STANDAR DAN FRAMEWORK DALAM AUDIT SISTEM INFORMASI

Dalam Manajemen Teknologi Informasi atau Manajemen TI ada banyak standar TI atau framework TI yang digunakan secara internasional. Standart atau framework ini dibuat biasanya merupakan hasil kolaborasi pakar atau expert di bidangnya masing-masing dan merupakan ekstraksi dari good practices atau best practices yang selama ini dimanfaatkan dalam bidang teknologi informasi. Dengan demikian kita tak perlu lagi trial and error untuk mendapatkan formulasi memadukan proses bisnis dan kegiatan TI yang terbaik.

Berikut ini adalah standar atau framework yang paling banyak digunakan dalam pengembangan Manajemen Teknik Informasi mau pun Audit Sistem Informasi :

• COBIT

COBIT yang merupakan singkatan dari Control Objectives for Information and Related Technology, dimiliki dan didukung oleh ISACA. Pertamakali di luncurkan pada tahun 1996 sebagai COBIT. Versi yang terbaru saat ini adalah COBIT 2019 namun hingga saat ini COBIT 5 masih digunakan secara luas sebagai framework TI untuk  Tata Kelola TI. Di mana COBIT 5 merupakan gabungan dari framework COBIT 4.1, VAL IT 2.0, dan Risk IT.

COBIT merupakan framework TI yang digunakan untuk membantu kita dalam mengoptimalisasikan value atau nilai suatu organisasi enterprise melalui TI dengan cara menjaga keseimbangan antara realisasi keuntungan, optimalisasi risiko, dan pemanfaatan sumberdaya.

• ITIL

ITIL, singkatan dari Information Technology Infrastructure Library, merupakan seperangkat guideline (petunjuk) dan best practices untuk kebutuhan IT Service Management (ITSM) atau Manajemen Layanan Teknologi Informasi (MLTI). Merupakan framework TI yang dikeluarkan oleh AXELOS Limited. ITIL fokus pada penyelarasan IT services atau layanan TI sesuai kebutuhan bisnis dan mendukung proses inti. Terdiri dari lima volume : Service Strategy, Service Design, Service Transition, Service Operation and Continual Service Improvement.

Kerangka kerja TI seperti ITIL ini dapat di adaptasi dan diaplikasikan kepada seluruh jenis bisnis dan lingkungan organisasi. Meliputi pentunjuk untuk identifikasi, perencanaan, delivering, dan supporting layanan TI.

• CMMI

Framework CMMI merupakan singkatan dari Capability Maturity Model Integration, merupakan model yang sudah terkenal secara global sebagai model referensi yang dikembangkan melalui best practices yang memberikan petunjuk untuk meningkatkan proses yang dapat memenuhi target bisnis dari suatu organisasi. Model ini dikembangkan oleh pakar di industri, pemerintahan, dan Software Engineering Institute (SEI).

CMMI meningkatkan proses suatu organisiasi dengan menunjukkan keuntungan terukur dari tujuan bisnis dan visinya.

• PMBOK

Kepanjangan dari PMBOK adalah Guide to the Project Management Body of Knowledge, adalah suatu guideline yang secara internasioal diakui untuk digunakan sebagai metode manajemen proyek dan merupakan produk dari PMI (Project Management Institute), PMBOK adalah standar yang secara luas diterima dan diakui sebagai basis untuk keseluruhan metode manajemen proyek.

PMBOK memberikan deskripsi yang mendalam mengenai isi dan pokok-pokok yang secara fundamental membahas mengenai manajemen proyek, namun fokusnya tidak pada soalan mengenai saran implementasi teknis.

• PRINCE2

PRINCE2 merupakan singkatan dari Projects IN a Controlled Environment, merupakan standar de facto untuk metode manajemen proyekyang dimiliki oleh UK Cabinet Office. PRINCE2 merupakan komplemen dari model PMBOK dengan menyediakan petunjuk yang sifat berbasis proses dan praktis berikut dengan template yang siap digunakan oleh Manajer Proyek dan Group Project Steering untuk setiap fase yang berbeda dari proyek. PRINCE2 memastikan kontrol yang lebih besar terhadap sumberdaya serta manajemen yang efektif terhadap risiko bisnis dan proyek.

Sebagai contoh, tujuh prinsip dari PRINCE2 menyatakan bahwa proyek harus dijalankan melalui suatu proses siklus berikut : proyek harus memiliki justifikasi bisnis, definisi yang jelas untuk setiap peran dan tanggungjawab pada setiap fase dan proses, dikelola dalam bentuk tahapan yang detil dan terjadwal, definisi toleransi untuk setiap pengecualian dalam menajemen proyek, fokus pada menghasilkan produk sesuai dengan kebutuhan proyek, dan belajar dari pengalaman untuk peningkatan kualitas organisasi dalam mengelola proyek berikutnya.

• ISO/IEC 20000

ISO/IEC 20000 adalah Service Management System (SMS) atau sistem manajemen layanan merupakan standarisasi internasional untuk manajemen layanan TI. Dimiliki oleh International Organization for Standardization (ISO) dan  the International Electrotechnical Commission (IEC) dan secara umum selaras dengan ITIL.

• ISACA

ISACA adalah suatu organisasi profesi internasional di bidang tata kelola teknologi informasi yang didirikan di Amerika Serikat pada tahun 1967. Awalnya dikenal dengan nama lengkap Information Systems Audit and Control Association, saat ini ISACA hanya menggunakan akronimnya untuk merefleksikan cakupan luasnya di bidang tata kelola teknologi informasi.

ISACA didirikan oleh individu yang mengenali kebutuhan untuk sumber informasi terpusat dan bimbingan dalam bidang tumbuh kontrol audit untuk sistem komputer. Hari ini, ISACA memiliki lebih dari 115.000 konstituen di seluruh dunia dan telah memiliki kurang lebih 70.000 anggota yang tersebar di 140 negara. Anggota ISACA terdiri dari antara lain auditor sistem informasi, konsultan, pengajar, profesional keamanan sistem informasi, pembuat perundangan, CIO, serta auditor internal. Jaringan ISACA terdiri dari sekitar 170 cabang yang berada di lebih dari 60 negara, termasuk di Indonesia.

• IIA COSO (The Comitte of Sponsoring Organizations of the threadway commision’s)

Committee of Sponsoring Organizations of the Treadway Commission, atau disingkat COSO, adalah suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985. Tujuan utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan keuangan dan membuat rekomendasi untuk mengurangi kejadian tersebut. COSO telah menyusun suatu definisi umum untuk pengendalian, standar, dan kriteria internal yang dapat digunakan perusahaan untuk menilai sistem pengendalian mereka. COSO disponsori dan didanai oleh 5 asosiasi dan lembaga akuntansi profesional: American Institute of Certified Public Accountants (AICPA), American Accounting Association(AAA), Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) danThe Institute of Management Accountants (IMA).

Pengendalian intern ini penggunaannya mencakup penentuan tujuan pengendalian pelaporan keuangan dan proses operasional dalam konteks organisasional, sehingga perbaikan dan kontrol dapat dilakukan secara menyeluruh.

• ISO 1799

Menghadirkan sebuah standar untuk sistem manajemen keamanan informasi yang meliputi dokumen kebijakan keamanan informasi, alokasi keamanan informasi tanggung jawab menyediakan semua pemakai dengan pendidikan dan pelatihan di dalam keamanan informasi, mengembangkan suatu sistem untuk laporan peristiwa keamanan, memperkenalkan virus kendali, mengembangkan suatu rencana kesinambungan bisnis, mengikuti kebutuhan untuk pelindungan data, dan menetapkan prosedur untuk mentaati kebijakan keamanan.

ISO / IEC 17799: 2005 menetapkan pedoman dan prinsip umum untuk memulai, menerapkan, memelihara, dan memperbaiki manajemen keamanan informasi dalam sebuah organisasi. Tujuan yang diuraikan memberikan panduan umum mengenai tujuan umum manajemen keamanan informasi yang diterima secara umum.