Audit Tata Kelola Teknologi Informasi Berbasis Risiko dengan Menggunakan
Framework Risk IT dan COBIT 4.1
Gema Paulina1, Toto Suharto2, Erda Guslinar P3
1, 2, 3
Fakultas Informatika Telkom University
Jalan Telekomunikasi 1, Dayeuh Kolot Bandung 40257 Indonesia 1gemapaulin@gmail.com
Abstrak
Implementasi teknologi informasi (TI) selain dapat memberikan manfaat juga dapat menimbulkan risiko yang dapat merugikan dan mempengaruhi proses bisnis atau pekerjaan. Untuk mengetahui dan memahami sudah sejauh mana Institut Manajemen Telkom (IMT) melakukan tindakan-tindakan yang dapat mengurangi kerugian yang mungkin muncul sebagai konsekuensi dalam pemanfaatan TI maka perlu dilakukan audit terhadap tata kelola TI. Audit dengan memperhitungkan risiko bisnis bertujuan untuk memastikan business assurance bagi perusahaan.
Awalnya dilakukan analisis risiko dengan menggunakan risk IT framework sebagai kerangka kerja untuk mengidentifikasi risiko TI. Dari hasil identifikasi risiko terdapat 47 risiko yang harus dimitigasi. Langkah selanjutnya adalah memetakan ke dalam COBIT 4.1, dimana hasilnya ada sebanyak 27 proses yang harus dikontrol yaitu PO1-PO8, PO10, AI1-AI3, AI5-AI7, DS1-DS7, DS9, DS11-DS13. Proses-proses ini harus dipastikan penerapannya pada IMT agar risiko yang terjadi dapat diminimalisir. Dari hasil audit yang dilakukan kemudian akan diberikan rekomendasi-rekomendasi sebagai saran perbaikan pengelolaan TI di IMT.
Kata kunci: audit, COBIT, risiko, risk IT, tata kelola TI.
Abstract
Implementation of information technology (IT) provides benefits to works or business processes, but can also pose risks. To know and understand, how well Institut Manajemen Telkom (IMT) is doing to reduce the losses that may arise as a consequence of the use of IT, one must do an audit of IT governance. Auditing with considering business risk aims to ensure business assurance for enterprise.
To identify IT risks, perform risk analysis using the risk IT framework. From the results of risk identification there are 47 risks that must be mitigated. The next step is mapped to the COBIT 4.1. There are 27 processes that need to be controlled, namely PO1 - PO8, PO10, AI1 - AI3, AI5 - AI7, DS1 - DS7, DS9, DS11 - DS13. IMT should ensure that the practices of these processes are performed so that the possibility of risk occured can be minimized. From the results of audits performed, IMT will be given the recommendations as suggestions for improvement of IT management.
Keywords: auditing, COBIT, risk, risk IT, IT Governance.
1. Pendahuluan
Dewasa ini teknologi informasi (TI) mengambil peran penting dalam pengembangan suatu bisnis. Peppard dan Ward, dalam penelitiannya mengindikasikan bahwa fungsi TI adalah sebagai kontributor penambah nilai ke dalam suatu bisnis dimana faktor bisnis yang mempunyai hubungan baik dengan faktor TI akan menghasilkan pengaruh positif keperformansi bisnis suatu perusahaan [17].
Namun implementasi TI dalam suatu perusahaan selain dapat memberikan manfaat juga dapat menimbulkan risiko yang dapat merugikan dan mempengaruhi proses bisnis atau pekerjaan. Risiko yang terkait adalah penggunaan, kepemilikan, pengoprasian, keterlibatan pengaruh dan penerapan TI dalam perusahaan [7]. Beberapa kejadian risiko TI
yang kerap terjadi di antaranya adalah kerusakan atau kegagalan operasional
hardware atau software, serangan virus komputer, kerusakan atau kehilangan data, dan serangan hacker yang mengganggu jaringan komputer dan situs web. Kegagalan atau kesalahan dalam pengembangan proyek SI/ TI juga dapat dikategorikan sebagai risiko TI yang harus diantisipasi. Jika risiko-risiko tersebut tidak dikelola dengan baik maka akan menimbulkan dampak yang merugikan bagi perusahaan dalam mencapai tujuannya.
assurance bagi perusahaan dengan memperhitungkan business risk bagi perusahaan. Informasi ini akan sangat berharga bagi perusahaan sebagai bahan untuk melakukan program perbaikan dan membuat kebijakan yang terkait dengan proses-proses manajemen TI-nya.
Studi kasus dalam tugas akhir ini adalah tata kelola TI di Institut Manajemen Telkom (IMT). IMT yang memiliki visi menjadi lembaga pendidikan tinggi dan penelitian bidang “bisnis & manajemen konvergensi” yang unggul di asia pada tahun 2021 memanfaatkan TI dalam proses bisnisnya. Penggunaan TI di IMT dibagi dalam tiga kategori yaitu kategori pendidikan, resource management dan marketing information and strategi.
2. Landasan Teori
2.1 Risk IT Framework
Risk IT adalah suatu framework yang didasarkan pada seperangkat prinsip-prinsip penuntun untuk pengelolaan yang efektif dari risk IT Framework pelengkap COBIT, suatu framework komprehensif untuk tata kelola dan pengendalian usaha solusi berbasis IT dan layanan [7].
Risk IT framework terdiri dari tiga domain:
risk governance, risk evaluation, dan risk response. Masing-masing domain berisi tiga proses yang memiliki tujuan yang dicapai dengan melakukan sejumlah kegiatan.
Gambar 1: Risk IT Framework
2.2 COBIT 4.1
Control Objective for Information and related Technology (COBIT) adalah suatu panduan standar praktik manajemen TI [9]. Standar
COBIT dikeluarkan oleh IT Governance Institute yang merupakan bagian dari ISACA. COBIT 4.1 memiliki 4 cakupan domain, yaitu:
1. Perencanaan dan organisasi (plan and organise)
2. Pengadaan dan implementasi (acquire and implement)
3. Pengantaran dan dukungan (deliver and support)
4. Pengawasan dan evaluasi (monitor and evaluate)
3. Metodologi dan Implementasi 3.1 Metodologi
Audit teknologi informasi dilakukan melalui tiga proses utama yaitu menganalisis risiko-risiko yang mungkin terjadi dengan risk IT framewocrk kemudian dilanjutkan dengan mitigasi risiko dengan memetakan hasil analisis risiko ke dalam Framework COBIT 4.1 yang kemudian akan diaudit hasilnya dengan tata kelola yang yang sebenarnya terjadi di perusahaan. Pengerjaan audit ini akan melalui proses pengumpulan data berupa kuisoner, wawancara, observasi serta data-data kertas kerja audit. Dari Studi literatur yang dilakukan maka dapat disimpulkan gambaran umum sistem audit adalah sebagai berikut
Gambar 2: Flowchart proses Audit TI
3.2 Implementasi
penilaian disesuaikan dengan diagram RACI untuk proses RR1 pada framework Risk IT yang dipetakan dengan kondisi struktur organisasi di IM Telkom. Menilai objek penilaian dilakukan agar penilaian sesuai dengan sasaran terhadap unit yang bertanggung jawab dengan proses terkait..
Hasil kuisoner pada penilaian estimasi frekuensi dan dampak risiko dipetakan dalam risk map. Risk map digunakan sebagai alat grafik untuk mengurutkan dan menampilkan risiko dengan mendefinisikan tingkat frekuensi dan besarnya risiko. Dari risk map akan terlihat risiko mana yang akan menjadi prioritas untuk dilakukan mitigasi agar mengurangi dampak dari risiko yang mungkin terjadi.
4. Analisis
Setelah pemetaan risiko terhadap toleransinya maka selanjutnya adalah menganalisis respon terhadap risiko yang ada tersebut. Respon risiko yang diaccept adalah risiko yang apabila terjadi pihak IM Telkom dapat menanggulangi atau menerima dampak yang terjadi, yang pada risk map ditandai dengan warna hijau dan ungu. Untuk respon yang di share/transfer
merupakan risiko yang dampaknya dapat diminimalisir dengan mentransfer atau berbagi sebagian dari risiko seperti asuransi. Avoid
adalah tindakan yang mengharuskan menghindari atau keluar dari aktivitas atau kondisi yang memberikan risiko. Risiko yang di reduce/mitigate adalah risiko yang dengan prioritas tertinggi yaitu pada toleransi really unacceptable risk dan unacceptable risk dan risiko tersebut tidak dapat di share ataupun tidak di avoid. Berikut adalah tabel dari respon terhadap risiko-risiko tersebut.
Dari hasil pemetaan risiko yang dimitigasi terhadap COBIT 4.1 terdapat 105 kontrolyang sesuai. Setelah berdiskusi dengan pihak yang dijadikan objek penilaian, bagian SISFO IM Telkom, yaitu manajernya maka kontrol yang akan diaudit tata kelolanya adalah kontrol yang kemunculannya lebih dari sekali terhadap risiko yang dimitigasi.
Kontrol yang hanya muncul sekali, yang hanya sesuai dengan satu risiko saja tidak akan diaudit tata kelolanya. Jika kemunculan kontrol tersebut semakin sering mengindikasikan bahwa kontrol tersebut harus diimplementasikan dalam organisasi agar
risiko yang mungkin terjadi dapat diminimalisir. Oleh karena itu dalam audit tata kelola TI ini digunakan 72 kontrol. Pengurangan kontrol ini dilakukan karena penerapan kontrol yang banyak dapat berakibat ketidakefisienan khususnya dalam biaya. Selain itu dalam satu risiko dikontrol oleh beberapa kontrol yang berbeda maka apabila ada satu kontrol yang dieliminasi karena hanya muncul pada risiko itu saja, masih ada kontrol lain yang mendukung pengontrolan risiko tersebut.
Dari hasil wawancara yang merupakan hasil audit dapat disimpulkan bahwa kondisi saat ini IM Telkom umumnya berada pada level kematangan tiga. Dimana level target yang diharapkan dalam pengelolaan risiko adalah pada level empat yaitu terkelola dan terukur. Pemilihan level target ini berdasarkan pertimbangan hasil yang didapat dari audit, dimana penyebaran nilai kematangannya tersebar diantara level dua sampai empat. Apabila pengelolaan TI telah berada pada level empat yang merupakan level dimana TI telah terkelola dan terukur dengan baik maka risiko yang mungkin terjadi dapat diminimalisir. Berikut adalah grafik temuan audit yang membandingkan current level dengan target level.
Gambar 3: Perbandingan current level dengan
target level
Berikut adalah tabel cuplikan dari rekomendasi yang diberikan sebagai saran perbaikan pengelolaan TI di IM Telkom:
Tabel 1: Rekomendasi Proses
TI
Rekomendasi
2. melakukan pengukuran efektivitas terhadap proses-proses yang dilaksanakan
3. membuat rencana jangka pendek dan panjang terhadap strategi TI yang selalu diperbaharui sesuai kebutuhan lapangan.
4. memperjelas proses penggunaan sumber daya internal dan eksternal dalam pengembangan sistem
5. Kesimpulan dan Saran
Berdasarkan audit yang telah dilakukan di IM Telkom dapat disimpulkan bahwa:
1. Tata kelola Risiko di IM Telkom agar terkelola dengan baik berdasarkan analisis risiko yang telah dilakukan menggunakan 27 proses pada COBIT 4.1 yaitu PO1-PO8, PO10, AI1-AI3, AI5-AI7, DS1-DS7, DS9, DS11-DS13 serta ME3. Dimana total kontrol TInya sebanyak 72.
2. Tata kelola TI untuk penanganan risiko di IM Telkom masih butuh pengeloalaan lebih lanjut. Dimana umumnya nilai kematangan TInya berada pada level tiga yakni tersedianya proses yang mengatur pengelolaan TI. Namun untuk mengoptimalkan tata kelola TI agar pengananan terhadap risiko lebih optimal level kematangannya sebaiknya berada pada poin empat yaitu terkelola dan terukur.
3. Secara umum rekomendasi yang dapat diberikan sebagai saran untuk pengembangan tata kelola TI di IMT yaitu membuat metode formal (dokumen proses yang memanfaatkan metode matematika sebagai penjejelasannya) atau standar untuk proses TI yang belum memiliki standar formal (dokumen yang menjelaskan setiap proses tata kelola) serta memastikan atau mengukur seluruh standar proses TI yang ada telah dilaksanakan yang didukung dengan file dokumentasi.
Pada penelitian ini audit yang diterapkan tidak membahas mengenai risiko keuangan, untuk penelitian selanjutnya agar hasil lebih optimal, audit dapat memperhitungkan masalah biaya dimana dapat menggunakan framework Val IT.
Daftar Pustaka
[1]
Bakshi, Sunil. 2012. Risk it framework for IT Risk Management: A Case Study of National Stock Exchange of India Limited. ISACA.[2]
Bayangkara, IBK. 2008. AuditManajemen: Prosedur dan
implementasi. Jakarta: Salemba Empat.
[3]
Commonwealth of Australia. 2005.Risk Analysis Framework.
[4]
Dewi, Eva Rosdiana. Audit SistemInformasi Manajemen Aset
Berdasarkan Perspektif Proses Bisnis Internal Balanced Scorecard Dan Standar Cobit 4.1 (Studi Kasus: PT. Pertamina (Persero)). Surabaya: Sistem informasi, Sekolah Tinggi Manajemen Komputer & Teknik Komputer.
[5]
Elieson, Brent D. 2006. Construction of an IT Risk Framework. Seattle: University of Washington.[6]
Gadia, Sailesh. 2011. Cloud Computing Risk Assessment - A Case Study. ISACA Journal Volume 4.[7]
ISACA. 2009. The Risk it framework.[8]
ISACA. 2009. The Risk IT Practitioner Guide.[9]
ISACA. 2013. IT Audit and Assurance Standards and Guidelines.[10]
Iskandar, Yudi. 2012. Analisis Penerapan Framework Cobit 4.1Dalam Perencanaan Dan
Implementasi Tata Kelola TI Sebagai Usulan Pada PT. Total E&P
Indonesia. Bandung: Teknik
Informatika, Institut Teknologi Telkom.
[11]
ITGI.2000. COBIT Audit Guidelines.[12]
ITGI. 2003. Briefing on IT Governance.[13]
ITGI. 2007. COBIT 4.1.[14]
Senft, Sandra dan Gallegos, Frederick. 2009. Information Technology Control and Audit Third Edition. Auerbach Publications.[15]
Steuperaert, Dirk. 2010. Risk IT and COBIT in practice. ISACA.[16]
Svatá, Vlasta dan Fleischmann, Martin. 2011. IS/IT Risk Managementin Banking Industry. ACTA
OECONOMICA PRAGENSIA.