Friday, September 25, 2009

Capability Maturity Model

By:

Mungkin ada pernah mendengar atau membaca tentang Capability Maturity Model (CMM) pada profil perusahaan yang bergerak dalam software development. Dan perusahaan itu menyebutkan dalam informasi profilnya telah mencapai CMM level 4.

CMM ini merupakan mekanisme kualifikasi sebuah Software Development House yang dapat memberikan gambaran tentang kemampuan perusahaan tersebut dalam melakukan development software. Artikel ini adalah bagian pertama dari tulisan bersambung mengenai Capability Maturity Model (CMM). Tujuan penulisan dokumen ini adalah untuk memberikan gambaran sederhana tentang CMM beserta kegunaanya.
Capability Maturity Model adalah sebuah model yang dikembangkan oleh Software Engineering Institute atas permintaan Departement of Defense(DOD) Amerika Serikat dengan tujuan membuat ujian saringan masuk bagi kontraktor yang mendaftarkan diri untuk menjadi konsultan DOD. Capability diterjemahkan menjadi kapabilitas yang berarti kemampuan yang bersifat laten. Capability lebih mengarah kepada integritas daripada kapabilitas itu sendiri. Definisi integritas adalah kemampuan untuk menepati janji. Maturity berarti matang atau dewasa. Matang merupakan hasil proses. Dewasa merupakan hasil pertumbuhan. Model didefinisikan sebagai suatu penyederhanaan yang representatif terhadap keadaan di dunia nyata. Jadi secara keseluruhan CMM dapat didefinisikan sebagai berikut : CMM adalah sebuah penyederhanaan yang representatif yang digunakan untuk mengukur tingkat kematangan sebuah software development house dalam menyajikan/membuat/mengembangkan perangkat lunak sebagaimana telah dijanjikan secara tertulis dalam perjanjian kerjasama.Keyword utama dari CMM adalah mengukur. Mengukur didefinisikan sebagai suatu proses untuk memetakan sebuah kondisi ke dalam sebuah skala/ukuran. Berbicara mengukur kita berbicara :
•Apa yang diukur (parameter)

•Bagaimana cara mengukurnya(metode)

•Bagaimana standard penilaiannya(skalapenilaian)

• Bagaimana interpretasinya (artinya bagi manusia)

Parameter adalah attribut dari sebuah entity yang akan diukur. Interpretasi adalah pemetaan dari hasil pengukuran ke dalam bahasa manusia. Mungkin sulit dipahami untuk itu saya beri ilustrasi sebagai berikut : Nilai rata-rata IP mahasiswa perguruan tinggi X adalah 3,5 dari nilai maximum 4. Fakta di atas dapat diinterpretasikan sebagai:
•Mahasiswanya pintar

•Materinya terlalu dangkal

•Mahasiswa jago nyontek

•Nilai bisa dibeli

Untuk mengukur tingkat kematangan sebuah organisasi tidaklah mudah. Proses ini melibatkan serangkaian parameter untuk diukur. Mekanisme yang digunakan adalah mekanisme oberservasi oleh lembaga sertifikasi independen yang melakukan pengamatan terhadap organisasi yang akan dinilai. Untuk menilainya digunakan metode analitical hirarki process (AHP). Sebagai ilustrasi dari metode AHP adalah sistem SKS di kampus kita masing-masing yaitu dengan ada sebuah parameter, nilai dan bobot (sks matakuliah)

Capability Maturity Model membuat 5 level/skala kematangan yaitu :
•Initial
•Repeatable
•Defined
•Managed
• Optimized

Level initial bercirikan sebagaiberikut:

- Tidak adanya manajemen proyek

- Tidak adanya quality assurance

- Tidak adanya mekanisme manajemen perubahan(change management)

- Tidak ada dokumentasi

- Adanya seorang guru/dewa yang tahu segalanya tentang perangkat lunak yang dikembangkan.
- Sangat bergantung pada kemampuan individual

Level Repeatable bercirikan sebagai berikut:

• Kualitas perangkat lunak mulai bergantung pada proses bukan pada orang


Ada manajemen proyek sederhana

•Ada qualitya ssurance sederhana

•Ada dokumentasi sederhana

Ada software configuration management sederhana

•Tidak adanya knowledge management

•Tidak ada komitment untuk selalu mengikuti SDLC dalam kondisi apapun


•Tidak ada statiskal control untuk estimasi proyek

• Rentan terhadap perubahan struktur organisasi.

Level Defined bercirikan:

•SDLC sudah dibuat dan dibakukan

•Ada komitmen untuk mengikuti SDLC dalam keadaan apapun

• Kualitas proses dan produk masih bersifat kwalitatif bukan kualitatif (tidak terukur hanya kira-kira saja)

•Tidak menerapkan Activity Based Costing.

• Tidak ada mekanisme umpan balik yang baku

LevelManagedbercirikan:

• Sudah adanya Activity Based Costing dan dan digunakan untuk estimasi untuk proyekberikutnya

• Proses penilaian kualitas perangkat lunak dan proyek bersifat kuantitatif.
• Terjadi pemborosan biaya untuk pengumpulan data karena proses pengumpulan data masihdilakukansecaramanual

• Cenderung bias. Ingat efect thorne, manusia ketika diperhatikan maka prilakunya cenderungberubah.

•Tidak adanya mekanisme pencegahan defect

• Ada mekanisme umpan balik.

Level Optimized bercirikan :

•Pengumpulan data secara automatis

•Adanya mekanisme pencegahan defect

•Adanya mekanisme umpan balik yang sangat baik

• Adanya peningkatan kualitas dari SDM dan peningkatan kualitas proses.

Ekivalensi CMM dengan programming. Programming atau pembuatan program dapat dibuat kesamaannya dengan CMM. Programming in small (coding red) ekivalen dengan CMM level 1. Programming in large (proyek managemen, documentasi, dll) ekivalen dengan CMM level 2. Keduanya dapat dikelompokan menjadi programming as art proccess karena tidak memiliki unsur engineering. Unsur engineering yang perlu ditambahkan adalah standarisasi (pembakuan) dan pengukuran. Jika sudah dilakukan standarisasi maka ekivalen dengan CMM level 3. Jika sudah ada pengukuran maka ekivalen dengan CMM level 4. Jika sudah sampai di level 4 maka programming dapat dianggap sebagai engineering process. Keseluruhan level dari 1-4 dapat dipandang sebagai programming as discreet process dimana tidak ada pengembangan berkelanjutan (life time quality improvment) . Baru pada level 5 programming dapat dianggap sebagai continues process dimana peningkatan kualitas sumber daya manusia dan proses dilakukan secara terus menerus.

Kegunaan CMM meliputi:

• Menilai tingkat kematangan sebuah organisasi pengembang perangkat lunak
• Memfilter kontraktor yang akan menjadi pengembang perangkat lunak
• Memberikan arah untuk peningkatan organisasi bagi top managemen di dalam sebuah organisasi pengembang perangkat lunak

• Sebagai alat bantu untuk menilai keunggulan kompetitif yang dimiliki sebuah perusahaan dibandingkan perusahaan pesaingnya.

Skala maturity dari model COBIT

Writing by shelma on Friday, 20 of March , 2009 at 2:51 pm

Sebelum membahas skala maturity, kita bahas dulu apa yang dimaksud COBIT. COBIT kependekan dari Control Objective for Information and Related Technology. COBIT adalah suatu standart/framework yang diterbitkan oleh ISACA untuk audit Teknologi Informasi. lalu apa yang dimaksud dengan skala maturity ? skala maturity merupakan alat bantu bagi perusahaan / pihak pengelola untuk melakukan self assessment pengelolaan TI yang diterapkan. Maturity model dapat digunakan untuk memetakan :

1. Status pengelolaan TI perusahaan pada saat itu.

2. Status standart industri dalam bidang TI saat ini (sebagai pembanding)

3. status standart internasional dalam bidang TI saat ini (sebagai pembanding)

4. strategi pengelolaan TI perusahaan (ekspetasi perusahaan terhadap posisi pengelolaan TI perusahaan)

Tingkat kemampuan pengelolaan TI pada skala maturity dibagi menjadi 6 level :

· Level 0(Non-existent); perusahaan tidak mengetahui sama sekali proses teknologi informasi di perusahaannya

· Level 1(Initial Level); pada level ini, organisasi pada umumnya tidak menyediakan lingkungan yang stabil untuk mengembangkan suatu produk baru. Ketika suatu organisasi kelihatannya mengalami kekurangan pengalaman manajemen, keuntungan dari mengintegrasikan pengembangan produk tidak dapat ditentukan dengan perencanaan yang tidak efektif, respon sistem. Proses pengembangan tidak dapat diprediksi dan tidak stabil, karena proses secara teratur berubah atau dimodifikasi selama pengerjaan berjalan beberapa form dari satu proyek ke proyek lain. Kinerja tergantung pada kemampuan individual atau term dan varies dengan keahlian yang dimilikinya.

· Level 2(Repeatable Level); pada level ini, kebijakan untuk mengatur pengembangan suatu proyek dan prosedur dalam mengimplementasikan kebijakan tersebut ditetapkan. Tingkat efektif suatu proses manajemen dalam mengembangankan proyek adalah institutionalized, dengan memungkinkan organisasi untuk mengulangi pengalaman yang berhasil dalam mengembangkan proyek sebelumnya, walaupun terdapat proses tertentu yang tidak sama. Tingkat efektif suatu proses mempunyai karakteristik seperti; practiced, dokumentasi, enforced, trained, measured, dan dapat ditingkatkan. Product requirement dan dokumentasi perancangan selalu dijaga agar dapat mencegah perubahan yang tidak diinginkan.

· Level 3(Defined Level); pada level ini, proses standar dalam pengembangan suatu produk baru didokumentasikan, proses ini didasari pada proses pengembangan produk yang telah diintegrasikan. Proses-proses ini digunakan untuk membantu manejer, ketua tim dan anggota tim pengembangan sehingga bekerja dengan lebih efektif. Suatu proses yang telah didefenisikan dengan baik mempunyai karakteristik; readiness criteria, inputs, standar dan prosedur dalam mengerjakan suatu proyek, mekanisme verifikasi, output dan kriteria selesainya suatu proyek. Aturan dan tanggung jawab yang didefinisikan jelas dan dimengerti. Karena proses perangkat lunak didefinisikan dengan jelas, maka manajemen mempunyai pengatahuan yang baik mengenai kemajuan proyek tersebut. Biaya, jadwal dan kebutuhan proyek dalam pengawasan dan kualitas produk yang diawasi.

· Level 4(Managed Level); Pada level ini, organisasi membuat suatu matrik untuk suatu produk, proses dan pengukuran hasil. Proyek mempunyai kontrol terhadap produk dan proses untuk mengurangi variasi kinerja proses sehingga terdapat batasan yang dapat diterima. Resiko perpindahan teknologi produk, prores manufaktur, dan pasar harus diketahui dan diatur secara hati-hati. Proses pengembangan dapat ditentukan karena proses diukur dan dijalankan dengan limit yang dapat diukur.

· Level 5(Optimized Level); Pada level ini, seluruh organisasi difokuskan pada proses peningkatan secara terus-menerus. Teknologi informasi sudah digunakan terintegrasi untuk otomatisasi proses kerja dalam perusahaan, meningkatkan kualitas, efektifitas, serta kemampuan beradaptasi perusahaan. Tim pengembangan produk menganalisis kesalahan dan defects untuk menentukan penyebab kesalahannya. Proses pengembangan melakukan evaluasi untuk mencegah kesalahan yang telah diketahui dan defects agar tidak terjadi lagi.

audit IS - COBIT PT Telkom / Abstract

By: Bambang Djatmiko
Source: http://digilib.sunan-ampel.ac.id/gdl.php?mod=browse&op=read&id=jbptitbpp-gdl-bambangdja-28998&q=Information

AUDIT SISTEM INFORMASI UNTUK MENILAI PROSES PENYAMPAIAN DAN DUKUNGAN (DELIVERY AND SUPPORT) DALAM PELAYANAN INFORMASI DENGAN MENGGUNAKAN FRAMEWORK COBIT STUDI KASUS : PT. TELEKOMUNIKASI INDONESIA, TBK. R & D CENTER

Master Theses from JBPTITBPP / 2008-02-14 13:58:20
Oleh : Bambang Djatmiko (NIM 235 04 012) , S2 - Informatics
Dibuat : 2007-03-08, dengan 8 file

Keyword : IT, COBIT, IS audit, maturity, delivery and support, SWOT.
Kepala Subjek : Computer Sciences

Abstrak:

Sama halnya seperti aset organisasi lainnya, sistem informasi (SI) membutuhkan pengelolaan. Agar dapat dikelola maka SI harus dapat dikendalikan. Pengendalian memberikan jaminan yang memadai pada pihak manajemen bahwa unit SI telah berjalan sesuai dengan sasaran bisnis organisasi. Setiap proses SI yang akan dikendalikan membutuhkan pengukuran. Ukuran ini mengindikasikan kinerja SI dalam mencapai sasaran kendali dan memudahkan pihak manajemen untuk melakukan perbaikan terhadap kinerja SI.

Audit SI merupakan wujud dari pengendalian tersebut. COBIT (Control Objectives for Information and Related Technology) merupakan salah satu standar audit SI yang memadukan pandangan bisnis dan Teknologi Informasi (TI) dalam kerangka kerjanya. Sebagai model untuk organisasi SI, maka COBIT memuat kendali yang sifatnya generik.

Tesis ini mengembangkan model audit yang dapat digunakan untuk menilai proses penyampaian dan dukungan pelayanan informasi pada PT. Telekomunikasi Indonesia, Tbk. R and D Center. Penilaian tersebut dilakukan melalui kendali dan indikator kinerja yang merupakan hasil ekstraksi dari COBIT domain DS (delivery and support), disesuaikan dengan kondisi sistem informasi PT. Telekomunikasi Indonesia,Tbk R and D Center. Berdasarkan model tersebut, sebuah kuesioner akan dibentuk untuk mengidentifikasi tingkat maturity PT. Telekomunikasi Indonesia,Tbk R and D Center.

Model IT Governance dan model audit ini dimaksudkan untuk membuat pemetaan proses penyampaian dan dukungan terhadap tingkatan model maturity. Model maturity adalah alat untuk mengukur seberapa baik proses-proses sistem informasi berkembang. Dengan model maturity manajemen dapat mengukur posisi proses sistem informasi yang sekarang dan menilai hal yang diperlukan untuk meningkatkannya. Model maturity terdapat pada setiap proses sistem informasi. Alat yang digunakan untuk memetakan posisi proses sistem informasi adalah dengan menggunakan kuesioner. Kuesioner dibuat dengan menggunakan teknik pengukuran ordinal dengan skala likert.

Berdasarkan hasil pengelolaan interview dan kuesioner yang berkaitan dengan proses TI yang mengacu standar COBIT, menunjukkan pencapaian tingkatan current maturity perusahaan untuk DS1, DS3, DS5, DS7, DS11, dan DS12 mencapai tingkat 3 (defined) artinya bahwa perusahaan melaksanakan proses TI dalam mengelola sistem informasi perusahaan mencapai tarap didokumentasikan dengan baik dan dikomunikasikan kepada pemakai yang membutuhkan dan berhak atas informasi, DS2, DS4, DS8, DS9, DS10, dan DS13 mencapai tingkat 2 (repeatable) artinya perusahaan melaksanakan proses TI standar sistem informasi perusahaan digunakan berulang pada aktivitas yang sama dan unit organisasi yang berbeda dengan mengikuti pola yang teratur, sedangkan DS6 mencapai tingkat 4 (managed) artinya bahwa sistem informasi perusahaan melaksanakan proses TI dalam mengelola sistem informasi perusahaan mencapai pada pengukuran dan pemantauan terhadap kepatuhan prosedur. Dari pencapaian tersebut diukur berdasarkan maturity, CSF, KPI, dan KGI yang menunjukkan bahwa manajemen organisasi harus melakukan pengendalian secara kondusif dan komperehensif pada setiap proses TI dan fungsi sistem informasi perusahaan, karena dibutuhkan keseimbangan pengelolaan teknologi informasi dan sistem informasi perusahaan yang berorientasi pada layanan kebutuhan pemakai.

Selanjutnya untuk memperoleh gambaran yang lebih jelas mengenai keadaan perusahaan berdasarkan audit dari COBIT dibuatlah daftar analisis SWOT (Strengths Weaknesses Opportunities Threats). Dari analisis SWOT dapat diketahui kekuatan perusahaan yaitu karyawan sudah terbiasa menggunakan infrastruktur komputer dan tersedianya fasilitas internet, intranet dan kelemahan perusahaan yaitu Manajer dan pengelola IT tidak melakukan pengelolaan bersama-sama dalam mengelola sumberdaya IT dan infrastruktur IT secara berkesinambungan.

Deskripsi Alternatif :

Abstract:

Like any other assets in organization, Information System (IS) needs to be managed. IS, thus needs to be controlled accordingly. Control gives a reliable assurance to management whether IS unit has aligned with business goal of the organization. Each controlled IS process should be measurable. These measurements were established in such that, it becomes as performance indicator for IS process, and guidance for management to determine which IS process need to be improved.

IS audit is a means for controlling COBIT (Control Objectives for Information and Related Technology) can be employed as a standar for IS auditing. The standar uses both business and Information Technology (IT) perspectives in its framework. As a model for IS organization, COBIT consists of generic controls.

This thesis will develop an audit model to assess process of delivery and support of information service for PT. Telekomunikasi Indonesia, Tbk. R and D Center. Assessment was conducted through controls and performance indicators that were extracted from COBIT domain delivery and support, that suitable for PT. Telekomunikasi Indonesia,Tbk R and D Center information system condition. A questionnaire to identify maturity of the PT. Telekomunikasi Indonesia,Tbk R and D Center will be constructed further, based on the model.

The IT Governance model and the audit of information system are intended to perform the mapping of delivery process and support process of the level of maturity model. Maturity model is a tool to measure how good development of the processes of information system. It also can measure the position of recent information system and evaluate the needed metters to increase. The maturity model exists in every information system process. The tool to map the process of information system questionnaires. They are made by using an ordinal measurement technique with likert scale.

Pursuant to result of questioner and review management related to process IT of COBIT standard. That show, it mention the current maturity levels of the enterprise is DS1,DS3, DS5, DS7, DS11, and DS12 at 3 (defined) its meaning that enterprise execute the IT process in management of enterprise information system to reach a documented better and the communicated for requiring user and the entitled of information, DS2, DS4, DS8, DS9, DS10, and DS13 at 2 (repeatable) its meaning that enterprise execute IT process of enterprise information system standard to use at same activity and units difference in reguler of organization with following reguler pattern, DS6 at 4 (managed) its meaning that enterprise execute the IT process in management of enterprise information system to monitor and measure compliance with procedures. From there is attainment, measuring to use maturity, CSF, KPI, and KGI to indicatet that the organizated management have to do the monitoring by condusive and comprehensive in each IT process and enterprise information system function, because required the IT and enterprise information system management have to balance for orienting to service the requirement of user.

Knowing what the enterprise position actually with an audit from COBIT, analisys SWOT (Strengths Weaknesses Opportunities Threats) the basic item created. The analisys SWOT can know enterprise strengths, that are : that employees execute worked with the computer infrastructure any time by internet, and intranet completely facility. And can know enterprise weaknesses, that are : Manager and IT staff are not together to managed IT resources and IT infrastructure to continuous.

Copyrights : Copyright (c) 2007 STEI ITB. Information Dissemination Right @2008 ITB Central Library Jl. Ganesha 10 Bandung 40132 Indonesia. Verbatim copying and distribution of this entire article is permitted by author in any medium, provided this notice is preserved.

Design of IT government model by COBIT domain delivery

By: Ita Ernala Kaban

Source: http://www.digilib.itb.ac.id/gdl.php?mod=browse&op=read&id=jbptitbpp-gdl-itaernalak-25200


PERANCANGAN MODEL IT GOVERNANCE DAN PENGELOLAAN SISTEM INFORMASI SUMBER DAYA MANUSIA PADA PERGURUAN TINGGI DENGAN MENGGUNAKAN COBIT FRAMEWORK DOMAIN DELIVERY & SUPPORT : Studi Kasus Universitas Pasundan : Abstrak

DESIGN OF IT GOVERNANCE MODEL AND HUMAN RESOURCE INFORMATION SYSTEM MANAGEMENT OF HIGHER EDUCATION INSTITUTION USING COBIT FRAMEWORK DOMAIN DELIVERY & SUPPORT : Case Study Universitas Pasundan : Abstract

Kumpulan Abstrak Tesis – Disertasi Doktor 2005
Master Theses from JBPTITBPP / 2008-05-12 14:11:53
Oleh : Ita Ernala Kaban
NIM. 235 03 048, S2 - Informatics
Dibuat : 2005-00-00, dengan 1 file

Keyword :

IT Governance, model, tertiary educational, human resource information system management


Sumber pengambilan dokumen :

Theses – Informatics Magister Programme ITB

ITB Central Library’s CD Collection

Kode Penyimpanan:

HSC-CD10 ; THESIS-6

Pedoman Penggunaan Tesis:

Tesis S2 yang tidak dipublikasikan terdaftar dan tersedia di Perpustakaan Institut Teknologi Bandung, dan terbuka untuk umum dengan ketentuan bahwa hak cipta ada pada pengarang dengan mengikuti aturan HaKI yang berlaku di Institut Teknologi Bandung. Referensi kepustakaan diperkenankan dicatat, tetapi pengutipan atau peringkasan hanya dapat dilakukan seizin pengarang dan harus disertai dengan kebiasaan ilmiah menyebutkan sumbernya.


Abstrak:

Kemajuan teknologi memberikan banyak keuntungan misalnya penyimpanan, pengiriman, pengaksesan dan pengolahan informasi atau data menjadi semakin cepat. Kemajuan teknologi ini telah menempatkan informasi sebagai salah satu sumber daya yang sangat penting dan perlu untuk dikelola secara baik dan benar.

Tata kelola teknologi informasi Universitas Pasundan sudah dilakukan, akan tetapi belum dikelola dengan menggunakan pendekatan dan metoda terstruktur, sehingga sulit untuk mengukur seberapa besar peranan teknologi informasi dalam mendukung proses bisnis terutama kinerja sumber daya manusia dalam pencapaian tujuan organisasi.

Untuk itu, pada tesis ini dirancang sebuah model pengelolaan TI (IT Governace) dan pengelolaan sistem informasi sumber daya manusia. Model pengelolaan TI dan pengelolaan sistem informasi sumber daya manusia perguruan tinggi diadopsi dari COBIT (Control Objectives for Information dan related Technology) domain Delivery and Support yang menyangkut proses dan aktivitas terkait dengan pemeliharaan dan pemberian dukungan terhadap para stakeholders atau user teknologi informasi.

Model IT Governance dan pengelolaan ini dimaksudkan untuk membuat pemetaan proses delivery & support terhadap tingkat model maturity. Model maturity adalah alat untuk mengukur seberapa baik proses-proses sistem informasi sumber daya manusia berkembang. Dengan model maturity manajemen dapat mengukur posisi proses sistem informasi sumber daya manusia yang sekarang dan menilai hal yang diperlukan untuk meningkatkannya. Model maturity terdapat pada setiap proses sistem informasi sumber daya manusia. Alat yang digunakan untuk memetakan posisi proses sistem informasi sumber daya manusia adalah dengan menggunakan kuesioner. Kuesioner dibuat dengan menggunakan teknik pengukuran ordinal dengan skala likert.

Pada saat ini Universitas Pasundan sedang berupaya merencanakan integrasi dan memaksimalkan pemantauan sumber daya manusia yang dimiliki di setiap program studi menjadi suatu unggulan kompetensi dalam melaksanakan proses bisnis. Masalah yang dihadapi, secara komprehensif belum terdefinisi adanya prosedur baku tertulis yang mencerminkan link kompetensi sumber daya manusia antar program studi di lingkungan Universitas Pasundan. Pengembangan sistem informasi sumber daya manusia masih berfokus pada masing-masing program studi. Pengelolaan TI tidak lepas dari pengawasan kendala-kendala yang mungkin muncul, meliputi : keterlambatan penyajian atau ketidaklengkapan data yang akan diproses, informasi tidak sah, resiko layanan antar unit organisasi, resiko pengawasan, dan keadilan pemenuhan kebutuhan TI belum menyeluruh.

Dalam penelitian ini diusulkan model IT Governance untuk pengelolaan sistem informasi sumber daya manusia, guna mengendalikan ketidaksesuaian antara program yang direncanakan dan pencapaian tujuan aktivitas sumber daya manusia. Untuk mengetahui keseimbangan antara pengelolaan sumber daya TI dan pencapaian tujuan organisasi melalui pengawasan sistem informasi dan resiko yang terkait dengan TI dan untuk stabilisasi kesesuaian sistem informasi sumber daya manusia dilakukan evaluasi dengan pendekatan CSF (Critical Success Factors), KGI (Key Goal Indicators), dan KPI (Key Performance Indicators).

Dari hasil penelitian diharapkan bahwa model IT Governance menggunakan COBIT domain Delivery & Support dapat diterapkan pada proses teknologi informasi dan sistem informasi sumber daya manusia disesuaikan dengan aktivitas di lingkungan perguruan tinggi.

Deskripsi Alternatif :

Abstract:

Technology advances offer many advantages for information and data storage, delivery, access and processing. Technology advances have also placed information as one of the most prominent resources requiring good and proper management.

Information technology management in Pasundan University, although has been implemented, yet has not been managed using structured approach. Thus, it is difficult to measure the roles of Information Technology in supporting business process, especially human resources performance in achieving enterprise objectives.

Thus, this thesis is developed a model for IT Governance and human resource information system management. The model is adopted from COBIT (Control Objectives for Information dan related Technology) Delivery & Support domain, specifying processes and activities related to maintenance and support for information technology, stakeholders, or users.

The IT Governance and management model is intended to map Delivery & Support process on the level of maturity model. A maturity model is a tool to measure how good the processes in human resources is developed. Using this model, the management is able to measure the current position of the human resource information system process and evaluate the required to increase. Maturity model exists on every process of human resource information system. The tool being used to map the position of human resource information system process is questionnaire. The questionnaire is applied using an ordinal measurement technique and likert scale.

At this moment, Pasundan University making the effort to plan integration and maximizing human resource monitoring in each study program become an exeeding interest in executing business process. The problem is comprehensively definition yet has not been written standard procedure expressing human resource interest link between study program in environment of Pasundan University. Development of human resource information system still focus at each study program. Information Technology management do not get out from observation constraints which possible emerge, covering : delay of presentation or incompleteness of data to be processed, illegal information, service risk between organizational unit, observation risk, and justice accomplishment requirement of Information Technology yet has not been totally.

In this research proposed model for IT Governance and human resource information system management, utilize to control inappropriate between planned program and attainment of human resource activity target. It is to know about balanced between Information Technology resource management and attainment of organizational target through observation information system and risk which related to stabilization Information Technology according to human resource information system evaluated with approach of CSF (Critical Success Factors), KGI (Key Goal Indicators), and KPI (Key Performance Indicators).

From this research, it is expected that IT Governance and information system management COBIT Delivery & Support domain are applicable to the information technology process and human resource information system relevant with the activities in tertiary educational institution environment.


Copyrights :

Copyright (c) 2006 ITB Post-Graduate School.

Information Dissemination Right @ 2007 ITB Central Library,
Jl. Ganesha 10 Bandung, 40132, Indonesia.

Verbatim copying and distribution of this entire article is permitted by author to ITB Central Library in any medium, provided this notice is preserved

Perancangan model IT governance - case study: Univ pasundan

By: Ita Ernala Kaban

Source: http://www.digilib.itb.ac.id/gdl.php?mod=browse&op=read&id=jbptitbpp-gdl-itaernalak-25200


PERANCANGAN MODEL IT GOVERNANCE DAN PENGELOLAAN SISTEM INFORMASI SUMBER DAYA MANUSIA PADA PERGURUAN TINGGI DENGAN MENGGUNAKAN COBIT FRAMEWORK DOMAIN DELIVERY & SUPPORT : Studi Kasus Universitas Pasundan : Abstrak

DESIGN OF IT GOVERNANCE MODEL AND HUMAN RESOURCE INFORMATION SYSTEM MANAGEMENT OF HIGHER EDUCATION INSTITUTION USING COBIT FRAMEWORK DOMAIN DELIVERY & SUPPORT : Case Study Universitas Pasundan : Abstract

Kumpulan Abstrak Tesis – Disertasi Doktor 2005
Master Theses from JBPTITBPP / 2008-05-12 14:11:53
Oleh : Ita Ernala Kaban
NIM. 235 03 048, S2 - Informatics
Dibuat : 2005-00-00, dengan 1 file

Keyword :

IT Governance, model, tertiary educational, human resource information system management


Sumber pengambilan dokumen :

Theses – Informatics Magister Programme ITB

ITB Central Library’s CD Collection

Kode Penyimpanan:

HSC-CD10 ; THESIS-6

Pedoman Penggunaan Tesis:

Tesis S2 yang tidak dipublikasikan terdaftar dan tersedia di Perpustakaan Institut Teknologi Bandung, dan terbuka untuk umum dengan ketentuan bahwa hak cipta ada pada pengarang dengan mengikuti aturan HaKI yang berlaku di Institut Teknologi Bandung. Referensi kepustakaan diperkenankan dicatat, tetapi pengutipan atau peringkasan hanya dapat dilakukan seizin pengarang dan harus disertai dengan kebiasaan ilmiah menyebutkan sumbernya.


Abstrak:

Kemajuan teknologi memberikan banyak keuntungan misalnya penyimpanan, pengiriman, pengaksesan dan pengolahan informasi atau data menjadi semakin cepat. Kemajuan teknologi ini telah menempatkan informasi sebagai salah satu sumber daya yang sangat penting dan perlu untuk dikelola secara baik dan benar.

Tata kelola teknologi informasi Universitas Pasundan sudah dilakukan, akan tetapi belum dikelola dengan menggunakan pendekatan dan metoda terstruktur, sehingga sulit untuk mengukur seberapa besar peranan teknologi informasi dalam mendukung proses bisnis terutama kinerja sumber daya manusia dalam pencapaian tujuan organisasi.

Untuk itu, pada tesis ini dirancang sebuah model pengelolaan TI (IT Governace) dan pengelolaan sistem informasi sumber daya manusia. Model pengelolaan TI dan pengelolaan sistem informasi sumber daya manusia perguruan tinggi diadopsi dari COBIT (Control Objectives for Information dan related Technology) domain Delivery and Support yang menyangkut proses dan aktivitas terkait dengan pemeliharaan dan pemberian dukungan terhadap para stakeholders atau user teknologi informasi.

Model IT Governance dan pengelolaan ini dimaksudkan untuk membuat pemetaan proses delivery & support terhadap tingkat model maturity. Model maturity adalah alat untuk mengukur seberapa baik proses-proses sistem informasi sumber daya manusia berkembang. Dengan model maturity manajemen dapat mengukur posisi proses sistem informasi sumber daya manusia yang sekarang dan menilai hal yang diperlukan untuk meningkatkannya. Model maturity terdapat pada setiap proses sistem informasi sumber daya manusia. Alat yang digunakan untuk memetakan posisi proses sistem informasi sumber daya manusia adalah dengan menggunakan kuesioner. Kuesioner dibuat dengan menggunakan teknik pengukuran ordinal dengan skala likert.

Pada saat ini Universitas Pasundan sedang berupaya merencanakan integrasi dan memaksimalkan pemantauan sumber daya manusia yang dimiliki di setiap program studi menjadi suatu unggulan kompetensi dalam melaksanakan proses bisnis. Masalah yang dihadapi, secara komprehensif belum terdefinisi adanya prosedur baku tertulis yang mencerminkan link kompetensi sumber daya manusia antar program studi di lingkungan Universitas Pasundan. Pengembangan sistem informasi sumber daya manusia masih berfokus pada masing-masing program studi. Pengelolaan TI tidak lepas dari pengawasan kendala-kendala yang mungkin muncul, meliputi : keterlambatan penyajian atau ketidaklengkapan data yang akan diproses, informasi tidak sah, resiko layanan antar unit organisasi, resiko pengawasan, dan keadilan pemenuhan kebutuhan TI belum menyeluruh.

Dalam penelitian ini diusulkan model IT Governance untuk pengelolaan sistem informasi sumber daya manusia, guna mengendalikan ketidaksesuaian antara program yang direncanakan dan pencapaian tujuan aktivitas sumber daya manusia. Untuk mengetahui keseimbangan antara pengelolaan sumber daya TI dan pencapaian tujuan organisasi melalui pengawasan sistem informasi dan resiko yang terkait dengan TI dan untuk stabilisasi kesesuaian sistem informasi sumber daya manusia dilakukan evaluasi dengan pendekatan CSF (Critical Success Factors), KGI (Key Goal Indicators), dan KPI (Key Performance Indicators).

Dari hasil penelitian diharapkan bahwa model IT Governance menggunakan COBIT domain Delivery & Support dapat diterapkan pada proses teknologi informasi dan sistem informasi sumber daya manusia disesuaikan dengan aktivitas di lingkungan perguruan tinggi.

Deskripsi Alternatif :

Abstract:

Technology advances offer many advantages for information and data storage, delivery, access and processing. Technology advances have also placed information as one of the most prominent resources requiring good and proper management.

Information technology management in Pasundan University, although has been implemented, yet has not been managed using structured approach. Thus, it is difficult to measure the roles of Information Technology in supporting business process, especially human resources performance in achieving enterprise objectives.

Thus, this thesis is developed a model for IT Governance and human resource information system management. The model is adopted from COBIT (Control Objectives for Information dan related Technology) Delivery & Support domain, specifying processes and activities related to maintenance and support for information technology, stakeholders, or users.

The IT Governance and management model is intended to map Delivery & Support process on the level of maturity model. A maturity model is a tool to measure how good the processes in human resources is developed. Using this model, the management is able to measure the current position of the human resource information system process and evaluate the required to increase. Maturity model exists on every process of human resource information system. The tool being used to map the position of human resource information system process is questionnaire. The questionnaire is applied using an ordinal measurement technique and likert scale.

At this moment, Pasundan University making the effort to plan integration and maximizing human resource monitoring in each study program become an exeeding interest in executing business process. The problem is comprehensively definition yet has not been written standard procedure expressing human resource interest link between study program in environment of Pasundan University. Development of human resource information system still focus at each study program. Information Technology management do not get out from observation constraints which possible emerge, covering : delay of presentation or incompleteness of data to be processed, illegal information, service risk between organizational unit, observation risk, and justice accomplishment requirement of Information Technology yet has not been totally.

In this research proposed model for IT Governance and human resource information system management, utilize to control inappropriate between planned program and attainment of human resource activity target. It is to know about balanced between Information Technology resource management and attainment of organizational target through observation information system and risk which related to stabilization Information Technology according to human resource information system evaluated with approach of CSF (Critical Success Factors), KGI (Key Goal Indicators), and KPI (Key Performance Indicators).

From this research, it is expected that IT Governance and information system management COBIT Delivery & Support domain are applicable to the information technology process and human resource information system relevant with the activities in tertiary educational institution environment.


Copyrights :

Copyright (c) 2006 ITB Post-Graduate School.

Information Dissemination Right @ 2007 ITB Central Library,
Jl. Ganesha 10 Bandung, 40132, Indonesia.

Verbatim copying and distribution of this entire article is permitted by author to ITB Central Library in any medium, provided this notice is preserved

Tinjauan ringkas maturity model dari COBIT

TINJAUAN RINGKAS MATURITY MODEL DARI COBIT

by: agungty

source: http://12oktober.wordpress.com/category/sistem-informasi/

Domain COBIT

Setiap aktivitas dan tugas yang dilaksanakan untuk mencapai hasil yang terukur, dalam kerangka kerja COBIT, dikelompokkan atau diklasifikasikan dalam beberapa process group COBIT. Terdapat 4 (empat) domain COBIT yaitu Plan and Organize, Acquire and Implement, Deliver and Support dan Monitor and Evaluate. Setiap domain tersebut diperjelas dan dijabarkan dalam 34 (tiga puluh empat) obyektif yang diharapkan menjadi acuan COBIT.

  1. Plan and Organize (PO)
    1. PO1 Define a Strategic IT Plan
    2. PO2 Define the Information Architecture
    3. PO3 Determine Technological Direction
    4. PO4 Define the IT Processes, Organisation and Relationships
    5. PO5 Manage the IT Investment
    6. PO6 Communicate Management Aims and Direction
    7. PO7 Manage IT Human Resources
    8. PO8 Manage Quality
    9. PO9 Assess and Manage IT Risks
    10. PO10 Manage Projects
  2. Domain ini berkonsentrasi pada proses perencanaan dan penyesuaian strategi TI dengan strategi perusahaan. Berikut adalah high level control objective dari domain ini :

  3. Acquire and Implement
    1. AI1 Identify Automated Solutions
    2. AI2 Acquire and Maintain Application Software
    3. AI3 Acquire and Maintain Technology Infrastructure
    4. AI4 Enable Operation and Use
    5. AI5 Procure IT Resources
    6. AI6 Manage Changes
    7. AI7 Install and Accredit Solutions and Changes
  4. Domain ini berkonsentrasi pada proses pengadaan dan implementasi TI yang digunakan. Berikut adalah High level control objective-nya meliputi :

  5. Deliver and Support
    1. DS1 Define and Manage Service Levels.
    2. DS2 Manage Third-party Services.
    3. DS3 Manage Performance and Capacity.
    4. DS4 Ensure Continuous Service.
    5. DS5 Ensure Systems Security.
    6. DS6 Identify and Allocate Costs.
    7. DS7 Educate and Train Users.
    8. DS8 Manage Service Desk and Incidents.
    9. DS9 Manage the Configuration.
    10. DS10 Manage Problems.
    11. DS11 Manage Data.
    12. DS12 Manage the Physical Environment.
    13. DS13 Manage Operations.
  6. Domain ini berkonsentrasi pada teknis-teknis yang mendukung terhadap proses pelayanan TI.

  7. Monitor and Evaluate.
    1. ME1 Monitor and Evaluate IT Performance
    2. ME2 Monitor and Evaluate Internal Control
    3. ME3 Ensure Compliance With External Requirements
    4. ME4 Provide IT Governance
  8. Domain ini berkonsetnasi pada monitoring dan evaluasi penerapan TI.

COBIT Maturity Model

Model Maturity untuk COBIT adalah serangkaian level maturity sebagai profile proses-proses TI yang mampu dimengerti
oleh Enterprise tentang kondisi sekarang dan kondisi masa depan yang ingin dicapai. Model maturity COBIT bukan modelthreshold , level maturity COBIT tidak akan bisa meningkat bila syarat dan kondisi dilevel bawahnya dipenuhi terlebih dahulu. Model maturity COBIT tidak digunakan untuk meneliti dengan persis suatu level telah tercapai, namun lebih ditujukan sebagai acuan kondisi yang relevan terhadap beberapa level maturity .

Maturity model untuk setiap proses COBIT, digunakan untuk mengidentifikasi :

  1. Unjuk kerja aktual Enterprise – Where Enterprise Today ?
  2. Status terkini industri – The Comparison ?
  3. Target peningkatan Enterprise – Where Enteprise wants to be?
  4. Jalur pertumbuhan yang dibutuhkan – dari kondisi “as-is” ke kondisi “to-be”.

Untuk memudahkan penggunaan hasil penilaian maturity model bagi manajemen, maka sebagai berikut adalah grafiknya.

figure1

Gambar 1. Tingkat penilaian Maturity Model.

Penjelasan Gambar 1 :

Non Existent : Enterprise tidak memiliki proses terhadap isu apapun alias tidak ada isu yang dibahas.
Initial/adhoc : Terdapat bukti bahwa Enterprise telah mengenali bahwa terdapat isu TI yang ada dan harus ditangani. Namun bagaimanapun juga tidak ada proses standard untuk menangani isu TI itu. Namun sebaliknya ada proses yang menjadi pendekatan ad-hoc yang diaplikasikan pada kasus individual atau kasus demi kasus secara terpisah-pisah. Pendekatan manajemen yang menyeluruh masih belum terorganisasi dengan baik.
Repeatable but Intuitive : Proses prosedur yang ada telah dikembangkan sedemikian rupa sehingga juga diikuti oleh orang lain yang melakukan pekerjaan yang sama. Namun belum ada pelatihan formal atau prosedur standar komunikasi yang dipakai dan juga pertanggung-jawaban masih bersifat individual. Pada level ini, terdapat ketergantungan terhadap keahlian individual sehingga terjadinya kesalahan masih besar kemungkinan terjadi.
Defined Process : Prosedur kerja telah distandarisasi dan didokumentasikan serta dikomunikasikan melalui proses-proses pelatihan. Telah dimandatkan pula, bahwa prosedur ini wajib dipatuhi, namun bagaimanapun juga ada deviasi prosedur dalam pelaksanaannya yang belum diakomodasi. Prosedur itu sendiri masih belum memuaskan
Managed and Measurable : Manajemen memonitor dan mengukur kepatuhan (compliance) dengan prosedur dan mengambil suatu tindakan bila nampak suatu proses tidak berjalan secara efektif. Proses-proses di dalam Enterprise selalu dalam ditingkatkan dan menyediakan hasil yang baik. Otomatisasi dan tools digunakan secara terbatas atau terpecah-pecah.
Optimised : Proses yang telah berada pada level praktek yang amat baik, berdasarkan pada hasil continous improvement dan pemodelan maturity dari Enterprise yang lain. TI digunakan sebagai cara integrasi yang mengotomatisasi workflow, menyediakan tools untuk peningkatan kualitas dan keefektifan, sehingga membuat Enterprise cepat beradaptasi.

Maturity model adalah suatu metode untuk mengukur level pengembangan manajemen proses, yang berarti adalah mengukur sejauh mana kapabilitas manajemen tersebut. Seberapa bagusnya pengembangan atau kapabilitas manajemen tergantung pada tercapainya tujuan-tujuan COBIT yang . Sebagai contoh adalah ada beberapa proses dan sistem kritikal yang membutuhkan manajemen keamanan yang lebih ketat dibanding proses dan sistem lain yang tidak begitu kritikal. Di sisi lain, derajat dan kepuasan pengendalian yang dibutuhkan untuk diaplikasikan pada suatu proses adalah didorong pada selera resiko Enterprise dan kebutuhan kepatuhan yang diterapkan.

Penerapan yang tepat pada tata kelola TI di suatu lingkungan Enterprise, tergantung pada pencapaian tiga aspek maturity (kemampuan, jangkauan dan kontrol). Peningkatan maturity akan mengurangi resiko dan meningkatkan efisiensi, mendorong berkurangnya kesalahan dan meningkatkan kuantitas proses yang dapat diperkirakan kualitasnya dan mendorong efisiensi biaya terkait dengan penggunaan sumber daya TI.

Keywords : COBIT, Tata Kelola TI, COBIT Maturity Model.

Riwayat Penulis

Agung Trika Yoosnanto, dilahirkan di kota Surakarta Jawa Tengah, tahun 1978. Pendidikan terakhir pada Magister Teknik Elektro ITB Bandung. Mendalami bidang :

  • Pengadaan Barang dan Jasa.
  • Manajemen Pengembangan Karir dan SDM.
  • Manajemen Teknologi Informasi terutama pada Arsitektur TI dan Manajemen Sumber Daya TI serta Business Continuity Planning .

Penerapan Praktis Software Security

April 26, 2008

Dari perencanaan berbasis SDLC dengan konsep keamanan perangkat lunak maka dapat diturunkan menjadi beberapa pekerjaan yang harus diperhatikan oleh institusi pemilik Aplikasi Sistem Informasi yaitu :

  1. Pekerjaan Pengamanan Fisik
  2. Pekerjaan Pengamanan terhadap personel proyek Aplikasi
  3. Pekerjaan Pengamanan terhadap media, data, teknik dan komunikasi

selama proyek aplikasi. Bila diklasifikasikan berdasarkan elemen penyusun suatu sistem teknologi

informasi maka pekerjaan diatas akan menyangkut pada 3 (tiga) hal yaitu :

  1. Network Security, Fokus pada media pembawa komunikasi data, misalnya LAN, WAN.
  2. Computer Security. Fokus pada perangkat lunak sistem operasi dan perangkat keras komputer
  3. Application Security, Fokus pada perangkat lunak Aplikasi, yaitu perangkat lunak yang digunakan untuk pekerjaan institusi.

Selama proses pekerjaan pengembangan aplikasi tersebut maka berikut ini

adalah hal-hal yang harus diperhatikan oleh tim imbangan proyek yang berasal dari Institusi pemilik Aplikasi yaitu :

  1. Kerahasiaan – Privacy and Confidentiality

Data dan Informasi pelanggan harus dirahasiakan by default, kecuali untuk

personel yang berhak. Pada beberapa Aplikasi Sistem Informasi seperti

Aplikasi Sistem Informasi Rumah Sakit, Aplikasi Sistem Informasi STNK

maka data pelanggan menjadi sangat kritikal karena menyangkut nyawa

dan harta benda seseorang yang harus dilindungi.

  1. Integrity

Data dan Informasi pelanggan tidak boleh dirubah tanpa prosedur yang ditentukan dalam peraturan dan perundangan yang berlaku bagi institusi tersebut.

Pada tahap arsitektur dan desain, aspek integrity sudah wajib dimasukkan hingga tahap implementasi. Pada tinjauan desain dan arsitektur hingga pekerjaan pengetesan di implementasi harus menunjukkan bukti bahwa aspek integrity sudah terjamin.

  1. Authentication
    • Bagaimana mengenali pembayar pajak pada servis Online Tax Payment? Padahal tidak ada atau sangat sedikit kontak terhadap si pembayar pajak

· Menggunakan:

1. what you have (identity card)

2. what you know (password, PIN)

3. what you are (biometric identity)

  1. Availability

Pada tahap desain sistem, harus dimasukkan tentang bagaimana availability sistem terjamin, dengan memasukkan berbagai kemungkinan yang terjadi yang dapat menghilangkan kemampuan availability Aplikasi Sistem Informasi. Pada tahap pengetesan, kemampuan availability tersebut harus diuji dan harus dapat dibuktikan bahwa pada kondisi apa saja aplikasi dapat tersedia, pada kondisi apa saja aplikasi tidak tersedia dan bagaimana bila aplikasi tersebut dalam keadaan running tiba-tiba terjadi kondisi yang seharusnya tidak terjadi.

  1. Non-Repudiation

Aplikasi Sistem Informasi membutuhkan hal ini, apalagi bila aplikasi

tersebut sudah online internet. Keamanan dari sisi aspek ini harus

menjamin bahwa data jejak digital tersebut tidak dirubah dengan sengaja maupun tidak sengaja.

Pada beberapa sistem database, biasanya tersedia transaction log , fasilitas ini dapat dimanfaatkan untuk penjejakan user.

  1. Access Control

Aplikasi Sistem Informasi harus mengatur aspek access control, agar dijamin bahwa proses bisnis dan data dijalankan oleh orang atau personel yang mempunyai wewenang.

Biasanya pada institusi, dikenal istilah Tupoksi singkatan dari tugas pokok dan fungsi, Tupoksi ini dapat digunakan untuk menyusun Access Control Aplikasi Sistem Informasi.

Labels:

Bagaimana Audit IT dilakukan

By: anantopriyadi

Source: http://anantopriyadi.multiply.com/journal/item/34

Audit TI merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien (Weber, 2000). Audit TI sendiri merupakan gabungan dari berbagai macam ilmu, antara lain: Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science.

Pada dasarnya, Audit TI dapat dibedakan menjadi dua kategori, yaitu Pengendalian Aplikasi (Application Control) dan Pengendalian Umum (General Control). Tujuan pengendalian umum lebih menjamin integritas data yang terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas program atau aplikasi yang digunakan untuk melakukan pemrosesan data. Sementara, tujuan pengendalian aplikasi dimaksudkan untuk memastikan bahwa data di-input secara benar ke dalam aplikasi, diproses secara benar, dan terdapat pengendalian yang memadai atas output yang dihasilkan.

Dalam audit terhadap aplikasi, biasanya, pemeriksaan atas pengendalian umum juga dilakukan mengingat pengendalian umum memiliki kontribusi terhadap efektifitas atas pengendalian-pengendalian aplikasi.

Dalam praktiknya, tahapan-tahapan dalam audit TI tidak berbeda dengan audit pada umumnya. Tahapan perencanaan, sebagai suatu pendahuluan, mutlak perlu dilakukan agar auditor mengenal benar objek yang akan diperiksa. Di samping, tentunya, auditor dapat memastikan bahwa qualified resources sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktik-praktik terbaik ( best practices ). Tahapan perencanaan ini akan menghasilkan suatu program audit yang didesain sedemikian rupa, sehingga pelaksanaannya akan berjalan efektif dan efisien, dan dilakukan oleh orang-orang yang kompeten, serta dapat diselesaikan dalam waktu sesuai yang disepakati.

Dalam pelaksanaannya, auditor TI mengumpulkan bukti-bukti yang memadai melalui berbagai teknik termasuk survei, interview, observasi dan review dokumentasi (termasuk review source-code bila diperlukan).

Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya mencakup pula bukti elektronis (data dalam bentuk file softcopy). Biasanya, auditor TI menerapkan teknik audit berbantuan komputer, disebut juga dengan CAAT (Computer Aided Auditing Technique). Teknik ini digunakan untuk menganalisa data, misalnya saja data transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain.

Sesuai dengan standar auditing ISACA (Information Systems Audit and Control Association), selain melakukan pekerjaan lapangan, auditor juga harus menyusun laporan yang mencakup tujuan pemeriksaan, sifat dan kedalaman pemeriksaan yang dilakukan. Laporan ini juga harus menyebutkan organisasi yang diperiksa, pihak pengguna laporan yang dituju dan batasan-batasan distribusi laporan. Laporan juga harus memasukkan temuan, kesimpulan, rekomendasi sebagaimana layaknya laporan audit pada umumnya.

Studi Kasus

Sebuah Bank Swasta terkemuka menunjuk tim audit TI Ernst & Young untuk melakukan review atas penerapan sistem Perbankan yang terintegrasi. Pemeriksaan ini terbagi dalam dua fase. Pada fase pertama mencakup kegiatan, sebagai berikut:

1. Manajemen Proyek

Melakukan review atas manajemen proyek untuk memastikan bahwa semua outcome yang diharapkan tertuang dalam rencana proyek. Pada tahapan ini, auditor TI melakukan review atas project charter, sumber daya yang akan digunakan, alokasi penugasan dan analisa tahapan pekerjaan proyek.

2. Desain Proses dan Pengendalian Kontrol Aplikasi

Review mengenai desain pengendalian dalam modul-modul Perbankan tersebut, yaitu pinjaman dan tabungan. Untuk itu dilakukan review atas desain proses dimana auditor mengevaluasi proses, risiko dan pengendalian mulai dari tahapan input, proses maupun output.

3. Desain Infrastruktur

Review ini mencakup analisa efektivitas dan efisiensi desain infrastruktur pendukung (server, workstation, sistem operasi, database dan komunikasi data).

Hasil follow up dijadikan dasar oleh manajemen untuk memulai implementasi sistem Perbankan yang terintegrasi tersebut.

Berdasarkan nilai tambah yang diberikan melalui rekomendasi pada fase pertama, perusahaan menunjuk kembali auditor untuk melakukan review fase kedua secara paralel pada saat implementasi dilakukan, yaitu review terhadap:

  • Migrasi data, pada saat “roll-out” ke cabang-cabang, termasuk kapasitas pemrosesan dan penyimpanannya.
  • Aspek lainnya termasuk persiapan help-desk , contingency dan security .
  • Kesiapan pemakai dalam menggunakan sistem ini, kualitas pelatihan yang diberikan dan dokumentasi pengguna ( user manual )
  • Prosedur-prosedur manajemen perubahan ( change management ) dan testing

Auditor selanjutnya diminta memberikan saran mengenai risiko-risiko yang masih tersisa, sebelum manajemen memutuskan sistem barunya dapat “go-live”.

SIDE BAR

Standar (COBIT)

Control Objectives for Information and related Technology (COBIT, saat ini edisi ke-3) adalah sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen and pengguna ( user ) untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis.

COBIT dikembangkan oleh IT Governance Institute, yang merupakan bagian dari Information Systems Audit and Control Association (ISACA). COBIT memberikan arahan ( guidelines ) yang berorientasi pada bisnis, dan karena itu business process owners dan manajer, termasuk juga auditor dan user, diharapkan dapat memanfaatkan guideline ini dengan sebaik-baiknya.

Kerangka kerja COBIT ini terdiri atas beberapa arahan ( guidelines ), yakni:

Control Objectives: Terdiri atas 4 tujuan pengendalian tingkat-tinggi ( high-level control objectives ) yang tercermin dalam 4 domain, yaitu: planning & organization , acquisition & implementation , delivery & support , dan monitoring .

Audit Guidelines: Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci ( detailed control objectives ) untuk membantu para auditor dalam memberikan management assurance dan/atau saran perbaikan.

Management Guidelines: Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut:

  • Sejauh mana Anda (TI) harus bergerak, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.
  • Apa saja indikator untuk suatu kinerja yang bagus?
  • Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses ( critical success factors )?
  • Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan?
  • Bagaimana dengan perusahaan lainnya – apa yang mereka lakukan?
  • Bagaimana Anda mengukur keberhasilan dan bagaimana pula membandingkannya.

The COBIT Framework memasukkan juga hal-hal berikut ini:

  • Maturity Models – Untuk memetakan status maturity proses-proses TI (dalam skala 0 - 5) dibandingkan dengan “the best in the class in the Industry” dan juga International best practices
  • Critical Success Factors (CSFs) – Arahan implementasi bagi manajemen agar dapat melakukan kontrol atas proses TI.
  • Key Goal Indicators (KGIs) – Kinerja proses-proses TI sehubungan dengan business requirements
  • Key Performance Indicators (KPIs) – Kinerja proses-proses TI sehubungan dengan process goals

COBIT dikembangkan sebagai suatu generally applicable and accepted standard for good Information Technology (IT) security and control practices . Istilah “ generally applicable and accepted ” digunakan secara eksplisit dalam pengertian yang sama seperti Generally Accepted Accounting Principles (GAAP).

Sedang, COBIT's “good practices” mencerminkan konsensus antar para ahli di seluruh dunia. COBIT dapat digunakan sebagai IT Governance tools, dan juga membantu perusahaan mengoptimalkan investasi TI mereka. Hal penting lainnya, COBIT dapat juga dijadikan sebagai acuan atau referensi apabila terjadi suatu kesimpang-siuran dalam penerapan teknologi.

Suatu perencanaan Audit Sistem Informasi berbasis teknologi (audit TI) oleh Internal Auditor, dapat dimulai dengan menentukan area-area yang relevan dan berisiko paling tinggi, melalui analisa atas ke-34 proses tersebut. Sementara untuk kebutuhan penugasan tertentu, misalnya audit atas proyek TI, dapat dimulai dengan memilih proses yang relevan dari proses-proses tersebut.

Lebih lanjut, auditor dapat menggunakan Audit Guidelines sebagai tambahan materi untuk merancang prosedur audit. Singkatnya, COBIT khususnya guidelines dapat dimodifikasi dengan mudah, sesuai dengan industri, kondisi TI di Perusahaan atau organisasi Anda, atau objek khusus di lingkungan TI.

Selain dapat digunakan oleh Auditor, COBIT dapat juga digunakan oleh manajemen sebagai jembatan antara risiko-risiko TI dengan pengendalian yang dibutuhkan (IT risk management) dan juga referensi utama yang sangat membantu dalam penerapan IT Governance di perusahaan.

SIDE BAR

Audit TI: Sebelum atau Sesudah

Seiring dengan makin banyaknya institusi, baik pemerintahan maupun swasta, yang mengandalkan TI untuk mendukung jalannya operasional sehari-hari, maka kesadaran akan perlunya dilakukan review atas pengembangan suatu sistem informasi semakin meningkat.

Risiko-risiko yang mungkin ditimbulkan sebagai akibat dari gagalnya pengembangan suatu sistem informasi, antara lain:

  • Biaya pengembangan sistem melampaui anggaran yang ditetapkan.
  • Sistem tidak dapat diimplementasikan sesuai dengan jadwal yang ditetapkan.
  • Sistem yang telah dibangun tidak memenuhi kebutuhan pengguna.
  • Sistem yang dibangun tidak memberikan dampak effisiensi dan nilai ekonomis terhadap jalannya operasi institusi, baik pada masa sekarang maupun masa datang.
  • Sistem yang berjalan tidak menaati perjanjian dengan pihak ketiga atau memenuhi aturan yang berlaku.

Untuk mengantisipasi hal itu, perusahaan menginginkan adanya assurance dari pihak yang berkompeten dan independen mengenai kondisi sistem TI yang akan atau sedang mereka gunakan. Pihak yang paling berkompeten dan memiliki keahlian untuk melakukan review tersebut adalah Auditor Sistem Informasi (Auditor TI).

Pekerjaan auditor TI ini belum banyak dikenal di Indonesia . Di samping itu, jumlah tenaga auditor TI yang menyandang sertifikasi Internasional ( CISA, Certified Information System Auditor ) juga masih sangat terbatas.

Best Practice menyarankan agar dalam proses pengembangan suatu sistem informasi yang signifikan, perlu dilakukan review, baik itu sebelum atau pada saat implementasi ( pre-implementation system ), maupun setelah sistem “live” ( post-implementation system ).

Manfaat Pre-Implementation Review:

  • Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria.
  • Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
  • Mengetahui apakah outcome sesuai dengan harapan manajemen.

Manfaat Post-Implementation Review:

  • Institusi mendapat masukan atas risiko-risiko yang masih ada dan saran untuk penanganannya.
  • Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis dan anggaran pada periode berikutnya.
  • Bahan untuk perencanaan strategis dan rencana anggaran di masa datang.
  • Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan.
  • Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwenang untuk melakukan pemeriksaan.
  • Membantu dalam penilaian apakah initial proposed values telah terealisasi dan saran tindak lanjutnya.

Source : www.ebizzasia.com Volume II, tahun 2004

COBIT 4.0: Pembaharuan Utama Standar Inernasional
Dapat Menolong Bisnis Meningkatkan Nilai IT, Menurunkan Resiko

Rolling Meadows, Ill, USA, 14 Desember -- Lembaga Pengaturan IT (IT Governance Institute, ITGI) pada 16 Desember 2005, akan memperbaharui tujuan pengontrolan informasi dan teknologi yang terkait (COBIT), suatu kerangka kerja pengaturan IT yang dapat diterima secara internasional.

COBIT dapat menyediakan seperangkat praktek yang dapat diterima pada umumnya karena dapat membantu para direktur, eksekutif dan manager meningkatkan nilai IT dan mengecilkan resiko.

"Para eksekutif menyadari bahwa dampak informasi dapat menjadikan jalan perusahaan mereka ke arah keberhasilan dan tanggungjawab pengaturan yang meningkat yang mereka miliki untuk menjamin adanya keberhasilan," ujar Erik Guldentops, CISA, CISM, seorang konsultan manajemen di Brussels, Belgia dan juga anggota tim pengembangan COBIT sejak berdirinya.

Edisi COBIT terbaru memberikan praktek dan hubungan ke atas terbaik untuk menunjang persyaratan pengelolaan IT bagi para eksekutif dan direktur dan yang berkaitan dengan hubungan ke bawah digunakan untuk mengatasi persyaratan yang lebih rinci bagi mereka yang bertanggungjawab terhadap solusi dan jasa pengiriman. Ini semua juga memberikan dukungan agar dapat mengoptimalkan investasi IT, menjamin nilai pengiriman dan meringankan resiko IT dengan cara yang lebih transparan.

Walaupun COBIT juga digunakan secara luas sebagai alat untuk keperluan Sarbanes-Oxley (SOX), edisi awalnya mencakup banyak masalahpengendalian aturan termasuk juga SOX. Ia merupakan produk yang diperoleh melalui penelitian dan kerjasama selama 10 tahun antara ahli IT global dan bisnis dan juga sudah tersedia sebagai standar terbuka www.isaca.org/cobit.

Edisi terbaru -- COBIT 4.0 memberikan fokus bisnis yang cukup kuat untuk mengatasi tanggungjawab para direktur dan pegawai. COBIT 4.0 menandai pembaharuan pertama dari isi COBIT sejak dirilisnya edisi COBIT ketiga di tahun 2000. Edisi pertama diterbitkan di tahun 1994. Studi kasus pelaksanaan COBIT di organisasi internasional utama misalnya Unisys, Sun Microsystems dan DPR Amerika juga terdapat di http://www.isaca.org/cobitcasestudies.

"COBIT 4.0 tidak kelihatan seperti sebuah buku akademik. Ada materi yang cukup berguna pada setiap halaman," ujar Christopher Fox, ACA. "COBIT 4.0 mampu menjadi sebuah dokumen yang sangat bermanfaat."

COBIT 4.0 ini juga mencakup bimbingan bagi para direktur dan semua level manajemen dan terdiri atas empat seksi:

  • Gambaran luas mengenai eksekutif
  • Kerangka kerja
  • Isi utama (tujuan pengendalian, petunjuk manajemen dan model kedewasaan)
  • Appendiks (pemetaan, ajuan silang dan daftar kata-kata)

Isi utama dibagi lagi menurut proses 34 IT dan memberikan gambaran yang sempurna mengenai cara mengendalikan, mengelola dan mengukur masing-masing proses.

Selain itu, COBIT 4.0:

  • Menganalisa bagaimana tujuan pengendalian dapat dipetakan ke dalam lima wilayah penentuan IT agar dapat mengidentifikasi gap potensial.
  • Menyesuaikan dan memetakan COBIT ke standar yang lain (ITIL, CMM, COSO, PMBOK, ISF and ISO 17799)
  • Mengklarifikasikan indikator tujuan utama (KGI) dan indikator hubungan kinerja utama (KPI), dengan mengenal bagaimana KPI dapat bergerak mencapai KGI.
  • Menghubungkan tujuan bisnis, IT and proses IT (penelitian mendalam di delapan industri dengan pandangan yang lebih jelas tentang bagaimana proses COBIT mendukung tercapainya tujuan IT spesifik dan dengan perluasan, tujuan bisnis).

COBIT 4.0 bisa menggantikan komponen edisi ketiga yang menyangkut Ringkasan Eksekutif, Kerangka kerja, Tujuan Pengontrolan dan Petunjuk Manajemen. Pekerjaan sedang dilakukan agar bisa mengatasi petunjuk Audit.

Perkenalan COBIT 4.0 tetap akan melakukan pekerjaan yang dilakukan oleh COBIT edisi ketiga, tetapi hanya memberikan kesempatan untuk membangun pekerjaan itu dan selanjutkan meningkatkan penentuan IT dan pengendaliannya bila cocok.

Banyak COBIT tersedia untuk dapat melakukan download di http://www.isaca.org/cobit. Salinan cetak dapat dibeli di toko buku ISACA (http://www.isaca.org/bookstore) sebesar US $190. Situs pelengkap yang menawarkan pandangan mendalam mengenai COBIT 4.0 sudah tersedia di http://www.livemeeting.com/cc/isaca/view.

Tentang COBIT
COBIT® (Tujuan pengendalian bagi informasi dan teknologi terkait®)) dikeluarkan oleh ITGI dapat diterima secara internasional sebagai praktek pengendalian atas informasi, IT dan resiko terkait. COBIT digunakan untuk menjalankan penentuan atas IT dan meningkatkan pengontrolan IT. COBIT juga berisi tujuan pengendalian, petunjuk audit, kinerja dan hasil metrik, faktor kesuksesan dan model kedewasaan.

Tentang ITGI
Lembaga Pengaturan IT® (IT Governance Institute, ITGI) (http://www.itgi.org) didirikan pada tahun 1998 untuk memajukan pemikiran dan standar internasional dalam mengarahkan dan mengendalikan teknologi informasi sebuah perusahaan. Pengaturan IT yang efektif dapat membantu meyakinkan bahwa IT sangat mendukung tujuan bisnis dan mengelola resiko yang berkaitan dengan IT dan kesempatan. Lembaga Pengaturan IT mengembangkan tujuan pengendalian bagi informasi dan teknologi terkait (COBIT) serta menawarkan penelitian dan studi kasus untuk membantu pengelola perusahaan dan para direktur dalam tanggungjawab pengaturan IT.

Source : www.isaca.org

IT Audit Guideline Based on COBIT 4.1

November 15th, 2007 in SBSA, Agenda (detail)

sbsaitdes07.jpgCOBIT dikenal sebagai best practice dalam membangun framework kontrol dan IT audit baik diadopsi sebagian maupun seluruhnya. Workshop STEP BY STEP APPROACH kali ini mengajak para top executive dan manager perusahaan-perusahaan di Indonesia untuk mendiskusikan bagaimana melakukan langkah-langkah audit dengan berdasar pada COBIT 4.1.

Pertama, memahami framework COBIT 4.1 secara umum. Kedua, memahami framework audit dengan menggunakan COBIT 4.1. Ketiga, mendiskusikan langkah-langkah konkrit audit secara step-by-step dalam kajian studi kasus : mengidentifikasi tujuan dan ruang lingkup, pemetaan tujuan, identifikasi risiko, menentukan kriteria informasi, mengidentifikasi/memilih proses IT, mengidentifikasi benchmark, assessment, analisis gap, penyusunan program implementasi, dan pelaporan.

Diskusi antara para top executive dan nara sumber dalam WORKSHOP STEP BY STEP APPROACH ini diharapkan memberikan gambaran langkah-langkah nyata bagi perusahaan-perusahaan di Indonesia untuk melakukan self assessment tentang IT Governance-nya. Dan semoga melalui langkah-langkah ini membuat pencapaian Good Corporate IT Governance makin nyata!

Lingkup kriteria informasi yang sering menjadi perhatian dalam COBIT adalah:

* Effectiveness
Menitikberatkan pada sejauh mana efektifitas informasi dikelola dari data-data yang diproses oleh sistem informasi yang dibangun.

* Efficiency
Menitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh sistem.

* Confidentiality
Menitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis.

* Integrity
Menitikberatkan pada integritas data/informasi dalam sistem.

* Availability
Menitikberatkan pada ketersediaan data/informasi dalam sistem informasi.

* Compliance
Menitikberatkan pada kesesuaian data/informasi dalam sistem informasi.

* Reliability

Menitikberatkan pada kemampuan/ketangguhan sistem informasi dalam pengelolaan data/informasi.


Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi dalam COBIT adalah pada:

* Applications
* Information
* Infrastructure
* People

Hal yang menarik dari COBIT adalah adanya versi khusus untuk skala usaha kecil-menengah (UKM) yang disebut COBIT Quickstart.