Anda di halaman 1dari 15

PROPOSAL TEKNIS

Audit Sistem Information Technology


B A D A N U S A H A MI L I K N E G A R A MENTERI NEGARA BUMN

Februari 2005

D A FTA R I S I

Pendahuluan Tujuan Audit Batasan Audit Hasil-hasul Audit Metodologi Audit Jadwal Audit Sumber Daya Pembiayaan

PENDAHULUAN

Salah satu faktor kesuksesan sebuah organisasi adalah efektivitas manajemen informasi dan teknologi informasi pendukungnya. Beberapa alasannya adalah sebagai berikut: 1. Bertambahnya tingkat ketergantungan organisasi terhadap

informasi dan sistem yang digunakan untuk memanajemen dan mengkomunikasikan informasi tersebut. 2. Berkembangnya ancaman dunia kejahatan cyber seperti ancaman jaringan internet dan pemalsuan informasi. 3. Meningkatnya investasi dalam pengelolaan dan pengembangan sistem informasi dan akan terus meningkat di masa mendatang. 4. Teknologi berpotensi merubah kondisi organisasi secara radikal dan sekaligus memberikan peluang untuk menjawab berbagai permasalahan dan mereduksi biaya operasional. Kini informasi telah menjadi salah satu aset organisasi yang bersifat dinamis, sejalan dengan berkembangnya perangkat aplikasi teknologi informasi yang menjadi unsur pendukung utama bagi yang diperlukan. Saat ini banyak organisasi yang memiliki ketergantungan terhadap informasi elektronis dan sistem teknologi informasi. Keadaan ini, mendorong organisasi untuk mengadaptasi berbagai perubahan dan perkembangan teknologi informasi. Untuk memastikan bagaimana kontribusi manajemen teknologi

informasi terhadap obyektif bisnis organisasi, sebuah organisasi perlu melakukan evaluasi dan audit terhadap efektivitas teknologi informasi yang digunakan. Berkenaan dengan proses evaluasi dan audit manajemen teknologi informasi, CobiT (Control Objectives for

Information and related Technology) merupakan pilihan terbaik sebagai metode kerja proses evaluasi dan audit di atas.

TUJUAN AUDIT Agar dapat mengadaptasikan berbagai perubahan dan arah pengembangan teknologi informasi ke depan, Kementrian Negara BUMN beserta jajaran BUMN dibawahnya perlu mengetahui perencanaan bagaimana kondisi implementasi teknologi informasi saat ini sehingga memudahkan untuk melakukan pengembangan teknologi informasi yang akan datang. Menjalankan audit manajemen teknologi informasi untuk mengetahui kondisi saat ini akan sangat membantu Kementrian Negara BUMN untuk memverifikasi bagaimana implementasi teknologi informasi selama ini dilakukan. CAKUPAN AUDIT Project Execution Process

Audit
Material Preparation

Audit
Communication

Audit

Audit
Result Analysis

Project Close Out

Dari gambar di atas, terlihat ada lima tahap yang harus dilakukan untuk melakukan proses evaluasi dan audit menggunakan standar Cobit. 1. Audit Material Preparation

Langlah awal yang akan dilakukan oleh tim konsultan adalah mempersiapkan berbagai sumberdaya dan material yang dibutuhkan selama proses audit dilakukan. 2. Audit Communication Pada awal pekerjaan berjalan, tim konsultan melakukan komunikasi secara intensif tentang bagaimana pelaksanaan proses audit dijalankan. Beberap isu yang akan dikomunikasikan adalah mencakup mengapa proses audit teknologi informasi dilakukan (tujuan), bagaimana audit dijalankan (proses), siapa saja yang terlibat (orang), dan kapan proses-proses tersebut dijalankan (penjadwalan). Tujuan dari komunikasi ini adalah memberikan dilakukan. 3. Audit Execution Fase ini adalah inti dari pekerjaan dimana tim konsultan melakukan proses audit menggunakan kerangka Cobit sebagai panduan. 4. Audit Result Analysis Setelah proses audit dijalankan, tim konsultan melakukan proses analisa data yang telah diperoleh selama audit dan membuat laporan hasil audit tentang kondisi teknologi informasi saat ini dan rekomendasi apa saja yang harus dilakukan untuk melakukan perbaikan. 5. Project Close Out Fase akhir dari pekerjaan dimana tim konsultan melakukan penulisan laporan secara komprehensif terhadap hasil audit dan hasil analisa. Setelah laporan akhir selesai dibuat, tim konsultan melakukan presentasi laporan. Setelah laporan diterima, pekerjaan dinyatakan selesai. kesiapan kepada organisasi sebelum audit dijalankan dan mencegah adanya resistensi selama proses audit

Area Audit TI Mengingat bahwa Badan Kementrian Negara BUMN merupakan organisasi besar yang salah satu tugasnya untuk meningkatkan kinerja organisasi dan memberikan informasi kepada pihak-pihak terkait, organisasi dan sistem teknologi informasinya masih dalam tahap awal pengembangan, kami merekomendasikan audit TI yang mencakup 4 domain dan 15 kontrol obyektif seperti yang terdapat pada Cobit Audit Guideline. 15 kontrol obyektif yang dimaksud adalah sebagai berikut: 1. Define a strategic IT plan 1.1. 1.2. 1.3. 1.4. 1.5. 2.1. 2.2. 2.3. 2.4. 2.5. 2.6. 2.7. 2.8. 3.1. 3.2. 3.3. 3.4. 3.5. 3.6. IT as Part of the Organizations Long- and Short-Range Plan IT Long-Range Plan IT Long-Range Planning Approach and Structure IT Long-Range Plan Changes Short-Range Planning for the IT Function Business Risk Assessment Risk Assessment Approach Risk Identification Risk Measurement Risk Action Plan Risk Acceptance Safeguard Selection Risk Assessment Commitment Project Management Framework User Department Participation in Project Initiation Project Team Membership and Responsibilities Project Definition Project Approval Project Phase Approval 6

2. Assess risk

3. Manage projects

3.7. 3.8. 3.9.

Project Master Plan System Quality Assurance Plan Planning of Assurance Methods

3.10. Formal Project Risk Management 3.11. Test Plan 3.12. Training Plan 3.13. Post-Implementation Review Plan 4. Manage changes 4.1. 4.2. 4.3. 4.4. 4.5. 4.6. 4.7. 4.8. 5.1. 5.2. 5.3. 5.4. 5.5. 5.6. 5.7. 5.8. 5.9. Change Request Initiation and Control Impact Assessment Control of Changes Emergency Changes Documentation and Procedures Authorized Maintenance Software Release Policy Distribution of Software Manage Security Measures Identification, Authentication and Access Security of Online Access to Data User Account Management Management Review of User Accounts User Control of User Accounts Security Surveillance Data Classification Central Identification and Access Rights Management

5. Ensure system security

5.10. Violation and Security Activity Reports 5.11. Incident Handling 5.12. Reaccreditations 5.13. Counterparty Trust 5.14. Transaction Authorization 7

5.15. Non-Repudiation 5.16. Trusted Path 5.17. Protection of Security Functions 5.18. Cryptographic Key Management 5.19. Malicious Software Prevention, Detection and Correction 5.20. Firewall Architectures and Connections with Public Networks Protection of Electronic Value 6. Manage data 6.1. 6.2. 6.3. 6.4. 6.5. 6.6. 6.7. 6.8. 6.9. Data Preparation Procedures Source Document Authorization Procedures Source Document Data Collection Source Document Error Handling Source Document Retention Accuracy, Completeness and Authorization Checks Data Input Error Handling Data Processing Integrity Data Processing Validation and Editing

6.10. Data Processing Error Handling 6.11. Output Handling and Retention 6.12. Output Distribution 6.13. Output Balancing and Reconciliation 6.14. Output Review and Error Handling 6.15. Security Provision for Output Reports 6.16. Protection of Sensitive Information During Transmission and Transport 6.17. Protection of Disposed Sensitive Information 6.18. Storage Management 6.19. Retention Periods and Storage Terms 6.20. Media Library Management System 6.21. Media Library Management Responsibilities 6.22. Back-up and Restoration 8

6.23. Back-up Jobs 6.24. Back-up Storage 6.25. Archiving 6.26. Protection of Sensitive Messages 6.27. Authentication and Integrity 6.28. Electronic Transaction Integrity 6.29. Continued Integrity of Stored Data 7. Monitor the processes 7.1. 7.2. 7.3. 7.4. 8.1. 8.2. 8.3. 8.4. 8.5. 9.1. 9.2. 9.3. Collecting Monitoring Data Assessing Performance Assessing Customer Satisfaction Management Reporting Technological Infrastructure Planning Monitor Future Trends and Regulations Technological Infrastructure Contingency Hardware and Software Acquisition Plans Technology Standards Annual IT Operating Budget Cost and Benefit Monitoring Cost and Benefit Justification

8. Determine the technological direction

9. Manage the IT investment

10.

Identify solutions

10.1. Definition of Information Requirements 10.2. Formulation of Alternative Courses of Action 10.3. Formulation of Acquisition Strategy 10.4. Third-Party Service Requirements 10.5. Technological Feasibility Study 10.6. Economic Feasibility Study 9

10.7. Information Architecture 10.8. Risk Analysis Report 10.9. Cost-Effective Security Controls 10.10. 10.11. 10.12. 10.13. 10.14. 10.15. 10.16. 10.17. 10.18. 11. Audit Trails Design Ergonomics Selection of System Software Procurement Control Software Product Acquisition Third-Party Software Maintenance Contract Application Programming Acceptance of Facilities Acceptance of Technology

Acquire and maintain applications and software

11.1. Design Methods 11.2. Major Changes to Existing Systems 11.3. Design Approval 11.4. File Requirements Definition and Documentation 11.5. Program Specifications 11.6. Source Data Collection Design 11.7. Input Requirements Definition and Documentation 11.8. Definition of Interfaces 11.9. User-Machine Interface 11.10. 11.11. 11.12. 11.13. 11.14. 11.15. 11.16. 11.17. 12. Processing Requirements Definition and Documentation Output Requirements Definition and Documentation Controllability Availability as a Key Design Factor IT Integrity Provisions in Application Program Software Application Software Testing User Reference and Support Materials Reassessment of System Design

Install and accredit systems 10

12.1. Training 12.2. Application Software Performance Sizing 12.3. Implementation Plan 12.4. System Conversion 12.5. Data Conversion 12.6. Testing Strategies and Plans 12.7. Testing of Changes 12.8. Parallel/Pilot Testing Criteria and Performance 12.9. Final Acceptance Test 12.10. 12.11. 12.12. 12.13. 12.14. 13. Security Testing and Accreditation Operational Test Promotion to Production Evaluation of Meeting User Requirements Managements Post-Implementation Review

Define service levels

13.1. Service Level Agreement Framework 13.2. Aspects of Service Level Agreements 13.3. Performance Procedures 13.4. Monitoring and Reporting 13.5. Review of Service Level Agreements and Contracts 13.6. Chargeable Items 13.7. Service Improvement Program 14. Ensure continuous service 14.1. IT Continuity Framework 14.2. IT Continuity Plan Strategy and Philosophy 14.3. IT Continuity Plan Contents 14.4. Minimizing IT Continuity Requirements 14.5. Maintaining the IT Continuity Plan 14.6. Testing the IT Continuity Plan 14.7. IT Continuity Plan Training 14.8. IT Continuity Plan Distribution 11

14.9. User Department Alternative Processing Back-up Procedures 14.10. 14.11. 14.12. 14.13. 15. Critical IT Resources Back-up Site and Hardware Off-site Back-up Storage Wrap-up Procedures

Manage problems and incidents

15.1. Problem Management System 15.2. Problem Escalation 15.3. Problem Tracking and Audit Trail 15.4. Emergency and Temporary Access Authorizations 15.5. Emergency Processing Priorities

HASIL-HASIL AUDIT

Hasil utama dari proses audit teknologi informasi adalah berupa laporan yang terdiri atas: 1. Skala kematangan TI / IT Maturity Level (skala 0 5), yang dilengkapi dengan laporan detail untuk setiap domain. 2. Analisa kematangan TI terkait dengan Critical Success Factor, Key Goal Indicator dan Key Performance Indicator untuk setiap domain. 3. Analisa resiko tingkat kematangan teknologi informasi.

METODOLOGI AUDIT

Cobit menyediakan metode dan prosedur untuk melakukan proses audit dalam bentuk Cobit Framework. Berdasarkan framework yang

12

telah tersedia, metodologi yang digunakan untuk melakukan audit adalah sebagai berikut: 1. Assessment dilakukan terhadap berbagai sumberdaya TI seperti manusia, sistem aplikasi, teknologi, fasilitas dan data. 2. Material assessment, termasuk dalam hal ini adalah daftar pertanyaan berdasarkan standar dan struktur Cobit. Materi assessment terdiri atas 4 domain: Planning & Organization (PO), Acquisition & Implementation (AI), Delivery & Support (DS) dan Monitoring (M). 3. Audit akan didasarkan berdasarkan fakta-fakta yang ada. Berdasarkan melakukan Selama proses fakta-fakta analisa audit, yang ditemukan, dan tim konsultan dari tingkat tim efektivitas efisiensi

manajemen teknologi informasi. konsultan juga akan melakukan pertemuan dan wawancara dengan pihak-pihak terkait seperti manajemen, pengguna dan personel TI lainnya.

JADWAL AUDIT

Proses audit akan memakan waktu berkisat 45 sampai dengan 50 hari (tidak termasuk hari libur dan hari minggu). Detail dari penjadwalan adalah sebagai berikut:
1. Audit preparation & socialization: 10 days 2. Assessment:

25 days 9 days 5 days 1 day 50 workdays 13

3. Confirmation & refinement: 4. Analysis: TOTAL: 5. Final presentation on analysis:

Tim konsultan meminta waktu 10 hari cadangan untuk mengantisipasi adanya potensi permsalahan teknis yang mungkin muncul selama proses analisa.

SUMBERDAYA

Dari sisi tim konsultan, kami akan menyediakan tim yang kompeten dalam hal Manajemen Teknologi Informasi, Cobit Framework dan Analis Bisnis Proses.
Assignment Main responsibility Tentative proposed names

Lead Consultant/ Partner

Memimpin tim audit untuk semua aspek konsolidasi internal dan persiapan, proses audit sampai dengan laporan final. Bertugas untuk mengeksekusi dan menjamin bahwa proses dan prosedur audit dilakukan dengan cara standar. Tugas dari Consultant/Auditor adalah mempesiapkan materi detail, eksekusi dan operasi audit dengan pihak-pihak terkait. Sampai pada fase akhir, Consultant/Auditor

Dr. Ir. Munawar Ahmad

Consultant/ Auditor

Dedy Syafwan, ST. MT Dudy Rudianto, ST, MKom Andhie L Adam, ST Rofiq Yuliardi, ST Yehezql, SKom

14

melakukan konsolidasi hasil keseluruhan dan analisa Audit Documenter data yang ada. Bertugas untuk melakukan dokumentasi terhadap keseluruhan proses audit. Dari sisi client, kami mengharapkan: Tempat yang representatif untuk digunakan oleh tim konsultan ( 3 orang) selama proses audit dan observasi. Personel yang terkait dengan proses wawancara. Personnel In-Charge yang bertugas untuk memandu tim konsultan dalam melakukan proses audit sistem/teknologi/data dari organisasi bersangkutan. Samsudin BT, ST

------ o o -------

15