PEMBUATAN PANDUAN AUDIT MANAJEMEN INSIDEN TI BERDASARKAN ITIL (STUDI KASUS DI BPK RI) Yaomi Awalishoum Istiqlal, SE Ir. Achmad Holil Noor Ali, M.Kom.

Transkripsi

1 PEMBUATAN PANDUAN AUDIT MANAJEMEN INSIDEN TI BERDASARKAN ITIL (STUDI KASUS DI BPK RI) Yaomi Awalishoum Istiqlal, SE Ir. Achmad Holil Noor Ali, M.Kom. ABSTRAK Penanganan insiden TI yang dikelola oleh Biro-TI BPK-RI menuntut kualitas pelayanan yang prima. Hal itu dilakukan melalui perbaikan atas tata kelola manajemen insiden serta pelaksanaan audit terhadap manajemen insiden secara berkala dan berkesinambungan. Audit terhadap manajemen insiden TI perlu dilakukan sebagai pengendalian internal untuk memastikan tingkat layanan Biro-TI telah memenuhi standar atau mengikuti praktek-praktek terbaik. Oleh karena BPK- RI belum melakukan audit tersebut terhadap Biro-TI, sulit untuk menilai pencapaian tingkat layanannya. Untuk itu perlu dibuat panduan audit agar auditor internal BPK-RI dapat melaksanakan audit atas manajemen insiden TI yang dilaksanakan oleh Biro-TI BPK-RI. Langkah-langkahnya adalah (1) studi literatur dan identifikasi permasalahan, (2) pengumpulan informasi proses manajemen insiden TI di Biro-TI BPK-RI, (3) analisa informasi teridentifikasi untuk mendapatkan alur aktivtias dalam proses manajemen insiden, (4) pengembangan panduan audit melalui tahaptahap: pemetaan diagram RACI; pembuatan checklist; pencarian indikator; pencarian dokumen pemenuhan control objectives; penilaian pemenuhan control objectives; pembuatan formulasi penilaian pemenuhan control objectives, (5) pembuatan dokumen yang terdiri atas: pembuatan audit checklist dan templatetemplate, serta form penilaian hasil audit. Hasilnya berupa panduan untuk mengaudit manajemen insiden TI di BPK RI yang berisi prosedur-prosedur yang harus dilakukan beserta dokumen yang dibutuhkan, template dokumen, form template, dan audit checklist, serta form penilaian hasil audit. 1. Pendahuluan Keberhasilan pengelolaan TI sangat ditentukan oleh keselarasan tujuan penerapan TI dan tujuan organisasi. Pengelolaan TI dilakukan dengan memastikan penggunaan informasi dan teknologi sehingga dapat mendukung tujuan organisasi, penggunaan sumber daya secara optimal dan pengelolaan resiko secara tepat. Pengelolaan TI merupakan struktur hubungan dan proses untuk mengarahkan dan mengendalikan perusahaan dalam mencapai tujuannya melalui penambahan nilai dengan tetap memperhatikan keseimbangan antara resiko dan manfaat dalam menerapkan TI dan proses-proses di dalamnya. Oleh karena itu organisasi tidak boleh mengesampingkan upaya-upaya pengendalian yang baik terhadap pelaksanaan pengelolaan TI. Salah satu upaya yang harus dilakukan oleh organisasi adalah melakukan audit atas pengelolaan TI yang telah mereka lakukan untuk memastikan keselarasan dan ketercapaian dengan strategi dan tujuan organisasi. Dalam beberapa tahun belakangan ini seiring dengan meningkatnya mandat yang diberikan kepada BPK RI dalam bidang pemeriksaan atas pertanggungjawaban keuangan negara, jumlah pegawai di BPK RI meningkat cukup signifikan. Peningkatan jumlah pegawai ini sejalan dengan meningkat pesatnya penggunaan teknologi informasi 1

2 dalam menunjang pelaksanaan tugas-tugas pemeriksaan. Peningkatan tersebut mengakibatkan meningkatnya pula penanganan insiden yang harus dikelola oleh Biro TI khususnya Bagian Operasional dan Dukungan Teknologi Informasi. Hal itu menuntut kualitas pelayanan teknologi informasi yang semakin prima dari Biro TI. Upaya peningkatan kualitas dalam penanganan insiden teknologi informasi oleh Biro TI perlu dilakukan melalui perbaikan atas tata kelola manajemen insiden serta pelaksanaan audit terhadap manajemen insiden secara berkala dan berkseinambungan. Penelitian ini akan membahas mengenai audit atas manajemen insiden di BPK RI, mengingat hingga saat ini BPK RI belum pernah melaksanakan audit semacam itu. Audit terhadap manajemen insiden perlu dilakukan sebagai upaya pengendalian internal untuk memastikan bahwa tingkat layanan yang diberikan oleh Biro TI BPK RI telah memenuhi standar yang diinginkan dan mengikuti praktekpraktek terbaik (best practices). Audit atas manajemen insiden di Biro TI dengan menggunakan standar ITIL (IT Infrastructure Library) dapat memastikan bahwa Biro TI BPK RI telah menjalankan praktik-praktik terbaik (best practices) dalam memberikan layanan TI di kepada semua stakeholder BPK RI. ITIL (Information Technology Infrastructure Library) menyediakan kerangka kerja yang komprehensif, konsisten, dan koheren untuk pengelolaan layanan TI dan proses terkait. ITIL juga mempromosikan pendekatan berkualitas tinggi untuk mencapai efektivitas dan efisiensi bisnis dalam manajemen layanan TI. ITIL diciptakan dengan maksud untuk mendukung proses bisnis suatu organisasi tanpa mendiktenya. Peran kerangka kerja ITIL adalah untuk menggambarkan pendekatan, fungsi, peran dan proses, yang dapat mendasari operasi organisasi. Tugas ITIL adalah memberikan panduan sampai pada tingkat terendah yang dapat diterapkan secara umum. Di bawah tingkat itu, diperlukan pengetahuan khusus untuk menyempurnakan ITIL hingga mencapai efektivitas optimal. [1] Dalam terminologi ITIL, insiden'' didefinisikan sebagai gangguan tidak terencana terhadap layanan TI atau penurunan kualitas layanan TI. Kegagalan dari sebuah configuration item (CI) meskipun belum mempengaruhi layanan juga merupakan insiden, contohnya kegagalan sebuah hardisk pada perangkat mirror. Manajemen Insiden adalah proses untuk menangani insiden apapun, mencakup kegagalan, pertanyaan atau permintaan yang dilaporkan oleh para pengguna (biasanya melalui telepon kepada Service Desk), oleh staf teknis, atau terdeteksi dan dilaporkan secara otomatis oleh sebuah event monitoring tools. Tujuan utama dari proses Manajemen Insiden adalah untuk memulihkan operasional layanan kepada kondisi normal secepat mungkin dan meminimalkan dampak negatifnya terhadap operasional bisnis, sehingga memastikan tingkat kualitas layanan terbaik yang mungkin dicapai dapat dipertahankan. 'Operasi layanan normal di sini didefinisikan sebagai operasi layanan dalam batasan-batasan SLA. [2] Permasalahannya adalah bagaimana memetakan kebijakan dan tata kelola Manajemen Insiden yang ada di Biro Teknologi Informasi BPK RI dengan rancangan panduan audit manajemen insiden TI yang sesuai dengan ITIL, serta bagaimana membuat dokumen-dokumen (template laporan, template form, audit checklist, dsb) yang dapat memudahkan proses audit. Untuk itu penulis membatasi bahwa panduan audit manajemen insiden ini menggunakan kerangka ITIL ver 3. Tujuan dari penelitian ini adalah menghasilkan dokumen-dokumen (template laporan, template form, audit checklist, dsb) yang digunakan untuk memandu 2

3 pelaksanaan audit atas tata kelola Manajemen Insiden di Biro Teknologi Informasi BPK RI sesuai dengan ITIL. Hasilnya diharapkan dapat dimanfaatkan untuk mempermudah perencanaan, proses dan pelaporan audit bagi auditor internal BPK RI, serta mendukung pencapaian tata kelola organisasi yang baik di lingkungan BPK RI. 2. Metodologi Tahapan metodologi penelitian ini terdiri dari 5 (lima) tahap, yaitu: Studi Literatur; Pengumpulan Informasi; Analisa Informasi Teridentifikasi; Pengembangan Panduan Audit; dan Pembuatan Dokumen. 2.1 Studi Literatur dan Identifikasi Permasalahan Pada tahap ini dilakukan pencarian literatur berupa buku, jurnal, artikel, ataupun sumber ilmiah lainnya yang membahas mengenai panduan audit SI/TI, ITIL, manajemen insiden, serta metode penilaiannya. Tahap ini dilakukan untuk memahami kriteria (dalam hal ini ITIL) serta metode dan prosedur untuk mengaudit. Studi literatur diperoleh dari referensi dari berbagai sumber. 2.2 Pengumpulan Informasi Tahap ini dilakukan untuk mengolah informasi dan data internal BPK RI, khususnya pelaksanaan manajemen insiden pada Bagian Operasional dan Dukungan Teknologi Informasi, Biro Teknologi Informasi, serta prosedur audit internal yang berlaku di BPK RI. Pengumpulan informasi dilakukan dengan metode observasi dokumen dan wawancara Gambar 1. Metodologi dengan pihak terkait Sub Bagian Dukungan Teknologi Informasi, Biro TI BPK RI. 2.3 Analisa Informasi Teridentifikasi Dari informasi yang sudah diidentifikasikan tersebut, dilakukan analisa tiap aktivitas untuk mendapatkan alur aktivitas dalam proses manajemen insiden. Hasil analisa tersebut akan digunakan sebagai bahan pengembangan panduan audit. 2.4 Pengembangan Panduan Audit Tahapan ini adalah memetakan proses manajemen insiden ITIL ke dalam prosedur audit manajemen insiden TI yang berjalan di BPK RI. Dalam tahap ini dilakukan langkah-langkah: (a) Pemetaan diagram RACI, memetakan peran jabatan dan tanggung jawab yang terlibat di dalam proses manajemen insiden menurut ITIL ke dalam struktur organisasi di BPK RI; (b) Pembuatan checklist, menyusun checklist dari proses manajemen insiden ITIL, menentukan item apa saja yang perlu dicari, sumber item yang dicari tersebut (siapa orang yang harus diwawancarai sehubungan dengan pencarian informasi atas suatu item dan juga dokumen yang dibutuhkan untuk 3

4 mendukung pemenuhan item tersebut), metode dan langkah-langkah yang digunakan untuk mencari item tersebut; (c) Pencarian indikator, menentukan indikator-indikator yang menunjukkan kepatuhan terhadap ITIL dan indikator-indikator kunci (KPI) untuk mengukur kinerja Biro TI BPK RI dalam proses manajemen insiden sesuai dengan ITIL; (d) Pencarian dokumen pemenuhan Control Objectives, menentukan dokumendokumen apa saja yang perlu dicari untuk menilai pemenuhan control objectives dari ITIL; (e) Penilaian Pemenuhan Control Objectives, menentukan metode penilaian yang akan digunakan oleh auditor dalam menilai pemenuhan control objectives sesuai proses manajemen insiden ITIL; (f) Pembuatan Formulasi Penilaian Pemenuhan Control Objectives, merumuskan langkah-langkah penilaian pemenuhan control objectives menggunakan metode yang telah dipilih dan mengintegrasikannya dengan audit cheklist yang telah disusun ke dalam kertas kerja pemeriksaan. 2.5 Pembuatan Dokumen Membuat dokumen-dokumen yang diperlukan dalam proses pelaksanaan audit yang meliputi Audit Checklist dan form penilaian, serta template laporan dan formulir lainnya yang dapat memudahkan kerja auditor dalam mengaudit manajemen insiden TI di Biro TI BPK RI. 3. Hasil dan Diskusi 3.1 Proses Manajemen Insiden TI di BPK RI Sub Bagian Dukungan TI secara umum melaksanakan fungsi Service Desk di lingkungan pengelolaan Teknologi Informasi di BPK RI. Tugas pokok dan fungsi (tupoksi) Sub Bagian Dukungan TI menurut penuturan Kepala Sub Bagian Dukungan Teknologi Informasi (Kasubbag Dukti) telah mencakup domain proses manajemen insiden yaitu: (1) Memberikan pelayanan dan solusi kepada pengguna di lingkungan BPK RI terkait dengan permasalahan TI; (2) Menerima keluhan dari pengguna dan menyelesaikan keluhan tersebut; dan (3) Melakukan eskalasi keluhan kepada pihak lain atau pihak ketiga jika permasalahan tidak dapat diselesaikan oleh Tim Dukungan TI. Dalam operasionalnya Sub Bagian Dukungan TI dibagi menjadi 2 (dua) kelompok Helpdesk yaitu Helpdesk Operator dan Helpdesk Specialist. Helpdesk Operator berperan sebagai lini pertama dari Helpdesk, sedangkan Helpdesk Specialist berperan sebagai lini kedua Helpdesk yang menangani masalah-masalah yang tidak mampu ditangani oleh lini pertama. Tupoksi Helpdesk Operator terkait manajemen insiden adalah: (1) Menerima keluhan dari user dan mencatatkannya dalam sistem pelayananan TI (SIMPLI); (2) Memberikan solusi atas permasalahan yang dikeluhkan oleh pengguna; dan (3) Eskalasi keluhan kepada HD spesialis jika yang bersangkutan tidak dapat memberikan solusi keluhan pengguna. Adapun tupoksi dari Helpdesk Specialist terkait dengan manajemen insiden adalah: (1) Memberikan solusi kepada pengguna secara on-site maupun melalui media lain (telp, ); dan (2) Menghubungi pihak ketiga jika perbaikan tidak dapat diselesaikan sendiri. Untuk meningkatkan layanan TI khususnya perbaikan proses manajemen insiden TI telah disusun draft prosedur manajemen insiden TI yang merujuk kepada ITIL v3. Draft prosedur tersebut sebagiannya juga mencakup domain proses lainnya dari manajemen service ITIL yaitu event management dan problem management mengingat kedua domain tersebut memiliki proses yang terkait erat dengan manajemen 4

5 insiden namun keduanya belum dikembangkan prosedurnya tersendiri di BPK RI. Meskipun demikian prosedur tersebut belum dilaksanakan sepenuhnya dan diadopsi secara formal di dalam tupoksi yang berlaku. Berdasarkan wawancara dengan Kasubbag Dukti diketahui bahwa tahapan-tahapan penanganan insiden TI secara garis besar sudah mengikuti prosedur tersebut, namun masih memerlukan penyesuaian dalam peran jabatan dan penatausahaan administrasinya. 3.2 Prosedur Pelaksanaan Audit Internal di BPK RI Pelaksanaan pemeriksaan oleh internal auditor di lingkungan Inspektorat Utama BPK RI mengikuti Panduan Manajemen Pemeriksaan BPK RI Tahun 2008 (PMP 2008). PMP merupakan prosedur dan tata cara pemeriksaan dalam rangka memenuhi Standar Pemeriksaan Keuangan Negara (SPKN) yang mencakup: Penyusunan Rencana Kerja Pemeriksaan (RKP); Perencanaan Pemeriksaan; Pelaksanaan Pemeriksaan; Pelaporan Pemeriksaan; Pemantauan Tindak Lanjut Hasil Pemeriksaan; dan Evaluasi Pemeriksaan. [3] Proses pemeriksaan dari perencanaan pemeriksaan sampai dengan pelaporan pemeriksaan dilakukan oleh tim pemeriksa mulai dari anggota tim, ketua tim, pengendali teknis, sampai dengan penanggung jawab. Adapun tahap pelaksanaan pemeriksaannya sendiri meliputi enam tahap yaitu: Komunikasi awal; Pelaksanaan Program Pemeriksaan (P2); Penyusunan Kertas Kerja Pemeriksaan (KKP); Penyusunan Temuan Pemeriksaan (TP); Komunikasi Akhir (Penyampaian TP); dan Pengakhiran pemeriksaan. [3] Meskipun PMP didasarkan kepada SPKN yang merupakan standar pemeriksaan di bidang keuangan namun pada dasarnya tidaklah berbeda jauh dengan standar-standar ISACA pada bidang pemeriksaan teknologi informasi (IS/IT Audit). Pelaksanaan SPKN melalui PMP telah memenuhi standar-standar ISACA dalam hal: Independensi (S2); Kompetensi (S4); Perencanaan Audit (S5); Pengukuran Kinerja Audit (S6); Pelaporan (S7); Tindak Lanjut Hasil Pemeriksaan (S8); Penilaian Resiko (S11); Materialitas (S12); Penggunaan Tenaga Ahlil lainnya (S13); dan Bukti Audit (S14). Adapun pemenuhan standar lainnya memerlukan penyesuaian-penyesuaian. [4] 3.3 Pemetaan Prosedur Untuk memetakan standar, dalam hal ini prosedur manajemen insiden TI menurut ITIL v3, ke dalam prosedur audit maka auditor perlu menyusun audit cheklist, serta memahami peran dan tanggung jawab di dalam organisasi auditee. Dari audit cheklist yang telah disusun kemudian auditor menetapkan indikator dan mencari tahu dokumen-dokumen yang diperlukan untuk menilai pemenuhannya. Dengan memahami peran dan tanggung jawab di dalam organisasi auditee maka auditor dapat menyusun langkah-langkah audit dan mengumpulkan bukti-bukti untuk selanjutnya melakukan penilaian atas hasil audit tersebut Pemetaan Diagram RACI Pemahaman mengenai entitas auditee yang meliputi organisasi dan peran-peran serta tanggung jawab-tanggung jawabnya di dalam organisasi merupakan langkah awal bagi auditor dalam melakukan audit. ITIL merupakan uraian mengenai contoh-contoh praktek-praktek terbaik (best practices) di mana di dalam uraiannya langsung menyebutkan berbagai peran jabatan dalam melaksanakan praktek-praktek tersebut. Auditor perlu memetakan peran-peran yang ada di dalam ITIL ke dalam peran-peran yang ada di dalam organisasi auditee dengan menggunakan diagram RACI untuk 5

6 mengetahui apakah peran dan tanggung jawab yang diuraikan di dalam ITIL telah ada dan terpenuhi di dalam organisasi auditee. Hasilnya diperlukan dalam menyusun langkah audit Pembuatan Cheklist Control objective di dalam ITIL merupakan uraian pelaksanaan praktekpraktek terbaik yang dituliskan secara deskriptif. Agar lebih mudah dan terstruktr dalam menyusun cheklist dan membuat rujukan dalam pembuatan langkah-langkah audit nantinya maka prosedur manajemen insiden TI di dalam ITIL v3 tersebut diberikan kode untuk setiap alinea. Dari setiap alinea kemudian dirumuskan susunan audit cheklist. Kemudian setelah diketahui indikator dan dokumen pemenuhannya serta diketahui peran dan tanggung jawab di dalam organisasi maka dari audit cheklist tersebut dikembangkan langkah-langkah auditnya sehingga menjadi audit cheklist yang lengkap Pencarian Indikator Dalam penilaian aspek compliance (kesesuaian/kepatuhan) dari proses manajemen insiden yang dijalankan di BPK RI terhadap proses manajemen insiden menurut ITIL v3, maka indikator yang dicari adalah indikator yang menunjukkan seberapa sesuai existing process dengan standard process. Oleh karena itu aspek kepatuhan dilihat dari dua hal berikut: 1. Kebijakan dan prosedur organisasi, seberapa cukup kebijakan dan prosedur organisasi memenuhi standar. Kebijakan dan prosedur yang ditetapkan oleh organisasi merupakan dasar otorisasi bagi setiap tindakan yang dilakukan oleh para pegawai. 2. Pelaksanaan, apakah setiap kebijakan dan prosedur kerja yang ditetapkan organisasi telah dilaksanakan dengan benar. Adapun dalam penilaian aspek performance (kinerja) dari proses manajemen insiden yang dijalankan di BPK RI maka indikator yang dinilai adalah key performance indicator (KPI) yang menunjukkan pencapaian tujuan dari proses manajemen insiden menurut ITIL. Indikator kinerja tersebut setidaknya mencakup aspek efektifitas dan efisiensi. Efektif berarti output yang dihasilkan dari proses telah memenuhi tujuan yang ditetapkan. [5] Sedangkan efisien berarti proses menghasilkan output maksimal dengan input tertentu atau menghasilkan output tertentu dengan input minimal. [5] Menurut ITIL pada buku Service Operation, outcome yang diharapkan dari proses manajemen insiden yang baik adalah downtime yang rendah. [2] Ukuran downtime tersebut akan dinilai dari indikator-indikator pemicunya yaitu: 1. Indikator Efektifitas: jumlah insiden yang berhasil dipulihkan dalam tenggat waktu yang ditetapkan. 2. Indikator Efisiensi: waktu yang diperlukan untuk memulihkan insiden dibandingkan waktu yang ditetapkan (semakin sedikit semakin efisien) Dokumen Pemenuhan Control Objective Dari analisis informasi proses manajemen insiden di Subbag Dukti diketahui penatausahaan administrasi dalam pelaksanaan proses manajemen insiden di BPK RI. Berdasarkan data tersebut kemudian disusun dokumen-dokumen yang diperlukan untuk menilai pemenuhan masing-masing control objective. 6

7 Penilaian Pemenuhan Control Objective Penilaian menggunakan skala Likert berdasarkan kesesuaiannya dengan best practices di dalam ITIL, di mana nilai 1 menyatakan sangat sesuai, hingga nilai 7 menyatakan sangat tidak sesuai. Selain itu setiap item juga akan dinilai berdasarkan urgensinya terhadap proses bisnis, dalam hal ini manajemen layanan TI di BPK RI. Hasil penilaian menggunakan skala Likert dengan pembobotan tersebut akan menunjukkan materialitas dari masing-masing item terperiksa. Terhadap total nilai yang diperoleh dapat diberikan penilaian akhir yaitu: Minor( materialitas rendah, nilai < 25% ), Moderat ( materialitas sedang, 25% < nilai < 50% ), dan Mayor ( materialitas tinggi, nilai > 50% ). Dengan demikian hasil akhir dari audit atas manajemen insiden ini dapat dinyatakan secara singkat dan padat dengan nilai-nilai tersebut, yang diharapkan dapat lebih mudah dipahami baik oleh pemberi tugas, auditee, maupun stakeholder lainnya Formulasi Penilaian Penilaian dilakukan terhadap indikator-indikator aspek kepatuhan serta efektifitas dan efisiensi dengan memperhatikan critical success factor. Penilaian aspek kepatuhan dilakukan terhadap setiap proses, sedangkan penilaian aspek kinerja dilakukan terhadap sampel insiden yang dipilih secara proposional berdasarkan frekuensinya untuk setiap kategori insiden. Dalam menilai aspek kinerja tersebut digunakan indikator-indikator kinerja yang diukur dalam draft prosedur manajemen insiden TI di BPK RI. 3.4 Pembuatan Dokumen Audit cheklist dan formulasi penilaian diintegrasikan ke dalam Kertas Kerja Pemeriksaan (KKP) (Gambar 2). Selanjutnya dibuat template-template yang diperlukan dalam rentang pelaksanaan pemeriksaan mulai dari komunikasi awal hingga pelaporan. 4. Kesimpulan Berdasarkan hasil analisa exsisting proses bisnis dan TI saat ini pada Subbag Dukti Biro TI BPK RI dapat disimpulkan bahwa, BPK RI sudah memiliki prosedur pelaksanaan proses manajemen insiden TI yang disusun berdasarkan ITIL namun terdapat penyesuaian di mana sebagiannya mencakup domain proses lainnya dalam manajemin service menurut ITIL yaitu event management dan problem management, mengingat belum disusunnya prosedur pelaksanaan menurut kedua domain proses tersebut. Panduan audit ini dapat digunakan untuk menilai apakah prosedur dan pelaksanaan manajemen insiden TI di BPK RI tersebut telah benar-benar sesuai dengan praktek-praktek terbaik manajemen insiden menurut ITIL dan menghasilkan kinerja sesuai dengan tujuan manajemen insiden menurut ITIL Panduan audit ini disusun berdasarkan standar ISACA dan SPKN dengan menggunakan kerangka kerja PMP2008 yang diacu dalam pelaksanaan audit internal di lingkungan BPK RI. Panduan yang dihasilkan meliputi: 1. Template Kertas Kerja Pemeriksaan (KKP) yang telah mengintegrasikan audit cheklist dan langkah-langkah auditnya dengan formulasi penilaiannya. Langkahlangkah yang diperikan meliputi pencarian bukti-bukti yang cukup, kompeten, dan relevan. 2. Template form-form yang diperlukan dalam pelaksanaan audit mulai dari tahap komunikasi awal hingga tahap pelaporan. 7

8 Agar tata kelola manajemen insiden TI pada khususnya dan manajemen service pada umumnya di BPK RI menjadi semakin baik maka penulis menyarankan agar dari panduan audit yang telah disusun ini selanjutnya disusun lagi sebuah panduan audit manajemen insiden TI berdasarkan ISO sebagai standar dunia untuk manajemen service TI yang pada dasarnya dikembangkan dari kerangka ITIL. 5. Daftar Pustaka Gambar 2. Contoh KKP [1] ITIL (2007a), The Official Introduction to the ITIL Service Lifecycle, Published by TSO, Belfast. [2] ITIL (2007b), Service Operation, Published by TSO, Belfast. [3] BPK RI (2008), Panduan Manajemen Pemeriksaan 2008, BPK RI, Jakarta. [4] ISACA (2005), IS Standards, Guidelines and Procedures for Auditing and Control Profeessionals, Information Systems Audit and Control Association, Illinois, USA. [5] BPK RI (1994), Petunjuk Pelaksanaan Pemeriksaan Kinerja, BPK RI, Jakarta. 8