PROPOSAL TEKNIS
Audit Audit Sistem Information Technology BADAN USAHA MILIK NEGARA MENTERI NEGARA BUMN
Februari 2005
DAFTAR ISI
Pendahuluan Tujuan Audit Batasan Audit Hasil-hasul Audit Metodologi Audit Jadwal Audit Sumber Daya Pembiayaan
2
PENDAHULUAN
Salah satu faktor kesuksesan sebuah organisasi adalah efektivitas manajemen
informasi
dan
teknologi
informasi
pendukungnya.
Beberapa alasannya adalah sebagai berikut:
1. Bertambahnya
tingkat
ketergantungan
organisasi
terhadap
informasi dan sistem yang digunakan untuk memanajemen dan mengkomunikasikan informasi tersebut. 2. Berkembangnya
ancaman
dunia
kejahatan
cyber
seperti
ancaman jaringan internet dan pemalsuan informasi. 3. Meningkatnya investasi dalam pengelolaan dan pengembangan sistem informasi dan akan terus meningkat di masa mendatang. 4. Teknologi berpotensi merubah kondisi organisasi secara radikal dan sekaligus memberikan peluang untuk menjawab berbagai permasalahan dan mereduksi biaya operasional.
Kini informasi telah menjadi salah satu aset organisasi yang bersifat dinamis, sejalan dengan berkembangnya perangkat aplikasi teknologi informasi yang menjadi unsur pendukung utama bagi yang diperlukan. Saat ini banyak organisasi yang memiliki ketergantungan terhadap informasi elektronis dan sistem teknologi informasi. Keadaan ini, mendorong organisasi untuk mengadaptasi berbagai perubahan dan perkembangan teknologi informasi.
Untuk
memastikan
bagaimana
kontribusi
manajemen
teknologi
informasi terhadap obyektif bisnis organisasi, sebuah organisasi perlu melakukan evaluasi dan audit terhadap efektivitas teknologi informasi yang digunakan. Berkenaan dengan proses evaluasi dan audit manajemen
teknologi
informasi,
CobiT
(Control
Objectives
for
3
Information and related Technology) merupakan pilihan terbaik sebagai metode kerja proses evaluasi dan audit di atas.
TUJUAN AUDIT Agar dapat mengadaptasikan berbagai perubahan dan arah pengembangan teknologi informasi ke depan, Kementrian Negara BUMN beserta
jajaran
BUMN
dibawahnya perlu
mengetahui
bagaimana kondisi implementasi teknologi informasi saat ini sehingga
memudahkan
untuk
melakukan
perencanaan
pengembangan teknologi informasi yang akan datang. Menjalankan audit manajemen teknologi informasi untuk mengetahui kondisi saat ini akan sangat membantu Kementrian Negara BUMN untuk memverifikasi bagaimana implementasi teknologi informasi selama ini dilakukan. CAKUPAN AUDIT Project Execution Process
Audit Material Preparation
Audit Communication
Audit
Audit
Result Analysis
Project Close Out
Dari gambar di atas, terlihat ada lima tahap yang harus dilakukan untuk melakukan proses evaluasi dan audit menggunakan standar Cobit.
1. Audit Material Preparation
4
Langlah awal yang akan dilakukan oleh tim konsultan adalah mempersiapkan
berbagai
sumberdaya
dan
material
yang
dibutuhkan selama proses audit dilakukan. 2. Audit Communication Pada
awal
pekerjaan
berjalan,
tim
konsultan
melakukan
komunikasi secara intensif tentang bagaimana pelaksanaan proses audit dijalankan. Beberap isu yang akan dikomunikasikan adalah mencakup mengapa proses audit teknologi informasi dilakukan (tujuan), bagaimana audit dijalankan (proses), siapa saja yang terlibat (orang), dan kapan proses-proses tersebut dijalankan (penjadwalan). Tujuan dari komunikasi ini adalah memberikan
kesiapan
kepada
organisasi
sebelum
audit
dijalankan dan mencegah adanya resistensi selama proses audit dilakukan. 3. Audit Execution Fase ini adalah inti dari pekerjaan dimana tim konsultan melakukan proses audit menggunakan kerangka Cobit sebagai panduan. 4. Audit Result Analysis Setelah proses audit dijalankan, tim konsultan melakukan proses analisa data yang telah diperoleh selama audit dan membuat laporan hasil audit tentang kondisi teknologi informasi saat ini dan
rekomendasi
apa
saja
yang
harus
dilakukan
untuk
melakukan perbaikan. 5. Project Close Out Fase akhir dari pekerjaan dimana tim konsultan melakukan penulisan laporan secara komprehensif terhadap hasil audit dan hasil analisa. Setelah laporan akhir selesai dibuat, tim konsultan melakukan
presentasi
laporan.
Setelah
laporan
diterima,
pekerjaan dinyatakan selesai.
5
Area Audit TI Mengingat bahwa Badan Kementrian Negara BUMN merupakan organisasi besar yang salah satu tugasnya untuk meningkatkan kinerja organisasi dan memberikan informasi kepada pihak-pihak terkait, organisasi dan sistem teknologi informasinya masih dalam tahap awal pengembangan, kami merekomendasikan audit TI yang mencakup 4 domain dan 15 kontrol obyektif seperti yang terdapat pada Cobit Audit Guideline. 15 kontrol obyektif yang dimaksud adalah sebagai berikut:
1. Define a strategic IT plan 1.1.
IT as Part of the Organization’s Long- and Short-Range Plan
1.2.
IT Long-Range Plan
1.3.
IT Long-Range Planning Approach and Structure
1.4.
IT Long-Range Plan Changes
1.5.
Short-Range Planning for the IT Function
2. Assess risk 2.1.
Business Risk Assessment
2.2.
Risk Assessment Approach
2.3.
Risk Identification
2.4.
Risk Measurement
2.5.
Risk Action Plan
2.6.
Risk Acceptance
2.7.
Safeguard Selection
2.8.
Risk Assessment Commitment
3. Manage projects 3.1.
Project Management Framework
3.2.
User Department Participation in Project Initiation
3.3.
Project Team Membership and Responsibilities
3.4.
Project Definition
3.5.
Project Approval
3.6.
Project Phase Approval 6
3.7.
Project Master Plan
3.8.
System Quality Assurance Plan
3.9.
Planning of Assurance Methods
3.10. Formal Project Risk Management 3.11. Test Plan 3.12. Training Plan 3.13. Post-Implementation Review Plan 4. Manage changes 4.1.
Change Request Initiation and Control
4.2.
Impact Assessment
4.3.
Control of Changes
4.4.
Emergency Changes
4.5.
Documentation and Procedures
4.6.
Authorized Maintenance
4.7.
Software Release Policy
4.8.
Distribution of Software
5. Ensure system security 5.1.
Manage Security Measures
5.2.
Identification, Authentication and Access
5.3.
Security of Online Access to Data
5.4.
User Account Management
5.5.
Management Review of User Accounts
5.6.
User Control of User Accounts
5.7.
Security Surveillance
5.8.
Data Classification
5.9.
Central Identification and Access Rights Management
5.10. Violation and Security Activity Reports 5.11. Incident Handling 5.12. Reaccreditations 5.13. Counterparty Trust 5.14. Transaction Authorization 7
5.15. Non-Repudiation 5.16. Trusted Path 5.17. Protection of Security Functions 5.18. Cryptographic Key Management 5.19. Malicious Software Prevention, Detection and Correction 5.20. Firewall Architectures and Connections with Public Networks Protection of Electronic Value 6. Manage data 6.1.
Data Preparation Procedures
6.2.
Source Document Authorization Procedures
6.3.
Source Document Data Collection
6.4.
Source Document Error Handling
6.5.
Source Document Retention
6.6.
Accuracy, Completeness and Authorization Checks
6.7.
Data Input Error Handling
6.8.
Data Processing Integrity
6.9.
Data Processing Validation and Editing
6.10. Data Processing Error Handling 6.11. Output Handling and Retention 6.12. Output Distribution 6.13. Output Balancing and Reconciliation 6.14. Output Review and Error Handling 6.15. Security Provision for Output Reports 6.16. Protection of Sensitive Information During Transmission and Transport 6.17. Protection of Disposed Sensitive Information 6.18. Storage Management 6.19. Retention Periods and Storage Terms 6.20. Media Library Management System 6.21. Media Library Management Responsibilities 6.22. Back-up and Restoration 8
6.23. Back-up Jobs 6.24. Back-up Storage 6.25. Archiving 6.26. Protection of Sensitive Messages 6.27. Authentication and Integrity 6.28. Electronic Transaction Integrity 6.29. Continued Integrity of Stored Data 7. Monitor the processes 7.1.
Collecting Monitoring Data
7.2.
Assessing Performance
7.3.
Assessing Customer Satisfaction
7.4.
Management Reporting
8. Determine the technological direction 8.1.
Technological Infrastructure Planning
8.2.
Monitor Future Trends and Regulations
8.3.
Technological Infrastructure Contingency
8.4.
Hardware and Software Acquisition Plans
8.5.
Technology Standards
9. Manage the IT investment 9.1.
Annual IT Operating Budget
9.2.
Cost and Benefit Monitoring
9.3.
Cost and Benefit Justification
10.
Identify solutions
10.1. Definition of Information Requirements 10.2. Formulation of Alternative Courses of Action 10.3. Formulation of Acquisition Strategy 10.4. Third-Party Service Requirements 10.5. Technological Feasibility Study 10.6. Economic Feasibility Study 9
10.7. Information Architecture 10.8. Risk Analysis Report 10.9. Cost-Effective Security Controls 10.10.
Audit Trails Design
10.11.
Ergonomics
10.12.
Selection of System Software
10.13.
Procurement Control
10.14.
Software Product Acquisition
10.15.
Third-Party Software Maintenance
10.16.
Contract Application Programming
10.17.
Acceptance of Facilities
10.18.
Acceptance of Technology
11.
Acquire and maintain applications and software
11.1. Design Methods 11.2. Major Changes to Existing Systems 11.3. Design Approval 11.4. File Requirements Definition and Documentation 11.5. Program Specifications 11.6. Source Data Collection Design 11.7. Input Requirements Definition and Documentation 11.8. Definition of Interfaces 11.9. User-Machine Interface 11.10.
Processing Requirements Definition and Documentation
11.11.
Output Requirements Definition and Documentation
11.12.
Controllability
11.13.
Availability as a Key Design Factor
11.14.
IT Integrity Provisions in Application Program Software
11.15.
Application Software Testing
11.16.
User Reference and Support Materials
11.17.
Reassessment of System Design
12.
Install and accredit systems 10
12.1. Training 12.2. Application Software Performance Sizing 12.3. Implementation Plan 12.4. System Conversion 12.5. Data Conversion 12.6. Testing Strategies and Plans 12.7. Testing of Changes 12.8. Parallel/Pilot Testing Criteria and Performance 12.9. Final Acceptance Test 12.10.
Security Testing and Accreditation
12.11.
Operational Test
12.12.
Promotion to Production
12.13.
Evaluation of Meeting User Requirements
12.14.
Management’s Post-Implementation Review
13.
Define service levels
13.1. Service Level Agreement Framework 13.2. Aspects of Service Level Agreements 13.3. Performance Procedures 13.4. Monitoring and Reporting 13.5. Review of Service Level Agreements and Contracts 13.6. Chargeable Items 13.7. Service Improvement Program 14.
Ensure continuous service
14.1. IT Continuity Framework 14.2. IT Continuity Plan Strategy and Philosophy 14.3. IT Continuity Plan Contents 14.4. Minimizing IT Continuity Requirements 14.5. Maintaining the IT Continuity Plan 14.6. Testing the IT Continuity Plan 14.7. IT Continuity Plan Training 14.8. IT Continuity Plan Distribution 11
14.9. User Department Alternative Processing Back-up Procedures 14.10.
Critical IT Resources
14.11.
Back-up Site and Hardware
14.12.
Off-site Back-up Storage
14.13.
Wrap-up Procedures
15.
Manage problems and incidents
15.1. Problem Management System 15.2. Problem Escalation 15.3. Problem Tracking and Audit Trail 15.4. Emergency and Temporary Access Authorizations 15.5. Emergency Processing Priorities
HASIL-HASIL AUDIT
Hasil utama dari proses audit teknologi informasi adalah berupa laporan yang terdiri atas: 1. Skala kematangan TI / IT Maturity Level (skala 0 – 5), yang dilengkapi dengan laporan detail untuk setiap domain. 2. Analisa kematangan TI terkait dengan Critical Success Factor, Key Goal Indicator dan Key Performance Indicator untuk setiap domain. 3. Analisa resiko tingkat kematangan teknologi informasi.
METODOLOGI AUDIT
Cobit menyediakan metode dan prosedur untuk melakukan proses audit dalam bentuk Cobit Framework. Berdasarkan framework yang
12
telah tersedia, metodologi yang digunakan untuk melakukan audit adalah sebagai berikut:
1. Assessment dilakukan terhadap berbagai sumberdaya TI seperti manusia, sistem aplikasi, teknologi, fasilitas dan data. 2. Material assessment, termasuk dalam hal ini adalah daftar pertanyaan berdasarkan standar dan struktur Cobit. Materi assessment terdiri atas 4 domain: Planning & Organization (PO), Acquisition & Implementation (AI), Delivery & Support (DS) dan Monitoring (M). 3. Audit akan didasarkan berdasarkan fakta-fakta yang ada. Berdasarkan melakukan
fakta-fakta analisa
yang
tingkat
ditemukan,
efektivitas
dan
tim
konsultan
efisiensi
dari
manajemen teknologi informasi. Selama
proses
audit,
tim
konsultan
juga
akan
melakukan
pertemuan dan wawancara dengan pihak-pihak terkait seperti manajemen, pengguna dan personel TI lainnya.
JAD WAL AUDIT
Proses audit akan memakan waktu berkisat 45 sampai dengan 50 hari (tidak termasuk hari libur dan hari minggu). Detail dari penjadwalan adalah sebagai berikut:
1. Audit preparation & socialization:10 days 2. Assessment:
25 days
3. Confirmation & refinement: 4. Analysis:
9 days 5 days
5. Final presentation on analysis: TOTAL:
1 day
50 workdays 13
Tim konsultan meminta waktu 10 hari cadangan untuk mengantisipasi adanya potensi permsalahan teknis yang mungkin muncul selama proses analisa.
SUMBERDAYA
Dari sisi tim konsultan, kami akan menyediakan tim yang kompeten dalam hal Manajemen Teknologi Informasi, Cobit Framework dan Analis Bisnis Proses.
Assignment
Main responsibility
Tentative proposed names
Lead
Memimpin tim audit untuk
Consultant/
semua aspek konsolidasi
Partner
internal dan persiapan,
Dr. Ir. Munawar Ahmad
proses audit sampai dengan Consultant/
laporan final. Bertugas untuk
Auditor
mengeksekusi dan menjamin bahwa proses
Dedy Syafwan, ST. MT
dan prosedur audit
Dudy Rudianto, ST, MKom
dilakukan dengan cara
Andhie L Adam, ST
standar. Tugas dari
Rofiq Yuliardi, ST
Consultant/Auditor adalah
Yehezql, SKom
mempesiapkan materi detail, eksekusi dan operasi audit dengan pihak-pihak terkait. Sampai pada fase akhir, Consultant/Auditor 14
melakukan konsolidasi hasil keseluruhan dan analisa Audit
data yang ada. Bertugas untuk melakukan
Documenter
dokumentasi terhadap
Samsudin BT, ST
keseluruhan proses audit. Dari sisi client, kami mengharapkan:
Tempat yang representatif untuk digunakan oleh tim konsultan ( 3 orang) selama proses audit dan observasi.
Personel yang terkait dengan proses wawancara.
Personnel
In-Charge
yang
bertugas
untuk
memandu
tim
konsultan dalam melakukan proses audit sistem/teknologi/data dari organisasi bersangkutan.
------ o o -------
15
