Framework Audit Sistem Informasi
Framework merupakan sekumpulan perintah/fungsi dasar yang dapat membantu dalam menyelesaikan proses-proses yang lebih kompleks, menangani berbagai masalah dalam pemrograman seperti koneksi database, pemanggilan variable, dll. Sehingga developer lebih fokus dan lebih cepat membangun aplikasi. Secara sederhana dapat dijelaskan bahwa framework adalah kumpulan fungsi-fungsi yang sudah ada sehingga programmer tidak perlu lagi membuat fungsi-fungsi (kumpulan library) dari awal, yang tentunya tinggal memanggil kumpulan library tersebut didalam framework. Fungsi-fungsi standar yang telah tersedia dalam suatu framework adalah fungsi enkripsi, session, security, manipulasi gambar, grafik, validasi, upload, template dan lain-lain.
Control Objective for Information and Related Technology (COBIT)
COBIT memberikan kebijaksanaan yang jelas dan praktik yang baik dalam tata kelola teknologi informasi dengan membantu manajemen senior dalam memahami dan mengelola resiko yang terkait dengan tata kelola teknologi informasi dengan cara memberikan kerangka kerja cara teknologi informasi dan panduan tujuan pengendalian terinci / detailed control objective bagi pihak manajemen, pemilik proses bisnis, pengguna dan juga auditor [11].
Adapun tools yang dapat kita gunakan untuk audit sistem informasi adalah menggunakan kerangka kerja COBIT. Konsep kerangka kerja COBIT dapat dilihat dari tiga sudut pandang, yaitu (1) kriteria informasi (information criteria), (2) sumberdaya TI (IT resources), dan (3) proses TI (IT processes) [9].
Gambar 1. Kerangka COBIT
Kerangka kerja pada gambar 1 memfokuskan pada lebih banyak kontrol dan sedikit eksekusi sehingga kepentingannya lebih ditujukan kepada pendefinisian startegi dan kontrol yang biasanya dilakukan oleh manajemen tingkat atas, namun tidak detail menjelaskan bagaimana memenuhi keduanya dipenuhi yang dapat dipakai sebagai acuan pengguna yang langsung terkait dengan pengelolaan TI. Kerangka kerja tersebut menyediakan model proses yang umunya ditemukan dalam aktivitas TI dalam empat domain proses yang saling terkait, yaitu: Plan and Organization (PO), Acquire and Implement (AI), Deliver and Support (DS) serta Monitor and Evaluate (ME).
Domain PO (Plan and Organize) Menurut Supriatna (2011), Domain PO mencakup strategi dan taktik, serta difokuskan pada penentuan arah IT yang dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis (business objectives) [10].
Cakupan Domain COBIT 4.1 [8]
Domain Cobit 4.1
PO1
Menentukan Rencana Strategis TI
PO2
Menentukan Arsitektur Informasi
PO3
Menentukan Arah Teknologi
PO4
Menentukan Proses-proses, Organisasi dan Hubungan-hubungan TI
PO5
Mengelola Investasi TI
PO6
Mengkomunikasikan Tujuan dan Arah Manajemen
PO7
Mengelola SDM TI
PO8
Mengelola Kualitas
PO9
Menilai dan Mengelola Resiko TI
PO10
Mengelola Proyek-proyek
PO1 Define a Strategic IT Plan Proses.
PO1 merupakan proses untuk mendefinisikan rencana strategis yang dibutuhkan dalam mengelola sumber daya TI supaya sejalan dengan strategi bisnis dan prioritas. Rencana strategis ini pada umumnya merupakan perencanaan suatu organisasi atau perusahaan secara tertulis yang akan menjadi panduan dalam mencapai tujuan organisasi.
PO2 Define the Information Architecture Proses
PO2 merupakan proses untuk mendefinisikan fungsi suatu sistem informasi dalam menciptakan informasi bisnis dan sistem yang tepat untuk mengoptimalkan penggunaan informasi di suatu organisasi atau perusahaan. Proses ini dapat meningkatkan kualitas pengambilan keputusan manajemen dengan memastikan informasi tersebut aman dan sesuai strategi bisnis.
PO3 Determine Technological Direction
PO3 merupakan proses untuk mendefinisikan penentuan arah teknologi untuk mendukung bisnis yang dapat dilakukan berdasarkan layanan informasi. Penentuan arah teknologi membutuhkan perencanaan infrastruktur dan arsitektur sebagai pengelola produk, layanan dan mekanisme teknologi.
PO4 Define the IT Process, Organisation and Relationship
PO4 merupakan proses yang mendefinisikan persyaratan untuk staf, keterampilan, tanggung jawab dari suatu organisasi. Proses TI menjamin transparansi, kontrol, dan manajemen bisnis.
PO5 Manage the IT Investment
PO5 merupakan proses yang mendefinisikan pengelolaan program investasi TI yang meliputi biaya, manfaat, prioritas dalam anggaran, dan manajemen terhadap anggaran.
PO6 Communicate Management Aims and Direction
PO6 mendefinisikan mengenai pengembangan framework sebagai pengendali TI perusahaan yang dikelola manajemen. Komunikasi dijalankan sebagai implementasi untuk mengartikulasikan misi, tujuan, kebijakan, dan prosedur. Komunikasi mendukung pencapaian tujuan TI dan memastikan kesadaran dan pemahaman mengenai bisnis, risiko TI, tujuan, dan arah.
PO7 Manage IT Human Resources
PO7 mendefinisikan mengenai pencapaian layanan TI menjadi suatu bisnis. Pencapaian tersebut didapatkan berdasarkan pengelolaan sumber daya melalui pemilihan, pelatihan, evaluasi kinerja, promosi dan pemberhentian kerja.
PO8 Manage Quality Proses
PO8 mendefinisikan mengenai proses yang mengelola kualitas TI dengan memelihara pengembangan dan akuisisi proses serta standar yang terbukti. Pelaksanaan dan pemeliharaannya dilakukan dengan memberikan kualitas persyaratan, prosedur dan kebijakan.
PO9 Assess and Manage IT Risk
PO9 mendefinisikan manajemen risiko TI sebaiknya dilakukan dan dipelihara. Risiko merupakan suatu dampak yang terjadi dari suatu peristiwa yang tidak direncanakan. Karenanya, proses ini dilakukan untuk mengidentifikasi, menganalisis dan menilai suatu risiko, untuk kemudian diberikan tindakan.
PO10 Manage Projects
PO10 mendefinisikan manajemen framework suatu proyek sebagai pengelolaan semua proyek TI. Framework menjamin prioritas serta koordinasi dari semua proyek yang mencakup rencana, penugasan sumber daya, definisi, persetujuan pengguna, pendekatan, rencana uji formal, pengujian, dan pasca pelaksanaan ulasan.
Adapun generic maturity model yang digunakan adalah:
Level
Model Umum Maturity
0
(Non-existent)
Tidak ada sama sekali proses yang terlihat. Perusahaan belum menyadari bahwa ada masalah yang harus dikaji
1
(Initial/Ad Hoc)
Ada bukti bahwa perusahaan telah menyadari ada masalah yang ada dan harus dikaji namun belum ada standarisasi. Tetapi, ada pendekatan ad hoc yang cenderung diaplikasikan sesuai kasus.
2
(Repeatable but Intuitive)
Proses telah dikembangkan pada tahap dimana prosedur yang mirip telah diikuti oleh bermacam-macam orang yang melaksanakan tugas ini. Tidak ada training atau komunikasi secara formal tentang prosedur standard dan tanggung jawabnya jatuh pada individu. Ada ketergantungan yang tinggi pada individu dan sering terjadi error.
3
(Defined Process)
Prosedur telah terstandarisasi dan terdokumentasi, dan komunikasi lewat training. Merupakan keharusan bahwa proses tersebut harus diikuti. Tetapi, sedikit deviasi yang terjadi. Prosedur tersebut tidak rumit tetapi formalisasi dari practice yang sekarang
4
(Managed and measurable)
Manajemen memantau dan mengukur kesesuaian dengan prosedur dan mengambil tindakan dimana proses terlihat tidak berjalan efektif. Proses dikembangkan secara berkelanjutan dan memberikan practice yang baik. Otomasi dan alat bantu digunakan dalam cara yang terbatas dan terpecah-pecah.
5
(Optimised)
Proses telah dirancang sampai tingkat pelaksanaan yang baik, berdasarkan hasil dari pengembangan berkelanjutan dan maturity modeling dengan perusahaan lain. IT digunakan dalam cara terintegrasi untuk mengotomasikan alur kerja, menyediakan alat bantu untuk meningkatkan kualitas dan efektivitas, membuat perusahaan mudah diadaptasi.
Tidak ada komentar:
Posting Komentar