Contents

PENDAHULUAN ......................................................................................................................... 2 TAHAPAN DALAM MEMBUAT PEDOMAN AUDIT MANAGE IT HUMAN RESOURCES (PO7) MENGGUNAKAN FRAMEWORK COBIT 4.1 ................................................................................ 7 PEDOMAN AUDIT MENGGUNAKAN FRAMEWORK COBIT 4.1 UNTUK PROSES PO7 MANAGE IT HUMAN RESOURCES ............................................................................................................... 14 REFERENSI ............................................................................................................................... 19

PO 7 CobiT 4.1

Plan and Organize : Manage IT Human Resources

PENDAHULUAN
Pedoman Audit COBIT bertujuan untuk memberikan struktur sederhana dalam menilai dan mengaudit pengendalian berdasarkan praktek audit yang berlaku umum sesuai dengan skema COBIT secara keseluruhan. Pedoman Audit COBIT memungkinkan auditor untuk mereview proses TI tertentu berdasarkan control objective COBIT dalam memastikan kecukupan pengendalian atau memberikan saran pada manajemen atas proses-proses yang perlu ditingkatkan.

Tujuan dilakukan audit adalah untuk: a. memberikan keyakinan memadai kepada manajemen bahwa control objective terpenuhi; b. mengidentifikasi adanya kelemahan pengendalian yang signifikan, membuktikan resiko yang dihasilkan; c. memberikan saran tindakan perbaikan pada manajemen.

Secara umum, proses TI diaudit melalui beberapa tahapan

Identifikasi/Dokumentasi Evaluasi Pengujian Kepatuhan Uji Substantive

Gambar 1. Tahapan Audit IT

1. Identifikasi

2|Page

Tujuan Tahapan identifikasi : Supaya auditor menjadi familiar dengan tugas yang tercakup dalam control objectives dan bagaimana manajemen sistem informasi percaya bahwa mereka telah mengendalikan hal terkait Manajemen SDM IT. Identifikasi yang dilakukan mencakup individual, proses dan lokasi dimana dilakukan tugas tersebut sesuai dengan stated procedure yang mengendalikannya. Hasil yang diinginkan dari tahapan identifikasi : Pada bagian kesimpulan dari tahap identifikasi/dokumentasi, auditor seharusnya sudah mengidentifikasi, mendokumentasikan dan memverifikasi : 1. Siapa yang melakukan tugas yang ada di dalam control objectives. 2. Dimana tugas dilaksanakan. 3. Kapan tugas dilaksanakan. 4. Pada input apakah tugas dilaksanakan. 5. Apa output yang diharapkan dari tugas tersebut 6. Apa prosedur yang telah ada (stated procedures) untuk memenuhi tugas.

Gambar 2. Diagram Alir Proses Identifikasi

2. Evaluasi Tujuan dari tahap Evaluasi : Untuk menilai stated procedures dan menentukan apakah prosedur telah menyediakan struktur kontrol yang efektif. Prosedur seharusnya dievaluasi dengan kriteria yang telah ditentukan sebelumnya, standar industri dan penilaian auditor. Struktur kontrol yang efektif haruslah memuat efektivitas biaya dan

3|Page

menyediakan jaminan yang masuk akal bahwa tugas telah dilaksanakan dengan baik sesuai dengan control objectives. Hasil yang diinginkan dari tahapan evaluasi : Pada kesimpulan dari tahap evaluasi, auditor harus memuat : 1. Regulasi dan kriteria organisasi yang telah dievaluasi kaitannya dengan pengaplikasian prosedur. 2. Stated procedure yang telah dievaluasi untuk menentukan apakah prosedur tersebut sudah efektif secara biaya dan menjamin bahwa tugas tugas telah dilaksanakan dengan baik sesuai dengan control objectives. 3. Mengevaluasi compensating controls yang digunakan untuk mendukung prosedur yang lemah. 4. Menyimpulkan apakah stated procedures dan compensating procedure secara bersama-sama telah digunakan untuk membuat struktur kontrol yang efektif. 5. Mengidentifikasi apakah pengujian kepatuhan telah sesuai.

Gambar 3. Diagram Alir Proses Evaluasi

3. Pengujian Kepatuhan
4|Page

Tujuan dari tahap Pengujian Kepatuhan : Tujuannya adalah untuk menganalisa kepatuhan organisasi terhadap kontrol yang telah diberikan. Actual procedures dan compensating controls harus dibandingkan kepada stated procedures dan review dokumen serta wawancara harus dilakukan untuk menentukan apakah kendali telah diimplementasikan secara tepat dan konsisten. Pengujian kepatuhan hanya dilakukan terhadap prosedur yang telah ditentukan sebelumnya supaya efektif. Hasil yang diinginkan dari tahapan pengujian kepatuhan Auditor hendaknya mempunyai dokumentasi yang lengkap dari kepatuhan organisasi terhadap prosedur yang telah diidentifikasi dan menyimpulkan apakah stated procedures dan compensating controls telah diterapkan secara tepat dan konsisten di organisasi. Berdasarkan level kepatuhan, auditor harus menentukan level dari substantive tes yang diperlukan untuk menjami kecukupan proses control.

Gambar 4. Diagram Alir Proses Pengujian Kepatuhan

4. Substantive Test
5|Page

Tujuan dari tahapan substantive test : Untuk melakukan pengujian data yang diperlukan dalam rangka menyediakan penjaminan atau non penjaminan kepada manajemen terkait pencapaian dari tujuan bisnis yang telah diberikan.

Hasil yang diinginkan dari tahapan Substantive test : Pada kesimpulan dari substantive test, auditor seharusnya telah melakukan pengujian yang cukup pada hasil dari pekerjaan untuk menyimpulkan apakah control objective yang telah diberikan telah dicapai. Substantive test yang signifikan harus dilakukan apabila : 1. Tidak ada kendali pengukuran. 2. Kendali pengukuran dinyatakan tidak memuaskan. 3. Uji kepatuhan mengindikasikan kendali pengukuran belum

diaplikasikan secara tepat dan konsisten.

Gambar 5. Diagram Alir Proses Substantive Test

6|Page

TAHAPAN DALAM MEMBUAT PEDOMAN AUDIT MANAGE IT HUMAN RESOURCES (PO7) MENGGUNAKAN FRAMEWORK COBIT 4.1

Ada beberapa tahapan yang harus dilakukan di dalam membuat pedoman audit, diantaranya adalah mapping dari pedoman audit COBIT 3.0 ke dalam COBT 4.1, selengkapnya adalah sebagai berikut :

Control Objectives

Output

RACI Chart

Mapping Pedoman audit COBIT 3.0 ke 4.1

Pembuatan Pedoman Audit

Pelaporan Audit

Gambar 6. Tahapan dalam membuat Pedoman Audit

a. Control Objectives PO 7 pada COBIT 4.1

1) PO7.1 Rekrutmen dan Retensi Menjaga proses perekrutan personil TI sejalan dengan kebijakan dan prosedur personel organisasi secara keseluruhan (misalnya : hire/kontrak, lingkungan kerja yang positif, orientasi). Melaksanakan proses untuk memastikan bahwa organisasi memiliki tenaga kerja IT yang tepat digunakan dengan keterampilan yang

diperlukan untuk mencapai tujuan organisasi. 2) PO7.2 Kompetensi Personel Secara teratur pastikan bahwa personil memiliki kompetensi untuk memenuhi peran mereka atas dasar pendidikan, pelatihan dan / atau pengalaman. Menentukan persyaratan kompetensi inti TI dan memverifikasi bahwa mereka sedang memaintain kompetensi inti tersebut. 3) PO7.3 Mendelegasikan Tugas Mendefinisikan, memantau dan mengawasi peran, tanggung jawab dan kerangka kompensasi bagi personil, termasuk persyaratan untuk mematuhi kebijakan

7|Page

manajemen dan prosedur, kode etik, dan praktek profesional. Tingkat pengawasan harus sejalan dengan sensitivitas posisi dan luasnya tanggung jawab yang ditugaskan. 4) PO7.4 Pelatihan Personel Memberikan orientasi bagi karyawan TI dengan tepat ketika mengontrak tenaga IT dan pelatihan yang berkelanjutan untuk mempertahankan pengetahuan,

keterampilan, kemampuan, internal kontrol dan kesadaran keamanan pada tingkat yang dibutuhkan untuk mencapai tujuan organisasi. 5) PO7.5 Ketergantungan terhadap Individu Meminimalkan akibat dari ketergantungan pada individu kunci melalui

penangkapan pengetahuan (dokumentasi), berbagi pengetahuan, perencanan suksesi dan staf backup. 6) PO7.6 Prosedur Perijinan Personil Termasuk pemeriksaan latar belakang dalam proses rekrutmen TI. Tingkat dan frekuensi tinjauan berkala dari pemeriksaan harus tergantung pada kepekaan dan atau kekritisan fungsi dan harus diterapkan bagi karyawan, kontraktor dan vendor. 7) PO7.7 Evaluasi Kinerja Karyawan Memerlukan evaluasi tepat waktu yang akan dilakukan secara rutin terhadap tujuan individu yang berasal dari tujuan-tujuan organisasi, menetapkan standar dan tanggung jawab pekerjaan tertentu. Karyawan harus menerima pelatihan tentang kinerja dan pelatihan tersebut dilakukan apabila diperlukan. 8) PO7.8 Perubahan Pekerjaan dan Terminasi. Mengambil tindakan yang bijaksana tentang perubahan pekerjaan, khususnya terminasi pekerjaan. Transfer pengetahuan harus diatur, tanggung jawab dipindahkan dan hak akses dihapus sehingga risiko diminimalkan dan kesinambungan fungsi dijamin.

8|Page

b. Output

Gambar 7. Tabel Output PO7 (Management Guidelines)

Pada PO7 COBIT 4.1, dokumen yang dihasilkan dari proses ini adalah seperti terlihat pada gambar 7. Dokumen yang dihasilkan ini digunakan untuk membantu mengidentifikasi dokumen-dokumen apa saja yang akan diminta kepada pihak yang diaudit terkait dengan proses PO7.

c. RACI Chart RACI chart mendefinisikan apa dan kepada siapa seharusnya didelegasikan, terdiri dari: 1. Responsibility (R) yaitu pihak yang harus memastikan bahwa aktivitas tersebut berhasil dilaksanakan. 2. Accountable (A) yaitu pihak yang mempunyai kewenangan untuk menyetujui atau menerima pelaksanaan aktivitas. 3. Consulted (C) yaitu pihak yang pendapatnya dibutuhkan dalam aktivitas (komunikasi dua arah). 4. Informed (I) yaitu pihak yang selalu menjaga ke-up to date-an dari kemajuan aktivitas (komunikasi satu arah). RACI chart ini akan membantu kita untuk mengidentifikasi siapa saja yang akan kita interview. Berikut adalah RACI chart PO7 COBIT 4.1

9|Page

Gambar 8. RACI Chart (PO 7, COBIT 4.1) Dalam kasus ini, yang akan kita wawancara adalah Pimpinan yang menduduki posisi R / Responsible, karena di tangan Pimpinan yang menduduki fungsi R inilah keberhasilan proses Manajemen SDM IT ini berada. Dalam hal ini ada (5) orang yang bertanggung jawab sebagai berikut : Head Operation Chief Architect Head Development Head IT Administration Project Management Officer (PMO)

Jika diterjemahkan ke dalam Struktur Balai Diklat Metrologi sbb : Head Operation = Ka.Sub.Bag Tata Usaha Chief Architect = - (tidak ada) Head Development = Koordinator Kepegawaian Head IT Administration = Kepala Seksi Promosi dan Kerjasama Project Management Officer (PMO) = - (tidak ada)

d. Mapping control objective antara COBIT 4.1 dengan COBIT 3.0. Hal ini dilakukan untuk mendapatkan control objective mana saja yang tidak terdapat pada COBIT 4.1 namun terdapat pada COBIT 3.0 dan sebaliknya,

10 | P a g e

1. Pada COBIT 3.0 terdapat 8 control objective, yaitu: a) b) c) d) e) f) g) h) 7.1 Personnel Recrutiment and Promotion 7.2 Personnel Qualification 7.3 Roles and Responsibilites 7.4 Personnel Training 7.5 Cross Training or Staff Backup 7.6 Personel Clearance Procedures 7.7 Employee Job Performance Evaluation 7.8 Job Change and Termination

2. Pada COBIT 4.1 terdapat 8 control objective, yaitu: a) b) c) d) e) f) g) h) 7.1 Personnel Recrutiment and Retention. 7.2 Personnel Competencies. 7.3 Staffing of Roles. 7.4 Personnel Training. 7.5 Dependence Upon Individuals. 7.6 Personnel Clearance Procedures 7.7 Employee Job Performance Evaluation 7.8 Job Change and Termination

3. Dari perbandingan diatas dapat kita lihat ada 3 control objectives baru pada COBIT 4.1 yaitu pada PO 7.2 yang semula Personnel Qualification menjadi Personnel Competencies, PO 7.3 (staffing roles menggantikan roles and responsibilites) , pada PO 7.5 dari semula cross training or staff backup

menjadi dependence upon individuals.

11 | P a g e

Gambar 9. Mapping Proses PO7 COBIT 3.0 ke COBIT 4.1

Gambar 10. Mapping Proses PO7 COBIT 4.1 ke COBIT 3.0

12 | P a g e

e. Membuat Pedoman Audit Proses PO7 COBIT 4.1 Setelah semua tahapan di atas dilakukan, berikutnya akan dibuat pedoman audit dengan cara menuangkan semua apa yang ada dalam pedoman audit PO7 COBIT 3.0 dengan menyesuaikan pedoman audit baru untuk control objective PO7 COBIT 4.1, baik untuk tahap obtaining, evaluating, assessing, maupun substantiating yang bersesuaian.

f. Pelaporan Audit Pelaporan audit merupakan tahapan yang dilakukan setelah tim audit menyelesaikan audit di lapangan. Laporan audit disusun seobyektif mungkin dan disampaikan kepada para stakeholder sesuai dengan ketentuan yang berlaku. Laporan audit ini memaparkan review mengenai pemenuhan control objective, mengidentifikasi adanya kelemahan pengendalian yang signifikan beserta pembuktian resiko yang dihasilkan dan memberikan saran tindakan perbaikan kepada pihak manajemen.

13 | P a g e

PEDOMAN AUDIT MENGGUNAKAN FRAMEWORK COBIT 4.1 UNTUK PROSES PO7 MANAGE IT HUMAN RESOURCES
Definisi : Dalam rangka mendukung kegiatan bisnis melalui IT, diperlukan adanya Sumber Daya Manusia (SDM) yang kompeten di bidang IT. Proses mendapatkan SDM IT meliputi berbagai kegiatan sbb : perekrutan, pelatihan, evaluasi kinerja, promosi dan terminasi. Proses-proses ini merupakan hal yang penting, karena SDM / people merupakan salah satu sumber daya IT yang berperan dalam keberhasilan perusahaan (selain aplikasi, informasi dan infrastruktur). Hal yang penting disini adalah kompetensi dan motivasi SDM.

Pengendalian Proses IT melalui : Manajemen SDM TI Kebutuhan bisnis : Mendapatkan SDM yang kompeten dan termotivasi untuk membuat dan mendeliver layanan IT. Fokus kepada: Perekrutan dan pelatihan personel, memotivasi melalui jenjang karir yang jelas, memberdayakan kedalam fungsi yang sesuai dengan kemampuan dan kompetensinya, membuat proses manajemen SDM yang terdefinisi dan mudah untuk direview, menciptakan deskripsi posisi dan menjamin kesadaran untuk menghindari ketergantungan individual. Dilakukan dengan cara : Me-review kinerja staff Merekrut dan melatih staff TI untuk mendukung rencana TI Mengurangi resiko dari ketergantungan yang berlebihan thd sumber daya utama

14 | P a g e

Diukur dengan: Tingkat kepuasan stakeholder dengan

kemampuan dan keahlian personel TI. Tingkat keluar masuk personel TI. Persentase personel TI yang telah tersertifikasi sesuai dengan keperluan pekerjaan.

Mengelola Sumber Daya Manusia Tujuan Pengendalian : 1. Perekrutan Personel dan Retensi 2. Kompetensi Personel 3. Pendelegasian peran 4. Pelatihan personel 5. Ketergantungan terhadap individu 6. Personel Clearance Procedures 7. Evaluasi Kinerja Pekerjaan 8. Pergantian pekerjaan dan pemberhentian Mendapatkan pengertian dan pemahaman oleh : Wawancara (diambil dari RACI Chart yang telah dimapping ke dalam struktur organisasi Balai Diklat Metrologi) : Head Operation = Ka.Sub.Bag Tata Usaha Chief Architect = - (tidak ada) Head Development = Koordinator Kepegawaian Head IT Administration = Kepala Seksi Promosi dan Kerjasama Project Management Officer (PMO) = - (tidak ada)
15 | P a g e

Mendapatkan : Kebijakan dan Prosedur terkait Manajemen Sumber Daya Manusia Deskripsi Pekerjaan, Form Evaluasi Kinerja, Form Pelatihan dan Pengembangan File Personel untuk posisi terpilih

Mengevaluasi Kendali dengan Mempertimbangkan apakah : 1. Kriteria telah digunakan dalam rekrutmen dan seleksi personel untuk mengisi posisi yang kosong. 2. Spesifikasi dari kualifikasi yang diperlukan untuk posisi staff telah ditetapkan oleh organisasi profesional jika diperlukan. 3. Pihak manajemen dan pegawai menerima proses kompetensi pekerjaan. 4. Program pelatihan konsisten dengan pesyaratan minimal yang ada dalam dokumen organisasi terkait pendidikan dan pemahaman secara umum terkait masalah keamanan. 5. Manajemen mempunyai komitmen yang kuat terhadap pelatihan pribadi dan pengembangan karir. 6. Kesenjangan teknis dan manajemen telah di-identifikasi dan tindakan yang tepat telah dilakukan untuk mengatasi kesenjangan ini. 7. Training dilakukan dan staff cadangan untuk fungsi pekerjaan yang kritis telah dilakukan. 8. Pelaksanaan dari kebijakan pelayanan di saat liburan. 9. Proses pembersihan keamanan organisasi (org.security clearance) telah mencukupi. 10. Pekerja dievaluasi berdasarkan standar set profil kompetensi untuk suatu posisi pekerjaan dan dilaksanakan secara periodik. 11. Pergantian pekerjaan dan proses pemberhentian harus dipastikan supaya tidak mengganggu operasional perusahaaan. 12. Kebijakan dan Prosedur Manajemen SDM selaras dengan hukum dan regulasi yang berlaku.

16 | P a g e

Menilai kepatuhan dengan : Menguji bahwa 1. Tindakan perekrutan / promosi dan kriteria seleksi telah mencerminkan keobjektifan dan relevansi dari posisi yang dibutuhkan. 2. Personel mempunyai pengetahuan yang cukup mengenai operasional dari fungsi pekerjaan mereka dan area yang merupakan tanggung jawabnya. 3. Deskripsi pekerjaan ada dan direview secara berkala supaya tetap up to date 4. File Personil berisi pengakuan terhadap pemahaman karyawan mengenai pendidikan organisasi secara keseluruhan dan program kesadaran umum. 5. Pendidikan dan Pelatihan yang sedang dilakukan telah dipastikan sesuai dengan personel yang ditugaskan dalam fungsi yang kritikal (penting). 6. Personel IT telah menerima pelatihan yang cukup dalam hal prosedur dan teknik security. 7. Manajemen IT dan Staff telah dengan sadar dan mengerti mengenai kebijakan dan prosedur organisasi. 8. Prosedur Security Clearance Investigation konsisten dengan kebijakan hukum yang berlaku. 9. Pengetahuan dari tujuan bisnis oleh personel yang ditugaskan untuk menangani fungsi IT yang kritikal termasuk filosofis pengendalian internal dan keamanan sistem informasi serta konsep pengendalian (control).

Penguatan / Pencegahan Resiko dari tujuan pengendalian yang mungkin tidak tercapai dengan cara Melakukan Benchmarking terhadap aktivitas manajemen SDM di dalam organisasi yang lain atau standar internasional / best practice di industri. Review mendetail mengenai aktivitas dari manajemen SDM

17 | P a g e

Mengidentifikasi Penyebab keberatan / keluhan dari calon karyawan potensial / aktual Perbedaan dalam tindakan perekrutan, pemindahan, promosi dan pemutusan hubungan yang berkaitan dengan: o Kebijakan dan prosedur yang tidak diikuti o Tindakan tidak ditandatangani oleh manajemen yang tepat o Tindakan tidak didasarkan pada spesifikasi pekerjaan dan kualifikasi personil Personil yang: Tidak memenuhi kualifikasi Kesempatan pelatihan dan pengembangan tidak selaras dengan gap kompetensi Evaluasi prestasi kerja yang tidak dilakukan atau tidak mendukung posisi yang diduduki dan / atau tugas yang dilakukan Keamanan penyelidikan terkait dengan perekrutan tidak diikuti dengan baik Investigasi keamanan secara periodik belum dilakukan

Kekurangan dalam program pelatihan dan kegiatan pengembangan staf Kekurangan dalam pelatihan dan back-up personil kunci Kebijakan keamanan yang belum ditandatangani Anggaran dan waktu yang tidak memadai dan dalam pelatihan dan pengembangan staf Laporan waktu Personil untuk staf yang melakukan fungsi-fungsi kritis (intinya menunjukkan bahwa pada hari libur semua pekerjaan bisa diatasi).

18 | P a g e

REFERENSI

1. 2.

______. COBIT 4.1. IT Governance Institute. 2007. ______. COBIT 3rd Edition Control Objective. COBIT Steering Committee and the IT Governance Institute. 2000. ______. COBIT 3rd Edition Audit Guideliness. COBIT Steering Committee and the IT Governance Institute. 2000.

3.

19 | P a g e