IT Governance Dan Audit Sistem Informasi

4,065
-1

Published on

Standar Framework Pada Proses Pengelolaan IT Governance Dan Audit Sistem Informasi

Published in: Education, Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
4,065
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
347
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

IT Governance Dan Audit Sistem Informasi

  1. 1. Tugas Pra UAS Sistem Informasi Korporat – 27 April 2011 Standar Framework Pada Proses Pengelolaan IT Governance Dan Audit Sistem Informasi Herison Surbakti, Universitas Atma Jaya Yogyakarta, Magister Teknik Informatika Email: herisonsurbakticc@gmail.com ABSTRAK IT Governance bukan bidang yang terpisah dari pengelolaan organisasi, melainkan merupakan komponendari pengelolaan organisasi secara keseluruhan, dengan tanggung jawab utama yang emastikan kepentinganstakeholder diikutsertakan dalam penyusunan strategi perguruan tinggi, memberikan arahan kepada proses-prosesyang menerapkan strategi perguruan tinggi, memastikan proses-proses tersebut menghasilkan keluaran yang terukur,memastikan adanya informasi mengenai hasil yang diperoleh dan mengukurnya dan memastikan keluaran yangdihasilkan sesuai dengan yang diharapkan. Penerapan TI di suatu perusahaan tidak selamanya selaras dengan strategi dan tujuan perguruan tinggi.Untuk itu perlu dilakukan analisis terhadap infrastruktur dan pengelolaan TI yang ada agar dapat selalu dipastikankesesuaian infrastruktur dan pengelolaan yang ada dengan tujuan perguruan tinggi. Analisis yang dilakukan haruslah berdasarkan standar yang umum dan diakui secara luas.Ada beberapa standar yang telah mendapat pengakuan secara luas, antara lain ITIL, ISO/IEC 17799, COSO danCOBIT. Dengan menggunakan standar-standar tersebut, maka tujuan penerapan TI di sebuah perusahaan akan sesuaidengan tujuan yang diharapkan dan menghindarkan dari terjadinya kerugian akibat risiko-risiko penerapan yangtidak terpetakan. Herison Surbakti – 08061/PS/MTF
  2. 2. Tugas Pra UAS Sistem Informasi Korporat – 27 April 2011IT Governance 3. Penggunaan sumber daya TI yang bertanggung jawab.Penerapan TI di perusahaan akan dapat 4. Penanganan manajemen risiko yangdilakukan dengan baik apabila ditunjang dengan terkait TI secara tepat.suatu pengelolaan TI (IT Governance) dari mulaiperencanaan sampai implementasinya. Alasan terpenting mengapa IT governance penting adalah bahwa ekspektasi dan realitasDefinisi IT Governance menurut ITGI adalah sering kali tidak sesuai. Shareholder perusahaan“Suatu bagian terintegrasi dari kepengurusan selalu berharap perusahaan untuk :perusahaan serta mencakup kepemimpinan 1. Memberikan solusi TI dengan kualitasdan struktur serta proses organisasi yang yang bagus, tepat waktu, dan sesuaimemastikan bahwa TI perusahaan dengan anggaran.mempertahankan dan memperluas strategi 2. Menguasai dan menggunakan TI untukdan tujuan organisasi.” mendatangkan keuntungan. 3. Menerapkan TI untuk meningkatkan efisiensi dan produktifitas sambil menangani risiko TI. IT governance yang tidak efektif akan menjadi awal terjadinya pengalaman buruk yang dihadapi perusahaan , seperti: 1. Kerugian bisnis, berkurangnya reputasi, dan melemahnya posisi kompetisi. 2. Tenggat waktu yang terlampaui, biaya lebih tinggi dari yang diperkirakan, dan kualitas lebih rendah dari yang telah diantisipasi.Kegunaan TI Governance adalah untuk mengatur 3. Efisiensi dan proses inti perusahaanpenggunaan TI, dan memastikan performa TI terpengaruh secara negatif olehsesuai dengan tujuan berikut ini : rendahnya kualitas penggunaan TI. 1. Keselarasan TI dengan perusahaan dan 4. Kegagalan inisiatif TI untuk melahirkan realisasi keuntungan-keuntungan yang inovasi atau memberikan keuntungan dijanjikan dari penerapan TI. yang dijanjikan. 2. Penggunaan TI agar memungkinkan perusahaan mengekploitasi kesempatan yang ada dan memaksimalkan keuntungan.Herison Surbakti – 08061/PS/MTF
  3. 3. Tugas Pra UAS Sistem Informasi Korporat – 27 April 2011Dalam studi ITGI mengenai Status Global sangat terstruktur yang dapat denganPenguasaan IT, ada 10 masalah besar di bidang mudah difahami dan diikuti olehTI yang dialami oleh para CEO dan CIO, yaitu manajemen. Lebih lanjut lagi, framework yang terstruktur dengan baik akan 1. Kurangnya pandangan mengenai memberikan setiap orang pandangan seberapa baik TI berfungsi. yang relatif sama. 2. Kegagalan operasional TI. 3. Best Practices – standar-standar 3. Masalah penempatan karyawan bidang tersebut telah dikembangkan dalam TI. jangka waktu yang relatif lama dan 4. Jumlah masalah dan kejadian dalam TI. melibatkan ratusan orang dan organisasi 5. Biaya TI yang tinggi dengan perolehan di seluruh dunia. Pengalaman yang kembali modal (ROI) yang rendah. direfleksikan dalam model-model 6. Kurangnya pengetahuan mengenai pengelolaan yang ada tidak dapat sistem penting. dibandingkan dengan suatu usaha dari 7. Kurangnya kemampuan mengelola data. satu perusahaan tertentu. 8. Pemutusan hubungan antara strategi TI 4. Knowledge Sharing – dengan mengikuti dan bisnis. standar yang umum, manajemen akan 9. Ketergantungan pada entitas di luar dapat berbagi ide dan pengalaman antar pengawasan langsung. organisasi melalui user groups, website, 10. Jumlah kesalahan yang disebabkan oleh majalah, buku, dan media informasi sistem penting. lainnya.Marios Damianides, ketua internasional ITGI 5. Auditable – tanpa standar baku, akanmenyatakan, "Hasil-hasil ini menunjukkan sangat sulit bagi auditor, terutamakesenjangan antara masalah TI dan auditor dari pihak ketiga, untukpendahuluan rencana aksi untuk memusatkan melakukan kontrol secara efektif.perhatian pada masalah tersebut". Dengan adanya standar, maka baik manajemen maupun auditor mempunyaiPenggunaan standar IT Governance mempunyai dasar yang sama dalam melakukankeuntungan-keuntungan sebagai berikut: pengelolaan TI dan pengukurannya. 1. The Wheel Exists – penggunaan standar Model Standar IT Governance yang sudah ada dan mature akan sangat efisien. Perusahaan tidak perlu Ada berbagai standar model IT Governance yang mengembangkan sendiri framework banyak digunakan saat ini, antara lain: dengan mengandalkan pengalamannya 1. ITIL (The IT Infrastructure Library) sendiri yang tentunya sangat terbatas. 2. ISO/IEC 17799 (The International 2. Structured – standar-standar yang baik Organization for Standardization / The menyediakan suatu framework yangHerison Surbakti – 08061/PS/MTF
  4. 4. Tugas Pra UAS Sistem Informasi Korporat – 27 April 2011 International Electrotechnical b. Capacity Management. Commission) c. IT Service Continuity 3. COSO (Committee of Sponsoring Management. Organization of the Treadway d. Service Level Management. Commission) 4. COBIT (Control Objectives for e. Financial Management for TI Information and related Technology) Services. f. Security Management. 1. ITIL – The IT Infrastructure Library Standar ITIL berfokus kepada pelayananITIL dikembangkan oleh The Office of customer, dan sama sekali tidak menyertakanGovernment Commerce (OGC) suatu badan proses penyelarasan strategi perusahaandibawah pemerintah Inggris, dengan bekerja terhadap strategi TI yang dikembangkan.sama dengan The IT Service ManagementForum (itSMF) – suatu organisasi independenmengenai manajemen pelayanan TI – dan BritishStandard Institute (BSI) – suatu badan 2. ISO/IEC 17799penetapan standar pemerintah Inggris. ISO/IEC 17799 dikembangkan oleh TheITIL merupakan suatu framework pengelolaan International Organization for Standardizationlayanan TI (IT Service Management – ITSM) (ISO) dan The International Electrotechnicalyang sudah diadopsi sebagai standar industri Commission (IEC) dengan titel "Informationpengembangan industri perangkat lunak di dunia. Technology - Code of Practice for Information Security Management". ISO/IEC 17799 dirilisITIL framework terdiri dari dua bagian utama, pertama kali pada bulan desember 2000.yaitu: ISO/IEC 17799 bertujuan memperkuat 3 (tiga) 1. Service Support element dasar keamanan informasi (1), yaitu a. Service Desk. 1. Confidentiality – memastikan bahwa b. Incident Management. informasi hanya dapat diakses oleh yang berhak. c. Problem Management. 2. Integrity – menjaga akurasi dan d. Configuration Management. selesainya informasi dan metode e. Change Management. pemrosesan. 3. Availability – memastikan bahwa user f. Release Management. yang terotorisasi mendapatkan akses 2. Service Delivery kepada informasi dan aset yang a. Availability Management. terhubung dengannya ketika memerlukannya.Herison Surbakti – 08061/PS/MTF
  5. 5. Tugas Pra UAS Sistem Informasi Korporat – 27 April 2011ISO/IEC 17799 terdiri dari 10 domain (1), yaitu: 3. COSO – Committee of Sponsoring Organization of the Treadway 1. Security Policy – memberikan panduan Commission dan masukan pengelolaan dalam meningkatkan keamanan informasi. COSO merupakan kependekan dari Committee 2. Organizational Security – memfasilitasi of Sponsoring Organization of the Treadway pengelolaan keamanan informasi dalam Commission, sebuah organisasi di Amerika yang organisasi. berdedikasi dalam meningkatkan kualitas 3. Asset Classification and Control – pelaporan finansial mencakup etika bisnis, melakukan inventarisasi aset dan kontrol internal dan corporate governance. melindungi aset tersebut dengan efektif. Komite ini didirikan pada tahun 1985 untuk 4. Personnel Security – meminimalisasi mempelajari faktor-faktor yang menunjukan risiko human error, pencurian, ketidaksesuaian dalam laporan finansial. pemalsuan atau penggunaan peralatan yang tidak selayaknya. 5. Physical and Environmental Security – menghindarkan violation, deterioration atau disruption dari data yang dimiliki. 6. Communications and Operations Management – memastikan penggunaan yang baik dan selayaknya dari alat-alat pemroses informasi. 7. Access Control – mengontrol akses informasi. 8. Systems Development and Maintenance – memastikan bahwa keamanan telah terintegrasi dalam sistem informasi yang ada. 9. Business Continuity Management – meminimalkan dampak dari terhentinya 1. Komponen kontrol COSO proses bisnis dan melindungi proses- COSO mengidentifikasi 5 komponen proses perusahaan yang mendasar dari kontrol yang diintegrasikan dan kegagalam dan kerusakan yang besar. dijalankan dalam semua unit bisnis, dan 10. Compliance – menghindarkan terjadinya akan membantu mencapai sasaran tindakan pelanggaran atas hukum, kontrol internal: kesepakatan atau kontrak, dan kebutuhan keamanan. a. Monitoring. b. Information and communications.Herison Surbakti – 08061/PS/MTF
  6. 6. Tugas Pra UAS Sistem Informasi Korporat – 27 April 2011 c. Control activities. COBIT Framework terdiri atas 4 domain utama: d. Risk assessment. 1. Planning & Organisation. e. Control environment. Domain ini menitikberatkan pada proses 2. Sasaran kontrol internal perencanaan dan penyelarasan strategi Sasaran kontrol internal dikategorikan TI dengan strategi perusahaan. menjadi beberapa area sebagai berikut: 2. Acquisition & Implementation. a. Operations – efisisensi dan Domain ini menitikberatkan pada proses efektifitas operasi dalam pemilihan, pengadaaan dan penerapan mencapai sasaran bisnis yang teknologi informasi yang digunakan. juga meliputi tujuan performansi 3. Delivery & Support. dan keuntungan. Domain ini menitikberatkan pada proses b. Financial reporting – persiapan pelayanan TI dan dukungan teknisnya. pelaporan anggaran finansial yang dapat dipercaya. 4. Monitoring. c. Compliance – pemenuhan Domain ini menitikberatkan pada proses hukum dan aturan yang dapat pengawasan pengelolaan TI pada dipercaya. organisasi. 3. Unit / Aktifitas Terhadap Organisasi Dimensi ini mengidentifikasikan unit/aktifitas pada organisasi yang menghubungkan kontrol internal. Kontrol internal menyangkut keseluruhan organisasi dan semua bagian-bagiannya. Kontrol internal seharusnya diimplementasikan terhadap unit-unit dan aktifitas organisasi.4. COBIT – Control Objectives for Information and related TechnologyCOBIT Framework dikembangkan oleh ITGovernance Institute, sebuah organisasi yangmelakukan studi tentang model pengelolaan TIyang berbasis di Amerika Serikat.Herison Surbakti – 08061/PS/MTF
  7. 7. Tugas Pra UAS Sistem Informasi Korporat – 27 April 2011Masing-masing domain terdiri dari high-level Levelscontrol-objectives sebagai berikut: 2. DS2 Manage Third-party Services 3. DS3 Manage Performance andDomain Planning & Organisation Capacity 1. PO1 Define a Strategic TI Plan 4. DS4 Ensure Continous Services 2. PO2 Define the Information 5. DS5 Ensure System Security Architecture 6. DS6 Indentify and Allocate Cost 3. PO3 Determine Technological 7. DS7 Educate and Train Users Direction 8. DS8 Manage Service desk and 4. PO4 Define the TI Organisation and incidents Relationships 9. DS9 Manage the Configurations 5. PO5 Manage the TI Investment 10. DS10 Manage Problems 6. PO6 Communicate Management 11. DS11 Manage Data Aims and Direction 12. DS12 Manage the Physical 7. PO7 Manage IT Human Resources Environment 8. PO8 Manage Quality 13. DS13 Manage Operations 9. PO9 Assess and Manage IT Risks 10. PO10 Manage Projects Domain Monitoring 1. M1 Monitor and Evaluate ITDomain Acquisition & Implementation Performance 1. AI1 Identify Automated Solutions 2. M2 Monitor and Evaluate IInternal 2. AI2 Acquire and Maintain Application Controll Software 3. M3 Ensure Compliance with external 3. AI3 Acquire and Maintain requirements Technology Infrastructure 4. M4 Provide IT Governance 4. AI4 Enable Operation and use 5. AI5 Procure IT Resources 6. AI6 Manage Changes 7. AI7 Install and Accredit Solutions and changesDomain Delivery & Support 1. DS1 Define and Manage ServiceHerison Surbakti – 08061/PS/MTF
  8. 8. Tugas Pra UAS Sistem Informasi Korporat – 27 April 2011COBIT mempunyai model kematangan (maturitymodels) untuk mengontrol proses-proses TIdengan menggunakan metode penilaian(scoring) sehingga suatu organisasi dapatmenilai proses-proses TI yang dimilikinya dariskala non-existent sampai dengan optimised(dari 0 sampai 5). Maturity models ini akanmemetakan: 1. Current status dari organisasi – untuk melihat posisi organisasi saat ini. 2. Current status dari kebanyakan industri saat ini – sebagai perbandingan. 3. Current status dari standar internasional 2. Perbandingan COBIT dengan ISO/IEC – sebagai perbandingan tambahan. 17799 4. Strategi organisasi dalam rangka Tabel 2 menunjukkan bahwa ISO/IEC 17799 perbaikan – level yang ingin dicapai oleh melakukan sebagian proses-proses pada seluruh organisasi. domain COBIT.Perbandingan Model-model Standar TIGovernance1. Perbandingan COBIT dengan ITILTabel 1 menunjukkan bahwa ITIL sangat fokuskepada proses desain dan implementasi TI, sertapelayanan pelanggan (customer service), hal inidiperlihatkan bahwa hampir seluruh proses padadomain AI dan DS COBIT dilakukan, sementarasebagian proses PO dilakukan, ini menunjukkanbahwa ITIL tidak terlalu fokus pada prosespenyelarasan strategi perusahaan denganpengelolaan TI. Proses pada domain M samasekali tidak dilakukan oleh ITIL, hal ini Hal ini menunjukkan ISO/IEC 17799 mempunyaimenunjukkan ITIL tidak melakukan pengawasan spektrum yang luas dalam hal pengelolaan TIyang akan memastikan kesesuaian pengelolaan sebagaimana halnya COBIT, namun ISO/IECTI dengan keadaan perusahaan di masa yang 17799 tidak sedalam COBIT dalam hal detailakan datang.Herison Surbakti – 08061/PS/MTF
  9. 9. Tugas Pra UAS Sistem Informasi Korporat – 27 April 2011proses-proses yang dilakukan dalam domain-domain tersebut.3. Perbandingan COBIT dengan COSOTabel 3 menunjukkan bahwa COSO melakukansebagian proses di domain PO, AI, dan DS,namun tidak satupun proses pada domain Mdilakukan. Gambar 5 memetakan standar COBIT dengan standar lainnya dalam hal kelengkapan proses- proses TI yang dilihat dalam dua dimensi: 1. Vertical – melihat kedetailan atau kedalaman standar dalam hal teknis dan operasional. 2. Horizontal – melihat kelengkapan proses-proses TIHal ini menunjukkan bahwa COSO fokus kepada 3. Dan dari Gambar 2.5, dapat dilihatproses penyelarasan TI dengan strategi bahwa COBIT mempunyai kompromiperusahaan, dan sangat fokus dalam hal desain antara dimensi horisontal dan vertikaldan implementasi TI. yang lebih baik dari standar-standar lainnya. COBIT mempunyai spektrumKesimpulan Perbandingan Model-model proses TI yang lebih luas dan lebihStandar Pengelolaan TI mendetail. ITIL merupakan standar yang paling mendetail dan mendalam dalamTabel 4 memperlihatkan bahwa model-model mendefinisikan proses-proses TI yangstandar selain COBIT tidak mempunyai range bersifat teknis dan operasional.spektrum yang seluas COBIT. Model-model Sedangkan COSO mempunyai detailtersebut hanya melakukan sebagian dari proses- yang dangkal, walaupun spektrumproses pengelolaan yang ada di dalam COBIT proses teknis dan operasionalnya cukup luasHerison Surbakti – 08061/PS/MTF
  10. 10. Tugas Pra UAS Sistem Informasi Korporat – 27 April 2011Herison Surbakti – 08061/PS/MTF

×