KNSI2014-322
AUDIT IT GOVERNANCE MENGGUNAKAN FRAME WORK COBIT
PADA DOMAIN ACQUISITION AND IMPLEMENTATION (AI)
STUDI KASUS: UNIVERSITAS WIDYATAMA
Iwan Rijayana1, Hadiana Wibawa2
1,2 Program Studi Sistem Informasi, Fakultas Teknik, Universitas Widyatama .1,2 Jl. Cikutra 204 Bandung.
1
iwan.rijayana@widyatama.ac.id
Abstrak
Information Technology Governance (IT Governance) is an important factor for organizations in using information technology. The existence of IT Governance will provide assurance that the use of information technology in line with organizational goals. In building an IT Governance, can be adopted some standards such as ITIL, COSO, ISO27001, ISO3 8500 and others. This study uses COBIT, with consideration of COBIT made using other IT standards as a reference, so that the alignment of IT with the goal of development is relatively more secure institution. IT Governance model development starts by defining critical success factor (CSF) of the target IT institutions, measurement of current maturity level of IT Governance, gap analysis to risk analysis for identify the urgent IT processes for be implemented. At the end of the given recommendations for improvement of IT processes in accordance with his maturity level. The results of this research are proposed model of IT Governance expected quite appropriate for the organization Widyatama University. AI on COBIT domains associated with the implementation of IT solutions and business process integration in the organization, also includes changes and required maintenance running system to ensure the system's life cycle is maintained. In general, to achieve a better level of organization needs to define (formally) and promoting policies, procedures and standards required in information management, to manage the operation of any process document IT services; oversight, reporting and evaluation processes, and to facilitate knowledge sharing between individuals in charge of the process so that the expected dependence on individual IT systems can be minimized.
Kata kunci : COBIT, Organizational, Maturity Level, Audit, Analysis, IT Governance
1. Pendahuluan
1.1 Latar Belakang Masalah
Peran teknologi saat ini sudah menjadi penting bagi kelangsungan hidup organisasi, termasuk diantaranya bagi unit organisasi Universitas Widyatama. Meskipun organisasi pendidikan tinggi bukanlah organisasi berorientasi profit, dengan core
business yang tidak bergantung secara langsung
terhadap kehandalan teknologi informasi, namun efektifitas organisasi dalam mengelola teknologi informasi tetap menjadi hal yang penting, karena pengelolaan informasi dan teknologi yang mendukungnya secara optimal dapat membantu organisasi pendidikan dalam mencapai tujuannya.
Pengelolaan teknologi informasi pada organisasi hendaknya memandang informasi sebagai suatu aset penting organisasi yang selalu
harus dijaga kualitasnya, sehingga informasi yang mengalir dalam organisasi sesuai dengan yang diharapkan oleh pengguna informasi tersebut. Dalam proses pengelolaannya ini, organisasi juga harus menyadari adanya keterbatasan sumber daya seperti data, sistem aplikasi teknologi, fasilitas dan orang, sehingga perlu adanya kebijakan dalam mengelola sumber daya yang ada.
Information Technology (IT) Governance
merupakan struktur yang terdiri dari hubungan-hubungan dan proses yang mengarahkan dan mengontrol organisasi untuk mencapai tujuan organisasi dengan memberikan nilai tambah pada pemanfaatan teknologi informasi.
Salah satu metode pengelolaan teknologi informasi yang digunakan secara luas adalah IT governance yang terdapat pada COBIT (Control Objectives for Information and Related
Technology). COBIT dapat dikatakan sebagai kerangka kerja teknologi informasi yang dipublikasikan oleh ISACA (Information System Audit and Control Association). COBIT berfungsi mempertemukan semua bisnis kebutuhan kontrol dan isu-isu teknik.
Di samping itu, COBIT juga dirancang agar dapat menjadi alat bantu yang dapat memecahkan permasalahan pada IT governance dalam memahami dan mengelola resiko serta keuntungan yang behubungan dengan sumber daya informasi organisasi.
1.2 Identifikasi Masalah
Masalah utama yang dihadapi oleh sebagian besar organisasi dalam pengelolaan teknologi informasi adalah:
1. Tidak adanya kebijakan IT Governance yang menjadi panduan bagi organisasi dalam mengelola sistem informasi.
2. Layanan IT Governance yang disediakan belum memenuhi keseluruhan kebutuhan proses bisnis organisasi.
1.3 Rumusan Masalah
1. Bagaimana kebijakan IT Governance pada organisasi pendidikan tinggi di PTI Universitas Widyatama yang dapat membantu organisasi dalam mencapai tujuannya?
2. Bagaimanakah perancangan model tingkat kematangan pada layanan TI Governance sehingga kebutuhan proses bisnis organisasi Universitas Widyatama dapat terpenuhi?
1.4 Tujuan Penelitian
1. Dapat mengevaluasi kelebihan dan kekurangan sistem informasi yang ada dalam organisasi. 2. Sebagai acuan kebijakan pengelolaan
teknologi informasi untuk mendukung pencapaian sasaran strategi organisasi perguruan tinggi.
3. Memberikan wawasan lebih jauh terhadap kemajuan ilmu pengetahuan terutama dalam bidang Audit Sistem Informasi dan Teknologi Informasi dengan framework COBIT.
1.5 Metodologi Penelitian 1. Studi Literatur.
Mempelajari literatur teori dan informasi pendukung l a i n n y a m e n g e n a i a u d i t I T
G o v e r n a n c e d e n g a n menggunakan framework COBIT
2. Pengumpulan Data
Melakukan kegiatan survei terkait dengan pengadaan dan implementasi sistem, dengan melakukan pengamatan, wawancara,
penyebaran kuesioner dan mempelajari dokumen terkait.
3. Pengolahan dan Analisis Data
Melakukan penyusunan dan pengorganisasian data yang diperoleh dari kegiatan survei serta melakukan analisis terhadap hasil pengolahan.
4. Perancangan Solusi
Melakukan perancangan solusi untuk direkomendasikan agar menuju kondisi yang diharapkan.
2. Landasan Teori 2.1 IT Governance
Teknologi Informasi (TI) memiliki peranan penting bagi perusahaan sebagai salah satu faktor dalam mencapai tujuan perusahaan. Peran TI akan optimal jika penerapan TI dikelola dengan baik. Pengelolaan yang baik dapat dipastikan dengan menilai kesesuaian antara penerapan TI dengan kebutuhan bisnis perusahaan. Selain itu, pengelolaan TI yang baik harus disertai dengan pengidentifikasian resiko-resiko dari penerapan IT dan penanganan dari resiko-resiko tersebut. Untuk mewujudkan kedua hal tersebut, kita dapat menerapkan pengelolan teknologi informasi (IT Governance) [6].
Di dalam IT Governance, kebijakan
merupakan pernyataan dari sudut pandang direksi atau manajemen terhadap nilai yang harus dicapai dan hal-hal yang harus dilakukan atau tidak boleh dilakukan untuk mendukung pencapaian tujuan perusahaan. Sedangkan prosedur merupakan rangkaian kegiatan yang sistematis dalam merespon kebijakan [1].
Beberapa keuntungan yang akan diperoleh perusahaan dalam IT Governance yaitu [6] :
1. IT Governance memastikan adanya pengukuran yang efisien dan efektif terhadap peningkatan proses bisnis perusahaan melalui struktur yang mengaitkan proses-proses TI, dan sumber daya TI ke arah dan tujuan strategis perusahaan.
2. IT Governance memadukan dan melembagakan best practices dari proses perencanaan, pemilikan dan penerapan, pelaksanaan dan pendukung, serta pengawasan kinerja TI untuk memastikan informasi perusahaan dan teknologi yang terkait lainnya benar-benar menjadi pendukung bagi pencapaian sasaran perusahaan.
3. Proses bisnis di perusahaan akan menjadi jauh lebih transparan. Tanggung jawab serta akuntabilitas setiap fungsi dan individu juga akan semakin jelas.
Dengan keterpaduan tersebut, dapat diharapkan bahwa perusahaan dapat memperoleh keuntungan penuh akan informasi yang dimilikinya sehingga
dapat mengoptimumkan segala sumber daya dan proses bisnis mereka untuk menjadi lebih kompetitif [2].
2.2 Audit Sistem Informasi
George H.Bodnar terjemahan Jusuf, berpendapat mengenai audit s i s t e m i n f o r m a s i a d a l a h b a h w a s e b a g i a n b e s a r p e r u s a h a a n memperkerjakan auditor intern dan ekstern untuk mengaudit sistem informasi. Fokus audit arus pada sistem informasi itu sendiri dan pada validitas dan akurasi data yang diproses oleh system [10].
Weber mengemukakan bahwa audit sistem informasi merupakan proses pengumpulan dan pengevaluasian bukti (evidence) untuk menentukan apakah sistem informasi dapat melindungi aset dan teknologi informasi yang ada telah memelihara integritas data sehingga keduanya dapat diarahkan pada pencapaian tujuan bisnis secara efektif dengan menggunakan sumber daya secara efektif dan efisien. Dengan demikian, Aktivitas audit perlu dilakukan untuk mengukur dan memastikan kesesuaian pengelolaan baik sistem maupun teknologi informasi dengan ketetapan dan standar yang berlaku pada suatu organisasi, sehingga perbaikan dapat dilakukan dengan lebih terarah dalam kerangka perbaikan berkelanjutan (Sarno, 2009: 27) [3].
Berdasarkan pengertian yang telah diuraikan dan masih menurut Weber dapat disimpulkan bahwa tujuan dari audit sistem informasi adalah untuk mengetahui apakah pengelolaan sistem dan teknologi informasi telah mencapai tujuan strategisnya, yaitu [3]:
1. Meningkatkan perlindungan terhadap asset-aset (Asset safeguard), Aset informasi perusahaan seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia, file data harus dijaga oleh suatu system pengendalian intern yang baik agar tidak terjadi penyalahgunaan asset perusahaan.
2. Menjaga integritas data (Data integrity) jika tidak terpelihara maka suatu perusahaan tidak akan memiliki lagi hasil atau laporan yang benar bahkan perusahaan dapat menderita kerugian.
3. Meningkatkan efektifitas sistem (Effectivity) memiliki peranan penting dalam proses pengambilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila system informasi tersebut telah sesuai dengan kebutuhan user. 4. Meningkatkan efisiensi system (Efficiency)
Suatu sistem dapat dikatakan efisien jika system informasi dapat memenuhi kebutuhan user dengan sumber daya yang minimal.
2.3 COBIT
Framework COBIT (Control Objectives for
Information and related Technology) dikembangkan
oleh IT Governance Institute, sebuah organisasi yang melakukan studi tentang model pengelolaan TI yang berbasis di Amerika Serikat. COBIT
Framework terdiri atas 4 domain utama:
1. Planing & Organization (PO) 2. Acquisition & Implementation (AI) 3. Delivery & Support (DS)
4. Monitoring (M)
COBIT merupakan suatu framework yang dikembangkan oleh IT Governance Institute, sebuah organisasi yang melakukan studi tentang model pengelolaan TI yang berbasis di Amerika Serikat [5]. COBIT mempertemukan kebutuhan beragam manajemen dengan menjembatani celah atau gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis teknologi informasi. COBIT menyediakan referensi best business practices yang mencakup keseluruhan proses bisnis perusahaan dan memaparkannya dalam struktur aktivitas-aktivitas logis yang dapat dikelola serta dikendalikan secara efektif. COBIT akan menolong manajemen dalam mengoptimumkan investasi TI nya melalui ukuran-ukuran dan pengukuran-ukuran yang akan memberikan sinyal bahaya bila suatu kesalahan atau risiko akan atau sedang terjadi [5].
COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara dibangun chapter yang dapat mengelola para profesional tersebut. Target pengguna dari framework COBIT adalah organisasi/perusahaan dari berbagai latar belakang dan para profesional external assurance. Secara manajerial target pengguna.
COBIT adalah manajer, pengguna dan profesional TI serta pengawas/pengendali profesional. Secara resmi tidak ada sertifikasi profesional resmi yang diterbitkan oleh ITGI atau organisasi manapun sebagai penyusun standar COBIT. Di Amerika Serikat standar COBIT sering d ig una ka n dala m sta nd ar serti fi kasi Cer tified Pu blic
A c c o u n t a n t s ( C P A s ) d a n C h a r t e r e d
A c c o u n t a n t s ( C A s ) berdasarkan Statement on Auditing Standards (SAS) No. 70 Service Organisations review, Systrust certification or Sarbanes-Oxley compliance[9].
3. Tahapan Rancangan Model IT
Governance dan Kerangka Audit Sistem Informasi
3.1 Tahapan Rancangan Model IT
Governance
dengan menggunakan domain yang sesuai dengan penerapan sistem informasi yang akan diteliti.
2. Menetapkan CSF tiap-tiap proses pada domain sistem informasi institusi. CSF adalah merupakan faktor kritis kesuksesan yaitu proses menetapkan masalah kritis atau tindakan manajemen dalam mencapai pengendalian atas proses SI yang diukur melalui KGI.
3. Menetapkan KGI tiap-tiap proses pada domain sistem informasi institusi. KGI menetapkan ukuran yang mengarahkan manajemen setelah fakta – apakah proses SI t el a h me nc a pa i ke but uha n bi s ni s n y a , bi a s a ny a digambarkan atas kriteria informasi: ketersediaan informasi untuk mendukung kebutuhan bisnis, ketiadaan integritas dan resiko kerahasiaan, efisiensi biaya proses dan operasi, konfirmasi kehandalan, efektivitas dan pemenuhan (ketaatan).
4. Menetapkan KPI tiap-tiap proses pada domain sistem informasi institusi. KPI menetapkan ukuran untuk menentukan bagaimana proses SI institusi dilaksanakan dengan baik yang memungkinkan tujuan tersebut dicapai.
5. Menetapkan tujuan pengendalian berdasarkan CSF, KGI, dan KPI tersebut ditentukan tujuan pengendalian. Tujuan pengendalian adalah untuk memberikan keyakinan dan kepastian bahwa SI telah mendukung pencapaian tujuan Universitas Widyatama.
6. Membuat kuesioner berdasarkan tujuan pengendalian yang telah ditetapkan, dibuat kuesioner sebagai bahan bagi pengumpulan fakta pada tiap-tiap proses. Membuat tingkat model maturity sistem informasi Institusi.
3.2 Kerangka Audit Sistem Informasi
Kerangka kerja audit SI Universitas Widyatama dikelompokan dalam domain pengadaan dan implementasi. Domain terdiri dari proses- proses, dimana setiap proses akan memiliki pengendalian proses TI, penyampaian jaminan informasi yang di tujukan pada kebutuhan kriteria informasi diukur dengan KGI, dan dengan pertimbangan faktor kritis kesuksesan CSF yang dipengaruhi sumberdaya khusus TI dan diukur melalui KPI.
4. Hasil Audit Sistem Informasi
4.1 AI-1. Identify Automated Solutions - Level Maturity 3,32 (Defined Process) Pusat Teknologi Informasi (PTI) telah menetapkan akuisisi dan metodologi implementasi. Dalam menentukan solusi IT untuk memenuhi kebutuhan bisnis, maka PTI
memerlukan pendekatan yang jelas dan terstruktur. Pendekatan tersebut membutuhkan evalusi dan pertimbangan alternatif terhadap kebutuhan user, teknologi, kelayakan, risiko dan faktor-faktor lainnya. Terkadang proses ini dilewati atau dianggap tidak praktis.
4.2 AI-2. Acquire and Maintain Application Software - Level Maturity 3,28 (Defined Process)
Keterlibatan user dalam proses pengembangan sistem sudah cukup baik, dan terdapat dokumentasi akuisisi dan proses maintenace. PTI berusaha untuk menerapkan pendokumentasian secara konsisten terhadap seluruh project dan aplikasi. Namun kurangnya proses maintenance sehingga perbaikan dilakukan pada saat terjadi masalah sehingga sering memakan waktu dan tidak efisen.
4.3 AI-3. Acquire and Maintain Technology Infrastructure - Level Maturity 3,27 (Defined Process)
Untuk mengelola infrastruktur IT, PTI memerlukan sebuah proses yang jelas dan mudah dipahami. Infrastruktur IT mendukung kebuthan aplikasi yang sejalan dengan strategi bisnis unit organisasi. Namun proses pengelolaan infrastruktur IT tidak dilalkukan secara konsisten sehingga tidak sepenuhnya Infrastruktur IT mendukung kebutuhan aplikasi bisnis.
4.4 AI-4. Develop and Maintain Procedures - Level Maturity 3,31 (Defined Process)
Terdapat kerangka kerja yang jelas, diterima, dan dipahami. Terkait dengan pendokumentasian user, manual operasi, dan materi pelatihan. Pengguna ikut terlibat dalam proses untuk menegakan pemenuhan kebutuhan terhadap standar operasi. Namun kurangnya kontrol pengawasan terhadap kepatuhan standar oprasi tersebut.
4.5 AI-5. Install and Accredit System - Level Maturity 3,32 (Defined Process)
Menetapkan sebuah metode formal yang berkaitan dengan instalasi, migrasi, dan konvesi. Namun kualitas sistem saat memasuki bagian produksi tidak konsisten dengan sistem baru sering mendapatkan masalah pasca implemenasi.
4.6 AI-6. Manage Changes - Level Maturity 3,30 (Defined Process)
Proses perubahan manajemen telah ditetapkan, termasuk kategorisasi, prioritas, prosedur darurat perubahan otorisasi dan manajemen rilis, namun kepatuhan belum ditegakan. Sehingga kesalahan mungkin dapat terjadi kembali dan perubahan yang tidak sah akan sesekali terjadi. Analisa dampak perubahan IT pada operasi bisnis menjadi di utamakan, untuk mendukung peluncuran rencana aplikasi dan teknologi baru.
5. Kesimpulan dan Saran 5.1 Kesimpulan
Berdasarkan hasil perancangan audit sistem informasi didapat bahwa IT Governance dan audit sistem informasi berguna untuk meningkatkan kualitas layanan TI yang sesuai dengan kebutuhan bisnis Universitas Widyatama, hal ini dikarenakan :
1. Diketahuinya letak permasalahan yang cukup memberi dampak untuk pengembangan sistem informasi dan juga pemanfaatan sistem informasi yang lebih efektif, efisien dan terintegrasi. Pemanfaatan layanan sistem informasi bagi unit organisasi Universitas Widyatama sudah melewati proses perencanaan yang cukup baik, sehingga untuk mendapatkan posisi pemetaan audit sistem informasi pada proses pengadaan dan implementasi juga sangat terbantu dengan cukup baik, hal itu terlihat dari hasil perhitungan tingkat kematangan sistem informasi.
2. Perancangan model tingkat kematangan layanan TI dengan menggunakan implementasi
framework COBIT sebagai pilihan yang baik
untuk mengolah dan merancang hasil audit sistem informasi serta membantu untuk menemukan aktifitas yang berpengaruh dalam pengembangan dan pemanfaatan sistem informasi yang maksimal. Perancangan dilakukan dengan mengolah data kuesioner yang di compare dengan menggunakan maturity
model COBIT. Posisi pemetaan audit sistem
informasi Universitas Widyatama telah mencapai tingkat kematangan atau maturity level 3 disebut dengan Defined Process ataupun ditetapkan. Dengan kata lain bahwa layanan sistem informasi Universitas Widyatama tersebut telah berjalan dengan cukup baik.
5.2 Saran
1. Untuk lebih memaksimalkan kinerja layanan sistem informasi Universitas Wdyatama, perusahaan harus mempertahankan IT Governance dan terus mengadakan meningkatkan kualitas kinerja sistem informasi terutama terkait dengan standar prosedur dan penetapan kebijakan agar sesuai dengan kebutuhan bisnis perusahaan, serta merancang sebuah master plan yang digunakan
untuk perencanaan dimasa mendatang disesuaikan dengan kebutuhan kinerja yang mungkin akan semakin bertambah seiring berjalannya waktu.
2. Dalam penelitian ini, kasus yang diangkat menggunakan metode framework COBIT domain AI (Acquire and Implementation) dengan harapan dapat mengetahui posisi audit sistem informasi pada proses pengadaan dan implementasi TI Universitas Widyatama pada saat ini. Domain lain yang disediakan oleh
framework COBIT adalah PO (Planning and
Organisation), DS(Delivery and Support), ME(Monitoring), oleh karena itu analisis dan pengendalian sistem informasi dapat dilanjutkan dengan menggunakan domain – domain tersebut. Daftar Pustaka:
[1] Alter, Steven. 2002. Information System, Foundation of E-business. 4th ed, Prentice Hall.
[2] Arens, A. Loebbecke, J.K. 2003. Auditing Pendekatan Terpadu. Buku 1, Edisi Indonesia, Terjemahan Jusuf, Amir A. Jakarta: Salemba Empat.
[3] Bisson, Jacquelin., Rene, Sain-Erman. 2004. 2 The BS 7799 / ISO 17799 Standard For a better approach to it-governance, http :// www.calio.com. [4]. Bodnar, George H., dan Hopwood, William S. 1996. Sistem Informasi Akuntansi. Buku 2, Terjemahan Amir Abadi Jusuf, Rudi M Tambunan. Jakarta: Salemba Empat.
[4] COBIT Steering Committee and the IT Governance Institute. 2000. COBIT (3 rd Edition) Management Guidelines. IT
Governance Institute,
http://www.isaca.org
.[5] IT Governance. 2003. Leveraging Technology In Education.
[6] Mulyadi. 2002. Auditing. Buku 1, Edisi 6, Jakarta: Salemba Empat.
[7] The IT Governance Institute. 2004. Board Briefing on IT Governance (2nd Edition). IT
Governance Institute,
http://www.isaca.org
.[8] The IT Governance Institute. 2007. COBIT 4.1 : Control Objectives, Management Guidelines, Maturity Models. IT Governance Institute by ISACA (Information System Audit & Control Association), USA.
[9] Weber, R. 1999. Information System Control and Audit. New Jersey: Prentice Hall, Inc. [10] http://id.wikipedia.org/wiki/Audit_teknologi_in
formasi - diakses tanggal 30 Maret 2013. [11]
http://referensirisk.blogspot.com/2013/02/iso-17799-keamanan-jaringan-informasi.html - diakses tanggal 25 Maret 2013.
[12] http://id.wikipedia.org/wiki/ITIL - diakses tanggal 28 Maret 2013.
[13] http://www.scribd.com/doc/19047578/perbandi ngan-standar-pengendalian-internal-COSO-COBIT-SOA-BASEL-II-dan-ISO-17799 - diakses tanggal 28 Maret 2013.