• Tidak ada hasil yang ditemukan

Audit Tata Kelola Teknologi Informasi Be

N/A
N/A
Info
Unduh - Bebas
Protected

Academic year: 2018

Membagikan "Audit Tata Kelola Teknologi Informasi Be"

Copied!
4
0
0

Memuat.... (Lihat teks lengkap sekarang)

Unduh sekarang ( 4 Halaman )

Teks penuh

(1)

Audit Tata Kelola Teknologi Informasi Berbasis Risiko dengan Menggunakan

Framework Risk IT dan COBIT 4.1

Gema Paulina1, Toto Suharto2, Erda Guslinar P3

1, 2, 3

Fakultas Informatika Telkom University

Jalan Telekomunikasi 1, Dayeuh Kolot Bandung 40257 Indonesia 1gemapaulin@gmail.com

Abstrak

Implementasi teknologi informasi (TI) selain dapat memberikan manfaat juga dapat menimbulkan risiko yang dapat merugikan dan mempengaruhi proses bisnis atau pekerjaan. Untuk mengetahui dan memahami sudah sejauh mana Institut Manajemen Telkom (IMT) melakukan tindakan-tindakan yang dapat mengurangi kerugian yang mungkin muncul sebagai konsekuensi dalam pemanfaatan TI maka perlu dilakukan audit terhadap tata kelola TI. Audit dengan memperhitungkan risiko bisnis bertujuan untuk memastikan business assurance bagi perusahaan.

Awalnya dilakukan analisis risiko dengan menggunakan risk IT framework sebagai kerangka kerja untuk mengidentifikasi risiko TI. Dari hasil identifikasi risiko terdapat 47 risiko yang harus dimitigasi. Langkah selanjutnya adalah memetakan ke dalam COBIT 4.1, dimana hasilnya ada sebanyak 27 proses yang harus dikontrol yaitu PO1-PO8, PO10, AI1-AI3, AI5-AI7, DS1-DS7, DS9, DS11-DS13. Proses-proses ini harus dipastikan penerapannya pada IMT agar risiko yang terjadi dapat diminimalisir. Dari hasil audit yang dilakukan kemudian akan diberikan rekomendasi-rekomendasi sebagai saran perbaikan pengelolaan TI di IMT.

Kata kunci: audit, COBIT, risiko, risk IT, tata kelola TI.

Abstract

Implementation of information technology (IT) provides benefits to works or business processes, but can also pose risks. To know and understand, how well Institut Manajemen Telkom (IMT) is doing to reduce the losses that may arise as a consequence of the use of IT, one must do an audit of IT governance. Auditing with considering business risk aims to ensure business assurance for enterprise.

To identify IT risks, perform risk analysis using the risk IT framework. From the results of risk identification there are 47 risks that must be mitigated. The next step is mapped to the COBIT 4.1. There are 27 processes that need to be controlled, namely PO1 - PO8, PO10, AI1 - AI3, AI5 - AI7, DS1 - DS7, DS9, DS11 - DS13. IMT should ensure that the practices of these processes are performed so that the possibility of risk occured can be minimized. From the results of audits performed, IMT will be given the recommendations as suggestions for improvement of IT management.

Keywords: auditing, COBIT, risk, risk IT, IT Governance.

1. Pendahuluan

Dewasa ini teknologi informasi (TI) mengambil peran penting dalam pengembangan suatu bisnis. Peppard dan Ward, dalam penelitiannya mengindikasikan bahwa fungsi TI adalah sebagai kontributor penambah nilai ke dalam suatu bisnis dimana faktor bisnis yang mempunyai hubungan baik dengan faktor TI akan menghasilkan pengaruh positif keperformansi bisnis suatu perusahaan [17].

Namun implementasi TI dalam suatu perusahaan selain dapat memberikan manfaat juga dapat menimbulkan risiko yang dapat merugikan dan mempengaruhi proses bisnis atau pekerjaan. Risiko yang terkait adalah penggunaan, kepemilikan, pengoprasian, keterlibatan pengaruh dan penerapan TI dalam perusahaan [7]. Beberapa kejadian risiko TI

yang kerap terjadi di antaranya adalah kerusakan atau kegagalan operasional

hardware atau software, serangan virus komputer, kerusakan atau kehilangan data, dan serangan hacker yang mengganggu jaringan komputer dan situs web. Kegagalan atau kesalahan dalam pengembangan proyek SI/ TI juga dapat dikategorikan sebagai risiko TI yang harus diantisipasi. Jika risiko-risiko tersebut tidak dikelola dengan baik maka akan menimbulkan dampak yang merugikan bagi perusahaan dalam mencapai tujuannya.

(2)

assurance bagi perusahaan dengan memperhitungkan business risk bagi perusahaan. Informasi ini akan sangat berharga bagi perusahaan sebagai bahan untuk melakukan program perbaikan dan membuat kebijakan yang terkait dengan proses-proses manajemen TI-nya.

Studi kasus dalam tugas akhir ini adalah tata kelola TI di Institut Manajemen Telkom (IMT). IMT yang memiliki visi menjadi lembaga pendidikan tinggi dan penelitian bidang “bisnis & manajemen konvergensi” yang unggul di asia pada tahun 2021 memanfaatkan TI dalam proses bisnisnya. Penggunaan TI di IMT dibagi dalam tiga kategori yaitu kategori pendidikan, resource management dan marketing information and strategi.

2. Landasan Teori

2.1 Risk IT Framework

Risk IT adalah suatu framework yang didasarkan pada seperangkat prinsip-prinsip penuntun untuk pengelolaan yang efektif dari risk IT Framework pelengkap COBIT, suatu framework komprehensif untuk tata kelola dan pengendalian usaha solusi berbasis IT dan layanan [7].

Risk IT framework terdiri dari tiga domain:

risk governance, risk evaluation, dan risk response. Masing-masing domain berisi tiga proses yang memiliki tujuan yang dicapai dengan melakukan sejumlah kegiatan.

Gambar 1: Risk IT Framework

2.2 COBIT 4.1

Control Objective for Information and related Technology (COBIT) adalah suatu panduan standar praktik manajemen TI [9]. Standar

COBIT dikeluarkan oleh IT Governance Institute yang merupakan bagian dari ISACA. COBIT 4.1 memiliki 4 cakupan domain, yaitu:

1. Perencanaan dan organisasi (plan and organise)

2. Pengadaan dan implementasi (acquire and implement)

3. Pengantaran dan dukungan (deliver and support)

4. Pengawasan dan evaluasi (monitor and evaluate)

3. Metodologi dan Implementasi 3.1 Metodologi

Audit teknologi informasi dilakukan melalui tiga proses utama yaitu menganalisis risiko-risiko yang mungkin terjadi dengan risk IT framewocrk kemudian dilanjutkan dengan mitigasi risiko dengan memetakan hasil analisis risiko ke dalam Framework COBIT 4.1 yang kemudian akan diaudit hasilnya dengan tata kelola yang yang sebenarnya terjadi di perusahaan. Pengerjaan audit ini akan melalui proses pengumpulan data berupa kuisoner, wawancara, observasi serta data-data kertas kerja audit. Dari Studi literatur yang dilakukan maka dapat disimpulkan gambaran umum sistem audit adalah sebagai berikut

Gambar 2: Flowchart proses Audit TI

3.2 Implementasi

(3)

penilaian disesuaikan dengan diagram RACI untuk proses RR1 pada framework Risk IT yang dipetakan dengan kondisi struktur organisasi di IM Telkom. Menilai objek penilaian dilakukan agar penilaian sesuai dengan sasaran terhadap unit yang bertanggung jawab dengan proses terkait..

Hasil kuisoner pada penilaian estimasi frekuensi dan dampak risiko dipetakan dalam risk map. Risk map digunakan sebagai alat grafik untuk mengurutkan dan menampilkan risiko dengan mendefinisikan tingkat frekuensi dan besarnya risiko. Dari risk map akan terlihat risiko mana yang akan menjadi prioritas untuk dilakukan mitigasi agar mengurangi dampak dari risiko yang mungkin terjadi.

4. Analisis

Setelah pemetaan risiko terhadap toleransinya maka selanjutnya adalah menganalisis respon terhadap risiko yang ada tersebut. Respon risiko yang diaccept adalah risiko yang apabila terjadi pihak IM Telkom dapat menanggulangi atau menerima dampak yang terjadi, yang pada risk map ditandai dengan warna hijau dan ungu. Untuk respon yang di share/transfer

merupakan risiko yang dampaknya dapat diminimalisir dengan mentransfer atau berbagi sebagian dari risiko seperti asuransi. Avoid

adalah tindakan yang mengharuskan menghindari atau keluar dari aktivitas atau kondisi yang memberikan risiko. Risiko yang di reduce/mitigate adalah risiko yang dengan prioritas tertinggi yaitu pada toleransi really unacceptable risk dan unacceptable risk dan risiko tersebut tidak dapat di share ataupun tidak di avoid. Berikut adalah tabel dari respon terhadap risiko-risiko tersebut.

Dari hasil pemetaan risiko yang dimitigasi terhadap COBIT 4.1 terdapat 105 kontrolyang sesuai. Setelah berdiskusi dengan pihak yang dijadikan objek penilaian, bagian SISFO IM Telkom, yaitu manajernya maka kontrol yang akan diaudit tata kelolanya adalah kontrol yang kemunculannya lebih dari sekali terhadap risiko yang dimitigasi.

Kontrol yang hanya muncul sekali, yang hanya sesuai dengan satu risiko saja tidak akan diaudit tata kelolanya. Jika kemunculan kontrol tersebut semakin sering mengindikasikan bahwa kontrol tersebut harus diimplementasikan dalam organisasi agar

risiko yang mungkin terjadi dapat diminimalisir. Oleh karena itu dalam audit tata kelola TI ini digunakan 72 kontrol. Pengurangan kontrol ini dilakukan karena penerapan kontrol yang banyak dapat berakibat ketidakefisienan khususnya dalam biaya. Selain itu dalam satu risiko dikontrol oleh beberapa kontrol yang berbeda maka apabila ada satu kontrol yang dieliminasi karena hanya muncul pada risiko itu saja, masih ada kontrol lain yang mendukung pengontrolan risiko tersebut.

Dari hasil wawancara yang merupakan hasil audit dapat disimpulkan bahwa kondisi saat ini IM Telkom umumnya berada pada level kematangan tiga. Dimana level target yang diharapkan dalam pengelolaan risiko adalah pada level empat yaitu terkelola dan terukur. Pemilihan level target ini berdasarkan pertimbangan hasil yang didapat dari audit, dimana penyebaran nilai kematangannya tersebar diantara level dua sampai empat. Apabila pengelolaan TI telah berada pada level empat yang merupakan level dimana TI telah terkelola dan terukur dengan baik maka risiko yang mungkin terjadi dapat diminimalisir. Berikut adalah grafik temuan audit yang membandingkan current level dengan target level.

Gambar 3: Perbandingan current level dengan

target level

Berikut adalah tabel cuplikan dari rekomendasi yang diberikan sebagai saran perbaikan pengelolaan TI di IM Telkom:

Tabel 1: Rekomendasi Proses

TI

Rekomendasi

(4)

2. melakukan pengukuran efektivitas terhadap proses-proses yang dilaksanakan

3. membuat rencana jangka pendek dan panjang terhadap strategi TI yang selalu diperbaharui sesuai kebutuhan lapangan.

4. memperjelas proses penggunaan sumber daya internal dan eksternal dalam pengembangan sistem

5. Kesimpulan dan Saran

Berdasarkan audit yang telah dilakukan di IM Telkom dapat disimpulkan bahwa:

1. Tata kelola Risiko di IM Telkom agar terkelola dengan baik berdasarkan analisis risiko yang telah dilakukan menggunakan 27 proses pada COBIT 4.1 yaitu PO1-PO8, PO10, AI1-AI3, AI5-AI7, DS1-DS7, DS9, DS11-DS13 serta ME3. Dimana total kontrol TInya sebanyak 72.

2. Tata kelola TI untuk penanganan risiko di IM Telkom masih butuh pengeloalaan lebih lanjut. Dimana umumnya nilai kematangan TInya berada pada level tiga yakni tersedianya proses yang mengatur pengelolaan TI. Namun untuk mengoptimalkan tata kelola TI agar pengananan terhadap risiko lebih optimal level kematangannya sebaiknya berada pada poin empat yaitu terkelola dan terukur.

3. Secara umum rekomendasi yang dapat diberikan sebagai saran untuk pengembangan tata kelola TI di IMT yaitu membuat metode formal (dokumen proses yang memanfaatkan metode matematika sebagai penjejelasannya) atau standar untuk proses TI yang belum memiliki standar formal (dokumen yang menjelaskan setiap proses tata kelola) serta memastikan atau mengukur seluruh standar proses TI yang ada telah dilaksanakan yang didukung dengan file dokumentasi.

Pada penelitian ini audit yang diterapkan tidak membahas mengenai risiko keuangan, untuk penelitian selanjutnya agar hasil lebih optimal, audit dapat memperhitungkan masalah biaya dimana dapat menggunakan framework Val IT.

Daftar Pustaka

[1]

Bakshi, Sunil. 2012. Risk it framework for IT Risk Management: A Case Study of National Stock Exchange of India Limited. ISACA.

[2]

Bayangkara, IBK. 2008. Audit

Manajemen: Prosedur dan

implementasi. Jakarta: Salemba Empat.

[3]

Commonwealth of Australia. 2005.

Risk Analysis Framework.

[4]

Dewi, Eva Rosdiana. Audit Sistem

Informasi Manajemen Aset

Berdasarkan Perspektif Proses Bisnis Internal Balanced Scorecard Dan Standar Cobit 4.1 (Studi Kasus: PT. Pertamina (Persero)). Surabaya: Sistem informasi, Sekolah Tinggi Manajemen Komputer & Teknik Komputer.

[5]

Elieson, Brent D. 2006. Construction of an IT Risk Framework. Seattle: University of Washington.

[6]

Gadia, Sailesh. 2011. Cloud Computing Risk Assessment - A Case Study. ISACA Journal Volume 4.

[7]

ISACA. 2009. The Risk it framework.

[8]

ISACA. 2009. The Risk IT Practitioner Guide.

[9]

ISACA. 2013. IT Audit and Assurance Standards and Guidelines.

[10]

Iskandar, Yudi. 2012. Analisis Penerapan Framework Cobit 4.1

Dalam Perencanaan Dan

Implementasi Tata Kelola TI Sebagai Usulan Pada PT. Total E&P

Indonesia. Bandung: Teknik

Informatika, Institut Teknologi Telkom.

[11]

ITGI.2000. COBIT Audit Guidelines.

[12]

ITGI. 2003. Briefing on IT Governance.

[13]

ITGI. 2007. COBIT 4.1.

[14]

Senft, Sandra dan Gallegos, Frederick. 2009. Information Technology Control and Audit Third Edition. Auerbach Publications.

[15]

Steuperaert, Dirk. 2010. Risk IT and COBIT in practice. ISACA.

[16]

Svatá, Vlasta dan Fleischmann, Martin. 2011. IS/IT Risk Management

in Banking Industry. ACTA

OECONOMICA PRAGENSIA.

Gambar

Gambar 1: Risk IT Framework
Gambar 3: Perbandingan current level dengan

Referensi

Unduh sekarang ( PDF - 4 Halaman - 227.99 KB )

Dokumen terkait

i R ir.myinfrared.com 02 / 2008 / SALONFOTO INDONESIA 2008 / THE BEST OF IR / YUDISTIRA / DIENG / VERSI IR / GALERI FOTO /

Telaga ini berdampingan dengan Telaga Warna dan Ko- non terjadinya karena efek terbendungnya aliran air di tempat ini, air yang ada pada Telaga ini merupakan air tawar yang

Kabupaten Kaur Dalam Angka 2016 i

Seminggu yang Lalu Menurut Lapangan Pekerjaan Utama dan Jenis Kelamin di Kabupaten Kaur, 2015/Population Aged 15 Years and Over Who Worked During the Previous Week by Main Industry

Hama Pada Tanaman Kopi dan

Serangan hama pada tanaman kopi merupakan salah satu faktor yang menyebabkan rendahnya produktivitas kopi bahkan dapat menyebabkan tanaman tidak berbuah sama sekali, atau

WEEKLY REPORT 13 Oktober 2014

Astra International (ASII) akan menambah 20 diler baru hingga akhir tahun ini untuk menjaga pangsa pasar perseroan di sektor kendaraan roda empat pada kisaran 51% dari total

MENTERI RISET, TEKNOLOGI, DAN PENDIDIKAN TINGGI REPUBLIK INDONESIA KEPUTUSAN MENTERI RISET, TEKNOLOGI, DAN PENDIDIKAN TINGGI REPUBLIK INDONESIA

DOKUMENTASI DAN INFORMASI HUKUM, BAGIAN HUKUM, BIRO HUKUM DAN HUMAS Page 3 KETIGA : Dalam melaksanakan tugasnya, Tim Pengarah, Tim Pelaksana, Tim Supervisi, Tim Monev,

BAB 2 TINJAUAN LITERATUR

Hal ini juga dipertegas dengan pendapat Mastuki dkk (2005) yang mengatakan bahwa kiai dan santri didikannya cukup potensial untuk turut menggerakkan masyarakat

Sunarno Basuki SUPERVISI PENDIDIKAN JASMANI

Proses pembelajaran yang sudah dilakukan, dalam evaluasi/ penilaiannya tidak berhenti dalam proses pemberian nilai kepada peserta didik. Sebuah evaluasi pembelajaran di dalamnya

HUBUNGAN KUALITAS TIDUR TERHADAP KONSENTRASI MAHASISWA FAKULTAS KEDOKTERAN UNIVERSITAS MUHAMMADIYAH PALEMBANG SEBELUM MENGIKUTI UJIAN -

Subyek penelitian yang dilakukan adalah remaja usia antara 17-25 tahun temtama yang mengaiami obesitas, dikarcnakan obesitas dapat menyebabkan Obstruktif Sleep Apnea Sindrom