Bab 3 Kerangka Kerja Audit TI PDF

Summary

Dokumen ini membahas kerangka kerja audit TI dan framework yang digunakan secara internasional. Ini membahas standar-standar penting seperti COBIT, ITIL, CMMI, dan PMBOK untuk memastikan layanan TI berjalan efektif dan efisien dalam bisnis.

Full Transcript

Audit Teknologi Informasi

BAB III KERANGKA KERJA AUDIT TI

Dalam Manajemen Teknologi Informasi atau Manajemen TI ada banyak
standar TI atau framework TI yang digunakan secara internasional. Standar
atau framework merupakan hasil kolaborasi pakar atau expert di bidangnya
masing-masing dan merupakan ekstraksi dari best practices yang selama ini
dimanfaatkan dalam bidang teknologi informasi.

Standar IT atau framework TI ini menjadi sangat penting untuk
memastikan bahwa layanan TI bekerja sebagaimana mestinya sesuai dengan
tujuan dan strategis bisnis, memiliki kualitas pelayanan yang efisien dan
efektif, mengoptimalisasikan kualitas dan kuantitas layanan, memastikan
budget yang dikeluarkan efektif, menjamin tingkat keamanan yang dapat
dipertanggungjawabkan, dsb.

3.1. Standar dan Framework Audit TI
Secara umum standar dan framework digunakan untuk memastikan
bahwa sumber daya TI (termasuk SDM-nya) dikelola untuk memberikan
pelayanan yang optimal, efisien, efektif, dan aman. Standar atau framework
yang paling banyak digunakan dalam pengembangan Manajemen Teknik
Informasi antara lain :

COBIT
COBIT yang merupakan singkatan dari Control Objectives for
Information and Related Technology, merupakan kerangka kerja yang dimiliki
dan dikembangkan oleh oleh ISACA (ISACA, 2012). COBIT Pertama kali
diluncurkan pada tahun 1996. Versi yang terbaru saat ini adalah COBIT 2019,
namun hingga saat ini COBIT 5 masih digunakan secara luas sebagai
framework TI untuk Tata Kelola TI termasuk Audit TI. Di mana COBIT 5
merupakan gabungan dari framework COBIT 4.1, VAL IT 2.0, dan Risk IT.

8
Audit Teknologi Informasi

COBIT dapat digunakan untuk membantu kita mengoptimalisasikan
value atau nilai suatu organisasi enterprise melalui TI dengan cara menjaga
keseimbangan antara realisasi keuntungan, optimalisasi risiko, dan
pemanfaatan sumberdaya. Kerangka kerja TI ini meng-cover baik bisnis
maupun unit TI dalam keseluruhan organisasi. COBIT jugha memberikan
model maturity atau model kematangan proses dan matriksnya untuk
mengukur apakah organisasi TI telah mencapai tujuannya. COBIT juga
menjaga keseimbangan antara kebutuhan stakeholder baik internal maupun
eksternal.

ITIL
ITIL, singkatan dari Information Technology Infrastructure Library,
merupakan seperangkat guideline (petunjuk) dan best practices untuk
kebutuhan IT Service Management (ITSM) atau Manajemen Layanan Teknologi
Informasi (MLTI). ITIL merupakan framework TI yang dikeluarkan oleh
AXELOS Limited. ITIL fokus pada penyelarasan IT services atau layanan TI
sesuai kebutuhan bisnis dan mendukung proses inti. ITIL Terdiri dari lima
volume : Service Strategy, Service Design, Service Transition, Service Operation
and Continual Service Improvement.

Kerangka kerja ITIL dapat diadopsi dan diaplikasikan kepada seluruh
jenis bisnis dan lingkungan organisasi. ITIL mencakup petunjuk untuk
identifikasi, perencanaan, delivering, dan supporting layanan TI. Jika sukses
diadopsi, maka ITIL dapat meningkatkan kualitas layanan, menjadi alat
mitigasi bagi risiko bisnis dan disrupsi layanan, meningkatkan hubungan
dengan pelanggan, dan membuat suatu sistem efektif secara biaya bagi
pengelolaan kebutuhan terhadap layanan.

CMMI
Framework CMMI merupakan singkatan dari Capability Maturity Model
Integration, merupakan model yang sudah terkenal secara global sebagai
model referensi yang dikembangkan melalui best practices yang memberikan

9
Audit Teknologi Informasi

petunjuk untuk meningkatkan proses yang dapat memenuhi target bisnis dari
suatu organisasi. Model ini dikembangkan oleh pakar di industri,
pemerintahan, dan Software Engineering Institute (SEI).

CMMI meningkatkan proses bisnis suatu organisasi dengan
menunjukkan keuntungan terukur dari tujuan bisnis dan visinya. Suatu
organisasi dapat mengorganisasikan dan memprioritaskan metodologi, SDM,
dan aktivitas bisnisnya melalui kerangka kerja yang diberikan oleh CMMI.

PMBOK
PMBOK adalah singkatan dari Guide to the Project Management Body of
Knowledge, adalah suatu guideline yang secara internasional diakui untuk
digunakan sebagai metode manajemen proyek dan merupakan produk dari
PMI (Project Management Institute). PMBOK adalah standar yang secara luas
diterima dan diakui sebagai basis untuk keseluruhan metode manajemen
proyek.

PMBOK memberikan deskripsi yang mendalam mengenai isi dan
pokok-pokok yang secara fundamental membahas mengenai manajemen
proyek, namun fokusnya tidak pada implementasi teknis. Instruksi teknis
justru lebih detail berada pada kerangka kerja PRINCE2. PMBOK sendiri
terdiri dari 5 proses dasar : Initiating, Planning, Executing, Controlling and
Monitoring, and Closing.

PRINCE2
PRINCE2 merupakan singkatan dari Projects in a Controlled
Environment, merupakan standar de facto untuk metode manajemen proyek
yang dimiliki oleh UK Cabinet Office. PRINCE2 adalah komplemen dari model
PMBOK dengan menyediakan petunjuk yang berbasis proses dilengkapi
dengan template yang siap digunakan oleh Manajer Proyek dan Group Project
Steering pada setiap fase yang berbeda dari proyek. PRINCE2 memastikan
kontrol yang lebih besar terhadap sumberdaya serta manajemen yang efektif
terhadap risiko bisnis dan proyek.

10
Audit Teknologi Informasi

Sebagai contoh, tujuh prinsip dari PRINCE2 menyatakan bahwa proyek
harus dijalankan melalui siklus berikut : proyek harus memiliki justifikasi
bisnis, definisi yang jelas untuk setiap peran dan tanggung jawab pada setiap
fase dan proses, dikelola dalam bentuk tahapan yang detail dan terjadwal,
definisi toleransi untuk setiap pengecualian dalam manajemen proyek, fokus
pada menghasilkan produk sesuai dengan kebutuhan proyek, dan belajar dari
pengalaman untuk peningkatan kualitas organisasi dalam mengelola proyek
berikutnya.

ISO/IEC 20000
ISO/IEC 20000 adalah Service Management System (SMS) atau sistem
manajemen layanan merupakan standarisasi internasional untuk manajemen
layanan TI. Dimiliki oleh International Organization for Standardization (ISO)
dan the International Electrotechnical Commission (IEC) dan secara umum
selaras dengan ITIL.

ISO/IEC 20000 memiliki dua bagian. Bagian pertama mendefinisikan
kebutuhan formal dari produksi berkualitas tinggi terhadap layanan kepada
bisnis. TI yang meliputi kriteria perencanaan, manajemen layanan, dan
produksi layanan dan juga manajemen pelanggan. Bagian kedua menjelaskan
proses dari produksi layanan yang secara umum sama dengan proses ITIL
yang secara umum memfokuskan pada proses manajemen pelanggan.

ISO 21500
ISO 21500 adalah standar yang secara generik merupakan petunjuk
mengenai konsep dan proyek dari manajemen proyek yang merupakan bagian
terpenting dalam realisasi proyek yang sukses. Dapat digunakan untuk
seluruh jenis organisasi dan dapat diterapkan pada setiap jenis proyek, tanpa
terkendala ukuran, kompleksitas, dan durasi.

ISO 21500 adalah standar informal secara umum lebih merupakan
guideline ketimbang metodologi yang bersertifikasi. Menyediakan deskripsi
high level terhadap konsep dan proses yang selama ini dianggap sebagai good

11
Audit Teknologi Informasi

practices dalam manajemen proyek dan menempatkan proyek dalam konteks
program dan portofolio proyek. PMBOK secara umum memiliki kesesuaian
dengan ISO 21500 begitu juga sebaliknya.

ISO/IEC 38500
ISO/IEC 38500 merupakan standar yang memberikan prinsip umum
mengenai peran dan manajemen IT governance dengan tanggung jawab bisnis
(contoh : BoD dan tim manajemen). Dapat digunakan secara luas untuk semua
jenis dan ukuran organisasi baik perusahaan privat maupun publik termasuk
organisasi non profit.

Standar ini mendukung manajemen bisnis dalam melaksanakan
supervisi terhadap organisasi TI dan membantunya memastikan bahwa TI
memberikan dampak positif terhadap kinerja perusahaan. Standar ISO/IEC
38500 terdiri dari 6 prinsip sebagai berikut :

1. Responsibility
2. Strategy
3. Acquisition
4. Performance
5. Conformance
6. Human behaviour

ISO/IEC 38500 juga juga dapat dijadikan acuan untuk menjamin bahwa
manajemen telah melaksanakan konformitas dengan implementasi tata kelola
organisasi yang baik (good governance).

TOGAF
TOGAF adalah kerangka kerja enterprise architecture dari Open Group
Standard yang memungkinkan setiap organisasi memiliki pendekatan
terstruktur untuk mengelo implementasi teknologi, khususnya dalam desain
pengembangannya, dan perawatan perangkat lunak. TOGAF Dipublikasikan
tahun 1995 berdasarkan US Department of Defence Technical Architecture

12
Audit Teknologi Informasi

Framework for Information Management (TAFIM), kemudian dikembangkan
oleh The Open Group Architecture Forum dan secara reguler dirilis di website
Open Group.

TOGAF meningkatkan efisiensi bisnis melalui metode yang konsisten,
komunikasi, dan pemanfaatan sumberdaya yang efisien. Adopsi TOGAF dapat
meningkatkan kredibilitas industri dengan bahasa yang umum di kalangan
profesional enterprise architecture.

ISO/IEC 27001
ISO/IEC 27001 merupakan standarisasi isinya merupakan pedoman
petunjuk dan prosedur praktis pengelolaan Sistem Manajemen Keamanan
Informasi. ISO 27001 lebih memfokuskan diri pada aspek manajemen
pelaksanaan, dimana keluaran dokumennya merinci hingga detail aktivitas
keamanan yang perlu dilakukan. Proses implementasi maupun aktivitas audit
keamanan sistem informasi bersifat fleksibel tergantung pada tipe dan
kebutuhan organisasi serta fokus pada proses bisnis dan proses TI yang sesuai
dengan tujuan strategis organisasi.

Selain ISO/IEC 27001, COBIT juga bisa digunakan untuk membangun
Sistem Manajemen Keamanan Informasi khususnya bila kita menggunakan
pedoman COBIT khusus untuk keamanan yaitu COBIT 5 for Information Risk.
Bila kita ingin membangun Tata Kelola Keamanan Informasi yang meliputi
Governance dan Management sekaligus maka COBIT adalah pilihan yang
terbaik.

3.2. COBIT 5: Salah Satu Best Practice
COBIT dikembangkan oleh Institut Tata kelola TI (ITGI), yang
merupakan bagian dari Information System Audit and Control Association
(ISACA). COBIT pertama kali diperkenalkan pada tahun 1996, kemudian
secara konsisten dikelola dan dikembangkan untuk menjadi bagian yang tak
terpisahkan dari tata kelola TI dengan tujuan utama menetapkan serangkaian

13
Audit Teknologi Informasi

proses yang diperlukan untuk mengendalikan sumber daya TI dalam meraih
tujuan bisnis organisasi.

COBIT terdiri dari seperangkat control objectives untuk bidang TI,
dirancang untuk memudahkan tahapan-tahapan audit dan tata kelola TI
organisasi. COBIT edisi pertama dirilis pada tahun 1996 dan kini sudah
mencapai edisi ke-6 (COBIT 2019). Namun pada modul ini, pokok pembahasan
akan mendiskusikan COBIT 5 (terbit tahun 2012) yang cakupannya tidak jauh
dengan COBIT edisi terbaru.

COBIT 5 menyediakan prinsip-prinsip, praktik-praktik, alat-alat
analisis, dan model yang diterima secara global dan dirancang untuk
membantu memaksimalkan kepercayaan pimpinan bisnis dan TI mengenai
nilai dari informasi dan aset teknologi perusahaan (ISACA, 2012). COBIT 5
memberikan perbedaan yang jelas antara fungsi pengelolaan (governance)
dan manajemen TI pada organisasi.

COBIT 5 didasarkan pada lima prinsip kunci untuk tata kelola dan
manajemen TI organisasi yaitu: memenuhi kebutuhan stakeholder, mencakup
seluruh bagian organisasi, menerapkan suatu kerangka kerja yang
terintegrasi, menggunakan sebuah pendekatan yang menyeluruh, dan
pemisahan tata kelola dari manajemen.

Kelima prinsip dasar ini memungkinkan organisasi untuk membangun
sebuah kerangka tata kelola dan manajemen yang efektif, sehingga dapat
mengoptimalkan investasi dan penggunaan TI. Kelima prinsip digambarkan
pada Gambar 1.

14
Audit Teknologi Informasi

Gambar 1. Prinsip COBIT (ISACA, 2012)
Kerangka kerja COBIT, terdiri dari tiga tingkat (level) usaha pengaturan
TI yang menyangkut manajemen sumber daya TI. Lapisan paling bawah, yaitu
kegiatan dan tugas (activities and task) yang diperlukan untuk mencapai hasil
yang dapat diukur. Pada aktivitas, terdapat konsep siklus hidup yang di
dalamnya terdapat kebutuhan pengendalian khusus. Kemudian satu lapis di
atasnya terdapat proses yang merupakan gabungan dari kegiatan dan tugas
(activities and task) dengan keuntungan atau perubahan (pengendalian)
alami. Pada tingkat yang lebih tinggi, proses biasanya dikelompokan bersama
ke dalam domain.

Pengelompokan ini sering disebut sebagai tanggung jawab domain
dalam struktur organisasi dan yang sejalan dengan siklus manajemen atau
siklus hidup yang dapat diterapkan pada proses TI. COBIT 5 membagi proses
tata kelola dan manajemen TI perusahaan menjadi dua domain proses utama,
proses tata kelola terdapat dalam domain Evaluate, Direct, dan Monitor
(EDM), sedangkan proses- proses manajemen TI terdapat pada empat domain
yaitu:

15
Audit Teknologi Informasi

 Align, Plan, and Organize (APO)—Penyelarasan, Perencanaan, dan
Pengaturan
 Build, Acquire, and Implement (BAI)—Membangun, Memperoleh, dan
Mengimplementasikan
 Deliver, Service and, Support (DSS)—Mengirimkan, Layanan, dan
Dukungan
 Monitor, Evaluate, and Assess (MEA)—Pengawasan, Evaluasi, dan
Penilaian
Process Reference Model dalam COBIT 5 adalah pembaharuan dari
model proses COBIT 4.1, dengan mengintegrasikan model proses dari Risk IT
dan Val IT. Total terdapat 37 proses tata kelola dan manajemen dalam COBIT
5 yang dapat Dilihat pada Gambar 2.

Gambar 2. Proses Manajemen IT pada COBIT 5
Secara umum, setiap kegiatan Audit TI yang menggunakan kerangka
kerja COBIT 5 akan mengevaluasi domain proses-proses diatas. Namun tidak

16
Audit Teknologi Informasi

seluruh proses harus dicakup dalam satu kegiatan Audit TI, melainkan dapat
dipilih sesuai dengan kebutuhan organisasi.

3.3. Standar dan Tata Cara Audit SPBE
Badan Pengkajian dan Penerapan Teknologi (BPPT) adalah lembaga
pemerintah yang bertanggung jawab dalam penyelenggaraan SPBE secara
nasional (Kemensetneg, 2018). Salah satu tugas yang berkaitan dengan
tanggung jawab tersebut adalah menyusun standar dan tata cara pelaksanaan
audit Sistem Pemerintahan Berbasis Elektronik atau disingkat SPBE (BPPT,
2021).

Peraturan tentang Audit TI sendiri telah tertuang pada Peraturan
Presiden No. 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis
Elektronik Bab IV tentang Audit Teknologi Informasi dan Komunikasi Pasal
55, 56, 57 dan 58. Peraturan ini kemudian diturunkan pada Peraturan Menteri
Komunikasi dan Informatika Republik Indonesia tentang Kebijakan Umum
Penyelenggaraan Audit Teknologi Informasi dan Komunikasi Bab II tentang
Pelaksanaan Audit Teknologi Informasi dan Komunikasi Pasal 4 sampai pasal
12. Pasal-pasal ini mencakup standar dan tata cara pelaksanaan Audit
Infrastruktur SPBE dan Audit Aplikasi SPBE oleh BPPT, serta Audit Keamanan
informasi oleh BSSN.

Standar dan tata cara pelaksanaan Audit Infrastruktur dan Audit
Aplikasi digunakan sebagai panduan bagi IPPD (instansi pusat dan pemerintah
daerah), Lembaga Audit TIK (LATIK) SPBE, dan Auditor dalam melaksanakan
Audit Infrastruktur SPBE dan Audit Aplikasi SPBE. (Lebih kepada pelaksanaan
Audit eksternal). Standar dan tata cara ini memuat panduan tata cara
pelaksanaan audit, standar teknis dan kriteria penilaian audit, panduan LATIK
sebagai pelaksana audit eksternal, dan panduan auditor.

Sebelum adanya Perpres SPBE ini, Audit TIK di IPPD tidak wajib
dilaksanakan. Lembaga pelaksana audit, siapa auditornya, objek dan lingkup
audit, standar teknis serta tata cara audit juga masih dibebaskan. Namun

17
Audit Teknologi Informasi

setelah adanya Perpres SPBE , Audit TI menjadi sebuah kegiatan yang harus
dilaksanakan, dimana lembaga pelaksana audit dan auditornya telah diatur
seperti yang sudah dilaksanakan oleh Lembaga Arsip Nasional Republik
Indonesia (ANRI, 2021). Objek dan ruang lingkup Audit TI, ketentuan standar
teknis dan tata cara audit TI juga kini telah ditentukan oleh BPPT dan BSSN.

Hal-hal yang dijelaskan di atas telah tercantum seluruhnya pada
peraturan BKN yang kini masih berupa draft dan menunggu pengesahan RPM
Kominfo. Meski demikian, kegiatan Audit TI yang dapat masuk dalam
ketentuan sudah boleh dilaksanakan karena sudah sesuai Perpres SPBE.

Gambar 3. Pemantauan dan Evaluasi SPBE (Grahitandaru, 2021)
Adapun butir-butir kegiatan Audit TI pada Petunjuk Teknis (Juknis)
Prakom telah mengadopsi standar dan tata cara pelaksanaan Audit TI SPBE
mencakup 3 tahap utama yaitu tahap perencanaan, pelaksanaan dan
pelaporan (Grahitandaru, 2021). Kesemuanya dipetakan dalam 12 (dua belas)
butir kegiatan Audit TI yang tercantum dalam juknis. Gambar 4 menunjukkan
butir kegiatan audit TI dari Juknis Prakom yang berkesesuaian dengan standar
dan tata cara Audit SPBE.

18
Audit Teknologi Informasi

Gambar 4. Pemetaan Tata Cara Perencanaan Audit TI dengan Butir
Juknis Prakom

Gambar 4 menunjukkan terdapat 6 (enam) butir kegiatan Audit TI pada
Juknis Prakom yang berkesesuaian dengan tahap perencanaan pada Audit
SPBE antara lain:

1. Melakukan studi kelayakan audit TI
2. Menyusun proposal Audit TI
3. Melakukan perancangan proses bisnis dan SOP pelaksanaan Audit TI
4. Melakukan analisis awal untuk kebutuhan Audit TI
5. Melakukan pengumpulan informasi dasar untuk kebutuhan Audit TI
6. Melakukan pengumpulan dokumen untuk kebutuhan Audit TI

Berikutnya, Gambar 5 menunjukkan terdapat 2 (dua) butir kegiatan
Audit TI pada Juknis Prakom yang berkesesuaian dengan tahap pelaksanaan
pada Audit SPBE antara lain:

1. Melakukan pengumpulan data Audit TI menggunakan metode tertentu
2. Melakukan pengujian, verifikasi, atau validasi terhadap data Audit TI

19
Audit Teknologi Informasi

Gambar 5. Pemetaan Tata Cara Pelaksanaan Audit TI dengan Butir Juknis
Prakom

Selanjutnya, Gambar 6 menunjukkan terdapat 2 (dua) butir kegiatan
Audit TI pada Juknis Prakom yang berkesesuaian dengan tahap perencanaan
pada Audit SPBE antara lain:

1. Melakukan analisis data Audit TI
2. Melakukan evaluasi kegiatan Audit TI

20
Audit Teknologi Informasi

Gambar 6. Pemetaan Tata Cara Pelaporan Audit TI dengan Butir Juknis
Prakom

Terakhir, terdapat 2 (dua) butir kegiatan Audit TI dari Juknis Prakom
yang bersifat independen untuk dilaksanakan di luar rangkaian sebuah
kegiatan Audit yaitu:

1. Melakukan pengkajian terhadap framework audit TI
2. Melakukan pengkajian terhadap tool dan aplikasi yang digunakan
untuk audit TI

Pada dasarnya, kedua kegiatan di atas dapat dilakukan kapan saja
terlepas dari ada atau tidaknya kegiatan Audit TI yang sedang berjalan di
organisasi. Namun demikian, tujuan kedua kegiatan di atas adalah untuk
mencari, menelaah, mengkaji dan membuktikan kerangka kerja/framework
serta tools dan aplikasi cocok atau tidak bagi sebuah kegiatan Audit. Terkait
hal tersebut, maka kedua kegiatan paling ideal dilakukan sebelum dan atau
setelah dilakukannya sebuah kegiatan Audit Ti.

Kombinasi dari Jenis organisasi, ruang lingkup, objek, dan domain
Audit TI bisa menyebabkan framework tertentu dapat cocok ataupun tidak

21
Audit Teknologi Informasi

cocok (secara ilmiah) untuk digunakan dalam sebuah kegiatan Audit TI.
Cakupan kegiatan kajian ini bersifat luas dan bisa jadi menghasilkan kerangka
kerja kombinasi dari dua atau lebih kerangka kerja Audit TI yang telah dibahas
sebelumnya.

3.4. Rangkuman
 Terdapat berbagai macam kerangka kerja Audit TI yang umum
digunakan dan dijadikan acuan antara lain: COBIT, ITIL, CMMI, PMBOK,
PRINCE2, dll
 COBIT 5 masih menjadi framework yang paling luas digunakan pada
kegiatan Audit TI
 Terkait SPBE, telah tersusun standar dan tata cara pelaksanaan Audit
Infrastruktur SPBE dan Audit Aplikasi SPBE oleh BPPT, serta Audit
Keamanan informasi oleh BSSN.
 Seluruh butir kegiatan Audit TI pada Petunjuk Teknis (Juknis) Prakom
telah mengadopsi standar dan tata cara pelaksanaan Audit TI SPBE
mencakup 3 tahap yaitu: perencanaan, pelaksanaan dan pelaporan.

22
Audit Teknologi Informasi

3.5. Soal Latihan
1. Berikut ini merupakan cakupan dari audit SPBE, kecuali …
a. Aplikasi TI
b. Infrastruktur TI
c. Keamanan TI
d. Konsultan TI
2. Kegiatan audit TI sesuai dengan COBIT, kecuali …
a. Build and develop
b. Plan and organize
c. Monitor and evaluate
d. Deliver and support
3. Framework Audit TI yang ditujukan untuk Enterprise Architecture, dan
menyediakan pendekatan yang komprehensif terhadap desain,
perencanaan, implementasi, dan tata kelola arsitektur informasi
organisasi adalah …
a. TOGAF
b. COBIT
c. ITIL
d. PMBOK
4. Dalam COBIT 5, domain untuk proses "Service Desk dan Manajemen
Insiden" adalah …
a. Deliver, Service and Support (DSS)
b. Monitor Evaluate and Assess (MEA)
c. Align, Plan and Organize (APO)
d. Build, Acquire and Implement (BAI)

23
Audit Teknologi Informasi

5. Yang tidak termasuk ke dalam faktor penyebab cocok atau tidaknya
suatu framework untuk digunakan dalam sebuah kegiatan Audit TI
adalah …
a. jenis organisasi
b. tool dan aplikasi Audit TI
c. domain Audit TI
d. objek Audit TI

24