Risk-Based dalam audit, maksudnya apa?

March 26, 2019 Leave a comment

Suatu hari diskusi dengan seorang teman Kepala Divisi TI di sebuah perusahaan. Singkatnya dia komplain atas sebuah hasil audit TI. Terdapat temuan yang mengharuskannya mengkonsolidasikan beberapa aplikasi ke dalam satu aplikasi fisik. Argumentasi auditor, arsitektur eksisting menyebabkan data tidak real time ke MIS (dashboard). Teman saya ini berkata: lho bisnis butuhnya memang tak real time, karena itu dashboard. Manajemen menyampaikan cukup H-1 untuk mengambil keputusan.

#1 – Kontrol dipilih berbasis risiko

Kegiatan audit dilakukan berdasarkan program audit. Program audit berisi daftar kontrol yang harus diperiksa, dan bagaimana prosedur auditnya. Daftar kontrol yang menjadi lingkup audit dipilih berdasarkan profil risiko yang dihasilkan dari kegiatan risk assessment.

Dengan kata lain, tidak boleh sebuah kontrol menjadi lingkup audit jika tak bisa dijawab apa risiko jika kontrol tersebut tak efektif.

#2 – Temuan disusun dalam perspektif risiko

Sebuah kondisi dinyatakan sebagai temuan jika ada risiko terkait dengannya. Jika tak ada risiko terkait dengannya, maka tak bisa dikatakan sebagai temuan. Seorang auditor tidak dapat menyandarkan pertimbangan efektif atau tidaknya kontrol berdasarkan pertimbangannya sendiri, tetapi harus merujuk kepada konteks risiko auditee.

Misalnya dalam konteks studi kasus di awal: kalau kondisi sekarang tidaklah menyebabkan risiko, maka tidak obyektif jika kondisi tersebut menjadi temuan.

Filed under IT Audit

Audit atas Penyelenggaraan Electronic Banking (1)

April 15, 2015 1 Comment

OJK bulan lalu meminta seluruh bank untuk lebih memperhatikan keamanan TI, khususnya internet banking. OJK mendorong (atau mewajibkan?) bank-bank untuk melakukan audit atas sistem keamanan TI. Hal ini sepertinya dipicu oleh laporan kejadian di BCA (laporan awal yang menyerang 1000 nasabah (06/03/2015) dan kemudian diralat ternyata hanya mengenai 43 nasabah (06/03/2015)) dan Bank Mandiri (malware pencuri uang (06/03/2015)).

Prinsip-prinsip untuk manajemen risiko penyelengaraan electronic banking telah ditetapkan sejak lama oleh Basel Committee on Bank Supervision pada tahun 20o3, sebagai berikut:

  1. Board and management oversight
    • Effective management oversight of e-banking activities
    • Establishment of a comprehensive security controls process
    • Comprehensive due diligence and management oversight process for outsourcing relationships and other third-party dependencies.
  2.  Security controls
    • Authentication of e-banking customers
    • Non-repudiation and accountability for e-banking transactions
    • Appropriate measures to ensure segregation of duties
    • Proper authorization controls within e-banking systems, databases and applications
    • Data integrity of e-bangking transactions, records and information
    • Establishment of clear audit trail for e-banking transactions
    • Confidentiality of key bank information
  3. Legal and reputational risk management
    • Appropriateness disclosure for e-banking services
    • Privacy of customer information
    • Capacity, business continuity and contingency planning to ensure availability of e-banking systems and services
    • Incident response planning

BI juga merilis pedoman untuk ini, yaitu di Lampiran Surat Edaran Bank Indonesia Nomor: 9/30/DPNP Tanggal 12 Desember 2007 khususnya di Bab VIII tentang Electronic Banking. Dokumen tentang ini dapat diperoleh di sini.

Kejadian di BCA dan Mandiri ini sepertinya memang lebih spesifik ke aspek system authentication dan users’s security awareness. Tetapi sebagai regulator, bisa jadi OJK menjadikan ini sebagai pintu masuk untuk meningkatkan kontrol pada penyelenggaraan electronic banking secara keseluruhan. Sebagai catatan penting, masih banyak bank di Indonesia ini yang melakukan outsourcing ke pihak ketiga atas penyelenggaraan electronic banking-nya, termasuk internet banking. Kebijakan penggunaan outsourcing secara prinsip tidak bermasalah, asal kontrol diimplementasikan secara memadai.

Untuk kepentingan audit, prinsip-prinsip di atas perlu diturunkan dalam kontrol-kontrol kritikal. Kontrol-kontrol kritikal tersebut yang akan menjadi lingkup audit. Merujuk kepada metodologi standar audit, untuk mengidentifikasi kontrol-kontrol kritikal tersebut perlu untuk melihat konteks organisasi dan arsitektur teknis. Tulisan selanjutnya akan membahas tentang kontrol-kontrol kritikal di prinsip-prinsip electronic banking. Jika tidak memungkinkan semua, kemungkinan akan lebih difokuskan pada aspek security controls.

Filed under IT Audit, IT Security, Teknologi Informasi

Manajemen Investasi: Kelemahan Utama IT Blueprint

April 15, 2010 2 Comments

IT Blueprint itu bisa strategis, bisa tidak. Kualitas sebuah IT Blueprint akan ditentukan seberapa besar dampaknya atas organisasi atau perusahaan. Semakin strategis kalau dampaknya semakin besar.

Mungkin 90% orang yang mengerjakan IT Blueprint itu basic utamanya memang orang TI. Karena orang TI, seringkali terlalu asyik membuat desain teknikal yang sophisticated. That’s right, but not enough. Dalam sebuah presentasi tender di salah satu BUMN yang akhirnya kami menangkan, kami ditanya tentang apakah kunci dari IT Blueprint yang akan kami usulkan itu akan jalan? Saat itu saya jawab: Manajemen Investasi TI!! Sebaik apa pun Bapak/Ibu punya desain teknis arsitektur aplikasi, arsitektur infrastruktur dan organisasi TI, tak akan bisa dijalankan kalau tak ada manajemen investasinya.

Manajemen investasi ini setidaknya menginformasikan:

  1. Apa hubungan sebuah proyek TI dengan agenda strategis bisnis?
  2. Apa value yang akan tercipta dengan implementasi TI ini?
  3. Berapa cost project yang harus disiapkan dalam sebuah durasi tahun tertentu?
  4. Berapa benefit kuantitatif dan kualitatif atas proyek TI yang akan dijalankan?
  5. Bagaimana studi kelayakan ekonominya? Mau pakai apa? Cost-Benefit Analysis, IRR, Payback Period, ……..

Manajemen investasi ini sebaiknya dikemas lagi dalam dokumen-dokumen Business Case. Kalau menggunakan pendekatan Program/Project Portfolio, minimal setiap Program TI (setiap program TI akan terdiri dari beberapa proyek TI) akan memiliki business case ini. Business case ini berisi 5 poin utama di atas, plus manajemen risiko dan manajemen perubahan yang dibutuhkan.

Jadi “tool marketing” dari IT Blueprint itu pasnya bukan dokumen IT Blueprint yang biasanya tebal-tebal itu, tapi business case program. Jadi IT Blueprint kita bahasakan dalam bahasa bisnis. Sepertinya ke depan cara-cara seperti di atas akan lebih memberikan dampak bagi organisasi.

KESIMPULAN: Membuat IT Blueprint itu tak susah, yang susah itu melaksanakannya. Manajemen Investasi dan Business Case diperlukan untuk memudahkan pelaksanaan yang susah itu.

Filed under IT Governance, Teknologi Informasi

Persoalan umum implementasi TI di Rumah Sakit

April 15, 2010 Leave a comment

Program CPE kedua tentang Penyusunan IT Blueprint untuk Rumah Sakit alhamdulillah berjalan lancar kira-kira 2 minggu yang lalu. Yang menarik dari penyelenggaraan kedua ini adalah tipikal pesertanya. Jika di penyelenggaraan pertama pesertanya mayoritas memang orang TI, di penyelenggaraan kedua ini adalah manajemen eksekutif rumah sakit dan bahwan owner rumah sakit (dalam hal ini RS swasta).

Tentu saja cara pandangnya jadi agak beda, dan karena itu pula materi-materi dimodifikasi ulang. Intinya lebih ditekankan kepada hal-hal strategis seperti:

  1. Seberapa strategis sih TI untuk rumah sakit?
  2. Bagaimana memposisikan TI sebagai alat untuk menjadi competitive/comparative advantage dibandingkan dengan RS lain?
  3. Plus state-of-the-art arsitektur aplikasi dan infrastruktur

Beberapa yang menarik dan menjadi kesimpulan dari training adalah sbb:

  1. Setelah membahas berbagai case yang ada, akhirnya dapat kesimpulan bersama: TI itu strategis lho untuk Rumah Sakit-Rumah Sakit di Indonesia.
  2. Setidaknya poin pertama menjadi referensi penting. Nah, tapi nilai strategis TI bagi RS-RS di Indonesia masih jauh dari potensi yang sebenarnya ada. Beberapa persoalan berikut ini yang sempat dibahas dalam sesi training kemarin itu.
    • Strategic Alignment yang masih rendah – RS-RS di Indonesia secara umum masih belum memiliki pola bagaimana menurunkan arahan strategis TI yang diturunkan dari rencana bisnis RS. Karena pembahasan ini jarang sekali dilakukan, akhirnya implementasi TI di RS mayoritas hanya mengikuti trend: sistem informasi ini dan itu…. Kalau tetangga pakai itu, ya kita butuh itu…. sederhananya begitu. Jadi secara faktual memang TI belum dianggap hal strategis, walaupun teorinya disadari strategis.
    • Kapasitas manajemen TI yang belum optimal Struktur organisasi di RS-RS pemerintah sudah ditetapkan oleh regulasi dari depkes. Nah, regulasi dari Depkes ini sepertinya belum “tersibghoh” dengan panduan Tata Kelola TI yang dikeluarkan oleh Dewan TIK Nasional. Mau membuat Komite TI juga agak susah, karena berdasarkan regulasi tersebut sebuah komite harus di bawah salah satu direktur. Hal ini tidak dihadapi oleh RS swasta. Jadi ada bbrp RS swasta yang posisi TI di leher, sehingga jauh lebih powerfull.
    • IT Leadership yang masih lemah – Harus diakui bahwa mayoritas RS masih memandang TI hanya sekedar supporting, alat untuk ngolah data dan buat laporan. Nothing else. Manajemen eksekutif RS belum memposisikan TI sebagai aset strategis bagi bisnis RS. Faktor ini, ditambah dengan faktor kapasitas manajemen TI yang terbatas, berkelindan menjadi sebuah titik lemah utama implementasi TI di RS Indonesia.
    • SDM TI RS yang masih lemah SDM TI di RS Indonesia, mostly, belum sekuat seperti di sektor-sektor bisnis lainnya. Mungkin ini terkait dengan persepsi atas TI yang belum dianggap aset strategis di atas.
    • Tingkat kegagalan yang tinggi dalam implementasi sistem informasi – Yang menarik, ternyata jarang sekali RS yang bisa sekali jadi untuk implementasi aplikasi SIM Rumah Sakit mereka. Kegagalan 3-4 kali ternyata banyak sekali ditemui. Apakah ini karena ketidakmampuan vendor-vendornya ataukan pola hubungan TI (plus vendor) dengan BPO (Business Process Owner) di RS yang tidak baik? Perlu ditelaah lebih lanjut untuk hal ini.
    • Sistem banyak tapi tetap susah mendapatkan informasi manajemen – Sistem aplikasi banyak dikembangkan, tetapi masih pulau-pulau terpisah. Kalau mau terintegrasi, banyak yg akhirnya harus memakai solusi satu vendor. Tentu saja ada risiko di sini.

Semoga bermanfaat untuk mentransformasi RS di Indonesia, sehingga masyarakat lebih suka membelanjakan dananya di RS Indonesia daripada ke RS negeri tetangga yang menampung uang-uang hasil jarahan dari negeri kita ini. Sudah sumberdaya kita dicuri, uang hasil korupsi ditampung mereka, eh… sakit pun kita lebih suka ke sana.

Sorry utk paragraf terakhir.

Filed under IT Governance, Teknologi Informasi

Komite TI di Rumah Sakit?

January 7, 2010 1 Comment

Dari training bulan Desember 2009 (IT Blueprint Untuk RS) banyak sharing tentang permasalahan yang ada di penyelenggaraan TI Rumah Sakit. Yang menarik adalah beragamnya posisi TI dalam struktur organisasi. Ada yang di leher, ada yang di bawah salah satu direktur (dipimpin Manajer TI), atau ada yang hanya sebuah seksi yang menjadi bagian dari kesekretariatan.

Ada statemen dari peserta yang menarik: “Kalau ditanya ke pimpinan apakah TI itu penting, maka semua pimpinan akan selalu bilang bahwa TI itu penting. Tapi dalam kenyatannya tidaklah seperti itu. Untuk mendapatkan dana bagi pengembangan tidaklah mudah. Mayoritas kesibukan adalah menghandle hal-hal operasional harian, sehingga aspek strategis hampir tidak tersentuh”.

Kalau melihat best-practices IT Governance, sepertinya aspek IT Leadership di mayoritas RS Indonesia mungkin belum terlalu kuat. Mungkin ini jadi sebab utama mengapa alignment TI dan Bisnis RS jarang sampai pada level strategis, sehingga mayoritas keberadaan TI di RS hanya untuk otomasi proses bisnis saja. Mungkin masih jarang RS yang menempatkan TI sebagai aspek strategis, sebagai salah satu strategi meningkatkan customer retention atau bahkan memenangkan persaingan. Secara umum dari peserta training sepertinya yg menjadi value dari TI masih terbatas pada efisiensi saja, walaupun belum ada yang sampai bisa membuat analisa kuantitatif tentang ini.

Salah satu wacana yang ada dalam training ini adalah mungkinkah membentuk Komite TI di Rumah Sakit?

Saya pernah punya pengalaman di dua BUMN yang pada awalnya ownership dari program-program TI sangat lemah, sehingga TI tak terlalu dianggap di perusahaan itu. Salah satu obat mujarab adalah menguatkan IT Leadership dengan pendekatna Komite TI ini. Komite TI dipimpin bukan orang TI, tapi salah satu top executive perusahaan dan beranggotakan seluruh stakeholder, dimana TI ada di situ juga. Komite ini punya dua agenda prioritas misalnya seperti ini:

  1. Menetapkan agenda-agenda TI strategis bagi perusahaan. Jadi nanti kalau agenda strategis itu dieksekusi, maka sponsorship dipastikan didapatkan.
  2. Melakukan review atas kinerja TI dan value yang tercapai dari implementasi TI.

Mungkin ini bisa dipertimbangkan, biar effort TI lebih memiliki value.

Filed under IT Governance, Teknologi Informasi

Blueprint TI Rumah Sakit

December 13, 2009 6 Comments

9-10 Desember 2009, minggu lalu, kami menyelenggarakan CPE tentang Penyusunan Blueprint TI untuk Rumah Sakit. Peserta yang hadir di antaranya dari RS Cipto Jakarta, RS Imanuel Bandung, RS Santo Yusuf Bandung, RS Atmajaya Jakarta, RS Pasar Rebo Jakarta, RS Islam Pondok Kopi, RS Islam Cempaka Putih Jakarta, PKU Muhammadiyah Bantul, RS Fatmawati Jakarta, RS Gambiran Kediri.

Berikut ini adalah materi-materi yang dibahas dalam CPE minggu lalu itu:

  1. Strategi Alignment antara TI dan Bisnis Rumah Sakit
  2. State of The Art Arsitektur Aplikasi untuk Rumah Sakit
  3. State of The Art Arsitektur Infrastruktur untuk Rumah Sakit
  4. State of The Art Tata Kelola TI untuk Rumah Sakit
  5. Manajemen Investasi dan Roadmap
  6. Step-by-step penyusunan Blueprint TI untuk Rumah Sakit (disertai template yang telah disediakan sebelumnya)

Berdasarkan sharing yang ada di CPE ini, implementasi TI di Rumah Sakit termasuk bidang yang mungkin termasuk tertinggal dibandingkan dengan bidang-bidang lain. Terutama hal ini terjadi di kabupaten/kota, di luar ibukota propinsi. Implementasi TI untuk membantu proses bisnis Rumah Sakit masih terbatas. Masalah-masalah umum yang ada, yang sempat dishare misalnya adalah:

  1. Permasalahan Arsitektur TI
    • Sudah banyak dikembangkan aplikasi, tetapi aplikasi berdiri sendiri-sendiri sebagai pulau-pulau terpisah.
    • Khususnya untuk Rumah Sakit pemerintah, regulasi hampir tiap tahun berubah dan seringkali perubahan ini cukup drastis merubah proses bisnis, yang pada akhirnya membuat banyak perubahan di sisi sistem aplikasi
    • Aspek keamanan saat ini belum terlalu diprioritaskan, karena masalah harian mayoritas adalah aspek fungsionalitas sistem aplikasi, bagaimana bisa mengakomodir keinginan stakeholder yang bergerak cepat.
    • Infrastruktur TI mayoritas tidak didesain berdasarkan asas-asas desain infrastruktur yang memperhatikan aspek keamanan dan skalabilitas. Mungkin hal ini karena dianggap infrastruktur hanya support saja.
  2. Permasalahan Tata Kelola TI
    • Pengembangan sistem aplikasi seringkali gagal. Beberapa rumah sakit yang hadir di CPE ini ada menceritakan harus melakukan pembongkaran total sehingga baru di implementasi ketiga sistem bisa berjalan. Tentu saja ini melibatkan pergantian produk dan vendor yang berulang.
    • Posisi TI dalam struktur organisasi yang “MojoK”, minjam istilah Pak Rahmat dari RSCM. Posisi yang “mojok” ini dikarenakan persepsi TI yang dianggap bukan hal strategis di Rumah Sakit. Atau kalaupun dianggap strategis, tetapi pada kenyataanya sponshorship dari top management tidaklah terlalu kuat.
    • Organisasi TI mayoritas “dipaksa” untuk hemat SDM, sehingga untuk membuat struktur organisasi yang ideal harus banyak memutar otak.

Terima kasih bagi seluruh peserta atas kepercayaannya. Semoga ke depan benar-benar bisa terlaksana adanya forum penggiat TI untuk Rumah Sakit di Indonesia, seperti yang disampaikan di penutupan training.

Filed under IT Governance, Teknologi Informasi

Kemandirian FOSS Indonesia?

October 20, 2009 2 Comments

Bulan ini sampai nopember diminta teman untuk gabung buat Roadmap FOSS Indonesia. Kerjaan ini di Kominfo. Pertemuan pertama ketemu dengan beberapa orang dari BPPT/Ristek, Aspiluki dan Pak Made Wiryana sebagai salah satu god father FOSS di Indonesia. Pertemuan yang menarik dengan masukan yang sangat konstruktif.

Kalau 5 tahun ke depan, mungkinkan sebagian besar layanan publik menggunakan FOSS yang diproduksi oleh anak negeri? Mungkinkan 10 tahun ke depan FOSS semakin banyak diadopsi oleh sektor swasta bahkan bisa menjadi salah satu komoditi ekspor, seiring dengan tumbuhnya industri perangkat lunak di Indonesia dan sinergisme dunia pendidikan, pelatihan dan penelitian?

Kami sekarang sedang mengumpulkan berbagai literatur penunjang, khususnya bagaimana FOSS yang sudah berhasil di negara-negara lainnya. Kalau ada masukan, sangat berterima kasih.

Filed under Teknologi Informasi

Older posts