BAB 6. STANDAR DAN PROSEDUR (BAGIAN KEDUA) PENDAHULUAN Diskripsi Singkat Manfaat Audit dan kontrol pada teknologi informasi dan komunikasi dilaksanakan dengan didasarkan pada standar dan prosedur yang berbasis beberapa standar. Standar berasal dari best practicei atau standar ideal industri yang berkembang di dunia. Dalam area audit dan kontrol teknologi informasi memiliki beberapa standar yang bisa digunakan untuk mempertajam penggunaan standar dan prosedur yang kuat. Mengenalkan dan memberikan pengetahuan dasar mengenai standard an prosedur audit yang berlaku Memperkenalkan sejak dini (mahasiswa) untuk mengenal lebih jauh dunia industry yang memiliki aturan main cukup ketat dalam implementasi dan pengendalian layanan teknologi informasi dan komunikasi Relevansi Learning Outcomes Standar dan prosedur audit dan kontrol pada teknologi informasi merupakan tahapan krusial untuk mengidentifikasi beberapa aturan main yang mengatur dunia audit dan kontrol itu sendiri. Secara khusus teknologi informasi, memiliki beberapa aturan main berdasar beberapa standar yang mengikat. Standar dan prosedur ini dibangun untuk menjembatani praktek-praktek terbaik industri dan mengimplementasikan untuk mencipatkan nilai bagi organisasi. Materi ini sangat relevan untuk membangun kontruksi pemahaman profesional bagi peserta didik sehingga siap nantinya terjun dan mengadaptasi dunia industri. Mampu menganalisis dan menggunakan teknik audit dan kontrol
PENYAJIAN MATERI Tata Kelola TI Albarda (2006), dalam penelitian tentang Strategi Implementasi Pemanfaatan Teknologi Informasi Untuk Tata Kelola Organisasi (IT-Governance) menyimpulkan bahwa Implementasi IT untuk mendukung kegiatan operasional suatu organisasi baik dalam skala kecil maupun besar, berkembang menjadi kebutuhan mendasar dalam menghadapi era global dan Good Governance. Berbagai perangkat TI untuk infrastruktur, servis, maupun aplikasi, saat ini sangat banyak tersedia di pasaran dalam berbagai bentuk dan fungsinya. Hal ini menyebabkan banyaknya alternatif solusi TI yang perlu dipertimbangkan dalam menentukan kebijakan pengembangan organisasi. Implementasi TI dalam kegiatan operasional organisasi akan memberikan dampak yang cukup signifikan bukan hanya dari segi effisiensi kerja tetapi juga terhadap budaya kerja baik secara personal, antar unit, maupun keseluruhan institusi. Pengelolaan administrasi berbasis TI digunakan sebagai kasus pada pembahasan ini. Kajian strategi akan lebih difokuskan terhadap pengembangan SDM untuk mendukung optimalisasi pada implementasi TI sejak tahap perencanaan, pengembangan, alih kelola, operasional sampai dengan tahap pemeliharaan. Josua Tarigan (2006), dalam penelitian tentang Merancang IT Governance dengan COBIT & Sarbanes-Oxley dalam Konteks Budaya Indonesia, mengutarakan skandal keuangan yang terjadi dalam Enron, Worldcom, Xerox yang melibatkan beberapa KAP yang termasuk dalam the big five mendapatkan respon dari Kongres Amerika Serikat, salah satunya dengan diterbitkannya undang-undang (Sarbanex-Oxley Act) yang diprakarsai oleh senator Paul Sarbanes (Maryland) dan wakil rakyat Michael Oxley (Ohio) yang telah ditandatangani oleh presiden George W. Bush. Dalam Sarbanex-Oxley Act diatur tentang akuntansi, pengungkapan dan pembaharuan tata kelola, yang mensyaratkan adanya pengungkapan yang
lebih banyak mengenai informasi keuangan, keterangan tentang hasil-hasil yang dicapai manajemen, kode etik bagi pejabat di bidang keuangan, pembatasan kompensasi ekskutif dan pembentukan komite audit yang independen. Dalam tata kelola yang baik, peranan tata kelola TI merupakan hal yang sangat penting, dalam konteks organisasi bisnis yang berkembang, kebutuhan akan TI bukan merupakan barang yang langka, dalam konteks ini tata kelola yang baik membutuhkan tata kelola TI yang baik. COBIT (control objective for information and related technology) dapat digunakan sebagai tools yang digunakan untuk mengefektifkan implementasi Sarbanes-Oxley Act. COBIT terdiri dari 4 domain, yakni planning-organization (PO), acquisitionimplementation (AI), Delivery-support (DS) dan Monitoring (M). COBIT & Sarbanex-Oxley merupakan tools yang telah banyak diterapkan dalam konteks dunia Eropa dan negara lain diluar Asia. Dalam konteks Asia, khususnya Indonesia banyak faktor yang perlu diperhatikan, khususnya faktor psikologis masyarakat yang ada, yakni faktor budaya. Faktor budaya merupakan hal yang signifikan perlu dipertimbangkan dalam merancang tata kelola TI, dimana hal ini mempengaruhi keberhasilan dalam mengimplementasikan konsep tata kelola TI yang ada. Penelitian tentang COBIT dalam bidang pendidikan dalam hal ini perguruan tinggi sudah pernah dilakukan. Salah satunya adalah yang dilakukan oleh Solikin, Program Magister Sistem Informasi, Departemen Teknik Informatika Institut Teknologi Bandung yang meneliti tentang Pengelolaan informasi Sekolah Tinggi Manajemen Informatika dan Komputer AMIKBANDUNG (STMIK AMIKBANDUNG ). Dari hasil penelitiannya didapatkan bahwa pengelolaan teknologi informasi sudah dilakukan, akan tetapi belum dikelola dengan menggunakan pendekatan dan metoda terstruktur, sehingga sulit untuk mengukur seberapa besar peranan teknologi informasi dalam mendukung pencapaian tujuan perusahaan secara efektif dan efisien. Pada tesis tersebut dirancang sebuah model pengelolaan TI (IT Governance)
dan model audit sistem informasi (SI). Model pengelolaan TI dan model audit sistem informasi perguruan tinggi diadopsi dari COBIT (Control Objectives for Information and related Technology). COBIT adalah standar pengendalian yang umum terhadap teknologi informasi, dengan memberikan kerangka kerja dan pengendalian terhadap teknologi informasi yang dapat diterapkan dan diterima secara internasional. Selain itu, COBIT dipilih karena dikembangkan dengan memperhatikan keterkaitan tujuan bisnis dengan tidak melupakan fokusnya pada teknologi informasi. Kerangka kerja COBIT bersifat umum, oleh sebab itu harus disesuaikan dengan melihat proses bisnis dan tanggung jawab proses teknologi informasi terhadap aktivitas perguruan tinggi. Model tata kelola TI dan model audit ini dimaksudkan untuk membuat pemetaan proses perencanaan dan pengorganisasian, akuisisi dan implementasi terhadap tingkat model maturity. Model maturity adalah alat untuk mengukur seberapa baik proses-proses sistem informasi berkembang. Dengan model maturity manajemen dapat mengukur posisi proses sistem informasi yang sekarang dan menilai hal yang diperlukan untuk meningkatkannya. Model maturity terdapat pada setiap proses sistem informasi. Alat yang digunakan untuk memetakan posisi proses sistem informasi adalah dengan menggunakan kuesioner. Kuesioner dibuat dengan menggunakan teknik pengukuran ordinal dengan skala likert. Sedangkan tujuan pengendalian ditetapkan dengan mempertimbangkan CSF (Critical Success Factors), KGI (Key Goal Indicators), dan KPI (Key Performance Indicators). Dari hasil implementasi diperoleh hasil bahwa model tata kelola TI dan model audit sistem informasi COBIT dapat diterapkan pada proses teknologi informasi di lingkungan perguruan tinggi, namun demikian perlu dilakukan penyesuaian atau modifikasi terhadap prosesnya. Alan Calder (2005) dalam risetnya mempublikasikan tentang mekanisme penyusunan tata kelola TI dengan memfokuskan kontrol pada tipe pengambilan keputusan dan siapa yang mengambil keputusan didasarkan pada konteks, struktur dan aturan main yang berjalan. Setiap pengambil keputusan memiliki area pengambilan keputusan tertentu dan melakukan
proses perencanaan (plan), melaksanakan (do), memeriksa (check), menjalankan (act). Level pengambil keputusan di bagi dalam beberapa level, sebagai berikut : 1. Governance Principles, risk/complience criteria, business and information strategies, investment yang kesemuanya tersebut dilaksanakan oleh kumpulan manajamen atas (board). 2. Application strategy, implementation, monitoring, improving yang akan dilaksanakan oleh pihak eksekutif. 3. Project Management yang akan dilaksanakan oleh Program Office. 4. Business Process yang akan dilaksanakan oleh Business Leaders. 5. ICT Operations Processes yang akan dilaksanakan oleh IT Leaders.
Tugas & Latihan Berdasarkan hasil aktivitas kelompok pertemuan sebelumnya, masingmasing kelompok kemudian diminta untuk Mencari dokumentasi standar audit dengan detail sebagai berikut: o Kelompok1: COBIT o Kelompok2: COSO o Kelompok3: ITIL o Kelompok4: Prince2 Project Management o Kelompok5: Information Security o Kelompok6: Quality Management o Kelompok7: tata kelola TI Setiap kelompok diminta mempresentasikan dan menjelaskan perspektif masing-maisng standar Rangkuman COBIT, ITIL, COSO, Prince Project Management, Information Security dan Quality Management merupakan standar baseline untuk menjadi kompetensi yang baik sebagai auditor teknologi informasi. Pemahaman mengenai cara kerja, domain, prinsip dan beberapa praktek terbaik dari setiap standar akan memberikan wacana bekerja sebagai auditor yang berkompetensi.
PENUTUP Tes Formatif Penilaian berdasarkan hasil presentasi masing-maisng kelompok dengan komponen sebagai berikut: Standar terbaru : 20 poin Penjelasan dan pemahamaan mengenai standar : 15 poin Petunjuk Penilaian dan Umpan Balik Relasi dengan standar yang lain : 15 poin Akumulasi poin setiap kelompok akan dijadikan bahan untuk melakukan evaluasi mengenai standar pada audit dan kontrol teknologi informasi. Bentuk penugasan adalah presentasi kelompok. Penilaian akan didasarkan dengan detail sebagai berikut: Standar terbaru : 20 poin Penjelasan dan pemahamaan mengenai standar : 15 poin Relasi dengan standar yang lain : 15 poin Umpan balik akan dilakukan dengan cara sebagai berikut: Dosen akan memberikan pertanyaan trigger untuk membangkitan diskusi dan argumentasi yang tepat Tindak Lanjut Peserta kuliah lain diperbolehkan mendebat dan mendiskusikan setiap argument dari kelompok yang lainnya Sebagai materi yang membahas standar maka akan dilanjutkan pada detail pembahasan setiap komponen standar yang ada.