1. Manajemen Sumber Daya dan Manajemen Komunikasi Proyek
Pada Pekerjaan Audit Teknologi Informasi
Studi Kasus: PT XYZ
Bambang Susilo,
NIM: 1606933213
Dosen: Dr. Ir. Iwan Krisnadi, MBA
Program Pasca Sarjana, Keamanan Jaringan Informasi
Departemen Teknik Elektro, Universitas Indonesia
Abstrak:
Teknologi Informasi memiliki peran penting dalam mendukung proses bisnis perusahaan.
Untuk itu tatakelola sistem informasi yang baik menjadi bagian yang penting dalam mewujudkan
proses Teknologi Informasi yang sesuai dengan strategi bisnis perusahaan. Audit terhadap Teknologi
Informasi menjadi salah satu cara untuk memberikan keyakinan terhadap proses teknologi yang
berjalan dalam perusahaan. PT XYZ melakukan audit Teknologi informasi dalam rangka mengetahui
kondisi aktual dan area-area yang perlu diperbaiki dengan rekomendasi yang tepat.
Makalah ini melihat dari sudut pandang manajemen sumber daya proyek dan manajemen
komunikasi proyek yang merupakan bagian dari PMBOK (Project Management Book of
Knowledge).pada pekerjaan Audit Teknologi Informasi yang menggunakan kerangka COBIT 5.
Keyword: Audit, PMBOK, COBIT, Manajemen Proyek

2. I. PENDAHULUAN
Latar belakang
Teknologi informasi (TI) merupakan salah satu faktor penting dalam penyediaan dan
peningkatan performa operasi bisnis. Optimalisasi TI menjadi salah satu hal utama bagi PT
XYZ. Untuk itu perlu diidentifikasi area-area TI yang perlu diperbaiki dan ditingkatkan
kualitasnya. Melalui audit TI umum, dapat diketahui area-area perbaikan serta rekomendasi-
rekomendasi yang tepat untuk peningkatan TI ke depan.
Dalam makalah ini akan dibahas mengenai audit teknologi informasi dilihat dari sisi
manajemen proyek khususnya manajemen sumber daya proyek dan manajemen komunikasi
proyek.
Rumusan Masalah
 Memetakan proses manajemen proyek pada pekerjaan audit teknologi informasi.
II. KAJIAN PUSTAKA
PMBOK
PMBOK, atau lengkapnya A Guide to the Project Management Body of Knowledge (PMBOK
Guide), adalah suatu buku yang memuat himpunan istilah dan pedoman untuk manajemen
proyek yang diterbitkan oleh Project Management Institute (PMI).
Project management adalah sebuah disiplin keilmuan dalam hal perencanaan,
pengorganisasian, pengelolaan (menjalankan serta pengendalian), untuk dapat mencapai
tujuan-tujuan proyek.
Sembilan (knowledge area) dalam PMBOK adalah sebagai berikut:
 Manajemen Integrasi proyek (Project Integration Management)
 Manajemen Lingkup proyek (Project Scope Management)
 Manajemen Waktu proyek (Project Time Management)
 Manajemen Biaya proyek (Project cost management)
 Manajemen Kualitas proyek (Project quality management)
 Manajemen sumber daya proyek (Project resource management)
 Manajemen Komunikasi proyek (Project communication management)
 Manajemen Risiko proyek (Project risk management)
 Manajemen Pengadaan proyek (Project procurement management)

3. COBIT 5
COBIT dirilis oleh ISACA yaitu asosiasi independen nonprofit yang mendukung para
profesional di bidang keamanan informasi, assurance, manajemen risiko, dan governance and
management of enterprise IT.
COBIT terbaru adalah COBIT 5 yang dirilis bulan April 2012. COBIT 5 adalah kerangka
bisnis untuk tata kelola dan tata laksana TI. Dalam kerangka ini, COBIT menyediakan
referensi key practices dan aktivitasnya untuk 37 proses TI yang mungkin ada dalam satu
perusahaan.
Model Referensi Proses dalam COBIT 5
COBIT 5 membagi proses tata kelola dan manajemen TI perusahaan menjadi dua domain
proses utama:
1. Tata Kelola, memuat lima proses tata kelola, dimana akan ditentukan praktik-praktik dalam
setiap proses Evaluate, Direct, dan Monitor (EDM)
2. Manajemen, memuat empat domain, sejajar dengan area tanggung jawab dari Plan, Build,
Run, and Monitor (PBRM), dan menyediakan ruang lingkup TI yang menyeluruh dari ujung
ke ujung yaitu:
 Align, Plan, and Organize (APO) – Penyelarasan, Perencanaan, dan Pengaturan
 Build, Acquare, and Implement (BAI) – Membangun, Memperoleh, dan
Mengimplementasikan
 Deliver, Service and Support (DSS) – Mengirimkan, Layanan, dan Dukungan
 Monitor, Evaluate, and Assess (MEA) – Pengawasan, Evaluasi, dan Penilaian
Tabel 1. Ranah COBIT 5
Ranah Deskripsi
Evaluate, Direct
and Monitor
(EDM)
Proses-proses tata kelola (governance processes) di ranah ini terkait dengan
objektif tata kelola dari para pemangku kepentingan (stakeholders) yaitu
nilai manfaat dari TI (value delivery), optimasi risiko (risk optimisation), dan
optimasi penggunaan sumber daya (resource optimisation) serta mencakup
praktek dan aktivitas yang ditujukan untuk mengevaluasi opsi strategis,
menyediakan arahan kepada TI, dan memantau hasilnya.

4. Ranah Deskripsi
Align, Plan and
Organise (APO)
Proses-proses di ranah ini menyediakan arahan untuk penyediaan solusi
(ranah BAI) serta penyediaan layanan dan support (ranah DSS). Ranah ini
mencakup strategi dan taktis termasuk mengidentifikasi cara terbaik agar TI
dapat berkontribusi terhadap pencapaian objektif bisnis. Realisasi visi
strategis perlu direncanakan, dikomunikasikan, dan dikelola. Organisasi TI
yang sesuai serta infrastruktur teknologi harus disiapkan.
Build, Acquire and
Implement (BAI)
Proses-proses di ranah ini menyiapkan solusi dan transisinya ke operasi.
Untuk dapat mewujudkan strategi TI, solusi TI harus diidentifikasi, diadakan
atau dikembangkan, diimplementasikan dan diintegrasikan dengan proses
bisnis. Manajemen perubahan dan pemeliharaan juga tercakup di ranah ini.
Deliver, Service
and Support (DSS)
Proses-proses di ranah ini menerima solusi dan membuatnya dapat
dimanfaatkan oleh pengguna. Ranah ini mencakup penyediaan layanan dan
dukungannya termasuk manajemen layanan, manajemen keamanan dan
keberlangsungan, serta manajemen data dan fasilitas operasional.
Monitor, Evaluate
and Assess (MEA)
Proses-proses di ranah ini memantau semua proses TI untuk memastikan
bahwa arahan yang telah diberikan diikuti. Secara rutin, semua proses TI
perlu dievaluasi kontrol-kontrol serta kualitasnya. Ranah ini mencakup
manajemen kinerja, pemantauan kontrol internal, kepatuhan proses-proses TI
terhadap persyaratan internal dan peraturan perundangan serta regulasi.
Assessment terhadap proses-proses TI akan dilakukan dengan mengacu kepada
proses-proses, key practices, dan aktivitas-aktivitas TI. Terdapat 37 proses dalam 5
domain pada COBIT 5.

5. Gambar 1. Proses Dalam COBIT 5
III. METODOLOGI
Metodologi penelitian makalah ini sebagai berikut:
 Studi literatur.
 Studi kasus, mengumpulkan contoh proyek audit, membuat analisa pembahasan dari
pekerjaan audit dilihat dari beberapa proses manajemen proyek yaitu manajemen
sumber daya proyek dan manajemen komunikasi proyek.
Sedangkan metodologi yang digunakan dalam pelaksanaan audit adalah sebagai berikut:

6. Gambar 2. Tahapan IT Audit
Peningkatan Pemahaman
Peningkatan pemahaman dilakukan melalui pengumpulan dan analisa awal terhadap
dokumen-dokumen perusahaan dan TI yang relevan serta diskusi dengan pihak-pihak senior
yang dapat menjelaskan kondisi terbaru PT XYZ dan pemanfaatan TI.
Pelaksanaan Audit
Audit dilakukan melalui analisa dokumen, wawancara dengan berbagai pihak terutama
dengan Departemen TI, observasi ke berbagai pabrik (plants), data center, dan database
backup facility, serta pengujian-pengujian teknis
Verifikasi Hasil Audit
Dalam tahap ini, hasil dari audit diverifikasi bersama dengan auditee secara iteratif untuk
finalisasi temuan, penetapan rekomendasi yang realistis, dan untuk mendapatkan tanggapan
resmi dari auditee.
Pembuatan Laporan
Hasil dari verifikasi audit digunakan untuk mengembangkan laporan audit lengkap termasuk
pencantuman temuan, rekomendasi, dan tanggapan resmi dari auditee. Selain itu juga akan
dikembangkan ringkasan eksekutif hasil audit TI umum.

7. IV. PEMBAHASAN DAN HASIL
Manajemen Sumber Daya Proyek (Project Human Resource Management)
Salah aktifitas proses dalam proyek manajemen adalah manajemen sumber daya proyek.
Berikut ini struktur organisasi proyek dalam pekerjaan audit.
Gambar 3. Struktur Tim Proyek
Dalam manajemen sumber daya proyek terdapat 4 proses yaitu:
 Develop Human Resource Plan
 Acquire Project Team
 Develop Project Team
 Manage Project Team
Karena semua tim proyek berasal dari saru perusahaan konsultan maka untuk proses
Develop Human Resource Plan, Acquire Project Team, Develop Project Team sudah
dilakukan sejak proses pengadaan. Sedangka proses mengelola tim proyek menjadi
penting dalam pekerjaan audit TI agar proyek dapat berjalan dengan lancar dan selesai
dengan tepat waktu. Proses mengelola tim proyek menjadi tanggung jawab dari
proyek manajer untuk menjamin kelancaran proyek.

8. Gambar 4. Mengelola Tim Proyek: Inputs, Tools & Techniques, dan Outputs
Sebagai input proses yaitu rencana manajemen proyek yang berisi role and
responsibilities dan rencana manajemen staf. Teknik Observation and conversation
digunakan oleh Manajer proyek untuk memonitor tim proyek dan hasil kerjanya.
Manajemen Komunikasi Proyek (Project Communication Management)
Dalam semua tahapan audit, komunikasi dengan pihak yang di audit menjadi hal yang
sangat penting agar proses audit dapat berjalan lancar dan mendapatkan hasil yang
diinginkan. Keterbukaan menjadi kunci penting dalam proses interview terlebih jika
dokumen yang akan diaudit tidak tersedia.
Dalam Manajemen komunikasi proyek terdapat aktifitas Proses perencanaan
komunikasi.
Dalam Manajemen Komunikasi Proyek terdapat lima proses yaitu:
 Identify Stakeholder
 Plan Communication
 Distribute Communication
 Manage Stakeholder Expectation
 Report Performance
Kelima proses dalam manajemen komunikasi proyek saling terkait dan harus ada dalam
pekerjaan audit. Gambar berikut ini merupakan bagian dari manajemen komunikasi proyek
yamg digunakan yaitu perencanaan komunikasi.

9. Gambar 5. Input, Tools and Techniques serta Output untuk Perencanaan
Komunikasi.
Sebagai input proses Perencanaan Komunikasi yaitu stakeholder register atau daftar semua
pemangku kepentingan, dalam audit ini pemangku kepentingan adalah manajemen PT XYZ,
departemen TI, karyawan PT. XYZ, vendor dan pelanggan PT. XYZ . Tools and Techniques
Teknik yang digunakan sebagai berikut:
 Communication Technology: melalui telpon, handphone, email dan /atau tatap muka
secara langsung.
 Communication Method: menggunakan komunikasi interaktif (interactive
communication), dimana kedua belah pihak saling bertukar informasi.
HASIL AUDIT
Penilaian Tingkat risiko dari hasil audit diklasifikasikan untuk menjadi panduan bagi
manajemen dalam menentukan rencana tindak lanjut yang tepat. Berikut ini adalah deskripsi
dari masing-masing kategori tingkatan risiko.
Tabel 2. Tingkat Risiko
Tingkat Risiko Deskripsi
Tinggi
Klasifikasi ini untuk hasil audit dengan risiko ketidakpatuhan terhadap
peraturan perundangan/kontrak dan/atau risiko terjadinya gangguan
operasional TI yang mengakibatkan dampak yang material/signifikan

10. termasuk kerugian finansial yang besar. Temuan di klasifikasi ini
membutuhkan perhatian khusus dari manajemen puncak dan harus segera
(urgent) diperbaiki.
Sedang
Klasifikasi ini untuk temuan dengan risiko ketidakpatuhan terhadap
peraturan perundangan/kontrak namun tidak begitu material/signifikan
dan/atau risiko moderat terhadap terganggunya operasional TI. Temuan di
klasifikasi ini perlu diperhatikan oleh Manajer TI dan ditindaklanjuti
dalam jangka waktu menengah.
Rendah
Tidak ada persyaratan kepatuhan/kontrak yang dilanggar namun terdapat
risiko yang berdampak terhadap operasional TI. Temuan dapat
ditindaklanjuti oleh Manajer TI atau kepala sie TI dalam jangka panjang
untuk meningkatkan kualitas proses-proses TI.
Berikut ini adalah assessment list hasil audit yang telah dilakukan, dikelompokkan
berdasarkan ranah COBIT 5.
Tabel 3. Hasil Audit
No. Ranah Hasil Audit
Tingkat
Risiko
1. EDM Tata kelola TI belum lengkap Sedang
2. APO Kebijakan dan prosedur TI belum dikembangkan dan/atau
diperbarui
Sedang
3. APO Organisasi TI belum lengkap Tinggi
4. APO Perencanaan Strategis TI dan Arsitektur Informasi Belum
Dikembangkan dengan Lengkap
Sedang
5. APO Service level management belum terdefinisi Sedang
6. APO Vendor DC belum memenuhi persyaratan kontrak mengenai
FM-200 fire suppression system
Rendah
7. APO Manajemen risiko TI belum diterapkan secara formal Sedang
8. BAI Pengembangan sistem belum lengkap Sedang
9. BAI Terdapat beberapa permasalahan pada Aplikasi ERP dan
penggunaannya
Tinggi
10. BAI Aplikasi ERP belum terintegrasi secara keseluruhan Tinggi
11. BAI Manajemen kapasitas belum lengkap termasuk identifikasi
kelambatan kinerja sistem
Sedang

11. No. Ranah Hasil Audit
Tingkat
Risiko
12. BAI E-mail dari e-mail service providers lambat diterima Rendah
13. DSS Jam layanan TI belum disesuaikan dengan jam layanan bisnis Sedang
14. DSS Pelaporan layanan jaringan dari vendor belum lengkap Sedang
15. DSS Manajemen insiden belum lengkap Sedang
16. DSS Manajemen kesiapan bencana belum memadai Sedang
17. DSS Basisdata belum terintegrasi penuh Tinggi
18. DSS Pengamanan sistem informasi kurang memadai Sedang
19. DSS Manajemen kerentanan dan patch belum berjalan dengan baik Tinggi
20. DSS Identity & access management belum berjalan dengan baik Sedang
21. DSS Pengelolaan infrastruktur dan perangkat pengguna akhir
belum terstandar
Tinggi
22. DSS Security awareness kurang memadai Sedang
23. MEA Pemantauan, pengukuran, dan pelaporan TI belum lengkap Sedang
Tabel 4. Hasil Assessment Berdasarkan Tingkat Risiko
No. Struktur
Tingkat Risiko
Total
Rendah Sedang Tinggi
1. Evaluate, Direct and Monitor - 1 - 1
2. Align, Plan and Organise 1 4 1 6
3. Build, Acquire and Implement 1 2 2 5
4. Deliver, Service and Support 1 6 3 10
5. Monitor, Evaluate and Assess - 1 - 1
Total 3 14 6 23
High-level Assessments
Assessment yang telah dilakukan mendapatkan 23 isu dan enam di antaranya memiliki
tingkat risiko yang tinggi sehingga perlu mendapat perhatian khusus dari manajemen puncak
PT. XYZ dan perlu ditindaklanjuti dalam jangka pendek. Dari keenam isu dengan tingkat
risiko tinggi, tiga terkait dengan Aplikasi ERP yaitu belum terintegrasi secara keseluruhannya
Aplikasi ERP dengan sistem ICS-PLC (industrial control system-programmable logic
controller) dari batching plant, kurang optimalnya kinerja Aplikasi ERP yang dapat
disebabkan oleh struktur data yang tersebar dalam beberapa basisdata, serta masih
terdapatnya beberapa software defects dan permintaan perubahan aplikasi yang belum atau

12. sedang ditangani. Penyelesaian semua isu di atas memerlukan waktu dan sumber daya yang
signifikan sedangkan Sie Pengembangan Aplikasi juga harus mengembangkan
aplikasi/modul baru seperti customer self-service, modul pemeliharaan plant, serta Aplikasi
Dashboard sehingga penyelesaiannya cukup memakan waktu.
Isu lain dengan tingkat risiko tinggi adalah belum optimalnya organisasi TI yang ada,
antara lain karena lowongnya jabatan kepala Sie Pengembangan Aplikasi dan Sie
Pemeliharaan, belum adanya sie perencanaan dan umum, serta belum adanya staf yang
bertanggung jawab untuk manajemen risiko TI dan keamanan sistem informasi.
Isu dengan tingkat risiko tinggi yang terakhir tapi tidak kalah pentingnya adalah
mengenai pengelolaan infrastruktur pengguna yang belum terstandar di berbagai lokasi dan
divisi, sehingga mengakibatkan berbagai macam hal antara lain:
 tidak terstandarnya penempatan server, instalasi kabel, UPS, genset, penangkal petir
 bervariasinya Windows update dari masing-masing workstation sehingga muncul
berbagai kerentanan dari sisi keamanan sistem
 pemakaian akun admin sehingga pengguna dapat menginstalasi aplikasi secara bebas,
dan instalasi aplikasi-aplikasi yang tidak berhubungan langsung dengan pekerjaan
 tidak terstandarnya penyediaan akses Internet termasuk pembatasan akses situs
tertentu.
Beberapa isu berikut ini memiliki tingkat risiko sedang namun tetap perlu mendapat perhatian
manajemen. Isu-isu tersebut dapat dikumpulkan ke dalam satu kelompok yaitu belum
terdapatnya suatu kerangka tata kelola TI (IT governance framework) untuk digunakan
Direksi dalam memberi pengarahan dan mendapatkan nilai maksimal dari TI.
Termasuk dalam tata kelola TI adalah:
 belum dikembangkannya rencana strategis TI termasuk arsitektur informasi
 belum dikembangkannya kebijakan dan prosedur TI
 belum optimalnya manajemen kapasitas termasuk identifikasi kelambatan kinerja
sistem
 belum dijalankannya manajemen risiko TI berdasarkan manajemen risiko korporat
 belum memadainya kesiapan menghadapi bencana karena belum adanya disaster
recovery plan (DRP) berbasiskan business impact analysis (BIA) dan belum adanya
business continuity plan (BCP) berdasarkan suatu business continuity management di
PT. XYZ

13.  belum lengkapnya pengukuran dan pelaporan TI untuk pengelolaan dan perencanaan
TI.
Isu terakhir dengan tingkat risiko sedang yang perlu mendapat perhatian manajemen adalah
kurangnya keamanan informasi secara umum dan keamanan sistem informasi secara khusus
di PT. XYZ antara lain mengenai penggunaan antivirus/antimalware yang belum optimal,
cukup luasnya praktik password sharing termasuk untuk approval.
HIGH-LEVEL RECOMMENDATIONS
Berikut high-level recommendations untuk bahan pertimbangan bagi Departemen TI dan PT.
XYZ:
 optimalisasi Aplikasi ERP yaitu konsolidasi basisdata, penanganan software defects
dan permintaan perubahan aplikasi,
 peningkatan kualitas dan kinerja organisasi TI melalui pengisian jabatan kepala
Sie Pengembangan Aplikasi dan Sie Pemeliharaan, pemisahan yang jelas antara ranah
pengembangan dan ranah operasi, penerapan manajemen risiko TI dan security
operations (termasuk vulnerability and patch management), koordinasi untuk
technical support & troubleshooting, dan secara bertahap, fungsi-fungsi terkait
perencanaan seperti perencanaan TI, pengembangan dan pembaruan arsitektur
informasi, serta pengembangan dan pembaruan kebijakan dan prosedur TI, dijalankan
sampai terbentuk sie perencanaan
 standardisasi pengelolaan infrastruktur pengguna melalui pembaruan dan
pengembangan panduan keamanan sistem informasi sebagai panduan di lokasi dan di
Kantor Pusat untuk penempatan server, instalasi kabel, AC, UPS, genset, dan
penangkal petir, juga sebagai panduan untuk patch, penanganan virus/malware, dan
akses Internet
 pengembangan rencana strategis TI serta kebijakan dan prosedur TI
 peningkatan tata kelola dan tata laksana TI antara lain pendefinisian dan
penerapan kerangka tata kelola dan tata laksana TI (IT governance and management
framework), pengkajian berbasis risiko terhadap penyesuaian jam layanan TI,
manajemen kapasitas terutama pemantauan dan pengukuran resources secara lengkap,
pengkajian manajemen keberlangsungan bisnis (business continuity management)
oleh Manajemen Puncak dan manajemen pemulihan bencana (disaster recovery
management) oleh Departemen TI, manajemen tingkat layanan (service level

14. management), manajemen insiden, serta information system security awareness
khususnya dan information security secara umum.
V. KESIMPULAN
Berdasarkan hasil audit PT XYZ dapat melakukan perbaikan terhadap temuan-temuan
yang ada dan melakukan peningkatan kualitas baik dari sisi people, proses maupun
teknologi. Dengan adanya peningkatan kualitas tersebut dapat membawa kelancaran
bisnis bagi PT. XYZ.
Dalam pelaksanaan audit, manajemen proyek perlu diperhatikan untuk keberhasilan
proyek dan hasilnya dapat memberikan nilai tambah kepada organisasi yang di audit. Dari
proses audit sendiri terlihat bahwa manajemen sumber daya proyek dan manajemen
komunikasi proyek yang menjadi bagian penting dalam pekerjaan audit pada setiap tahap,
baik tahap peningkatan pemahaman, pelaksanaan audit, maupun tahap verifikasi temuan.
VI. DAFTAR PUSTAKA
[1.] Information Systems Audit and Control Association. COBIT 5. A Business
Framework for the Governance and management of Enterprise IT. 2012
[2.] Project Management Institute, A guide to the Project management Body of
Knowledge (PMBOK@Guide) – Fouth Edition. 2008
[3.] IEEE 1490, IEEE Guide Adoption of PMI Standard A guide to the Project
management Body of Knowledge. 2004
[4.] Information Systems Audit and Control Association. IT Control Objective for
Sarbanes Oxley, 3rd
Edition. 2014
[5.] PT XYZ. Audit Teknologi Informasi berdasarkan kerangka COBIT 5. 2016