2. Metodologi Audit SI/TI
Dalam melaksanakan audit TI diterapkan metodologi audit TI yang sesuai dengan metodologi yang diajukan oleh IT Assurance Guide: Using COBIT. Tetapi sebelum menentukan pilihan menggunakan COBIT sebagai kerangka kerja audit, dilakukan beberapa pertimbangan diantaranya yaitu dengan melakukan benchmarking antara kerangka kerja audit yang ada seperti Ron Weber [1], Queensland Audit Office dan Jack Champlain [3]. Semua kerangka audit tersebut dipetakan sehingga didapat sebuah kesimpulan bahwa kerangka COBIT adalah kerangka kerja audit yang paling lengkap. Kemudian penulis juga melakukan perbandingan antara COBIT dengan ITIL (Information Technology Infrastructure Library) [4] untuk mendapatkan gambaran yang lebih jelas dalam proses pada domain Delivery and Support.
Dalam melaksanakan tahapan audit, tidak semua langkah yang ada didalam panduan tersebut dilaksanakan semuanya, dengan alasan mengurangi pengulangan aktivitas, maka tetap berpegang pada aturan-aturan yang bersifat umum yang telah ditetapkan oleh IT Assurance Guide [5].
Pada dasarnya dalam metodologi audit/assurance, dilakukan metodologi pengumpulan data, yang meliputi:
i. Penelaahan dokumentasi kebijakan teknik maupun non-teknis yang menjadi dasar pengembangan Universitas XYZ.
ii. Observasi dan wawancara dengan pihak terkait, wawancara dilakukan dengan pihak terkait yaitu kepala pusat Unit Cybernet, kepala pusat
pengembangan sistem, staf Cybernet, Direktur Akademik, staf pengajar dan mahasiswa.
iii. Analisa basis data.
iv. Analisa jaringan.
Dalam melaksanakan evaluasi, dilakukan beberapa langkah, yaitu:
a. Penentuan Rencana Audit
Dalam penentuan rencana audit, terdapat langkah-langkah yang dilakukan, yaitu:
1. Memahami visi dan misi dari Universitas XYZ, sasaran, tujuan dan prosesnya.
2. Mengidentifikasi kebijakan, standar, pedoman serta prosedur dari Universitas XYZ.
3. Melakukan analisis resiko.
b. Menentukan lingkup audit dan tujuan audit
Dalam menentukan lingkup audit dan tujuan audit penulis melakukan hal-hal berikut:
1. Menentukan tujuan audit TI.
2. Melakukan pemilihan control objective yang akan digunakan untuk menguji keefektifan dari proses TI yang ada.
3. Mendokumentasikan arsitektur yang ada di Universitas XYZ.
4. Mendefinisikan proses-proses TI yang akan dikaji.
5. Mendefinisikan komponen TI yang ada di Universitas XYZ.
c. Melakukan kajian di universitas XYZ
Kajian akan dilakukan dengan menggunakan panduan yang ada dalam melakukan sebuah kajian teknologi informasi/IT assurance guide. Kajian ini meliputi detailed control objective yang disesuaikan dengan keadaan dari Universitas XYZ (berdasar pada high level control objective). Kajian akan dilakukan dengan pendekatan audit yang sudah dibuat. Setelah proses pengkajian selesai tahap berikutnya adalah mendokumentasikan temuan-temuan hasil audit.
d. Melakukan analisa hasil audit
Setelah kajian dilakukan, selanjutnya menganalisis temuan-temuan yang didapat. Diharapkan hasil dari tahap analisis ini mendapatkan suatu kesimpulan alasan terjadinya permasalahan serta solusi terhadap permasalahan tersebut.
Selasa, 06 Desember 2011
Rabu, 19 Oktober 2011
Audit Dengan Kerangka Kerja IT Assurance Guide
Pada bagian ini akan dipaparkan tentang penggunaan kerangka kerja IT Assurance yang digunakan dalam melakukan audit TI di Universitas XYZ. Sebelumnya akan dijelaskan alasan penggunaan control objective dari COBIT dibandingkan dengan yang lain seperti Ron Weber [1], QAO, dan Jack Champlain [3].
- 3.1. IT Assurance Guide dengan Menggunakan COBIT versi 4.1
Sebelum melakukan pemilihan kerangka kerja audit yang akan digunakan, terlebih dahulu dilakukan perbandingan kelengkapan kontrol yang ada pada masing-masing kerangka kerja audit. Perbandingan itu ditujukan untuk mendapatkan sebuah gambaran lengkap dari kontrol yang ada pada setiap kerangka kerja audit dengan cara memetakan setiap kontrol proses yang ada pada setiap kerangka kerja.
Pemetaan yang dilakukan adalah pemetaan antara COBIT, Ron Weber, QAO dan Champlain dan pemetaan antara COBIT dan ITIL. Dari kedua pemetaan tersebut terlihat jelas bahwa kerangka kerja audit yang diajukan oleh COBIT lebih lengkap dalam melihat proses-proses yang ada dalam manajemen TI. Walaupun memang dari setiap kerangka kerja terdapat keunggulan masing-masing.
Untuk ITIL sendiri berdasarkan pemetaan yang ada, proses yang memiliki banyak kesamaan dengan kerangka kerja COBIT adalah pada domain Delivery and Support. Hampir semua proses dalam domain ini dapat dipetakan dalam ITIL.
- 3.2. Profil Universitas XYZ
Untuk dapat menggambarkan Universitas XYZ secara menyeluruh dan objektif, dicoba untuk melihat dari dua sisi profil universitas, yaitu dari sisi profil umum dan profil TI.
- 3.3. Profil Umum Universitas XYZ
Universitas XYZ terbagi menjadi tiga lokasi kampus, di kota Jakarta. Dalam penyelenggaraan proses pendidikan, universitas ini membagi menjadi dua kategori program, yaitu program reguler dan program kelas karyawan. Untuk penyelenggaraan jenjang pendidikan S1 dan D3, terdapat 7 fakultas dan 21 program studi sedangkan untuk jenjang pendidikan S2 terdapat 4 program studi. Jumlah mahasiswa yang menuntut ilmu di Universitas XYZ sampai dengan tahun akademik 2007/2008 adalah sebanyak 11.000 mahasiswa (sumber: wawancara dengan direktur akademik,07). Dengan lebih dari 200 karyawan tetap dan karyawan kontrak, serta 130 lebih dosen tetap dan 170 lebih dosen tidak tetap, universitas XYZ termasuk universitas swasta terbesar di Jakarta. Untuk struktur organisasi Universitas XYZ dapat dilihat pada Gambar 1. Dari struktur organisasi tersebut terlihat bahwa sebenarnya unit TI
- Unit ini secara formal terpecah menjadi 2 bagian, yaitu bagian pengembangan sistem dan bagian Cybernet. Keduanya berada dibawah dua direktorat yang berbeda. Pusat Pengembangan Sistem berada dibawah direktorat Akademik, sedangkan untuk bagian Cybernet terdapat pada direktorat Keuangan dan Pengelolaan Aset.
- 3.4. Profil Teknologi Informasi di Universitas XYZ
Sifat penggunaan TI di Universitas XYZ masih berada dalam tahap pendukung atau support, karena apabila tidak ada dukungan TI pun, core bisnis dari Universitas ini masih dapat berjalan. Profil TI di Universitas XYZ bisa dikatakan pada taraf yang cukup, hal ini dapat dilihat dari pengukuran tingkat kematangan pemanfaatan TI sekitar 43%, yang juga dilakukan dengan kerangka kerja COBIT.
Seperti yang telah disebutkan sebelumnya bahwa di Universitas XYZ, secara formal memang belum terbentuk sebuah unit TI, tetapi ada dua unit yang sudah melakukan kegiatan yang mirip ke arah manajemen TI. Unit tersebut adalah PPS (Pusat Pengembangan Sistem) dan unit Cybernet. Kedua unit pun tidak berada dalam satu direktorat yang sama. PPS yang berada langsung dibawah direktorat akademik merupakan penunjang direktorat akademik itu sendiri, dengan alasan karena core dari bisnis adalah akademik, maka para pengambil keputusan lebih menitikberatkan pengembangan sistem yang mendahulukan kepentingan akademik, itulah sebabnya mengapa PPS berada di bawah direktorat akademik.
Metodologi Audit SI/TI
2. Metodologi Audit SI/TI
Dalam melaksanakan audit TI diterapkan metodologi audit TI yang sesuai dengan metodologi yang diajukan oleh IT Assurance Guide: Using COBIT. Tetapi sebelum menentukan pilihan menggunakan COBIT sebagai kerangka kerja audit, dilakukan beberapa pertimbangan diantaranya yaitu dengan melakukan benchmarking antara kerangka kerja audit yang ada seperti Ron Weber [1], Queensland Audit Office dan Jack Champlain [3]. Semua kerangka audit tersebut dipetakan sehingga didapat sebuah kesimpulan bahwa kerangka COBIT adalah kerangka kerja audit yang paling lengkap. Kemudian penulis juga melakukan perbandingan antara COBIT dengan ITIL (Information Technology Infrastructure Library) [4] untuk mendapatkan gambaran yang lebih jelas dalam proses pada domain Delivery and Support.
Dalam melaksanakan tahapan audit, tidak semua langkah yang ada didalam panduan tersebut dilaksanakan semuanya, dengan alasan mengurangi pengulangan aktivitas, maka tetap berpegang pada aturan-aturan yang bersifat umum yang telah ditetapkan oleh IT Assurance Guide [5].
Pada dasarnya dalam metodologi audit/assurance, dilakukan metodologi pengumpulan data, yang meliputi:
i. Penelaahan dokumentasi kebijakan teknik maupun non-teknis yang menjadi dasar pengembangan Universitas XYZ.
ii. Observasi dan wawancara dengan pihak terkait, wawancara dilakukan dengan pihak terkait yaitu kepala pusat Unit Cybernet, kepala pusat
pengembangan sistem, staf Cybernet, Direktur Akademik, staf pengajar dan mahasiswa.
iii. Analisa basis data.
iv. Analisa jaringan.
Dalam melaksanakan evaluasi, dilakukan beberapa langkah, yaitu:
a. Penentuan Rencana Audit
Dalam penentuan rencana audit, terdapat langkah-langkah yang dilakukan, yaitu:
1. Memahami visi dan misi dari Universitas XYZ, sasaran, tujuan dan prosesnya.
2. Mengidentifikasi kebijakan, standar, pedoman serta prosedur dari Universitas XYZ.
3. Melakukan analisis resiko.
b. Menentukan lingkup audit dan tujuan audit
Dalam menentukan lingkup audit dan tujuan audit penulis melakukan hal-hal berikut:
1. Menentukan tujuan audit TI.
2. Melakukan pemilihan control objective yang akan digunakan untuk menguji keefektifan dari proses TI yang ada.
3. Mendokumentasikan arsitektur yang ada di Universitas XYZ.
4. Mendefinisikan proses-proses TI yang akan dikaji.
5. Mendefinisikan komponen TI yang ada di Universitas XYZ.
c. Melakukan kajian di universitas XYZ
Kajian akan dilakukan dengan menggunakan panduan yang ada dalam melakukan sebuah kajian teknologi informasi/IT assurance guide. Kajian ini meliputi detailed control objective yang disesuaikan dengan keadaan dari Universitas XYZ (berdasar pada high level control objective). Kajian akan dilakukan dengan pendekatan audit yang sudah dibuat. Setelah proses pengkajian selesai tahap berikutnya adalah mendokumentasikan temuan-temuan hasil audit.
d. Melakukan analisa hasil audit
Setelah kajian dilakukan, selanjutnya menganalisis temuan-temuan yang didapat. Diharapkan hasil dari tahap analisis ini mendapatkan suatu kesimpulan alasan terjadinya permasalahan serta solusi terhadap permasalahan tersebut.
Dalam melaksanakan audit TI diterapkan metodologi audit TI yang sesuai dengan metodologi yang diajukan oleh IT Assurance Guide: Using COBIT. Tetapi sebelum menentukan pilihan menggunakan COBIT sebagai kerangka kerja audit, dilakukan beberapa pertimbangan diantaranya yaitu dengan melakukan benchmarking antara kerangka kerja audit yang ada seperti Ron Weber [1], Queensland Audit Office dan Jack Champlain [3]. Semua kerangka audit tersebut dipetakan sehingga didapat sebuah kesimpulan bahwa kerangka COBIT adalah kerangka kerja audit yang paling lengkap. Kemudian penulis juga melakukan perbandingan antara COBIT dengan ITIL (Information Technology Infrastructure Library) [4] untuk mendapatkan gambaran yang lebih jelas dalam proses pada domain Delivery and Support.
Dalam melaksanakan tahapan audit, tidak semua langkah yang ada didalam panduan tersebut dilaksanakan semuanya, dengan alasan mengurangi pengulangan aktivitas, maka tetap berpegang pada aturan-aturan yang bersifat umum yang telah ditetapkan oleh IT Assurance Guide [5].
Pada dasarnya dalam metodologi audit/assurance, dilakukan metodologi pengumpulan data, yang meliputi:
i. Penelaahan dokumentasi kebijakan teknik maupun non-teknis yang menjadi dasar pengembangan Universitas XYZ.
ii. Observasi dan wawancara dengan pihak terkait, wawancara dilakukan dengan pihak terkait yaitu kepala pusat Unit Cybernet, kepala pusat
pengembangan sistem, staf Cybernet, Direktur Akademik, staf pengajar dan mahasiswa.
iii. Analisa basis data.
iv. Analisa jaringan.
Dalam melaksanakan evaluasi, dilakukan beberapa langkah, yaitu:
a. Penentuan Rencana Audit
Dalam penentuan rencana audit, terdapat langkah-langkah yang dilakukan, yaitu:
1. Memahami visi dan misi dari Universitas XYZ, sasaran, tujuan dan prosesnya.
2. Mengidentifikasi kebijakan, standar, pedoman serta prosedur dari Universitas XYZ.
3. Melakukan analisis resiko.
b. Menentukan lingkup audit dan tujuan audit
Dalam menentukan lingkup audit dan tujuan audit penulis melakukan hal-hal berikut:
1. Menentukan tujuan audit TI.
2. Melakukan pemilihan control objective yang akan digunakan untuk menguji keefektifan dari proses TI yang ada.
3. Mendokumentasikan arsitektur yang ada di Universitas XYZ.
4. Mendefinisikan proses-proses TI yang akan dikaji.
5. Mendefinisikan komponen TI yang ada di Universitas XYZ.
c. Melakukan kajian di universitas XYZ
Kajian akan dilakukan dengan menggunakan panduan yang ada dalam melakukan sebuah kajian teknologi informasi/IT assurance guide. Kajian ini meliputi detailed control objective yang disesuaikan dengan keadaan dari Universitas XYZ (berdasar pada high level control objective). Kajian akan dilakukan dengan pendekatan audit yang sudah dibuat. Setelah proses pengkajian selesai tahap berikutnya adalah mendokumentasikan temuan-temuan hasil audit.
d. Melakukan analisa hasil audit
Setelah kajian dilakukan, selanjutnya menganalisis temuan-temuan yang didapat. Diharapkan hasil dari tahap analisis ini mendapatkan suatu kesimpulan alasan terjadinya permasalahan serta solusi terhadap permasalahan tersebut.
pengenalan audit sistem informasi
1. Pendahuluan
Penelitian ini difokuskan untuk melakukan evaluasi terhadap pengelolaan teknologi informasi yang mengacu pada proses pelaksanaan di Universitas XYZ dengan menerapkan IT assurance yang berbasis kepada control objective yang ada pada COBIT versi 4.1 [2].
- Pemenuhan kebutuhan akan sistem informasi bagi semua jenis organisasi menyebabkan perkembangan sistem informasi yang begitu pesat. Begitu pula dengan perkembangan di sektor pelayanan pendidikan yang dikenal dengan Sistem Informasi Akademik.
- Sistem Informasi Akademik merupakan suatu kebutuhan yang mutlak bagi pelayanan pendidikan terutama pada perguruan tinggi, sehingga dapat memberikan kemudahan dalam administrasi bagi perguruan tinggi yang menerapkannya. Dengan adanya Sistem Informasi Akademik dan Sistem Informasi lainnya di universitas XYZ, bukan hanya pelayanan terhadap mahasiswa yang menjadi lebih baik tetapi juga pelayanan untuk seluruh pihak terkait dengan proses akademik yang ada seperti staf pengajar, biro administrasi bahkan orangtua dan alumni. Peranan Sistem Informasi yang signifikan inilah yang tentu saja harus diimbangi dengan pengaturan dan pengelolaan yang tepat sehingga kerugian–kerugian yang mungkin terjadi dapat dihindari. Kerugian yang dimaksud bisa dalam bentuk informasi yang tidak akurat yang disebabkan oleh pemrosesan data yang salah sehingga dapat mempengaruhi pengambilan keputusan yang salah pula. Keamanan asetnya salah satunya adalah data tidak terjaga, integritas data yang tidak dapat dipertahankan, hal–hal inilah yang dapat mempengaruhi efektifitas dan efisiensi dalam pencapaian tujuan dan strategi organisasi.
- Sehubungan dengan alasan tersebut diperlukan adanya sebuah mekanisme kontrol terhadap pengelolaan teknologi informasi [1]. Masalah yang sering timbul di Universitas XYZ adalah adanya kasus kehilangan data, kesalahan dalam pengambilan keputusan, kebocoran data, penyalahgunaan komputer dan nilai investigasi TI yang tinggi tetapi tidak diimbangi dengan pengembalian nilai yang sesuai. Berawal dari sini maka diperlukan sebuah mekanisme kontrol atau audit Sistem Informasi atau audit Teknologi Informasi. Audit SI/TI dalam kerangka kerja COBIT lebih sering disebut dengan istilah IT Assurance ini bukan hanya dapat memberikan evaluasi terhadap keadaan tata kelola Teknologi Informasi di unversitas XYZ tetapi dapat juga memberikan masukan yang dapat digunakan untuk perbaikan pengelolaannya di masa yang akan datang.
- Audit Sistem Informasi/Teknologi Informasi dengan Kerangka Kerja COBIT untuk Evaluasi Manajemen Teknologi
- Tujuan dan manfaat dari penelitian ini adalah (1) Melakukan evaluasi terhadap pengelolaan teknologi informasi atau manajemen teknologi informasi yang ada di universitas XYZ. (2) Hasil yang diperoleh dari kajian ini diharapkan dapat dijadikan landasan dalam pembuatan kerangka kerja tata kelola TI yang sesuai dengan standar.
- Berdasarkan uraian dari latar belakang permasalahan diatas penulis dapat merumuskan permasalahan penelitian sebagai berikut: (1) Jenis evaluasi manajemen TI yang sesuai untuk organisasi seperti Universitas XYZ. (2) Kontrol objektif yang digunakan dalam melakukan evaluasi.
Penelitian ini difokuskan untuk melakukan evaluasi terhadap pengelolaan teknologi informasi yang mengacu pada proses pelaksanaan di Universitas XYZ dengan menerapkan IT assurance yang berbasis kepada control objective yang ada pada COBIT versi 4.1 [2].
Langganan:
Postingan (Atom)