1. Tugas Pra UAS Sistem Informasi Korporat – 27 April 2011
Standar Framework Pada Proses Pengelolaan IT Governance Dan
Audit Sistem Informasi
Herison Surbakti,
Universitas Atma Jaya Yogyakarta, Magister Teknik Informatika
Email: herisonsurbakticc@gmail.com
ABSTRAK
IT Governance bukan bidang yang terpisah dari pengelolaan organisasi, melainkan merupakan komponen
dari pengelolaan organisasi secara keseluruhan, dengan tanggung jawab utama yang emastikan kepentingan
stakeholder diikutsertakan dalam penyusunan strategi perguruan tinggi, memberikan arahan kepada proses-proses
yang menerapkan strategi perguruan tinggi, memastikan proses-proses tersebut menghasilkan keluaran yang terukur,
memastikan adanya informasi mengenai hasil yang diperoleh dan mengukurnya dan memastikan keluaran yang
dihasilkan sesuai dengan yang diharapkan.
Penerapan TI di suatu perusahaan tidak selamanya selaras dengan strategi dan tujuan perguruan tinggi.
Untuk itu perlu dilakukan analisis terhadap infrastruktur dan pengelolaan TI yang ada agar dapat selalu dipastikan
kesesuaian infrastruktur dan pengelolaan yang ada dengan tujuan perguruan tinggi.
Analisis yang dilakukan haruslah berdasarkan standar yang umum dan diakui secara luas.
Ada beberapa standar yang telah mendapat pengakuan secara luas, antara lain ITIL, ISO/IEC 17799, COSO dan
COBIT.
Dengan menggunakan standar-standar tersebut, maka tujuan penerapan TI di sebuah perusahaan akan sesuai
dengan tujuan yang diharapkan dan menghindarkan dari terjadinya kerugian akibat risiko-risiko penerapan yang
tidak terpetakan.
Herison Surbakti – 08061/PS/MTF
2. Tugas Pra UAS Sistem Informasi Korporat – 27 April 2011
IT Governance 3. Penggunaan sumber daya TI yang
bertanggung jawab.
Penerapan TI di perusahaan akan dapat
4. Penanganan manajemen risiko yang
dilakukan dengan baik apabila ditunjang dengan
terkait TI secara tepat.
suatu pengelolaan TI (IT Governance) dari mulai
perencanaan sampai implementasinya. Alasan terpenting mengapa IT governance
penting adalah bahwa ekspektasi dan realitas
Definisi IT Governance menurut ITGI adalah
sering kali tidak sesuai. Shareholder perusahaan
“Suatu bagian terintegrasi dari kepengurusan selalu berharap perusahaan untuk :
perusahaan serta mencakup kepemimpinan
1. Memberikan solusi TI dengan kualitas
dan struktur serta proses organisasi yang
yang bagus, tepat waktu, dan sesuai
memastikan bahwa TI perusahaan
dengan anggaran.
mempertahankan dan memperluas strategi
2. Menguasai dan menggunakan TI untuk
dan tujuan organisasi.”
mendatangkan keuntungan.
3. Menerapkan TI untuk meningkatkan
efisiensi dan produktifitas sambil
menangani risiko TI.
IT governance yang tidak efektif akan menjadi
awal terjadinya pengalaman buruk yang dihadapi
perusahaan , seperti:
1. Kerugian bisnis, berkurangnya reputasi,
dan melemahnya posisi kompetisi.
2. Tenggat waktu yang terlampaui, biaya
lebih tinggi dari yang diperkirakan, dan
kualitas lebih rendah dari yang telah
diantisipasi.
Kegunaan TI Governance adalah untuk mengatur 3. Efisiensi dan proses inti perusahaan
penggunaan TI, dan memastikan performa TI terpengaruh secara negatif oleh
sesuai dengan tujuan berikut ini : rendahnya kualitas penggunaan TI.
1. Keselarasan TI dengan perusahaan dan 4. Kegagalan inisiatif TI untuk melahirkan
realisasi keuntungan-keuntungan yang inovasi atau memberikan keuntungan
dijanjikan dari penerapan TI. yang dijanjikan.
2. Penggunaan TI agar memungkinkan
perusahaan mengekploitasi kesempatan
yang ada dan memaksimalkan
keuntungan.
Herison Surbakti – 08061/PS/MTF
3. Tugas Pra UAS Sistem Informasi Korporat – 27 April 2011
Dalam studi ITGI mengenai Status Global sangat terstruktur yang dapat dengan
Penguasaan IT, ada 10 masalah besar di bidang mudah difahami dan diikuti oleh
TI yang dialami oleh para CEO dan CIO, yaitu manajemen. Lebih lanjut lagi, framework
yang terstruktur dengan baik akan
1. Kurangnya pandangan mengenai
memberikan setiap orang pandangan
seberapa baik TI berfungsi.
yang relatif sama.
2. Kegagalan operasional TI.
3. Best Practices – standar-standar
3. Masalah penempatan karyawan bidang
tersebut telah dikembangkan dalam
TI.
jangka waktu yang relatif lama dan
4. Jumlah masalah dan kejadian dalam TI.
melibatkan ratusan orang dan organisasi
5. Biaya TI yang tinggi dengan perolehan
di seluruh dunia. Pengalaman yang
kembali modal (ROI) yang rendah.
direfleksikan dalam model-model
6. Kurangnya pengetahuan mengenai
pengelolaan yang ada tidak dapat
sistem penting.
dibandingkan dengan suatu usaha dari
7. Kurangnya kemampuan mengelola data.
satu perusahaan tertentu.
8. Pemutusan hubungan antara strategi TI
4. Knowledge Sharing – dengan mengikuti
dan bisnis.
standar yang umum, manajemen akan
9. Ketergantungan pada entitas di luar
dapat berbagi ide dan pengalaman antar
pengawasan langsung.
organisasi melalui user groups, website,
10. Jumlah kesalahan yang disebabkan oleh
majalah, buku, dan media informasi
sistem penting.
lainnya.
Marios Damianides, ketua internasional ITGI 5. Auditable – tanpa standar baku, akan
menyatakan, "Hasil-hasil ini menunjukkan sangat sulit bagi auditor, terutama
kesenjangan antara masalah TI dan auditor dari pihak ketiga, untuk
pendahuluan rencana aksi untuk memusatkan melakukan kontrol secara efektif.
perhatian pada masalah tersebut". Dengan adanya standar, maka baik
manajemen maupun auditor mempunyai
Penggunaan standar IT Governance mempunyai dasar yang sama dalam melakukan
keuntungan-keuntungan sebagai berikut: pengelolaan TI dan pengukurannya.
1. The Wheel Exists – penggunaan standar
Model Standar IT Governance
yang sudah ada dan mature akan sangat
efisien. Perusahaan tidak perlu Ada berbagai standar model IT Governance yang
mengembangkan sendiri framework banyak digunakan saat ini, antara lain:
dengan mengandalkan pengalamannya
1. ITIL (The IT Infrastructure Library)
sendiri yang tentunya sangat terbatas.
2. ISO/IEC 17799 (The International
2. Structured – standar-standar yang baik
Organization for Standardization / The
menyediakan suatu framework yang
Herison Surbakti – 08061/PS/MTF
4. Tugas Pra UAS Sistem Informasi Korporat – 27 April 2011
International Electrotechnical b. Capacity Management.
Commission)
c. IT Service Continuity
3. COSO (Committee of Sponsoring
Management.
Organization of the Treadway
d. Service Level Management.
Commission)
4. COBIT (Control Objectives for e. Financial Management for TI
Information and related Technology) Services.
f. Security Management.
1. ITIL – The IT Infrastructure Library
Standar ITIL berfokus kepada pelayanan
ITIL dikembangkan oleh The Office of
customer, dan sama sekali tidak menyertakan
Government Commerce (OGC) suatu badan
proses penyelarasan strategi perusahaan
dibawah pemerintah Inggris, dengan bekerja
terhadap strategi TI yang dikembangkan.
sama dengan The IT Service Management
Forum (itSMF) – suatu organisasi independen
mengenai manajemen pelayanan TI – dan British
Standard Institute (BSI) – suatu badan 2. ISO/IEC 17799
penetapan standar pemerintah Inggris.
ISO/IEC 17799 dikembangkan oleh The
ITIL merupakan suatu framework pengelolaan International Organization for Standardization
layanan TI (IT Service Management – ITSM) (ISO) dan The International Electrotechnical
yang sudah diadopsi sebagai standar industri Commission (IEC) dengan titel "Information
pengembangan industri perangkat lunak di dunia. Technology - Code of Practice for Information
Security Management". ISO/IEC 17799 dirilis
ITIL framework terdiri dari dua bagian utama, pertama kali pada bulan desember 2000.
yaitu:
ISO/IEC 17799 bertujuan memperkuat 3 (tiga)
1. Service Support
element dasar keamanan informasi (1), yaitu
a. Service Desk.
1. Confidentiality – memastikan bahwa
b. Incident Management. informasi hanya dapat diakses oleh yang
berhak.
c. Problem Management.
2. Integrity – menjaga akurasi dan
d. Configuration Management.
selesainya informasi dan metode
e. Change Management. pemrosesan.
3. Availability – memastikan bahwa user
f. Release Management.
yang terotorisasi mendapatkan akses
2. Service Delivery
kepada informasi dan aset yang
a. Availability Management. terhubung dengannya ketika
memerlukannya.
Herison Surbakti – 08061/PS/MTF
5. Tugas Pra UAS Sistem Informasi Korporat – 27 April 2011
ISO/IEC 17799 terdiri dari 10 domain (1), yaitu: 3. COSO – Committee of Sponsoring
Organization of the Treadway
1. Security Policy – memberikan panduan
Commission
dan masukan pengelolaan dalam
meningkatkan keamanan informasi. COSO merupakan kependekan dari Committee
2. Organizational Security – memfasilitasi of Sponsoring Organization of the Treadway
pengelolaan keamanan informasi dalam Commission, sebuah organisasi di Amerika yang
organisasi. berdedikasi dalam meningkatkan kualitas
3. Asset Classification and Control – pelaporan finansial mencakup etika bisnis,
melakukan inventarisasi aset dan kontrol internal dan corporate governance.
melindungi aset tersebut dengan efektif. Komite ini didirikan pada tahun 1985 untuk
4. Personnel Security – meminimalisasi mempelajari faktor-faktor yang menunjukan
risiko human error, pencurian, ketidaksesuaian dalam laporan finansial.
pemalsuan atau penggunaan peralatan
yang tidak selayaknya.
5. Physical and Environmental Security –
menghindarkan violation, deterioration
atau disruption dari data yang dimiliki.
6. Communications and Operations
Management – memastikan penggunaan
yang baik dan selayaknya dari alat-alat
pemroses informasi.
7. Access Control – mengontrol akses
informasi.
8. Systems Development and Maintenance
– memastikan bahwa keamanan telah
terintegrasi dalam sistem informasi yang
ada.
9. Business Continuity Management –
meminimalkan dampak dari terhentinya 1. Komponen kontrol COSO
proses bisnis dan melindungi proses-
COSO mengidentifikasi 5 komponen
proses perusahaan yang mendasar dari
kontrol yang diintegrasikan dan
kegagalam dan kerusakan yang besar.
dijalankan dalam semua unit bisnis, dan
10. Compliance – menghindarkan terjadinya
akan membantu mencapai sasaran
tindakan pelanggaran atas hukum,
kontrol internal:
kesepakatan atau kontrak, dan
kebutuhan keamanan. a. Monitoring.
b. Information and communications.
Herison Surbakti – 08061/PS/MTF
6. Tugas Pra UAS Sistem Informasi Korporat – 27 April 2011
c. Control activities. COBIT Framework terdiri atas 4 domain utama:
d. Risk assessment.
1. Planning & Organisation.
e. Control environment.
Domain ini menitikberatkan pada proses
2. Sasaran kontrol internal
perencanaan dan penyelarasan strategi
Sasaran kontrol internal dikategorikan TI dengan strategi perusahaan.
menjadi beberapa area sebagai berikut:
2. Acquisition & Implementation.
a. Operations – efisisensi dan Domain ini menitikberatkan pada proses
efektifitas operasi dalam pemilihan, pengadaaan dan penerapan
mencapai sasaran bisnis yang teknologi informasi yang digunakan.
juga meliputi tujuan performansi
3. Delivery & Support.
dan keuntungan.
Domain ini menitikberatkan pada proses
b. Financial reporting – persiapan
pelayanan TI dan dukungan teknisnya.
pelaporan anggaran finansial
yang dapat dipercaya. 4. Monitoring.
c. Compliance – pemenuhan Domain ini menitikberatkan pada proses
hukum dan aturan yang dapat pengawasan pengelolaan TI pada
dipercaya. organisasi.
3. Unit / Aktifitas Terhadap Organisasi
Dimensi ini mengidentifikasikan
unit/aktifitas pada organisasi yang
menghubungkan kontrol internal. Kontrol
internal menyangkut keseluruhan
organisasi dan semua bagian-bagiannya.
Kontrol internal seharusnya
diimplementasikan terhadap unit-unit dan
aktifitas organisasi.
4. COBIT – Control Objectives for
Information and related Technology
COBIT Framework dikembangkan oleh IT
Governance Institute, sebuah organisasi yang
melakukan studi tentang model pengelolaan TI
yang berbasis di Amerika Serikat.
Herison Surbakti – 08061/PS/MTF
7. Tugas Pra UAS Sistem Informasi Korporat – 27 April 2011
Masing-masing domain terdiri dari high-level Levels
control-objectives sebagai berikut: 2. DS2 Manage Third-party Services
3. DS3 Manage Performance and
Domain Planning & Organisation
Capacity
1. PO1 Define a Strategic TI Plan 4. DS4 Ensure Continous Services
2. PO2 Define the Information 5. DS5 Ensure System Security
Architecture 6. DS6 Indentify and Allocate Cost
3. PO3 Determine Technological 7. DS7 Educate and Train Users
Direction 8. DS8 Manage Service desk and
4. PO4 Define the TI Organisation and incidents
Relationships 9. DS9 Manage the Configurations
5. PO5 Manage the TI Investment 10. DS10 Manage Problems
6. PO6 Communicate Management 11. DS11 Manage Data
Aims and Direction 12. DS12 Manage the Physical
7. PO7 Manage IT Human Resources Environment
8. PO8 Manage Quality 13. DS13 Manage Operations
9. PO9 Assess and Manage IT Risks
10. PO10 Manage Projects
Domain Monitoring
1. M1 Monitor and Evaluate IT
Domain Acquisition & Implementation
Performance
1. AI1 Identify Automated Solutions 2. M2 Monitor and Evaluate IInternal
2. AI2 Acquire and Maintain Application Controll
Software 3. M3 Ensure Compliance with external
3. AI3 Acquire and Maintain requirements
Technology Infrastructure 4. M4 Provide IT Governance
4. AI4 Enable Operation and use
5. AI5 Procure IT Resources
6. AI6 Manage Changes
7. AI7 Install and Accredit Solutions and
changes
Domain Delivery & Support
1. DS1 Define and Manage Service
Herison Surbakti – 08061/PS/MTF
8. Tugas Pra UAS Sistem Informasi Korporat – 27 April 2011
COBIT mempunyai model kematangan (maturity
models) untuk mengontrol proses-proses TI
dengan menggunakan metode penilaian
(scoring) sehingga suatu organisasi dapat
menilai proses-proses TI yang dimilikinya dari
skala non-existent sampai dengan optimised
(dari 0 sampai 5). Maturity models ini akan
memetakan:
1. Current status dari organisasi – untuk
melihat posisi organisasi saat ini.
2. Current status dari kebanyakan industri
saat ini – sebagai perbandingan.
3. Current status dari standar internasional 2. Perbandingan COBIT dengan ISO/IEC
– sebagai perbandingan tambahan. 17799
4. Strategi organisasi dalam rangka
Tabel 2 menunjukkan bahwa ISO/IEC 17799
perbaikan – level yang ingin dicapai oleh
melakukan sebagian proses-proses pada seluruh
organisasi.
domain COBIT.
Perbandingan Model-model Standar TI
Governance
1. Perbandingan COBIT dengan ITIL
Tabel 1 menunjukkan bahwa ITIL sangat fokus
kepada proses desain dan implementasi TI, serta
pelayanan pelanggan (customer service), hal ini
diperlihatkan bahwa hampir seluruh proses pada
domain AI dan DS COBIT dilakukan, sementara
sebagian proses PO dilakukan, ini menunjukkan
bahwa ITIL tidak terlalu fokus pada proses
penyelarasan strategi perusahaan dengan
pengelolaan TI. Proses pada domain M sama
sekali tidak dilakukan oleh ITIL, hal ini Hal ini menunjukkan ISO/IEC 17799 mempunyai
menunjukkan ITIL tidak melakukan pengawasan spektrum yang luas dalam hal pengelolaan TI
yang akan memastikan kesesuaian pengelolaan sebagaimana halnya COBIT, namun ISO/IEC
TI dengan keadaan perusahaan di masa yang 17799 tidak sedalam COBIT dalam hal detail
akan datang.
Herison Surbakti – 08061/PS/MTF
9. Tugas Pra UAS Sistem Informasi Korporat – 27 April 2011
proses-proses yang dilakukan dalam domain-
domain tersebut.
3. Perbandingan COBIT dengan COSO
Tabel 3 menunjukkan bahwa COSO melakukan
sebagian proses di domain PO, AI, dan DS,
namun tidak satupun proses pada domain M
dilakukan.
Gambar 5 memetakan standar COBIT dengan
standar lainnya dalam hal kelengkapan proses-
proses TI yang dilihat dalam dua dimensi:
1. Vertical – melihat kedetailan atau
kedalaman standar dalam hal teknis dan
operasional.
2. Horizontal – melihat kelengkapan
proses-proses TI
Hal ini menunjukkan bahwa COSO fokus kepada 3. Dan dari Gambar 2.5, dapat dilihat
proses penyelarasan TI dengan strategi bahwa COBIT mempunyai kompromi
perusahaan, dan sangat fokus dalam hal desain antara dimensi horisontal dan vertikal
dan implementasi TI. yang lebih baik dari standar-standar
lainnya. COBIT mempunyai spektrum
Kesimpulan Perbandingan Model-model proses TI yang lebih luas dan lebih
Standar Pengelolaan TI mendetail. ITIL merupakan standar yang
paling mendetail dan mendalam dalam
Tabel 4 memperlihatkan bahwa model-model
mendefinisikan proses-proses TI yang
standar selain COBIT tidak mempunyai range
bersifat teknis dan operasional.
spektrum yang seluas COBIT. Model-model
Sedangkan COSO mempunyai detail
tersebut hanya melakukan sebagian dari proses-
yang dangkal, walaupun spektrum
proses pengelolaan yang ada di dalam COBIT
proses teknis dan operasionalnya cukup
luas
Herison Surbakti – 08061/PS/MTF
10. Tugas Pra UAS Sistem Informasi Korporat – 27 April 2011
Herison Surbakti – 08061/PS/MTF