1 BAB I PENDAHULUAN A. Latar Belakang Transaksi dapat terjadi hingga ratusan kali tiap jam dan meliputi cakupan geografis yang sangat luas. Contohnya adalah sistem perbankan yang menggunakan ATM (Automated Teller Machine) sebagai sarana transaksi nasabahnya, juga perdagangan di dunia maya dimana pembeli tidak harus tahu dimana posisi penjual sebenarnya. Kendala jarak dan media komunikasi bukan lagi menjadi penghalang bagi perusahaan-perusahaan modern dalam menjalankan kegiatannya sehari-harinya. Semua hal tersebut dimungkinkan karena pesatnya perkembangan dunia teknologi informasi. Investasi besar-besaran dilakukan untuk membawa sebuah teknologi informasi yang paling mutahir demi membangun nilai tambah bagi perusahaan. Tabel 1.1 Investasi Beberapa Perusahaan Dalam Bidang Teknologi Informasi Nama perusahaan Bentuk investasi sistem informasi Keterangan Perusahaan pengiriman DHL Hotel Grand Hyatt Jakarta Grup (GM) Metrodata Fasilitas pelacakan pengiriman secara online Track and Trace (T&T) Aplikasi Hotel system, sales& Catering Systems, Office Otomatic Systems. Sejak 1975 mulai membangun TI di perusahaannya. Menggandeng vendor terkemuka seperti Microsoft, Union System, dan SAP Investasi US$ 1,5 juta per tahun untuk operasional wilayah Indonesia dan US$ 500 juta per tahun untuk operasional secara global. Jumlah investasi hingga tahun 2002 sebesar US$ 300 ribu Hingga tahun 2000 menghabiskan dana US$ 2,5 juta Aktiengsellschaft Jerman. Sumber: olahan penulis dari Oetomo, B.S.D., Perencanaan & Pembangunan Sistem Informasi, Yogyakarta: Penerbit ANDI, 2002, hlm. 28-33 1
2 Secara sadar maupun tidak sadar setiap orang saat ini mulai bergantung kepada sebuah layanan sistem informasi. Contohnya mahasiswa Universitas Indonusa Esa Unggul dapat melakukan registrasi dengan secara on-line melalui e-learning, setiap mahasiswa memiliki akun e-mail sendiri yang dapat digunakan untuk kegiatan kuliah maupun non-kuliah. Hal ini memberikan keyakinan bahwa pemanfaatan teknologi informasi yang tepat dapat meningkatkan efektivitas operasional suatu organisasi. Contoh dari perkembangan sistem informasi yang paling banyak dijumpai adalah sistem informasi akuntansi yang terkomputerisasi. Setiap transaksi dan prosedur diatur dan terhubung dalam sebuah sistem yang dibangun berdasar kaidah-kaidah sistem informasi. Penggunaan catatan secara tertulis atau manual mulai tergantikan oleh aktivitas input ke dalam basis data komputer. Program-program aplikasi akuntansi seperti Zahir, Accurate, Myob banyak digunakan untuk menggantikan proses akuntansi manual. Perusahaan tentunya melakukan hal tersebut dengan harapan menghasilkan laporan keuangan yang lebih handal. Pada perkembangannya, komputerisasi yang dimaksud di atas bukan hanya sebuah perangkat komputer berdiri sendiri, tapi merupakan bagian dari jaringan yang lebih besar. Local Area Network memungkinkan suatu instalasi kabel secara teknis dapat menghubungkan satu komputer dengan yang lain dan teritegrasi menjadi sebuah sistem yang utuh. Ditambah lagi dengan perkembangan basis data (database) dimana kualitas data dapat diusahakan secara maksimal yang jika dimasukkan kedalam sistem jaringan tadi maka terbentuklah suatu sistem Elektronic Data Processing (EDP) yang terintegrasi. Semakin kompleks kebutuhan dan arah fokus perusahaan, maka kebutuhan sistem informasi perusahaan juga meningkat. Hingga pada suatu kondisi dimana perusahaan membutuhkan suatu bagian di perusahaan yang khusus bertanggung jawab dalam pengelolaan
3 sistemnya. Bagian perusahaan ini biasa disebut dengan departemen information Technology (IT), atau di beberapa perusahaan lain disebut EDP department. Sebagai bagian dari perusahaan secara fungsional maka departemen ini bekerja menurut prosedur kerja yang ditetapkan manajemen puncak. Bagi manajemen puncak pengembangan sistem informasi perusahaan merupakan investasi. Terkadang investasi ini bersifat besar dan strategis sehingga banyak sumber daya yang dibutuhkan dalam membangun sistem informasi pada beberapa kebutuhan perusahaan yang kompleks. Penyediaan perangkat keras, perangkat lunak, personel teknis, pelatihan pegawai, masalah lisensi, legalitas dan sebagainya menjadi biaya bagi perusahaan. Investasi tersebut diharapkan dapat meningkatkan efektifitas dan efisiensi perusahaan dan akhirnya menambah pendapatan total perusahaan. Namun setiap pengembangan dan investasi mengandung resiko. Resiko yang dimaksud dapat berasal dari kesalahan secara sengaja maupun tidak sengaja yang dilakukan oleh pihak ekternal maupun internal perusahaan. Tidak terkecuali resiko di bidang keamanan sistem informasi yang terkomputerisasi seperti virus komputer, penyerangan hacker, resiko bencana alam yang merusak asset teknologi informasi dan lain-lain. Auditor dalam menjalankan fungsi assurance dituntut selalu bersifat adaptif dan fleksibel terhadap perkembangan sistem informasi perusahaan yang diauditnya. Lingkup audit juga mulai bergeser dari audit sekitar komputer menjadi audit ke dalam komputer (audit through the computer). Audit yang dilakukan diharapkan menjadi jembatan antara tujuan perusahaan (business goals) dengan tatakelola teknologi informasi (IT Governance). Bagaimana pengembangan sistem dapat memberikan kontribusi konkrit terhadap pendapatan perusahaan tanpa terganggu oleh resiko-resiko yang timbul dari pengembangan sistem itu sendiri. Oleh sebab itu maka peran audit atas pengelolaan sistem informasi saat ini menjadi penting.
4 Audit sistem informasi bisa jadi sangat kompleks dan menyangkut hal-hal teknis komputer. Namun setiap sistem memiliki sebuah pengendalian, yang dibagi menjadi pengendalian umum dan aplikasi. Pengendalian umum menjadi payung bagi pengendalian aplikasi dan kegiatan operasional sistem informasi sehari-hari lainnya. Hal ini menyebabkan evaluasi pengendalian umum menjadi keharusan saat melakukan audit sistem informasi ini, baik dari sisi auditor eksternal maupun internal. Risk of unauthorized change to application software GENERAL CONTROL Risk of crash Cash receipt application control Sales application control Payroll application control Other cycle application control Risk of unauthorized master file update Risk of unauthorized processing GAMBAR 1.1 HUBUNGAN PENGENDALIAN UMUM DENGAN PENGENDALIAN APLIKASI Sumber: Arens, A.A., Elder, R.J., Beasley, M.S., Auditing And Assurance Services An Integrated Approach 11 th edition, New Jersey: Pearson Education, 2006, hlm. 348 Salah satu aspek pengendalian umum sistem informasi adalah pengelolaan keamanan sistem informasi sebagai penghalang resiko-resiko diatas. Pengamanan ini bukan hanya menyangkut resiko pencurian dan bencana, namun juga menyangkut resiko akses dan modifikasi
5 yang tidak mempunyai ijin terhadap sistem, termasuk serangan virus. Semua itu bisa sangat berbahaya dan bisa melumpuhkan sistem perusahaan secara keseluruhan. Besarnya biaya perbaikan, salah pengambilan keputusan akibat data dihasilkan dari proses yang bermasalah adalah beberapa masalah yang dihadapi jika keamanan sistem informasi kurang diperhatikan. Seorang auditor sistem informasi dalam menjalankan fungsi assurance-nya menggunakan sebuah alat bantu audit yang dapat digunakan dalam mengelola dan merumuskan tingkat keyakinan hasil auditnya. Salah satu alat bantu tersebut adalah Control Objectives For Information & Related Technology (CobIT) yang disusun oleh IT Governance Institute (ITGI) dan Information System Audit And Control Association (ISACA). Kelebihan penggunaan CobIT Menurut Sanyoto Gondodiyoto 1 dalam bukunya Audit Sistem Informasi Pendekatan CobIT adalah sebagai berikut: CobIT dapat dipakai sebagai alat yang komperhensif untuk menciptakan IT Governance pada suatu perusahaan. CobIT mempertemukan dan menjembatani kebutuhan manajemen dari celah atau gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis TI, serta menyediakan referensi best business practice yang mencakup keseluruhan TI dan kaitannya dengan proses bisnis perusahaan dan memaparkannya dalam struktur aktivitas-aktivitas logis yang dapat dikelola serta dikendalikan secara efektif. Auditor eksternal maupun internal selain dituntut menguasai proses akuntansi, juga dituntut menguasai keahlian-keahlian di bidang lain contohnya keahlian teknis komputer yang memadai. Hal ini dapat membantu efisiensi kerja auditor dan disisi lain membawa nilai tambah bagi pribadi auditor bersangkutan. Misalnya seorang auditor yang memiliki sertifikasi CISA (certified Information System Auditor) yang juga diterbitkan oleh ISACA menjadi nilai tambah karena merupakan bentuk pengakuan terhadap profesi auditor sistem informasi secara internasional. Pemegang sertifikat ini sangat dibutuhkan perusahaan besar dan dapat pula 1 Sanyoto Gondodiyoto, Audit Sistem Informasi Pendekatan CobIT, Jakarta: Mitra wacana Media, 2007, hlm.276
6 berpraktek sebagai konsultan. Banyak dari pemegang CISA yang ada di Indonesia berlatarbelakang sebagai akuntan. Kemudian penulis menemukan di beberapa situs website Kantor Akuntan Publik di Jakarta juga sudah melayani jasa audit sistem informasi dengan pendekatan CobIT. Maka penulis melihat audit sistem informasi merupakan salah satu bidang yang berpotensi besar untuk berkembang di masa depan. Perkembangan dunia koperasi di Indonesia saat ini mulai dilirik banyak pihak. Koperasi dengan semangat kekeluargaannya terbukti tangguh menghadapi krisis global dan persaingan usaha yang ada. Semangat kekeluargaan yang diimplementasikan secara profesional dan bertanggung jawab oleh pengurus koperasi sanggup membawa kesejahteraan bagi para angotanya. Koperasi Kredit SEHATI yang telah berdiri lebih dari dua dasawarsa terbukti dapat berkembang secara nyata dilihat dari jumlah anggota dan asset yang terus bertambah dari tahun ke tahun. Tabel 1.2 Data Pertumbuhan Anggota dan Keuangan Kopdit Sehati TAHUN ANGGOTA ASET (Rp) SIMPANAN PINJAMAN PENDAPATAN ANGGOTA (Rp) ANGGOTA (Rp) (Rp) 1988 68 3.584.525 3.131.500 2.839.000 671.545 1989 88 10.897.146 7.637.500 9.715.500 1.996.246 1990 111 19.563.075 14.895.500 17.940.000 4.773.010 1991 128 31.577.881 22.412.112 26.015.000 8.274.656 1992 142 47.555.555 33.923.698 36.536.000 11.574.254 1993 161 70.447.276 48.398.129 58.795.000 15.984.845 1994 173 123.680.499 87.843.247 98.006.000 26.847.150 1995 207 170.75.584 122.070.213 137.560.000 10.200.037 1996 237 231.022.602 178.335.900 178.952.000 55.530.180 1997 325 346.036.167 263.490.900 249.719.000 65.089.530 1998 323 400.752.300 315.334.170 242.012.500 87.451.413 1999 345 475.016.477 406.473.050 326.995.000 102.666.380 2000 413 827.647.586 706.581.200 655.953.000 180.344.270 2001 583 1.795.011.811 1.513.135.585 1.407.854.600 384.789.826 2002 776 2.957.373.630 2.482.104.000 2.275.950.200 702.036.371 2003 937 4.585.738.262 3.841.011.200 3.099.415.800 1.074.405.041 2004 1060 6.618.990.574 5.259.825.500 4.619.402.000 1.554.893.980 2005 1202 9.280.381.853 7.740.617.600 6.459.070.900 2.103.107.627 2006 1407 12.310.338.228 10.202.832.300 8.672.760.600 2.592.363.715
7 Tabel 1.2 Data Pertumbuhan Anggota dan Keuangan Kopdit Sehati(lanjutan) 2007 1737 15.638.049.878 13.126.391.600 9.146.573.900 2.848.699.300 2008 2080 17.077.362.334 13.817.730.300 11.354.765.200 3.113.178.767 Sumber: olahan penulis dari Kopdit Sehati, Rangkuman Rapat Anggota Tahunan XXI- 2008, Jakarta: Kopdit Sehati, 2009, hlm. 61 Aplikasi sistem informasi yang diterapkan 1 juga dapat dibilang sangat baik, mulai dari keberadaan situs resmi koperasi, transaksi online antar cabang, hingga aplikasi transaksi lewat internet menjadi bukti nyata penerapan sistem informasi dalam rangka memberikan nilai lebih dalam pengelolaan dan pelayanan terhadap angota-anggotanya. Dari uraian dan pemikiran di atas, maka dalam skripsi ini penulis membahas tentang PENERAPAN AUDIT SISTEM INFORMASI UNTUK MENGEVALUASI PENGENDALIAN UMUM PENGELOLAAN KEAMANAN PADA SISTEM INFORMASI KOPERASI KREDIT SEHATI B. Identifikasi dan Pembatasan Masalah 1. Identifikasi masalah Identifikasi masalah dalam skripsi ini adalah diperlukannya sebuah upaya untuk menilai apakah pengendalian umum atas pengelolaan keamanan sistem informasi yang diterapkan Koperasi Kredit SEHATI telah memadai? dan upaya tersebut dapat dilakukan salah satunya dengan cara melakukan kegiatan audit sistem informasi. 2. Pembatasan masalah Pembatasan masalahan yang dibahas dalam skripsi ini adalah sebagai berikut: a. Lingkup audit sistem informasi dalam skripsi ini adalah audit operasional
8 b. Pengelolaan Keamanan yang dimaksud merupakan implementasi dari tujuan pengendalian tingkat tinggi CobIT (High Level objectives) DS5 dan DS12. 1). DELIVER AND SUPPORT (DS) 5 : Keyakinan Atas Keamanan Sistem (Ensure Systems Security) a). DS5.1 Manajemen Keamanan TI (Management of IT Security) b). DS5.2 Perencanaan Sistem Keamanan TI (IT Security Plan) c). DS5.3 Pengendalian Identitas (Identity Management) d). DS5.4 Pengelolaan User Account (User Account Management) e). DS5.5 Pengujian, Pengawasan, Dan Pemantauan Sistem Keamanan (Security Testing, Surveillance and Monitoring) f). DS5.6 Definisi Insiden Keamanan (Security Incident Definition) g). DS5.7 Proteksi Atas Teknologi Keamanan (Protection of Security Technology) h). DS5.8 Pengelolaan Kunci Sandi (Cryptographic Key Management) i). DS5.9 Pencegahan, Pendeteksian, Dan Pengkoreksian Terhadap Perangkat Lunak Berbahaya (Malicious Software Prevention, Detection and Correction) j). DS5.10 pengendalian keamanan jaringan (Network Security) k). DS5.11 Pertukaran Data Sensitif (Exchange of Sensitive Data) 2). DELIVER AND SUPPORT (DS) 12 : Pengelolaan Lingkungan Fisik (Manage the Physical Environment) a). DS12.1 Pemilihan Letak dan Rancangan (Site Selection and Layout) b). DS12.2 Pengukuran Pengendalian Keamanan Fisik (Physical Security Measures)
9 c). DS12.3 Akses Fisik (Physical Access) d). DS12.4 Proteksi terhadap Faktor Lingkungan (Protection Against Environmental Factors) e). DS12.5 Pengelolaan Fasilitas Fisik (Physical Facilities Management) c. Resiko yang diidentifikasi adalah resiko yang berkaitan dengan tujuan-tujuan audit diatas. d. Yang dimaksud memadai dalam penelitian ini adalah memenuhi tujuan pengendalian umum. C. Perumusan Masalah 1. Bagaimanakah prosedur pengendalian umum pengelolaan keamanan sistem informasi Koperasi Kredit SEHATI? 2. Resiko-resiko apa saja yang berhubungan dengan pengendalian umum atas pengelolaan keamanan sistem informasi Koperasi Kredit SEHATI? 3. Bagaimanakah bentuk implementasi audit sistem informasi atas pengelolaan keamanan sistem informasi yang sesuai dengan tujuan pengendalian CobIT DS5 dan DS12 di Koperasi Kredit SEHATI dan dapat mengidentifikasi kelemahan prosedur pengendalian dan rekomendasi perbaikan D. Tujuan Penelitian Adapun tujuan yang dilakukan penulis sehubungan dengan permasalahan dalam skripsi ini adalah sebagai berikut:
10 1. Untuk mengidentifikasi prosedur lengkap atas pengelolaan keamanan sistem informasi Koperasi Kredit SEHATI baik didapat dengan telaah dokumen, wawancara, maupun observasi. 2. unutuk mengidentifikasi resiko-resiko yang berkaitan dengan pengendalian umum atas pengelolaan keamanan sistem informasi pada Koperasi Kredit SEHATI 3. Untuk mengevaluasi pengelolaan keamanan sistem informasi yang sesuai dengan tujuan pengendalian CobIT DS5 dan DS12 di Koperasi Kredit SEHATI dan dapat mengidentifikasi kelemahan prosedur pengendalian dan rekomendasi perbaikan E. Manfaat Dan Kegunaan Penelitian Adapun kegunaan penelitian adalah sebagai berikut: 1. Bagi Kopdit Sehati Dihasilkan suatu laporan audit sisitem informasi atas pengendalian umum manajemen keamanan sistem informasi perusahaan yang dapat digunakan perusahaan untuk melakukan perbaikan dan penyempurnaan. 2. Bagi Penulis Penelitian ini diharapkan dapat memperdalam dan memperluas pengetahuan serta wawasan berpikir mengenai audit sistem informasi, sehingga penulis dapat membandingkan antara teori yang diperoleh dengan praktek yang sesungguhnya di lapangan. 3. Bagi Pihak Lain
11 Penelitian ini diharapkan dapat memberi manfaat kepada masyarakat khususnya lingkungan perguruan tinggi sebagai referensi untuk melakukan penelitian yang lebih mendalam mengenai pelaksanaan audit di berbagai bidang. F. SISTEMATIKA PENULISAN Sistematika penulisan dalam laporan skripsi ini adalah dengan menguraikan secara garis besar dari tiap-tiap bab, serta memberikan gambaran dan uraian secara singkat mengenai hal-hal yang akan dibahas dalam laporan skripsi ini. Adapun uraian dan susunan sistematika penulisan laporan skripsi ini adalah sebagai berikut: BAB I PENDAHULUAN Pada bab ini menguraikan tentang latar belakang pemikiran yang melandasi penelitian, identifikasi dan pembatasan masalah, perumusan masalah, tujuan dan manfaat penelitian, dan susunan sistematika penulisan. BAB II LANDASAN TEORITIS Pada bab kedua ini berisikan mengenai tinjauan pusaka yang menjelaskan teoriteori yang berkaitan dengan topik penelitian. Diantaranya tentang auditing, sistem informasi dan teknologi informasi, audit sistem informasi, CobIT DS 5 dan DS 12, kerangka pikir penelitian dan hipotesis. BAB III METODE PENELITIAN Pada bab ini dijelaskan mengenai metode penelitian yang digunakan, tempat dan waktu penelitian, jenis dan sumber data, metode pengumpulan data, metode pengolahan atau analisis data, serta definisi oprasional data. BAB IV GAMBARAN UMUM LOKASI PENELITIAN
12 Pada bab ini menjelaskan profil perusahaan, yang meliputi sejarah perusahaan, visi dan misi perusahaan, struktur perusahaan serta tugas dan tanggung jawab masing-masing staf dalam perusahaan tersebut, serta kegiatan perusahaan tersebut. BAB V HASIL PENELITIAN DAN PEMBAHASAN Pada bab ini menjelaskan tentang pelaksanaan audit sistem informasi berdasarkan tujuan dan prosedur yang ada. BAB VI KESIMPULAN DAN SARAN Pada bab terakhir ini merupakan bab penutup dari serangkaian bab diatas, dimana pada bab ini manjelaskan mengenai kesimpulan dan saran yang dibuat penulis dari keseluruhan pengamatan dan analisis yang telah dilakukan penulis berdasarkan data yang didapatkan.