net/publication/272747246
CITATIONS READS
10 9,320
2 authors:
Some of the authors of this publication are also working on these related projects:
All content following this page was uploaded by Khabib Mustofa on 25 February 2015.
Naskah diterima: 03 Maret 2013, direvisi: 05 April 2013, disetujui: 24 Mei 2013
Abstrak
Dalam rangka menciptakan nilai tambah dan meminimalkan risiko Teknologi Informasi (TI)
dibutuhkan manajemen pengelolaan semua sumber daya TI yang efisien dan efektif, antara
lain melalui IT Governance (Tata Kelola TI). Berdasarkan tujuannya, audit Tata kelola TI
memiliki tujuan yang berbeda dengan tiga jenis audit berdasarkan UU No. 15 tahun 2004,
karena audit ini bertujuan khusus untuk memeriksa pengelolaan seluruh sumber daya TI
(termasuk di dalamnya manajemen organisasi dan pimpinan), apakah dapat mendukung dan
sejalan dengan strategi bisnis. Dibandingkan audit di sektor privat, audit di sektor publik dalam
hal ini di instansi pemerintah, memerlukan perhatian khusus, karena karakteristik manajemen
sektor publik berkaitan erat dengan kebijakan dan pertimbangan politik serta ketentuan
perundang-undangan. Penelitian ini mengusulkan sebuah metode audit tata kelola TI di
instansi pemerintah. Metode yang dihasilkan dapat dijadikan sebagai salah satu acuan auditor
pemerintah dalam mengevaluasi risiko yang terkait dengan Tata Kelola TI di instansi
pemerintah.
Abstract
In order to create added value and minimize Information Technology (TI) risk, it requires
supervision management of all IT resources efficiently and effectively, for example through IT
Governance (IT Governance). By design, IT governance audit has different goals with three
types of audits in accordance with Law no. 15 of 2004, because the aim of audit is specifically
to examine the management of all IT resources (including management and leadership
organizational) whether they can support and align with business strategies. Compared with
private sector audit, public sector audit in government agencies, need a special attention, due
to the characteristics of public sector management is closely related to policy and political
considerations, and the provisions of legislation. This study proposes an audit method of IT
governance in government agencies. The result of this study can be used as a reference by
government auditors in evaluating the risks associated with IT Governance in government
agencies.
|1
IPTEK-KOM, Vol. 15 No. 1 Juni 2013: 1-15 ISSN 1410 - 3346
2|
Metode Audit Tata Kelola Teknologi Informasi di Instansi Pemerintah Indonesia
(Herri Setiawan dan Khabib Mustofa)
menjelaskan pengkajian ulang proses dan untuk meningkatkan pengelolaan tersebut
evaluasi pengendalian internal dalam sebuah diperlukan audit pada sektor publik. Secara
sistem pemrosesan data elektronik. Semen- umum tidak ada perbedaan mendasar antara
tara audit IT Governance mencakup lingkup audit sektor publik dan privat. Namun diperlu-
yang lebih luas, bertujuan untuk memeriksa kan perhatian khusus, karena karakteristik
apakah tata kelola sumber daya TI (termasuk manajemen sektor publik berkaitan erat
di dalamnya manajemen organisasi dan pim- dengan kebijakan dan pertimbangan politik
pinan) dapat mendukung dan sejalan dengan serta ketentuan perundang-undangan.
strategi bisnis. Berdasarkan UU No. 15 tahun 2004
Auditor TI bertanggung jawab atas terdapat tiga jenis audit menurut tujuan
penilaian efisiensi tata kelola TI dengan pelaksanaan audit, yaitu: audit keuangan,
tingkatan prosedur dalam pelaksanaannya. audit kinerja dan audit dengan tujuan
Auditor TI (dari dalam organisasi atau tertentu.
independen) dapat melakukan sejumlah peran Audit keuangan adalah untuk menentukan
kunci dalam Gary Hardy, “The Role of the IT apakah informasi keuangan telah akurat
Auditor in IT Governance” 1 (2009): 1–2. : dan dapat diandalkan (sesuai Standar
memulai program tata kelola TI: menjelas- Akuntansi Pemerintahan/SAP), serta untuk
kan tata kelola TI dan nilainya pada mana- memberikan opini kewajaran atas penya-
jemen jian laporan keuangan.
menilai kondisi saat ini: memberikan Audit kinerja adalah pemeriksaan atas
masukan dan membantu memberikan pengelolaan keuangan negara yang terdiri
penilaian kondisi yang sebenarnya atas pemeriksaan aspek ekonomi dan
merencanakan solusi tata kelola TI efisiensi serta pemeriksaan aspek efek-
memantau inisiatif tata kelola TI tivitas. Dalam melakukan audit kinerja,
membantu membuat bisnis tata kelola TI, auditor juga menguji kepatuhan terhadap
seperti : memberikan input objektif dan ketentuan perundang-undangan serta
konstruktif, mendorong penilaian diri, dan pengendalian intern. Audit kinerja meng-
memberikan keyakinan kepada manajemen hasilkan temuan, simpulan, dan rekomen-
bahwa tata kelola bekerja secara efektif. dasi. Menentukan: keandalan informasi
Karakteristik audit mencakup tiga ciri dasar kinerja, tingkat ketaatan, pemenuhan stan-
sebagai berikut (Pusat Pendidikan Dan Pelatih- dar mutu operasi, efisiensi, ekonomis, dan
an Pengawasan Badan Pengawasan Keuangan efektivitas.
dan Pembangunan, 2009): Audit dengan tujuan tertentu adalah
Auditing merupakan suatu proses pemeriksaan yang tidak termasuk dalam
penilaian. pemeriksaan keuangan dan pemeriksaan
Penilaian tersebut dilakukan terhadap kinerja/audit operasional. Sesuai dengan
informasi, kondisi, operasi, dan/atau definisinya, jenis audit ini dapat berupa
pengendalian. semua jenis audit, selain audit keuangan
Penilaian harus dilakukan secara objektif dan audit operasional. Jenis audit ini
oleh pihak yang kompeten dan termasuk di antaranya audit ketaatan dan
independen. audit investigatif. Audit ketaatan bertujuan
Organisasi sektor publik dalam hal ini untuk menentukan apakah peraturan eks-
pemerintahan, mendapatkan amanah dan tern serta kebijakan dan prosedur intern
kepercayaan dari masyarakat untuk meng- telah dipenuhi. Audit investigatif bertujuan
gunakan sumber daya publik. Oleh karenanya, untuk menentukan apakah kecurangan/
dituntut pengelolaan sumber daya tersebut penyimpangan benar terjadi.
secara akuntabel dan transparan. Selanjutnya Di dalamnya, belum diatur secara
|3
IPTEK-KOM, Vol. 15 No. 1 Juni 2013: 1-15 ISSN 1410 - 3346
khusus mengenai audit yang difokuskan pada but mendukung strategi dan tujuan organisasi
manajemen kinerja dan risiko dalam sistem IT Governance Institute, Board Briefing on IT
pengelolaan Teknologi Informasi (TI) di instan- Governance, 2nd ed., 2003, www.itgi.org..
si pemerintah. Kemudian untuk menunjang Van Grembergen (2002) memberikan
hal tersebut, diperlukan metodologi audit definisi IT Governance sebagai berikut: IT
yang tujuannya berbeda dengan metode pada Governance is the organisational capacity
audit keuangan, audit kinerja dan audit exercised by the Board, executive mana-
dengan tujuan tertentu. gement and IT management to control the
Dikarenakan audit memegang peranan formulation and implementation of IT strategy
penting sebagai salah satu bentuk pengawas- and in this way ensure the fusion of business
an pada instansi pemerintah, maka perlu di- and IT.
pertimbangkan agar pemerintah Indonesia Weill & Ross (2004) mendefinisikan “IT
membuat pedoman audit yang memiliki Governance is defined as specifying the
tujuan khusus dalam pemeriksaan tata kelola decision rights and accountability model to
TI di instansi pemerintah. Tujuannya adalah encourage desirable behavior in IT usage”.
melakukan penilaian atas tata kelola TI dengan IT Governance Institute (2007) men-
tingkatan prosedur dalam pelaksanaannya, definisikan: “IT governance is the respon-
serta memberikan masukan dan solusi pada sibility of executives and the board of direc-
instansi pemerintah agar tata kelola TI bekerja tors, and consists of the leadership, organi-
secara efektif dan efisien. Untuk itulah diusul- sational structures and processes that ensure
kan sebuah metodologi audit tata kelola TI di that the enterprise’s IT sustains and extends
instansi pemerintah Indonesia, yang diharap- the organisation’s strategies and objectives”.
kan dapat memberikan manfaat dan dijadikan Proses tata kelola dalam sebuah orga-
sebagai pedoman dalam audit tata kelola TI. nisasi dapat terdiri dalam tiga kelompok,
IT Governance adalah sebuah konsep yaitu: (1) Enterprise Governance, (2). Corpo-
yang dikembangkan oleh IT Governance Insti- rate Governance, dan (3). IT Governance (Ins-
tute (ITGI) sebagai "bagian integral dari tata titute de la Gouvernance des Systems d’Infor-
kelola perusahaan, yang terdiri dari struktur mation, “The Place of IT Governance in the
organisasi dan kepemimpinan, serta proses Enterprise Governance” (2005) seperti tam-
yang memastikan bahwa organisasi TI terse- pak pada Gambar 1.
4|
Metode Audit Tata Kelola Teknologi Informasi di Instansi Pemerintah Indonesia
(Herri Setiawan dan Khabib Mustofa)
Enterprise Governance, digambarkan jawab atas layanan TI yang efektif dengan
sebagai "kumpulan tanggung jawab dan prak- menyediakan layanan dan produk TI.
tik-praktik yang dilakukan oleh dewan dan Sementara tata kelola TI jauh lebih luas dan
manajemen eksekutif dengan tujuan menye- berfokus dalam memenuhi tuntutan pelang-
diakan arah strategi, memastikan bahwa gan dan bisnis. Terdapat perbedaan dari
tujuan tercapai, memastikan bahwa risiko berbagai literatur lainnya dari definisi tata
telah dikelola dengan tepat dan memverifikasi kelola TI, namun tetap memiliki "benang
bahwa sumber daya perusahaan digunakan merah" yang sama yaitu penekanan bahwa TI
dengan bertanggung jawab "IT Governance harus mendukung tujuan organisasi.
Institute, Board Briefing on IT Governance.. Dalam praktiknya, tata kelola TI harus
Corporate Governance, didefinisikan mendukung kegiatan bisnis, memberikan nilai
sebagai salah satu elemen kunci dalam tambah komponen TI dan minimalisasi risiko
meningkatkan efisiensi, pertumbuhan eko- TI. Untuk mencapai tujuan tersebut fokus tata
nomi dan meningkatkan kepercayaan investor, kelola TI harus mencakup lima domain utama
dengan melibatkan hubungan antara mana- IT Governance Institute, Board Briefing on IT
jemen perusahaan, dewan, pemegang saham Governance. : 1). IT Strategic Alignment, 2). IT
dan stakeholders lainnya, serta menyediakan Value Delivery, 3). Risk Management, 4). IT
fondasi melalui tujuan perusahaan yang Resource Management, 5). Performance
ditetapkan, cara mencapai tujuan tersebut Measurement seperti terlihat pada Gambar 2.
dan memantau kinerja yang telah ditetapkan 1) IT Strategic Alignment
(Organisation For Economic Co-Operation And Domain tata kelola TI ini merupakan
Development, 2004). titik awal dalam merancang strategi TI
Van Grembergen (Haes & Grembergen, sesuai dengan strategi organisasi secara
2004) menyatakan bahwa manajemen TI tetap menyeluruh. Dengan demikian, dimulai
menjadi aktor utama dalam proses tata kelola dengan rencana strategis organisasi,
TI. Meskipun hubungan antara manajemen komite strategi TI harus sejalan dengan
dan tata kelola TI merupakan dua konsep yang tujuan bisnis organisasi. Secara khusus,
tetap berbeda. Manajemen TI bertanggung praktik tata kelola TI harus:
memastikan bahwa strategi TI sejalan kasi insiden risiko utama. Setelah diidenti-
dengan strategi bisnis fikasi, risiko harus diminimalkan dengan
memastikan bahwa strategi TI mem- menggunakan prosedur pengendalian dan
berikan peluang melalui pengukuran akhirnya risiko harus disesuaikan pada
yang jelas tingkat yang wajar.
mengalokasikan anggaran investasi TI Praktik tata kelola TI untuk manajemen
sesuai dengan tujuan bisnis risiko adalah:
memastikan bahwa keputusan inves- menganalisis dan menilai risiko TI
tasi teknologi selaras dengan tujuan memantau efisiensi pengendalian
bisnis. internal
menyediakan arah untuk menciptakan menerapkan kontrol yang diperlukan
keuntungan kompetitif yang paralel untuk meminimalkan risiko TI
dengan proses dimasukkan ke dalam prosedur untuk
mengarahkan strategi TI dengan meng- memastikan transparansi risiko yang
atasi tingkat dan alokasi investasi, diinginkan perusahaan
menyeimbangkan antara dukungan in- mempertimbangkan bahwa pendekat-
vestasi dan pertumbuhan perusahaan, an proaktif manajemen risiko dapat
dengan pembuat keputusan sumber menciptakan keunggulan kompetitif
daya TI mana yang harus difokuskan mendesak manajemen agar risiko di-
memastikan budaya keterbukaan dan masukkan dalam operasional peru-
kerja sama di antara bisnis, unit geo- sahaan
grafis dan fungsional perusahaan. memastikan bahwa manajemen telah
menempatkan proses, teknologi dan
2) IT Value Delivery jaminan untuk keamanan informasi
Tata kelola TI harus menargetkan kuali- dengan memastikan:
tas layanan TI yang tepat dengan meng- − transaksi bisnis dapat dipercaya
gabungkan sumber daya anggaran dan − layanan TI dapat digunakan, dapat
faktor waktu. menolak serangan dan pulih dari
Praktek tata kelola TI dalam domain ini kegagalan
adalah: − menyembunyikan informasi pen-
memastikan bahwa rencana TI berlang- ting dari mereka yang tidak me-
sung sesuai jadwal miliki hak akses
memastikan kelengkapan, kualitas dan
keamanan investasi TI 4) IT Resource Management
memantau investasi TI untuk pengem- Manajemen sumber daya berkaitan
balian investasi yang layak dengan manajemen sumber daya dan
memastikan manfaat layanan TI. organisasi infrastruktur TI dalam sebuah
perusahaan. Aspek penting dari domain ini
3) Risk Management adalah masalah manajemen proyek.
Risiko pada tingkat organisasi tidak Manajemen proyek TI harus benar-benar
dapat dihilangkan, melainkan akan tetap diatur sebagai proyek-proyek yang me-
ada sepanjang waktu, manajemen organi- miliki dampak besar terhadap posisi
sasi bertanggung jawab meminimalkan keuangan dan arah strategis organisasi.
risiko ke tingkat yang wajar. Manajemen Praktek tata kelola TI untuk penge-
risiko harus menjadi proses berkesinam- lolaan sumber daya adalah sebagai
bungan yang dimulai dengan menilai ting- berikut:
kat paparan organisasi dan mengidentifi-
6|
Metode Audit Tata Kelola Teknologi Informasi di Instansi Pemerintah Indonesia
(Herri Setiawan dan Khabib Mustofa)
mengalokasikan sumber daya TI sesuai Dapat dinyatakan bahwa fokus lima
dengan prioritas bisnis domain bidang tata kelola TI adalah faktor
melaksanakan pengendalian dengan fundamental dalam proses pengambilan kepu-
memadai yang memungkinkan identifi- tusan. Dan pada akhirnya tujuan tata kelola TI
kasi infrastruktur TI lebih terpenuhi adalah tercapainya keselarasan antara
mempertahankan investasi yang layak investasi TI dengan tujuan bisnis, menjamin
dalam pengembangan staf, pengem- penggunaan sumber daya TI yang bertang-
bangan pendidikan dan pelatihan gung jawab, dan meyakinkan bahwa TI berada
operasional TI dalam batas-batas anggaran dan rencana
strategis TI yang disetujui.
5) Performance Measurement Berbagai pendapat para ahli telah
Pengukuran kinerja berkaitan dengan mendefinisikan istilah “audit”. Salah satunya
penentuan apakah sistem TI telah men- menurut Arens et al (2006) mendefinisikan:
capai tujuan yang ditetapkan oleh dewan Auditing is the accumulation and evaluation of
dan manajemen senior. Untuk pengukuran evidence about information to determine and
kinerja TI, praktik tata kelola TI harus: report on the degree of correspondence
bersama-sama manajemen menentu- between the information and established
kan dan memantau langkah-langkah criteria. Auditing should be done by a
untuk memastikan bahwa tujuan competent, independent person. Definisi
tercapai tersebut dapat diartikan bahwa auditing
mengukur kinerja TI melalui metrik adalah proses pengumpulan dan pengevalu-
dan indikator yang memadai asian bahan bukti tentang informasi yang
Pelaksanaan kerangka kerja Tata Kelola TI dapat diukur mengenai suatu entitas ekonomi
apapun harus menyeimbangkan faktor untuk menentukan dan melaporkan kese-
internal maupun faktor eksternal yang suaian informasi dengan kriteria-kriteria yang
relevan, seperti: dimaksud. Auditing seharusnya dilakukan oleh
orang yang berkompeten dan independen.
fakta perkembangan teknologi: per-
Menurut Kutsikos (2007), dalam audit
kembangan TI yang cepat mensyarat-
diperlukan kerangka kerja yang menyediakan
kan bahwa keputusan terkait dengan TI
standar sebagai sumber perencanaan audit.
dilakukan secara tepat waktu, dengan
Melalui analisis best practice dalam bidang TI
pemahaman penuh risiko terkait
(seperti ITIL, COBIT, ISO27001), diusulkan
dengan tantangan TI.
metode pelaksanaan audit TI berdasarkan
pengawasan fiskal: bahwa proyek TI
langkah-langkah sebagai berikut (Amancei and
memerlukan belanja mahal yang ka-
Surcel, 2010): 1). toleransi organisasi terhadap
dang-kadang menyebabkan keraguan
ketersediaan sistem TI, 2). identifikasi area
dan akuntabilitas penurunan sumber
dan subarea yang akan diaudit, 3). faktor
daya keuangan.
risiko dan bobot yang terkait, 4). tingkat, total
inovasi dan kontrol atas TI: dalam
skor dan peringkat risiko yang signifikan, 5).
kasus di mana inovasi (baru proyek TI)
melakukan prosedur audit berdasarkan
didukung oleh TI, mungkin berten-
kuesioner dan pengujian, 6). penilaian terha-
tangan dengan kontrol atas lingkungan
dap sisa risiko gabungan.
TI.
Tujuan dari pedoman IT Governance
up to date infrastruktur: infrastruktur
adalah memberikan informasi bagaimana SI
teknologi menjadi ketinggalan zaman
auditor harus melakukan pendekatan audit IT
dari waktu ke waktu. Menjaga agar
Governance. Mencakup posisi auditor TI yang
tetap up to date adalah suatu keha-
tepat di dalam organisasi, hal yang perlu
rusan bagi setiap departemen
|7
IPTEK-KOM, Vol. 15 No. 1 Juni 2013: 1-15 ISSN 1410 - 3346
8|
Metode Audit Tata Kelola Teknologi Informasi di Instansi Pemerintah Indonesia
(Herri Setiawan dan Khabib Mustofa)
Pengawasan pada Lembaga Pemerintah Non Perencanaan
Departemen (LPND) dan Lembaga Negara, Auditor TI harus memiliki informasi
Badan Pengawasan Daerah (Bawasda) atau tentang struktur dan tanggung jawab masing-
Inspektorat Provinsi dan Kabupaten/Kota. masing bagian tata kelola TI, mengidentifikasi
Dari berbagai pemahaman atas dan memiliki pemahaman umum atas proses
tinjauan pustaka mengenai IT Governance dan tata kelola TI yang berjalan dan informasi
audit, dapat disimpulkan bahwa Audit IT rencana strategi sistem informasi.
Governance adalah suatu bagian dari tata Tujuan audit Tata Kelola TI harus
kelola organisasi (atau instansi pemerintah) difokuskan pada penilaian tingkat keselarasan
yang berfokus pada manajemen kinerja dan dan integrasi strategi TI dengan strategi bisnis,
risiko dalam sistem Teknologi Informasi (TI). penilaian terhadap output komponen TI dan
Sedangkan berdasar tujuannya, audit tata nilai tambah yang disediakan organisasi.
kelola TI belum diatur secara khusus di Ruang lingkup audit harus mencakup
instansi pemerintah Indonesia. proses-proses audit yang relevan untuk
perencanaan, pengorganisasian dan proses
METODE pemantauan aktivitas TI. Tim Auditor TI harus
Penelitian ini memiliki tujuan untuk memiliki keahlian dan kompetensi yang
mengusulkan metodologi audit tata kelola TI memadai.
di instansi pemerintah Indonesia. Metodologi
yang diusulkan ini berdasarkan kerangka teori Pelaksanaan
dari kajian literatur, perundang-undangan, IS Untuk mengumpulkan bukti yang
Auditing Standard IT Governance; Document paling relevan dan spesifik, auditor TI
S10, IS Auditing Guideline IT Governance; menganalisis dan menilai area kritis yang
Document G18, dan ISACA IT Standards, diidentifikasi dalam langkah perencanaan,
Guidelines, and Tools and Techniques for Audit berupa: Proses Perencanaan Strategis Bisnis;
and Assurance and Control Professionals. Proses Perencanaan Strategis TI; Manajemen
Berbeda dengan audit keuangan, audit Layanan TI; Manajemen Investasi TI; Mana-
kinerja dan audit dengan tujuan tertentu, ling- jemen Proyek TI; Manajemen Risiko TI; Proses
kup audit tata kelola TI tidak dapat dilakukan Pengukuran Kinerja TI, sesuai dengan standar
secara parsial, namun harus dilakukan secara dan aturan perundang-undangan yang
utuh dengan melibatkan semua bagian berlaku.
instansi yang menggunakan sumber daya TI.
Setiap langkah audit IT Governance yang Pelaporan
diusulkan berpedoman pada ruang lingkup Panduan audit tata kelola TI mereko-
best practices bidang IT Governance. mendasikan bahwa laporan audit harus men-
Selanjutnya, auditor yang melakukan cakup a). deskripsi prosedur kunci mana-
audit tata kelola TI dituliskan sebagai Auditor jemen tingkat atas dan dokumen pendukung
TI. Kerangka kerja dan langkah-langkah proses terkait telah dibentuk untuk menyediakan
audit TI yang diusulkan, meliputi: sistem pengelolaan TI yang efektif, b). infor-
masi utama tentang risiko yang tidak terken-
Praaudit dali, c). informasi pada setiap struktur kontrol
Auditor TI harus memastikan dengan yang tidak efektif dan tidak efisien, d). infor-
jelas lingkup dan tanggung jawab pekerjaan, masi tentang ketidakpatuhan apapun sesuai
termasuk definisi yang jelas tentang bidang kebijakan organisasi atau aturan perundang-
fungsional dan isu-isu yang akan dibahas, undangan, e). kesimpulan Auditor secara
serta kemudahan akan akses data dan menyeluruh tentang tata kelola TI sebagai-
informasi yang dibutuhkan. mana didefinisikan dalam referensi.
|9
IPTEK-KOM, Vol. 15 No. 1 Juni 2013: 1-15 ISSN 1410 - 3346
10 |
Metode Audit Tata Kelola Teknologi Informasi di Instansi Pemerintah Indonesia
(Herri Setiawan dan Khabib Mustofa)
− Mengidentifikasi biaya dan keputusan tentang struktur tata kelola TI, auditor TI harus
alokasi sumber daya TI untuk investasi, menganalisis entitas dokumen-dokumen yang
pengembangan proyek TI, dan pengen- relevan (ISACA, CISA Review Manual, 2008):
dalian yang diterapkan untuk mengu- − Strategi, rencana dan anggaran TI.
rangi risiko TI. Sebagai bukti perencanaan dan kontrol
− Pemantauan dan penilaian kinerja TI. manajemen untuk keselarasan strategi
Auditor TI harus melakukan beberapa bisnis.
prosedur khusus (untuk melakukan prose-dur − Dokumentasi kebijakan keamanan
ini metode yang digunakan dengan mengum- − Struktur Organisasi.
pulkan dokumentasi dan catatan resmi), Menggambarkan pembagian tugas dan
seperti: tanggung jawab dalam organisasi.
− Mengkaji struktur tata kelola TI. Auditor − Deskripsi Pekerjaan.
harus menganalisis struktur organisasi − Menentukan fungsi dan tanggung
sesuai kompetensi dan tanggung jawab jawab di seluruh bagian organisasi.
masing-masing. Berdasar deskripsi pekerjaan memberi-
− Mempelajari struktur organisasi dan kan indikasi dari tingkat pemisahan
manajemen staf TI. Auditor harus tugas dalam organisasi dan dapat
menganalisis ketidaksesuaian pemisah- membantu mengidentifikasi tugas yang
an fungsi kebijakan manajemen staf TI, mungkin bertentangan.
− Mengkaji strategi tata kelola organisasi − Laporan Komite Pengarah.
(rencana strategis organisasi) Laporan-laporan ini memberikan infor-
− Mempelajari strategi organisasi tata masi mengenai dokumentasi sistem
kelola TI (perencanaan TI, rencana proyek.
taktis subordinasi sesuai terhadap − Prosedur Operasional.
rencana strategis, dan anggaran TI). Prosedur ini menggambarkan tanggung
− Menganalisis dan menilai keselarasan jawab staf operasional.
dan integrasi antara: strategi TI, tujuan − Pengembangan dan prosedur perubah-
dan strategi organisasi. an sistem.
− Menilai kinerja struktur tata kelola TI. Setelah menganalisis dokumen-doku-
− Mengkaji infrastruktur TI. men, aktivitas Auditor TI harus melakukan
− Mengkaji rencana investasi TI, proyek wawancara kepada pimpinan institusi, staf dan
pengembangan TI, kebijakan outsour- pengguna TI yang dipilih. Dapat digunakan
cing. kuesioner untuk melakukan penilaian tata
− Mengkaji ketersediaan layanan TI. kelola TI. Auditor harus melakukan analisis
− Mengkaji metodologi penilaian risiko TI, dan peringkat risiko spesifik tata kelola TI
pemantauan risiko dan implementasi berdasarkan data yang dikumpulkan. Prosedur
kontrol penurunan risiko ini mendukung identifikasi wilayah kritis audit
− Mengkaji kebijakan keamanan untuk sistem yang akan diverifikasi dan diuji.
menjaga aset organisasi, rencana bisnis
selanjutnya, dan pemulihan setelah Pelaksanaan
bencana. Audit IT Governance dilakukan menye-
− Mengkaji indeks kinerja TI dihitung luruh di seluruh bagian instansi, dan tidak
berdasarkan entitas. dilakukan hanya spesifik berdasarkan objek
− Menilai risiko yang terkait tata kelola TI dan subjek lingkup tententu saja.
untuk mengidentifikasi area kritis. Atas dasar proses audit yang dilakukan
Untuk mendapatkan pemahaman umum sebelumnya, kemudian dilanjutkan dengan
pengujian kepatutan atas kebijakan, praktek
| 11
IPTEK-KOM, Vol. 15 No. 1 Juni 2013: 1-15 ISSN 1410 - 3346
manajemen dengan standar dan aturan yang kontrak untuk memastikan aspek
relevan di beberapa area materi penilaian lain dari manajemen layanan TI.
efisiensi struktur tata kelola TI. Proses o menilai proses prioritas dan
pengujian ini tidak harus lengkap tetapi tetap persetujuan investasi TI.
berfokus pada identifikasi area kritis dalam o menilai realisasi manfaat bisnis
langkah perencanaan. dari investasi TI.
Tindakan khusus yang harus dilakukan − Untuk penilaian manajemen proyek,
Auditor TI untuk setiap domain Audit Tata auditor harus mempertimbangkan:
kelola TI. o metodologi manajemen proyek
− Untuk penilaian proses perencanaan yang digunakan.
strategis TI, auditor TI harus memper- o kontrol manajemen proyek yang
timbangkan apakah: diterapkan.
o terdapat definisi yang jelas tentang visi o metodologi pengembangan apli-
dan misi TI, kasi.
o terdapat informasi strategis metodo- o pengelolaan infrastruktur TI dan
logi perencanaan teknologi, manajemen perubahan.
o metodologi berkorelasi antara tujuan o kegiatan TI termasuk pengem-
bisnis dan tujuan bisnis TI, proses bangan aplikasi dan pemeliharaan
perencanaan diperbarui secara prasarana dukungan yang telah
periodik (minimal sekali per tahun), dikerjakan oleh pihak luar.
o rencana tersebut mengidentifikasi − Untuk penilaian manajemen risiko TI,
kegiatan utama TI dan sumber daya auditor harus memverifikasi:
yang dibutuhkan o proses penilaian kelemahan dan
− Untuk penilaian manajemen organisasi ancaman TI.
TI, auditor harus: o metode penilaian risiko TI.
o memverifikasi struktur organisasi TI o prosedur pelaporan insiden ke-
untuk menjamin rantai perintah dan amanan.
tanggung jawab operasional organisasi o perencanan bisnis berkelanjutan
TI dan untuk menjamin pemisahan (diuji dan diperbaharui tepat
kompetensi yang tidak kompatibel. waktu)
o memverifikasi jika pemberhentian − Untuk penilaian proses kinerja TI,
pekerja sesuai dengan prosedur yang auditor harus memverifikasi:
dipahami dan jelas. o indeks kinerja TI yang memadai.
o memverifikasi kebijakan pelatihan staf o indeks manajemen kinerja TI.
TI. o proses pemantauan kinerja TI.
− Untuk proses penilaian delivery TI dan
proses perencanaan investasi TI, Pelaporan
auditor harus: Auditor TI harus memberikan laporan
o memverifikasi dan menilai manaje- audit sesuai bentuk yang diinginkan pengguna
men layanan yang diberikan pihak jasa dengan mempertimbangkan dan mendis-
ketiga. kusikan laporan tersebut sebelum diinformasi-
o menilai manajemen Service Level kan secara terbuka.
Agreement (SLA), dan memeriksa Dalam pembuatan laporan, Audit Tata
seberapa baik pengetahuan fungsi kelola TI menghasilkan bentuk laporan yang
help desk yang dikelola. standar (seperti laporan Audit Keuangan), dan
o memeriksa dan meninjau semua laporan yang struktur dan isi laporan
laporan SLA, dan memeriksa bervariasi (seperti laporan Audit Kinerja).
12 |
Metode Audit Tata Kelola Teknologi Informasi di Instansi Pemerintah Indonesia
(Herri Setiawan dan Khabib Mustofa)
Laporan yang disepakati harus dalam − Dampak yang seharusnya dapat
bentuk prosedur dan temuan. Laporan terse- mengakibatkan kegagalan tindakan
but harus mengandung unsur-unsur sebagai perbaikan.
berikut : − Tingkat usaha dan biaya yang diperlu-
− Independen. kan untuk memperbaiki masalah yang
− Identifikasi pihak yang ditetapkan. dilaporkan.
− Identifikasi pokok permasalahan dan − Kompleksitas dari tindakan perbaikan.
jenis keterlibatan. − Jangka waktu yang dibutuhkan.
− Identifikasi pihak yang bertanggung
jawab. PENUTUP
− Pernyataan bahwa materi pelajaran Pertama, penerapan metodologi audit
merupakan tanggung jawab dari pihak Tata Kelola TI yang diusulkan dapat digunakan
yang bertanggung jawab. sebagai bagian dari Audit Kinerja sesuai UU
− Pernyataan bahwa prosedur yang dila- No. 15 tahun 2004.
kukan disepakati oleh para pihak ter- Kedua, metode yang akan digunakan
tentu yang diidentifikasi dalam auditor dalam audit tata kelola TI dapat
laporan. dikembang-kan sesuai kebutuhan, berdasar
− Sebuah pernyataan bahwa daftar pada best practices pada bidang ini seperti
prosedur yang dilakukan (atau COSO, COBIT, ITIL, IT Security, National
referensi tambahan) dan temuan Institute of Standards and Technology (NIST),
terkait kelengkapan prosedur dan British Standard Institution (BSI) Baselines,
sanggahan adalah tanggung jawab ISO/IEC 27002, ISO/IEC 385000, dan lain-lain.
pihak tertentu atas kecukupan Ketiga, tidak dapat dipungkiri bahwa
prosedur tersebut. Teknologi Informasi merupakan bagian dari
Instansi pemerintah sebagai lembaga keberhasilan pengelolaan instansi pemerintah,
publik, sudah selayaknya mempublikasikan karenanya penilaian atas ketercapaian efekti-
laporan audit yang dihasilkan kepada masya- fitas dan efisiensi tata kelola TI yang ada harus
rakat, sebagai sarana mengoptimalkan dilakukan, pemerintah disaran-kan untuk
pengawasan publik terhadap penyelenggaraan mengeluarkan pedoman audit resmi yang
negara dan segala sesuatu yang berakibat memiliki tujuan khusus dalam tata kelola TI.
pada kepentingan publik.
14 |
Metode Audit Tata Kelola Teknologi Informasi di Instansi Pemerintah Indonesia
(Herri Setiawan dan Khabib Mustofa)
IT Governance Institute. Board Briefing on IT ITIL. An Introductory Overview of ITIL ® V3. Edited
Governance. 2nd ed. IT Governance Institute, by Alison Cartlidge and Mark Lillycrop. 1st ed.
2003. www.itgi.org. Wokinghom, UK: itSMF Ltd, 2007.
———. IS0/IEC 38500-2008 Adoption. Illinois, OXLEY. Sarbanes-Oxley Act Of 2002. Washington,
2008. www.itgi.org. 2002. http://www.sec.gov.
| 15