KEMENTERIAN KEUANGAN REPUBLIK INDONESIA SALINAN PERATURAN INSPEKTUR JENDERAL NOMOR PER- 09 /1J/2014 TENTANG PEDOMAN REVIU TATA KELOLA TEKNOLOGI INFORMASI DAN KOMUNIKASI Menimbang Mengingat Menctapkan DI LINGKUNGAN KEMENTERIAN KEUANGAN DENGAN PENDEKATAN CONTROL OBJECTIVES INSPEKTUR JENDERAL, a, bahwa Kementerian Keuangan telah mengatur tata kelola teknologi informasi dan komunikasi untuk menunjang pencapaian tujuan Kementerian Keuangan; b. bahwa Untuk’ thenjamin tata kelola teknologi informasi dan komunikasi yang efektif dan efisien, perlu dilakukan reviu yang kKomprehensif dengan mengacu pendekatan control objectives yang dikeluarkan oleh Information Systems Audit and Control ‘Association (ISACA); c. bahwa untuk menjamin mutu’dan keseragaman pelaksanaan reviu tata kelola teknologi informasi dan komunikasi secara periodik oleh Inspektorat Jenderal perlu pedoman yang diatur dalam bentuk Peraturan Inspektur Jenderal; d. bahwa berdasarkan pertimbangan sebagaimana dimaksud dalam huruf a, b dan huruf c, perlu menetapkan Peraturan Inspektur Jenderal tentang Pedoman Reviu Tata Kelola Teknologi Informasi Dan Komunikasi Di Lingkungan Kementerian Keuangan Dengan Pendekatan Control Objectives; 1. Peraturan Pemerintah Nomor 60 Tahun 2008 tentang Sistem Pengendalian Intern Pemerintah (Lembaran Negara Republik Indonesia Tahun 2008 Nomor 127, Tambahan Lembaran Negara Republik Indonesia Nomor 4890); 2. Peraturan Menteri Keuangan Nomor 184/PMK.01/2010 tentang Organisasi Dan Tata Kerja Kementerian Keuangan; 3. Keputusan Menteri Keuangan Nomot 260/KMK.01/2009 tentang Kebijakan Pengelolaan Teknologi Informasi Dan Komunikasi Di Lingkungan Departemen Keuangan; MEMUTUSKAN: PERATURAN INSPEKTUR JENDERAL TENTANG PEDOMAN REVIU TATA KELOLA TEKNOLOGI INFORMASI DAN KOMUNIKASI DI LINGKUNGAN — KEMENTERIAN = KEUANGAN DENGAN, PENDEKATAN CONTROL OBJECTIVES. Pasal 1 Pedoman Reviu Tata Kelola Telxnologi Informasi dan Komunikasi di lingkungan Kementerian Keuangan dengan Pendckatan Control Objectives merupakan panduan dalam melaksanakan reviu tata kelola teknologi informasi dan kormunikasi di lingkunganKEMENTERIAN KEUANGAN REPUBLIK INDONESIA Kementerian Keuangan dengan mengacu pada Control Objectives for Information and Related Technology (COBIT) versi 4.1 yang dikeluarkan oleh Information Systems Audit and Control Association {ISACA). Pasal 2 Pedoman Reviu Tata Kelola Teknologi Informasi dan Komunikasi di lingkungan Kementerian Keuangan dengan Pendekatan Control Objectives adalah sebagaimana tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Inspektur Jenderal ini. Pasal 3 Peraturan Inspektur Jenderal ini mulai berlaku pada tanggal ditetapkan. Salinan sesuai dengan aslinya, Sekretaris Inspektorat Jenderal Ditetapkan di Jakarta pada tanggal 24 desember 2014 ub. Kepala Bagian Umum INSPEKTUR JENDERAL, Td. C.M. Susetya SONNY LOHO NIP 196309121985031002KEMENTERIAN KEUANGAN REPUBLIK INDONESIA LAMPIRAN PERATURAN INSPEXTUR JENDERAL NOMOR PER. 09 /1J/2014 TENTANG PEDOMAN REVIU TATA KELOLA TEKNOLOGI — INFORMASI DAN. KOMUNIKASI DI_—_LINGKUNGAN. KEMENTERIAN KEUANGAN DENGAN PENDEKATAN CONTROL OBJECTIVES PEDOMAN REVIU TATA KELOLA TEKNOLOGI INFORMASI DAN KOMUNIKASI DI LINGKUNGAN KEMENTERIAN KEUANGAN DENGAN PENDEKATAN CONTROL OBJECTIVESKEMENTERIAN KEUANGAN REPUBLIK INDONESIA -2- A. PENDAHULUAN Pada dekade terakhir ini, kita dihadapkan pada perkembangan teknologi informasi dan komunikasi (TIK) yang begitu pesat dibandingkan dengan periode- periode sebelumnya. Demikian pula halnya yang terjadi di lingkungan Kementerian Keuangan (Kemenkeu), di mana dapat disaksikan bahwa pemanfaatan TIK berkembang sedemikian cepat dan masif. Parameter sederhana yang dapat kita gunaken untuk membuktikan hal ini adalah begitu besarnya nilai rupiah yang telah digunakan untuk melakukan investasi TIK. Perkembangan ini antara lain didorong oleh tuntutan kebutuhan untuk meningkatkan kualitas layanan yang sudah ada, meningkatkan efisiensi operasional organisasi, dan meningkatkan kualitas informasi. Bukti nyata perkembangan pemanfaatan TIK di Kemenkeu adalah implementasi sistem informasi dan infrastruktur TIK pada berbagai unit di Kemenkeu. Implementasi sistem informasi dan infrastruktur TIK tersebut kini menjadi bagian integral dari pelaksanaan proses bisnis di Kemenkeu. Dari sisi tata kelola (governance}, berbagai peraturan teknis juga telah ditetapkan sebagai acuan dalam pengelolaan pemanfaatan TIK di Kemenkeu. Namun demikian pemanfaatan teknogi informasi ibarat dua sisi mata uang. Pengelolaan sistem informasi berbasis TIK yang diselenggarakan dan dikendalikan dengan baik, akan mendorong tercapainya tujuan organisasi secara efektif dan efisien. Di sisi lain, seiring meningkatnya pemanfaatan TIK oleh organisasi, meningkat pula ketergantungan (dependensi) organisasi terhadap TIK. Pada tahap ketergantungan seperti ini, pengelolaan sistem informasi berbasis TIK yang tidak diselenggarakan dengan baik, dapat berujung pada kerusakan sistem, sehingga memberikan dampalc negatif yang fatal bagi organisasi. Oleh karena itu, pimpinan organisasi memerlukan keyakinan yang memadai bahwa sistem TIK di organisasinya telah dikelola dengan baik, mulai dari tahapan perencanaan, pengembangan, implementasi, operasional, sampai dengan evaluasi. Untuk itu, adalah tugas auditor internal untuk memberikan keyakinan yang memadai bahwa sistem TIK di organisasi telah dikelola dengan baik, sehingga mampu mendorong tercapainya tujuan organisasi secara efektif dan efisien. Hal-hal tersebut berimplikasi bagi Kemenkeu d.h.i Inspektorat Jenderal (Itjen) untuk melaksanakan pengawasan secara khusus terhadap pengelolaan TIK, Kegiatan pengawasan yang dapat dilakukan oleh Itjen dapat berupa Reviu Tata Kelola, Audit Integrasi terkait dengan proses bisnis dan Audit Tematik. Untuk mendukung terlaksananya kegiatan pengawasan tersebut diperlukan pedoman yang dapat digunakan sebagai panduan dalam pelaksanaan reviu atau audit. Guna mencapai tujuan tersebut, maka dilakukan penyusunan Pedoman Reviu Tata Kelola TIK di Lingkungan Kementerian Keuangan dengan Pendekatan Control Objectives.KEMENTERIAN KEUANGAN REPUBLIK INDONESIA “ae B, TUJUAN Pedoman Reviu Tata Kelola TIK di Lingkungan Kementerian Keuangan dengan Pendekatan Control Objectives disusun dengan tujuan untuk: 1. Memberikan panduan/standar langkah-langkah yang dilakukan Itjen dalam reviu tata kelola TIK pada unit-unit pengelola TIK di lingkungan Kementerian Keuangan sehingga reviu dapat berjalan efektif, 2. Memberikan keseragaman dalam penilaian tingkat kematangan pengelolaan TIK pada unit-unit pengelola TIK di lingkungan Kementerian Keuangan, C. AREA REVIU Reviu tata kelola TIK dengan pendekatan control objectives dilakukan dengan cara menilai 210 control objectives dalam 34 proses tata kelola TIK sesuai dengan Control Objectives for Information and related Technology (COBIT) 4.1 yang dikeluarkan oleh Information Systems Audit and Control Association (ISACA). Proses tersebut dikelompokkan ke dalam empat domain, yaitu Plan and Organise (PO), Acquire and Implement (Al), Delivery and Support (DS), dan Monitor and Evaluate (ME). Dalam pelaksanaan reviu tata kelola TIK, Itjen dapat mengecualikan beberapa control objectives dalam area reviu. Hal ini dapat dilakukan apabila kegiatan yang menjadi fokus control objectives tersebut tidak relevan untuk dinilai tingkat kematangannya pada objek reviu. D, METODOLOGI REVIU Reviu tata kelola TIK dilakukan dengan cara melakukan telaah terhadap dokumen, wawancara, dan observasi. Reviu tata kelola TIK dilakukan terhadap rancangan pengendalian berdasarkan dokumen kebijakan dan prosedur (design of controls}. Selanjutnya apabila memungkinkan, dilakukan walkthrough dan pengambilan sampel untuk pengujian efektivitas pengendalian atas penerapan kebijakan dan prosedur yang ada (test of controls).KEMENTERIAN KEUANGAN REPUBLIK INDONESIA “4: Dari hasil reviu dilakukan penilaian tingkat kematangan tata kelola TIK dengan menggunakan skala 0 s.d. 5, dengan penjelasan sebagai berikut: Tingkat Kematangan : _ Penjelasan 0| Proses sama sekali tidak | Pada level ini, organisasi belum melakukan diterapkan identifikasi atas proses TIK. Organisasi beranggapan hal tersebut merupakan hal yang tidak perlu dipertimbangkan. 1| Proses bersifat ad-hoc _| Pada level ini, organisasi telah menyadari bahwa dan tidak terorganisir _| terdapat beberapa proses TIK yang telah berjalan. Proses-proses TIK tersebut berjalan tetapi dilakukan tanpa standar prosedur operasional dan terdokumentasi dengan baik. 2| Proses mengikuti pola. | Pada level ini, proses TIK yang berjalan belum regular seluruhnya memiliki standar prosedur operasional. Selain itu, proses sosialisasi atas standar prosedur operasional belum seluruhnya dilakukan dan dikomunikasikan secara formal kepada pegawai terkait. 3 | Proses sudah Pada level ini, organisasi telah memiliki standar didokumentasikan prosedur operasional dan terdokumentasi dengan baik dan dengan baik, serta telah melakukan sosialisasi dikomunikasikan secara formal atas seluruh proses TIK yang berjalan. 4| Proses sudah dipantau _/ Pada level ini, organisasi melakukan pengawasan dan terukur dan memastikan proses telah berjalan sesuai prosedur dan kebijakan yang berlaku. Selain itu, organisasi telah melakukan penilaian dalam memastikan proses yang ada telah berjalan secara efektif. Penerapan proses yang terotomasi merupakan salah satu pertimbangan penilaian pada level ini. 5 | Proses sudah mengikuti | Pada level ini, proses-proses TIK yang berjalan praktik terbaik dan telah mencapai tingkatan good practice. Hal ini diotomasi dapat dinilai dari keselarasan proses-proses TIK dengan perubahan atau perkembangan TIK serta bisnis organisasi. Seluruh proses TIK telah terintegrasi dan memiliki proses yang telah terotomasi. Proses TIK tersebut juga digunakan untuk menilai kualitas dan efektivitas proses TIK secara menyeluruh. Proses perubahan TIK dapat dilakukan secara cepat dan tepat serta dapat beradaptasi terhadap perubahan proses bisnis dan operasional organisasi. Nilai kematangan tata kelola TIK pada unit pengelola TIK diperoleh dari rata- rata atas empat domain. Nilai tiap domain adalah rata-rata nilai proses dalam domain tersebut. Adapun nilai proses diperoleh dari rata-rata nilai control objectives dalam proses tersebut. Itjen dapat pula memberikan bobot yang berbeda atas control objectives, proses, atau domain, apabila dipandang perlu, dengan tetap memperhatikan keseragaman penilaian kepada seluruh unit pengelola TIK.KEMENTERIAN KEUANGAN REPUBLIK INDONESIA E. PROGRAM KERJA Langkah-langkah kerja dalam melakukan reviu tata kelola TIK dengan pendekatan control objectives adalah sebagai berikut. 1. Plan and Organize No. Control Objective Sasaran Langkah Kerja PO1 | Define a strategic IT plan te PO1.1 | Pengelolaan Manfaat| 1. Meyakini telah | 1. Dapatkan dokumen berikut untuk mendapatkan pengertian Teknologi Sistem | dilaksanakan —_kerjasama|_—_ lebih detail: Informasi (IT Value) antara bagian TIK dengan 1.1. Dokumen portofolio investasi TIK; Management) bagian _bisnis untuk) 2. List layanan yang diberikan oleh unit TIK; memastikan bahwa} 13 ped a portofolio investasi Oe eee eee eee tcknologi informasi| _ 1-4. Prosedur evaluasi layanan. mengandung program- | 2. Lakukan wawancara dengan: program yang secara solid] Kepala Bidang Perencanaan TIK; mendukung — kepentingan| , epala Bidang Evaluasi Layanan TIK; atau bisnis organisasi, + Personel yang terkait dengan proses pengelolaan manfaat 2. Meyakini adanya a kesadaran bahwa terdapat investasi yang merupakan| apabila dibutubkan konsultasi untuk mendapatkan masukan suatu’ keharusan yang, _ lebih detail, diperlukan wawancara dengan: | bersifat_mendukung dan| « ‘Tim Perencanaan dan Strategi TST; yang bersifat optional yang}, Komite Pengarah Teknologi dan Informasi; masing-masing _berbeda : | pada tingkat kerumitan| ™engenai: | dan tingkat kebebasan| 2-1. Pengelolaan portofolio investasi TIK; dalam penyediaan| 2.2. Langkah-langkah untuk memastikan bahwa _portofolioKEMENTERIAN KEUANGAN REPUBLIK INDONESIA No. Control Objective Sasaran Langkah Kerja dananya. —_ Proses-proses teknologi informasi harus menyediakan suatu cara penyampaian yang efektif dan efisien dari program- program yang berkaitan dengan komponen, teknologi informasi dan juga menyediakan suatu pemberitahuan. awal dari penyimpangan atas rencana semula, termasuk biaya, jadwal, dan fungsionalitas, yang dapat memengaruhi hasil yang diharapkan dari program- program tersebut. . Meyakini bahwa layanan- layanan teknologi informasi telah dijalankan — sesuai dengan Service Level Agreement (SLA) yang wajar dan dapat —_dituntut pertanggungjawabannya. Pertanggungjawaban untuk hasil yang dan mencapai diharapkan ‘investasi TIK mengandung program yang mendukung kepentingan organisasi; 2.3. Peran dan tanggung jawab personel terkait dengan proses pengelolaan manfaat TIK; 2.4. Apakah unit TIK telah mengkdlasifikasikan jenis investasi TIK yang merupakan kewajiban, investasi TI sebagai pendukung core business, dan inyestasi TIK yang optional; 2.5. Apakah unit TIK memiliki kontrol (early warning system) ketika terjadi penyimpangan atas rencana stragetis TI; dan 2.6.Bagaimana unit TIK meyakini bahwa disampaikan sesuai dengan SLA. Jayanan yang Lakukan evaluasi design controls, dengan mempertimbangkan terdapatnya: 3.1, Konsistensi antara proses penentuan anggaran TIK dengan proses yang ada di organisasi; 3.2. Kebijakan dan prosedur untuk memastikan penyiapan dan persetujuan anggaran TIK, rencana jangka pendek dan panjang TIK; 3.3. Keterlibatan manajemen dalam proses penyusunan anggaran TIK; 3.4. Kebijakan dan prosedur untuk secara berkala memonitor biaya sebenarnya dengan cara membandingkannya terhadap estimasi biaya; 3.5.Kebijakan dan prosedur untuk memastikan biaya sebenarnya didasarkan pada sistem akuntansi organisasi;KEMENTERIAN KEUANGAN REPUBLIK INDONESIA -7- Bisnis dan Teknologi Informasi dan Komunikasi (Business- bisnis dan strategi TIK telah terintegrasi, yaitu secara jelas _—_telah No. Control Objective Sasaran Langkah Kerja [ att pengendalian terhadap dan biaya telah disebutkan| —_ 3.6, Kebijakan dan prosedur untuk menjamin bahwa pemberian secara jelas dan dimonitor. layanan/jasa oleh fungsi TIK dapat dijustifikasi dari sisi Unit TI telah menetapkan biaya. suatu prosedur evaluasi| 4 1 atcukan evaluasi effectiveness of controls, dengan menguji bukti- bisnis yang walar,| "ucts transparan, berkala, di iy insparan,, berkala, dan! 4.1. Culupnya anggaran belanja TIK dalam mendukung rencana | sesuai dengan keaddan SoH tahunan operasi TIK; bisnis, termasuk manfaat Keuangan, risiko yang| 42-Bahwa Kategori pengeluaran TIK meliputi banyak hal, dihadepi jika tidak dapat sesuai, dan telah diklasifikasikan secara tepat; memberikan hal-hal yang) 4.3.Cukupnya sistem untuk merckam, memproses, dan | telah disanggupi, dan melaporkan biaya yang terkait dengan aktivitas-aktivitas risiko jika tidak dapat fungsi TIK; merealisasikan manfaat .Terdapatnya proses monitoring biaya dengan cara yang diharapkan. melakukan perbandingan antara biaya yang sebenarnya dengan biaya yang dianggarkan; 4.5. Apakah terdapat review atas analisis biaya/manfaat yang dilakukan oleh manajemen pengguna, fungsi TIK, dan manajemen senior; dan 4.6. Tepat dan efektifnya penggunaan alat-alat untuk memonitor biaya. PO1.2 |Penyelerasan antara| 1. Meyakini bahwa strategi| 1. Dapatkan dokumen berikut untuk mendapatkan pengertian lebih detail: 1.1.Kebijakan dan prosedur berkaitan dengan penyusunan rencana strategis bisnis dan rencana bisnis jangka pendek( KEMENTERIAN KEUANGAN REPUBLIK INDONESIA - — aa - 8 No. Control Objective Sasaran IT Alignment) menghubungkan —_‘ tujuan dan jangka panjang; organisasi dan tujuan TIK, mengenali kesempatan dan ketcrbatasan yang ada, dan telah dikomunikasikan secara terbuka. Meyakini bahwa organis telah mengidentifikasi strategi bisnis mana yang sangat tergantung pada TIK dan menjembatani antara kebutuhan bisnis dan teknologi_sehingga dapat ditetapkan prioritas yang disetujui bersama. . Wawancara dengan: 1.2.Kebijakan dan prosedur berkaitan dengan penyusunan rencana strategis TIK dan rencana jangka pendek dan jangka panjang TIK; | 1.3. Tajuan bisnis organisasi dan rencana bisnis jangka pendek | dan panjang organisasi; 1.4, Tajuan TIK dan rencana jangka pendek dan panjang TIK; | 1.5. Laporan status dan notulen rapat/laporan perencanaan dari steering committee; 1.6. Analisis teknologi informasi yang pernah dilakukan; dan 1.7. Dokumentasi terkait dengan pengendalian atas keterhubungan antara strategi bisnis dengan strategi teknologi informasi organisasi lain * Bagian Perencanaan TIK; © Kepala Bidang Perencanaan TIK; * Personel yang terkait dengan proses perencanaan strategis TSI; © Tim Perencanaan dan Strategi TSI; « Komite Pengarah Teknologi dan Informasi; mengenai: 2.1, Proses penyelarasan antara tujuan bisnis dan TIK; 2.2. Langkah-langkah untuk memastikan bahwa terdapat hubungan yang erat antara strategi bisnis organisasi denganKEMENTERIAN KEUANGAN REPUBLIK INDONESIA -9- No. Langkah Kerja strategi teknologi informasi; 2.3.Peran dan tanggung jawab personel terkait dengan proses penyelarasan antara tujuan bisnis dan TIK; dan 2.4. Kebijakan, prosedur, peraturan, laporan, atau dokumentasi lain terkait dengan proses penyelarasan antara tujuan bisnis dan TIK. . Lakukan evaluasi design’ controls dengan mempertimbangkan terdapatnya: 3.1,Rencana jangka pendek dan jangka panjang TIK yang up to date dan mencakup keseluruhan organisasi, misi, dan fungsi bisnis utama; 3.2. Suatu checkpoint untuk meyakinkan tujuan TIK dan rencana jangka pendek dan jangka panjang TIK telah memenuhi tujuan dan rencana bisnis jangka pendek dan jangka panjang organisasi; dan 3.3. Review dan tanda tangan atas rencana TIK oleh pemilik proses dan manajemen senior. Lakukan evaluasi effectiveness of controls dengan menguji bukti- bukti: 4.1.Notulen rapat perencanaan yang mencerminkan dilakukannya proses perencanaan oleh organisasi; 4.2. Konsistensi dari rencana jangka pendck dan jangka panjang TIK dengan rencana bisnis jangka pendek dan jangka panjang organisasi; 4.3. Rencana yang ada telah di-update sesuai dengan perubahanKEMENTERIAN KEUANGAN REPUBLIK INDONESIA Performance) layanan dan solusi di unit TI untuk menyusun suatu tolok ukur atas rencana kinerja TIK di masa yang akan datang Meyakini bahwa kinerja unit TIK telah ditentukan dengan mengukur kontribusi TIK terhadap tujuan bisnis, —_fungsi, stabilitas, kompleksitas, biaya, kekuatan, dan kelemahan organisasi. -10- No. Control Objective Sasaran Langkah Kerja ‘ " keadaan yang terjadi; dan 4.4.Adanya suatu penugasan untuk mengimplementasikan rencana tersebut. PO1.3 | Penilaian atas|1. Meyakini bahwa telah | 1. Dapatkan dokumen berikut untuk mendapatkan pengertian kapasitas dan kincrja| terdapat penilaian atas| —_ lebih detail: terkini (Assessment of| kapasitas .dan _ kinerja 1.1. Rencana jangka pendek dan jangka panjang TIK; urrent Capability and| terhadap —_penyampaian 1.2. Kebijakan dan prosedur terkait dengan penilaian kinerja rencana TIK dan sistem informasi; 1.3. Laporan penilaian kinerja rencana TIK dan sistem informasi yang berjalan saat ini; dan 1.4, Dokumentasi lain terkait dengan proses penilaian kinerja rencana TIK dan sistem informasi. 2. Wawancara dengan: + Bagian Perencanaan TIK; * Kepala Bidang Perencanaan TIK; + Persone! lain yang tidak terkait langsung dengan penilaian kinerja rencana TIK dan sistem informasi yang ada saat ini; mengenai: 2.1. Penilaian kinerja rencana TIK dan sistem informasi yang ada saat ini; 2.2. Langkah-langkah untuk memastikan bahwa kinerja rencana ‘IK dan sistem informasi yang ada saat ini cukup memadai untuk mendukung tujuan bisnis organisasi; 2.3. Peran dan tanggung jawab personel terkait dengan proses( KEMENTERIAN KEUANGAN REPUBLIK INDONESIA -1l- No. Sasaran Langkah Kerja penilaian kinerja rencana TIK dan sistem informasi yang ada saat ini; dan 2.4. Kebijakan, prosedur, peraturan, laporan, atau dokumentasi lain terkait dengan proses penilaian kinerja rencana TIK dan sistem informasi yang ada saat ini. Lakukan evaluasi design controls dengan mempertimbangkan terdapatnya: : 3.1, Rencana jangka pendek dan jangka panjang TIK yang up to date dan mencakup keseluruhan organisasi, misi, dan fungsi bisnis utama; 3.2. Dukungan rencana sistem informasi terhadap strategi bisnis organisasi; dan 3.3. Penilaian secara berkala atas kinerja sistem informasi yang menggunakan rencana TIK sebagai dasar penilaian. Lakukan evaluasi effectiveness of controls, dengan menguji bukti- bukti: 4.1. Bahwa kinerja dari rencana TIK dan sistem informasi selaras dengan tujuan bisnis; dan 4.2. Adanya review sccara berkala terhadap kinerja rencana TIK dan sistem informasi yang ada. Renstra TIK Strategic Plan) (Tr » Meyakini bahwa telah terdapat rencana strategis TIK yang menjelaskan pola hubungan dengan stakeholder tentang . Dapatkan dokumen berikut untuk mendapatkan pengertian lebih detail: 1.1.Rencana jangka panjang TIK yang paling up to date dan mencakup kescluruhan organisasi, misi, dan fungsi bisnis yang utama;KEMENTERIAN KEUANGAN REPUBLIK INDONESIA -12- Control Objective Sasaran Langkah Kerja bagaimana TIK akan memberikan —_kontribusi terhadap tujuan strategis organisasi beserta biaya yang dibutuhkan dan risikonya. 2.,Meyakini bahwa _rencana strategis telah mencakup bagaimana divisi TIK akan mendukung program investasi pemanfaatan TI, layanan bidang TI, dan aset TL Dalam rencana strategis tersebut telah menjelaskan —_bagaimana tujuan tersebut akan dicapai, ukuran yang akan digunakan, dan prosedur untuk mendapat tanda tangan (persetujuan) dari pihak-pihak yang berkepentingan. 3. Meyakini strategis TIK mencakup investasi/biaya operasional, sumber dana bahwa rencana telah anggaran . Wawancara dengan: 1.2. Metodologi untuk memformulasi dan memodifikasi rencana yang ada; 1.3.Perubahan kondisi internal dan eksternal organisasi (misalnya perubahan struktur organisasi, perkembangan teknologi, dll) diperhitungkan dan menjadi masukan dalam proses perencanaan; 1.4.Review dan tanda tangan atas rencana’ TIK oleh pemilik proses dan manajemen senior; dan 1.5.Suatu checkpoints untuk meyakinkan tujuan TIK dan rencana jangka panjang TIK telah memenuhi tujuan dan rencana bisnis jangka panjang organisasi. + Kepala Divisi TIK; * Kepala Bidang Perencanaan TIK; * Personel yang terkait dengan proses penyusunan rencana strategis TSI; mengenai: 2.1, Proses penyusunan rencana strategis TIK (IT strategic plan); 2.2. Langkah-langkah atau proses pengendalian yang ditempuh manajemen untuk memastikan penyusunan rencana strategis teknologi informasi mendukung rencana strategis organisasi; 2.3.Peran dan tanggung jawab personel terkait dengan proses penyusunan rencana strategis TIK; dan 2.4. Kebijakan, prosedur, peraturan, laporan, atau dokumentasi |KEMENTERIAN KEUANGAN REPUBLIK INDONESIA. -13- No. Control Objective Sasaran Langkah Kerja - dan strateginya, dan lain terkait dengan proses penyusunan rencana strategis | strategi pengadaannya. TIK. | Rencana strategis juga) 3. Lakukan evaluasi design controls dengan mempertimbangkan harus mencakup peraturan dan perundang-undangan yang dibutuhkan unit TIK. Rencana strategis harus cukup detail, schingga rencana taktis teknologi informasi dapat diturunkan dari rencana strategis tersebut. terdapatnya: 3.1.Rencana jangka panjang TIK yang paling up to date dan mencakup keseluruhan organisasi, misi, dan fungsi bisnis yang utama; 3.2. Metodologi untuk memformulasi dan memodifikasi rencana yang ada; 3.3.Perubahan kondisi internal dan eksternal organisasi (misalnya perubahan struktur organisasi, perkembangan teknologi, dil) diperhitungkan dan menjadi masukan dalam proses perencanaan; 3.4. Review dan tanda tangan atas rencana TIK oleh pemilik proses dan manajemen senior; dan 3.5. Suatu checkpoint untuk meyakinkan tujuan TIK dan rencana jangka panjang TIK telah memenuhi tujuan dan rencana bisnis jangka panjang organisasi. 4. Lakukan evaluasi effectiveness of controls dengan menguji bukti- bukti: 4.1.Notulen rapat perencanaan yang dilakukannya proses perencanaan oleh organisasi; mencerminkan 4.2.Adanya metodologi perencanaan dan hasil yang dicapai sesuai dengan yang telah digambarkan sebelumnya; 4.3. Bahwa_inisialKEMENTERIAN KEUANGAN REPUBLIK INDONESIA -14- No. Control Objective Langkah Kerja dalam rencana jangka panjang TIK (misalnya capacity planning, arsitektur informasi, disaster recovery planning); 4.4,Bahwa rencana jangka panjang TIK konsisten dengan rencana bisnis jangka panjang organisasi; dan 4.5. Rencana yang ada telah di-update sesuai dengan perubahan keadaan yang terjadi. PO1.S Reneana Kerja. THK (IT Tactical Plans) . Meyakini bahwa organisasi . Meyakini telah “menyusun rencana taktis (tahunan) —_atas portofolio _—_berdasarkan. pada rencana strategis TIK (T Strategic Plan). Rencana taktis telah membahas program investasi pemberdayaan TI, layanan TI, dan aset TI. Rencana taktis juga telah menctapkan —_kebutuhan. akan inisiatif TI, sumber daya yang diperlukan, dan bagaimana cara memantau dan mengelola penggunaan sumber daya dan manfaat | yang akan didapatkan. bahwa rencana taktis TIK telah cukup . Dapatkan dokumeén berikut untuk mendapatkan pengertian lebih detail: 1.1. Kebijakan dan prosedur berkaitan dengan penyusunan rencana taktis TIK; 1.2. Rencana jangka pendek dan jangka panjang TIK; 1.3. Laporan berkala atas evaluasi pelaksanaan rencana taktis TIK dan penggunaan sumber daya yang ada yang di-review oleh pihak manajemen; dan 1.4, Dokumentasi lain terkait rencana taktis TIK. dengan proses penyusunan . Wawancara dengan: + Kepala Divisi TIK; + Kepala Bidang Perencanaan TIK; atau + Personel yang terkait dengan proses penyusunan rencana strategis TSI; mengenai: 2.1. Proses penyusunan rencana taktis TIK; 2.2. Langkah-langkah pengendalian atau prosesKEMENTERIAN KEUANGAN REPUBLIK INDONESIA No. rencana taktis dan inisiatif teknologi informasi melalui analisis proyek — dan layanan pada portofolio. -15- Control Objective Sasaran Langkah Kerja a ea detail sehingga memastikan bahwa rencana taktis TIK telah disusun memungkinkan berdasarkan rencana strategis TIK; disusunnya rencana| 2.3. Peran dan tanggung jawab personel terkait dengan proses proyek. Secara aktif penyusunan rencana taktis TIK; dan mengelola rangkaian 2.4. Kebijakan, prosedur, peraturan, laporan atau dokumentasi | lain terkait dengan proses proses penyusunan rencana taktis | TKK. | 3. Lakukan evaluasi design controls dengan mempertimbangkan terdapatnya: 3.1.Kebijakan dan prosedur yang mengatur pelaksanaan rencana taktis TIK, penctapan sumber daya yang diperlukan, evaluasi berkala terhadap penggunaan sumber daya dan pelaksanaan, serta kewajiban untuk melakukan review terhadap laporan evaluasi tersebut; 3.2.Rencana taktis TIK telah disusun untuk mendukung rencana strategis TIK; 3.3. Metodologi untuk memformulasi dan memodifikasi rencana yang ada; 3.4. Laporan berkala terhadap pelaksanaan rencana taktis TIK dan penggunaan sumber daya yang ada di-review dan ditandatangani oleh pihak manajemen; dan 3.5. Suatu checkpoint untuk meyakinkan tujuan TIK dan rencana taktis TIK telah memenuhi misi dan tujuan rencana jangka panjang organisasi 4. Lakukan evaluasi effectiveness of controls dengan menguji buk¢ ( ( ( ¢ KEMENTERIAN KEUANGAN REPUBLIK INDONESIA -16- Control Objective Langkah Kerja bukti: 4.1, Bahwa rencana strategis TIK secara periodik tergambar pada rencana taktis TIK; 4.2. Konsistensi dari rencana taktis TIK dan strategis TIK dengan rencana bisnis jangka panjang organisasi; dan 4.3. Rencana yang ada telah di-update sesuai dengan perubahan keadaan yang terjadi. PO1.6 Manajemen TK OT Management) Portofolio Portfolio. 1. Meyakini bahwa organisasi telah melakukan pengelolaan secara aktif terhadap portofolio dari program-program investasi terkait dengan teknologi informasi, untuk mencapai tujuan strategis _bisnis tertentu dengan mengidentifikasi, mendefinisikan, mengevaluasi, memprioritaskan, memilih, memulai, mengelola, dan mengendalikan program. 2. Meyakini bahwa pengendalian ini telah mencakup penjelasan tentang _hasil-hasil _bisnis 1. Dapatkan dokumen berikut untuk mendapatkan pengertian | lebih detail: 1.1, Rencana bisnis jangka pendek dan jangka panjang; 1.2. Portofolio dari program-program teknologi informasi; 1.3.Laporan pengelolaan dan evaluasi pelaksanaan_portofolio | 14. 1.5. program-program TIK dan penggunaan sumber daya TIK; Dokumentasi review yang dilakukan terhadap laporan pelaksanaan program TIK dan penggunaan sumber daya TIK; dan Dokumentasi terkait portofolio teknologi informasi. lain dengan proses _pengelolaan 2. Wawancara dengan: Kepala Divisi TIK; Bidang Perencanaan TIK; atau Personel yang terkait dengan proses penyusunan rencana strategis TSI; mengenai:KEMENTERIAN KEUANGAN REPUBLIK INDONESIA “7 No. Control Objective Sasaran Langkah Kerja att is yang diinginkan,| 2.1. Pengelolaan portofolio TIK; memastikan bahwa tujuan| 2.2.Langkah-langkah atau proses pengendalian untuk program tersebut memastikan bahwa telah dilakukan pengelolaan secara aktif mendukung —_tercapainya terhadap portofolio dari program-program _teknologi hasil, memahami usaha informasi; yang diperlukan untuk mencapai_tujuan tersebut, menetapkan hal-hal yang harus dipertanggungjawabkan dengan tolok ukur yang jelas, menetapkan proyek- proyek dalam program, mengalokasikan — sumber daya dan pendanaan, mendelegasikan wewenang, dan mempersiapkan proyek yang diperlukan pada saat peluncuran program. 2.3.Peran dan tanggung jawab personel terkait dengan proses pengelolaan portofolio TIK; dan 2.4.Kebijakan, proscdur, peraturan, laporan, atau dokumentasi Jain terkait dengan proses proses pengelolaan portofolio TIK. . Lakukan evaluasi design controls dengan mempertimbangkan terdapatnya: 3.1.Kebijakan dan prosedur terkait dengan pengelolaan secara aktif dari portofolio teknologi informasi; 3.2.Proses untuk mengidentifikasi dan menentukan prioritas (berdasarkan keuntungan bisnis) dari program TIK dan proyek yang mendukung rencana taktis TIK; 3.3. Portofolio dari program-program teknologi informasi yang sesuai dengan kepentingan bisnis; dan 3.4, Review secara berkala oleh manajemen terhadap laporan pengelolaan dan evaluasi pelaksanaan portofolio program- program TIK dan penggunaan sumber daya TIK. . Lakukan evaluasi effectiveness of controls dengan menguji bukti- bukti: 4.1.Adanya dukungan portofolio program-program teknologi informasi terhadap rencana bisnis jangka pendek dan jangka |KEMENTERIAN KEUANGAN REPUBLIK INDONESIA sesuai dengan rencana TIK seperti yang dijelaskan dalam PO1. . Meyakini bahwa Enterprise Information Model ini mendukung — pembuatan dan pemakaian bersama informasi bisnis dengan cara di mana_ integritas dapat dipelihara, fleksibel, fungsional, efektif secara -18- No. Control Objective Sasaran Langkah Kerja - —_ panjang bisnis; dan 4.2. Review yang dilakukan manajemen terhadap laporan pelaksanaan portofolio program-program TIK dan penggunaan sumber daya dengan memastikan bahwa laporan tersebut di-sign-off oleh manajemen. P02 | Define the information architecture. 7 a PO2.1 | Model Arsitektur | 1. Meyakini bahwa organisasi| 1. Dapatkan dokumen berikut untuk mendapatkan pengertian Informasi Organisasi| telah menetapkan dan| —_ lebih detail: (Enterprise Information memelihara Enterprise 1.1. Kebijakan dan prosedur yang berkaitan dengan arsitektur Architecture Model Information Model untuk informasi; memungkinkan | 1.2. Enterprise information model; pengembangan _aplikasi 3 Dokumen-doles a ae a dan aktivitas pendukung| 1--Dokumen-dokumen pendukung Enterprise Information oe Model, | keputusan (Decision | ieee Activities), | 1-4. Peranan dan tanggung jawab dari anggota Komite Pengarah LS. 1.6. L7. 2. Way Teknologi dan Informasi; . Rencana jangka pendek dan jangka panjang TIK; Notulen rapat Komite Pengarah Teknologi dan Informasi berhubungan dengan penyusunan Enterprise Information Model; dan Dokumentasi lain terkait dengan proses pemeliharaan Enterprise Information Model. wancara dengan: Kepala Divisi TIK; Bidang Perencanaan TIK; atauKEMENTERIAN KEUANGAN REPUBLIK INDONESIA -19- No. Control Objective Sasaran Langkah Kerja biaya, tepat waktu, aman, dan tahan __ terhadap kegagalan. 3. . Lakukan evaluasi effectiveness of controls dengan menguji bukti- * Personel yang terkait dengan proses penyusunan rencana strategis TSI/proses pemeliharaan Enterprise Information Model; mengenai: 2.1.Proses penetapan dan pemeliharaan Enterprise Information Model; 2.2.Langkah-langkah atau proses pengendalian untuk memastikan bahwa telah dilakukan pemeliharaan terhadap Enterprise Information Model; 2.3.Peran dan tanggung jawab personel terkait dengan proses penetapan dan pemeliharaan Enterprise Information Model, dan 2.4. Kebijakan, prosedur, peraturan, laporan, atau dokumentasi lain terkait dengan proses penetapan dan pemeliharaan Enterprise Information Model. Lakukan evaluasi design controls dengan mempertimbangkan terdapatnya kebijakan dan prosedur untuk melakukan perubahan pada enterprise information model didasarkan pada rencana jangka pendek dan jangka panjang, mempertimbangkan biaya dan risiko terkait, dan memastikan bahwa sebelum perubahan pada enterprise information model _tersebut dilakukan, senior manajemen telah ~—menyetujui_— dan menandatangani perubahan tersebut. bukti bahwa perubahan yang dilakukan pada Enterprise Information Model mencerminkan apa yang ada dalam rencanaKEMENTERIAN KEUANGAN REPUBLIK INDONESIA -20- No. Control Objective Sasaran Langkah Kerja jangka pendek dan jangka panjang TIK dan telah mengidentifikasi biaya dan risiko terkait. PO2.2 | Pengaturan Data|1. Meyakini bahwa terdapat|1. Dapatkan dokumen berikut untuk mendapatkan pengertian Dictionary dan Data| pemeliharaan __terhadap| __lebih detail: ‘Syntax Organisasi data dictionary yang 1.1. Data dictionary organisasi/contoh dari data dictionary (Enterprise Data| mencakup aturan sintaks definitions; dictionary’ and. Data) data organisasi. 1.2. Kebijakan, prosedur, standar, dan panduan berkditan ‘Syntax Rules) . Meyakini bahwa data dengan data dictionary; dictionary | int 1.3. Dokumentasi dari database management system; dan memungkinkan cee : 1.4. Dokumentasi lain terkait dengan pengelolaan terhadap data penggunaan bersama elemen-elemen data antar aplikasi dan sistem, meningkatkan — pengertian bersama tentang data di antara pengguna_bisnis dan TIK, dan mencegah pembuatan elemen-elemen data yang tidak kompatibel. . Wawancara deng: dictionary, termasuk dari hasil wawancara dengan auditee. * Kepala Divisi TIK; * Bidang Perencanaan TIK; * Bidang Pengembangan Sistem Aplikasi; atau * Personel yang terkait dengan proses pengelolaan data dictionary dan peraturan sintaks data organisasi mengenai: 2.1.Proses pengelolaan data dictionary dan peraturan sintaks data organisasi; 2.2.Langkah-langkah atau proses pengendalian untuk memastikan bahwa telah dilakukan pengelolaan data dictionary dan peraturan sintaks data organisasi; 2.3.Peran dan tanggung jawab personel terkait dengan prosesKEMENTERIAN KEUANGAN REPUBLIK INDONESIA -21- No. Control Objective Langkah Kerja pengelolaan data dictionary dan peraturan sintaks data organisasi; dan 2.4. Kebijakan, prosedur, peraturan, laporan atau dokumentasi lain terkait dengan proses pengelolaan data dictionary dan peraturan sintaks data organisasi. 3. Lakukan evaluasi design controls dengan mempertimbangkan terdapatnya: 3.1. Kebijakan dan prosedur TIK mencakup pengembangan: dan pengelolaan terhadap data dictionary; 3.2.Proses untuk memelihara agar data dictionary dan data syntax sclalu up to date; dan 3.3. Penggunaan media untuk mendistribusikan data dictionary | untuk memastikan data dictionary tersebut dapat diakses | oleh area pengembangan dan perubahan yang dilakukan dicerminkan di data dictionary secepatnya. 4. Lakukan evaluasi effectiveness of controls dengan menguji bukti- bukti: 4.1,Adanya evaluasi terhadap perubahan yang dilakukan terhadap data dictionary untuk memastikan bahwa. perubahan yang dilakukan telah dikomunikasikan secara cfektif; 4.2.Adanya pemeriksaan terhadap sistem aplikasi operasional dan proyek-proyek pengembangan, untuk memastikan bahwa data dictionary digunakan untuk mendefinisikan data; 4.3. Adanya kecukupan dokumentasi dari data dictionary yangNo. KEMENTERIAN KEUANGAN REPUBLIK INDONESIA -22- Control Objective ‘Sasaran Langkah Kerja dimiliki organisasi dengan memastikan dokumentasi tersebut telah mendefinisikan atribut-atribut data dan tingkat keamanan untuk setiap item data; dan 4.4.Adanya pemeriksaan terhadap data dictionary untuk memastikan data dictionary tersebut telah menecrminkan keadaan saat ini. Skeme Klasifikasi Data (Data Scheme) Classification 1. ‘Meyakini bahwa organisasi telah membentuk skema pengklasifikasian data (Data Classification Scheme) yang — dapat dipergunakan di seluruh perusahaan, berdasarkan tingkat kepentingan dan kepekaan data organisasi (umum, rahasia, rahasia penting). . Meyakini bahwa skema ini telah _mencakup informasi secara detail mengenai kepemilikan data, definisi tingkat | keamanan yang layak dan pengendalian perlindungan, serta deskripsi singkat tentang data retention dan syarat- 1. Dapatken dokumen .berikut untuk mendapatken pengertion lebih detail: 1.1. Kebijakan kepemilikan data-data yang ada di organisasi; 1.2. Skema pengkdasifikasian data; dan 1.3. Dokumentasi lain terkait dengan pengklasifikasian data yang dimiliki organisasi. 2. Wawancara dengan: * Kepala Divisi TIK; Bidang Perencanaan TIK; Bidang Pengembangan Sistem Aplikasi; Bidang Operasional TIK; atau Personel yang terkait dengan proses penyusunan dan pengelolaan skema klasifikasi data; mengenai: 2.1. Proses penyusunan dan pengelolaan skema klasifikasi data; 2.2.Langkah-langkah atau proses pengendalian untuk memastikan bahwa telah dilakukan proses penyusunan dan pengelolaan skema klasifikasi data;KEMENTERIAN KEUANGAN REPUBLIK INDONESIA -23- Control Objective Sasaran Langkah Kerja _ syarat penghancuran (data} 2.3. Peran dan tanggung jawab personel terkait dengan proses | destruction), _ kepentingan penyusunan dan pengelolaan skema klasifikasi data; dan | dan kepekaan. Hal. ini digunakan sebagai dasar untuk menerapkan pengendalian seperti pengendalian akses, archiving dan enkripsi. 2.4. Kebijakan, prosedur, peraturan, laporan atau dokumentasi lain terkait dengan proses penyusunan dan pengelolaan skema klasifikasi data. 3. Lakukan evaluasi design controls, dengan mempertimbangkan terdapatnya: 3.1.Kebijakan dan prosedur TIK_ yang mencakup pengklasifikasian data, termasuk kategori keamanan dan kepemilikan data, pengaturan akses untuk grup data; 3.2. Klasifikasi standar untuk aset-aset data yang belum teridentifikasi; 3.3. Kebijakan dan prosedur TIK yang mencakup hal-hal berikut: 3.3.1. Proses otorisasi yang mengharuskan pemilik dari data (seperti yang didefinisikan pada kebijakan kepemilikan data) untuk memberikan hak akses terhadap data dan atribut-atributnya; 3.3.2, Tingkat keamanan data telah didefinisikan untuk setiap Klasifikasi data; 3.3.3. Tingkatan akses telah didefinisikan untuk setiap Klasifikasi data; dan 3.3.4. Akses terhadap data yang sensitif memerlukan pemberian akses yang eksplisit, dan didasarkan pada prinsip "need to know’. 4. Lakukan evaluasi effectiveness of controls dengan menguji bukti-KEMENTERIAN KEUANGAN REPUBLIK INDONESIA -24- No. Control Objective Langkah Kerja bukti: 4.1.Adanya kecukupan —_pengklasifikasian keamanan, dan tingkatan akses; data, tingkat 4.2. Setiap pengklasifikasian data secara jelas mencakup: 4.2.1, Siapa yang berhak mengakses; 4.2.2. Siapa yang bertanggui akses yang diperbolehkai 4.2.3, Persetujuan spesifik yang dibutuhkan untuk akses; 4.2.4. Hal-hal khusus yang dibutuhkan untuk akses (non disclosure atau confidentiality agreement); dan 4.3.Adanya review atas klasifikasi data yang ada untuk memastikan bahwa tidak ada tingkatan keamanan data yang tidak konsisten dengan prinsip "need to know’. wab menentukan tingkatan PO2.4 Pengelolaan Integritas (Integrity Management) Meyakini telah _—_terdapat definisi dan implementasi prosedur yang memastikan | integritas dan konsistensi dari semua data yang disimpan dalam bentuk _clektronik, seperti database, data warehouses, dan data archives. . Dapatkan dokumen berikut untuk mendapatkan pengertian | lebih detail: 1.1. Kebijakan dan prosedur yang berkaitan dengan pengelolaan database, data warehouses, data archives, termasuk pengaturan akses terhadap data, backup & recovery data; 1.2.Job descriptions dari personel yang bertugas untuk mengelola administrasi database, data warehouses, dan data archives; dan 1.3. Dokumentasi lain terkait dengan prosedur-prosedur untuk memastikan integritas dan konsistensi data yang ada.KEMENTERIAN KEUANGAN REPUBLIK INDONESIA -25- Control Objective Sasaran Langkah Kerja 2. Wawancara dengan: * Bidang Perencanaan TIK; + Bidang Operasional TIK; * Personel yang terkait dengan proses pengelolaan integritas data yang disimpan dalam bentuk elektronik; mengenai: 2.1.Proses pengelolaan integritas data yang disimpan dalam bentuk elektronik; .Langkah-langkah atau proses pengendalian untuk memastikan bahwa telah dilakukan proses pengelolaan integritas data yang disimpan dalam bentuk elektronilk; 2, 2.3.Peran dan tanggung jawab personel terkait dengan proses penyusunan dan pengelolaan integritas data yang disimpan dalam bentuk elektronik; dan 2.4, Kebijakan, prosedur, peraturan, laporan atau dokumentasi lain terkait dengan proses pengelolaan integritas data yang disimpan dalam bentuk elektronik. 3. Lakukan evaluasi design controls dengan mempertimbangkan terdapatnya: 3.1. Kebijakan dan prosedur yang berkaitan dengan database, data warehouses, dan data archives telah mencakup tentang pengaturan akses terhadap data, backup & recovery data, dan data retention period; 3.2.Akses ke dalam database, data warehouses, dan data archives sudah dibatasi hanya kepada personel yang berhakKEMENTERIAN KEUANGAN REPUBLIK INDONESIA 2. Meyakini bahwa rencana tersebut juga mengidentifikasi _teknologi _yang —memiliki _ potensi . Rencana infrastruktur teknologi; .Laporan pengawasan status dan notulen rapat Komite Pengarah Teknologi dan Informasi; . Laporan analisis terhadap teknologi yang berjalan dan tren -26- No, Control Objective Sasaran Langkah Kerja sesuai dengan job descriptions-nya; dan 3.3.Memastikan bahwa kebijakan dan prosedur yang ada telah diterapkan. 4. Lakukan evaluasi effectiveness of controls dengan menguji bukti- bukti; 4.1. Adanya evaluasi terhadap kebijakan dan prosedur yang ada untuk memastikan’ bahwa kebijakan yang ada telah mencukupi untuk menjaga integritas dan kekonsistenan data; dan | 4.2. Adanya evaluasi untuk memastikan apakah kebijakan dan | prosedur yang ada telah dijalankan, PO3 | Determine technological direction PO3.1 |Perencanaan —Arah| 1. Meyakini bahwa organisasi] 1. Dapatkan dokumen berikut untuk mendapatkan pengertian Teknologi telah menganalisis | _ lebih detail: (Technological Direction| _ teknologi yang berjalan dan 1.1.Kebijakan dan prosedur terkait dengan perencanaan Planning) yang akan muncul, dan infrastruktur teknologi dan pengawasannya; paihiameaan arah| 1.9. Peran dan tanggung jawab Komite Pengarah Teknologi dan teknologi yang tepat untuk ee mencapai strategi TIK dan 2 ee eerie 1.3. Rencana jangka pendek dan jangka panjang TIK;KEMENTERIAN KEUANGAN REPUBLIK INDONESIA -27- Control Objective Sasaran Langkah Kerja - untuk menghasilkan di masa datang; dan peluang _bisnis dan 1.7. Dokumentasi lain terkait dengan proses perencanaan arah arsitektur sistem, arah teknologi, strategi migrasi, dan aspek contingency dari komponen infrastruktur. teknologi organisasi Wawancara dengan: * Bidang Perencanaan TIK; atau * Personel yang terkait dengan proses perencanaan arah teknologi organisasi; mengenai: 2.1.Proses perencanaan arah teknologi organisasi; 2.2.Langkah-langkah atau proses pengendalian untuk memastikan bahwa telah dilakukan proses perencanaan arah teknologi organisasi; 2.3.Peran dan tanggung jawab personel terkait dengan proses perencanaan arah teknologi organisasi; dan 2.4, Kebijakan, prosedur, peraturan, laporan atau dokumentasi lain terkait dengan proses perencanaan arah teknologi organisasi. Lakukan evaluasi design controls dengan mempertimbangkan terdapatnya: 3.1.Proses untuk melakukan pembuatan dan pembaharuan berkala terhadap rencana infrastruktur teknologi untuk memastikan bahwa rencana perubahan terlebih dahulu diuji untuk mengevaluasi biaya dan risiko yang terkait dan persetujuan manajemen harus_ diperoleh__sebelum melakukan perubahan terhadap rencana tersebut;KEMENTERIAN KEUANGAN REPUBLIK INDONESIA -28- Control Objective Langkah Kerja . Lakukan evaluasi effectiveness of controls, dengan menguji bukti- 3.2.Proses untuk melakukan evaluasi atas status teknologi organisasi yang berjalan untuk memastikan pencakupan aspek seperti arsitektur sistem, arah teknologi dan strategi | migrasi; | 3.3. Proses perbandingan antara rencana infrastruktur teknologi terhadap rencana jangka pendek dan jangka panjang TIK; dan 3.4.Kebijakan dan prosedur TIK terkait telah mencakup proses evaluasi dan monitoring dari teknologi yang berjalan dan akan datang dan hal ini menjadi bahan pertimbangan pada saat pengembangan dan pemeliharaan rencana infrastruktur teknologi. bukti: 4.1,.Bahwa manajemen TIK memahami dan menggunakan rencana infrastruktur teknologi; 4.2.Perubahan pada rencana infrastruktur tcknologi untuk mengidentifikasi biaya dan risiko terkait menjadi dasar | perubahan pada rencana jangka pendek dan panjang TIK; 4.3.Manajemen TIK memahami proses untuk melakukan | monitoring dan evaluasi atas teknologi yang akan muncul, dan mengintegrasikan teknologi yang tepat ke dalam infrastruktur TIK yang berjalan; dan 4.4.Adanya evaluasi terhadap keadaan yang berjalan dan memastikan apakah prosedur yang ada telah dijalankan.KEMENTERIAN KEUANGAN REPUBLIK INDONESIA pengaturan dan arahan untuk pengakuisisian sumber daya teknologi. Rencana ini mempertimbangkan perubahan dalam liigkungan yang | kompetitif, skala eckonomis | untuk staffing sistem | informasi dan investasi, | dan peningkatan | interoperabilitas antar | aplikasi dan platform. | contingency -29- No. Control Objective Sasaran Langkah Kerja PO3.2 | Rencana Infrastruktur| 1. Meyakini bahwa organisasi| 1. Dapatkan dokumen berikut untuk mendapatkan pengertian Teknologi telah menyusun dan|_lebih detail: (Technological mengelola rencana 1.1.Kebijakan dan prosedur penyusunan dan _pengelolaan | Infrastructure Plan) infrastruktur _~ teknologi rencana infrastruktur teknologi; yang selaras baat 1.2. Rencana infrastruktur TIK; rencana — strategis dan : pares area 1.3. Rencana strategis dan taktis TIK; : 2. Meyakini bahwa rencana| 1-4-Laporan satus dan mouen rapat a dengan ecco penyusunan dan pengeolaan rencanainfras ruktur disusun berdasarkan arah Perea teknologi dan mencakup| 1-5.Dokumentasi lain terkait dengan penyusunan dan pengelolaan rencana infrastruktur teknologi. 2. Wawancara dengan: * Bidang Perencanaan TIK; dan * Personel yang terkait dengan proses perencanaan arah teknologi organisasi; mengenai: 2.1,Proses penyusunan dan pengelolaan rencana infrastruktur teknologi; 2.2,Langkah-langkah atau proses pengendalian untuk memastikan bahwa telah dilakukan proses penyusunan dan | pengelolaan rencana infrastruktur teknologi; 2.3,Peran dan tanggung jawab personel terkait dengan proses penyusunan dan pengelolaan rencana__ infrastruktur teknologi; dan 2.4. Kebijakan, prosedur, peraturan, laporan, atau dokumentasiKEMENTERIAN KEUANGAN REPUBLIK INDONESIA -30- No. Control Objective Sasaran Langkah Kerja | lain terkait dengan proses penyusunan dan pengelolaan | rencana infrastruktur teknologi | 8. Lakukan evaluasi design controls dengan mempertimbangkan | terdapatnya: 3.1.Proses untuk menyusun dan melakukan pembaharuan terhadap rencana infrastruktur teknologi secara berkala; | 3.2. Proses perbandingan antara rencana infrastruktur teknologi | terhadap rencana jangka pendek dan jangka panjang TIK; | dan 3.3.Kebijakan dan prosedur TIK berkaitan dengan penilaian secara sistematis terhadap aspek contingency dalam rencana infrastruktur teknologi. 4. Lakukan evaluasi effectiveness of controls, dengan menguji bukti- bukti: 4.1.Bahwa manejemen TIK memahami dan menggunakan rencana infrastruktur teknologi; 4.2. Bahwa perubahan dari rencana jangka pendek dan jangka panjang TIK tercermin dengan adanya perubahan terhadap rencana infrastruktur teknologi; dan 4.3. Bahwa manajemen TIK memahami proses untuk melakukan penilaian terhadap aspek contingency dari rencana infrastruktur teknologi secara sistematis. PO3.3 |Pemantauan Tren dan|1. Meyakini bahwa organsasi| 1. Dapatkan dokumen berikut untuk mendapatkan pengertian Peraturan yang Akan| telah menyusun proses| __ lebih detail: Datang (Monitoring of] untuk memantau_ scktor 1.1.Kebijakan dan prosedur__berkaitan dengan _ prosesKEMENTERIAN KEUANGAN REPUBLIK INDONESIA -31- No. Control Objective Sasaran Langkah Kerja ‘|Future Trends and] bisnis/industri, teknologi, pemantauan tren teknologi, infrastruktur, dan peraturan di Regulations) infrastruktur, hokum, dan masa datang; . Meyakini tren peraturan. bahwa, pemantauan/analisis terhadap sektor bisnis/industri, _ teknologi, infrastruktur, hukum dan hasil tren peraturan telah digabungkan dalam pengembangan _rencana infrastruktur teknologi. 1.2. Laporan/hasil analisis/riset_yang pernah dilakukan oleh | manajemen atas tren teknologi dan peraturan; | 1.3. Kebijakan dan prosedur berkaitan dengan pemantauan tren dan peraturan yang akan datang; dan 1.4, Dokumentasi lain terkait dengan pemantolian tren teknologi, infrastruktur, dan peraturan yang akan datang 2. Wawancara dengan: * Bidang Perencanaan TIK; atau * Personel yang terkait dengan proses perencanaan arah teknologi organisasi; mengenai: 2.1.Proses pemantauan tren dan peraturan yang akan datang; 2.2.Langkah-langkah atau proses. pengendalian untuk memastikan bahwa telah dilalcukan proses pemantauan tren dan peraturan yang akan datang; 2.3. Peran dan tanggung jawab personel terkait dengan proses pemantauan tren dan peraturan yang akan datang; dan 2.4. Kebijakan, prosedur, peraturan, laporan atau dokumentasi lain terkait dengan proses pemantauan tren dan peraturan yang akan datang. Lakukan evaluasi design controls dengan mempertimbangkan | terdapatnya: | 3.1. Kebijakan dan prosedur TIK terkait telah mencakup prosesKEMENTERIAN KEUANGAN REPUBLIK INDONESIA -32- Control Objective Sasaran Langkah Kerja evaluasi dan monitoring dari teknologi yang berjalan dan akan datang dan hal ini menjadi bahan pertimbangan pada saat pengembangan dan pemeliharaan rencana infrastruktur teknologi; dan 3.2. Evaluasi secara rutin terhadap tren teknologi, infrastruktur, dan peraturan di masa datang, 4. Lakukan evaluasi effectiveness of controls, dengan menguji bukti- bukti: 4.1.Bahwa manajemen TIK mengerti proses untuk melakukan monitoring dan evaluasi terhadap tren tcknologi dan peraturan serta melakukan perubahan terhadap rencana infrastruktur teknologi bila diperlukan; dan 4.2, Dilakukannya cvaluasi secara rutin atas tren teknologi, infrastruktur, dan peraturan di masa datang. PO3.4 Standard Teknologi (Technology Standards) Meyakini bahwa —organisasi telah membentuk — forum teknologi yang menyediakan panduan teknologi, masukan tentang produk infrastruktur dan panduan — dalam melakukan pemilihan | teknologi, dan pengukuran kepatuhan dengan standar dan panduan tersebut. Forum tersebut dapat teknologi diharapkan 1. Dapatkan dokumen berikut untuk mendapatkan pengertian lebih detail: 1.1. Standar teknologi organisasi; 1.2, Rencana infrastruktur teknologi; dan .3.Dokumentasi lain terkait dengan penyusunan standar teknologi organisasi. 2. Wawancara dengan: * Bidang Perencanaan TIK; dan * Personel yang terkait dengan proses perencanaan arah teknologi organisasi mengenai:( ¢ ( ( ( KEMENTERIAN KEUANGAN REPUBLIK INDONESIA -33- No. Control Objective Sasaran Langkah Kerja menyediakan solusi teknologi yang konsisten, efektif dan aman bagi_—_perusahaan. Forum ini menentukan standar teknologi = dan prakteknya berdasarkan relevansi bisnis, risiko dan kepatuhan terhadap tuntutan eksternal. .Proses penyusunan standar teknologi organisasi; . Langkah-langkah 2.1 2.2. untuk memastikan bahwa telah dilakukan proses penyusunan standar tcknologi organisasi; .Peran dan tanggung jawab personel terkait dengan’ proses penyusunan standar teknologi organisasi; dan atau proses pengendalian 2.3 2.4. Kebijeican, prosedur, peraturan, laporan aiau dokumentasi lain terkait dengan proses penyusunan standar teknologi organisasi 3. Lakukan evaluasi design controls dengan mempertimbangkan terdapatnya: 3.1. Standar teknologi untuk seluruh komponen teknologi yang terdapat pada rencana infrastruktur teknologi; dan 3.2. Review secara berkala terhadap standar teknologi organisasi 4. Lakukan evaluasi effectiveness of controls dengan menguji bukti- bukti 4.1.Bahwa standar teknologi melekat dan tergabung sebagai bagian dari proses pengembangan; 4.2. Bahwa rencana pengadaan hardware dan software sejalan dengan rencana jangak pendek dan jangka panjang TIK serta mencerminkan kebutuhan seperti yang teridentifikasi pada rencana infrastruktur teknologi; dan 4.3.Dilakukannya review dan update secara berkala terhadap standar teknologi organisa: PO3.5 Dewan Arsitektur TIK Meyakini bahwa organisasi 1. Dapatkan dokumen berikut untuk mendapatkan pengertianKEMENTERIAN KEUANGAN REPUBLIK INDONESIA -34- No. Control Objective Sasaran Langkah Kerja (IT Architecture Board) |telah membentuk dewan lebih detail: pengurus arsitektur TIK yang 1.1. Struktur organisasi divisi 'TIK; menyediakan panduan| 1 2 Peran dan tanggung jawab dari dewan pengarah teknologi arsitektur, masukan atas dan informasi; aplikasi dan memastikan ° kepatuhan atas panduan yang ada. Dewan pengurus arsitektur TIK mengarahkan perancangan arsitektur TIK dan memastikan rancangan tersebut sesuai_ dengan strategi bisnis, dengan mempertimbangkan kepatuhan pada peraturan yang berlaku, dan persyaratan kelangsungan. _Perancangan ini terkait dengan arsitektur informasi perusahaan. 1.3. Rencana arsitektur TIK; 1.4, Rencana bisnis jangka pendek dan jangka panjang; dan 1 Dokumentasi lain’ terkait dengan proses pembentukan dewan pengurus arsitektur TIK, 2. Wawancara dengan: © Bidang Perencanaan TIK; atau * Personel yang terkait dengan proses perencanaan arah teknologi organisasi; mengenai: 2.1.Proses _pembentukan dewan pengurus arsitektur TIK; 2.2.Langkah-langkah atau proses pengendalian untuk memastikan bahwa telah dilakukan proses pembentukan dewan pengurus arsitektur TIK; 2.3.Peran dan tanggung jawab personel terkait dengan proses pembentukan dewan pengurus arsitektur TIK; dan 2.4. Kebijakan, prosedur, peraturan, laporan, atau dokumentasi lain terkait dengan proses pembentukan dewan pengurus arsitektur TIK. 3. Lakukan evaluasi design controls dengan mempertimbangkan terdapatnya:( KEMENTERIAN KEUANGAN REPUBLIK INDONESIA -35- No. Control Objective Sasaran Langkah Kerja i i: nen 3.1. Dewan pengurus arsitcktur TIK dalam struktur organisasi TIK; 3.2. Keterlibatan dewan pengurus arsitektur TIK dalam penyusunan rencana arsitektur TIK; dan | 3.3. Kesesuaian antara rencana arsitektur TIK dengan strategi | bisnis organisasi | 4. Lakukan evaluasi effectiveness of controls, dengan menguji bukti- bukti: 4.1.Bahwa dewan pengurus arsitcktur TIK melakukan pertemuan secara berkala dalam menyediakan arahan| arsitektur teknologi; | 4.2.Notulen rapat yang dihasilkan dari pertemuan dewan | pengurus arsitektur TIK menyatakan keterlibatannya dalam | proses penyusunan rencana arsitektur TIK; dan | 4.3. Kesesuaian antara rencana arsitektur TIK dengan strategi | bisnis organisasi. PO4 | Define the IT processes, organization and relationships | | P04.1 | Kerangka Kerja Proses| 1. Meyakini bahwa organisasi|1. Dapatkan dokumen berikut untuk mendapatkan pengertian TK (IT Process| telah mendefinisikan | — lebih detail: Framework) sebuah kerangka kerja) 1.1. Struktur organisasi organisasi; untuk menjalankan | 9 sk Organisasi TIK; rencana strategis TIK (IT/ 4p ere oy gerease ain oes .3. Rencana strategis TIK organisasi; dan kerja ini ~—smencakup| 1-4-Dokumentasi Jain terkait dengan proses pendefinisian struktur proses TIK dan kerangka kerja proses TIK.KEMENTERIAN KEUANGAN REPUBLIK INDONESIA -36- No. Sasaran Langkah Kerja keterkaitannya (misalnya: untuk mengelola kesenjangan antar proses dan overlap antar proses), kepemilikan, — maturitas, pengukuran kinerja, perbaikan, —_kepatuhan, target kualitas dan rencana untuk mencapainya. . Meyakini bahwa kerangka kerja ini menyediakan integrasi antar proses yang spesifik berhubungan dengan TIK, pengelolaan portofolio organisasi, proses bisnis, dan proses perubahan bisnis. Kerangka kerja ini harus tegrasikan ke dalam sistem pengelolaan kualitas dan kerangka kerja pengendalian internal. 2. Wawancara dengan: + Kepala Divisi TIK; atau * Personel yang terkait dengan proses pendefinisian kerangka kerja proses TIK; mengenai: 2.1. Proses pendefinisian kerangka kerja proses TIK; 2.2.Langkah-langkah atau proses _pengendalian pendefinisian kerangka kerja proses TIK; 2.3.Peran dan tanggung jawab personel terkait dengan proses pendefinisian kerangka kerja proses TIK; dan 2.4. Kebijakan, prosedur, peraturan, laporan atau dokumentasi lain terkait dengan proses pendefinisian kerangka kerja proses TIK. 3. Lakukan evaluasi design controls dengan mempertimbangkan terdapatnya kebijakan dan komunikasi dari manajemen senior yang memastikan kemandirian dan otoritas dari fungsi TIK. proses 4, Lakukan evaluasi effectiveness of controls, dengan menguji bukti- bukti: 4.1.Bahwa kerangka kerja TIK mendukung rencana strategis ‘IK, yang terintegrasi dengan proses bisnis, TIK dan pengelolaan portofolio organisasi; 4.2.Bahwa kerangka kerja TIK telah dikomunikasikan, dijalankan dan dimengerti oleh pihak bisnis dan TIK; dan 4.3. Bahwa kerangka kerja TIK terintegrasi dengan pengelolaan kualitas sistem dan kerangka kerja pengendalian internal.KEMENTERIAN KEUANGAN REPUBLIK INDONESIA -37- No. Control Objective Sasaran Langkah Kerja PO4.2 | Komite Strategis TI (IT |Meyakini bahwa organisasi| 1. Dapatkan dokumen berikut untuk mendapatkan pengertian | Strategy Committee) | telah membentuk —komite| _ lebih detail: | strategi TIK pada tingkat 1.1, Struktur organisasi TIK; dewan, Komite ini memastikan bahwa tata kelola TIK (IT governance) sebagai bagian dari tata kelola keseluruhan organisasi (corporate governance) telah ditangani secara memadai dan memberi masukan mengenai arah strategis dan melakukan review terhadap investasi utama atas nama seluruh dewan. investasi- 1.2. Struktur organisasi keseluruhan; 1.3. Peran dan tanggung jawab dari Komite strategis TIK; 1.4. Dokumentasi review yang dilakukan oleh Komite strategis TIK terhadap rencana strategis TIK; 1.5. Rencana strategis TIK; 1.6. Rencana strategis bisnis; 1.7. Notulen rapat komite strategis TIK; dan 1.8.Dokumentasi lain terkait dengan proses pembentukan komite strategis TIK pada tingkat dewan. 2. Wawancara dengan: * Kepala Divisi TIK; atau * Personel yang terkait dengan proses pembentukan Komite Strategis TIK; mengenai: 2.1.Proses pembentukan komite strategis TIK pada tingkat dewan; 2.2.Langkah-langkah atau proses pengendalian. atas proses pembentukan komite strategis ‘TIK pada tingkat dewan; 2.3.Peran dan tanggung jawab personel terkait dengan proses pembentukan komite strategis TIK pada tingkat dewan; dan 2.4. Kebijakan, prosedur, peraturan, laporan atau dokumentasiKEMENTERIAN KEUANGAN REPUBLIK INDONESIA -38- Control Objective Langkah Kerja ~~ lain terkait dengan proses pembentukan komite strategis TIK pada tingkat dewan. 3. Lakukan evaluasi design controls dengan mempertimbangkan terdapatnya: 3.1,Definisi keanggotaan, fungsi, dan tanggung jawab dari Komite Pengarah Teknologi dan Informasi; dan - 3.2. Kesesuaian antara tujuan Komite Pengarah Teknologi dan Informasi seperti tercantum dalam piagamnya, dengan sasaran dan rencana (jangka pendek dan jangka panjang) organisasi dan juga dengan sasaran dan rencana (jangka pendck dan jangka panjang) TIK. 4. Lakukan evaluasi effectiveness of controls dengan menguji bukti- bukti adanya pengawasan terhadap fungsi TIK dan aktivitasnya olch Komite Pengarah Teknologi dan Informasi PO4.3 Pengarah dan (ir Steering Komite Teknologi Informasi Committee) Meyakini bahwa organisasi telah membentuk —Komite Pengarah ‘Teknologi dan Informasi (IT _—Steering Committee) atau yang setara yang terdiri atas para eksekutif, manajemen_ bisnis dan TIK. Pembentukan Komite Pengarah ‘Teknologi dan Informasi (IT_—_—Steering Committee) ditujukan untuk: 1. Dapatkan dokumen berikut untuk mendapatkan pengertian lebih detail: 1.1. Struktur organisasi; 1.2.Piagam pembentukan Komite Informasi (IT Steering Committee); Pengarah Teknologi dan 1.3.Peran dan tanggung jawab dari masing-masing anggota Komite Pengarah Teknologi dan Informasi (JT Steering Committee); dan 1.4.Dokumentasi lain terkait dengan proses pembentukan Komite Pengarah Teknologi dan Informasi 2. Wawancara dengan:KEMENTERIAN KEUANGAN REPUBLIK INDONESIA -39- No, Control Objective Sasaran Langkah Kerja i a. Menentukan prioritas| + Kepala Divisi TIK; atau dari program investasi) , Personel yang terkait dengan proses pembentukan IT Steering TIK sejalan dengan Committee. strategi dan prioritas ‘ mengenai: bisnis organisasi; Melakukan penelusuran status dari suatu proyel: 2.1. Proses pembentukan IT Steering Committee; 2.2.Langkah-langkah atau proses pengendalian atas proses pembentukan IT Steering Committee; dan menyelesaikan konflik terkait dengan| 2.3.Peran dan tanggung jawab personel terkait dengan proses sumber daya; dan pembentukan IT Steering Committee; dan Melakukan monitoring| 2-4.Kebijakan, prosedur, peraturan, laporan, atau dokumentasi terhadap tingkat lain terkait dengan proses pembentukan IT Steering layanan dan perbaikan Committee. yang dapat dilakukan. Lakukan evaluasi design controls dengan mempertimbangkan terdapatnya: 3.1.Definisi keanggotaan, fungsi, dan tanggung jawab dari Komite Pengarah Teknologi dan Informasi; dan 3.2. Kesesuaian antara tujuan Komite Pengarah Teknologi dan Informasi seperti tercantum dalam piagamnya dengan sasaran dan rencana (jangka pendck dan jangka panjang) organisasi, dan juga dengan sasaran dan rencana (jangka pendek dan jangka panjang) TIK. 4. Lakukan evaluasi effectiveness of controls, dengan menguji bukti- bukti: 4.1.Adanya pemahaman dari manajemen senior TIK mengenai proses apa yang diperlukan untuk me-monitor, mengukurKEMENTERIAN KEUANGAN REPUBLIK INDONESIA -40- No. Control Objective Sasaran Langkah Kerja coe dan melaporkan kinerja fungsi TIK; 4.2. Penggunaan indikator kunci untuk menilai kinerja; 4.3.Adanya proses untuk menganalisis perbandingan antara hasil aktual dengan target yang diharapkan, dan menentukan tindakan perbaikan yang perlu diambil jika diperlukan; dan 4.4:Adanya tindakan yang diambil manajemen untuk setiap perbedaan yang signifikan dari tingkat kinerja yang diharapkan. PO4.4 |Penempatan —Fungsi| 1. Meyakini bahwa organisasi| 1. Dapatkan dokumen berikut untuk mendapatkan pengertian TIK dalam Organisasi| telah menempatkan fungsi| lebih detail: (Organizational TIK ke dalam struktur 1.1.Struktur organisasi yang menunjukkan fungsi TIK dan Placement of the IT| organisasi secara hubungannya dengan fungsi-fungsi lain dalam organisasi Function) keseluruhan dengan model 2. Meyakini bisnis yang _bergantung pada seberapa pentingnya fungsi TIK di dalam organisasi, _khususnya seberapa kritis fungsi TIK terhadap strategi _bisnis dan tingkat ketergantungan operasional terhadap TIK. bahwa hirarki/struktur pelaporan dari_kepala divisi__TIK 1.2.Kebijakan dan prosedur berkaitan dengan hubungan antara fungsi TIK dengan fungsi lainnya didalam organisasi 1.3. SK organisasi TIK 1.4. Dokumentasi lain terkait dengan penempatan fungsi TIK dalam struktur organisasi 2. Wawancara dengan: * Kepala Divisi TIK; atau * Personel yang terkait dengan proses penempatan fungsi TIK ke dalam struktur organisasi; mengenai: 2.1. Proses penempatan fungsi TIK ke dalam struktur organisasi;KEMENTERIAN KEUANGAN REPUBLIK INDONESIA -41- No. Control Objective Sasaran Langkah Kerja bergantung pada pentingnya TIK di dalam organisasi. . Lakukan evaluasi design controls dengan. mempertimbangkan . Lakukan evaluasi effectiveness of controls dengan menguji bukti- | 2.2.Langkah-langkah atau proses pengendalian atas proses penempatan fungsi TIK ke dalam struktur organisasi; 2.3.Peran dan tanggung jawab personel terkait dengan proses penempatan fungsi TIK ke dalam struktur organisasi; dan 2.4. Kebijakan, prosedur, peraturan, laporan, atau dokumentasi lain terkait dengan proses penempatan fungsi TIK ke dalam struktur organisasi. terdapatnya: 3.1.Proses untuk meningkatkan kesadaran, pengertian, dan ketrampilan dalam mengidentifikasi dan menyclesaikan masalah terkait pengelolaan informasi; dan 3.2. Indikator kinerja dan proses untuk menentukan efektivitas dan penerimaan terhadap fungsi TIK. | bukti: 4.1. Memadainya struktur pelaporan untuk fungsi TIK; dan 4.2. Keefektifan penempatan fungsi TIK di dalam organisasi dalam hubungannya dengan top management. PO4.5 Struktur — Organisasi TIK (IT Organizational Structure) 1. Meyakini bahwa organisasi telah menyusun suatu struktur organisasi_ TIK cksternal dan internal yang merefleksikan kepentingan bisnis. Dapatkan dokumen berikut untuk mendapatkan pengertian lebih detail: 1.1. Kebijakan dan prosedur berkaitan dengan penyusunan dan pendefinisian peran dan tanggung jawab _ setiap personel/fungsi TIK; 1.2. Struktur organisasi TIK;KEMENTERIAN KEUANGAN REPUBLIK INDONESIA -42- No. Control Objective Sasaran Langkah Kerja Eo 2. Meyakini bahwa_ struktur 1.3. Peran dan tanggung jawab dari fungsi TIK; organisasi TIK ini telah di) 1.4. Job description dari posisi-posisi kunci dalam fungsi TIK; dan review sccara_. berkala} 5 Dolumentasi lain terkait dengan proses penyusunan peran be caper dan tanggung jawab personel TIK. kebutuhan akan staffing ; 2. Wawancara dengan: dan strategi__pengadaan a (sourcing) sumber daya * Kepala Divisi TIK; atau untuk mencapai sasaran bisnis yang diharapkan dan menyikapi perubahan- perubahan yang terjadi * Personel yang terkait dengan proses proses penyusunan eran dan tanggung jawab personel TIK; mengenai: 2.1, Proses penyusunan peran dan tanggung jawab personel TIK; 2.2.Langkah-langkah atau proses penyusunan peran dan tanggung jawab personel TIK; 2.3.Peran dan tanggung jawab personel terkait dengan proses penyusunan peran dan tanggung jawab personel TIK; dan 2.4. Kebijakan, prosedur, peraturan, laporan atau dokumentasi lain terkait dengan proses penyusunan peran dan tanggung jawab personel TIK. 3. Lakukan evaluasi design controls dengan mempertimbangkan terdapatnya: 3.1.Manajemen senior memastikan terlaksananya peranan dan tanggung jawab; dan 3.2. Kebijakan yang mengatur mengenai peranan dan tanggung jawab seluruh personel dalam organisasi terkait dengan sistem informasi, pengendalian internal dan keamanan. 4. Lakukan evaluasi effectiveness of controls dengan menguji bukti-KEMENTERIAN KEUANGAN REPUBLIK INDONESIA. -43- No. Control Objective Langkah Kerja bukti: 4.1.Bahwa manajemen TIK sadar akan peranan dan tanggung jawabnya; 4.2.Bahwa job description yang ada menggambarkan secara jelas otoritas, tanggung jawab, kompetensi _bisnis, kompetensi sosial, dan kompetensi teknis yang dipertukan; 4.3.Bahwa job descriptions telah dikomunikasikan secara tépat dan dimengerti oleh personel terkait; 4.4.Bahwa job descriptions untuk fungsi TIK memiliki key performance indicators yang telah dikomunikasikan kepada personel terkait; 4.5.Bahwa tugas dan tanggung jawab dari staf TIK sesuai dengan job descriptions yang telah dikomunikasikan kepada personel terkait; dan 4.6.Bahwa tugas dan tanggung jawab dari staf TIK sesuai dengan job descriptions yang telah dipublikasikan dan struktur organisasi. PO4.6 | Peranan dan Tanggung Jawab (Establishment of Roles and Responsibilities) Mematikan bahwa organisasi telah mendefinisikan dan mengomunikasikan peranan dan tanggung jawab untuk semua personel di dalam organisasi yang terkait dengan sistem informasi untuk memberikan otoritas yang cukup dalam _menjalankan 1. Dapatkan dokumen berikut untuk mendapatkan pengertian lebih detail: 1.1.Kebijakan dan prosedur berkaitan dengan organisasi TIK dan hubungan-hubungannya dengan fungsi lain dalam organisasi; 1.2.Struktur organisasi TIK dalam struktur organisasi secara keseluruhan; 1.3, Struktur organisasi TIK secara detail; danKEMENTERIAN KEUANGAN REPUBLIK INDONESIA -44- No. Control Objective Sasaran Langkah Kerja —_ peranan dah tanggung jawab 1.4.Dokumentasi lain terkait dengan pembentukan straktur masing-masing. organisasi TIK, termasuk dari hasil wawancara dengan auditee. 2. Wawancara dengan: + Kepala Divisi TIK; atau * Personel yang terkait dengan proses proses pembentukan struktur organisasi TIK; mengenai: 2.1. Proses pembentukan struktur organisasi TIK; 2.2.Langkah-langkah atau proses pengendalian atas proses pembentukan struktur organisasi TIK; 2.3.Peran dan tanggung jawab personel terkait dengan proses pembentukan struktur organisasi TIK; dan 2.4. Kebijakan, prosedur, peraturan, laporan atau dokumentasi lain terkait dengan proses pembentukan struktur organisasi TIK. 3. Lakukan evaluasi design controls dengan mempertimbangkan terdapatnya kebijakan yang ada mencakup kebutuhan akan evaluasi dan modifkasi terhadap struktur organisasi untuk mengakomodasi perubahan situasi dan sasaran. 4. Lakukan evaluasi effectiveness of controls dengan menguji bukti- bukti efektivitas penempatan fungsi TIK di dalam organisasi dalam hubungannya dengan top management. PO4.7 | Tanggung Jawab atas| 1. Meyakini bahwa organisasi|1. Dapatkan dokumen berikut untuk mendapatkan pengertian telah mendelegasikan lebih detail:KEMENTERIAN KEUANGAN REPUBLIK INDONESIA -45- No. Control Objective Sasaran Langkah Kerja (Responsibility for IT! tanggung jawab untuk 1.1.Kebijjakan’ dan prosedur yang berkaitan dengan Quality assurance) fungsi pengendalian mutu pengendalian mutu; (quality assurance), dan) 1.2, Struktur organisasi TIK; membentuk grup pengendalian mutu dengan sistem pengendalian mutu yang sesuai, _keahlian dibidang pengendalian dan komunikasi. Meyakini bahwa penempatan secara organisasi, tanggung jawab dan ukuran dari grup pengendalian mutu tersebut telah memenuhi kebutuhan organisasi. . Wawancara dengan: 1.3.Peran dan tanggung jawab dari fungsi pengendalian mutu (quality assurance}; dan 1.4. Dokumentasi lain terkait dengan proses penyusunan dan penentvan tenggung jawab grup pengendalian mutu sistem. * Bidang Perencanaan TIK; atau + Personel yang terkait dengan proses proses penyusunan dan penentuan tanggung jawab grup pengendalian mutu sistem; mengenai: 2.1.Proses penyusunan dan penentuan tanggung jawab grup pengendalian mutu sistem; 2.2. Langkah-langkah atau proses penyusunan dan penentuan tanggung jawab grup pengendalian mutu sistem; 2.3.Peran dan tanggung jawab personel terkait dengan proses penyusunan dan penentuan tanggung jawab grup pengendalian mutu sistem; dan 2.4. Kebijakan, prosedur, peraturan, laporan atau dokumentasi lain terkait dengan proses penyusunan dan penentuan tanggung jawab grup pengendalian mutu sistem. . Lakukan evaluasi design controls dengan mempertimbangkan | terdapatnya: 3.1, Fungsi pengendalian mutu (quality assurance) dan kebijakanNo. KEMENTERIAN KEUANGAN REPUBLIK INDONESIA -46- Control Objective Sasaran Langkah Kerja yang terkait; 3.2.Kemandirian yang cukup dari fungsi pengendalian mutu (quality assurance) dari grup pengembangan sistem dan terdapatnya keahlian dan ° staffing yang cukup untuk memenuhi tanggung jawabnya; dan 3.3.Proses di dalam fungsi pengendalian mutu (quality assurance) untuk menjadwalkan sumber daya dan; memastikan penyelesaian pengujian yang dilakukan oleh fungsi pengendalian mutu dan adanya persctujuan scbelum sistem atau perubahan sistem diterapkan. 4, Lakukan evaluasi effectiveness of controls dengan menguji bukti- bukti keterlibatan bagian pengendalian mutu (quality assurance) dalam melakukan pengujian dan dalam menyetujui rencana proyek-proyek TIK. PO4.8 Tanggung Terhadap Keamanan Kepatuhan Jawan Risiko, dan (Responsibility for Risk, Security Compliance) and 1. Meyakini bahwa organisasi telah menanamkan kepemilikan dan tanggung jawab atas risiko terkait TIK ke dalam bisnis pada tingkatan senior yang sesuai 2. Meyakini bahwa organisasi telah mendefinisikan dan mendelegasikan — peranan yang kritikal. «= untuk mengelola__risiko —TIK . Dapatkan dokumen berikut untuk mendapatkan pengertian lebih detail: 1.1. Struktur organisasi TIK; 1.2. Job description, peran dan tanggung jawab dari grup sekuriti ‘TK; 1.3. Kebijakan dan prosedur yang berkaitan dengan pengamanan teknologi sistem informasi, yang mencakup evaluasi berkala dari manajemen terhadap tingkat keamanan yang berjalan saat ini; 1.4,Dokumentasi atas pelatihan tentang keamanan yang telah dilakukan, termasuk materi dan daftar hadir dari pelatihan