Anda di halaman 1dari 11

UJIAN TENGAH SEMESTER IS7172 KONTROL DAN AUDIT SISTEM INFORMASI

TATA KELOLA TEKNOLOGI INFORMASI

Oleh
SARI ARMIATI NIM : 23505040

JALUR SISTEM INFORMASI PROGRAM STUDI MAGISTER INFORMATIKA SEKOLAH TEKNIK ELEKTRO DAN INFORMATIKA INSTITUT TEKNOLOGI BANDUNG 2006

Tata Kelola Teknologi Informasi


1a. Uraian IT Governance
Hal penting yang menjamin kesuksesan suatu organisasi adalah manajemen informasi dan teknologi yang terkait (IT) secara efektif. Untuk kebanyakan organisasi, informasi dan teknologi tersebut merupakan aset yang paling berharga. Suatu organisasi sangat berharap banyak terhadap fungsi-fungsi IT sebagai: peningkatan kualitas, fungsionalitas dan kemudahan penggunaan; pengurangan waktu kirim; dan peningkatan layanan secara terus menerus. Semua itu dilakukan dengan menggunakan biaya yang sesedikit mungkin. Banyak organisasi menyadari begitu banyak keuntungannya jika memanfaatkan teknologi. Organisasi yang sukses akan memahami dan menangani resiko-resiko yang muncul ketika mengimplementasikan teknologi baru. Penanganan resiko yang berhubungan dengan IT tersebut sekarang mulai dipahami sebagai bagian kunci dari enterprise governance. Dalam enterprise governance, IT governance menjadi lebih menonjol, dan didefinisikan sebagai suatu struktur dari relasi dan proses-proses untuk mengarahkan dan mengendalikan perusahaan untuk mencapai tujuan dengan meningkatkan nilai sambil menyeimbangkan resiko. Organisasi harus memenuhi kualitas dan keamanan dari informasi yang mereka miliki, sebagaimana halnya aset-aset yang lainnya. Manajemen juga harus mengoptimalkan penggunaan sumber daya, termasuk data, sistem aplikasi, teknologi, fasilitas dan SDM. Untuk melaksanakan tanggung jawab ini, seperti halnya mencapai tujuan, manajemen harus memahami status dari sistem IT mereka sendiri dan memutuskan keamanan dan kendali seperti apa yang harus mereka sediakan. Peranan IT governance tidaklah diragukan lagi dalam pencapaian tujuan suatu organisasi yang mengadopsi TI. IT Governance yang pada intinya adalah bagaimana mengelola penggunaan TI agar menghasilkan output yang maksimal dalam organisasi, membantu proses pengambilan keputusan dan membantu proses pemecahan masalah juga harus dilakukan. Prinsip-prinsip IT Governance harus dilakukan secara terintegrasi, sebagaimana fungsifungsi manajemen dilaksanakan secara sistemik dilaksanakan pada sebuah organisasi. Weill dan Ross (2004:2) mendefenisikan IT Governance sebagai keputusan-keputusan yang diambil, yang memastikan adanya alokasi penggunaan TI dalam strategi-strategi

organisasi yang bersangkutan. IT Governance merefleksikan adanya penerapan prinsipprinsip organisasi dengan memfokuskan pada kegiatan manajemen dan penggunaan TI untuk pencapaian organisasi. Dengan demikian, IT governance pada intinya mencakup pembuatan keputusan, akuntabilitas pelaksanaan kegiatan penggunaan TI, siapa yang mengambil keputusan, dan mengelola proses pembuatan dan pengimplementasian keputusan-keputusan yang berkaitan dengan TI. Suatu IT governance yang efektif berarti penggunaan TI pada organisasi tersebut mampu meningkatkan dan mensinergiskan antara penggunaan TI dengan visi, misi, tujuan dan nilai organisasi yang bersangkutan. Menurut Weill&Ross (204:10), suatu IT Governance yang efektif adalah yang mampu menjawab tiga pertanyaan berikut, yakni: 1. Keputusan-keputusan apa yang harus diambil untuk memastikan terlaksananya efektif manajemen dan efektif penggunaan TI?; 2. Siapa yang harus membuat keputusan-keputusan berkaitan dengan penggunaan TI? 3. Bagaimana keputusankeputusan ini dibuat dan dimonitor? Dari pertanyaan-pertanyaan diatas, dapat simpulkan, bahwa pengukuran kinerja IT

Governance yang baik adalah dengan menghitung prosentase jumlah manajer yang dapat dengan akurat menjelaskan tentang pelaksanaan IT Governance di organisasi yang bersangkutan. Enterprise governance yang efektif berkonsentrasi pada keahlian dan pengalaman individu dan kelompok, yang mana akan menjadi sesuatu yang paling produktif, mengawasi dan mengukur kinerja dan jaminan yang ditawarkan terhadap masalahmasalah kritis. IT governance menawarkan struktur yang menghubungkan proses-proses IT, sumber daya IT, dan informasi terhadap strategi dan tujuan perusahaan. IT governance merupakan kunci kesuksesan enterprise governance dengan menjamin peningkatan pengukuran yang efisien dan efektif dalam melaksanakan proses-proses. IT governance memungkinkan perusahaan untuk mengambil semua keuntungan dari informasinya, dengan demikian akan meningkatkan keuntungan, kesempatan dan mendapatkan keuntungan dalam persaingan.

Enterprise governance mengendalikan dan menentukan IT governance. Aktifitasaktifitas perusahaan memerlukan informasi dari aktifitas-aktifitas IT dalam mencapai tujuan bisnisnya.

Perusahaan diperintah dengan cara mempelajari aktifitas-aktifitas dari proses yang telah lalu, untuk memastikan bahwa perusahaan tersebut dapat mencapai tujuannya. Dari tujuan ini mengalir arahan organisasi yang memanfaatkan sumber daya perusahaan.

IT juga diperintah dengan cara yang sama, untuk memastikan bahwa informasi dan teknologi yang berhubungan dengan perusahaan tersebut mendukung tujuan bisnisnya. Sumber dayanya digunakan untuk memberikan jaminan dan resikonya ditangani dengan tepat. Kegiatan yang berdasarkan pada arahan dasar dari aktifitas IT, yang bisa dikarakteristikkan untuk tujuan menangani resiko dan meningkatkan keuntungan.

Untuk memastikan bahwa manajemen mencapai tujuan bisnisnya, harus diarahkan dan ditangani aktifitas IT untuk mencapai keseimbangan yang efektif dari resiko dan meningkatkan keuntungan. Untuk mencapainya, manajemen harus mengidentifikasi aktifitas yang paling penting untuk dilakukan, mengukur perkembangan aktifitas dalam mencapai tujuan, dan menentukan sebaik apa proses-proses IT dijalankan.

1b. Bentuk Governance dan Penerapannya dalam Organisasi


Menurut Weill & Ross (2004:13) digambarkan skema untuk membantu memahami, mendesain, mengkomunikasikan dan memelihara IT Governance yang efektif, yakni sebagai berikut:

Gambar Skema Pemahaman IT Governance Dari skema diatas, dapat fahami bahwa untuk mengerti, cara mendesain, melakukan proses komunikasi, dan menindaklanjuti IT Governance yang efektif adalah dengan : 1. Menetapkan dengan baik dan tepat strategi organisasi

2. Untuk menetapkan dengan baik dan tepat strategi organisasi, maka organisasi harus memperhatikan perilaku organisasi dan pengadopsian IT dalam organisasi tersebut. 3. Kemudian untuk menetapkan strategi organisasi dengan baik, juga diperlukan perhatian dan pengaturan yang baik terhadap 6 (enam) asset yang ada di organisasi tersebut, yakni: relationship asset, physical asset, Intelectual property asset, human relation asset, financial asset dan TI. Sedang bagaimanakah cara mengatur semua asset tersebut dalam IT Governance adalah dengan memperhatikan mekanisme dari IT governancenya, yakni keputusan-keputusan tentang IT nya. 4. Terakhir, untuk menciptakan strategi organisasi yang baik dalam kaitannya dengan penggunaan IT dalam organisasi, maka harus memperhatikan pula sasaran-sasaran pencapaian kerja tiap-tiap unit organisasi; yang sangat dipengaruhi oleh akuntabilitas pelaksanaan IT nya. Jadi, terdapat keterkaitan dan koordinasi yang sangat erat antara organisasi level pusat dan unit-unit dibawahnya; dan juga dengan asset-aset yang ada pada suatu organisasi

Control didefinisikan sebagai aturan, prosedur, kegiatan dan struktur organisasi yang dirancang untuk menyediakan jaminan yang masuk akal terhadap pencapaian tujuan bisnis dan mencegah atau memperbaiki kejadian-kejadian yang tidak diinginkan. IT Control Objectives didefinisikan sebagai suatu pernyataan akan pencapaian hasil atau tujuan yang diinginkan dengan mengimplementasikan prosedur-prosedur kendali dalam aktifitas IT tertentu. IT Governance didefinisikan sebagai suatu struktur keterhubungan dan proses-proses yang mengarahkan dan mengendalikan perusahaan untuk mencapai tujuan perusahaan dengan menambahkan nilai sambil menyeimbangkan resiko.

2a. COBIT FRAMEWORK


Control Objectives for Information and related Technology (COBIT adalah sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen and pengguna ( user ) untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis. COBIT dikembangkan oleh IT Governance Institute, yang merupakan bagian dari Information Systems Audit and Control Association (ISACA). COBIT memberikan arahan

( guidelines ) yang berorientasi pada bisnis, dan karena itu business process owners dan manajer, termasuk juga auditor dan user, diharapkan dapat memanfaatkan guideline ini dengan sebaik-baiknya. Kerangka kerja COBIT ini terdiri atas beberapa arahan ( guidelines ), yakni: Control Objectives: Terdiri atas 4 tujuan pengendalian tingkat-tinggi ( high-level control objectives ) yang tercermin dalam 4 domain, yaitu: planning & organization , acquisition & implementation , delivery & support , dan monitoring . Audit Guidelines: Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci ( detailed control objectives ) untuk membantu para auditor dalam memberikan management assurance dan/atau saran perbaikan. Management Guidelines: Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut: 1. Sejauh mana TI harus bergerak, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya. 2. Apa saja indikator untuk suatu kinerja yang bagus? 3. Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses ( critical success factors )? 4. Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan? 5. Bagaimana dengan perusahaan lainnya apa yang mereka lakukan? 6. Bagaimana mengukur keberhasilan dan bagaimana pula membandingkannya. The COBIT Framework memasukkan juga hal-hal berikut ini: 1. Maturity Models Untuk memetakan status maturity proses-proses TI (dalam skala 0 - 5) dibandingkan dengan the best in the class in the Industry dan juga International best practices 2. Critical Success Factors (CSFs) Arahan implementasi bagi manajemen agar dapat melakukan kontrol atas proses TI. 3. Key Goal Indicators (KGIs) Kinerja proses-proses TI sehubungan dengan business requirements 4. Key Performance Indicators (KPIs) Kinerja proses-proses TI sehubungan dengan process goals COBIT dikembangkan sebagai suatu generally applicable and accepted standard for good Information Technology (IT) security and control practices . Istilah generally

applicable and accepted digunakan secara eksplisit dalam pengertian yang sama seperti Generally Accepted Accounting Principles (GAAP). COBIT membantu manajemen dalam mencapai berbagai kebutuhan dengan

menjembatani antara resiko bisnis, kebutuhan kendali dan masalah-masalah teknis. Manajemen harus memastikan bahwa sistem kendali internal atau kerangka kerja berada pada posisi yang mendukung bisnis proses, memperjelas bagaimana masingmasing individu mengendalikan aktifitas yang memenuhi kebutuhan informasi dan mempengaruhi sumber daya IT. Singkatnya, COBIT merupakan suatu tool yang memungkinkan manajer untuk menjembatani celah untuk kebutuhan kendali, masalah-masalah teknis, dan resiko bisnis dan membicarakannya kepada para stakeholder. Kasus dengan organisasi Politeknik Pos Indonesia berdasarkan high level process domain planning and organizing ke 10 yaitu Pengelolaan Proyek.

PERENCANAAN AUDIT 1.1 Deskripsi Enterprise

Berawal dari suatu perusahaan yang bergerak dalam industri perposan maka PT. Pos Indonesia (Persero) mempunyai keinginan untuk memberikan kontribusi pada dunia pendidikan. Salah satu kontribusi untuk mewujudkan sumbangsih tersebut, ialah dengan mendirikan Yayasan Pendidikan Bhakti Pos Indonesia. Politeknik Pos Indonesia yang didirikan oleh Yayasan Pendidikan Bhakti Pos Indonesia pada tanggal 5 Juli 2001

berdasarkan Surat Keputusan Menteri Pendidikan Nasional Nomor 56/D/O/2001, mempunyai ijin pendirian pada jalur pendidikan Diploma III untuk Program Studi Manajemen Informatika, Teknik Informatika, Logistik Bisnis, Akuntansi dan Pemasaran. Politeknik Pos memiliki sub bagian organisasi yang bernama Lembaga Penelitian dan Pengabdian Masyarakat(LPPM), lembaga ini berfungsi menyalurkan atmosfir penelitian dan pengabdian masyarakat bagi para dosen, selain itu LPPM juga berfungsi sebagai jalur proyek yang diberikan stakeholder (misalnya PT Pos Indonesia) kepada Politeknik Pos Indonesia. LPPM beserta sumberdaya yang berkompeten dari lima jurusan membentuk tim proyek sesuai dengan karakteristik masing-masing proyek, namun semuanya berinduk kepada LPPM. 1.2. Review Potensial Identifikasi berdasarkan pelaksanaan pengelolaan proyek yang ditangani oleh Politeknik Pos Indonesia.

Tabel 1. COBIT MAPPING

Tabel 2. IT Governance Self Assesment Tahapan selanjutnya dari proses ini adalah penentuan batasan awal aktivitas untuk audit. 2. Aktivitas Audit Aktivitas audit akan diklasifikasikan berdasarkan kontrol objectives yang akan diperiksa (PO10). PO10Mengelola Proyek Indikator : Portfolio proyek Portfolio proyek TI terbaru Matriks skill IT Standar pembangunan Review setelah implementasi Wawancara : Kepala LPPM

10

Evaluasi kontrol yang ada dengan : 10.0 Manage Projects 10.1 Framework Program Manajemen 10.2 Framework Manajemen Proyek

Tidak ada framework dalam program proyek Tidak ada framework dalam manajemen proyek Keanggotaan dan tanggung jawab tiap anggota tim proyek dikomunikasikan di tahap awal proyek, terdapat tim ahli yang berpartisipasi dalam inisiasi proyek Dilakukan bersama-sama anggota tim yang berkedudukan dan berpengaruh dalam pengambilan keputusan Dilakukan bersama-sama anggota tim yang berkedudukan dan berpengaruh dalam pengambilan keputusan Fase hanya melalui rapat manajemen proyek, persetujuan diambil oleh tim manajemen proyek Master plan dibuat oleh tim manajemen proyek Belum ada mekanisme SQA Manajemen resiko secara formal ditangani oleh tim manajemen proyek Belum Ada Perencanaan perubahan proyek dibuat oleh tim manajemen proyek Perencanaan mekanisme training dibuat oleh tim manajemen proyek Belum ada

10.3 Pendekatan Manajemen Proyek

10.4 Komitmen stakeholder

10.5 Pernyataan Batasan Proyek 10.6 Fase Inisialisasi Proyek 10.7 Rencana Proyek Terintegrasi 10.8 Sumberdaya proyek 10.9 Manajemen Resiko 10.10 Rencana Kualitas 10.11 Pengendalian Perubahan Proyek 10.12 Metode Perencanaan Penjaminan Proyek 10.13 Penutupan Proyek

Pengelolaan proses proyek yang memenuhi kebutuhan bisnis akan IT dengan proyek yang dihasilkan dalam batasan waktu, biaya dan kualitas adalah : 1 Initial/Ad Hoc: Penggunaan teknik dan pendekatan manajemen proyek ditentukan oleh keputusan manager IT. Terdapat kegagalan komitmen antara pemilik proyek dan manajemen proyek. Keputusan yang penting atas manajemen proyek dibuat tanpa masukan dari customer dan user. Peran dan tanggungjawab manajemen proyek tidak didefinisikan. Proyek, jadwal dan milestone didefinisikan tapi sangat tidak jelas. Waktu dan biaya dari staf proyek tidak ditentukan dan tidak sesuai dengan budget.

11

Anda mungkin juga menyukai