Selasa, 18 Mei 2010

APLIKASI PENILAIAN AUDIT BERDASARKAN COBIT 4.0



APLIKASI PENILAIAN AUDIT BERDASARKAN COBIT 4.0
Nur Cahyo Wibowo, S.Kom, M.Kom
Program Studi Teknik Informatika, Fakultas Teknologi Industri
UPN “Veteran” Jawa Timur
Jl. Raya Rungkut Madya, Gunung Anyar, Surabaya
email : cahyo.upn@gmail.com





ABSTRAK
Cobit dirumuskan oleh para pakar rekayasa perangkat lunak internasional untuk memberikan panduan bagi para pimpinan perusahaan yang berencana melakukan investasi teknologi informasi yang menguntungkan. Di dalam Cobit dijelaskan prosedur dan metodologi bagaimana seharusnya mengatur sebuah proyek implementasi teknologi informasi di sebuah perusahaan mulai dari perencanaan sampai dengan evaluasi kinerjanya. Sebaliknya, dengan sudut pandang yang berbeda, sistem Cobit juga bisa dimanfaatkan sebagai panduan untuk melakukan audit terhadap kelayakan sebuah investasi teknologi informasi yang sudah dilakukan oleh sebuah perusahaan. Namun yang sering menjadi masalah adalah belum adanya panduan kuantitatif untuk melakukan penilaian audit. Sehingga proses audit lebih terasa nuansa atau faktor subjektifitas auditor daripada aturan yang baku. Lebih dari itu, proses audit yang umumnya melibatkan sangat banyak dokumen namun dengan pihak staff perusahaan serta auditornya yang sama, seringkali ditemukan standarisasi pemberian nilai yang berbeda untuk hal-hal yang seharusnya sama. Penelitian ini dibuat sebagai upaya untuk meminimalisasi terjadinya kondisi-kondisi tersebut di atas. Sehingga proses audit bisa dilakukan secara cepat dan konsisten. Penelitian ini akan menjelaskan desain struktur data dan aplikasi sistem Cobit yang dibangun dengan menggunakan DBMS MS SQL Server dan MS Visual Studio – Visual Basic 6.0. Aplikasi ini mampu melakukan otomatisasi hasil score audit yang bisa digunakan oleh auditor sebagai gambaran awal kelayakan sebuah investasi teknologi informasi pada sebuah perusahaan berdasarkan dokumen-dokumen yang tersedia.
Kata kunci: aplikasi COBIT, software engineering, project management, software audit.

1 INTRODUCTION
Control Objectives for Information and related Technology (COBIT®) memberikan panduan lintas domain dan framework proses yang baik. Cobit juga menunjukkan aktifitas ke dalam sebuah struktur yang logis dan mudah diatur. Cobit merupakan hasil konsensus para ahli dalam bidang manajemen proyek perangkat lunak. Fokusnya adalah lebih banyak dalam hal pengendalian dari pada pengerjaan. Panduan ini akan sangat membantu investasi IT yang optimis, memastikan penyerahan layanan dan memberikan sebuah pengukuran daripada sebuah justifikasi ketika terjadi suatu kesalahan. Supaya investasi IT berhasil sesuai permintaan bisnis maka pihak manajemen harus melakukan sistem kendali internal atau framework di dalamnya.

Audit investasi teknologi informasi memang masih belum begitu berkembang di Indonesia. Akan tetapi kebutuhan akan hal itu mulai muncul, khususnya untuk perusahaan berskala menengah ke atas. Perusahaan sudah mulai memperhatikan sejauh mana kontribusi investasi teknologi informasi yang mereka lakukan terhadap kinerja perusahaan.

Pada waktu booming teknologi informasi di pasaran, sekitar tahun 90-an, perusahaan-perusahaan berlomba-lomba untuk investasi di bidang teknologi informasi. Namun yang terjadi sekarang justru cukup banyak perusahaan yang gulung tikar meskipun sudah banyak dana yang dikeluarkan untuk investasi teknologi informasi.

Hal tersebut di atas bukanlah sesuatu yang tidak mungkin terjadi. Karena investasi teknologi informasi yang tidak diatur dan dikendalikan dengan baik justru akan menjadi bom waktu bagi keruntuhan perusahaan yang bersangkutan. Sebagai ilustrasi sederhana adalah sebagai berikut. Sebuah perusahaan menerapkan ketentuan perubahan media penyimpanan data dari yang semula paper-based menjadi digital-based. Sehingga semua berkas-berkas dipindahkan ke dalam format file dengan dukungan aplikasi perangkat lunak yang sudah ada. Pada masa-masa awal terlihat begitu besar efisiensi yang dilakukan. Bisa dibayangkan kemampuan satu buah keping CD-ROM adalah setara dengan kemampuan satu ruang besar gudang arsip perusahaan selama satu tahun operasional. Namun pada suatu waktu datanglah sebuah bencana. CD-ROM data perusahaan corrupt sehingga tidak bisa dibaca dengan lengkap. Karena belum adanya prosedur back up berkala akhirnya data penting perusahaan hilang.

Untuk itulah, Cobit memberikan sebuah panduan bagi investasi teknologi informasi di perusahaan. Prosesnya dimulai dari perencanaan hingga pemantauan dan evaluasi proses investasi. Dengan sudut pandang terbalik Cobit juga bisa dimanfaatkan untuk melakukan panduan proses audit kelayakan investasi teknologi informasi yang sudah dilakukan oleh perusahaan.

Akan tetapi yang sering menjadi masalah adalah konsistensi nilai dan kecepatan proses audit itu sendiri. Di dalam sistem Cobit seperti yang akan dijelaskan pada bagian Dasar Teori terdapat interaksi antar proses yang cukup kompleks. Sehingga masalah konsistensi penilaian menjadi sangat penting. Maksudnya bahwa untuk penilaian dengan melibatkan dokumen yang sama sudah seharusnya nilai dokumen tersebut tetaplah sama, tidak boleh berubah. Namun kenyataan di lapangan bisa saja tidaklah demikian. Keterbatasan manusia dalam hal ingatan dan pengambilan keputusan memang bisa saja berubah-ubah meskipun tidak terlalu besar.

Masalah yang kedua terkait dengan audit adalah kecepatan penghitungan nilai akhir. Proses audit manual yang saat ini diterapkan, rata-rata membutuhkan waktu sekitar 2 sampai 3 bulan. Ini pun terkadang masih perlu beberapa revisi. Penghitungan nilai akhir yang cepat menjadi hal yang penting baik bagi auditor maupun perusahaan yang diaudit. Salah satu alasan yang utama adalah time is money. Begitu perusahaan mendapatkan nilai hasil audit, mereka bisa segera melakukan perbaikan-perbaikan untuk kepentingan bisnisnya. Sedangkan bagi auditor jelas biaya operasional tim kerjanya akan bisa ditekan serta kinerja tim audit akan dinilai lebih baik oleh perusahaan yang diaudit jika prosesnya bisa lebih cepat.

2 MODEL, ANALISIS, DESIGN, AND IMPLEMENTATION
Sesuai dengan rumusan masalah yang sudah dikemukakan di atas, maka penelitian ini bertujuan untuk mengimplementasikan sistem Cobit ke dalam sebuah aplikasi yang bisa digunakan untuk :
• Menerapkan penilaian yang konsisten.
• Mempercepat perolehan nilai audit.

RUANG LINGKUP
Sistem Cobit yang dijadikan panduan bagi penelitian ini cukup luas cakupannya. Namun penulis mengamati adanya pola-pola yang sama yang bisa digunakan sebagai acuan implementasi dalam ruang lingkup yang lebih luas dan kompleks. Untuk itu dalam penelitian ini yang akan digunakan sebagai studi kasus adalah subsistem Cobit yaitu bagian proses PO (Plan and Organize) 1 yaitu Define a Strategic Plan.

Dalam sistem Cobit sendiri ada 5 penilaian yang bisa dilakukan. Diantaranya adalah penilaian terhadap Maturity Level, Control Objective, Key Performance Indicator, Process Key Goal Indicator, dan IT Key Goal Indicator dari sebuah perusahaan. Yang akan dibahas di dalam penelitian ini adalah dua penilaian yang pertama, yaitu penilaian terhadap Maturity Level dan Control Objective.

COBIT FRAMEWORK
Framework kendali Cobit memberikan kontribusi untuk keperluan tersebut :
• Membuat sebuah hubungan dengan kebutuhan bisnis.
• Mengorganisasikan aktifitas investasi IT.
• Mengidentifikasi sumber daya IT utama yang mendesak untuk diselesaikan.
• Mendefinisikan tujuan kendali manajemen yang perlu diperhatikan.

PLAN AND ORGANISE (PO)
Domain ini mencakup strategi dan taktik, dan juga memperhatikan identifikasi cara IT dapat memberikan kontribusi terbaik untuk pencapaian tujuan bisnis. Lebih jauh, realisasi visi strategis perlu untuk direncanakan, dikomunikasikan dan diatur untuk perpsektif yang berbeda. Akhirnya, sebuah organisasi yang tepat sebagaimana juga infrastruktur teknologinya perlu untuk dibuat.

ACQUIRE AND IMPLEMENT (AI)
Untuk mewujudkan strategi IT, solusi IT perlu untuk diidentifikasi, dibangun atau diperoleh, sebagaimana juga perlu untuk diimplementasikan dan diintegrasikan ke dalam proses bisnis. Selain itu, perubahan dan pemeliharaan sistem yang sudah ada juga tercakup dalam domain ini untuk memastikan bahwa solusi senantiasa sesuai dengan tujuan bisnis.

DELIVER AND SUPPORT (DS)
Domain ini menerangkan tentang hal-hal terkait dengan penyerahan layanan yang dibutuhkan. Termasuk didalamnya adalah penyerahan layanan itu sendiri, manajemen keamanan dan kesinambungan, dukungan layanan bagi pemakai dan manajemen data serta fasilitas operasional.

MONITOR AND EVALUATE (ME)
Seluruh proses IT perlu untuk dipantau secara teratur. Hal ini dimaksudkan untuk menjaga kualitas dan pemenuhan dengan kebutuhan kendali. Domain ini membahas tentang manajemen kinerja, pemantauan kendali internal, pemenuhan regulasi, dan penyediaan pengaturan.

Gambar 2.1 di bawah ini menjelaskan tentang sistem framework Cobit 4.0 secara menyeluruh.
























Gambar 2.1 COBIT4.0 Framework
Dimulai dengan tujuan bisnis dan pengaturan. Kemudian di break-down menjadi beberapa domain yang saling berkaitan dan membentuk sebuah siklus.

DETAIL CONTROL OBJECTIVES
Ada enam control objectives di dalam subproses PO 1, yaitu:
1. Manajemen nilai teknologi informasi.
2. Penyesuaian antara kepentingan bisnis dengan teknologi informasi.
3. Penilaian kinerja teknologi informasi saat ini.
4. Rencana strategis penerapan teknologi informasi.
5. Rencana taktis penereapan teknologi informasi.
6. Manajemen portfolio penerapan teknologi informasi.

MATURITY LEVEL
Secara umum maturity level akan menunjukkan berada pada tingkat manakah kinerja sebuah perusahaan. Di dalam Cobit dikelompokkan menjadi 6 yaitu:
- Level 0 : Non Existent
- Level 1 : Initial/ Ad Hoc
- Level 2 : Repeatable but Intuitive
- Level 3 : Defined Process
- Level 4 : Managed and Measurable
- Level 5 : Optimised

DESAIN DATABASE
Untuk melakukan otomatisasi audit perlu dilakukan terlebih dahulu standarisasi jenis dokumen yang terlibat. Dokumen dalam penelitian ini dibedakan menjadi dua, yaitu dokumen sistem dan dokumen yang dimiliki client. Strategi ini sengaja dipilih karena pengalaman di lapangan menunjukkan bahwa dokumen client itu seringkali tidak sesuai dengan struktur model dokumen yang sudah disediakan oleh sistem. Untuk itulah dalam desain databasenya dibuat sebuah tabel transaksional untuk menyimpan peta hubungan antara dokumen client dengan dokuman sistem.

Sebagai tabel master untuk desain ini adalah tabel dokumen sistem, tabel client, tabel control objective dan tabel maturity level. Tabel-tabel ini akan direferensi oleh tabel-tabel yang lain untuk membangun skema database Cobit yang lengkap. Sedangkan tabel turunannya adalah tabel dokumen client, tabel detail control objective dan tabel detail maturity level.

Otomatisasi audit sebuah control objective maupun maturity level akan ditentukan berdasar tabel peta relasi antara dokumen client dengan dokumen sistem, peta relasi antara control objective dengan dokumen sistem apa saja yang terlibat dan terakhir peta relasi antara dokumen sistem dengan maturity level. Nilai dan bobot yang berada pada dokumen client akan dapat ditransformasikan menjadi nilai dokumen di sistem berdasarkan bobot dokumen internal sistem yang sudah didefinisikan sebelumnya. Nilai transformasi ini akan bersifat kuantitatif, murni diperoleh berdasarkan perhitungan. Untuk penilaian dokumen yang berhubungan dengan control objective akan disimpan di dalam tabel quantitatif control objective. Sedangkan yang berhubungan dengan maturity level akan disimpan ke dalam tabel quantitative maturity level. Untuk lebih jelasnya bisa dilihat pada Gambar 2.2 di bawah ini.

















Gambar 2.2 Skema Relasi Database

Keterangan:
- DC :Dokumen client.
- MDC :Peta relasi dokumen sistem dengan dokumen client.
- DS :Dokumen sistem.
- MCO :Peta relasi dokumen sistem dengan control objective.
- DCO :Detail control objective.
- QCO :Quantitative control objective.
- MML :Peta relasi dokumen sistem dengan maturity level.
- DML :Detail maturity level.
- QML :Quantitative maturity level.

Nilai transformasi dokumen yang diperoleh akan diolah berdasarkan perhitungan untuk mendapatkan score audit baik pada detail control objective maupun maturity level. Ada tiga kondisi yang perlu diperhatikan yaitu:
1. Sebuah dokumen sistem direferensi oleh sebuah dokumen client.
2. Sebuah dokumen sistem direferensi oleh banyak dokumen client.
3. Dokumen sistem yang tidak direferensi oleh dokumen client. Hal ini dimungkinkan terjadi ketika struktur dokumen di sistem begitu lengkap dan detail akan tetapi struktur dokumen di client lebih sederhana dan global/ umum.

3 RESULT
Secara umum operasi pada aplikasi ini dikelompokkan ke dalam tiga bagian utama, yaitu bagian tabel master, bagian knowledge base-nya yaitu tabel-tabel yang berisikan peta relasi, dan yang ketiga adalah bagian otomatisasi penghitungan score audit.






















Gambar 3.1 Antarmuka Utama
ANALISIS DAN UJI COBA
Sebagaimana telah disinggung pada pokok bahasan Ruang Lingkup, maka yang akan dijadikan skenario uji coba adalah khusus pada subproses PO 1 yaitu Define a Strategic IT Value. Skenario uji coba dimulai dengan kondisi dokumen client seperti yang ada pada Gambar 3.2 di bawah ini. Sebagai contoh terlihat sebuah dokumen dengan nama IT Master Plan yang diberi kode ITMP. Munculnya tambahan label satu, dua, tiga dan seterusnya, hal itu dimaksudkan bahwa dokumen tersebut diasumsikan terdiri atas beberapa bagian penyusun yang mana untuk perusahaan satu dengan lainnya dimungkinkan memiliki kondisi yang berbeda.



Gambar 3.2 Tabel Dokumen Client

Kemudian peta relasi antara dokumen client dengan dokumen sistem didefinisikan sebagaimana isian tabel yang terlihat pada Gambar 3.3 berikut ini. Salah satu contohnya adalah mapping antara dokumen IT Strategic Plan dengan IT Master Plan.



Gambar 3.3 Form Pemetaan Dokumen

Maka dengan kondisi peta relasi antara dokumen sistem dengan detail control objective seperti pada Gambar 3.4 di bawah ini:


Gambar 3.4 Form Peta Relasi CO

Akan diperoleh score audit untuk pernyataan pertama pada PO 1 adalah sebagai berikut:



Gambar 3.5 Hasil Score CO untuk PO 1

Score akhir pada uji coba di atas adalah 0.74 yang berarti termasuk dalam kelompok HIGH. Di dalam aplikasi ini pengelompokan nilainya adalah sebagai berikut:

If (total <= 0.3) Then
Label.Caption = "POOR"
ElseIf (total <= 0.5) Then
Label.Caption = "LOW"
ElseIf (total <= 0.7) Then
Label.Caption = "MEDIUM"
ElseIf (total <= 0.9) Then
Label.Caption = "HIGH"
ElseIf (total <= 1) Then
Label.Caption = "COMPLETE"
End If

Gambar 3.6 Aturan Klasifikasi Score

Sedangkan untuk kondisi peta relasi antara dokumen sistem dengan maturity level seperti gambar di bawah ini:



Gambar 3.7 Peta Relasi Maturity Level

Maka akan diperoleh skor audit maturity level untuk PO 1 adalah seperti dalam gambar berikut:



Gambar 3.8 Score Maturity Level untuk PO 1

Terlihat pada gambar di atas bahwa score ML-nya adalah 1.429… dan ini termasuk ke dalam tingkat Repeatable. Pengelompokan ini berdasar pada aturan berikut:

If (totall <= 1) Then
Label.Caption = "INITIAL"
ElseIf (totall <= 2) Then
Label.Caption ="REPEATABLE"
ElseIf (totall <= 3) Then
Label.Caption = "DEFINED"
ElseIf (totall <= 4) Then
Label.Caption = "MANAGED"
ElseIf (totall <= 5) Then
Label.Caption = "OPTIMIZED"
End If

Gambar 3.9 Aturan Klasifikasi Maturity Level
4 CONCLUSION
Aplikasi ini dapat membantu proses audit berdasarkan framework Cobit. Dengan aplikasi ini standar skor audit dapat diterapkan, sehingga konsistensi penilaian dapat dipertahankan. Selain standar nilai skor, aplikasi ini juga mempunyai pemetaan dokumen, antara dokumen yang disyaratkan oleh sistem dengan dokumen yang dimiliki oleh client/ customer.

REFERENCE
[1] COBIT Framework 4.0, 2007, ISACA.

[2] John Connel, Beginning Visual Basic 6 Database Programming, Wrox Press, 1999.

[3] Francesco Balena, Programming Microsoft Visual Basic 6.0, Microsoft Press, 1999.

Tidak ada komentar:

Posting Komentar