Jurnal METHODIKA.
Vol.
7 No.
1 MARET 2021 P-ISSN : 2442-7861 E-ISSN :2614-3143
AUDIT TEKNOLOGI INFORMASI DENGAN COBIT
PADA SISTEM INFORMASI UNIVERSITAS METHODIST INDONESIA
Darwis Robinson Manalu Universitas Methodist Indonesia manaludarwis@gmail.
ABSTRACT
Improving services in all fields in higher education is the main choice because it is closely related to stakeholder satisfaction, especially in the academic field.
Information technology used in managing activities will determine the desired process and output.
So it is necessary to evaluate and audit information technology to determine the achievement of performance or productivity.
Universitas Methodist Indonesia has implemented Information Technology in managing academic activities ranging from new student registration to student graduation, lecturer and staff activities, research activities, and community service.
COBIT is one of the tools used in auditing information systems and information technology.
The audit is carried out on human resources related to system and technology management involving the Head of the Data Processing Center.
Head of Administration and Information Services.
Head of System Development Affairs, and Implementing Staff.
To obtain data by making a questionnaire given to the audited party.
From the test results on the effectiveness of the control, there is already a running control, namely PO8.
Quality Management System.
PO8.
Customer Focus.
PO8.
5 Continuous Improvement, and PO8.
6 Quality Measurement.
Monitoring and Review.
DS5.
Malicious Software Prevention.
Detection, and Correction need to be improved and continuously.
Then the level of performance of the Detailed Control Objective (DCO) in the third party service management process still tends to be lacking and still needs to be improved, with the average performance value in the third party service management process being 1.
Keywords: IT Audit.
COBIT.
Universitas Methodist Indonesia
PENDAHULUAN
Pemanfaatan teknologi informasi dalam setiap aktifitas maupun kegaitan bisnis menjadi sangat strategis khusunya dalam perguruan tinggi bukan lagi sebagai pendukung tapi sudah menjadi pemeran utama.
Teknologi informasi sangat beragam mulai untuk kepentingan pribadi, sampai untuk mendukung kegiatan perusahaan yang sangat besar dan tersebar keseluruh dunia guna meningkatkan keunggulan berkompetisi.
Teknologi informasi dapat meningkatkan kinerja perusahaan dan menembus berbagai faktor yang menghambat perusahaan dalam menghasilkan kinerja secara optimum.
Teknologi informasi mempunyai perusahaan dapat merespon tuntutan customer secara tepat waktu dan akurat.
Pemanfaatan teknologi informasi merupakan bagian pertimbangan dari pengendalian internal selama proses audit.
Teknologi Informasi merupakan suatu kebutuhan yang mutlak bagi pelayanan pendidikan terutama pada perguruan tinggi, sehingga dapat memberikan kemudahan dalam menerapkannya.
Dengan adanya Teknologi Informasi di Universitas Methodist Indonesia (UMI).
, bukan hanya pelayanan terhadap mahasiswa.
yang menjadi lebih baik tetapi juga pelayanan untuk seluruh pihak terkait dengan proses akademik yang ada seperti staf pengajar, biro administrasi bahkan orangtua dan UMI memiliki banyak aplikasi yang sudah tergolong pada sistem informasi yang meliputi Sistem Informasi Akademik (SIMAK).
Sistem Informasi Sumber Daya.
Sistem PMB.
Sistem Pengelolaan Jurnal.
Pengelolaan Penelitian.
Sistem Pengelolaan Keuangan.
Perpustakaan.
Repository dan aplikasi lainnya.
yang online maupun yang bersifat Local Area Network termasuk pengelolaan Data Center Mini UMI.
Peranan dari setiap sistem tersebut yang signifikan inilah yang tentu saja harus diimbangi dengan pengaturan dan pengelolaan yang tepat sehingga kerugianAekerugian yang mungkin terjadi dapat dihindari.
Kerugian yang dimaksud bisa dalam bentuk informasi yang tidak akurat yang disebabkan oleh pemrosesan data yang salah sehingga dapat mempengaruhi pengambilan keputusan yang salah pula.
Keamanan asetnya salah satunya adalah data tidak terjaga, integritas data yang tidak dapat dipertahankan, halAehal inilah yang dapat mempengaruhi efektifitas dan efisiensi dalam pencapaian tujuan dan strategi Universitas Methodist Indonesia (UMI) memiliki visi untuk menjadi perguruan berkelas internasional yang unggul di bidang infokom.
Dalam organisasinya Universitas Methodist Indonesia (UMI) terbagi menjadi 4 Bagian dan 5 Fakultas dengan tugas dan fungsi yang berbeda-beda.
Perbedaan fungsi dan tugas dari setiap bagian ini berpengaruh pada perbedaan kebutuhan teknologi informasi yang digunakan seharihari.
Pada Universitas Methodist Indonesia (UMI), terdapat sebuah bagian yang bertanggungjawab dan berfungsi mengelola kegiatan administrasi dan layanan informasi serta pengembangan sistem, yaitu bagian Bagian Pusat Pengelola Data dengan unsur pelaksana terdiri dari Kepala Pusat Pengelola Data.
Pengelola PDDIKTI.
Pengelola Administrasi dan Layanan Jurnal METHODIKA.
Vol.
7 No.
1 MARET 2021 P-ISSN : 2442-7861 E-ISSN :2614-3143
Informasi, pengelola Urusan Pengembangan Sistem maupun Staf Pelaksana.
Integritas dan validitas data sangat diperlukan untuk melaksanakan layanan yang ditugaskan kepada Bagian Pusat Pengolahan Data, yaitu mencakup data logistik, keuangan, sumber daya manusia, registrasi, kegiatan belajar mengajar, alumni Universitas Methodist Indonesia (UMI), dan masih banyak lagi.
Berdasarkan pada banyak dan pentingnya kebutudan terhadap data-data tersebut, maka adanya suatu sistem informasi dalam kegiatan yang dilakukan oleh Bagian Pusat Pengolahan Data menjadi suatu hal yang sangat penting.
Akan tetapi, hal ini tidak menutup kemungkinan bagi Bagian Pusat Pengolahan Data untuk bekerja dengan baik dengan menggunakan sistem informasi yang ada pada saat ini.
Oleh karena itu, penelitian ini akan membahas dan melaporkan mengenai hasil audit yang telah dilakukan sesuai dengan metodologi yang digunakan.
Untuk itu perlu dilakukan cara untuk mengetahui Jenis evaluasi manajemen Teknologi Informasi yang sesuai untuk organisasi seperti Universitas Methodist Indonesia (UMI) kemudian melakukan pengontrolan secara objektif yang digunakan dalam melakukan evaluasi.
Sehingga tujuan dari penelitian ini adalah melakukan evaluasi terhadap pengelolaan teknologi informasi atau manajemen teknologi informasi yang ada di Universitas Methodis Indonesia (UMI) dan mengetahui hasil yang diperoleh dari kajian ini diharapkan dapat dijadikan landasan dalam pembuatan kerangka kerja audit TI yang sesuai dengan standar.
II.
KAJIAN PUSTAKA
Hubungan Antara Control Objectives dan Audit GuideLines Pedoman Audit membantu auditor atau penilai untuk memberikan jaminan bahwa proses sebenarnya di bawah kontrol sehingga kebutuhan informasi yang diperlukan untuk mencapaitujuan bisnis.
Hubungan antara keduanya adalah proses, maka Pedoman Audit telah dikembangkan untuk setiap proses berlawanan untuk setiap tujuan kontrol.
Dengan mengacu pada kerangka pengendalian diwakili oleh model air terjun.
Pedoman Audit dapat dilihat dengan menyediakan umpan balik dari kontrol proses kembali ke tujuan bisnis.
Tujuan pengendalian adalah panduan turun air terjun untuk mendapatkan proses TI di bawah kendali.
Gambar 1.
Hubungan Antara Control Objectives dan Audit GuideLines.
COBIT Kerangka kerja Cobit merupakan suatu konsep manajemen tata kelola IT, yang dipergunakan sebagai standar internasional yang dikembangkan oleh ISACA (Information System Audit Control Associatio.
untuk perusahaan besar di dunia.
COBIT mengintegrasikan sejumlah best practices TI dan menyediakan kerangka kerja untuk tata kelola TI yang dapat membantu pemahaman dan pengelolaan risiko serta dapat memperoleh keuntungan terkait dengan TI.
Cobit Framework membagi aktivitas pengelolaan IT menjadi 4 domain utama Perencanaan dan Pengorganisasian (PO).
Pengadaan dan Implementasi (AI).
Penyampaian Layanan dan Dukungan (DS).
Monitor and Evaluasi (ME) COBIT menetapkan informasi yang baik dan dibutuhkan oleh bisnis dalam perusahaan haruslah informasi yang mengandung kriteria-kriteria seperti efektivitas.
Jurnal METHODIKA.
Vol.
7 No.
1 MARET 2021 P-ISSN : 2442-7861 E-ISSN :2614-3143
pemenuhan dan dapat dipercaya.
Secara keseluruhan konsep framework COBIT.
dapat dilihat dari 3 sudut pandan yaitu Proses TI.
Sumber Daya TI dan Kriteria Informasi.
Ketiga sudut pandang tersebut direpresentasikan dengan kubus COBIT.
, yang dapat dilihat pada Gambar 2 Gambar 2.
Kubus COBIT Kerangka kerja COBIT merupakan suatu konsep manajemen tata kelola TI yang mengintegrasikan sejumlah best practices TI dan menyediakan kerangka kerja untuk tata kelola TI yang dapat membantu pemahaman dan pengelolaan risiko serta memperoleh keuntungan terkait dengan TI.
Kerangka kerja COBIT Gambar Gambar 3.
Kerangka kerja COBIT.
Jurnal METHODIKA.
Vol.
7 No.
1 MARET 2021 P-ISSN : 2442-7861 E-ISSN :2614-3143
AI2
Populasi dan Sampel dalam kuesioner Populasi adalah keseluruhan subjek penelitian.
, sedangkan sampel merupakan sebagian atau wakil populasi yang diteliti.
Dalam penelitian yang jumlah populasinya lebih dari 100 dapat diambil jumlah sampel dengan menggunakan rumus presisi sebagai berikut:
AI3
AI4
AI5
AI6
AI7
Dengan n = Total Sampel N = Total Populasi d = Tingkat Presisi Tingkat presisi antara 10-15%, atau 20-25%, atau lebih tergantung pada:
Kemampuan peneliti dilihat dari segi tenaga, waktu dan dana.
Sempit luasnya wilayah pengamatan dari setiap subyek karena hal ini menyangkut banyaknya data yang dipergunakan.
Besar kecilnya resiko yang ditanggung peneliti.
Proses TI pada domain COBIT Adapun proses TI pada lingkungan domain COBIT dapat dilihat pada tabel berikut ini:
Tabel 1.
Proses TI pada Domain COBIT
Plan and Organize (PO) PO1
Mendefinisikan suatu rencana strategis TI
PO2
Mendefinisikan arsitektur Informasi
PO3
Menetapkan arah
Mendefinisikan prosesproses TI, organisasi dan hubungan-hubungan Mengelola investasi TI
PO4
PO5
PO6
PO7
Mengkomunikasikan tujuan-tujuan dan arah
Mengelola sumber daya
manusia TI
PO8
Mengelola kualitas PO9
Menilai dan mengelola risiko-risiko TI
Mengelola proyekproyek
PO10
Acquire and Implementation (AI) AI1
Mengidentifikasi solusisolusi otomatis Deliver and Support (DS) DS1
Mendefinisikan dan mengelola tingkat-tingkat DS2
Mengelola layanan-layanan pihak ketiga DS3
Mengelola kinerja dan kapasitas DS4
Memastikan DS5
Memastikan keamanan sistemsistem
DS6
Mengidentifikasi dan mengalokasi biaya-biaya DS7
Mendidik dan melatih para DS8
Mengelola meja
layanan dan insiden-insiden DS9
Mengelola DS10
Mengelola DS11
Mengelola data
DS12
Mengelola lingkungan fisik
DS13
Mengelola operasioperasi
Monitor and Evaluate ME1
Memperoleh dan memelihara perangkat lunak aplikasi
Memperoleh dan memelihara infrastruktur
Memungkinkan operasi
dan penggunaan Mengadakan sumber
daya-sumber daya TI
Mengelola perubahanperubahan Memasang dan menguasakan solusisolusi serta perubahan ME2
ME3
ME4
Memantau dan kontrol internal Memastikan kepatuhan hukum Menyediakan tata kelola TI Dalam pencapaian kebutuhan bisnis, yang tercermin pada kebutuhan informasi, membutuhkan dukungan sumber daya TI.
Komponen sumber daya TI dalam COBIT, diidentifikasi dan didefinisikan sebagai berikut.
Aplikasi, merupakan sistem yang digunakan sudah diotomasikan dan prosedur manual yang digunakan dalam memproses informasi.
Informasi, data dalam semua bentuk, dimasukkan, diproses dan dikeluarkan oleh sistem informasi dalam berbagai bentuk yang digunakan dalam bisnis.
Infrastruktur, teknologi dan fasilitas .
erangkat keras, sistem operasi, sistem manajemen database, jaringan, multimedia dan pendukung lainny.
yang memungkinkan pemrosesan aplikasi.
Manusia, personil yang diperlukan untuk menerapkan, menyampaikan, mendukung dan mengevaluasi informasi.
Mereka bisa saja internal, direkrut dari luar .
, atau dikontrak jika .
METODOLOGI
Kerangka Penelitian Dalam audit TI dibutuhkan alur kerja penelitian.
Alur kerja dalam penelitian ini adalah sebagai berikut :
Studi Literatur.
Pengumpulan Data .
Pengolahan dan Analisis Data .
Perancangan Solusi Pembuatan Survey Metode survei dikembangkan dalam 2 .
tahapan kuesioner meliputi:
Kuesioner I Manajemen Awareness Kuesiner II Maturity Level Kuesioner I Manajemen Awareness Objek Pertanyaan dalam kuesioner ini, pada prinsipnya mengakomodasikan beberapa hal, yaitu:
Tingkat pemenuhan terhadap keseluruhan Detail Control Objective (DCO) Pencapaian terhadap beberapa indikator kinerja Key Performance Indicators (KPI) maupun pencapaian tujuan Key Goal Indicators (KGI).
Memantau dan kinerja TI Jurnal METHODIKA.
Vol.
7 No.
1 MARET 2021 P-ISSN : 2442-7861 E-ISSN :2614-3143
Kuesioner II Maturity Level IV.
HASIL DAN PEMBAHASAN
Kuesiner ini dikembangkan untuk dapat menilai dan mengukur tingkat kematangan proses proses pengelolaan layanan pihak ketiga pada Deliver and Support (DS.
, baik untuk kondisi yang saat ini .
s i.
, maupun untuk kondisi yang diharapkan .
o b.
Berdasarkan hasil diskusi dan pengisian kuesioner maka didapatkan hasil bahwa pihak manajemen Pusat Pengolahan Data menitikberatkan pada bagaimana seharusnya Bagian Pusat Pengolahan Data dapat memberikan layanan IT kepada civitas akademika Universitas Methodist Indonesia secara kontinu dan reliable dengan memperhatikan aspek-aspek keamanan dan juga bagaimana pemeliharaan terhadap data yang Hal ini disebabkan karena proses tersebutlah yang paling penting dukungannya untuk keberlangsungan dukungan IT di lingkungan Universitas Methodist Indonesia.
Melalui wawancara dan observasi, bisa diketahui kondisi institusi saat ini dan mengetahui sejauh mana pelaksanaan kontrol diefektifkan, penilaian resiko juga perlu dilakukan untuk mengidentifikasi dan mengevaluasi resiko serta dampak yang terjadi jika resiko tersebut muncul.
Mengacu pada COBIT,maka penilaian dan pengukuran tingkat kematangan proses pengelolaan layanan pihak ketiga dilakukan dengan mempertimbangkan nilai kematangan 6 .
atribut kematangan .
Kepedulian dan komunikasi Kebijakan, standard an prosedur Perangkat bantu dan otomasi Ketrampilan dan Keahlian Pertanggungjawaban internal dan eksternal Penetapan tujuan dan Pengukuran Pelaksanaan Survei dilakukan dengan pendistribusian kuesioner, baik kuesiner I Management Awarenness maupun kuesioner II Maturity Model, yang telah dikembang diatas pada responde.
Dengan pertimbangan untuk dapat melengkapi hasil survey kusioner sehingga kegiatan analisis dapat dilakukan secara lebih komprehensif, maka beberapa metode lain secara implisit dilakukan.
Antara lain mencakup kegiatan observasi/pengamatan, wawancara .
dan review atas dokumen penting terkait dengan proses DS2.
Identifakasi responden dilakukan dengan dengan secara konsisten mengace pada diagram Responsible.
Accountable.
Consulted and/or Informed (RACI) seperti yang didefiniskan pada COBIT khususnya pada proses DS 2.
Proses Audit TI Dalam melaksanakan audit TI diterapkan metodologi audit TI yang sesuai dengan metodologi yang diajukan oleh IT Assurance Guide: Using COBIT.
Tetapi sebelum menentukan pilihan Dalam pelaksanaannya, proses audit ini dibagi menjadi 4 tahapan seperti terlihat pada gambar 4.
Analisis Identifikasi Resiko Hal ini dilakukan terhadap pengumpulan data sebagai hasil kuesioner I Management Awareness.
Dari pelaksanaan survey kuesioner ini, diperoleh jawaban sebanyak jumlah kuesioner yang didistribusikan kepada responden yang diidentifikasikan dalam tabel.
Tabel 2 Rekapitulasi jawaban responden kuesioner I Managemen Awareness.
Objek Pertanyaan Identifikasi Semua Hubungan Pemasok Managemen hubungan Pemasok Manajemen Risiko Pemasok Pemantauan Kinerja Pemasok TOTAL Distribusi Jawaban L (%) H(%) (%) Secara Umum rekapitulasi hasil kuesioner I manajement awareness seperti terlihat pada tabel diatas, dapat ditarik suatu kecnderungan yang merefleksikan fakta dilapangan yaitu, bahwa:
Sebagian besar responden, 59 % responden menyatakan pendapat, opini atau kesadarannya bahwa tingkat kinerja dalam proses pengelolaan layanan pihak ketiga masih rendah atau kurang sehingga masih sangat perlu untuk ditingkatkan.
Sebanyak 39 % responden mengemukakan pendapatnya bahwa kinerja proses layanan pihak ketiga adalah cukup atau sedang.
Hanya 2 % responden yang menyatakan praktek pengelolaan data yang sekarang berlangsung sudah baik dan relative telah memenuhi harapan.
Gambar 4.
Proses Audit IT Jurnal METHODIKA.
Vol.
7 No.
1 MARET 2021 P-ISSN : 2442-7861 E-ISSN :2614-3143
Untuk dapat mendeskripsikan secara jelas kajian tentang kinerja Proses DS 2, khususnya pada pemenuhan kriteria-kriteria dalam proses DS 2 yang tertuang dalam DCO, maka dilakukan pemetaan terhadap kuesioner I dengan nilai kinerja yang merefleksikan secara kuantitatif tingkat kinerjanya seperti pada tabel dibawah Tabel 3.
Pemetaan jawaban kuesioner dan nilai/tingkat kinerja detailed control objective (DCO) pada proses pengelolaan layanan pihak ketiga Jawaban Nilai Kinerja Tingkat Kinerja L (Lo.
1,00 Kurang M (Mediu.
2,00 Sedang H ( Hig.
3,00 Baik Tabel 4.
Tingkat kinerja detailed control objective (DCO) pada proses DS 2 Detailed Control Objective (DCO) Nilai Kinerja DS 2.
Identifikasi SemuaHubunganPemasok DS 2.
Managemen hubungan Pemasok DS 2.
Manajemen Risiko Pemasok DS 2.
Pemantauan Kinerja Pemasok Rata Aerata Secara keseluruhan berdasarkan tabel di atas dapat diberikan beberapa kesimpulan, bahwa:
Dengan merujuk tabel diatas maka dapat diperoleh nilai kinerja terhadap pemenuhan DCO tersebut secara kuantitatif, yang dapat dilihat pada tabel 4.
Tingkat pemenuhan DCO pada proses pengelolaan layanan pihak ketiga masih cenderung kurang dan masih perlu ditingkatkan, dengan rata-rata nilai kinerja dalam proses pengelolaan layanan pihak ketiga adalah sebesar 1,5 Hasil tersebut dapat direpresentasikan dalam diagram radar sepeti pada gambar berikut ini.
(DS 2.
Identifikasi Semua Hubungan Pemasok (DS 2.
Pemantauan Kinerja Pemasok (DS 2.
2 )Managemen hubungan Pemasok (DS 2.
Manajemen Risiko Pemasok Series 1 Gambar 5.
Representasi tingkat penenuhan DCO pada proses pengelolaan layanan pihak ketiga di UMI Identifikasi dan Dokumentasi Proses Identifikasi dan Dokumentasi pada Universitas Methodist Indonesia Memastikan Pengelolaan Layanan Pihak Ketiga berjalan dengan efektif untuk itu maka secara umum diperoleh:
Kebijakan besar pada organisasi dan prosedur yang berhubungan dengan jasa yang dibeli dan, secara khusus, hubungan vendor pihak ketiga.
Kebijakan TI dan prosedur yang berkaitan dengan:
hubungan pihak ketiga, prosedur seleksi vendor, isi kontrak seperti hubungan, keamanan fisik dan logis.
Jurnal METHODIKA.
Vol.
7 No.
1 MARET 2021 P-ISSN : 2442-7861 E-ISSN :2614-3143
pemeliharaan kualitas vendor, perencanaan berkelanjutan dan outsourcing.
- Daftar keseluruhan hubungan pihak ketiga saat ini dan kontrak aktual yang terkait dengan masingmasing.
- Pelaporan tingkat layanan tingkat pelaporan yang berkaitan dengan hubungan pihak ketiga dan - Notulen rapat membahas review kontrak, evaluasi kinerja dan hubungan manajemen.
- Kerahasiaan perjanjian untuk semua hubungan pihak ketiga.
- Akses Keamanan dengan profil dan sumber daya yang tersedia untuk vendor Dari proses wawancara dengan manajemen dan staf untuk mendapatkan pemahaman tentang: kebutuhan bisnis dan resikonya, struktur organisasi, peran dan tanggung jawab, kebijakan dan prosedur, hukum dan peraturan, control measure yang berlaku, laporan manajemen .
tatus, kinerja, tindaka.
, diperoleh bahwasanya persyaratan dokumen secara umum, masih kurang lengkap dan perlu untuk proses perbaikan.
Dari Key Performance Indikator diperoleh:
- Jumlah dan frekuensi pertemuanreview.
- Jumlah perubahan kontrak.
- Frekuensi laporan tingkat layanan.
- Jumlah masalah-masalah yang mengemuka.
- Waktu jeda untuk menjernihkan masalah - Berapa persen kontrak yangmengemuka untuk tinjauan legal.
- Waktu jeda semenjak tinjauan kontrak terakhir terhadap kondisipasar.
- Jumlah kontrak layanan yang tidak menggunakan istilah standar dankondisi-kondisi atau pengecualian yang diajukan Beberapa hal yang menjadi hasil evaluasi pada proses evaluasi layanan pihak ketiga antara lain:
Menilai keefektifan control measure yang berlaku atau tingkat pencapaian control objective.
Mengevaluasi kesesuaian control measure dari proses yang direview dengan mempertimbangkan kriteria yang diidentifikasikan dan praktik standar industri.
Critical Success Factor dan control profesional audit.
Melakukan proses dokumentasi, deliverable yang sesuai dihasilkan, tanggung jawab dan akuntabilitas yang jelas dan efektif, adanyapengendalian kompensasi .
ompensating contro.
sebagaimana Simpulkan kesesuaian tingkat control objective.
Pengujian Kepatutan Pengujian bahwa:
- Daftar kontrak, dan kontrak yang sebenarnya pada tempat tempatnya dan akurat.
- Tidak ada pelayanan yang telah disediakan oleh vendor tidak termasuk dalam daftar kontrak.
- Penyedia kontrak yang benar-benar melakukan layanan didefinisikan.
Penyedia manajemen / pemilik memahami tanggung jawab mereka dalam kontrak.
Kebijakan TI dan prosedur yang berkaitan dengan hubungan ketiga pihak ada dan konsisten dengan kebijakanumum organisasi.
Ada kebijakan khusus menangani kebutuhan kontrak, definisi isi kontrak, pemilik atau hubungan manajer bertanggung jawab untuk memastikan kontrak dibuat, dikelola, diawasi dan negosiasi ulang Kontrak merupakan catatan penuh dan lengkap hubungan penyedia pihak ketiga.
Kontrak ditetapkan untuk kelangsungan layanan khusus, dan bahwa kontrak ini meliputi kontingensiperencanaan oleh vendor menjamin layanan secara kontinu untuk pengguna Secara umum langkah-langkah yang diambil untuk mencapai hal tersebut antara lain:
Menjamin control measure yang ditetapkan, berjalan sebagaimana mestinya, secara konsisten dan berkelanjutan, serta menyimpulkan kesesuaian Mendapatkan bukti langsung dan tidak langsung untuk item / periode yang dipilih untuk menjamin bahwa prosedur telah dipatuhi untuk periode yang direview menggunakan bukti langsung dan tidak Melakukan review terbatas tentang kecukupan proses deliverable.
Menentukan tingkat pengujian substatif dan kerja tambahan yang dibutuhkanuntuk menyediakan jaminan bahwa proses IT adalah cukup.
Berdasarkan langkah-langkah tersebut diatas dengan membandingkan terhadap kepatuhan proses atas aturanaturan yang telah ditetapkan maka masih banyak terdapat kekurangan yang hasus diperbaiki.
Penilaian Resiko.
Performing:
- Pembandingan jasa pihak ketiga terhadap organisasi yang sama atau standar internasional yang sesuai / diakui dari praktek-praktek industri terbaik.
- Sebuah tinjauan rinci dari setiap kontrak pihak ketiga untuk menentukan ketentuan kualitatif dan Identifying:
- Ketentuan menjelaskan, koordinasi dan komunikasi hubungan antara penyedia dan pengguna layanan - Faktur pihak ketiga secara akurat mencerminkan biaya untuk layanan kontrak yang dipilih.
- Organisasi penghubung dengan vendor pihak ketiga memastikan komunikasi mengenai isu kontrak antara pihak dan pengguna pelayanan.
- Nasihat hukum dan manajemen menyetujui semua Jurnal METHODIKA.
Vol.
7 No.
1 MARET 2021 P-ISSN : 2442-7861 E-ISSN :2614-3143
Penilaian risiko yang sedang berjalan terjadi untuk konfirmasi kebutuhan hubungan atau kebutuhan untuk memodifikasi hubungan.
Pemeriksaan sedang berlangsung dan tindakan korektif oleh manajemen pelaporan kontrak terjadi.
Kewajaran biaya dibandingkan dengan kinerja berbagai industri internal, eksternal dan sebanding kinerja yang dilakukan.
Rencana kontingensi berada di tempat untuk semua layanan kontrak, khususnya layanan pemulihan bencana untuk fungsi TI untuk fungsi outsourcing, kekurangan jelas atau peluang untuk meningkatkan kinerja atau ada biaya pengurangan.
Pelaksanaan rekomendasi yang tertuang dalam audit independen dari kontraktor.
Secara umum langkah-langkah yang diambil untuk mencapai hal tersebut antara lain:
Memperkirakan resiko dari control objective yang tidak dipenuhi, dengan menggunakan teknik analitik dan / atau mengkonsultasikan sumbersumber alternative.
Tujuannya adalah untuk mendukung opini dan membuat manajemen untuk melakukan tindakan.
Mendokumentasikan kelemahan kendali, serta ancaman dan kerawanan yangdihasilkannya.
Mengidentifikasikan dan mendokumentasikan dampak yang potensialmaupun aktual.
Menyediakan informasi komparatif, misalnya melalui benchmark.
Dari langkah-langkah diatas dan dari data yang diperoleh maka adanya kelemahan control dalam proses pengelolaan data yang penting dan perlu diwaspadai, dan merupakan suatu kerentanan .
akan berdampak .
serius dalam pencapaian kinerja bisnis Universitas Methodist Indonesia (UMI).
Tools and Automation.
Skill and Expertise Responsibilities and Accountabilities.
Goal Setting and Measuemen.
Pengendalian Sistem TI Pada Universitas Methodist Indonesia Tujuan pengendalian ditetapkan berdasarkan CSF.
KGI, dan KPI terhadap masing-masingproses sistem TI.
Pengendalian sistem TI merupakan suatu struktur hubungan dan proses untuk mengarahkan dan mengendalikan perusahaan dalam rangka mencapai tujuan dengan cara menyeimbangkan resiko atas sistem informasi dan prosesnya.
Pengendalian TI dilingkungan organisasi selama ini belum dilakukan begitu jugadengan pedoman audit TI belum dilaksanakan.
Pedoman audit digunakan untukmenyediakan struktur yang sederhana untuk mengaudit dan menilai pengendalianberdasarkan pada praktek audit.
Model yang biasanya digunakan untuk menilai pengendalian adalah menggunakanmodel audit selain menggunakan model analisa resiko.
Model audit TI organisasidapat diaudit melalui pendekatan pedoman manajemen COBIT, yang terdiri darimodel maturity.
CSF.
KGI dan KPI, dengan penjelasan sebagai berikut:
Tabel 5.
Hasil Analisa dengan menggunakan CSF.
KGI dan KPI DS2 Ae Mengelola Layanan Pihak ke Tiga Critical Success Factors (CSF) Penyampaian Laporan Untuk memastikan penyediaan layanan pihak ketiga .
upplier, vendor dan partner.
dalam mencapai kebutuhan bisnis dibutuhkan proses pengelolaan layanan pihak ketiga yang efektif maka diperlukan diperlukan perancangan solusi atas berbagai permasalahan dan kendala.
Berdasarkan hasil analisis terhadap temuan-temuan audit maka diajukan rekomendasi Universitas Methodist Indonesia (UMI) sebagai berikut:
Pendefinisian Tindakan Perbaikan Pada tingkat DCO perlu adanya pengelolaan yang efektif agar mencapai tingkat yang diharapkan.
Keterkaitan dengan Atribut Kematangan.
Atribut kematangan mempunyai peranan penting yang menentukan tingkat kematangan suatu proses teknologi informasi, termasuk dalam menentukan kematangan proses pengelolaan layanan pihak ketiga.
Diharapkan dapat mencapai tingkat kematangan yang diharapkan pada setiap Atribut Kematangan (Awareness and Communication.
Policies.
Standart and Procedure.
Langkah-langkah keberhasilan pencapaiannya, berupa Critical Success Factor (CSF) atau tujuan aktivitas.
Untuk dapat melakukan pengawasan secara efektif dalam rangka pencapaian tujuan tersebut maka diperlukan pengukuran terhadap beberapa indikator (Key Performance Indikator (KPI) dan Key Goal Indikator (KGI).
Kebutuhan layanan yang terdefinisi dengan jelas dan pengukuran kinerja telah tersedia.
Organisasi menjaga akuntabilitas dan kendali, dan secara proaktif mengelola layanan eksternal.
Adanya pengawasan kepada manajemen dan administrasi yang memadai, yang ditujukan pada masalah keuangan, operasinal, hukum, dan Tersedianya proses evaluasi kriteria yang dibangun sebelumnya dan disetujui.
KGI
KPI
Berapa persen dari penyedia jasa yang disetujui secara objektif Berapa persen dari yang mana peninjauan jasa dilakukan.
Berapa persen dari penyedia jasa yang - Jumlah dan frekuensi pertemuan review.
- Jumlah - Frekuensi laporan tingkat - Jumlah masalah-masalah yang mengemuka.
- Waktu menjernihkan masalah Jurnal METHODIKA.
Vol.
7 No.
1 MARET 2021 P-ISSN : 2442-7861 E-ISSN :2614-3143
Jumlah kontraktor pihak ketiga dengan tujuan yang terdefinisi dengan baik dan hasil yang Kepuasan dirasakan oleh kedua belah pihak.
Jumlah kontraktor pihak memenuhi tujuan atau tingkat pelayanan.
- Berapa persen kontrak yang mengemuka untuk tinjauan legal.
- Waktu jeda semenjak tinjauan kontrak terakhir terhadap kondisipasar.
- Jumlah kontrak layanan yang tidak menggunakan kondisi-kondisi KESIMPULAN Dari pembahasan sebelumnya, dapat menarik kesimpulan sebagai berikut:
Dari hasil pengujian terhadap keefektifan kontrol sudah ada kontrol yang berjalan yaitu PO8.
Quality Management System.
PO8.
Customer Focus.
PO8.
5 Continuous Improvement dan PO8.
Quality Measurement.
Monitoring and Review.
DS5.
Malicious Software Prevention.
Detection and Correction perlu ditingkatkan dan Di Universitas Methodist Indonesia belum maksimalnya mekanisme pemantauan dan pengevaluasian kinerja yang dilakukan di kedua unit Pusat Sistem Informasi hal ini terbukti dari kontrol yang ada pada domain Monitor dan Evaluate yang masih belum maksimal.
Berdasarkan temuan-temuan yang ada, perlu dilakukan peningkatan dalam pengelolaan teknologi informasi dengan menambah sumber daya manusia yang memiliki kompetensi sesuai Setelah diketahui bahwa Bagian Pusat Pengolahan Data berada pada level 4 .
, selanjutnya bisa diajukan beberapa rekomendasi berdasarkan tiap proses COBIT domain untuk membawa institusi menuju level yang lebih tinggi.
Pembentukan backup data melalui mekanisme redudansi dan duplikasi.
Pengurangan jumlah data yang mengalami inkonsistensi.
Memastikan adanya prosedur pengelolaan data dengan berdasarkan standar tertentu.
Memastikan kesesuaian mekanisme penjagaan integritas data yang diterapkan dan Pengawasan integritas secara otomatis terhadap sejumlah komponen infrastruktur kritis.
DAFTAR PUSTAKA