DESAIN MEKANISME PERENCANAAN AUDIT UNTUK MEMBENTUK REPOSITORI DATA DALAM MENDUKUNG MANAJEMEN PENGETAHUAN Pratomo Hadi 1), Ahmad Affandi 2), Daniel Oranova S 3) 1) Teknik Elektro Telematika, Institut Teknologi Sepuluh Nopember Surabaya Kampus ITS Sukolilo Surabaya 60111 Tlp.+62 (031) 5947843; 5922938 Fax. +62 (031) 5933228; 5947843 ext. 315 2) Teknik Elektro, Institut Teknologi Sepuluh Nopember Surabaya 3) Teknik Informatika, Institut Teknologi Sepuluh Nopember Surabaya ABSTRAK Audit teknologi informasi (audit TI) merupakan suatu kegiatan yang cukup penting untuk mengendalikan resiko yang ada terkait dengan pemanfaatan teknologi informasi. Untuk melakukan audit TI dibutuhkan pengetahuan yang cukup terutama untuk menyusun tahapan dari program audit yang akan dilakukan. Walaupun saat ini sudah banyak referensi, standar maupun praktik terbaik (best practice) yang mudah diperoleh tetapi masih cukup sulit bagi auditor TI terutama auditor pemula untuk dapat melakukan kegiatan audit TI secara efektif dan berkualitas. Dokumentasi langkah-langkah audit yang pernah dilakukan sebelumnya akan sangat membatu auditor dalam melakukan perencanaan audit. Fokus dari penelitian ini adalah membuat kerangka kerja mekanisme perencanaan audit dalam suatu sistem sehingga pengetahuan dalam bentuk pengalaman pelaksanaan audit akan terekam membentuk repositori data yang mendukung manajemen pengetahuan. Penelitian ini diawali dengan studi tentang permasalahan yang dihadapi oleh auditor dalam melakukan perencanaan audit teknologi informasi, mengidentifikasi pengetahuanpengetahuan yang dibutuhkan, kemudian dilakukan analisa untuk membuat kerangka kerja mekanisme perencanaan audit dalam suatu sistem. Hasil dari penelitian ini adalah sebuah desain sistem yang mengelola pengetahuan-pengetahuan terkait sehingga dapat membantu auditor dalam melakukan kegiatan audit teknologi informasi. Kata kunci: Audit TI, Manajemen Pengetahuan, Sistem Manajemen Pengetahuan, Knowledge Management. PENDAHULUAN Audit teknologi informasi merupakan bentuk pengawasan dan pengendalian infrastruktur teknologi informasi secara menyeluruh dengan tujuan untuk mengevaluasi sistem pengendalian internal pada sistem desain dan efektifitas. Besarnya resiko atas implementasi teknologi informasi mendorong pentingnya dilakukan audit teknologi informasi.. Untuk melakukan audit teknologi informasi, sebenarnya tersedia beberapa perangkat (tools) maupun acuan yang dapat dijadikan referensi dalam melakukan audit. CobiT - Control Objectives for Information and Related Technology ( ISACA and ITGI, 1992) merupakan sebuah framework atau best practice untuk manajemen IT yang menyediakan pengukuran secara umum ( generally accepted measures), indikator ( indicators), proses ( process) dan pengendalian (control) kepada manajer IT, auditor dan pengguna IT untuk dapat memberikan manfaat yang maksimal dalam hal pengembangan dan implementasi IT khususnya IT untuk pemerintahan (IT Governance). ISO/IEC (International Standard Organisation / International C-22-1
Electrotechnical Commission) juga menerbitkan sebuah acuan standar keamanan informasi yang diarahkan untuk mengembangkan dan memelihara standar keamanan dan praktek manajemen dalam organisasi untuk meningkatkan ketahanan ( reliability) bagi keamanan informasi dalam organisasi. Walaupun acuan referensi untuk audit TI banyak tersedia, tetapi masih cukup sulit bagi seorang auditor terutama bagi pemula untuk menyusun suatu program audit karena memang tidak ada standar yang pasti dalam pelaksanaan audit teknologi informasi. Permasalahan inilah yang menjadi perhatian yang kemudian diangkat dalam penelitian ini. Dengan mekanisme kerangka kerja yang dihasilkan dari penelitian ini diharapkan perencanaan dan pelaksanaan audit dapat menjadi lebih mudah. Tujuan dari penelitian ini adalah membuat desain awal (prototype) sistem manajemen pengetahuan yang sesuai untuk mendukung kegiatan audit teknologi informasi serta mengetahui pengaruh sistem manajemen pengetahuan terhadap pengelolaan pengetahuan organisasi dengan studi kasus pada Badan Pemeriksa Keuangan (BPK) khususnya pada Biro Teknologi Informasi yang terkait langsung dengan pelaksanaan kegiatan audit teknologi informasi. Penelitian ini diawali dengan studi tentang permasalahan yang dihadapi oleh auditor dalam melakukan perencanaan audit teknologi informasi, mengidentifikasi pengetahuan-pengetahuan yang dibutuhkan, kemudian dilakukan analisa untuk membuat kerangka kerja mekanisme perencanaan audit dalam suatu sistem sehingga pengetahuan dalam bentuk pengalaman pelaksanaan audit akan terekam membentuk repositori data yang mendukung manajemen pengetahuan Audit teknologi informasi merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif serta dapat menggunakan sumber daya yang dimilik secara efisien (Weber, 2000). Hal yang melatarbelakangi pentingnya dilakukan audit teknologi informasi adalah adanya resiko-resiko yang menyertai penerapan dan penggunaan teknologi informasi. Dalam melakukan audit teknologi informasi, ada beberapa tahapan yang harus dilakukan. Tahapan-tahapan tersebut adalah (Chris Davis dkk, 2007) : 1. Perencanaan (Planning) 2. Investigasi lapangan dan dokumentasi (Fieldwork and documentation) 3. Pendalaman dan validasi potensial isu (Issue discovery and validation) 4. Membuat rekomendasi solusi (Solution development) 5. Membuat laporan audit (Report drafting and issuance) 6. Pemantauan tindak lanjut (Issue tracking) Dari beberapa tahapan tersebut, perencanaan audit merupakan tahapan yang sangat penting untuk menentukan tujuan, ruang lingkup, arah serta apa yang harus dikerjakan dalam pelaksanaan audit Beberapa definisi yang dapat ditinjau untuk memberikan gambaran mengenai manajemen pengetahuan diantaranya adalah : 1. Manajemen pengetahuan didefinisikan sebagai proses menangkap dan menggunakan berbagai keahlian yang dimiliki, baik pengetahuan eksplisit maupun pengetahuan tacit (Awad dan Ghaziri, 2003). 2. Manajemen pengetahuan merupakan proses mengelola pengetahuan organisasi untuk menambah nilai bisnis dan mempertahankan daya saing melalui pembentukan, komunikasi dan aplikasi pengetahuan (Tiwana, 2002). 3. Manajemen pengetahuan merupakan aktivitas konversi pengetahuan untuk penciptaan pengetahuan (Nonaka & Takeuci, 1995). C-22-2
4. Manajemen pengetahuan merupakan proses sistematik untuk menemukan, memilih, mengorganisasi, menyarikan dan menyajikan informasi dengan cara tertentu sehingga para pengguna informasi mampu memanfaatkan dan meningkatkan penguasaan pengetahuan dalam suatu bidang kajian yang spesifik, untuk kemudian menginstitusionalkan menjadi pengetahuan organisasi (Tjakraatmadja dan Lantu, 2006). Sistem manajemen pengetahuan adalah sebuah sistem (umumnya berbasis teknologi informasi) untuk membantu pengelolaan pengetahuan dalam organisasi yang mendukung proses-proses pengelolaan pengetahuan seperti proses penciptaan ( creation), proses penangkapan ( capture), proses pengorganisasian ( organize), proses penyimpanan ( storage) serta proses penyaluran (transfer) atau proses penyebarluasan (dissemination) METODE Pada penelitian ini dilakukan analisa terhadap permasalahan-permasalahan yang ada terkait dengan audit teknologi informasi, kemudian dilanjutkan dengan pembuatan rancangan desain sistem. Desain rancangan merupakan hasil observasi yang dihimpun dari auditor Badan Pemeriksa Keuangan Republik Indonesia yang terkait dengan kegiatan audit teknologi informasi yang dipadukan dengan beberapa data-data sekunder sebagai pendukung. Pada gambar 1 dijelaskan tentang diagram alur metodologi untuk membuat desain rancangan sistem manajemen pengetahuan yang digunakan dalam penelitian ini Analisa Permasalahan Melakukan eksplorasi terhadap responden yang terkait langsung dengan audit TI. Analisa dan Identifikasi Pengetahuan Identifikasi pengetahuan yang dibutuhkan oleh auditor serta cara memperoleh pengetahuan tersebut. Memetakkan kebutuhan pengetahuan Membuat Rancangan Sistem Analisa data yang diperoleh pada tahap sebelumnya kemudian membuat kriteria desain sistem Membuat rancangan sistem berdasarkan kriteria yang telah dibuat Membuat Prototip Sistem Pembangunan prototip perangkat lunak berdasarkan rancangan desain yang telah dibuat. Gambar 1 Diagram alur metodologi untuk membuat desain rancangan sistem C-22-3
HASIL DAN PEMBAHASAN Berdasarkan hasil kuisioner yang dilakukan terhadap 32 responden yang terkait langsung dengan audit TI, diperoleh data bahwa 50% responden mengaku sering mengalami kesulitan dalam melakukan perencanaan kegiatan audit TI atau penyusunan program audit TI serta mengalami kesulitan dalam memperoleh, memahami dan menerapkan pengetahuanpengetahuan yang diperlukan. Data yang diperoleh dari pendapat responden atas permasalahan audit seperti pada tabel 1. Terkait dengan pengetahuan dari pengalaman auditor, 78.12% responden menyatakan tidak dapat memperoleh dokumentasi atas pengalaman audit yang pernah dilakukan dalam organisasinya dan tidak ada responden yang menyatakan bahwa pengetahuan atas pengalaman audit cukup tersedia dan terdokumentasi Tabel 1 Pendapat responden atas permasalahan audit No Permasalahan/Pendapat Responden Jumlah Prosentase (%) 1 Mengalami kesulitan dalam melakukan perencanaan kegiatan audit TI atau penyusunan program audit TI : a. Tidak pernah b. Kadang-kadang c. Sering 2 Mengalami kesulitan dalam memperoleh, memahami dan menerapkan pengetahuan-pengetahuan yang diperlukan (khususnya yang terkait dengan audit TI) a. Tidak pernah b. Kadang-kadang c. Sering 3 Pengetahuan yang berupa pengalaman auditor lain cukup tersedia, terdokumentasi dan mudah diperoleh dalam organisasi a. Tidak b. Kadang-kadang c. Iya 0 16 16 1 15 16 25 7 0 0 % 50% 50% 3.12% 46.88% 50% 78.12% 21.88% 0 % Berdasarkan hasil wawancara ( in-depth interview) kepada beberapa partisipan dari wakil responden, diperoleh hasil eksplorasi yang kemudian dapat disimpulkan bahwa permasalahan-permasalahan yang sering dihadapi oleh auditor dalam melakukan kegiatan audit TI adalah : 1. Kesulitan dalam menyusun rencana kegiatan audit. 2. Kesulitan memilih/menerapkan standart yang digunakan dalam audit karena tidak ada standart yang baku terkait kegiatan audit TI. 3. Kesulitan memperoleh referensi dari pengalaman-pengalaman audit sebelumnya. 4. Kesulitan melakukan penilaian (assessment) di lapangan. Identifikasi pengetahuan yang dibutuhkan auditor TI berdasarkan hasil observasi seperti ditampilkan pada tabel 2. C-22-4
Tabel 2 Tabel identifikasi pengetahuan Pengetahuan Sumber Keterangan Pengetahuan yang terkait COBIT, ISO 17799, ITIL dengan standard, kerangka Pengalaman audit kerja ( framework), praktek terbaik (best practice) sebelumnya Pengetahuan yang terkait Dokumen instansi, dengan regulasi Dokumen audit sebelumnya Pengetahuan yang terkait Referensi standart, dengan prosedur dan teknik Referensi dari pengalaman audit audit sebelumnya lain Pengetahuan yang terkait dengan kompetensi auditor Pengetahuan teknis tentang sistem dan teknologi informasi Pengetahuan yang terkait dengan pemecahan masalah (problem solving) Diperoleh melalui internet, dari pengalaman auditor lain Diperoleh melalui instansi, internet Diperoleh melalui pelatihan, internet, diskusi dengan auditor Pengalaman Diperoleh melalui pelatihan, diskusi Latar belakang Diperoleh melalui pendidikan pendidikan, buku, artikel, formal, buku, artikel, diskusi pengalaman Pengalaman audit Diperoleh melalui diskusi sebelumnya dengan auditor lain Dari analisa pengenalan masalah serta identifikasi pengetahuan pada pembahasan sebelumnya, dapat dirumuskan kriteria-kriteria yang dapat dijadikan dasar dalam perancangan sistem untuk mendukung kegiatan audit TI. Kriteria-kriteria tersebut adalah : a. Sistem dapat membantu auditor dalam menyusun program audit TI b. Sistem dapat menyediakan referensi-referensi terkait dengan audit TI baik yang bersumber dari praktek-praktek terbaik ( best practices), standard-standard audit yang telah dipublikasikan maupun dari pengalaman-pengalaman audit sebelumnya. c. Sistem dapat memandu auditor dalam melakukan penilaian di lapangan ( field assessment). d. Sistem dapat menghasilkan dokumentasi pengetahuan (eksplisit) dari pengalaman audit yang dilakukan. e. Sistem mendukung proses-proses untuk pengelolaan pengetahuan, diantaranya adalah : - Proses penciptaan pengetahuan dengan pembuatan, pengembangan maupun pembaharuan konten pengetahuan. Terkait dengan sumber pengetahuan yang telah diidentifikasi sebelumnya, maka sistem harus mendukung cara penciptaan pengetahuan dengan eksternalisasi dan kombinasi. Eksternalisasi yaitu membuat dokumentasi pengetahuan yang bersumber dari pengetahuan tacit, sedangkan kombinasi adalah merubah pengetahuan eksplisit menjadi pengetahuan eksplisit lainnya melalui penggabungan, kategorisasi, klasifikasi dan sintesa dari pengetahuan-pengetahuan eksplisit yang telah ada. - Proses penyimpanan, pengaturan serta pemanfaatan pengetahuan melalui pencarian dan penelusuran kembali pengetahuan. - Proses transfer pengetahuan. - Proses pemanfaatan pengetahuan. f. Sistem dapat menyediakan mekanisme tanya jawab antar auditor untuk berbagi pengetahuan terkait dengan pemecahan masalah (problem solving). C-22-5
Berdasarkan kriteria-kriteria yang telah dirumuskan, sistem di desain memiliki fiturfitur seperti yang digambarkan dengan diagram use case pada gambar 2 Sistem mempunyai 14 aktifitas (fitur) yang mencakup aktifitas yang terkait dengan pengguna ( sign up user, user login, pengelolaan user), aktifitas untuk mekanisme kerangka kerja audit (planning, fieldwork and documentation, issue discovery and validation, solution development, reporting, issue tracking), aktifitas pengelolaan pengetahuan (input, update, retrieve knowledge) serta aktifitas interaktif antar pengguna ( ask, answer question). Aktor utama dalam sistem ini adalah auditor, tetapi pengaturan pengguna dikelola oleh administrator. Struktur basisdata disesuaikan dengan taksonomi audit TI, referensi-referensi yang telah ada diklasifikasikan dan disimpan dalam struktur area/domain, control dan activity. Data-data hasil audit yang mengikuti tahapan-tahapan mekanisme audit dalam sistem ini otomatis akan tersimpan dalam repositori data sesuai dengan struktur yang telah didefinisikan. Sign Up User System User Management Audit Planning Administrator Fieldwork and Documentation Issue Discovery and Validation Solution Development Reporting Login Auditor Issue Tracking Input Knowledge Update Knowledge Retrieve Knowledge Ask Question Answer Question Gambar 2 Diagram use case sistem pengelolaan pengetahuan Prototip sistem dibangun dengan menggunakan bahasa pemrograman php, web server menggunakan apache dan basis datanya menggunakan mysql. Fitur utama dari sistem ini adalah menyediakan mekanisme kerangka kerja audit dalam tahapan-tahapan yang terintegrasi untuk mendukung auditor dalam melakukan kegiatan audit. Disamping membantu auditor, C-22-6
mekanisme ini juga akan menghasilkan dokumen pelaksanaan audit yang disimpan menjadi pengetahuan eksplisit yang kemudian dapat dimanfaatkan oleh auditor yang lain. Tahap perencanaan audit merupakan tahahapan yang cukup krusial dari semua tahapan dalam kegiatan audit TI. Pada tahap ini yang dilakukan adalah mendefinisikan kegiatan audit, menentukan area/domain, control, activity, mendefinisikan level penilaian untuk resiko, dampak serta tingkat pengendaliannya. Diagran alur dari kegiatan ini seperti pada gambar 3. Dalam desain yang dirancang, sistem menyediakan referensi-referensi yang dibutuhkan baik dari referensi yang berlaku umum maupun dari pengalaman audit sebelumnya yang mempunyai kemiripan kasus. Hasil dari kegiatan ini juga akan di dokumentasikan oleh sistem menjadi data pengetahuan baru dalam repositori basisdata sehingga dapat menjadi referensi bagi auditor yang lain. Start A Open Audit Planning User Reference for Assessment setting No New Audit? Yes No Yes Select Assessment Create new Assessment level Audit Definition : - Audit Objective - Audit Scope - Executive Summary - Keyword Select Audit Project End Define Control With Reference? No Yes Define Area/Domain - Lookup for Reference - Select Control Define Control Define Activity A Gambar 3 Diagram alur mekanisme perencanaan audit KESIMPULAN DAN SARAN Berdasarkan hasil analisa dan pembahasan hasil penelitian, kesimpulan yang dapat di ambil adalah bahwa sistem manajemen pengetahuan dapat didesain dan dibangun, disesuaikan dengan kriteria-kriteria untuk mendukung kegiatan audit TI. Dengan identifikasi yang jelas dari pengetahuan yang akan dikelola serta pemahaman atas pola mekanisme audit akan lebih memudahkan dalam menentukan kriteria sistem yang akan dibangun. Sistem manajemen pengetahuan untuk pengelolaan pengetahuan yang spesifik (dhi. audit TI) dapat diintegrasikan dengan aplikasi pendukungnya (dhi, aplikasi untuk mengelola kegiatan audit). Dengan mekanisme kerangka kerja yang berbasis sistem, perencanaan dan pelaksanaan audit TI dapat C-22-7
dilakukan dengan lebih efisien, serta dapat menghasilkan dokumen pengetahuan eksplisit atas pengalaman audit sehingga dapat menjadi referensi audit bagi auditor lainnya. Saran untuk penelitian selanjutnya dapat dilakukan penelitian untuk membuat sistem menjadi lebih cerdas terutama pada sistem temu kembali pengetahuan ( knowledge retrieval) untuk lebih meningkatkan dukungan sistem terhadap auditor. Meningkatkan kemampuan sistem untuk bisa melakukan penilaian mandiri ( self assessment), dapat memberikan rekomendasi solusi atas resiko/dampak yang ditemukan sehingga audit TI yang berkualitas tidak harus dilakukan oleh auditor yang berpengalaman. Disamping itu juga dapat dilakukan penelitian atas dampak pengaruh sistem manajemen pengetahuan yang telah dirancang terhadap kinerja audior, dengan mengukur performasi auditor sebelum dan setelah diimplementasikannya sistem manajemen pengetahuan ini. DAFTAR PUSTAKA Amrit Tiwana (2000), The Knowledge Management Toolkit: Practical Techniques for Building A Knowledge Management System, Prentice-Hall, New Jersey, p. 4-101 Awad, M.A. ve Ghaziri, H.M. (2004). Knowledge Management. Upper Saddle River, New Jersey: Pearson Education, Prentice Hall. Chris Davis, Mike Schiller, and Kevin Wheeler (2 007), IT Auditing Using Controls To Protect Information Asset, McGraw Hill, USA Nonaka, I., Takeuchi, H. (1995), The Knowledge Creating Company: How Japanese Companies Create The Dynamics of Innovation, Oxford, Oxford University Press Ron Weber. (2000), Information System Controls and Audit, Prentice-Hall, USA Tjakraatmadja, J.H. dan D.C. Lantu. (2006), Knowledge Management dalam Konteks Organisasi Pembelajar, SBM ITB, Bandung. C-22-8