vi
Abstrak
Semakin berkembangnya zaman dan kebutuhan IT pun semakin meningkat. Maka banyak instansi pemerintahan mulai membutuhkan perbaikan-perbaikan pada sistemnya. Laporan Akhir ini membahas tentang pengauditan di Kementrian perdagangan Divisi Pusat Data & Informasi. Kementrian Perdagangan adalah instansi pemerintahan yang bergerak dibidang pelayanan perdagangan. Pengauditan mengunakan Monitor and Evaluate IT Performance (ME1), Monitor and Evaluate Internal Control (ME2), Ensure Regulator Compliance (ME3), Provide IT Goverance (ME4), dan Ensure System Security (DS5). COBIT (Control Objektive for Informal Related Technology) adalah suatu panduan standar praktik manajemen teknologi informasi yang dirancang sebagai alat penguasaan IT yang mebantu dalam pemahaman dan menganalisis resiko. Dalam pengauditan ini mengunakan COBIT dan data-data berasal dari wawancara, kuesioner dan observasi.
vii
Abstrack
The continued development of the times and the needs of IT is increasing. So many government agencies began to require improvements in the system. This Final Report discusses the auditing division at the Ministry of commerce & Information Data Center. Ministry of Commerce is a government agency operating in the trade ministry. Auditing using the Monitor and Evaluate IT Performance (ME1), Monitor and Evaluate Internal Control (ME2), Ensure Regulatory Compliance (ME3), Provide IT Goverance (ME4), and Ensure System Security (DS5). COBIT (Control Objective for Informal Related Technology) is a standard manual of information technology management practices that are designed as an IT governance tool that mebantu in understanding and analyzing risk. In this audit using COBIT and the data derived from interviews, questionnaires and observation.
viii
DAFTAR ISI
LEMBAR PENGESAHAN ... i
PERNYATAAN ORISINALITAS LAPORAN PENELITIAN ... ii
PERNYATAAN PUBLIKASI LAPORAN PENELITIAN ... iii
Kata Pengantar ... iv
Abstrak ... vi
Abstrack ... vii
DAFTAR ISI ... viii
Daftar Gambar ... xii
Daftar Singkatan ... xiii
BAB I PENDAHULUAN ... 1
1.1 Latar Belakang Masalah ... 1
1.2 Rumusan Masalah... 2
1.3 Tujuan Pembahasan ... 2
1.4 Ruang Lingkup Masalah ... 3
1.5 Sumber Data ... 6
1.6 Sistematika Penyajian ... 6
BAB II KAJIAN TEORI ... 8
2.1 Sistem Informasi ... 8
2.1.1 Definisi Sistem Informasi ... 8
2.2 Analisis Sistem... 8
2.2.1 Pengertian Analisis Sistem ... 8
2.2.2 Langkah-Langkah Di analisis Sistem ... 9
2.3 Audit Sistem Informasi ... 9
2.3.1 Definisi Audit Sistem Informasi ... 9
ix
2.3.3 Langkah-langkah Audit Sistem Informasi ... 12
2.4 COBIT Framework ... 14
2.4.1 Pengertian COBIT... 14
2.4.2 Kerangka Kerja COBIT ... 15
2.4.3 Maturity Model ... 18
2.4.3.1 Level 1 – Initial/Ad Hoc ... 19
2.4.3.2 Level 2 –Repeatable but Intuitive ... 19
2.4.3.3 Level 3 – Defined ... 20
2.4.3.4 Level 4 – Managed and Measurable ... 20
2.4.3.5 Level 5 – Optimised ... 20
2.4.4 Key Goal Indicator ... 21
2.4.5 Key Performa Indicator ... 22
2.5 Penjelasan Proses-proses yang Diambil ... 22
2.6.1 Monitor And Evaluate IT Performance (ME 1) ... 22
2.6.2 Monitor And Evaluate Internal Control (ME 2) ... 25
2.6.3 Ensure Compliance With External Requirements (ME 3) ... 28
2.6.4 Provide IT Governance (ME 4) ... 31
2.6.5 Ensure System Security (DS5) ... 35
2.6 Electronic-Government (e-goverment) ... 39
2.6.1 Pengertian Electronic Government (e-government) ... 39
2.6.2 Manfaat E-government. ... 41
BAB III ANALISA DAN PEMODELAN ... 43
3.1 Visi,Misi dan Tujuan Kementrian Perdagangan ... 43
3.1.1 Visi ... 43
3.1.2 Misi ... 43
x
3.2 Struktur Organisasi ... 45
3.3 Proses Bisnis ... 45
3.3.1 INATRADE ... 45
3.3.2 Penguna Sistem Inatrade. ... 47
3.4 Hasil Analisis dan Temuan Audit ... 52
3.4.1 Monitor and Evaluate IT Performance (ME1) ... 52
3.4.1.1 ME.1.2 Definition and Collection of Monitoring Data . ... 52
3.4.1.2 ME1.3 Monitoring Method. ... 53
3.4.1.3 ME 1.4 Performance Assesment ... 54
3.4.1.4 ME1.5 Board and Executive Reporting ... 55
3.4.1.5 ME1.6 Remedial Actions... 55
3.4.2 Monitoring and Evaluate Internal Control (ME2) ... 58
3.4.3.1 ME2.1 Monitoring of Internal Control Framework ... 58
3.4.3.2 ME2.2 Supervisory Review ... 59
3.4.3.3 ME2.4 Control Self-assessment ... 60
3.4.3.4 ME2.5Assurance of internal Control ... 62
3.4.3 Ensurance Compliance With External Requirements (ME3) .... 64
3.4.3.1 ME3.1 Identification of External Legal, Regulatory and Contractual Compliance Reguirements ... 64
3.4.3.2 ME3.2 Optimisation of repson to External Requirements. . 66 3.4.3.3 ME3.3 Evaluation of Compliance With External Requirements. ... 68
3.4.3.4 ME.3.5 Integrated Reporting ... 70
3.4.4 Provide IT Goverance (ME4) ... 73
3.4.4.1 ME4.1 Establish of an IT Goverance Framework ... 74
xi
3.4.4.3 ME4.4 Resource Management ... 76
3.4.4.5 ME4.5 Performance Measurement ... 77
3.4.5 Ensure System Security(DS5) ... 80
2.4.5.1 DS5.1 Management of IT Security ... 81
2.4.5.2 DS5.3 Identity Management ... 82
3.4.5.3 DS5.4 User Account Management ... 83
3.4.5.4 DS5.5 Security Testing, Surveilance and Monitoring ... 85
3.4.5.5 DS5.7 Protection of Security Technology ... 86
3.4.5.6 DS5.10 Network Security ... 88
BAB IV PENUTUP ... 92
4.1 Kesimpulan ... 92
4.2 Saran ... 98
Daftar Pustaka ...101
LAMPIRAN ...102
xii
Daftar Gambar
Gambar. 1 Aliran Sistem Informasi ... 8
Gambar. 2 Langkah-langkah Audit ... 14
Gambar. 3 COBIT Framework ... 16
Gambar. 4 Seluruh proses COBIT ... 17
Gambar. 5 Sumberdaya Dan Kriteria ... 18
Gambar. 6 Struktur organisasi ... 45
Gambar. 7 Alur INATRADE... 47
Gambar. 8 Gambar Proses Flow Registrasi hak akses... 49
Gambar. 9 Gambar alur perijinan ... 50
xiii
Gambar. 30 Gambar tabel Dokumen Pendukung ... C.15 Gambar. 31 Gambar form Perijinan IP Plastik (1) ... C.16 Gambar. 32 Gambar Ruangan Server di Kementrian Perdagangan ... C.17 Gambar. 33 Jaringan PDE ... C.17
Daftar Singkatan
COBIT :Control Objective for Information Related Technology Pusdatin :Pusat Data & Informasi
UPP :Unit Pelayanan Perijinan TI :Teknologi Informasi SDM :Sumber Daya Manusia
CAAT :Computer Aided Auditing Technique
ISACA :Information Systems Audit and Control Association INSW :Indonesia Nasional Single Window
NSW :NAsional Single Window SOP :Standar OPeration Procedure SLA :Service Level Arrangement
APBD :Anggaran Pendapatan dan belanja Negara ULP :Unit Layanan Pengadaan
BPK :Badan pemeriksaan Keuangan Permendag :Peraturan Mentri Perdagangan SKA :Surat Keterangan Asal
QA :Quality Anssurance
NOC :Network Operation Center PDE :Pertukaran Data Elektronik.
1
BAB I PENDAHULUAN
1.1 Latar Belakang Masalah
Kementrian Perdagangan adalah badan pemerintah yang bertugas untuk membantu Presiden dalam menyelengarakan sebagaian usaha pemerintah di bidang perdagangan yang terdiri dari beberapa divisi atau hirarki yang memiliki fungsi dan tugas masing-masing yang mendukung pelaksanaan keseluruhan kinerja dan kegiatan yang dilakukan oleh Kementrian peerdagangan. Salah satu divisinya adalah Pusat Data dan Informasi Perdagangan.
Divisi Pusat data dan Informasi perdagangan merupakan badan yang Melaksanakan koordinasi,pembinaan dan pengembangan basis data, analisia data, sistem jaringan serta pelayanan data perdagangan, Dalam melaksanakan tugas ini, Kementrian perdagangan sudah didukung oleh TI berupa suatu sistem informasi pelayanan perijinan secara online yaitu INATRADE. INATRADE adalah layanan perijinan online milik Kementrian Perdagangan. Dengan adanya INATRADE diharapkan pelayanan Kementrian Perdagangan kepada masyarakat memasuki babak baru dengan prinsip “single entry dan single exit point” sehingga proses perijinan khususnya perdagangan luar negeri dan perdagangan dalam negeri tidak lagi dilakukan secara tatap muka antar pemohon dengan pejabat pemerintah. Melalui sistem elektronik pihak yang ingin mendaftarkan diri sebagai perusahaan ekspor dan impor dapat mengajukan perijinannya secara elektronik kepada Unit pelayanan Perdaganga melalui internet.
Untuk memenuhi permintaan pemohon dalam melakukan perijinanan ekspor maupun impor, dibutuhkan sumber daya manusia yang terlatih dan disiplin dalam melaksanakan tugas-tuganya terlebih dalam pengunaan sistem komputerisasi. Tujuannya agar semua proses bisnis bisa dipenuhi dengan baik.
2
perdangan, Masalah pengelolaan data dan aliran informasi yang kadang menjadi sangat sulit dikendalikan karena kurangnya pemantauan dan evaluasi dari pihak TI
Karena itulah diperlukan pengolahan teknologi informasi dan sistem informasi yang baik pada Kementrian Perdagangan agar seluruh aktifitas yang dijalankan sesuai dengan tujuan bisnis. Salah satu bentuknya adalah melakukan audit sistem informasi mengunakan framework COBIT. Hal ini dikarenakan masih ditemukannya proses-proses di Kementrian yang belum sesuai dengan framework COBIT. Berdasarkan latar belakang masalah tersebut, maka laporan Tugas akhir ini diberi judul “AUDIT SISTEM INATRADE PADA KEMENTRIAN PERDAGANGAN DIVISI PUSAT DATA
& INFORMASI DENGAN MENGUNAKAN COBIT FRAMEWORK”
1.2 Rumusan Masalah
Berdasarkan latar belakang yang telah ditemukan sebelumnya, permasalah utama yang dikaji dalam tugas akhir ini adalah bagaimana cara Kementrian Perdagangan khususnya divisi Pudat data dan informasi sebagai unit pengendalian dapat dengan efektiv dan efisien untuk memonitorisasi dan mengevaluasi sistem perijinan.
1. Bagaimana proses evaluasi dan monitoring Sistem INATRADE yang dilakukan di Divisi Pusat Data dan Informasi Kementrian Perdagangan?
2. Bagaimana proses pemantauan di Kementrian perdagangan dalam mempertahankan integritas sistem dan melindungi aset IT?
3. Bagaimana hasil analisis proses evaluasi dan monitoring sistem informasi menggunakan COBIT 4.1 ?
1.3 Tujuan Pembahasan
Tujuan utama yang diharapkan dalam pembuatan tugas akhir adalah
3
2. Mengetahui proses pemantauan dan penanganan integritas sistem dalam melindungi aset IT di Kementrian Perdagangan.
3. Mengetahui hasil dari analisis proses evaluasi dan monitoring sistem informasi tersebut.
1.4 Ruang Lingkup Masalah
Agar dapat mencapai tujuan penelitian maka pembatasan masalah adalah mengacu pada COBIT framework,proses-proses yang digunakan dalam pengauditan :
1. ME1. (Monitor And Evaluate IT Performance)
Kinerja manajemen TI yang memerlukan proses monitoring.Proses ini meliputi menentukan kinerja yang relevan dengan indikator,sistematika,dan tepat waktu dalam pelaporan kinerja,dan ketepatan ketika ada penyimpangan.
Objek yang dikontrol:
a) Definition and Collection of Monitoring Data (ME1.2)
Proses ini membahas tentang pendefinisian target kinerja yang sudah disetujui dan sesuai dengan proses bisnis di dalam Kementrian.
b) Monitoring Method (ME1.3)
Proses ini membahas tentang bagaimana cara atau metode yang dipakai dalam memonitor suatu sistem .
c) Performance Assasment (ME1.4)
Proses ini membahas kinerja terhadap target,menganalisa penyebab dari setiap penyimpangan, dan memulai tindakan perbaikan untuk mengatasi penyebab yang mendasari.
d) Board and Executive Reporting (ME1.5)
Proses ini membahas tentang laporan mengenai kinerja tingkat layanan.
e) Remedial Actions (ME1.6)
4
2. ME2.(Monitor And Evaluate Internal Control)
Membentuk program pengendalian internal yang efektif untuk TI memerlukan proses monitoring yang jelas.
Objek yang dikontrol:
a) Monitoring of Internal Framework (ME.2.1)
Proses ini membahas mengenai pemantauan internal terhadap suatu framework yang dipakai
b) Supervisory Review (ME2.2)
Proses ini membahas tentang Pemantauan yang efektif terhadap pengendalian internal IT.
c) Control Self-assesment (ME2.4)
Proses ini membahas tentang evaluasi kelengkapan dan efektivitas suatu kendali menejemen atas proses IT, beserta kebijakan yang ada serta kontrak yang berlaku.
d) Asssurance Of Internal Control (ME2.5)
Proses ini membahas mengenai jaminan yang didapat dari riview
pihak ketiga.
3. ME3.( Ensure Compliance With External Requirements )
Pengawasan yang efektif terhadap kontrol yang mengharuskan dibentuknya suatu proses tinjauan untuk memastikan kepastian terhadap hukum, peraturan dan persyaratan akan kontrak.
Objek yang dikontrol:
a) Identification of External Legal, Regulator and Contractual
Compliance Reguirements (ME3.1)
Proses membahas mengenai identifikasi hukum, peraturan dan persyaratan yang harus dipatuhi.
b) Optimisation of Respon to Regulatory Requirements
(ME3.2)
5
c) Evaluation of Compliance with Regulation Requirements
(ME3.3)
Proses ini membahas kebijakan prosedur IT termasuk persyaratan dan hukum berdasarkan aturan bisnis.
d) Integerated Reporting (ME3.5)
Proses ini membahas mengenai laporan yang terintegerasi mengenai persyaratan, hukum dan peraturan.
4. ME4.( Provide IT Governance)
Membangun kerangka kerja pemerintahan yang efektif mencakup mendefinisikan struktur organisasi.
Objek yang dikontrol:
a) Establish of an IT Governance Framework (ME4.1)
Proses ini membahas mengenai kerangka kerja berdasarkan kebutuhan dari organisasi yang sesuai dengan proses-proses sistem yang ada.
b) Strategic Aligment(ME4.2)
Proses ini membahas mengenai kemampuan dalam memahami proses bisnis dengan potensi IT.
c) Resources Management (ME4.4)
Proses ini membahas mengenai investasi ,penggunaan dan alokasi sumber daya IT melalui penilaian yang berkala akan sistem.
d) Performance Measurement (ME4.5)
Proses ini membahas mengenai laporkan portofolio atas kinerja dan meninjau kemajuan organisasi/perusahaan.
5. DS5.(Ensure System Security)
Proses ini membahas mengenai bagaimana perusahaan mempertahankan integritas infromasi dan melindungi aset IT dalam membangun dan mempertahankan manajemen keamanan IT.
Objek yang dikontrol:
6
Proses ini membahas mengenai mengelola keamanan IT pada tingkat tertiggi organisasi dengan tepat.
b) Identity Management(DS5.3)
Proses ini membahas mengenai pengidentifikasian semua pengguna sistem.
c) User Account Management(DS5.4)
Proses ini membahan mengenai prosedur yang harus diterapkan untuk semua penguna.
d) Security Testing, Surveilance and Monitoring(DS5.5)
Proses ini membahas mengnai implementasi IT yang telah diuji dan dipantau secara proaktif.
e) Protection of Security Technology(DS5.7)
Proses ini membahas mengenai membuat teknologi keamanan yang tahan terhadap gangguan, dan tidak mengungkapkan dokumentasi keamanan yang tidak perlu.
f) Network Security(DS5.10)
Proses ini membahas mengenai teknik keamanan dan prosedur manajemen yang terkait (misalnya, firewall, peralatan keamanan, segmen jaringan) .
1.5 Sumber Data
Sumber data yang dapatkan di bagi menjadi 2 macam jenis sumber data, yaitu :
1. Sumber data primer : data primer ini diambil secara langsung dari hasil wawancara dengan pihak internal perusahaan.
2. Sumber data sekunder : data sekunder ini diambil dari buku, internet mengenai data-data yang berhubungan.
1.6 Sistematika Penyajian
Sistematika penulisan laporan tugas akhir ini terdiri dari lima bab yang didalamnya mencangkup hal-hal sebagai berikut :
7
Pada bab ini bersifat latar belakang masalah, rumusan masalah, tujuan pembahasan ruang lingkup masalah, sumber data, sistematika penulisan.
§ Bab II Kajian Teori
Pada bab ini berisi penjelasan tentang teori-teori yang digunakan untuk menunjang pembahasan permasalahan, di antaranya mengenai apa itu system informasi, audit. Sejarah dan pengertian Cobit, tingkat pengukuran Maturity Model, Control Objective, serta Sistem Informasi dan Audit Sistem Informasi.
§ Bab III Analisis dan Evaluasi
Bab ini berisi tentang menganalisa dan mengevaluasi proses yang ada dalam perusahaan yang berhubungan dengan proses COBIT, menjelaskan proses yang telah dilakukan saat ini sudah sesuai atau belum dengan standar dari COBIT dan bagaimana penilaian terhadap kesesuian proses-proses yang diaudit.
§ Bab IV Kesimpulan dan Saran
101
Daftar Pustaka
1. COBIT, (2007).Sharing Vision,.United States of America. Governance Institute
2. Diana,Efendi.(2008).Perancangan IT Goverance Pada Layanan Akademik Di Unikom(Universitas Komputer Indonesia) Mengunakan Cobit (Control Objectives For Information And Related Technologi) versi 4.0,Insitut Teknologi Bandung.
3. Edwin Rahmadi,Hadi .(2010).Electronic Goverment(e-goverment),from http:// electronic-government-e-government.html
4. Hasan Biskri.(2008).Peran BPK Dalam Pengelolaan dan Tanggung Jawab Keuangan Negara.Jakarta
5. IT Assurance Guide Using Cobit.(2005),IT Governance Institute,United State of America.Governance Institute
6. Tim Kominfo.(2007).Tata Kelola Teknologi Informasi dan Komunikasi Nasional.Jakarta
7. Permdendag No.28/M-DAG/PER/6/2009
8. Permdendag No.40/M-DAG/PER/10/2010
9. Permdendag No.32/M-DAG/PER/8/2010
