AUDIT TEKNOLOGI INFORMASI DENGAN
COBIT 4.1 DAN IS RISK ASSESSMENT
(STUDI KASUS BAGIAN PUSAT PENGOLAHAN DATA PTS XYZ)
Yudha Purwanto dan ShaufiahInstitut Teknologi Telkom, Bandung om_yudha@yahoo.co.id dan shaufiah@gmail.com
ABSTRACT
Validity and integrity are two main concern of an information system product quality. Information system must be planned, built, and maintained in order to achieve the purposed information quality. Well maintained information system is one part of the information technology (IT) governance. Cobit 4.1 is the latest of Cobit version series released by ISACA in 2007. It is known as a complete guide of IT governance which contains of framework, control objectives, management guideline, and maturity level. Information system in PTS XYZ is planned, built and maintained by a unit called Bagian Pusat Pengolahan Data. The information system maintained by Bagian Pusat Pengolahan Data are data logistics, finance, human resources, and academic. Base of the complex and value of the information, Bagian Pusat Pengolahan Data has been an important unit of PTS XYZ business process. This research has evaluated/assessed the Bagian Pusat Pengolahan Data unit based on the value of risk of information system they maintained. Tool used to assess the risk is IS Risk Assessment which is used to assess the management awareness of risk. After the assessment completed, the result is mapped to Cobit 4.1 domains in order to find out the maturity level of some domains which need to be improved. The audit result of Bagian Pusat Pengolahan Data PTS XYZ found three domains in Cobit 4.1 still below standard which are DS4 (Ensure Continous Service), DS5 (Ensure Systems Security), and DS11 (Manage Operations). The three domains need to be improved by suggestion steps that we proposed as the result of the analysis.
Keywords: Information System, Cobit 4.1, IT Governance, Management Awareness, Risk Assessment.
1. Pendahuluan
PTS XYZ memiliki visi untuk menjadi perguruan berkelas internasional yang unggul di bidang infokom. Dalam organisasinya PTS XYZ terbagi menjadi 4 Departemen dan 5 Direktorat dengan tugas dan fungsi yang berbeda-beda. Perbedaan fungsi dan tugas dari setiap bagian ini berpengaruh pada perbedaan kebutuhan teknologi informasi yang digunakan sehari-hari. Pada PTS XYZ, terdapat sebuah bagian yang bertanggungjawab dan berfungsi mengelola kegiatan administrasi dan layanan informasi serta pengembangan sistem, yaitu bagian Bagian Pusat Pengolahan Data yang berada di bawah Direktorat Dukungan Manajemen. Bagian Pusat Pengolahan Data ini dipimpin oleh seorang Kepala Bagian yang dalam melaksanakan tugas bertanggung jawab kepada Direktur Dukungan Manajemen, dengan unsur pelaksana terdiri dari:
a. Kepala Bagian Pusat Pengolahan Data;
b. Kepala Urusan Administrasi dan Layanan Informasi; c. Kepala Urusan Pengembangan Sistem;
d. Staf Pelaksana.
Integritas dan validitas data sangat diperlukan untuk melaksanakan layanan yang ditugaskan kepada Bagian Pusat Pengolahan Data, yaitu mencakup data logistik, keuangan, sumber daya manusia, registrasi, kegiatan belajar mengajar, alumni PTS XYZ, dan masih banyak lagi. Berdasarkan pada banyak dan pentingnya data-data tersebut, maka adanya suatu sistem informasi dalam kegiatan yang dilakukan oleh Bagian Pusat Pengolahan Data menjadi suatu hal yang sangat penting. Akan tetapi, hal ini tidak menutup kemungkinan bagi Bagian Pusat Pengolahan Data untuk bekerja dengan baik dengan menggunakan sistem informasi yang ada pada saat ini. Oleh karena itu, penelitian ini akan membahas dan melaporkan mengenai hasil audit yang telah kami lakukan sebelumnya. Adapun tujuan dari penelitian ini adalah untuk melakukan audit terhadap Bagian Pusat Pengolahan Data PTS XYZ dengan tahapan menentukan management awareness, kemudian plotting terhadap COBIT 4.1 dan perhitungan maturity level yang ada serta memberikan masukan berdasarkan hasil audit yang telah dilakukan dengan cara analisis sistem informasi secara langsung pada Bagian Pusat Pengolahan Data PTS XYZ berdasarkan COBIT 4.1.
2. Landasan Teori
COBIT 4.1 (Control Objectives for Information and related Technology) merupakan suatu standar untuk mengontrol teknologi informasi, dikembangkan dan dipromosikan oleh IT Governance Institute. COBIT 4.1 dirancang sebagai tool IT governance yang membantu dalam memahami dan mengatur resiko dan keuntungan yang berhubungan dengan informasi dan IT. IT Governance Institute telah mengembangkan framework ini dengan riset mendalam, bekerja sama dengan ahli industri, analis, dan akademisi di seluruh dunia. Hasilnya adalah Management Guidelines for COBIT 4.1 ini, yang terdiri dari Maturity Models, Critical Success Factors (CSFs), Key Goal Indicators (KGIs) dan Key Performance Indicators (KPIs).
Maturity Model untuk mengontrol proses IT terdiri dari pengembangan suatu metode penilaian sehingga suatu organisasi dapat menilai dirinya sendiri dari keadaaan non-existent sampai keadaaan optimized (0 - 5). Untuk setiap proses IT, terdapat suatu skala ukuran bertahap, berdasarkan rating “0” sampai “5”. Skala ini berhubungan dengan deskripsi qualitative maturity model yang berkisar dari “Non Existent” sampai “Optimized” seperti terlihat dalam Gambar 1.
Gambar 1. Maturity Model
3. Metodologi Penelitian
Dalam pelaksanaannya, proses audit ini dibagi menjadi 5 tahapan, yaitu:
3.1 Perencanaan Audit
Tahapan perencanaan, sebagai suatu pendahuluan, mutlak perlu dilakukan agar auditor mengenal benar objek yang akan diperiksa. Di samping itu, auditor dapat memastikan bahwa qualified resources sudah dimiliki, yang dalam hal ini mencakup aspek SDM yang berpengalaman dan juga referensi praktik-praktik terbaik (best practices).
Tahapan perencanaan ini akan menghasilkan suatu program audit yang didesain sedemikian rupa, sehingga pelaksanaannya akan berjalan efektif dan efisien, dan dilakukan oleh orang-orang yang kompeten, serta dapat diselesaikan dalam waktu yang sesuai dengan yang disepakati
3.2 Penilaian Management Awareness & Penilaian Resiko
Penilaian terhadap management awareness perlu dilakukan dengan menggunakan tools yang ada dan juga penilaian resiko perlu dilakukan untuk mengidentifikasi dan mengevaluasi resiko serta dampak yang terjadi jika resiko tersebut muncul.
3.3 Analisa Data
Analisa data ini meliputi tahapan-tahapan:
• Pemetaan hasil risk assessment ke dalam Cobit • Pemetaan hasil penentuan management awareness • Menentukan proses Cobit domain yang akan diaudit • Penentuan CSF, KGI, dan KPI
• Indikator pengukuran kinerja • Penentuan maturity model
4. Penilaian Management Awareness Dan Resiko
Berdasarkan hasil diskusi dan pengisian kuesioner maka didapatkan hasil kesimpulan bahwa pihak manajemen Bagian Pusat Pengolahan Data menitikberatkan pada bagaimana seharusnya Bagian Pusat Pengolahan Data dapat memberikan layanan IT kepada civitas akademika PTS XYZ secara kontinu dan reliable dengan memperhatikan aspek-aspek keamanan dan juga bagaimana pemeliharaan terhadap data yang ada. Hal ini disebabkan karena proses tersebutlah yang paling penting dukungannya untuk keberlangsungan dukungan IT di lingkungan PTS XYZ.
Melalui wawancara dan observasi, bisa diketahui kondisi perusahaan saat ini dan mengetahui sejauh mana pelaksanaan kontrol diefektifkan, Penilaian resiko ini perlu dilakukan untuk mengidentifikasi dan mengevaluasi resiko serta dampak yang terjadi jika resiko tersebut muncul.
Dalam penilaian resiko ini yang digunakan adalah Metode Scoring IS Risk Assessment. Beberapa kategori penilaian resiko yang diambil didasarkan pada resiko umum yang sering dijumpai dalam pelaksanaan kontrol perusahaan. Kategori yang dipilih meliputi Operasi Data Centre, Sistem Aplikasi (Produksi), Sistem Aplikasi (Pengembangan), Procurement Sistem Informasi (Material dan Tenaga Kerja), Akuisisi Paket Software, dan Fungsi Sistem Informasi lainnya. Hasil penilaian resiko seperti tampak pada Tabel 1.
Tabel 1. Risk Score
Rating factor Score Assigned score
1 Operasi Data Centre 100 57/100
2 Sistem Aplikasi (Produksi) 100 60/100
3 Sistem Aplikasi (Pengembangan) 100 43/100
4 Procurement Sistem Informasi (material dan tenaga kerja) 100 53/100
5 Akuisisi Paket Software 100 51/100
6 Fungsi Sistem Informasi lainnya 100 64/100
Dari ke-enam tabel risk assessment di atas, tampak beberapa rating faktor dari beberapa kategori yang memiliki assigned score di atas threshold yang diasumsikan sebesar 0,75. Rating factor yang memiliki assigned score di atas 0,75 akan menjadi fokus perhatian dalam pelaksanaan audit sistem informasi.
5. Analisa Data
5.1. Pemetaan Hasil Risk Assessment Ke Dalam Cobit
Dari hasil risk assessmets di atas nilai threshold ditentukan sebesar 0,75 maka rating factor yang akan diambil hanya yang lebih atau sama dengan 0,75 yang mengindikasikan kendali dengan resiko tinggi. Selanjutnya beberapa rating factor yang diambil, dimapping ke proses COBIT 4.1 domain. Beberapa rating factor yang diambil antara lain:
a. Operasi Data Centre
• Efek terhadap bisnis perusahaan • Jumlah pengguna
• Pengelolaan pemrosesan b. Sistem Aplikasi (Produksi)
• Efek kegagalan sistem • Lingkup sistem
c. Sistem aplikasi (Pengembangan) • Platform pengembangan
d. Procurement Sistem Informasi (material dan tenaga kerja) • Dampak
e. Akuisisi Paket Software • Lingkup sistem • Efek bisnis
f. Fungsi Sistem Informasi lainnya • Efek kegagalan fungsi • Lingkup fungsi
Dari beberapa kendali dengan resiko tinggi yang telah didapat, selanjutnya akan disesuaikan dengan tujuan kendali yang terdapat pada domain COBIT 4.1. Table hasil pemetaan risk assessment ke dalam proses COBIT 4.1 domain yang disesuaikan dengan domain Delivery & Support dalam Tabel 2.
5.2 Menentukan Proses Cobit Domain Yang Akan Diaudit
Tidak semua control objective dari COBIT 4.1 domain harus diaudit. Proses audit hanya dilakukan pada tujuan kontrol yang dirasa perlu, di antaranya pada tujuan kontrol yang memenuhi kriteria-kriteria antara lain:
- Proses yang memiliki ketersediaan rating factor tertinggi - Proses dengan biaya pengerjaan tertinggi
- Proses dengan kondisi yang paling kritis - Disesuaikan dengan sarana pendukung
Berdasarkan beberapa kriteria tersebut, high level control objectives yang diambil untuk diaudit ialah: - Ensure Continous Service (DS 4)
- Ensure Systems Security (DS 5) - Manage Operations (DS 11)
5.3 Penentuan CSF, KGI, dan KPI
Langkah ini diperlukan untuk menentukan arahan yang akan diberikan kepada pihak manajemen, baik secara umum maupun spesifik, mengenai apa saja yang harus dilakukan, terutama mengenai:
Sejauh mana TI harus bergerak, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya. Indikator untuk suatu kinerja yang bagus
Faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses
Risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan
- Key Goal Indicators (KGI) - Key Performance Indicators (KPI)
Tabel 2. Pemetaan Hasil Pada Domain Cobit 4.1
No High Level Control Objectives Delivery & Support
1 2 3 4 5 6
1.2 1.4 1.6 2.1 2.3 3.4 4.1 5.1 5.8 6.1 6.3
1 Define and Manage Service Levels X X X X X
2 Manage Third Party Services X
3 Manage Performance and Capacity X X X X X
4 Ensure Continuous Service X X X X X X
5 Ensure Systems Security X X X X X X X
6 Identify and Allocate Costs X X X X
7 Educate and Train Users X
8 Manage Service Desk and Incident X X X X
9 Manage the Configuration X X X X X
10 Manage Problems X X X X X
11 Manage Data X X X X X X X
12 Manage the Physical Environment X X X X
13 Manage Operations X X X X X
Pengukuran Maturity
Pengukuran maturity level dilakukan dengan menggunakan Maturity Measurement toolkit. Dengan hasil sebagai berikut: Tabel 3. DS4
Level Compliance Contribution Value
1 0,943333333 1,00 0,943333333 2 0,83 1,00 0,83 3 0,83125 1,00 0,83125 4 0,698888889 1,00 0,698888889 5 0,729 1,00 0,729 Maturity Level = 4,032472222 Maturity Level untuk DS5 = 4,03 ≈ 4
Tabel 4. DS5
Level Compliance Contribution Value
1 1 1,00 1 2 0,66375 1,00 0,66375 3 0,807142857 1,00 0,807142857 4 0,275 1,00 0,275 5 0,275 1,00 0,275 Maturity Level = 3,020892857
Tabel 5. DS11
Level Compliance Contribution Value
1 0,864 1,00 0,864 2 0,932 1,00 0,932 3 0,758571429 1,00 0,758571429 4 0,773333333 1,00 0,773333333 5 0,71 1,00 0,71 Maturity Level = 4,037904762 Maturity Level DS11 = 4,04 ≈ 4
Jika digambarkan hasil dari maturity model proses yang ada dengan menggunakan Caviar Chart adalah sebagai berikut:
Gambar 2. Maturity Model
6. Kesimpulan Dan Saran
Setelah diketahui bahwa Bagian Pusat Pengolahan Data berada pada level 4 (managed), selanjutnya bisa diajukan beberapa rekomendasi berdasarkan tiap proses COBIT 4.1 domain untuk membawa perusahaan menuju level yang lebih tinggi.
a. Rekomendasi untuk DS 4
Dari hasil pengukuran maturity, pada dasarnya sudah baik hanya perlu peningkatan sebagai berikut: - Perbaikan ketersediaan layanan yang proaktif
- Pengawasan ketersediaan secara otomatis terhadap sejumlah komponen infrastruktur kritis b. Rekomendasi untuk DS 5
- Melakukan perbaikan terhadap pelaporan yang berkaitan dengan masalah keamanan sistem - Pengadaan training berkaitan dengan keamanan sistem bagi pengelola
- Melakukan perencanaan mengenai keamanan sistem dan solusi berdasarkan suatu proses analisa resiko c. Rekomendasi untuk DS 11
- Pembentukan backup data melalui mekanisme redudansi dan duplikasi. - Pengurangan jumlah data yang mengalami inkonsistensi
- Memastikan adanya prosedur pengelolaan data dengan berdasarkan standar tertentu - Memastikan kesesuaian mekanisme penjagaan integritas data yang diterapkan
- Pengawasan integritas secara otomatis terhadap sejumlah komponen infrastruktur kritis
Daftar Pustaka
[1] Guldentops, Erik (2003). CISA, CISM, Maturity Measurement—First the Purpose, Then the Method, Information Systems Audit and Control Association.
[2] ISACA, (2007). IS Standards, Guidelines and Procedures For Auditing and Control Professionals, Information Systems Audit and Control Association.
[3] IT Governance Institute (2003). Board Briefing on IT Governance, 2nd Edition, IT Governance Institute, ISBN 1-893209-64-4.
[4] IT Governance Institute (2007). IT Governance Implementation Guide: Using COBIT 4.1® and Val IT TM, 2nd Edition, IT Governance Institute, ISBN 1-933284-75-7.
