Personal Asignment 2 – ISQA

by davidfirmansyah

Personal Assignment 2

Session 3

 

IS Quality Assurance & Control

(Case Study)

PT Bank Perkreditan Rakyat Maju Bersama adalah sebuah perusahaan yang bergerak dalam bidang perbankan.

PT BPR Maju Bersama saat ini memiliki sistem informasi namun belum menggunakan ERP system. Sistem informasi tersebut di develop oleh tim TI PT BPR Maju Bersama. Sistem informasi yang dimiliki oleh perusahaan sudah terintegrasi, namun kemudian diperoleh informasi bahwa setiap program aplikasi menggunakan bahasa program development yang berbeda. Program aplikasi untuk penghitungan gaji dan bonus dibangun dengan menggunakan bahasa program Oracle, sedangkan untuk program akuntansi menggunakan program aplikasi yang dibangun dengan Visual C.

Data untuk penghitungan insentif dan bonus tim marketing, di-entry, proses dan output-nya dikerjakan oleh tim TI. Hasil penghitungan insentif dan bonus tersebut didistribusikan ke bagian Akuntansi dan keuangan untuk dibayarkan kepada anggota tim. Menurut manajer TI, perhitungan insentif dan bonus sudah pasti tanpa kesalahan karena merupakan output komputer dan tidak memerlukan verifikasi.

Server PT Majuku berada di kantor pusat yang berada di Karawang sedangkan cabang tidak memiliki server langsung menggunakan WAN yang dikoneksikan melalui satelit. Kepada anggota tim diberikan fasilitas untuk melakukan transaksi menggunakan fasilitas internet.

Perusahaan belum menyusun BCP. Namun berdasarkan kebiasaan, data yang ada pada server di back up sebulan sekali dalam bentuk softcopy dan hardcopy yang disimpan pada gudang kantor pusat. Program pada PT BPR Maju Bersama tidak menggunakan audit log dengan alasan membuat penuh memory pada server. Password tingkat tertinggi pada program perusahaan dipegang oleh Manajer TI.

 

Hal yang perlu Anda analisis – sintesis:

Apabila Anda adalah auditor yang ditugaskan untuk melakukan audit terhadap sistem informasi perusahaan tersebut:

  1. Tentukan risiko yang muncul berdasarkan kasus di atas!
  2. Lakukan tahap-tahap audit, jika perlu tambahkan asumsi yang Anda anggap perlu!
  3. Berikan Rekomendasi perbaikan TI PT BPR Maju Bersama!

 

–o0o–

 

Jawaban:

Risiko

Thomas R Petlier dalam bukunya Information Security Risk analysis second edition tahun 2005 menyatakan bahwa risiko di definisikan dengan seseorang atau sesuatu yang membuat atau menimbulkan bahaya. dalam lingkungan bisnis saat ini, risiko adalah satu diantara biaya-biaya yang diperlukan saat melakukan bisnis atau memberikan jasa. segala hal yang terkait dengan internal hazard, external hazard maupun risiko dapat membuat sebuah organisasi yang berjalan dengan baik kehilangan competitive advantage, tidak memenuhi deadline ataupun suffer embarassment

Definisi Risiko menurut AS/NZS 4360:2004 adalah “the chance of something happening that will have an impact on objectives” atau kemungkinan dari terjadinya sesuatu yang akan memiliki dampak terhadap sebuah objektif. Lebih lanjut

Definisi Risiko menurut Enterprise Risk Management – COSO adalah “Events with a negative impact represent risks, which can prevent value creation or erode existing value”, kejadian dengan dampak yang negative adahal hal yang representasikan risiko, dimana hal ini dapat mencegah proses terjadinya value creation atau mengikis value yang ada

Sedangkan itjen.risetdikti.go.id menyatakan bahwa risiko adalah kemungkinan ternjadinya peristiwa yang membawa akibat yang tidak diinginkan atas tujuan, strategi, sasaran dan atau target.

Definisi risiko menurut Kamus Besar Bahasa Indonesia (KBBI) adalah akibat yang kurang menyenangkan (merugikan, membahayakan) dari suatu perbuatan atau tindakan.

Menurut Arthur J. Keown (2000), risiko adalah prospek suatu hasil yang tidak disukai (operasional sebagai deviasi standar).

Definisi risiko menurut Hanafi (2006) risiko merupakan besarnya penyimpangan antara tingkat pengembalian yang diharapkan (expected return –ER) dengan tingkat pengembalian aktual (actual return).

Menurut Emmaett J. Vaughan dan Curtis M. Elliott (1978), risiko didefinisikan sebagai;

  1. Kans kerugian – the chance of loss
  2. Kemungkinan kerugian – the possibility of loss
  3. Ketidakpastian – uncertainty
  4. Penyimpangan kenyataan dari hasil yang diharapkan – the dispersion of actual from expected result
  5. Probabilitas bahwa suatu hasil berbeda dari yang diharapkan – the probability of any outcome different from the one expected

Dari paparan diatas dapat diambil kesimpulan bahwa risiko adalah segala sesuatu yang dapat memberikan bahaya kepada organisasi yang berjalan, dimana ketika risiko ini terjadi maka ada dampak yang akan terjadi terhadap perusahaan atau organisasi.

Maka dari pengertian risiko ini dan sesuai pada studi kasus yang disajikan diatas, ada beberapa hal yang menurut saya dapat menjadi risiko terhadap PT BPR maju bersama, risiko-risiko tersebut adalah:

  1. Berhentinya Operasional perusahaan karena ketiadaan BCP

BCP – Business Continuity Plan secara sederhana adalah sebuah dokumen yang menyatakan bagaimana perusahaan melakukan bisnisnya pada saat kondisi normal perusahaan terganggu, baik dari sisi layanan IT – backbone dari layanan perbankan, force major, maupun alasan-alasan lainnya.

Risiko utama yang akan muncul dari ketiadaannya dokumen ini adalah berhentinya operasional PT BPR Maju bersama karena kondisi normal perusahaan terganggu, dengan alasan apapun. Risiko ini adalah risiko yang sangat berat untuk dialami perusahaan karena dengan berhentinya operasional perusahaan, artinya bisnis yang dimiliki juga akan berhenti, tidak saja keuntungan perusahaan yang bisa berkurang, hal ini sangat mungkin menimbulkan kerugian bagi perusahaan.

  1. Data yang tidak valid karena ketiadaan backup data

Transaksi perbankan adalah transaksi yang berjalan dalam waktu yang sangat cepat, perbedaan beberapa menit bisa berarti sangat besar untuk suatu nomor rekening yang ada dalam Bank. Dan saat ini back-up yang dimiliki bank adalah backup yang dilakukan secara bulanan. Jika terjadi kerusakan data pada server, baik secara fisik maupun logic, maka dapat di pastikan baik bank maupun nasabah akan sangat dirugikan secara materil, karena pergerakan uang yang sudah terjadi dalam 1 bulan terakhir tidak akan dapat di retrieve.

  1. Risiko yang ditimbulkan karena perbedaan Bahasa pemrograman system yang digunakan

Ketika semua berjalan dengan baik, perbedaan Bahasa pemrograman system yang digunakan tidak akan memberikan permasalahan terhadap keseluruhan layanan IT, namun dengan system di develop menggunakan Bahasa internasional yang seiring waktu akan terdapat update atau patch, yang ketika hal ini terjadi, ada risiko compatibility dari satu program ke program yang di develop dengan Bahasa yang berbeda akan mengalami gangguan.

  1. Risiko yang muncul karena tidak terjadinya verifikasi pada beberapa proses.

Pada studi kasus di sebutkan bahwa manager IT menyatakan bahwa proses pelaksanaan pemberian insentif tidak memerlukan verifikasi lebih lanjut karena semua proses dilakukan oleh computer. Risiko yang dapat muncul adalah kesalahan data insentif yang akan di bayarkan kepada pekerja yang berhak, dan kesalahan ini akan sulit disadari karena ketiadaan proses verifikasi sebelumnya.

  1. Risiko yang muncul karena ketiadaan log file

Log file pada dasarnya adalah sebuah file yang akan mencatat setiap perubahan yang terjadi dalam system, tanpa adanya file ini, maka perubahan yang terjadi tidak akan tercatat pada server dan sangat mungkin memberikan kesempatan lebih tinggi bagi fraud dalam perusahaan ini tidak dapat terlacak. Disisi lain, ketiadaan audit log akan mempersulit proses audit yang akan dilakukan di kemudian hari.

 

Pelaksanaan Audit IT di PT BPR Maju bersama

Marius dan Cristian (2009) menyatakan bahwa suatu proses audit dipimpin oleh orang-orang dengan tingkat profesionalitas yang tinggi dalam hal kompetensi maupun ketrampilan. Tim audit akan melakukan penilaian terhadap SI/TI yang diterapkan pada perusahaan me-refer kepada standar, pedoman, prosedur, dan hukum yang ada. Proses audit merupakan bagian dari program audit sebagai strategi organisasi unutk menilai kualitas dari SI/TI yang diterapkan. Marius dan Christian (2009) merangkum aktivitas audit menjadi beberapa tahapan yaitu:

  1. Audit Initiating, tahap ini adalah tahapan perencanaan untuk pelaksanaan audit pada sebuah perusahaan atau organisasi, tahapan ini terdiri dari penentuan ruang lingkup audit, menetapkan kelayakan audit, membentuk tim audit, membangun kontak awal dengan auditee
  2. Document Analysis, tahap ini dilakukan untuk mengumpulkan bukti audit yang memiliki keterkaitan dengan audit dari auditee. Dokumentasi termasuk surat-surat resmi dan audit yang sebelumnya sudah dilaporkan. Pada tahap ini, jika dianggap bahwa dokumen yang diajukan oleh auditee tidak memadai dalam kaitannya dengan tujuan dari audit, maka proses audit dapat dihentikan atau ditangguhkan.
  3. Carrying out the audit activities on site, pada tahap ini auditor akan mengadakan pertemuan yang digunakan untuk membicarakan proses audit yang akan dilakukan, serta melakukan interview dengan auditee terkait dengan audit yang dilakukan.
  4. Preparation, approval and distribution of the audit report, pada tahap ini tim audit akan melakukan penyusunan laporan audit terkait proses audit yang sudah dilakukan sebelumnya. Laporan ini kemudian akan di distribusikan kepada stakeholder dari proses audit ini. Termasuk dalam tahap ini adalah presentasi kepada stakeholder sebagai bagian dari proses distribusi laporan.
  5. Audit process closing, setalah seluruh kegiatan yang termasuk dalam rencana audit selesai dilaksanakan, serta laporan audit telah di setujui dan di distribusikan, maka proses audit dapat di tutup. Seluruh anggota tim audit harus menjaga kerahasiaan data yang tercatat dalam dokumen audit.
  6. Follow-up audit, tahap ini berupa tindak lanjut dari kegiatan audit yang berisi kegiatan yang dapat dianggap sebagai bagian audit apakah sudah diproses atau tidak. Kesimpulan audit menyebabkan kebutuhan untuk perbaikan, pencegahan atau tindakan perbaikan.

 

Dowling, C. dan Leech, S. a. (2014) menyatakan bahwa dalam melakukan tugasnya, seorang IT auditor akan mengikuti tahapan-tahapan tertentu, tahapan-tahapan tersebut secara umum terdiri dari:

  1. Planning

Tahap ini merupakan tahapan penting dalam kegiatan IT Audit, karena jika tahapan ini gagal maka kegiatan audit tidak akan menemukan hasil yang tepat. Pada tahapan ini, akan menentukan tujuan serta ruang lingkup audit IT yang akan dilaksanakan. Dowling menyatakan bahwa pada tahapan ini terdapat proses preliminary survey, dimana dalam proses ini IT auditor akan melakukan wawancara dengan pihak klien untuk memahami proses kerja sistem yang akan ditinjau.

  1. Requesting Document

Pada tahapan ini IT auditor akan meminta dokumen-dokumen yang berhubungan dengan kegiatan audit, dokumen-dokumen ini adalah dokumen-dokumen yang minimal tercantum dalam audit preliminary checklist. Dokumen-dokumen ini bisa terdiri dari salinan laporan audit sebelumnya, bank statement, buku besar, peraturan komite perusahaan dan sebagainya.

  1. Preparing audit plan

Dalam tahapan ini, auditor IT akan mencari informasi yang terdapat dalam dokumen-dokumen yang sudah diberikan dan merencanakan langkah-langkah yang harus dilakukan selama proses audit. Auditor harus memahami tujuan bisnis dari bagian yang akan diaudit agar dapat mempertimbangkan risiko yang mungkin terjadi, dan kemudian mengidentifikasi kontrol internal yang ada yang mengurangi risiko tersebut. Ketika hal yang akan di audit adalah sistem atau teknologi, maka auditor perlu memikirkan risiko untuk sistem atau teknologi berfungsi sebagaimana tujuan utama system atau teknologi ini di buat. Langkah-langkah ini harus didokumentasikan dengan rincian yang memadai agar memungkinkan auditor untuk memahami risiko yang ditangani oleh setiap tahapan. Tahapan ini akan menghasilkan audit plan.

 

 

  1. Scheduling an Open Meeting

Open meeting atau dikenal juga sebagai kick-off meeting adalah sebuah meeting dimana IT auditor akan memaparkan ruang lingkup untuk proyek audit dan menerima masukan akhir dari tim management. Untuk mendapatkan hasil yang maksimal, maka selama pertemuan ini IT auditor harus terbuka terhadap masukan dari tim management dan fleksibel jika terdapat perubahan pada lingkup audit. Hasil dari meeting ini akan menyempurnakan audit plan yang sudah di buat sebelumnya.

  1. Conducting Fieldwork

IT auditor melakukan penelitian lapangan untuk memperoleh data dan melakukan wawancara terhadap auditee untuk menganalisis potensi risiko dan menentukan bagaimana dampak risiko dapat dikurangi. Namun, IT Auditor harus mencari cara untuk memvalidasi informasi yang disediakan secara independen. Meskipun hal ini tidak selalu memungkinkan, sehingga auditor harus selalu memikirkan cara-cara kreatif untuk menguji hal tersebut.

  1. Issue directory and validation

Setelah penelitian lapangan, IT auditor akan membuat daftar terkait isu-isu potensial, daftar isu potensial akan di buat untuk memastikan bahwa semua masalah yang ada valid dan relevan. Kemudian auditor harus mendiskusikan isu-isu potensial tersebut dengan auditee secepat mungkin untuk memvalidasi kebenaran dari isu yang ditemukan. Dengan melihat tanggapan dari pihak klien, IT Auditor kemudian akan merencanakan tindakan yang dapat diambil untuk menghadapi isu tersebut.

  1. Drafting a Report

Setelah tim audit menemukan masalah dalam bagian yang diaudit, kemudian menvalidasi masalah tersebut dengan klien, dan memberikan solusi untuk mengatasi masalah tersebut, IT auditor dapat menyusun laporan audit. Laporan audit berisi komentar yang menggambarkan isu-isu apa yang ditemukan di dalam audit dan solusi apa yang akan disarankan terhadap masalah yang ada.

 

  1. Setting up a Closing meeting and Issue Tracking

IT Auditor kemudian mengadakan pertemuan terakhir dengan pihak management untuk membahas laporan audit. Jika ada masalah yang belum terselesaikan maka akan segera diselesaikan pada pertemuan penutup ini. Namun, kegiatan audit pada dasarnya tidak selesai setelah IT auditor menyampaikan laporan audit, proses audit akan benar-benar selesai ketika masalah yang diangkat dalam audit sudah terselesaikan, baik dengan cara yang sudah di rekomendasikan atau pun dengan cara yang diinginkan oleh pihak management.

 

Chris Davis, dan kawan-kawan dalam bukunya, IT Auditing menyatakan bahwa terdapat 6 hal yang perlu dilakukan dalam pelaksanaan audit yaitu:

  1. Planning.

Tujuan dari tahap planning adalah untuk menentukan objective dan scope pekerjaan audit yang akan dilakukan. Beberapa hal yang perlu dilakukan dalam tahap planning ini adalah:

  1. Perpindahan tugas dari Audit manager ke audit team jika proses audit ini sudah direncanakan dari awal.
  2. Survey awal. Perlu dilakukan survey awal agar auditor dapat mengetahui area yang akan di audit
  3. Request dari customer. Auditor perlu memastikan bawah user/customer yang akan di audit mempunya rasa ownership terhadap proses audit sehingga akan baik jika bertanya kepada customer/user area mana yang menurut mereka perlu di audit.
  4. Membuat Standard checklist.
  5. Melakukan research
  6. Melakukan assessment
  7. Membuat schedule
  8. Melakukan Kick Off Meeting.

 

  1. Fieldwork

Auditor langsung terjun ke lapangan dimana audit dilakukan. Proses ini merupakan proses yang sangat penting dalam melakukan audit hal ini karena dengan melakukan hal ini, maka auditor bisa mendapatkan kondisi yang sebenarnya. Dokumentasi hasil temuan di lapangan akan digunakan dalam membuat kesimpulan.

  1. Issue Finding and Validation.

Pada saat melakukan fieldwork, auditor perlu membuat daftar issue yang potensial dan memastikan daftar issue yang sudah di buat tersebut adalah valid dan relevan.

  1. Mencari solusi.

Jika daftar isu-isu yang sudah ditemukan di lapangan sudah di validasi, maka proses selanjutnya yang harus dilakukan adalah membuat atau mencari solusi dari isu-isu tersebut. Pembuatan atau pencarian solusi ini dilakukan bersama dengan user untuk meastikan bahwa solusi adalah valid.

  1. Reporting.

Jika sudah menyelesaikan proses fieldwork selesai dilakukan dan isu serta solusi sudah di validasi oleh user, maka perlu dibuatkan laporan audit untuk management. Laporan ini seterusnya akan didistribusikan kepada management, baik dalam bentuk tulisan maupun dalam bentuk presentasi

  1. Issue Tracking.

Seringkali ketika jika proses audit sudah selesai, pekerjaan audit juga sudah dianggap selesai. Namun jika ini yang terjadi, maka proses audit tidak akan menjadi nilai tambah bagi perusahaan. Memastikan bahwa perbaikan atau penyelesaian terhadap isu-isu yang sudah ditemukan pada proses audit adalah hal yang sama pentingnya dengan proses audit tersebut.

 

 

Dari penjelasan di atas, bisa diambil kesimpulan bahwa untuk melakukan audit dan menghasilkan deliverable yang baik, maka pada dasarnya ada beberapa tahapan yang harus dilakukan, yaitu:

  1. Planning – Perencanaan

Fail to plan means plan to fail, tanpa perencanaan yang baik, pelaksanaan audit tidak akan bisa mencapai hasil yang maksimal. Perencanaan yang dimaksud minimal harus memiliki tujuan pelaksanaan audit, ruang lingkup audit, metode audit. Untuk memberikan informasi lebih baik, jangka waktu audit bisa juga  membantu perencanaan untuk memastikan pelaksanaan akan lancar dan tidak melebihi waktu yang sudah ditetapkan sebelumnya.

  1. Fieldwork and documentation

Hal ini adalah tahapan utama dari pelaksanaan audit, dimana tim audit akan melakukan pemeriksaan terhadap apa yang sudah di rencanakan sebelumnya. Fieldwork ini dilakukan untuk mendapatkan kondisi sebenarnya di lapangan. Pelaksanaan audit di lapangan ini akan melibatkan beberapa pihak yang bisa memberikan informasi yang diharapkan, hal ini seringkali dilakukan dengan melakukan interview terhadap user-user yang dimaksud. Hal lain yang juga dilakukan adalah pengumpulan dokumen yang terkait dan relevan dengan hal yang diaudit yang kemudian akan di jadikan sebagai evidence dalam audit ini.

  1. Issue discovery, validation and solution development

Setelah proses audit dilakukan di lapangan dan semua dokumentasi diperiksa, maka langkah selanjutnya adalah melakukan penilaian terhadap apa yang sudah terjadi dilapangan, baik dari kesesuaian dengan prosedur, maupun dengan prosedur-prosedur lainnya. Dari proses ini, tim auditor seharusnya sudah mendapatkan beberapa potential concern yang ada. Potential concern ini kemudian harus divalidasi ulang oleh tim auditor dengan user yang terlibat, untuk memastikan bahwa potential concern ini adalah valid, bukan merupakan kesalahpahaman yang terjadi atau concern yang terjadi karena adanya dokumen yang masih belum lengkap.

Setelah potential concern ini valid, concern-concern ini dapat dijadikan temuan audit untuk kemudian akan di olah lebih lanjut terkait apa yang bisa dilakukan untuk meng-address temuan-temuan. Tidak jarang solution development juga akan melibatkan user dalam prosesnya, hal ini agar solusi yang dibuat adalah solusi yang benar-benar bisa dilakukan. Namun yang harus diperhatikan adalah level independency dari proses ini, user bisa terlibat dalam proses ini, namun usulan solusi yang muncul tidak boleh di drive oleh keinginan user semata, namun lebih merupakan usulan solusi terbaik yang bisa diberikan oleh auditor.

  1. Report and Report distribution

Setelah semua data lengkap, maka report audit sudah bisa dibuat dan siap di sajikan kepada management dan juga stakeholder yang terkait dengan pelaksanaan audit ini. Penyajian laporan ini bisa jadi dalam bentuk presentasi yang dihadiri oleh tim management terbatas, maupun dalam bentuk pengiriman dokumen kepada tim management.

  1. Issue tracking

Dokumen yang sudah di sajikan kemudian akan disebarkan oleh management kepada user-user terkait, dimana kemudian user-user ini dapat melakukan perencanaan perbaikan terhadap temuan-temuan yang sudah ada. Pada proses ini, tim auditor sudah jarang terlibat secara in-hands, namun bukan berarti tidak akan terlibat sama sekali, tim auditor pada saat ini seringkali akan menjadi konsultan yang dapat memberikan informasi yang diperlukan terhadap proses yang sudah dilakukan, atau sebagai narasumber untuk menjelaskan temuan yang masih belum terlalu jelas.

 

REKOMENDASI

Menurut makalah singkat yang diterjemahkan oleh dina savaluna dengan judul membuat rekomendasi yang efektif, rekomendasi yang baik adalah rekomendasi yang minimal memiliki kriteria yang Spesific, Measurable, Achieveable, Result-Oriented, Timebound, Solution-suggestive, Mindful of priotisation, sequencing and risk, Argued, Root-cause responsive, Targeted. Atau disingkat dengan double-SMART.

Sedangkan Sofian, dalam page yang di publish pada ugm.ac.id menyatakan bahwa rekomendasi adalah proses mengevaluasi atau menilai beberapa opsi atau alternatif kebijakan untuk menentukan mana tindakan kebijakan yang terbaik untuk mengatasi masalah sosial, ekonomi, politik, dan fisik yang sedang atau akan dihadapi oleh masyarakat. Langkah-langkah penetapan rekomendasi adalah:

  1. Rumuskan beberapa kriteria evaluasi yang relevan dengan tujuan kebijakan
  2. Analisis efek dan dampak tiap Alternatif Kebijakan terhadap kriteria-kriteria tersebut;
  3. Tetapkan Alternatif yang terbaik (lebih banyak unsur positifnya) sebagai Tindakan Kebijakan.

Dengan hal yang dijelaskan terkait dengan rekomendasi di atas dan kondisi dari studi kasus yang di paparkan, ada beberapa rekomendasi yang bisa diberikan untuk perbaikan dari layanan IT yang saat ini dimiliki oleh PT BPR Maju bersama, yaitu:

  1. Membuat dokumen Business Continuity Plan

Business Continuity plan menurut SANS Institute adalah aktivitas yang diperlukan untuk membuat organisasi tetap berjalan dalam periode displacement atau interuption dari operasi normal. Sedangkan menurut Business Continuity Institue glossary, Business Continuity Plan adalah adalah kumpulan dari prosedur dan informasi yang di develop, di kompilasi, dan di pastikan kesiapannya untuk digunakan dalam periode emergency ataupun disasster

Tanpa adanya dokumen ini, maka ketika terjadi kondisi dimana operasional perusahaan tidak dapat berjalan dengan baik, organisasi tidak akan dapat menjalankan bisnisnya sama sekali, karena tidak ada panduan yang jelas yang akan memastikan bisnis tetap dapat berjalan. Untuk hal ini, maka rekomendasi pertama yang sebaiknya dilakukan oleh PT BPR Maju Bersama adalah memastikan BCP akan di bentuk.

Walaupun harus diingat adalah BCP bukan merupakan tanggung jawab IT sepenuhnya, namun adalah tanggung jawab bisnis, namun, IT adalah bagian yang tidak dapat terpisahkan dalam pembuatan BCP ini karena tulang punggung layanan pebankan adalah pada IT yang digunakan.

  1. Lakukan mirroring system untuk server aplikasi dan database milik PT BPR Maju Bersama.

Dengan bisnis utama PT BPR Maju bersama yang ada pada dunia perbankan, maka validitas, availibilitas dan realibilitas data adalah hal yang sangat penting. Server mirroring menurut technopedia.com adalah adalah sebuah proses dalam management jaringan yang dengan proses ini akan dibuatkan sebuah replika yang benar-benar sama dari sebuah server dan di jalankan pada saat run timeServer mirroring adalah sebuah teknik yang digunakan untuk business continuity, disasster recovery dan backup. proses duplikasi keseluruhan isi server pada server yang lain akan membuat data dapat di restore dengan mudah jika server utama bermasalah.

  1. Lakukan backup secara periodik khususnya database yang dimiliki

Untuk memastikan bahwa data benar-benar aman, maka adalah hal yang cukup umum bahwa walaupun server yang ada sudah memiliki mirror, proses back-up tetap dijalankan. Ada minimal 2 alasan, yang pertama adalah adanya risiko kerusakan data pada server, walaupun dengan mirroring likelihood nya semakin kecil, namun bukan berarti hal ini tidak mungkin terjadi. Alasan kedua adalah kapassitas dan performansi server, dimana server yang dimiliki akan memiliki keterbatasan kapasitas penyimpanan data, namun di satu sisi, data perbankan adalah data yang sangat krusial dan harus di jaga keberadaannya. Disisi lain, semakin banyak data, maka semakin besar effort server untuk melakukan prosesnya, maka dengan adanya back up ini, performansi server yang digunakan akan tetap terjaga.

Yang menjadi catatan adalah bahwa server aplikasi yang digunakan oleh PT BPR Maju bersama juga sebaiknya memiliki backup secara periodik, namun periode untuk backup server aplikasi tidak perlu sama dengan periode server database, hal ini karena dibandingkan dengan server database, perubahan yang terjadi pada server aplikasi relatif lebih sedikit.

  1. Menyempurnakan Business Proses yang dimiliki

Dengan adanya beberapa proses yang tidak memiliki verifikasi dalam prosesnya, fraud dan kesalahan akan memiliki likelihood yang cukup tinggi. Untuk mencegah fraud dan kesalahan akan terjadi, maka proses verifikasi seharusnya dilakukan untuk proses-proses yang penting bagi perusahaan. Perubahan proses ini sebaiknya dilakukan pada tatanan bisnis proses sehingga semua kebutuhan perusahaan akan tercapture dengan lebih baik dan menjadi referensi yang jelas bagi pelaksananya.

  1. Aktivasi audit log pada seluruh aplikasi utama PT BPR Maju Bersama

Audit log adalah hal yang akan sangat membantu perusahaan dalam proses audit, dimana setiap perubahan yang terjadi pada aplikasi maupun database dimungkinkan untuk di lihat dalam waktu yang singkat dengan aktivasi fitur ini.

  1. Penyeragaman Bahasa Pemrograman

Lakukan analisa, bahasa pemrograman apa yang paling tepat untuk digunakan oleh PT BPR Maju Bersama, analisa yang dilakukan tidak terbatas pada kemampuan pekerja IT di perusahaan, namun juga kesesuaian dengan aplikasi yang ada, ketersediaan expert di pasar, cost yang diperlukan untuk mendevelop seorang pekerja menjadi expert pada sebuah bahasa pemrgraman, kebutuhan komunikasi dengan server, dan hal-hal lainnya.

Ketika sudah dipilih bahasa pemrograman yang pasti, maka yang selanjutnya dilakukan adalah melakukan perubahan bahasa pemrograman untuk aplikasi yang di program dengan dengan bahasa pemrograman selain bahasa pemrograman yang sudah ditentukan. Pada awalnya effort terkait perubahan bahasa pemrograman akan cukup besar, hal ini karena perubahan bahasa pemrograman pada sebuah aplikasi berarti melakukan pembuatan ulang sebuah aplikasi dengan bahasa pemrograman lainnya. Walaupun logic yang akan sama, namun karena behaviournya yang berbeda antara bahasa pemrograman, maka proses pembuatan ulang akan membutuhkan effort yang cukup besar. Namun dengan dilakukannya hal ini, maka maintenance server dan aplikasi akan membutuhkan cosst yang lebih sedikit.

  1. Lakukan analisa kelayakan terkait impementasi ERP di PT BPR Maju Bersama

Dengan makin berkembangnya teknologi, maka sebuah aplikasi yang dapat membuat semua proses berada didalamnya adalah hal yang cukup baik untuk di analisa. Aplikasi dengan nature seperti ini adalah Enterprise Resource Planning, yang saat ini sudah banyak digunakan oleh perusahaan-perusahaan yang cukup besar. Namun, cost untuk menggunakan ERP ini tidaklah sedikit, sehingga keputusan untuk melakukan implementasi sistem ERP ini harus berasal dari hasil analisa mendalam dengan mempertimbangkan kondisi keuangan perusahaan, cost yang diperlukan benefit yang ditawarkan, added value di masa yang akan datang, dan lain sebagainya.

Tidak Harus sebuah perusahaan memiliki ERP system, jika memang hasil analisanya mengatakan hal tersebut, namun, adalah hal yang akan memberikan keuntungan yang cukup baik jika hasil analisa yang dilakukan menunjukkan bahwa sistem ERP ini layak untuk diimpelemntasikan di PT BPR Maju bersama

 

 

Referensi

http://itjen.ristekdikti.go.id/wp-content/uploads/2016/04/Manajemen-Risiko_Ristekdikti.pdf

http://kbbi.web.id

http://COSO.org

Thomas R Petlier, 2005 Information Security Risk analysis second edition

SAI Global Limited; AS/NZS 4360:2004

Arthur J. Keown (2000),

Hanafi, 2006, Manajemen risiko operasional

Emmett J. Vaughan dan Curtis M. Elliott (1978), Fundamental of Risk and Insurance

Dowling, C. and Leech, S. a. (2014), A Big 4 Firm’s Use of Information Technology to Control the Audit Process

Reff: Chris Davis, Mike Schiller dan Kevin Wheeler. IT Auditing Using Controls To Protect Information Assets. Second Edition.

Marius, P. O. P. A., & Cristian, T. O. M. A. (2009). Stages for the Development of the Audit Processes of Distributed Informatics Systems. Journal of Applied Quantitative Methods

http://www.apt.ch/content/files_res/Briefing1_BahasaIndonesia.pdf

http://sofian.staff.ugm.ac.id/kuliah/Langkah-langkah%20Rekomendasi.pdf

Leave a comment