Studi Kasus
Sebuah Bank Swasta terkemuka menunjuk tim audit TI Ernst &
Young untuk melakukan review atas penerapan sistem Perbankan yang terintegrasi.
Pemeriksaan ini terbagi dalam dua fase. Pada fase pertama mencakup kegiatan,
sebagai berikut:
1. Manajemen Proyek
Melakukan review atas
manajemen proyek untuk memastikan bahwa semua outcome yang diharapkan tertuang
dalam rencana proyek. Pada tahapan ini, auditor TI melakukan review atas
project charter, sumber daya yang akan digunakan, alokasi penugasan dan analisa
tahapan pekerjaan proyek.
2. Desain Proses dan
Pengendalian Kontrol Aplikasi
Review mengenai desain
pengendalian dalam modul-modul Perbankan tersebut, yaitu pinjaman dan tabungan.
Untuk itu dilakukan review atas desain proses dimana auditor mengevaluasi
proses, risiko dan pengendalian mulai dari tahapan input, proses maupun output.
3. Desain Infrastruktur
Review ini mencakup
analisa efektivitas dan efisiensi desain infrastruktur pendukung (server,
workstation, sistem operasi, database dan komunikasi data).
Hasil follow up
dijadikan dasar oleh manajemen untuk memulai implementasi sistem Perbankan yang
terintegrasi tersebut.
Berdasarkan nilai tambah
yang diberikan melalui rekomendasi pada fase pertama, perusahaan menunjuk
kembali auditor untuk melakukan review fase kedua secara paralel pada saat
implementasi dilakukan, yaitu review terhadap:
- Migrasi data, pada saat
“roll-out” ke cabang-cabang, termasuk kapasitas pemrosesan dan
penyimpanannya.
- Aspek lainnya termasuk
persiapan help-desk , contingency dan security .
- Kesiapan pemakai dalam
menggunakan sistem ini, kualitas pelatihan yang diberikan dan dokumentasi
pengguna ( user manual )
- Prosedur-prosedur manajemen
perubahan ( change management ) dan testing
Auditor selanjutnya
diminta memberikan saran mengenai risiko-risiko yang masih tersisa, sebelum
manajemen memutuskan sistem barunya dapat “go-live”. Isnaeni Achdiat
Standar (COBIT)
Control Objectives for
Information and related Technology (COBIT, saat ini edisi ke-3) adalah sekumpulan
dokumentasi best practices untuk IT governance yang
dapat membantu auditor, manajemen and pengguna ( user ) untuk
menjembatani gap antara risiko bisnis, kebutuhan kontrol dan
permasalahan-permasalahan teknis.
COBIT dikembangkan oleh
IT Governance Institute, yang merupakan bagian dari Information Systems
Audit and Control Association (ISACA). COBIT memberikan arahan ( guidelines )
yang berorientasi pada bisnis, dan karena itu business process
owners dan manajer, termasuk juga auditor dan user, diharapkan dapat
memanfaatkan guideline ini dengan sebaik-baiknya.
Kerangka kerja COBIT ini
terdiri atas beberapa arahan ( guidelines ), yakni:
Control
Objectives: Terdiri atas 4 tujuan pengendalian tingkat-tinggi ( high-level
control objectives ) yang tercermin dalam 4 domain, yaitu: planning
& organization , acquisition & implementation , delivery
& support , dan monitoring .
Audit Guidelines: Berisi sebanyak 318
tujuan-tujuan pengendalian yang bersifat rinci (detailed control
objectives ) untuk membantu para auditor dalam memberikan management
assurance dan/atau saran perbaikan.
Management
Guidelines: Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja
yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan
berikut:
- Sejauh mana Anda (TI) harus
bergerak, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang
dihasilkannya.
- Apa saja indikator untuk suatu
kinerja yang bagus?
- Apa saja faktor atau kondisi
yang harus diciptakan agar dapat mencapai sukses (critical success
factors )?
- Apa saja risiko-risiko yang
timbul, apabila kita tidak mencapai sasaran yang ditentukan?
- Bagaimana dengan perusahaan
lainnya – apa yang mereka lakukan?
- Bagaimana Anda mengukur
keberhasilan dan bagaimana pula membandingkannya.
The COBIT
Framework memasukkan juga hal-hal berikut ini:
- Maturity Models – Untuk memetakan status
maturity proses-proses TI (dalam skala 0 - 5) dibandingkan dengan
“the best in the class in the Industry” dan juga International
best practices
- Critical Success Factors (CSFs) – Arahan implementasi
bagi manajemen agar dapat melakukan kontrol atas proses TI.
- Key Goal Indicators (KGIs) – Kinerja proses-proses
TI sehubungan dengan business requirements
- Key Performance
Indicators (KPIs)
– Kinerja proses-proses TI sehubungan denganprocess goals
COBIT dikembangkan
sebagai suatu generally applicable and accepted standard for good
Information Technology (IT) security and control practices . Istilah
“ generally applicable and accepted ” digunakan secara
eksplisit dalam pengertian yang sama seperti Generally Accepted
Accounting Principles (GAAP).
Sedang, COBIT's “good
practices” mencerminkan konsensus antar para ahli di seluruh dunia. COBIT dapat
digunakan sebagai IT Governance tools, dan juga membantu perusahaan mengoptimalkan
investasi TI mereka. Hal penting lainnya, COBIT dapat juga dijadikan sebagai
acuan atau referensi apabila terjadi suatu kesimpang-siuran dalam penerapan
teknologi.
Suatu perencanaan Audit
Sistem Informasi berbasis teknologi (audit TI) oleh Internal Auditor, dapat
dimulai dengan menentukan area-area yang relevan dan berisiko paling tinggi,
melalui analisa atas ke-34 proses tersebut. Sementara untuk kebutuhan penugasan
tertentu, misalnya audit atas proyek TI, dapat dimulai dengan memilih proses
yang relevan dari proses-proses tersebut.
Lebih lanjut, auditor
dapat menggunakan Audit Guidelines sebagai tambahan materi untuk merancang
prosedur audit. Singkatnya, COBIT khususnya guidelines dapat dimodifikasi
dengan mudah, sesuai dengan industri, kondisi TI di Perusahaan atau organisasi
Anda, atau objek khusus di lingkungan TI.
Selain dapat digunakan
oleh Auditor, COBIT dapat juga digunakan oleh manajemen sebagai jembatan antara
risiko-risiko TI dengan pengendalian yang dibutuhkan (IT risk management) dan
juga referensi utama yang sangat membantu dalam penerapan IT Governance di
perusahaan. IS
Audit TI
Seiring dengan makin
banyaknya institusi, baik pemerintahan maupun swasta, yang mengandalkan TI
untuk mendukung jalannya operasional sehari-hari, maka kesadaran akan perlunya
dilakukan review atas pengembangan suatu sistem informasi semakin meningkat.
Risiko-risiko yang
mungkin ditimbulkan sebagai akibat dari gagalnya pengembangan suatu sistem
informasi, antara lain:
- Biaya pengembangan sistem
melampaui anggaran yang ditetapkan.
- Sistem tidak dapat
diimplementasikan sesuai dengan jadwal yang ditetapkan.
- Sistem yang telah dibangun
tidak memenuhi kebutuhan pengguna.
- Sistem yang dibangun tidak
memberikan dampak effisiensi dan nilai ekonomis terhadap jalannya operasi
institusi, baik pada masa sekarang maupun masa datang.
- Sistem yang berjalan tidak
menaati perjanjian dengan pihak ketiga atau memenuhi aturan yang berlaku.
Untuk mengantisipasi hal
itu, perusahaan menginginkan adanya assurance dari pihak yang berkompeten dan
independen mengenai kondisi sistem TI yang akan atau sedang mereka gunakan.
Pihak yang paling berkompeten dan memiliki keahlian untuk melakukan review
tersebut adalah Auditor Sistem Informasi (Auditor TI).
Pekerjaan auditor TI ini
belum banyak dikenal di Indonesia . Di samping itu, jumlah tenaga auditor TI
yang menyandang sertifikasi Internasional ( CISA, Certified Information
System Auditor ) juga masih sangat terbatas.
solusi
Best Practice
menyarankan agar dalam proses pengembangan suatu sistem informasi yang
signifikan, perlu dilakukan review, baik itu sebelum atau pada saat
implementasi ( pre-implementation system ), maupun setelah
sistem “live” ( post-implementation system ).
Manfaat
Pre-Implementation Review:
- Institusi dapat mengetahui
apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi
acceptance criteria.
- Mengetahui apakah pemakai telah
siap menggunakan sistem tersebut.
- Mengetahui apakah outcome
sesuai dengan harapan manajemen.
Manfaat
Post-Implementation Review:
- Institusi mendapat masukan atas
risiko-risiko yang masih ada dan saran untuk penanganannya.
- Masukan-masukan tersebut
dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis dan
anggaran pada periode berikutnya.
- Bahan untuk perencanaan
strategis dan rencana anggaran di masa datang.
- Memberikan reasonable assurance
bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang
telah ditetapkan.
- Membantu memastikan bahwa jejak
pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh
manajemen, auditor maupun pihak lain yang berwenang untuk melakukan
pemeriksaan.
- Membantu dalam penilaian apakah
initial proposed values telah terealisasi dan saran tindak lanjutnya. IS
Tidak ada komentar:
Posting Komentar