Risk-Based dalam audit, maksudnya apa?

March 26, 2019 Leave a comment

Suatu hari diskusi dengan seorang teman Kepala Divisi TI di sebuah perusahaan. Singkatnya dia komplain atas sebuah hasil audit TI. Terdapat temuan yang mengharuskannya mengkonsolidasikan beberapa aplikasi ke dalam satu aplikasi fisik. Argumentasi auditor, arsitektur eksisting menyebabkan data tidak real time ke MIS (dashboard). Teman saya ini berkata: lho bisnis butuhnya memang tak real time, karena itu dashboard. Manajemen menyampaikan cukup H-1 untuk mengambil keputusan.

#1 – Kontrol dipilih berbasis risiko

Kegiatan audit dilakukan berdasarkan program audit. Program audit berisi daftar kontrol yang harus diperiksa, dan bagaimana prosedur auditnya. Daftar kontrol yang menjadi lingkup audit dipilih berdasarkan profil risiko yang dihasilkan dari kegiatan risk assessment.

Dengan kata lain, tidak boleh sebuah kontrol menjadi lingkup audit jika tak bisa dijawab apa risiko jika kontrol tersebut tak efektif.

#2 – Temuan disusun dalam perspektif risiko

Sebuah kondisi dinyatakan sebagai temuan jika ada risiko terkait dengannya. Jika tak ada risiko terkait dengannya, maka tak bisa dikatakan sebagai temuan. Seorang auditor tidak dapat menyandarkan pertimbangan efektif atau tidaknya kontrol berdasarkan pertimbangannya sendiri, tetapi harus merujuk kepada konteks risiko auditee.

Misalnya dalam konteks studi kasus di awal: kalau kondisi sekarang tidaklah menyebabkan risiko, maka tidak obyektif jika kondisi tersebut menjadi temuan.

Filed under IT Audit

Audit atas Penyelenggaraan Electronic Banking (1)

April 15, 2015 1 Comment

OJK bulan lalu meminta seluruh bank untuk lebih memperhatikan keamanan TI, khususnya internet banking. OJK mendorong (atau mewajibkan?) bank-bank untuk melakukan audit atas sistem keamanan TI. Hal ini sepertinya dipicu oleh laporan kejadian di BCA (laporan awal yang menyerang 1000 nasabah (06/03/2015) dan kemudian diralat ternyata hanya mengenai 43 nasabah (06/03/2015)) dan Bank Mandiri (malware pencuri uang (06/03/2015)).

Prinsip-prinsip untuk manajemen risiko penyelengaraan electronic banking telah ditetapkan sejak lama oleh Basel Committee on Bank Supervision pada tahun 20o3, sebagai berikut:

  1. Board and management oversight
    • Effective management oversight of e-banking activities
    • Establishment of a comprehensive security controls process
    • Comprehensive due diligence and management oversight process for outsourcing relationships and other third-party dependencies.
  2.  Security controls
    • Authentication of e-banking customers
    • Non-repudiation and accountability for e-banking transactions
    • Appropriate measures to ensure segregation of duties
    • Proper authorization controls within e-banking systems, databases and applications
    • Data integrity of e-bangking transactions, records and information
    • Establishment of clear audit trail for e-banking transactions
    • Confidentiality of key bank information
  3. Legal and reputational risk management
    • Appropriateness disclosure for e-banking services
    • Privacy of customer information
    • Capacity, business continuity and contingency planning to ensure availability of e-banking systems and services
    • Incident response planning

BI juga merilis pedoman untuk ini, yaitu di Lampiran Surat Edaran Bank Indonesia Nomor: 9/30/DPNP Tanggal 12 Desember 2007 khususnya di Bab VIII tentang Electronic Banking. Dokumen tentang ini dapat diperoleh di sini.

Kejadian di BCA dan Mandiri ini sepertinya memang lebih spesifik ke aspek system authentication dan users’s security awareness. Tetapi sebagai regulator, bisa jadi OJK menjadikan ini sebagai pintu masuk untuk meningkatkan kontrol pada penyelenggaraan electronic banking secara keseluruhan. Sebagai catatan penting, masih banyak bank di Indonesia ini yang melakukan outsourcing ke pihak ketiga atas penyelenggaraan electronic banking-nya, termasuk internet banking. Kebijakan penggunaan outsourcing secara prinsip tidak bermasalah, asal kontrol diimplementasikan secara memadai.

Untuk kepentingan audit, prinsip-prinsip di atas perlu diturunkan dalam kontrol-kontrol kritikal. Kontrol-kontrol kritikal tersebut yang akan menjadi lingkup audit. Merujuk kepada metodologi standar audit, untuk mengidentifikasi kontrol-kontrol kritikal tersebut perlu untuk melihat konteks organisasi dan arsitektur teknis. Tulisan selanjutnya akan membahas tentang kontrol-kontrol kritikal di prinsip-prinsip electronic banking. Jika tidak memungkinkan semua, kemungkinan akan lebih difokuskan pada aspek security controls.

Filed under IT Audit, IT Security, Teknologi Informasi

Manajemen Investasi: Kelemahan Utama IT Blueprint

April 15, 2010 2 Comments

IT Blueprint itu bisa strategis, bisa tidak. Kualitas sebuah IT Blueprint akan ditentukan seberapa besar dampaknya atas organisasi atau perusahaan. Semakin strategis kalau dampaknya semakin besar.

Mungkin 90% orang yang mengerjakan IT Blueprint itu basic utamanya memang orang TI. Karena orang TI, seringkali terlalu asyik membuat desain teknikal yang sophisticated. That’s right, but not enough. Dalam sebuah presentasi tender di salah satu BUMN yang akhirnya kami menangkan, kami ditanya tentang apakah kunci dari IT Blueprint yang akan kami usulkan itu akan jalan? Saat itu saya jawab: Manajemen Investasi TI!! Sebaik apa pun Bapak/Ibu punya desain teknis arsitektur aplikasi, arsitektur infrastruktur dan organisasi TI, tak akan bisa dijalankan kalau tak ada manajemen investasinya.

Manajemen investasi ini setidaknya menginformasikan:

  1. Apa hubungan sebuah proyek TI dengan agenda strategis bisnis?
  2. Apa value yang akan tercipta dengan implementasi TI ini?
  3. Berapa cost project yang harus disiapkan dalam sebuah durasi tahun tertentu?
  4. Berapa benefit kuantitatif dan kualitatif atas proyek TI yang akan dijalankan?
  5. Bagaimana studi kelayakan ekonominya? Mau pakai apa? Cost-Benefit Analysis, IRR, Payback Period, ……..

Manajemen investasi ini sebaiknya dikemas lagi dalam dokumen-dokumen Business Case. Kalau menggunakan pendekatan Program/Project Portfolio, minimal setiap Program TI (setiap program TI akan terdiri dari beberapa proyek TI) akan memiliki business case ini. Business case ini berisi 5 poin utama di atas, plus manajemen risiko dan manajemen perubahan yang dibutuhkan.

Jadi “tool marketing” dari IT Blueprint itu pasnya bukan dokumen IT Blueprint yang biasanya tebal-tebal itu, tapi business case program. Jadi IT Blueprint kita bahasakan dalam bahasa bisnis. Sepertinya ke depan cara-cara seperti di atas akan lebih memberikan dampak bagi organisasi.

KESIMPULAN: Membuat IT Blueprint itu tak susah, yang susah itu melaksanakannya. Manajemen Investasi dan Business Case diperlukan untuk memudahkan pelaksanaan yang susah itu.

Filed under IT Governance, Teknologi Informasi

Persoalan umum implementasi TI di Rumah Sakit

April 15, 2010 Leave a comment

Program CPE kedua tentang Penyusunan IT Blueprint untuk Rumah Sakit alhamdulillah berjalan lancar kira-kira 2 minggu yang lalu. Yang menarik dari penyelenggaraan kedua ini adalah tipikal pesertanya. Jika di penyelenggaraan pertama pesertanya mayoritas memang orang TI, di penyelenggaraan kedua ini adalah manajemen eksekutif rumah sakit dan bahwan owner rumah sakit (dalam hal ini RS swasta).

Tentu saja cara pandangnya jadi agak beda, dan karena itu pula materi-materi dimodifikasi ulang. Intinya lebih ditekankan kepada hal-hal strategis seperti:

  1. Seberapa strategis sih TI untuk rumah sakit?
  2. Bagaimana memposisikan TI sebagai alat untuk menjadi competitive/comparative advantage dibandingkan dengan RS lain?
  3. Plus state-of-the-art arsitektur aplikasi dan infrastruktur

Beberapa yang menarik dan menjadi kesimpulan dari training adalah sbb:

  1. Setelah membahas berbagai case yang ada, akhirnya dapat kesimpulan bersama: TI itu strategis lho untuk Rumah Sakit-Rumah Sakit di Indonesia.
  2. Setidaknya poin pertama menjadi referensi penting. Nah, tapi nilai strategis TI bagi RS-RS di Indonesia masih jauh dari potensi yang sebenarnya ada. Beberapa persoalan berikut ini yang sempat dibahas dalam sesi training kemarin itu.
    • Strategic Alignment yang masih rendah – RS-RS di Indonesia secara umum masih belum memiliki pola bagaimana menurunkan arahan strategis TI yang diturunkan dari rencana bisnis RS. Karena pembahasan ini jarang sekali dilakukan, akhirnya implementasi TI di RS mayoritas hanya mengikuti trend: sistem informasi ini dan itu…. Kalau tetangga pakai itu, ya kita butuh itu…. sederhananya begitu. Jadi secara faktual memang TI belum dianggap hal strategis, walaupun teorinya disadari strategis.
    • Kapasitas manajemen TI yang belum optimal Struktur organisasi di RS-RS pemerintah sudah ditetapkan oleh regulasi dari depkes. Nah, regulasi dari Depkes ini sepertinya belum “tersibghoh” dengan panduan Tata Kelola TI yang dikeluarkan oleh Dewan TIK Nasional. Mau membuat Komite TI juga agak susah, karena berdasarkan regulasi tersebut sebuah komite harus di bawah salah satu direktur. Hal ini tidak dihadapi oleh RS swasta. Jadi ada bbrp RS swasta yang posisi TI di leher, sehingga jauh lebih powerfull.
    • IT Leadership yang masih lemah – Harus diakui bahwa mayoritas RS masih memandang TI hanya sekedar supporting, alat untuk ngolah data dan buat laporan. Nothing else. Manajemen eksekutif RS belum memposisikan TI sebagai aset strategis bagi bisnis RS. Faktor ini, ditambah dengan faktor kapasitas manajemen TI yang terbatas, berkelindan menjadi sebuah titik lemah utama implementasi TI di RS Indonesia.
    • SDM TI RS yang masih lemah SDM TI di RS Indonesia, mostly, belum sekuat seperti di sektor-sektor bisnis lainnya. Mungkin ini terkait dengan persepsi atas TI yang belum dianggap aset strategis di atas.
    • Tingkat kegagalan yang tinggi dalam implementasi sistem informasi – Yang menarik, ternyata jarang sekali RS yang bisa sekali jadi untuk implementasi aplikasi SIM Rumah Sakit mereka. Kegagalan 3-4 kali ternyata banyak sekali ditemui. Apakah ini karena ketidakmampuan vendor-vendornya ataukan pola hubungan TI (plus vendor) dengan BPO (Business Process Owner) di RS yang tidak baik? Perlu ditelaah lebih lanjut untuk hal ini.
    • Sistem banyak tapi tetap susah mendapatkan informasi manajemen – Sistem aplikasi banyak dikembangkan, tetapi masih pulau-pulau terpisah. Kalau mau terintegrasi, banyak yg akhirnya harus memakai solusi satu vendor. Tentu saja ada risiko di sini.

Semoga bermanfaat untuk mentransformasi RS di Indonesia, sehingga masyarakat lebih suka membelanjakan dananya di RS Indonesia daripada ke RS negeri tetangga yang menampung uang-uang hasil jarahan dari negeri kita ini. Sudah sumberdaya kita dicuri, uang hasil korupsi ditampung mereka, eh… sakit pun kita lebih suka ke sana.

Sorry utk paragraf terakhir.

Filed under IT Governance, Teknologi Informasi

Komite TI di Rumah Sakit?

January 7, 2010 1 Comment

Dari training bulan Desember 2009 (IT Blueprint Untuk RS) banyak sharing tentang permasalahan yang ada di penyelenggaraan TI Rumah Sakit. Yang menarik adalah beragamnya posisi TI dalam struktur organisasi. Ada yang di leher, ada yang di bawah salah satu direktur (dipimpin Manajer TI), atau ada yang hanya sebuah seksi yang menjadi bagian dari kesekretariatan.

Ada statemen dari peserta yang menarik: “Kalau ditanya ke pimpinan apakah TI itu penting, maka semua pimpinan akan selalu bilang bahwa TI itu penting. Tapi dalam kenyatannya tidaklah seperti itu. Untuk mendapatkan dana bagi pengembangan tidaklah mudah. Mayoritas kesibukan adalah menghandle hal-hal operasional harian, sehingga aspek strategis hampir tidak tersentuh”.

Kalau melihat best-practices IT Governance, sepertinya aspek IT Leadership di mayoritas RS Indonesia mungkin belum terlalu kuat. Mungkin ini jadi sebab utama mengapa alignment TI dan Bisnis RS jarang sampai pada level strategis, sehingga mayoritas keberadaan TI di RS hanya untuk otomasi proses bisnis saja. Mungkin masih jarang RS yang menempatkan TI sebagai aspek strategis, sebagai salah satu strategi meningkatkan customer retention atau bahkan memenangkan persaingan. Secara umum dari peserta training sepertinya yg menjadi value dari TI masih terbatas pada efisiensi saja, walaupun belum ada yang sampai bisa membuat analisa kuantitatif tentang ini.

Salah satu wacana yang ada dalam training ini adalah mungkinkah membentuk Komite TI di Rumah Sakit?

Saya pernah punya pengalaman di dua BUMN yang pada awalnya ownership dari program-program TI sangat lemah, sehingga TI tak terlalu dianggap di perusahaan itu. Salah satu obat mujarab adalah menguatkan IT Leadership dengan pendekatna Komite TI ini. Komite TI dipimpin bukan orang TI, tapi salah satu top executive perusahaan dan beranggotakan seluruh stakeholder, dimana TI ada di situ juga. Komite ini punya dua agenda prioritas misalnya seperti ini:

  1. Menetapkan agenda-agenda TI strategis bagi perusahaan. Jadi nanti kalau agenda strategis itu dieksekusi, maka sponsorship dipastikan didapatkan.
  2. Melakukan review atas kinerja TI dan value yang tercapai dari implementasi TI.

Mungkin ini bisa dipertimbangkan, biar effort TI lebih memiliki value.

Filed under IT Governance, Teknologi Informasi

Blueprint TI Rumah Sakit

December 13, 2009 6 Comments

9-10 Desember 2009, minggu lalu, kami menyelenggarakan CPE tentang Penyusunan Blueprint TI untuk Rumah Sakit. Peserta yang hadir di antaranya dari RS Cipto Jakarta, RS Imanuel Bandung, RS Santo Yusuf Bandung, RS Atmajaya Jakarta, RS Pasar Rebo Jakarta, RS Islam Pondok Kopi, RS Islam Cempaka Putih Jakarta, PKU Muhammadiyah Bantul, RS Fatmawati Jakarta, RS Gambiran Kediri.

Berikut ini adalah materi-materi yang dibahas dalam CPE minggu lalu itu:

  1. Strategi Alignment antara TI dan Bisnis Rumah Sakit
  2. State of The Art Arsitektur Aplikasi untuk Rumah Sakit
  3. State of The Art Arsitektur Infrastruktur untuk Rumah Sakit
  4. State of The Art Tata Kelola TI untuk Rumah Sakit
  5. Manajemen Investasi dan Roadmap
  6. Step-by-step penyusunan Blueprint TI untuk Rumah Sakit (disertai template yang telah disediakan sebelumnya)

Berdasarkan sharing yang ada di CPE ini, implementasi TI di Rumah Sakit termasuk bidang yang mungkin termasuk tertinggal dibandingkan dengan bidang-bidang lain. Terutama hal ini terjadi di kabupaten/kota, di luar ibukota propinsi. Implementasi TI untuk membantu proses bisnis Rumah Sakit masih terbatas. Masalah-masalah umum yang ada, yang sempat dishare misalnya adalah:

  1. Permasalahan Arsitektur TI
    • Sudah banyak dikembangkan aplikasi, tetapi aplikasi berdiri sendiri-sendiri sebagai pulau-pulau terpisah.
    • Khususnya untuk Rumah Sakit pemerintah, regulasi hampir tiap tahun berubah dan seringkali perubahan ini cukup drastis merubah proses bisnis, yang pada akhirnya membuat banyak perubahan di sisi sistem aplikasi
    • Aspek keamanan saat ini belum terlalu diprioritaskan, karena masalah harian mayoritas adalah aspek fungsionalitas sistem aplikasi, bagaimana bisa mengakomodir keinginan stakeholder yang bergerak cepat.
    • Infrastruktur TI mayoritas tidak didesain berdasarkan asas-asas desain infrastruktur yang memperhatikan aspek keamanan dan skalabilitas. Mungkin hal ini karena dianggap infrastruktur hanya support saja.
  2. Permasalahan Tata Kelola TI
    • Pengembangan sistem aplikasi seringkali gagal. Beberapa rumah sakit yang hadir di CPE ini ada menceritakan harus melakukan pembongkaran total sehingga baru di implementasi ketiga sistem bisa berjalan. Tentu saja ini melibatkan pergantian produk dan vendor yang berulang.
    • Posisi TI dalam struktur organisasi yang “MojoK”, minjam istilah Pak Rahmat dari RSCM. Posisi yang “mojok” ini dikarenakan persepsi TI yang dianggap bukan hal strategis di Rumah Sakit. Atau kalaupun dianggap strategis, tetapi pada kenyataanya sponshorship dari top management tidaklah terlalu kuat.
    • Organisasi TI mayoritas “dipaksa” untuk hemat SDM, sehingga untuk membuat struktur organisasi yang ideal harus banyak memutar otak.

Terima kasih bagi seluruh peserta atas kepercayaannya. Semoga ke depan benar-benar bisa terlaksana adanya forum penggiat TI untuk Rumah Sakit di Indonesia, seperti yang disampaikan di penutupan training.

Filed under IT Governance, Teknologi Informasi

Kemandirian FOSS Indonesia?

October 20, 2009 2 Comments

Bulan ini sampai nopember diminta teman untuk gabung buat Roadmap FOSS Indonesia. Kerjaan ini di Kominfo. Pertemuan pertama ketemu dengan beberapa orang dari BPPT/Ristek, Aspiluki dan Pak Made Wiryana sebagai salah satu god father FOSS di Indonesia. Pertemuan yang menarik dengan masukan yang sangat konstruktif.

Kalau 5 tahun ke depan, mungkinkan sebagian besar layanan publik menggunakan FOSS yang diproduksi oleh anak negeri? Mungkinkan 10 tahun ke depan FOSS semakin banyak diadopsi oleh sektor swasta bahkan bisa menjadi salah satu komoditi ekspor, seiring dengan tumbuhnya industri perangkat lunak di Indonesia dan sinergisme dunia pendidikan, pelatihan dan penelitian?

Kami sekarang sedang mengumpulkan berbagai literatur penunjang, khususnya bagaimana FOSS yang sudah berhasil di negara-negara lainnya. Kalau ada masukan, sangat berterima kasih.

Filed under Teknologi Informasi

PBI 9/15/PBI/2007 mengadopsi FFIEC IT Examination Handbook?

September 3, 2009 5 Comments

Tahun lalu saya ada training tentang PBI ITRM ini. Pemahaman saya, PBI tentang ITRM untuk Bank Umum ini tidak akan terlalu jauh dari bagaimana Basel II menetapkan kriteria pengelolaan risiko operasional, karena risiko terkait TI merupakan bagian dari risiko operasional. Setelah pelajari berbagai publikasi tentang Basel, saya juga menemukan sekumpulan dokumen menarik tentang IT Examination Handbook. Serangkaian dokumen ini dirisilis oleh FFIEC (Federal Financial Institution Examinations Council), sebuah lembaga di US sono yang secara umum profilnya sbb:

The Council is a formal interagency body empowered to prescribe uniform principles, standards, and report forms for the federal examination of financial institutions by the Board of Governors of the Federal Reserve System (FRB), the Federal Deposit Insurance Corporation (FDIC), the National Credit Union Administration (NCUA), the Office of the Comptroller of the Currency (OCC), and the Office of Thrift Supervision (OTS), and to make recommendations to promote uniformity in the supervision of financial institutions. In 2006, the State Liaison Committee (SLC) was added to the Council as a voting member. The SLC includes representatives from the Conference of State Bank Supervisors (CSBS), the American Council of State Savings Supervisors (ACSSS), and the National Association of State Credit Union Supervisors (NASCUS).

Jadi tugas FFIEC ini menetapkan prinsip, standar dan form-form report, serta membuat rekomendasi untuk memastikan keseragaman dalam melaksanakan supervisi institusi keuangan di US sana. FFIEC ini mempublikasikan InfoBase yang berisi IT Booklet, Resources, Presentation dan Glossary yang ditujukan untuk menyediakan Just-In-Time Training untuk regulasi baru dan topik lain yang menjadi concern para auditor/penguji di lembaga berikut:

  • Federal Reserve Board
  • Federal Deposit Insurance Corporation
  • National Credit Union Administration
  • Office of Comptroller of the currency
  • Office of Thrift supervision

Berikut ini adalah link untuk infobase tersebut:

http://www.ffiec.gov/ffiecinfobase/index.html

Dan berikut ini adalah link untuk IT Booklet yang isinya merupakan IT Examination Handbook:

http://www.ffiec.gov/ffiecinfobase/html_pages/It_01.html

Nah, jika dibandingkan dengan dengan publikasi Surat Edaran BI yang menjelaskan lebih detail tentang PBI 9/15/PBI/2007 yaitu SE No. 30/DPNP maka kita akan mendapatkan kemiripan yang sangat antara IT Examination Handbook dengan SE No. 30/DPNP. SE No. 30/DPNP terdiri dari 10 bab, sedangkan IT Examination Handbook terdiri dari 10 dokumen. Yang tidak dirujuk dalam SE No. 30/DPNP hanya “Wholesale Payment System”.

Saya sudah sempat membandingkan konten masing-masing bab dalam SE No. 30/DPNP dan dokumen terkait dalam FFIEC IT Examination Handbook. TIdak persis sama, tetapi sangat mirip dan memang telah dimodifikasi.

Untuk regulasi sekelas PBI, saya membayangkan seharusnya BI juga merilis logbook yang akan menjelaskan kepada kita apa saja referensi yang digunakan, apa metodologi yang digunakan dan alasan-alasan apa saja yang digunakan untuk menyesuaikan berbagai referensi tadi dengan kebutuhan Indonesia, jika memang harus mengadopsi. Mungkin ini ada dan saya tidak tahu, tetapi ketika nyari-nyari ke website BI kok tidak ketemu ya? Mungkin ada yang tahu?

Dari beberapa seri training yang kami selenggarakan, ada banyak keluhan dari TI bank-bank khususnya bank menengah kecil tentang implementasi PBI ITRM ini. Pertanyaan paling dasar: tepatkan konstruksi regulasi ITRM untuk bank umum seperti PBI ini? Kalau kita bandingkan dengan ISO 27005 (Security Risk Management) maka kita dapat melihat perbedaan yang sangat mencolok dengan PBI ini.

ITRM menurut saya lebih ditekankan pada orientasi proses, apakah sebuah bank sudah menjalankan PROSES MANAJEMEN RISIKO TI? Karena profil risiko tiap bank bisa beda, proses manajemen risiko TI yang dijalankan bisa sama, tetapi konstruksi kontrol TI-nya bisa berbeda-beda.

PBI 9/15/PBI/2007, dengan format dokumen seperti itu, lebih cenderung membuat STANDARISASI KONTROL TI dibandingkan mendorong bank-bank umum menjalankan proses manajemen risiko TI-nya sendiri. Kalau memang ini benar terjadi, maka berbagai keluhan dari pihak perbankan sekarang ini tentang betapa berdarah-darahnya mereka yang harus mengimplementasikan PBI ITRM ini jadi masuk akal, karena lebih ke standarisasi kontrol dibandingkan dengan keberjalanan proses.

Bullet

Federal Reserve Board,
Bullet

Federal Deposit Insurance Corporation,
Bullet

National Credit Union Administration,
Bullet

Office of the Comptroller of the Currency, and
Bullet

Office of Thrift Supervision.

Filed under IT Governance, IT Security, Teknologi Informasi

COBIT dan Blueprint TI

August 14, 2009 5 Comments

Baru-baru ini saya membaca hasil kerja dari sebuah perusahaan yang judul kerjaanya adalah penyusunan rencana induk TIK di sebuah departemen. Ada dua lingkup besar: Audit TI dan Penyusunan Rencana Induk sebagai kelanjutan dari hasil Audit TI. Audit TI menggunakan COBIT, memilih 20 proses dari 34 proses COBIT.

Apakah COBIT tepat digunakan untuk keperluan penyusunan Rencana Induk TI seperti ini?

Mungkin biar kita obyektif menganalisanya, kita perlu tahu apakah Rencana Induk TI itu? Di Indonesia ini ada berbagai macam istilah: Rencana Induk, Master Plan, Blueprint, Rencana Strategis. Kalau best practice sih ya adanya Strategic Plan, Detail Plan dan Annual Plan, silakan dilihat di COBIT untuk ini. Kalau dibuat sederhana, IT Plan harus berisi setidaknya berikut ini:

  • Dokumentasi arsitektur bisnis
  • Dokumentasi arsitektur informasi
  • DOkumentasi arsitektur aplikasi
  • Dokumentasi arsitektur teknologi
  • Dokumentasi tata kelola (IT Governance)
  • Manajemen portofolio (roadmap program/proyek, kebutuhan investasi, cost-benefit analysis/ROI/dsj)

Audit TI menggunakan COBIT dalam pekerjaan di atas, yang keluaran akhirnya adalah maturity level untuk 20 proses yang dipilih, apakah tepat untuk input sebuah Rencana Induk TI?

Coba bedakan dua hal berikut ini:

  • Arsitektur bangunan
  • Cara pengelolaan bangunan

Tentu saja beda antara dua hal itu. Nah, cara audit seperti yang saya kemukakan dalam pekerjaan yang saya review itu HANYA MENYENTUH CARA PENGELOLAAN. COBIT itu bukan referensi Arsitektur TI, COBIT itu referensi kontrol TI atau Tata Kelola TI. Menurut saya, adalah tidak tepat menggunakan COBIT sebagai pendekatan utama kegiatan audit yang akan digunakan sebagai input penyusunan Cetak Biru Arsitektur TI. Pertanyaan-pertanyaan ini tidak akan bisa dijawab dengan audit menggunakan COBIT:

  • Apalah prinsip-prinsip TI yang ada sesuai dengan kebutuhan arsitektur bisnis?
  • Manakah proses-proses bisnis utama yang dukungan TI-nya kurang, manakah yang belum?
  • Apa risiko kondisi eksisting TI terhadap pencapaian tujuan bisnis organisasi/perusahaan?

Menurut saya ini kesalahan paling sering orang menggunakan COBIT untuk mengaudit TI. COBIT tidak dapat digunakan untuk untuk semua hal, karena dia memposisikan dirinya sebagai IT Control Framework dan IT Governance Model, berarti dia hanya bisa digunakan sebagai referensi untuk implementasi/audit IT Control (utk berbagai tipe sistem TI, walaupun untuk detailnya COBIT harus menengok banyak standar/framework lain yang lebih aplikatif) dan IT Governance.

Filed under IT Governance, Teknologi Informasi

Audit Arsitektur TI

May 12, 2009 2 Comments

Auditing IT Architecture

Apakah IT Architecture itu? Kalau dalam dunia sipil, Arsitektur Bangunan menjelaskan tentang desain detail sebuah bangunan: bagaimana bentuk detail bangunan dan apa saja bahan yang digunakan; tentu saja merujuk kepada satu hal paling mendasar: bangunan itu diperuntukkan untuk apa? Demikian pula Arsitektur TI, dia merupaka DESAIN dan SPESIFIKASI “bangunan” TI di sebuah organisasi atau perusahaan. Idealnya Arsitektur TI itu mencerminkan strategi bisnis, dan potensi TI sangat luar biasa dalam domain ini. Organisasi atau perusahaan yang terbawa arus “Demam TI” tidak akan pernah menghasilkan nilai tambah yang berarti. Hanya organisasi atau perusahaan yang memiliki Arsitektur TI yang paling tepatlah yang paling bisa mendayagunakan TI untuk bisnisnya.

Investasi TI itu tidak murah, apalagi daur hidupnya yang tidak panjang-panjang amat, ambillah per 5 tahunan. Satu faktor utama lain yang mesti selalu diperhatikan: tantangan terbesar implementasi TI ternyata adalah manajemen perubahan individu dan organisasi. Semahal apa pun investasi TI digelontorkan, tidak akan berguna kalau manajemen perubahan itu tidak dilakukan. Masalahnya manajemen perubahan itu tidak mudah, jauh lebih mudah pengadaan teknologinya tentu saja. Dengan kata lain, investasi TI itu tidak sederhana, bukan hanya beli aplikasi atau perangkat keras, tetapi mengkombinasikan solusi teknologi tadi dengan pendekatan individu dan organisasi.

Mengapa Audit Arsitektur TI diperlukan? Kalau hal-hal di bawah ini terjadi, mungkin bisa dipertimbangkan mengapa perlu audit Arsitektur TI:

  1. Investasi TI sudah dilakukan sekian tahun, tapi tidak banyak berarti dalam memenangkan persaingan bisnis. Tetap saja tak ada perbedaan signifikan perusahaan kita dengan yang lain.
  2. Aplikasi banyak dibangun, tetapi tetap saja ditemui kesulitan dalam memonitor keberjalanan bisnis. Bahkan mungkin lebih ironis lagi, manajemen atau eksekutif pengambilan keputusannya masih didasarkan pada laporan-laporan manual, di tiap-tiap rapat koordinasi setiap manajer bidang membawa laporan segepok.
  3. Pelaporan-pelaporan bisnis tidak bertambah efisien secara berarti.
  4. Pertukaran informasi dan komunikasi antar staff dan unit kerja masih mengandalkan pola-pola konvensional.
  5. Dulu pakai manual cepat, sekarang pakai berbagai aplikasi malah prosesnya semakin lama?

Jadi Audit Arsitektur TI ini bisa jadi sangat strategis untuk sebuah organisasi atau perusahaan. Setidaknya, berikut ini adalah pertanyaan-pertanyaan yang ingin dijawab dengan Audit Arsitektur TI ini:

  1. Apakah seluruh layanan bisnis telah difasilitasi oleh sistem informasi yang memadai? Untuk setiap layanan bisnis yang telah difasilitasi oleh sistem informasi: apakah keberadaannya benar-benar memberikan nilai berarti bagi bisnis?
  2. Apakah sistem informasi yang ada sekarang ini mengimplementasikan platform yang dapat mengakomodir persyaratan pertumbuhan kapasitas dan keamanan yang memadai?
  3. Apakah seluruh sistem informasi yang ada sekarang ini mengakomodir kebutuhan integrasi sistem?
  4. Apakah informasi yang dihasilkan oleh seluruh sistem informasi dapat digunakan untuk monitoring operasional secara cepat dan dasar pengambilan keputusan yang akurat bagi top level management?
  5. Dan ujungnya: Apakah Arsitektur TI saya saat ini sudah sesuai dengan Arsitektur Bisnis saya?

Semoga di tulisan mendatang bisa dilanjut dengan sekilas pendekatan yang dapat digunakan untuk melakukan Audit Arsitektur TI ini.

Filed under IT Architecting, IT Audit, Teknologi Informasi

Older posts