PENGEMBANGAN APLIKASI E-UNIVERSITY: SISTEM INFROMASI PENGELOLAAN AUDIT TEKNOLOGI INFORMASI BERBASIS RISIKO MENGGUNAKAN FRAMEWORK COBIT VERSI 4.1 1
Ira Gustiarni, 2Seno Adi Putra, 3Murahartawaty Program Studi Sistem Informasi Institut Teknologi Telkom Jln. Telekomunikasi No. 1 Terusan Buah batu Bandung 40257
[email protected],
[email protected],
[email protected]
ABSTRAK
ABSTRACT
Audit teknologi informasi berbasis risiko merupakan suatu proses yang sangat mendukung untuk terciptanya IT Governance yang baik di suatu perguruan tinggi. Namun pada kenyataan masih banyak perguruan tinggi yang belum menerapkan audit teknologi informasi berbasis risiko. Akibatnya, muncul permasalahanpermasalahan terkait IT Governance seperti belum adanya pemahaman tentang risiko teknologi informasi, kurangnya tanggungjawab terhadap pengelolaan risiko teknologi informasi, dan tidak adanya pengukuran tingkat kematangan kinerja teknologi informasi yang digunakan sehingga perguruan tinggi tidak mengetahui apakah teknologi informasi yang digunakan telah sesuai dengan tujuan yang diharapkan. Untuk itu, diperlukan sistem informasi untuk mengelola audit teknologi informasi berbasis risiko. Sistem informasi pengelolaan audit teknologi informasi berbasis risiko yang dibangun pada penelitian ini berdasarkan pada framework COBIT 4.1. Sistem ini memfasilitasi proses risk assessment terhadap proses bisnis, menyediakan document checklist, serta proses perhitungan maturity level proses pengelolaan TI. Sistem informasi pengelolaan audit teknologi informasi berbasis risiko dibangun menggunakan teknologi Java EE dan struts framework dan menerapkan arsitektur multitier. Metode yang digunakan untuk pengembangan sistem pada penelitian ini adalah metode iterative and incremental
Risk-based information technology audit is a process that supports good IT Governance in a university. In fact, universities that have been implementing IT to support their business have not implemented risk-based information technology audit yet. It causes emerging issues related to IT governance such as lack of understanding about information technology risks, lack of responsibility for information technology risk management, and no measurement of information technology maturity level. As the result, university could not know about the alignment of information technology implementation with its objective. Therefore, it is necessary to implement information system that supports risk-based information technology audit activity. Information system of risk-based information technology audit built in this research refers to COBIT 4.1 framework. This system facilitates the process of calculating business processes risk assessment, provides checklist document, and calculates maturity level of IT management process. Information system of risk-based information technology audit was built using Java EE technology and the Struts Framework and it implements multitier architecture. Iterative and incremental method was used as system development method.
Kata Kunci: IT Governance, sistem informasi audit berbasis risiko,COBIT 4.1, Teknologi Java EE, arsitektur multitier, iterative dan incremental
Key words: IT Governance, information system of risk-based information technology audit, Java EE technology, multitier, iterative and incremental
I. PENDAHULUAN Perkembangan teknologi informasi yang sangat pesat dalam beberapa tahun ini telah membawa perubahan yang sangat signifikan di berbagai bidang kehidupan termasuk di bidang pendidikan terutama perguruan tinggi. Perkembangan teknologi informasi di perguruan tinggi telah membawa dampak yang positif terhadap penyampaian informasi dan layanannya. Selain memiliki dampak yang positif, teknologi informasi
pada saat ini telah menjadi faktor kunci keberhasilan suatu perguruan tinggi untuk mencapai keunggulan kompetitif. Dengan adanya teknologi informasi proses-proses yang ada di suatu perguruan tinggi dapat terotomatisasi sehingga memudahkan dalam penggunaannya Pemanfaatan teknologi informasi di perguruan tinggi juga harus didukung oleh IT Governance
yang merupakan faktor penting dalam pemanfaatan teknologi informasi. IT Governance memastikan adanya pengukuran yang efesien dan efektif terhadap peningkatan proses bisnis melalui struktur yang menautkan proses-proses, sumberdaya, dan informasi ke arah tujuan strategis organisasi. IT governance memadukan dan melembagakan best practice dari proses perencanaan, pengelolaan, penerapan, pelaksanaan, pendukung, dan pengawasan kinerja teknologi informasi untuk memastikan bahwa informasi dan teknologi yang terkait benar-benar menjadi pendukung bagi pencapaian sasaran organisasi. Dengan adanya IT Governance, proses bisnis yang ada akan menjadi lebih transparan, keuntungan optimum investasi teknologi informasi akan tercapai, dan semua potensi risiko investasi teknologi informasi telah diantisipasi atau dikendalikan dengan baik.
secara manual. Jenis aktifitas ini disebut audit dengan komputer. Audit teknologi informasi sendiri merupakan gabungan dari berbagai macam ilmu, antara lain traditional audit, manajemen sistem informasi, sistem informasi akuntansi, ilmu komputer, dan behavioral science. Audit teknologi informasi bertujuan untuk meninjau dan mengevaluasi faktor-faktor availability, confidentially, dan integrity dari sistem informasi.
Salah satu cara yang dapat diterapkan untuk mewujudkan IT Governance yang baik adalah dengan melakukan audit teknologi informasi berbasis risiko. Audit teknologi informasi merupakan proses pengujian terhadap infrastruktur teknologi informasi untuk mengetahui apakah sistem yang sedang digunakan dan berjalan dapat menjamin keamanan aset yang dimiliki, integritas data, dan efektifitas operasi dalam mencapai tujuan yang telah ditetapkan. Sedangkan definisi risiko teknologi informasi merupakan risiko bisnis yang terkait dengan penggunaan, kepemilikan, operasi, keterlibatan, pengaruh, dan penerapan teknologi infromasi dalam suatu institusi.
Metodologi audit adalah sebagai berikut : 1. Tahap Preaudit. Tahap ini biasa disebut sebagai tahap perencanaan. Tahap ini adalah tahap yang paling penting sebagai dasar atau arahan untuk melakukan audit agar tidak melenceng dari tujuan. Tahap ini dimulai dengan mengidentifikasi sistem yang akan diaudit dan menentukan tujuan audit dan ruang lingkup audit. Program audit berupa checklist juga harus disusun untuk memudahkan auditor dalam melakukan auditnya.
Untuk memudahkan proses audit, diperlukan sistem informasi pengelolaan kegiatan audit internal teknologi informasi berbasis risiko. Sistem ini melakukan perhitungan risk assessment, menampilkan document checklist, dan perhitungan maturity level proses berdasarkan framework COBIT versi 4.1
II. AUDIT TEKNOLOGI INFORMASI BERBASIS RISIKO Secara umum audit teknologi informasi merupakan proses kontrol dan pengujian infrastruktur teknologi informasi yang terkait dengan masalah audit finansial dan audit internal. Audit teknologi informasi, lebih dikenal dengan istilah Electronic Data Processing Auditing, biasanya digunakan untuk menguraikan dua jenis aktifitas yang berkaitan dengan komputer. Salah satu penggunaan istilah tersebut adalah untuk menjelaskan proses penelahan dan evaluasi pengendalian-pengendalian internal dalam EDP. Jenis aktifitas ini disebut auditing melalui komputer. Penggunaan istilah lainnya adalah untuk menjelaskan pemanfaatan komputer oleh auditor untuk melaksanakan beberpa pekerjaan audit yang tidak dapat dilakukan
Audit berbasis risiko adalah metodologi pemeriksaan yang digunakan untuk memberikan jaminan bahwa risiko telah dikelola dalam batasan yang telah ditetapkan manajemen. Ada 2 hal utama yang harus dipahami oleh internal auditor, yaitu aspek pengendalian dari setiap proses bisnis yang terkait dan risiko dan faktor-faktor pengendalian guna mendukung pencapaian sasaran perusahaan
2. Tahap Field Work. Tahap ini disebut sebagai tahap pelaksanaan audit. Tahap ini dimulai dengan pengumpulan data yang dapat diperoleh melalui interview, observasi, testing sistem, dan review kebijakan dan SOP. Selanjutnya, akan ditemukan temuan-temuan dari hasil audit. Temuan-temuan tersebut akan dipetakan ke tingkat kematangan teknologi informasi dan dievaluasi sehingaa akan muncul analisis gap.
III. SISTEM INFORMASI AUDIT TEKNOLOGI INFROMASI PERGURAN TINGGI BERBASIS RISIKO DENGAN FRAMEWORK COBIT 4.1
Sistem informasi audit teknologi informasi berbasis risiko mengotomatisasi proses-proses yang terkait dengan perencanaan audit, simulasi audit, dan pelaporan hasil audit. Fitur pertama sistem adalah data master yang berisi data-data tentang tujuan bisnis, tujuan teknologi informasi, dan proses berdasarkan COBIT. Data master ini juga berisi data-data proses bisnis, aset, dan indikator risiko. Fitur kedua adalah risk assessment. Fitur ini terbagi menjadi tiga bagian, yaitu input proses bisnis yang akan dinilai, analisis vulnerability & likelihood proses bisnis, dan analisis prioritas proses bisnis dengan menampilkan grafik.
Fitur ketiga adalah field working. Fitur ini terbagi menjadi tiga bagian yaitu: 1. simulasi audit. Fitur ini memfasilitasi proses audit. Di dalam fitur ini terdapat proses mapping tujuan bisnis, tujuan teknologi informasi, dan proses berdasarkan COBIT 4.1. Selain itu, fitur ini memfasilitasi document checklist yang digunakan dalam proses simulasi. Output dari proses simulasi audit berupa nilai maturity dari setiap proses beserta grafiknya; 2. rekapitulasi temuan. Fitur ini memfasilitasi auditor dan auditee untuk melihat temuan sesuai dan tidak sesuai dari simulasi audit yang telah dilakukan; 3. fitur rekomendasi. Fitur ini memfasilitasi auditor untuk memasukkan rekomendasirekomendasi perbaikan yang harus dilakukan oleh auditee.
Selain analisis vulnerability & likelihood, output dari risk assessment adalah analisis prioritas proses bisnis yang akan diaudit beserta grafiknya. Analisis prioritas proses bisnis menampilkan nilai risiko dan tingkat risiko dari proses bisnis. Tingkatan risiko dari proses bisnis ini dibagi menjadi tiga, yaitu rendah, sedang dan tinggi.
Gambar 2 Matriks Tingkat Risiko
Fitur keempat adalah pelaporan. Fitur ini memfasilitasi pembuatan laporan hasil audit. Laporan hasil audit berisikan nama kegiatan, tanggal, penangung jawab, hasil risk assessment beserta grafiknya, hasil temuan beserta grafiknya, dan rekomendasi perbaikan yang harus dilakukan oleh auditee. Proses audit teknologi informasi berbasis risiko di perguruan tinggi dimulai dari auditor membuat portofolio kegiatan audit. Di dalam portofolio ini terdapat nama kegiatan, tanggal dimulainya kegiatan, tanggal selesai kegiatan audit, dan penanggungjawab kegiatan. Selanjutnya auditor dapat memilih menu pre-audit. Penanggung jawab audit menginputkan data-data tim auditor dan mengunggah timeline kegiatan audit dari Microsoft Project ke dalam sistem. Proses selanjutnya, auditor melakukan risk assessment terhadap proses bisnis yang ada di perguruan tinggi. Proses risk assessment ini hanya dapat dilakukan sekali dalam setiap simulasi sehingga harus dipastikan proses bisnis yang ada telah dilakukan penilaian secara menyeluruh. Hasil dari penilaian risiko tersebut merupakan analisis vulnerability & likelihood setiap proses bisnis
Gambar 1 Halaman analisis vulnerability & likelihood
Gambar 3 Halaman analisis prioritas proses bisnis
Proses audit dilanjutkan dengan melakukan audit. Pada aktifitas ini, auditor terlebih dahulu memilih tujuan bisnis berdasarkan COBIT versi 4.1, proses bisnis, dan aset perguruan tinggi yang terkait dengan proses audit. Selanjutnya sistem secara otomatis menampilkan informasi mengenai tujuan bisnis, proses bisnis, aset, tujuan teknologi informasi, dan proses-proses COBIT yang digunakan untuk diaudit. Pada tahapan ini, auditor dapat menggunakan seluruh proses COBIT atau memilih beberapa proses saja.
Gambar 4 Halaman Mapping proses yang akan diaudit
Selanjutnya, sistem akan menampilkan document checklist berdasarkan proses COBIT yang telah dipilih pada tahapan sebelumnya. Di tahapan ini auditor dapat mengisi nilai maturity (05) dan responsibility (1-4) dari setiap pertanyaan.
Gambar 7 Halaman rekap temuan beserta grafiknya
Gambar 5 Halaman document checklist
Hasil dari pengolahan document checklist merupakan nilai maturity level beserta grafik dari setiap proses. Apabila nilai maturity yang dihasil 02.5 maka proses yang diaudit dikategorikan ke dalam temuan tidak sesuai. Namun apabila nilai maturity yang dihasil 2.51-5, maka proses yang diaudit dikategorikan ke dalam temuan sesuai. Setelah melihat hasil maturity tersebut, auditor dapat memberikan keterangan dari setiap.
Gambar 8 Halaman rekap grafik maturity setiap proses
Akhirnya, proses audit teknologi informasi berbasis risiko selesai. Selanjutnya, dilakukan exit conference untuk mengkonfimasi temuan-temuan tersebut kepada auditee. Proses ini dilakukan secara off line atau tidak menggunakan sistem. Karena proses ini mengharuskan auditor dan auditee untuk bertemu. Apabila proses exit conference telah selesai dilakukakan, maka auditor memasukkan rekomendasi-rekomendasi perbaikan ke dalam sistem. Proses terakhir yang dilakukan adalah mencetak laporan hasil audit. Laporan ini hanya dapat dicetak jika auditor telah memasukkan rekomendasi ke dalam sistem. Di dalam laporan ini tercatat jadwal kegiatan audit, hasil risk assessment beserta grafiknya, temuan sesuai dan tidak sesuai beserta grafiknya, dan rekomendasi perbaikan.
Gambar 6 Halaman maturity level
Proses selanjutnya adalah rekap temuan yang merekap seluruh temuan yang sesuai dan tidak sesuai dari seluruh tujuan bisnis COBIT versi 4.1 yang dipilih di tahao sebelumnya. Pada proses ini ditampilan dua jenis grafik yaitu grafik yang menggambarkan banyaknya temuan sesuai dan tidak sesuai dan grafik yang menggambarkan jumlah nilai maturity dari setiap proses.
Gambar 9 Halaman laporan hasil audit
Sedangkan untuk auditee, fitur yang dapat dilihat adalah halaman hasil risk assessment beserta grafiknya, halaman temuan, dan halaman rekomendasi.
Client Tier merupakan bagian yang digunakan pengguna untuk mengakses aplikasi. Tier ini menggunakan web browser untuk mengakses sistem. Berikut ini gambaran umum arsitektur multitier yang diimplementasikan di aplikasi audit teknologi informasi berbasis risiko TCP Business ; ogic
Presentatin Layer
TCP
TCP
Database
Client
Gambar 11 Arsitektur multitier pada aplikasi audit teknologi informasi berbasis risiko dengan Java EE Gambar 10 Home auditee
IV. PERTIMBANGAN TEKNOLOGI
DAFTAR PUSTAKA
Aplikai audit teknologi informasi berbasis risiko dibangun dengan menggunakan teknologi Java EE, Enterprise Java Bean dan Struts Framework dengan metode iterative dan incremental. Teknologi ini mendukung arsitektur multitier. Kinerja sistem membutuhkan dukungan multitier untuk skalabilitas tinggi.
[1] brawijaya, S. p. "Audit Teknologi Informasi". Retrieved Oktober 15, 2012, from http://spi.ub.ac.id/layanan/audit-teknologiinformasi [2] Gondodiyoto, S. Audit Sistem Informasi + Pendekatan CobIT. Jakarta: Mitra Wacana Media. 2007 [3] Goncalves, Antonio (2010). “Beginning Java EE 6 with GlassFish 3 (Expert's Voice in Java Technology)” [4] Rubinger, Andrew Lee, Bill Burke. “Enterprise JavaBeans 3.1”. 2011 [5] SACA (Information System Audit and Control Association). "COBIT (Control Objective for Information and Related Technology) 4.1" [6] Sarno, Riyanarto. Audit Sistem dan Teknologi Informasi. Surabaya: ITS Press, 2009. [7] Setyobudi, Yayon Wahyu. "Pemodelan Penilaian Risiko (Risk Assessment) Dalam Perencanaan Audit Umum Pada Divisi Audit Intern (Studi Kasus pada PT Bank ABC Kantor Cabang Jakarta).". 2006. [8] Surbakti Herison. “Standar Framework Pada Proses Pengelolaan It Governance Dan Audit Sistem Informasi.” Tesis
Konfigurasi multitier yang digunakan terdiri dari client tier, presentation tier, business logic tier, dan database tier. Presentation Tier merupakan bagian yang diakses langsung oleh pengguna aplikasi. Presentation tier di sistem ini menggunakan Struts Framework sebagai teknologinya. Framework ini menerapkan arsitektur Model-View-Controller (MVC) dengan penggunaaan Java Servlet dan Java Server Pages (JSP) sebagai teknologinya. Bussiness logic tier atau dikenal sebagai application tier merupakan tier yang di dalamnya terdapat proses bisnis dan query untuk mengakses database. Teknologi yang berperan pada tier ini adalanh Enterprise JavaBean (EJB). EJB merupakan objek yang dapat dipanggil secara remote dan merupakan komponen kunci untuk membangun aplikasi mutitier. Pada database tier digunakan teknologi Microsoft SQL Server sebagai database relational management system.