Pada bab lima ini terdapat kesimpulan dan saran dari hasil pembahasan yang telah dipaparkan pada bab empat.
TINJ AUAN PUSTAKA
2.1 Pengertian Audit Sistem Informasi
Audit Sistem Informasi dilakukan dengan mengumpulkan dan mengevaluasi bukti-bukti untuk menentukan apakah sistem informasi dan sumber daya yang terkait memberikan perlindungan secara memadai terhadap aset-aset, dapat memelihara integritas data dan sistem serta mampu menyediakan informasi yang dibutuhkan pihak manajemen sesuai dengan pemenuhannya terhadap tujuan Organisasi.
Menurut pendapat Ron Weber (1999), "EDP auditing is the process of
collecting and evaluate evidence to determine whether a computer system safeguards assets, maintains data integrity, achieves organizational goals effectively, and consumes resources effiently". Pengertiannnya secara garis besar adalah proses pengumpulan dan pengevaluasian bukti-bukti untuk menentukan apakah sistem aplikasi komputerisasi telah menetapkan dan menerapkan sistem pengendalian intern yang memadai, semua aktiva dilindungi dengan baik atau tidak disalahgunakan serta terjamin integritas data, keandalan serta efektifitas dan efisiensi penyelenggaraan sistem informasi berbasis komputer.
Audit sistem informasi dilakukan untuk dapat menilai :
1) Apakah sistem komputerisasi suatu organisasi atau perusahaan
dapat mendukung pengamanan aset.
2) Apakah sistem komputerisasi dapat mendukung pencapaian
tujuan organisasi atau perusahaan.
3) Apakah sistem komputerisasi tersebut efektif, efisien dan data
integritas terjamin.
2.1.1 Tujuan Audit Sistem Infor masi
Tujuan audit sistem informasi menurut Ron Weber (1999) dapat disimpulkan secara garis besar terbagi menjadi empat tahap, yaitu :
1) Meningkatkan keamanan aset-aset perusahaan
Aset informasi suatu perusahaan seperti perangkat keras (Hardware), perangkat lunak (Software), sumber daya manusia,
file data harus dijaga oleh suatu sistem pengendalian intern yang
baik supaya tidak terjadi penyalahgunaan aset.
2) Menjaga integritas data
Integritas data (data integrity) adalah salah satu konsep dasar
sistem informasi data memiliki atribut-atribut tertentu seperti : kelengkapan, kebenaran, dan keakuratan.
3) Keefektifitas sistem
Efektifitas sistem informasi perusahaan memiliki peranan penting dalam proses pengambilan keputusan. suatu sistem informasi dapat dikatakan efektif apabila sistem tersebut telah sesuai dengan kebutuhan.
4) Efisiensi Sistem
Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi memiliki kapasitas memadai.
2.2Definisi dan Sejar ah Perkembangan COBIT
Control Objectives for Information and related Technology (COBIT) adalah seperangkat kerangka kerja bagi manajemen Teknologi Informasi (TI)
yang disusun oleh Information System Audit and Control Association
(ISACA), dan IT Governance Institute (ITGI) pada 1996. Selain itu,
disebutkan juga bahwa COBIT memiliki empat versi yaitu :
1) 1996, edisi CoBiT yang pertama diperkenalkan.
2) 1998, edisi kedua menambahkan Management Guidelines.
3) 2000, edisi ketiga dipublikasikan dan tersedia versi online.
4) Desember 2005, edisi keempat dipublikasikan.
COBIT merupakan standar yang dinilai paling lengkap dan
menyeluruh sebagai framework IT audit karena dikembangkan secara
berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir seluruh negara.
Misi COBIT adalah "Melakukan riset, mengembangkan,
mempublikasikan, serta mempromosikan kerangka tujuan pengendalian tata
kelola Teknologi Informasi yang dapat diterima secara International, bersifat
otoritatif, up-to-date, untuk digunakan sehari-hari bagi manajer usaha,
profesional informasi teknologi dan professional assurance."
Kerangka COBIT ini akan efektif digunakan untuk menjaga pengendalian internal dengan dukungan Teknologi Informasi yang tinggi, seperti perusahaan yang didukung dengan proses otomatisasi atau produknya berkaitan dengan Teknologi Informasi (TI). COBIT menyediakan suatu cara yang baik untuk memahami dan mendokumentasikan pengendalian internal suatu organisasi. Kerangka COBIT ini bukan merupakan pengganti, tetapi merupakan suatu pendukung pengendalian internal COSO agar lebih mudah memahami dan mendokumentasikan pengendalian intern, khususnya pada perusahaan berbasis TI.
Framework COBIT menyediakan pernyataan pengendalian tertinggi untuk proses TI dengan mengidentifikasi kebutuhan bisnis terhadap pernyataan pengendalian, mengidentifikasi sumber daya TI yang digunakan
dalam proses, mencantumkan keberadaan pengendalian dan menyebutkan tujuan pengendalian secara umum (Colbert, 1996).
COBIT (Control Objectives for Information and Related Technology)
merupakan sebuah proses model yang dikembangkan untuk membantu perusahaan dalam pengelolaan sumber daya Teknologi Informasi (TI). Proses model ini difokuskan pada pengendalian terhadap masing-masing dari 34 proses TI, meningkatkan tingkat kemapanan proses dalam TI dan memenuhi ekspektasi bisnis dari IT.
COBIT menciptakan sebuah jembatan antara manajemen TI dan para eksekutif bisnis. COBIT mampu menyediakan bahasa yang umum sehingga dapat dipahami oleh semua pihak. Adopsi yang cepat dari COBIT di seluruh dunia dapat dikaitkan dengan semakin besarnya perhatian yang diberikan
terhadap Corporate Governance dan kebutuhan perusahaan agar mampu
berbuat lebih dengan sumber daya yang sedikit meskipun ketika terjadi kondisi ekonomi yang sulit.
Fokus utama dari COBIT ini adalah harapan bahwa melalui adopsi COBIT ini, perusahaan akan mampu meningkatkan nilai tambah melalui
penggunaan TI dan mengurangi resiko-resiko inheren yang teridentifikasi
didalamnya. COBIT dikembangkan oleh IT Governance Institute (ITGI), yang
(ISACA). Saat ini pengembangan terbaru dari standar ini adalah COBIT Edisi 4.1.
Dalam COBIT 4.1 terdapat 34 daftar proses yang terbagi dalam 4
domain yaitu Plan And Organise (PO), Acquire And Implement (AI), Deliver
And Suport (DS), dan Monitor And Evaluate (ME). Proses – proses yang ada dalam Cobit mencerminkan proses yang mungkin terdapat dalam sebuah organisasi. Jumlah proses yang terdapat dalam sebuah organisasi bervariasi, bergantung dari besar kecilnya organisasi itu.
2.2.1 Struktur Paket COBIT
Sebuah paket COBIT yang lengkap terdiri atas :
1) Executive Overview
Sebuah keputusan bisnis didasarkan kepada informasi yang relevan, tepat waktu, dan tepat. COBIT dirancang untuk digunakan
oleh eksekutif senior dan manajer. Executive Overview terdiri dari
tinjauan yang menyediakan perhatian dan pemahaman atas konsep dan
prinsip kunci dari COBIT. Overview ini juga mencakup sinopsis
mengenai kerangka dasar yang menyediakan pemahaman yang lebih mendetail atas konsep dan prinsip.
COBIT mendefinisikan 34 proses generik untuk mengelola Teknologi Informasi. Setiap proses didefinisikan bersama dengan
proses input dan output, proses kegiatan kunci, tujuan proses, ukuran
tata kelola Teknologi Informasi dengan mendefinisikan dan menyelaraskan tujuan bisnis dengan tujuan dan proses Teknologi Informasi.
2) Kerangka Kerja (Framework)
Framework menjelaskan bagaimana proses IT akan memberikan informasi yang dibutuhkan perusahaan dalam mencapai tujuannya.
Dalam COBIT framework ini disampaikan misi COBIT yaitu :
"Melakukan riset, mengembangkan, mempublikasikan, serta
mempromosikan kerangka tujuan pengendalian tata kelola Teknologi
Informasi yang dapat diterima secara International, bersifat otoritatif,
up-to-date, untuk digunakan sehari-hari bagi manajer usaha,
profesional informasi teknologi dan professional assurance."
Pemberian informasi ini dikendalikan dengan 34 tujuan
pengendalian tingkat tinggi (high-level control), satu untuk
masing-masing proses IT. Lingkup kriteria informasi yang sering menjadi perhatian COBIT adalah :
a. Effectiveness : Berhubungan dengan informasi yang relevan dan berhubungan dengan proses bisnis, yang mana disampaikan secara tepat waktu, benar, konsisten dan dapat digunakan.
b. Efficiency : Mengenai ketentuan dari informasi melalui penggunaan sumber daya yang optimal (yang paling produktif dan ekonomis).
c. Confidentiality : Menekankan pada perlindungan atas informasi yang sensitif dari penyingkapan yang tidak berwenang.
d. Integrity : Berhubungan dengan akurasi dan kelengkapan informasi, dan juga validitas yang sejalan dengan nilai dan harapan bisnis.
e. Availability : Terkait dengan informasi yang tersedia ketika diperlukan oleh proses bisnis saat ini dan dimasa mendatang. hal ini juga berkaitan dengan perlindungan atas sumber daya yang penting.
f. Compliance : Berhubungan dengan kepatuhan pada hukum, peraturan dan perjanjian kontrak yang mana terkait dengan proses bisnis.
g. Reliability : Berhubungan dengan ketentuan bagi informasi yang sesuai untuk manajemen dalam mengelola entitas dan melakukan tanggung jawab tata kelola.
Framework ini juga mengidentifikasikan kriteria untuk sumber daya TI yaitu :
a. Aplikasi : adalah sistem pengguna otomatis dan prosedur manual yang memproses informasi.
b. Informasi : adalah data, dalam segala bentuknya,
dimasukkan, dan output-nya yang diproses oleh sistem
informasi dalam bentuk apapun yang digunakan oleh bisnis.
c. Infrastruktur : adalah teknologi dan fasilitas (Misalnya,
perangkat keras, sistem operasi, sistem manajemen
database, jaringan, multimedia dan lingkungan yang mendukung rumah dan mereka) yang memungkinkan pemrosesan aplikasi.
d. Orang-Orang : adalah personil yang dibutuhkan untuk
merencanakan, mengatur, memperoleh, melaksanakan, memberikan, dukungan, memantau dan mengevaluasi
sistem layanan informasi. mereka mungkin internal,
outsourcing, atau dikontrak seperti yang diperlukan.
3) Uraian Pr oses (Process Description)
Merupakan suatu model proses referensi dan bahasa umum untuk setiap orang untuk melihat dan mengelola kegiatan Teknologi Informasi dalam sebuah organisasi. Proses ini memetakan wilayah tanggung jawab dalam merencanakan,
ini disajikan hal mengenai definisi setiap proses, fokus pelaksanaan proses, target yang hendak dicapai dan alat untuk pengukuran proses tersebut.
4) Tujuan Pengendalian (Control Objectives)
Tujuan pengendalian COBIT menyediakan pemahaman yang kritis dalam menentukan kebijakan yang jelas dan praktik yang baik untuk pengendalian IT. Termasuk didalamnya pernyataan akan keinginan untuk mencapai 214 tujuan pengendalian spesifik dan tujuan pengendalian detail dalam 34
proses IT tingkat tinggi (High-Level IT Processes).
Pengendalian didefinisikan sebagai kebijakan, prosedur, praktek dan struktur organisasi yang dirancang untuk memberikan keyakinan yang memadai bahwa tujuan bisnis akan tercapai dan kejadian yang tidak diinginkan akan dicegah atau dideteksi dan diperbaiki.
Tujuan pengendalian Teknologi Informasi menyediakan satu set persyaratan tingkat tinggi yang lengkap untuk dipertimbangkan oleh manajemen untuk pengendalian yang efektif pada setiap proses Teknologi Informasi, yaitu :
a. Apakah pernyataan tindakan manajerial untuk meningkatkan
b. Terdiri dari kebijakan, prosedur, praktek dan struktur organisasi.
c. Apakah dirancang untuk memberikan keyakinan yang
memadai bahwa tujuan bisnis akan tercapai dan kejadian yang tidak diinginkan dapat dicegah atau dideteksi dan diperbaiki.
5) Panduan Manajemen (Management Guidelines)
Management Guidelines tersusun dari konsep yang sudah
matang, untuk membantu menentukan tingkatan dan level
ekspektasi dari pengendalian dan membandingkannya dengan industri yang sejenis. Ada beberapa istilah yang digunakan
Management Guidelines untuk menentukan kebijakannya yaitu :
a. Generik Input dan Output (From-Input proses and Output-To
Process)
Pemilik proses harus memahami input apakah yang mereka
butuhkan dari orang lain, dan hal lain apakah yang mereka
butuhkan untuk proses tersebut. COBIT menyediakan contoh "Key
Input and Output" pada setiap proses termasuk persyaratan
eksternal Teknologi Informasi. Ada beberapa output yang
merupakan input untuk semua proses lainnya.
b. RACI charts
mengidentifikasi siapa yang bertanggung jawab (Responsible), pihak mana yang harus mencatat, menyediakan arah dan otorisasi
suatu kegiatan (Accountable), pihak mana yang bisa diajak
melakukan konsultasi (Consulted) atau siapa yang hanya
diberitahukan saja (Informed).
c. Key Activity Goal (Hal terpenting yang harus dilakukan) d. Metrics (Pengukuran)
6) Model Kedewasaan (Maturity Model)
Model kedewasaan ini menilai kematangan dan
kemampuan per proses dan membantu untuk mengatasi kesenjangan. Pemodelan kematangan untuk metode manajeman dan pengendalian atas proses Teknologi Informasi didasarkan pada suatu metode evaluasi organisasi, sehingga dapat diurutkan dari level kematangan tidak ada (0) hingga optimal (5).
Pendekatan berasal dari model kematangan bahwa The
Software Engineering Institute (SEI) yang menentukan untuk
kematangan kemampuan pengembangan perangkat lunak
(Software).
Manfaat pendekatan maturity model ini adalah relatif
mudah digunakan oleh manajemen dalam menempatkan skala dan menghargai hal yang terlibat ketika peningkatan kinerja diperlukan. Skala nol (0) mengidentifikasikan kemungkinan tidak ada proses yang terjadi sama sekali. Sakala 0-5 berdasarkan skala
kematangan yang sederhana yang menunjukkan bagaimana suatu
proses itu terjadi dari suatu kapasitas yang non-existence ke
kapasitas yang optimised.
Skala maturity model ini akan membantu para profesional
dalam menjelaskan kepada manajer dimana kelemahan proses manajemen Teknologi Informasi dan mampu menetapkan target yang dibutuhkan organisasi. Tingkat kematangan akan dipengaruhi oleh tujuan bisnis organisasi, lingkungan dan praktek industri.
Secara khusus, tingkat kematangan manajemen akan
ketergantungannya pada Teknologi Informasi, kecanggihan teknologi, dan yang paling penting, nilai informasi itu sendiri. Berikut pengukuran tingkat kematangan menurut COBIT 4.1 yang
dibagi menjadi 6 level :
0.Nothing, adalah kondisi dimana perusahaan sama sekali tidak peduli terhadap pentingnya Teknologi Informasi untuk dikelola secara baik oleh manajemen.
1.Ad-Hoc, adalah kondisi dimana perusahaan secara reaktif melakukan penerapan dan implementasi Teknologi Informasi sesuai dengan kebutuhan-kebutuhan mendadak yang ada, tanpa didahului dengan perencanaan sebelumnya.
2.Repeatable, adalah kondisi dimana perusahaan telah memiliki pola yang berulang kali dilakukan dalam melakukan manajemen aktivitas terkait dengan tata kelola Teknologi Informasi, namun keberadaannya belum terdefinisi secara baik dan formal sehingga masih terjadi ketidak konsistenan.
3.Defined, adalah kondisi dimana perusahaan telah memiliki prosedur baku formal dan tertulis yang telah disosialisasikan ke segenap jajaran manajemen dan karyawan untuk dipatuhi dan dikerjakan dalam aktivitas sehari-hari.
4.Managed, adalah kondisi dimana perusahaan telah memiliki sejumlah indikator atau ukuran kuantitatif yang dijadikan sebagai sasaran maupun obyektif kinerja setiap penerapan aplikasi Teknologi Informasi yang ada.
5.Optimised, adalah kondisi dimana perusahaan dianggap telah mengimplementasikan tata kelola manajemen Teknologi Informasi
2.2.2 Kerangka Kerja Model COBIT
Kerangka COBIT mengikat kebutuhan bisnis untuk informasi dan tata kelola untuk tujuan fungsi layanan Teknologi Informasi. Model proses Teknologi Informasi COBIT memungkinkan kegiatan dan sumber daya Teknologi Informasi yang mendukung mereka agar dapat dikelola dan dikendalikan secara tepat berdasarkan tujuan pengendalian COBIT dan selaras serta diawasi menggunakan tujuan
(Goal) dan pengukuran (Metric) COBIT.
Ringkasnya sumber daya Teknologi Informasi yang dikelola oleh proses Teknologi Informasi untuk mencapai tujuan yang
merespon Teknologi Informasi dengan kebutuhan bisnis. Inilah prinsip
dasar dari kerangka COBIT (COBIT Framework). Seperti pada kubus
COBIT gambar 2.2.
Untuk tampilan secara lebih detail, keseluruhan kerangka COBIT dapat ditunjukkan secara grafis dibawah ini, dengan
menampilkan 4 domain COBIT, yang terdiri dari 34 proses generik,
mengelola sumber daya Teknologi Informasi dan menyampaikan informasi sesuai dengan kebutuhan bisnis dan tata kelolanya.
2.2.3 Domain COBIT 4.1
Terdapat empat Domain dalam COBIT 4.1 yaitu : 1) Plan and Organise (PO)
Domain Perencanaan dan Organisasi meliputi penggunaan informasi dan teknologi dan seberapa bagus digunakan dalam perusahaan untuk
membantu pencapaian tujuan dan sasaran perusahaan. Dalam domain ini
juga menekankan kepada bagaimana bentuk organisasional dan infrastruktur TI akan digunakan dalam mencapai hasil yang optimal.
Tujuan pengendalian tingkat atas dari proses TI untuk domain
Perencanaan dan Organisasi (PO) :
a. PO1. Define a Strategic IT Plan and Direction (Mendefinisikan
Rencana Strategis TI)
b. PO2. Define the Information Architecture (Mendefinisikan Arsitektur
Informasi)
c. PO3. Determine Technological Direction (Menentukan Petunjuk
Teknologis)
d. PO4. Define the IT Processes, Organization and Relationships
(Mendefinisikan Proses, Organisasi dan Hubungan TI)
e. PO5. Manage the IT Investment (Mengelola Investasi TI)
f. PO6. Communicate Management Aims and Direction
(Mengkomunikasikan Arah dan Tujuan Manajemen)
h. PO8. Manage Quality (Mengelola Kualitas)
i. PO9. Assess and Manage IT Risks (Menilai dan mengelola Resiko TI)
j. PO10. Manage Projects (Mengelola Proyek-Proyek)
2) Acquire and Implement (AI)
Domain ini meliputi proses identifikasi persyaratan TI, cara memperoleh teknologi, dan mengimplementasikannya kedalam proses
bisnis perusahaan pada saat ini. Domain ini juga menyebutkan mengenai
pengembangan sebuah perencanaan pemeliharaan yang harus diadopsi oleh perusahaan dengan tujuan untuk memperpanjang siklus sistem TI dan komponennya. Berikut berisikan tujuan pengendalian tingkat atas dari
proses IT untuk domain Memperoleh dan Implementasi (AI) :
a. AI1. Identify Automated Solutions (Mengidentifikasi Solusi Otomatis).
Mengidentifikasi setiap kebutuhan untuk sistem Informasi yang kemudian akan diimplementasikan ke dalam aplikasi dan membuat analisa sebelum merancang aplikasi tersebut mulai dari studi kelayakan aplikasi, biaya-manfaat, resiko sampai keputusan apakah sistem yang akan di implementasikan “Membuat” atau “Membeli” dan memastikan apakah sistem ini sudah sesuai dengan tujuan bisnis yang
dijalankan. Tujuan dari Proses-proses diatas yaitu untuk
meminimalkan biaya untuk memperoleh dan menerapkan solusi dari sistem yang dirancang.
AI1.1. Definisi dan pemeliharaan bisnis fungsional serta kebutuhan teknik.
Mengidentifikasi, memprioritaskan, menentukan dan
menyepakati kebutuhan bisnis fungsional dan teknik meliputi cakupan penuh dari semua inisiatif yang diperlukan untuk mencapai hasil yang
diharapkan dari program investasi IT-enabled.
Pada proses ini menjelaskan bahwa ketika membangun sebuah sistem untuk memenuhi kebutuhan bisnis, maka diperlukan identifikasi kebutuhan, menyepakati kebutuhan bisnis dan teknik dari berbagai pihak, terutama pada pihak yang berhubungan dengan sistem yang akan dibangun agar manfaat dapat tercapai seperti yang diharapkan.
AI1.2. Laporan analisa Resiko.
Mengidentifikasi, mendokumentasikan dan menganalisa resiko yang terkait dengan kebutuhan bisnis dan desain solusi sebagai bagian dari proses organisasi untuk pengembangan kebutuhan.
Dalam hal membangun solusi TI COBIT menyatakan bahwa ketika mengidentifikasi solusi otomatis maka diperlukan juga dokumentasi. Menganalisa dampak dan kemungkinan yang terjadi terkait dengan kebutuhan bisnis yang sedang dijalankan.
AI1.3. Studi Kelayakan dan Penyusunan Program Alternatif
Mengembangkan studi kelayakan yang mengkaji kemungkinan menerapkan kebutuhan. Manajemen bisnis, didukung oleh fungsi TI, harus menilai kelayakan program dan alternatif tindakan dan membuat rekomendasi kepada sponsor bisnis.
Hal ini merupakan salah satu dari proses mengidentifikasi solusi otomatis. Dimana studi kelayakan harus dikembangkan dengan harapan hasil sesuai dengan yang diinginkan. Studi kelayakan didefinisikan oleh pemilik proses bisnis. Dan satndar teknologi mengikuti perkembangan pada saat itu. Dan memberikan rekomendasi kebutuhan apa saja yang akan digunakan untuk menerapkan solusi TI yang akan diimplementasikan. Mulai dari perangkat keras, perangkat lunak, jaringan sampai dengan sumber daya manusia yang mendukung.
AI1.4. Persyaratan dan keputusan kelayakan dan persetujuan.
Verifikasi bahwa proses ini membutuhkan sponsor bisnis untuk menyetujui dan menandatangani pada kebutuhan bisnis fungsional dan teknis serta laporan studi kelayakan pada tahap kunci yang telah ditentukan. Sponsor bisnis harus membuat keputusan akhir terhadap pilihan solusi dan pendekatan akuisisi.
Pada proses ini menyatakan bahwa setiap hasil dari identifikasi maupun studi kelayakan kebutuhan yang akan diterjemahkan kedalam sebuah solusi otomatis, maka diperlukan persetujuan dari pemilik proses bisnis. Hal ini diperlukan untuk menghindari asumsi studi kelayakan yang salah. Manajemen bisnis harus memberikan keputusan akhir untuk menyatakan bahwa studi kelayakan yang dilakukan sudah sesuai dengan kebutuhan.
b. AI2. Acquire and Maintain Application Software (Memperoleh dan
Memelihara Aplikasi Perangkat Lunak).
Memastikan aplikasi yang dirancang sesuai dengan kebutuhan bisnis perusahaan. Proses ini meliputi perancangan desain aplikasi dengan kontrol keamanan dan standar konfigurasi sistem.
c. AI3. Acquire and Maintain Technology Infrastructure (Memperoleh
dan memelihara Infrastruktur Teknologi).
Proses ini meliputi pemeliharaan dan perlindungan
infrastruktur IT yang sesuai dengan strategi dan teknologi yang
diterapkan. Memastikan dukungan terhadap teknologi yang
berkelanjutan untuk sistem aplikasi yang dirancang.
d. A14. Enable Operation and Use (Memungkinkan Operasi dan
Pengetahuan tentang sistem baru yang tersedia. Proses ini
membutuhkan dokumen dan manual book bagi pengguna. Dan
menyediakan pelatihan untuk memastikan penggunaan yang tepat dalam pengoperasian aplikasi dan infrastruktur.
e. AI5. Procure IT Resource (Mendapatkan Sumber Daya TI)
Sumber Daya IT, termasuk orang-orang, perangkat keras, perangkat lunak dan jasa perlu diperoleh. Hal ini membutuhkan definisi dan melaksanakan prosedur pengadaan, pemilihan Vendor, pengaturan perjanjian kontrak dan akuisisi itu sendiri . Hal ini dilakukan untuk memastikan bahwa organisasi bisnis memiliki sumber daya IT yang tepat dan hemat biaya.
AI5.1. Pengawasan Pengadaan
Mengembangkan dan mengikuti serangkaian prosedur dan standar yang konsisten dengan proses pengadaan secara keseluruhan organisasi bisnis dan strategi akuisisi untuk memperoleh yang berkaitan dengan IT infrastruktur, fasilitas, perangkat keras, perangkat lunak dan layanan yang dibutuhkan oleh bisnis.
Dalam proses ini bahwa pengawasan diperlukan dalam hal pengadaan barang maupun jasa. Pengawasan ini berupa dokumen prosedur dan kebijakan yang telah disepakati bersama dan disetujui
sebagai pedoman untuk melaksanakan kegiatan dan anggaran yang dibutuhkan dalam proses binis yang dijalankan.
AI5.2. Manajemen Kontrak dengan Pemasok
Membuat prosedur untuk menetapkan, mengubah dan mengakhiri kontrak untuk semua pemasok. Prosedur harus mencakup, minimal, legal, keuangan, organisasi, dokumenter, kinerja, keamanan, kekayaan intelektual, dan tanggung jawab penghentian dan kewajiban (termasuk klausa hukuman). Semua kontrak dan perubahan kontrak harus ditinjau oleh para penasehat hukum.
AI5.3. Pemilihan Pemasok
Memilih pemasok menurut sebuah praktek yang adil dan formal untuk memastikan kesesuaian terbaik yang layak berdasarkan kebutuhan tertentu. Kebutuhan harus dioptimalkan dengan masukan dari pemasok yang potensial.
Dalam pemilihan pemasok lebih mengarah pada pengalaman atau keputusan professional manajemen bisnis sesuai dengan kondisional lapangan. Hal ini diperlukan untuk memastikan pemasok dapat mencukupi kebutuhan yang telah ditetapkan berdasarkan
kontrak yang disetujui bersama antara pemasok dengan manajemen bisnis,
AI5.4. Akuisisi Sumber Daya IT
Melindungi dan melaksanakan kepentingan organisasi dalam semua perjanjian akuisisi kontrak, termasuk hak dan kewajiban semua pihak dalam kontrak untuk pembelian perangkat lunak, pengembangan sumber daya, infrastruktur dan jasa.
Pada proses ini merupakan salah satu yang harus dilaksanakan dalam menjalin hubungan kerjasama dengan pihak ketiga. Dimana manajemen bisnis harus melindungi dan melaksanakan kepentingan organisasi terlebih dahulu. Harapannya dalam menjalin kerjasama tersebut tidak merugikan pihak organisasi dan tentunya dapat menjaga nama baik organisasi.
f. AI6. Manage Changes (Mengelola Perubahan).
Semua perubahan, termasuk pemeliharaan dan patch darurat, yang berkaitan dengan infrastruktur dan aplikasi dalam produksi