cobit-scan.pdf
TRANSCRIPT
APLIKASI PENILAIAN AUDIT BERDASARKAN COBIT 4.0
Nur Cahyo Wibowo, S.Kom, M.Kom
Program Studi Teknik Informatika, Fakultas Teknologi Industri
UPN “Veteran” Jawa Timur
Jl. Raya Rungkut Madya, Gunung Anyar, Surabaya
email : [email protected]
ABSTRAK
Cobit dirumuskan oleh para pakar rekayasa
perangkat lunak internasional untuk memberikan panduan
bagi para pimpinan perusahaan yang berencana
melakukan investasi teknologi informasi yang
menguntungkan. Di dalam Cobit dijelaskan prosedur dan
metodologi bagaimana seharusnya mengatur sebuah
proyek implementasi teknologi informasi di sebuah
perusahaan mulai dari perencanaan sampai dengan
evaluasi kinerjanya. Sebaliknya, dengan sudut pandang
yang berbeda, sistem Cobit juga bisa dimanfaatkan
sebagai panduan untuk melakukan audit terhadap
kelayakan sebuah investasi teknologi informasi yang
sudah dilakukan oleh sebuah perusahaan. Namun yang
sering menjadi masalah adalah belum adanya panduan
kuantitatif untuk melakukan penilaian audit. Sehingga
proses audit lebih terasa nuansa atau faktor subjektifitas
auditor daripada aturan yang baku. Lebih dari itu, proses
audit yang umumnya melibatkan sangat banyak dokumen
namun dengan pihak staff perusahaan serta auditornya
yang sama, seringkali ditemukan standarisasi pemberian
nilai yang berbeda untuk hal-hal yang seharusnya sama.
Penelitian ini dibuat sebagai upaya untuk meminimalisasi
terjadinya kondisi-kondisi tersebut di atas. Sehingga
proses audit bisa dilakukan secara cepat dan konsisten.
Penelitian ini akan menjelaskan desain struktur data dan
aplikasi sistem Cobit yang dibangun dengan
menggunakan DBMS MS SQL Server dan MS Visual
Studio – Visual Basic 6.0. Aplikasi ini mampu melakukan
otomatisasi hasil score audit yang bisa digunakan oleh
auditor sebagai gambaran awal kelayakan sebuah
investasi teknologi informasi pada sebuah perusahaan
berdasarkan dokumen-dokumen yang tersedia.
Kata kunci: aplikasi COBIT, software engineering,
project management, software audit.
1 INTRODUCTION
Control Objectives for Information and related
Technology (COBIT®) memberikan panduan lintas
domain dan framework proses yang baik. Cobit juga
menunjukkan aktifitas ke dalam sebuah struktur yang
logis dan mudah diatur. Cobit merupakan hasil konsensus
para ahli dalam bidang manajemen proyek perangkat
lunak. Fokusnya adalah lebih banyak dalam hal
pengendalian dari pada pengerjaan. Panduan ini akan
sangat membantu investasi IT yang optimis, memastikan
penyerahan layanan dan memberikan sebuah pengukuran
daripada sebuah justifikasi ketika terjadi suatu kesalahan.
Supaya investasi IT berhasil sesuai permintaan bisnis
maka pihak manajemen harus melakukan sistem kendali
internal atau framework di dalamnya.
Audit investasi teknologi informasi memang masih belum
begitu berkembang di Indonesia. Akan tetapi kebutuhan
akan hal itu mulai muncul, khususnya untuk perusahaan
berskala menengah ke atas. Perusahaan sudah mulai
memperhatikan sejauh mana kontribusi investasi teknologi
informasi yang mereka lakukan terhadap kinerja
perusahaan.
Pada waktu booming teknologi informasi di pasaran,
sekitar tahun 90-an, perusahaan-perusahaan berlomba-
lomba untuk investasi di bidang teknologi informasi.
Namun yang terjadi sekarang justru cukup banyak
perusahaan yang gulung tikar meskipun sudah banyak
dana yang dikeluarkan untuk investasi teknologi
informasi.
Hal tersebut di atas bukanlah sesuatu yang tidak mungkin
terjadi. Karena investasi teknologi informasi yang tidak
diatur dan dikendalikan dengan baik justru akan menjadi
bom waktu bagi keruntuhan perusahaan yang
bersangkutan. Sebagai ilustrasi sederhana adalah sebagai
berikut. Sebuah perusahaan menerapkan ketentuan
perubahan media penyimpanan data dari yang semula
paper-based menjadi digital-based. Sehingga semua
berkas-berkas dipindahkan ke dalam format file dengan
dukungan aplikasi perangkat lunak yang sudah ada. Pada
masa-masa awal terlihat begitu besar efisiensi yang
dilakukan. Bisa dibayangkan kemampuan satu buah
keping CD-ROM adalah setara dengan kemampuan satu
ruang besar gudang arsip perusahaan selama satu tahun
operasional. Namun pada suatu waktu datanglah sebuah
bencana. CD-ROM data perusahaan corrupt sehingga
tidak bisa dibaca dengan lengkap. Karena belum adanya
prosedur back up berkala akhirnya data penting
perusahaan hilang.
Untuk itulah, Cobit memberikan sebuah panduan bagi
investasi teknologi informasi di perusahaan. Prosesnya
dimulai dari perencanaan hingga pemantauan dan evaluasi
proses investasi. Dengan sudut pandang terbalik Cobit
juga bisa dimanfaatkan untuk melakukan panduan proses
audit kelayakan investasi teknologi informasi yang sudah
dilakukan oleh perusahaan.
Akan tetapi yang sering menjadi masalah adalah
konsistensi nilai dan kecepatan proses audit itu sendiri. Di
dalam sistem Cobit seperti yang akan dijelaskan pada
bagian Dasar Teori terdapat interaksi antar proses yang
cukup kompleks. Sehingga masalah konsistensi penilaian
menjadi sangat penting. Maksudnya bahwa untuk
penilaian dengan melibatkan dokumen yang sama sudah
seharusnya nilai dokumen tersebut tetaplah sama, tidak
boleh berubah. Namun kenyataan di lapangan bisa saja
tidaklah demikian. Keterbatasan manusia dalam hal
ingatan dan pengambilan keputusan memang bisa saja
berubah-ubah meskipun tidak terlalu besar.
Masalah yang kedua terkait dengan audit adalah kecepatan
penghitungan nilai akhir. Proses audit manual yang saat
ini diterapkan, rata-rata membutuhkan waktu sekitar 2
sampai 3 bulan. Ini pun terkadang masih perlu beberapa
revisi. Penghitungan nilai akhir yang cepat menjadi hal
yang penting baik bagi auditor maupun perusahaan yang
diaudit. Salah satu alasan yang utama adalah time is
money. Begitu perusahaan mendapatkan nilai hasil audit,
mereka bisa segera melakukan perbaikan-perbaikan untuk
kepentingan bisnisnya. Sedangkan bagi auditor jelas biaya
operasional tim kerjanya akan bisa ditekan serta kinerja
tim audit akan dinilai lebih baik oleh perusahaan yang
diaudit jika prosesnya bisa lebih cepat.
2 MODEL, ANALISIS, DESIGN, AND
IMPLEMENTATION
Sesuai dengan rumusan masalah yang sudah dikemukakan
di atas, maka penelitian ini bertujuan untuk
mengimplementasikan sistem Cobit ke dalam sebuah
aplikasi yang bisa digunakan untuk :
Menerapkan penilaian yang konsisten.
Mempercepat perolehan nilai audit.
RUANG LINGKUP
Sistem Cobit yang dijadikan panduan bagi penelitian ini
cukup luas cakupannya. Namun penulis mengamati
adanya pola-pola yang sama yang bisa digunakan sebagai
acuan implementasi dalam ruang lingkup yang lebih luas
dan kompleks. Untuk itu dalam penelitian ini yang akan
digunakan sebagai studi kasus adalah subsistem Cobit
yaitu bagian proses PO (Plan and Organize) 1 yaitu Define
a Strategic Plan.
Dalam sistem Cobit sendiri ada 5 penilaian yang bisa
dilakukan. Diantaranya adalah penilaian terhadap
Maturity Level, Control Objective, Key Performance
Indicator, Process Key Goal Indicator, dan IT Key Goal
Indicator dari sebuah perusahaan. Yang akan dibahas di
dalam penelitian ini adalah dua penilaian yang pertama,
yaitu penilaian terhadap Maturity Level dan Control
Objective.
COBIT FRAMEWORK
Framework kendali Cobit memberikan kontribusi untuk
keperluan tersebut :
Membuat sebuah hubungan dengan kebutuhan bisnis.
Mengorganisasikan aktifitas investasi IT.
Mengidentifikasi sumber daya IT utama yang
mendesak untuk diselesaikan.
Mendefinisikan tujuan kendali manajemen yang perlu
diperhatikan.
PLAN AND ORGANISE (PO)
Domain ini mencakup strategi dan taktik, dan juga
memperhatikan identifikasi cara IT dapat memberikan
kontribusi terbaik untuk pencapaian tujuan bisnis. Lebih
jauh, realisasi visi strategis perlu untuk direncanakan,
dikomunikasikan dan diatur untuk perpsektif yang
berbeda. Akhirnya, sebuah organisasi yang tepat
sebagaimana juga infrastruktur teknologinya perlu untuk
dibuat.
ACQUIRE AND IMPLEMENT (AI)
Untuk mewujudkan strategi IT, solusi IT perlu untuk
diidentifikasi, dibangun atau diperoleh, sebagaimana juga
perlu untuk diimplementasikan dan diintegrasikan ke
dalam proses bisnis. Selain itu, perubahan dan
pemeliharaan sistem yang sudah ada juga tercakup dalam
domain ini untuk memastikan bahwa solusi senantiasa
sesuai dengan tujuan bisnis.
DELIVER AND SUPPORT (DS)
Domain ini menerangkan tentang hal-hal terkait dengan
penyerahan layanan yang dibutuhkan. Termasuk
didalamnya adalah penyerahan layanan itu sendiri,
manajemen keamanan dan kesinambungan, dukungan
layanan bagi pemakai dan manajemen data serta fasilitas
operasional.
MONITOR AND EVALUATE (ME)
Seluruh proses IT perlu untuk dipantau secara teratur. Hal
ini dimaksudkan untuk menjaga kualitas dan pemenuhan
dengan kebutuhan kendali. Domain ini membahas tentang
manajemen kinerja, pemantauan kendali internal,
pemenuhan regulasi, dan penyediaan pengaturan.
Gambar 2.1 di bawah ini menjelaskan tentang sistem
framework Cobit 4.0 secara menyeluruh.
Gambar 2.1 COBIT4.0 Framework
Dimulai dengan tujuan bisnis dan pengaturan. Kemudian
di break-down menjadi beberapa domain yang saling
berkaitan dan membentuk sebuah siklus.
DETAIL CONTROL OBJECTIVES
Ada enam control objectives di dalam subproses PO 1,
yaitu:
1. Manajemen nilai teknologi informasi.
2. Penyesuaian antara kepentingan bisnis dengan
teknologi informasi.
3. Penilaian kinerja teknologi informasi saat ini.
4. Rencana strategis penerapan teknologi informasi.
5. Rencana taktis penereapan teknologi informasi.
6. Manajemen portfolio penerapan teknologi informasi.
MATURITY LEVEL
Secara umum maturity level akan menunjukkan berada
pada tingkat manakah kinerja sebuah perusahaan. Di
dalam Cobit dikelompokkan menjadi 6 yaitu:
- Level 0 : Non Existent
- Level 1 : Initial/ Ad Hoc
- Level 2 : Repeatable but Intuitive
- Level 3 : Defined Process
- Level 4 : Managed and Measurable
- Level 5 : Optimised
DESAIN DATABASE
Untuk melakukan otomatisasi audit perlu dilakukan
terlebih dahulu standarisasi jenis dokumen yang terlibat.
Dokumen dalam penelitian ini dibedakan menjadi dua,
yaitu dokumen sistem dan dokumen yang dimiliki client.
Strategi ini sengaja dipilih karena pengalaman di lapangan
menunjukkan bahwa dokumen client itu seringkali tidak
sesuai dengan struktur model dokumen yang sudah
disediakan oleh sistem. Untuk itulah dalam desain
databasenya dibuat sebuah tabel transaksional untuk
menyimpan peta hubungan antara dokumen client dengan
dokuman sistem.
Sebagai tabel master untuk desain ini adalah tabel
dokumen sistem, tabel client, tabel control objective dan
tabel maturity level. Tabel-tabel ini akan direferensi oleh
tabel-tabel yang lain untuk membangun skema database
Cobit yang lengkap. Sedangkan tabel turunannya adalah
tabel dokumen client, tabel detail control objective dan
tabel detail maturity level.
Otomatisasi audit sebuah control objective maupun
maturity level akan ditentukan berdasar tabel peta relasi
antara dokumen client dengan dokumen sistem, peta relasi
antara control objective dengan dokumen sistem apa saja
yang terlibat dan terakhir peta relasi antara dokumen
sistem dengan maturity level. Nilai dan bobot yang berada
pada dokumen client akan dapat ditransformasikan
menjadi nilai dokumen di sistem berdasarkan bobot
dokumen internal sistem yang sudah didefinisikan
sebelumnya. Nilai transformasi ini akan bersifat
kuantitatif, murni diperoleh berdasarkan perhitungan.
Untuk penilaian dokumen yang berhubungan dengan
control objective akan disimpan di dalam tabel quantitatif
control objective. Sedangkan yang berhubungan dengan
maturity level akan disimpan ke dalam tabel quantitative
maturity level. Untuk lebih jelasnya bisa dilihat pada
Gambar 2.2 di bawah ini.
Gambar 2.2 Skema Relasi Database
Keterangan:
- DC :Dokumen client.
DCO
DS
DML
MCO MML
MDC
DC
Client
QCO QML
- MDC :Peta relasi dokumen sistem dengan dokumen
client.
- DS :Dokumen sistem.
- MCO :Peta relasi dokumen sistem dengan control
objective.
- DCO :Detail control objective.
- QCO :Quantitative control objective.
- MML :Peta relasi dokumen sistem dengan maturity
level.
- DML :Detail maturity level.
- QML :Quantitative maturity level.
Nilai transformasi dokumen yang diperoleh akan diolah
berdasarkan perhitungan untuk mendapatkan score audit
baik pada detail control objective maupun maturity level.
Ada tiga kondisi yang perlu diperhatikan yaitu:
1. Sebuah dokumen sistem direferensi oleh sebuah
dokumen client.
2. Sebuah dokumen sistem direferensi oleh banyak
dokumen client.
3. Dokumen sistem yang tidak direferensi oleh dokumen
client. Hal ini dimungkinkan terjadi ketika struktur
dokumen di sistem begitu lengkap dan detail akan
tetapi struktur dokumen di client lebih sederhana dan
global/ umum.
3 RESULT
Secara umum operasi pada aplikasi ini dikelompokkan ke
dalam tiga bagian utama, yaitu bagian tabel master, bagian
knowledge base-nya yaitu tabel-tabel yang berisikan peta
relasi, dan yang ketiga adalah bagian otomatisasi
penghitungan score audit.
Gambar 3.1 Antarmuka Utama
ANALISIS DAN UJI COBA
Sebagaimana telah disinggung pada pokok bahasan Ruang
Lingkup, maka yang akan dijadikan skenario uji coba
adalah khusus pada subproses PO 1 yaitu Define a
Strategic IT Value. Skenario uji coba dimulai dengan
kondisi dokumen client seperti yang ada pada Gambar 3.2
di bawah ini. Sebagai contoh terlihat sebuah dokumen
dengan nama IT Master Plan yang diberi kode ITMP.
Munculnya tambahan label satu, dua, tiga dan seterusnya,
hal itu dimaksudkan bahwa dokumen tersebut
diasumsikan terdiri atas beberapa bagian penyusun yang
mana untuk perusahaan satu dengan lainnya
dimungkinkan memiliki kondisi yang berbeda.
Gambar 3.2 Tabel Dokumen Client
Kemudian peta relasi antara dokumen client dengan
dokumen sistem didefinisikan sebagaimana isian tabel
yang terlihat pada Gambar 3.3 berikut ini. Salah satu
contohnya adalah mapping antara dokumen IT Strategic
Plan dengan IT Master Plan.
Gambar 3.3 Form Pemetaan Dokumen
Maka dengan kondisi peta relasi antara dokumen sistem
dengan detail control objective seperti pada Gambar 3.4 di
bawah ini:
Gambar 3.4 Form Peta Relasi CO
Akan diperoleh score audit untuk pernyataan pertama
pada PO 1 adalah sebagai berikut:
Gambar 3.5 Hasil Score CO untuk PO 1
Score akhir pada uji coba di atas adalah 0.74 yang berarti
termasuk dalam kelompok HIGH. Di dalam aplikasi ini
pengelompokan nilainya adalah sebagai berikut:
If (total <= 0.3) Then
Label.Caption = "POOR"
ElseIf (total <= 0.5) Then
Label.Caption = "LOW"
ElseIf (total <= 0.7) Then
Label.Caption = "MEDIUM"
ElseIf (total <= 0.9) Then
Label.Caption = "HIGH"
ElseIf (total <= 1) Then
Label.Caption = "COMPLETE"
End If
Gambar 3.6 Aturan Klasifikasi Score
Sedangkan untuk kondisi peta relasi antara dokumen
sistem dengan maturity level seperti gambar di bawah ini:
Gambar 3.7 Peta Relasi Maturity Level
Maka akan diperoleh skor audit maturity level untuk PO 1
adalah seperti dalam gambar berikut:
Gambar 3.8 Score Maturity Level untuk PO 1
Terlihat pada gambar di atas bahwa score ML-nya adalah
1.429… dan ini termasuk ke dalam tingkat Repeatable.
Pengelompokan ini berdasar pada aturan berikut:
If (totall <= 1) Then
Label.Caption = "INITIAL"
ElseIf (totall <= 2) Then
Label.Caption ="REPEATABLE"
ElseIf (totall <= 3) Then
Label.Caption = "DEFINED"
ElseIf (totall <= 4) Then
Label.Caption = "MANAGED"
ElseIf (totall <= 5) Then
Label.Caption = "OPTIMIZED"
End If
Gambar 3.9 Aturan Klasifikasi Maturity Level
4 CONCLUSION
Aplikasi ini dapat membantu proses audit berdasarkan
framework Cobit. Dengan aplikasi ini standar skor audit
dapat diterapkan, sehingga konsistensi penilaian dapat
dipertahankan. Selain standar nilai skor, aplikasi ini juga
mempunyai pemetaan dokumen, antara dokumen yang
disyaratkan oleh sistem dengan dokumen yang dimiliki
oleh client/ customer.
REFERENCE
[1] COBIT Framework 4.0, 2007, ISACA.
[2] John Connel, Beginning Visual Basic 6 Database
Programming, Wrox Press, 1999.
[3] Francesco Balena, Programming Microsoft Visual
Basic 6.0, Microsoft Press, 1999.