BAB II TINJAUAN PUSTAKA Bab ini membahas teori-teori penunjang yang mendasari dalam penyusunan tugas akhir, yaitu mengenai tata kelola teknologi informasi dengan menggunakan framework COBIT 5 1.1
State of The Art COBIT 5 merupakan sebuah kerangka menyeluruh yang dapat membantu
perusahaan dalam mencapai tujuannya untuk tata kelola dan manajemen TI perusahaan. Secara sederhana, COBIT 5 membantu perusahaan menciptakan nilai optimal dari TI dengan cara menjaga keseimbangan antara mendapatkan keuntungan dan mengoptimalkan tingkat risiko dan penggunaan sumber daya. COBIT 5 memungkinkan TI untuk dikelola dan diatur dalam cara yang lebih menyeluruh untuk seluruh lingkup perusahaan, meliputi seluruh lingkup bisnis dan lingkup area fungsional TI, dengan mempertimbangkan kepentingan para stakeholder internal dan eksternal yang berhubungan dengan TI. COBIT 5 bersifat umum dan berguna untuk segala jenis ukuran perusahaan, baik itu sektor komersial, sektor non profit atau pada sektor pemerintahan / publik. COBIT 5 didasarkan pada lima prinsip kunci untuk tata kelola dan manajemen TI perusahaan. Kelima prinsip ini memungkinkan perusahaan untuk membangun sebuah kerangka tata kelola dan manajemen yang efektif, yang dapat mengoptimalkan investasi dan penggunaan TI untuk mendapatkan keuntungan bagi para stakeholder. 1.2
Latar Belakang Perusahaan Biro Keuangan Sekretariat Daerah Propinsi Bali mempunyai kedudukan dan
peran yang cukup penting bagi terselenggaranya Pemerintahan dan Pembangunan dilingkungan Pemerintah Propinsi Bali. Sejalan dengan adanya perkembangan sistem pemerintahan yang mengalami perubahan-perubahan dengan paradigma yang berkembang.Perubahan-perubahan
tersebut
5
mengharuskan
Pemerintah
untuk
mewujudkan suatu Pemerintahan yang baik, (Good Governance) merupakan tuntutan bagi terselenggaranya manajemen Pemerintahan dan Pembangunan yang berdaya guna dan berhasil guna.berikut merupakan visi dan misiBiro Keuangan Setda. Provinsi Bali. “Terwujudnya pengelolaan Keuangan Daerah yang efektif, efisien, ekonomis, transparan dan akuntabel”. Berikut merupakan visi dan misi dari biro keuangan setda. Provinsi Bali. 1.
Mewujudkan peran dan fungsi Biro Keuangan dalam pengelolaan keuangan Daerah yang profesional.
2.
Mewujudkan Sistem Pengelolaan Keuangan Daerah yang berorientasi pada kinerja dan kepentingan Publik. Berikut merupakan pilar kerja dari biro keuangan setda. Provinsi Bali.
1.
Membantu Gubernur dalam usaha terciptanya tertib administrasi pengelolaan keuangan daerah.
2.
Mewujudkan pelayanan prima dibidang pengelolaan keuangan Daerah
6
1.3
Struktur Organisasi Biro Keuangan Setda. Provinsi Bali Struktur organisasi dari Biro Keuangan Setda. Provinsi Bali sesuai dengan
jabatannya dapat dilihat pada Gambar 2.1 Kepala Biro Keuangan Setda Provinsi Bali
Jabatan Fungsional Arsiparis
Staf Admin IT
Kabag Anggaran
Kabag Perbendaha raan
Kabag Akuntansi dan Pelaporan
Kabag Fasilitasi, Evaluasi transfer kab/kota
Kasubag Anggaran I
Kasubag Perbendahara -an I
Kasubag Akuntansi Pendapatan, BTL, dan Pembiayaan
Kasubag Fasilitasi, Evaluasi dan transfer
Kasubag Anggaran II
Kasubag Perbendaharaan II
Kasubag Akuntansi Belanja Langsung
Kasubag keuangan BTI dan Pembiayaan
Kasubag Anggaran III
Kasubag Perbendaharaan belanja pegawai
Kasubag Pelaporan dan Kas Daerah
Kasubag tata usaha biro
Gambar 2.1 Struktur Organisasi Biro Keuangan Setda. Provinsi Bali
Sedangkan Jabatan, dan Golongan pegawai di Biro Keuangan Setda. Provinsi Bali dapat dilihat pada Tabel 2.1
7
Table 2.1 Nama,Jabatan, dan Golongan di Biro Keuangan Setda. Provinsi Bali
NO.
JABATAN
1
Kepala Biro
2
Kabag Perbendaharaan
3
KabagAnggaran
4
KabagBina Pendapatan
5
KabagPendapatan
6
Kasubag. BinaRetribus Daerah
7
KasubagTU
8
KasubagAnggaran III
9
KasubagMonitoring, evaluasi,Pelaporan dan fasilitasi
10 KasubagPerbendaharaanBelanja Pegawai 11 KasubagAnggaran I 12 KasubagPerbendaharaan 2 13 KasubagAkuntansi 14 KasubagPerbendaharaan 1 15 KasubagAnggaran 2 16 Staf Anggaran I 17 Staf Anggaran I 18 Staf Anggaran I 19 Staf Anggaran I
8
20 Staf Anggaran I 21 Staf Anggaran I 22 Staf Anggaran I 23 Staf Anggaran II 24 Staf Anggaran II 25 Staf Anggaran II 26 Staf Anggaran II 27 Staf Anggaran II 28 Staf Anggaran II 29 Staf Anggaran II 30 Staf Anggaran II 31 Staf Anggaran II
1.4
Peraturan Biro Keuangan Setda. Provinsi Bali Berdasarkan Peraturan Pemerintah Nomor 56 Tahun 2005 sebagaimana telah
diubah dengan Pemerintah Nomor 65 Tahun 2010 tentang Sistem Informasi Keuangan Daerah serta dalam rangka kesinambungan pelaksanaan Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD) tersebut, Biro Keuangan Setda Provinsi Bali mengadakan Workshop dan Pelatihan Admin SIPKD Provinsi Bali dan Kab/kota Se Bali yang diselenggarakan dari tanggal 19 sampai tanggal 21 Maret 2013, dan dibuka oleh Asisten III I Made Santha, SE.M.Si mewakili Sekda Provinsi Bali. Dalam sambutannya beliau mengatakan Perubahan paradigma pengelolaan keuangan daerah secara komprehensif telah dilakukan dengan diterbitkannya peraturan perundangan dibidang pengelolaan keuangan daerah yang telah mengacu dan mensinkronkan
9
semua peraturan perundangan terkait (Omnibus Regulation) yaitu Peraturan Menteri Dalam Negeri Nomor 13 Tahun 2006 dan perubahannya yang merupakan amanat dari PP 58 Tahun 2005.Implementasi PP 58 Tahun 2005 dan Permendagri 13 Tahun 2006 dan perubahannya, membawa konsekwensi terhadap pelaksanaan pengelolaan keuangan daerah dari sentralisasi menjadi desentralisasi . Dalam rangka penerapan paket regulasi dan pengembangan kapasitas pengelolaan keuangan daerah, secara sistemik dan berkesinambungan Kementerian Dalam Negeri bersama Kementerian Keuangan telah mengambil inisiatif strategis berupa pengembangan sistem informasi pengelolaan keuangan daerah (SIPKD) yang secara terpadu diharapkan dapat menjadi “alat bantu” standard dan efektif menjembatani gap antara tuntutan pemenuhan regulasi dan peningkatan layanan disatu sisi dengan keterbatasan SDM dan kapasitas organisasi pada sisi lainnya. Pengembangan dan implementasi SIPKD pada dasarnya adalah fasilitasi Pemerintah dalam proses manajemen perubahan (change management) pengelolaan keuangan daerah dari kondisi operasi yang relatif manual atau komputerisasi parsial menuju pengelolaan keuangan daerah berbasis teknologi informasi yang terpadu mulai dari tingkat SKPD – pemerintah Daerah – SIKD Regional hingga SIKD Nasional. Sistem informasi pengelolaan keuangan daerah (SIPKD) dan Regional-SIKD merupakan amanat dari Peraturan Pemerintah Nomor 56 Tahun 2005 tentang Sistem Informasi Keuangan Daerah, merupakan sebuah sistem yang terintegrasi yang dapat menjadi alat bantu bagi daerah dalam pengelolaan keuangan daerah, sehingga saya sangat mendukung kegiatan ini dan menghimbau kepada Pemerintah Kabupaten/Kota untuk menggunakan Aplikasi ini karena Aplikasi SIPKD diberikan secara gratis dan sudah berdasarkan ketentuan peraturan perundangan terkait dengan pengelolaan keuangan daerah. Informasi terakhir yang saya dapatkan bahwa dengan terbitnya peraturan pemerintah nomor 71 tahun 2010 tentang standar akuntansi pemerintahan, mewajibkan penerapan basis akuntansi akrual oleh pemerintah daerah, merupakan momentum yang pas bagi daerah yang belum menggunakan aplikasi SIPKD karena
10
SIPKD saat ini sudah mengakomodir perubahan regulasi ini. Bahkan SIPKD berbasis akrual akan segera diujicobakan pada beberapa daerah. 1.5
Dasar Teori Berikut akan dijelaskan mengenai teori relevan terkait dengan Sistem Informasi
yang merupakan teori dasar yang harus dipahami sebelum melakukan proses audit dengan menggunakan framework COBIT 5. 2.5.1 Evaluasi Evaluasi adalah kegiatan untuk mengumpulkan informasi tentang bekerjanya sesuatu, yang selanjutnya informasi tersebut digunakan untuk menentukan alternatif yang tepat dalam mengambil sebuah keputusan. Fungsi utama evaluasi dalam hal ini adalah menyediakan informasi-informasi yang berguna bagi pihak decision maker untuk menentukan kebijakan yang akan diambil berdasarkan evaluasi yang telah dilakukan (Arikunto dan Cepi,2008). Evaluasi merupakan salah satu penerapan dari penelitian yang digunakan untuk menentukan berhasil atau tidaknya atau apakah ada manfaat atau nilai dari suatu program dan kebijakan dalam pendidikan (McMillan dan Schumacher 2010). Evaluasi adalah proses penelitian yang sistematis, mencakup pemberian nilai, atribut, apresiasi, pengenalan masalah, dan pemberian solusi atas permasalahan yang ditemukan (Kamus Besar Bahasa Indonesia 2008). Berdasarkan pendapat diatas dapat disimpulkan evaluasi adalah suatu kegiatan penelitian yang sistematismencakup pemberian nilai, atribut, apresiasi, pengenalan masalah, dan pemberian solusi untuk menentukan apakah suatu sistem atau nilai bekerja dengan seharusnya dan memiliki manfaat dan nilai yang diharapkan, sehingga informasi yang dihasilkan dapat digunakan untuk menentukan alternatif yang tepat dalam mengambil sebuah keputusan dan kebijakan bagi decision maker.
11
2.5.2 Pengertian Sistem Informasi Sistem informasi adalah mengumpulkan, memproses, menyimpan, meneliti, dan menyebarluaskan informasi untuk suatu tujuan spesifik yang memproses masukan (Input) dan menghasilkan keluaran (Output) yang dikirim kepada pemakai, atau kepada sistem itu sendiri (Rainer & Turban, 2009, p.415). Sistem informasi adalah suatu kesatuan yang terdiri dari manusia (brainware), perangkat keras (hardware), perangkat lunak (software), jaringan komputer, dan sumber data yang mengumpulkan, mentrasnformasikan dan mendistribusikan informasi di dalam suatu organisasi(O‟Brien, 2008, p.7). Sistem informasi adalah sebuah sistem buatan manusia yang pada umumnya terdiri dari serangkaian komponen berbasis komputer yang terintegrasi dan komponen manual yang dibentuk untuk mengumpulkan, menyimpan, dan mengelola data dan memberikan informasi output ke pengguna (Gelinas dan Dull, 2010,p12). Sistem informasi adalah serangkaian perangkat keras dan perangkat lunak yang dirancang untuk mengubah data menjadi informasi yang bermanfaat untuk mendukung pembuatan keputusan dan pengawasan dalam organisasi. Dari pernyataan-pernyataan tersebut dapat disimpulkan sistem informasi adalah sebuah sistem kesatuan buatan manusia, terdiri dari manusia (brainware), perangkat keras (hardware), perangkat lunak (software), jaringan komputer, dan sumber data yang terintegrasi satu sama lain yang dibentuk untuk mengumpulkan, menyimpan, mengelola data, dengan memproses informasi masukan (Input) dan menghasilkan informasi keluaran (Output) ke pengguna (I Gusti Made Karmawan, 2011). 2.5.3 Pengertian Audit Audit (auditing) adalah kegiatan membandingkan suatu kriteria (apa yang seharusnya) dengan kondisi (apa yang sebenarnya terjadi) (Rai, 2008,p29). Audit adalah sebuah akumulasi dan evaluasi dari bukti-bukti mengenai informasi untuk pengambilan keputusan dan laporan dari ukuran korespondensi
12
diantara informasi dan kriteria yang diterapkan. Auditing harus dilakukan oleh seorang yang kompeten dan independen(Randal danBeasley, 2010). Berdasarkan pendapat pakar diatas maka dapat disimpulkan audit adalah suatu kegiatan akumulasi dan pengevaluasian dengan membandingkan bukti-bukti mengenai informasi pengambilan keputusan dan laporan dari ukuran korespondensi diantara informasi dan kriteria yang ditetapkan serta harus dilakukan oleh seseorang yang kompeten dan independen. 2.5.4 Tipe Audit Auditi digolongkan menjadi 3 golongan tipe yaitu (Randal dan Beasley, 2010): 1.
Audit Operasional (Operational Audit), adalah audit yang mengevaluasi efisiensi dan efektitfitas dari setiap bagian dalam prosedur pengoperasionalan dan metode yang diterapkan organisasi/perusahaan.
2.
Audit Ketaatan (Compliance Audit), adalah audit yang dilakukan untuk menentukan apakah seorang pengaudit mengikuti prosedur spesifik, peraturan, dan regulasi yang ditentukan oleh para pemegan otoritas yang lebih tinggi.
3.
Audit Laporan Keuangan (Financial Statement Audit), adalah audit yang dilakukan untuk menentukan apakah apakah sebuah laporan keuangan (informasi yang sudah diverifikasi) telah dinyatakan sesuai dengan kriteria spesifik yang ada.
2.5.5 Teori Khusus Berikut akan dibahas mengenai teori khusus terkait dengan audit sistem informasi. 2.5.5.1 Pengertian Audit Sistem Informasi Audit sistem informasi adalah suatu audit yang berfokus pada aspek-aspek yang berbasis komputer dari sistem informasi perusahaan dan sistem modern yang mempekerjakan tingkat signifikan dari teknologi (James Hall, 2011, p10).Audit
13
sistem informasi adalah suatu proses
pengumpulan dan penilaian bukti untuk
menentukan apakah suatu sistem komputer melindungi aktiva, mempertahankan integritas data, serta memugkinkan bagi tercapainya tujuan organisasi secara efektif dan penggunaan sumber daya secara efisien(Basalamah, 2011, p16). Audit Sistem Informasi dapat didefinisikan sebagai sebuah proses pengumpulan dan pengevaluasian bukti untuk menilai apakah sistem komputer dapat menjaga aset, menjaga integritas data, menjamin tercapainya tujuan organisasi dengan efektif dan penggunaan
sumber
daya
dengan
efisien
(Restianto
danBawono,
2011,
p15).Berdasarkan definisi tersebut dapat dijelaskan bahwa tujuan audit sistem informasi adalah untuk meningkatkan efektifitas dan efisiensi. 2.5.5.2 Standar Audit ISACA Berdasarkan
IT
Audit
and
Assurance
Standards
and
Guidelines
ISACA(2013), penerapan audit memiliki standar sebagai kode etik professional bagi para auditor yaitu sebagai berikut :
1.
Audit Charter Tujuan, tanggung jawab, otoritas dan akuntabilitas fungsi audit SI pada suatu
organisasi/perusahaan ataupun penugasan audit harus dengan dibuat tertulis (didokumentasikan) dalam audit charter atau engagement letter.Audit charter atau engagement letter harus disetujui dan ditandatangani oleh pemimpin organisasi. 2.
Independence Independensi professional dalam segala hal yang berkaitan dengan audit,
auditor harus independensi dalam sikap dan penampilan, independensi organisasi, fungsi audit SI harus bebas (tidak ada conflict of interest) dari area yang diperiksa untuk dapat menyelesaikan tugas audit dengan baik. 3.
Professional Etichs and Standards Auditor SI harus menganut dan berpegang teguh pada kode etik profesi auditor
SI (ISACA) dalam menjalankan tugas auditnya.Auditor SI harus menjalankan
14
tugasnya secara seksama (due professional care) dan bekerja sesuai dengan standar professionalBaudit.professional Competence. Auditor SI harus mampu secara professional, mempunyai pengetahhuan dan keahlian teknis untuk melakukan penugasan tugas audit. Auditor SI harus memelihara kemampuan profesionalnya dengan pendidikan dan pelatihan berkelanjutan. 4.
Planning Auditor SI harus membuat rencana kerja audit SI, mencakup tujuan audit dan
bahwa kegiatan-kegiatan auditnya akan sesuai dengan aturan, hukum, dan standar professional audit yang ada.Auditor SI harus melakukan teknik pendekatan audit berbasis resiko (risk based audit) dan mendokumentasikanya dengan baik.Auditor SI harus menyusun rencana kerja audit, mencakup rincian tentang hakekat dan tujuan audit periode atau waktu yang diperlukan dan sumber daya yang diperlukan dan sumber daya yang diperlukan untuk penugasan audit tersebut.Auditor SI harus menyusun rencana kerja audit dan atau program audit, mencakup prosedur audit yang diperlukan untuk penyelesaian tugas audit itu. 5.
Performance of Audit Work Supervise Staf audit SI harus disupervisi untuk memperoleh keyakinan
memadai bahwa tujuan audit telah dicapai sesuai dengan standar professional.Buktiaudit : Dalam pelaksanaan tugasnya auditor SI harus memperoleh bukti yang cukup, dapat diandalkan dan relevan untuk mencapai tujuan audit. Temuan audit dan kesimpulan harus didukung oleh analisis yang tepat dan interpretasi bukti ini. Dokumentasi Proses audit harus didokumentasikan, menjelaskan pekerjaan audit yang dilakukan dan bukti audit yang mendukung temuan dan kesimpulan IS auditor. 6.
Reporting Auditor SI harus membuat laporan hasill audit dalam format yang tepat setelah
selesai melakukan tugas auditnya. Laporan hasil audit harus memuat organisasi, pihak yang dituju, dan batasan – batasan sirkulasi.Laporan audit harus menyebutkan ruang lingkup, tujuan, dan periode pelaksanaan pemeriksaan.Laporan audit harus berisi temuan, kesimpulan dan rekomendasi, serta pengungkapan mengenai 15
penyediaan, kualifikasi atau pembatasan cakupan audit yang dialami oleh auditor SI dalam melaksanakan tugasnya.Temuan hasil audit yang dilaporkan harus didukung bukti audit yang cukup, lengkap dan kompeten untuk mendukung laporan hasil pemeriksaan itu.Laporan hasil audit harus ditandatangani, dibubuhi tanggal pelaporan, dan didistribusikan sesuai ketentuan pada audit charter. 7.
Follow Up Activities Setelah laporan hasil audit yang mengemukakan temuan dan rekomendasi,
auditor SI harus mengevaluasi informasi yang relevan untuk memperoleh keyakinan apakah tindak lanjut yang diperlukan telah dilaksanakan oleh pihak manajemen sesuai jadwal yang diusulkan. 8.
Irregularities and Illegal Acts Dalam perencanaan dan pelaksanaan audit untuk mengurangi resiko audit,
auditor SI harus mempertimbangkan resiko ketidakteraturan dan illegal acts.Auditor SI harus bersikap profesional skeptis dalam pelaksanaan audit, paham kemungkinan misstatements yang material dapat saja terjadi karena adanya irregularities dan illegal acts, diluar evaluasi yang telah dilakukan.Auditor SI harus memahami organisasi dan lingkungannya, termasuk sistem pengendalian internal pada bidang yang diaudit. 9.
IT – Governance Auditor SI harus melakukan peninjuan dan penilaian apakah fungsi SI sudah
selaras dengan visi, misi, tata-nilai, dan strategis serta tujuan organisasi.Auditor SI melakukan peninjauan apakah fungsi SI memiliki pernyataan yang jelas mengenai kinerja yang diharapkan oleh organisasi dan nilai apakah hal – hal tersebuat sudah tercapai.Auditor SI harus meninjau dan menilai efektivitas sumber daya SI dan kinerja proses manajemennya. 10.
Use of Risk Assessment in Audit Planning Auditor SI harus menggunakan teknik penilaian resiko yang cocok dalam
pengembangan rencana kerja audit SI, dan dalam menentukan prioritas alokasi sumberdaya audit yang efektif.Ketika merencanakan peninjauan individual, auditor 16
SI harus mengidentifikasi dan menilai resiko yang relevan dari area yang diperiksanya. 11.
Audit Materiality Auditor SI harus mempertimbangkan konsep materialitas dalam hubungannya
dengan resiko audit.Dalam merencanakan audit, auditor SI mempertimbangkan kelemahan – kelemahan potensial atau tidak adanya kontrol internal dan apakah hal itu
dapat
mempunyai
dampak
yang
siginifikan
pada
SI.Auditor
SI
mempertimbangkan dampak kumulatif dari kelemahan atau ketiadaan pengendalian intern.Laporan SI harus mengungkapkan adanya pengendalian intern yang tidak efektif atau tidak adanya pengendalian intern. 12.
Using the Work of Other Experts Auditor SI harus, jika memungkinkan, menggunakan hasil kerja auditor atau
tenaga ahli lain.Auditor SI harus menilai kualifikasi profesional, kompetensi, pengalaman yang relevan, sumberdaya, independensi, dan proses pengawasan mutu dari ahli sebelum menerima tugas audit.Audior SI harus menentukan dan menyimpulkan apakah hasil kerja tenaga ahli yang lain tersebut sebagai bagian dari audit dan menentukan tingkat penggunaan. 13.
Audit Evidence Auditor SI harus memiliki bukti audit yang cukup dan layak untuk dapat menarik kesimpulan hasil audit.Auditor SI harus mengevaluasi komptensi dan kecukupan bukti fisik.
14.
IT Controls Auditor IS harus mengevaluasi dan memonitor pengendalian IT yang
merupakan bagian penting dalam lingkungan pengendalian dari perusahaan.Auditor IS harus membantu manajemen dengan memberikan saran mengenai desain, implementasi, operasi, dan peningkatan dari pengendalian IT.
17
15.
E-Commerce Auditor IS harus mengevaluasi pengendalian yang dapat diterapkan dan
pengukuran resiko ketika membahas lingkungan E-commerce untuk memastikan transaksi E-Commerce sudah terkendali dengan benar. 2.5.5.3 Teknik Audit Sistem Informasi Audit sistem informasi dapat dilaksanakan dengan salah satu dari tiga teknik pendekatan, yaitu (Restianto danBawono 2011, p20): 1.
Audit di Sekitar Komputer (Audit Around the Computer). Auditor menelaah struktur pengendalian internal, menguji transaksi dan
prosedur verifikasi saldo akun dengan cara yang sama seperti dalam sistem manual/bukan teknologi informasi. Auditor tidak menguji pengendalian pada sistem informasi tetapi sebatas pada masukan dan keluaran sistem informasi. Berdasarkan penilaian pada kualitas masukan dan keluaran sistemtersebut, auditor mengambil kesimpulan tentang kualitas pemrosesan data dalam sistem, maka auditor harus mendapatkan dokumen sumber dan dokumen keluaran yang cukup dalam bentuk cetakan (hardcopy) atau dalam bentuk yang mudah dibaca oleh pemakai. Dalam pendekatan ini, sistem komputer dapat diibaratkan sebagai sebuah kotak hitam (black box). Keunggulan audit di sekitar komputer adalah kesederhanaannya sehingga auditor yang memiliki pengetahuan minimal di bidang komputer dapat terlatih dengan mudah untuk melaksanakan audit. Sementara itu, kelemahan metode ini adalah jika terjadi perubahan lingkungan organisasi, ada kemungkinan bahwa sistem itupun akan berubah sehingga auditor tidak dapat menilai dan menelaah sistem yang baik. Oleh karena itu, auditor harus dapat menilai kemampuan sistem informasi dalam menyesuaikan diri dengan perubahan lingkungan. 2.
Audit Melalui Komputer (Audit Through the Computer) Pendekatan ini digunakan untuk melakukan audit pada lingkungan sistem yang
kompleks (complex automated processing systems). Dalam pendekatan ini, auditor
18
menggunakan komputer untuk menguji logika dan pengendalian yang ada dalam sistem komputer dan keluaran yang dihasilkan oleh sistem. Besar kecilnya peranan komputer dalam audit tergantung pada kompleksitas dari sistem komputer yang diaudit. Dalam pendekatan ini, fokus perhatian auditor langsung tertuju pada operasi pemrosesan data di dalam sistem komputer.Keunggulan pendekatan audit melalui komputer adalah sebagai berikut: a.
Auditor akan memperoleh bukti-bukti audit yang memadai.
b.
Auditor lebih efektif dalam menguji sistem komputer.
c.
Auditor akan memiliki keyakinan yang lebih memadai terhadap kualitas auditnya.
d.
Auditor dapat menilai kemampuan sistem komputer dalam menghadapi perubahan lingkungan.
Sedangkan kelemahan dari pendekatan ini adalah dibutuhkannya biaya yang relatif besar dan dibutuhkannya tenaga ahli yang terampil, tidak hanya di bidang auditing, tetapi di bidang komputer, pengembangan sistem, komunikasi data, dan bidang lain yang terkait dengan teknologi informasi. 3.
Audit dengan Komputer (Audit with the Computer) Pada pendekatan audit dengan komputer, audit dilakukan dengan menggunakan
komputer dan perangkat lunak audit untuk menjalankan prosedur audit secara otomatis. Pendekatan ini menggunakan beberapa jenis Computer Assisted Audit Techniques (CAAT), seperti System Control Audit Review File (SCARF) dan pemotretan (snapshoot). Pendekatan audit dengan komputer sangat bermanfaat dalam pengujian substantif atas file-file basis data (database). Perangkat lunak audit dapat digolongkan menjadi dua jenis, yaitu perangkat lunak audit terspesialisasi (Specialized Audit Software [SAS]) dan perangkat lunak audit tergeneralisasi (Generalized Audit Software [GAS]). a.
Specialized Audit Software (SAS) SAS merupakan program khusus yang dirancang oleh auditor agar sesuai dengan situasi audit tertentu. SAS jarang
19
digunakan karena penyusunannya membutuhkan waktu dan biaya yang relatif tinggi. Selain itu, keahlian auditor di bidang komputer juga diperlukan, meskipun auditor tidak harus membuat sendiri aplikasi SAS karena dapat diserahkan pada pemrogram komputer, namun paling tidak auditor harus mengetahui konsep pemrograman secara umum. b.
Generalized Audit Software (GAS) Perangkat lunak audit tergeneralisasi atau umum adalah program aplikasi komputer yang dapat melakukan berbagai macam fungsi pemrosesan data atau manipulasi data. GAS dapat digunakan oleh auditor untuk berbagai penugasan audit yang berbeda-beda. Saat ini auditor tidak harus membuat sendiri aplikasi GAS karena telah banyak aplikasi GAS yang dapat dibeli dari vendor atau pengembang perangkat lunak.
1.6
Kerangka kerja audit SI Berikut akan dijelaskan mengenai kerangka kerja audit Sistem Informasi (SI)
dengan menggunakan framework COBIT 5 2.6.1 Pengertian COBIT Menurut ISACA COBIT (Control Objectives for Information and Related Technology) merupakan kerangka kerja tata kelola TI dan set alat pendukung yang memungkinkan manajer untuk menjembatani kesenjangan/celahdiantara kebutuhan control, masalah teknis dan risiko bisnis. COBIT memungkinkan pengembangan kebijakan yang jelas dan praktek yang baik untuk mengontrol TI di seluruh organisasi (ISACA, 2013). COBIT menekankan kepatuhan terhadap peraturan, membantu organisasi untuk meningkatkan
nilai
diperoleh
dari
IT,
memungkinkan
keselarasan
dan
menyederhanakan pelaksanaan kerangka COBIT 5 Materi di bawah ini akan menjelaskan secara detail mengenai framework COBIT 2.6.2 Pengertian COBIT 5 COBIT 5 merupakan sebuah kerangka menyeluruh yang dapat membantu perusahaan dalam mencapai tujuannya untuk tata kelola dan manajemen TI
20
perusahaan. Secara sederhana, COBIT 5 membantu perusahaan menciptakan nilai optimal dari TI dengan cara menjaga keseimbangan antara mendapatkan keuntungan dan mengoptimalkan tingkat risiko dan penggunaan sumber daya. COBIT 5 memungkinkan TI untuk dikelola dan diatur dalam cara yang lebih menyeluruh untuk seluruh lingkup perusahaan, meliputi seluruh lingkup bisnis dan lingkup area fungsional TI, dengan mempertimbangkan kepentingan para stakeholder internal dan eksternal yang berhubungan dengan TI. COBIT 5 bersifat umum dan berguna untuk segala jenis ukuran perusahaan, baik itu sektor komersial, sektor non profit atau pada sektor pemerintahan maupun publik. COBIT 5 didasarkan pada lima prinsip kunci untuk tata kelola dan manajemen TI perusahaan. Kelima prinsip ini memungkinkan perusahaan untuk membangun sebuah kerangka tata kelola dan manajemen yang efektif, yang dapat mengoptimalkan investasi dan penggunaan TI untuk mendapatkan keuntungan bagi para stakeholder.
Gambar 2.2 Lima Prinsip dalam COBIT 5
1.
Prinsip Pertama adalah Memenuhi Kebutuhan Stakeholder Perusahaan ada untuk menciptakan nilai bagi para stakeholdernya dengan
menjaga keseimbangan antara realisasi keuntungan dan optimasi risiko dan
21
penggunaan sumber daya. COBIT 5 menyediakan semua proses yang dibutuhkan dan pemicu-pemicu lainnya untuk mendukung penciptaan nilai bisnis melalui penggunaan TI. Oleh karena setiap perusahaan memiliki tujuan yang berbeda, sebuah perusahaan dapat mengkustomisasi COBIT 5 agar sesuai dengan konteks perusahaan itu sendiri melalui pengaliran tujuan (goal cascade), menerjemahkan tujuan utama perusahaan menjadi tujuan yang dapat diatur, spesifik dan berhubungan dengan TI, serta memetakan tujuan-tujuan tersebut menjadi proses-proses dan praktik-praktik yang spesifik. Perusahaan memiliki beberapa stakeholder, dan „penciptaan nilai‟ memiliki arti yang berbeda-beda bagi masing-masing stakeholder, bahkan kadang bertentangan. Tata kelola berhubungan dengan negoisasi dan memutuskan di antara beberapa kepentingan dari para stakeholder yang berbeda-beda. Oleh karena itu, sistem tata kelola harus mempertimbangkan seluruh stakeholder ketika membuat keputusan mengenai keuntungan, risiko, dan penugasan sumber daya. Untuk setiap keputusan, pertanyaan berikut ini dapat dan harus dipertanyakan : Untuk siapa keuntungan tersebut, Siapa yang menanggung risiko, Sumber daya apa saja yang dibutuhkan. Setiap perusahaan beroperasi dalam konteks yang berbeda-beda. Konteks tersebut ditentukan oleh faktor eksternal (pasar, industri, geopolitik, dsb) dan faktor internal (budaya, organisasi, selera risiko, dsb), dan memerlukan sebuah sistem tata kelola dan manajemen yang disesuaikan. Kebutuhan stakeholder harus dapat ditransformasikan ke dalam suatu strategi tindakan perusahaan. Alur tujuan dalam COBIT 5 adalah suatu mekanisme untuk menerjemahkan kebutuhan stakeholder menjadi tujuan-tujuan spesifik pada setiap tingkatan dan setiap area perusahaan dalam mendukung tujuan utama perusahaan dan memenuhi kebutuhan stakeholder, dan hal ini secara efektif mendukung keselarasan antara kebutuhan perusahaa dengan solusi dan layanan TI.Alur tujuan COBIT 5 digambarkan pada Gambar 2.4 :
22
Gambar 2.3Alur tujuan dalam COBIT 5
Langkah
1.Penggerak
stakeholder
mempengaruhi
kebutuhan
stakeholderKebutuhan stakeholder dipengaruhi oleh oleh sejumlah penggerak, diantaranya perubahan strategi, lingkungan bisnis dan peraturan yang berubah, dan munculnya teknologi baru. Langkah 2. Kebutuhan stakeholder diturunkan menjadi tujuan perusahaan. Kebutuhan stakeholder dapat berhubungan dengan sejumlah tujuan-tujuan umum perusahaan. Tujuan-tujuan perusahaan tersebut telah dikembangkan menggunakan dimensi Balanced Scorecard (BSD), dan BSD tersebut merepresentasikan sebuah daftar tujuan-tujuan yang umum digunakan dimana sebuah perusahaan dapat mendefinisikan untuk dirinya sendiri. Meskipun daftar tersebut tidak lengkap menyeluruh, kebanyakan tujuan-tujuan perusahaan tertentu dapat dipetakan secara mudah menjadi satu atau lebih tujuan umum perusahaan.. Langkah 3. Tujuan perusahaan diturunkan menjadi tujuan yang berhubungan dengan TIPencapaian tujuan perusahaan memerlukan sejumlah hasil-hasil yang berhubungan dengan TI,yang diwakili oleh tujuan-tujuan TI. Tujuan–tujuan yang
23
berhubungan dengan TI disusun dengan dimensi-dimensi dalamIT BSC. COBIT 5 mendefinisikan 17 tujuan yang berhubungan dengan TI. Langkah 4. Tujuan TI diturunkan menjadi tujuan pemicu (enabler goal). Mencapai tujuan TI membutuhkan penerapan yang sukses dan penggunaan sejumlah pemicu. Pemicu meliputi proses, struktur organisasi dan informasi, dan untuk tiap pemicu, serangkaian tujuan yang spesifik dapat didefinisikan untuk mendukung tujuan TI.
Gambar 2.4Tujuan Perusahaan dan Tujuan IT-related dalam COBIT 5
2.
Prinsip 2 : Melingkupi Seluruh Perusahaan COBIT 5 mencakup semua fungsi dan proses dalam perusahaan. COBIT 5
tidak hanya fokus pada „fungsi TI‟, namun memperlakukan informasi dan teknologi yang berhubungan dengannya sebagai suatu aset yang perlu ditangani oleh semua orang dalam perusahaan seperti juga aset-aset perusahaan yang lain. COBIT 5 mempertimbangkan semua pemicu untuk tata kelola dan manajemen yang berhubungan dengan TI agar dapat digunakan secara menyeluruh dalam perusahaan, termasuk semua orang dan semua hal – internal dan eksternal – yang berhubungan dengan tata kelola dan manajemen informasi dan TI perusahaan.
24
COBIT 5 mengintegrasikan tata kelola TI perusahaan ke dalam tata kelola perusahaan. Oleh karena itu, sistem tata kelola untuk TI perusahaan yang diusulkan dalam COBIT 5 ini dapat terintegrasi secara baik ke dalam sistem tata kelola manapun. COBIT 5 meliputi semua fungsi dan proses yang dibutuhkan untuk mengatur dan mengelola informasi perusahaan dan teknologi dimana informasi tersebut diproses. COBIT 5 meyediakan suatu pandangan yang menyeluruh dan sistemik pada tata kelola dan manajemen TI perusahaan, berdasarkan sejumlah pemicu / enabler. Pemicu-pemicu tersebut melingkupi seluruh perusahaan dari ujung ke ujung, termasuk semua hal dan semua orang, internal dan eksternal, yang berhubungan dengan tata kelola dan manajemen informasi dan TI perusahaan, termasuk juga aktivitas-aktivitas dan tanggungjawab dari kedua fungsi, yaitu fungsi TI dan fungsi bisnis selain TI. Pendekatan yang digunakan dalam tata kelola adalah sebagai berikut : 1.
Pemicu Tata Kelola
Pemicu Tata Kelola adalah sumber daya organisasi untuk tata kelola, seperti kerangka kerja, prinsip, struktur, proses, dan praktik. Sumber daya perusahaan juga termasuk sebagai pemicu tata kelola, seperti misalnya kemampuan layanan (infrastruktur TI, aplikasi, dsb), manusia dan informasi. Kekurangan sumber daya atau pemicu dapat mempengaruhi kemampuan suatu perusahaan dalam menciptakan sebuah nilai. 2.
Ruang Lingkup Tata Kelola
Tata kelola dapat diterapkan pada seluruh perusahaan, suatu entitas, suatu aset yang tangible maupun intangible, dsb. Maka dimungkinkan untuk dapat menentukan pandangan yang berbeda terhadap tata kelola seperti apa sajakah yang dapat diterapkan dalam perusahaan, dan hal tersebut sangat penting untuk menentukan ruang lingkup sistem tata kelola dengan tepat dan baik. 3.
Peran, Aktivitas, dan Hubungan
Elemen terakhir adalah peranan, aktivitas, dan hubungan tata kelola. Hal ini menentukan siapa yang terlibat dalam tata kelola, bagaimana mereka terlibat, apa yang mereka lakukan dan bagaimana mereka berinteraksi dalam suatu ruang lingkup 25
sistem tata kelola. Dalam COBIT 5, perbedaan jelas dibuat antara aktivitas tata kelola dan aktivitas manajemen, dan juga mengenai interaksi antar keduanya dan para pelaku yang terlibat di dalamnya.
Gambar 2.5Peranan, Aktivitas, dan Hubungan Tata kelola dan Manajemen
3.
Prinsip 3 : Menerapkan Suatu Kerangka Tunggal yang Terintegrasi Terdapat beberapa standar dan best practices yang berhubungan dengan TI,
masing-masing menyediakan panduan dalam sebuah bagian dari aktivitas TI. COBIT 5 adalah sebuah kerangka tunggal dan terintegrasi karena :COBIT 5 selaras dengan standar dan kerangka kerja lain yang relevan dan terbaru, dan hal tersebut memungkinkan perusahaan untuk menggunakan COBIT 5 sebagai kerangka kerja untuk tata kelola dan manajemen secara menyeluruh dan terintegrasi,COBIT 5 sangat lengkap menjangkau semua lingkup perusahaan, menyediakan dasar untuk secara efektif mengintegrasikan kerangka kerja, standar, dan praktik lain yang telah digunakan. COBIT 5 menyediakan sebuah arsitektur sederhana untuk menyusun bahan panduan dan menghasilkan produk yang konsisten. COBIT 5 mengintegrasikan semua pengetahuan sebelumnya yang terpecah-pecah dalam kerangka ISACA yang berbeda-beda. ISACA sebelumnya telah mengembangkan beberapa kerangka kerja seperti
COBIT,
ValIT,
RiskIT,
BMIS,
mengintegrasikan semua pengetahuan tersebut.
26
ITAF,
dan
lain-lain.
COBIT
5
Gambar 2.6Integrasi standar dan kerangka kerja lain dalam COBIT
4.
Prinsip 4 : Menggunakan sebuah pendekatan yang menyeluruh Tata kelola dan manajemen TI perusahaan yang efektif dan efisien memerlukan
suatu pendekatan yang menyeluruh, dan melibatkan beberapa komponen yang saling berinteraksi. COBIT 5 mendefinisikan serangkaian pemicu untuk mendukung implementasi sistem yang komprehensif tentang tata kelola dan manajemen TI perusahaan. Pemicu secara luas didefinisikan sebagai sesuatu hal apapun yang dapat membantu mencapai tujuan perusahaan. Pemicu adalah faktor yang – secara individual maupun kolektif – mempengaruhi apakah sesuatu dapat berjalan dengan baik, dalam kasus ini adalah apakah tata kelola dan manajemen TI perusahaan dapat berjalan dengan baik. COBIT 5 menjelaskan tujuh kategori pemicu : 1.
Prinsip, Kebijakan, dan Kerangka Kerja, merupakan sarana untuk menerjemahkan kebiasaan-kebiasaan yang diinginkan menjadi suatu panduan praktik untuk manajemen sehari-hari.
27
2.
Proses, menjelaskan serangkaian aktivitas dan praktik yang teratur untuk mencapai tujuan tertentu dan menghasilkan outputdalam mendukung pencapaian tujuan TI secara menyeluruh.
3.
Struktur Organisasi, merupakan kunci untuk pengambilan keputusan dalam suatu perusahaan.
4.
Budaya, Etika, dan Kebiasaan, sering diremehkan sebagai salah satu kunci sukses dalam aktivitas tata kelola dan manajemen.
5.
Informasi, menyebar ke seluruh organisasi dan termasuk semua informasi yang dihasilkan dan digunakan oleh perusahaan. Informasi dibutuhkan untuk menjaga agar perusahaan dapat berjalan dan dikelola dengan baik.
6.
Layanan, Infrastruktur, dan Aplikasi, termasuk infrastruktur, teknologi, dan aplikasi yang menyediakan layanan dan pengolahan teknologi informasi bagi perusahaan.
7.
Manusia, Kemampuan, dan Kompetensi, berhubungan dengan manuasia dan diperlukan untuk keberhasilan semua aktivitas dan untuk menentukan keputusan yang tepat serta untuk mengambil tindakan korektif.
28
Gambar 2.7Tujuh Kategori Pemicu dalam COBIT 5
Setiap perusahaan harus selalu mempertimbangkan bahwa pemicu -pemicu tersebut saling berhubungan satu dengan yang lainnya. Masing-masing pemicu memerlukan input dari pemicu yang lain untuk dapat berfungsi secara efektif, misalnya proses memerlukan informasi, struktur organisasi memerlukan kemampuan dan kebiasaan. Masing-masing pemicu juga memberikan output yang bermanfaat bagi pemicu yang lain, misalnya proses menghasilkan informasi, kemampuan dan kebiasaan untuk membuat proses tersebut efisien. 5.
Prinsip 5 : Pemisahan Tata kelola Dari Manajemen Kerangka COBIT 5 memuat suatu perbedaan yang jelas antara tata kelola dan
manajemen. Dua disiplin yang berbeda ini juga meliputi aktivitas yang berbeda, memerlukan struktur organisasi yang berbeda dan melayani tujuan yang berbeda pula. Kunci perbedaan antara tata kelola dan manajemen menurut COBIT 5 adalah: 1.
Tata kelola menjamin bahwa kebutuhan stakeholder, kondisi-kondisi, dan pilihan-pilihan selalu dievaluasi untuk menentukan tujuan perusahaan yang seimbang dan disepakati untuk dicapai; menentukan arah melalui penentuan prioritas dan pengambilan keputusan; dan memantau pemenuhan unjuk kerja terhadap tujuan dan arah yang disepakati. Pada kebanyakan perusahaan, tata kelola secara menyeluruh adalah tanggung jawab para direksi dibawah pimpinan seorang chairperson. Tanggung jawab tata kelola yang lebih spesifik dapat didelegasikan kepada sebuah struktur organisasi khusus pada sebuah tingkatan yang lebih memerlukannya, biasanya pada perusahaan yang besar dan kompleks.
2.
Manajemen bertugas untuk merencanakan, membangun, menjalankan, dan memantau aktivitas dalam rangka penyelarasan dengan arah perusahaan yang telah ditentukan oleh badan pengelola (tata kelola), untuk mencapai tujuan perusahaan. Kebanyakan perusahaan, manajemen adalah tanggungjawab manajemen eksekutif di bawah pimpinan seorang CEO.
29
Berdasarkan definisi tata kelola dan manajemen, jelas terlihat bahwa keduanya meliputi aktivitas-aktivitas yang berbeda dengan tanggung jawab yang berbeda. Bagaimanapun juga, berdasarkan peranan tata kelola untuk mengevaluasi, mengarahkan, dan memantau diperlukan suatu interaksi antara tata kelola dan manajemen untuk menghasilkan sistem tata kelola yang efektif dan efisien.
Gambar 2.8Area Kunci Tata kelola dan Manajemen dalam COBIT 5
2.6.3 Model Referensi Proses dalam COBIT 5 Dalam COBIT 5 terdapat suatu model referensi proses yang menentukan dan menjelaskan secara detail mengenai proses tata kelola dan manajemen. Model tersebut mewakili semua proses yang biasa ditemukan dalam perusahaan yang berhubungan dengan aktivitas TI, serta menyediakan model sebagai referensi yang mudah dipahami dalam operasional TI dan oleh manajer bisnis. Model proses yang diberikan merupakan suatu model yang lengkap dan menyeluruh, tapi bukan merupakan satu-satunya model proses yang mungkin digunakan. Setiap perusahaan harus menentukan rangkaian prosesnya sendiri sesuai dengan situasinya yang spesifik. Model referensi proses dalam COBIT 5 membagi proses tata kelola dan manajemen TI perusahaan menjadi dua domain proses utama, yaitu :
30
1.
Tata Kelola, memuat lima proses tata kelola, dimana akan ditentukan praktikpraktik dalam setiap proses Evaluate, Direct, dan Monitor (EDM)
2.
Manajemen, memuat empat domain, sejajar dengan area tanggungjawab dari Plan, Build, Run, and Monitor (PBRM), dan menyediakan ruang lingkup TI yang menyeluruh dari ujung ke ujung. Domain ini merupakan evolusi dari domain dan struktur proses dalam COBIT 4.1, yaitu:Align, Plan, andOrganize (APO) – Penyelarasan, Perencanaan, dan Pengaturan. Build, Acquare, and Implement (BAI) – Membangun, Memperoleh, dan MengimplementasikanDeliver, Service and Support (DSS) – Mengirimkan, Layanan, dan DukunganMonitor, Evaluate, and Assess (MEA) – Pengawasan, Evaluasi, dan Penilaian Model proses referensi dalam COBIT 5 adalah suksesor dari model proses
COBIT 4.1, dengan mengintegrasikan model proses dari RiskITdan ValIT. Secara total ada 37 proses tata kelola dan manajemen dalam COBIT 5 sebagaimana dapat dilihat dalam Gambar 2.9.
31
Gambar 2.9Model Referensi Proses dalam COBIT 5
2.6.4 Model Kapabilitas Proses dalam COBIT 5 Para pengguna COBIT 4.1, RiskIT,dan ValITmungkin sudah mengenal adanya model kematangan proses dalam kerangka-kerangka tersebut. Model tersebut digunakan untuk mengukur tingkat kematangan proses yang berhubungan dengan TI dalam suatu perusahaan, untuk mendefinisikan persyaratan tingkat kematangan, dan untuk menentukan celah diantara tingkat-tingkat kematangan serta bagaimana untuk meningkatkan proses dalam rangka untuk mencapai tingkatan kematangan yang diinginkan.
Gambar 2.10Model Kematangan Proses dalam COBIT 4.1
Sedangkan pada COBIT 5, dikenalkan adanya model kapabilitas proses, yang berdasarkan pada ISO/IEC 15504, standar mengenai Software Engineering dan Process Assessment. Model ini mengukur performansi tiap-tiap proses tata kelola (EDM-based) atau proses manajemen (PBRM based), dan dapat mengidentifikasi area-area yang perlu untuk ditingkatkan performansinya. Model ini berbeda dengan model proses maturity dalam COBIT 4.1, baik itu pada desain maupun penggunaannya.
32
Gambar 2.11Model Kapabilitas Proses dalam COBIT 5
Terdiri atas enam tingkatan kapabilitas yang dapat dicapai oleh masing-masing proses, yaitu : 1.
Level 0 Incomplete Process – Proses tidak lengkap; Proses tidak diimplementasikan atau gagal mencapai tujuannya. Pada tingkatan ini, hanya ada sedikit bukti atau bahkan tidak ada bukti adanya pencapaian sistematik dari tujuan proses tersebut.
2.
Level 1 Performed Process – Proses dijalankan (satu atribut); Proses yang diimplementasikan berhasil mencapai tujuannya.
3.
Level 2 Managed Process – Proses teratur (dua atribut); Proses yang telah dijalankan seperti di atas telah diimplementasikan dalam cara yang lebih teratur (direncanakan, dipantau, dan disesuaikan), dan produk yang dihasilkan telah ditetapkan, dikendalikan, dan dijaga dengan baik.
4.
Level 3 Established Process – Proses tetap (dua atribut); Proses di atas telah diimplementasikan menggunakan proses tertentu yang telah ditetapkan, yang mampu mencapai outcome yang diharapkan.
33
5.
Level 4 Predictable Process – Proses yang dapat diprediksi (dua atribut); Proses di atas telah dijalankan dalam batasan yang ditentukan untuk mencapai outcome proses yang diharapkan.
6.
Level 5 Optimising Process – Proses Optimasi (dua atribut); Proses di atas terus ditingkatkan secara berkelanjutan untuk memenuhi tujuan bisnis saat ini dan masa depan. Keuntungan model kapabilitas proses COBIT 5 dibandingkan dengan model
kematangan proses dalam COBIT 4.1, diantaranya : 1.
Meningkatkan fokus pada proses yang sedang dijalankan, untuk meyakinkan apakah sudah berhasil mencapai tujuan dan memberikan outcome yang diperlukan sesuai dengan yang diharapkan.
2.
Konten yang lebih disederhanakan dengan mengeliminasi duplikasi, karena penilaian model kematangan dalam COBIT 4.1 memerlukan penggunaan sejumlah komponen spesifik, termasuk model kematangan umum, model kematangan proses, tujuan pengendalian dan proses pengendalian untuk mendukung proses penilaian model kematangan dalam COBIT 4.1.
3.
Meningkatkan keandalan dan keberulangan dari aktivitas penggunaan kapabilitas proses dan evaluasinya, mengurangi perbedaan pendapat diantara stakeholder dan hasil penilaian.
4.
Meningkatkan kegunaan dari hasil penilaian kapabilitas proses, karena model baru ini memberikan sebuah dasar bagi penilaian yang lebih formal dan teliti.
5.
Sesuai dengan standar penilaian yang dapat diterima secara umum sehingga memberikan dukungan yang kuat bagi pendekatan penilaian proses yang ada di pasaran. Berdasarkan pemetaan proses COBIT dengan IT goals dan permintaan
perusahaan maka terdapat 29 proses COBIT yang diukur capabilitylevel-nya. Dalam melakukan proses penilaian capability level proses COBIT, masing-masing proses diperiksa secara bertahap apakah proses tersebut telah memenuhi persyaratanpersyaratan yang harus dipenuhi pada masing-masing level, mulai dari level 1 hingga 34
level 5.Terdapat ketentuan kategori dari hasil penilaian di tiap levelnya, yaitu suatu proses cukup meraih kategori Largely achieved (L) dengan range nilai berkisar dari 50 sampai dengan 85% atau Fully achieved (F) dengan range nilai berkisar dari 85% sampai dengan 100% untuk dapat dinyatakan bahwa proses tersebut telah meraih suatu level kapabilitas tersebut, namun proses tersebut harus meraih kategori Fully achieved (F) untuk dapat melanjutkan penilaian ke level kapabilitas berikutnya. Dalam perhitungan dilakukan beberapa tahapan yang memakai perhitungan matimatik antar lain: Table 2.1 Rumus Mencari Nilai Responden
1. Mencari Nilai Responden Rumus: T X Pn T=Total Jumlah Panelis Yang memilih Pn=Pilihan Angka Skort Likert Y: Nilai Terbesar : Range nilai (0-5) x Total Responden X: Nilai Terkecil : Range Nilai Terkecil (0) 2. Mencari Nilai Index Rumus Index % = Total Skor/Y x 100 3. Mencari Nilai Gap Nilai Gap = ∑ Index - ∑ Target
Pada Uraian ini dijelaskan perhitungan tingkat kematangan sesuai dengan aturan COBIT 5. Dan akan diberikan sebuah contoh perhitungan pada Bab empat (4) dengan rumus berikut: Table 2.2 Model Capability versi COBIT 5
0,00 -
0,51 -1,50
1,51 – 2,50
2,51 – 3,50
3,51– 4,50
4,51- 5,00
Level 1
Level 2
Level 3
Level 4
Level 5
Tidak Baik
Netral
Sangat
Amat Sangat
Baik
Baik
0,50 Level 0 Amat Sangat Tidak
Sangat Tidak Baik
35
Baik
Pada pengukuran Capabilitymodel ini digunakan pengambilan data melalui kuisioner. Sampel responden yang dilibatkan untuk pengisian kuisioner terutama adalah pada unit kerja TI yang kesehariannya mengoperasikan secara langsung dan mengetahui masalah yang berkaitan dengan proses terpilih, responden berasal dari unit kerja lain yang terkait. Untuk mendukung audit tata kelola teknologi informasi ini diperoleh dari kuesioner akan diolah dan dilakukan: 1.
Perhitungan rata-rata terhadap masing-masing atribut jawaban dari semua responden.
2.
Penilaian tingkat model capability proses tersebut diperoleh dengan melakukan perhitungan rata-rata semua atribut atau proses.
3.
Representasi kondisi teknologi informasi yang ada. Ukuran dalam model ini meliputi ukuran ordinal dan ukuran nominal ukuran
ordinal
merupakan
angka-angkayang
diberikan
dimana
angka
tersebut
mengandungpengertian tingkatan. Ukuran nominal digunakan untuk mengurutkan obyek dari tingkatan terendah sampai tertinggi. Ukuran tersebut tidak memberikan nilai absolut terhadap obyek, akan tetapi hanya memberikan urutan tingkatan dari tingkat terendah sampai dengan tingkat tertinggi. Selanjutnya merelasikan antara nilai tingkatan dan nilai absolut yang dilakukan dengan perhitungan dalam bentuk indeks menggunakan formula matematik. Dengan menggunakan model capabilityyang digambarkan ke dalam bentuk angka dan grafik, sehingga hal ini dapat memudahkan dalam hasil pnelitian. Pada penelitian ini akan diambil salah satu domain yang akan dijadikan sebagai contoh perhitungan yaitu Domain MEA. untuk menentukan nilai indeks domain MEA adalah sebagai berikut:
36
Index = ∑ Jawaban Kuesioner ∑ Domain Proses Index = ∑ MEA01 + ∑ MEA02 + ∑ MEA03 ∑ Domain Proses Pada penjelasan rumus diatas akan diuraikan lebih detail proses perhitungannya yang dijelaskan per langkah rumus yang nantinya akan diproses sesuai dengan aturan rumus COBIT 5. terlihat pada table dibawah ini antara lain : Plan, build, run and monitor (PBRM) tentang manajemen TI. Table 2.4 Plan, build, run and monitor (PBRM)
No
Domain
Pertanyaan
1.
EDM01
Bagaimana perencanaan dan prosedur yang terkait dengan pengelolaan TI Biro Keuangan Setda Prov. Bali.
2.
EDM02
Bagaimana Biro Keuangan Setda Provinsi Bali dapat mempertahankan kualitas TI.
3.
EDM03
Bagaimana organisasi memiliki suatu perencanaan dalam kerja sama dengan pihak eksternal dalam pengelolaan IT.
4.
EDM04
Bagaimana organisasi memiliki peraturan tentang pengadaan perangkat TI.
5.
EDM05
Bagaimana organisasi dapat diatur dan diukur oleh pihak eksternal dalam kegiatan TI.
Align, plan, and organize (APO) – penyelarasan, perencanaan dan pengaturan. Table 2.5 Align, plan, and organize (APO)
No Domain
Pertanyaan
1.
Bagaimana organisasi mengintergasi proses yang khusus
APO01
untuk TI dengan proses manajemen bisnis organisasi
37
2.
APO02
Bagaimana organisasi telah mengidentifikasi potensi teknologi dalam menciptakan pelayanan publik.
3.
APO03
Bagaimana organisasi memfasilitasi penciptaan TI yang optimal.
4.
APO04
Bagaimana organisasi menempatkan TI berfungsi dalam struktur organisasi
5.
APO05
Bagaimana
organisasi
tentang
sistem
pelaporan
organisasi sesuai waktu diterntukan 6.
APO6
Bagaimana organisasi memiliki skala proritas anggaran TI.
7.
APO07
Bagaimana proses perekrutan personil sesuai dengan kebijakan dan prosedur
8.
APO08
Bagaimana
koordinasi
dalam
penerapan
integrasi
pengelolaan jaringan dengan unit-unit di lingkungan Biro Keuangan Setda Provinsi Bali. 9.
APO09
Bagaimana organisasi melakukan kontrak kerja sama dengan pihak lain dalam pengelolaan insfastruktu TI
10. APO10
Bagaimana mengidentifikasi dan pemeliharaan dari pengadan barang TI.
11. APO11
Bagaimana organisasi meningkatkan layan kulitas TI
12. APO12
Bagaimana menilai kemungkinan dan dampak dari semua risiko yang teridentifikasi.
13. APO13
Bagaimana sistem keamanan yang memadai sudah dimiliki.
Build, Acquare, and Implement (BAI) – Membangun, Memperoleh, dan Mengimplementasikan.
38
Table 2.6 Align, plan, and organize (APO)
No
Domain
Pertanyaan
1.
BAI01
Bagaimana sistem keamanan yang memadai sudah dimiliki
2.
BAI02
Bagaimana organisasi sistem pelaporan kinerja
3.
BAI03
Bagaimana
mengelola
solusi
Identifikasi
dan
Membangun dan pengawasan terhadap insfrastruktur sofware dan hadware. 4.
BAI04
Bagaimana melakukan pengawasan terhadap kapasitas dari sumberdaya TI yang ada.
5.
BAI05
Bagaimana penetapan rencacana uji perubahan TI sudah sesuai standar.
6.
BAI06
Bagaimana melakukan perubahan dilakukan secara mendadak dan bagaiman dengan pendokumentasiannya
7.
BAI07
Bagaimana
melakukan
penetapan
rencacana
uji
perubahan transisi sudah sesuai standar 8.
BAI08
Bagaimana organisasi dapat melakukan perencaaan pengembangan SDM untuk solusi opresional
9.
BAI09
Bagaimana melakukan pengawasan dan solusi terhadap aset pengelolaan TI
10. BAI10
Bagaimana memiliki identifikasi dan pemeliharaan dari pengadan barang
Deliver, Service and Support (DSS) – Mengirimkan, Layanan, dan Dukungan. Table 2.7 Deliver, Service and Support (DSS)
No
Domain
Pertanyaan
1.
DSS01
Bagaimana mengimplementasikan prosudur operasi TI untuk mendukung kinerja.
2.
DSS02
Bagaimana layanan TI untuk mendukung kinerja
39
eksternal. 3.
DSS03
Bagaimana mengelola permasalahan TI sudah sesuai standar.
4.
DSS04
Bagaimana meningkatkan pemeliharaan dan layanan sofware dan hadware
5.
DSS05
Bagaimana dukungan layanan TI Biro Keuangan Setda Provinsi Bali.
6.
DSS06
Bagaimana menentukan prosedur untuk backup data yang sejalan dengan layanan dan dukungan bisnis Biro Keuangan Setda Provinsi Bali.
Monitor, Evaluate, and Assess (MEA) – Pengawasan, Evaluasi, dan Penilaian. Table 2.8 Monitor, Evaluate, and Assess (MEA)
No
Domain
Pertanyaan
1.
MEA01
agaimana mengevaluasi n dan menyelaraskan kerangka tata kelola teknologi informasi dengan tata kelola organisasi secara keseluruhan .
2.
MEA02
Bagaimana
melaukan
penilaian
tujuan
yang
direncanakan telah dicapai, mencakup sumber dana yang digunakan dan kinerja yang telah ditargetkan terpenuhi. 3.
MEA03
Bagaimana mengidentifikasi secara terus menerus, hukum
lokal
dan
internasional,
peraturan,
dan
persyaratan eksternal lainnya yang harus dipenuhi untuk dimasukkan ke dalam kebijakan organisasi, standar, prosedur dan metodologi teknologi informasi
40
2.6.5 Tata Kelola TI Tata kelola TI adalah suatu struktur hubungan dan proses untuk mengatur dan mengontrol perusahaan yang bertujuan untuk mencapai tujuan perusahaan yang telah ditetapkan dengan pertambahan nilai dengan tetap menyeimbangkan resiko-resiko dengan nilai yang didapatkan dari penerapan TI dan proses-prosesnya. Tatakelola teknologi informasi bukan bidang yang terpisah dari pengelolaan perusahan, melainkan merupakan komponen pengelolaan perusahaan secara keseluruhan, dengan tanggung jawab utama sebagai berikut: 1.
Memastikan kepentingan stakeholder diikutsertakan dalam penyusunan strategi perusahaan.
2.
Memberi arahan kepada proses-proses yang menerapkan strategi perusahaan.
3.
Memastikan proses-proses tersebut menghasilkan keluaran yang terukur.
4.
Memastikan
adanya
informasi
mengenai
hasil
yang
diperoleh
dan
mengukurnya. Penerapan TI di perusahaan tidak selamanya selaras dengan strategi dan tujuan perusahaan. Untuk itu perlu dilakukan analisis terhadap infrastruktur dan pengelolaan TI yang ada agar dapat selalu dipastikan kesesuaian infrastruktur dan pengelolaan yang ada dengan tujuan perusahaan. Tata kelola TI sebagai “tanggung jawab dari eksekutif dan manajemen organisasi yang mencakup model kepemimpinan, struktur organisasi dan proses serta meyakinkan layanan TI secara keseluruhan mampu bertahan dalam persaingan dan merupakan turunan dari strategi organisasi”. Secara jelas diungkapkan bahwa tanggung jawab tata kelola TI berada di tangan organisasi secara keseluruhan, bukan hanya tanggung jawab dari manajemen TI saja (ITGI, IT Governance Institute, 2007). Tantangan krusial tata kelola TI sekarang ini adalah bagaimana memastikan bahwa penerapan tata kelola TI pada suatu organisasi dapat memberikan manfaat bisnis yang optimal dari setiap investasi SI/TI yang dilakukan. Manfaat bisnis ini
41
harus dapat terukur dengan jelas. Dengan demikian penyelarasan bisnis dan TI yang mengarahkan pada pemenuhan nilai bisnis adalah elemen kunci dari Tata Kelola TI(Grembergen, 2004). 2.6.6 Kerangka Tata Kelola TI Berikut di bawah ini merupakan gambaran umum kerangka tata kelola teknologi informasi.
Gambar 2.12 Kerangka Umum Tata Kelola TI
Seperti yang sudah dipaparkan sebelumnya, bahwa isu utama dalam pengelolaan TI masa kini adalah bagaimana menyelaraskan strategi bisnis dengan TI. Isu tersebut merupakan bagian dari fokus pembahasan Tata Kelola TI sehingga panduan tersebut dapat digunakan untuk membantu penyelarasan strategi bisnis dan Tujuan TI. Berbagai kerangka kerja Tata Kelola TI tersedia dan sudah dibakukan serta diakui di seluruh dunia.Sebagai contoh: Information Technology Infrastructure Library (ITIL) (Davies, 2003), ISO 17799 (ISO, 2005) dan Control Oijectives for Information and related Technology) (COBIT) (ISACA, COBIT 4.1,2007).
42
Gambar 2.13penyelarasan strategi bisnis dan Tujuan TI
Kerangka kerja tersebut memiliki peran dan fungsi masing-masing dalam Tata Kelola TI. Peran dan fungsi utama dalam Tata Kelola TI mencakup dua hal utama, yaitu: pengaturan (govern) dan pengelolaan (manage) seperti terlihat dalam Gambar 1.2 (ISACA, Integrating COBIT into the IT Audit Process (planning, Scope) Development, Practices, 2006). Pengaturan (govern) mencakup hal-hal apa yang mendasari tata kelola tersebut yang ditentukan melalui pendefmisian strategi dan kontrol. Contoh kerangka kerja yang masuk dalam cakupan ini adalah COBIT. 1.7
Software Standarisasi Audit Berikut merupakan aplikasi standarisasi audit yang sejenis dengan COBIT.
2.7.1 ITIL ITIL atau Information Technology Infrastructure Library, merupakan sebuah framework yang dibuat dan dikembangkan oleh Office of Government Commerce (OGC) di Inggris. ITIL merupakan kumpulan dari best practice tata kelola layanan teknologi informasi diberbagai bidang dan industri, dari mulai manufaktur sampai finansial, industri besar dan kecil, swasta dan pemerintah. 43
Dalam perkembangannya ITIL telah mengalami perkembangan seiring dengan berkembangnya teknologi informasi. Pada awal perkembangannya, dokumentasi ITIL terdiri dari kurang lebih 40 publikasi yang terbagi kedalam modulmodul terpisah, setelah itu untuk simplifikasi serta kemudahan implementasi ITIL dibagi kedalam 7 domain yang masing-masing saling berhubungan dan dapat berdiri sendiri. Dalam perkembangan fase ini atau sekarang disebut juga dengan ITIL versi 2, domain Service Support dan Service Delivery dijadikan sebagai CORE dalam tata kelola layanan teknologi informasi atau IT Service Management.Versi terakhir dari ITIL adalah versi 3. Perubahan mendasar pada versi ini terletak dari sudut pandang pengelolaan IT, dimana pada versi 2 ITIL mengelola layanan sebagai sekumpulan proses dan fungsi sementara dalam ITIL versi 3 layanan sebagai sebuah lifecycle / daur hidup. 2.7.2 ISO ISO 9001 merupakan model sistem jaminan kualitas dalam desain atau pengembangan, produksi, instalasi, dan pelayanan atau sering disebut dengan istilah Sistem Manajemen Mutu (SMM) (M.N. Nasution, 2001). ISO 9001 merupakan standar internasional yang mengatur tentang Sistem Manajemen Mutu (Quality Management System) (Sugeng Listyo Prabowo, 2009). Berdasarkan pengertian tersebut bisa disimpulkan bahwa ISO 9001 merupakan salah satu dari seri ISO 9000 yang mengatur tentang Sistem Manajemen Mutu, sehingga ISO 9001 sering disebut dengan Sistem Manajemen Mutu (SMM) ISO 9001. ISO 9001 lahir pertama kali pada tahun 1987 yang dikenal dengan nama Sistem Manajemen Mutu (SMM) ISO 9001:1987. Ada tiga versi pilihan implementasi pada seri 1987 ini yaitu yang menekankan pada aspek Quality Assurance, aspek QA and Productiondan Quality Assurance for Testing. Konsentrasi utamanya adalah inspection product di akhir sebuah proses (dikenal dengan final
44
inspection) dan kepatuhan pada aturan prosedur sistem yang harus dipenuhi secara menyeluruh. (Sugeng Listyo Prabowo, 2009). Perkembangan berikutnya, tahun 1994, karena kebutuhan guaranty quality bukan hanya pada aspek final inspection, tetapi lebih jauh ditekankan perlunya proses preventive
action
untuk
menghindari
kesalahan
pada
proses
yang
menyebabkanketidak sesuaian pada produk. Namun demikian seri 9001:1994 ini masih menganut prosedur sistem yang kaku dan cenderung document centre dibanding kebutuhanorganisasi yang disesuaikan dengan proses internal organisasi. Seri 9001:1994 lebih fokus pada proses manufacturing dan sangat sulit diaplikasikan pada organisasi bisnis kecil karena banyaknya prosedur yang harus dipenuhi. Karena ketebatasan inilah, maka technical committee melakukan tinjauan atas standar yang ada hingga akhirnya lahirlah revisi ISO 9001:2000 yang merupakan penggabungan dari ISO 9001, 9002, dan 9003 versi 1994. (Wawan Setyawan, 2009). Wawan Setyawan (2009) juga mengatakan bahwa pada seri 9001:2000, tidak lagi dikenal 20 klausul wajib, tetapi lebih pada proses bisnis yang terjadi dalam organisasi. Sehingga organisasi sekecil apapun bisa mengimplementasi SMM ISO 9001:2000 dengan berbagai pengecualian pada proses bisnisnya. Maka dikenalah istilah BPM atau Business Process Mapping, setiap organisasi harus memetakan proses bisnisnya dan menjadikannya bagian utama dalam quality manual perusahaan, walau demikian ISO 9001:2000 masih mewajibkan 6 prosedur yang harus terdokumentasi, yaitu prosedur control of document, control of record, Control of Non conforming Product, Internal Audit, Corrective Action, dan Preventive Action, yang semuanya bisa dipenuhi oleh organisasi bisnis manapun. Seri ISO 9001:2008 pada perkembangan berikutnya lahir sebagai bentuk penyempurnaan atas revisi tahun 2000. Adapun perbedaan antara seri ISO 9001: 2000 dengan ISO 9001: 2008 secara signifikan lebih menekankan pada efektivitas proses yang dilaksanakan dalam organisasi tersebut. Jika pada seri ISO 9001: 2000 mengatakan harus dilakukan corrective dan preventive action, maka seri ISO 9001: 2008 menetapkan bahwa proses corrective dan preventive action yang dilakukan 45
harus secara efektif berdampak positif pada perubahan proses yang terjadi dalam organisasi. Selain itu, penekanan pada kontrol proses outsourcing menjadi bagian yang disoroti dalam seri terbaru ISO 9001 ini. (Wawan Setyawan, 2009). Berdasarkan pemaparan di atas maka bisa disimpulkan bahwa seri ISO 9001 dalam perkembangannya telah mengalami tiga kali revisi sejak pertama didirikan pada tahun 1987. Revisi pertama terjadi pada tahun 1994 yang selanjutnya seri ISO 9001 ini sering dikenal dengan nama Sistem Manajemen Mutu (SMM) ISO 9001:1994. Revisi kedua terjadi pada tahun 2000 yang selanjutnya seri ISO 9001 ini sering dikenal dengan nama Sistem Manajemen Mutu (SMM) ISO 9001:2000. Revisi ketiga terjadi pada tahun 2008 yang selanjutnya seri ISO 9001 ini sering dikenal dengan nama Sistem Manajemen Mutu (SMM) ISO 9001:2008. Secara umum tidak ada perubahan signifikan dari revisi tahun 2000 ke tahun 2008, tidak ada penambahan maupun pengurangan klausul di dalamnya. 2.7.3 COSO COSO
(Committee
of
Sponsoring
Organizations
of
the
Treadway
Commission) sebuah framework yang dibuat oleh sektor swasta untuk menghindari tindak korupsi yang sedang marak terjadi di Amerika pada sekitar tahun 1970. COSO berkaitan dengan FCPA yang dikeluarkan oleh SEC dan US Congress pada tahun 1977 yang bertujuan untuk melawan fraud dan korupsi yang sedang maraknya terjadi di Amerika sekitar tahun 70an. Yang membedakannya adalah FCPA merupakan inisiatif dari eksekutif-legislatif, sedangkan COSO merupakan inisiatif dari sektor swasta.
46
Gambar 2.14 Framework COSO
Sektor swasta ini membentuk National Commission on Fraudulent Financial Reporting atau dikenal juga dengan The Treadway Commissiondi tahun 1985. Komisi ini disponsori oleh 5 professional association yaitu: AICPA (The American Institute of Certified Public Accountants), AAA (The American Accounting Association), FEI (Financial Executives International) ,IIA (The Institute of Internal Auditors), IMA (The Institute of Management Accountants). Tujuan komisi ini adalah melakukan riset mengenai fraud dalam pelaporan keuangan (fraudulent on financial reporting) dan membuat rekomendasi yang terkait dengannya untuk perusahaan publik, auditor independen, SEC, dan institusi pendidikan. Misi utama dari COSO adalah “Memperbaiki atau meningkatkan kualitas laporan keuangan entitas melalui etika bisnis, pengendalian internal yang efektif, dan corporate governance. COSO mengembangkan studi mengenai sebuah model untuk mengevaluasi pengendalian internal. Pada tehun 1992, telah diselesaikan studi tersebut dengan memperkenalkan sebuah “kerangka kerja pengendalian internal”
47
yang akhirnya menjadi sebuah pedoman bagi para eksekutif, dewan direksi, regulator, penyusun standar, organisasi profesi, dan lainnya sebagai kerangka kerja yang komprehensif untuk mengukur efektifitas pengendalian internal. 2.7.3.1 Konten dari COSO Dijelaskan ada delapan (8) komponen dalam Enterprise Risk Management, yaitu: 1.
Lingkungan Internal (Internal Environment), Sangat menentukan warna dari sebuah organisasi dan memberi dasar bagi cara pandang terhadap risiko dari setiap orang dalam organisasi tersebut. Didalam lingkungan internal ini termasuk, filosofi manajemen risikodan risk appetite, nilai-nilai etika dan integritas, dan lingkungan dimana kesemuanya tersebut berjalan. Risk Management Philosophy – Risk Appetite – Board of Directors – Integrity and Ethical Values Commitment to Competence –Organizational Structure – Assignment of Authority andResponsibility – Human Resource Standards
2.
Penentuan Tujuan (Objective Setting), tujuan perusahaan harus ada terlebih dahulusebelum manajemen dapat mengidentifikasi kejadian-kejadian yang berpotensi mempengaruhi dalam pencapaian tujuan tersebut. ERM memastikan bahwa manajemen memiliki sebuah proses untuk menetapkan tujuan dan tujuan tersebut terkait serta mendukung misi perusahaan dan konsisten dengan risk appetite-nya. Strategic Objectives – Related Objectives – Selected Objectives – Risk Appetite – Risk Tolerances
3.
Identifikasi Kejadian (Event Identification), Kejadian internal dan eksternal yang mempengaruhi pencapaian tujuan perusahaan harus diidentifikasi, dan dibedakan antara risiko dan peluang yang dapat terjadi. Peluang dikembalikan kepada
proses
penetapan
strategi
atau
tujuan
manajemen.Vents
–
InfluencingEvent Interdependencies – Event Categories – Distinguishing Risks and Opportunities
48
4.
Penilaian
Risiko
(Risiko
Assessment),
Risiko
dianalisis
dengan
memperhitungkan kemungkinan terjadi (likelihood) dan dampaknya (impact), sebagai dasar bagi penentuan pengelolaan risiko Inherent and Residual Risk – Establishing Likelihood and Impact – Data Sources – Assessment Techniques – Event. 5.
Respons Risiko (Risk Response), manajemen memilih respons risiko, menghindar, menerima, mengurangi, mengalihkan, dan mengembangkan suatu kegiatan agar risiko yang terjadi masih sesuai dengan toleransi dan risk appetite. Evaluating Possible Responses – Selected Responses – Portfolio View.
6.
Kegiatan Pengendalian (Control Activities), kebijakan serta prosedur yang ditetapkan dan diimplementasikan untuk membantu memastikan respons risiko berjalan dengan efektif.Integration with Risk Response – Types of Control Activities – Policies and Procedures – Controls over Information Systems – Entity Specific
7.
Informasi dan Komunikasi (Information and Communication), Informasi yang relevan diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan waktu yang
memungkinkan
setiap
orang
menjalankan
tanggung
jawabnya.
Information – Communication. 8.
Pengawasan (Monitoring), Keseluruhan proses ERM dimonitor dan modifikasi dilakukan apabila perlu. Pengawasan dilakukan secara melekat pada kegiatan manajemen yang berjalan terus-menerus, melalui evaluasi secara khusus, atau dengan keduanya.Ongoing Monitoring Activities – Separate Evaluations – Reporting Deficiencies.
2.7.3.2 Lingkup penggunaan COSO Ruang lingkup COSO adalah organisasi atau perusahaan. Didalam dokumen COSO dikatakan bahwa pihak-pihak yang terlibat dalam pengendalian internal adalah dewan komisaris, manajemen, dan pihak-pihak lainnya yang mendukung pencapaian tujuan organisasi. COSO menyatakan Pengendalian Internal merupakan partisipasi
49
dari semua stakeholder (pemangku kepentingan) entitas yang meliputi seluruh/semua area atau fungsi dari bisnis entitas. 1.8
Perbedaan COBIT dengan Software Standarisasi Audit lain
Berikut merupakan perbedaan antara COBIT dengan software standarisasi audit lainnya yang sejenis. 2.8.1 Perbedaan COSO dan COBIT COBIT (Control Objectives for Information and Related Technology) 1.
Fokus Pengguna Utama adalah manajemen, operator dan auditor sistem informasi.
2.
Sudut pandang atas internal control adalah kesatuan beberapa proses yang terdiri atas kebijakan, prosedur, penerapan serta struktur organisasi.
3.
Tujuan yang ingin dicapai dari sebuah internal control adalah pengoperasian sistem yang efektif dan efisien, kerahasiaan, kesatuan dan ketersediaan informasi yang dilengkapi dengan sistem pelaporan keuangan yang handal disesuaikan dengan peraturan yang berlaku.
4.
Komponen/domain yang dituju adalah perencanaan dan pengorganisasian, pemaduan dan penerapan, pengawasan atas dukungan serta pendistribusian.
5.
Fokus pengendalian dari COBIT adalah sisi teknologi informasi.
6.
Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian tersebut diterapkan dalam periode waktu yang sudah ditetapkan.
7.
Pertanggungjawaban atas sistem pengendalian dari CoBIT ditujukan kepada manajemen. Penjelasan diatas merupakan ringkasan umum mengenai COBIT dan dibawah
ini akan dijelaskan ringkasan umum mengenai COSO (Committee of Sponsoring Organizations) . 1.
Fokus Pengguna Utama adalah manajemen.
2.
Sudut pandang atas internal control adalah kesatuan beberapa proses secara umum.
50
3.
Tujuan yang ingin dicapai dari sebuah internal control adalah pengoperasian sistem yang efektif dan efisien, pelaporan laporan keuangan yang handal serta kesesuaian dengan peraturan yang berlaku.
4.
Komponen/domain yang dituju adalah pengendalian atas lingkungan, manajemen resiko, pengawasan serta pengendalian atas aktivitas informasi dan komunikasi.
5.
Fokus pengendalian dari eSAC adalah keseluruhan entitas.
6.
Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian tersebut diterapkan dalam poin waktu tertentu.
7.
Pertanggungjawaban atas sistem pengendalian dari eSAC ditujukan kepada manajemen.
2.8.2 COBIT dengan ITIL COBIT
(Control
Objectives
for
Information
and
related
Technology)Menggabungkan sekumpulan control objectives yang diakui secara internasional dan digunakan oleh manajer TI dan bisnis sehari-hari. COBIT menyajikan tata kelola TI dan indikator kunci yang bertujuan dalam pengembangan proses. Sekilas COBIT seakan tumpang tindih dengan ITIL, namun sejarah COBIT memang dipengaruhi oleh masalah-masalah dalam dunia asuransi. Merger dan akuisisi, penggabungan proses, alihdaya, dan
audit
adalah
area
utama
framework COBIT. Sedangkan ITIL (The Information Technology Infrastructure Library).Dikembangkan oleh Pemerintah Inggris Raya, ITIL merupakan sekumpulan best practicesuntuk proses manajemen implementasi TI. ITILmenjelaskan prosesproses yang perlu diterapkan untuk menjalankan dan mendukung layanan TI yang berfokus pada bisnis. 2.8.3 COBIT dengan ISO ISO (International Organization for Standardization). Standar Internasional dariInternational Organization for Standardization/International Electrotechnical Commission (ISO/IEC) bertujuan meningkatkan kinerja organisasi dan praktiknya
51
seputar keamanan informasi. ISO mendefinisikan pendekatan umum atas manajemen keamanan yang menyangkut tanggungjawab dan organisasi yang bertanggungjawab atas keamanan dan kebijakannya, klasifikasi aset penting, dan manajemen risiko. ISO paling baik digunakan jika sertifikasi keamanan dan definisi menyeluruh atas proses keamanan baik logikal maupun fisik dibutuhkan dan peraturan dasar dari keamanan ditentukan. 1.9
Definisi Audit TI Pengertian Audit IT secara umum Audit IT adalah suatu proses kontrol
pengujian terhadap infrastruktur teknologi informasi dimana berhubungan dengan masalah audit finansial dan audit internal. Audit IT lebih dikenal dengan istilah EDP Auditing (Electronic Data Processing), biasanya digunakan untuk menguraikan dua jenis aktifitas yang berkaitan dengan komputer. Salah satu penggunaan istilah tersebut adalah untuk menjelaskan proses penelahan dan evaluasi pengendalianpengendalian internal dalam EDP. Jenis aktivitas ini disebut sebagai auditing melalui komputer. Penggunaan istilah lainnya adalah untuk menjelaskan pemanfaatan komputer oleh auditor untuk melaksanakan beberapa pekerjaan audit yang tidak dapat dilakukan secara manual. Jenis aktivitas ini disebut audit dengan komputer. Audit IT sendiri merupakan gabungan dari berbagai macam ilmu, antara lain Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science. Audit IT bertujuan untuk meninjau dan mengevaluasi faktor-faktor ketersediaan (availability), kerahasiaan (confidentiality), dan keutuhan (integrity) dari sistem informasi organisasi. 2.9.1 Jenis Audit IT. Berikut merupakan jenis Audit Teknologi Informasi yang biasa digunakan: 1.
Sistem dan aplikasi. Audit yang berfungsi untuk memeriksa apakah sistem dan aplikasi sesuai
dengan kebutuhan organisasi,berdayaguna, dan memiliki kontrol yang cukup baik
52
untuk menjamin keabsahan, kehandalan, tepat waktu, dan keamanan pada input, proses,output pada semua tingkat kegiatan sistem. 2.
Fasilitas pemrosesan informasi. Audit yang berfungsi untuk memeriksa apakah fasilitas pemrosesan terkendali
untuk menjamin ketepatan waktu, ketelitian, dan pemrosesan aplikasi yang efisien dalam keadaan normal dan buruk. 3.
Pengembangan sistem. Audit yang berfungsi untuk memeriksa apakah sistem yang dikembangkan
mencakup kebutuhan obyektif organisasi. 4.
Arsitektur perusahaan dan manajemen TI. Audit yang berfungsi untuk memeriksa apakah manajemen TI dapat
mengembangkan struktur organisasi dan prosedur yang menjamin kontrol dan lingkungan yang berdaya guna untuk pemrosesan informasi. 5.
Client/Server, telekomunikasi, intranet, dan ekstranet. Suatu audit yang berfungsi untuk memeriksa apakah kontrol-kontrol berfungsi
pada client, server, dan jaringan yang menghubungkan client dan server. 6.
Alasan dilakukannya Audit IT. Ron Webber, Dekan Fakultas Teknologi Informasi, monash University, dalam
salah satu bukunya Information System Controls and Audit (Prentice-Hall, 2000) menyatakan beberapa alasan penting mengapa Audit IT perlu dilakukan, antara lain: a.
Kerugian akibat kehilangan data.
b.
Kesalahan dalam pengambilan keputusan.
c.
Resiko kebocoran data.
d.
Penyalahgunaan komputer.
e.
Kerugian akibat kesalahan proses perhitungan.
f.
Tingginya nilai investasi perangkat keras dan perangkat lunak komputer.
2.9.2 Manfaat Audit IT Berikut merupakan manfaat dari Audit Teknologi Informasi:
53
1.
Manfaat pada saat Implementasi (Pre-Implementation Review) a.
Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria.
2.
b.
Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
c.
Mengetahui apakah outcome sesuai dengan harapan manajemen.
Manfaat setelah sistem live (Post-Implementation Review) a.
Institusi mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk penanganannya.
b.
Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis, dan anggaran pada periode berikutnya.
c.
Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang.
d.
Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan.
e.
Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan pemeriksaan.
f.
Membantu dalam penilaian apakah initial proposed values telah terealisasi dan saran tindak lanjutnya.
2.9.3 Terminologi IT Forensik Bukti digital (digital evidence)adalah informasi yang didapat dalam bentuk atau format digital, contohnya e-mail empat elemen kunci forensik dalam teknologi informasi, antara lain : 1.
Identifikasi dari bukti digital. Merupakan tahapan paling awal forensik dalam teknologi informasi. Pada
tahapan ini dilakukan identifikasi dimana bukti itu berada, dimana bukti itu disimpan dan bagaimana penyimpanannya untuk mempermudah tahapan selanjutnya. 2.
Penyimpanan bukti digital.
54
Termasuk tahapan yang paling kritis dalam forensik. Bukti digital dapat saja hilang karena penyimpanannya yang kurang baik. 3.
Analisa bukti digital. Pengambilan, pemrosesan, dan interpretasi dari bukti digital merupakan bagian
penting dalam analisa bukti digital. 4.
Presentasi bukti digital. Proses persidangan dimana bukti digital akan diuji dengan kasus yang ada.
Presentasi disini berupa penunjukkan bukti digital yang berhubungan dengan kasus yang disidangkan. 2.9.4 Proses TI (IT Processes) Pada prinsipnya proses bisnis sudah harus berjalan hanya berpedoman pada aliran kerja (work flow). Secara praktis dapat dikatakan bahwa dengan aliran kerja yang ada, suatu proses sudah dapat dijalankan secara manual. Namun demikian, seringkali menjalankan proses bisnis dengan benar secara manual membutuhkan upaya yang cukup besar. Beberapa diantaranya waktu yang cukup lama, biaya yang cukup besar, dan peluang melakukan kesalahan yang lebih besar. Oleh karena itulah kita membutuhkan teknologi untuk membantu agar suatu proses bisnis dapat berjalan dengan lebih cepat, murah dan benar. Teknologi yang dimaksud adalah teknologi informasi (TI). Pengertian TI yang kita gunakan dalam hal ini adalah teknologi yang mencakup perangkat keras, perangkat lunak serta sistem-sistem yang terkait dalam aktivitas pengumpulan dan pengolahan data menjadi pengetahuan berikut distribusinya. Kita dapat menyebut komputer, jaringan, aplikasi, internet sebagai teknologi informasi. Teknologi Informasi mempercepat proses. Peran TI dalam mempercepat proses bisnis tidak sulit dijumpai. Jika dahulu proses perhitungan data dilakukan secara manual, dengan bantuan komputer proses tersebut dapat dilakukan dengan sangat cepat, bahkan dapat dikatakan seolah tidak perlu lagi karena sudah dilakukan secara otomatis ketika data dimasukan. Jika dahulu pesanan harus dikirimkan lewat pos dan memakan waktu beberapa hari, maka dengan internet pesanan dapat 55
dikirimkan hanya dalam beberapa menit saja. Jika sebelumnya proses analisis data dilakukan dengan susah payah dan memakan waktu, tersedianya aplikasi pengolah data dapat membantu proses ini menjadi beberapa menit saja dengan laporan dalam berbagai format yang dibutuhkan. Teknologi Informasi menurunkan biaya. Aspek biaya pada dasarnya adalah salah satu konsekuensi dari lamanya proses yang kita lakukan. Semakin lama proses yang dibutuhkan maka sumber daya yang diperlukan akan semakin banyak. Oleh karena itu, jika dapat memperpendek waktu kerja, maka secara langsung dapat mengurangi kebutuhan akan sumber daya yang pada akhirnya akan mengurangi biaya. Seperti yang sudah dijelaskan sebelumnya bahwa TI dapat mempercepat proses maka TI pun dapat dikatakan berperan dalam menurunkan biaya. Memang persoalannya, apakah investasi pada teknologi ini dapat dikembalikan oleh manfaat yang diperoleh dari penghematan biaya. Bagaimana pun, perjalanan waktu menunjukkan bahwa teknologi makin hari akan semakin murah, sementara volume pekerjaan terus bertambah. Contoh yang paling nyata adalah teknologi internet. Dengan biaya yang semakin murah, maka dilakukan banyak hal yang dulu hampir mustahil dilakukan. Jika dahulu orang yang mau berdagang harus punya toko, modal besar, produk untuk dijual, pemasaran yang intensif, maka semua itu hampir dapat dilakukan dengan internet sama baiknya dengan biaya yang jauh lebih murah. Tidak diperlukan toko secara fisik, tidak perlu karyawan, tidak perlu menyediakan stok berlebihan, bahkan ekstrimnya tidak harus mempunyai produk sendiri. Sementara itu, aktivitas pemasaran dapat dilakukan dengan cakupan area yang tidak terbatas dengan tenaga dan modal yang relatif kecil. Teknologi Informasi meningkatkan mutu proses. Saat pekerjaan dilakukan secara manual, ada banyak peluang untuk melakukan kesalahan seperti salah entry data, salah hitung, salah ketika memonitor, salah memberikan respon dan bermacam kemungkinan kesalahan lainnya. Dengan bantuan TI, semua peluang melakukan
56
kesalahan tersebut dapat dikurangi. Jika kesalahan dapat dikurangi, maka mutu dari suatu proses akan semakin baik. 2.10 Sumber Daya TI Informasi merupakan salah satu sumber utama dari perusahaan dan dapat dikelola seperti halnya sumber lain. IRM (Information Resources Management) merupakan metodologi siklus hidup yang digunakan untuk menciptakan system yang menghasilkan informasi yang berkualitas. IRM adalah konsep manajemen sumber informasi yang mengenal informasi sebagai sumber organisasional utama yang harus dikelola dengan tingkat kepentingan yang sama seperti sumber organisasional dominan lain seperti orang, keuangan, peralatan dan manajemen. Agar perusahaan sepenuhnya dapat mencapai IRM, perlu adanya serangkaian kondisi tertentu. Kondisi-kondisi tersebut meliputi elemen-elemen IRM yang diperlukan adalah : 1.
Kesadaran bahwa keunggulan kompetitif dapat dicapai melalui sumberdaya informasi yang unggul
2.
Kesadaran bahwa jasa informasi adalah suatu area fungsional utama.
3.
Kesadaran bahwa CIO adalah eksekutif puncak.
4.
Perhatian pada sumberdaya informasi perusahaan saat membuat perencanaan strategis dan rencana strategis formal untuk sumberdaya informasi.
5.
Strategi untuk mendorong dan mengelola end-user computing
6.
Rencana strategis formal untuk sumber daya informasi. Kondisi-kondisi IRM yang diperlukan tersebut tidak terpisah, tetapi bekerja
sama secara terkoordinasi. Adapun komponen dasar dalam penerapan IRM, yakni: 1.
Lingkungan perusahaan Delapan (8) elemen lingkungan memberikan latar belakang atau pengaruh
untuk mencapai keunggulan kompetitif. Para eksekutif menyadari perlunya mengelola arus sumberdaya sebagai cara untuk memenuhi sejumlah kebutuhan elemen-elemen lingkungan dalam pasar yang kompetitif. 2.
Eksekutif perusahaan
57
CIO disertakan dalam kelompok eksekutif yang mengarahkan perusahaan mencapai tujuannya dalam bentuk perencaan strategis. 3.
Bidang/area fungsional Jasa informasi disertakan sebagai suatu bidang fungsional utama, dan setiap
bidang bersama-sama mengembangkan rencana-rencana strategis yang mendukung rencana strategisperusahaan. Salah satunya adalah rencana strategis sumberdaya informasi, yang dipersiapkan oleh jasa informasi bekerja sama dengan bidang fungsional lainnya. 4.
Sumberdaya informasi Rencana strategis sumberdaya informasi menggambarkan bagaimana semua
sumberdaya informasi diperoleh dan dikelola. Sebagian dipusatkan dalam jasa informasi, dan sebagian didistribusikan diseluruh perusahaan dalam area pemakai. 5.
Pemakai Data dan informasi mengalir antara sumberdaya informasi dan para pemakai.
Sebagian pemakai ikut serta dalam End-User-Computing. 6.
Perencanaan Strategis Perencanaan jangka panjang juga dikenal sebagai perencanaan strategis karena
mengidentifikasi tujuan-tujuan yang akan memberikan perusahaan yang paling menguntungkan dalam lingkungannya, serta menentukan strategi untuk mencapai tujuan-tujuan tersebut.Setelah rencana strategis ditetapkan, tiap area fungsional bertanggung jawab untuk mengembangkan rencana strategis mereka sendiri. Rencana-rencana fungsional merinci bagaimana area-area tersebut akan mendukung perusahaan saat perusahaan bekerja menuju tujuan strategisnya SPIR (Strategic Planning for Information Resourcers). Perencanaan strategi merupakan perencanaan yang paling memerlukan perhatian. Karena memerlukan perkiraan yang matang untuk dapat mencapai tujuan organisasi pada masa sekarang dan akan datang.Gagasan utama dari SPIR adalah adanya hubungan antara tujuan perusahaan secara keseluruhan dengan sumbersumber informasi. Sumber-sumber informasi harus digunakan untuk mencapai tujuan. 58
2.11 Model Kematangan COBIT 5 COBIT 5, setiap level menuntut pemenuhan level sebelumnya dahulu barulah domain bias naik level. Jadi, perlu dinilai dahulu untuk level 1-nya berdasarkan proses outcome, base practices dan work products setiap proses. Jika telah memenuhi standar tersebut barulah dipertimbangkan parameter-parameter berikutnya.Berikut ini adalah pemetaan kondisi capability model yang ditetapkan framework COBIT 5 ke dalam nilai dengan skala 0 sampai 5. 1.
Nilai 0 Incomplete Process
2.
Nilai 1 Performed Process
3.
Nilai 2 Managed Process
4.
Nilai 3 Established Process
5.
Nilai 4 Predictable Process
6.
Nilai 5 Optimising Process Setiap proses TI pada COBIT 5, mempunyai sebuah capability model yang
telah didefinisikan dengan diberikan skala pengukuran bertingkat dari Incomplete Process (0) hingga Optimising Process (5). Pengembangan tersebut didasarkan pada deskripsi generic capability model sebagaimana dijelaskan pada Tabel 2.2 Table 2.2 Generic Capability Model COBIT 5
Pada level ini mengindikasikan bahwa proses tidak di 0Incomplete Process implementasikan atau gagal untuk mencapai tujuan yang telah direncanakan. 1 Performed process
Proses telah diimplementasikan dan mencapai tujuan yang direncanakan. Pada level ini proses yang telah dijelaskan sebelumnya
2Managed process
sekarang diimplementasikan
dan
perencanaan,
penyesuaian
produk
pemonitoran,
kerjanya,
59
adanya
dikelola
dengan terhadap
pengendalian
dan
pemeliharaan. Level ini mengindikasikan bahwa proses manajemen yang
telah
dideskripsikan
sekarang
telah
3 Established Process diimplementasikan menggunakan proses yang telah didefinisikan yang mampu mencapai hasil proses yang diinginkan. Level ini menunjukkan bahwa proses yang telah 4 Predictable process
diterapkan sebelumnya sekarang beroperasi dalam batas-batas yang ditentukan untuk mencapai hasil prosesnya. Pada level ini proses yang dijelaskan sebelumnya
5 Optimizing process
diprediksikan bahwa akan terus meningkatkan dan memenuhi tujuan bisnis yang relevan dan mencapai tujuan bisnis.
COBIT 5 membantu perusahaan menciptakan nilai yang optimal dari TI dengan menjaga keseimbangan antara menyadari manfaatnya dan mengoptimalkan tingkat risiko serta penggunaan sumber daya. Kerangka kerja ini membahas bisnis dan area fungsional IT di suatu perusahaan dan mempertimbangkan kepentingan yang berkaitandengan IT secara internal dan eksteranl bagi para stake holder. Perusahaan dari semua ukuran, baik yang komersial, non-profit atau di sektor publik, bisa mendapatkan keuntungan dari COBIT 5.COBIT 5 didasarkan pada lima prinsip utama tata kelola dan manajemen perusahaan TI yaitu : 1.
Prinsip 1: Memenuhi Kebutuhan Stakeholder.
2.
Prinsip 2: Melingkupi End-to-End Perusahaan.
3.
Prinsip 3: Menerapkan Satu, Kerangka Terintegrasi.
4.
Prinsip 4: Memungkinkan Pendekatan Holistik.
5.
Prinsip 5: Memisahkan Tata Kelola dari Manajemen
60
COBIT 5 Framework juga menjelaskan tujuh kategorienabler sebagai berikut: 1.
Prinsip,
Kebijakan,
dan
Kerangka
Kerjaadalah
kendaraan
untuk
menerjemahkan perilaku yang diinginkan menjadi panduan praktis untuk manajemen sehari-hari. 2.
Proses menggambarkan set terorganisir praktek dan kegiatan untuk mencapai tujuan tertentu dan menghasilkan satu set output dalam mendukung pencapaian tujuan yang berkaitan dengan IT secara keseluruhan.
3.
Struktur Organisasi adalah entitas pengambilan keputusan kunci dalam suatu perusahaan.
4.
Budaya, Etika dan Perilaku dari individu dan perusahaan sangat sering diremehkan sebagai faktor keberhasilan dalam kegiatan tata kelola dan manajemen.
5.
Informasi diperlukan untuk menjaga organisasi berjalan dengan baik dan diatur, tetapi pada tingkat operasional, informasi sangat sering produk utama dari perusahaan itu sendiri.
6.
Services, infrastruktur dan aplikasi meliputi infrastruktur, teknologi dan aplikasi yang menyediakan perusahaan dengan pengolahan dan jasa teknologi informasi.
7.
Orang-orang, Skill, dan Kompetensi yang diperlukan untuk berhasil menyelesaikan semua kegiatan, dan untuk membuat keputusan yang benar serta mengambil tindakan korektif.
61
COBIT 5 memberikan definisi dari proses-proses dalam siklus hidupnya (model referensi proses), bersamaan dengan arsitektur yang menggambarkan hubungan antara proses.5 Proses model referensi COBIT (PRM) terdiri dari 37 proses menggambarkan siklus hidup untuk tata kelola TI, seperti yang ditunjukkan pada gambar 2.14
Gambar 2.15 Process Referece Model COBIT 5
Model proses referensi COBIT 5 membai proses IT perusahaan menjadi 2 area aktivitas, governance dan management, yang dibagi menjadi domain dari beberapa proses: 1.
Governane Domain ini berisi 5 proses tata kelola, dalam setiap proses, praktek
pengevaluasian, pengarahan dan pemonitoran (EDM) telah didefinisikan 2.
Management Area ini berisi 4 domain yang sebaris dengan area tanggung jawab dari
perencanaan, pembangunan, dan pemonitoran (PERM) dan mereka memberikan
62
cakupan end-to-end dari IT. Setiap domain berisi beberapa proses seperti di versi lama COBIT 4.1. meskipun kebanyakan proses membutuhkan aktivitas planning, implementation, execution,danmonitoring. Diantara proses atau isu spesifik yang diberikan ditempatkan di domain sejajar dengan yang area paling normal dari kegiatan ketika berhubungan dengan IT dalam level perusahaan. Domainnya diantaranya : 1.
Evaluate, Direct, and Monitor (EDM) : proses pengelolaan yang berhubungan dengan pengelolaan sasaran stakeholder, nilai pengiriman, optimisasi resiko dan sumber daya, termasuk praktek dan aktivitas yang ditujukan pada pengevaluasian pilihan strategi, memberikan pengarahan IT dna pemonitoran outcome.
2.
Align, Plan and Organise (APO) : memberi arahan pada solusi delivery (BAI) dan service delivery and support(DSS). Domain ini mencakup strategi dan taktik, serta berfokus pada pengidentifikasian cara terbaik pengkontribusian IT untuk pencapaian dari sasaran bisnis. Realisasi dari visi strategi harus direncanakan, dikomunikasikan, dan dikelola untuk prespektif yang berbeda. Pengorganisasian yang benar dan infrastruktur teknologi harus ditempatkan di tempat yang benar.
3.
Build, Acquire and Implement (BAI) : memberikan solusi dan menjadikanya pelayanan. Untuk merealisasi strategi IT, solusi IT harus diidenttifikasi, dikembangkan
atau
didapatkan,
begitupun
diimplementasikan
dan
di
integrasikan pada proses bisnis. Perubahan dan maintenance dari sistem yang ada juga dilingkup domain ini, untuk memastikan solusi sesuai dengan tujuan bisnis. 4.
Deliver, Service and Support (DSS) : domain ini berfokus dengan actual delivery and support of required services, yang temasuk service delivery, pengelolaan atas keamanan dan kontinuitas, layanan bantuan untuk users, dan manajemen atas data dan fasilitas operasional.
63
5.
Monitor, Evaluate and Assess (MEA) : memonitor semua proses untuk memastikan pengarahan yang diberikan ditaati. Semua proses IT harus diperiksa secara regular tiap waktu untuk memastikan kebutuhan kualitas dan ketaatan dengan kebutuhan pengendalian. Domain mengajukan manajemen kinerja, monitor dari internal control, ketaaatan dan tata kelola yang regular. Diseluruh lima domain ada 37 proses IT yang terdefinisi, proses COBIT 5
diantaranya adalah sebagai berikut : 1.
EDM01 Ensure governance framework setting and maintenance. (Memastikan kerangka kerja tata kelola pengaturan dan pemeliharaan).
2.
EDM02 Ensure benefits delivery. (Memastikan penyampaian yang bermanfaat).
3.
EDM03 Ensure risk optimisation. (memastikan optimisasi resiko).
4.
EDM04 Ensure resource optimisation. (memastikan optimisasi sumber daya).
5.
EDM05
Ensure
stakeholder
transparency.
(memastikan
transparansi
stakeholder). 6.
APO01 Manage the IT management framework. (mengelola manajemen kerangka kerja IT).
7.
APO02 Manage strategy. (mengelola strategi).
8.
APO03 Manage enterprise architecture. (mengelola arsitektur perusahaan).
9.
APO04 Manage innovation. (mengelola inovasi).
10.
APO05 Manage portfolio. (mengelola portofolio).
11.
APO06 Manage budget and costs. (mengelola anggaran dan biaya).
12.
APO07 Manage human resources. (mengelola sumberdaya manusia).
13.
APO08 Manage relationships. (mengelola hubungan).
14.
APO09 Manage service agreements. (mengelola persetujuan service/layanan).
15.
APO10 Manage suppliers. (mengelola suppliers).
16.
APO11 Manage quality. (mengelola kualitas).
17.
APO12 Manage risk. (mengelola resiko).
18.
APO13 Manage security. (mengelola keamanan).
19.
BAI01 Manage programmes and projects. (mengelola program dan proyek). 64
20.
BAI02 Manage requirements definition. (mengelola definisi persyaratan).
21.
BAI03 Manage solutions identification and build. (mengelola identifikasi solusi dan pembangunan).
22.
BAI04 Manage availability and capacity. (mengelola ketersediaan dan kapasitas).
23.
BAI05 Manage organisational change enablement. (mengelola pemberdayaan perubahan organisasi).
24.
BAI06 Manage changes. (mengelola perubahan).
25.
BAI07 Manage change acceptance and transitioning. (mengelola penerimaan terhadap perubahan dan transisi).
26.
BAI08 Manage knowledge. (mengelola pengetahuan).
27.
BAI09 Manage assets. (mengelola asset/modal).
28.
BAI10 Manage configuration. (mengelola konfigurasi).
29.
DSS01 Manage operations. (mengelola operasi).
30.
DSS02 Manage service requests and incidents. (mengelola permintaan service/layan dan insiden).
31.
DSS03 Manage problems. (mengelola masalah).
32.
DSS04 Manage continuity. (mengelola kontinuitas).
33.
DSS05 Manage security services. (mengelola pelayanan keamanan).
34.
DSS06 Manage business process controls. (mengelola pengendalian proses bisnis).
35.
MEA01 Monitor, evaluate and assess performance and conformance. (memonitor, mengevaluasi dan mengukur kinerja dan kesesuaian).
36.
MEA02 Monitor, evaluate and assess the system of internal control. (memonitor, mengevaluasi dan mengukur sistem dari pengendalian internal).
37.
MEA03 Monitor, evaluate and assess compliance with external requirements. (memonitor, mengevaluasi dan mengukur kecocokan dengan kebutuhan eksternal/luar).
65
2.12 Cara Menampilkan Hasil Capability Level Menggunakan Word Chart Word Chart adalah salah satu aplikasi yang terdapat dalam Microsoft Office word berfungsi dalam menampilkan sebuah hasil dalam bentuk angka dan huruf. Cara menggunakan Word Chart adalah sebagai berikut: 1.
Buka Microsoft Office Word kemudian pilih dan klik menu “insert”
kemudian klik toolbar “chart” seperti yang ditampilkan pada gambar di bawah ini.
Gambar 2.15 Tampilan Word Chart
2.
Selanjutnya pilih template “Radar” hingga tampil seperti gambar di bawah.
66
Gambar 2.16 Tampilan Template Radar
3.
Langkah berikutnya menampilkan template chart yang secara otomatis di
convert ke dalam bentuk word dan excel. Word berfungsi untuk menampilkan hasil tampilan chart yang di butuhkan sedangkan excel berfungsi untuk menginputkan data dan melakukan proses insert, edit, dan delete di dalamnya. Lebih jelasnya dapat dilihat pada gambar berikut.
Gambar 2.17 Tampilan Template Radar Word dan Excel
4.
Selanjutnya menginputkan data yang diperoleh dari hasil perhitungan dengan
menggunakan rumus capability level versi COBIT 5 ke dalam tabel excel yang isinya
67
adalah domain, saat ini, target, dan gap. Sesuai dengan proses perhitungan matematis dengan menggunakan COBIT 5 Sesuai dengan gambar di bawah.
Gambar 2.18 Tampilan Template Radar Word dan Excel
5.
Selanjutnya Word Chart siap di gunakan untuk menampilkan hasil dalam
menghitung domain pada COBIT 5 seperti contoh gambar di bawah ini.
Gambar 2.19 Tampilan Word Chart Domain MEA
68
