BAB 7. STANDAR DAN PROSEDUR
(BAGIAN KETIGA)
PENDAHULUAN
Diskripsi Singkat
Audit dan kontrol pada teknologi informasi dan komunikasi
dilaksanakan dengan didasarkan pada standar dan prosedur yang
berbasis beberapa standar. Standar berasal dari best practiceI atau
standar ideal industri yang berkembang di dunia. Dalam area audit dan
kontrol teknologi informasi memiliki beberapa standar yang bisa
digunakan untuk mempertajam penggunaan standar dan prosedur
yang kuat.
Manfaat
•Mengenalkan dan memberikan pengetahuan dasar mengenai
standard an prosedur audit yang berlaku
•Memperkenalkan sejak dini (mahasiswa) untuk mengenal lebih
jauh dunia industry yang memiliki aturan main cukup ketat
dalam implementasi dan pengendalian layanan teknologi
informasi dan komunikasi
Relevansi
Standar dan prosedur audit dan kontrol pada teknologi informasi
merupakan tahapan krusial untuk mengidentifikasi beberapa aturan
main yang mengatur dunia audit dan kontrol itu sendiri. Secara khusus
teknologi informasi, memiliki beberapa aturan main berdasar beberapa
standar yang mengikat. Standar dan prosedur ini dibangun untuk
menjembatani praktek-praktek terbaik industri dan
mengimplementasikan untuk mencipatkan nilai bagi organisasi.
Materi ini sangat relevan untuk membangun kontruksi pemahaman
profesional bagi peserta didik sehingga siap nantinya terjun dan
mengadaptasi dunia industri.
PENYAJIAN
MATERI
Tata Kelola TI
Sebuah kebijakan informasi organisasi biasanya memberikan arahan baik bagi para pengelola maupun para pengguna informasi. Bagi para pengelola kebijakan informasi merupakan sebuah kerangka kerja yang berisi prinsip-prinsip organisasi yang berhubungan dengan informasi, penggunaannya dan pengelolaannya. Di antaranya menjamin pengalokasian sumber-sumber informasi penting dalam manajemen informasi. Sedangkan dari perspektif pengguna, kebijakan informasi merupakan sebuah jaminan bahwa organisasi mempunyai komitmen untuk menyediakan informasi yang dibutuhkannya (Henczel, 2001: 11).Dengan demikian para manajer sebuah perguruan tinggi dan semua yang terlibat di dalamnya harus memahami dorongan-dorongan yang membuat perubahan ini terasa diperlukan dan betul-betul sangat diharapkan. Paling tidak dorongan-dorongan dan suasana lingkungan seperti ini harus dijelaskan kepada seluruh staf dan pengguna, karena hal ini akan mempengaruhi sikap para staf dan pengguna dikemudian hari. Bahkan akan lebih baik lagi jika mereka dapat berpartisipasi dalam mengelola perubahan dengan menggunakan suatu pendekatan strategis yang jelas.
Secara khusus Gallacher (1996; 13) dalam Managing Change in Library and Information Service mengemukan bahwa yang harus dilakukan oleh pemimpin TI adalah mempertimbangkan lingkungan internal dan eksternalnya, karena hal ini mempunyai konsekuensi yang multi fungsional, sebagai berikut:
1. Environmental analysis, yaitu proses mengkaji trend dan kondisi dalam lingkungan untuk mengidentifikasi hal-hal yang mendorong kepada perubahan.
2. Political awareness, yaitu kepekaan terhadap kondisi dalam organisasi induk universitas dan pemahaman tentang posisi dan cakupan pengaruh di dalamnya.
3. Strategic vision, yaitu partisipasi dalam membuat keputusan ke mana unit akan diarahkan, mengapa dan bagaimana unit dapat mencapainya
Berhubungan dengan aspek-aspek internal dan eksternal yang harus dianalisis sebagai dasar pijakan pembuatan rekomendasi strategi yang diterapkan, Indrajit (2000: 33)
menyebutkan bahwa di dalam aspek internal, ada empat hal utama yang harus dianalisis, yaitu:
1. Struktur Organisasi, mempelajari fungsi-fungsi yang ada dalam organisasi dan bagaimana keterkaitan antar fungsi tersebut
2. Proses dan Prosedur, mempelajari bagaimana proses dan prosedur penciptaan produk atau jasa yang ditawarkan perusahaan secara mendatail
3. SDM dan Budaya, mempelajari karakteristik manusia sebagai implementor sistem yang diterapkan perusahaan, terutama hal-hal yang melatarbelakangi terbentuknya budaya perusahaan
4. Sumber daya dan Infrastruktur, mempelajari sumber-sumber daya yang dimiliki perusahaan, seperti aset keuangan, manusia, informasi, waktu dan sebagainya.
Dalam aspek eksternal, ada dua faktor yang harus dipelajari yaitu
1. Produk dan jasa (Pelayanan), yang merupakan alasan mengapa sebuah perusahaan didirikan, karena penjualan produk dan jasa inilah pendapatan diperoleh untuk mendapatkan profit atau keuntungan;
2. Pasar dan pelanggan, yang merupakan kumpulan dari para calon pembeli produk dan jasa yang ditawarkan.
Cohn (2001:1) menyimpulkan bahwa rencana strategis memfokuskan pada kegiatan mengidentifikasi kunci isu-isu lingkungan yang mempengaruhi sebagai contoh, prakarsa dalam organisasi induk (untuk menjadi universitas riset bertaraf internasional) atau ketersediaan teknologi baru sebagai strategi tersebut dalam merespon isu-isu ini, mendefinisikan visi layanan yang menggambarkan tujuan akhir dengan tetap menyediakan fleksibilitas dalam menerima hasil ahkir ini. Selanjutnya dalam pengembangan sebuah rencana teknologi dasar harus melibatkan delapan tahapan, sebagai berikut:
1. Meninjau keberadaan teknologi dan layanan-layanan yang ada. 2. Meninjau kebutuhan lingkungan dan pengguna
3. Menentukan prioritas
4. Mengembangkan misi, visi, dan tujuan untuk dilaksanakan
5. Mengembangkan proposal anggaran untuk menerapkan rencana yang telah dibuat
6. Mengevaluasi hasil yang telah dicapai 7. Mendefinisikan kembali prioritas, jika perlu
8. Memperbaharui dan merevisi rencana (Cohn, 2001; 2).
Melihat pentingnya peranan teknologi informasi, maka harus ada suatu mekanisme yang dapat mengukur kinerja perangkat teknologi tersebut. Salah satu cara atau metode yang dapat dipakai adalah dengan menggunakan konsep information technology scorecard (balanced scorecards untuk kinerja teknologi informasi). Sama seperti halnya dalam balanced scorecards untuk bisnis, pada balanced scorecards untuk kinerja teknologi informasi terdapat 4 akses kinerja yang harus diukur, masing-masing adalah:
1. User Orientation untuk mengukur kepuasan para pengguna terhadap kinerja divisi teknologi informasi yang bertanggung jawab dalam menyediakan perangkat teknologi.
2. Corporate Contribution untuk mengukur seberapa jauh keberadaan teknologi dapat mendukung kebutuhan perusahaan.
3. Operational Excellence untuk mengukur tingkat efisiensi dan efektivitas proses terkait dengan manajemen atau pengelolaan teknologi informasi.
4. Future Orientation untuk mengukur seberapa jauh teknologi informasi dapat memberikan kontribusi terhadap tantangan bisnis masa depan (Indrajit, 2005: 250).
SelanjInIndrajit (2005: 252) menjelaskan bahwa konsep tata kelola teknologi informasi yang dibutuhkan seperti di atas, kerap diistilahkan dengan IT Governance (information technolgy governance) yang diberi nama COBIT (Control Objective for Information and related Technology) yang telah terbukti berhasil diterapkan oleh berbagai perusahaan besar di dunia. Tata kelola TI bukan bidang yang terpisah, melainkan merupakan komponen dari pengelolaan perusahaan secara keseluruhan, dengan tanggung jawab utama:
1. Memastikan kepentingan stakeholder diikutsertakan dalam menyusun strategi perusahaan.
2. Memberikan arahan kepada proses-proses yang menerapkan strategi perusahaan. 3. Memastikan proses-proses tersebut menghasilkan keluaran yang terukur.
4. Memastikan adanya informasi mengenai hasil yang diperoleh dan mengukurnya. 5. Memastikan keluaran yang dihasilkan sesuai dengan yang diharapkan (Sadrah dan
Surendo, 2005: 459)
Menurut Weill & Ross (2004:13) digambarkan skema untuk membantu memahami, mendesain, mengkomunikasikan dan memelihara IT Governance yang efektif, yakni sebagai
berikut:
IT Governance Design Framework
Sumber : MIT Sloan School Center for Information Systems Research (CISR)(2003)
Dari skema di atas dapat membantu untuk mengerti, cara mendesain, melakukan proses komunikasi, dan menindaklanjuti tata kelola TI yang efektif adalah dengan :
1. Menetapkan dengan baik dan tepat strategi organisasi
2. Untuk menetapkan dengan baik dan tepat strategi organisasi, maka organisasi harus memperhatikan perilaku organisasi dan pengadopsian TI dalam organisasi tersebut.
3. Kemudian untuk menetapkan strategi organisasi dengan baik, juga diperlukan perhatian dan pengaturan yang baik terhadap 6 (enam) aset yang ada di organisasi tersebut, yakni: relationship asset, physical asset, Intelectual property asset, human relation asset, financial asset dan TI. Sedang bagaimanakah cara mengatur semua asset tersebut dalam tata kelola TI adalah dengan memperhatikan mekanisme dari tata kelola TI-nya, yakni keputusan-keputusan tentang TI-nya.
4. Terakhir, untuk menciptakan strategi organisasi yang baik dalam kaitannya dengan penggunaan TI dalam organisasi, maka harus memperhatikan pula sasaran-sasaran pencapaian kerja tiap-tiap unit organisasi; yang sangat dipengaruhi oleh akuntabilitas pelaksanaan TI-nya.
Federal model adalah salah satu governance archetypes dari enam archetypes (business monarchy, IT monarchy, feudal, federal, duopoly, dan anarchy) menurut MIT Sloan School
Enterprise Strategy & Organization IT Organization & Desirable Behaviors Business Performance Goals Relationship Metrics
Harmonize What Harmonize How
Physical Asset Metrics
IP Metrics HR Metrics Financial Metrics IT Metrics & Accountabilities Relationship Governance
Physical Asset Governance
IP Governance HR Governance
Financial Governance
IT Governance Arrangements
-Decision Rights via Monarchies, Federal etc.
IT Governance Mechanisms
(e.g Committees, budgets etc.)
IT Decision Domains •Principles •Architecture •Infrastructure •Applications •Investment Enterprise Strategy & Organization IT Organization & Desirable Behaviors Enterprise Strategy & Organization IT Organization & Desirable Behaviors Business Performance Goals Relationship Metrics Business Performance Goals Relationship Metrics
Harmonize What Harmonize How
Harmonize What Harmonize How
Physical Asset Metrics
IP Metrics HR Metrics Financial Metrics IT Metrics & Accountabilities Relationship Governance Relationship Governance Physical Asset Governance Physical Asset Governance
IP Governance IP Governance HR Governance HR Governance Financial Governance Financial Governance IT Governance Arrangements
-Decision Rights via Monarchies, Federal etc.
IT Governance Mechanisms
(e.g Committees, budgets etc.)
IT Decision Domains •Principles •Architecture •Infrastructure •Applications •Investment IT Governance Arrangements
-Decision Rights via Monarchies, Federal etc.
IT Governance Mechanisms
(e.g Committees, budgets etc.)
IT Decision Domains •Principles •Architecture •Infrastructure •Applications •Investment
Center for Information Systems Research (CSIR) dalam buku Well & Ross (2004:11). Hal ini berkaitan dengan tipe kepemimpinan yang biasa digunakan oleh pimpinan pada suatu organisasi. Setiap archetype menunjukkan tipe orang-orang yang harus dilibatkan dalam proses pengambilan keputusan tentang penggunaan TI. Misalnya:
1. Business monarchy, pengambilan keputusan melibatkan top manajer saja 2. IT monarchy, pengambilan keputusan melibatkan IT specialist saja
3. Feudal, setiap unit/bagian dalam organisasi memiliki keputusan yg berbeda-beda
4. Federal, pengambilan keputusan merupakan kombinasi antara keputusan pemerintah pusat dan pemerintah dibawahnya, dengan atau tanpa keterlibatan orangorang IT (dapat contracting out, outsourcing atau public private partnerships) 5. IT Duopoly , pengambilan keputusan oleh grup TI dan satu kelompok lain 6. Anarchy, pengambilan keputusan sentralistik, satu orang pengambil keputusan
atau kalangan tertentu saja yang mengambil keputusan (Weill&Ross, 2004:12)
IT Government Arrangements Metrics
Sumber : MIT Sloan School Center for Information Systems Research (CISR)(2003)
Dari archetypes diatas dapat disimpulkan bahwa masing-masing memiliki ciri-ciri proses pengambilan keputusan yang berbeda dalam manajemen TI-nya. Semuanya didasarkan kepada tipe kepemimpinan yang ada pada organisasi yang bersangkutan. Federal model
IT Principles IT Architecture IT Infra-structure Strategies Business Application Needs IT Investment Business Monarchy IT Monarchy Feudal Federal Duopoly Anarchy Don’t Know Domain Style IT Principles IT Architecture IT Infra-structure Strategies Business Application Needs IT Investment Business Monarchy IT Monarchy Feudal Federal Duopoly Anarchy Don’t Know Domain Style Domain Style
sajalah yang menunjukkan adanya keeratan koordinasi dan komunikasi antara institusi terkait dalam proses pengambilan keputusan TI-nya dan dalam manajemen TI-nya. Keputusan-keputusan yang harus diambil oleh tiap-tiap archetype dalam tata kelola TI, sebagai berikut:
1. IT principles, yakni mengklarifikasi peranan ITpada organisasi
2. IT architecture, yakni mendefinisikan standarstandar IT yang akan dilakukan;diwujudkan dalam keputusan-keputusan tentang pengaturan data dan aplikasi dalam penggunaan IT.
3. IT infrastructure, yakni menentukan bagian dan pelayanan yang akan diberikan 4. Business application needs, yakni menentukan kebutuhan organisasi berkaitan
dengan penggunaan IT
5. IT investment dan prioritasisasi, yakni menentukan prioritas barang yang akan dibeli dan berapa biaya yang akan dikeluarkan
Dari penjelasan diatas, dapat difahami bahwa dalam federal model, terjadi kerjasama dan koordinasi antara satu institusi dengan institusi yang lain dalam proses pengambilan keputusan tentang penggunaan TI-nya (keputusan tentang IT principles, IT architecture, IT infrastructure, business application needs, IT investment dan prioritasisasi seperti diatas). Dengan bantuan tata kelola teknologi informasi yang baik pada setiap unit organisasi maka dapat membantu koordinasi antar organisasi tersebut. Komunikasi dan adanya motivasi untuk berbagi informasi akan menambah erat koordinasi antar organisasi tersebut. Pada federal model juga bercirikan adanya keinginan atau motivasi untuk berbagi data dan informasi antar institusi. Seperti yang dikatakan oleh Weill & Ross (2004:89), bahwa the desire for shared data dan IT infrastructure is at the heart of federal model. Dengan demikian, jelaslah bahwa federal model yang mengikutsertakan pimpinan di level unit untuk berbagi informasi sangat tepat diaplikasikan, karena selama ini kebudayaan itu kurang sekali. Untuk pencapaian kinerja pada organisasi publik, maka diperlukan kemampuan mengelola yang tepat pada setiap organisasi pemerintah tersebut. Peranan CIO (Chief Information Officer) harus ditetapkan dan dilaksanakan dengan baik.
Berkaitan dengan implementasi tata kelola TI diperlukan prinsip-prinsip yang tepat yang
sesuai dengan karakteristik institusi publik kita. Menurut Weill dan Ross (2004:114),
prinsip-prinsip penerapan tata kelola TI yang baik adalah sebagai berikut:
1. Simpel; artinya mekanisme pengimplementasian tata kelola TI mesti
mendefinisikan dahulu tanggungjawab dan tujuan yang jelas dari tiap-tiap
organisasi tersebut. Organisasi publik kita yang pada intinya bertanggungjawab
dalam pemberian pelayanan kepada masyarakat harus disinergiskan dengan
tujuannya yaitu kesejahteraan masyarakat.
2. Transparan; artinya adanya mekanisme yang efektif dan proses yang jelas bagi
siapapun yang berkaitan dengan keputusan yang dibuat tentang TI.
3. Kecocokan; artinya mekanisme tata kelola TI-nya harus mengikutsertakan
individu-individu yang mempunyai kemampuan dibidangnya.
Kinerja tata kelola TI dalam sektor publik juga perlu diukur berkaitan dengan nilai atau
motif yang berbeda dengan sektor privat. Pengukuran ini memiliki peran yang penting
berkaitan dengan penentuan strategi organisasi dan pengaturan atau manajemen
organisasinya. Moore dalam Weill dan Ross (2004:191) menentukan tiga faktor utama yang
berkaitan dengan managemen TI di sektor publik, yakni lingkungan, kapabilitas dan value
(nilai). Lingkungan terdiri dari pelanggan, penyedia keuangan, dan kekuatan politik yang
ada di masyarakat; kapabilitas adalah kemampuan organisasional dan kondisi eksternal
organisasi; dan public value yakni barang dan jasa, barang publik dan modal
Tugas &
Latihan
Berdasarkan hasil aktivitas kelompok pertemuan sebelumnya, masing-
masing kelompok kemudian diminta untuk
• Mencari dokumentasi standar audit dengan detail sebagai berikut:
o Kelompok1: COBIT
o Kelompok2: COSO
o Kelompok3: ITIL
o Kelompok4: Prince2 Project Management
o Kelompok5: Information Security
o Kelompok6: Quality Management
o Kelompok7: tata kelola TI
• Setiap kelompok diminta mempresentasikan dan menjelaskan
perspektif masing-maisng standar
Rangkuman
COBIT, ITIL, COSO, Prince Project Management, Information Security dan Quality
Management merupakan standar baseline untuk menjadi kompetensi yang baik
sebagai auditor teknologi informasi. Pemahaman mengenai cara kerja, domain,
prinsip dan beberapa praktek terbaik dari setiap standar akan memberikan wacana
bekerja sebagai auditor yang berkompetensi.
PENUTUP
Tes Formatif
Penilaian berdasarkan hasil presentasi masing-maisng kelompok dengan komponen sebagai berikut:• Standar terbaru : 20 poin
• Penjelasan dan pemahamaan mengenai standar : 15 poin • Relasi dengan standar yang lain : 15 poin
Akumulasi poin setiap kelompok akan dijadikan bahan untuk melakukan evaluasi mengenai standar pada audit dan kontrol teknologi informasi. Bentuk penugasan adalah presentasi kelompok.
Petunjuk Penilaian
dan Umpan Balik
Penilaian akan didasarkan dengan detail sebagai berikut:
• Standar terbaru : 20 poin
• Penjelasan dan pemahamaan mengenai standar : 15 poin • Relasi dengan standar yang lain : 15 poin