-
PENGEMBANGAN APLIKASI E-UNIVERSITY:
SISTEM INFROMASI PENGELOLAAN AUDIT TEKNOLOGI INFORMASI
BERBASIS RISIKO MENGGUNAKAN FRAMEWORK COBIT VERSI 4.1
1Ira Gustiarni,
2Seno Adi Putra,
3Murahartawaty
Program Studi Sistem Informasi Institut Teknologi Telkom
Jln. Telekomunikasi No. 1 Terusan Buah batu Bandung 40257
[email protected], [email protected],
[email protected]
ABSTRAK
Audit teknologi informasi berbasis risiko
merupakan suatu proses yang sangat mendukung
untuk terciptanya IT Governance yang baik di
suatu perguruan tinggi. Namun pada kenyataan
masih banyak perguruan tinggi yang belum
menerapkan audit teknologi informasi berbasis
risiko. Akibatnya, muncul permasalahan-
permasalahan terkait IT Governance seperti
belum adanya pemahaman tentang risiko teknologi
informasi, kurangnya tanggungjawab terhadap
pengelolaan risiko teknologi informasi, dan tidak
adanya pengukuran tingkat kematangan kinerja
teknologi informasi yang digunakan sehingga
perguruan tinggi tidak mengetahui apakah
teknologi informasi yang digunakan telah sesuai
dengan tujuan yang diharapkan. Untuk itu,
diperlukan sistem informasi untuk mengelola audit
teknologi informasi berbasis risiko.
Sistem informasi pengelolaan audit teknologi
informasi berbasis risiko yang dibangun pada
penelitian ini berdasarkan pada framework
COBIT 4.1. Sistem ini memfasilitasi proses risk
assessment terhadap proses bisnis, menyediakan
document checklist, serta proses perhitungan
maturity level proses pengelolaan TI.
Sistem informasi pengelolaan audit teknologi
informasi berbasis risiko dibangun menggunakan
teknologi Java EE dan struts framework dan
menerapkan arsitektur multitier. Metode yang
digunakan untuk pengembangan sistem pada
penelitian ini adalah metode iterative and
incremental
Kata Kunci: IT Governance, sistem informasi audit
berbasis risiko,COBIT 4.1, Teknologi Java EE,
arsitektur multitier, iterative dan incremental
ABSTRACT
Risk-based information technology audit is a
process that supports good IT Governance in a
university. In fact, universities that have been
implementing IT to support their business have not
implemented risk-based information technology
audit yet. It causes emerging issues related to IT
governance such as lack of understanding about
information technology risks, lack of responsibility
for information technology risk management, and
no measurement of information technology
maturity level. As the result, university could not
know about the alignment of information
technology implementation with its objective.
Therefore, it is necessary to implement information
system that supports risk-based information
technology audit activity.
Information system of risk-based information
technology audit built in this research refers to
COBIT 4.1 framework. This system facilitates the
process of calculating business processes risk
assessment, provides checklist document, and
calculates maturity level of IT management
process.
Information system of risk-based information
technology audit was built using Java EE
technology and the Struts Framework and it
implements multitier architecture. Iterative and
incremental method was used as system
development method.
Key words: IT Governance, information system of
risk-based information technology audit, Java EE
technology, multitier, iterative and incremental
I. PENDAHULUAN
Perkembangan teknologi informasi yang sangat
pesat dalam beberapa tahun ini telah membawa
perubahan yang sangat signifikan di berbagai
bidang kehidupan termasuk di bidang pendidikan
terutama perguruan tinggi. Perkembangan
teknologi informasi di perguruan tinggi telah
membawa dampak yang positif terhadap
penyampaian informasi dan layanannya. Selain
memiliki dampak yang positif, teknologi informasi
pada saat ini telah menjadi faktor kunci
keberhasilan suatu perguruan tinggi untuk
mencapai keunggulan kompetitif. Dengan adanya
teknologi informasi proses-proses yang ada di
suatu perguruan tinggi dapat terotomatisasi
sehingga memudahkan dalam penggunaannya
Pemanfaatan teknologi informasi di perguruan
tinggi juga harus didukung oleh IT Governance
-
yang merupakan faktor penting dalam pemanfaatan
teknologi informasi. IT Governance memastikan
adanya pengukuran yang efesien dan efektif
terhadap peningkatan proses bisnis melalui struktur
yang menautkan proses-proses, sumberdaya, dan informasi ke arah
tujuan strategis organisasi. IT
governance memadukan dan melembagakan best
practice dari proses perencanaan, pengelolaan,
penerapan, pelaksanaan, pendukung, dan
pengawasan kinerja teknologi informasi untuk
memastikan bahwa informasi dan teknologi yang
terkait benar-benar menjadi pendukung bagi
pencapaian sasaran organisasi. Dengan adanya IT
Governance, proses bisnis yang ada akan menjadi
lebih transparan, keuntungan optimum investasi
teknologi informasi akan tercapai, dan semua
potensi risiko investasi teknologi informasi telah
diantisipasi atau dikendalikan dengan baik.
Salah satu cara yang dapat diterapkan untuk
mewujudkan IT Governance yang baik adalah
dengan melakukan audit teknologi informasi
berbasis risiko. Audit teknologi informasi
merupakan proses pengujian terhadap infrastruktur
teknologi informasi untuk mengetahui apakah
sistem yang sedang digunakan dan berjalan dapat
menjamin keamanan aset yang dimiliki, integritas
data, dan efektifitas operasi dalam mencapai tujuan
yang telah ditetapkan. Sedangkan definisi risiko
teknologi informasi merupakan risiko bisnis yang
terkait dengan penggunaan, kepemilikan, operasi,
keterlibatan, pengaruh, dan penerapan teknologi
infromasi dalam suatu institusi.
Untuk memudahkan proses audit, diperlukan
sistem informasi pengelolaan kegiatan audit
internal teknologi informasi berbasis risiko. Sistem
ini melakukan perhitungan risk assessment,
menampilkan document checklist, dan perhitungan
maturity level proses berdasarkan framework
COBIT versi 4.1
II. AUDIT TEKNOLOGI INFORMASI BERBASIS RISIKO
Secara umum audit teknologi informasi merupakan
proses kontrol dan pengujian infrastruktur
teknologi informasi yang terkait dengan masalah
audit finansial dan audit internal. Audit teknologi
informasi, lebih dikenal dengan istilah Electronic
Data Processing Auditing, biasanya digunakan
untuk menguraikan dua jenis aktifitas yang
berkaitan dengan komputer. Salah satu penggunaan
istilah tersebut adalah untuk menjelaskan proses
penelahan dan evaluasi pengendalian-pengendalian
internal dalam EDP. Jenis aktifitas ini disebut
auditing melalui komputer. Penggunaan istilah
lainnya adalah untuk menjelaskan pemanfaatan
komputer oleh auditor untuk melaksanakan
beberpa pekerjaan audit yang tidak dapat dilakukan
secara manual. Jenis aktifitas ini disebut audit
dengan komputer. Audit teknologi informasi
sendiri merupakan gabungan dari berbagai macam
ilmu, antara lain traditional audit, manajemen
sistem informasi, sistem informasi akuntansi, ilmu
komputer, dan behavioral science. Audit teknologi
informasi bertujuan untuk meninjau dan
mengevaluasi faktor-faktor availability,
confidentially, dan integrity dari sistem informasi.
Audit berbasis risiko adalah metodologi
pemeriksaan yang digunakan untuk memberikan
jaminan bahwa risiko telah dikelola dalam batasan
yang telah ditetapkan manajemen. Ada 2 hal utama
yang harus dipahami oleh internal auditor, yaitu
aspek pengendalian dari setiap proses bisnis yang
terkait dan risiko dan faktor-faktor pengendalian
guna mendukung pencapaian sasaran perusahaan
Metodologi audit adalah sebagai berikut :
1. Tahap Preaudit. Tahap ini biasa disebut sebagai tahap
perencanaan. Tahap ini adalah tahap yang
paling penting sebagai dasar atau arahan untuk
melakukan audit agar tidak melenceng dari
tujuan. Tahap ini dimulai dengan
mengidentifikasi sistem yang akan diaudit dan
menentukan tujuan audit dan ruang lingkup
audit. Program audit berupa checklist juga harus
disusun untuk memudahkan auditor dalam
melakukan auditnya.
2. Tahap Field Work. Tahap ini disebut sebagai tahap pelaksanaan
audit. Tahap ini dimulai
dengan pengumpulan data yang dapat diperoleh
melalui interview, observasi, testing sistem,
dan review kebijakan dan SOP. Selanjutnya,
akan ditemukan temuan-temuan dari hasil audit.
Temuan-temuan tersebut akan dipetakan ke
tingkat kematangan teknologi informasi dan
dievaluasi sehingaa akan muncul analisis gap.
III. SISTEM INFORMASI AUDIT TEKNOLOGI INFROMASI PERGURAN TINGGI
BERBASIS
RISIKO DENGAN FRAMEWORK COBIT 4.1
Sistem informasi audit teknologi informasi berbasis
risiko mengotomatisasi proses-proses yang terkait
dengan perencanaan audit, simulasi audit, dan
pelaporan hasil audit.
Fitur pertama sistem adalah data master yang
berisi data-data tentang tujuan bisnis, tujuan
teknologi informasi, dan proses berdasarkan
COBIT. Data master ini juga berisi data-data
proses bisnis, aset, dan indikator risiko.
Fitur kedua adalah risk assessment. Fitur ini
terbagi menjadi tiga bagian, yaitu input proses
bisnis yang akan dinilai, analisis vulnerability &
likelihood proses bisnis, dan analisis prioritas
proses bisnis dengan menampilkan grafik.
-
Fitur ketiga adalah field working. Fitur ini
terbagi menjadi tiga bagian yaitu:
1. simulasi audit. Fitur ini memfasilitasi proses audit. Di
dalam fitur ini terdapat proses
mapping tujuan bisnis, tujuan teknologi
informasi, dan proses berdasarkan COBIT 4.1.
Selain itu, fitur ini memfasilitasi document
checklist yang digunakan dalam proses
simulasi. Output dari proses simulasi audit
berupa nilai maturity dari setiap proses beserta
grafiknya;
2. rekapitulasi temuan. Fitur ini memfasilitasi auditor dan
auditee untuk melihat temuan
sesuai dan tidak sesuai dari simulasi audit yang
telah dilakukan;
3. fitur rekomendasi. Fitur ini memfasilitasi auditor untuk
memasukkan rekomendasi-
rekomendasi perbaikan yang harus dilakukan
oleh auditee.
Fitur keempat adalah pelaporan. Fitur ini
memfasilitasi pembuatan laporan hasil audit.
Laporan hasil audit berisikan nama kegiatan,
tanggal, penangung jawab, hasil risk assessment
beserta grafiknya, hasil temuan beserta grafiknya,
dan rekomendasi perbaikan yang harus dilakukan
oleh auditee.
Proses audit teknologi informasi berbasis
risiko di perguruan tinggi dimulai dari auditor
membuat portofolio kegiatan audit. Di dalam
portofolio ini terdapat nama kegiatan, tanggal
dimulainya kegiatan, tanggal selesai kegiatan audit,
dan penanggungjawab kegiatan. Selanjutnya
auditor dapat memilih menu pre-audit.
Penanggung jawab audit menginputkan data-data
tim auditor dan mengunggah timeline kegiatan
audit dari Microsoft Project ke dalam sistem.
Proses selanjutnya, auditor melakukan risk
assessment terhadap proses bisnis yang ada di
perguruan tinggi. Proses risk assessment ini hanya
dapat dilakukan sekali dalam setiap simulasi
sehingga harus dipastikan proses bisnis yang ada
telah dilakukan penilaian secara menyeluruh. Hasil
dari penilaian risiko tersebut merupakan analisis
vulnerability & likelihood setiap proses bisnis
Gambar 1 Halaman analisis vulnerability & likelihood
Selain analisis vulnerability & likelihood,
output dari risk assessment adalah analisis prioritas
proses bisnis yang akan diaudit beserta grafiknya.
Analisis prioritas proses bisnis menampilkan nilai
risiko dan tingkat risiko dari proses bisnis.
Tingkatan risiko dari proses bisnis ini dibagi
menjadi tiga, yaitu rendah, sedang dan tinggi.
Gambar 2 Matriks Tingkat Risiko
Gambar 3 Halaman analisis prioritas proses bisnis
Proses audit dilanjutkan dengan melakukan
audit. Pada aktifitas ini, auditor terlebih dahulu
memilih tujuan bisnis berdasarkan COBIT versi
4.1, proses bisnis, dan aset perguruan tinggi yang
terkait dengan proses audit. Selanjutnya sistem
secara otomatis menampilkan informasi mengenai
tujuan bisnis, proses bisnis, aset, tujuan teknologi
informasi, dan proses-proses COBIT yang
digunakan untuk diaudit. Pada tahapan ini, auditor
dapat menggunakan seluruh proses COBIT atau
memilih beberapa proses saja.
Gambar 4 Halaman Mapping proses yang akan diaudit
-
Selanjutnya, sistem akan menampilkan
document checklist berdasarkan proses COBIT
yang telah dipilih pada tahapan sebelumnya. Di
tahapan ini auditor dapat mengisi nilai maturity (0-
5) dan responsibility (1-4) dari setiap pertanyaan.
Gambar 5 Halaman document checklist
Hasil dari pengolahan document checklist
merupakan nilai maturity level beserta grafik dari
setiap proses. Apabila nilai maturity yang dihasil 0-
2.5 maka proses yang diaudit dikategorikan ke
dalam temuan tidak sesuai. Namun apabila nilai
maturity yang dihasil 2.51-5, maka proses yang
diaudit dikategorikan ke dalam temuan sesuai.
Setelah melihat hasil maturity tersebut, auditor
dapat memberikan keterangan dari setiap.
Gambar 6 Halaman maturity level
Proses selanjutnya adalah rekap temuan yang
merekap seluruh temuan yang sesuai dan tidak
sesuai dari seluruh tujuan bisnis COBIT versi 4.1
yang dipilih di tahao sebelumnya. Pada proses ini
ditampilan dua jenis grafik yaitu grafik yang
menggambarkan banyaknya temuan sesuai dan
tidak sesuai dan grafik yang menggambarkan
jumlah nilai maturity dari setiap proses.
Gambar 7 Halaman rekap temuan beserta grafiknya
Gambar 8 Halaman rekap grafik maturity setiap proses
Akhirnya, proses audit teknologi informasi
berbasis risiko selesai. Selanjutnya, dilakukan exit
conference untuk mengkonfimasi temuan-temuan
tersebut kepada auditee. Proses ini dilakukan
secara off line atau tidak menggunakan sistem.
Karena proses ini mengharuskan auditor dan
auditee untuk bertemu. Apabila proses exit
conference telah selesai dilakukakan, maka auditor
memasukkan rekomendasi-rekomendasi perbaikan
ke dalam sistem.
Proses terakhir yang dilakukan adalah
mencetak laporan hasil audit. Laporan ini hanya
dapat dicetak jika auditor telah memasukkan
rekomendasi ke dalam sistem. Di dalam laporan ini
tercatat jadwal kegiatan audit, hasil risk assessment
beserta grafiknya, temuan sesuai dan tidak sesuai
beserta grafiknya, dan rekomendasi perbaikan.
Gambar 9 Halaman laporan hasil audit
-
Sedangkan untuk auditee, fitur yang dapat
dilihat adalah halaman hasil risk assessment
beserta grafiknya, halaman temuan, dan halaman
rekomendasi.
Gambar 10 Home auditee
IV. PERTIMBANGAN TEKNOLOGI
Aplikai audit teknologi informasi berbasis risiko
dibangun dengan menggunakan teknologi Java EE,
Enterprise Java Bean dan Struts Framework
dengan metode iterative dan incremental.
Teknologi ini mendukung arsitektur multitier.
Kinerja sistem membutuhkan dukungan multitier
untuk skalabilitas tinggi.
Konfigurasi multitier yang digunakan terdiri
dari client tier, presentation tier, business logic
tier, dan database tier.
Presentation Tier merupakan bagian yang
diakses langsung oleh pengguna aplikasi.
Presentation tier di sistem ini menggunakan Struts
Framework sebagai teknologinya. Framework ini
menerapkan arsitektur Model-View-Controller
(MVC) dengan penggunaaan Java Servlet dan
Java Server Pages (JSP) sebagai
teknologinya.
Bussiness logic tier atau dikenal sebagai
application tier merupakan tier yang di dalamnya
terdapat proses bisnis dan query untuk mengakses
database. Teknologi yang berperan pada tier ini
adalanh Enterprise JavaBean (EJB). EJB
merupakan objek yang dapat dipanggil secara
remote dan merupakan komponen kunci untuk
membangun aplikasi mutitier.
Pada database tier digunakan teknologi
Microsoft SQL Server sebagai database relational
management system.
Client Tier merupakan bagian yang digunakan
pengguna untuk mengakses aplikasi. Tier ini
menggunakan web browser untuk mengakses
sistem. Berikut ini gambaran umum arsitektur
multitier yang diimplementasikan di aplikasi audit
teknologi informasi berbasis risiko
Gambar 11 Arsitektur multitier pada aplikasi audit
teknologi informasi berbasis risiko dengan Java EE
DAFTAR PUSTAKA
[1] brawijaya, S. p. "Audit Teknologi Informasi". Retrieved
Oktober 15, 2012, from
http://spi.ub.ac.id/layanan/audit-teknologi-
informasi
[2] Gondodiyoto, S. Audit Sistem Informasi + Pendekatan CobIT.
Jakarta: Mitra Wacana
Media. 2007
[3] Goncalves, Antonio (2010). Beginning Java EE 6 with
GlassFish 3 (Expert's Voice in Java
Technology) [4] Rubinger, Andrew Lee, Bill Burke.
Enterprise JavaBeans 3.1. 2011 [5] SACA (Information System
Audit and Control
Association). "COBIT (Control Objective for
Information and Related Technology) 4.1"
[6] Sarno, Riyanarto. Audit Sistem dan Teknologi Informasi.
Surabaya: ITS Press, 2009.
[7] Setyobudi, Yayon Wahyu. "Pemodelan Penilaian Risiko (Risk
Assessment) Dalam
Perencanaan Audit Umum Pada Divisi Audit
Intern (Studi Kasus pada PT Bank ABC
Kantor Cabang Jakarta).". 2006.
[8] Surbakti Herison. Standar Framework Pada Proses Pengelolaan
It Governance Dan Audit
Sistem Informasi. Tesis
TCP
Presentatin
Layer
Business ;
ogic
Client Database
TCPTCP
