BAB II
METODOLOGI / LANDASAN TEORI
- Audit Sistem Informasi
Audit Teknologi informasi pada hakekatnya merupakan salah satu dari bentuk audit operasional, tetapi kini audit teknologi informasi sudah dikenal sebagai satu satuan jenis audit tersendiri yang tujuan utamanya lebih untuk meningkatkan tata kelola IT. Sebagai suatu audit operasional terhadap manajemen sumber daya informasi, yaitu efektivitas, efisiensi, dan ekonomis tidaknya unit fungsional sistem informasi pada suatu organisasi. Dengan diperkenalkan COBIT, kini tujuan audit bukan hanya terbatas pada konsep klasik saja, melainkan kini menjadi: efektivitas, efisiensi, kerahasiaan, keterpaduan, ketersediaan, kepatuhan pada kebijakan/aturan dan keandalan sistem informasi. Dalam pelaksanaannya, jenis audit ini berkembang dalam beberapa variannya:
- Pemeriksaaan operasional (operational audit) terhadap pengelolaan system informasinya, atau lebih tepatnya/tegasnya terhadap tata- kelola teknologi informasi (ITgovernance),
- General information review, audit terhadap sistem informasi secara umum pada suatu organisasitertentu,
- Audit terhadap aplikasi tertentu yang sedang dikembangkan (quality assurance pada tahap systemdevelopment).
- Audit Objective
Sonny Sumarsono (2003, h 4), Sumber Daya Manusia atau human recources mengandung dua pengertian. Pertama, adalah usaha kerja atau jasa yang dapat diberikan dalam proses produksi. Dalam hal lain SDM mencerminkan kualitas usaha yang diberikan oleh seseorang dalam waktu tertentu untuk menghasilkan barang dan jasa. Pengertian kedua, SDM menyangkut manusia yang mampu bekerja untuk memberikan jasa atau usaha kerja tersebut. Mampu bekerja berarti mampu melakukan kegiatan yang mempunyai kegiatan ekonomis, yaitu bahwa kegiatan tersebut menghasilkan barang atau jasa untuk memenuhi kebutuhan atau masyarakat.
- COBIT Framework
Metode COBIT 4.1 (Control Objective for Information and related Technology) merupakan suatu framework yang terdiri dari domain dan proses yang digunakan untuk mengatur aktivitas dan logical structure. Metode COBIT dapat berguna untuk teknologi informasi membuat hubungan kerja kebutuhan bisnis, organisasi teknologi informasi dapat membuat proses model, mengidentifikasi suber daya teknologi informasi, dapat mengarahkan objektive kontrol manajemen. Seiring dengan perkembangan teknologi informasi maka berkembang pulalah suatu keahlian dalam profesi auditor, yaitu auditor sistem informasi. Hal ini disadari bahwa semakin banyak transaksi keuangan yang berjalan dalam sebuah sistem komputer. Maka dari itu perlu dibangun sebuah kontrol yang mengatur agar proses komputerisasi berjalan menjadi baik. Saat ini auditor sistem informasi umumnya digunakan pada perusahaan perusahaan besar yang sebagian besar transaksinya berjalan secara otomatis. Ada empat macam domain yang akan dibahas Plan and Organise (PO), Deliver and Support (DS), Monitoring (ME) dan Acquisition and Implementation(AI) (buku Cobit 4.1), yaitu mengenai :
1. Plan and Organise (PO)
Domain ini mencakup strategi dan taktik, dan kekhawatiran cara mengidentifikasi terbaik mengenai teknologi informasi dapat memberikan kontribusi pada pencapaian tujuan bisnis. Selain itu, realisasi dari visi strategis yang perlu direncanakan, dikomunikasikan dan dikelola untuk berbagai sudut pandang. Akhirnya, organisasi serta teknologi infrastruktur harus diletakkan di tempat yang tepat. Plan and Organise (PO) akan membahas mengenai teknologi informasi dan strategi bisnisnya yang sudah berjalan, sistemnya dapat meningkatkan sumber daya perusahaan, risiko apa yang dihadapi dan cara mengendalikannya, dan kualitas sistem teknologi informasi yang dibutuhkan.
2. Deliver and Support (DS)
Domain ini bersangkutan dengan pemberian layanan yang diperlukan, mulai dari operasi tradisional atas keamanan dan aspek yang berkelanjutan untuk pelatihan. Dalam rangka untuk memberikan pelayanan, kita harus menyiapkan berbagai proses pendukung. Domain ini sebenarnya termasuk pengolahan data oleh sistem aplikasi yang sering digolongkan dalam aplikasi kontrol. Seperti teknologi informasi yang digunakan sudah sesuai dengan prioritas yang diinginkan, sistem yang saat ini dapat digunakan dengan baik oleh perusahaan.
3. Acquisition and Implementation(AI)
Domain ini untuk merealisasikan strategi teknologi informasi Dalam pelaksanaanya diperlukan pengaturan kebutuhan teknologi informasi, mengindetifikasi, mengembangkan, atau mengimplementasikan secara terpadu dalam proses bisnis perusahaan.
4. Monitoring
Domain mencapkup semua proses teknologi informasi yang perlu dinilai secara berkala agar kualitas dan tujuan dari dukungan teknologi informasi dapat tercapai, dan kelengkapannya berdasarkan pada syarat kontrol internal yang baik.
2.4. Teori Cobit 4.1 Yang Relevan dengan Sumber Daya Manusia
Dalam hal ini metode COBIT 4.1 lebih terfokus pada sumber daya manusia perusahaan ini. Maka yang akan dianalisis adalah yang berhubungan dengan sumber daya Smartlearning yang mencakup :
1. P01 Define the Strategic Plan
Perencanaan IT yang strategis dibutuhkan untuk mengelola dan mengarahkan semua sumber daya IT agar sejalan dengan prioritas dan strategi bisnis. IT dan stakeholder bertanggung jawab untuk memastikan bahwa portofolio proyek dan layanan akan menghasilkan nilai yang optimal. Rencana strategis dapat meningkatkan pemahaman para stakeholder utama terhadap peluang dan keterbatasan yang berkaitan dengan IT, menilai kinerja saat ini, mengidentifikasi kapasitas dan kebutuhan sumber daya manusia, dan menjelaskan tingkat investasi yang dibutuhkan.
2. P03 Determine Technologycal Direction
Layanan informasi menentukan arah teknologi untuk mendukung bisnis. Harus ada rencana untuk membuat sebuah infrastruktur teknologi yang menetapkan dan mengelola harapan yang jelas dan realistis terhadap apa yang dapat ditawarkan oleh teknologi dalam hal produk, layanan, dan mekanisme pengiriman. Rencana ini diperbarui secara teratur dan meliputi aspek-aspek seperti arsitektur sistem, arah teknologi, rencana akuisisi, standar, strategi migrasi, dan kontingensi.
3. P06 Communicate Management Aims and Direction
Manajemen mengembangkan sebuah kerangka pengendalian IT, serta menentukan dan menyampaikan kebijakan-kebijakan. Sebuah program komunikasi dilaksanakan secara terus menerus untuk menyuarakan misi, tujuan layanan, kebijakan dan prosedur, serta didukung dan disetujui oleh manajemen.
4. P07 Manage Human Resources
Tenaga kerja yang kompeten diperoleh dan dipertahankan untuk menciptakan dan mengirimkan layanan IT kepada bisnis. Hal ini dicapai dengan mengikuti praktek-praktek yang telah ditetapkan dan disepakati yang mendukung perekrutan, pelatihan, evaluasi kinerja, mempromosikan, dan mengakhiri.
5. P08 Manage Quality
Management Quality dibangung dan dikelola yang berisi proses serta standar akusisi dan pengembangan yang telah teruji. Hal ini dicapai dengan cara perencanaan, implementasi serta pengelolaan dengan memnyediakan kebutuhan kualitas, prosedur, dan peraturan yang jelas. Kebutuhan kualitas dinyatakan dan dikomunikasikan dalam indikator yang dapat dicapai dan diukur secara quantitatif. Perkembangan berkelanjutan dicapa dengan pengawasan dari yang sudah berjalan, analisa dan aksi pada deviasi yang terjadi , dan komunikasi hasil yang didapat kepada stakeholders. Manajemen kualitas penting untuk memastikan bahwa IT memberikan nilai tambah pada busnis, berkembang secara berkelanjutan, dan transparan pada stakeholder.
6. PO 10 Manage Projects
Kerangka kerja manajemen proyek dan program untuk pengelolaan dari seluruh proyek IT dibangun. Keranga kerja menjamin prioritas dan koordinasi yang tepat dari seluruh proyek. Kerangka kerja meliputi master plan, penugasan sumber daya, definisi dari deliverables, persetujuan dari pengguna, pendekatan yang bertahap untuk delivery, QA, rencana pengujian formal, pengujian, dan peninjauan paska implementasi setelah instalasi untuk menjami manajemen resiko proyek dan value delivery ke bisnis. Pendekatan ini mengurangi resiko dari biaya tak terduga dan pembatalan proyek, meningkatkan komunikasi kepada bisnis dan pengguna serta partisipasi mereka, menjamin nilai dan kualitas dari deliverable proyek, memaksimalkan kontribusi kepada program investasi IT-enabled.
7. DS7 Educate and train user
Pendidikan yang efektif untuk semua pengguna sistem IT, termasuk bagian IT, perlu untuk mengidentifikasi kebutuhan pelatihan dari masing-masing kelompok pengguna. Selain mengidentifikasi kebutuhan, proses ini mencakup mendefinisikan dan melaksanakan strategi untuk pelatihan yang efektif dan mengukur hasil pelatihan tersebut. Sebuah program pelatihan yang efektif meningkatkan penggunaan teknologi yang efektif dengan mengurangi kesalahan pengguna, meningkatkan produktivitas dan meningkatkan kepatuhan dengan kontrol kunci, seperti kebijakan keamanan pengguna.
8. DS10 Manage Problem
Manajemen data yang efektif membutuhkan identifikasi kebutuhan data. Proses manajemen data juga meliputi pembangungan prosedur secara efektif untuk menglola perpustakaan media, backup dan recovery dari data, dan pembuangan media yang layak. Manajemen data yang efektif membantu menjamin kualitas, ketepatan waktu dan ketersediaan data bisnis.
2.5. Generic Maturity Model
Adapun generic maturity model yang digunakan adalah :
- 0 Non-existent – tidak ada sama sekali proses yang terlihat. Perusahaan belum menyadari bahwa ada masalah yang harus
- 1 Initial/Ad Hoc – Ada bukti bahwa perusahaan telah menyadari ada masalah yang ada dan harus dikaji namun belum ada standarisasi. Tetapi, ada pendekatan ad hoc yang cenderung diaplikasikan sesuai kasus. Pendakatan manajemen secara umum tidak terstruktur.
- 2 Repeatable but Intuitive – Proses telah dikembangkan pada tahap dimana prosedur yang mirip telah diikuti oleh bermacam- macam orang yang melaksanakan tugas ini. Tidak ada training atau komunikasi secara formal tentang prosedur standard dan tanggung jawabnya jatuh pada individu. Ada ketergantungan yang tinggi pada individu dan sering terjadi
- 3 Defined Process – Prosedur telah terstandarisasi dan terdokumentasi, dan komunikasi lewat training. Merupakan keharusan bahwa proses tersebut harus diikuti. Tetapi, sedikit deviasi yang terjadi. Prosedur tersebut tidak rumit tetapi formalisasi dari practice yangsekarang
- 4 Managed and measurable – manajemen memantau dan mengukur kesesuaian dengan prosedur dan mengambil tindakan dimana proses terlihat tidak berjalan efektif. Proses dikembangkan secara berkelanjutan dan memberikan practice yang baik. Otomasi dan alat bantu digunakan dalam cara yang terbatas danterpecah-pecah.
- 5 Optimised – proses telah dirancang sampai tingkat pelaksanaan yang baik, berdasarkan hasil dari pengembangan berkelanjutan dan maturity modelling dengan perusahaan lain. IT digunakan dalam cara terintegrasi untuk mengotomasikan alur kerja, menyediakan alat bantu untuk meningkatkan kualitas dan efektivitas, membuat perusahaan mudah diadaptasi.