Monday, October 23, 2017 0 comment

AUDIT TEKNOLOGI SISTEM INFORMASI

PENGERTIAN AUDIT

Secara umum dikenal tiga jenis audit; Audit keuangan, audit operasional dan audit sistem informasi ( teknologi informasi ). Audit berarti membandingkan antara kegiatan yang seharusnya terjadi, membandingkan antara kondisi dan kriterianya. Pengertian audit menurut PSAK ( Pernyataan Standar Keuangan ) adalah suatu proses sistematik yang bertujuan untuk memperoleh dan mengevaluasi bukti yang dikumpulkan atas pernyataan atau asersi tentang aksi – aksi ekonomi, kejadian – kejadian dan melihat tingkat hubungan antara pernyataan atau asersi dan kenyataan, serta mengomunikasikam hasilnya kepada yang berkepentingan.
Audit TI merupakan proses pengumpulan dan evaluasi bukti – bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien. Audit SI / TI relatif baru ditemukan dibanding audit keuangan, seiring dengan meningkatnya penggunaan TI untuk mensupport aktifitas bisnis. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya.

Ada beberapa aspek yang diperiksa pada audit sistem teknologi informasi, yaitu :
1.      Audit secara keseluruhan menyangkut efektifitas
2.      Efisiensi
3.      Availibility system
4.      Reliability
5.      Confidentiality
6.      Integrity
7.      Serta aspek security

Tahapan – tahapan dalam audit TI pada prinsipnya sama dengan audit pada umumnya. Meliputi tahapan perencanaan, yang menghasilkan suatu program audit yang didesain sedemikian rupa, sehingga pelaksanaannya akan berjalan efektif dan efisien, dan dilakukan oleh orang – orang yang kompeten, serta dapat diselesaikan dalam waktu sesuai yang disepakati. Pada tahap perencanaan ini penting sekali menilai aspek internal kontrol, yang mana dapat memberikan masukan terhadap aspek resiko, yang pada akhirnya akan menentukan luasnya pemeriksaan yang akan terlihat pada audit program. Selanjutnya adalah pengumpulan bukti (evidence), pendokumentasian bukti tersebut dan mendiskusikan dengan auditee tentang temuan apabila jika ditemukan masalah yang memerlukan tindakan perbaikan dari auditee. Terakhir adalah membuat laporan audit.

JENIS AUDIT SISTEM INFORMASI

Pendekatan Umum pada Audit Sistem Informasi terbagi menjadi tiga tahap, yaitu :
1.      Kaji ulang awal dan evaluasi wilayah yang akan di audit dan persiapan rencana audit
2.      Kaji ulang dan evaluasi pengendalian yang terperinci
3.      Pengujian kelayakan dan diikuti dengan analisis dan pelaporan hasil

a)      Audit Aplikasi Sistem Informasi
Audit aplikasi biasanya meliputi pengkajian ulang pengendalian yang ada di setiap wilayah pengendalian aplikasi (input, pemrosesan, dan output). Teknologi khusus yang digunakan akan tergantung pada kecerdasan dan sumber daya yang dimiliki auditor.

b)      Audit Pengembangan Sistem Aplikasi
Diarahkan pada aktivitas analisis sistem dan programmer yang mengembangkan dan memodifikasi program program aplikasi, file dan prosedur – prosedur yang terkait.

c)      Audit Pusat Layanan Komputer
Audit terhadap pusat layanan komputer normalnya dilakukan sebelum audit aplikasi untuk memastikan integritas secara umum atas lingkungan yang di dalamnya aplikasi akan berfungsi.

Definisi umum dari audit adalah melakukan evaluasi terhadap orang, organisasi, sistem, proses, perusahaan, proyek atau produk. Istilah ini paling sering merujuk pada audit di bidang akuntansi, tapi konsep serupa juga ada pada manajemen proyek, manajemen mutu, dan untuk konservasi energi.

METODE AUDIT TEKNOLOGI INFORMASI

Karakteristik dalam kegiatan auditing antara lain:
1.      Objektif independen, yaitu tidak tergantung pada jeis aktivitas organisasi yang di audit.
2.      Sistematis : terdiri dari tahap demi tahap proses pemeriksaan
3.      Bukti yang memadai : mengumpulkan, mereview, dan mendokumentasikan kejadian – kejadian
4.      Kriteria : untuk menghubungkan pemeriksaan dan evaluasi bukti – bukti

AUDIT DALAM TEKNOLOGI INFORMASI

Audit teknologi informasi, atau audit sistem informasi, merupakan pemeriksaan kontrol dalam teknologi Informasi (TI) infrastruktur. Audit TI adalah proses pengumpulan dan penilaian bukti sistem informasi organisasi, praktik, dan operasi. Evaluasi bukti yang diperoleh menentukan jika sistem informasi yang menjaga aset, memelihara integritas data, dan beroperasi secara efektif untuk mencapai tujuan organisasi atau tujuan. Tinjauan ini dapat dilakukan bersamaan dengan audit laporan keuangan, audit internal, atau bentuk lain dari keterlibatan pengesahan. Audit TI juga dikenal sebagai audit pengolahan data otomatis ( ADP : Automated Data Processing ) dan audit komputer, sebelumnya disebut audit pengolahan data elektronik ( EDP : Electronic Data Processing ).

TUJUAN AUDIT TEKNOLOGI INFORMASI

Tujuan audit TI untuk mengevaluasi pengendalian internal pada sistem desain dan efektifitas. Hal ini tidak terbatas pada efisiensi dan protokol keamanan, proses pembangunan, dan pemerintahan atau pengawasan TI. Tujuannya adalah untuk mengevaluasi kemampuan organisasi untuk melindungi aset informasi dan baik mengeluarkan informasi kepada pihak yang berwenang. Agenda audit TI dapat diringkas oleh pertanyaan – pertanyaan berikut :
-          Apakah sistem komputer organisasi akan tersedia untuk bisnis setiap saat ketika diperlukan? (Ketersediaan)
-          Apakah informasi dalam sistem hanya dapat diungkapkan kepada pengguna yang sah? (Kerahasiaan)
-          Apakah informasi yang disediakan oleh sistem selalu akurat, handal, dan tepat waktu? (Integritas)

Audit TI berfokus pada menentukan risiko yang relevan dengan aset informasi, dam dalam menilai kontrol untuk mengurangi atau mengurangi risiko ini. Dengan menerapkan kontrol, pengaruh risiko dapat diminimalkan, tetapi tidak dapat sepenuhnya menghilangkan semua risiko. Banyak metode audit dalam teknologi informasi. Ini memungkinkan adanya perbedaan.

Beberapa metode tersebut berbeda karena antara lain disebabkan :
-          Otomatisasi, yaitu seluruh proses di dalam pemrosesan data elektronik mulai dari input hingga output cenderung secara otomatis, bentuk penggunaan dan jumlah kertas cenderung minimal, bahkan seringkali tidak ada (paperless office) sehingga untuk penelusuran dokumen (tracing) audit berkurang dibandingkan sistem manual yang banyak menggunakan dokumen dan kertas.
-          Keterkaitan aktivitas yang berhubungan dengan catatan – catatan yang kurang terjaga
-          Dengan sistem on line mengakibatkan output seringkali tidak tercetak
-          “Audit Arround Computer” yang mengabaikan sistem komputer tetapi yang dilihat atau yang diuji adalah Input dan Output
-          “Audit Through Computer” menggunakan bantuan komputer atau software untuk mengaudit

Jika pelaksanaan audit di sistem informasi berbasis komputer dilakukan secara konvensional terhadap lingkungan Pemrosesan Data Elektronik seperti dalam sistem manual, maka cenderung tidak menghasilkan hasil yang memuaskan, baik oleh klien maupun auditor sendiri, bahkan cenderung tidak efisien dan tidak terarah. Untuk itu seringkali dalam proses pengembangan sebuah sistem informasi akuntansi berbasis komputer melibatkan akuntan. Jika akuntan terlibat dalam desai sistem Pemrosesan Data Elektronik sebuah organisasi maka akan memudahkan pengendalian dan penelusuran audit ketika klien tersebut meminta untuk pekerjaan audit.
Ada 2 keuntungan jika seseorang akuntan terlibat dalam desain sistem informasi dalam lingkungan pemrosesan data elektronik, yaitu :
-          Meminimalisasi biaya modifikasi sistem setelah implementasi
-          Mengurangi pengujian selama proses audit

ISTILAH TATA KELOLA AUDIT TEKNOLOGI INFORMASI

Pengertian tata kelola teknologi informasi menurut para ahli, diantaranya sebagai berikut :
1.        Kapasitas organisasi untuk mengendalikan formulasi dan implementasi strategi teknologi informasi dan mengarahkan kepada kepentingan pencapaian daya saing korporasi.
2.        Tata kelola teknologi informasi adalah pertanggung jawaban dewan direksi dan manajemen eksekutif. Hal ini merupakan bagian yang terintegrasi dengan tata kelola perusahaan dan berisi kepemimpinan dan struktur sertaa proses organisasi yang menjamin bahwa organisasi teknologi informasi mengandung dan mendukung strategi serta tujuan bisnis.
3.        Tata kelola teknologi informasi adalah penilaian kapasitas organisasi oleh dewan direksi, manajemen eksekutif, manajemen teknologi informasi untuk mengendalikan formulasi dan implementasi strategi teknologi informasi dalam rangka mendukung bisnisnya.

Dari ketiga definisi tersebut dapat disimpulkan bahwa yang dimaksud dengan tata kelola teknologi informasi adalah upaya menjamin pengelolaan teknologi informasi agar mendukung bahkan selaras dengan strategi bisnis suatu enterprise yang dilakukan oleh dewan direksi, manajemen eksekutif, dan juga oleh manajemen teknologi informasi.
Tata kelola teknologi informasi adalah suatu cabang dari tata kelola perusahaan yang terfokus pada sistem teknologi informasi (TI) serta manajemen kinerja dan risikonya.
Tata kelola adalah seperangkat mekanisme yang digunakan untuk mengelola hubungan di antara stakeholder dalam konteks untuk memberikan batasan dan arahan maupun kinerja otganisasi / perusahaan.
Tata kelola adalah proses dan struktur yang ditetapkan dalam menjalankan perusahaan, dengan tujuan utama meningkatkan nilai pemegang saham dalam jangka panjang, dengan tetap memperhatikan kepentingan stakeholder yang lain.
Tata kelola perusahaan adalah seperangkat peraturan yang mengatur hubungan yang berkaitan dengan hak – hak dan kewajiban dari :
1.      Pemegang saham
2.      Pengurus perusahaan
3.      Pihak kreditor
4.      Pemerintah
5.      Karyawan
6.      Para pemegang kepentingan intern dan ekstern lainnya.

AUDIT TEKNOLOGI INFORMASI DARI EDP

Audit teknologi informasi ( Electronic Data Processing Auditing ) adalah :
1.      Electronic data processing auditing ( Audit EDP ) adalah suatu proses mengumpulkan data dan menilai bukti untuk menentukan apakah sistem komputer mampu mengamankan aset, memelihara kebenaran data, mampu mencapai tujuan organisasi perusahaan secara efektif dan menggunakan aset perusahaan secara hemat.
2.      Weber memberikan definisi tersendiri mengenai audit EDP. Weber menyebutkan Auditing EDP adalah suatu proses pengumpulan dan penilaian bukti untuk menentukan apakah suatu sistem komputer melindungi aktiva, mempertahankan integritas data, mencapai tujuan organisasi secara efektif, dan menggunakan sumber daya secara efisien.

Beberapa alasan penting mengapa Audit EDP perlu dilakukan, antara lain :
1)      Kerugian akibat kehilangan data
2)      Kesalahan dalam pengambilan keputusan
3)      Risiko kebocoran data
4)      Penyalahgunaan komputer
5)      Kerugian akibat kesalahan proses perhitungan
6)      Tingginya nilai investasi perangkat keras dan perangkat lunak komputer

Tahapan – tahapan dalam audit EDP tidak berbeda dengan audit pada umumnya, yaitu sebagai berikut :
1.      Tahapan perencanaan
Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar obyek yang akan diperiksa sehingga menghasilkan suatu program audit yang didesain sedemikian rupa agar pelaksanaannya akan berjalan efektif dan efisien.
2.      Mengidentifikasikan risiko dan kendali
Untuk memastikan bahwa qualified resource sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktik – praktik
3.      Mengevaluasi kendali dan mengumpulkan bukti – bukti
Melalui berbagai teknik termasuk survei, interview, observasi, dan review dokumentasi
4.      Mendokumentasikan
Mengumpulkan temuan – temuan dan mengidentifikasikan dengan auditee
5.      Menyusun laporan
Mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yang dilakukan




Sumber            :


Wednesday, October 18, 2017 0 comment

COBIT (Control Objective for Information and related Technology)

COBIT adalah merupakan kerangka panduan tata kelola TI dan atau bisa juga disebut sebagai toolset pendukung yang bisa digunakan untuk menjembatani antara kebutuhan dan bagaimana teknis pelaksanaan pemenuhan kebutuhan tersebut dalam suatu organisasi. COBIT memungkinkan pengembangan kebijakan yang jelas dan sangat baik digunakan untuk IT kontrol seluruh organisasi, membantu meningkatkan kualitas dan nilai serta menyederhanakan pelaksanaan alur proses sebuah organisasi dari sisi penerapan IT.

Cobit berorientasi proses, dimana secara praktis Cobit dijadikan suatu standar panduan untuk membantu mengelola suatu organisasi mencapai tujuannya dengan memanfaatkan IT. Cobit memberikan panduan kerangka kerja yang bisa mengendalikan semua kegiatan organisasi secara detail dan jelas sehingga dapat membantu memudahkan pengambilan keputusan di level top dalam organisasi.

Siapa saja yang menggunakan COBIT? COBIT digunakan secara umum oleh mereka yang memiliki tanggung jawab utama dalam alur proses organisasi, mereka yang organisasinya sangat bergantung pada kualitas, kehandalan dan penguasaan teknologi informasi.

Cobit memiliki 4 Cakupan Domain :
1. Perencanaan dan Organisasi (Plan and Organise)
Domain ini mencakup strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula.
2. Pengadaan dan Implementasi (Acquire and Implement)
Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dibangun atau diperoleh dan kemudian diimplementasikan dan diintegrasikan dalam proses bisnis.
3. Pengantaran dan Dukungan (Deliver and Support)
Domain ini berhubungan dengan penyampaian layanan yang diinginkan, yang terdiri dari operasi pada security dan aspek kesinambungan bisnis sampai dengan pengadaan training.
4. Pengawasan dan Evaluasi (Monitor and Evaluate)
Semua proses TI perlu dinilai secara teratur dan berkala bagaimana kualitas dan kesesuaiannya dengan kebutuhan kontrol.

Keempat domain tersebut diatas kemudian dijabarkan menjadi 34 faktor resiko yang harus dievaluasi jika ingin diperoleh suatu kesimpulan mengenai seberapa besar kepedulian manajemen terhadap teknologi informasi, serta bagaimana teknologi informasi dapat memenuhi kebutuhan manajemen akan informasi.

COBIT IT Processes Defined Withen The Four Domain

Gambar Kerangka COBIT

PLANNING AND ORGANISATION (PO)

ACQUISITION AND IMPLEMENTATION (AI)

DELIVERY AND SUPPORT (DS)

MONITORING (M)

Secara keseluruhan 34 proses diataslah yang digunakan sebagai panduan dalam menangani masalah tata kelola IT atau pembuatan IT strategic plan, meskipun dalam prakteknya tidak mesti menggunakan 34 proses tersebut karena proses-proses tersebut menyesuaikan dengan kondisi organisasi.

Maturity model adalah suatu metode untuk mengukur level pengembangan manajemen proses, yang berarti adalah mengukur sejauh mana kapabilitas manajemen tersebut. Seberapa bagusnya pengembangan atau kapabilitas manajemen tergantung pada tercapainya tujuan-tujuan COBIT yang. Sebagai contoh adalah ada beberapa proses dan sistem kritikal yang membutuhkan manajemen keamanan yang lebih ketat dibanding proses dan sistem lain yang tidak begitu kritikal. Di sisi lain, derajat dan kepuasan pengendalian yang dibutuhkan untuk diaplikasikan pada suatu proses adalah didorong pada selera resiko Enterprise dan kebutuhan kepatuhan yang diterapkan.
Penerapan yang tepat pada tata kelola TI di suatu lingkungan Enterprise, tergantung pada pencapaian tiga aspek maturity (kemampuan, jangkauan dan kontrol). Peningkatan maturity akan mengurangi resiko dan meningkatkan efisiensi, mendorong berkurangnya kesalahan dan meningkatkan kuantitas proses yang dapat diperkirakan kualitasnya dan mendorong efisiensi biaya terkait dengan penggunaan sumber daya TI.
Maturity model dapat digunakan untuk memetakan :
1.      Status pengelolaan TI perusahaan pada saat itu.
2.      Status standart industri dalam bidang TI saat ini (sebagai pembanding)
3.     Status standart internasional dalam bidang TI saat ini (sebagai pembanding)
4.  Strategi pengelolaan TI perusahaan (ekspetasi perusahaan terhadap posisi pengelolaan TI perusahaan)

Tingkat kemampuan pengelolaan TI pada skala maturity dibagi menjadi beberapa level :
1.      Level 0 (Non-existent)
Perusahaan tidak memiliki manajemen pada suatu proses, bahkan belum dapat menilai isu apa saja yang perlu dipertimbangkan. Dalam skala ini, penting untuk dilakukan evaluasi pengendalian dan dijadikan sebagai temuan yang penting.

2.     Level 1 (Initial Level)
Pada level ini, organisasi pada umumnya tidak menyediakan lingkungan yang stabil untuk mengembangkan suatu produk baru. Ketika suatu organisasi kelihatannya mengalami kekurangan pengalaman manajemen, keuntungan dari mengintegrasikan pengembangan produk tidak dapat ditentukan dengan perencanaan yang tidak efektif, respon sistem. Proses pengembangan tidak dapat diprediksi dan tidak stabil, karena proses secara teratur berubah atau dimodifikasi selama pengerjaan berjalan beberapa form dari satu proyek ke proyek lain. Kinerja tergantung pada kemampuan individual atau term dan variasi dengan keahlian yang dimilikinya. 
3.      Level 2 (Repeatable Level)
Pada level ini, kebijakan untuk mengatur pengembangan suatu proyek dan prosedur dalam mengimplementasikan kebijakan tersebut ditetapkan. Tingkat efektif suatu proses manajemen dalam mengembangankan proyek adalah institutionalized, dengan memungkinkan organisasi untuk mengulangi pengalaman yang berhasil dalam mengembangkan proyek sebelumnya, walaupun terdapat proses tertentu yang tidak sama. Tingkat efektif suatu proses mempunyai karakteristik seperti; practiced, dokumentasi, enforced, trained, measured, dan dapat ditingkatkan. Product requirement dan dokumentasi perancangan selalu dijaga agar dapat mencegah perubahan yang tidak diinginkan. 
4.      Level 3 (Defined Level)
Pada level ini, proses standar dalam pengembangan suatu produk baru didokumentasikan, proses ini didasari pada proses pengembangan produk yang telah diintegrasikan. Proses-proses ini digunakan untuk membantu manejer, ketua tim dan anggota tim pengembangan sehingga bekerja dengan lebih efektif. Suatu proses yang telah didefenisikan dengan baik mempunyai karakteristik; readiness criteria, inputs, standar dan prosedur dalam mengerjakan suatu proyek, mekanisme verifikasi, output dan kriteria selesainya suatu proyek. Aturan dan tanggung jawab yang didefinisikan jelas dan dimengerti. Karena proses perangkat lunak didefinisikan dengan jelas, maka manajemen mempunyai pengatahuan yang baik mengenai kemajuan proyek tersebut. Biaya, jadwal dan kebutuhan proyek dalam pengawasan dan kualitas produk yang diawasi. 
5.      Level 4 (Managed Level)
Pada level ini, organisasi membuat suatu matrik untuk suatu produk, proses dan pengukuran hasil. Proyek mempunyai kontrol terhadap produk dan proses untuk mengurangi variasi kinerja proses sehingga terdapat batasan yang dapat diterima. Resiko perpindahan teknologi produk, prores manufaktur, dan pasar harus diketahui dan diatur secara hati-hati. Proses pengembangan dapat ditentukan karena proses diukur dan dijalankan dengan limit yang dapat diukur.
6.      Level 5 (Optimized Level)

Pada level ini, seluruh organisasi difokuskan pada proses peningkatan secara terus-menerus. Teknologi informasi sudah digunakan terintegrasi untuk otomatisasi proses kerja dalam perusahaan, meningkatkan kualitas, efektifitas, serta kemampuan beradaptasi perusahaan. Tim pengembangan produk menganalisis kesalahan dan defects untuk menentukan penyebab kesalahannya. Proses pengembangan melakukan evaluasi untuk mencegah kesalahan yang telah diketahui dan defects agar tidak terjadi lagi.

Domain           : Acquisition And Implementation (AI)
Kasus        : EVALUASI IT GOVERNANCE BERDASARKAN COBIT 4.1
(STUDI KASUS DI PT TIMAH (PERSERO) Tbk)

Penilaian Tata Kelola TI di PT Timah (Persero) Tbk yang diukur dengan menggunakan Maturity Level dalam COBIT Framework. PT Timah (Persero) Tbk sudah menerapkan TI sebagai salah satu cara untuk mencapai tujuan bisnis agar investasi yang telah dikeluarkan sebanding dengan tujuan yang akan dicapai perusahaan, oleh karenanya, penegakan IT Governance menjadi keharusan. Selama ini PT Timah terus melakukan pengembangan di dalam pengelolaan IT nya, namun hal tersebut belum menjamin bahwa perusahaan sudah betul-betul menerapkan tata kelola TI nya dengan baik. Hal ini dibutuhkan sebagai sebuah kontrol sistem audit yang tidak hanya memberikan evaluasi terhadap Tata Kelola Teknologi Informasi di PT Timah, tetapi juga dapat memberikan masukan demi perbaikan pengelolaan TI di masa yang akan datang. Atas dasar tersebut, dilakukan penilaian terhadap tingkat kematangan penerapan tata kelola TI yang selama ini sudah berjalan pada PT Timah dengan menggunakan COBIT framework 4.1. analisis data mencakup tentang penerapan dan pengukuran kinerja (Maturity Level) terhadap Tata Kelola TI di PT Timah. Data yang didapat merupakan hasil wawancara maupun dokumen-dokumen terkait. Tahap-tahap analisis diawali dengan pemetaan Business Goals di perusahaan dan COBIT, kemudian berdasarkan hasil pemetaan tersebut akan diidentifikasi IT goals, IT Process, serta Control Objectives berdasarkan COBIT yang dapat menjadi sasaran di perusahaan, hingga tahap yang terakhir, yaitu Maturity Level, dimana penilaian kinerja secara keseluruhan menghasilkan suatu level tertentu.

Pada pembahasan ini maka dapat diperoleh hasil penilaian analisis data yang digunakan dari penilaian tingkat kematangan kinerja manajemen TI terhadap PT Timah (Persero) Tbk dengan menggunakan domain Acquisition And Implementation (AI)  (Pengadaan dan Implementasi) sebagai berikut   :
1.      AI 1 Identify Automated Solutions
Proses ini menjelaskan bahwa kebutuhan akan aplikasi atau fungsi baru yang memerlukan analisis sebelum memperoleh atau membuatnya yang mampu digunakan untuk menjamin bahwa keperluan bisnis akan terpenuhi di dalam pendekatan yang efektif dan efisien. Proses ini mencakup definisi dari kebutuhan, pertimbangan dari beberapa sumber alternative, tinjauan terhadap kemungkinan secara ekonomi dan teknologi, pemutusan analisis resiko dan analisis cost benefit, serta kesimpulan dari keputusan untuk membuat atau melakukan pembelian. Semua tahapan ini memungkinkan organisasi untuk meminimalkan biaya dalam memperoleh dan menerapkan solusi yang dapat menjamin bahwa mereka mendukung bisnis dalam pencapaian tujuan.
            Pada proses ini, yang paling memenuhi adalah level 5, yaitu Optimised. Continuous improvement terhadap prosedur yang digunakan untuk menentukan dan menetapkan solusi TI telah ditetapkan untuk semua proyek, baik yang berskala besar maupun berskala kecil. Setiap Divisi di dalam perusahaan dapat memberikan usulan mengenai kebutuhan TI. Sebagai contoh, user membutuhkan tambahan lisensi pada komputer di Divisinya, hal ini tidak selalu diwujudkan secara langsung, melainkan harus melalui tahap perencanaan, dan untuk menentukan rencana pembelian, perusahaan harus melihat situasi sekarang, kemudian membuat anggaran untuk tahun berikutnya. Permintaan tersebut dating dari user, user membuat memo yang dapat disertai brosur mengenai produk yang dibutuhkan, yang diserahkan kepada Komisi Teknis. Komisi Teknis adalah gabungan dari perwakilan 2 (dua) Satker (Divisi), yaitu SIM dan Divisi Penelitian dan Pengembangan Teknologi. Kemudian Komisi ini melakukan evaluasi apakah barang tersebut benar- benar dibutuhkan, melakukan pengecekan/ perbandingan
harga. Jika disetujui, maka dibuat dokumen Purchase Reacquisition (PR) beserta lampiran kontak supplier, yang diserahkan ke Divisi Logistik dan kemudian ke Direksi. Selanjutnya ia melakukan pemesanan sesuai prosedur, sedangkan Divisi Logistik yang melakukan pengadaan. Manajemen dapat melakukan perubahan jika solusi TI yang diambil tidak berdasarkan atas pertimbangan alternative teknologi yang ada ataupun permintaan bisnis.

2.      AI 3 Acquire and Maintain Technology Infrastructure
Proses ini menjelaskan bahwa perusahaan seharusnya telah memiliki proses-proses untuk memperoleh, mengimplementasikan, dan memperbaharui infrastruktur teknologi yang dimiliki. Proses ini memerlukan suatu pendekatan yang terencana dalam hal untuk memperoleh, merawat dan melindungi infrastruktur agar sesuai dengan strategi teknologi dan ketentuan pengembangan serta percobaan terhadap lingkungan sekitarnya yang telah disetujui. Hal ini menjamin bahwa teknologi secara terus-menerus akan dapat mendukung aplikasi bisnis.
Pada proses ini, yang paling memenuhi adalah level 3, yaitu Defined. Pada level ini, proses penetapan dan pemeliharaan infrastruktur TI di PT Timah (Persero) Tbk telah ditentukan di dalam jobdesk SIM dan dipahami dengan baik. Proses tersebut mendukung kebutuhan aplikasi bisnis dan sejalan dengan strategi TI dan bisnis, namun proses ini belum secara konsisten diterapkan dikarenakan masih bersifat subyektif (perusahaan belum memiliki prosedur perawatan infrastruktur yang baku). Pemeliharaan infrastruktur telah direncanakan, dijadwalkan dan dikoordinasikan. Terdapat pengujian untuk mengetahui apakah infrastruktur yang digunakan sudah tepat dan tujuan yang ditetapkan sudah sesuai dengan manfaat yang diterima. Sebagai contoh, jaringan transmisi TI antar kantor pusat dan cabang telah terintegrasi dengan baik. Dan setiap pengembangannya harus mendapat persetujuan Direksi terlebih dahulu.

3.      AI 4 Enable Operation and Use
Proses ini menjelaskan bahwa pengetahuan yang berkaitan dengan system yang baru harus tersedia. Proses ini memerlukan dokumentasi dan manual standar yang akan digunakan oleh pengguna dan programmer TI, serta training perlu diadakan untuk menjamin aplikasi dan infrastruktur digunakan serta dijalankan dengan tepat.
Pada proses ini, yang paling memenuhi adalah level 5, yaitu Optimised. Pada level ini, proses untuk user dan dokumentasi operasional diperbaiki melalui alat atau metode baru yang disesuaikan dengan kebutuhan bisnis. Materi prosedur dan pelatihan operasional merupakan dasar pengetahuan yang dipelihara secara elektronik, menggunakan pengetahuan, alur kerja dan teknologi yang up to date agar dapat diakses dan dipelihara dengan mudah. Dokumentasi dan materi pelatihan selalu di- update sesuai dengan perubahan kebutuhan organisasi, operasional dan software. Pengembangan proses tersebut terintegrasi dengan proses bisnis dan telah terdefinisi sesuai dengan permintaan perusahaan.

4.      AI 5 Procure IT Resources
Sumber daya TI seperti orang, perangkat keras, perangkat lunak dan jasa perlu disediakan, pengadaan sumber daya TI membutuhkan suatu ketentuan dan tata cara pelaksanaan, seperti membuat prosedur pengadaan, melakukan seleksi vendor, menyusun persetujuan berdasarkan kontrak dan proses pengadaan itu sendiri. Hal ini dilakukan untuk menjamin bahwa Perusahaan mendapatkan semua keperluan sumber daya TI dalam waktu yang tepat dan sesuai dengan efisiensi biaya.
Pada proses ini, yang paling memenuhi adalah level 3, yaitu Defined. Pada level ini, kebijakan dan prosedur akuisisi TI telah ditetapkan, didokumentasikan dan dikomunikasikan. Kebijakan dan prosedur akuisisi TI di PT Timah (Persero) Tbk mengacu kepada proses bisnis perusahaan secara keseluruhan. Manajemen TI mengkomunikasikan kebutuhan akuisisi dan manajemen kontrak melalui fungsi TI. Pengadaan di sumber daya TI telah ditentukan, baik dalam skala besar seperti server, users, pc, laptop dan lain- lain, maupun dalam skala kecil seperti tinta, CD, kertas dan sebagainya. Divisi SIM di PT Timah (Persero) Tbk memiliki wewenang dan tanggung jawab untuk mengatur serta melaksanakan pengadaan tersebut. Masing- masing kepala bagian dapat mengajukan usulan kepada kepala bagian SIM untuk disampaikan kepada pihak manajemen perusahaan dalam mengadakan pembelian sumber daya TI dalam skala besar maupun dalam penentuan user yang dibutuhkan, untuk dipertimbangkan dan disetujui. Pemasok sumber daya TI dan mekanisme proses manajemen proyek organisasi terintegrasi dari perspektif kontrak manajemen. dipertimbangkan dan disetujui. Pemasok sumber daya TI dan mekanisme proses manajemen proyek organisasi terintegrasi dari perspektif kontrak manajemen.

5.      AI 6 Manage Changes
Proses ini menjelaskan bahwa semua perubahan meliputi penambahan dan perawatan darurat, yang menghubungan infrastruktur dan aplikasi dalam lingkungan produksi telah diatur secara jelas sesuai dengan aturan yang tclah dikendalikan. Perubahan (meliputi prosedur, proses-proses, sistem dan parameter jasa) harus dikunci, dinilai dan diotorisasi terlebih dahulu sebelum diimplementasikan dan dilakukan peninjauan terhadap hasil implementasi yang akan dilakukan dan yang telah direncanakan. Hal ini, dapat meringankan risiko yang secara negatif dapat mempengaruhi kestabilan dan integritas dari lingkungan produksi.
Pada proses ini, yang paling memenuhi adalah level 5, yaitu Optimised. Pada level ini, segala hal yang berkaitan dengan perubahan TI telah diatur dan ditentukan, baik terhadap masalah sistem, kebijakan, prosedur dan standar perusahaan. Informasi perubahan dibahas dengan lengkap, misalnya pada program training yang akan diadakan, cara menjalankan prosesnya dan pengendalian ketika terjadi masalah, proses untuk dokumentasi, pengukuran dan sebagainya. Manajemen perubahan yang digunakan menggunakan Standar SAP, karena perubahan terbesar terjadi pada pengembangan SAP, standar ini mencakup mengenai persiapan proyek, Business Blueprint, realisasi persiapan, dan pelaksanaan Go Live. Diharapkan bahwa perubahan TI yang dilakukan akan menyokong produktivitas dan dapat menghasilkan peluang bisnis yang baru untuk perusahaan.

6.      AI 7 Install and Accredit Solutions and Changes
Proses ini menjelaskan bahwa ketika pengembangan sistem yang baru telah selesai dilakukan maka akan dibutuhkan sistem operasional. Sistem tersebut memerlukan percobaan yang tepat, sehingga akan tercipta penyesuaian antara lingkungan dengan data percobaan yang berkaitan, serta akan ditentukan suatu pemaparan dan instruksi tentang keringanan resiko, dan akan dikeluarkan suatu perencanaan dan promosi yang digunakan untuk produksi, serta meninjau pasca implementasi. Hal ini dapat menjamin bahwa operasional dari sistem yang baru sesuai dengan hasil dan harapan yang telah disetujui.
Proses ini tidak dapat dibahas lebih mendalam karena di PT Timah (Persero) Tbk, pihak manajemen tidak mengakui adanya kebutuhan pengujian atau akreditasi terhadap solusi TI di perusahaan, karena segala permasalahan yang terjadi terkait pengujian selalu diatasi dengan kontrak kerja vendor yang mengembangkan aplikasi tersebut.
Berdasarkan analisis di atas diperoleh maturity level dari setiap proses yang ada di dalam Acquire and Implement (AI)  :
Acquire and Implement
Level
AI 1
Identify automated solutions
5
AI 3
Acquire and maintain technology
infrastructure
3
AI 4
Enable operation and use
5
AI 5
Procure IT resources
3
AI 6
Manage changes
5
AI 7
Install and accredit solutions and changes
0
Rata - rata

3,5

Kesimpulan
Terkait dengan hasil scoring dengan menggunakan COBIT, perusahaan masih harus melakukan proses perbaikan secara berkesinambungan terhadap operasional TI yang berjalan, antara lain       :
·     Belum adanya proses Install and Accredit Solutions and Changes, proses ini berguna dalam menjamin operasional sistem baru sesuai dengan hasil dan harapan yang telah disetujui.
Tidak semua rekomendasi proses menurut COBIT dapat diterapkan, perusahaan dapat mencari dan mengkaji tools- tools lainnya yang dapat disesuaikan dengan kebutuhan perusahaan.


Sumber           :
·         Tata Kelola TI, 20 September 2011. http://id.wikipedia.org/wiki/IT Governance/
·         Sucahyo, Yudo Giri dan Fitrianah, Devi (2007). Audit Sistem Informasi dengan Kerangka Kerja COBIT untuk Evaluasi Manajemen TI di Universitas XYZ. Jurnal Sistem Informasi MTI-UI
·         IT Governance Institute. (2007). COBIT ver. 4.1: Framework, Control Objectives, Management Guidelines, Maturity Models. Rolling Meadow.
·         PT Timah, Tbk. (April 2009). Integration Testing dan End User Training dari Improve Project. Stannia.
·         Gondodiyoto, Sanyoto (2007). Audit Sistem Informasi + Pendekatan COBIT. Jakarta: Mitra Wacana Media.

·         Ramadhanti, Dwiani. (2010). Penerapan Tata Kelola TI dengan Menggunakan COBIT framework 4.1 (Studi Kasus pada PT Indonesia Power). Tesis fakultas Ekonomi Universitas Indonesia.

 
;