BAB II TINJAUAN PUSTAKA II.1. Model Model adalah penyederhanaan (abstraction) dari sebuah bentuk. Model mewakili sejumlah objek atau aktivitas, yang disebut entitas (entity). Para manajemen menggunakan model untuk mewakili permasalahan yang akan dipecahkan. Objek atau aktivitas yang menyebabkan permasalahan adalah entitas. II.1.1. Pengertian Model Secara Umum Model diartikan sebagai kerangka konseptual yang digunakan sebagai pedoman dalam melakukan suatu aktivitas tertentu. Dalam pengertian lain, model diartikan sebagai barang tiruan, metafora, atau kiasan yang dirumuskan secara eksplisit yang mengandung sejumlah unsur yang saling tergantung. Sebagai metafora, model tidak pernah dipandang sebagai bagian dari data yang diwakili. Ia menjelaskan fenomena dalam bentuk yang tidak seperti biasanya dirasakan. Setiap model diperlukan untuk menjelaskan sesuatu yang lebih atau berbeda dari data. Pendapat Ackoff [11] bahwa model dirancang sebagai pengggambaran operasi dari suatu sistem nyata secara ideal guna menjelaskan atau menunjukkan hubungan-hubungan penting yang terkait. Didalam model ada istilah simulasi, validasi, error (kesalahan). Simulasi adalah mencoba-coba berbagai alternative, untuk melihat perubahan dan hasil yang terbentuk. Misalnya kita tidak menyukai letak pintu di depan, maka kita bisa mencobanya disamping kiri, disamping kanan, dan seterusnya. Bisa dibayangkan jika coba-coba tersebut dilakukan pada bangunan sesungguhnya (bukan model), betapa repot dan mahalnya coba-coba itu. Kegiatan membandingkan model dengan yang asli dikenal dengan validasi. Besarnya perbedaan perbandingan disebut dengan error (kesalahan). Kegiatan validasi bertujuan agar error (kesalahan) dapat seminimal mungkin. Bagaimanapun seorang pemodel akan terkait dengan model kualitas, setidaktidaknya pada beberapa langkah perancangan model. Model kualitatif yaitu
deskripsi abstrak dari pengetahuan yang diekspresikan oleh ilmuan dengan semua kompleksitasnya. Model kualitatif menggambarkan hubungan causal (sebab akibat) antar variable-variabelnya. Hubungan antara variable ini menggunakan data kualitatif yang berupa perubahan data, yaitu naik, turun atau konstan. Model kualitatif didasarkan pada ikhtisar data, dalam persoalan ini didasarkan dalam percobaan dan uraian. Umumnya model kualitatif didasarkan pada cerita, sering dalam bentuk teks atau kalimat. Dalam dunia
bisnis, model kualitatif
dibangun dari hasil yang difokuskan pada pengelompokan data. Sebagai contoh suatu pendiskripsian persoalan manajemen dipaparkan dengan menggunakan data kualitatif. Situasi persoalan ini akan dimaknai dengan uraian kata-kata oleh pemodel. Hal itu disajikan dalam bentuk cerita, tekstual, dan diagramatik. Pemodel harus memulai membangun dan menstrukturkan model dari situasi bisnis atau persoalan. Setiap pemodel umumnya harus bekerja dengan model kualitatif. Jadi model kualitatif menggambarkan uraian, pemodelan struktur bisnis dan mendokumentasikan model user secara luas dan kompleks. Hal itu berdasarkan pada pengalaman kualitatif yang menyoroti pemanfaatan objek dan hubungannya dengan tujuan komunikasi dan cara mendokumentasikan model user. Model kualitatif dibangun dari batasan data yang luas mencakup image dan film, suara dan kalimat, dan cerita dan dialog, sedangkan yang banyak digunakan oleh pemodel adalah teks yang bersifat elementer dengan menggunakan teknik-teknik pemeragaan antara lain teori, persandian dan teknik jaringan kerja yang menggunakan ilmu sosial. II.1.2. Proses Perancangan Model Tahap pengembangan suatu model [11] adalah : 1. Definisi masalah, dalam tahap ini masalah yang sulit didefinisikan dan diurai menjadi unsur-unsur pembentuk masalah. Didefinisikan juga sistem dan faktor eksternal (di luar sistem). Dicari komponen masalah yang paling penting dan signifikan dalam pemecahan masalah. Dicari pula komponen masalah yang bisa dijadikan titik acuan awal pemecahan masalah.
2. Strukturisasi model konseptual, pada tahap ini diuraikan hubungan antara komponen penyusun masalah, sistem dan tujuan studi. 3. Formulasi model, yaitu proses merumuskan perilaku model, dan hubungan antar variable. Interaksi antar variable yang kompleks sering disederhanakan dengan menggunakan asumsi yang tepat. 4. Kalibrasi model yaitu menyesuaikan parameter-parameter dalam model sesuai dengan kondisi nyata di lapangan. 5. Validasi model yaitu tahap pengujian perilaku model dengan mengubah-ubah nilai variable model. 6. Uji sensitifitas yaitu tahap pengujian perilaku model dengan mengubah-ubah nilai variable model. 7. Analisis dan solusi model. Model akan menghasilkan alternative solusi sesuai dengan skenario yang kita buat. Hasil model yang dirasa kurang tepat, perlu dijalankan ulang (biasanya menggunakan komputer), sampai tercapai solusi yang memuaskan. Proses ini dikenal dengan simulasi model. 8. Implementasi model. Agar model dapat diterapkan dengan baik, maka pihak perancang model dan pengguna model (misalnya para pengambil keputusan) perlu bekerja sama sejak awal. Perancang model akan membuat model sedinamis dan semudah mungkin operasionalnya (user friendly), dan pengguna model akan meberi masukan-masukan sesuai dengan kebutuhan pengguna.
II.2. Sistem Informasi II.2.1. Definisi Sistem Informasi Sistem informasi dapat didefinisikan sebagai kumpulan elemen yang saling berhubungan
satu
sama
lain
yang
membentuk
satu
kesatuan
untuk
mengintegrasikan data, memproses dan menyimpan serta mendistribusikan informasi. Dengan kata lain, SI merupakan kesatuan elemen–elemen yang saling berinteraksi secara sistematis dan teratur untuk menciptakan dan membentuk aliran
informasi yang akan mendukung pembuatan keputusan dan melakukan kontrol terhadap jalannya organisasi / perusahaan. Dalam era informasi saat ini, perkembangan sistem informasi dengan memanfaatkan Teknologi Informasi (TI) telah berkembang sangat pesat. Peranan sistem informasi saat ini menjadi urat nadi organisasi modern dalam mengelola informasi sehingga dapat menjadi salah satu keunggulan bisnis. Apabila ditinjau dari level pemakai dari sisi kepentingan organisasi, maka sistem informasi dapat dikelompokkan ke dalam 3 tipe, yaitu [3]: 1) Sistem Informasi Personal 2) Sistem Informasi Kelompok (Workgroup IS) 3) Sistem Informasi Perusahaan (Enterprise IS) Karakter dari masing-masing Sistem Informasi tersebut dapat dilihat pada tabel II.1 adalah sebagai berikut : Tabel II.1.: Karakteristik dari Sistem Informasi [3] Tipe
Jumlah Pemakai
Perspektif
Peran
Personal
1
Individual
Pemakai akhir, Operator, Pembangun
Pemakai akhir, Beberapa, Departemen, pemakai Operator, Pembangun umumnya <25 mempunyai perspektif sama Profesional Banyak, Pemakai akhir, Organisasi, pemakai dengan Enterprise seringkali Operator, Pembangun berbagai perspektif ratusan Profesional
Workgroup
Data secara konseptual adalah deskripsi tentang benda, kejadian, aktivitas dan transaksi yang tidak mempunyai makna. Informasi adalah sebagai data yang telah diproses sehingga meniambah pengetahuan pemakai. Pengetahuan (knowledge) adalah kombinasi dari naluri, gagasan, aturan dan prosedur yang mengarahkan pada tindakan. Hubungan data, informasi dan pengetahuan dapat dipetakan pada gambar II.1.[8] :
Gambar II.1 Hubungan data, informasi dan pengetahuan Gambar II.1 menunjukkan bahwa data disusun, dipilih dan diringkas oleh sistem menjadi suatu informasi. Proses tersebut dilakukan berdasarkan suatu pengetahuan tentang cara melakukannya. Selanjutnya informasi diterjemahkan, diputuskan, dan dilaksanakan menjadi suatu hasil yang diproses berdasarkan pengetahuan. Hasil diakumulasikan sebagai pengetahuan yang kemudian digunakan untuk melakukan pemrosesan data dan informasi. Turban mendefinisikan bahwa sistem informasi adalah sebuah sistem informasi mengumpulkan, memproses, menyimpan, menganalisa dan menyebarkan informasi untuk tujuan yang spesifik [8]. Turban mencerminkan bahwa teknologi informasi untuk menyebarkan sekumpulan sistem informasi, pemakai dan manajemen. Dengan maksud bahwa sistem informasi adalah suatu sistem buatan manusia yang secara umum terdiri atas sekumpulan komponen berbasis komputer dan atau manual dengan tujuan untuk menghimpun, menyimpan, dan mengelola data serta menyediakan informasi output yang dibituhkan oleh user.
II.2.2. Pengertian Teknologi Informasi Menurut Alter [8], teknologi informasi mencakup perangkat keras dan perangkat lunak untuk melaksanakan satu atau sejumlah tugas pemrosesan data seperti menangkap, mentransmisikan, menyimpan, mengambil, memanipulasi atau
menampilkan data. Menurut Lucas [8], teknologi infromasi adalah segala bentuk teknologi yang diterapkan untuk memproses dan mengirimkan informasi dalam bentuk elektronis. Teknologi ini menggunakan seperangkat komputer untuk mengolah data, sistem jaringan untuk menghubungkan satu komputer dengan komputer lainnya sesuai dengan kebutuhan, dan teknologi telekomunikasi digunakan agar data disebar dan diakses secara global, dapat dilihat pada gambar II.2.
Aplikasi System Software Computer (Hardware) Infrastructure (Telecomunication) Technology
Process
People
Gambar II.2 Arsitektur Teknologi Informasi [8] Perkembangan teknologi informasi memacu suatu cara baru kehidupan, dari kehidupan dimulai sampai dengan berakhir, kehidupan seperti ini dikenal dengan e-life, artinya kehidupan ini sudah dipengaruhi oleh berbagai kebutuhan secara elektronik. Dan sekarang ini sedang semarak dengan berbagai huruf yang dimulai dengan awalan e seperti e-commerce, e-government, e-education, e-library, ejournal, e-medicine, e-laboratory, e-biodiversity, dan yang lainnya lagi yang berbasis elektronika.
II.2.3. Pengaruh Teknologi Informasi pada Proses Audit Perkembangan teknologi informasi semakin pesat, demikian pula peranannya semakin menentukan dalam mendukung semua kegiatan bisnis. Macam dan jenis teknologi informasi sangat beragam mulai untuk kepentingan pribadi, sampai untuk mendukung kegiatan perusahaan yang sangat besar dan tersebar keseluruh dunia
guna meningkatkan keunggulan berkompetisi. Teknologi informasi dapat meningkatkan kinerja perusahaan dan menembus berbagai faktor yang menghambat perusahaan dalam menghasilkan kinerja secara optimum. Teknologi informasi mempunyai kemampuan untuk memberdayakan personel perusahaan dapat merespon tuntutan customer secara tepat waktu dan akurat. Pemanfaatan
teknologi
informasi
merupakan
bagian
pertimbangan
dari
pengendalian internal selama proses audit. Peningkatan pengendalian internal yang dihasilkan dari teknologi informasi yang terintegrasi dapat meliputi [2]: 1) Pengendalian komputer menggantikan pengendalian manual. Penggantian
prosedur
manual
dengan
pengendalian
terprogram
yang
menggunakan pengecekan dan keseimbangan untuk setiap transaksi yang diproses dapat mengurangi kesalahan manusia yang terjadi dalam lingkungan manual. 2) Tersedia informasi yang berkualitas tinggi. Keandalan informasi yang dihasilkan oleh teknologi informasi, membuat manajemen menggunakan untuk meningkatkan keputusan manajemen.
II.2.4. Penilaian Resiko Teknologi Informasi Meskipun Teknologi informasi dapat meningkatkan pengendalian internal dan mempengaruhi resiko pengendalian perusahaan keseluruhan, namun banyak resiko yang berhubungan dengan sistem manual dikurangi dan dihilangkan. Beberapa resiko dalam lingkungan teknologi informasi [2] : 1) Mengendalikan kemampuan fungsi hardware dan software 2) Visibility of audit trail 3) Mengurangi keterlibatan manusia 4) Kesalahan sistematik versus acak
5) Akses yang tidak berhak 6) Kehilangan data 7) Mengurangi pemisahan tugas 8) Kurangnya otoritras tradisional 9) Kebutuhan pengalaman teknologi informasi Untuk menentukan resiko yang berhubungan dengan ketergantungan pada teknologi informasi, organisasi mengimplementasikan pengendalian pada sistem teknologi informasi, yaitu pengendalian umum dan pengendalian aplikasi. Pengendalian umum berhubungan dengan seluruh aspek fungsi teknologi informasi yang mencakup administrasi; pengadaan dan pemeliharaan perangkat lunak; keamanan fisik dan akses langsung pada perangkat keras, perangkat lunak data; perencanaan back-up untuk menghadapi kejadian yang tidak diharapkan; dan pengendalian perangkat keras. Pengendalian aplikasi dilakukan pada pemrosesan transaksi individual, seperti pengendalian pada pemrosesan penjualan atau penerimaan kas.
II.3. Audit dengan Teknologi Informasi II.3.1. Definisi Audit Sistem Informasi Ron Weber mengemukakan bahwa audit sistem informasi adalah [13] : “Information system auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allow organizational goals to be achieved effectively, and uses resources efficiently”. (Audit sistem informasi adalah proses pengumpulan dan penilaian bukti-bukti untuk menentukan apakah ‘sistem komputer’ dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya secara efisien)
Berdasarkan definisi audit sistem informasi tersebut maka dapat disimpulkan bahwa sekurang-kurangnya terdapat 4 (empat) tujuan audit sistem informasi, yaitu : (1) mengamankan asset, (2) menjaga integritas data, (3) menjaga efektivitas sistem, dan (4) mencapai efisiensi sumberdaya. Mengamankan aset, aset (aktiva) yang berhubungan dengan instalasi sistem informasi mencakup : perangkat keras (hardware), perangkat lunak (software), manusia (people), file data, dokumentasi sitem, dan peralatan pendukung lainnya. Biasanya audit efektivitas sistem dilakukan setelah suatu sistem berjalan beberapa waktu. Manajemen dapat meminta auditor untuk melakukan post audit guna menentukan sejauh mana sistem telah mencapai tujuan yang telah ditetapkan. Evaluasi ini akan memberikan masukan bagi pengambil keputusan apakah kinerja sistem layak dipertahankan; harus ditingkatkan atau perlu dimodifikasi; atau sistem sudah usang , sehingga harus ditinggalkan dan dicari penggantinya.
II.3.2. Pendekatan Audit Sistem Informasi Pendekatan audit sistem informasi terdiri dari dua penekanan yang berbeda yaitu : 1.
Pendekatan temuan (Exposures Approach), fokus utama ditekankan pada jenis kesalahan (losses) yang terjadi dalam suatu sistem informasi. Setelah itu ditentukan kendali (controls) yang dapat digunakan untuk mengurangi kesalahan tersebut sampai pada batas yang dapat diterima (acceptable levels).
2.
Pendekatan kendali (Control Approach), fokus utamanya adalah kendalikendali di dalam suatu sistem informasi yang dapat digunakan untuk mengurangi kesalahan sampai pada level yang dapat diterima (acceptable levels).
Pesatnya perkembangan dunia komputer, diikuti dengan peningkatan pengetahuan auditor, ternyata mengundang dua perlakuan berbeda terhadap komputer, yaitu : 1)
Komputer dipergunakan sebagai alat bantu auditor dalam melaksanakan audit, misalnya untuk mengambil contoh transaksi memproses data akuntansi, mencetak surat konfirmasi piutang dan sebagainya.
2)
Komputer dijadikan sebagai target audit, karena data di-entry ke komputer dan hasilnya dianalisa untuk menilai kehandalan pemrosesan dan keakuratan program komputer.
Dengan berjalannya evolusi tersebut, maka munculah pendekatan audit sistem informasi yang dapat dikatagorikan ke dalam tiga kelompok, yaitu (a) auditing around the computer, (b) auditing with the computer, dan (c) auditing throught the computer. a) Auditing around the computer, adalah mentrasir balik (trace-back) hasil olahan komputer antara lain output ke bukti dasarnya antara lain input tanpa melihat prosesnya. b) Auditing with the computer, pendekatan ini menitik beratkan pada penggunaan komputer sebagai alat bantu audit. Alat bantu audit ini berupa komputer dilengkapi dengan software audit umum (generale audit software, biasa disingkat GAS). Contoh GAS antara lain ACL (Audit Command Language), IDEA (Interactive Data Extraction and Analysis) dan lain-lain. c)
Auditing throught the computer, auditor harus memperlakukan komputer
sebagai target audit dan melakukan audit throught atau memasuki area program. Oleh sebab itu pendekatan Auditing throught the computer termasuk juga dalam CAATs (Computer Assisted Audit Technique) yaitu Teknik Audit Berbantuan Komputer (TABK) Kebanyakan auditor mengevaluasi efektivitas pengendalian umum sebelum mengevaluasi pengendalian aplikasi. Jika pengendalian umum yang baik telah ditempatkan, ada kemungkinan peningkatan untuk mengandalkan lebih besar pada pengendalian aplikasi. Oleh karena itu, auditor dapat menguji pengendalian aplikasi tertentu untuk efektivitas operasi dan mengandalkan pada hasil untuk mengurangi pengujian substantive. Penggunaan pengendalian umum dan aplikasi yang efektif dapat menghasilkan efisiensi audit yang signifikan. Pada perusahaan yang menggunakan teknologi informasi, pengendalian internal sering dilekatkan pada aplikasi yang dapat terlihat hanya dalam bentuk elektronik. Pada sistem tradisional dokumen besar seperti faktur, order pembelian, catatan
tagihan hanya dalam bentuk elektronik dan bukan dalam kertas, maka auditor harus mengubah pendekatan pemeriksaan. Pendekatan ini disebut dengan Auditing Through the Computer. Ada 3 kategori strategi ketika Auditing Through the Computer, yaitu [2] : 1) Test Data Approach Pendekatan pengujian data ini mencakup pemrosesan data yang diuji auditor menggunakan sistem komputer dan program aplikasi klien untuk menentukan apakah pengendalian yang dilakukan komputer telah benar memproses data yang diuji. Auditor membandingkan keluaran yang dihasilkan sistem dari data yang diuji untuk keluaran yang diharapkan untuk menilai efektivitas pengendalian internal program aplikasi. 2) Paralell Simulation Auditor menggunakan perangkat lunak yang dikendalikan untuk melakukan operasi bersama-sama pada perangkat lunak klien dengan menggunakan file data yang sama. Auditor membandingkan keluaran auditor dengan keluaran dan perangkat lunak klien untuk menguji efektivitas perangkat lunak klien. Tidak adanya perbedaan dalam keluaran menunjukkan perangkat lunak klien efektif, sebaliknya perbedaan menunjukkan potensi kelemahan. 3) Embedded Audit Module Approach Auditor memasukkan suatu modul dalam sistem aplikasi klien untuk menangkap transaksi dengan karakteristik tertentu yang diinginkan, auditor dapat secara berkelanjutan melakukan audit transaksi dengan mengidentifikiasi transaksi aktual yang diproses klien.
II.3.3. Metode dan Model Audit Sistem Informasi Audit adalah sebuah proses sistematik yang ditujukan untuk mengumpulkan dan mengevaluasi
bukti
secara
objektif
tentang
pertanyaan-pertanyaan
yang
berhubungan dengan tindakan ekonomi maupun suatu kejadian, kemudian menentukan derajat kesesuaian antara pernyataan tersebut dengan kriteria yang telah ditetapkan, serta mengkomunikasikan hasilnya pada pihak yang berkepentingan. Audit sistem informasi merupakan proses pengumpulan dan evaluasi fakta / bukti
untuk menentukan apakah sistem informasi telah melindungi asset, menjaga integritas data, dan memungkinkan sasaran organisasi tercapai secara efektif dengan menggunakan sumber daya secara efisien [2].
INFORMATION SYSTEM AUDITING
ORGANIZATION
Improved safeguarding of assets
Improved data integrity
Improved system effectiveness
Improved system efficiency
Gambar II.3 Dampak Audit Sistem Informasi berfungsi pada Organisasi [2] Gambar II.3. menunjukkan bahwa konsep mengaudit sistem informasi merupakan suatu kekuatan bagi organisasi yang memungkinkan organisasi tersebut untuk lebih baik dalam mencapai empat sasaran utamanya, yaitu : melindungi asset, integritas data, efektivitas dan efisiensi sistem [2].
II.3.4. Metode Audit Sistem Informasi Dalam proses audit sistem informasi, dapat dilakukan dengan langkah-langkah berikut ini [4] :
Langkah 1 : Mendapatkan Pemahaman 1. Mendokumentasikan aktivitas yang mendasari control objective demikian juga untuk mengidentifikasikan stated control measure / procedure yang berlaku. 2. Melakukan wawancara dengan manajemen dan staf untuk mendapatkan pemahaman tentang : kebutuhan bisnis dan resikonya, struktur organisasi, peran dan tanggung jawab, kebijakan dan prosedur, hukum dan peraturan,
control measure yang berlaku, laporan manajemen (status, kinerja, tindakan). 3. Mendokumentasikan proses yang berhubungan dengan sumber daya
TI
terutama yang dipengaruhi oleh proses direview. Konfirmasikan pemahaman dari proses yang direview, Key Performance Indicator dari proses, implikasi kendali, misalnya melalui proses walkthrough.
Langkah 2 : Evaluasi Kendali 1. Menilai keefektifan control measure yang berlaku atau tingkat pencapaian control objective. 2. Mengevaluasi kesesuaian control measure dari proses yang direview dengan mempertimbangkan kriteria yang diidentifikasikan dan praktik standar industri, Critical Success Factor dan control measure dan mengaplikasikan keputusan profesional audit. 3. Melakukan proses dokumentasi, deliverable yang sesuai dihasilkan, tanggung jawab dan akuntabilitas yang jelas dan efektif, adanya pengendalian kompensasi (compensating control) sebagaimana mestinya. 4. Simpulkan kesesuaian tingkat control objective.
Langkah 3 : Menilai Kepatuhan 1. Menjamin control measure yang ditetapkan, berjalan sebagaimana mestinya, secara konsisten dan berkelanjutan, serta menyimpulkan kesesuaian control environment. 2. Mendapatkan bukti langsung dan tidak langsung untuk item / periode yang dipilih untuk menjamin bahwa prosedur telah dipatuhi untuk periode yang direview menggunakan bukti langsung dan tidak langsung. 3. Melakukan review terbatas tentang kecukupan proses deliverable. 4. Menentukan tingkat pengujian substatif dan kerja tambahan yang dibutuhkan untuk menyediakan jaminan bahwa proses IT adalah cukup.
Langkah 4 : Penilaian Resiko 1. Memperkirakan resiko dari control objective yang tidak dipenuhi, dengan menggunakan teknik analitik dan / atau mengkonsultasikan sumber-sumber
alternative. Tujuannya adalah untuk mendukung opini dan membuat manajemen untuk melakukan tindakan. 2. Mendokumentasikan kelemahan kendali, serta ancaman dan kerawanan yang dihasilkannya. 3. Mengidentifikasikan dan mendokumentasikan dampak yang potensial maupun aktual. 4. Menyediakan informasi komparatif, misalnya melalui benchmark.
Penjelasan langkah-langkah dalam audit sistem informasi pada Gambar II.4. adalah sebagai berikut [4]:
Langkah 1 M e n d a p a tk a n P e m a h a m a n
Langkah 2 E v a lu a si K e n d a li
Langkah 3 M e n ila i K e p a tu h a n
Langkah 4 P e n ila ia n R e sik o
Gambar II.4. Langkah-langkah Audit Sistem Informasi [4]
II.4. COBIT
II.4.1. Sejarah COBIT
COBIT merupakan singkatan dari Control Objectives for Information and Related Technology, dipublikasikan oleh Information Systems Audit and Control Foundation di tahun 1996 dan diupdate pada tahun 1998 dan 2000. COBIT berisi kerangka kerja
pengendalian internal yang secara spesifik berkaitan dengan teknologi informasi. Misi dari COBIT adalah melakukan penelitian, mengembangkan, mempublikasikan, dan mempromosikan sebuah kumpulan pengendalian terhadap teknologi informasi yang otoritatif, terbaru, dan diterima secara internasional untuk kebutuhan manajer bisnis dan auditor.
COBIT berisi perangkat evaluasi IT yang menyeluruh tentang hampir semua standar utama yang pada umumnya diterima di seluruh dunia tentang kendali dan IT. Dalam perkembangannya COBIT mengambil standar dari International Organization for Standarization (ISO); Electronic Data Interchange for Administration, Commerce, and Trade (EDIFACT); Council of Europe; Organization for Economic Cooperation and Development (OECD); ISACA; Information Technology Security Evaluation Criteria (ITSEC); Trusted Computer Security Evaluation Criteria (TCSEC); COSO; United States General Accounting Office (GAO); International Federation of Accountants (IFAC); IIA; American Institute of Certified Public Accountants (AICPA); CICA; European Security Forum (ESF); Infosec Business Advisory Group (IBAG); National Institute of Standars and Technology (NIST); dan the Department of Trade and Industry (DTI) of the United Kingdom. II.4.2. Pengertian COBIT
COBIT dapat diartikan sebagai tujuan pengendalian untuk informasi dan teknologi terkait dan merupakan standar terbuka untuk pengendalian terhadap teknologi informasi yang dikembangkan dan dipromosikan oleh IT Governance Institute. COBIT pertama sekali diperkenalkan pada tahun 1996 adalah merupakan alat (tool) yang disiapkan untuk mengatur teknologi informasi (IT Governance tool). COBIT di terbitkan oleh IT Governance Institute. COBIT dengan komponen pedoman manajemen yang berisi respon kerangka kerja untuk pengukuran dan pengendalian teknologi informasi dengan menyediakan alat-alat untuk menilai dan mengukur kemampuan teknologi informasi perusahaan dengan menggunakan 34 proses TI COBIT. Alat-alat tersebut yaitu [6]: 1.
Elemen
pengukuran
kinerja
mengarahkan bagi seluruh proses TI)
(pengukuran
hasil
dan
kinerja
yang
2.
Daftar faktor kritis kesuksesan (CSF) yang disediakan secara ringkas praktek terbaik non teknis dari tiap proses TI
3.
Model Maturity untuk membantu dalam benchmarking dan pengambilan keputusan bagi peningkatan kemampuan.
COBIT terdiri atas enam volume: Executive Summary, Framework, Control Objectives, Audit Guidelines, Management Guidelines, dan Implementation Tool Set. Paket COBIT juga muncul dalam bentuk diskete dan CDROM yang berisi slide powerpoint di dalam Implementation Tool Set .
II.4.3. Kerangka Kerja COBIT
Di dalam kerangka kerja COBIT (seperti pada gambar II.5.), terdapat tujuh persyaratan informasi bisnis, atau kriteria: effectiveness, efficiency, confidentiality, integrity,
availability,
compliance,
dan
reliability.
COBIT
kemudian
menspesifikasikan sumber daya IT yang harus disediakan untuk memberikan kebutuhan bisnis oleh proses bisnis, yaitu: people, application systems, technology,facilities, dan data.
COBIT mengelompokan aktivitas individual di dalam lingkungan IT kedalam 34 proses dan kemudian mengelompokan proses tersebut menjadi 4 domain. Keempat domain tersebut adalah: Planning and Organization (11 proses), Acquisition and Implementation (6 proses), Delivery and Support (13 proses), dan Monitoring (4 proses). Pada edisi ketiga, COBIT melakukan cross reference dari setiap 34 proses ke dalam 318 kendali objektif (perhatikan gambar II.5 dan Tabel II.2).
Gambar II.5. COBIT Framework [6] COBIT kemudian mengidentifikasikan aplikasi dan beserta tingkatannya (primary atau secondary) dari tujuh kriteria informasi untuk setiap 34 proses IT. COBIT memetakan lima sumber daya IT yang dapat diaplikasikan untuk tiap proses IT.
COBIT memberikan sebuah template audit guideline untuk membantu proses evaluasi dan pengujian dari kendali objektif. Pendekatan umum tersebut adalah: mendapatkan (obtain) pemahaman tentang proses, evaluasi (evaluate) kendali, menilai (assess) kepatuhan, dan memperkirakan (substantiate) risiko dari kendali objektif yang tidak terpenuhi. Template diaplikasikan untuk tiap 34 proses, dengan detail audit guideline yang spesifik untuk setiap proses. Berikut ini dijelaskan 4 domain dari COBIT adalah sebagai berikut : 1)
Planning & Organisasion (PO), mencakup masalah strategi, taktik, dan identifikasi cara terbaik TI untuk memberikan kontribusi maksimal terhadap pencapaian tujuan bisnis organisasi. Realisasi strategi perlu direncanakan, dikomunikasikan dan dikelola dengan berbagai sudut pandang yang berbeda. Implementasi strategi harus disertai infrastruktur yang memadai dan dapat mendukung kegiatan bisnis organisasi.
2)
Acquisition & Implementation (AI), realisasi strategi yang telah ditetapkan harus disertai solusi-solusi TI yang sesuai, kemudian solusi TI tersebut diadakan diimplementasikan dan diintegrasikan ke dalam proses bisnis organisasi. Domain ini juga meliputi perubahan dan perawatan yang dibutuhkan sistem yang sedang berjalan, untuk memastikan daur hidup sistem tersebut tetap terjaga.
3)
Delivery & Support (DS), mencakup proses pemenuhan layanan TI, keamanan sistem, kontinuitas layanan, pelatihan dan pendidikan untuk pengguna, dan pemrosesan data yang sedang berjalan.
4)
Monitoring (M), untuk menjaga kualitas dan ketaatan terhadap kendali yang diterapkan, seluruh proses IT harus diawasi dan dinilai kelayakannya secara regular. Domain ini berfokus pada masalah kendali-kendali yang diterapkan dalam organisasi, pemeriksaan intern dan ekstern (internal & external audit) dan jaminan independent dari proses pemeriksaan yang dilakukan. Tabel II.2. Tiga puluh empat proses COBIT [6]
PLANNING AND ORGANISATION (PO)
1.
PO1-Menetapkan Rencana StrategisTeknologi Informasi (Define a Strategic IT Plan) 2. PO2-Menetapkan Arsitektur Informasi (define the Informastion Architecture) 3. PO3-Menetapkan Arah Teknologi (Determine Technological Direction) 4. PO4-Menetapkan Organisasi IT dan Hubungannya (Define the IT Organisation and Relationships) 5. PO5-Mengatur InvestasiIT (Manage the IT Investment) 6. PO6-Mengkomunikasikan Tujuan dan Arahan Manajemen (Communicate Management Aims and Direction) 7. PO7-Mengelola Sumberdaya Manusia (Manage Human Resources) 8. PO8-Memastikan Kesesuaian dengan kebutuhan-kebutuhan eksternal (Ensure Compliance with External Requirements) 9. PO9-Menilai Resiko (Assess Risks) 10. PO10-Mengatur Peoyek (Manage Projects) 11. PO11-Mengatur Kualitas (Manage Quality) ACQUISITION AND IMPLEMENTATION (AI) 12. AI1-Identifikasi solusi-solusi otomatisasi (Identify Automated Solutions) 13. AI2-Memperoleh dan memlihara perangkat lunak aplikasi (Acquire and Maintain Application Software) 14. AI3-Memperoleh dan memelihara infrastruktur Teknologi (Acquire and Maintain Technology Infrastructure) 15. AI4-Mengembangkan dan memelihara prosedur (Develop and Maintain Procedures) 16. AI5-Instalasi dan pengakuan sistem (Install and Accredit Systems) 17. AI6-Mengatur Perubahan (Manage Changes) DELIVERY AND SUPPORT (DS) 18. DS1-Menetapkan dan mengatur tingkat pelayanan (Define & Manage Service Levels) 19. DS2-Mengelola layanan pihak ke tiga (Manage Third-Party Services) 20. DS3-Mengelola kapasistas dan kinerja (Manage performance & Capacity) 21. DS4-Menjamin layanan berkelanjutan (Ensure Continuous service) 22. DS5-Menjamin keamanan sistem (Ensure System Security) 23. DS6-Mengidentifikasikan dan mengalokasikan biaya (Identify & Allocate Cost) 24. DS7-Mendidik dan melatih user (Educate & Train Users) 25. DS8-Membantu dan memberikan masukan kepada pelanggan (Assist and Advise Customers) 26. DS9-Mengelola konfigurasi (Manage the Configuration) 27. DS10-Mengelola kegiatan dan permasalahan (Manage problems and Incidents) 28. DS11-Mengelola Data (Manage Data) 29. DS12-Mengelola Fasilitas (Manage Facility) 30. DS13-Mengelola Operasi (Manage Operations) MONITORING 31. M1-Mengawasi proses (Monitor the Processes) 32. M2-Menilai kecukupan pengendalian internal (Assess Internal Control Adequacy) 33. M3-Memperoleh jaminan Independen (Obtain Independent Assurance) 34. M4-Menyediakan Audit Independen (Provide for Independent Audit)
Tesis ini akan secara lebih detail memperhatikan proses IT di dalam Sistem Informasi pada bagian data & IT Support di PT. Telekomunikasi Indonesia, Tbk R&D Center untuk domain yang ke tiga, yaitu: Delivery & Support Domain ini berhubungan dengan pelayanan yang perlu diberikan, mulai dari operasi tradisional terhadap keamanan dan aspek kesinambungan, sampai pelatihan. Proses
pendukung yang semestinya harus terlebih dahulu ditetapkan untuk dapat memberikan pelayanan. Domain ini melibatkan pemrosesan data yang sebenarnya menggunakan sistem aplikasi yang diklasifikan ke dalam kendali aplikasi. COBIT menetapkan informasi yang baik dan dibutuhkan oleh bisnis dalam perusahaan haruslah informasi yang mengandung kriteria-kriteria berikut dan ada pada gambar II.6 [5] : 1. Efektivitas Informasi yang relevan terhadap proses bisnis, misal : informasi dikirimkan dengan cara tepat waktu, benar, dapat dipakai dan konsisten. 2. Efisiensi Berhubungan dengan informasi yang optimal terhadap penggunaan sumber daya. 3. Kerahasiaan Berhubungan dengan perlindungan terhadap informasi yang sensitip dari penyalahgunaan. 4. Integritas Berhubungan dengan kelengkapan dan ketelitian informasi seperti halnya kebenaran terhadap satuan nilai-nilai bisnis. 5. Ketersediaan Berhubungan dengan informasi yang tersedia ketika diperlukan oleh proses bisnis, dan ada berhubungan dengan perlindungan sumber daya. 6. Pemenuhan Berhubungan dengan pengaturan yang sesuai bagi proses bisnis adalah pokok. 7. Keandalan Informasi Berhubungan dengan sistem yang menyediakan informasi untuk manajemen yang sesuai dengan pengoperasiannya, misalnya : pelaporan keuangan kepada para pemakai informasi keuangan.
Gambar II.6. Sumberdaya dan Kriteria Proses TI [5] COBIT mengelompokan sumber daya- sumber daya TI yang akan digunakan oleh proses TI seperti berikut, serta dapat dilihat pada gambar II.6 [5] : 1) Data, seluruh jenis data, baik yang terstruktur atau tidak terstruktur dan dalam berbagai bentuk (gambar, suara, dsb) 2) Sistem Aplikasi, prosedur yang ditetapkan dalam organisasi baik prosedur manual atau prosedur terkomputerisasi (aplikasi komputer) 3) Teknologi, mencakup perangkat keras, sistem operasi, jaringan komputer multimedia, dll. 4) Fasilitas seluruh sumber daya yang dimanfaatkan untuk menyimpan dan mendukung sistem informasi. 5) Sumber daya manusia (SDM), mencakup kemampuan staf, dan berbagai pihak yang terlibat dalam pengaturan, pengadaan, pemenuhan layanan, pengawasan dan mendukung layanan dan sistem informasi.
Cara lain memandang hubungan sumberdaya TI untuk penyampaian layanan digambarkan pada gambar.II.7.
Gambar II.7 Hubungan sumber TI untuk penyampaian layanan [5] Kerangka kerja COBIT, terdiri dari tujuan pengendalian tingkat tinggi dan struktur klasifikasi keseluruhan. Terdapat tiga tingkat (level) usaha pengaturan TI yang menyangkut manajemen sumberdaya TI. Mulai dari bawah, yaitu kegiatan dan tugas (activities and task) yang diperlukan untuk mencapai hasil yang dapat diukur. Dalam aktivitas terdapat konsep siklus hidup yang didalamnya terdapat kebutuhan pengendalian khusus.
Kemudian satu lapis di atasnya terdapat proses yang merupakan gabungan dari kegiatan dan tugas (activities and task) dengan keuntungan atau perubahan (pengendalian)
alami.
Pada
tingkat
yang
lebih
tinggi,
proses
biasanya
dikelompokkan bersama kedalam domain. Lihat gambar.II.8.
Gambar II.8. Tiga tingkat usaha pengaturan TI [5]
Selanjutnya, konsep kerangka kerja dapat dilihat dari tiga sudut pandang, yaitu : (1)
kriteria informasi (information criteria),
(2)
sumberdaya TI (IT resource),
(3)
proses TI (IT processes).
Ketiga sudut pandang tersebut digambar dalam kubus COBIT, lihat gambar II.9. :
Gambar II.9. Kubus COBIT [5] Setiap proses IT COBIT akan dilakukan identifikasi Critical Success Factor (CSF) yang akan digunakan sebagai batasan untuk menentukan kriteria pengukuran kinerjanya. Kriteria pengukuran kinerja tersebut dilambangkan dengan indikatorindikatornya, yaitu indikator sasaran (Key Goal Indicator – KGI) dan indikator kinerja (Key Performance Indicator – KPI). Critical Success Factor dan indikatorindikator yang berelasi ditentukan dari COBIT. Penentuan indikator sasaran dan indikator kinerja dari sistem informasi dilakukan agar aktivitas-aktivitas terkendali sehingga memberikan jaminan bahwa sasaran proses TI tersebut tercapai.
Dalam kerangka kerja ini maka peneliti hanya memfokuskan pada domain DS (Delivery & Support) untuk sasaran pengelolaan sumber daya teknologi informasi, dapat dilihat pada tabel II.3.
Tabel II.3. Delivery & Support dengan Sumber Daya TI dan Sasaran Pengelolaan [5]
Integritas
Ketersediaan
Pemenuhan
Kepercayaan
4 Menjamin layanan
Kerahasiaan
√ √ √ √ √ P tingkat pelayanan 2 Mengelola layanan pihak ke √ √ √ √ √ P tiga 3 Mengelola kapasitas dan kinerja P √ √ √ 1 Menetapkan dan mengatur
Efisien
Delivery & Support
Sasaran Pengelolaan
Efektif
No
SDM Aplikasi Teknologi Fasilitas Data
Sumber Daya TI
P
S
S
S
S
S
P
S
S
S
S
S
S
S
P
S
√ √ √ √ √ P
P
berkelanjutan 5 Menjamin keamanan sistem
√ √ √ √ √
6 Mengidentifikasikan dan
√ √ √ √ √
mengalokasikan biaya 7 Mendidik dan melatih user
√
P
S
8 Membantu memberikan
√ √
P
P
P
P
S
P
P
masukan kepada pelanggan 9 Mengelola Konfigurasi 10 Mengelola kegiatan dan
√ √ √
√ √ √ √ √ P
permasalahan 11 Mengelola Data
S P
√ √ √
√ √ P
P
S
S P
√
12 Mengelola Fasilitas 13 Mengelola Operasi
P
P
P
P
S
S
Keterangan : P = Primary S = Secondary COBIT memiliki indikator pengukuran pengelolaan teknologi informasi dalam proses bisnis, yaitu : CSF menetapkan masalah terpenting atau tindakan untuk manajemen mencapai pengendalian proses TI. CSF harus mengatur orientasi pedoman implementasi dan mengidentifikasikan hal terpenting yang dilakukan secara strategis, teknis, organisasional atau prosedur. KGI menetapkan ukuran yang mengarahkan manajemen setelah fakta apakah proses TI telah mencapai kebutuhan bsinisnya, biasanya digambarkan atas kriteria
informasi : ketersediaan informasi diperlukan untuk mendukung kebutuhan bisnis, ketiadaan atau kekurangan integritas dan resiko kerahasiaan, efisiensi biaya proses dan operasi, konfirmasi reliabilitas, efektivitas dan pemenuhan. KPI menetapkan ukuran untuk menentukan bagaimana proses TI dilaksanakan dengan baik yang memungkinkan tujuan tersebut dicapai. Lihat gambar II.10.
CSF
Input
Proses
OutCome
KPI
KGI
Gambar II.10. Model KGI’s, KPI’s, dan CSF [5]
II.4.2.4. Evolusi Produk COBIT
COBIT akan terus berkembang dan akan dijadikan dasar penelitian lebih lanjut. Kelompok (keluarga) produk COBIT akan diciptakan dan tugas-tugasnya serta kegiatan teknologi informasinya yang menjalankan struktur untuk melaksanakan tujuan pengendalian lebih lanjut akan diperbaiki dan keseimbangan antara domain dan proses ditinjau dari sudut susunan perubahan industri, dan dipetakan pada gambar II. 11. [7]
RINGKASAN EKSEKUTIF
KUMPULAN ALAT IMPLEMENTASI Tinjauan Eksekutif Studi Kasus
KERANGKA KERJA (dengan tujuan pengendalian tingkat tinggi)
FAQs Presentasi Powerpoint Pedoman Implementasi Diagnostik Kepedulian Manajemen Diagnostik Pengendalian TI
PEDOMAN MANAJEMEN
TUJUAN PENGENDALIAN RINCI
Model Maturity
CSF
PEDOMAN AUDIT
KGI
KPI
Gambar II.11. Produk keluarga COBIT [7]
II.4.2.5. Lingkungan Bisnis Di era kompetisi global seperti sekarang ini, organisasi
harus melakukan
restrukturisasi terhadap kegiatan operasionalnya dan menggunakan keunggulan TI untuk meningkatkan posisi daya saing organisasi.
Business, re-engineering, right-sizing, outsourcing, empowerment, flattened organization, dan distributed processing merupakan semua perubahan yang mempengaruhi cara bisnis dan operasional perusahaan. Perubahan ini akan terus terjadi dan akan berimplikasi besar terhadap manajemen dan struktur pengendalian operasional dalam organisasi.
Penekanan dalam mencapai keuntungan yang kompetitif dan efisiensi biaya, termasuk kepercayaan yang meningkat pada teknologi meruapakan komponen besar dalam strategi kebanyakan organsiasi. Fungsi organisasi yang otomatis, secara alamiah merupakan penggabungan ketentuan mekanisme pengendalian yang lebih kuat kedalam komputer dan jaringan, berbasis hardware dan software. II.4.2.6. Perusahaan dan IT Governance
IT Governance menyediakan suatu struktur yang berhubungan dengan proses TI, sumberdaya TI dan informasi untuk strategi dan tujuan perusahaan. Cara mengintegrasikan IT Governance dan optimalisasi perusahaan yaitu melalui perencanaan dan pengorganisasian (PO), pengadaan dan implementasi (AI), penyampaian dan dukungan (DS), dan pengawasan (M) kinerja TI. Pengaturan perusahaan (enterprise governance) dan sistem oleh entitas diarahkan dan dikendalikan, melalui kumpulan dan arahan IT Governance. Pada saat yang sama, TI dapat menyediakan masukan kritis, dan merupakan komponen penting bagi perencanaan strategis. Pada kenyataannya TI dapat mempengaruhi peluang strategis yang ditetapkan oleh perusahaan. Lihat gambar II.12.
Pengaturan Perusahaan
Kumpulan dan Arahan
IT Governance
Gambar II.12. Pengaruh IT Governance terhadap perusahaan [7] Aktivitas perusahaan membutuhkan informasi dari aktivitas TI dengan maksud untuk mempertemukan tujuan bisnis. Jaminan kesuksesan organisasi diakibatkan oleh adanya saling ketergantungan antara perencanaan strategis dan aktivitas TI lainnya. Kegiatan perusahaan perlu informasi dari kegiatan TI agar dapat mengintegrasikan tujuan bisnis. Lihat gambar II.13.
Aktivitas Perusahaan
Membutuhkan Informasi dari
Aktivitas TI
Gambar II.13. Aktivitas Perusahaan memerlukan Aktivitas TI [7] Siklus pengaturan perusahaan dapat dijelaskan sebagai berikut : pengaturan perusahaan ditentukan oleh praktek terbaik yang secara umum dapat diterima untuk menjamin perusahaan mencapai tujuannya, melalui pengendalian tertentu. Dari tujuan-tujuan ini mengalir arahan organisasi, yang mengatur kegiatan atau aktivitas perusahaan dengan menggunakan sumberdaya perusahaan. Hasil kegiatan atau aktivitas
perusahaan
diukur
dan
dilaporkan,
memberikan
masukan
pengendalian, demikian seterusnya, kembali ke awal siklus. Lihat gambar II.14.
Gambar II.14. Siklus Pengaturan Perusahaan [7]
bagi
siklus pengaturan TI dapat dijelaskan sebagai berikut : pengaturan TI ditentukan oleh praktek terbaik yang menjamin informasi perusahaan dan teknologi terkait mendukung tujuan bisnisnya.
Sumberdaya digunakan dengan tanggung jawab dan resiko diatur secara memadai. Praktek tersebut membentuk dasar arahan kegiatan TI yang dapat dikelompokkan kedalam PO, AI, DS dan M, dengan tujuan untuk pengaturan (memperoleh keamanan, keandalan dan pemenuhan) dan mendapat keuntungan (meningkatkan efektivitas, dan efisiensi). Laporan dikeluarkan melalui hasil kegiatan atau aktivitas TI, yang diukur dari praktek dan pengendalian yang bervariasi, demikian seterusnya, kembali ke awal siklus. Lihat gambar II.15.
Arahan
TI disesuaikan dengan bsinis, keuntungan maksimal dan peluangpeluang bisnis
Pengaturan TI Aktivitas TI
Sumber daya digunakan dengan bertanggung jawab
Perencanaan dan Organisasi Akuisisi dan Implementasi Penyampaian dan Dukungan
PLAN DO Pengendalian CHECK CORRECT
Pengawasan Pengaturan Resiko
Resiko di atur secara memadai
Laporan
* Keamanan * Dapat Dipercaya * Pemenuhan
Memperoleh Keuntungan Meningkatkan Efektivitas
Menurunkan biaya atau Efisiensi
Gambar II.15. Siklus pengaturan TI [7]
Agar menjamin manajemen mencapai tujuan bisnisnya, maka harus mengatur dan mengarahkan kegiatan TI dalam mencapai keseimbangan yang efektif antara mengatur
resiko
dan
mendapatkan
keuntungan.
Untuk
melaksanakannya,
manajemen perlu mengidentifikasi kegiatan terpenting, selain itu perlu juga kemampuan mengevaluasi tingkat kesiapan organisasi terhadap praktek terbaik dan standar internasional. Untuk mendukung kebutuhan manajemen tersebut, pedoman manajemen COBIT (COBIT Management Guidelines) telah secara khusus mengidentifikasi CSF, KGI, KPI dan model maturity untuk pengaturan TI.
II.4.2.7. Maturity Model
Maturity model digunakan sebagai metric untuk mengukur tingkat perkembangan sistem informasi. Dengan Maturity model dapat digunakan juga untuk mengendalikan proses IT dengan suatu metoda skoring sedemikian sehingga suatu organisasi dapat menilai dirinya sendiri dari “tidak ada” sampai “optimized” (dari 0 sampai 5). Pendekatan ini diperoleh berdasarkan Maturity Model. Lihat gambar II.16.
Gambar II.16. Maturity Model [7] Dengan pendekatan ini manajemen dapat memetakan ke 34 proses kendali tingkat atas dari COBIT [7], manajemen dapat menggambarkan dalam bentuk simbol :
Status organisasi saat ini – organisasi hari ini Status standar internasional saat ini – perbandingan
Status terbaik industri saat ini – perbandingan tambahan
Strategi Organisasi untu perbaikan atau peningkatan – keinginan organisasi
Untuk masing-masing 34 proses IT, ada suatu incremental skala pengukuran, berdasar pada suatu penilaian antara “0” sampai “5”. Skala ini dihubungkan dengan maturity model yang diuraikan berkisar antara “Tidak Ada” sampai “Optimized” lihat tabel II.4. sebagai berikut :
Tabel II.4. Level Model Maturity Model Umum Maturity Level 0 Level 1
Level 2
Level 3
Level 4
Level 5
Tidak ada (Non – Existent), kurang lengkapnya setiap proses yang dikenal. Organisasi sama sekali tidak mengetahui adanya masalah Inisialisasi (Initial), Terdapat bukti bahwa organisasi telah mengetahui adanya masalah yang membutuhkan penanganan. Penanganan masalah dilakukan dengan pendekatan adhoc, berdasarkan kasus dari perorangan. Tidak dilakukannya pengelolaan proses yang terorganisir. Setiap proses ditangani tanpa menggunakan standar. Pengulangan (Repeatable), Prosedur yang sama telah dikembangkan dalam proses – proses untuk menangani suatu tugas, dan diikuti oleh setiap orang yang terlibat di dalamnya. Tidak ada pelatihan dan komunikasi dari prosedur standard tersebut. Tanggung jawab pelaksanaan standar diserahkan pada setiap individu. Kepercayaan terhadap pengetahuan individu sangat tinggi, sehingga kesalahan sangat memungkinkan terjadi. Terdefinisi (Defined), Prosedur telah distandardisasikan, didokumentasikan, serta dikomunikasikan melalui pelatihan. Namun, implementasinya diserahkan pada setiap individu, sehingga kemungkinan besar penyimpangan tidak dapat dideteksi. Prosedur tersebut dikembangkan sebagai bentuk formulasi dari praktik yang ada. Dikelola (Managed), Pengukuran dan pemantauan terhadap kepatuhan dengan prosedur, serta pengambilan tindakan jika proses tidak berjalan secara efektif, dapat dilakukan. Perbaikan proses dilakukan secara konstan. Implementasi proses dilakukan secara baik. Otomasi dan perangkat yang digunakan terbatas Dioptimalkan (Optimised), Implementasi proses dilakukan secara memuaskan. Hal tersebut merupakan hasil dari perbaikan proses yang terus menerus dan pengukuran tingkat kedewasaan organisasi. Teknologi informasi diintegrasikan dengan aliran kerja, dan berfungsi sebagai perangkat yang memperbaiki kualitas dan efektifitas. Organisasi lebih responsive dalam menghadapi kompetisi bisnis.
Maturity Model akan membantu para profesional menjelaskan ke para manajer tentang kekurangan manajemen TI dan menetapkan target yang mereka perlukan dengan membandingkan kontrol organisasi praktek yang terbaik. Tingkatan maturity akan dipengaruhi oleh sasaran bisnis organisasi dan operasi lingkungan. Yang secara rinci tingkatan dari control maturity akan tergantung pada organisasi yang bergantung pada TI, Teknologi dan terutama informasinya. II.4.2.8. Skala Pengukuran Tingkat Maturity Model
Terdapat lima macam kemungkinan respon, dikaitkan dengan maturity model yang direkomendasikan oleh COBIT (skala 0 – 5). Responden akan memilih tingkat aktivitas yang sangat sesuai dengan kondisi saat ini. Skala sikap yang disediakan dalam kuesioner seperti terdapat pada Gambar II.17. dibawah ini :
40 %
20 %
0 %
Sangat T id a k S e tu ju
T id a k S e tu ju
N e tra l
100 %
80 %
60 %
S e tu ju
Sangat S e tu ju
Gambar II.17. Pilihan respon dalam model audit [7]
Interpretasi repon diatas dijelaskan pada Tabel II.5 dibawah ini.
Tabel II.5. : Skala sikap di dalam kuesioner dan interpretasinya
Sangat T id a k S e tu ju
Kurang dari 20 persen aktivitas yang dijelaskan di dalam pertanyaan sesuai dengan kondisi di dalam sistem informasi PT. Telekomunikasi Indonesia, Tbk. R & D Center
T id a k S e tu ju
Lebih besar dari 21 persen, namun lebih kecil dari 40 persen aktivitas yang dijelaskan di dalam pertanyaan sesuai dengan kondisi di dalam sistem informasi PT. Telekomunikasi Indonesia, Tbk. R & D Center Lebih besar dari 41 persen, namun lebih kecil dari 60 persen aktivitas yang dijelaskan di dalam pertanyaan sesuai dengan kondisi di dalam sistem informasi PT. Telekomunikasi Indonesia, Tbk. R & D Center Lebih besar dari 61 persen, namun lebih kecil dari 80 persen aktivitas yang dijelaskan di dalam pertanyaan sesuai dengan kondisi di dalam sistem informasi PT. Telekomunikasi Indonesia, Tbk. R & D Center Lebih besar dari 81 persen aktivitas yang dijelaskan di dalam pertanyaan sesuai dengan kondisi di dalam sistem informasi PT. Telekomunikasi Indonesia, Tbk. R & D Center
N e tra l
S e tu j u Sangat S e tu j u
