PROPOSAL TEKNIS

Audit Sistem Information Technology
B A D A N U S A H A MI L I K N E G A R A MENTERI NEGARA BUMN

Februari 2005

D A FTA R I S I Pendahuluan Tujuan Audit Batasan Audit Hasil-hasul Audit Metodologi Audit Jadwal Audit Sumber Daya Pembiayaan 2 .

2. 3. Keadaan ini. Berkembangnya ancaman dunia kejahatan cyber seperti ancaman jaringan internet dan pemalsuan informasi. Untuk memastikan bagaimana kontribusi manajemen teknologi informasi terhadap obyektif bisnis organisasi. Kini informasi telah menjadi salah satu aset organisasi yang bersifat dinamis. CobiT (Control Objectives for 3 . Bertambahnya tingkat ketergantungan organisasi terhadap informasi dan sistem yang digunakan untuk memanajemen dan mengkomunikasikan informasi tersebut. 4. Teknologi berpotensi merubah kondisi organisasi secara radikal dan sekaligus memberikan peluang untuk menjawab berbagai permasalahan dan mereduksi biaya operasional. mendorong organisasi untuk mengadaptasi berbagai perubahan dan perkembangan teknologi informasi. Beberapa alasannya adalah sebagai berikut: 1. Saat ini banyak organisasi yang memiliki ketergantungan terhadap informasi elektronis dan sistem teknologi informasi. Meningkatnya investasi dalam pengelolaan dan pengembangan sistem informasi dan akan terus meningkat di masa mendatang. sebuah organisasi perlu melakukan evaluasi dan audit terhadap efektivitas teknologi informasi yang digunakan. Berkenaan dengan proses evaluasi dan audit manajemen teknologi informasi. sejalan dengan berkembangnya perangkat aplikasi teknologi informasi yang menjadi unsur pendukung utama bagi yang diperlukan.PENDAHULUAN Salah satu faktor kesuksesan sebuah organisasi adalah efektivitas manajemen informasi dan teknologi informasi pendukungnya.

Information and related Technology) merupakan pilihan terbaik sebagai metode kerja proses evaluasi dan audit di atas. 1. terlihat ada lima tahap yang harus dilakukan untuk melakukan proses evaluasi dan audit menggunakan standar Cobit. CAKUPAN AUDIT Project Execution Process – Audit Material Preparation — Audit Communication ˜ Audit ™ Audit Result Analysis š Project Close Out Dari gambar di atas. Kementrian Negara BUMN beserta jajaran BUMN dibawahnya perlu mengetahui perencanaan bagaimana kondisi implementasi teknologi informasi saat ini sehingga memudahkan untuk melakukan pengembangan teknologi informasi yang akan datang. TUJUAN AUDIT Agar dapat mengadaptasikan berbagai perubahan dan arah pengembangan teknologi informasi ke depan. Menjalankan audit manajemen teknologi informasi untuk mengetahui kondisi saat ini akan sangat membantu Kementrian Negara BUMN untuk memverifikasi bagaimana implementasi teknologi informasi selama ini dilakukan. Audit Material Preparation 4 .

5. pekerjaan dinyatakan selesai. Audit Communication Pada awal pekerjaan berjalan.Langlah awal yang akan dilakukan oleh tim konsultan adalah mempersiapkan berbagai sumberdaya dan material yang dibutuhkan selama proses audit dilakukan. Setelah laporan diterima. kesiapan kepada organisasi sebelum audit dijalankan dan mencegah adanya resistensi selama proses audit 5 . Audit Result Analysis Setelah proses audit dijalankan. 3. tim konsultan melakukan proses analisa data yang telah diperoleh selama audit dan membuat laporan hasil audit tentang kondisi teknologi informasi saat ini dan rekomendasi apa saja yang harus dilakukan untuk melakukan perbaikan. tim konsultan melakukan presentasi laporan. Tujuan dari komunikasi ini adalah memberikan dilakukan. Project Close Out Fase akhir dari pekerjaan dimana tim konsultan melakukan penulisan laporan secara komprehensif terhadap hasil audit dan hasil analisa. Setelah laporan akhir selesai dibuat. bagaimana audit dijalankan (proses). 4. siapa saja yang terlibat (orang). Audit Execution Fase ini adalah inti dari pekerjaan dimana tim konsultan melakukan proses audit menggunakan kerangka Cobit sebagai panduan. tim konsultan melakukan komunikasi secara intensif tentang bagaimana pelaksanaan proses audit dijalankan. dan kapan proses-proses tersebut dijalankan (penjadwalan). 2. Beberap isu yang akan dikomunikasikan adalah mencakup mengapa proses audit teknologi informasi dilakukan (tujuan).

1. 15 kontrol obyektif yang dimaksud adalah sebagai berikut: 1. IT as Part of the Organization’s Long. 2. 3.4.5. 3. 3. 2.1.2.8.5.4.Area Audit TI Mengingat bahwa Badan Kementrian Negara BUMN merupakan organisasi besar yang salah satu tugasnya untuk meningkatkan kinerja organisasi dan memberikan informasi kepada pihak-pihak terkait. 2.1.1.5.4. Manage projects . 2.3.3. organisasi dan sistem teknologi informasinya masih dalam tahap awal pengembangan. Assess risk 3.and Short-Range Plan IT Long-Range Plan IT Long-Range Planning Approach and Structure IT Long-Range Plan Changes Short-Range Planning for the IT Function Business Risk Assessment Risk Assessment Approach Risk Identification Risk Measurement Risk Action Plan Risk Acceptance Safeguard Selection Risk Assessment Commitment Project Management Framework User Department Participation in Project Initiation Project Team Membership and Responsibilities Project Definition Project Approval Project Phase Approval 6 2. 2.3. 3. 1.2. 2.6. 1. 2. 3.2.6. 3. kami merekomendasikan audit TI yang mencakup 4 domain dan 15 kontrol obyektif seperti yang terdapat pada Cobit Audit Guideline. 2. Define a strategic IT plan 1.7. 1.

14. Reaccreditations 5. 4.11. 4.3.5.7.9.8. 3. Change Request Initiation and Control Impact Assessment Control of Changes Emergency Changes Documentation and Procedures Authorized Maintenance Software Release Policy Distribution of Software Manage Security Measures Identification. 5. Ensure system security 5. Project Master Plan System Quality Assurance Plan Planning of Assurance Methods 3. 4. 5.11.8.10. Counterparty Trust 5. 5. Violation and Security Activity Reports 5.13.2.5.2. 5.3. Post-Implementation Review Plan 4. 5.1. 4. Training Plan 3. 4. 5.8.6. Transaction Authorization 7 .6. Test Plan 3. 5. 5.4.4. 4. 5.13. 4. Formal Project Risk Management 3. Manage changes 4.9.7.3.1.7.12. Authentication and Access Security of Online Access to Data User Account Management Management Review of User Accounts User Control of User Accounts Security Surveillance Data Classification Central Identification and Access Rights Management 5.10. 3. Incident Handling 5.12.

Media Library Management System 6.8. Media Library Management Responsibilities 6.13.20.12. Protection of Sensitive Information During Transmission and Transport 6.14. Completeness and Authorization Checks Data Input Error Handling Data Processing Integrity Data Processing Validation and Editing 6.15. Output Review and Error Handling 6. Cryptographic Key Management 5.15. Security Provision for Output Reports 6. Output Handling and Retention 6.22.5. Manage data 6.4.7.17. Non-Repudiation 5. 6. 6.5. Output Balancing and Reconciliation 6. 6. Data Processing Error Handling 6.11. Protection of Security Functions 5. Data Preparation Procedures Source Document Authorization Procedures Source Document Data Collection Source Document Error Handling Source Document Retention Accuracy. Detection and Correction 5. Output Distribution 6. Malicious Software Prevention. Storage Management 6.9. Trusted Path 5. Firewall Architectures and Connections with Public Networks Protection of Electronic Value 6.6.18.19.16. Back-up and Restoration 8 .21.20. 6.17. Retention Periods and Storage Terms 6. 6.2.16.18. 6. 6.10. Protection of Disposed Sensitive Information 6.1. 6.19.3.

4. Formulation of Acquisition Strategy 10.6.5.28. Determine the technological direction 9. 9.6. Authentication and Integrity 6. Formulation of Alternative Courses of Action 10.2. Continued Integrity of Stored Data 7. Identify solutions 10. 8.1.2. 8. Electronic Transaction Integrity 6. 7.2. Manage the IT investment 10.1.1. Back-up Storage 6. 9. Technological Feasibility Study 10. 8.29.27.1.4. Monitor the processes 7. Protection of Sensitive Messages 6.3. 7. Archiving 6.25. Back-up Jobs 6.4.3.26.5. 8. 9. 8. Third-Party Service Requirements 10.24. 7.23.3. Economic Feasibility Study 9 . Definition of Information Requirements 10.2.3. Collecting Monitoring Data Assessing Performance Assessing Customer Satisfaction Management Reporting Technological Infrastructure Planning Monitor Future Trends and Regulations Technological Infrastructure Contingency Hardware and Software Acquisition Plans Technology Standards Annual IT Operating Budget Cost and Benefit Monitoring Cost and Benefit Justification 8.

10. 10. Definition of Interfaces 11. 11. 11. User-Machine Interface 11. Design Methods 11.5. Program Specifications 11. Design Approval 11. 12. 10. Cost-Effective Security Controls 10. 11.2.17.16. Major Changes to Existing Systems 11.3.11. Risk Analysis Report 10. Audit Trails Design Ergonomics Selection of System Software Procurement Control Software Product Acquisition Third-Party Software Maintenance Contract Application Programming Acceptance of Facilities Acceptance of Technology Acquire and maintain applications and software 11. Source Data Collection Design 11.10.15. Input Requirements Definition and Documentation 11.8.12.10. File Requirements Definition and Documentation 11.14.9.11.9.12.10.6.7.16.8.13.4.13. Processing Requirements Definition and Documentation Output Requirements Definition and Documentation Controllability Availability as a Key Design Factor IT Integrity Provisions in Application Program Software Application Software Testing User Reference and Support Materials Reassessment of System Design Install and accredit systems 10 . 10. 11.18. 10. 11. Information Architecture 10. 11.1.17. 11. 10.14.7. 11.15. 10. 10.

System Conversion 12.1. Service Level Agreement Framework 13.3. Monitoring and Reporting 13. Testing of Changes 12.5. 12. 13.12.7. Aspects of Service Level Agreements 13. IT Continuity Framework 14.1. Implementation Plan 12. Security Testing and Accreditation Operational Test Promotion to Production Evaluation of Meeting User Requirements Management’s Post-Implementation Review Define service levels 13. 12.4.6.9.7. Performance Procedures 13.4.14. Testing Strategies and Plans 12. Data Conversion 12.1.5. Service Improvement Program 14. Minimizing IT Continuity Requirements 14. Application Software Performance Sizing 12. Testing the IT Continuity Plan 14.8. IT Continuity Plan Distribution 11 .2.6. IT Continuity Plan Contents 14.2.3. Ensure continuous service 14. Review of Service Level Agreements and Contracts 13. IT Continuity Plan Strategy and Philosophy 14.8. IT Continuity Plan Training 14.10.7. Maintaining the IT Continuity Plan 14.6. Parallel/Pilot Testing Criteria and Performance 12.4.2. 12.5. Final Acceptance Test 12.13.3. 12. Chargeable Items 13. Training 12.12.11.

Problem Escalation 15. Analisa kematangan TI terkait dengan Critical Success Factor. Key Goal Indicator dan Key Performance Indicator untuk setiap domain.9.13.3. 14. 14. Emergency and Temporary Access Authorizations 15. yang dilengkapi dengan laporan detail untuk setiap domain. Skala kematangan TI / IT Maturity Level (skala 0 – 5). METODOLOGI AUDIT Cobit menyediakan metode dan prosedur untuk melakukan proses audit dalam bentuk Cobit Framework.5. 15.14. 3. Analisa resiko tingkat kematangan teknologi informasi. Emergency Processing Priorities HASIL-HASIL AUDIT Hasil utama dari proses audit teknologi informasi adalah berupa laporan yang terdiri atas: 1.11. User Department Alternative Processing Back-up Procedures 14.2. 2. 14. Problem Tracking and Audit Trail 15. Critical IT Resources Back-up Site and Hardware Off-site Back-up Storage Wrap-up Procedures Manage problems and incidents 15. Problem Management System 15.12.10.4.1. Berdasarkan framework yang 12 .

sistem aplikasi. Audit akan didasarkan berdasarkan fakta-fakta yang ada. Analysis: TOTAL: 5. 2. konsultan juga akan melakukan pertemuan dan wawancara dengan pihak-pihak terkait seperti manajemen. Audit preparation & socialization: 10 days 2. pengguna dan personel TI lainnya. fasilitas dan data. Acquisition & Implementation (AI). Material assessment. 3. Assessment dilakukan terhadap berbagai sumberdaya TI seperti manusia. Berdasarkan melakukan Selama proses fakta-fakta analisa audit. Final presentation on analysis: . dan tim konsultan dari tingkat tim efektivitas efisiensi manajemen teknologi informasi. Materi assessment terdiri atas 4 domain: Planning & Organization (PO). termasuk dalam hal ini adalah daftar pertanyaan berdasarkan standar dan struktur Cobit.telah tersedia. yang ditemukan. Detail dari penjadwalan adalah sebagai berikut: 1. Assessment: 25 days 9 days 5 days 1 day 50 workdays 13 3. Delivery & Support (DS) dan Monitoring (M). teknologi. metodologi yang digunakan untuk melakukan audit adalah sebagai berikut: 1. JADWAL AUDIT Proses audit akan memakan waktu berkisat 45 sampai dengan 50 hari (tidak termasuk hari libur dan hari minggu). Confirmation & refinement: 4.

Munawar Ahmad Consultant/ Auditor  Dedy Syafwan. ST Yehezql. SKom     14 . kami akan menyediakan tim yang kompeten dalam hal Manajemen Teknologi Informasi. Ir.Tim konsultan meminta waktu 10 hari cadangan untuk mengantisipasi adanya potensi permsalahan teknis yang mungkin muncul selama proses analisa. Assignment Main responsibility Tentative proposed names Lead Consultant/ Partner Memimpin tim audit untuk semua aspek konsolidasi internal dan persiapan. MT Dudy Rudianto. Sampai pada fase akhir. ST. Tugas dari Consultant/Auditor adalah mempesiapkan materi detail. MKom Andhie L Adam. ST Rofiq Yuliardi. ST. Consultant/Auditor Dr. Cobit Framework dan Analis Bisnis Proses. eksekusi dan operasi audit dengan pihak-pihak terkait. Bertugas untuk mengeksekusi dan menjamin bahwa proses dan prosedur audit dilakukan dengan cara standar. proses audit sampai dengan laporan final. SUMBERDAYA Dari sisi tim konsultan.

Samsudin BT.melakukan konsolidasi hasil keseluruhan dan analisa Audit Documenter data yang ada.o  o ------- 15 . Dari sisi client. kami mengharapkan: Tempat yang representatif untuk digunakan oleh tim konsultan ( 3 orang) selama proses audit dan observasi. ST  -----. Personnel In-Charge yang bertugas untuk memandu tim konsultan dalam melakukan proses audit sistem/teknologi/data dari organisasi bersangkutan.   Personel yang terkait dengan proses wawancara. Bertugas untuk melakukan dokumentasi terhadap keseluruhan proses audit.

Sign up to vote on this title
UsefulNot useful

Master Your Semester with Scribd & The New York Times

Special offer for students: Only $4.99/month.

Master Your Semester with a Special Offer from Scribd & The New York Times

Cancel anytime.