IS Quality Assurance & Control – TP2

(Case Study)

PT Bank Perkreditan Rakyat Maju Bersama adalah sebuah perusahaan yang bergerak dalam bidang perbankan.

PT BPR Maju Bersama saat ini memiliki sistem informasi namun belum menggunakan ERP system. Sistem informasi tersebut di develop oleh tim TI PT BPR Maju Bersama. Sistem informasi yang dimiliki oleh perusahaan sudah terintegrasi, namun kemudian diperoleh informasi bahwa setiap program aplikasi menggunakan bahasa program development yang berbeda. Program aplikasi untuk penghitungan gaji dan bonus dibangun dengan menggunakan bahasa program Oracle, sedangkan untuk program akuntansi menggunakan program aplikasi yang dibangun dengan Visual C.

Data untuk penghitungan insentif dan bonus tim marketing, di-entry, proses dan output-nya dikerjakan oleh tim TI. Hasil penghitungan insentif dan bonus tersebut didistribusikan ke bagian Akuntansi dan keuangan untuk dibayarkan kepada anggota tim. Menurut manajer TI, perhitungan insentif dan bonus sudah pasti tanpa kesalahan karena merupakan output komputer dan tidak memerlukan verifikasi.

Server PT Majuku berada di kantor pusat yang berada di Karawang sedangkan cabang tidak memiliki server langsung menggunakan WAN yang dikoneksikan melalui satelit. Kepada anggota tim diberikan fasilitas untuk melakukan transaksi menggunakan fasilitas internet.

Perusahaan belum menyusun BCP. Namun berdasarkan kebiasaan, data yang ada pada server di back up sebulan sekali dalam bentuk softcopy dan hardcopy yang disimpan pada gudang kantor pusat. Program pada PT BPR Maju Bersama tidak menggunakan audit log dengan alasan membuat penuh memory pada server. Password tingkat tertinggi pada program perusahaan dipegang oleh Manajer TI.

Hal yang perlu Anda analisis – sintesis:

Apabila Anda adalah auditor yang ditugaskan untuk melakukan audit terhadap sistem informasi perusahaan tersebut:

1. Tentukan risiko yang muncul berdasarkan kasus di atas!
2. Lakukan tahap-tahap audit, jika perlu tambahkan asumsi yang Anda anggap perlu!
3. Berikan Rekomendasi perbaikan TI PT BPR Maju Bersama.

Jawaban:

Menurut Senft (2009) proses pengembangan perangkat lunak meliputi strategi sistem informasi yang menuntun pengembang dalam membangun sistem yang konsisten dengan tujuan teknis dan operasional organisasi, standar yang menuntun dalam pemilihan perangkat keras, perangkat lunak dan pengembangan sistem baru, kebijakan dan prosedur yang mendukung tujuan dan sasaran organisasi dan manajemen proyek yang memastikan proyek selesai tepat waktu, sesuai dengan anggaran dengan fungsi yang diharapkan[3].

Dapat disimpulkan bahwa dalam pengembangan perangkat lunak tujuan dan sasaran yang hendak dicapai adalah menghasilkan perangkat lunak yang sesuai dengan rencana dan harapan serta selaras dengan strategi bisnis perusahaan.

Menurut Senft (2009) dalam banyak organisasi, aplikasi yang dikembangkan oleh end-user terbatas dan tidak melalui prosedur resmi akibat dari end-user tidak memiliki latar belakang pengetahuan pengembangan aplikasi dengan kontrol atau pemeliharaan yang memadai. Selain itu Organisasi bergantung pada sistem yang dikembangkan user untuk operasi sehari-hari dan pengambilan keputusan penting. Kenyataan lain bahwa sistem end user menjadi lebih kompleks dan didistribusikan di seluruh platform dan ragam struktur organisasi. Resiko yang muncul terkait masalah ini adalah lemahnya keamanan, backup terbatas, pelatihan dan dukungan yang tidak memadai, sistem yang tidak kompatibel, sistem yang redundant, laporan yang tidak konsisten di semua departemen, dan ketergantungan pada informasi yang tidak akurat[3].

Dari penjelasan di atas dapat disimpulkan bahwa dampak jika suatu aplikasi dikembangkan oleh end user yang tidak berkompeten adalah rentannya aplikasi terhadap isu-isu keamanan, kualitas aplikasi yang dihasilkan tidak sesuai dengan bisnis perusahaan. Dalam pengambilan keputusan sering merugikan perusahaan karena kualitas data yang dimiliki tidak akurat.

Menurut Davis, Schiller dan Wheeler (2011) data center rentan terhadap bencana alam dan bencana buatan manusia. Untuk itu auditor perlu melakukan identifikasi dan mengukur fisik dan kontrol administrasi yang mampu mengurangi resiko gangguan pada pengolahan data, termasuk ketahanan sistem, backup dan pemulihan (restore) data serta perencanaan pemulihan bencana[1].

Dapat disimpulkan bahwa antisipasi bencana perlu direncanakan agar ada kesiapan dari organisasi untuk menghadapi bencana dan gangguan yang ditimbulkan akibat bencana tidak terlalu mengganggu operasional bisnis perusahaan.

Dari uraian di atas resiko yang muncul berdasarkan kasus di atas adalah:

1. Perbedaan bahasa pemrograman yang digunakan di aplikasi yang berbeda-beda di setiap aplikasi yang sudah terintegrasi satu sama lain menimbulkan kerentanan dimana jika terjadi error pada salah satu aplikasi maka perlu ada seorang staf yang mengerti code dari aplikasi yang error tersebut.
2. Penggunaan bahasa pemrograman yang berbeda di tiap aplikasi membuat perusahaan mengeluarkan biaya ekstra untuk menggaji staf yang memiliki keahlian bahasa pemrograman yang berbeda.
3. Karena pengoperasian server seperti unggah dokumen tidak real time sehingga akan ada kecenderungan perubahan yang tidak terupdate dikarenakan proses uploadnya dirapel perbulan. Ketiadaan server di kantor cabang memiliki resiko kerusakan dan kehilangan data saat data tersebut di transfer menuju kantor pusat.
4. Tidak adanya log kemampuan aplikasi dalam melihat history data atau trace data jadi hilang sehingga perusahaan tidak mengetahui setiap kegiatan yang dilakukan pada tiap aplikasi.
5. Kekurangan management user dalam hal aplikasi membuat masing-masing user tidak pada posisi dan level tertentu sehingga berdampak pada kerentanan data pada aplikasi.
6. Menurut SANS (2002) Business continuity mengacu kepada aktivitas yang diperlukan agar organisasi tetap berjalan selama periode perpindahan atau gangguan operasi normal[2]. Bencana bisa terjadi kapan saja untuk itu dibutuhkan persiapan untuk menghadapi bencana. BCP sangat penting karena dapat meminimalisasi kerusakan atau gangguan saat bencana terjadi dan membuat bisnis tetap kompetitif. Ketiadaan BCP membuat perusahaan tidak memiliki standar baku dalam menghadapi resiko mengalami bencana. Jika terjadi bencana, perusahaan akan membutuhkan waktu yang lama untuk menormalkan kembali sistem informasi perusahaan.
7. Input insentif dan bonus oleh tim TI menimbulkan kerawanan akibat ketiadaan kontrol dari departemen lain.

Menurut Davis, Schiller dan Wheeler (2011) tahap melakukan audit TI adalah[1]:

1. Tinjau struktur organisasi TI secara keseluruhan untuk memastikan bahwa organisasi TI menyediakan untuk tugas wewenang dan tanggung jawab atas operasi TI dan menyediakan pembagian tugas yang memadai.

Berdasarkan studi kasus: minim kontrol terhadap tugas yang dilakukan oleh tim TI terutama dalam melakukan input data insentif dan bonus tim marketing sehingga rawan terjadinya kecurangan dalam melakukan penghitungan insetif dan bonus. Selain itu, penghitungan bonus dan insentif secara automatis oleh sistem tanpa verifikasi lebih lanjut, rawan terjadinya kesalahan dalam penghitungan bonus dan insentif

2. Meninjau proses perencanaan strategis TI untuk memastikan bahwa itu sejalan dengan strategi bisnis. Mengevaluasi proses organisasi TI untuk memantau kemajuan terhadap rencana strategis.

Berdasarkan studi kasus: Strategi TI pada perusahaan PT. BPR Maju Bersama belum ada dimana server hanya ada di kantor pusat. Wewenang tim TI dalam menginput data insentif dan bonus tim marketing melalui sistem secara automatis tanpa verifikasi perlu untuk ditinjau ulang.

3. Menentukan apakah teknologi dan aplikasi strategi dan roadmap ada, dan mengevaluasi proses perencanaan teknis jangka panjang.

Berdasarkan studi kasus: belum memiliki roadmap ataupun perencanaan jangka panjang. Misalnya perusahaan belum memiliki bisnis continuity plan untuk menghadapi kekacauan yang mungkin terjadi misalnya bencana alam.

4. Tinjau indikator kinerja dan pengukuran untuk IT. Memastikan bahwa proses dan metrik pada tempatnya (dan disetujui oleh para pemangku kepentingan utama) untuk mengukur kinerja kegiatan sehari-hari dan untuk pelacakan kinerja terhadap SLA, anggaran, dan persyaratan operasional lainnya.

Berdasarkan studi kasus: Pengukuran terhadap kinerja TI belum ada, tugas dan wewenang tim TI tidak ada kontrol dan tidak ada audit log sehingga susah untuk melakukan pemeriksaan terhadap pekerjaan yang dilakukan oleh tim TI.

5. Evaluasi standar untuk mengatur pelaksanaan proyek IT dan untuk memastikan kualitas produk yang dikembangkan atau diperoleh oleh organisasi TI. Menentukan bagaimana standar tersebut dikomunikasikan dan ditegakkan.

Berdasarkan studi kasus: aplikasi yang dibuat menggunakan bahasa pemrograman yang berbeda sehingga memerlukan kesiapan berupa sumber daya manusia yang handal untuk mengatasi error yang terjadi di setiap aplikasi dengan bahasa pemrograman yang berbeda.

6. Pastikan bahwa kebijakan keamanan TI ada dan memberikan persyaratan yang memadai untuk keamanan lingkungan. Tentukan bagaimana kebijakan tersebut dikomunikasikan dan bagaimana kepatuhan dimonitor dan ditegakkan.

Berdasarkan studi kasus: Kebijakan keamanan TI sangat lemah karena ketiadaan audit log sehingga tidak diketahui aktivitas yang dilakukan di tiap aplikasi. Data insentif dan bonus diinput oleh tim TI tanpa kontrol dari departemen lain dan input dilakukan secara automatis tanpa verifikasi.

7. Meninjau dan mengevaluasi proses penilaian risiko di tempat bagi organisasi TI.

Berdasarkan studi kasus: belum ada evaluasi dan penilaian terhadap resiko yang muncul seperti belum adanya BCP sehingga tidak ada standar baku bagi perusahaan dalam menghadapi kerusakan pada TI.

8. Tinjau dan evaluasi proses untuk memastikan bahwa karyawan IT di perusahaan memiliki keterampilan dan pengetahuan yang diperlukan untuk melakukan pekerjaan mereka.

Berdasarkan studi kasus: Evaluasi terhadap kinerja karyawan susah dilakukan karena tidak ada audit log sehingga tidak diketahui siapa yang menjadi penanggung jawab terhadap setiap transaksi yang dilakukan.

9. Tinjau dan evaluasi kebijakan dan proses untuk menetapkan kepemilikan data perusahaan, mengelompokkan data, melindungi data sesuai dengan klasifikasinya, dan mendefinisikan life cycle data.

Berdasarkan studi kasus: Input data dilakukan oleh tim TI tanpa melakukan verifikasi. Data rentan untuk dimanipulasi akibat ketiadaan verifikasi terhadap data yang diinput.

10. Tinjau dan evaluasi proses untuk memastikan bahwa end user lingkungan TI memiliki kemampuan untuk melaporkan masalah, secara tepat terlibat dalam keputusan TI, dan puas dengan layanan yang diberikan oleh TI.

Berdasarkan studi kasus: end user tidak memiliki akses untuk memberikan masukkan terkait pelayanan TI yang diberikan oleh tim TI.

11. Meninjau dan mengevaluasi proses untuk mengelola layanan pihak ketiga, memastikan bahwa peran dan tanggung jawab mereka didefinisikan dengan jelas dan pemantauan kinerja mereka.

Berdasarkan studi kasus: belum ada peran dan tanggung jawab yang jelas terkait layanan pihak ketiga.

12. Meninjau dan mengevaluasi proses untuk mengontrol akses login non karyawan.

Berdasarkan studi kasus: kontrol akses login non karyawan tidak ada karena audit log tidak digunakan sehingga tidak diketahui aktivitas yang dilakukan dan siapa yang melakukan aktivitas tersebut.

13. Meninjau dan mengevaluasi proses untuk memastikan bahwa perusahaan telah memenuhi lisensi perangkat lunak yang berlaku.

Berdasarkan studi kasus: Perlu dilakukan pemeriksaan bahwa perangkat lunak yang digunakan perusahan memiliki lisensi.

Saran:

1. Perlu dipersiapkan sumber daya manusia yang handal di setiap bahasa pemrograman yang digunakan sehingga jika terjadi error di setiap aplikasi yang berbeda akan memudahkan penanganan error yang cepat dan proses bisnis bisa berjalan normal kembali. Aplikasi yang digunakan harus memiliki lisensi.
2. Perlu dibuatkan BCP dengan tujuan ketika terjadi bencana maka tim TI bisa segera melakukan tindakan-tindakan yang diperlukan agar sistem bisa segera berjaan normal kembali. Untuk infrastruktur TI yang dikelola oleh pihak ketiga perlu dibuat aturan dan wewenang yang jelas kepada pihak ketiga terkait dengan peran dan tanggung jawab pihak ketiga dalam mengelola infrastruktur TI yaitu server.
3. Perlu ada audit log dengan tujuan agar setiap tindakan yang dilakukan di masing-masing aplikasi diketahui aktivitas yang dilakukan dan siapa yang melakukan aktivitas tersebut. Dalam menghitung dan menginput data insentif dan bonus sebaiknya ada proses verifikasi agar tidak terjadi kesalahan data.
4. Hak akses tiap anggota TI dan end user harus jelas dengan membuatkan username dan password. Setiap karyawan diberi hak akses sesuai dengan peran dan tanggung jawab masing-masing karyawan. Setiap kegiatan yang dilakukan karyawan disimpan dalam audit log sehingga mudah untuk melakukan pemeriksaan.

Pustaka:

[1]        Davis, Chris., Schiller, Mike., dan Kevin Wheeler. 2011. IT Auditing Using Control To Protect Information Assets. Edisi Kedua. ISBN: 978-0-07-174239-9.

[2]        SANS. 2002. Introduction to Business Continuity Planning. SANS Institute, diakses tanggal 2 april 2017, di situs: https://www.sans.org/reading-room/whitepapers/recovery/introduction-business-continuity-planning-559

[3]        Senft, Sandra., Gallegos, Frederick. 2009. Information Technology Control and Audit. Edisi Ketiga. CRC Press.