Manajemen Sumber Daya dan Manajemen Komunikasi Proyek
Pada Pekerjaan Audit Teknologi Informasi
Studi Kasus: PT XYZ
Bambang Susilo,
NIM: 1606933213
Dosen: Dr. Ir. Iwan Krisnadi, MBA
Program Pasca Sarjana, Keamanan Jaringan Informasi Departemen Teknik Elektro, Universitas Indonesia
Abstrak:
Teknologi Informasi memiliki peran penting dalam mendukung proses bisnis perusahaan.
Untuk itu tatakelola sistem informasi yang baik menjadi bagian yang penting dalam mewujudkan
proses Teknologi Informasi yang sesuai dengan strategi bisnis perusahaan. Audit terhadap Teknologi
Informasi menjadi salah satu cara untuk memberikan keyakinan terhadap proses teknologi yang
berjalan dalam perusahaan. PT XYZ melakukan audit Teknologi informasi dalam rangka mengetahui
kondisi aktual dan area-area yang perlu diperbaiki dengan rekomendasi yang tepat.
Makalah ini melihat dari sudut pandang manajemen sumber daya proyek dan manajemen
komunikasi proyek yang merupakan bagian dari PMBOK (Project Management Book of
Knowledge).pada pekerjaan Audit Teknologi Informasi yang menggunakan kerangka COBIT 5.
I. PENDAHULUAN
Latar belakang
Teknologi informasi (TI) merupakan salah satu faktor penting dalam penyediaan dan peningkatan performa operasi bisnis. Optimalisasi TI menjadi salah satu hal utama bagi PT
XYZ. Untuk itu perlu diidentifikasi area-area TI yang perlu diperbaiki dan ditingkatkan kualitasnya. Melalui audit TI umum, dapat diketahui area-area perbaikan serta
rekomendasi-rekomendasi yang tepat untuk peningkatan TI ke depan.
Dalam makalah ini akan dibahas mengenai audit teknologi informasi dilihat dari sisi manajemen proyek khususnya manajemen sumber daya proyek dan manajemen komunikasi proyek.
Rumusan Masalah
Memetakan proses manajemen proyek pada pekerjaan audit teknologi informasi.
II. KAJIAN PUSTAKA
PMBOK
PMBOK, atau lengkapnya A Guide to the Project Management Body of Knowledge (PMBOK Guide), adalah suatu buku yang memuat himpunan istilah dan pedoman untuk manajemen proyek yang diterbitkan oleh Project Management Institute (PMI).
Project management adalah sebuah disiplin keilmuan dalam hal perencanaan, pengorganisasian, pengelolaan (menjalankan serta pengendalian), untuk dapat mencapai tujuan-tujuan proyek.
Sembilan (knowledge area) dalam PMBOK adalah sebagai berikut:
Manajemen Integrasi proyek (Project Integration Management)
Manajemen Lingkup proyek (Project Scope Management)
Manajemen Waktu proyek (Project Time Management)
Manajemen Biaya proyek (Project cost management)
Manajemen Kualitas proyek (Project quality management)
Manajemen sumber daya proyek (Project resource management)
Manajemen Komunikasi proyek (Project communication management)
Manajemen Risiko proyek (Project risk management)
COBIT 5
COBIT dirilis oleh ISACA yaitu asosiasi independen nonprofit yang mendukung para profesional di bidang keamanan informasi, assurance, manajemen risiko, dan governance and management of enterprise IT.
COBIT terbaru adalah COBIT 5 yang dirilis bulan April 2012. COBIT 5 adalah kerangka bisnis untuk tata kelola dan tata laksana TI. Dalam kerangka ini, COBIT menyediakan referensi key practices dan aktivitasnya untuk 37 proses TI yang mungkin ada dalam satu
perusahaan.
Model Referensi Proses dalam COBIT 5
COBIT 5 membagi proses tata kelola dan manajemen TI perusahaan menjadi dua domain
proses utama:
1. Tata Kelola, memuat lima proses tata kelola, dimana akan ditentukan praktik-praktik dalam
setiap proses Evaluate, Direct, dan Monitor (EDM)
2. Manajemen, memuat empat domain, sejajar dengan area tanggung jawab dari Plan, Build,
Run, and Monitor (PBRM), dan menyediakan ruang lingkup TI yang menyeluruh dari ujung
ke ujung yaitu:
Align, Plan, and Organize (APO) – Penyelarasan, Perencanaan, dan Pengaturan
Build, Acquare, and Implement (BAI) – Membangun, Memperoleh, dan Mengimplementasikan
Deliver, Service and Support (DSS) – Mengirimkan, Layanan, dan Dukungan
Monitor, Evaluate, and Assess (MEA) – Pengawasan, Evaluasi, dan Penilaian
Tabel 1. Ranah COBIT 5
Ranah Deskripsi
Evaluate, Direct
and Monitor
(EDM)
Ranah Deskripsi
Align, Plan and
Organise (APO)
Proses-proses di ranah ini menyediakan arahan untuk penyediaan solusi (ranah BAI) serta penyediaan layanan dan support (ranah DSS). Ranah ini mencakup strategi dan taktis termasuk mengidentifikasi cara terbaik agar TI dapat berkontribusi terhadap pencapaian objektif bisnis. Realisasi visi strategis perlu direncanakan, dikomunikasikan, dan dikelola. Organisasi TI yang sesuai serta infrastruktur teknologi harus disiapkan.
Build, Acquire and
Implement (BAI)
Proses-proses di ranah ini menyiapkan solusi dan transisinya ke operasi. Untuk dapat mewujudkan strategi TI, solusi TI harus diidentifikasi, diadakan atau dikembangkan, diimplementasikan dan diintegrasikan dengan proses bisnis. Manajemen perubahan dan pemeliharaan juga tercakup di ranah ini.
Deliver, Service
and Support (DSS)
Proses-proses di ranah ini menerima solusi dan membuatnya dapat dimanfaatkan oleh pengguna. Ranah ini mencakup penyediaan layanan dan dukungannya termasuk manajemen layanan, manajemen keamanan dan keberlangsungan, serta manajemen data dan fasilitas operasional.
Monitor, Evaluate
and Assess (MEA)
Proses-proses di ranah ini memantau semua proses TI untuk memastikan bahwa arahan yang telah diberikan diikuti. Secara rutin, semua proses TI perlu dievaluasi kontrol-kontrol serta kualitasnya. Ranah ini mencakup manajemen kinerja, pemantauan kontrol internal, kepatuhan proses-proses TI terhadap persyaratan internal dan peraturan perundangan serta regulasi.
Gambar 1. Proses Dalam COBIT 5
III. METODOLOGI
Metodologi penelitian makalah ini sebagai berikut:
Studi literatur.
Studi kasus, mengumpulkan contoh proyek audit, membuat analisa pembahasan dari pekerjaan audit dilihat dari beberapa proses manajemen proyek yaitu manajemen sumber daya proyek dan manajemen komunikasi proyek.
Gambar 2. Tahapan IT Audit
Peningkatan Pemahaman
Peningkatan pemahaman dilakukan melalui pengumpulan dan analisa awal terhadap dokumen-dokumen perusahaan dan TI yang relevan serta diskusi dengan pihak-pihak senior yang dapat menjelaskan kondisi terbaru PT XYZ dan pemanfaatan TI.
Pelaksanaan Audit
Audit dilakukan melalui analisa dokumen, wawancara dengan berbagai pihak terutama dengan Departemen TI, observasi ke berbagai pabrik (plants), data center, dan database backup facility, serta pengujian-pengujian teknis
Verifikasi Hasil Audit
Dalam tahap ini, hasil dari audit diverifikasi bersama dengan auditee secara iteratif untuk finalisasi temuan, penetapan rekomendasi yang realistis, dan untuk mendapatkan tanggapan resmi dari auditee.
Pembuatan Laporan
Hasil dari verifikasi audit digunakan untuk mengembangkan laporan audit lengkap termasuk pencantuman temuan, rekomendasi, dan tanggapan resmi dari auditee. Selain itu juga akan
IV. PEMBAHASAN DAN HASIL
Manajemen Sumber Daya Proyek (Project Human Resource Management)
Salah aktifitas proses dalam proyek manajemen adalah manajemen sumber daya proyek.
Berikut ini struktur organisasi proyek dalam pekerjaan audit.
Gambar 3. Struktur Tim Proyek
Dalam manajemen sumber daya proyek terdapat 4 proses yaitu:
Develop Human Resource Plan
Acquire Project Team
Develop Project Team
Manage Project Team
Gambar 4. Mengelola Tim Proyek: Inputs, Tools & Techniques, dan Outputs
Sebagai input proses yaitu rencana manajemen proyek yang berisi role and
responsibilities dan rencana manajemen staf. Teknik Observation and conversation digunakan oleh Manajer proyek untuk memonitor tim proyek dan hasil kerjanya.
Manajemen Komunikasi Proyek (Project Communication Management)
Dalam semua tahapan audit, komunikasi dengan pihak yang di audit menjadi hal yang sangat penting agar proses audit dapat berjalan lancar dan mendapatkan hasil yang diinginkan. Keterbukaan menjadi kunci penting dalam proses interview terlebih jika dokumen yang akan diaudit tidak tersedia.
Dalam Manajemen komunikasi proyek terdapat aktifitas Proses perencanaan komunikasi.
Dalam Manajemen Komunikasi Proyek terdapat lima proses yaitu:
Identify Stakeholder
Plan Communication
Distribute Communication
Manage Stakeholder Expectation
Report Performance
Gambar 5. Input, Tools and Techniques serta Output untuk Perencanaan
Komunikasi.
Sebagai input proses Perencanaan Komunikasi yaitu stakeholder register atau daftar semua pemangku kepentingan, dalam audit ini pemangku kepentingan adalah manajemen PT XYZ, departemen TI, karyawan PT. XYZ, vendor dan pelanggan PT. XYZ . Tools and Techniques Teknik yang digunakan sebagai berikut:
Communication Technology: melalui telpon, handphone, email dan /atau tatap muka secara langsung.
Communication Method: menggunakan komunikasi interaktif (interactive communication), dimana kedua belah pihak saling bertukar informasi.
HASIL AUDIT
Penilaian Tingkat risiko dari hasil audit diklasifikasikan untuk menjadi panduan bagi manajemen dalam menentukan rencana tindak lanjut yang tepat. Berikut ini adalah deskripsi dari masing-masing kategori tingkatan risiko.
Tabel 2. Tingkat Risiko
Tingkat Risiko Deskripsi
Tinggi
termasuk kerugian finansial yang besar. Temuan di klasifikasi ini membutuhkan perhatian khusus dari manajemen puncak dan harus segera (urgent) diperbaiki.
Sedang
Klasifikasi ini untuk temuan dengan risiko ketidakpatuhan terhadap peraturan perundangan/kontrak namun tidak begitu material/signifikan dan/atau risiko moderat terhadap terganggunya operasional TI. Temuan di klasifikasi ini perlu diperhatikan oleh Manajer TI dan ditindaklanjuti dalam jangka waktu menengah.
Rendah
Tidak ada persyaratan kepatuhan/kontrak yang dilanggar namun terdapat risiko yang berdampak terhadap operasional TI. Temuan dapat ditindaklanjuti oleh Manajer TI atau kepala sie TI dalam jangka panjang untuk meningkatkan kualitas proses-proses TI.
Berikut ini adalah assessment list hasil audit yang telah dilakukan, dikelompokkan berdasarkan ranah COBIT 5.
Tabel 3. Hasil Audit
No. Ranah Hasil Audit Tingkat
Risiko
1. EDM Tata kelola TI belum lengkap Sedang
2. APO Kebijakan dan prosedur TI belum dikembangkan dan/atau diperbarui
Sedang
3. APO Organisasi TI belum lengkap Tinggi
4. APO Perencanaan Strategis TI dan Arsitektur Informasi Belum Dikembangkan dengan Lengkap
Sedang
5. APO Service level management belum terdefinisi Sedang 6. APO Vendor DC belum memenuhi persyaratan kontrak mengenai
FM-200 fire suppression system
Rendah
7. APO Manajemen risiko TI belum diterapkan secara formal Sedang
8. BAI Pengembangan sistem belum lengkap Sedang
9. BAI Terdapat beberapa permasalahan pada Aplikasi ERP dan penggunaannya
Tinggi
10. BAI Aplikasi ERP belum terintegrasi secara keseluruhan Tinggi 11. BAI Manajemen kapasitas belum lengkap termasuk identifikasi
kelambatan kinerja sistem
No. Ranah Hasil Audit Tingkat Risiko
12. BAI E-mail dari e-mail service providers lambat diterima Rendah 13. DSS Jam layanan TI belum disesuaikan dengan jam layanan bisnis Sedang 14. DSS Pelaporan layanan jaringan dari vendor belum lengkap Sedang
15. DSS Manajemen insiden belum lengkap Sedang
16. DSS Manajemen kesiapan bencana belum memadai Sedang
17. DSS Basisdata belum terintegrasi penuh Tinggi
18. DSS Pengamanan sistem informasi kurang memadai Sedang 19. DSS Manajemen kerentanan dan patch belum berjalan dengan baik Tinggi 20. DSS Identity & access management belum berjalan dengan baik Sedang 21. DSS Pengelolaan infrastruktur dan perangkat pengguna akhir
belum terstandar
Tinggi
22. DSS Security awareness kurang memadai Sedang
23. MEA Pemantauan, pengukuran, dan pelaporan TI belum lengkap Sedang
Tabel 4. Hasil Assessment Berdasarkan Tingkat Risiko
No. Struktur
Assessment yang telah dilakukan mendapatkan 23 isu dan enam di antaranya memiliki tingkat risiko yang tinggi sehingga perlu mendapat perhatian khusus dari manajemen puncak PT. XYZ dan perlu ditindaklanjuti dalam jangka pendek. Dari keenam isu dengan tingkat risiko tinggi, tiga terkait dengan Aplikasi ERP yaitu belum terintegrasi secara keseluruhannya Aplikasi ERP dengan sistem ICS-PLC (industrial control system-programmable logic
controller) dari batching plant, kurang optimalnya kinerja Aplikasi ERP yang dapat disebabkan oleh struktur data yang tersebar dalam beberapa basisdata, serta masih
sedang ditangani. Penyelesaian semua isu di atas memerlukan waktu dan sumber daya yang signifikan sedangkan Sie Pengembangan Aplikasi juga harus mengembangkan aplikasi/modul baru seperti customer self-service, modul pemeliharaan plant, serta Aplikasi
Dashboard sehingga penyelesaiannya cukup memakan waktu.
Isu lain dengan tingkat risiko tinggi adalah belum optimalnya organisasi TI yang ada, antara lain karena lowongnya jabatan kepala Sie Pengembangan Aplikasi dan Sie Pemeliharaan, belum adanya sie perencanaan dan umum, serta belum adanya staf yang bertanggung jawab untuk manajemen risiko TI dan keamanan sistem informasi.
Isu dengan tingkat risiko tinggi yang terakhir tapi tidak kalah pentingnya adalah mengenai pengelolaan infrastruktur pengguna yang belum terstandar di berbagai lokasi dan divisi, sehingga mengakibatkan berbagai macam hal antara lain:
tidak terstandarnya penempatan server, instalasi kabel, UPS, genset, penangkal petir
bervariasinya Windows update dari masing-masing workstation sehingga muncul berbagai kerentanan dari sisi keamanan sistem
pemakaian akun admin sehingga pengguna dapat menginstalasi aplikasi secara bebas, dan instalasi aplikasi-aplikasi yang tidak berhubungan langsung dengan pekerjaan
tidak terstandarnya penyediaan akses Internet termasuk pembatasan akses situs tertentu.
Beberapa isu berikut ini memiliki tingkat risiko sedang namun tetap perlu mendapat perhatian manajemen. Isu-isu tersebut dapat dikumpulkan ke dalam satu kelompok yaitu belum terdapatnya suatu kerangka tata kelola TI (IT governance framework) untuk digunakan Direksi dalam memberi pengarahan dan mendapatkan nilai maksimal dari TI.
Termasuk dalam tata kelola TI adalah:
belum dikembangkannya rencana strategis TI termasuk arsitektur informasi
belum dikembangkannya kebijakan dan prosedur TI
belum optimalnya manajemen kapasitas termasuk identifikasi kelambatan kinerja sistem
belum dijalankannya manajemen risiko TI berdasarkan manajemen risiko korporat
belum lengkapnya pengukuran dan pelaporan TI untuk pengelolaan dan perencanaan TI.
Isu terakhir dengan tingkat risiko sedang yang perlu mendapat perhatian manajemen adalah
kurangnya keamanan informasi secara umum dan keamanan sistem informasi secara khusus di PT. XYZ antara lain mengenai penggunaan antivirus/antimalware yang belum optimal, cukup luasnya praktik password sharing termasuk untuk approval.
HIGH-LEVEL RECOMMENDATIONS
Berikut high-level recommendations untuk bahan pertimbangan bagi Departemen TI dan PT. XYZ:
optimalisasi Aplikasi ERP yaitu konsolidasi basisdata, penanganan software defects dan permintaan perubahan aplikasi,
peningkatan kualitas dan kinerja organisasi TI melalui pengisian jabatan kepala Sie Pengembangan Aplikasi dan Sie Pemeliharaan, pemisahan yang jelas antara ranah pengembangan dan ranah operasi, penerapan manajemen risiko TI dan security operations (termasuk vulnerability and patch management), koordinasi untuk technical support & troubleshooting, dan secara bertahap, fungsi-fungsi terkait perencanaan seperti perencanaan TI, pengembangan dan pembaruan arsitektur informasi, serta pengembangan dan pembaruan kebijakan dan prosedur TI, dijalankan sampai terbentuk sie perencanaan
standardisasi pengelolaan infrastruktur pengguna melalui pembaruan dan pengembangan panduan keamanan sistem informasi sebagai panduan di lokasi dan di Kantor Pusat untuk penempatan server, instalasi kabel, AC, UPS, genset, dan
penangkal petir, juga sebagai panduan untuk patch, penanganan virus/malware, dan akses Internet
pengembangan rencana strategis TI serta kebijakan dan prosedur TI
peningkatan tata kelola dan tata laksana TI antara lain pendefinisian dan penerapan kerangka tata kelola dan tata laksana TI (IT governance and management
framework), pengkajian berbasis risiko terhadap penyesuaian jam layanan TI, manajemen kapasitas terutama pemantauan dan pengukuran resources secara lengkap,
pengkajian manajemen keberlangsungan bisnis (business continuity management) oleh Manajemen Puncak dan manajemen pemulihan bencana (disaster recovery
management), manajemen insiden, serta information system security awareness khususnya dan information security secara umum.
V. KESIMPULAN
Berdasarkan hasil audit PT XYZ dapat melakukan perbaikan terhadap temuan-temuan
yang ada dan melakukan peningkatan kualitas baik dari sisi people, proses maupun teknologi. Dengan adanya peningkatan kualitas tersebut dapat membawa kelancaran
bisnis bagi PT. XYZ.
Dalam pelaksanaan audit, manajemen proyek perlu diperhatikan untuk keberhasilan proyek dan hasilnya dapat memberikan nilai tambah kepada organisasi yang di audit. Dari proses audit sendiri terlihat bahwa manajemen sumber daya proyek dan manajemen komunikasi proyek yang menjadi bagian penting dalam pekerjaan audit pada setiap tahap, baik tahap peningkatan pemahaman, pelaksanaan audit, maupun tahap verifikasi temuan.
VI. DAFTAR PUSTAKA
[1.] Information Systems Audit and Control Association. COBIT 5. A Business
Framework for the Governance and management of Enterprise IT. 2012
[2.] Project Management Institute, A guide to the Project management Body of
Knowledge (PMBOK@Guide) – Fouth Edition. 2008
[3.] IEEE 1490, IEEE Guide Adoption of PMI Standard A guide to the Project
management Body of Knowledge. 2004
[4.] Information Systems Audit and Control Association. IT Control Objective for
Sarbanes Oxley, 3rd Edition. 2014
