AUDIT SISTEM INFORMASI GRUP ASESMEN EKONOMI DAN KEUANGAN BANK INDONESIA WILAYAH IV DITINJAU DARI IT GOAL 7 MENGGUNAKAN STANDAR COBIT 4.

Transkripsi

1 AUDIT SISTEM INFORMASI GRUP ASESMEN EKONOMI DAN KEUANGAN BANK INDONESIA WILAYAH IV DITINJAU DARI IT GOAL 7 MENGGUNAKAN STANDAR COBIT 4.1 Ariinta Deraya Ratulangi 1) dan Awalludiyah Ambarwati 2) 1,2 Program Studi Sistem Informasi, Fakultas Ilmu Komputer Universitas Narotama Surabaya Jl. Arief Rahman Hakim No 51 Sukolilo Surabaya ariintaderaya@gmail.com 1, ambarwati1578@yahoo.com 2 ABSTRAK Peranan sistem informasi diperlukan untuk mendapatkan informasi yang cepat dan tepat agar dapat memaksimalkan pengambilan keputusan baik yang bersifat operasional maupun yang bersifat strategis untuk semua permasalahan disetiap fungsi manajemen. Sistem informasi menjadi bagian yang tak terpisahkan dan terintegrasi dengan tujuan bisnis organisasi. Penerapan sistem informasi dalam suatu organisasi akan mempengaruhi pencapaian visi, misi ataupun tujuan strategi organisasi. Kantor Perwakilan Bank Indonesia Wilayah IV, khususnya Grup Asesmen Ekonomi dan Keuangan, telah memanfaatkan peranan sistem informasi ke dalam proses operasional organisasinya. Evaluasi pengelolaan sistem informasi berupa audit sistem informasi dilakukan untuk mengetahui sejauh mana peranan sistem informasi telah dapat merepresentasikan tujuan bisnis. Metode penelitian audit sistem informasi terdiri dari beberapa tahap, yaitu perencanaan audit, pelaksanaaan audit, penghitungan maturity level, penentuan hasil audit dan penyusunan laporan hasil audit. Audit Sistem Informasi dilakukan menggunakan COBIT 4.1 pada IT Goal 7. Hasil audit menyatakan bahwa tingkat kematangan dari proses bisnis terkelola serta terukur pada tingkat 4,03, yang menunjukkan bahwa organisasi telah terintegrasi dan memiliki proses bisnis yang dapat dipantau. Kata kunci: Audit Sistem Informasi, Tujuan Bisnis, COBIT 4.1, Bank Indonesia. PENDAHULUAN Bank Indonesia selaku bank sentral berdasarkan Undang-Undang No. 23 Tahun 1999, sebagaimana telah diubah dengan UU No.3 Tahun 2004, adalah lembaga negara yang independen dalam melaksanakan tugas dan tanggung jawabnya, bebas dari campur tangan pemerintah dan/atau pihak lain (Warjiyo, 2004). Tugas utama Bank Indonesia ada 2 (dua), yaitu menjaga kestabilan moneter dan mengatur kelancaran sistem pembayaran. Kantor Perwakilan Bank Indonesia Wilayah IV Jawa Timur merupakan instansi pemerintah yang memanfaatkan peranan sistem informasi dalam proses operasional organisasinya. Ada banyak divisi/grup di dalam Kantor Perwakilan Bank Indonesia Wilayah IV Jawa Timur. Salah satu grup yang paling banyak menggunakan aplikasi sistem informasi pada setiap proses bisnisnya adalah Grup Asesmen Ekonomi dan Keuangan yang memiliki tugas utama yakni menjaga kestabilan moneter di Jawa Timur. Untuk mengetahui sejauh mana peranan sistem informasi telah mendukung sepenuhnya seluruh kegiatan Grup Asesmen Ekonomi dan Keuangan (Grup EKKU), perlu dilakukan evaluasi pengelolaan teknologi informasi melalui kegiatan audit sistem informasi. Tujuan dari penelitian ini yaitu untuk melakukan audit sistem informasi pada Grup Asesmen C-12-1

2 Ekonomi dan Keuangan Bank Indonesia Wilayah IV ditinjau dari IT Goal 7 ( acquire and maintain integrated and standardised application systems) menggunakan standar COBIT 4.1. Ron Weber (1999:10) mengemukakan, Information systems auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently. Dengan kata lain, audit sistem informasi adalah proses mengumpulkan dan mengevaluasi bukti untuk menjelaskan apakah aset pengamanan sistem komputer dan pemeliharaan integritas data memungkinkan tercapainya tujuan organisasi secara efektif serta efisiensi penggunaan sumber daya. Control Objectives for Information and Related Technology (COBIT) dapat definisikan sebagai alat pengendalian untuk informasi dan teknologi terkait dan merupakan standar terbuka untuk pengendalian terhadap teknologi informasi yang dikembangkan oleh Information System Audit and Control Association (ISACA) melalui lembaga yang dibentuknya yaitu Information and Technology Governance Institute (ITGI) pada tahun COBIT 4.1 mengelompokkan semua aktivitas bisnis yang terjadi dalam organisasi menjadi 34 IT Process yang terbagi ke dalam empat domain yaitu Plan and Organise (PO), Acquire and Implement (AI), Delivery and Support (DS) dan Monitor and Evaluate (ME). COBIT 4.1 memiliki 28 IT Goal yang masing-masing IT Goal terdiri dari minimal satu IT Process. Penelitian ini menggunakan IT Goal 7 ( acquire and maintain integrated and standardised application systems) pada standar COBIT 4.1, yang terdiri dari 3 IT Process yaitu PO3 (Determine technological direction), AI2 (Acquire and maintain application software) dan AI5 (Procure IT resources). METODE Tahapan penelitian audit sistem informasi di Grup Asesmen Ekonomi dan Keuangan Kantor Perwakilan Bank Indonesia Wilayah IV terdiri dari 7 (tujuh) langkah seperti dapat dilihat pada Gambar 1. C-12-2

3 Gambar 1. Diagram Alir Penelitian Langkah pertama yang dilakukan yaitu melakukan penentuan ruang lingkup audit. Objek penelitian adalah Grup Asesmen Ekonomi dan Keuangan Kantor Perwakilan Bank Indonesia Wilayah IV. Audit yang dilakukan mencakup audit semua sistem informasi yang digunakan pada objek penelitian. Tahap ini meliputi wawancara awal dengan salah seorang perwakilan dari objek dan studi literatur framework COBIT 4.1 yang menjadi dasar audit. Materi wawancara awal hanya sebatas pengenalan objek penelitian dan pemetaan kasus sehubungan dengan sistem informasi eksisting yang mungkin bisa dicari solusinya. Langkah kedua yakni pembuatan kuesioner. Kuesioner dibuat berdasarkan kebutuhan dan materi audit. Setelah itu dilanjutkan dengan penentuan auditee dan jadwal audit. Objek penelitian merupakan salah satu lembaga pemerintahan yang memiliki jadwal padat sehingga pelaksanaan audit perlu disesuaikan agar prosesnya dapat lebih maksimal. Berikutnya yaitu tahap pelaksanaan audit. Tahap ini mencakup wawancara inti dengan auditee serta mengumpulkan dokumentasi berupa bukti dan temuan. Wawancara dilakukan C-12-3

4 dengan 3 (tiga) orang Front Liner Support (FLS) TI yang bertanggung jawab di Grup Asesmen Ekonomi dan Keuangan. Dari dokumentasi yang ada, dilakukan penghitungan tingkat kematangan (maturity level) sistem informasi yang digunakan di Grup Asesmen Ekonomi dan Keuangan (Grup EKKU). Tahap selanjutnya yakni penentuan hasil audit yang dituangkan dalam bentuk rekomendasi guna perbaikan sistem informasi di kemudian hari. Langkah terakhir adalah penyusunan laporan hasil audit. Di dalam laporan ini dijelaskan mengenai keseluruhan proses audit yang telah dilakukan dan rekomendasi lengkap untuk para pemangku kepentingan yang bekerja pada objek penelitian. HASIL DAN PEMBAHASAN Survei pendahuluan dilakukan langsung oleh auditor ke lapangan. Merujuk pada RACI Chart, auditee pada audit sistem informasi kali ini terdiri dari 3 (tiga) orang yang merupakan FLS (Front Liner Support) TI di Grup Asesmen Ekonomi dan Keuangan, yaitu 1 (satu) orang manajer Unit Survei dan Liaison, 1 (satu) orang Staf Unit Riset Ekonomi dan Keuangan, serta 1 (satu) orang Teknisi TI Kantor Perwakilan BI Wilayah IV. Dalam penelitian ini, dilakukan observasi dan penggunaan alat bantu kertas kerja audit untuk melaksanakan uji kepatutan. Pertanyaan dalam kertas kerja yang berasal dari standar COBIT 4.1 dituangkan ke dalam 40 pertanyaan. Dalam hasil uji kepatutan, bukti berupa dokumen-dokumen perusahaan tidak dapat disertakan karena dokumen-dokumen tersebut bersifat rahasia dan sepenuhnya milik instansi. Untuk menghitung nilai tingkat kematangan, dilakukan identifikasi pada setiap tingkat kematangan ( maturity level). Penghitungan nilai tingkat kematangan dilakukan berdasarkan hasil pengisian kertas kerja oleh auditor. Dalam audit proses TI PO3, AI2, dan AI5, ada beberapa pertanyaan yang disusun berdasarkan 6 (enam) tingkat kematangan, mulai level 0 (Non-existent) sampai level 5 ( Optimised). Semua jawaban atas pertanyaan-pertanyaan tersebut dimasukkan dalam tabel kertas kerja lalu ditabulasi. Jumlah kuesioner yang disebar dan dikembalikan ke auditor sama dengan jumlah auditee yakni sebanyak 3 (tiga) buah. Setelah pengisian kertas kerja selesai, tahap selanjutnya yaitu penghitungan tingkat kepatutan atau compliance. Nilai dari tingkat compliance didapat dari pembagian atau perbandingan nilai compliance pada tiap proses TI di setiap tingkat kematangan (Level 0 sampai Level 5) dan jumlah pernyataan. Setelah nilai tingkat kepatutan tiap proses TI didapatkan, langkah berikutnya yaitu menghitung total nilai tingkat kematangan. Caranya yaitu dengan mengalikan nilai tingkat kepatutan di tiap level pada setiap proses TI dengan nilai kontribusi tiap level. Hasil perhitungan didapatkan total nilai tingkat kematangan untuk setiap proses TI atau Control Objective. Tabel 1 memperlihatkan rekapitulasi nilai tingkat kematangan untuk audit sistem informasi yang dilakukan kali ini. Sedangkan grafik laba-laba (spider chart) yang mereperesentasikan nilai tingkat kematangan dapat dilihat pada Gambar 2. Tabel 1. Nilai Tingkat Kematangan Kode Nilai Nama Proses Proses Tingkat Kematangan PO 3 Menentukan tujuan teknologi 4,31 AI 2 Mendapatkan dan memelihara aplikasi perangkat lunak 3,78 AI 5 Pengadaan sumber daya teknologi informasi 4,01 Sumber: Hasil penelitian, diolah kembali Rata-rata 4,03 C-12-4

5 Sumber: Hasil penelitian, diolah kembali Gambar 2. Grafik Laba-laba Hasil Audit Temuan PO3 (Menentukan Tujuan Teknologi) adalah bahwa Rencana pengembangan sistem informasi seringkali mengacu pada standar vendor, padahal kebutuhan instansi seringkali tidak seperti itu. Temuan lain adalah belum ada prosedur yang jelas terkait kesalahan atau pelanggaran yang mungkin dilakukan user sistem informasi (pejabat maupun staf). Rekomendasi yang dapat diberikan terkait pengembangan proses TI PO3, yaitu Grup Asesmen Ekonomi dan Keuangan seharusnya memiliki list kebutuhan ( user requirements) sistem informasi yang sesuai dengan kebutuhan kerja sehingga vendor dapat mengacu pada list tersebut pada saat membangun aplikasi, bukannya memprioritaskan pada saran vendor. Selain itu membuat regulasi internal terkait penyalahgunaan aplikasi atau sanksi atas pelanggaran yang mungkin dilakukan pengguna sistem informasi. Temuan AI2 (Mendapatkan dan Memelihara Aplikasi Perangkat Lunak) menunjukkan bahwa dalam tahap awal, proses merancang dan menentukan kriteria aplikasi perangkat lunak yang akan digunakan masih kurang detil dan komprehensif. Selain itu, ada sebagian alur metodologi dalam sistem informasi yang kurang fleksibel sehingga sedikit menghambat kelancaran proses bisnis. Rekomendasi yang dapat diberikan terkait pengembangan proses TI AI2, yaitu pada tahap awal perancangan sistem informasi seharusnya melibatkan staf atau orang yang paham TI dan mampu menganalisa sistem informasi sehingga aplikasi yang dihasilkan nantinya dapat lebih komprehensif. Sistem informasi yang dibangun hendaknya lebih memudahkan proses bisnis jadi sebaiknya ada penghapusan beberapa jalur birokrasi yang tidak diperlukan guna mempercepat alur kerja. Temuan AI5 (Pengadaan Sumber Daya Teknologi Informasi) menunjukkan bahwa tanggung jawab dan akuntabilitas pengadaan sistem informasi dibeberapa bagian terkadang ditentukan oleh pengalaman pribadi 1 (satu) orang pejab at atau manajer, bukan berdasar objektivitas. Pihak manajemen seringkali tidak mewajibkan korelasi antara kebijakan instansi dan prosedur sistem informasi. Dengan kata lain, ada eksepsi yang dibuat tanpa sosialisasi terlebih dahulu ke user lainnya. Rekomendasi yang dapat diberikan terkait pengembangan proses TI AI5, yaitu pengadaan sumber daya TI harus disaksikan banyak orang dari berbagai divisi terkait sehingga mereka bisa memberikan pendapat atau saran yang berguna. Hal ini bisa meminimalisasi kesalahan dan tidak membebankan tanggungjawab hanya pada 1 (satu) orang saja. Secara prinsip, aplikasi yang dibangun harus sesuai atau seiring dengan peraturan dan C-12-5

6 kebijakan yang dibuat instansi. Tidak diperkenankan untuk membangun aplikasi di luar ketentuan BI atau yang tidak mendapat persetujuan dari DPSI. KESIMPULAN DAN SARAN Berdasarkan audit sistem informasi yang ditinjau dari IT Goal 7 pada Grup Asesmen Ekonomi dan Keuangan Kantor Perwakilan BI Wilayah IV didapatkan kesimpulan bahwa mekanisme perencanaan pengadaan sistem informasi yang mendukung kelancaran proses bisnis internal pada Grup EKKU sudah dilakukan sesuai prosedur tertulis dan terdokumentasi dengan baik. Tingkat kematangan dari pelaksanaan audit kali ini mendapat nilai 4,03 yang berarti bahwa sistem informasi yang ada di Grup EKKU berada pada level Managed and Measureable atau dengan kata lain terkelola dengan baik dan dapat terukur secara tepat. Beberapa saran yang dapat diberikan untuk pengembangan lebih lanjut, yakni sebagai berikut: 1. Grup EKKU dapat melaksanakan rekomendasi TI khususnya untuk perbaikan aplikasi dan penyusunan prosedur yang jelas terkait kompensasi apabila ada user yang melakukan kesalahan pada sistem informasi. 2. Secara berkala dilakukan audit sistem informasi guna mengetahui sejauh mana perkembangan proses implementasi atau mungkin perubahan pada sistem informasi. 3. Pembuatan daftar checklist audit rutin yang diisi setiap audit dilakukan. DAFTAR PUSTAKA Information Technology Governance Institut, 2007, COBIT 4.1: Framework Control Objective, Management Guidelines, Maturity Models, IT Governance Institut, Rolling Meadows. Sarno, Riyanarto, 2009, Strategi Sukses Bisnis dengan Teknologi Informasi Berbasis Balanced Scorecard dan Cobit, ITS Press, Surabaya. Warjiyo, Perry, 2004, Bank Indonesia Bank Sentral Republik Indonesia: Sebuah Pengantar, Pusat Pendidikan dan Kebanksentralan BI, Jakarta. Weber, Ron, 1999, Information Systems Control and Audit, Prentice Hall, London. C-12-6