TATA KELOLA TI

Oleh:Tantri Hidayati S, S.Kom., M.Kom

Audit Tata Kelola Teknologi Informasi.

Definisi Audit

• Audit pada dasarnya adalah proses sistematis

dan obyektif dalam memperoleh dan

mengevaluasi bukti-bukti tindakan ekonomi,

guna memberikan asersi/pernyataan dan

menilai seberapa jauh tindakan ekonomi sudah

sesuai dengan kriteria yang berlaku dan

mengkomunikasikan hasilnya kepada pihak

terkait.

Definisi Audit Sistem Informasi

• Audit Sistem Informasi (SI)/TI adalah proses pengumpulan

dan pengevaluasian bukti untuk menentukan apakah

sistem informasi dapat melindungi aset, teknologi informasi

yang ada telah memelihara integritas data sehingga

keduanya dapat diarahkan kepada pencapaian tujuan

bisnis secara efektif dengan menggunakan sumber daya

secara efisien

• Pada hakekatnya, audit sistem informasi sebagai audit

tersendiri dan bukan merupakan bagian dari audit laporan

keuangan, perlu dilakukan untuk memeriksa tingkat

kematangan atau kesiapan suatu organisasi dalam

melakukan pengelolaan teknologi informasi (IT

governance).

Jenis Audit Sistem Informasi/Teknologi Informasi

a) System Audit

Audit terhadap sistem terdokumentasi untuk

memastikan sudah memenuhi standar nasional atau

internasional

b) Compliance Audit

Untuk menguji efektifitas implementasi dari kebijakan,

prosedur, kontrol dan unsur hukum yang lain

c) Product/Service Audit

Untuk menguji suatu produk atau layanan telah

sesuai seperti spesifikasi yang telah ditentukan dan

cocok digunakan

Peraturan yang dipakai

Peraturan yang biasa dipakai untuk audit Sistem Informasi :

a)ISO/IEC 17799 and BS7799

b)Control Objectives for Information and Related Technology

(COBIT)

c)ISO TR 13335

d)IT Baseline Protection Manual

e)ITSEC/Common Criteria

f)Federal Information Processing Standard 140-1/2 (FIPS 140-1/2)

g)The “Sicheres Internet” Task Force

h)The quality seal and product audit scheme operated by the

Schleswig- Holstein Independent State Centre for Data Privacy

Protection (ULD)

i)ISO 9000

Maturity Model

• Merupakan model kematangan untuk mengontrol

proses-proses Teknologi Informasi dengan

menggunakan metode penilaian/scoring.

• Tujuan maturity model antara lain:

a) Organisasi dapat mengetahui posisi

kematangan Teknologi Informasi pada saat ini.

b) Organisasi secara terus menerus dan

berkesinambungan harus berusaha untuk

meningkatkan levelnya sampai tingkat tertinggi

agar aspek governance terhadap Teknologi

Informasi dapat berjalan secara efektif

Maturity Model

Skala yang digunakan untuk penilaian adalah skala

0 sampai 5, dapat dilihat pada gambar berikut.

Maturity Model

Beberapa cara yang umum dilakukan dalam

melaksanakan penilaian maturity diantaranya adalah

a) Pendekatan multidisiplin kelompok orang yang

mendiskusikan dan menghasilkan kesepakatan

level maturity kondisi sekarang,

b) Dekomposisi deskripsi maturity menjadi beberapa

pernyataan sehingga manajemen dapat

memberikan tingkat persetujuannya,

c) Penggunaan atribut matriks sebagaimana

didokumentasikan dalam COBIT’s Management

Guidelines dan memberikan nilai masing-masing

atribut dari setiap proses.

Penilaian Skala Maturity Model

0 – No Existent Perusahaan sama sekali tidak perduli terhadap pentingnya

teknologi informasi untuk dikelola secara baik oleh manajemen.

1 Initial Perusahaan secara reaktif melakukan penerapan dan

implementasi teknologi informasi sesuai dengan kebutuhan-

kebutuhan mendadak yang ada, tanpa didahului dengan

perencanaan sebelumnya

2- Repeatable Perusahaan telah memiliki pola yang berulangkali dilakukan dalam

melakukan manajemen aktivitas terkait dengan tata kelola teknologi

informasi, namun keberadaannya belum terdefinisi secara baik dan

formal sehingga masih terjadi ketidakkonsistenan

3 Define Perusahaan telah memiliki prosedur baku formal dan tertulis yang

telah disosialisasikan ke segenap jajaran manajemen dan

karyawan untuk dipatuhi dan dikerjakan dalam aktivitas sehari- hari.

4 Manage Perusahaan telah memiliki sejumlah indikator atau ukuran

kuantitatif yang dijadikan sebagai sasaran maupun obyektif kinerja

setiap penerapan aplikasi teknologi informasi yang ada.

5 Optimised Perusahaan telah mengimplementasikan tata kelola teknologi

informasi yang mengacu pada “best practice”

Metodologi Audit

1. Penentuan scope dan objectives

2. Persiapan audit

3. Pelaksanaan

audit

4. Analisis dan penilaian

5. Menyusun Laporan

Audit

Metodologi Audit

1. Penentuanscope dan objectives

• Memahami visi, misi, dan tujuan bisnis domain

• Pemetaan BG – ITG – ITP

• Penentuan prioritas ITP

• Mendapatkan ITP final yang akan diaudit

2. Persiapan audit

• Penentuan RACI Chart

• Membuat maturity level tool dan control objective tool

• Membuat tools untuk wawancara

3. Pelaksanaanaudit

• Wawancara

• Observasi

• Mengumpulkan eviden

• Mendokumentasikan temuan

• Menyusun Laporan awal

4. Analisis dan penilaian

• Konversi nilai hasil wawancara dan temuan

• Analisa hasil wawancara dan temuan

• Penyusunan rekomendasi

5. Menyusun Laporan Audit

• Pembuatan draft Laporan Akhir

• Sosialisasi dan revisi Laporan Akhir

• Penyerahan Laporan Akhir

Hasil Audit SI/TI

Laporan audit SI/TI yang berisi:

• Ruang lingkup dan tujuan audit SI/TI

• Kondisi eksisting sistem informasi

• Metodologi / langkah-langkah yang dilakukan

• Bukti (evidence) audit SI/TI yang dikumpulkan

• Temuan audit dan tingkat kedewasaan proses TI

• Kesimpulan hasil temuan

• Rekomendasi untuk perbaikan berkelanjutan

COBIT untuk Framework Audit

• Digunakan oleh auditor untuk melakukan review terhadap IT Proses

yang berjalan. Dengan menggunakan aturan Control Objectives yang

terdapat pada COBIT, auditor dapat memberikan saran kepada pihak

manajemen mengenai kontrol mana yang sudah cukup dan mana

yang perlu ditingkatkan.

• Membantu pemerintah menjawab pertanyaan mengenai- “Apakah

perusahaan telah melaksanakan proses IT sesuai dengan standar best

practices? Jika belum, maka apa yang perlu dilakukan dan di sebelah

mana diperlukan usaha yang lebih?”

• Sebagai framework penggunaan COBIT dapat disesuaikan tingkat

kedalaman dan scope-nya terhadap berbagai jenis dinas.

• COBIT menjelaskan tentang “APA” yang seharusnya dimiliki sesuai

standar best practices. Namun untuk mendapatkan “BAGAIMANA”

mengimplementasikannya secara efektif, COBIT harus disandingkan

dengan framework lain.

COBIT Component