Etika Profesi 3

14 April 2007 M.K Etika Profesi IT: Bambang Suhartono 1


3.1 Manfaat Penerapan TI pada Company

Stake Holder

Lebih Murah(Cheaper)

Lebih Baik(Better)

Lebih Cepat(Faster)

Aman Terkendali(Safety &

Controllable)

Selaras dgn Misi Company

(Visi &Misi)


Beberapa penyebab kegagalan proyek teknologi informasi di pemerintahan atau korporasi dianataranya adalah:

Tidak adanya perencanaan proyekKurangnya pengelolalaan kebutuhan (user

requirements)Proyek tidak pernah dikatakan selesai (never saying

goodbye)Kepemimpinan yang terlalu lemahTiadanya testing yang mencukupi Oleh karena itu

diperlukanadanya sebuah pendekatan implementasiIT yang mengaitkan secara terpadu obyektifpemerintahan dan kontrol yang sesuai dengan siklusimplementasi IT.


Risiko-risiko yang mungkin ditimbulkan sebagai akibat dari gagalnya pengembangan suatu sistem informasi, antara lain:

• Biaya pengembangan sistem melampaui anggaran yang ditetapkan.

• Sistem tidak dapat diimplementasikan sesuai dengan jadwal yang ditetapkan.

• Sistem yang telah dibangun tidak memenuhi kebutuhan pengguna.

• Sistem yang dibangun tidak memberikan dampak effisiensi dan nilai ekonomis terhadap jalannya operasi institusi, baik pada masa sekarang maupun masa datang.

• Sistem yang berjalan tidak menaati perjanjian dengan pihak ketiga atau memenuhi aturan yang berlaku.


3.2 Kenapa IT Audit harus dilakukan ?

• Audit TI merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien (Weber, 2000).

• Audit TI sendiri merupakan gabungan dari berbagai macam ilmu, antara lain: – Traditional Audit, – Manajemen Sistem Informasi, – Sistem Informasi Akuntansi, – Ilmu Komputer, dan Behavioral Science.


Pembagian Kategori Audit TI

Pengendalian Aplikasi (Application Control)

Tujuan :

untuk memastikan bahwa data di-input secara benar ke dalam aplikasi, diproses secara benar, dan terdapat pengendalian yang memadai atas output yang dihasilkan.

Pengendalian Umum (General Control)

Tujuan :

lebih menjamin integritas data yang terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas program atau aplikasi yang digunakan untuk melakukan pemrosesan data

KATEGORI AUDIT IT


Metodologi Audit TI


• “ Banyak perusahaan yang belum merasa perlu akan adanya audit TI, alasan utama yang muncul, misalnya karena perusahaan merasa bahwa TI yang diterapkan masih berperan sebatas support tools, belum menjadi strategic tools,”

• Alasan lainnya lebih menyangkut nilai investasi TI yang belum dianggap cukup berarti dibandingkan nilai keuangan perusahaan.

• perusahaan-perusahaan mulai mempertimbangkan kemungkinan dilakukannya audit TI, terutama, setelah manajemen puncaknya mulai mempertanyakan beberapa hal yang dirasa cukup penting. Misalnya, mengenai ROI (Return on Investment) dari investasi

perangkat dan sistem TI yang sudah dilakukan selama ini.

Perlu atau Tidak Audit IT ?????


• manajer TI atau personal TI tidak bisa menjelaskan secara baik, melalui parameter kuantitatif, antara investasi TI dan peningkatan produktivitas karyawan. Biasanya, profesional TI cenderung menyebutkan hal itu sebagai hal yang intangible. Akibatnya, manajemen puncak dan senior terpaksa meraba-raba dan mencari tahu apa yang dimaksud dengan intangible itu.

• Di samping itu, dirasakan perlunya mengerem investasi TI yang sudah menggelembung lebih besar dari perencanaan awal.

• masalah keamanan sistem internal, terutama ketika hendak dihubungkan dengan Internet.

Perlu atau Tidak Audit IT ?????


Fokus Audit IT

Keamanan Kehandalan Kinerja Manageability


Manfaat Audit IT adalah :

• Dengan audit TI suatu perusahaan bisa didorong melakukan perencanaan dan pengembangan secara lebih terarah dan terfokus sesuai dengan tujuan-tujuan bisnisnya.


Audit TI mencakup sedikitnya enam komponen yang sangat esensial. Antara lain:

pendefinisian tujuan perusahaan;

penentuan isu, tujuan dan perspektif bisnis antara penanggung jawab bagian dengan bagian TI;

review terhadap pengorganisasian bagian TI yang meliputi perencanaan proyek, status dan prioritasnya,

staffing levels, belanja TI dan IT change process management;

assessment infrastruktur teknologi, assessment aplikasi bisnis;

serta temuan-temuan, dan laporan rekomendasi.


3.3 IT Audit Methodologies

• CobiT– www.isaca.org

• BS 7799 - Code of Practice (CoP)– www.bsi.org.uk/disc/

• BSI -IT baseline protection manual– www.bsi.bund.de/gshb/english/menue.htm

• ITSEC– www.itsec.gov.uk

• Common Criteria (CC)– csrc.nist.gov/cc/


3.4 IT Governance dan COBIT

• IT governance diartikan sebagai struktur dari hubungan dan proses yang mengarahkan dan mengatur organisasi dalam rangka mencapai tujuannya dengan memberikan nilai tambah dari pemanfaatan teknologi informasi sambil menyeimbangkan resiko dibandingkan dengan hasil yang diberikan oleh teknologi informasi dan prosesnya.

3.4.1 IT Governance


IT Governance

Plan DoCheckCorrect

IT is aligned with bussines, enabled business and maximises beneftis

IT Resources are used responsiblyIT related risk are managed appropriately Control

Objectives

Report

Direct

Manage Risk :Security

ReliabilityCompliance

Realize Benefits:Increase

AutomationBe efectiveDecreaseCost be eficient

Planning & Organisation

Acquisition & implementationDelivery & supportMonitoring

IT Activities


3.4.2 COBIT (Control Objectives for Information and related Technology)

• Standar (COBIT) • Control Objectives for Information and related

Technology (COBIT, saat ini edisi ke-3) adalah sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen and pengguna ( user ) untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis.


• COBIT dikembangkan oleh IT Governance Institute,yang merupakan bagian dari Information Systems Auditand Control Association (ISACA).

• COBIT memberikan arahan ( guidelines ) yangberorientasi pada bisnis, (business process owners danmanajer), termasuk juga auditor dan user, diharapkandapat memanfaatkan guideline ini dengan sebaik-baiknya.

• Control Objectives: Terdiri atas 4 tujuan pengendaliantingkat-tinggi ( high-level control objectives ) yangtercermin dalam 4 domain, yaitu:– planning & organization ,– acquisition & implementation ,– delivery & support ,– dan monitoring .


Kerangka Kerja Cobit

Control Objectives:

Terdiri atas 4 tujuan pengendalian yaitu:

1.planning & organization ,

2.acquisition & implementation ,

3. delivery & support ,

4. monitoring .

Audit Guidelines:Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci ( detailed control objectives ) untuk membantu para auditor dalam memberikan management assurance dan/atau saran perbaikan.

Management Guidelines:

Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan


• Sejauh mana Anda (TI) harus bergerak, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.

• Apa saja indikator untuk suatu kinerja yang bagus?

• Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses ( critical success factors )?

• Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan?

• Bagaimana dengan perusahaan lainnya – apa yang mereka lakukan?

• Bagaimana Anda mengukur keberhasilan dan bagaimana pula membandingkannya.

Management Guidelines


The COBIT Framework memasukkan juga hal-hal berikut ini:

• Maturity Models – Untuk memetakan status maturity proses-proses TI (dalam skala 0 - 5) dibandingkan dengan “the best in the class in the Industry” dan juga International best practices

• Critical Success Factors (CSFs) – Arahan implementasi bagi manajemen agar dapat melakukan kontrol atas proses TI.

• Key Goal Indicators (KGIs) – Kinerja proses-proses TI sehubungan dengan business requirements

• Key Performance Indicators (KPIs) – Kinerja proses-proses TI sehubungan dengan process goals


CobiT control objectives

MonitoringPlanning & organizationAcquisition &implementationDelivery &support

Audit TypeMgmt & ControlYear 2000IT DevelopmentIT OperationsIT NetworkIT SecurityDR & CPChange Mgmt

CobiT Processes PASKOR AutoAudit

Details Risk & Control objectives

Methods: Example for CobiT

Etika Profesi 3

Documents

Transcript of Etika Profesi 3