Audit Teknologi Sistem Informasi (COBIT4)

 

Audit Teknologi Sistem Informasi

Dosen : Qomariyah 

COBIT (Control Objective for Information and Related Technology)

Pendahuluan

Beberapa hasil lokakarya dan diskusi mengisyaratkan betapa pentingnya perubahan sistem sebagai pendukung pembelajaran dan komunikasi ilmiah menuju sebuah organisasi riset bertaraf internasional. Perubahan tersebut di satu sisi membawa dampak positif sebagai peluang bagi sebuah universitas untuk  berkompetetif. Namun di sisi lain, satu hal yang perlu disadari adalah usaha menerapkan teknologi informasi semaksimal mungkin berarti harus mengubah pola pikir staf dan para perusahaan yang biasanya punya rasa kekhawatiran yang cukup signifikan terhadap dampak perubahan tersebut. Mengubah pola pikir merupakan hal yang teramat sulit dilakukan, karena pada dasarnya “people do not like to change”. Kalau saat ini seorang kepala perusahaan dan/atau para pengambil keputusan sudah memiliki komitmen khusus untuk merencanakan pengembangan sistem informasi perusahaan terintegrasi, bagaimana dengan para staf dan pegawainya? Karena penerapan teknologi informasi (TI) ini memerlukan biaya yang cukup besar dan disertai risiko kegagalan yang tidak kecil, maka TI harus dikelola selayaknya aset perusahaan lainnya. Penerapan TI di perusahaan akan dapat dilakukan dengan baik apabila ditunjang dengan suatu tata kelola TI (IT Governance) dari mulai perencanaan sampai implementasinya, dan pengelolaan TI yang akan diterapkan harus mengacu pada standar yang sudah mendapatkan pengakuan secara luas.

Identifikasi Masalah

Tata Kelola TI yang diharapkan mendapat dukungan dari stakeholder, memberikan pengembangan dan implementasi sistem on budget, on schedule dengan kualitas yang tinggi, meningkatkan efisiensi, produktivitas dan efektivitas, serta menjamin kerahasiaan, kelengkapan, dan ketersediaan informasi. Namun tata kelola TI dapat memiliki beberapa masalah yaitu dimana TI hanya menjadi concern dari tim teknikal karena tidak memperoleh perhatian dari pimpinan puncak, kerugian finansial, rusaknya reputasi proyek overbudget/overtime/underspec, penurunan efektivitas karena buruknya kualitas keluaran sistem TI, dan buruknya kualitas dukungan yang ditandai oleh sistem yang belum terintegrasi, aplikasi-aplikasi stand alone, buruknya kualitas sistem, tingginya keluhan user mengenai kinerja sistem TI, rendahnya kepedulian terhadap aspek kerahasiaan informasi, rendahnya tingkat ketersediaan informasi, tidak adanya kebijakan dan prosedur tata kelola TI secara utuh.

Ruang Lingkup

Ruang lingkup tata kelola TI sangat luas dan COBIT merupakan kombinasi dari prinsip-prinsip yang telah ditanamkan dan dikenal sebagai acuan model (seperti: COSO), dan disejajarkan dengan TI balanced scorecard. Secara komplitnya paket produk COBIT terdiri dari keluarga produk-produk COBIT, yaitu: executive summary, framework, control objectives, audit guidelines, implementation tool set, serta management guidelines, yang sangat berguna atau dibutuhkan oleh auditor, para pengguna TI, dan para manajer. Kontrol internal mencakup policy, struktur organisasi, praktik dan prosedur yang menjadi tanggung jawab manajemen perusahaan. Adapun ruang lingkup dalam penulisan tata kelola TI dengan COBIT ini adalah: membantu menganalisis dan menjaga profitabilitas pada lingkungan perubahan teknologi yang bergantung pada seberapa baik pengaturan kontrol yang dilakukan serta bisa digambarkan sebagai kebijakan kendali TI secara jelas, bersih, dan praktik yang baik.

Tujuan dan Manfaat

Dalam kerangka tata kelola perusahaan (corporate governance), tata kelola TI menjadi semakin utama dan merupakan bagian tidak terpisahkan terhadap kesuksesan penerapan tata kelola perusahaan secara menyeluruh. Tata kelola TI memastikan adanya pengukuran yang efisien dan efektif terhadap peningkatan proses bisnis perusahaan melalui struktur yang menghubungkan proses-proses TI, sumberdaya TI dan informasi ke arah dan tujuan strategis perusahaan.

Lebih jauh lagi, tata kelola TI memadukan dan melembagakan best practices dari proses perencanaan, pengelolaan, penerapan, pelaksanaan dan pendukung, serta pengawasan kinerja TI, untuk memastikan informasi perusahaan dan teknologi yang terkait lainnya benar-benar menjadi pendukung bagi pencapaian sasaran perusahaan. Dengan keterpaduan tersebut, diharapkan perusahaan mampu mendayagunakan informasi yang dimilikinya sehingga dapat mengoptimumkan segala sumber daya dan proses bisnis mereka untuk menjadi lebih kompetitif.

Dengan adanya tata kelola TI, proses bisnis perusahaan akan menjadi jauh lebih transparan, dapat dipertanggungjawabkan, serta akuntabilitas tiap fungsi atau individu semakin jelas. Tata kelola TI bukan hanya penting bagi teknis TI saja, direksi dan bahkan komisaris, yang tanggung jawabnya terhadap investasi dan pengelolaan risiko perusahaan, adalah pihak utama yang harus memastikan bahwa perusahaannya memiliki tata kelola TI. Dengan demikian keuntungan optimum investasi TI tercapai dan sekaligus memastikan semua potensi risiko investasi TI telah diantisipasi dan dapat terkendali dengan baik. Menurut COBIT, keputusan bisnis yang baik harus didasarkan pada pengetahuan yang berasal dari informasi yang relevan, komprehensif, dan tepat waktu. Informasi seperti itu dihasilkan oleh sistem informasi yang memenuhi 7 kriteria: efektivitas, efisiensi, kerahasiaan, keterpaduan, ketersediaan, kesesuaian terhadap rencana atau aturan, dan keakuratan informasi yang dihasilkan. Kunci utamanya adalah untuk mengelola bisnis yang menguntungkan pada kondisi lingkungan yang berubah pesat.

Adapun tujuan dari COBIT ini sendiri adalah :

Ø  Diharapkan dapat membantu menemukan berbagai kebutuhan manajemen yang berkaitan dengan TI,

Ø  Agar dapat mengoptimalkan investasi TI,

Ø  Menyediakan ukuran atau kriteria ketika terjadi penyelewengan atau penyimpangan. Adapun manfaat jika tujuan tersebut tercapai adalah :

v  Dapat membantu manajemen dalam pengambilan keputusan,

v  Dapat mendukung pencapaian tujuan bisnis, dan

v  Dapat meminimalisasikan adanya tindak kecurangan/ fraud yangmerugikan perusahaan yang bersangkutan.

PEMBAHASAN

Definisi COBIT

COBIT (Control Objectives for Information and related Technology) adalah suatu panduan standar praktek manajemen teknologi informasi dan sekumpulan dokumentasi best practices untuk tata kelola TI yang dapat membantu auditor, manajemen, dan pengguna untuk menjembatani pemisah (gap) antara risiko bisnis, kebutuhan pengendalian, dan permasalahan-permasalahan teknis.

COBIT dikembangkan oleh IT Governance Institute (ITGI), yang merupakan bagian dari Information Systems Audit and Control Association (ISACA). COBIT memberikan arahan (guidelines) yang berorientasi pada bisnis, dan karena itu business process owners dan manajer, termasuk juga auditor dan pengguna, diharapkan dapat memanfaatkan arahan ini dengan sebaik-baiknya.

Menurut Campbell, COBIT merupakan suatu cara untuk menerapkan tata kelola TI. COBIT berupa kerangka kerja yang harus digunakan oleh suatu organisasi bersamaan dengan sumber daya lainnya untuk membentuk suatu standar yang umum berupa panduan pada lingkungan yang lebih spesifik. Secara terstruktur, COBIT terdiri dari seperangkat control objectives untuk bidang Teknologi Informasi, dirancang untuk memudahkan tahapan-tahapan audit bagi auditor.

Sejarah Perkembangan COBIT

COBIT muncul pertama kali pada tahun 1996 yaitu COBIT versi 1 yang menekankan pada bidang audit, COBIT versi 2 pada tahun 1998 yang menekankan pada tahap pengendalian, COBIT versi 3 pada tahun 2000 yang berorientasi kepada manajemen, COBIT versi 4 pada bulan Desember 2005 dan versi 4.1 pada bulan Mei 2007 lebih mengarah pada tata kelola TI, dan terakhir COBIT versi 5 pada bulan Juni 2012 yang menekankan tata kelola TI pada perusahaan (Gambar 2.1).

Gambar 2.1.  Sejarah Perkembangan COBIT

Kerangka Kerja COBIT

Kerangka kerja COBIT terdiri dari tujuan pengendalian tingkat tinggi dan struktur klasifikasi secara keseluruhan, yang pada dasarnya terdiri tiga tingkat usaha tata kelola TI yang menyangkut manajemen sumber daya TI. Yaitu dari bawah, kegiatan tugas (Activities and Tasks) merupakan kegiatan yang dilakukan secara terpisah yang diperlukan untuk mencapai hasil yang dapat diukur. Dan selanjutnya kumpulan Activity and Tasks dikelompokkan ke dalam proses TI. Proses-proses TI yang memiliki permasalahan tata kelola TI yang sama akan dikelompokkan ke dalam domain. Maka konsep kerangka kerja dapat dilihat dari tiga sudut pandang, meliputi : Information Criteria, IT Resources, IT Processes, seperti terlihat pada gambar dibawah ini :

Gambar 2.2.  Kubus COBIT (ITGI : 2007)

Lingkup kriteria informasi (Information Criteria) yang menjadi perhatian dalam COBIT adalah:

Ø  Effectiveness: Menitikberatkan pada sejauh mana efektivitas informasi dikelola dari data-data yang diproses oleh sistem informasi yang dibangun.

Ø  Efficiency: Menitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh sistem.

Ø  Confidentiality: Menitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis.

Ø  Integrity: Menitikberatkan pada integritas data/informasi dalam sistem informasi.

Ø  Availability: Menitikberatkan pada ketersediaan data/informasi dalam sistem informasi.

Ø  Compliance: Menitikberatkan pada kesesuaian data/informasi dalam sistem informasi.

Ø  Reliability: Menitikberatkan pada kemampuan/ketangguhan sistem informasi dalam pengelolaan data/informasi.

Fokus terhadap pengelolaan sumber daya teknologi informasi dalam COBIT adalah pada:

Ø  Applications (Aplikasi)

Ø  Information (Informasi)

Ø  Infrastructure (Infrastruktur)

Ø  People (Manusia/Pengguna)

Domain 4: Monitor and Evaluate (ME) – Pemantauan dan Evaluasi

Domain ini menitikberatkan pada proses pengawasan pengelolaan TI pada organisasi seluruh kendali-kendali yang diterapkan setiap proses TI harus diawasi dan dinilai kelayakannya secara berkala. Domain ini fokus pada masalah kendali-kendali yang diterapkan dalam organisasi, pemeriksaan internal dan eksternal. Dimana domain ME terdiri dari 4 control objectives, meliputi :

Ø  ME1 :     Monitor and evaluate IT performance (Memantau dan mengevaluasi kinerja TI)

Ø  ME2 :     Monitor and evaluate internal control (Memantau dan mengevaluasi kendali internal)

Ø  ME3 :     Ensure regulatory compliance (Memastikan kepatuhan/kesesuaian terhadap aturan)

Ø  ME4 :     Provide IT Governance (Menyediakan tata kelola TI)

Kelebihan COBIT

Ø  Efektif dan Efisien

Berhubungan dengan informasi yang relevan dan berkenaan dengan proses bisnis, dan sebaik mungkin informasi dikirim tepat waktu, benar, konsisten, dan berguna.

Ø  Rahasia

Proteksi terhadap informasi yang sensitif dari akses yang tidak bertanggung jawab.

Ø  Integritas

Berhubungan dengan ketepatan dan kelengkapan dari sebuah informasi.

Ø  Ketersediaan

Berhubungan dengan tersedianya informasi ketika dibutuhkan oleh proses bisnis sekarang dan masa depan.

Ø  Kepatuhan Nyata

Berhubungan dengan penyediaan informasi yang sesuai untuk manajemen.

Kekurangan COBIT:

Ø  COBIT hanya memberikan panduan kendali dan tidak memberikan panduan implementasi operasional.  Dalam memenuhi kebutuhan COBIT dalam lingkungan operasional, maka perlu diadopsi berbagai framework tata kelola operasional seperti ITIL (The Information Technology Infrastructure Library) yang merupakan sebuah kerangka pengelolaan layanan TI yang terbagi ke dalam proses dan fungsi.

Ø  Kerumitan penerapan. Apakah semua control objective dan detailed control objective harus diadopsi, ataukah hanya sebagian saja? Bagaimana memilihnya?

Ø  COBIT hanya berfokus pada kendali dan pengukuran.

Ø  COBIT kurang dalam memberikan panduan keamanan namun memberikan wawasan umum atas proses TI pada organisasi daripada ITIL misalnya.

Perbedaan beberapa framework:

ITIL (The Information Technology Infrastructure Library)

Dikembangkan oleh Pemerintah Inggris Raya, ITIL merupakan sekumpulan best practices untuk proses manajemen implementasi TI. ITIL menjelaskan proses-proses yang perlu diterapkan untuk menjalankan dan mendukung layanan TI yang berfokus pada bisnis.

COBIT (Control Objectives for Information and related Technology)

Menggabungkan sekumpulan control objectives yang diakui secara internasional dan digunakan oleh manajer TI dan bisnis sehari-hari. COBIT menyajikan tata kelola TI dan indikator kunci yang bertujuan dalam pengembangan proses. Sekilas COBIT seakan tumpang tindih dengan ITIL, namun sejarah COBIT memang dipengaruhi oleh masalah-masalah dalam dunia asuransi. Merger dan akuisisi, penggabungan proses, alih daya, dan audit adalah area utama framework COBIT.

ISO (International Organization for Standardization)

Standar Internasional dari International Organization for Standardization / International Electrotechnical Commission (ISO/IEC) bertujuan meningkatkan kinerja organisasi dan praktiknya seputar keamanan informasi. ISO mendefinisikan pendekatan umum atas manajemen keamanan yang menyangkut tanggung jawab dan organisasi yang bertanggung jawab atas keamanan dan kebijakannya, klasifikasi aset penting, dan manajemen risiko. ISO paling baik digunakan jika sertifikasi keamanan dan definisi menyeluruh atas proses keamanan baik logikal maupun fisik dibutuhkan dan peraturan dasar dari keamanan ditentukan.

KESIMPULAN

     COBIT mengatur masalah tujuan yang harus dicapai oleh sebuah organisasi dalam memberikan layanan TI, sedangkan ITIL merupakan best practice cara-cara pengelolaan TI untuk mencapai tujuan organisasi. Sehingga dapat dikatakan bahwa COBIT dan ITIL merupakan dua pendekatan dalam tata kelola TI dan tata kelola layanan teknologi informasi yang saling melengkapi.

     Secara umum dapat dikatakan bahwa COBIT merupakan sebuah model tata kelola TI yang memberikan sebuah arahan yang lengkap mulai dari sistem mutu, perencanaan, manajemen proyek, keamanan, pengembangan dan pengelolaan layanan. Arahan dari COBIT kemudian didetailkan kembali oleh beberapa model framework sesuai dengan perkembangan keilmuan.

 

Contoh Kasus :

AUDIT SISTEM INFORMASI MENGGUNAKAN FRAMEWORK COBIT 4.1 PADA DOMAIN MONITOR AND EVALUATE (ME) (STUDI KASUS DI UNIVERSITAS WIDYATAMA BANDUNG)

Definisi Monitoring

Merupakan penilaian yang berkesinambungan yang bertujuan untuk menyediakan semua informasi rinci kepada stakeholder dengan cepat pada kemajuan atau penundaan dinilai dari kegiatan yang sedang berlangsung. Itu adalah tahap pengawasan pelaksanaan kegiatan tersebut. Tujuannya adalah untuk menentukan jika output, pengiriman, dan jadwal yang direncanakan telah dicapai sehingga tindakan dapat diambil untuk memperbaiki kekurangan secepat mungkin.

Denifinisi Evaluation  

Merupakan pemeriksaan yang sistematis dan objektif tentang relevansi, efektivitas, efisiensi dan dampak dari kegiatan dalam tujuan tertentu. Ide dalam mengevaluasi proyek adalah untuk mengisolasi kesalahan tidak akan mengulangi dan untuk menggaris bawahi dan mempromosikan mekanisme sukses untuk proyek-proyek saat ini dan masa depan.

Monitoring and Evaluation

Domain ini berfokus pada kendali-kendali yang diterapkan dalam organisasi, pemeriksaan intern, dan ekstern dan jaminan independent dari proses pemeriksaan yang dilakukan. Berikut ini high-level dari domain ini sbb:

Pengukuran Tingkat Kematangan/Maturity Model

Kuesioner ini merupakan metode pengumpulan data dengan tujuan untuk mengukur tingkat kematangan sistem informasi yang dikelola oleh Pusat Teknologi Informasi Universitas Widyatama, dengan menggunakan metode perhitungan scoring yang menjadi modul dari maturity model yaitu dengan formula:

Dengan formula tersebut akan menentukan nilai skala, dimana nilai skala adalah tingkatan ataupun level kematangan sistem informasi dimulai dari level 0-proses tidak ada sampai pada level 5-Dioptimalisasi, dengan penentuan rangking pengukuran responden sbb:

Table ringkasan hasil perhitungan kuesioner audit sistem informasi 

Contoh perhitungan index

Hasil perhitungan audit SI ME-1

hasil perhitungan audit ME-2

Hasil Perhitungan Audit ME-3

Hasil Perhitungan Audit ME-4

Berikut merupakan gambar pemetaan posisi layanan sistem informasi yang disediakan oleh PTI dengan metode perhitungan Maturity Model.

Dari hasil perhitungan dan pemetaan seperti gambar di atas dapat dilihat bahwa rata-rata pengadaan dan implementasi layanan sistem informasi adalah 3 diimana nilai rata-rata tersebut berada di level 3 pada model maturity COBIT.

 

Sumber Referensi :

http://widiastuti.staff.gunadarma.ac.id/Downloads/files/51932/%5EAKS+-+Pertemuan+13+-+Cobit5.pdf (Diakses tanggal 6 November 2018, 21.00 WIB)

https://www.slideshare.net/fananifaiz/cobit-pertamina#btnNext (Diakses tanggal 6 November 2018, 21.14 WIB)

https://id.scribd.com/document/352959954/TUGAS-MATA-KULIAH-AUDIT-DAN-EVALUASI-TEK-pdf (Diakses tanggal 6 November 2018, 21.38 WIB)

http://arumsasi21.blogspot.com/2017/10/kasus-pada-cobit.html (Diakses tanggal 7 November 2018, 15.23 WIB)

Analisis : 
 

Pada sebuah kasus dapat disimpulkan yaitu terutama COBIT diartikan sebagai pemandu standarnya pada sebuah manajemen tekonologi informasi dan sekumpulan dokumentasi agar tata kelola TI dapat dibantu oleh auditor, sehingga pada analisisnya yaitu dengan Domain MONITOR dan EVALUATE (ME). Dapat diarikan terlebih dahulu bahwa monitoring adalah  intinya untuk menyediakan semua kelompok atau sebuah perkumpulan dengan cepat. Evaluation itu sendiri adalah sebagai pemeriksa dari kesalahan agar tidal mengulanginya lagi. Untuk itu monitoring & evaluation berfokus pada kendali yang ada didalam organisasi, memeriksa secara internal maupun eksternal dan proses pemeriksaan secara menyeluruh.

Kemudian tercakup dari semuanya, yaitu pada tabel pertanyaan ME1 membahas bagaimana tentang peniliain, tampilan Website widyatama, tanggapan tentang WIFI, segi kelengkapan kampus pada berskala 1 ternyata banyak mahasiswa yang berpendapat dari beberapa pertanyaan yang ada, skala yang dilakukan yaitu 1 – 5, sehingga pada nilai grade perhitungan pada sebuah pertanyaan tertampil dan tertotal dari skala tersebut. Dari sekala beberapa skala pada ME1 ini mahasiswa lebih menanggapi atau merespon adanya tanggapan masalah pada wifi dikampus tersebut. Pada segi kelengkapan juga mahasiswa banyak yang menanggapi masalah tersebut. Lalu pada ME2 membahas pertanyaan tentang proses kerja, mendapatkan jumlah responden yang cukup besar dari sebelumnya.

Dapat disimpulkan dari salah satu ME1 ini adalah dibuatnya sistem pertanyaan ini pada Metode dan Evaluation adalah untuk mengetahui masalah masalah serta keluhan yang ada dikampus tersebut, salah satunya pada masalah wifi, sehingga admin dapat mengetahui apa yang diinginkan oleh mahasiswa tersebut. Dan sebuah metode ini bertujuan agar mengetahui proses AUDIT pada setiap ME yang ada dikampus Widyatama bandung beserta dengan skala serta formulanya. 

berikut dibawah ini penjelasan secara singkat :

ME – 1 Monitoring and Evaluate IT Performance

Dalam menentukan kelayakan IT untuk memenuhi kebutuhan bisnis, maka PTI memerlukan pendekatan yang jelas dan terstruktur. Dalam hasil responden diatas hal yang perlu dievaluasi adalah terkait wifi kampus dan  yang dirasa masih kurang memuaskan.

ME – 2 Monitor and Evaluate Internal Control

Kemampuan pihak internal untuk melakukan pengawasan IT sudah cukup baik, dan terdapat dokumentasi pada setiap laporan terkait IT dan proses maintenance.  Ditinjau dari segi efektivitas dan efisien terkait kontrol internal IT juga sudah cukup baik.

ME – 3 Ensure Regulatory Compliance With External Requirements

Ketaatan pada setiap kontrak kerjasama yang sedang berlangsung atau akan berlangsung sangat penting untuk meningkatkan proses bisnis institusi. Dalam contoh kasus diatas ketaatan atau regulasi terhadap instusi mendapatkan tanggapan yang cukup baik dari para responden.

ME – 4 Provide IT Goverance

Ketersediaan layanan IT yang layak bagi user sangat penting untuk bisa mencapai strategi institusi. Institusi telah menyediakan layanan IT yang sudah cukup mumpuni dan kesesuaian strategi organisasi terhadap perencanaan sudah cukup memuaskan.