Manajemen Sumber Daya dan Manajemen Komu (1)
Manajemen Sumber Daya dan Manajemen Komunikasi Proyek
Pada Pekerjaan Audit Teknologi Informasi
Studi Kasus: PT XYZ
Bambang Susilo,
NIM: 1606933213
Dosen: Dr. Ir. Iwan Krisnadi, MBA
Program Pasca Sarjana, Keamanan Jaringan Informasi
Departemen Teknik Elektro, Universitas Indonesia
Abstrak:
Teknologi Informasi memiliki peran penting dalam mendukung proses bisnis perusahaan.
Untuk itu tatakelola sistem informasi yang baik menjadi bagian yang penting dalam mewujudkan
proses Teknologi Informasi yang sesuai dengan strategi bisnis perusahaan. Audit terhadap Teknologi
Informasi menjadi salah satu cara untuk memberikan keyakinan terhadap proses teknologi yang
berjalan dalam perusahaan. PT XYZ melakukan audit Teknologi informasi dalam rangka mengetahui
kondisi aktual dan area-area yang perlu diperbaiki dengan rekomendasi yang tepat.
Makalah ini melihat dari sudut pandang manajemen sumber daya proyek dan manajemen
komunikasi proyek yang merupakan bagian dari PMBOK (Project Management Book of
Knowledge).pada pekerjaan Audit Teknologi Informasi yang menggunakan kerangka COBIT 5.
Keyword: Audit, PMBOK, COBIT, Manajemen Proyek
I.
PENDAHULUAN
Latar belakang
Teknologi informasi (TI) merupakan salah satu faktor penting dalam penyediaan dan
peningkatan performa operasi bisnis. Optimalisasi TI menjadi salah satu hal utama bagi PT
XYZ. Untuk itu perlu diidentifikasi area-area TI yang perlu diperbaiki dan ditingkatkan
kualitasnya. Melalui audit TI umum, dapat diketahui area-area perbaikan serta rekomendasirekomendasi yang tepat untuk peningkatan TI ke depan.
Dalam makalah ini akan dibahas mengenai audit teknologi informasi dilihat dari sisi
manajemen proyek khususnya manajemen sumber daya proyek dan manajemen komunikasi
proyek.
Rumusan Masalah
Memetakan proses manajemen proyek pada pekerjaan audit teknologi informasi.
II.
KAJIAN PUSTAKA
PMBOK
PMBOK, atau lengkapnya A Guide to the Project Management Body of Knowledge (PMBOK
Guide), adalah suatu buku yang memuat himpunan istilah dan pedoman untuk manajemen
proyek yang diterbitkan oleh Project Management Institute (PMI).
Project
management
adalah
sebuah
disiplin
keilmuan
dalam
hal
perencanaan,
pengorganisasian, pengelolaan (menjalankan serta pengendalian), untuk dapat mencapai
tujuan-tujuan proyek.
Sembilan (knowledge area ) dalam PMBOK adalah sebagai berikut:
Manajemen Integrasi proyek (Project Integration Management)
Manajemen Waktu proyek (Project Time Management)
Manajemen Kualitas proyek (Project quality management)
Manajemen Komunikasi proyek (Project communication management)
Manajemen Lingkup proyek (Project Scope Management)
Manajemen Biaya proyek (Project cost management)
Manajemen sumber daya proyek (Project resource management)
Manajemen Risiko proyek (Project risk management)
Manajemen Pengadaan proyek (Project procurement management)
COBIT 5
COBIT dirilis oleh ISACA yaitu asosiasi independen nonprofit yang mendukung para
profesional di bidang keamanan informasi, assurance, manajemen risiko, dan governance and
management of enterprise IT.
COBIT terbaru adalah COBIT 5 yang dirilis bulan April 2012. COBIT 5 adalah kerangka
bisnis untuk tata kelola dan tata laksana TI. Dalam kerangka ini, COBIT menyediakan
referensi key practices dan aktivitasnya untuk 37 proses TI yang mungkin ada dalam satu
perusahaan.
Model Referensi Proses dalam COBIT 5
COBIT 5 membagi proses tata kelola dan manajemen TI perusahaan menjadi dua domain
proses utama:
1. Tata Kelola, memuat lima proses tata kelola, dimana akan ditentukan praktik-praktik dalam
setiap proses Evaluate, Direct, dan Monitor (EDM)
2. Manajemen, memuat empat domain, sejajar dengan area tanggung jawab dari Plan, Build,
Run, and Monitor (PBRM), dan menyediakan ruang lingkup TI yang menyeluruh dari ujung
ke ujung yaitu:
Align, Plan, and Organize (APO) – Penyelarasan, Perencanaan, dan Pengaturan
Build,
Acquare,
and
Implement (BAI) –
Membangun,
Memperoleh,
dan
Mengimplementasikan
Deliver, Service and Support (DSS) – Mengirimkan, Layanan, dan Dukungan
Monitor, Evaluate, and Assess (MEA) – Pengawasan, Evaluasi, dan Penilaian
Tabel 1. Ranah COBIT 5
Ranah
Deskripsi
Proses-proses tata kelola (governance processes) di ranah ini terkait dengan
objektif tata kelola dari para pemangku kepentingan (stakeholders) yaitu
Evaluate,
Direct
nilai manfaat dari TI (value delivery), optimasi risiko (risk optimisation), dan
and
Monitor
optimasi penggunaan sumber daya (resource optimisation) serta mencakup
(EDM)
praktek dan aktivitas yang ditujukan untuk mengevaluasi opsi strategis,
menyediakan arahan kepada TI, dan memantau hasilnya.
Ranah
Deskripsi
Proses-proses di ranah ini menyediakan arahan untuk penyediaan solusi
(ranah BAI) serta penyediaan layanan dan support (ranah DSS). Ranah ini
Align, Plan and mencakup strategi dan taktis termasuk mengidentifikasi cara terbaik agar TI
dapat berkontribusi terhadap pencapaian objektif bisnis. Realisasi visi
Organise (APO)
strategis perlu direncanakan, dikomunikasikan, dan dikelola. Organisasi TI
yang sesuai serta infrastruktur teknologi harus disiapkan.
Proses-proses di ranah ini menyiapkan solusi dan transisinya ke operasi.
Build, Acquire and Untuk dapat mewujudkan strategi TI, solusi TI harus diidentifikasi, diadakan
atau dikembangkan, diimplementasikan dan diintegrasikan dengan proses
Implement (BAI)
bisnis. Manajemen perubahan dan pemeliharaan juga tercakup di ranah ini.
Proses-proses di ranah ini menerima solusi dan membuatnya dapat
Deliver,
Service dimanfaatkan oleh pengguna. Ranah ini mencakup penyediaan layanan dan
and Support (DSS) dukungannya termasuk manajemen layanan, manajemen keamanan dan
keberlangsungan, serta manajemen data dan fasilitas operasional.
Proses-proses di ranah ini memantau semua proses TI untuk memastikan
bahwa arahan yang telah diberikan diikuti. Secara rutin, semua proses TI
Monitor, Evaluate
perlu dievaluasi kontrol-kontrol serta kualitasnya. Ranah ini mencakup
and Assess (MEA)
manajemen kinerja, pemantauan kontrol internal, kepatuhan proses-proses TI
terhadap persyaratan internal dan peraturan perundangan serta regulasi.
Assessment terhadap proses-proses TI akan dilakukan dengan mengacu kepada
proses-proses, key practices, dan aktivitas-aktivitas TI. Terdapat 37 proses dalam 5
domain pada COBIT 5.
Gambar 1. Proses Dalam COBIT 5
III.
METODOLOGI
Metodologi penelitian makalah ini sebagai berikut:
Studi literatur.
Studi kasus, mengumpulkan contoh proyek audit, membuat analisa pembahasan dari
pekerjaan audit dilihat dari beberapa proses manajemen proyek yaitu manajemen
sumber daya proyek dan manajemen komunikasi proyek.
Sedangkan metodologi yang digunakan dalam pelaksanaan audit adalah sebagai berikut:
Gambar 2. Tahapan IT Audit
Peningkatan Pemahaman
Peningkatan pemahaman dilakukan melalui pengumpulan dan analisa awal terhadap
dokumen-dokumen perusahaan dan TI yang relevan serta diskusi dengan pihak-pihak senior
yang dapat menjelaskan kondisi terbaru PT XYZ dan pemanfaatan TI.
Pelaksanaan Audit
Audit dilakukan melalui analisa dokumen, wawancara dengan berbagai pihak terutama
dengan Departemen TI, observasi ke berbagai pabrik (plants), data center, dan database
backup facility, serta pengujian-pengujian teknis
Verifikasi Hasil Audit
Dalam tahap ini, hasil dari audit diverifikasi bersama dengan auditee secara iteratif untuk
finalisasi temuan, penetapan rekomendasi yang realistis, dan untuk mendapatkan tanggapan
resmi dari auditee.
Pembuatan Laporan
Hasil dari verifikasi audit digunakan untuk mengembangkan laporan audit lengkap termasuk
pencantuman temuan, rekomendasi, dan tanggapan resmi dari auditee. Selain itu juga akan
dikembangkan ringkasan eksekutif hasil audit TI umum.
IV.
PEMBAHASAN DAN HASIL
Manajemen Sumber Daya Proyek (Project Human Resource Management)
Salah aktifitas proses dalam proyek manajemen adalah manajemen sumber daya proyek.
Berikut ini struktur organisasi proyek dalam pekerjaan audit.
Gambar 3. Struktur Tim Proyek
Dalam manajemen sumber daya proyek terdapat 4 proses yaitu:
Develop Human Resource Plan
Develop Project Team
Acquire Project Team
Manage Project Team
Karena semua tim proyek berasal dari saru perusahaan konsultan maka untuk proses
Develop Human Resource Plan, Acquire Project Team, Develop Project Team sudah
dilakukan sejak proses pengadaan. Sedangka proses mengelola tim proyek menjadi
penting dalam pekerjaan audit TI agar proyek dapat berjalan dengan lancar dan selesai
dengan tepat waktu. Proses mengelola tim proyek menjadi tanggung jawab dari
proyek manajer untuk menjamin kelancaran proyek.
Gambar 4. Mengelola Tim Proyek: Inputs, Tools & Techniques, dan Outputs
Sebagai input proses yaitu rencana manajemen proyek yang berisi role and
responsibilities dan rencana manajemen staf. Teknik Observation and conversation
digunakan oleh Manajer proyek untuk memonitor tim proyek dan hasil kerjanya.
Manajemen Komunikasi Proyek (Project Communication Management)
Dalam semua tahapan audit, komunikasi dengan pihak yang di audit menjadi hal yang
sangat penting agar proses audit dapat berjalan lancar dan mendapatkan hasil yang
diinginkan. Keterbukaan menjadi kunci penting dalam proses interview terlebih jika
dokumen yang akan diaudit tidak tersedia.
Dalam Manajemen komunikasi proyek terdapat aktifitas Proses perencanaan
komunikasi.
Dalam Manajemen Komunikasi Proyek terdapat lima proses yaitu:
Identify Stakeholder
Distribute Communication
Plan Communication
Manage Stakeholder Expectation
Report Performance
Kelima proses dalam manajemen komunikasi proyek saling terkait dan harus ada dalam
pekerjaan audit. Gambar berikut ini merupakan bagian dari manajemen komunikasi proyek
yamg digunakan yaitu perencanaan komunikasi.
Gambar 5. Input, Tools and Techniques serta Output untuk Perencanaan
Komunikasi.
Sebagai input proses Perencanaan Komunikasi yaitu stakeholder register atau daftar semua
pemangku kepentingan, dalam audit ini pemangku kepentingan adalah manajemen PT XYZ,
departemen TI, karyawan PT. XYZ, vendor dan pelanggan PT. XYZ . Tools and Techniques
Teknik yang digunakan sebagai berikut:
Communication Technology: melalui telpon, handphone, email dan /atau tatap muka
secara langsung.
Communication
Method:
menggunakan
komunikasi
interaktif
(interactive
communication), dimana kedua belah pihak saling bertukar informasi.
HASIL AUDIT
Penilaian Tingkat risiko dari hasil audit diklasifikasikan untuk menjadi panduan bagi
manajemen dalam menentukan rencana tindak lanjut yang tepat. Berikut ini adalah deskripsi
dari masing-masing kategori tingkatan risiko.
Tabel 2. Tingkat Risiko
Tingkat Risiko
Deskripsi
Klasifikasi ini untuk hasil audit dengan risiko ketidakpatuhan terhadap
Tinggi
peraturan perundangan/kontrak dan/atau risiko terjadinya gangguan
operasional TI yang mengakibatkan dampak yang material/signifikan
termasuk kerugian finansial yang besar. Temuan di klasifikasi ini
membutuhkan perhatian khusus dari manajemen puncak dan harus segera
(urgent) diperbaiki.
Klasifikasi ini untuk temuan dengan risiko ketidakpatuhan terhadap
peraturan perundangan/kontrak namun tidak begitu material/signifikan
dan/atau risiko moderat terhadap terganggunya operasional TI. Temuan di
Sedang
klasifikasi ini perlu diperhatikan oleh Manajer TI dan ditindaklanjuti
dalam jangka waktu menengah.
Tidak ada persyaratan kepatuhan/kontrak yang dilanggar namun terdapat
risiko yang berdampak terhadap operasional TI. Temuan dapat
Rendah
ditindaklanjuti oleh Manajer TI atau kepala sie TI dalam jangka panjang
untuk meningkatkan kualitas proses-proses TI.
Berikut ini adalah assessment list hasil audit yang telah dilakukan, dikelompokkan
berdasarkan ranah COBIT 5.
Tabel 3. Hasil Audit
No.
Ranah Hasil Audit
Tingkat
Risiko
1.
EDM
Tata kelola TI belum lengkap
Sedang
2.
APO
Kebijakan dan prosedur TI belum dikembangkan dan/atau Sedang
diperbarui
3.
APO
Organisasi TI belum lengkap
4.
APO
Perencanaan Strategis TI dan Arsitektur Informasi Belum Sedang
Dikembangkan dengan Lengkap
5.
APO
Service level management belum terdefinisi
6.
APO
Vendor DC belum memenuhi persyaratan kontrak mengenai Rendah
FM-200 fire suppression system
7.
APO
Manajemen risiko TI belum diterapkan secara formal
Sedang
8.
BAI
Pengembangan sistem belum lengkap
Sedang
9.
BAI
Terdapat beberapa permasalahan pada Aplikasi ERP dan Tinggi
penggunaannya
10.
BAI
Aplikasi ERP belum terintegrasi secara keseluruhan
11.
BAI
Manajemen kapasitas belum lengkap termasuk identifikasi Sedang
kelambatan kinerja sistem
Tinggi
Sedang
Tinggi
No.
Ranah Hasil Audit
Tingkat
Risiko
12.
BAI
E-mail dari e-mail service providers lambat diterima
Rendah
13.
DSS
Jam layanan TI belum disesuaikan dengan jam layanan bisnis
Sedang
14.
DSS
Pelaporan layanan jaringan dari vendor belum lengkap
Sedang
15.
DSS
Manajemen insiden belum lengkap
Sedang
16.
DSS
Manajemen kesiapan bencana belum memadai
Sedang
17.
DSS
Basisdata belum terintegrasi penuh
Tinggi
18.
DSS
Pengamanan sistem informasi kurang memadai
Sedang
19.
DSS
Manajemen kerentanan dan patch belum berjalan dengan baik
Tinggi
20.
DSS
Identity & access management belum berjalan dengan baik
Sedang
21.
DSS
Pengelolaan infrastruktur dan perangkat pengguna akhir Tinggi
belum terstandar
22.
DSS
Security awareness kurang memadai
Sedang
23.
MEA
Pemantauan, pengukuran, dan pelaporan TI belum lengkap
Sedang
Tabel 4. Hasil Assessment Berdasarkan Tingkat Risiko
Tingkat Risiko
No.
Struktur
Total
Rendah
Sedang
Tinggi
1.
Evaluate, Direct and Monitor
-
1
-
1
2.
Align, Plan and Organise
1
4
1
6
3.
Build, Acquire and Implement
1
2
2
5
4.
Deliver, Service and Support
1
6
3
10
5.
Monitor, Evaluate and Assess
-
1
-
1
3
14
6
23
Total
High-level Assessments
Assessment yang telah dilakukan mendapatkan 23 isu dan enam di antaranya memiliki
tingkat risiko yang tinggi sehingga perlu mendapat perhatian khusus dari manajemen puncak
PT. XYZ dan perlu ditindaklanjuti dalam jangka pendek. Dari keenam isu dengan tingkat
risiko tinggi, tiga terkait dengan Aplikasi ERP yaitu belum terintegrasi secara keseluruhannya
Aplikasi ERP dengan sistem ICS-PLC (industrial control system-programmable logic
controller ) dari batching plant, kurang optimalnya kinerja Aplikasi ERP yang dapat
disebabkan oleh struktur data yang tersebar dalam beberapa basisdata, serta masih
terdapatnya beberapa software defects dan permintaan perubahan aplikasi yang belum atau
sedang ditangani. Penyelesaian semua isu di atas memerlukan waktu dan sumber daya yang
signifikan
sedangkan
Sie
Pengembangan
Aplikasi
juga
harus
mengembangkan
aplikasi/modul baru seperti customer self-service, modul pemeliharaan plant, serta Aplikasi
Dashboard sehingga penyelesaiannya cukup memakan waktu.
Isu lain dengan tingkat risiko tinggi adalah belum optimalnya organisasi TI yang ada,
antara lain karena lowongnya jabatan kepala Sie Pengembangan Aplikasi dan Sie
Pemeliharaan, belum adanya sie perencanaan dan umum, serta belum adanya staf yang
bertanggung jawab untuk manajemen risiko TI dan keamanan sistem informasi.
Isu dengan tingkat risiko tinggi yang terakhir tapi tidak kalah pentingnya adalah
mengenai pengelolaan infrastruktur pengguna yang belum terstandar di berbagai lokasi dan
divisi, sehingga mengakibatkan berbagai macam hal antara lain:
tidak terstandarnya penempatan server , instalasi kabel, UPS, genset, penangkal petir
berbagai kerentanan dari sisi keamanan sistem
dan instalasi aplikasi-aplikasi yang tidak berhubungan langsung dengan pekerjaan
bervariasinya Windows update dari masing-masing workstation sehingga muncul
pemakaian akun admin sehingga pengguna dapat menginstalasi aplikasi secara bebas,
tidak terstandarnya penyediaan akses Internet termasuk pembatasan akses situs
tertentu.
Beberapa isu berikut ini memiliki tingkat risiko sedang namun tetap perlu mendapat perhatian
manajemen. Isu-isu tersebut dapat dikumpulkan ke dalam satu kelompok yaitu belum
terdapatnya suatu kerangka tata kelola TI (IT governance framework) untuk digunakan
Direksi dalam memberi pengarahan dan mendapatkan nilai maksimal dari TI.
Termasuk dalam tata kelola TI adalah:
belum dikembangkannya rencana strategis TI termasuk arsitektur informasi
belum dikembangkannya kebijakan dan prosedur TI
sistem
belum optimalnya manajemen kapasitas termasuk identifikasi kelambatan kinerja
belum dijalankannya manajemen risiko TI berdasarkan manajemen risiko korporat
belum memadainya kesiapan menghadapi bencana karena belum adanya disaster
recovery plan (DRP) berbasiskan business impact analysis (BIA) dan belum adanya
business continuity plan (BCP) berdasarkan suatu business continuity management di
PT. XYZ
belum lengkapnya pengukuran dan pelaporan TI untuk pengelolaan dan perencanaan
TI.
Isu terakhir dengan tingkat risiko sedang yang perlu mendapat perhatian manajemen adalah
kurangnya keamanan informasi secara umum dan keamanan sistem informasi secara khusus
di PT. XYZ antara lain mengenai penggunaan antivirus/antimalware yang belum optimal,
cukup luasnya praktik password sharing termasuk untuk approval.
HIGH-LEVEL RECOMMENDATIONS
Berikut high-level recommendations untuk bahan pertimbangan bagi Departemen TI dan PT.
XYZ:
optimalisasi Aplikasi ERP yaitu konsolidasi basisdata, penanganan software defects
dan permintaan perubahan aplikasi,
peningkatan kualitas dan kinerja organisasi TI melalui pengisian jabatan kepala
Sie Pengembangan Aplikasi dan Sie Pemeliharaan, pemisahan yang jelas antara ranah
pengembangan dan ranah operasi, penerapan manajemen risiko TI dan security
operations (termasuk vulnerability and patch management), koordinasi untuk
technical support & troubleshooting, dan secara bertahap, fungsi-fungsi terkait
perencanaan seperti perencanaan TI, pengembangan dan pembaruan arsitektur
informasi, serta pengembangan dan pembaruan kebijakan dan prosedur TI, dijalankan
sampai terbentuk sie perencanaan
standardisasi pengelolaan infrastruktur pengguna melalui pembaruan dan
pengembangan panduan keamanan sistem informasi sebagai panduan di lokasi dan di
Kantor Pusat untuk penempatan server, instalasi kabel, AC, UPS, genset, dan
penangkal petir, juga sebagai panduan untuk patch, penanganan virus/malware, dan
akses Internet
pengembangan rencana strategis TI serta kebijakan dan prosedur TI
peningkatan tata kelola dan tata laksana TI antara lain pendefinisian dan
penerapan kerangka tata kelola dan tata laksana TI (IT governance and management
framework), pengkajian berbasis risiko terhadap penyesuaian jam layanan TI,
manajemen kapasitas terutama pemantauan dan pengukuran resources secara lengkap,
pengkajian manajemen keberlangsungan bisnis (business continuity management)
oleh Manajemen Puncak dan manajemen pemulihan bencana (disaster recovery
management) oleh Departemen TI, manajemen tingkat layanan (service level
management), manajemen insiden, serta information system security awareness
khususnya dan information security secara umum.
V.
KESIMPULAN
Berdasarkan hasil audit PT XYZ dapat melakukan perbaikan terhadap temuan-temuan
yang ada dan melakukan peningkatan kualitas baik dari sisi people, proses maupun
teknologi. Dengan adanya peningkatan kualitas tersebut dapat membawa kelancaran
bisnis bagi PT. XYZ.
Dalam pelaksanaan audit, manajemen proyek perlu diperhatikan untuk keberhasilan
proyek dan hasilnya dapat memberikan nilai tambah kepada organisasi yang di audit. Dari
proses audit sendiri terlihat bahwa manajemen sumber daya proyek dan manajemen
komunikasi proyek yang menjadi bagian penting dalam pekerjaan audit pada setiap tahap,
baik tahap peningkatan pemahaman, pelaksanaan audit, maupun tahap verifikasi temuan.
VI.
DAFTAR PUSTAKA
[1.] Information Systems Audit and Control Association. COBIT 5. A Business
Framework for the Governance and management of Enterprise IT. 2012
[2.] Project Management Institute, A guide to the Project management Body of
Knowledge (PMBOK@Guide) – Fouth Edition. 2008
[3.] IEEE 1490, IEEE Guide Adoption of PMI Standard A guide to the Project
management Body of Knowledge. 2004
[4.] Information Systems Audit and Control Association. IT Control Objective for
Sarbanes Oxley, 3rd Edition. 2014
[5.] PT XYZ. Audit Teknologi Informasi berdasarkan kerangka COBIT 5. 2016
Pada Pekerjaan Audit Teknologi Informasi
Studi Kasus: PT XYZ
Bambang Susilo,
NIM: 1606933213
Dosen: Dr. Ir. Iwan Krisnadi, MBA
Program Pasca Sarjana, Keamanan Jaringan Informasi
Departemen Teknik Elektro, Universitas Indonesia
Abstrak:
Teknologi Informasi memiliki peran penting dalam mendukung proses bisnis perusahaan.
Untuk itu tatakelola sistem informasi yang baik menjadi bagian yang penting dalam mewujudkan
proses Teknologi Informasi yang sesuai dengan strategi bisnis perusahaan. Audit terhadap Teknologi
Informasi menjadi salah satu cara untuk memberikan keyakinan terhadap proses teknologi yang
berjalan dalam perusahaan. PT XYZ melakukan audit Teknologi informasi dalam rangka mengetahui
kondisi aktual dan area-area yang perlu diperbaiki dengan rekomendasi yang tepat.
Makalah ini melihat dari sudut pandang manajemen sumber daya proyek dan manajemen
komunikasi proyek yang merupakan bagian dari PMBOK (Project Management Book of
Knowledge).pada pekerjaan Audit Teknologi Informasi yang menggunakan kerangka COBIT 5.
Keyword: Audit, PMBOK, COBIT, Manajemen Proyek
I.
PENDAHULUAN
Latar belakang
Teknologi informasi (TI) merupakan salah satu faktor penting dalam penyediaan dan
peningkatan performa operasi bisnis. Optimalisasi TI menjadi salah satu hal utama bagi PT
XYZ. Untuk itu perlu diidentifikasi area-area TI yang perlu diperbaiki dan ditingkatkan
kualitasnya. Melalui audit TI umum, dapat diketahui area-area perbaikan serta rekomendasirekomendasi yang tepat untuk peningkatan TI ke depan.
Dalam makalah ini akan dibahas mengenai audit teknologi informasi dilihat dari sisi
manajemen proyek khususnya manajemen sumber daya proyek dan manajemen komunikasi
proyek.
Rumusan Masalah
Memetakan proses manajemen proyek pada pekerjaan audit teknologi informasi.
II.
KAJIAN PUSTAKA
PMBOK
PMBOK, atau lengkapnya A Guide to the Project Management Body of Knowledge (PMBOK
Guide), adalah suatu buku yang memuat himpunan istilah dan pedoman untuk manajemen
proyek yang diterbitkan oleh Project Management Institute (PMI).
Project
management
adalah
sebuah
disiplin
keilmuan
dalam
hal
perencanaan,
pengorganisasian, pengelolaan (menjalankan serta pengendalian), untuk dapat mencapai
tujuan-tujuan proyek.
Sembilan (knowledge area ) dalam PMBOK adalah sebagai berikut:
Manajemen Integrasi proyek (Project Integration Management)
Manajemen Waktu proyek (Project Time Management)
Manajemen Kualitas proyek (Project quality management)
Manajemen Komunikasi proyek (Project communication management)
Manajemen Lingkup proyek (Project Scope Management)
Manajemen Biaya proyek (Project cost management)
Manajemen sumber daya proyek (Project resource management)
Manajemen Risiko proyek (Project risk management)
Manajemen Pengadaan proyek (Project procurement management)
COBIT 5
COBIT dirilis oleh ISACA yaitu asosiasi independen nonprofit yang mendukung para
profesional di bidang keamanan informasi, assurance, manajemen risiko, dan governance and
management of enterprise IT.
COBIT terbaru adalah COBIT 5 yang dirilis bulan April 2012. COBIT 5 adalah kerangka
bisnis untuk tata kelola dan tata laksana TI. Dalam kerangka ini, COBIT menyediakan
referensi key practices dan aktivitasnya untuk 37 proses TI yang mungkin ada dalam satu
perusahaan.
Model Referensi Proses dalam COBIT 5
COBIT 5 membagi proses tata kelola dan manajemen TI perusahaan menjadi dua domain
proses utama:
1. Tata Kelola, memuat lima proses tata kelola, dimana akan ditentukan praktik-praktik dalam
setiap proses Evaluate, Direct, dan Monitor (EDM)
2. Manajemen, memuat empat domain, sejajar dengan area tanggung jawab dari Plan, Build,
Run, and Monitor (PBRM), dan menyediakan ruang lingkup TI yang menyeluruh dari ujung
ke ujung yaitu:
Align, Plan, and Organize (APO) – Penyelarasan, Perencanaan, dan Pengaturan
Build,
Acquare,
and
Implement (BAI) –
Membangun,
Memperoleh,
dan
Mengimplementasikan
Deliver, Service and Support (DSS) – Mengirimkan, Layanan, dan Dukungan
Monitor, Evaluate, and Assess (MEA) – Pengawasan, Evaluasi, dan Penilaian
Tabel 1. Ranah COBIT 5
Ranah
Deskripsi
Proses-proses tata kelola (governance processes) di ranah ini terkait dengan
objektif tata kelola dari para pemangku kepentingan (stakeholders) yaitu
Evaluate,
Direct
nilai manfaat dari TI (value delivery), optimasi risiko (risk optimisation), dan
and
Monitor
optimasi penggunaan sumber daya (resource optimisation) serta mencakup
(EDM)
praktek dan aktivitas yang ditujukan untuk mengevaluasi opsi strategis,
menyediakan arahan kepada TI, dan memantau hasilnya.
Ranah
Deskripsi
Proses-proses di ranah ini menyediakan arahan untuk penyediaan solusi
(ranah BAI) serta penyediaan layanan dan support (ranah DSS). Ranah ini
Align, Plan and mencakup strategi dan taktis termasuk mengidentifikasi cara terbaik agar TI
dapat berkontribusi terhadap pencapaian objektif bisnis. Realisasi visi
Organise (APO)
strategis perlu direncanakan, dikomunikasikan, dan dikelola. Organisasi TI
yang sesuai serta infrastruktur teknologi harus disiapkan.
Proses-proses di ranah ini menyiapkan solusi dan transisinya ke operasi.
Build, Acquire and Untuk dapat mewujudkan strategi TI, solusi TI harus diidentifikasi, diadakan
atau dikembangkan, diimplementasikan dan diintegrasikan dengan proses
Implement (BAI)
bisnis. Manajemen perubahan dan pemeliharaan juga tercakup di ranah ini.
Proses-proses di ranah ini menerima solusi dan membuatnya dapat
Deliver,
Service dimanfaatkan oleh pengguna. Ranah ini mencakup penyediaan layanan dan
and Support (DSS) dukungannya termasuk manajemen layanan, manajemen keamanan dan
keberlangsungan, serta manajemen data dan fasilitas operasional.
Proses-proses di ranah ini memantau semua proses TI untuk memastikan
bahwa arahan yang telah diberikan diikuti. Secara rutin, semua proses TI
Monitor, Evaluate
perlu dievaluasi kontrol-kontrol serta kualitasnya. Ranah ini mencakup
and Assess (MEA)
manajemen kinerja, pemantauan kontrol internal, kepatuhan proses-proses TI
terhadap persyaratan internal dan peraturan perundangan serta regulasi.
Assessment terhadap proses-proses TI akan dilakukan dengan mengacu kepada
proses-proses, key practices, dan aktivitas-aktivitas TI. Terdapat 37 proses dalam 5
domain pada COBIT 5.
Gambar 1. Proses Dalam COBIT 5
III.
METODOLOGI
Metodologi penelitian makalah ini sebagai berikut:
Studi literatur.
Studi kasus, mengumpulkan contoh proyek audit, membuat analisa pembahasan dari
pekerjaan audit dilihat dari beberapa proses manajemen proyek yaitu manajemen
sumber daya proyek dan manajemen komunikasi proyek.
Sedangkan metodologi yang digunakan dalam pelaksanaan audit adalah sebagai berikut:
Gambar 2. Tahapan IT Audit
Peningkatan Pemahaman
Peningkatan pemahaman dilakukan melalui pengumpulan dan analisa awal terhadap
dokumen-dokumen perusahaan dan TI yang relevan serta diskusi dengan pihak-pihak senior
yang dapat menjelaskan kondisi terbaru PT XYZ dan pemanfaatan TI.
Pelaksanaan Audit
Audit dilakukan melalui analisa dokumen, wawancara dengan berbagai pihak terutama
dengan Departemen TI, observasi ke berbagai pabrik (plants), data center, dan database
backup facility, serta pengujian-pengujian teknis
Verifikasi Hasil Audit
Dalam tahap ini, hasil dari audit diverifikasi bersama dengan auditee secara iteratif untuk
finalisasi temuan, penetapan rekomendasi yang realistis, dan untuk mendapatkan tanggapan
resmi dari auditee.
Pembuatan Laporan
Hasil dari verifikasi audit digunakan untuk mengembangkan laporan audit lengkap termasuk
pencantuman temuan, rekomendasi, dan tanggapan resmi dari auditee. Selain itu juga akan
dikembangkan ringkasan eksekutif hasil audit TI umum.
IV.
PEMBAHASAN DAN HASIL
Manajemen Sumber Daya Proyek (Project Human Resource Management)
Salah aktifitas proses dalam proyek manajemen adalah manajemen sumber daya proyek.
Berikut ini struktur organisasi proyek dalam pekerjaan audit.
Gambar 3. Struktur Tim Proyek
Dalam manajemen sumber daya proyek terdapat 4 proses yaitu:
Develop Human Resource Plan
Develop Project Team
Acquire Project Team
Manage Project Team
Karena semua tim proyek berasal dari saru perusahaan konsultan maka untuk proses
Develop Human Resource Plan, Acquire Project Team, Develop Project Team sudah
dilakukan sejak proses pengadaan. Sedangka proses mengelola tim proyek menjadi
penting dalam pekerjaan audit TI agar proyek dapat berjalan dengan lancar dan selesai
dengan tepat waktu. Proses mengelola tim proyek menjadi tanggung jawab dari
proyek manajer untuk menjamin kelancaran proyek.
Gambar 4. Mengelola Tim Proyek: Inputs, Tools & Techniques, dan Outputs
Sebagai input proses yaitu rencana manajemen proyek yang berisi role and
responsibilities dan rencana manajemen staf. Teknik Observation and conversation
digunakan oleh Manajer proyek untuk memonitor tim proyek dan hasil kerjanya.
Manajemen Komunikasi Proyek (Project Communication Management)
Dalam semua tahapan audit, komunikasi dengan pihak yang di audit menjadi hal yang
sangat penting agar proses audit dapat berjalan lancar dan mendapatkan hasil yang
diinginkan. Keterbukaan menjadi kunci penting dalam proses interview terlebih jika
dokumen yang akan diaudit tidak tersedia.
Dalam Manajemen komunikasi proyek terdapat aktifitas Proses perencanaan
komunikasi.
Dalam Manajemen Komunikasi Proyek terdapat lima proses yaitu:
Identify Stakeholder
Distribute Communication
Plan Communication
Manage Stakeholder Expectation
Report Performance
Kelima proses dalam manajemen komunikasi proyek saling terkait dan harus ada dalam
pekerjaan audit. Gambar berikut ini merupakan bagian dari manajemen komunikasi proyek
yamg digunakan yaitu perencanaan komunikasi.
Gambar 5. Input, Tools and Techniques serta Output untuk Perencanaan
Komunikasi.
Sebagai input proses Perencanaan Komunikasi yaitu stakeholder register atau daftar semua
pemangku kepentingan, dalam audit ini pemangku kepentingan adalah manajemen PT XYZ,
departemen TI, karyawan PT. XYZ, vendor dan pelanggan PT. XYZ . Tools and Techniques
Teknik yang digunakan sebagai berikut:
Communication Technology: melalui telpon, handphone, email dan /atau tatap muka
secara langsung.
Communication
Method:
menggunakan
komunikasi
interaktif
(interactive
communication), dimana kedua belah pihak saling bertukar informasi.
HASIL AUDIT
Penilaian Tingkat risiko dari hasil audit diklasifikasikan untuk menjadi panduan bagi
manajemen dalam menentukan rencana tindak lanjut yang tepat. Berikut ini adalah deskripsi
dari masing-masing kategori tingkatan risiko.
Tabel 2. Tingkat Risiko
Tingkat Risiko
Deskripsi
Klasifikasi ini untuk hasil audit dengan risiko ketidakpatuhan terhadap
Tinggi
peraturan perundangan/kontrak dan/atau risiko terjadinya gangguan
operasional TI yang mengakibatkan dampak yang material/signifikan
termasuk kerugian finansial yang besar. Temuan di klasifikasi ini
membutuhkan perhatian khusus dari manajemen puncak dan harus segera
(urgent) diperbaiki.
Klasifikasi ini untuk temuan dengan risiko ketidakpatuhan terhadap
peraturan perundangan/kontrak namun tidak begitu material/signifikan
dan/atau risiko moderat terhadap terganggunya operasional TI. Temuan di
Sedang
klasifikasi ini perlu diperhatikan oleh Manajer TI dan ditindaklanjuti
dalam jangka waktu menengah.
Tidak ada persyaratan kepatuhan/kontrak yang dilanggar namun terdapat
risiko yang berdampak terhadap operasional TI. Temuan dapat
Rendah
ditindaklanjuti oleh Manajer TI atau kepala sie TI dalam jangka panjang
untuk meningkatkan kualitas proses-proses TI.
Berikut ini adalah assessment list hasil audit yang telah dilakukan, dikelompokkan
berdasarkan ranah COBIT 5.
Tabel 3. Hasil Audit
No.
Ranah Hasil Audit
Tingkat
Risiko
1.
EDM
Tata kelola TI belum lengkap
Sedang
2.
APO
Kebijakan dan prosedur TI belum dikembangkan dan/atau Sedang
diperbarui
3.
APO
Organisasi TI belum lengkap
4.
APO
Perencanaan Strategis TI dan Arsitektur Informasi Belum Sedang
Dikembangkan dengan Lengkap
5.
APO
Service level management belum terdefinisi
6.
APO
Vendor DC belum memenuhi persyaratan kontrak mengenai Rendah
FM-200 fire suppression system
7.
APO
Manajemen risiko TI belum diterapkan secara formal
Sedang
8.
BAI
Pengembangan sistem belum lengkap
Sedang
9.
BAI
Terdapat beberapa permasalahan pada Aplikasi ERP dan Tinggi
penggunaannya
10.
BAI
Aplikasi ERP belum terintegrasi secara keseluruhan
11.
BAI
Manajemen kapasitas belum lengkap termasuk identifikasi Sedang
kelambatan kinerja sistem
Tinggi
Sedang
Tinggi
No.
Ranah Hasil Audit
Tingkat
Risiko
12.
BAI
E-mail dari e-mail service providers lambat diterima
Rendah
13.
DSS
Jam layanan TI belum disesuaikan dengan jam layanan bisnis
Sedang
14.
DSS
Pelaporan layanan jaringan dari vendor belum lengkap
Sedang
15.
DSS
Manajemen insiden belum lengkap
Sedang
16.
DSS
Manajemen kesiapan bencana belum memadai
Sedang
17.
DSS
Basisdata belum terintegrasi penuh
Tinggi
18.
DSS
Pengamanan sistem informasi kurang memadai
Sedang
19.
DSS
Manajemen kerentanan dan patch belum berjalan dengan baik
Tinggi
20.
DSS
Identity & access management belum berjalan dengan baik
Sedang
21.
DSS
Pengelolaan infrastruktur dan perangkat pengguna akhir Tinggi
belum terstandar
22.
DSS
Security awareness kurang memadai
Sedang
23.
MEA
Pemantauan, pengukuran, dan pelaporan TI belum lengkap
Sedang
Tabel 4. Hasil Assessment Berdasarkan Tingkat Risiko
Tingkat Risiko
No.
Struktur
Total
Rendah
Sedang
Tinggi
1.
Evaluate, Direct and Monitor
-
1
-
1
2.
Align, Plan and Organise
1
4
1
6
3.
Build, Acquire and Implement
1
2
2
5
4.
Deliver, Service and Support
1
6
3
10
5.
Monitor, Evaluate and Assess
-
1
-
1
3
14
6
23
Total
High-level Assessments
Assessment yang telah dilakukan mendapatkan 23 isu dan enam di antaranya memiliki
tingkat risiko yang tinggi sehingga perlu mendapat perhatian khusus dari manajemen puncak
PT. XYZ dan perlu ditindaklanjuti dalam jangka pendek. Dari keenam isu dengan tingkat
risiko tinggi, tiga terkait dengan Aplikasi ERP yaitu belum terintegrasi secara keseluruhannya
Aplikasi ERP dengan sistem ICS-PLC (industrial control system-programmable logic
controller ) dari batching plant, kurang optimalnya kinerja Aplikasi ERP yang dapat
disebabkan oleh struktur data yang tersebar dalam beberapa basisdata, serta masih
terdapatnya beberapa software defects dan permintaan perubahan aplikasi yang belum atau
sedang ditangani. Penyelesaian semua isu di atas memerlukan waktu dan sumber daya yang
signifikan
sedangkan
Sie
Pengembangan
Aplikasi
juga
harus
mengembangkan
aplikasi/modul baru seperti customer self-service, modul pemeliharaan plant, serta Aplikasi
Dashboard sehingga penyelesaiannya cukup memakan waktu.
Isu lain dengan tingkat risiko tinggi adalah belum optimalnya organisasi TI yang ada,
antara lain karena lowongnya jabatan kepala Sie Pengembangan Aplikasi dan Sie
Pemeliharaan, belum adanya sie perencanaan dan umum, serta belum adanya staf yang
bertanggung jawab untuk manajemen risiko TI dan keamanan sistem informasi.
Isu dengan tingkat risiko tinggi yang terakhir tapi tidak kalah pentingnya adalah
mengenai pengelolaan infrastruktur pengguna yang belum terstandar di berbagai lokasi dan
divisi, sehingga mengakibatkan berbagai macam hal antara lain:
tidak terstandarnya penempatan server , instalasi kabel, UPS, genset, penangkal petir
berbagai kerentanan dari sisi keamanan sistem
dan instalasi aplikasi-aplikasi yang tidak berhubungan langsung dengan pekerjaan
bervariasinya Windows update dari masing-masing workstation sehingga muncul
pemakaian akun admin sehingga pengguna dapat menginstalasi aplikasi secara bebas,
tidak terstandarnya penyediaan akses Internet termasuk pembatasan akses situs
tertentu.
Beberapa isu berikut ini memiliki tingkat risiko sedang namun tetap perlu mendapat perhatian
manajemen. Isu-isu tersebut dapat dikumpulkan ke dalam satu kelompok yaitu belum
terdapatnya suatu kerangka tata kelola TI (IT governance framework) untuk digunakan
Direksi dalam memberi pengarahan dan mendapatkan nilai maksimal dari TI.
Termasuk dalam tata kelola TI adalah:
belum dikembangkannya rencana strategis TI termasuk arsitektur informasi
belum dikembangkannya kebijakan dan prosedur TI
sistem
belum optimalnya manajemen kapasitas termasuk identifikasi kelambatan kinerja
belum dijalankannya manajemen risiko TI berdasarkan manajemen risiko korporat
belum memadainya kesiapan menghadapi bencana karena belum adanya disaster
recovery plan (DRP) berbasiskan business impact analysis (BIA) dan belum adanya
business continuity plan (BCP) berdasarkan suatu business continuity management di
PT. XYZ
belum lengkapnya pengukuran dan pelaporan TI untuk pengelolaan dan perencanaan
TI.
Isu terakhir dengan tingkat risiko sedang yang perlu mendapat perhatian manajemen adalah
kurangnya keamanan informasi secara umum dan keamanan sistem informasi secara khusus
di PT. XYZ antara lain mengenai penggunaan antivirus/antimalware yang belum optimal,
cukup luasnya praktik password sharing termasuk untuk approval.
HIGH-LEVEL RECOMMENDATIONS
Berikut high-level recommendations untuk bahan pertimbangan bagi Departemen TI dan PT.
XYZ:
optimalisasi Aplikasi ERP yaitu konsolidasi basisdata, penanganan software defects
dan permintaan perubahan aplikasi,
peningkatan kualitas dan kinerja organisasi TI melalui pengisian jabatan kepala
Sie Pengembangan Aplikasi dan Sie Pemeliharaan, pemisahan yang jelas antara ranah
pengembangan dan ranah operasi, penerapan manajemen risiko TI dan security
operations (termasuk vulnerability and patch management), koordinasi untuk
technical support & troubleshooting, dan secara bertahap, fungsi-fungsi terkait
perencanaan seperti perencanaan TI, pengembangan dan pembaruan arsitektur
informasi, serta pengembangan dan pembaruan kebijakan dan prosedur TI, dijalankan
sampai terbentuk sie perencanaan
standardisasi pengelolaan infrastruktur pengguna melalui pembaruan dan
pengembangan panduan keamanan sistem informasi sebagai panduan di lokasi dan di
Kantor Pusat untuk penempatan server, instalasi kabel, AC, UPS, genset, dan
penangkal petir, juga sebagai panduan untuk patch, penanganan virus/malware, dan
akses Internet
pengembangan rencana strategis TI serta kebijakan dan prosedur TI
peningkatan tata kelola dan tata laksana TI antara lain pendefinisian dan
penerapan kerangka tata kelola dan tata laksana TI (IT governance and management
framework), pengkajian berbasis risiko terhadap penyesuaian jam layanan TI,
manajemen kapasitas terutama pemantauan dan pengukuran resources secara lengkap,
pengkajian manajemen keberlangsungan bisnis (business continuity management)
oleh Manajemen Puncak dan manajemen pemulihan bencana (disaster recovery
management) oleh Departemen TI, manajemen tingkat layanan (service level
management), manajemen insiden, serta information system security awareness
khususnya dan information security secara umum.
V.
KESIMPULAN
Berdasarkan hasil audit PT XYZ dapat melakukan perbaikan terhadap temuan-temuan
yang ada dan melakukan peningkatan kualitas baik dari sisi people, proses maupun
teknologi. Dengan adanya peningkatan kualitas tersebut dapat membawa kelancaran
bisnis bagi PT. XYZ.
Dalam pelaksanaan audit, manajemen proyek perlu diperhatikan untuk keberhasilan
proyek dan hasilnya dapat memberikan nilai tambah kepada organisasi yang di audit. Dari
proses audit sendiri terlihat bahwa manajemen sumber daya proyek dan manajemen
komunikasi proyek yang menjadi bagian penting dalam pekerjaan audit pada setiap tahap,
baik tahap peningkatan pemahaman, pelaksanaan audit, maupun tahap verifikasi temuan.
VI.
DAFTAR PUSTAKA
[1.] Information Systems Audit and Control Association. COBIT 5. A Business
Framework for the Governance and management of Enterprise IT. 2012
[2.] Project Management Institute, A guide to the Project management Body of
Knowledge (PMBOK@Guide) – Fouth Edition. 2008
[3.] IEEE 1490, IEEE Guide Adoption of PMI Standard A guide to the Project
management Body of Knowledge. 2004
[4.] Information Systems Audit and Control Association. IT Control Objective for
Sarbanes Oxley, 3rd Edition. 2014
[5.] PT XYZ. Audit Teknologi Informasi berdasarkan kerangka COBIT 5. 2016