AUDIT PENGEMBANGAN TEKNOLOGI INFORMASI BERDASARKAN STANDAR COBIT 4.1 PADA DOMAIN ACQUIRE AND IMPLEMENT (STUDI KASUS PADA FAKULTAS ILMU BUDAYA, UNIVERSITAS AIRLANGGA) Novi Prastiti Departemen Manajemen, Fakultas Ekonomi dan Bisnis, Universitas Airlangga Jl. Airlangga No. 4 Surabaya E-mail : prastitinovi@gmail.com Abstract Faculty of Humanities is one of the 12 faculties which is exist in Airlangga University. Faculty of Humanities is a faculty which will follow the international standardized campus, Faculty of Humanities requires the planning of development information technology document. But there are problems, lost of data, lost of the examination mark of the students, making a wrong decision when processing the registration of the students. Including, there is no privacy on the website that can be accessed by any people, without passing process of login, to know the university secret data like students addresses. To solve the existing problems, require the auditing process of developing information technology of Faculty of Humanities. The auditing process of developing information technology of Faculty of Humanities reference to standard of Control Objectives for Information and Related Technology (COBIT) 4.1. COBIT standard is used because COBIT has good enough compromise in the broadness of management coverage and the detail of its process and also COBIT represent most of complete guidance of best practices for management information systems. The research at Faculty of Humanities found many things, such as: (i) Faculty of Humanities has a Maturity Level Value under the international standard that has maturity level between 2-3. This situation indicates that Faculty of Humanities is not yet applying the information technology management correctly. (ii) The analysis of Acquire & Implement (AI) domain indicates that AI1 up to AI4 has low assessment that can t reach one total assessment, but, it has high importance value to business requirements in the organization, so the processes which have something to do with the domain need to be monitored. Keywords: Information Technology Audit, COBIT, Acquire & Implement 1. PENDAHULUAN Fakultas Ilmu Budaya (FIB) adalah salah satu dari 12 fakultas yang ada di Universitas Airlangga. Berdasarkan pada keterangan dari Adi Setijowati, Dra, M.Hum., sebagai Wakil Dekan III FIB, sebagai salah satu fakultas yang akan mengikuti standarisasi perguruan tinggi negeri secara internasional, Fakultas Ilmu Budaya membutuhkan dokumen perencanaan pengembangan teknologi informasi. Selain itu berdasarkan pada misi poin pertama Fakultas Ilmu Budaya, yang ingin menyelenggarakan pendidikan akademik dan vokasional berbasis teknologi pembelajaran modern, maka dibutuhkan pengimplementasian teknologi informasi yang dapat memenuhi tujuan bisnis utama (http://fib.unair.ac.id). Namun masih terdapat masalah dan kendala pada proses pengimplementasian teknologi informasi di Fakultas Ilmu Budaya. Saat ini sistem pendidikan yang ada di Fakultas Ilmu Budaya masih banyak dijalankan secara manual dan sistem informasi yang ada masih bersifat sektoral. Sehingga sering terjadi masalah dan kendala dalam penerapan teknologi informasi dan dalam menjalankan proses bisnis FIB, antara lain: kehilangan data, seperti hilangnya nilai ujian mahasiswa, dan kesalahan pengambilan keputusan pada proses registrasi mahasiswa. Termasuk tidak adanya rahasia (privasi) pada salah satu sistem informasi yang ada seperti website yang dapat diakses oleh sembarang orang, tanpa melalui proses login terlebih dahulu, untuk mengetahui data rahasia mahasiswa Universitas Airlangga seperti alamat mahasiswa. Pengadaan dana untuk implementasi teknologi informasi pada Fakultas Ilmu Budaya juga mengalami kendala, antara lain: sistem dana terpusat (dana yang disediakan untuk masingmasing fakultas dikelola oleh rektorat), walaupun Universitas Airlangga sudah berstatus BHMN (Badan Hukum Milik Negara), yang berarti tiap-tiap fakultas memiliki otonomi sendiri untuk mengelola wilayahnya. Apabila dana telah dikeluarkan, maka untuk pengimplementasian teknologi informasi masih harus dengan persetujuan rektorat. Selain itu, 1
analisis terhadap cost and benefit sebelum pengimplementasian teknologi informasi (Audittindo TM ) juga belum dilakukan, dan hanya didasarkan pada nilai perkiraan besarnya nilai investasi yang diperlukan. Audit sistem informasi merupakan proses mengumpulkan dan mengevaluasi fakta-fakta untuk menentukan apakah sistem informasi melindungi aset, memiliki integritas data, membantu tujuan organisasi dapat tercapai (Weber, 1999). Pada penelitian ini audit pengembangan akan mengacu pada standar COBIT 4.1. Meskipun terdapat standar-standar lain namun standar COBIT mempunyai kompromi yang cukup baik dalam keluasan cakupan pengelolaan dan kedetailan prosesprosesnya. Why should an organisation adopt COBIT? Mengapa sebuah organisasi butuh menggunakan COBIT? Ada banyak hal alasannya, antara lain: IT is an important element of corporate governance and management accountability, Ensure businessoriented solutions, Framework for risk assessment, As a means to communicate with all stakeholders, Authoritative basis (internationally accepted, exhaustive, evolving) (ITGI, 2005). COBIT merupakan panduan yang paling lengkap dari praktik-praktik terbaik untuk manajemen TI yang mencakup 4 (empat) domain, yaitu: Perencanaan & Organisasi (Plan & Organize), Akuisisi & Implementasi (Acquire & Implement), Penyerahan & Dukungan TI (Deliver & Support), serta Monitor & Evaluasi (Monitor & Evaluate) (Gondodiyoto, 2007). Penulis mengkhususkan pada Domain Acquire & Implement (AI), karena domain ini membahas tentang proses pengakuisisian dan pengimplementasian teknologi informasi seperti yang sedang berlangsung pada FIB. Domain ini pada prinsipnya menjawab pertanyaanpertanyaan manajemen sbb: (Swastika: 2007) Apakah telah ada kesesuaian antara nilai proyek dan tujuan bisnis? Apakah telah ada kesesuaian antara ketepatan waktu dan budget? Akankah sistem baru (teknologi informasi) yang diterapkan dapat berjalan dengan baik ketika diimplementasikan? Akankah perubahan yang dibuat tidak akan mengganggu operasi bisnis saat ini? Diharapkan dengan adanya audit pengembangan teknologi informasi pada FIB menggunakan standar COBIT 4.1 pada domain Acquire & Implement, dapat mengatasi permasalahan yang berkaitan dengan penanganan error dalam TI, keakuratan informasi, dan pengoptimalan solusi TI yang telah ada. 2. COBIT COBIT adalah a set of best practices (framework) bagi pengelolaan teknologi informasi (IT management). COBIT disusun oleh IT Governance Institute (ITGI) dan Information Systems Audit and Control Association (ISACA), tepatnya Information System Audit Control Foundation s (ISACF) pada tahun 1992. Edisi pertamanya dipublikasikan pada tahun 1996, edisi kedua pada tahun 1998, edisi ketiga tahun 2000 (versi online dikeluarkan tahun 2003) dan COBIT versi 4 diterbitkan pada Desember 2005. COBIT dan ISO/IEC 17799:2005 merupakan standar yang sekarang banyak digunakan (ISO/IEC 17799:2005 adalah code of practice for implementation security management), dan keduanya bersifat saling melengkapi. Ruang lingkup ISO/IEC 17799:2005 adalah aspek security, sedangkan COBIT bersifat lebih luas, merupakan kombinasi dari prinsip-prinsip yang telah ditanamkan dan dikenal sebagai acuan model (seperti: COSO), dan disejajarkan dengan standar industri (seperti: ITIL, CMM, BS7799, ISO9000), COBIT juga dilengkapi dengan IT balance scorecard. Paket produk COBIT terdiri dari: executive summary, framework, control objectives, audit guidelines, implementation tool set, serta management guidelines, yang sangat berguna atau dibutuhkan oleh auditor, para IT user, dan para manajer. Kerangka kerja (Framework) COBIT terdiri atas beberapa arahan (guidelines), yakni: 2.1 Control Objectives Terdiri atas empat tujuan pengendalian tingkattinggi (high-level control objectives) yang tercermin dalam empat domain, yaitu: plan & organize, acquisition & implementation, delivery & support, dan monitoring. Empat domain COBIT dirinci lagi menjadi 34 highlevel control objectives, antara lain: Plan and Organise Membahas mengenai strategi, taktik, dan pengidentifikasian teknologi informasi dalam mendukung tercapainya tujuan bisnis. Realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan dikelola untuk perspektif yang berbeda. Domain ini harus dapat menjawab pertanyaan-pertanyaan manajemen tentang: 1. Apakah strategi teknologi informasi dan bisnis selaras? 2
2. Apakah perusahaan memanfaatkan sumber daya yang ada secara optimal? 3. Apakah setiap orang dalam organisasi mengerti tujuan dari penerapan teknologi informasi? 4. Apakah resiko teknologi informasi telah dimengerti dan dikelola? 5. Apakah kualitas sistem teknologi informasi sesuai dengan kebutuhan bisnis? Pada domain Plan and Organize (PO) terdapat sepuluh high-level control objectives, antara lain: 1. PO1: Define a Strategic IT Plan 2. PO2: Define the Information Architecture 3. PO3: Determine Technological Direction 4. PO4: Define the IT Processes, Organisation and Relationships 5. PO5: Manage the IT Investment 6. PO6: Communicate Management Aims and Direction 7. PO7: Manage IT Human Resources 8. PO8: Manage Quality 9. PO9: Assess and Manage IT Risks 10. PO10: Manage Projects Acquire and Implement Domain Acquire and Implement berfungsi untuk merealisasikan strategi teknologi informasi, solusi-solusi teknologi informasi perlu untuk diidentifikasi, dibangun atau dibeli, sebaik diimplementasikan dan diintegrasikan pada proses bisnis. Domain ini membahas tentang perubahan-perubahan dalam teknologi informasi dan perawatan terhadap sistem yang ada untuk memastikan bahwa solusi yang ada dapat memenuhi tujuan bisnis. Domain ini harus dapat menjawab pertanyaan-pertanyaan manajemen tentang: 1. Apakah proyek baru dapat memberikan solusi untuk menjawab kebutuhan bisnis? 2. Apakah proyek baru dapat memberikan solusi terhadap nilai ketepatan waktu dan nilai anggaran biaya (budget)? 3. Apakah sistem baru berjalan dengan baik ketika diimplementasikan? 4. Apakah perubahan yang dilakukan tidak mengganggu proses atau kegiatan operasional bisnis yang ada? Pada domain Acquire and Implement (AI) terdapat tujuh high-level control objectives, antara lain: 1. AI1: Identify Automated Solutions 2. AI2: Acquire and Maintain Application software 3. AI3: Acquire and Maintain Technology Infrastructure 4. AI4: Enable Operation and Use 5. AI5: Procure IT Resources 6. AI6: Manage Changes 7. AI7: Install and Accredit Sollutions and Changes Deliver and Support Domain ini berfokus pada aspek penyampaian teknologi informasi dari layanan yang dibutuhkan, yang termasuk penyampaian teknologi informasi, manajemen keamanan dan kesinambungan, pendukung layanan bagi para pengguna, manajemen data dan fasilitas-fasilitas operasional. Domain ini harus mampu menjawab pertanyaan tentang: 1. Apakah layanan teknologi informasi yang diberikan sesuai dengan prioritas-prioritas bisnis? 2. Apakah biaya untuk teknologi informasi sudah dioptimalkan? 3. Apakah pekerja mampu menggunakan sistem teknologi informasi secara produktif dan aman? 4. Apakah kerahasiaan, integritas, dan ketersediaan tersedia untuk keamanan informasi? Pada domain Deliver and Support (DS) terdapat tiga belas high-level control objectives, antara lain: 1. DS1: Define and Manage Service Levels 2. DS2: Manage Third-party Services 3. DS3: Manage Performance and Capacity 4. DS4: Ensure Continuous Service 5. DS5: Ensure Systems Security 6. DS6: Identify and Allocate Costs 7. DS7: Educate and Train Users 8. DS8: Service Desk and Incidents 9. DS9: Manage the Configuration 10. DS10: Manage Problems 11. DS11: Manage Data 12. DS12: Manage the Physical Environment 13. DS13: Manage Operations Monitor and Evaluate Semua proses teknologi informasi perlu dinilai secara teratur akan kualitas dan kesesuaiannya terhadap kebutuhan-kebutuhan kontrol. Domain ini membahas tentang manajemen performa, pengawasan terhadap kontrol internal, kesesuaian dengan peraturan, dan penyediaan tata kelola. Domain ini harus dapat menjawab pertanyaan-pertanyaan tentang: 1. Apakah performa teknologi informasi diukur untuk mendeteksi permasalahanpermasalahan sebelum terlambat? 2. Apakah manajemen memastikan bahwa kontrol internal benar-benar efektif dan efisien? 3
3. Dapatkh performa teknologi informasi dihubungkan kembali dengan tujuan bisnis (bussiness goals)? 4. Apakah resiko, kontrol, kesesuaian, dan performa diukur dan dilaporkan? Pada domain Monitor and Evaluate terdapat empat subdomain, antara lain: 1. ME1: Monitor and Evaluate IT Performance 2. ME2: Monitor and Evaluate Internal Control 3. ME3: Ensure Regulatory Compliance 4. ME4: Provide IT Governance 2.2 Kriteria Kerja COBIT COBIT mendukung manajemen dalam mengoptimumkan investasi TI-nya melalui ukuran-ukuran dan pengukuran yang akan memberikan sinyal bahaya bila suatu kesalahan atau resiko akan atau sedang terjadi. Manajemen perusahaan harus memastikan bahwa sistem kendali internal perusahaan bekerja dengan baik, artinya dapat mendukung proses bisnis perusahaan yang secara jelas menggambarkan bagaimana setiap aktivitas kontrol individu memenuhi tuntutan dan kebutuhan informasi serta efeknya terhadap sumber daya TI perusahaan. Sumber daya TI merupakan suatu elemen yang sangat disoroti COBIT, termasuk pemenuhan kebutuhan bisnis terhadap: efektivitas, efisiensi, kerahasiaan, keterpaduan, ketersediaan, kepatuhan terhadap kebijaksanaan atau aturan dan keandalan informasi (effectiveness, efficiency, confidentiality, integrity, availability, compliance, dan reliability). Tabel 1 Kriteria Kerja COBIT 2.3 Hubungan antara Komponen dalam COBIT Hubungan antara komponen dalam COBIT menggambarkan bahwa bisnis membutuhkan proses-proses TI yang dikendalikan oleh control objective, diaudit menggunakan audit guidelines, akan menjadi efektif dan efisien dengan activity goals dan diukur oleh Key Performance Indicators, Key Goal Indicators, dan Maturity Models. 3. METODE Ada 7 langkah prosedur audit (Swastika, 2007), yaitu: Audit Subject, Audit Objective, Preaudit Planning, Audit Procedure & Steps For Data Gathering, Prosedur Komunikasi Dengan Pihak Manajemen, Evaluasi Hasil Pengujian, dan Audit Report ditunjukkan pada gambar 1. Gambar 1 Skema Prosedur Audit Dengan keterangan sebagai berikut: 1. Audit Subject: Audit sistem informasi ini dilakukan di Fakultas Ilmu Budaya (FIB), Universitas Airlangga Surabaya. 2. Audit Objective: Tujuan dilaksanakan proses audit pengembangan teknologi informasi pada FIB antara lain: (i) Meningkatkan penyampaian informasi yang relevan dan berhubungan dengan proses bisnis seperti penyampaian informasi dengan benar, konsisten, akurat, lengkap, dapat dipercaya dan tepat waktu. (ii) Mengoptimalkan penggunaan sumber daya. (iii) Meningkatkan proteksi terhadap informasi yang penting dari orang yang tidak memiliki hak otorisasi. (iv) Menyediakan informasi ketika diperlukan dalam proses bisnis sekarang dan yang akan datang. (v) Meningkatkan kepatuhan pada kebijakan/aturan yang sesuai menurut hukum, peraturan dan rencana perjanjian untuk proses bisnis. (vi) Meningkatkan dokumentasi. 3. Preaudit Planning: Dalam mempersiapkan pelaksanaan audit terdapat beberapa hal yaitu: (i) mengidentifikasi Sumber daya yang diperlukan, (ii) membuat jadwal pelaksanaan audit. 4
Gambar 2 Kertas Kerja Control Objective 4. Audit Procedure & Steps For Data Gathering: untuk mendapatkan data yang berkaitan dengan sistem informasi akademik nantinya memakai kertas kerja, wawancara, pengamatan. Berikut gambar kertas kerja yang akan digunakan. Gambar 2 kertas kerja control objective, gambar 3 kertas kerja Maturity Level, gambar 4 kertas kerja penilaian KPI, PKGI, ITKGI. 5. Prosedur Komunikasi Dengan Pihak Manajemen: Survei, interview, observasi, kertas kerja, wawancara dan review dokumentasi digunakan untuk berkomunikasi dengan pihak manajemen dalam memahami organisasi dan sistem informasi yang akan diaudit. 6. Evaluasi Hasil Pengujian: Pembuatan kertas kerja dan pertanyaan-pertanyaan wawancara mengacu pada management guidelines dari COBIT. 7. Audit Report: Mengidentifikasi kendali dan memperkirakan resiko, mengumpulkan bukti, memaparkan temuan-temuan hasil audit yang dibagi menurut masing-masing domain menurut audit framework yang digunakan. Penilaian yang dilakukan dihasilkan dari wawancara dengan pihakpihak yang berkepentingan. Gambar 3 Kertas Kerja Maturity Level Gambar 4 Kertas Kerja KPI, PKGI, ITKGI 5
4. HASIL DAN PEMBAHASAN 4.1 Control Objective Control Objective digunakan sebagai tolok ukur untuk mencapai business goal berupa pernyataan yang berisi tentang hasil atau fungsi yang diharapkan. Dilakukan dengan mengimplementasikan control procedures dalam TI proses tertentu dan merupakan karakteristik dari proses yang terkelola dengan baik. Pada penelitian ini, dilakukan penilaian atau perkiraan Maturity Level pada domain Acquire & Implement yang dilakukan pada FIB, Unair. Gambar 6 Menunjukkan grafik penilaian dari perhitungan Maturity level. Sedangkan Tabel 2 Menunjukkan secara detil nilai dari Maturity tiap sub domain yang telah ditunjukkan pada gambar 3. Tabel 2 Nilai Maturity tiap Sub Domain Acquire & Implement Gambar 5 dan tabel 1 adalah hasil pengukuran Control Objective Domain AI1 sampai AI4 yang dilakukan pada FIB. Gambar 5 menunjukkan grafik penilaian dari perhitungan Control Objective. Gambar 5 Grafik Penilaian Control Objectives Domain Acquire & Implement Tabel 1 Nilai & Level tiap Sub Domain Acquire & Implement Gambar 6 Grafik Penilaian Maturity Level Domain Acquire & Implement Pada tabel 1 terlihat bahwa bahwa AI1 sampai AI4 memiliki tingkat kepentingan rendah. Hal ini membuktikan bahwa kontrol internal dalam organisasi belum diterapkan secara baik. Namun, memiliki nilai kepentingan yang tinggi terhadap proses bisnis yang ada dalam organisasi, sehingga proses-proses yang berkaitan dengan domain tersebut perlu untuk terus diperhatikan. 4.2 MaturityLevel Maturity Level atau tingkat kematangan membahas kendali terhadap proses TI, sehingga manajemen dapat memetakan dimana organisasi berada, serta terhadap standar internasional dimana organisasi tersebut ingin berada. Tingkat kematangan inilah yang akan menjadi tolak ukut dalam menilai efektifitas TI FIB, Unair. 4.3 KPI, PKGI, ITKGI Key Performance Indicators(KPI) digunakan untuk memantau kinerja setiap proses TI, yang merupakan indikasi utama yang mendefinisikan ukuran dari seberapa baiknya kinerja proses TI dalam memungkinkan tujuan yang akan dicapai (untuk mengukur sejauh mana proses berjalan sesuai dengan goal yang telah ditentukan). Berikut hasil analisa resiko berdasarkan KPI PKGI ITKGI. Gambar 7 Grafik Pengukuran Key Performance Indicator 6
Gambar 8 Grafik Pengukuran Process Key Goal Indicator Gambar 9 Grafik Pengukuran IT Key Goal Indicator Gambar 7, 8, dan 9 menunjukkan pengukuran KPI, PKGI, dan ITKGI yang ada pada FIB. Dari gambar diatas, menunjukkan bahwa aktifitas pada FIB mempunyai resiko tinggi yang berarti jika aktifitas tersebut tidak terpenuhi, maka proses bisnis yang pada FIB akan terganggu. 5. KESIMPULAN Dari hasil audit yang dilakukan pada Fakultas Ilmu Budaya (FIB), Universitas Airlangga Surabaya, maka didapatkan kesimpulan sebagai berikut: Ada beberapa kesimpulan yang bisa diambil dari penelitian ini, yaitu: 1. Berdasarkan nilai Maturity Level yang ada, kinerja TI pada Fakultas Ilmu Budaya belum mencapai tahap Initial/Ad Hoc sehingga perlu ditingkatkan lagi agar dapat mencapai standardisasi kenerja TI perguruan tinggi secara internasional. 2. Analisis resiko pada Fakultas Ilmu Budaya juga tinggi. Hal ini perlu untuk diawasi dan meningkatkan kinerja TI yang ada untuk memenuhi persyaratan-persyaratan bisnis fakultas. 6. DAFTAR PUSTAKA Fakultas Ilmu Budaya. 2008. Pedoman Administrasi Akademik & Kurikulum Fakultas Ilmu Budaya. Universitas Airlangga Surabaya. Gondodiyoto, Sanyoto. 2007. Audit Sistem Informasi + Pendekatan CobIT. Jakarta. Mitra Wacana Media. Hall, Elaine M. 2001. Managing Risk, Managing Risk for Software System Development. Massachusettes: Addison-Wesley. Husnan, Suad, Suwarsono Muhammad. 2000. Studi Kelayakan Proyek. Yogyakarta. UPP AMP YKPN. Indrajit, Richardus Eko. 2004. Kajian Strategis Cost Benefit Teknologi Informasi. Yogyakarta: Andi Publiser. Information Systems Audit and Control Association. IS Standards, Guidelines and Procedures for Auditing and Control Professionals, ISACA, 2007. ITGI. 2007. COBIT 4.1 : Control Objective, Management Guidelines, Maturity Models. United States of America: IT Governance Institute. Mulyadi. 1998. Total Quality Management. Yogyakarta. Aditya Media Sarno, Riyananto. 2009. Audit Sistem & Teknologi Informasi. Surabaya. ITS Press. Sujadi, Agus. 2004. Perbandingan ISO/IEC 12207 dan SEI CMM For Software Development Menggunakan Malcom Baldrige Quality Management System Elements dan Deming Cycle Activities. STIKOM Surabaya: Tugas Akhir. Swastika, I Putu Agus. 2007. Buku Panduan Kuliah STIKOM Surabaya : Audit Sistem Informasi. Surabaya : STIKOM. Wasilah. 2007. Perancangan It Governance Untuk Peningkatan Kualitas Layanan Akademik Studi Kasus : Puskom Universitas Lampung. ITB. Weber, Ron. 1999. Information System Control and Audit, The University of Queensland, Prentice Hall. Pederiva, Andrea. 2003. The COBIT Maturity Model in a Vendor Evaluation Case. Information Systems Control Jurnal, Volume 3. Audittindo TM. 2004. Information System Audit, Control & Service. URL: http://www.audittindo.co.id Lewton, Lynn. 2006. Applying IT Governance at Home: Oversight of a Computer Acquisition. URL: http://www.isaca.org.br. 7