BAB II TINJAUAN PUSTAKA
Pembahasan bab ini antara lain latar belakang perusahaan yang meliputi sejarah, visi dan misi perusahaan, struktur organisasi, tujuan dan sasaran serta peraturan yang mengatur tentang Audit SI/TI. Dasar teori berisikan penjelasan mengenai teori-teori penunjang yang digunakan dalam pembahasan permasalahan dalam penelitian ini antara lain mengenai COBIT 4.1 secara detail dan pengujian audit. 2.1
Latar Belakang Perusahaan PT. X (Persero) Bandar Udara Ngurah Rai Bali adalah sebuah perusahaan
Badan Usaha Milik Negara (BUMN) yang memberikan pelayanan lalu lintas udara dan bisnis bandar udara di Indonesia yang menitikberatkan pelayanan pada kawasan Indonesia bagian tengah dan kawasan Indonesia bagian timur. 2.1.1
Sejarah PT. X Bandar Udara Ngurah Rai Bali Sejarah Perseroan sebagai pelopor pengusahaan kebandarudaraan secara
komersial di Indonesia bermula dari Perusahaan Negara (PN) Angkasa Pura Kemayoran yang dibentuk pada tanggal 15 November 1962 dengan Peraturan Pemerintah (PP) Nomor 33 tahun 1962. Tugas pokoknya adalah pengelolaan dan pengusahaan Bandar Udara Kemayoran Jakarta yang saat itu merupakan satusatunya bandar udara internasional yang melayani penerbangan dari dan ke luar negeri selain penerbangan domestik. Setelah melalui masa transisi selama dua tahun, terhitung sejak 20 Februari 1964 PN Angkasa Pura Kemayoran resmi mengambil alih secara penuh aset dan operasional Pelabuhan dara Kemayoran Jakarta dari Pemerintah. Tanggal 20 Februari 1964 itulah yang kemudian ditetapkan sebagai hari jadi Perseroan. Dalam perkembangannya, untuk lebih memperluas cakupan kerja mengelola bandar udara lain di wilayah Indonesia, berdasarkan PP Nomor 21 tahun 1965 PN Angkasa Pura Kemayoran berubah 6
7 nama menjadi Perusahaan Negara (PN) Angkasa Pura sejak tanggal 17 Mei 1965. Berdasarkan PP Nomor 37 tahun 1974, status badan hokum perusahaan diubah menjadi Perusahaan Umum (Perum). Tutupnya Bandar Udara Internasional Kemayoran sejak tanggal 1 Oktober 1985, seluruh kegiatan operasi perusahaan dialihkan ke Bandar Udara Soekarno-Hatta. Pembagian wilayah pengelolaan Bandar udara, berdasarkan PP Nomor 25 tahun 1987, sejak tanggal 19 Mei 1987 Perum Angkasa Pura berubah nama menjadi Perum Perseroan bersamaan dengan dibentuknya Perum Perseroan I yang khusus bertugas mengelola Bandar Udara Soekarno-Hatta dan Halim Perdanakusuma. Berdasarkan PP Nomor 5 Tahun 1992, bentuk Perusahaan Umum (Perum) diubah menjadi Perseroan Terbatas (PT) yang sahamnya dimiliki sepenuhnya oleh Negara Republik Indonesia sehingga namanya menjadi PT Angkasa Pura 1 (Persero) dengan Akta Notaris Muhani Salim, SH tanggal 3 Januari 1993 dan telah memperoleh persetujuan Menteri Kehakiman dengan keputusan Nomor: C2-470.HT.01.01 Tahun 1993 tanggal 24 April 1993 serta diumumkan dalam Berita Negara Republik Indonesia Nomor 52 tanggal 29 Juni 1993 dengan Tambahan Berita Negara Republik Indonesia Nomor: 2914/1993. Perubahan Anggaran Dasar Perusahaan terakhir adalah berdasarkan keputusan Rapat Umum Pemegang Saham tanggal 14 Januari 1998 dan telah diaktakan oleh Notaris Imas Fatimah, SH Nomor 30 tanggal 18 September 1998. Perubahan Anggaran Dasar tersebut telah mendapat pengesahan dari Menteri Kehakiman Republik Indonesia Nomor: C2-25829. HT.01.04 Tahun 1998 tanggal 19 November 1998 dan dicantumkan dalam Berita Negara Republik Indonesia Nomor 50 tanggal 22 Juni 1999 dengan Tambahan Berita Negara Republik Indonesia Nomor 3740/1999.
2.1.2
Sejarah Bandar Udara Internasional Ngurah Rai- Bali Berawal dari Tuban Bandara Ngurah Rai di bangun pada tahun 1930 oleh
Departement Voor Verkeer En Waterstaats (semacam departemen pekerjaan umum). Landasan pacu berupa Airstrip sepanjang 700 meter dari rumput di tengah ladang dan pekuburan di desa Tuban, masyarakat sekitar menamakan Airstrip ini sebagai Pelabuhan Udara Tuban.
8 Pelabuhan Udara Tuban tahun 1942 Airstrip South Bali dibom oleh tentara Jepang, yang kemudian dikuasai untuk tempat mendaratkan pesawat tempur dan pesawat angkut mereka. Airstrip yang rusak akibat pengeboman diperbaiki oleh tentara Jepang dengan menggunakan Pear Still Plate (sitem plat baja). Lima berikutnya 1942-1947, Airstrip mengalami perubahan. Panjang landas pacu menjadi 1200 meter dari semula 700 meter. Tahun 1949 dibangun gedung terminal dan menara pengawas penerbangan sederhana yang terbuat dari kayu. Komunikasi penerbangan menggunakan Transciever kode morse. Pelabuhan Udara Internasional Tuban untuk meningkatkan Pariwisata Bali, pemerintah Indonesia kembali membangun gedung terminal Internasional dan perspanjangan landasan pacu kearah barat yang semula 1200 meter menjadi 2700 meter dengan overun 2 x 100 meter. Proyek yang berlangsung dari tahun 1963-1969 diberi nama proyek Airport Tuban dan sekaligus sebagai Internasional Pelabuhan Udara Tuban. Proses reklamasi pantai sejauh 1500 meter dilakukan dengan mengambil material batu kapur yang berasal dari Ungasan dan batu kali serta pasir dari sungai Antosari-Tabanan. Seiring selesai Temporary Terminal dan Runway pada proyek Airport Tuban, pemerintah meresmikan pelayanan penerbangan Internasional di Pelabuhan Udara Tuban, tanggal 10 agustus 1966. Pelabuhan Internasional Ngurah Rai penyelesaian pengembangan pelabuhan Udara Tuban ditandai oleh peresmian Presiden Soeharto pada tanggal 1 agustus 1969,yang sekaligus menjadi momen perubahan nama dari pelabuhan Udara Tuban menjadi pelabuhan Udara Internasional Ngurah Rai (Bali International Airport Ngurah Rai). Mengantisipasi lonjakan penumpang dan cargo, maka pada tahun 1975 sampai dengan 1978 pemerintah Indonesia kembali membangun fasilitas-fasilitas
penerbangan,antara
lain
dengan
membangun
teminal
Internasional Baru. Gedung terminal lama selanjutnya di alih fungsikan menjadi Terminal Domestik, sedangkan terminal Domestik yang lama digunakan sebagai gedung cargo,usaha jasa catering dan gedung serbaguna. Pengembangan Fasilitas Bandara dan Keselamatan Penerbangan (FBUKP) tahap 1 proyek FBUKP tahap 1 (1990-1992) meliputi perluasan terminal yang lengkapi dengan Aviobridge, perpanjangan landasan pacu 3000 meter, relokasi Taxiway, perluasan Apron,
9 pengembangan gedung Cargo, gedung operasi serta pengembangan fasilitas Navigasi Udara dan fasilitas Catu Bahan Bakar Pesawat Udara. Pengembangan fasilitas bandara dan keselamatan penerbanagan (FBUKP) tahap 2 proyek FBUKP tahap 2 (1998-2000), pengembangan Bandara dikerjakan oleh Direktorat Jenderal Perhubungan Udara,antara dengan memamfaatkan hutan bakau seluas 12 Ha untuk digunakan sebagai Fasilitas Keselamatan Penerbangan. Pengembangan Fasilitas Bandara dan Keselamatan Bandara dan Keselamatan Penerbangan (FBUKP) tahap. Rencana proyek FBUKP tahap 3 meliputi pengembangan gedung terminal, gedung parkir,dan Apron. Luas terminal Domestik saat ini hanya akan dikembangkan hingga total luas mencapai 12.000 m yang nantinya akan digunakan sebagai terminal Internasional. Eksisting Terminal Internasional akan dialih fungsikan menjadi terminal Domestic. Kondisi tersebut, Bandara Ngurah Rai akan mampu menampung hingga 25 juta penumpang.
2.1.3
Visi dan Misi Perusahaan Perusahaan pastilah memiliki visi dan misi untuk menyokong kinerja
perusahaan. Berikut merupakan visi dan misi dari PT. X Bandar Udara Ngurah Rai Bali. 2.1.3.1 Visi Perusahaan Menjadi salah satu dari sepuluh perusahaan pengelola bandar
udara
terbaik di Asia. 2.1.3.2 Misi Perusahaan PT. X Bandar Udara Ngurah Rai Bali mempunyai beberapa misi penting yang di pakai pedoman untuk melakukan semua aktifitas di perusahaan yaitu : a)
Meningkatkan nilai pemangku kepentingan
b)
Menjadi mitra pemerintah dan pendorong pertumbuhan ekonomi
c)
Mengusahakan jasa kebandarudaraan melalui pelayanan prima yang memenuhi standar keamanan, keselamatan, dan kenyamanan
d)
Meningkatkan daya saing perusahaan melalui kreatifitas dan inovasi
e)
Memberikan kontribusi positif terhadap lingkungan hidup
10 2.1.4
Lima Arah Strategis Perusahaan PT. X Bandar Udara Ngurah Rai Bali memiliki lima arah strategis untuk
kemajuan perusahaan. Lima arah strategis ini dipakai sebagai pedoman untuk mengembangkan perusahaan kedepannya.
Gambar 2.1 Lima Arah Strategis Perusahaan
a. Service Excellence 1.
Peningkatan CSI
2.
Peremajaan Alat-alat Produksi
3.
Pelaksanaan Pembangunan Bandara DPS,BPN,T2 SUB
4.
Pemenuhan Jumlah SDM dan Fasilitas Produksi
b. Revenue Enhancement 1. Optimalisasi sistem kerjasama dengan mitra/konsesioner 2. Peningkatan Pendapatan Aeronautika dan Non Aeronautika 3. Pembentukan anak perusahaan c. Reasonable Cost 1. Efektifitas penggunaan anggaran 2. Menjaga keseimbangan peningkatan pendapatan terhadap peningkatan biaya
11 d. Environment 1. Penyaluran program Kemitraan 2. Pemberian Dana Program Bina Lingkungan 3. Penerapan Eco Green Airport 4. Dampak sosial&ekonomi serta penyerapan tenaga kerja lokal e. Sound Organization 1. Restrukturisasi organisasi 2. Workshop budaya baru perusahaan 3. Pencanangan Center For Excelent 4. Management training melalui strategic patnership 5. Penetapan Master Plan IT 6. Reaktivasi training untuk berbagai level Sumber : http://www.angkasapura1.co.id/5-arah-strategis 2.1.5
Struktur Organisasi Perusahaan Setiap perusahaan pastilah memiliki struktur organisasi untuk mengatur
kinerja dan proses bisnis yang terjadi dalam perusahaan tersebut. PT. X Bandar Udara Ngurah Rai Bali dengan jangkauan pasar yang luas memiliki struktur organisasi yang kompleks.
12
Gambar 2.2 Bagan Struktur Organisasi PT.Angkasa Pura I Ngurah Rai Bali http://bali-airport.com/
Organisasi ini dikepalai oleh Seorang Kepala Cabang yang dibantu oleh Tujuh Section Head
yaitu Airport Operation Dept. Head, Airport Readiness Dept.
Head, Airport Security Dept. Head, SMS QM & Cs Dept. Head, Sales Dept.Head, Finance & IT Dept. Head, Shared Service Dept. Head. Terdapat tujuh divisi utama pada organisasi perusahaan ini yang masing-masing diawasi oleh jajaran Section Head. Bagan struktur organisasi perusahaan di PT. X Bandar Udara Ngurah Rai Bali dapat dilihat pada gambar 2.2.
13 2.2
Metode Penelitian Pengertian Penelitian menurut Kerlinger (1986) adalah proses penemuan
yang mempunyai karakteristik sistematis, terkontrol, empiris, dan mendasarkan pada teori dan hipotesis atau jawaban sementara. Menurut Yoseph dan Yoseph, 1979, penelitian adalah art and science guna mencari jawaban terhadap suatu permasalahan. Seni dan ilmiah maka penelitian juga akan memberikan ruangruang yang akan mengakomodasi adanya perbedaan tentang apa yang dimaksud dengan penelitian. Metodologi penelitian adalah sekumpulan peraturan, kegiatan, dan prosedur yang digunakan oleh pelaku suatu disiplin ilmu. Metodologi juga merupakan analisis teoritis mengenai suatu cara atau metode. Penelitian merupakan suatu penyelidikan yang sistematis untuk meningkatkan sejumlah pengetahuan, juga merupakan suatu usaha yang sistematis dan terorganisasi untuk menyelidiki masalah tertentu yang memerlukan jawaban. Hakekat penelitian dapat dipahami dengan mempelajari berbagai aspek yang mendorong penelitian untuk melakukan penelitian (Sukardi:2003).
2.2.1
Metode Penelitian Kualitatif Pendekatan penelitian kualitatif sering disebut dengan naturalistic inquiry
atau inkuiri alamiah. Macam, cara atau corak analisis data kualitatif suatu penelitian, perbuatan awal yang senyatanya dilakukan adalah membaca fenomena. Setiap data kualitatif mempunyai karakteristiknya sendiri. Teori dalam penelitian kualitatif disusun melalui dasar yang ditemukan selalui induktif. Data kualitatif berada secara tersirat di dalam sumber datanya. Sumber data kualitatif adalah catatan hasil observasi, transkrip wawancara mendalam (depth interview), analisis konten dan dokumen-dokumen terkait berupa tulisan ataupun gambar. Penelitian kualitatif adalah penelitian yang tidak menggunakan model-model matematik, statistik atau komputer. Proses penelitian dimulai dengan menyusun asumsi dasar dan aturan berpikir yang akan digunakan dalam penelitian. Penelitian kualitatif merupakan penelitian yang dalam kegiatannya peneliti tidak menggunakan angka dalam mengumpulkan data dan dalam memberikan penafsiran terhadap hasilnya. Hasil penelaahan pustaka yang dilakukan Moleong atas hasil dari mensintesakan
14 pendapatnya Bogdan dan Biklen (1982:27-30) dengan Lincoln dan Guba (1985:39-44) ada sebelas ciri penelitian kualitatif, yaitu : 1. Penelitian kualitatif mennggunakan latar alamiah atau pada konteks dari suatu keutuhan (enity) 2. Penelitian kualitatif instrumennya adalah manusia, baik peneliti sendiri atau dengan bantuan orang lain 3. Penelitian kualitatif menggunakan metode kualitatif 4. Penelitian kualitatif menggunakan analisis data secara induktif 5. Penelitian kualitatif lebih menghendaki arah bimbingan penyusunan teori subtantif yang berasal dari data 6. Penelitian kualitatif mengumpulkan data deskriptif (kata-kata dan gambar) bukan angka-angka 7. Penelitian kualitatif lebih mementingkan proses daripada hasil 8. Penelitian kualitatif menghendaki adanya batas dalam penelitiannya atas dasar fokus yang timbul sebagai masalah dalam penelitian 9. Penelitian kualitatif meredefinisikan validitas, realibilitas dan objektivitas dalam versi lain dibandingkan dengan yang lazim digunakan dalam penelitian klasik 10. Penelitian kualitatif menyusun desain yang secara terus menerus disesuaikan dengan kenyataan lapangan (bersifat sementara) 11. Penelitian kualitatif menghendaki agar pengertian dan hasil interpretasi yang diperoleh dirundingkan dan disepakati oleh manusia yang dijadikan sumber data. Karakteristik metodologi penelitian secara jelas akan mewarnai setiap langkah kegiatan dalam pelaksanaan penelitian. Kurangnya pemahaman peneliti terhadap karakteristik metodologi tersebut dapat berakibat terhadap rendahnya kualitas penelitian yang dilakukan. Beberapa karakteristik penelitian kualitatif antara lain sebagai berikut: 1. Permasalahan Masa Kini Subjek peristiwa yang diteliti bukan masa lampau seperti dalam penelitian sejarah. Dengan demikian penelitian kualitatif bersifat empirik dengan
15 sasaran penelitiannya yang berupa beragam permasalahan yang terjadi di masa kini. 2. Natural Setting Topik penelitian kualitatif diarahkan pada kondisi asli apa adanya, sesuai dengan dimana, dan kapan subjek penelitian berada. Sasaran penelitian berada dalam posisi kondisi asli seperti apa adanya secara alami tanpa rekayasa penelitian. 3. Bersifat Holistik Penelitian kualitatif memandang berbagai masalah selalu berada dalam kesatuannya tidak terlepas dari kondisi yang lain yang menyatu dalam suatu konteks. Berbagai variabel yang dikaji tidak bisa dipahami secara terpisah dari posisi keterkaitanya dalam suatu konteks keseluruhan. 4. Memusatkan pada deskripsi Penelitian kualitatif memusatkan pada kegiatan ontologis, sehingga data yang dikumpulkan terutama berupa kata kata, kalimat atau gambar memiliki makna yang lebih nyata daripada sekedar angka atau frekuensi. 5. Analisis induktif Penelitian kualitatif menekankan pada analisis induktif. Data yang dikumpulkan bukan dimaksudkan untuk mendukung atau menolak hipotesis penelitian, tetapi abstraksi disusun sebagai kekhususan yang telah terkumpul dan dikelompokkan melalui proses pengumpulan data yang dilakukan secara teliti. Penelitian kualitatif menuntut keteraturan, ketertiban dan kecermatan dalam berpikir, tentang hubungan data yang satu dengan data yang lain dan konteksnya dalam masalah yang akan diungkapkan. Beberapa alasan mengenai maksud dilakukannya penelitian kualitatif antara lain(Iskandar, 2009): 1. Untuk menanggulangi banyaknya informasi yang hilang seperti yang dialami oleh penelitian kuantitatif, sehingga intisari konsep yang ada dalam data dapat diungkap.
16 2. Untuk menanggulangi kecenderungan menggali data empiris dengan tujuan membuktikan kebenaran hipotesis berdasarkan berpikir deduktif seperti dalam penelitian kuantitatif. 3. Untuk
menanggulangi
kecenderungan
pembatasan
variabel
yang
sebelumnya, seperti dalam penelitian kuantitatif, padahal permasalahan dan variabel dalam masalah sosial sangat kompleks. 4. Untuk menanggulangi adanya indeks-indeks kasar seperti dalam penelitian kuantitatif yang menggunakan pengukuran enumirasi (perhitungan) empiris, padahal inti sebenarnya berada pada konsep-konsep yang timbul dari data.
2.2.2
Metode Penelitian Deskriptif Penelitian
deskriptif
adalah
penelitian
yang
bertujuan
untuk
mendeskripsikan apa yang saat ini berlaku dan di dalamnya terdapat upaya mendeskripsikan, mencatat, analisis dan menginterprestasikan kondisi-kondisi yang sekarang ini terjadi. Penelitian deskriptif bertujuan untuk memperoleh informasi-informasi mengenai keadaan saat ini serta melihat kaitan antara variabel-variabel yang ada. Penelitian ini tidak menguji hipotesa atau tidak menggunakan hipotesa, melainkan hanya mendeskripsikan informasi apa adanya sesuai dengan variabel-variabel yang diteliti. Penelitian semacam ini sering dilakukan guna mengambil kebijakan atau keputusan untuk melakukan atau memberi solusi dalam memecahkan masalah. Beberapa karakteristik penelitian deskriptif antara lain sebagai berikut: 1. Bertujuan untuk mendeskripsikan variabel-variabel utama subjek studi, misalnya mengenai umur, jenis kelamin, pendidikan, pekerjaan, ekonomi dan lain-lain yang disesuaikan dengan tujuan penelitian. 2. Penelitian deskriptif murni tidak membutuhkan kelompok kontrol sebagai pembanding karena yang dicari adalah fenomena tertentu atau untuk memperoleh gambaran tentang hal-hal yang berkaitan dengan masalah kesehatan.
17 3. Terdapatnya hubungan sebab akibat hanya merupakan perkiraan yang didasarkan atas tabel silang yang disajikan. Penyajian data hasil penelitian dapat berupa tabel distribusi frekuensi, tabel silang dan grafik. 4. Hasil penelitian hanya disajikan sesuai dengan data yang diperoleh tanpa dilakukan analisis yang mendalam. 5. Pengumpulan data dilakukan dalam satu saat atau satu periode tertentu dan setiap subjek studi penelitian hanya diamati satu kali. Menurut Robert C. Bogdan (1992, p.30) menyatakan bahwa "Qualitative research is descriptive". Ahli tersebut menyatakan penelitian kualitatif adalah deskriptif yang dimaksud dalam mengumpulkan data, seluruh data dituliskan apa adanya dengan upaya mengilustrasikan kondisi sebenarnya yang terjadi pada objek. Penelitian yang dilakukan secara deskriptif adalah penelitian yang digunakan dengan metode untuk mengumpulkan data hasil survei dengan pengamatan sederhana. Selanjutnya peneliti menggolongkan kejadian-kejadian tersebut berdasarkan pengamatan melalui kuisioner, pengumpulan pendapat, dan pengamatan fisik. 2.3
Metode Pengumpulan Data Teknik pengumpulan data dalam penelitian merupakan faktor penting
demi keberhasilan penelitian. Hal ini berkaitan dengan bagaimana cara mengumpulkan data, siapa sumbernya, dan apa alat yang digunakan. Jenis sumber data adalah mengenai dari mana data diperoleh. Data diperoleh dari sumber langsung (data primer) atau data diperoleh dari sumber tidak langsung (data sekunder). Metode pengumpulan data merupakan teknik atau cara yang dilakukan untuk mengumpulkan data. Metode menunjuk suatu cara sehingga dapat diperlihatkan penggunaannya melalui angket, wawancara, pengamatan, tes, dokumentasi dan sebagainya. Sedangkan instrumen pengumpul data merupakan alat yang digunakan untuk mengumpulkan data. Instrumen dapat berupa lembar cek list, kuesioner (angket terbuka / tertutup), pedoman wawancara, foto dan lainnya.
18 2.3.1
Sumber Data Sumber data terbagi menjadi dua yaitu data primer dan data sekunder.
Data primer adalah data yang diperoleh peneliti secara langsung (dari tangan pertama), sementara data sekunder adalah data yang diperoleh peneliti dari sumber yang sudah ada. Contoh data primer adalah data yang diperoleh dari responden melalui kuesioner, kelompok fokus, dan panel, atau juga data hasil wawancara peneliti dengan nara sumber. Contoh data sekunder misalnya catatan atau dokumentasi perusahaan berupa absensi, gaji, laporan keuangan publikasi perusahaan, laporan pemerintah, data yang diperoleh dari majalah, dan lain sebagainya.
2.3.2
Wawancara Wawancara merupakan teknik pengumpulan data yang dilakukan melalui
tatap muka dan tanya jawab langsung antara pengumpul data maupun peneliti terhadap nara sumber atau sumber data. Wawancara pada penelitian sampel besar biasanya hanya dilakukan sebagai studi pendahuluan karena tidak mungkin menggunakan wawancara pada 1000 responden, sedangkan pada sampel kecil teknik wawancara dapat diterapkan sebagai teknik pengumpul data (umumnya penelitian kualitatif). Wawancara terbagi atas wawancara terstruktur dan tidak terstruktur. Wawancara terstruktur artinya peneliti telah mengetahui dengan pasti apa informasi yang ingin digali dari responden sehingga daftar pertanyaannya sudah dibuat secara sistematis. Peneliti juga dapat menggunakan alat bantu tape recorder, kamera photo, dan material lain yang dapat membantu kelancaran wawancara. Wawancara tidak terstruktur adalah wawancara bebas, yaitu peneliti tidak menggunakan pedoman wawancara yang berisi pertanyaan yang akan diajukan secara spesifik, dan hanya memuat poin-poin penting masalah yang ingin digali dari responden. Wawancara dapat dilaksanakan melalui dua cara yaitu wawancara tatap muka dan wawancara via telepon. Wawancara tatap muka memiliki beberapa kelebihan antara lain dapat membangun hubungan dan memotivasi responden, dapat mengklarifikasi pertanyaan, menjernihkan keraguan, serta menambah pertanyaan baru, dapat membaca isyarat non verbal serta dapat
19 memperoleh data lebih banyak. Kekurangan dari wawancara tatap muka yaitu dalam pengerjaannya membutuhkan waktu yang lama, biaya besar jika responden yang akan diwawancara berada di beberapa daerah terpisah, Responden mungkin meragukan kerahasiaan informasi yang diberikan, pewawancara perlu dilatih, dapat menimbulkan bias pewawancara, responden bias menghentikan wawancara kapanpun. Wawancara via telepon memiliki beberapa kelebihan, antara lain biaya lebih sedikit dan lebih cepat dari warancara tatap muka, dapat menjangkau daerah geografis yang luas, anomalitas lebih besar dibanding wawancara pribadi (tatap muka). Sedangkan kelemahannya antara lain isyarat non verbal tidak bisa dibaca, wawancara harus diusahakan singkat, nomor telepon yang tidak terpakai bias dihubungi, dan nomor yang tidak terdaftar pun dihilangkan dari sampel.
2.3.3
Kuisioner Kuisioner adalah daftar pertanyaan tertulis yang telah disusun sebelumnya.
Pertanyaan- pertanyaan yang terdapat dalam kuisioner, atau daftar pertanyaan tersebut cukup terperinci dan lengkap dan biasanya sudah menyediakan pilihan jawaban (kuesioner tertutup) atau memberikan kesempatan responden menjawab secara bebas (kuesioner terbuka). Penyebaran kuesioner dapat dilakukan dengan beberapa cara seperti penyerahan kuesioner secara pribadi, melalui surat, dan melalui email. Masingmasing cara ini memiliki kelebihan dan kelemahan, seperti kuesioner yang diserahkan secara pribadi dapat membangun hubungan dan memotivasi respoinden, lebih murah jika pemberiannya dilakukan langsung dalam satu kelompok, respon cukup tinggi. Namun kelemahannya adalah organisasi kemungkinan menolak memberikan waktu perusahaan untuk survey dengan kelompok karyawan yang dikumpulkan untuk tujuan tersebut.
2.3.4
Teknik Sampling Kata lain dari sampel adalah “contoh”. Sedangkan pengambilan sampel
dari suatu populasi disebut penarikan sampel atau sampling. Populasi yang ditarik sampelnya pada waktu merencanakan suatu penelitian disebut target population, sedangkan populasi yang akan diteliti pada waktu melakukan penelitian disebut
20 sampling population. Masalah yang akan dihadapi dalam penarikan sampel ini adalah pada penarikan sampel dan ukuran besar sampel. Hal ini sangat tergantung pada sifat populasi, terutama pada ketersebaran anggota dalam wilayah penelitian atau dalam kategori-kategori tertentu atau juga tergantung pada variasi populasi. Sampel dapat ditentukan berdasarkan pertimbangan masalah, tujuan, hipotesis, metode dan instrumen penelitian di samping pertimbangan waktu, tenaga dan pembiayaan. Agar diperoleh sampel yang refresentatif, harus diupayakan agar setiap subjek dalam populasi memiliki peluang yang sama menjadi unsur sampel. Semakin tinggi atau besar variasi dari populasi, maka makin besar sampel yang dibutuhkan. Penarikan sampel ini, terdapat dua macam teknik yang sering atau umumnya dilakukan, yaitu probability sampling dan nonprobability sampling. Mengenai besarnya sampel tidak ada ketentuan yang baku atau rumus yang pasti, karena sahnya sampel terletak pada sifat dan karakteristiknya mendekati populasi atau tidak, bukan pada besar atau banyaknya. Minimal sampel sebanyak 30 subjek. Hal ini didasarkan atas perhitungan atau syarat pengujian yang lazim digunakan dalam statistik. Nonprobability sampling ialah teknik sampling yang tidak memberikan kesempatan (peluang) pada setiap anggota populasi untuk dijadikan anggota sampel. Purposive sampling dikenal juga dengan sampling pertimbangan. Purposive sampling merupakan salah satu jenis dari teknik nonprobability sampling yang digunakan peneliti jika peneliti mempunyai pertimbannganpertimbangan tertentu di dalam pengambilan sampelnya atau penentuan sampel untuk tujuan tertentu. oleh karena itu, sampling ini cocok untuk studi kasus yang mana aspek dari kasus tunggal yang representatif diamati dan dianalisis. Purposive sampling juga dapat didefinisakan sebagai suatu proses pengambilan sampel dengan menentukan terlebih dahulu jumlah sampel yang hendak diambil, kemudian pemilihan sampel dilakukan dengan berdasarkan tujuan-tujuan tertentu, asalkan tidak menyimpang dari ciri-ciri sampel yang ditetapkan(Ted Palys. 2008). Beberapa keuntungan menggunakan sampel dalam suatu penelitian diantara sebagai berikut :
21 a. Memudahkan peneliti untuk jumlah sampel lebih sedikit dibandingkan dengan menggunakan populasi dan apabila populasinya terlalu besar ditakutkan akan terlewati. b. Penelitian lebih efisien (dalam arti penghematan uang, waktu dan biaya) c. Lebih teliti dan cermat dalam mengumpulkan data, artinya jika subjeknya banyak
di
khawatirkan
adanya
bahaya
bias
dari
orang
yang
mengumpulkan data, karena sering dialami oleh staf bagian pengumpul data yang mengalami kelelahan sehingga pencatatan data tidak akurat. d. Penelitian lebih efektif, jika penelitian bersifat destruktif (merusak) yang menggunakan spesemen akan hemat dan bisa dijangkau tanpa merusak semua bahan yang ada serta bisa digunakan untuk menjaring populasi yang jumlanya banyak. Sedangkan besar kecilnya sampel yang diambil akan dipengaruhi oleh beberapa faktor.
2.3.5
Etika dalam Pengumpulan Data Etika diperlukan dalam pengumpulan data untuk memberi batasan-batasan
pengumpul data dalam menjalankan tugasnya. Beberapa etika yang harus diperhatikan ketika mengumpulkan data antara lain : a. Memperlakukan informasi yang diberikan responden dengan memegang prinsip kerahasiaan dan menjaga pribadi responden merupakan salah satu tanggung jawab peneliti. b. Peneliti tidak boleh mengemukakan hal yang tidak benar mengenai sifat penelitian
kepada
subjek.
Dengan
demikian,
peneliti
harus
menyampaikan tujuan dari penelitian kepada subjek dengan jelas. c. Informasi pribadi atau yang terlihat mencampuri sebaiknya tidak ditanyakan, dan jika hal tersebut mutlak diperlukan untuk penelitian, maka penyampaiannya harus diungkapkan dengan kepekaan yang tinggi kepada responden, dan memberikan alasan spesifik mengapa informasi tersebut dibutuhkan untuk kepentingan penelitian. d. Apapun sifat metode pengumpulan data, harga diri dan kehormatan subjek tidak boleh dilanggar.
22 e. Tidak boleh ada paksaan kepada orang untuk merespon survei dan responden yang tidak mau berpartisipasi tetap harus dihormati. f.
Subjek tidak boleh dihadapkan pada situasi yang mengancam mereka, baik secara fisik maupun mental.
g. Tidak boleh ada penyampaian yang salah atau distorsi dalam melaporkan data yang dikumpulkan selama pwngumpulan data.
2.4
Tata Kelola TI Tatakelola (governance) merupakan sesuatu proses yang dilakukan oleh
suatu organisasi atau masyarakat untuk mengatasi permasalahan yang terjadi. Istilah
tatakelola
(governance)
juga
sering
dikaburkan
dengan
istilah
pemerintahan (government), yang mana keduanya mempunyai arti yang berbeda. Pemerintahan (government) dibangun untuk menjalankan tatakelola (governance). Saat ini model dan prinsip tatakelola organisasi telah berkembang luas. Berbagai standar dan pendekatan dipersyaratkan agar organisasi dapat menjalankannya. The IT Governance Institute (ITGI) mendefinisikan tatakelola teknologi informasi sebagai suatu bagian integral dari tatakelola perusahaan yang terdiri atas kepemimpinan, struktur dan proses organisasional yang memastikan bahwa teknologi informasi organisasi berlanjut serta meningkatkan tujuan dan strategi organisasi. Sementara itu, Weill dan Ross (2004) mendefinisikan tatakelola TI sebagai penspesifikasian hak keputusan dan kerangka akuntabilitas untuk mengarahkan perilaku yang diinginkan dalam penggunaan TI. Mereka juga menegaskan bahwa tatakelola TI tidak sekedar tentang pembuatan keputusan spesifik tetapi lebih pada penentuan siapa yang secara sistematis membuat dan berkontribusi pada keputusan tersebut. Untuk melakukan tata kelola TI yang baik, maka perlu dilakukan langkah-langkah sebagai berikut : a.
Penentuan tingkat integrasi dan pengendalian organisasi atas investasi TI pada suatu organisasi bisnis.
b.
Adanya keselarasan integrasi antara TI dengan aktivitas bisnis mulai dari tingkat lini, fungsi dan bidang pada organisasi.
23 c.
Nilai-nilai instrinsik TI harus dimasukkan secara penuh kedalam setiap aspek bisnis bukan hanya pada fungsi TI saja.
d.
Perlu adanya rencana strategis dan tata kelola yang baik untuk organisasi.
e.
Perlu adanya penyelarasan TI dengan tujuan organisasi dengan memperhatikan sumber daya internal maupun eksternal.
f.
Dalam penggunaan TI perlu adanya penyeleksian TI untuk efisiensi dan efektifitas organisasi.
g.
Penentuan kebijakan, baik secara nasihat, regulasi maupun informasional pada setiap lini, fungsi dan bidang pada organisasi.
h.
Pengkajian kinerja terkait keselarasan penggunaan TI dengan aktivitas bisnis perlu dievaluasi dan dijadikan sebagai peningkatan kinerja organisasi selanjutnya.
Sumber :
Andi.
Informasi. Yogyakarta.
2.4.1
Konsep Sistem Tatakelola TI Konsep sistem tatakelola TI dijelaskan dalam perspekif struktur dan
perspektif proses. Sebagai struktur, tatkeloal TI dapat dilihat dari komponen dan struktur yang membangun sistem tersebut. Dan sebagai suatu proses, tatakelola TI dilihat dari implementasi serangkaian prosedur dan mekanisme antarkomponen struktur dalam aktivitas nyata organisasi.
2.4.1.1 Struktur Sistem Tatakelola TI Struktur sistem teknologi informasi menunjukkan komponen dan elemen yang membangun stuktur sistem tersebut. Para pemangku kepentingan akan lebih mudah
menjelaskan
dan
mengurai
sistem
teknologi
informasi
dengan
menggunakan perspektif komponen atau struktur karena apa pun bentuk sistem
24 teknologi informasi maka struktur dan komponennya adalah sama, yaitu komponen input, proses, output, kendali, simpanan dan teknologi. Tata kelola teknologi informasi sebagai suatu sistem juga dapat diurai dan dijelaskan dari perspektif struktur. Struktur tatakelola TI menunjukkan komponen yang membangun sistem tatakelola TI, yaitu : a.
Archetype Archetype menunjukkan struktur hak keputusan dan akuntabilitas pembuatan keputusan terkait tatakelola TI, menunjukkan siapa yang memilik hak dan besarnya proporsi keputusan yang terkait dengan tatakelola TI.
b.
Aktivas manusia Aktivas manusia menunjukkan para pihak yang terlibat dalam proses perancangan, implementasi dan pengawasan sistem tatakelola TI. Komponen ini lebih mengarah pada peran dan fungsi masing-masing pihak dalam siste tatakelola TI.
c.
Kendali dan regulasi Kendali dna regulasi menunjukkan seperangkat aturan yang menjadi persyaratan agar diadopsi oleh organisasi yang menerapkan sistem tatakelola TI. Komponen ini bersifat best practice yang dibangun oleh lembaga berwenang dan menjadi panduan bagi organisasi dalam mengembangkan sistem tatakelola TI. Beberapa regulasi yang terkait sistem tatakelola TI yaitu COBIT, ISO 17799, ITIL dan Sarbanes-Oxley.
2.4.1.2 Proses Sistem Tatakelola TI Komponen sistem tatakelola TI merupakan persyaratan yang harus
dipenuhi agar tatakelola TI dapat terbangun dalam bentuk sistem, namun sistem tersebut tidak dapat menghasilkan manfaat jika tidak bekerja dengan baik. Sebagai suatu proses, sistem tatakelola TI dapat dilihat dari peran dan fungsi masingmasing komponen yang membentuk struktur tatakelola TI. Proses sistem tatakelola TI dapat dilihat dari proses perancangan tatakelola TI, proses keputusan TI, mekanisme penyelarasan strategi bisnis dan TI, mekanisme implementasi
25 keputusan TI, mekanisme pengawasan dan pengarahan perilaku pengguna dan mekanisme evaluasi kerja TI.
Proses Perancangan Tatakelola TI
Proses Keputusan TI
Mekanisme Penyelarasan Strategi Bisnis dan TI Mekanisme Implementasi Keputusan TI Mekanisme Penyerahan Perilaku Pengguna Mekanisme Pengawasan
Mekanisme Evaluasi Kinerja TI Gambar 2.3 Proses Tatakelola TI (Sumber : HM, Jogiyanto dan Wily Abdilah. 2011. Sistem Tatakelola Teknologi Informasi. Yogyakarta: Andi.)
2.4.2
Area Fokus Tata Kelola TI Pada dasarnya, tata kelola TI berkaitan dengan dua permasalahan utama yaitu
TI akan memberikan nilai terhadap bisnis yang didorong oleh penyelarasan TI dengan bisnis dan resiko yang terkait dengan TI akan ditangani dengan penentuan penanggung jawab permasalahan tersebut dalam perusahaan. Penyelarasan bisnis dan TI yang mengarahkan pada pemenuhan nilai bisnis adalah elemen kunci dari tata kelola TI. Terdapat 5 area yang menjadi fokus menurut tata kelola TI seperti pada gambar 2.5, diantaranya penyelarasan strategis (strategic alignment), penyampaian
26 nilai (value delivery), pengelolaan sumber daya (resource management), pengelolaan risiko (risk management), dan pengukuran kinerja (performance measurement).
Gambar 2.4 Area Fokus Tata Kelola TI www.itgi.org
Area yang menjadi fokus menurut tata kelola TI tersebut adalah sebagai berikut : a.
Strategic Alignment (Penyelarasan Strategis) Berfokus pada hubungan bisnis dan rencana TI; mendefinisikan, mempertahankan dan memvalidasi proposisi nilai teknologi informasi, dan menyelaraskan operasi TI dengan operasi perusahaan secara keseluruhan.
b.
Value Delivery (Penyampaian Nilai) Value Delivery adalah tentang menjalankan proposisi nilai seluruh siklus information delivery, memastikan bahwa informasi yang disampaikan melalui teknologi informasi, memberikan manfaat yang dijanjikan, fokus pada pengoptimalan biaya dan nilai intrinsik TI.
c.
Resource Management (Pengelolaan Sumber Daya) Resource Management adalah tentang mengoptimalkan investasi, dan pengelolaan yang tepat. Sumber daya TI yang penting diantaranya : aplikasi, informasi, infrastruktur dan manusia, serta yang berkaitan dengan optimalisasi pengetahuan dan infrastruktur.
d.
Risk Management (Manajemen Risiko) Adanya peringatan risiko oleh senior corporate officer, pemahaman yang jelas mengenai enterprise’s appetite for risk, memahami kepatuhan
27 persyaratan, adanya transparansi tentang risiko yang signifikan di perusahaan. e.
Performance Measurement (Pengukuran Kinerja) Meliputi aktivitas audit dan penilaian, serta pengukuran terhadap kinerja secara berkelanjutan.
Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA: IT Governance Institute. HM, Jogiyanto dan Wily Abdilah. 2011. Sistem Tatakelola Teknologi Informasi. Yogyakarta: Andi.
2.4.3
Model Tata Kelola TI
Terdapat berbagai jenis model/tools yang dapat digunakan sebagai alat untuk mengetahui tingkat kematangan tatakelola teknologi informasi di dalam suatu perusahaan ataupun organisasi. Model-model tata kelola teknologi informasi tersebut diantaranya adalah sebagai berikut : 1.
The IT Infrastructure Library (ITIL) ITIL dikembangkan oleh The Office of Government Commerce (OGC)
suatu badan pemerintah di Inggris yang bekerja sama dengan The IT Servive Management Forum (ITSMF) dan British Standard Institute (BSI). ITIL merupakan suatu framework pengelolaan layanan teknologi informasi (IT Service Management-ITSM) yang sudah banyak digunakan oleh industri-industri pengembangan perangkat lunak. ITSM memfokuskan diri pada 3 (tiga) tujuan utama, yaitu:
Menyelaraskan layanan TI dengan kebutuhan sekarang dan akan datang dari bisnis dan pelangganya;
Memperbaiki kualitas layanan TI;
Mengurangi biaya jangka panjang dari pengelolaan layanan yang dilaksanakan.
Standar ITIL berfokus pada pelayanan pelanggan dan tidak menyertakan proses penyelarasan strategi perusahaan terhadap strategi TI yang dikembangkan.
28 2.
COSO COSO merupakan kependekan dari Commite of Sponsoring Organization
of the Treadway Commision, sebuah organisasi di Amerika yang bertujuan untuk mengembangkan kualitas pelaporan financial mencakup etika bisnis, kontrol internal dan corporate governance. COSO framework terdiri dari 3 domain, yaitu: a.
Komponen kontrol COSO COSO mengidentifikasi 5 jenis komponen kontrol yang diintegrasikan dalam semua unit bisnis, dan akan membantu mencapai sasaran kontrol internal yang terdiri dari: Monitoring Information and communications Control activities Risk assessment Control environment
b.
Sasaran kontrol internal Sasaran kontrol internal dikategorikan menjadi beberapa area sebagai berikut: Operations, efisiensi dan efektifitas operasi dalam mencapai sasaran bisnis yang juga meliputi tujuan performansi dan keuntungan; Financial reporting; persiapan pelaporan anggaran financial yang dapat dipercaya; Compliance; pemenuhan hukum dan aturan yang dapat dipercaya.
c.
Unit/aktivitas terhadap organisasi Unit
ini
mengidentifikasikan
menghubungkan
kontrol
unit/aktifitas
internal.
Kontrol
pada
organisasi
internal
yang
menyangkut
keseluruhan organisasi dan semua bagian-bagiannya. Kontrol internal seharusnya diimplementasikan terhadap unit-unit dan aktifitas organisasi. 3.
ISO/IEC 17799. ISO/IEC 17799 dikembangkan oleh The International Organization for
Standarization (ISO) dan The International Electrotechnical Commision (IEC).
29 ISO/IEC 17799 bertujuan untuk lebih memperdalam 3 (tiga) elemen dasar keamanan informasi, yaitu : a.
Confidentiality, bagian ini fokus pada memastikan bahwa informasi hanya dapat diakses oleh yang berhak;
b.
Integrity, bagian ini fokus pada menjaga akurasi dan selesainya informasi dan metode pemrosesan;
c.
Availability, bagian ini fokus pada memastikan bahwa user yang terotorisasi mendapatkan akses kepada informasi dan aset yang terhubung dengannya ketika diperlukan.
2.5
Definisi Audit TI Audit SI/TI yang pada awalnya lebih dikenal sebagai EDP Audit
(Electronic
Data
Processing)
telah
mengalami
perkembangan
yang
pesat.Perkembangan Audit SI/TI ini didorong oleh kemajuan teknologi dalam sistemkeuangan, meningkatnya kebutuhan akan kontrol TI, dan pengaruh dari komputeritu sendiri untuk menyelesaikan tugas-tugas penting. Ron Weber (1999)
mendefinisikan Audit
SI/TI sebagai
proses
pengumpulan dan pengevaluasian bukti (evidence) untuk menentukan apakah sistem informasi dapat melindungi aset, teknologi informasi yang ada telah memelihara integritas data sehingga keduanya dapat diarahkan kepada pencapaian Tujuan Bisnis secara efektif dengan menggunakan sumber daya secara efektif. Menurut ICASA, CISA Review (2004) audit SI/TI didefinisikan sebagai proses sistematis yang dilakukan dengan memperhatikan keobjektifan dari pihak yang kompeten dan indpenden dalam prolehan dan penilaian bukti-bukti terhadap tuntutan-tuntutan yang terkait dengan hal-hal atau kejadian yang bersifat ekonomis, tujuan dari kegiatan audit adalah memberikan gambaran kondisi tertentu yang berlangsung di perusahaan dan pelaporan mengenai pemenuhan terhadap sekumpulan standar yang terdefinisi. Riyanto Sarno (2009) mendefinisikan istilah audit SI/TI sebagai aktivitas pengumpulan dan pengevaluasian bukti untuk penentuan apakah proses TI yang berlangsung dalam perusahaaan telah dikelola sesuai dengan standar dan
30 dilengkapi dengan objektif kontrol untuk mengawasi penggunaannya serta apakah telah memenuhi tujuan bisnis secara efektif. Dengan demikian, audit SI/TI dapat menekankan pada penggunaan keterpaduan antara uji kepatutan maupun uji secarasubstantif yang komposisi atau banyaknya digunakan secara seimbang sesuai dengan kondisi proses yang diaudit. Pada hakekatnya audit sistem informasi juga perlu dilakukan untuk memeriksa tingkat kematangan atau kesiapan organisasi dalam melakukan pengelolaan TI. Adapun elemen utama dari aktivitas peninjauan yang dilakukan dalam audit SI/TI dapat diklasifikasikan ke dalam tinjauan penting berikut: a.
Tinjauan terkait dengan fisik dan lingkungan, yaitu hal-hal yang terkait dengan keamanan fisik, suplai sumber daya, temperatur, kontrol kelembapan dan faktor lingkungan lain.
b.
Tinjauan administrasi sistem, yaitu mencakup tinjauan keamanan sistem operasi, sistem manajemen database, seluruh prosedur administrasi sistem dan pelaksanannya.
c.
Tinjauan keamanan jaringan yang mencakup tinjauan jaringan internal dan eksternal yang terhubung dengan sistem, batasan tingkat keamanan, tinjauan terhadap firewall, daftar kontrol akses router, port scanning serta pendeteksian akan gangguan maupun ancaan terhadap sistem.
d.
Tinjauan kontinuitas bisnis dengan memastikan ketersediaan prosedur backup dan penyimpanan, dokumentasi dari prosedur tersebut serta dokumentasi pemulihan bencana/kontinuitas bisnis yang dimiliki.
e.
Tinjauan integritas data yang bertujuan untuk memastikan ketelitian data yang beroperasi sehingga dilakukan verifikasi kecukupan kontrol dan dampak dari kurangnya kontrol yang ditetapkan.
Tinjauan tersebut dapat memberikan gambaran yang lebih jelas terhadap manajemen terkait dengan kondisi eksisting proses bisnis yang terkait dengan TI. Sebagai contoh, perangkat lunak mungkin telah didesain dan diimplementasi dengan seluruh fitur keamanan yang ada, tetapi password milik super-user tidak diubah dari yang diinisialisasikan oleh sistem di awal sehingga memungkinkan pengaksesan data penting secara langsung.
31 Menurut Sanyoto (2007) panduan yang dipergunakan dalam audit SI/TI untuk di Indonesia adalah standar Atestasi, dan aturan-aturan yang dikeluarkan oleh organisasi akuntansi (IAI, AICPA atau CICA), maupun yang lebih khususlagi, yaitu dari ISACA atau IIA. Model referensi sistem pengendalian internal lazimnya adalah COBIT. Berbeda dengan general audit yang bersifat kewajiban hukum, audit IT Governance lebih bersifat memberikan keyakinan pada top management apakah pengelolaan informasi di perusahaannya sudah baik. Karena yang diaudit ialah tata kelola TI (IT Governance), maka yang diperiksa antara lain adalah teknologi informasi itu sendiri dan istilah audit around computer dan audit through the computer tidak relevan lagi. Audit SI dimaksudkan untuk memberikan informasi kepada manajemen puncak agar mempunyai
“a
clear
assessment”
terhadap
sistem
informasi
yang
diimplementasikan pada organisasi tersebut. Perlu dipahami bahwa audit SI tidak harus selalu merupakan penugasan lengkap mencakup seluruh aspek, melainkan beberapa aspek penting sesuai kebutuhan organisasi. Jadi terdapat beberapa jenis penugasan audit sistem informasi, misalnya seperti mengidentifikasi sistem yang ada, memahami seberapa besar sistem informasi mendukung kebutuhan strategis perusahaan, menganalisis tingkat kepentingan informasi, mengidentifikasi apakah ada kesenjangan (gap) antara sistem dengan kebutuhan dan lain sebagainya.
2.5.1
Peranan Audit dalam Tata Kelola TI Teknologi informasi saat ini menjadi bagian yang tak terpisahkan dalam
perusahaan, bukan lagi menjadi fungsi terpisah yang tidak terintegrasi dengan bisnis. Bagaimana TI diaplikasikan dalam perusahaan akan mempengaruhi seberapa jauh perusahaan telah mencapai visi, misi ataupun tujuan strategisnya. Karena itulah, perusahaan perlu mengevaluasi pengelolaa TI tersebut yang menjadi kian penting sebagai bagian dari tata kelola perusahaan secara keseluruhan. Audit memainkan peranan penting dalam pengimplementasian tata kelola TI diperusahaan. Besarnya resiko yang mungkin muncul akibat penerapan TI disuatu perusahaan, membuat audit SI/TI semakin penting untuk dilakukan. Beberapa alasan penting mengapa audit SI/TI perlu dilakukan antara lain :
32
a.
Kerugian akibat kehilangan data Data telah menjadi salah satu aset terpenting bagi perusahaan. Peran TI dalam mengamankan data tersebut menjadi aspek yang perlu diperhatikan. Hal tersebut mengingat kehilangan data mungkin akan berakibat terhadap terhentinya aktivitas bisnis yang penting di perusahaan.
b.
Resiko kebocoran data Data bagi sebagian besar perusahaan merupakan sumber data yang tidak ternilai. Informasi mengenai pelanggaran misalnya, bisa menjadi daya saing perusahaan. Melalui proses audit, dapat diketahui kemungkinan kebocoran data pelanggaran perusahaan.
c.
Penyalahgunaan komputer Kejahatan komputer kian meningkat seiring dengan perkembangan teknologi informasi dan komunikasi. Kejahatan tersebut bisa muncul dari pihak luar (hacker atau cracker) karena ingin mengambil keuntungan sebanyak-banyaknya atau kebanggan pribadi, maupun oleh karyawan perusahaan sendiri karena merasa tidak puas dengan kebijakan perusahaan.
d.
Kerugian akibat kesalahan proses perhitungan Salah satu alasan penggunaan TI adalah kemampuan dalam mengelola data secara tepat dan akurat namun bukan tanpa resiko kesalahan. Resiko tersebut akan menjadi semakin besar tanpa didukung dengan keberadaan mekanisme pengembangan yang memadai yang evaluasi implementasinya dapat dievalusi melalui audit sistem informasi.
e.
Tingginya nilai investasi perangkat keras dan perangkat lunak Investasi yang dikeluarkan untuk proyek TI sering kali besar namun pengukuran manfaat yang diberikan TI terhadap bisnis sering kali sulit diukur karena melibatkan banyak faktor dan kepentingan. Keberadaan audit SI akan membantu pihak manajemen dalam memastikan penggunaan TI sesuai dengan standar pengelolaan yang baik, kebijakan, hukum dan
33 regulasi yang berlaku sehingga dapat diarahkan untuk mendukung pencapaian tujuan bisnis.
2.6
COBIT Control
Objective
for
Information
and
related
Technology,
disingkat COBIT, adalah suatu panduan standar praktik manajemen teknologi informasi. COBIT ialah menyediakan kebijakan yang jelas dan good practice untuk IT governance, membantu manajemen senior dalam memahami dan mengelola resiko-resiko yang berhubungan dengan IT. COBIT menyediakan kerangka IT governance dan petunjuk control objective yang detail untuk manajemen, pemilik proses bisnis, user dan auditor.
2.6.1
Definisi COBIT Control Objective for Information and Related Technology atau yang biasa
disebut COBIT adalah sebuah set dari best practices (framework) bagi pengelolaan teknologi informasi (IT management). COBIT disusun oleh the IT Governance Institute (ITGI) dan Information System Audit and Control Association (ISACA) tepatnya
Information System Audit And Control
Foundation’s (ISACF) pada tahun 1992. Edisi pertamanya dipublikasikan pada tahun 1996, edisi kedua pada tahun 1998, edisi ketiga pada tahun 2000 dan saat ini adalah edisi keempat pada Desember 2005. COBIT juga merupakan sekumpulan dokumentasi dan panduan yang mengarahkan pada tata kelola TI yang dapat membantu auditor, manajemen, dan pengguna (user) untuk menjembatani pemisah antara resiko bisnis, kebutuhan kontrol, dan permasalahan teknis. COBIT bermanfaat bagi auditor karena merupakan teknik yang dapat membantu dalam identifikasi masalah kontrol TI. COBIT berguna bagi pengguna TI karena memperoleh keyakinan atas kehandalan sistem aplikasi yang dipergunakan. Para manajer memperoleh manfaat dalam keputusan investasi di bidang TI serta infrastrukturnya, menyusun rencana TI yang strategis (strategic IT plan), menentukan arsitektur informasi (information architecture) dan keputusan atas procurement (pengadaan/pembelian) mesin. COBIT mendukung manajemen
34 dalam mengoptimumkan investasi TI melalui ukuran-ukuran yang akan memberikan sinyal bahaya bila suatu kesalahan atau resiko akan terjadi. Sumber daya TI merupakan suatu elemen yang sangat disoroti COBIT, termasuk pemenuhan kebutuhan bisnis terhadap efektivitas, efisiensi, kerahasiaan, keterpaduan, etersediaan, kepatuhan, pada aturan dan keandalan informasi.
2.6.2
Komponen COBIT Institute IT Governance telah melakukan penelitian dan bekerja sama
untuk menetapkan acuan manajemen untuk COBIT Framework dengan berbagai kalangan misalnya analis, para pakar di dunia industri dan akademisi. Hasil dari penelitian tersebut menetapkan 4 pedoman manajemen COBIT Framework yaitu model maturity, Critical Sucesses Factor (CSF), Key Goals Indicator (KGI) dan Key Performances Indicator (KPI), menetapkan pedoman audit dengan rincian tiga puluh empat (34) proses untuk mengukur dan menilai proses TI dan menetapkan tujuan
pengendalian secara detail yang sangat berguna dan
dibutuhkan oleh auditor, para IT users, dan para manajer, seperti ditunjukkan pada gambar 2.5 di bawah ini mengenai produk keluarga COBIT.
Gambar 2.5 Produk Keluarga COBIT Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA: IT Governance Institute.
35
Paket keluarga COBIT secara lengkap dijelaskan sebagai berikut yang terdiri dari: 1.
Executive Summary terdiri dari ikhtisar eksekutif yang memberikan kesadaran dan pemahaman menyeluruh tentang konsep-konsep kunci dan prinsip COBIT.
2.
Framework membantu dalam mengorganisir tujuan tata kelola TI dan praktek terbaik oleh proses dan domain TI, kemudian menghubungkannya ke persyaratan bisnis.
3.
Detailed Control objective memberikan wawasan kritis yang diperlukan untuk menggambarkan kebijakan yang jelas dan latihan yang baik untuk kontrol TI. Termasuk di sini pernyataan dari hasil yang diinginkan atau tujuan yang ingin dicapai dan terdiri atas 4 tujuan pengendalian tingkattinggi (high-level control objectives) yang tercermin dalam 4 domain,yaitu Planning & Organization, Acquisition & Implementation, Delivery & Support, Dan Monitoring & Evaluate .
4.
Audit Guidelines berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci (detailed control objectives) untuk membantu para auditor dalam memberikan management assurance dan saran perbaikan.
5.
Implementation Tool Set berisi management awareness dan diagnostic pengendalian TI, panduan untuk penerapan (implementation guide), pertanyaan yang paling sering diajukan (FAQ), studi kasus dari organisasi saat ini yang menggunakan COBIT dan slide presentasi yang dapat digunakan untuk memperkenalkan COBIT ke dalam organisasi. Set perlengkapan ini dirancang untuk memfasilitasi pelaksanaan COBIT dalam memberikan pelajaran mengenai organisasi yang cepat dan telah berhasil menerapkan COBIT di lingkungan kerjanya dan dapat membantu manajemen dalam memilih pilihan implementasi.
6.
Management Guidelines yang dilengkapi pula dengan CSF, KPI, KGI, maturity models untuk setiap prosesnya yang dapat memberikan bantuan berupa penetapan tanggung jawab, pengukuran kinerja, perbandingan dan kesenjangan dalam kemampuan (gap in capability).
36 Semua komponen COBIT saling berhubungan, memberikan dukungan untuk kebutuhan pemerintahan, manajemen, pengendalian dan jaminan dari pengguna yang berbeda, seperti yang ditunjukkan pada gambar 2.6 di bawah ini.
Gambar 2.6 Hubungan antar Komponen pada COBIT Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA: IT Governance Institute.
Berdasarkan gambar diatas, terlihat hubungan antara komponen COBIT yang dimulai dari business goals yang memenuhi persyaratan IT goals dan IT Processed yang pengelolaannya dilakukan untuk memastikan bahwa informasi dalam perusahaan dan TI yang terkait telah mendukung tujuan bisnis, sumber daya serta resiko TI dikelola secara tepat. Proses-proses TI dipecah menjadi aktivitas-aktivitas kunci yang dilakukan menurut RACI Chart. RACI Chart (Responsible, Accountable, Consulted and Informed Chart) yang digunakan untuk melihat tingkat dukungan struktur organisasi terhadap proses-proses COBIT yang sudah dinilai tingkat kematangannya (maturity level). Proses TI akan melalui tahapan pengukuran kinerja, hasil dan tingkat kematangan.
37 Pengukuran kinerja akan dilakukan identifikasi Critical Success Factor (CSF) yang akan digunakan sebagai batasan untuk menentukan kriteria pengukuran kinerja bagi setiap proses. Kriteria pengukuran kinerja tersebut dilambangkan dengan indikator-indikatornya, yaitu indikator sasaran (Key Goal Indicator-KGI) dan indikator kinerja (Key Performance Indicator-KPI). Critical Success Factor dan indikator-indikator yang berelasi ditentukan dari COBIT. Penentuan indikator sasaran dan indikator kinerja dari system informasi dilakukan agar aktivitas-aktivitas terkendali sehingga memberikan jaminan bahwa sasaran proses IT tersebut tercapai. Pengukuran terhadap tingkat kematangan menggunakan maturity model atau model maturitas adalah untuk membantu dalam melakukan benchmarking dan pembuatan keputusan dalam meningkatkan kapabilitas. Hasil dari pengukuran masih dibagi ke dalam masingmasing control objectives dan belum menggambarkan operasi internal yang dibutuhkan oleh organisasi untuk mencapai tujuan bisnisnya. Proses pengukuran dikombinasikan dengan proses pemetaan control objectives COBIT ke dalam proses internal yang diperlukan oleh organisasi untuk mencapai tujuan IT mereka. COBIT dapat dipakai sebagai alat yang komprehensif untuk
menciptakan
IT
Governance
pada
suatu
perusahaan.
COBIT
mempertemukan dan menjembatani kebutuhan manajemen dari celah atau gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis TI, serta menyediakan referensi best business practices yang mencakup keseluruhan TI dan kaitannya dengan proses bisnis perusahaan dan memaparkannya dalam struktur aktivitas-aktivitas logis yang dapat dikelola serta dikendalikan secara efektif, yang dapat digambarkan melalui gambar kerangka kerja tujuan kontrol teknologi informasi di bawah ini :
38
Gambar 2.7 Kerangka Kerja Tujuan Kontrol TI Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA: IT Governance Institute.
COBIT mendukung manajemen dalam mengoptimumkan investasi TI-nya melalui ukuran-ukuran dan pengukuran yang akan memberikan sinyal bahaya bila suatu kesalahan atau resiko akan atau sedang terjadi. Manajemen harus memastikan bahwa sistem kendali internal perusahaan bekerja dengan baik, artinya dapat mendukung proses bisnis perusahaan yang secara jelas menggambarkan bagaimana setiap aktivitas kontrol individual memenuhi tuntutan dan
kebutuhan informasi serta efeknya terhadap sumber daya TI perusahaan.
Sumber daya TI merupakan suatu elemen yang sangat disoroti COBIT, termasuk pemenuhan kebutuhan bisnis terhadap : efektivitas, efisiensi, kerahasiaan, keterpaduan, ketersediaan, kepatuhan pada kebijakan/aturan dan keandalan informasi
(effectiveness,
efficiency,
confidentiality, integrity,
compliance, dan reliability). Kriteria kerja COBIT tersebut meliputi :
availability,
39 Tabel 2.1 Kriteria kerja COBIT
2.6.3
Kerangka Kerja COBIT Kerangka kerja COBIT merupakan kumpulan praktek-praktek terbaik
(best practices) dan bersifat generik, digunakan sebagai acuan dalam enentukan sasaran kendali (Control objective) dan proses-proses TI yang diperlukan dalam pengelolaan TI. Konsep dasar dari kerangka kerja COBIT adalah bahwa kendali untuk TI didekati dengan melihat informasi yang dibutuhkan untuk mendukung sasaran dan kebutuhan bisnis, dan melihat informasi sebagai hasil paduan dari berbagai penggunaan sumber daya TI yang harus di kelola melalui proses TI.
40
Gambar 2.8 Konsep Dasar Kerangka Kerja COBIT Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA: IT Governance Institute.
Kerangka kerja COBIT terdiri dari 3 level control objectives, dimulai dari level yang paling bawah yaitu Activities yang merupakan kegiatan rutin yang memiliki konsep siklus hidup. Kumpulan activities dikelompokkan ke dalam proses TI (IT processes), kemudian proses-proses TI yang memiliki permasalahan yang sama dikelompokkan ke dalam domain. 2.6.3.1 Proses TI (IT Processes) Kerangka kerja COBIT mendefiniskan 34 proses TI yang dikelompokkan ke dalam 4 domain utama, yaitu : a) Planning & Organisation (PO). Domain ini menitikberatkan pada proses perencanaan dan penyelarasan strategi TI dengan strategi perusahaan. Lebih
lanjut
lagi,
realisasi
visi
strategi
perlu
direncanakan,
dikomunikasikan dan dikelola untuk sudut pandang yang berbeda. Suatu pengorganisasian yang memadai seperti infrastruktur teknologi harus ditempatkan sebagaimana mestinya. b) Acquisition & Implementation (AI). Domain ini menjelaskan bahwa untuk merealisasikan strategi TI, maka solusi TI perlu untuk diidentifikasikan, dikembangkan atau didapatkan, dan juga untuk diimplementasikan dan diintegrasikan kedalam proses-proses bisnis. Perubahan dalam dan
41 pemeliharaan atas sistem-sistem yang sudah ada dicakup dalam domain ini untuk memastikan bahwa siklus hidup dilanjutkan untuk sistem tersebut. c) Delivery & Support (DS). Domain ini menitik beratkan pada proses pelayanan TI dan dukungan teknisnya. Permasalahan pemenuhan layanan TI, keamanan sistem, kesinambungan layanan, pelatihan, dan pendidikan untuk pengguna, dan pengelolaan data yang sedang berjalan. Domain ini mencakup pemrosesan aktual dengan system aplikasi, yang seringkali diklasifikasikan menurut pengendalian aplikasi. d) Monitor & Evaluate (ME). Domain ini menitikberatkan pada proses pengawasan pengelolaan TI pada organisasi, termasuk pemeriksaan internal dan eksternal. Seluruh kendali-kendali yang diterapkan pada proses-proses TI harus diawasi dan dinilai kelayakannya secara berkala. Penekanan pada domain ini adalah pada pengawasan manajemen atas independen yang diberikan dengan melakukan audit internal dan eksternal atau diperoleh dari sumber-sumber alternatif. Setiap domain memiliki karakteristik yang berbeda. Peran dan fungsi dari masing-masing domain adalah sesuai dengan siklus struktur kerangka kerja COBIT seperti pada gambar 2.9 di bawah. Gambar tersebut terdapat sumber daya TI yang secara prinsip tersedia dalam jumlah terbatas. Menyediakan informasi yang mendukung sasaran dan kebutuhan bisnis, maka penggunaan sumber daya TI perlu diatur dan dilakukan sesuai siklus langkah-langkah yang terbagi kedalam empat domain tersebut.
42
Gambar 2.9 Definisi Proses IT COBIT dengan 4 domain Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA: IT Governance Institute.
COBIT juga bertujuan untuk menangani tujuan bisnis (business objective) di sebuah perusahaan. Control objectives telah memperjelas dalam mengendalikan hubungan dengan tujuan bisnis untuk mendukung penggunaan yang signifikan diluar dari komunitas audit. Control objectives juga didefinisikan sebagai cara yang berorientasi pada proses serta mengikuti prinsip bisnis dari rekayasa ulang.
43 Penggunaan klasifikasi dari domain-domain termasuk juga high-level control-objectives, sebuah indikasi dari persyaratan bisnis untuk informasi dari domain tersebut, serta dampak utama dari sumber daya TI dengan tujuan pengendalian, dapat digunakan secara bersama-sama membentuk sebuah COBIT framework. Kerangka ini pun didasarkan pada aktivitas penelitian yang mengidentifikasi 34 high-level control-objectives dan 318 tujuan pengendalian secara rinci. Masing-masing domain yang terdiri dari high-level control-objectives tersebut dijelaskan pada tabel 2.2 berikut: Tabel 2.2 Proses Teknologi Informasi (IT Processes)
Proses Perencanaan & Persiapan (Plan and Organise) Domain
Proses TI (IT Process)
PO 01
Menentukan Rencana TI yang Stategis
PO 02
Menentukan Arsitektur Informasi
PO 03
Menentukan Arah Teknologi
PO 04
Mementukan Proses TI, Struktur Organisasi dan Hubungan
PO 05
Mengelola Investasi TI
PO 06
Mengkomunikasikan Arah dan Tujuan Manajemen
PO 07
Mengelola Sumber Daya Manusia di Bidang TI
PO 08
Mengelola Kualitas
PO 09
Mengelola dan Menilai Resiko TI
PO 10
Mengelola Proyek
Proses Memperoleh dan Menerapkan (Acquire and Implement) Domain
Proses TI (IT Process)
AI 01
Mengidentifikasi Solusi Otomatis
AI 02
Memperoleh dan Memelihara Aplikasi Perangkat Lunak
44 AI 03
Memperoleh serta Memelihara Infrastruktur Teknologi
AI 04
Mengaktifkan Operasi dan Penggunaan
AI 05
Pengadaan Sumber Daya Ti
AI 06
Pengelolaan Perubahan
AI 07
Instalasi, Akreditasi Solusi dan Perubahan
Proses Memberi dan Mendukung (Deliver and Support) Domain
Proses TI (IT Process)
DS 01
Menetapkan dan Mengelola Tingkat Pelayanan
DS 02
Pengelolaan Jasa Pihak Ketiga
DS 03
Mengelola Kinerja dan Kapasitas
DS 04
Memastikan Pelayanan yang Berkelanjutan
DS 05
Memastikan Keamanan Sistem
DS 06
Mengidentifikasi dan Mengalokasikan Biaya
DS 07
Pendidikan dan Pelatihan untuk Pengguna
DS 08
Pengelolaan Service Desk dan Insiden
DS 09
Pengelolaan Konfigurasi
DS 10
Pengelolaan Masalah
DS 11
Pengelolaan Data
DS 12
Pengelolaan Lingkungan Fisik
DS 13
Pengelolaan Pekerjaan
Proses Memantau dan Mengevaluasi (Monitor and Evaluate) Domain
Proses TI (IT Process)
ME 01
Memantau dan Mengevaluasi Kinerja TI
ME 02
Memantau dan Mengevaluasi Pengendalian Internal
45 ME 03
Menjamin Kepatuhan dengan Persyaratan Eksternal
ME 04
Menyediakan Tata Kelola TI
Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA : IT Governance Institute . Page 171)
Masing-masing proses TI tersebut juga dilengkapai dengan control objective sehingga kerangka kerja COBIT menyediakan keterkaitan yang jelas antara kebutuhan tata kelola TI, proses TI dan objektif kontrol TI. Berikut ini adalah proses TI pendukung tata kelola TI berdasarkan COBIT. Tabel 2.3 Proses TI Pendukung Tata Kelola TI berdasarkan COBIT
Berdasarkan tabel 2.3 diatas, maka COBIT mendukung tata kelola TI dengan menyediakan kerangka kerja yang memastikan bahwa TI selaras dengan kebutuhan bisnis, TI yang mendukung bisnis dengan lebih baik dan mampu
46 memaksimumkan manfaat, penggunaan sumber daya TI yang bertanggung jawab serta resiko TI dikelola dengan tepat. Proses-proses TI yang didefinisikan dalam kerangka kerja COBIT akan mendukung pemenuhan fokus area yang berbeda beda dalam tata kelola TI. Dukungan dan pemenuhan tersebut dapat dikelompokkan menjadi dua jenis yakni dukungan primer (P) dan sekunder (S) seperti yang terlihat pada tabel diatas.
2.6.3.2 Kebutuhan Bisnis COBIT mengidentifikasikan kebutuhan bisnis perusahaan yang terbagi ke dalam tujuh kriteria informasi yang kemudian dikelompokkan ke dalam tiga aspek, yaitu : 1. Quality requirements a. Efektivitas yaitu Untuk memperoleh informasi yang relevan dan berhubungan dengan proses bisnis seperti penyampaian informasi dengan benar, konsisten, dapat dipercaya dan tepat waktu. b. Efisiensi yaitu memfokuskan pada ketentuan informasi melalui penggunaan sumber daya yang optimal. 2. Security requirements a. Kerahasiaan yaitu memfokuskan proteksi terhadap informasi yang penting dari orang yang tidak memiliki hak otorisasi. b. Integritas yaitu berhubungan dengan keakuratan dan kelengkapan informasi sebagai kebenaran yang sesuai dengan harapan dan nilai bisnis. c. Ketersediaan yaitu berhubungan dengan informasi yang tersedia ketika diperlukan dalam proses bisnis sekarang dan yang akan datang. 3. Fiduciary requirements a. Kepatuhan yaitu sesuai menurut hukum, peraturan dan rencana perjanjian untuk proses bisnis. b. Keakuratan informasi yaitu berhubungan dengan ketentuan kecocokan informasi untuk manajemen mengoperasikan entitas dan mengatur pelatihan keuangan dan kelengkapan laporan pertanggungjawaban.
47
2.6.3.3 Sumber Daya TI Menurut IT Governance Institute Team (2000) pada buku Audit Guidelines page 13-14, kerangka kerja COBIT mendefinisikan sumber daya TI ke dalam lima kategori, yaitu : 1. Data merupakan objek-objek yang diartikan dalam pengertian yang luas, terstruktur dan tidak terstruktur, grafik, suara dan sebagainya. 2. Aplication system meliputi prosedur manual dan aplikasi komputer. 3. Technology meliputi perangkat keras, sistem operasi, sistem manajemen database, jaringan (networking), multimedia dan sebagainya. 4. Facilities semua sumber daya untuk menyimpan dan mendukung system informasi. 5. People meliputi keahlian staff, kesadaran dan produktivitas untuk Merencanakan,mengorganisasikan,
memperoleh,
menyampaikan,
mendukung, mengawasi dan mengevaluasi layanan dan sistem informasi.
2.6.4
Model Kematangan COBIT Pengukuran kinerja TI bertujuan agar kontribusi yang diberikan TI dapat
selaras dan terarah dengan startegi yang ditetapkan pihak manajemen, diperlukan analisis kinerja dari penggunaan TI yang menggambarkan penilaian kemampuan kerja sehingga dapat diketahui pemenuhan terhadap pencapaian yang diharapkan. Bila dikaitkan dengan sasaran dan tujuan perusahaan, maka pengukuran kinerja TI dapat dijadikan sebagai dasar untuk penilaian keberhasilan atau kegagalan aktivitas yang berhubungan dengan TI dalam memenuhi tujuan TI dan lebih jauh lagi tujuan bisnis terkait. Paparan berikut akan menjelaskan mengenai Maturity Model, Critical Success Factors, Key Goal Indicators, dan Key Performance Indicators dengan mengacu pada Framework COBIT. Suatu organisasi harus memahami sistem TI yang dimilikinya agar dapat menentukan pengendalian dan perbaikan yang tepat bagi sistem TI tersebut. Maturity modeling bagi manajemen dan pengendalian terhadap proses TI didasarkan pada metode yang digunakan
48 untuk mengevaluasi organisasi. COBIT mempunyai model kematangan (maturity models) untuk mengontrol proses-proses TI dengan menggunakan metode penilaian (scoring) sehingga suatu organisasi dapat menilai proses-proses TI yang dimilikinya dari skala non-existent sampai dengan optimized (dari 0 sampai 5). Maturity models ini akan memetakan hal-hal sebagai berikut: 1. Current status dari organisasi untuk melihat posisi organisasi saat ini. 2. Current status dari standar internasional sebagai perbandingan tambahan. 3. Current status dari kebanyakan industri saat ini sebagai perbandingan. 4. Strategi organisasi dalam rangka perbaikan level yang ingin dicapai oleh organisasi. Pemetaan yang dimaksudkan adalah setelah mengetahui kondisi organisasi, maturity model akan memberikan peluang kepada organisasi untuk melakukan perbandingan terhadap tuntutan standar internasional, terhadap praktik terbaik di lingkungan organisasi, dan terhadap strategi organisasi. Dapat membantu manajemen organisasi untuk menentukan kekurangan manajemen TI, dan membantu organisasi untuk menentukan sasaran berdasarkan perbandingan sebelumnya. Secara khusus, pengendalian tingkat kematangan akan tergantung pada kebutuhan organisasi terhadap TI, kecanggihan teknologi dan nilai dari informasinya. Skala maturity model akan membantu untuk menjelaskan kekurangan manajemen proses TI kepada pihak manajemen dan membantu menentukan target yang ingin dicapai. Berikut ini merupakan penentuan range nilai dari 0 (non-existent) sampai dengan 5 (optimized) yang dijabarkan dalam maturity model sebagai berikut:
49
Gambar 2.10 Grafik Maturity Model Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA: IT Governance Institute.
Masing-masing dari 34 proses TI, memiliki skala pengukuran tambahan, berdasarkan peringkat "0" sampai “5”. Skala ini berhubungan dengan deskripsi generik dari model kematangan kualitatif mulai dari "Non Existent" sampai dengan "Optimized" dengan penjelasan pada tabel 2.4 sebagai berikut : Tabel 2.4 Tingkat Kedewasaan (Maturity level) dalam COBIT
Level 0 Tidak ada (Non-existent), organisasi belum mengenal isu permasalahan yang harus diarahkan atau diselesaikan. Setiap proses atau masalah yang ada tidak terdefinisi dengan jelas. Level 1 Inisialisasi (Initial), organisasi telah memiliki bukti dalam mengenal permasalan-permasalahan yang ada, namun perlu diarahkan. Secara umum organisasi belum memiliki standar pengelolaan yang terorganisir dan terdokumentasi dengan baik sehingga perlu ada pendekatan yang dilakukan untuk tiap individu yang terkait dalam organisasi. Level 2 Dapat diulang (Repetable), level ini telah mengalami perkembangan, telah ada prosedur untuk menjalankan proses yang didefinisikan, belum ada pelatihan formal & prosedur komunikasi yang standar. Tanggung jawab & kepercayaan diberikan pada tiap individu tanpa ada standar baku pengopersian sehingga kadang terjadi kesalahan.
50 Level 3 Ditetapkan (Defined), sudah ada prosedur yang memiliki standar dan didokumentasikan dengan baik, sudah ada pelatihan formal untuk mengkomunikasikan prosedur dan kebijakan yang dibuat. Namun pada tahap implementasinya masih tergantung pada individu apakah mau melakukan prosedur yang ditetapkan atau tidak. Prosedur yang dibuat masih terbatas pada bentuk formalisasi dari praktek yang ada. Level 4 Diatur (Managed), prosedur dan kebijakan yang ada sudah dilakukan secara efektif, dapat dipantau dan diukur sehingga apabila terjadi kesalahan sudah memiliki sederetan prosedur untuk tindakan perbaikan yang akan dilakukan. Perbaikan dilakukan secara konsisten dan memberikan praktek dan hasil terbaik. Sudah digunakan peralatan dan teknologi namun belum otomasi dan masih terbatas. Dioptimalkan (optimized), proses yang dilakukan telah dilakukan Level 5 upaya perbaikan yang berkelanjutan sehingga menghasilkan proses dan hasil yang terbaik. Sudah ada penggunaan teknologi informasi yang terintegrasi untuk melakukan otomatisasi dilingkungan organisasi, sudah tersedia alat dan pendukung lainnya yang dapat meningkatkan kualitas dan efektifitas kinerja,dan organisasi sudah stabil dan dapat beradaptasi dengan baik. Keuntungan dari pendekatan maturity model adalah bahwa hal tersebut relatif mudah bagi
manajemen untuk menempatkan diri pada skala dan
memperhatikan apa yang terlibat jika ingin meningkatkan kinerja. Skala 0-5 didasarkan pada skala kematangan sederhana yang menunjukkan bagaimana proses berkembang dari “non-existent” ke “optimized”. Tingkat kedewasaan dan kemampuan juga identik dengan peningkatan resiko manajemen dan peningkatan efisiensi.
51 2.6.4.1 Faktor Sukses Kritis (Critical Success Factors-CSF) Menurut IT Governance Institute Team. 2000. COBIT Management Guidelines (page 14-16) Critical Success Factors (CSF) dapat memberikan panduan kepada manajemen dalam menerapkan kontrol TI dan prosesnya. Critical Success Factors merupakan hal yang penting dilakukan untuk proses yang berkontribusi dengan proses TI dalam mencapai tujuannya dan biasanya berhubungan dengan kemampuan dan keterampilan, terfokus dan berorientasi pada aksi, dan pemanfaatan sumber daya. Prinsip dan model ini mengidentifikasi sejumlah Critical Success Factors yang biasanya berlaku untuk semua proses yang memiliki hubungan dengan apa yang menjadi standar, siapa yang membuatnya, siapa yang mengkontrol atau membutuhkan tindakan dan lain sebagainya seperti di bawah ini. 1. Proses ditetapkan dan didokumentasikan 2. Kebijakan ditetapkan dan didokumentasikan 3. Akuntabilitas jelas 4. Dukungan kuat / komitmen dari manajemen 5. Konsisten dalam mengukur praktek. Siklus
kontrol
TI
beserta
proses
pengendaliannya
merupakan
perbandingan dari norma-norma, standar dan sasaran yang kemudian dijadikan dasar untuk membentuk sebuah tindakan yaitu berupa proses pengendalian. Output yang dihasilkan dari proses pengendalian tersebut adalah berupa control terhadap informasi. Hal ini dilakukan berulang dan kembali lagi ke awal siklus. Lebih lanjut dalam mengembangkan Critical Success Factors dapat diperoleh juga dengan memeriksa tujuan dan pemantauan terhadap kerangka pedoman tata kelola TI. Beberapa norma sederhana yang dijadikan dasar adalah untuk hal-hal di bawah ini yaitu : 1. TI harus selaras dengan bisnis 2. TI memungkinkan untuk bisnis dan memaksimalkan manfaatnya 3. Sumber daya TI digunakan secara bertanggung jawab 4. Resiko terkait TI harus dikelola dengan tepat.
52 Model kontrol standar, biasanya akan terjadi pada lapisan yang berbeda, pimpinan tim melaporkan dan menerima arahan dari manajernya, kemudian manajer melaporkan ke eksekutif dan eksekutif kepada dewan direksi. Laporan juga menunjukkan penyimpangan dari target yang biasanya sudah termasuk rekomendasi untuk tindakan pendukung. Beberapa hal yang harus dicatat bahwa prinsip-prinsip kontrol yang dibutuhkan memiliki tingkatan yang berbeda, yaitu pada tingkat strategis, taktis dan administrasi. Biasanya ada empat jenis kegiatan di setiap tingkatan yang mengikuti satu sama lain, yaitu perencanaan (plan), melakukan (do), memeriksa (check) dan mengoreksi (correct) . Siklus pengaturan TI dapat dijelaskan sebagai sebuah pengaturan TI ditentukan oleh praktek terbaik yang menjamin informasi dan teknologi terkait dalam sebuah perusahaan dapat mendukung tujuan bisnisnya, sumber daya dipergunakan dengan tanggung jawab dan resiko terkait. Praktek tersebut membentuk dasar arahan bagi kegiatan TI yang dapat dikelompokan kedalam domain PO, AI, DS dan ME dengan tujuan untuk pengaturan dalam memperoleh keamanan, keandalan dan pemenuhan serta mendapat keuntungan dalam meningkatkan efektivitas, dan efisiensi. Output yang didapat berupa laporan yang dikeluarkan melalui hasil kegiatan atau aktivitas TI, yang diukur dari praktek dan pengendalian yang bervariasi, demikian seterusnya, kembali lagi ke awal siklus. Berdasarkan model kontrol standar dan kerangka tata kelola TI, sejumlah critical success factor yang berlaku untuk sebagian besar proses TI dapat disimpulkan sebagai berikut : 1. Diterapkan untuk TI secara umum a) Proses TI ditetapkan dan diselaraskan dengan strategi TI dan tujuan bisnis. b) Mengetahui harapan dari para pelanggan. c) Proses terukur dan sumber daya secara tepat dikelola. d) Kinerja TI diukur dalam hal keuangan, dalam kaitannya dengan kepuasan pelanggan, dan untuk efektivitas proses. e) Upaya peningkatan mutu berkelanjutan diterapkan.
53 2. Diterapkan untuk sebagian besar proses TI a) Semua stakeholder sadar akan resiko dari pentingnya TI dan peluang yang dapat ditawarkan, dan memberikan komitmen yang kuat serta dukungan. b) Tujuan dan sasaran yang dikomunikasikan dalam semua disiplin ilmu dan sudah dipahami. c) Orang merupakan fokus tujuan dan memiliki informasi yang tepat untuk pelanggan. d) Ada integrasi dan keselarasan proses utama, misalnya, perubahan, masalah dan manajemen konfigurasi. e) Kontrol praktek diterapkan untuk meningkatkan penggunaan yang efisien dan mengoptimalkan sumber daya serta meningkatkan efektivitas proses. 3. Diterapkan untuk tata kelola TI a) Kontrol praktek diterapkan untuk meningkatkan transparansi, mengurangi kompleksitas, mempromosikan pembelajaran, memberikan fleksibilitas dan skalabilitas, menghindari kerusakan dalam pengendalian internal serta
pengawasan.
b) Tata Kelola TI diakui dan didefinisikan, dan ada kegiatan yang terintegrasi ke dalam proses tata kelola perusahaan, serta memberikan kejelasan dari arah strategi TI, kerangka kerja manajemen resiko, sistem pengawasan dan kebijakan keamanan. c) Berfokus pada proyek utama tata kelola TI, inisiatif perubahan dan upaya peningkatan kualitas, dengan kesadaran utama terhadap proses TI, tanggung jawab dan sumber daya yang diperlukan serta kemampuan. d) Sebuah komite audit dibentuk untuk menunjuk dan mengawasi auditor independen, dan meninjau hasil audit dan pendapat dari pihak ke-3.
54 2.6.4.2 Indikator Kunci Keberhasilan (Key Goals Indicator-KGI) Menurut IT Governance Institute Team. 2000. COBIT Management Guidelines (page 17) Sebuah Key Goal Indicators yang mewakili tujuan proses, adalah mengukur dari "apa" yang harus dicapai. Hal ini merupakan indicator terukur dari proses pencapaian suatu tujuan yang sering didefinisikan sebagai target yang akan dicapai. Perbandingan KGI terhadap Key Performance Indicator (KPI akan dibahas dalam bagian berikutnya) adalah mengenai ukuran dari "seberapa baik" melakukan proses ini. Hubungan tersebut kemudian digambarkan pada gambar di bawah dengan konsep Balanced Business Scorecard, yang juga memperlihatkan ukuran hasil dari tujuan dan ukuran kinerja relatif terhadap penghubung untuk tujuan yang akan dicapai. Dalam konteks ini perlu diingat bahwa TI adalah penghubung utama dari bisnis.
Gambar 2.11 Konsep Balanced Bussiness Scorecard Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA: IT Governance Institute.
COBIT framework juga dibahas mengenai tujuan untuk TI dalam hal kriteria informasi dan kebutuhan bisnis untuk mencapai tujuan bisnis, yang biasanya akan dinyatakan dalam hal ketersediaan terhadap sistem dan layanan, tidak adanya integritas dan resiko kerahasiaan, biaya efisiensi proses dan operasi, konfirmasi kehandalan, serta efektivitas dan kepatuhan. Tujuan untuk TI kemudian dapat dinyatakan sebagai informasi yang memberikan kebutuhan bisnis sesuai dengan kriteria tersebut. Kriteria informasi ini disediakan dalam
55 management guidelines dengan indikasi apakah memiliki proses primer atau sekunder yang sedang diperiksa. Profil kriteria informasi suatu perusahaan akan lebih spesifik ditampilkan pada gambar berikut ini: 1. Availability yaitu ketersediaan informasi yang dibutuhkan untuk mendukung kebutuhan bisnis. 2. Integrity and confidentaly yaitu integritas dan keamanan sistem. 3. Cost-efficiency yaitu efisiensi biaya dari proses dan operasi yang dilakukan. 4. Reliability, effectiveness and compliance yaitu tingkat kehandalan, efektifitas proses dan ketaatan terhadap prosedur, hukum atau regulasi. 2.6.4.3 Indikator Kunci Pelaksanaan (Key Performance Indicator-KPI) Menurut IT Governance Institute Team. 2000. COBIT Management Guidelines (page 20-21) Key Performance Indikator (KPI) merupakan ukuran yang digunakan untuk menunjukkan kinerja dari setiap proses TI. KPI biasanya berupa indikator-indikator kapabilitas, pelaksanaan, dan kemampuan sumber daya TI. KPI berfokus terhadap bagaimana sebuah proses dijalankan, sedangkan KGI berfokus pada hasil dari proses. Berdasarkan pada prinsip-prinsip Balanced Score Card, maka hubungan antara Key Performance Indikator dan Key Goal Indicator adalah sebagai berikut:
Gambar 2.12 Hubungan KPI dan KGI Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA: IT Governance Institute.
56 Key Performance Indicators adalah indikator yang fokus dan terukur dari kinerja faktor-faktor pendukung proses TI, yang menunjukkan seberapa baik proses dapat memungkinkan suatu tujuan dapat tercapai. Key Goal Indicator berfokus pada “apa”, sedangkan Key Performance Indicators berfokus dengan ”bagaimana”. Biasanya Key Goal Indicator dan Key Performance Indicators sering akan menjadi ukuran dari Critical Success Factor (CSF) dan ketika dipantau serta ditindaklanjuti, maka akan mengidentifikasi peluang untuk perbaikan proses. Perbaikan ini harus positif dalam mempengaruhi hasil. Key Performance Indicators memiliki hubungan sebab-akibat dengan proses Key Goal Indicator. Pengukuran komposit disarankan untuk Key Performance Indicators dan, dalam beberapa kasus adalah untuk Key Goal Indicator. Sebuah contoh dapat mengukur kecukupan untuk organisasi TI, sebagai salah satu nomor, fokus bisnis staf TI, moral dan kepuasan kerja. Indeks kualitas rencana oleh pemantauan, ketepatan waktu, kelengkapan dan Sementara Key Goal Indicator adalah yang berorientasi proses dan mengungkapkan bagaimana baiknya proses dalam organisasi serta mengelola sumber daya yang dibutuhkan. Mirip dengan Key Goal Indicator, Key Performance Indicators juga sering dinyatakan sebagai angka atau persentase. Satu set generik Key Performance Indicators tercantum di bawah ini dan biasanya berlaku untuk semua proses IT: 1. Diterapkan untuk TI secara umum a) Mengurangi waktu siklus (respon produksi TI dan pengembangan). b) Meningkatkan kualitas dan inovasi. c) Pemanfaatan bandwidth komunikasi dan daya komputasi. d) Layanan ketersediaan dan waktu respon. e) Kepuasan stakeholder (survei dan jumlah keluhan). f) Jumlah staf yang terlatih dalam teknologi yang baru 2. Diterapkan untuk sebagian besar proses TI a) Peningkatan efisiensi biaya proses (biaya vs kiriman). b) Produktivitas Staf (jumlah kiriman) dan moral (survei). c) Jumlah kesalahan dan pengerjaan ulang.
57 3. Diterapkan untuk tata kelola TI a) perbandingan (benchmark). b) Jumlah ketidakpatuhan pelaporan.
2.6.5
Penentuan Tingkat Kematangan (Maturity level) Penentuan tingkat kematangan bukan hanya menggambarkan pengukuran
sejauh mana perusahaan telah memenuhi standar proses pengelolaan TI yang baik. Lebih jauh lagi, tingkat kematangan tersebut seharusnya dapat digunakan untuk peningkatan kesadaran akan kepentingan pengelolaan proses TI sekalipun pengidentifikasian prioritas dalam peningkatan yang dilakukan. Perlu dipahami bahwa istilah tingkat kematangan yang dimaksud merupakan representasi kematangan proses TI yang berlangsung di perusahaan (dalam bentuk nilai/angka). Adapun level kematangan dimaksud sebagai pengelompokkan dari level nol atau non-existent hingga level lima atau optimized. Nilai tingkat kematangan akan akan menunjukkan level kematangan proses TI dengan pengidentifikasian secara menyeluruh terhadap setiap level. Penentuan tingkat kematangan pada dasarnya merupakan bagian dari pengujian kepatutan terhadap aktifitas yang seharusnya dilakukan atau ada di tiap proses TI berdasarkan kerangka kerja COBIT sesuai tingkatan levelnya. Pernyataan-pernyataan tersebut merupakan rincian untuk mengetahui tingkat kematangan proses TI di setiap level. Pada tiap level kematangan akan terdapat daftar pernyataan yang dapat dijadikan acuan untuk menilai sejauh mana proses yang berlangsung dalam organisasi atau perusahaan telah memenuhi pernyataan tersebut. Penentuan tingkat kematangan akan dilakukan pada setiap proses TI dan dilakukan terhadap semua level, mulai dari level nol, hingga level lima. Penentuan tingkat kepatutan ditentukan
berdasarkan
kerangka
kerja
COBIT
yang
menyediakan
pengelompokkan kapabilitas perusahaan dalam pengelolaan proses TI dari level nol atau non-existent hingga level lima atau optimized. Hal yang perlu diperhatikan adalah level tersebut bukan dimaksudkan sebagai kenaikan sekuensial yang harus dipenuhi mulai dari tingkatan terendah hingga tertinggi. Pemenuhannya dapat dilakukan terhadap beberapa level kepatutan secara
58 bersamaan. Pemenuhan kematangan dapat terjadi pada sebagian level nol hingga level lima, kemudian tingkat kematangan dihitung sesuai dengan total dari perkalian kontribusi dengan tingkat kepatutan dari levellevel bersangkutan. Tingkat kepatutan ditentukan berdasarkan kerangka kerja COBIT yang menyediakan pengelompokkan kapabilitas perusahaan dalam pengelolaan proses TI dari level nol sampai level lima (optimized). Hal yang perlu diperhatikan adalah level tersebut bukan dimaksudkan untuk sebagai kenaikan sekuensial yang harus dipenuhi mulai dari tingkatan terendah hingga tertinggi. Pemenuhannya dapat dilakukan terhada beberapa level kepatutan secara bersamaan. Pemenuhan kematangan dapat terjadi pada sebagian level nol hingga level lima, kemudian tingkat pemenuhan kematangan dihitung sesuai dengan total dari perkalian kontribusi dengan tingkat kepatutan dari level-level bersangkutan. Penentuan hal serupa akan dilakukan pada tiap level dalam proses TI terkait.
2.7.
Perbandingan Model Tata Kelola TI
2.7.1
COBIT dengan ITIL Tabel di bawah ini menunjukkan bahwa ITIL sangat fokus kepada proses
desain dan implementasi TI, serta pelayanan pelanggan (customer service), hal ini diperlihatkan bahwa hampir seluruh proses pada domain AI dan DS COBIT dilakukan, sementara sebagian proses PO dilakukan, ini menunjukkan bahwa ITIL tidak terlalu fokus pada proses penyelarasan strategi perusahaan dengan pengelolaan TI. Proses pada domain ME sama sekali tidak dilakukan oleh ITIL, hal ini menunjukkan ITIL tidak melakukan pengawasan yang akan memastikan kesesuaian pengelolaan TI dengan keadaan perusahaan di masa yang akan datang.
59 Tabel 2.5 Matrik Proses COBIT dengan ITIL
2.7.2
COBIT dengan ISO/IEC 17799 Tabel 2.4 menunjukkan bahwa ISO/IEC 17799 melakukan hampir 77
persen (76,5%) dari proses pada seluruh domain COBIT. Hal ini menunjukkan ISO/IEC17799 mempunyai spektrum luas dalam pengelolaan TI sebagaimana halnya COBIT, namun ISO/IEC 17799 tidak sedalam COBIT dalam hal detail proses-proses yang dilakukan dalam domain-domain tersebut. Tabel 2.6 Matrik Proses COBIT dengan ISO/IEC 17799
2.7.3
COBIT dengan COSO Tabel 2.5 di bawah ini menunjukkan bahwa COSO melakukan sebagian
proses di domain PO, AI, dan DS, namun tidak satupun proses pada domain ME dilakukan. Hal ini menunjukkan bahwa COSO fokus kepada proses penyelarasan TI dengan strategi perusahaan, dan sangat fokus dalam hal desain dan implementasi TI, tetapi tidak melakukan pengawasan yang akan memastikan kesesuaian pengelolaan TI dengan keadaan perusahaan di masa yang akan datang.
60
Tabel 2.7 Matrik Proses COBIT dengan COSO
2.7.4
Perbandingan COBIT dengan ITIL, ISO/IEC17799, dan COSO Perbandingan antara model standar pengelolaan TI terlihat pada tabel 2.6
di bawah ini mengenai matrik proses COBIT, ITIL, ISO17799 dan COSO yang memperlihatkan bahwa model-model standar selain COBIT tidak memiliki range spektrum seluas COBIT. Model-model tersebut hanya melakukan sebagian dari proses-proses pengelolaan yang ada di dalam COBIT. Tabel 2.8 Matrik Proses COBIT dengan ITIL, ISO/IEC17799 dan COSO
Gambar 2.13 di bawah ini memetakan standar COBIT dengan standar lainnya dalam hal kelengkapan proses-proses TI yang dilihat dalam dua dimensi, yaitu sebagai berikut : a) Vertikal yang melihat kedetailan atau kedalaman standar dalam hal teknis dan operasional. b) Horizontal yang melihat kelengkapan proses-proses TI.
61
Gambar 2.13 Pemetaan COBIT terhadap ITIL, ISO17799 dan COSO Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA: IT Governance Institute.
Selain itu juga dapat dilihat bahwa COBIT mempunyai kompromi antara dimensi horisontal dan vertikal yang lebih baik dari standar-standar lainnya. COBIT mempunyai spektrum proses TI yang lebih luas dan lebih mendetail. ITIL merupakan standar yang paling mendetail dan mendalam dalam mendefinisikan proses-proses TI yang bersifat teknis dan operasional. Sedangkan COSO mempunyai detail yang dangkal, walaupun spektrum proses teknis dan operasionalnya cukup luas.
