BAB 6. STANDAR DAN PROSEDUR (BAGIAN KEDUA) PENDAHULUAN Diskripsi Singkat
Audit dan kontrol pada teknologi informasi dan komunikasi dilaksanakan dengan didasarkan pada standar dan prosedur yang berbasis beberapa standar. Standar berasal dari best practiceI atau standar ideal industri yang berkembang di dunia. Dalam area audit dan kontrol teknologi informasi memiliki beberapa standar yang bisa digunakan untuk mempertajam penggunaan standar dan prosedur yang kuat. •
Manfaat •
Mengenalkan dan memberikan pengetahuan dasar mengenai standard an prosedur audit yang berlaku Memperkenalkan sejak dini (mahasiswa) untuk mengenal lebih jauh dunia industry yang memiliki aturan main cukup ketat dalam implementasi dan pengendalian layanan teknologi informasi dan komunikasi
Relevansi
Standar dan prosedur audit dan kontrol pada teknologi informasi merupakan tahapan krusial untuk mengidentifikasi beberapa aturan main yang mengatur dunia audit dan kontrol itu sendiri. Secara khusus teknologi informasi, memiliki beberapa aturan main berdasar beberapa standar yang mengikat. Standar dan prosedur ini dibangun untuk menjembatani praktek-praktek terbaik industri dan mengimplementasikan untuk mencipatkan nilai bagi organisasi. Materi ini sangat relevan untuk membangun kontruksi pemahaman profesional bagi peserta didik sehingga siap nantinya terjun dan mengadaptasi dunia industri.
Learning Outcomes
Mampu menganalisis dan menggunakan teknik audit dan kontrol
PENYAJIAN MATERI Tata Kelola TI
Albarda (2006), dalam penelitian tentang Strategi Implementasi Pemanfaatan Teknologi
Informasi
menyimpulkan
Untuk
bahwa
Tata
Implementasi
Kelola IT
Organisasi
untuk
(IT-Governance)
mendukung
kegiatan
operasional suatu organisasi baik dalam skala kecil maupun besar, berkembang menjadi kebutuhan mendasar dalam menghadapi era global dan Good Governance. Berbagai perangkat TI untuk infrastruktur, servis, maupun aplikasi, saat ini sangat banyak tersedia di pasaran dalam berbagai bentuk dan fungsinya. Hal ini menyebabkan banyaknya alternatif solusi TI yang perlu dipertimbangkan dalam menentukan kebijakan pengembangan organisasi. Implementasi TI dalam kegiatan operasional organisasi akan memberikan dampak yang cukup signifikan bukan hanya dari segi effisiensi kerja tetapi juga terhadap budaya kerja baik secara personal, antar unit, maupun keseluruhan institusi. Pengelolaan administrasi berbasis TI digunakan sebagai kasus pada pembahasan ini. Kajian strategi akan lebih difokuskan terhadap pengembangan SDM untuk mendukung optimalisasi pada implementasi TI sejak tahap perencanaan,
pengembangan, alih kelola, operasional sampai
dengan tahap pemeliharaan. Josua Tarigan (2006), dalam penelitian tentang Merancang IT Governance dengan COBIT & Sarbanes-Oxley dalam Konteks Budaya Indonesia, mengutarakan skandal keuangan yang terjadi dalam Enron, Worldcom, Xerox yang melibatkan beberapa KAP yang termasuk dalam the big five mendapatkan respon dari Kongres Amerika Serikat, salah satunya dengan diterbitkannya undang-undang (Sarbanex-Oxley Act) yang diprakarsai oleh senator Paul Sarbanes (Maryland) dan wakil rakyat Michael Oxley (Ohio) yang telah ditandatangani oleh presiden George W. Bush. Dalam Sarbanex-Oxley Act diatur tentang akuntansi, pengungkapan dan pembaharuan tata kelola, yang mensyaratkan adanya pengungkapan yang
lebih banyak mengenai informasi keuangan, keterangan tentang hasil-hasil yang dicapai manajemen, kode etik bagi pejabat di bidang keuangan, pembatasan kompensasi ekskutif dan pembentukan komite audit yang independen. Dalam tata kelola yang baik, peranan tata kelola TI merupakan hal yang sangat penting, dalam konteks organisasi bisnis yang berkembang, kebutuhan akan TI bukan merupakan barang yang langka, dalam konteks ini tata kelola yang baik membutuhkan tata kelola TI yang baik. COBIT (control objective for information and related technology) dapat digunakan sebagai tools yang digunakan untuk mengefektifkan implementasi Sarbanes-Oxley Act. COBIT terdiri dari 4 domain, yakni planning-organization (PO), acquisitionimplementation (AI), Delivery-support (DS) dan Monitoring (M). COBIT & Sarbanex-Oxley merupakan tools yang telah banyak diterapkan dalam konteks dunia Eropa dan negara lain diluar Asia. Dalam konteks Asia, khususnya Indonesia banyak faktor yang perlu diperhatikan, khususnya faktor psikologis masyarakat yang ada, yakni faktor budaya. Faktor budaya merupakan hal yang signifikan perlu dipertimbangkan dalam merancang tata kelola
TI,
dimana
hal
ini
mempengaruhi
keberhasilan
dalam
mengimplementasikan konsep tata kelola TI yang ada. Penelitian tentang COBIT dalam bidang pendidikan dalam hal ini perguruan tinggi sudah pernah dilakukan. Salah satunya adalah yang dilakukan oleh Solikin, Program Magister Sistem Informasi, Departemen Teknik Informatika Institut Teknologi Bandung yang meneliti tentang Pengelolaan informasi Sekolah Tinggi Manajemen Informatika dan Komputer “AMIKBANDUNG” (STMIK “AMIKBANDUNG”). Dari hasil penelitiannya didapatkan bahwa pengelolaan teknologi informasi sudah dilakukan, akan tetapi belum dikelola dengan menggunakan pendekatan dan metoda terstruktur, sehingga sulit untuk mengukur seberapa besar peranan teknologi informasi dalam mendukung pencapaian tujuan perusahaan secara efektif dan efisien. Pada tesis tersebut dirancang sebuah model pengelolaan TI (IT Governance)
dan model audit sistem informasi (SI). Model pengelolaan TI dan model audit sistem informasi perguruan tinggi diadopsi dari COBIT (Control Objectives for Information and related Technology). COBIT adalah standar pengendalian yang umum terhadap teknologi informasi, dengan memberikan kerangka kerja dan pengendalian terhadap teknologi informasi yang dapat diterapkan dan diterima secara internasional. Selain itu, COBIT dipilih karena dikembangkan dengan memperhatikan keterkaitan tujuan bisnis dengan tidak melupakan fokusnya pada teknologi informasi. Kerangka kerja COBIT bersifat umum, oleh sebab itu harus disesuaikan dengan melihat proses bisnis dan tanggung jawab proses teknologi informasi terhadap aktivitas perguruan tinggi. Model tata kelola TI dan model audit ini dimaksudkan untuk membuat pemetaan
proses
perencanaan
dan
pengorganisasian,
akuisisi
dan
implementasi terhadap tingkat model maturity. Model maturity adalah alat untuk mengukur seberapa baik proses-proses sistem informasi berkembang. Dengan model maturity manajemen dapat mengukur posisi proses sistem informasi
yang
sekarang
dan
menilai
hal
yang
diperlukan
untuk
meningkatkannya. Model maturity terdapat pada setiap proses sistem informasi. Alat yang digunakan untuk memetakan posisi proses sistem informasi adalah dengan menggunakan kuesioner. Kuesioner dibuat dengan menggunakan teknik pengukuran ordinal dengan skala likert. Sedangkan tujuan pengendalian ditetapkan dengan mempertimbangkan CSF (Critical Success Factors), KGI (Key Goal Indicators), dan KPI (Key Performance Indicators). Dari hasil implementasi diperoleh hasil bahwa model tata kelola TI dan model audit sistem informasi COBIT dapat diterapkan pada proses teknologi informasi di lingkungan perguruan tinggi, namun demikian perlu dilakukan penyesuaian atau modifikasi terhadap prosesnya. Alan Calder (2005) dalam risetnya mempublikasikan tentang mekanisme penyusunan tata kelola TI dengan memfokuskan kontrol pada tipe pengambilan keputusan dan siapa yang mengambil keputusan didasarkan pada konteks, struktur dan aturan main yang berjalan. Setiap pengambil keputusan memiliki area pengambilan keputusan tertentu dan melakukan
proses perencanaan (plan), melaksanakan (do), memeriksa (check), menjalankan (act). Level pengambil keputusan di bagi dalam beberapa level, sebagai berikut : 1. Governance Principles, risk/complience criteria, business and information strategies, investment yang kesemuanya tersebut dilaksanakan oleh kumpulan manajamen atas (board). 2. Application strategy, implementation, monitoring, improving yang akan dilaksanakan oleh pihak eksekutif. 3. Project Management yang akan dilaksanakan oleh Program Office. 4. Business Process yang akan dilaksanakan oleh Business Leaders. 5. ICT Operations Processes yang akan dilaksanakan oleh IT Leaders.
Tugas & Latihan
Berdasarkan hasil aktivitas kelompok pertemuan sebelumnya, masingmasing kelompok kemudian diminta untuk •
Mencari dokumentasi standar audit dengan detail sebagai berikut: o Kelompok1: COBIT o Kelompok2: COSO o Kelompok3: ITIL o Kelompok4: Prince2 Project Management o Kelompok5: Information Security o Kelompok6: Quality Management o Kelompok7: tata kelola TI
•
Setiap kelompok diminta mempresentasikan dan menjelaskan perspektif masing-maisng standar
Rangkuman
COBIT, ITIL, COSO, Prince Project Management, Information Security dan Quality Management merupakan standar baseline untuk menjadi kompetensi yang baik sebagai auditor teknologi informasi. Pemahaman mengenai cara kerja, domain, prinsip dan beberapa praktek terbaik dari setiap standar akan memberikan wacana bekerja sebagai auditor yang berkompetensi.
PENUTUP Tes Formatif
Penilaian berdasarkan hasil presentasi masing-maisng kelompok dengan komponen sebagai berikut: •
Standar terbaru : 20 poin
•
Penjelasan dan pemahamaan mengenai standar : 15 poin
•
Relasi dengan standar yang lain : 15 poin
Akumulasi poin setiap kelompok akan dijadikan bahan untuk melakukan evaluasi mengenai standar pada audit dan kontrol teknologi informasi. Bentuk penugasan adalah presentasi kelompok.
Petunjuk Penilaian dan Umpan Balik
Penilaian akan didasarkan dengan detail sebagai berikut: •
Standar terbaru : 20 poin
•
Penjelasan dan pemahamaan mengenai standar : 15 poin
•
Relasi dengan standar yang lain : 15 poin
Umpan balik akan dilakukan dengan cara sebagai berikut: •
Dosen akan memberikan pertanyaan trigger untuk membangkitan diskusi dan argumentasi yang tepat
•
Peserta kuliah lain diperbolehkan mendebat dan mendiskusikan setiap argument dari kelompok yang lainnya
Tindak Lanjut
Sebagai materi yang membahas standar maka akan dilanjutkan pada detail pembahasan setiap komponen standar yang ada.
