KNSI AUDIT SISTEM INFORMASI MENGGUNAKAN FRAMEWORK COBIT PADA DOMAIN DELIVERY AND SUPPORT (DS) STUDI KASUS : UNIVERSITAS WIDYATAMA

Transkripsi

1 KNSI AUDIT SISTEM INFORMASI MENGGUNAKAN FRAMEWORK COBIT PADA DOMAIN DELIVERY AND SUPPORT (DS) STUDI KASUS : UNIVERSITAS WIDYATAMA Iwan Rijayana 1, Fahrin Dianisa 2 1,2 Program Studi Sistem Informasi, Fakultas Teknik, Universitas Widyatama.1,2 Jl. Cikutra 204 Bandung. 1 iwan.rijayana@widyatama.ac.id Abstract Information system is a collection of elements or resources and network of related procedures in an integrated, integrated in a certain hierarchical relationships, and aims to process data into information. System audit is a systematic process of collecting and evaluating evidence to determine that a computer-based information systems used by the organization has been able to achieve its objectives. Widyatama University has a pretty good part of IT, E-campus one application program created by the IT section. The approach taken by the author in making the Information Systems Audit using standard models of IT Governance with COBIT Framework with Domain Delivery and Support (DS). The method used to design the information systems audit is to directly survey, data collection, determine CSF (Critical Success Factor), KGI (Key Goal Indicators), KPI (Key Performance Indicators), preparation of the questionnaire instrument, conducting audits and collecting questionnaires, analysis and evaluation findings. Information systems audit is done to be able to know and study the governance of IT in the Widyatama University. Keywords : IT Governance models, COBIT Framework, Delivery and Support, CSF (Critical Success Factor), KGI (Key Goal Indicators), KPI (Key Performance Indicators). 1. Pendahuluan 1.1. Latar Belakang Masalah Semua organisasi dalam pembangunan dan pengembangannya memerlukan informasi agar dapat memaksimalkan pengambilan keputusan baik yang bersifat operasional maupun terutama yang bersifat strategis untuk semua masalah disetiap fungsi manajemen. Diperlukan kecepatan dan ketepatan informasi ketika berbagai masalah berikut tingkat kompleksitasnya perlu diolah agar bisa mendapatkan solusi yang diperlukan secara efektif, efisien dan sistemik bagi setiap masalah. Seperti yang pada umumnya dipahami, peranan teknologi informasi diperlukan untuk mendapatkan informasi yang cepat dan tepat tersebut. Pada masa sekarang, pemanfaatan teknologi informasi bukanlah hal yang biasa lagi. Bahkan semakin berkembang pesat dan akan terus menjadi sebuah kebutuhan yang real bagi seluruh perusahaan, organisasi, pendidikan bahkan untuk semua lapisan masyarakat. Adanya teknologi informasi di sebuah universitas akan membantu kinerja proses sistem yang berjalan. Penggunaan teknologi pada sebuah unversitas sangatlah penting, contohnya dapat membantu sistem administrasi, informasi pendaftaran, registrasi, dan lain sebagainya. Untuk mendukung penilaian tersebut maka dibutuhkan metode yang dapat membantu mengelola dan mendukung sistem informasi yang ada. Salah satu metode yang dapat digunakan yaitu COBIT (Control Objective for Information and related Technology), sebagai bahan acuan dalam pembuatan melakukan audit sistem informasi Identifikasi Masalah 1. Perancangan sistem pada Universitas Widyatama sangat mendukung kinerja aktivitas kampus, oleh karena itu Model sistem informasi Universitas Widyatama harus mendukung kinerja aktivitas kampus. 2. Pelaksanaan audit sistem informasi harus sesuai dengan kinerja dan tingkat keselarasan KNSI

2 yang ada di universitas widyatama terutama pada domain delivery and support Rumusan Masalah 1. Apakah perancangan model sistem informasi domain delivery and support yang ada mendukung kinerja pada IT di Universitas Widyatama? 2. Bagaimana melaksanakan audit sistem informasi menggunakan domain delivery and support berdasarkan proses-proses TI yang sudah ada pada Universitas Widyatama? 1.4. Tujuan Penelitian 1. Membuat perencanaan dan pelaksnaan audit sistem informasi berdasarkan pada penggunaan framework cobit pada domain delivery and support (DS) di Universitas Widyatama. 2. Memberikan gambaran dan rancangan sistem TI yang ada di Universitas Widyatama dan bisa menjadi feedback untuk perkembangan TI di masa yang akan datang Metodologi Penelitian Audit Sistem Informasi 1. Meningkatkan integritas dengan memilih dan menetapkan metoda penelitian dengan menggunakan domain yang sesuai dengan penerapan sistem informasi yang akan diteliti. 2. Menetapkan CSF tiap-tiap proses pada domain sistem informasi institusi. CSF adalah merupakan faktor kritis kesuksesan yaitu proses menetapkan masalah kritis atau tindakan manajemen dalam mencapai pengendalian atas proses SI yang diukur melalui KGI. 3. Menetapkan KGI tiap-tiap proses pada domain sistem informasi institusi. KGI menetapkan ukuran yang mengarahkan manajemen setelah fakta apakah proses SI telah mencapai kebutuhan bisnisnya, biasanya digambarkan atas kriteria informasi: ketersediaan informasi untuk mendukung kebutuhan bisnis, ketiadaan integritas dan resiko kerahasiaan, efisiensi biaya proses dan operasi, konfirmasi kehandalan, efektivitas dan pemenuhan (ketaatan). 4. Menetapkan KPI tiap-tiap proses pada domain sistem informasi institusi. KPI menetapkan ukuran untuk menentukan bagaimana proses SI institusi dilaksanakan dengan baik yang memungkinkan tujuan tersebut dicapai. 5. Menetapkan tujuan pengendalian berdasarkan CSF, KGI, dan KPI tersebut ditentukan tujuan pengendalian. Tujuan pengendalian adalah untuk memberikan keyakinan dan kepastian bahwa SI telah mendukung pencapaian tujuan Universitas Widyatama. 6. Membuat kuesioner berdasarkan tujuan pengendalian yang telah ditetapkan, dibuat kuesioner sebagai bahan bagi pengumpulan fakta pada tiap-tiap proses. Membuat tingkat model maturity sistem informasi Institusi. 7. Membuat pemetaan posisi sistem informasi Institusi perusahaan dengan menggunakan metoda perhtiungan scoring maturity model. 2. Landasan Teori 2.1. Audit Sistem Informasi Audit sistem adalah sebuah proses yang sistematis dalam mengumpulkan dan mengevaluasi bukti-bukti untuk menentukan bahwa sebuah sistem informasi berbasis komputer yang digunakan oleh organisasi telah dapat mencapai tujuannya.[9] Tujuan itu antara lain adalah: 1. Pengamanan atas aktiva Dukungan sistem informasi berbasis computer dalam pengamanan aktiva yang terdapat di bagian atau fungsi pengolahan data elektronik, yang meliputi : Hardware, Software, personel, file data dan pendukung sistem informasi. Dukungan sistem informasi berbasis komputer dalam pengamanan aktiva juga tidak terbatas hanya pada asset bagian PDE saja, tetapi meliputi juga bagian bagian lain dalam organisasi. 2. Pemeliharaan atas integritas data. Integritas data(data integrity) didalam sebuah sistem informasi berbasis komputer mempunyai pengertian bahwa data yang diolah dalam suatu sistem informasi berbasis komputer haruslah data yang memenuhi syarat : 1. Lengkap. 2. Mencerminkan fakta yang sebenarnya. 3. Asli, belum dirubah. 4. Dapat dibuktikan kebenarannya. Audit sistem informasi didefinisikan sebagai proses pengumpulan dan evaluasi fakta/evidence untuk menentukan apakah suatu sistem informasi telah melindungi asset, menjaga integritas data, dan memungkinkan tujuan organisasi tercapai secara efektif dengan menggunakan sumber daya secara efisien. Dalam pelaksanaan audit digunakan etika profesi yang dirumuskan oleh organisasi profesi Information System Audit and Control Association (ISA CA). [10] Audit sistem informasi dilakukan untuk dapat menilai : 1. Apakah sistem komputerisasi suatu organisasi atau perusahaan dapat mendukung pengamanan asset? 2. Apakah sistem komputerisasi dapat mendukung pencapaian tujuan organisasi atau KNSI

3 perusahaan? 3. Apakah sistem komputerisasi tersebut efektif,efisien dan data integrity terjamin? Tujuan Audit Sistem Informasi menurt Ron Weber (1999,p ) dapat disimpulkan secara garis besar terbagi menjadi 4 tahap yaitu : 1. Meningkatkan keamanan asset perusahaan. 2. data. 3. Meningkatkan efektifitas sistem 4. Meningkatkan efisiensi sistem. Faktor-faktor yang mendorong pentingnya kontrol dan audit sistem informasi (Weber, 1999, p.6) adalah antara lain untuk : 1. Mendeteksi agar komputer tidak dikelola secara kurang terarah. 2. Mendeteksi resiko kehilangan data. 3. Mendeteksi resiko pengambilan keputusan yang salah akibat informasi hasil proses sistem komputerisasi salah/lambat/tidak lengkap. 4. Menjaga asset perusahaan karena nilai hardware, software dan personil yang lazimnya tinggi. 5. Mendeteksi resiko error komputer. 6. Mendeteksi resiko penyalahgunaan komputer (fraund). 7. Menjaga kerahasiaan. 8. Meningkatkan pengendalian evolusi penggunaan komputer Model Audit Tata Kelola Sistem Informasi. Sesuai standar Internasional untuk Praktik Profesional Audit Internal (Standar) lingkup aktivitas audit internal diantaranya adalah Tata Kelola (governance). Pada standar 2110 yang mengatur tentang Tata Kelola disebutkan bahwa aktivitas audit internal harus menilai dan membuat rekomendasi yang sesuai untuk meningkatkan proses tata kelola organisasi dalam rangka pemenuhan tujuantujuan sebagai berikut : [14] 1. Mempromosikan etika dan nilai-nilai yang pantas didalam organisasi. 2. Memastikan manajemen dan akuntabilitas kinerja yang efektif. 3. Mengkomunikasikan informasi risiko dan pengendalian ke area-area yang terkait didalam organisasi 4. Mengkoordinasikan kegiatan dewan serta mengkomunikasikan informasi di antara mereka, auditor eksternal dan internal, dan manajemen. [15]. Penelitian IT Governance Institute (ITGI) menunjukkan bahwa TI telah bergeser dari isu teknologi menjadi isu manajemen dan pengelolaan. TI harus dikelola selayaknya aset perusahaan lainnya. Penerapan TI di perusahaan akan dapat dilakukan dengan baik apabila ditunjang dengan suatu pengelolaan TI (IT Governance) dari mulai perencanaan sampai implementasinya. IT Governance yang tidak efektif akan menjadi awal terjadinya pengalaman buruk yang dihadapi perusahaan seperti (1) Kerugian bisnis, berkurangnya reputasi dan melemahnya posisi kompetisi; (2) Tenggang waktu yang terlampaui, biaya lebih tinggi dari yang diperkirakan, dan kualitas lebih rendah dari yang telah diantisipasi; (3) Efisiensi dan proses inti perusahaan terpengaruh secara negatif oleh rendahnya kualitas penggunaan TI; (4) Kegagalan inisiatif TI untuk melahirkan inovasi atau memberikan keuntungan yang dijanjikan; (5) Penggunaan standar IT Governance mempunyai keuntungan-keuntungan sebagai berikut. Pertama, The Wheel Exists, penggunaan standar yang sudah ada dan mature akan sangat efisien. Perusahaan tidak perlu mengembangkan sendiri framework dengan mengandalkan pengalamannya sendiri yang tentunya sangat terbatas. Kedua, Structured, standar-standar yang baik menyediakan suatu framework yang sangat terstruktur, yang dapat dengan mudah dipahami dan diikuti oleh manajemen. Lebih lanjut lagi, framework yang terstruktur dengan baik akan memberikan setiap orang pandangan yang relatif sama. Ketiga, Best Practices, standar-standar tersebut telah dikembangkan dalam jangka waktu yang relatif lama dan melibatkan ratusan orang dan organisasi di seluruh dunia. Pengalaman yang direfleksikan dalam model-model pengelolaan yang ada tidak dapat dibandingkan dengan suatu usaha dari satu perusahaan tertentu. Keempat, Knowledge Sharing, dengan mengikuti standar yang umum, manajemen akan dapat berbagi ide dan pengalaman antar organisasi melalui user groups, website, majalah, buku, dan media informasi lainnya. Kelima, Auditable, tanpa standar baku, akan sangat sulit bagi auditor, terutama auditor dari pihak ketiga untuk melakukan kontrol secara efektif. Dengan adanya standar, maka baik manajemen maupun auditor mempunyai dasar yang sama dalam melakukan pengelolaan TI dan pengukurannya.[16] 2.3. COBIT (Control Objectives for Information and related Technology) COBIT Framework dikembangkan oleh IT Governance Institute, sebuah organisasi yang melakukan studi tentang model pengelolaan TI yang berbasis di Amerika Serikat. COBIT berorientasi pada bisnis dan di-design dan dikerjakan tidak hanya oleh user dan auditor, tetapi juga sebuah panduan kemprehensif bagi pihak manajemen maupun pemilik bisnis proses tersebut. COBIT memberikan sebuah Maturity process untuk mengendalikan proses TI KNSI

4 sehingga pihak manajemen dapat memetakan di mana posisi perusahaan tersebut, keadaan perusahaan sesuai tidaknya dengan class industry ataupun terhadap standar internasional, faktor kritikal sukses organisasi yang mendefinisikan prioritas manajemen TI yang harus didahulukan dan diimplementasikan atau dikendalikan, dan menetapkan key goal indicator dan key performance indicator untuk menjadi landasan tolak ukur bagi mengukur keberhasilan TI dalam mencapai tujuan dan kesesuaianya dengan kebijakan organisasi. Kerangka kerja COBIT terdiri dari beberapa domain yaitu : 1. Control Objectives : Terdiri atas 4 tujuan pengendalian tingkat-tinggi (high-level control objectives) yang terbagi dalam 4 domain, yaitu : Planning & Organization, Acquisition & Implementation, Delivery & Support, dan Monitoring & Evaluation. 2. Audit Guidelines : Berisi sebanyak 318 tujuantujuan pengendalian yang bersifat rinci (detailed control objectives) untuk membantu para auditor dalam memberikan management assurance dan /atau saran perbaikan. 3. Management Guidelines : Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang harus dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikit : a. Sejauh mana TI harus bergerak atau digunakan, apakah biaya TI yang dikeluarkan sesuia dengan manfaat yang dihasilkan?. b. Apa saja indikator untuk suatu kinerja yang bagus?. c. Apa saja factor atau kondisi yang harus diciptakan agar dapat mencapai sukses (critical success factor)?. 3. Metodologi Penelitian 4.1. DS-1 (Menentukan dan mengelola Tingkat Layanan) Hasil Audit: Adanya kepuasan pelanggan pada tingkatl layanan serta memenuhi harapan pihak manajemen puncak, Rekomendasi: Perlunya peningkatan pelayanan dalam menghadapi keluhan user, serta pemeriksaan masa berakunya aplikasi sistem informasi belum dilakukan secara berkala. Level Maturity : 3,6 (Managed) 4.2. DS-2 (Mengelola Layanan Pihak ketiga) Hasil Audit: Dalam penangan pihak ketiga telah dimonitor dan dilaksanakan dengan baik oleh pihak manajemen yaitu adanya pemantauan langsung terhadap proses yang sedang berjalan, tetapi belum mendapatkan jaminan pengelolaan yang efektif dan memadai dari pihak ketiga. Rekomendasi : Perlunya pengawasan kepada manajemen dan administrasi yang masih belum memadai di sektor keuangan, operasional, hukum dan pengendalian umpan balik. Level Maturity : 3,65 (Managed) 4.3. DS-3 (Mengelola Performa dan Kapasitas) Hasil Audit: Dalam menggunakan aplikasi sistem informasi semua pengguna harus mendapatkan ijin / otoritas terlebih dahulu dari pimpinan. Adanya program kerja yang baik dengan tujuan untuk peningkatan kapasitas dan kinerja sistem informasi untuk masa sekarang dan masa depan yang sudah direncanakan dengan baik. Rekomendasi : Penggunaan Resource IT oleh user masih belum optimal, diperlukan komitmen manajemen dan sosialisi penggunaan aplikasi komputer di semua level struktur organisasi. Level Maturity : 3,7 (Managed) Gambar 1: Tahap Penelitian 4. Hasil Rancangan Audit Sistem Informasi DS-4 (Menjamin Layanan Berkualitas) Hasil Audit: Adanya pendukung yang memenuhi kebutuhan akan peralatan dan persediaan sistem informasi, serta memiliki penjadwalan pelatihan yang sudah tersusun dengan baik sesuai dengan intensitas peggunaan sistem informasi. Rekomendasi : Dalam penyimpanan media backup masih harus di perhatikan lebih seksama, baik dalam penyimpanan pengoperasian maupun keamanannya Level Maturity : 3,78 (Managed) 4.5. DS-5 (Menjamin Keamanan Sistem) Hasil Audit: Keamanan Sistem Informasi baik, dilengkapi dengan program deteksi keamanan Sistem Informasi. KNSI

5 Rekomendasi : Pertukaran penggunaan komputer oleh user sebaiknya dipertimbangkan lagi karena akan mengganggu kinerja pengguna yang lain. Level Maturity : 3,7 (Managed) 4.6. DS-6 (Mengidentifikasikan dan mengalokasikan dana) Hasil Audit: Pengelolaan dana pada TI dapat di pertangungjawabkan dengan baik, sebab dalam perawatan dan pemeliharaan peralatan TI telah disusun sesuai dengan anggaran kebutuhan, serta adanya komunikasi untuk pembelian produk oleh bagian TI dan user yang terlibat dalam aktivitas TI. Rekomendasi : Dalam melakukan pengukuran biaya TI untuk pembangunan, pengembangan dan pengoperasian sistem masih belum terkendali dengan baik, diperlukan analisis tentang manfaat alokasi dana TI. Level Maturity : 3,79 (Managed) 4.7. DS-7 (Melatih dan mendidik pengguna) Hasil Audit: Pengembangan kompetensi SDM dilakukan melalui pendidikan dan pelatihan sesuai kebutuhan unit. Rekomendasi : Diperlukan tambahan tenaga SDM yang bisa memantau keahlian karyawan yang baru selesai mengikuti pelatihan. Level Maturity : 3,75 (Managed) 4.8. DS-8 (Mengelola Service Desk) Hasil Audit: Penanganan dan pengelolaan masalah yang timbul dilakukan dengan baik tetapi belum ada kebijakan yang mengatur Help Desk. Rekomendasi : Diperlukan kebijakan yang mengatur Help Desk. Level Maturity : 3,78 (Managed) 4.9. DS-9 (Mengelola Konfigurasi) Hasil Audit: Mengelola konfigurasi sudah dilakukan dengan baik dimana dalam menangani software yang kurang bermanfaat dapat diatasi dengan mengembangkan sistem tersebut sesuai dengan kebutuhan. Rekomendasi : Diperlukan perencanaan IT yang lebih akurat agar dapat meminimalisir pembuatan dan pengembangan software yang kurang bermanfaat. Level Maturity : 4,1 (Managed) masalah yang ada secara seksama, menggunakan sumber daya secara maksimal dengan mengurangi penyimpangan-penyimpangan yang terjadi. Rekomendasi : Lebih ditingkatkan lagi. Level Maturity : 4,05 (Managed) DS-11 (Mengelola Data) Hasil Audit: mengelola data dengan memperhatikan media penyimpanan dan pengembalian data yang di desain dengan mempertimbangkan aspek keamanan, kerahasiaan, dan kemudahan akses sehingga dapat di kontrol dengan baik Rekomendasi : Data dan informasi yang disebar memiliki format dan metoda standard yang sesuai dengan kebutuhan user tetapi belum terstruktur dengan baik, agar kebutuhan data yang diperlukan oleh user bisa distrukturkan dengan baik. Level Maturity : 4 (Managed) DS-12 (Mengelola Lingkungan Fisik) Hasil Audit: Adanya otoritas penggunaan IT membuat lingkungan Fisik IT sangat baik, serta ditunjang dengan perawatan dan peremajaan komputerisasi yang dilakukan secara terjadwal sesuai dengan kebijakan bagian IT. Rekomendasi : Untuk ruangan komputer sebaiknya semuanya dilengkapi dengan Fasilitas Air Conditionaring (AC), agar kegunaan Fasilitas IT dapat dipergunakan dengan baik Level Maturity : 4,07 (Managed) DS-13 (Mengelola Operasi) Hasil Audit: Dengan tersedianya lokasi cadangan / alternative lain ketika computer sedang mengalami permasalahan, dan adanya pendefinisian kebijakan dan prosedur operasi dalam mengelola operasi dimana bagian IT sudah melakukan pengelolaan operasi dengan baik, akan tetapi dalam memelihara dan mengecek log belum dilakukan secara teratur, juga dalam mendeteksi pengguna sistem yang tidak terotorisasi belum mempunyai prosedur yang baik. Rekomendasi : Memelihara dan mengecek log sebaiknya dilakukan secara teratur, juga agar dibuatkan prosedur otorisasi pengguna sistem. Level Maturity : 3,96 (Managed) 5. Kesimpulan dan Saran DS-10 (Mengelola Permasalahan) Hasil Audit: Bagian TI dalam pengelolaan masalah sudah baik, dimana setiap masalah selalu ada pemberitahuan / laporan kepada tingkat manajemen sesuai prosedur dengan cara melacak 5.1. Kesimpulan 1. Pada perancangan model sistem informasi pada domain Delivery and Suppot yang ada sangat mendukung kinerja pada Universitas Widyatama, karena dengan adanya model sistem informasi ini, akan sangat membantu kinerja bagian TI dan KNSI

6 mengetahui hasil dari kenerja yang sudah dilakukan. 2. Dalam melaksanakan audit sistem informasi ini, proses TI terhadap tingkat keselarasan tujuan TI terhadap Universitas Widyatama, berjalan dngan baik, dikarenakan dari beberapa hasil yang diperoleh dengan penelitian yang dilakukan berdampak positif pada Universitas Widyatama. [12] /06/19/audit-sia-sistem-informasiakuntansi [13] definisi-tata-kelola/ 5.2. Saran 1. Dalam peningkatan kinerja pegawai, perawatan, dan peremajaan sistem informasi sudah cukup baik, akan tetapi harus lebih ditingkatkan lagi agar mendapatkan hasil yang maksimal, serta lebih tertorganisir dan terprosedur dalam menindaklanjuti setiap permasalahan yang ada. 2. Lebih diperhatikan lagi dalam memberikan pelatihan kepada user tentang sistem informasi yang ada, dan adanya training atau pelatihan khusus yang ditujukan kepada pengguna yang harus memahami lebih lanjut tentang sistem informasi pada Universitas Widyatama Daftar Pustaka: [1] O Brein, James A., (2005), Pengantar Sistem Informasi, Salemba 4, Jakarta. [2] Laudon, Kenneth C.; Laudon, Jane P. (2007:42) Sistem Informasi Manajemen. Palgrave, Basingstoke. [3] Budi Sutedjo Dharma Oetomo. (2006). Perencanaan dan Pembangunan Sistem Informasi, Yogyakarta. [4] Gondodiyoto, S. (2007). Audit Sistem Informasi + Pendekatan COBIT. Edisi Revisi. Mitra Wacana Media. Jakarta. [5] Williams / Sawyer, (2007), Using Information Technology terjemahan Indonesia, Penerbit ANDI, ISBN [6] Longley, Dennis; Shain, Michael (1985), Dictionary of Information Technology (ed. 2), Macmillan Press, hlm. 164, ISBN [7] "Information technology", Oxford English Dictionary (ed. 2), Oxford University Press, [8] 6/sistem [9] [10] [11] 010/11/sistem-audit.html. KNSI