BAB 7. STANDAR DAN PROSEDUR (BAGIAN KETIGA) PENDAHULUAN Diskripsi Singkat
Audit dan kontrol pada teknologi informasi dan komunikasi dilaksanakan dengan didasarkan pada standar dan prosedur yang berbasis beberapa standar. Standar berasal dari best practiceI atau standar ideal industri yang berkembang di dunia. Dalam area audit dan kontrol teknologi informasi memiliki beberapa standar yang bisa digunakan untuk mempertajam penggunaan standar dan prosedur yang kuat. •
Manfaat •
Mengenalkan dan memberikan pengetahuan dasar mengenai standard an prosedur audit yang berlaku Memperkenalkan sejak dini (mahasiswa) untuk mengenal lebih jauh dunia industry yang memiliki aturan main cukup ketat dalam implementasi dan pengendalian layanan teknologi informasi dan komunikasi
Relevansi
Standar dan prosedur audit dan kontrol pada teknologi informasi merupakan tahapan krusial untuk mengidentifikasi beberapa aturan main yang mengatur dunia audit dan kontrol itu sendiri. Secara khusus teknologi informasi, memiliki beberapa aturan main berdasar beberapa standar yang mengikat. Standar dan prosedur ini dibangun untuk menjembatani praktek-praktek terbaik industri dan mengimplementasikan untuk mencipatkan nilai bagi organisasi. Materi ini sangat relevan untuk membangun kontruksi pemahaman profesional bagi peserta didik sehingga siap nantinya terjun dan mengadaptasi dunia industri.
Learning Outcomes
Mampu menganalisis dan menggunakan teknik audit dan kontrol
PENYAJIAN MATERI Tata Kelola TI
Sebuah kebijakan informasi organisasi biasanya memberikan arahan baik bagi para pengelola maupun para pengguna informasi. Bagi para pengelola kebijakan informasi merupakan
sebuah
kerangka
kerja
yang
berisi
prinsip-prinsip
organisasi
yang
berhubungan dengan informasi, penggunaannya dan pengelolaannya. Di antaranya menjamin pengalokasian sumber-sumber informasi penting dalam manajemen informasi. Sedangkan dari perspektif pengguna, kebijakan informasi merupakan sebuah jaminan bahwa
organisasi
mempunyai
komitmen
untuk
menyediakan
informasi
yang
dibutuhkannya (Henczel, 2001: 11). Dengan demikian para manajer sebuah perguruan tinggi dan semua yang terlibat di dalamnya harus memahami dorongan-dorongan yang membuat perubahan ini terasa diperlukan dan betul-betul sangat diharapkan. Paling tidak dorongan-dorongan dan suasana lingkungan seperti ini harus dijelaskan kepada seluruh staf dan pengguna, karena hal ini akan mempengaruhi sikap para staf dan pengguna dikemudian hari. Bahkan akan lebih baik lagi jika mereka dapat berpartisipasi dalam mengelola perubahan dengan menggunakan suatu pendekatan strategis yang jelas. Secara khusus Gallacher (1996; 13) dalam Managing Change in Library and Information Service mengemukan bahwa yang harus dilakukan oleh pemimpin TI adalah mempertimbangkan lingkungan internal dan eksternalnya, karena hal ini mempunyai konsekuensi yang multi fungsional, sebagai berikut: 1. Environmental analysis, yaitu proses mengkaji trend dan kondisi dalam lingkungan
untuk
mengidentifikasi
hal-hal
yang
mendorong
kepada
perubahan. 2. Political awareness, yaitu kepekaan terhadap kondisi dalam organisasi induk universitas dan pemahaman tentang posisi dan cakupan pengaruh di dalamnya. 3. Strategic vision, yaitu partisipasi dalam membuat keputusan ke mana unit akan diarahkan, mengapa dan bagaimana unit dapat mencapainya Berhubungan dengan aspek-aspek internal dan eksternal yang harus dianalisis sebagai dasar pijakan pembuatan rekomendasi strategi yang diterapkan, Indrajit (2000: 33)
menyebutkan bahwa di dalam aspek internal, ada empat hal utama yang harus dianalisis, yaitu: 1. Struktur Organisasi, mempelajari fungsi-fungsi yang ada dalam organisasi dan bagaimana keterkaitan antar fungsi tersebut 2. Proses dan Prosedur, mempelajari bagaimana proses dan prosedur penciptaan produk atau jasa yang ditawarkan perusahaan secara mendatail 3. SDM dan Budaya, mempelajari karakteristik manusia sebagai implementor sistem yang diterapkan perusahaan, terutama hal-hal yang melatarbelakangi terbentuknya budaya perusahaan 4. Sumber daya dan Infrastruktur, mempelajari sumber-sumber daya yang dimiliki perusahaan, seperti aset keuangan, manusia, informasi, waktu dan sebagainya. Dalam aspek eksternal, ada dua faktor yang harus dipelajari yaitu 1. Produk dan jasa (Pelayanan), yang merupakan alasan mengapa sebuah perusahaan didirikan, karena penjualan produk dan jasa inilah pendapatan diperoleh untuk mendapatkan profit atau keuntungan; 2. Pasar dan pelanggan, yang merupakan kumpulan dari para calon pembeli produk dan jasa yang ditawarkan. Cohn (2001:1) menyimpulkan bahwa rencana strategis memfokuskan pada kegiatan mengidentifikasi kunci isu-isu lingkungan yang mempengaruhi sebagai contoh, prakarsa dalam organisasi induk (untuk menjadi universitas riset bertaraf internasional) atau ketersediaan teknologi baru sebagai strategi mendefinisikan menyediakan
visi
layanan
fleksibilitas
yang
dalam
tersebut dalam merespon isu-isu ini,
menggambarkan
menerima
hasil
tujuan
ahkir
akhir
ini.
dengan
Selanjutnya
tetap dalam
pengembangan sebuah rencana teknologi dasar harus melibatkan delapan tahapan, sebagai berikut: 1. Meninjau keberadaan teknologi dan layanan-layanan yang ada. 2. Meninjau kebutuhan lingkungan dan pengguna 3. Menentukan prioritas 4. Mengembangkan misi, visi, dan tujuan untuk dilaksanakan 5. Mengembangkan proposal anggaran untuk menerapkan rencana yang telah dibuat 6. Mengevaluasi hasil yang telah dicapai 7. Mendefinisikan kembali prioritas, jika perlu
8. Memperbaharui dan merevisi rencana (Cohn, 2001; 2). Melihat pentingnya peranan teknologi informasi, maka harus ada suatu mekanisme yang dapat mengukur kinerja perangkat teknologi tersebut. Salah satu cara atau metode yang dapat dipakai adalah dengan menggunakan konsep information technology scorecard (balanced scorecards untuk kinerja teknologi informasi). Sama seperti halnya dalam balanced scorecards untuk bisnis, pada balanced scorecards untuk kinerja teknologi informasi terdapat 4 akses kinerja yang harus diukur, masing-masing adalah: 1. User Orientation untuk mengukur kepuasan para pengguna terhadap kinerja divisi teknologi informasi yang bertanggung jawab dalam menyediakan perangkat teknologi. 2. Corporate Contribution untuk mengukur seberapa jauh keberadaan teknologi dapat mendukung kebutuhan perusahaan. 3. Operational Excellence untuk mengukur tingkat efisiensi dan efektivitas proses terkait dengan manajemen atau pengelolaan teknologi informasi. 4. Future Orientation untuk mengukur seberapa jauh teknologi informasi dapat memberikan kontribusi terhadap tantangan bisnis masa depan (Indrajit, 2005: 250). SelanjInIndrajit (2005: 252) menjelaskan bahwa konsep tata kelola teknologi informasi yang dibutuhkan seperti di atas, kerap diistilahkan dengan IT Governance (information technolgy governance) yang diberi nama COBIT (Control Objective for Information and related Technology) yang telah terbukti berhasil diterapkan oleh berbagai perusahaan besar di dunia. Tata kelola TI bukan bidang yang terpisah, melainkan merupakan komponen dari pengelolaan perusahaan secara keseluruhan, dengan tanggung jawab utama: 1. Memastikan kepentingan stakeholder diikutsertakan dalam menyusun strategi perusahaan. 2. Memberikan arahan kepada proses-proses yang menerapkan strategi perusahaan. 3. Memastikan proses-proses tersebut menghasilkan keluaran yang terukur. 4. Memastikan adanya informasi mengenai hasil yang diperoleh dan mengukurnya. 5. Memastikan keluaran yang dihasilkan sesuai dengan yang diharapkan (Sadrah dan Surendo, 2005: 459) Menurut Weill & Ross (2004:13) digambarkan skema untuk membantu memahami, mendesain, mengkomunikasikan dan memelihara IT Governance yang efektif, yakni sebagai
berikut:
Enterprise Strategy & Organization
Relationship Governance
Business Performance Goals
Physical Asset Governance
IP Governance
IT Organization & Desirable Behaviors
HR Governance Financial Governance
IT Governance Arrangements - Decision Rights via
Relationship Metrics Physical Asset Metrics
Monarchies,
Federal etc.
IT Governance Mechanisms (e.g Committees, budgets etc.)
IP Metrics HR Metrics Financial Metrics
IT Metrics & Accountabilities
IT Decision Domains •Principles •Architecture •Infrastructure •Applications •Investment
Harmonize What
Harmonize How
IT Governance Design Framework Sumber : MIT Sloan School Center for Information Systems Research (CISR)(2003) Dari skema di atas dapat membantu untuk mengerti, cara mendesain, melakukan proses komunikasi, dan menindaklanjuti tata kelola TI yang efektif adalah dengan : 1. Menetapkan dengan baik dan tepat strategi organisasi 2. Untuk menetapkan dengan baik dan tepat strategi organisasi, maka organisasi harus memperhatikan perilaku organisasi dan pengadopsian TI dalam organisasi tersebut. 3. Kemudian untuk menetapkan strategi organisasi dengan baik, juga diperlukan perhatian dan pengaturan yang baik terhadap 6 (enam) aset yang ada di organisasi tersebut, yakni: relationship asset, physical asset, Intelectual property asset, human relation asset, financial asset dan TI. Sedang bagaimanakah cara mengatur semua asset tersebut dalam tata kelola TI adalah dengan memperhatikan mekanisme dari tata kelola TI-nya, yakni keputusan-keputusan tentang TI-nya. 4. Terakhir, untuk menciptakan strategi organisasi yang baik dalam kaitannya dengan penggunaan TI dalam organisasi, maka harus memperhatikan pula sasaran-sasaran pencapaian kerja tiap-tiap unit organisasi; yang sangat dipengaruhi oleh akuntabilitas pelaksanaan TI-nya. Federal model adalah salah satu governance archetypes dari enam archetypes (business monarchy, IT monarchy, feudal, federal, duopoly, dan anarchy) menurut MIT Sloan School
Center for Information Systems Research (CSIR) dalam buku Well & Ross (2004:11). Hal ini berkaitan dengan tipe kepemimpinan yang biasa digunakan oleh pimpinan pada suatu organisasi. Setiap archetype menunjukkan tipe orang-orang yang harus dilibatkan dalam proses pengambilan keputusan tentang penggunaan TI. Misalnya: 1. Business monarchy, pengambilan keputusan melibatkan top manajer saja 2. IT monarchy, pengambilan keputusan melibatkan IT specialist saja 3. Feudal, setiap unit/bagian dalam organisasi memiliki keputusan yg berbedabeda 4. Federal, pengambilan keputusan merupakan kombinasi antara keputusan pemerintah pusat dan pemerintah dibawahnya, dengan atau tanpa keterlibatan orangorang IT (dapat contracting out, outsourcing atau public private partnerships) 5. IT Duopoly , pengambilan keputusan oleh grup TI dan satu kelompok lain 6. Anarchy, pengambilan keputusan sentralistik, satu orang pengambil keputusan atau kalangan tertentu saja yang mengambil keputusan (Weill&Ross, 2004:12) Domain Style
IT Principles
IT Architecture
IT Infrastructure Strategies
Business Application Needs
IT Investment
Business Monarchy IT Monarchy Feudal Federal Duopoly Anarchy Don’t Know
IT Government Arrangements Metrics Sumber : MIT Sloan School Center for Information Systems Research (CISR)(2003) Dari archetypes diatas dapat disimpulkan bahwa masing-masing memiliki ciri-ciri proses pengambilan keputusan yang berbeda dalam manajemen TI-nya. Semuanya didasarkan kepada tipe kepemimpinan yang ada pada organisasi yang bersangkutan. Federal model
sajalah yang menunjukkan adanya keeratan koordinasi dan komunikasi antara institusi terkait dalam proses pengambilan keputusan TI-nya dan dalam manajemen TI-nya. Keputusan-keputusan yang harus diambil oleh tiap-tiap archetype dalam tata kelola TI, sebagai berikut: 1. IT principles, yakni mengklarifikasi peranan ITpada organisasi 2. IT
architecture,
yakni
mendefinisikan
standarstandar
IT
yang
akan
dilakukan;diwujudkan dalam keputusan-keputusan tentang pengaturan data dan aplikasi dalam penggunaan IT. 3. IT infrastructure, yakni menentukan bagian dan pelayanan yang akan diberikan 4. Business application needs, yakni menentukan kebutuhan organisasi berkaitan dengan penggunaan IT 5. IT investment dan prioritasisasi, yakni menentukan prioritas barang yang akan dibeli dan berapa biaya yang akan dikeluarkan Dari penjelasan diatas, dapat difahami bahwa dalam federal model, terjadi kerjasama dan koordinasi antara satu institusi dengan institusi yang lain dalam proses pengambilan keputusan tentang penggunaan TI-nya (keputusan tentang IT principles, IT architecture, IT infrastructure, business application needs, IT investment dan prioritasisasi seperti diatas). Dengan bantuan tata kelola teknologi informasi yang baik pada setiap unit organisasi maka dapat membantu koordinasi antar organisasi tersebut. Komunikasi dan adanya motivasi untuk berbagi informasi akan menambah erat koordinasi antar organisasi tersebut. Pada federal model juga bercirikan adanya keinginan atau motivasi untuk berbagi data dan informasi antar institusi. Seperti yang dikatakan oleh Weill & Ross (2004:89), bahwa the desire for shared data dan IT infrastructure is at the heart of federal model. Dengan demikian, jelaslah bahwa federal model yang mengikutsertakan pimpinan di level unit untuk berbagi informasi sangat tepat diaplikasikan, karena selama ini kebudayaan itu kurang sekali. Untuk pencapaian kinerja pada organisasi publik, maka diperlukan kemampuan mengelola yang tepat pada setiap organisasi pemerintah tersebut. Peranan CIO (Chief Information Officer) harus ditetapkan dan dilaksanakan dengan baik.
Berkaitan dengan implementasi tata kelola TI diperlukan prinsip-prinsip yang tepat yang sesuai dengan karakteristik institusi publik kita. Menurut Weill dan Ross (2004:114), prinsip-prinsip penerapan tata kelola TI yang baik adalah sebagai berikut: 1. Simpel; artinya mekanisme pengimplementasian tata kelola TI mesti mendefinisikan dahulu tanggungjawab dan tujuan yang jelas dari tiap-tiap organisasi tersebut. Organisasi publik kita yang pada intinya bertanggungjawab dalam pemberian pelayanan kepada masyarakat harus disinergiskan dengan
tujuannya yaitu kesejahteraan masyarakat. 2. Transparan; artinya adanya mekanisme yang efektif dan proses yang jelas bagi siapapun yang berkaitan dengan keputusan yang dibuat tentang TI. 3. Kecocokan; artinya mekanisme tata kelola TI-nya harus mengikutsertakan individu-individu yang mempunyai kemampuan dibidangnya. Kinerja tata kelola TI dalam sektor publik juga perlu diukur berkaitan dengan nilai atau motif yang berbeda dengan sektor privat. Pengukuran ini memiliki peran yang penting berkaitan dengan penentuan strategi organisasi dan pengaturan atau manajemen organisasinya. Moore dalam Weill dan Ross (2004:191) menentukan tiga faktor utama yang berkaitan dengan managemen TI di sektor publik, yakni lingkungan, kapabilitas dan value (nilai). Lingkungan terdiri dari pelanggan, penyedia keuangan, dan kekuatan politik yang ada di masyarakat; kapabilitas adalah kemampuan organisasional dan kondisi eksternal organisasi; dan public value yakni barang dan jasa, barang publik dan modal Tugas & Latihan
Berdasarkan hasil aktivitas kelompok pertemuan sebelumnya, masingmasing kelompok kemudian diminta untuk •
Mencari dokumentasi standar audit dengan detail sebagai berikut: o Kelompok1: COBIT o Kelompok2: COSO o Kelompok3: ITIL o Kelompok4: Prince2 Project Management o Kelompok5: Information Security o Kelompok6: Quality Management o Kelompok7: tata kelola TI
•
Setiap kelompok diminta mempresentasikan dan menjelaskan perspektif masing-maisng standar
Rangkuman
COBIT, ITIL, COSO, Prince Project Management, Information Security dan Quality Management merupakan standar baseline untuk menjadi kompetensi yang baik sebagai auditor teknologi informasi. Pemahaman mengenai cara kerja, domain, prinsip dan beberapa praktek terbaik dari setiap standar akan memberikan wacana bekerja sebagai auditor yang berkompetensi.
PENUTUP Tes Formatif
Penilaian berdasarkan hasil presentasi masing-maisng kelompok dengan komponen sebagai berikut: •
Standar terbaru : 20 poin
•
Penjelasan dan pemahamaan mengenai standar : 15 poin
•
Relasi dengan standar yang lain : 15 poin
Akumulasi poin setiap kelompok akan dijadikan bahan untuk melakukan evaluasi mengenai standar pada audit dan kontrol teknologi informasi. Bentuk penugasan adalah presentasi kelompok.
Petunjuk Penilaian dan Umpan Balik
Penilaian akan didasarkan dengan detail sebagai berikut: •
Standar terbaru : 20 poin
•
Penjelasan dan pemahamaan mengenai standar : 15 poin
•
Relasi dengan standar yang lain : 15 poin
Umpan balik akan dilakukan dengan cara sebagai berikut: •
Dosen akan memberikan pertanyaan trigger untuk membangkitan diskusi dan argumentasi yang tepat
•
Peserta kuliah lain diperbolehkan mendebat dan mendiskusikan setiap argument dari kelompok yang lainnya
Tindak Lanjut
Sebagai materi yang membahas standar maka akan dilanjutkan pada detail pembahasan setiap komponen standar yang ada.
