MENGUKUR TINGKAT KESELARASAN TI BERDASARKAN PERSPEKTIF KEUANGAN MENGGUNAKAN FRAMEWORK COBIT 4.1 (Studi Kasus: PT. Bess Finance Surabaya) Mirza Mahdi Sulton1, Awalludiyah Ambarwati 2, Indri Sudanawati Rozas3 Program Studi Sistem Informasi, Fakultas Ilmu Komputer, Universitas Narotama Surabaya 1
[email protected],
[email protected],
[email protected],
Abstrak Audit SI/TI difokuskan kepada proses yang memiliki tingkat resiko tinggi dan perlindungan aset yang mempunyai nilai penting bagi kelangsungan bisnis perusahaan. Dengan menguji nilai kepatutan terhadap kontrol internal, resiko buruk seperti kehilangan data penting terhadap perusahaan dapat berkurang dan mengacu pada best practice yang akan membantu perusahaan dalam menjawab pertanyaan terkait dengan pengelolaan TI (Teknologi Informasi). PT. Bess Finance Surabaya berupaya untuk meningkatkan tatakelola TI perusahaan dan ingin meningkatkan transparansi untuk meningkatkan profit perusahaan. Selain itu PT. Bess Finance Surabaya juga menginginkan suatu perusahaan yang solid sesuai dengan perkembangan TI dengan didukung rencana keuangan yang berlaku dan manajemen professional yang hebat. Perspektif keuangan pada Balanced Scorecard menjadi perhatian utama karena mengikhtisarkan konsekuensi ekonomis yang terjadi yang disebabkan oleh keputusan dan tindakan yang diambil. Keselarasan antara tujuan teknologi informasi dan tujuan bisnis sangat penting, terutama dari perspektif keuangan Balanced Scorecard. Untuk mengetahui tingkat keselarasan antara tujuan teknologi informasi dan tujuan bisnis, dilakukan audit teknologi informasi menggunakan standar COBIT 4.1. Hasil audit teknologi informasi, menghasilkan nilai Maturity Level 2.43 yang termasuk dalam kategori repeatable but intuitive. Rekomendasi yang diberikan untuk perbaikan pada Divisi TI di PT. Bess Finance Surabaya adalah melakukan pembandingan kinerja teknologi informasi terhadap perusahaan lain yang sejenis setiap tahun sehingga dapat diketahui kelebihan dan kekurangan dari proses penyusunan program kerja yang telah dilakukan. Kata Kunci: Keselarasan, Teknologi Informasi, tujuan bisnis perusahaan, perspektif keuangan, COBIT 4.1, Maturity Level.
1. 1.1
Pendahuluan Latar Belakang Sebagian besar korporasi/perusahaan kecil maupun besar memandang bahwa penggunaan TI (teknologi informasi) untuk mendukung proses bisnis menjadi sesuatu yang penting. TI bukanlah hal baru dalam dunia bisnis karena dalam beberapa dekade terakhir ini, TI telah menjadi pendukung dalam proses bisnis perusahaan. Pada awal pemanfaatannya TI hanya dimanfaatkan untuk proses perhitungan tetapi seiring berkembangnya teknologi dan desakan untuk meningkatkan proses bisnis perusahaan maka TI saat ini digunakan untuk mendukung berbagai proses bisnis. Peranan sistem informasi pada setiap perusahaan berbeda-beda. Ada yang menjadikan sistem informasi hanya sebagai alat bantu untuk pencapaian tujuan perusahaan, ada pula perusahaan yang menjadikan sistem informasi sebagai sesuatu yang berfungsi secara strategis. Untuk mengetahui apakah kinerja sistem informasi sesuai dengan perencanaan dan tujuan usaha yang dimilikinya
maka harus dilakukan pengukuran. Hasil dari pengukuran digunakan oleh manajemen untuk melakukan perbaikan terhadap kinerja SI. Audit sistem informasi merupakan wujud dari pengukuran itu. Audit SI/TI difokuskan kepada proses yang tingkat resikonya tinggi dan aset yang mempunyai nilai penting bagi kelangsungan bisnis perusahaan. Dengan menguji nilai kepatutan terhadap kontrol internal, resiko buruk seperti kehilangan data penting terhadap perusahaan bisa berkurang dan mengacu pada best practice yang akan membantu perusahaan dalam menjawab pertanyaan–pertanyaan terkait dengan pengelolaan TI. Untuk menentukan ruang lingkup pengukuran kinerja bisnis, dipilih salah satu tools yang banyak digunakan untuk mengukur kinerja bisnis yaitu Balance Scorecard (BSC). Menurut Kaplan dan Norton (1996: 9), BSC merupakan suatu konsep untuk mengukur apakah aktivitasaktivitas operasional suatu perusahaan dalam skala
yang lebih kecil sejalan dengan sasaran yang lebih besar dalam hal visi dan strategi. BSC membagi kinerja bisnis ke dalam 4 (empat) perspektif yaitu keuangan, pelanggan, proses bisnis internal dan pertumbuhan. Sebuah perusahaan yang bernama PT. Bess Finance Surabaya ingin sekali meningkatkan tata kelola IT perusahaan dan ingin meningkatkan transparansi untuk meningkatkan profit perusahaan. 1.2 Rumusan Masalah 1. Bagaimana mengukur tingkat keselarasan teknologi informasi berdasarkan perspektif keuangan menggunakan framework COBIT 4.1 di PT. Bess Finance Surabaya? 2. Bagaimana mengolah hasil audit sampai dengan menghasilkan kertas kerja audit, nilai maturity level, yang digambarkan dengan jaring laba-laba dan rekomendasi? 3. Bagaimana membuat rekomendasi untuk perbaikan berkelanjutan di PT. Bess Finance Surabaya? 1.3 Batasan Masalah 1. Kerangka kerja/framework yang digunakan adalah COBIT 4.1 2. Tujuan bisnis dari PT. Bess finance berdasarkan financial perspective yang didapat dari hasil pemetaan dari Business Goal yaitu Meningkatkan transparansi dan tata kelola perusahaan. 3. Tujuan teknologi informasi (IT Goal) adalah nomor 2 (Respon terhadap kebutuhan tata kelola yang sesuai dengan arahan direksi) dan 18 (Penentuan kejelasan mengenai resiko dari dampak bisnis terhadap sasaran dan sumber daya teknologi informasi). 4. Proses teknologi informasi yang akan diaudit adalah PO1, PO4, PO9, PO10, ME1, dan ME4. 1.4 Tujuan 1. Untuk mengenalkan audit menggunakan COBIT 4.1. 2. Untuk menyesuaikan kebutuhan perusahaan dan menghasilkan kinerja yang efisien dan efektif serta mencegah atau meminimalisir adanya resiko terhadap penggunaan TI. 1.5 Manfaat 1. Manajemen dapat terbantu dalam proses penyeimbang resiko dan pengendalian investasi dalam lingkungan IT yang tidak dapat diprediksi. 2. Mahasiswa dapat memperoleh dukungan dalam opini yang dihasilkan dan atau untuk memberikan saran kepada manajemen atas pengendalian internal yang ada. 3. Dapat memberikan referensi bagi para peneliti yang ingin memahami konsep COBIT 4.1 serta pemahaman terhadap IT Governance dengan acuan COBIT 4.1.
2. 2.1
Landasan Teori Sistem Informasi Sistem informasi adalah pengaturan orang, proses dan teknologi informasi yang berinteraksi untuk mengumpulkan, memproses, menyimpan dan menyediakan sebagai output informasi yang diperlukan untuk mendukung sebuah organisasi. Sistem informasi merupakan suatu kumpulan dari komponen-komponen dalam perusahaan atau organisasi yang berhubungan dengan proses penciptaan dan pengaliran informasi (Scott, 1995:69; Indrajit, 2000:2-3 dan Karya, 2004). 2.2
Audit Sistem Informasi Menurut Ron Weber, audit sistem dan teknologi informasi merupakan proses pengumpulan dan pengevaluasian bukti (evidence) untuk menentukan apakah sistem informasi dapat melindungi aset dan teknologi informasi yang ada telah memelihara integritas data sehingga keduanya dapat diarahkan pada pencapaian tujuan bisnis secara efektif dengan menggunakan sumber daya secara efektif dan efisien (Sayana, 2002, dalam Sarno, 2009: 28). Dengan demikian, aktivitas audit perlu dilakukan untuk mengukur dan memastikan kesesuaian pengelolaan baik sistem maupun teknologi informasi dengan ketetapan dan standar yang berlaku pada suatu organisasi, sehingga perbaikan dapat dilakukan dengan lebih terarah dalam kerangka perbaikan berkelanjutan (Sarno, 2009: 27). 2.3
Balanced Scorecard Balanced Scorecard didefinisikan sebagai “suatu alat manajemen kinerja (performance manegement tool) yang dapat membantu organisasi untuk menerjemahkan visi dan strategi ke dalam aksi dengan memanfaatkan sekumpulan indikator finansial dan non-finansial yang kesemuanya terjalin dalam suatu hubungan sebab akibat. Menurut Sarno (2009: 28), Balanced Scorecard merupakan kartu skor yang digunakan untuk mengukur kinerja dengan memperhatikan keseimbangan antara faktor keuangan dan non-keuangan baik jangka pendek maupun jangka panjang serta kondisi internal maupun eksternal. Di dalam Balanced Scorecard, pengukuran finansial mempunyai dua peranan penting, di mana yang pertama adalah semua perspektif tergantung pada pengukuran finansial yang menunjukkan implementasi dari strategi yang sudah direncanakan dan yang kedua adalah akan memberi dorongan kepada 3 perspektif yang lainnya tentang target yang harus dicapai dalam mencapai tujuan organisasi. Menurut Kaplan dan Norton, siklus bisnis terbagi 3 tahap, yaitu: bertumbuh (growth), bertahan (sustain), dan menuai (harvest), dimana setiap tahap dalam siklus tersebut mempunyai tujuan fmansial yang berbeda. Growth merupakan tahap awal dalam siklus suatu bisnis.Pada tahap ini diharapkan suatu
bisnis memiliki produk baru yang dirasa sangat potensial bagi bisnis tersebut. 2.4
Control Objectives for Information and Related Technologies 4.1 Menurut Campbell (2005) COBIT merupakan suatu cara untuk menerapkan IT Governance. COBIT berupa kerangka kerja yang harus digunakan oleh suatu organisasi bersamaan dengan sumber daya lainnya untuk membentuk suatu standar yang umum berupa panduan pada lingkungan yang lebih spesifik. Secara terstruktur, COBIT terdiri dari seperangkat control objectives untuk bidang teknologi informasi, dirancang untuk memungkinkan tahapan bagi audit. COBIT merupakan sekumpulan dokumentasi dan panduan yang mengarahkan pada IT governance yang membantu auditor, manajemen, dan pengguna (user) untuk menjembatani pemisah (gap) antara resiko bisnis, kebutuhan kontrol, dan permasalahanpermasalahan teknis. COBIT dikembangkan oleh IT Governance Institute (ITGI) yang merupakan bagian dari Information Systems Audit and Control Association (ISACA).
pengelolaan proses TI yang baik. Kerangka tersebut direpresentasikan dalam sebuah model kedewasaan yang memiliki level pengelompokan kapabilitas perusahaan dalam pengelolaan proses TI dari level 0 atau non-existent (belum tersedia) hingga level 5 atau optimized (teroptimasi). 3.
Metodologi Penelitian Observasi dilakukan untuk mengetahui pemrosesan dan pengkonfirmasian tujuan bisnis yang ada di PT. Bess Finance Surabaya serta identifikasi dokumen-dokumen yang perlu untuk analisis lebih lanjut. Wawancara dilakukan dengan pihak regional manager untuk mengetahui tujuan bisnis PT. Bess Finance Surabaya. Setelah melakukan wawancara (interview) dengan pihak perusahaan yaitu dengan seorang regional manager, maka didapatkan tujuan bisnis perusahaan serta ruang lingkup yang akan diaudit. Tujuan bisnis perusahaan tertuju pada tujuan bisnis nomor 3 yaitu meningkatkan tata kelola dan transparansi yang memiliki tujuan teknologi informasi nomor 2 dan 18. Proses teknologi informasi yang diaudit meliputi 6 proses meliputi PO1, PO4, PO9, PO10, ME1 dan ME4.
2.5
Maturity Level Model yang digunakan untuk mengendalikan proses teknologi informasi yang terdiri dari pengembangan suatu metode penilaian sehingga suatu organisasi dapat mengukur dirinya sendiri dari non-eksisten ke tingkat optimal (value 0 sampai dengan value 5). Teknik pengukuran Maturity Level menggunakan beberapa statement (pernyataan) dimana setiap pernyataan dapat dinilai tingkat kepatutannya dengan menggunakan standar nilai, seperti pada Tabel. 1. Tabel 1. Standar Penilaian Maturity Level Complience Level Numeric Values Agreement With Statement Complience Value Not at all 0 A Little 0,33 Quite a lot 0,66 Completely 1 Sumber: Pederiva, 2003: 2 Tabel 2. Deskripsi masing-masing level kedewasaan Level Penjelasan Range Nilai 0 Non Existent 0 – 0,5 1 Initial/Ad Hoc 0,51 – 1,50 2 Repeatable but 1,51 – 2,50 Intuitive 3 Defined 2,51 – 3,50 4 Managed and 3,50 – 4,50 Measurable 5 Optimised 4,51 – 5,00 COBIT menyediakan kerangka identifikasi sejauh mana perusahaan telah memenuhi standar
Gambar 1. Model Penelitian Dalam melakukan audit, digunakan alat bantu berupa kertas kerja yang bertujuan untuk memudahkan dalam melakukan audit. Kertas kerja tersebut diisi oleh 10 Auditee sesuai dengan kondisi yang sebenarnya terjadi di PT. Bess Finance Surabaya. Laporan hasil audit berupa nilai maturity level masing-masing proses teknologi informasi yang digambarkan dengan jaring laba-laba (spider chart) serta membuat rekomendasi yang diambil dari kertas kerja control objective.
4.
Implementasi dan Hasil Penentuan Ruang Lingkup Audit Sistem Informasi Setelah melakukan interview dan observasi ke PT. Bess Finance Surabaya, maka dapat ditentukan ruang lingkup yang akan diaudit menurut perspektif keuangan Balanced Scorecard mencakup 1 tujuan bisnis, 2 tujuan teknologi informasi, dan 6 proses TI yang terlihat pada Tabel 3. 4.1
dari perhitungan tersebut dapat dilihat pada grafik jaring laba-laba pada Gambar 2. Tabel 3 Hasil Perhitungan Maturity Level
Tabel 3. Ruang Lingkup Audit
Tujuan Bisnis
3
Tujuan Teknologi Informasi
2
18
PO1 PO4
Proses TI
PO9 PO10 ME1 ME4
4.2
Pengumpulan Bukti Hasil pengumpulan bukti yang dihasilkan pada pelaksanaan audit pada PT. Bess Finance Surabaya adalah adanya surat yang menerangkan bahwa perlu dilakukan audit sistem informasi untuk mengukur kinerja TI perusahaan, dan cara yang tepat adalah ditinjau dari perspektif keuangan dengan alat bantu yang digunakan berupa kertas kerja audit maturity level dan control objective. Kertas kerja berisi form pertanyaan yang mengacu pada standar COBIT 4.1. 4.3
Pelaksanaan Uji Kepatutan dan Perhitungan Nilai Maturity Level Hasil uji kepatutan berdasarkan wawancara dengan auditee, maka diperoleh tingkat kematangan untuk masing-masing proses-proses TI, maka selanjutnya nilai tersebut dapat direpresentasikan ke dalam jaring laba-laba. Adapun contoh dari kertas kerja maturity level pada proses TI ME1 level 0 dapat dilihat pada Gambar 1.
Gambar 1 Contoh kertas kerja maturity level Sedangkan untuk hasil perhitungan nilai maturity level dapat dilihat pada Tabel 3. Hasil representasi
Gambar 2 Representasi Nilai Maturity Level dalam Jaring Laba-Laba 4.5
Penyusunan Temuan dan Rekomendasi Penyusunan temuan dan rekomendasi sebagai hasil evaluasi dari pelaksanaan pengukuran keselarasan teknologi informasi dengan tujuan bisnis PT. Bess Finance. Dari hasil temuan tersebut kemudian dilaksanakan rekomendasi yang merupakan rincian temuan serta rekomendasi yang diberikan guna untuk perbaikan proses sistem informasi ke depannya. Berdasarkan analisa dari hasil pengumpulan bukti selama pelaksanaan pengukuran keselarasan teknologi informasi dengan tujuan bisnis di PT. Bess Finance didapat beberapa temuan yang memuat fakta-fakta baik yang telah dilaksanakan dengan baik sesuai standar COBIT 4.1 ataupun yang masih perlu diperbaiki lagi. Adapun fakta-fakta yang telah sesuai dengan standar COBIT 4.1 diantaranya adalah: 1. Terdapat dokumentasi perencanaan program kerja TI dan telah diketahui oleh semua staf. 2. Terdapat rencana TI jangka pendek dan jangka panjang. 3. Terdapat teknik umum mengelola Organisasi/Divisi TI. 4. Terdapat pemahaman bahwa pengelolaan resiko dibutuhkan dalam pengadaan solusi TI dan pelayanan TI.
5.
Terdapat pelatihan pengelolaan resiko untuk semua anggota staf. 6. Terdapat peran dan tanggung jawab dalam pengelolaan sebuah proyek.. 7. Terdapat dukungan dan peran aktif dari manajemen senior dan pemangku kepentingan. 8. Terdapat standar penilaian proses. 9. Manajemen merespon secara aktif terhadap kejadian yang menyebabkan beberapa kerugian bagi perusahaan. Berdasarkan hasil audit sistem informasi, terdapat temuan hal-hal yang belum dilakukan atau kurang maksimal dilakukan menurut standar COBIT 4.1, yaitu: 1. Perencanaan program kerja jarang dibahas dalam pertemuan dengan manajemen perusahaan.. 2. Kurangnya terdapat kriteria keahlian dalam merekrut staff IT. 3. Kurangnya pertimbangan atas dampak bisnis atas kerentanan keamanan dan ketidakpastian dalam pengembangan proyek. 4. Kurangnya pengukuran nilai dan resiko sebelum, selama dan setelah pelaksanaan proyek. 5. Kurangnya pembandingan dengan pesaing utama. 4.6
Penyusunan Rekomendasi Rekomendasi disusun berdasarkan temuan yang berguna untuk perbaikan proses sistem informasi di masa datang. Berdasarkan temuan, maka rekomendasai yang perlu dilakukan untuk perbaikan proses sistem informasi adalah sebagai berikut: 1. Perencanaan program kerja harus sering dibahas dalam rapat dengan manajemen. Minimal setiap 3 bulan sekali tentang program kerja tahunan agar koordinasi berjalan dengan lancar. 2. Dalam merekrut staf baru, manajemen harus memberikan standar kriteria yang ditetapkan, agar para staff yang baru nantinya benar benar memenuhi ekspektasi perusahaan. 3. Harus dilakukan pertimbangan-pertimbangan pada setiap resiko atas dampak dari masingmasing proyek yang dikerjakan. Seperti resiko keterlambatan penyelesaian, resiko penggunaan software oleh pengguna. 4. Dilakukan pengukuran nilai dan resiko sebelum, selama dan setelah pelaksanaan proyek berdasarkan standar pengelolaan proyek yang telah dibakukan. 5. Dilakukan pembandingan kinerja teknologi informasi terhadap Perusahaan lain yang sejenis setiap tahun sehingga dapat diketahui kelebihan dan kekurangan dari proses penyusunan program kerja yang telah dilakukan.
5. Penutup 5.1 Kesimpulan 1. Pengukuran keselarasan tujuan teknologi informasi dan tujuan bisnis berdasarkan perspektif keuangan di PT. Bess Finance Surabaya menggunakan standar COBIT 4.1 melalui pelaksanaan audit teknologi informasi yang melibatkan 1 tujuan bisnis dan 2 tujuan teknologi informasi yang mencakup 6 proses teknologi informasi meliputi : PO1, PO4, PO9, PO10, ME1, dan ME4. 2. Secara umum, Divisi TI perusahaan telah menggunakan prosedur tertentu dalam pelaksanaan sistem informasi, namun prosedur tersebut belum dibakukan. Pengumpulan bukti pelaksanaan pengukuran keselarasan tujuan teknologi informasi dan tujuan bisnis berdasarkan perspektif keuangan di PT. Bess Finance Surabaya berupa pengisian kertas kerja maturity level oleh 10 Auditee. Dokumendokumen kebijakan dan operasional tidak dapat ditunjukkan oleh PT. Bess Finance Surabaya sebagai bukti pendukung audit karena termasuk rahasia perusahaan. Hasil pengukuran keselarasan teknologi informasi dengan tujuan bisnis perusahaan pada Divisi TI di PT. Bess Finance Surabaya, menunjukkan tingkat kematangan (maturity level) yang dimiliki pada masing-masing proses TI berbeda-beda. Hasil perhitungan nilai rata-rata maturity level yang didapatkan adalah 2.43 yang berarti tingkat maturity level sistem informasi pada Divisi TI di PT. Bess Finance Surabaya berdasarkan COBIT 4.1 adalah level 2 atau repeatable but intuitive. 3. Rekomendasi hasil pengukuran keselarasan teknologi informasi untuk masing-masing proses teknologi informasi yang dapat diberikan kepada PT. Bess Finance Surabaya berupa perlu ditambahkan pengidentifikasian resiko yang ada, seperti kehilangan data, pemanfaatan investasi yang kurang maksimal maupun akses oleh pihak yang tidak diotorisasi dalam menyusun program kerja. Berikutnya, konsistensi fungsi TI untuk merespon kebutuhan pelanggan. Selain itu, resiko yang berkaitan dengan operasional TI harus intensif dibahas dalam rapat. Dilakukan pengukuran nilai dan resiko sebelum, selama dan setelah pelaksanaan proyek berdasarkan standar pengelolaan proyek yang telah dibakukan. Melakukan pembandingan kinerja teknologi informasi terhadap perusahaan lain yang sejenis setiap tahun sehingga dapat diketahui kelebihan dan kekurangan dari proses penyusunan program kerja yang telah dilakukan. Lebih memperhatikan hal-hal yang berkaitan dengan isu tata kelola TI.
5.2
Saran
Saran bagi pengembangan yang berkaitan dengan pencapaian hasil yang optimal dari pengukuran keselarasan tujuan teknologi informasi berdasarkan perspektif keuangan ini adalah dapat meninjau dari perspektif Balanced Scorecard selain perspektif keuangan sebagai pembanding untuk mengetahui tingkat keselarasan tujuan teknologi informasi dan tujuan bisnis di PT. Bess Finance Surabaya.
Daftar Pustaka Campbell, Phillip L. 2005. A COBIT Primer. USA: Sandia National. Daryanto, Trihargo, G., dan Pratignyo, C. I., 2002, Audit Sistem Informasi II, Yayasan Pendidikan Internal Audit, Jakarta Gaspersz, V., 2005, Sistem Manajemen Kinerja Terintegrasi Balanced Scorecard dengan Six Sigma untuk Organisasi Bisnis dan Pemerintah, PT Gramedia Pustaka Utama, Jakarta Indrajit, R.E., 2006, Mengukur Tingkat Kematangan Pemanfaatan Teknologi Informasi untuk
Institusi Pendidikan Suatu Pendekatan Kesiapan Pemegang Kepentingan (Stakeholder). Information Technology Governance Institut. 2007. COBIT 4.1: Framework, Control Objective, Management Guidelines, Maturity Models. IT Governance Institut. Rolling Meadows. Kaplan, R. dan Norton, D. 1996. Balanced Scorecard: Menerapkan Strategi Menjadi Aksi. Jakarta: Erlangga. Karya, R., dan Norton, D., 2004, Pengembangan Model Audit Sistem Informasi Berbasis Kendali, Integral, Vol. 9 No. 1 Maret. Sarno, R. 2009. Audit Sistem & Teknologi Informasi. Surabaya : ITS Press Sarno, R. 2009. Strategi Sukses Bisnis dengan Teknologi Informasi. Surabaya: ITS Press. Scott, G. M., 1995, Principle of Management Information System, McGraw-Hill, Terjemahan, Achmad Nashir Budiman, 1995, Prinsip-Prinsip Sistem Informasi Manajemen, Raja Grafindo Persada, Jakarta.
