Disaster Recovery Planning (DRP) dan Disaster Recovery Center (DRC). 4. Pada akses logis ke dalam sistem dan aplikasi sudah terdapat: a) Aturan pembatasan akses logis ke dalam sistem dan aplikasi walaupun terbatas.

10 b. Berdasarkan hasil analisis CobIT penerapan proses CobIT pada perusahaan berada pada level rata-rata 3,9. Pada level kematangan ini, secara keseluruhan proses TI di PT ANTAM (Persero) Tbk berada pada skala rata-rata 3, yaitu Defined, yang berarti bahwa seluruh proses telah didokumentasikan dan telah dikomunikasikan, serta dilaksanakan dengan pengembangan sistem komputerisasi yang baik, namun proses evaluasi belum dilakukan secara menyeluruh, ssehingga masih ada kemungkinan dapat terjadinya penyimpangan. c. Di PT ANTAM (Persero) Tbk, terdapat 8 proses berada pada level optimised, 18 proses pada level managed and measured dan 8 proses pada level defined d. Berdasarkan hasil mapping antara business goals PT ANTAM (Persero) Tbk dan CobIT framework 4.1, terdapat 29 proses control objectives yang harus diperhatikan perusahaan e. Secara keseluruhan berdasarkan 29 proses CobIT yang terdeteksi dalam perusahaan, opini umum untuk perusahaan adalah qualified karena 5 proses lainnya yang tidak terdeteksi tidak terlalu berpengaruh besar terhadap proses lainnya. f. Tidak semua rekomendasi proses menurut CobIT dapat diterapkan, perusahaan dapat mencari dan mengkaji tools- tools lainnya yang dapat disesuaikan dengan kebutuhan perusahaan. g. Berdasarkan hasil analisis pengendalian aplikasi dapat disimpulkan bahwa: 1. Pengendalian Batasan (Boundary Controls) Sudah cukup memadai, karena Sistem Aplikasi dilengkapi dengan login akses berupa password dan username serta terdapat batasan-batasan terhadap kewenangan user dalam mengakses aplikasi. 2. Pengendalian Masukan (Input Controls) Sudah cukup memadai, karena transaksi diinput ke dalam dan diterima oleh komputer, diproses hanya sekali, tanpa duplikat dan kesalahan. 3. Pengendalian Proses (Process Controls) Sudah cukup memadai, karena pemrosesan transaksi: diterima oleh komputer, diproses dengan logika yang valid, melalui seluruh fase pemrosesan, dan di update ke file dan data yang benar. 4. Pengendalian Keluaran (Output Controls)

11 Sudah cukup memadai, namun tidak terdapat contact person apabila terjadi sesuatu atas laporan yang dihasilkan, tidak terdapat end of page yang menyatakan bahwa laporan lebih dari satu halaman dan tidak terdapat batas waktu penyimpanan terhadap laporan sehingga membuat pelaksanaannya menjadi kurang efektif dan efisien. Saran a. Secara umum, proses operasional TI telah berjalan dengan baik dan handal, akan tetapi perbaikanperbaikan baik teknis maupun nonteknis masih terus ditingkatkan. PT ANTAM (Persero) Tbk juga harus memperhatikan ancaman- ancaman bisnis yang mungkin muncul dimasa yang akan datang dan semakin kompleks, terutama dalam masalah pengamanan, jaringan, serta sumber daya manusia yang dimiliki, dengan mengikuti perkembangan isu di industri lainnya. Hal ini dikarenakan semakin tingginya kecenderungan proses bisnis yang kian tergantung dengan TI. b. Sistem Aplikasi perlu dibuat batasan sistem dalam penginputan login akses (password dan username). Kesalahan penginputan sebaiknya dibatasi sebanyak 3 kali, jika melewati batas tersebut maka sistem secara otomatis akan keluar dari aplikasi. c. Sistem Aplikasi sebaiknya dilengkapi dengan fasilitas perubahan warna pada tampilan layar, jika terjadi kesalahan penginputan agar dapat memudahkan user dalam pelaksanaanya d. Sebaiknya petugas entri data mulai membiasakan memberikan tanda check ( ) setelah dokumen sumber selesai di input agar dapat menghindari penginputan yang berulang kali e. Sebaiknya Sistem Aplikasi dibuat dapat mencegah atau mendeteksi data masukan yang tidak valid dengan management user agar lebih efektif dalam pelaksanaanya f. Sebaiknya ditentukan contact person yang dapat dihubungi apabila terjadi sesuatu atas laporan yang dihasilkan agar lebih efektif g. Sebaiknya laporan yang lebih dari 1 (satu) halaman diberi end of page agar tidak menyebabkan kekeliruan atau kebingungan h. Sebaiknya terdapat batas waktu penyimpanan laporan agar lebih efisien i. Tidak semua proses TI dapat diuraikan secara detail sehingga hanya berupa aktivitas inti, perlu kajian lebih lanjut secara lengkap dan komprehensif.

12 REFERENSI Ariyanto, Stefanus. (2008). Audit Sistem Infor masi Pada PT Pelangi Haurgeulis Resources:Thesis di Universitas Indonesia, Depok. Bodnar, George H., Hopwood, William S. terjemahan A.A Jusuf. (2000). Edisi Indonesia, Jakarta: Salemba Empat. Sistem Informasi Akuntansi. Bodgan, Robert C. and Taylors K.B. (1992). Qualitatif Research for Education: An Intruduction to Theory and Methods. Boston: Ally and Bacon Inc. Drs. Sanyoto Gondodiyoto SE., MKom.,MComm.(IS)., MM(SI)., PIA., Akuntan. (2007). Audit Sistem Informasi + Pendekatan CobIT. Jakarta: Mitra Wacana Media. Hall, James A. (2001). Terjemahan A.A. Jusuf. Edisi Indonesia, Sistem Informasi Akuntansi. Jakarta: Salemba Empat Kesumawardhani, Dwi Rizki. (2012). Evaluasi IT Governance Berdasarkan COBIT 4.1 (Studi Kasus di PT Timah (Persero) Tbk):Skripsi di Universitas Indonesia, Depok. Institut Akuntan Publik Indonesia (IAPI). (2011). Standar Profesional Akuntan Publik, 31 Maret 2011, Jakarta: Salemba Empat IT Governance Institute. (2007). COBIT ver 4.1: Framework, Control Objectives, Management Guidelines, Maturity Models. Rolling Meadow McLeod, Raymond. Jr. & Schell, George. (2007). Management Information Sistem, 10 th edition. Romney, Marshal B. and Steinbart, Paul John. (2010). Accounting Information System, 10 th Inc. USA. edition, Prentice Hall Weber, Ron. (2000). Information System Cntrol and Audit.PretinceHall,Inc,New Jersey. Wijaya, Lina. (2012). Audit Sistem Informasi Pada PT Duta Semesta Raya (DSR Incurance Broker): Skripsi di Binus University, Jakarta. RIWAYAT PENULIS Wanda Triandini lahir di kota Jakarta pada 6 Juni Penulis menamatkan pendidikan S1 di Universitas Bina Nusantara dalam bidang Akuntansi peminatan Auditing pada tahun Pada September 2013 penulis telah bekerja sebagai Junior Auditor pada Kantor Akuntan Publik Mazars Indonesia.