MODEL AUDIT SISTEM INFORMASI DI PERGURUAN TINGGI MENGGUNAKAN KERANGKA KERJA COBIT (STUDI KASUS : SISTEM INFORMASI STMIK

AMIKBANDUNG)
Solikin, M.T STMIK AMIKBANDUNG e-mail : solikin2004@yahoo.com Abstrak : Informasi saat ini dipandang sebagai aset bagi perusahaan, kedudukannya setara dengan aset-aset yang lain. Oleh karena itu perlu dikelola dengan baik. Sebagai langkah awal pengelolaan yang baik adalah dengan cara menilai sistem informasi yang sudah ada yang dikaitkan dengan ekspektasi yang ingin dicapai atas pemanfaatan sistem tersebut. Salah satu cara untuk menilai sistem informasi adalah dengan melakukan proses audit terhadap sistem tersebut. Audit dilakukan dengan tujuan untuk menetapkan kondisi saat ini, mencari kekurangan-kekurangan dan merekomendasikan perbaikan agar sistem informasi lebih berdaya guna dalam mendukung organisasi. Berbagai kerangka kerja audit dapat digunakan. Salah satu kerangka kerja yang cukup populer, fleksibel dan telah banyak digunakan adalah COBIT. Kerangka ini bersifat umum dan menyediakan pedoman yang relatif praktis dalam melaksanakan audit sistem informasi. Kerangka kerja COBIT menekankan pada proses dan membagi proses teknologi informasi menjadi 4 domain. Masing-masing domain dibagi-bagi lagi menjadi beberapa sasaran kendali tingkat tinggi sehingga seluruhnya ada 34 sasaran kendali tingkat tinggi. Dalam penelitian ini, kerangka kerja COBIT digunakan untuk menyusun dan menerapkan model audit sistem informasi pada sebuah institusi pendidikan yaitu STMIK AMIKBANDUNG. Model audit ini disusun dengan tujuan untuk memberikan masukan dan rekomendasi bagi pihak manajemen untuk perbaikan pengelolaan sistem informasi di masa mendatang. Model kemudian diterapkan untuk melakukan audit pada 2 domain yaitu Planning and Organization (PO) dan Acquisition and Implementation. Hasil audit berupa tingkat kematangan untuk setiap sasaran kendali tingkat tinggi masing-masing domain yang dipetakan dalam sebuah diagram, menunjukkan keberagaman untuk setiap sasaran kendali. Hasil analisis dan audit kemudian digunakan sebagai dasar penyusunan rekomendasi yang berfokus pada proses-proses kendali yang diamati. Hasil implementasi menunjukkan bahwa model audit sistem informasi COBIT dapat diterapkan pada audit sistem informasi di lingkungan perguruan tinggi, namun demikian perlu dilakukan penyesuain atau modifikasi terhadap prosesnya. Kata kunci : COBIT, model, Audit, Sistem Informasi, Perguruan Tinggi. I. Pendahuluan Ron Weber (1999) mengemukakan bahwa audit sistem informasi adalah : Proses pengumpulan dan penilaian bukti - bukti untuk menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya secara efisien Berdasarkan definisi audit sistem informasi tersebut di atas, dapat disimpulkan bahwa sekurang-kurangnya terdapat 4 (empat) tujuan audit sistem informasi, yaitu: (1) mengamankan asset, (2) menjaga integritas data, (3) menjaga efektivitas sistem, dan (4) mencapai efisiensi sumberdaya. Pada umumnya audit sistem informasi menggunakan dua pendekatan yang berbeda yaitu : 1. Pendekatan temuan (Exposures Approach), fokus utama ditekankan pada jenis kesalahan (losses) yang terjadi dalam suatu sistem informasi. Setelah itu ditentukan kendali (controls) yang dapat digunakan untuk mengurangi kesalahan tersebut sampai pada batas yang dapat diterima (acceptable levels). 2. Pendekatan kendali (Control Approach), fokus utamanya adalah kendali-kendali di dalam suatu sistem informasi yang dapat digunakan untuk mengurangi kesalahan sampai pada level yang dapat diterima (acceptable levels). Pesatnya perkembangan dunia komputer, diikuti dengan peningkatan pengetahuan auditor, ternyata mengundang dua perlakuan berbeda terhadap komputer, yaitu : Komputer dipergunakan sebagai alat bantu auditor dalam melaksanakan audit, misalnya untuk mengambil contoh transaksi, memproses data akuntansi, mencetak surat konfirmasi piutang dan sebagainya. Komputer dijadikan sebagai target audit, karena data dientry ke komputer dan hasilnya dianalisa untuk menilai kehandalan pemrosesan dan keakuratan program komputer. Dengan berjalannya evolusi tersebut, maka muncullah pendekatan audit sistem informasi yang dapat dikategorikan ke dalam tiga kelompok, yaitu : 1. Auditing around the computer, adalah mentrasir balik (trace-back) hasil olahan komputer antara lain output ke bukti dasarnya antara lain input tanpa melihat prosesnya. 2. Auditing with the computer, menitikberatkan pada penggunaan komputer sebagai alat bantu audit. Alat bantu audit ini berupa komputer dilengkapi dengan software audit umum (generale audit software, biasa disingkat GAS). Contoh GAS antara lain ACL (Audit Command Language), IDEA (Interactive Data Extraction and Analysis) dan lain-lain. 3. Auditing throught the computer, auditor harus memperlakukan komputer sebagai target audit dan

melakukan audit throught atau memasuki area program. Oleh sebab itu pendekatan Auditing throught the computer termasuk juga dalam CAATs (Computer Assisted Audit Technique) yaitu teknik audit berbantuan komputer (TABK). Beberapa auditor memutuskan menggunakan pendekatan Auditing throught ini karena alasan berikut : 1. Ketidakmampuan untuk melokalisir source document atau print-out karena memang rancangan sistem pengarsipan yang digunakan menghendaki demikian. 2. Kekhawatiran bahwa jumlah yang ditunjukkan pada print-out komputer tidak sama dengan saldo yang ada (ter-record) di file komputer. II. Tahapan Audit Sistem Informasi Menurut Ron Weber, terdapat 5 (lima) langkah atau tahapan audit sistem informasi yaitu : 1. Perencanaan Audit (Planning the Audits) 2. Pengujian Kendali (Tests of Controls) 3. Pengujian Transaksi (Tests of Transactions) 4. Pengujian Keseimbangan atau Keseluruhan Hasil (Tests of Balances or Overall Results) dan 5. Penyelesaian Audit (Completion of the Audit) Sebagai bahan untuk melakukan audit, auditor harus mengumpulkan informasi dan fakta. Beberapa alat dan teknik yang dapat digunakan dalam mengumpulkan fakta, yaitu : Audit Software : secara umum membahas audit software, audit khusus industri software, high level language, utility software, expert systems, neural network software, dan software lainnya. Code Review, Test Data, and Code Comparison : secara umum membahas tentang dimana kesalahan (error) program terjadi dengan cara melihat kode program, tes data dan perbandingan kode. Concurrent Auditing Techniques : membahas tentang teknik, kebutuhan dan implementasi untuk audit bersamaan. Tipe concurrent auditing technique: integrated test facility, snapshort / extended record,
RINGKASAN EKSEKUTIF

system control / audit review file, continous and intermittent simulation. Interviews, Questionnaires, and Control Flowcharts : membahas tentang desain dan penggunaan interview, kuisioner dan arus pengendalian.

III. Kerangka Kerja COBIT COBIT (Control Objective for Information and related Technology) merupakan standar terbuka untuk pengendalian terhadap teknologi informasi yang dikembangkan dan dipromosikan oleh Institut IT Governance. Dalam perkembangannya COBIT kemudian dipandang sebagai sebuah aplikasi umum dan telah diterima menjadi standar yang baik bagi praktek pengendalian dan keamanan teknologi informasi (TI) yang menyediakan sebuah kerangka kerja bagi pengelola, pengguna, audit sistem informasi, dan pelaksana pengendalian dan keamanan. COBIT terdiri atas beberapa komponen / paket pedoman dan kerangka kerja. Pedoman COBIT memungkinkan perusahaan untuk mengimplementasikan pengaturan TI secara efektif yang pada dasarnya dapat diterapkan di seluruh organisasi. Komponen pedoman manajemen COBIT berisi sebuah respon kerangka kerja yang dapat memenuhi kebutuhan manajemen untuk mengukur dan mengendalikan TI dengan menyediakan alat-alat untuk menilai dan mengukur kemampuan TI perusahaan berdasarkan 34 proses utama TI COBIT. Beberapa komponen COBIT lainnya antara lain berupa alat-alat ukur yaitu: Elemen pengukuran kinerja (pengukuran hasil dan kinerja bagi seluruh proses TI) Daftar faktor kritis kesuksesan (CSF) yang disediakan secara ringkas, praktek terbaik non teknis dari tiap proses TI Model maturity (kematangan) untuk membantu dalam benchmarking dan pengambilan keputusan bagi peningkatan kemampuan Gambaran lengkap produk COBIT dapat dilihat pada gambar 1.

KUMPULAN ALAT IMPLEMENTASI Tinjauan Eksekutif Studi Kasus FAQs Presentasi Powerpoint Pedoman Implementasi

KERANGKA KERJA (dengan tujuan pengendalian tingkat Tinggi

Diagnostik Kepedulian Manajemen Diagnostik Pengendalian TI

PEDOMAN MANAJEMEN

TUJUAN PENGENDALIAN RINCI

PEDOMAN AUDIT

Model Maturity

CSF

KGI

KPI

Gambar 1.

Produk Kerangka Kerja COBIT

COBIT membagi proses yang berkaitan dengan TI ke dalam 4 domain utama yaitu Planning and Organization (PO), Acquiring and Implementation (AI), Delivery and Support (DS) dan Monitoring (M). Masing-masing domain terdiri atas beberapa proses pokok dengan ruang lingkup sebagai berikut : o PO, domain ini mencakup level strategis dan taktis, dan konsennya pada identifikasi cara TI yang dapat menambah pencapaian terbaik tujuan-tujuan bisnis. o AI, untuk merealisasikan strategi TI, solusi TI yang perlu diidentifikasikan, dikembangkan atau diperlukan, juga diimplementasikan dan diintegrasikan dalam proses bisnis. o DS, domain ini menyangkut penyampaian aktual dari layanan yang diperlukan, dengan menyusun operasi tradisional terhadap keamanan dan aspek kontinuitas sampai pada pelatihan, domain ini termasuk proses data aktual melalui sistem aplikasi, yang sering diklasifikasikan dalam pengendalian aplikasi. o M. mengarahkan manajemen pada proses pengendalian organisasi dan independensi audit internal dan eksternal 3.1. COBIT dan Pedoman Audit Secara umum, COBIT menyediakan serangkaian pedoman audit yang berperan sebagai : o Alat yang saling melengkapi untuk kemudahan penerapan kerangka kerja COBIT dalam bidang pengendalian dan penilaian sistem yang sedang berjalan. o Petunjuk untuk mempersiapkan perencanaan audit yang diintegrasikan dengan kerangka kerja COBIT dan tujuan pengendalian rinci, yang dapat dikembangkan menjadi program audit khusus. o Pedoman untuk mereview proses khusus TI terhadap rekomendasi sasaran pengendalian tertentu untuk membantu menajemen dalam pengendalian yang memadai, dan memberi saran kepada manajemen apakah proses tersebut perlu ditingkatkan. Model yang paling umum dalam menilai pengendalian adalah model audit, pendekatan lain yang diambil adalah model analisa resiko. Struktur proses audit yang diterima secara umum adalah : identifikasi dan dokumentasi, evaluasi, pengujian pemenuhan, pengujian substantif. Struktur tersebut dapat digambarkan sebagai sederetan aktivitas yang dilakukan secara bertahap seperti yang dapat dilihat pada tabel I. Kerangka kerja COBIT juga menyediakan pendekatan dalam identifikasi kebutuhan proses audit yang dilakukan secara bertahap, seperti yang terlihat pada tabel II. Tahapan dimulai dari mendefinisikan ruang lingkup audit, mendefinisikan kebutuhan informasi, idenfikasi semua resiko yang berkaitan dengan TI, memilih proses dan platform dan menetapkan strategi audit. 3.2. Tahapan Audit Secara umum, COBIT membagi proses audit ke dalam tahapan berdasarkan sasaran yang ingin dicapai oleh masingmasing tahapan tersebut, yang meliputi : o Mendapatkan pemahaman Tahapan ini bertujuan untuk mendapatkan pemahaman bagi para auditor, yang meliputi tujuan pengendalian,

ukuran dan ditetapkan.

prosedur

pengendalian

yang

ingin

Tabel 1. Struktur Rinci Penerapan Pedoman Audit Detailed Structure For Audit Guidelines Application Level 1 : COBIT Framework General IT audit Audit Process Requirment approach Control Observation General Audit Guidelines Level 2: Detailed Audit Guidelines Process audit guidelines Level 3 : Local Conditions Audit attention points o Sector specific criteria to complement o Industry standards detailed control o Platform specific elements objectives o Detailed control techniques used Tabel II. Kebutuhan Proses Audit Define Audit Scope business process concerned platform, system and their interconnectivity, supporting the process roles, responsibilities and organisational structure relevance to the business process recent changes and incidents in business and technology environment results of audits, selfassessments and certification monitoring controls applied by management processes resources control X risk steps and tasks decision points

identify information requirements identify inherent IT risks and overall level of control

select processes and platforms to audit set audit strategy

Pemahaman diperoleh dengan melakukan wawancara kepada pihak manajemen dan Evaluasi Pengendalian Sasaran dari tahapan ini adalah agar dapat menilai efektivitas ukuran pengendalian yang sesuai atau tingkat dimana tujuan pengendalian dicapai. Evaluasi atas Pemenuhan Kendali (Ketaatan) Tahapan ini ditujukan untuk menjamin bahwa ukuran pengendalian yang ditetapkan berjalan seperti yang telah ditentukan, secara konsisten dan terus menerus sehingga dapat digunakan untuk menyimpulkan kelayakan lingkungan pengendalian. Kesimpulan didapat dengan mengevaluasi bukti langsung dan tidak langsung untuk hal-hal yang diamati. Menghindari Resiko

Tahapan ini bertujuan untuk menghindari resiko tujuan pengendalian yang tidak terintegrasi dengan pengunaan teknik analitis atau sumber alternatif lainnya. 3.3. Model Kematangan (maturity model) COBIT juga merekomendasikan alat ukur untuk menilai kematangan pengelolaan TI di suatu lingkungan yang disubt dengan model kematangan (maturity model). Model ini memetakan kondisi proses TI dari tingkatan non-existent sampai optimised (dari 0 sampai 5). Manfaat model ini antara lain adalah untuk membantu manajemen dalam menggambarkan : o Status organisasi saat ini dimana organisasi saat ini o Status terbaik industri saat ini (dikelasnya) sebagai perbandingan (benchmark) o Status standar internasional terkini (sebagai perbandingan) o Strategi organisasi untuk perbaikan atau peningkatan ke arah mana keinginan organisasi 3.4. CSF, KPI dan KGI Komponen lain yang sangat membantu dalam proses audit adalah penentuan Critical Success Factor (CSF), Key Performance Indicator (KPI) dan Key Goal Indicator (KGI). Secara ringkas, keterkaitan dan manfaat masing-masing komponen tersebut dalam proses audit Sistem Informasi dapat diuraikan sebagai berikut : o Model maturity, untuk pilihan strategis dan perbandingan benchmarking o CSF, untuk mendapatkan proses dalam pengendalian o KGI, untuk memantau pencapaian tujuan proses o KPI, untuk memantau kinerja dalam setiap proses TI. IV. Implementasi pada Audit Sistem Informasi 4.1. Sistem Informasi di STMIK AMIKBANDUNG Secara garis besar sistem informasi Institusi dapat di kelompokan kedalam sistem informasi untuk internal dan eksternal, seperti gambar 2. Sistem Informasi Internal Sistem informasi internal diperuntukan bagi pelayanan kegiatan internal kampus yang dilakukan melalui intranet. Pengguna sistem informasi internal antara lain mahasiswa, dosen, staf administrasi, pimpinan (pengambil keputusan). Beberapa modul yang termasuk sistem informasi internal misalnya : o Modul Sistem Informasi Umum : Pedoman PBM dan Kalender Akademik o Modul PMB meliputi sub-modul : Formulir pendaftaran mahasiswa baru online, Test masuk dan test beasiswa mahasiswa baru, Diskon atau voucher calon mahasiswa baru, Pembayaran SPP, Konversi atau Ekivalensi Nilai Matakuliah, Utilitas statistik o Modul BAAK meliputi sub-modul : Kehadiran dosen, Nilai ujian, SK bidang akademik, Ijazah, Sertifikat, o Modul BaPSI meliputi sub-modul : Perwalian online, Daftar Kemajuan Studi online, Riwayat kurikulum, Daftar kehadiran mahasiswa, Formulir nilai ujian, Hasil sidang LA atau TA atau Skripsi, Transkrip, Wisuda o Beberapa modul pendukung lainnya Sistem Informasi Eksternal Sistem informasi eksternal diperuntukan untuk melayani permintaan data atau informasi pihak luar, dilakukan melalui internet, sistem informasi eksternal di tujukan untuk Calon

Mahasiswa, Orang Tua atau Wali Mahasiswa, Mahasiswa, dan Pengguna Umum. 4.2. Analisa Umum SI Institusi SI Institusi yang baik sekurang-kurangnya harus mengarah pada kriteria empat tujuan audit SI. yaitu (1) mengamankan asset, (2) menjaga integritas data, (3) menjaga efektivitas sistem, dan (4) mencapai efisiensi sumberdaya. Berkaitan dengan hal tersebut berikut akan disampaikan analisa umum SI Institusi berdasarkan aktivitas pada pengaturan TI yaitu mencakup perencanaan dan pengorganisasian, pengadaan (akuisisi) dan implementasi, penyampaian dan dukungan dan pengawasan SI. o Sumberdaya SI Sumberdaya SI mencakup : manusia (people), sistem aplikasi (application systems), teknologi (technology), fasilitas (facilities), dan data. Sumberdaya SI yang ada saat ini sudah cukup memadai, akan tetapi masih memerlukan pengelolaan lebih lanjut agar sumberdaya dapat digunakan dengan efisien. o Perencanaan dan Pengorganisasian SI Sistem informasi di lingkungan Institusi sudah mulai diterapkan sejak berdirinya institusi ini. Pada awalnya hanya berupa aplikasi sederhana, kemudian berkembang sampai pada aplikasi yang seperti sekarang berbasis on-line dan web. Perencanaan sistem informasi dilakukan secara bertahap mulai dari aktivitas utama (core business), yaitu sistem informasi akademik sampai pada sistem informasi pendukung lainnya seperi sistem informasi keuangan, kepegawaian, kemahasiswaan, dan lain-lain. Mulai dari level TPS (Transaction Processing System) sampai pada level sistem informasi eksekutif. Pengorganisasian dilakukan, pada tahap awal dengan membentuk tim SIM dan pada akhirnya membentuk satu bagian tersendiri yang dinamakan BAPSI (Bagian Pengembangan Sistem Informasi). Dengan adanya sistem informasi, banyak proses-proses bisnis kini dapat dilakukan secara on-line, misalnya pendaftaran mahasiswa baru, proses perwalian, melihat hasil atau nilai ujian, dan lain-lain. Hal ini tentunya akan berdampak pada pencapaian visi, misi, dan tujuan institusi. Tetapi, perencanaan dan pengorganisasian sistem informasi masih memerlukan pengaturan lebih. Pengaturan ini diperlukan agar rencana dapat dibuat lebih strategis dan taktis. o Pengadaan dan Implementasi SI Pengadaan perangkat lunak dikembangkan dengan cara memanfaatkan sumberdaya (ahli) yang ada didalam (empowerment), melalui pembentukan tim SIM dan tenaga ahli BAPSI. Pengadaan perangkat keras dan instalasi jaringan (khususnya wireless) dilakukan dengan cara pembelian langsung atau tender ke pihak ketiga (supplier). Implementasi sistem ke dalam proses bisnis dilakukan secara bertahap, satu sisi sistem manual masih dijalankan, sementara sistem yang baru (berbasis TI) sudah mulai dijalankan. Implementasi dimulai dari sistem informasi akademik, sistem informasi keuangan, baru ke sistem informasi yang lainnya. Dengan strategi pengadaan dan implementasi tersebut, maka sistem informasi institusi kini dapat direalisasikan sesuai dengan rencana dan diintegrasikan dengan baik.

Orang Tua/Wali Mahasiswa

Jaringan EKTRANET

Pengguna Umum

Calon Mahasiswa

Mahasiswa

INTRANET
Sistem Informasi Umum BAAK Jurusan Perpustakaan PMB SDM Kemahasiswaan Keuangan SIE E-Learning

LAB LPWIBI

Pusat Data

Mahasiswa

Dosen

Pengambil Keputusan

Gambar 2

Sistem Informasi Institusi Model audit yang akan diterapkan meliputi pada dua domain yaitu perencanaan dan organisasi (Planning and Organization) dan pengadaan dan implementasi (acquisition and implementation) sistem informasi di institusi yang dikaji. o Perencanaan dan Organisasi SI Institusi Domain ini digunakan untuk melihat sejauh mana suatu organisasi telah mengelola proses-proses yang terkait dengan perencanaan dan organisasi sistem dan teknologi informasi. Sasaran Kendali tingkat tinggi pada domain Planning and organisation adalah : PO1. Define a strategic IT plan PO2. Define the information architecture PO3. Determine technological direction PO4. Define the IT processes, organization and relationships PO5. Manage the IT investment PO6. Communicate management aims and direction PO7. Manage IT human resources PO8. Manage quality PO9. Assess and manage IT risks PO10. Manage projects. o Pengadaan dan Implementasi SI Institusi Domain ini merupakan kumpulan proses untuk merealisasikan strategi TI, solusi TI yang perlu diidentifikasikan, dikembangkan atau diperlukan, juga diimplementasikan dan diintegrasikan dalam proses bisnis. Sasaran kendali tingkat tinggi pada domain ini adalah: AI1. Identify automated solutions AI2. Acquire and maintain application software AI3. Acquire and maintain technology infrastructure AI4. Enable operation and use AI5. Procure IT resources AI6. Manage changes AI7. Install and accredit solutions and changes.

o Penyampaian dan Dukungan SI Sistem informasi institusi kini banyak dirasakan manfaatnya, terutama dalam kaitan dengan pelayanan akademik, baik yang bersifat internal maupun eksternal. Penerapan sistem informasi dilakukan dengan cara membuat petunjuk praktis maupun dengan melatih pegawai yang akan mengoperasionalkan. Keamanan terhadap jalannya sistem dilakukan dengan cara pemberian hak akses atau otorisasi. Mulai dari hak akses level pimpinan, ketua jurusan, kepala bagian, staf, sampai dengan hak akses level mahasiswa maupun orangtua atau pihak eksternal lainnya. Pengoperasian, pemeliharaan atau perbaikan sistem informasi akibat dinamika sistem maupun kegagalan sistem senantiasa dilakukan oleh BAPSI. Penyampaian dan dukungan sistem informasi sudah cukup memadai, namun demikian masih memerlukan pengaturan lebih lanjut. o Pengawasan SI Pengawasan operasioal secara rutin atas sistem informasi dilakukan oleh BAPSI juga dilakukan oleh para kepala bagian maupun pimpinan puncak. Pengelolaan TI di lingkungan Institusi dilakukan oleh satu bagian yang dinamakan BAPSI, dan selama ini sudah dikelola dengan cukup baik, tetapi masih perlu dikembangkan lebih lanjut. 4.3. Analisa Model Audit SI Pengendalian SI dilingkungan institusi selama ini belum dilakukan begitupun dengan pedoman audit SI-nya belum dibuat. Pedoman audit digunakan untuk menyediakan struktur yang sederhana untuk mengaudit dan menilai pengendalian berdasarkan pada praktek audit. Model audit SI institusi dapat di audit melalui pendekatan pedoman manajemen COBIT, yang terdiri dari model maturity, CSF, KGI, dan KPI.

Setelah memilih domain yang akan dikaji, berikutnya adalah mendefinisikan CSF, KGI dan KPI untuk setiap sasaran kendali tingkat tinggi pada masing-masing domain. Contoh hasil pendefinisian CSF, KGI dan KPI untuk PO1 dapat dilihat pada tabel III. Tabel III. Contoh Pendefinisian CSF, KGI dan KPI untuk Sasaran Kendali Tingkat Tinggi PO1-Penentapan Rencana Strategi Teknologi Informasi Faktor Kritis Sukses (CSF) Adanya kebijakan dan dukungan dari Pimpinan Institusi yang diwujudkan dalam bentuk metodologi yang didokumentasikan untuk pengembangan strategi SI yang didukung oleh data yang valid, terstuktur dan proses pengambilan keputusan yang transparan. ...... Indikator Tujuan (KGI) Seberapa besar perencanaan strategis institusi diarahkan kedalam perencanaan jangka panjang dan jangka pendek terutama pada tanggung jawab individu. ........dst Indikator Kinerja (KPI) Penilaian kemampuan TI saat ini ......dst Setelah ditentukan CSF, KPI dan KGI, kemudian dilakukan penilaian dengan menyebar kuisioner untuk mendapatkan informasi mengenai keadaan saat ini dan sebagai dasar penentuan tingkat kematangan pengolahan sistem informasi di institusi yang dikaji. V. Implementasi Rancangan Model Audit SI 5.1. Tujuan Implementasi Rancangan Model Audit SI Tujuan implementasi rancangan model audit SI institusi ini adalah untuk memetakan posisi pengelolaan SI Institusi melalui pemetaan posisi atas proses-proses SI. Pemetaan dilakukan dengan mendasarkan pada fakta hasil isian kuesioner yang diisi oleh responden kemudian dipetakan pada tingkatan model maturity . Hasil pemetaan ini dapat dijadikan dasar bagi pihak manajemen untuk mengukur posisi proses sistem informasi yang ada saat ini dan mencari upaya yang diperlukan untuk meningkatkannya. 5.2. Hasil Implementasi Rancangan Model Audit SI Model audit SI diimplementasikan melalui serangkaian kuisioner yang diberikan kepada pihak manajemen dan pengelola TI di institusi. Hasil kuisioner kemudian diolah untuk mendapatkan indeks tingkat maturity. Kutipan hasil pengolahan tersebut dapat dilihat pada tabel V. Rumus yang digunakan untuk menghitung indeks adalah :

No 1 1.1 1.2 1.3 1.4 2 2.1 2.2

Tabel IV. Kutipan Hasil Pengolahan Kuesioner Proses A B C

Perencanaan dan Pengorganisasian

D 2 3

2.3. 2.4.

PO1-Menetapkan Rencana Strategis TI PO2-Menetapkan Arsitektur Informasi dst Akuisisi dan Implementasi AI1-Identifikasi solusi-solusi otomatisasi AI2-Memperoleh dan memelihara Perangkat Lunak Aplikasi ......... . Dst

18 41

8 12

2,25 3,41

17 86

50 26

2,94 3,19

3 3

Keterangan :

A : Jumlah Jawaban B : Jumlah Pertanyaan C : Indeks (angka belum dibulatkan) D : Tingkat Kematangan (Maturity)

PO1 AI6 AI5 3 AI4 2 AI3 3 5 4,5 4 3,5 3 2,5 2 2 1,5 1 0,5 0 0 0 3 AI2 3 2 AI1 3 PO7 3 3 PO5 3 PO2 PO3 4 PO4

2 PO6

PO11 PO10 PO9

PO8

Gambar 5. Hasil metaan posisi SI Institusi terhadap setiap proses SI dengan model maturity 5.3. Kesimpulan Hasil Audit SI Institusi Dari hasil audit SI Institusi ini maka dapat disimpulkan beberapa hal penting diantaranya : Perencanaan dan Pengorganisasian Tingkat maturity pada semua proses perencanaan dan pengorganisasian sistem informasi menunjukkan rata-rata indeks 2,66 (dibulatkan menjadi 3) artinya bahwa sistem informasi institusi pada domain ini terdapat pada tingkat ketiga Defined (Proses ditetapkan) proses dikomunikasikan akan tetapi tidak di dokumentasikan. Beberapa hal yang mendukung kesimpulan atas penentuan tingkat kematangan tersebut adalah : o Perencanaan strategis TI dipahami oleh pimpinan TI, tetapi tidak didokumentasikan.

Angka indeks yang diperoleh kemudian dibulatkan ke angka integer yang terdekat, untuk menentukan tingkat maturity. Tingkat kematangan masing-masing sasaran kendali tingkat tinggi tersebut kemudian dipetakan dalam sebuah diagram untuk menunjukkan posisi masing-masing relatif terhadap yang lain. (Gambar 3).

Pentingnya arsitektur informasi dipahami dan diterima, tanggung jawab untuk penyampaian penjelasan arsitektur informasi dikomunikasikan. o Staff TI mempunyai keahlian dan kemampuan yang baik untuk mengembangkan perencanaan infrastuktur teknologi. o Peranan dan tanggung jawab organisasi TI (BAPSI) ditetapkan. organisasi TI disesuaikan dengan strategi TI.. Pengadaan dan Implementasi Tingkatan maturity pada semua proses perencanaan dan pengadaan dan implementasi sistem informasi, berada pada angka rata-rata indeks 2,66 (dibulatkan menjadi 3) artinya bahwa sistem informasi institusi pada domain ini terdapat pada tingkat ketiga Defined (Proses ditetapkan) proses dikomunikasikan akan tetapi tidak di dokumentasikan Kesimpulan tersebut diperoleh setelah menganalisis beberapa temuan hasil audit diantaranya adalah : o Institusi telah menetapkan suatu akuisisi dan metodologi implementasi yang memerlukan pendekatan yang jelas dan terstruktur dalam penentuan solusi TI untuk memenuhi kebutuhan institusi. o Terdapat akuisisi perangkat lunak aplikasi yang diarsipkan. o Proses-proses pada umumnya jelas, ditetapkan dan dimengerti untuk menjalankan infrastruktur teknologi yang ada. o 5.4. Rekomendasi Audit SI Institusi Dari hasil implementasi audit SI, maka dihasilkan sejumlah rekomendasi bagi setiap proses. Contoh beberapa rekomendasi tersebut adalah seperti yang tertera pada tabel VI berikut: . Tabel VI. Contoh Rekomendasi Hasil Audit SI Institusi No 1 Proses Perencanaan dan Pengorganisa sian
Menetapkan Rencana Strategis TI 1) 2)

otomatisasi 2)

2.2

Memperoleh dan memelihara Perangkat Lunak Aplikasi

1)

2)

2.3

Memperoleh dan memelihara Infrastruktur Teknologi

3) 1) 2) 3) 1) 1)

2.4. 2.5.

dst

secara terstruktur Perlu dibuat rencana dan survey atas solusi-solusi otomatisasi, jika perlu dengan benchmarking agar didapatkan solusi yang tepat Pengadaan dan pemeliharaan terhadap perangkat lunak aplikasi perlu dilakukan secara terus menerus mengingat dinamika atau tuntutan terhadap sistem yang terus menerus mengalami perubahan Pengembangan aplikasi harus mengikuti siklus hidup pengembangan perangkat lunak aplikasi. Perlu dibuat rencana terhadap platform teknologi yang akan dipergunakan. Perlu ada pengaturan atas migrasi dari teknologi lama kepada teknologi yang baru ............

Rekomendasi

1.1

1.2

Menetapkan Arsitektur Informasi

3) 1) 2)

1.3. 1.4.

. .. dst

3) 1) 1)

Rencana strategis TI sebaiknya direncanakan dan didokumentasikan dengan baik Perencanaan strategis TI sebaiknya memperhatikan seluruh aspek kebutuhan institusi Perencanaan arsitektur Informasi sebaiknya direncanakan dan didokumentasikan dengan baik Pengembangan arsitektur Informasi sebaiknya menggunakan teknik dan metoda tertentu ........ .......

VI. Kesimpulan 1. Institusi, selama ini belum memiliki dan menerapkan rancangan model audit SI sebagai bagian dari pengaturan TI dalam rangka mencapai tujuan institusi secara efektif dan efisien. 2. Hasil wawancara dan diskusi dengan staf yang berwenang diperoleh kesimpulan bahwa dalam pengembangan SI institusi selama ini belum memperhatikan faktor resiko dan pengendalian secara terstuktur. 3. Hasil pemetaan maturity proses TI menunjukkan bahwa posisi institusi untuk tiap proses ratarata berada ditingkat (level) kedua yaitu dapat diulang, artinya bahwa pengaturan TI institusi selama ini sudah mengikuti pola yang teratur. Posisi SI institusi untuk beberapa proses sebenarnya dapat jauh lebih baik jika saja terdapat dokumentasi atas aktivitasnya. 4. Model Audit SI dengan mengacu pada kerangka kerja COBIT dapat di terapkan di lingkungan institusi sebagai potret (generalisasi) pengelolaan TI dan audit SI perguruan tinggi di Indonesia. Namun demikian perlu dilakukan penyesuaian dan modifikasi terhadap prosesnya. VII. Referensi 1. Information System Audit and Control Association (ISACA) (2003), http://www.isaca.org., 14 Juli 2003. IS Standards, Guidelines and Procedures for Auditing and Control Professionals, COBIT 3rd Edition (Executive Summary, Audit Guidelines, Management Guidelines, Implemetation Tool Set, 2. Weber, Ron (1999), Information Systems Control and Audit, The University of Queensland, Prentice Hall. 3. Yayasan Pendidikan Internal Audit (2002), Institut Pendidikan dan Pelatihan Audit dan Manajemen, Audit Sistem Informasi II, Jakarta.

2
2.1

Akuisisi dan Implementas i

Identifikasi solusi-solusi 1) Identifikasi terhadap solusisolusi otomatisasi perlu dibuat