Panduan ini disadur dari Recommendations on IT Projects, Swiss Federal Audit Office dan ISACA Chapter Swiss. Tulisan ini diawali dari hasil kerja peserta kuliah EC7012 Teknik Komputer Sekolah Teknik Elektro dan Informatika ITB dan didiskusikan pada yang berminat, serta diharapkan dapat bermanfaat bagi pelaku TIK di Indonesia.
Mengapa informasi ini begitu penting?
Berbagai macam batasan yang dimiliki oleh pimpinan proyek membuat kondisi yang menyulitkan untuk pencapaian tujuan yang diinginkan.
Usaha melibatkan auditor memberikan tantangan tersendiri yang sering diartikan sebagai suatu hal yang tidak berguna. Institusi audit harus memikirkan bagaimana membuka komunikasi yang terbuka dengan pimpinan proyek merupakan sesuatu yang penting. Informasi pada tulisan ini bertujuan untuk menjawab berbagai macam pertanyaan yang sering ditanyakan auditor, memberikan informasi yang penting bagi pengambil keputusan serta berguna bagi pihak yang menangani jaminan kualitas TI (quality assurance).
Secara terstruktur, informasi pada tulisan ini memberikan daftar dokumen yang sangat penting bagi keperluan audit dan bertujuan untuk membantu menjawab berbagai macam pertanyaan yang jawabannya didapat dari dokumen tersebut. Tulisan ini fokus kepada tahap-tahap dalam proyek.
Tulisan ini memfokuskan pada isi dari dokumen dan referensi yang dapat digunakan dengan berbagai macam metoda.
Tujuan
Proyek dalam teknologi informasi memiliki tujuan yang sama, tidak memandang apapun ruang lingkupnya, baik lokal, daerah, maupun regional. Tujuannya didasarkan atas :
- Prinsip ekonomi termasuk Value IT (benefit, manfaat tangible maupun intangible) dalam memanfaatkan sumber daya (efektif dan efisien)
- Prinsip kesesuaian terhadap hukum yang berlaku
- Sesuai dengan standar regulasi accounting/pembukuan (integritas, ketersediaan dan reliabilitas)
Tiga prinsip ini menyentuh masalah klasik berkaitan dengan kemanan dan kualitas dalam pemrosesan informasi.
Auditor banyak yang menggunakan kerangka kerja tata kelola berdasarkan CobiT, khusunya apabila kendali umum TI dibutuhkan. CobiT memiliki tujuh criteria yang berhubungan dengan tujuan yang telah dikemukakan di atas.
Overview:
Apa Tujuan Yang Ingin Dicapai?
Efektivitas Efisiensi | Pencapaian tujuan yang diinginkan Penggunaan sumber daya yang dimiliki untuk mendapatkan hasil yang maksimal |
| |
Kepatuhan | Kesesuaian terhadap hukum, regulasi dan kontrak yang berlaku |
| |
Integritas Kerahasiaan Ketersediaan | Akurat, valid dan kelengkapan dari informasi Terlindungi dari bocornya informasi Ketersediaan sumber daya, data dan system |
| |
Reliabilitas | Menyajikan informasi yang dapat diandalkan |
Dokumen Kunci (Key Documents)
- Persetujuan dan divalidasi oleh pejabat berwenang
- Ketersediaannya selama proyek berlangsung
- Ada tanggal dan riwayat pembaruan atau versi.
10 Dokumen Kunci (Key Documents) dalam siklus hidup Proyek TI
Daftar Dokumen bahan Evaluasi TIK
1. Studi Kelayakan
Tahap: STUDY
Apa tujuan yang ingin dicapai oleh sistem dalam suatu organisasi/institusi?
Apa solusi yang memungkinkan untuk mencapai tujuan tersebut?
- Menentukan dan menganalisa kebutuhan system
- Mengelaborasi berbagai macam solusi yang memungkinkan
- Membandingkan biaya, resiko dan keuntungan dari berbagai macam solusi tersebut
Kebutuhan apa yang diperlukan pada proyek dan organisasi tersebut?
Apakah proyek tersebut layak?
Apakah tahap konsep dari proyek tersebut dapat dimulai?
Unit Penanggung Jawab: Unit Pemakai dibantu Unit TI atau Perancangan
CObIT 4.1:
AI 1.3 Feasibility study and formulation of alternative courses
Val IT:
IM4 Perform alternatives analysis.
2. Spesifikasi
Tahap: CONCEPT
Apa tujuannya?
Apa ekspektasi/harapan dari pengguna?
l Fungsi apa saja yang tersedia?
l Seberapa besar proyek yang dilakukan?
Pada hambatan yang bagaimana sistem tersebut masih dapat berjalan?
Apakah petunjuk teknis tersedia untuk mencapai tujuan tersebut?
Apa petunjuk teknis yang tersedia untuk mencapai tujuan tersebut?
Penanggung Jawab: Unit Pemakai ditunjang Unit Pelayanan TI
Referensi
CObIT 4.1:
PO 10.5 Project scope statement
AI 1.1 Definition and maintenance of business functional and technical requirements
Val IT:
IM1 Develop a high-level definition of investment opportunity.
IM3 Develop a clear understanding of candidate programmes.
3. Analisa Efektifitas Biaya
Tahap: CONCEPT, REALISASION, OPERATION
Seberapa besar total biaya yang diperlukan untuk proyek tersebut (termasuk didalamnya biaya operasional, migrasi data, kapasitas instalasi, pelatihan pengguna, dll)?
Bagaimana fungsi kegunaannya (Val IT, benefit, manfaat tangible/intangible) dapat dinilai untuk mendapatkan ukuran kuantitas dan kualitas yang dimiliki?
Bagaimana efektivitas biaya dari proyek tersebut?
Skenario apa yang dipertimbangkan untuk meningkatkan efektivitas biaya proyek tersebut?
Unit Penanggung Jawab: Unit Pemakai
Referansi
COBIT 4.1:
AI 1.1 Definition and maintenance of business functional and technical requirements
AI 1.2 Risk analysis report
AI 1.3 Feasibility study and formulation of alternative courses of action
Val IT:
IM1 Develop a high-level definition of investment opportunity.
IM3 Develop a clear understanding of candidate programmes.
IM4 Perform alternatives analysis.
4. Integrasi ke dalam Lingkungan TI
Tahap: CONCEPT
Apakah proyek tersebut dapat dengan mudah terintegrasi ke dalam strategi organisasi dan struktur TI yang telah ada?
Apakah proyek tersebut tumpang tindih dengan proyek dan aplikasi lain?
Apakah proyek tersebut sinergi dengan proyek lain?
Apakah proyek tersebut sesuai dengan standar yang diakui organisasi/enterprise?
Apa interface yang akan tersedia, otomatis atau manual?
Unit Penanggung Jawab: Unit Pelayanan TI
Referensi
Cobit 4.1:
AI 1.3 Feasibility study and formulation of alternative courses of action
Val IT:
VG11 Define evaluation criteria by category.
IM4 Perform alternatives analysis.
5. Analisa Kebutuhan
Tahap: CONCEPT
Apa kebutuhan internal yang telah tersedia (persetujuan, prosedur, kualitas normal)?
Apa kebutuhan eksternal yang telah tersedia (hukum, regulasi, petunjuk, kontrak) yang spesifik terhadap area yang berbeda (proteksi data, publikasi, prosedur pengadaan, bank,etc...)?
Apa pengaruh dari sistem ini pada saat proses sedang berlangsung, maupun terhadap infrastruktur?
Apa dampak dari kebutuhan ini berkaitan dengan proses dan infrastruktur (arsitektur, kemanan)?
Unit Penanggung Jawab: Unit Pemakai dibantu Unit Layanan TI
Referensi
COBIT 4.1:
PO 2 Define the information architecture
ME 3 Ensure regulatory compliance.
Val IT:
VG6 Establish reporting requirements.
VG11 Define evaluation criteria by category.
6. Sistem kendali internal / internal control system (ICS)
Tahap: CONCEPT, REALISASION, OPERATION
Apakah ada rancangan Kendali Proses (Process Control), Kendali Aplikasi (Application Control) dan Kendali Sasaran (Control Objective) serta Control Practice yang diperlukan ?
Bagaimana seharusnya fungsi yang dimiliki dapat terpisah, dan bagaimana dampak dari pembatasan akses?
Apa ukuran yang memadai dalam mengelola kendali terhadap langkah-langkah perseorangan dalam proses (termasuk dalam hal ini kustomisasi)?
Unit Penanggung Jawab: Unit Pemakai dibantu Unit Pelayanan TI
COBIT 4.1:
PO
AI 1.1 Definition and maintenance of business functional and technical req
AI 1.2 Risk analysis report
AI 2.2 Detailed design
AI 2.3 Application control and auditability
AI 2.4 Application security and availability
DS 4 Ensure continuous service
DS 5 Ensure systems security
DS 11 Manage data
ME 2 Monitor and evaluate internal control
Val IT:
IM1 Develop a high-level definition of investment opportunity.
IM3 Develop a clear understanding of candidate programmes.
7. Arsitektur TI
Tahap: CONCEPT, REALISASION, OPERATION
Bagaimana struktur dari sistem TI tersebut?
Dalam bentuk apakah arsitektur informasi tersebut (data model)?
Fungsi apa yang ditawarkan oleh sistem tersebut?
Bagaimana sistem tersebut selaras dengan arsitektur sistem yang telah ada?
Apakah sistem telah ada sebelumnya (legacy) akan berjalan bersama dan melakukan pertukaran informasi dengan sistem yang akan dibuat (baru)?
Bagaimana kondisi interface ke sistem legacy?
Unit Penanggung Jawab: Unit Pelayanan TI
Referensi
COBIT 4.1:
AI 1.3 Feasibility study and formulation of alternative courses of action
AI 2.1 High-level design
AI 2.2 Detailed design
AI 2.5 Configuration and implementation of acquired application software
AI 2.6 Major upgrades to existing systems
VG11 Define evaluation criteria by category.
IM4 Perform alternatives analysis.
8. Pengetesan (rencana tes dan dokumentasi)
Tahap: REALISASION
Apa tujuan dari pengetesan ini?
Hal apa sajakah yang telah direncanakan berkaitan dengan tes (metoda, alat, kriteria, studi kasus)?
Sumber daya apa yang bisa digunakan dan berapa lama waktu yang tersedia?
Apakah hasil koreksi pada saat akhir perlu dilakukan pengetesan juga?
Bagaimana rincian tes yang akan dilakukan dan bagaimana dokumentasi hasil dari tes tersebut ?
Unit Penanggung Jawab: Unit Pelayanan TI (dan Unit Pengguna)
COBIT 4.1:
PO
AI 2.8 Software quality assurance
AI 3.4 Feasibility test environment
AI5.4 IT Resources Acquisition
AI 7.2 Test plan
AI 7.4 Test environment
AI 7.6 Testing of changes
AI 7.7 Final acceptance test
9. Uji terima Pengguna
Tahap: Akhir REALISASION, Awal OPERATION
Apa saja tepatnya hal-hal yang termasuk daftar cek uji terima oleh pengguna (User Acceptance Test) ?
Siapa yang memiliki data tersebut dan siapa yang bertanggung jawab terhadap aplikasinya?
Siapa yang bertanggungjawab terhadap proses uji terima kepada pengguna?
Berdasarkan atas tes apakah uji terima tersebut?
Apakah ada kemungkinan syarat lain berkaitan dengan uji terima tersebut?
Unit Penanggung Jawab: Unit Pengguna
COBIT 4.1:
AI 3.1 Technological infrastructure acquisition plan
AI 3.2 Infrastructure resource protection and availability
AI 3.3 Infrastructure maintenance
AI 7.6 Testing of changes
AI 7.7 Final acceptance test
PO 10.6 Project phase initiation
10. Reviu Implementasi Akhir
Tahap: OPERATION
Apakah tujuan proyek telah tercapai dan kebutuhan terpenuhi?
Berapa biaya akhir dan bagaimana kemungkinan terjadinya perbedaan dengan perkiraan biaya awal dapat dijelaskan?
Berapa perhitungan akhir dari efektivitas biaya?
Apa resiko yang terjadi setelah implementasi proyek?
Apa kesalahan yang dapat terjadi setelah implementasi?
Apa rekomendasi dan saran berkaitan dengan ukuran yang dapat dibuat?
Unit Penanggung Jawab: Unit Pengguna
Refererensi
COBIT 4.1:
PO10.13 Project performance measurement, reporting and monitoring
AI7.7 Final Acceptance Test
AI7.9 Post-implementation Review
No comments:
Post a Comment