COBIT yaitu Control Objectives for
Information and Related Technology yang merupakan audit sistem informasi
dan dasar pengendalian yang dibuat oleh Information
Systems Audit and Control Association (ISACA), dan IT Governance Institute (ITGI) pada tahun 1992. COBIT juga
dapat dikatakan sebagai metode terapan yang menyediakan seperangkat
praktek yang dapat diterima pada umumnya karena dapat membantu para eksekutif
meningkatkan nilai dan mengurangi resiko. COBIT didasari oleh analisis dan
harmonisasi dari standar teknologi informasi dan praktek terbaik (best practices) yang ada, serta sesuai dengan prinsip governance
yang diterima secara umum. COBIT berada pada level atas yang dikendalikan oleh
kebutuhan bisnis, yang mencakupi seluruh aktifitas teknologi informasi, dan
mengutamakan pada apa yang seharusnya dicapai dari pada bagaimana untuk
mencapai tatakelola, manajemen dan kontrol yang efektif. COBIT Framework
bergerak sebagai integrator dari praktik IT governance dan juga yang
dipertimbangkan kepada petinggi manajemen atau manager; manajemen teknologi
informasi dan bisnis; para ahli governance, asuransi dan keamanan; dan juga
para ahli auditor teknologi informasi dan kontrol. COBIT Framework dibentuk agar dapat berjalan
berdampingan dengan standar dan best practices yang lainnya.
Implementasi dari best practices harus konsisten dengan tatakelola dan
kerangka kontrol, tepat dengan organisasi, dan terintegrasi dengan metode lain
yang digunakan. mengurangi resiko dengan cara yang lebih transparan. Standar
dan best practices bukan merupakan solusi yang selalu berhasil dan
efektifitasnya tergantung dari bagaimana mereka diimplementasikan dan tetap
diperbaharui. Best practices biasanya lebih berguna jika diterapkan sebagai
kumpulan pinsip dan sebagai permulaan (starting point) dalam menentukan
prosedur. Untuk mencapai keselarasan dari best practices terhadap kebutuhan
bisnis, sangat disarankan agar menggunakan COBIT pada tingkatan teratas
(highest level), menyediakan kontrol framework berdasarkan model proses
teknologi informasi yang seharusnya cocok untuk perusahaan secara umum.
COBIT menggambarkan tatakelola sebagai sebuah kubus 3 dimensi yang disebut
sebagai “COBIT Cube”. Berdasarkan gambar tersebut, untuk memahami tatakelola
perlu dilihat keterkaitan 3 aspek dalam implementasi yaitu Kebutuhan Bisnis
(Business Requirement), Proses TI (IT Process), dan sumber daya TI (IT
Resources).
F.1.
Audit Sistem dan Teknologi Informasi
Kata Audit berasal dari bahasa Latin
‘Audire’ (B.N.Tandon, 2000, p.l) yang berarti ‘mendengar’, yaitu pada jaman
dahulu apabila seorang pemilik usaha merasa ada suatu kesalahan /
penyalahgunaan, maka ia akan mendengarkan kesaksian orang tertentu. Dengan menunjuk
orang tertentu sebagai auditor yang akan memeriksa akun perusahaan dan
menyatakan pendapat mengenai akun perusahaan tersebut serta menerbitkan
laporan.
Audit sesungguhnya dilakukan untuk
mengevaluasi apakah kegiatan kerja atau kinerja suatu organisasi sudah sesuai
dengan yang direncanakan, sudah efektif, efisien, sesuai dengan pedoman standar
produktivitas yang direncanakan.
Ron Weber (1999,10) mengemukakan bahwa audit sistem informasi adalah :”
Information systems auditing is the process of collecting and evaluating
evidence to determine whether a computer system safeguards assets, maintains
data integrity, allows organizational goals to be achieved effectively, and
uses resources efficiently”.(audit sistem dan teknologi informasi merupakan proses pengumpulan dan
pengevaluasian bukti (evidence) untuk
menentukan apakah sistem informasi dapat melindungi aset dan teknologi
informasi yang ada telah memelihara integritas data sehingga keduanya dapat
diarahkan pada pencapaian tujuan bisnis secara efektif dengan menggunakan
sumber daya secara efektif dan efisien (Sayana, 2002, dalam Sarno, 2009: 28).). Dengan demikian, Aktivitas audit perlu dilakukan untuk
mengukur dan memastikan kesesuaian pengelolaan baik sistem maupun teknologi
informasi dengan ketetapan dan standar yang berlaku pada suatu organisasi,
sehingga perbaikan dapat dilakukan dengan lebih terarah dalam kerangka
perbaikan berkelanjutan (Sarno, 2009: 27).
Berdasarkan pengertian yang telah diuraikan dan menurut Swastika (2007),
dapat disimpulkan bahwa tujuan dari audit sistem dan teknologi informasi adalah
untuk mengetahui apakah pengelolaan sistem dan teknologi informasi telah:
-
Asset safeguard, mampu melindungi aset sistem
dan teknologi informasi.
-
Data integrity, mampu menjamin integritas data.
-
Effectivity, dalam pengelolaannya untuk mencapai tujuan bisnis organisasi telah
berjalan secara efektif (benar, konsisten, dapat dipercaya dan tepat waktu).
-
Efficiency,
dalam pengelolaannya untuk mencapai tujuan bisnis organisasi telah menggunakan
sumber daya organisasi secara efisien (optimal).
Secara umum dalam proses pelaksanaan
audit terdapat beberapa fase, yaitu (Imanuel, 2010, Dewi, 2010,):
1.
Perencanaan audit dengan merumuskan
langkah-langkah yang sistematis.
2.
Pengumpulan
bukti-bukti dan menilainya.
3.
Analisis
dan evaluasi temuan terhadap aturan yang sudah ditetapkan.
4.
Penyusunan
laporan akhir hasil dari pemeriksaan.
F.2.
Balanced
Scorecard
Balanced Scorecard adalah suatu konsep yang dijelaskan oleh
Robert S. Kaplan dan David P. Norton dalam bukunya yang berjudul "The
balanced scorecard - measures that drive performance". Balanced scorecard
merupakan suatu konsep yang digunakan untuk menghubungkan CSFs (Critical
Success Factors) dengan strategi dan untuk memonitor prestasi perusahaan dalam
mencapai tujuan strategiknya. Mengapa kata “BALANCE” Karena Balanced Scorecard
menunjukkan adanya keseimbangan antara semua factor yaitu keseimbangan antara :
Faktor keuangan dan non keuangan, Pihak eksternal dan internal dan Jangka
pendek dan jangka panjang
Balanced Scorecard didefinisikan sebagai “suatu alat
manajemen kinerja (performance manegement
tool) yang dapat membantu organisasi untuk menerjemahkan visi dan strategi
ke dalam aksi dengan memanfaatkan sekumpulan indikator finansial dan
non-finansial yang kesemuanya terjalin dalam suatu hubungan sebab akibat” (Luis
dan Biromo, 2007). Menurut Sarno (2009: 28), Balanced Scorecard merupakan kartu skor yang digunakan untuk
mengukur kinerja dengan memperhatikan keseimbangan antara faktor keuangan dan
non-keuangan baik jangka
pendek maupun jangka panjang serta kondisi internal maupun eksternal.
Kaplan dan Norton (1996) memberikan kesimpulan bahwa pengukuran kinerja
secara umum dapat dilakukan dengan memperhatikan empat perspektif, yaitu:
perspektif keuangan, perspektif pelanggan, perspektif proses bisnis/internal dan
perspektif pembelajaran dan pertumbuhan. Keterkaitan satu dengan yang lain dari
keempat perspektif tersebut digambarkan dengan cause-effect relationship diagram berikut:
Gambar
F.1 Cause-Effect Relationship Diagram
(Sumber:
Gaspersz, 2005:62)
Fungsi
Balanced Scorecard menurut Sayekti
(2007) adalah:
1.
Sebagai
sistem pengukuran kinerja yang melihat organisasi secara keseluruhan melalui
empat perspektif.
2.
Sebagai
sistem manajemen strategik yang menyelaraskan antara tujuan jangka pendek
dengan strategi tujuan jangka panjang.
3.
Sebagai
sarana komunikasi bagi perusahaan dengan menerjemahkan strategi kedalam
tindakan-tindakan yang seharusnya diambil oleh organisasi.
F.3.
Perspektif Proses Bisnis/Internal Balanced Scorecard
Perspektif proses bisnis/internal merupakan salah satu dari empat
perspektif yang ada dalam Balanced
Scorecard. Fokus dalam perspektif ini adalah proses internal yang
seharusnya dilakukan oleh manajemen organisasi, berkaitan dengan penciptaan
produk/jasa untuk menarik dan mempertahankan pelanggan sekaligus untuk
memberikan peningkatan nilai bagi pemegang saham (Sarno, 2009: 13). Proses
tersebut dapat dilakukan melalui evaluasi terhadap apa yang diharapkan
pelanggan sesuai dengan kebutuhan bisnisnya pada proses internal organisasi,
seperti: kualitas produk/jasa yang dihasilkan, waktu respon maupun pengenalan
produk.
Untuk peningkatan proses bisnis/internal, Kaplan dan Norton (1996, dalam
Sarno, 2009: 14) membagi proses pokok bisnis/internal menjadi tiga fase:
1.
Proses
inovasi (Innovation Process).
Terdiri
dari dua aktivitas yang saling berkelanjutan yakni identifikasi pasar kemudian
diiringi dengan penciptaan usulan produk/jasa. Pada fase ini, organisasi
mengidentifikasikan kebutuhan pelanggan masa kini dan masa mendatang serta
mengembangkan solusi baru untuk kebutuhan pelanggan tersebut.
2.
Proses
operasional (Operational Process).
Terdiri
dari aktivitas pembuatan dan penyampaian produk/jasa yang menitik beratkan pada
efisiensi proses, konsistensi serta ketepatan waktu hingga diterima oleh
pelanggan. Pengukuran kinerja pada fase ini dilakukan pada tiga dimensi: waktu,
kualitas proses dan biaya proses.
3.
Proses
pelayanan purna jual (Postsale Service
Process).
Fase
ini merupakan bagian yang berpengaruh langsung terhadap kepuasan pelanggan.
Aktivitas yang dilakukan pada fase ini berupa pemberian layanan kepada
pelanggan, seperti: garansi, penyelesaian masalah yang timbul pada pelanggan,
reparasi dan lain-lain.
F.4.
Tujuan Bisnis
Menurut McLeod (2004), tujuan bisnis dapat tercapai apabila dijalankan
dengan menggunakan strategi bisnis yang tepat. Strategi (Edwards, 1995) dapat
didefinisikan sebagai suatu rangkaian kegiatan yang terintegrasi dan ditujukan
untuk meningkatkan faktor-faktor yang menentukan tujuan dan kemampuan
organisasi.
COBIT (Sarno, 2009: 19) mendefinisikan tujuan bisnis terkait dengan
aktivitas teknologi informasi yang umumnya ada di perusahaan. Pada kerangka
kerja COBIT hanya menjelaskan tujuan-tujuan bisnis yang berkaitan dengan proses
teknologi informasi. Demi memudahkan proses kontrol, COBIT mengelompokkan
tujuan tersebut ke dalam perspektif kinerja Balanced
Scorecard seperti terlihat dalam tabel F.1 (ITGI, COBIT 4.1, 2007).
Perusahaan/organisasi mungkin tidak memiliki semua tujuan bisnis seperti yang
dikelompokkan dalam tabel tersebut. Dalam penyusunan tujuan bisnis, perusahaan
dapat memilih yang sesuai dengan karakteristik organisasinya masing-masing.
Pemilihan tujuan bisnis dapat dilakukan dengan mendefinisikan proses bisnis
utama maupun bisnis pendukung organisasi terlebih dahulu.
Tabel F.1 Tujuan Bisnis dalam COBIT
|
Perspektif Kinerja
|
No.
|
Tujuan Bisnis
|
|
Perspektif
Keuangan
|
1.
|
Penyediaan pengembalian investasi yang
baik dari bisnis yang dibangkitkan teknologi informasi.
|
|
2.
|
Pengelolaan resiko bisnis yang terkait
dengan teknologi informasi.
|
|
3.
|
Peningkatan transparansi dan tata kelola
perusahaan.
|
|
Perspektif
Pelanggan
|
4.
|
Peningkatan layanan dan orientasi
terhadap pelanggan.
|
|
5.
|
Penawaran produk dan jasa yang
kompetitif.
|
|
6.
|
Penentuan ketersediaan dan kelancaran
layanan.
|
|
7.
|
Penciptaan ketangkasan (agility) untuk menjawab permintaan
bisnis yang berubah.
|
|
8.
|
Pencapaian optimasi biaya dari
penyampaian layanan.
|
|
9.
|
Perolehan informasi yang bermanfaat dan
handal untuk pembuatan keputusan strategis.
|
|
Perspektif
Proses Bisnis/
Internal
|
10.
|
Peningkatan dan pemeliharaan
fungsionalitas proses bisnis.
|
|
11.
|
Penurunan biaya proses.
|
|
12.
|
Penyediaan kepatutan terhadap hukum
eksternal, regulasi dan kontrak.
|
|
13.
|
Penyediaan kepatutan terhadap kebijakan
internal.
|
|
14.
|
Pengelolaan perubahan bisnis.
|
|
15.
|
Peningkatan dan pengelolaan
produktivitas operasional dan staf.
|
|
Perspektif
Pembelajaran & Pertumbuhan
|
16.
|
Pengelolaan inovasi produk dan bisnis.
|
|
17.
|
Perolehan dan pemeliharaan karyawan yang
cakap dan termotivasi.
|
F.5.
Tujuan Teknologi Informasi
Untuk mengetahui keterkaitan antara tujuan bisnis dengan tujuan teknologi
informasi, maka perlu dipahami terlebih dahulu keseluruhan tujuan teknologi
informasi yang telah didefinisikan dan diklasifikasikan pada kerangka kerja
COBIT seperti yang terlihat pada tabel F.2 (ITGI, COBIT 4.1, 2007). Pemetaan tujuan teknologi informasi tersebut dapat dijadikan acuan bagi perusahaan/ organisasi dalam menerjemahkan kebutuhan bisnis akan ketersediaan teknologi informasi. Perlu diketahui bahwa tujuan bisnis yang dipaparkan hanya merupakan
tujuan yang terkait atau yang dapat membangkitkan bisnis.
Tabel F.2 Tujuan Teknologi Informasi dalam COBIT
|
No.
|
Tujuan Teknologi Informasi
|
|
1.
|
Respon terhadap kebutuhan bisnis yang
selaras dengan strategi bisnis.
|
|
2.
|
Respon terhadap kebutuhan tata kelola
yang sesuai dengan arahan direksi.
|
|
3.
|
Kepastian akan kepuasan pengguna akhir
dengan penawaran dan tingkatan layanan.
|
|
4.
|
Pengoptimasian dari penggunaan
informasi.
|
|
5.
|
Penciptaan teknologi informasi yang
tangkas (IT Agility).
|
|
6.
|
Pendefinisian bagaimana kebutuhan
fungsional bisnis dan kontrol diterjemahkan dalam solusi otomatis yang
efektif dan efisien.
|
|
7.
|
Perolehan dan pemeliharaan sistem
aplikasi yang standar dan terintegrasi.
|
|
8.
|
Perolehan dan pemeliharaan infrastruktur
teknologi informasi yang strandar dan terintegrasi.
|
|
9.
|
Perolehan dan pemeliharaan kemampuran
teknologi informasi sebagai respon terhadap strategi teknologi informasi.
|
|
10.
|
Jaminan akan kepuasan yang saling
menguntungkan dengan pihak ketiga.
|
|
11.
|
Jaminan akan konsistensi terhadap
integrasi aplikasi ke dalam proses bisnis.
|
|
12.
|
Jaminan transparansi dan pemahaman
terhadap biaya teknologi informasi, keuntungan, strategi, kebijakan dan
tingkatan layanan.
|
|
13.
|
Jaminan akan penggunaan dan kinerja dari
aplikasi serta solusi teknologi yang sesuai.
|
|
14.
|
Kemampuan memberikan penjelasan dan
perlindungan terhadap aset-aset teknologi informasi.
|
|
15.
|
Pengoptimasian infrastruktur, sumber
daya dan kemampuan teknologi informasi.
|
|
16.
|
Pengurangan terhadap ketidaklengkapan
dan pengolahan kembali dari solusi dan penyampaian layanan.
|
|
17.
|
Perlindungan terhadap pencapaian sasaran
teknologi informasi.
|
|
18.
|
Penentuan kejelasan mengenai resiko dari
dampak bisnis terhadap sasaran dan sumber daya teknologi informasi.
|
|
19.
|
Jaminan bahwa informasi yang kritis dan
rahasia disembunyikan dari pihak-pihak yang tidak berkepentingan.
|
|
20.
|
Kepastian bahwa transaksi bisnis yang
secara otomatis dan pertukaran informasi dapat dipercaya.
|
|
21.
|
Jaminan bahwa layanan dan infrastruktur
teknologi informasi dapat sepatutnya mengatasi dan memulihkan kegagalan
karena eror, serangan yang disengaja maupun bencana alam.
|
|
22.
|
Kepastian akan minimnya dampak bisnis
dalam kejadian gangguan layanan atau perubahan teknologi informasi.
|
|
23.
|
Jaminan bahwa layanan teknologi
informasi yang tersedia sesuai dengan yang dibutuhkan.
|
|
24.
|
Peningkatan terhadap efisiensi biaya
teknologi informasi dan kontribusinya terhadap keuntungan bisnis.
|
|
25.
|
Penyampaian rencangan tepat waku dan
sesuai dengan kualitas standar maupun anggaran biaya.
|
|
26.
|
Pemeliharaan terhadap integritas
informasi dan pemrosesan infrastruktur.
|
|
27.
|
Kepastian bahwa teknologi informasi
selaras degan regulasi dan hukum yang berlaku.
|
|
28.
|
Jaminan bahwa teknologi informasi dapat
menunjukkan kualitas layanan yang efisien dalam hal biaya, perbaikan yang
berkelanjutan dan kesiapan terhadap perubahan di masa mendatang.
|
F.6.
COBIT (Control
Objectives for Information and related Technology)
IT Governance adalah sistem yang mengatur dan mengendalikan
seluruh proses teknologi informasi perusahaan/organisasi yang strukturnya akan
menetapkan pendistribusian hak dan tanggung jawab antara pihak-pihak yang
terlibat juga berisikan peraturan serta strategi yang ditetapkan perusahaan/
organisasi (Prasojo, 2005, Warsilah, 2007 dan Alindita, 2008).
Information System Audit and Control
Association (ISACA)
memperkenalkan sebuah kerangka untuk mengelola IT Governance di sebuah perusahaan yang dikenal dengan nama COBIT
(Indrajit, 2004). Pada dasarnya COBIT dikembangkan untuk membantu memenuhi
berbagai kebutuhan manajemen terhadap informasi dengan menjembatani kesenjangan
antara resiko bisnis, kontrol dan masalah teknik (Putra, 2009).
Karakteristik utama kerangka kerja COBIT menurut Surendro (2004: 243) dan
Pandji (2007: 13) adalah pengelompokkan aktivitas teknologi informasi dalam
empat domain, yaitu Plan and Organise (PO), Acquire and Implement (AI), Deliver and Support (DS) serta Monitor and Evaluate (ME). Domain PO menyediakan arahan untuk
mewujudkan solusi penyampaian (AI) dan penyampaian jasa (DS). AI menyediakan
solusi dan menyalurkannya untuk dapat diubah menjadi jasa. Sementara DS
menerima solusi tersebut dan membuatnya lebih bermanfaat bagi pengguna akhir.
Sedangkan ME memonitor seluruh proses untuk kepastian bahwa arahan yang
diberikan telah diikuti. Keterkaitan keempat domain COBIT dapat dilihat dalam gambar F.2 (ITGI, COBIT 4.1,
2007).
Secara jelas, COBIT membagi proses pengelolaan teknologi informasi menjadi
empat domain utama dengan total tiga
puluh empat proses teknologi informasi. Masing-masing domain dalam COBIT mempunyai beberapa rincian sebagai berikut
(Sarno, 2009: 31-42):
1.
Plan and Oganise (PO)
Dalam perencanaan dan organisasi perusahaan ini
sudah Mencakup strategi, taktik dan perhatian atas identifikasi bagaimana IT
secara maksimal dapat berkontribusi dalam pencapaian tujuan bisnis. Tetapi
disini , startegis perlu direncanakan, dikomunikasikan, dan dikelola untuk
berbagai perspektif yang berbeda. Disini sebuah pengorganisasian serta infrastruktur teknologi sudah
ditempatkan di tempat yang semestinya. Domain PO ini terdiri dari 10 (sepuluh) proses
teknologi informasi seperti terlihat pada tabel F.3.
Tabel F.3 Proses Teknologi Informasi dalam Domain
PO
|
PO1
|
Mendefinisikan rencana strategis
TI
|
|
PO2
|
Mendefinisikan arsitektur
informasi
|
|
PO3
|
Menentukan arahan teknologi
|
|
PO4
|
Mendefinisikan proses TI,
organisasi dan keterhubungannya
|
|
PO5
|
Mengelola investasi TI
|
|
PO6
|
Mengkomunikasikan
tujuan dan arahan manajemen
|
|
PO7
|
Mengelola sumber daya TI
|
|
PO8
|
Mengelola kualitas
|
|
PO9
|
Menaksir dan mengelola resiko TI
|
|
PO10
|
Mengelola proyek
|
2.
Acquire and Implement (AI)
Solusi IT sudah diidentifikasi
dan dikembangkan serta diimplementasikan, namun belum diimplementasikan dan
terintegrasi ke dalam proses bisnis, tetapi sudah ada perubahan serta
pemeliharaan system yang mencakup di dalam domain ini. Pada domain Acquire and Implement sebuah solusi
teknologi informasi perlu diidentifikasikan, dikembangkan, diimplementasikan
dan diintegrasikan ke dalam proses bisnis. Domain
AI ini terdiri dari 7 (tujuh) proses teknologi informasi seperti terlihat pada
tabel F.4.
Tabel F.4 Proses Teknologi Informasi dalam Domain
AI
|
AI1
|
Mengidentifikasi solusi otomatis
|
|
AI2
|
Memperoleh dan memelihara
software aplikasi
|
|
AI3
|
Memperoleh
dan memelihara infrastruktur teknologi
|
|
AI4
|
Memungkinkan operasional dan
penggunaan
|
|
AI5
|
Memenuhi sumber daya TI
|
|
AI6
|
Mengelola perubahan
|
|
AI7
|
Instalasi
dan akreditasi solusi beserta perubahaannya
|
3.
Deliver and Support (DS)
Domain ini berfokus
utama pada aspek penyampaian/pengiriman dari IT. Domain ini mencakup area-area
seperti pengoperasian aplikasi-aplikasi dalam sistem IT dan hasilnya, serta
proses dukungan yang memungkinkan pengoperasian sistem IT tersebut dengan
efektif dan efisien. Proses dukungan ini termasuk isu/ masalah keamanan dan
juga pelatihan. Domain DS ini terdiri dari 13 (tiga belas) proses teknologi informasi seperti
terlihat pada tabel F.5.
Tabel F.5 Proses Teknologi Informasi dalam Domain
DS
|
DS1
|
Mendefinisikan dan mengelola
tingkat layanan
|
|
DS2
|
Mengelola layanan pihak ketiga
|
|
DS3
|
Mengelola kinerja dan kapasitas
|
|
DS4
|
Memastikan layanan yang
berkelanjutan
|
|
DS5
|
Memastikan keamanan system
|
|
DS6
|
Mengidentifikasikan dan
mengalokasikan biaya
|
|
DS7
|
Mendidik dan melatih pengguna
|
|
DS8
|
Mengelola service desk
dan insiden
|
|
DS9
|
Mengelola konfigurasi
|
|
DS10
|
Mengelola permasalahan
|
|
DS11
|
Mengelola data
|
|
DS12
|
Mengelola lingkungan fisik
|
|
DS13
|
Mengelola operasi
|
4.
Monitor and Evaluate (ME)
Menyelenggarakan
audit TI yang dilakukan oleh pihak Independent untuk meningkatkan kepercayaan
dan memastikan kesesuaian penerapan dan pengelolaan TI dalam mendukung
pencapaian tujuan organisasi. Pada domain ini akan ditekankan kepada pentingnya
semua proses teknologi informasi perlu diakses secara berkala untuk menjaga
kualitas dan kesesuaian dengan standar yang telah ditetapkan. Domain ME ini terdiri dari 4 (empat) proses teknologi informasi seperti
terlihat pada tabel F.6.
Tabel F.6 Proses Teknologi Informasi dalam Domain
ME
|
ME1
|
Mengawasi
dan mengevaluasi kinerja TI
|
|
ME2
|
Mengawasi
dan mengevaluasi kontrol internal
|
|
ME3
|
Memastikan pemenuhan terhadap
kebutuhan eksternal
|
|
ME4
|
Menyediakan tata kelola TI
|
COBIT memberikan satu langkah praktis melalui domain dan framework yang
menggambarkan aktivitas teknologi informasi dalam suatu struktur dan proses yang
disesuaikan. Gambaran kerangka kerja (framework)
COBIT secara keseluruhan dapat dilihat pada gambar F.3.
ITGI (Information Technology
Governance Institue, 2007) memberikan pemetaan tujuan teknologi informasi
dan tujuan bisnis berdasarkan standar COBIT menjadi 28 tujuan teknologi
informasi dan 17 tujuan bisnis.
Tabel F.7 Pemetaan Tujuan Bisnis dan Tujuan
Teknologi Informasi berdasarkan COBIT
|
No.
|
Tujuan Bisnis
|
Tujuan Teknologi Informasi
|
|
1.
|
Penyediaan
pengembalian investasi yang baik dari bisnis yang dibangkitkan teknologi
informasi.
|
|
|
|
|
|
|
|
|
2.
|
Pengelolaan
resiko bisnis yang terkait dengan teknologi informasi.
|
|
|
|
|
|
|
|
|
3.
|
Peningkatan
transparansi dan tata kelola perusahaan.
|
|
|
|
|
|
|
|
|
4.
|
Peningkatan
layanan dan orientasi terhadap pelanggan.
|
|
|
|
|
|
|
|
|
5.
|
Penawaran
produk dan jasa yang kompetitif.
|
|
|
|
|
|
|
|
|
6.
|
Penentuan
ketersediaan dan kelancaran layanan.
|
|
|
|
|
|
|
|
|
7.
|
Penciptaan
ketangkasan (agility) untuk
menjawab permintaan bisnis yang berubah.
|
|
|
|
|
|
|
|
|
8.
|
Pencapaian
optimasi biaya dari penyampaian layanan.
|
|
|
|
|
|
|
|
|
9.
|
Perolehan
informasi yang bermanfaat dan handal untuk pembuatan keputusan strategis.
|
|
|
|
|
|
|
|
|
10.
|
Peningkatan dan
pemeliharaan fungsionalitas proses bisnis.
|
|
|
|
|
|
|
|
|
11.
|
Penurunan biaya
proses.
|
|
|
|
|
|
|
|
|
12.
|
Penyediaan
kepatutan terhadap hukum eksternal, regulasi dan kontrak.
|
|
|
|
|
|
|
|
|
13.
|
Penyediaan
kepatutan terhadap kebijakan internal.
|
|
|
|
|
|
|
|
|
14.
|
Pengelolaan
perubahan bisnis.
|
|
|
|
|
|
|
|
|
15.
|
Peningkatan dan
pengelolaan produktivitas operasional dan staf.
|
|
|
|
|
|
|
|
|
16.
|
Pengelolaan
inovasi produk dan bisnis.
|
|
|
|
|
|
|
|
|
17.
|
Perolehan dan
pemeliharaan karyawan yang cakap dan termotivasi.
|
|
|
|
|
|
|
|
Sumber: Sarno, 2009: 57-59
Suatu organisasi dapat dianggap
sukses membangun teknologi informasi dalam suatu kerangka sistem informasi yang
lengkap apabila telah memenuhi kriteria ukuran informasi (Gondodiyoto, 2007).
Kriteria ukuran informasi berdasarkan kerangka kerja COBIT dapat dilihat pada
tabel F.8 (Gondodiyoto, 2007).
Tabel F.8 Kriteria Ukuran Informasi berdasarkan COBIT
|
Efektif
|
Jika
sistem informasi sesuai dengan kebutuhan pemakai.
|
|
Efisien
|
Jika penggunaan sumberdaya optimal.
|
|
Kerahasiaan
|
Memfokuskan proteksi terhadap informasi yang penting dari
orang yang tidak memiliki hak otoritas.
|
|
Integritas
|
Berhubungan dengan akurasi dan kelengkapan informasi.
|
|
Ketersediaan
|
Berkaitan dengan informasi yang tersedia pada saat yang
diperlukan dalam proses bisnis.
|
|
Pemenuhan
|
Sesuai
kebijakan organisasi, aturan
hokum dan peraturan yang berlaku.
|
|
Keandalan
|
Terkait dengan ketentuan kecocokan informasi untuk
mengoperasikan perusahaan, pelaporan dan pertanggungjawaban.
|
Pengukuran informasi melalui audit teknologi informasi dengan mengacu pada
contoh yang baik (best prastice)
berdasarkan kerangka kerja COBIT (Sarno, 2009: 147-163) adalah:
1.
Penentuan
Ruang Lingkup dan Tujuan Audit Teknologi Informasi
Langkah awal yang harus dilakukan adalah menentukan ruang
lingkup dari audit yang akan dilakukan. Ruang lingkup yang dimaksud adalah area,
fungsi dan unit organisasi yang akan diaudit mencakup sistem secara spesifik,
fungsi atau unit organisasi yang menjadi tujuan (fokus) dari proses audit untuk
meminimalkan resiko bisnis.
2.
Pengumpulan
Bukti
Bukti (evidence)
merupakan informasi apapun yang digunakan oleh auditor untuk menentukan apakah data yang diaudit sesuai dengan
kriteria atau tujuan audit. Pencarian bukti dalam pelaksaan audit teknologi
informasi terhadap proses teknologi informasi yang ada dalam suatu organisasi
disesuaikan mengacu pada standar proses teknologi informasi yang didefinisikan
dalam COBIT. Bukti audit tersebut digunakan untuk melaksanakan uji kepatutan
sehingga didapatkan temuan (findings)
sebagai kepatutan terhadap standar yang berlaku.
3.
Pelaksanaan
Uji Kepatutan
Setelah bukti-bukti dikumpulkan, selanjutnya dilakukan
pelaksaan audit. Uji kepatutan (compliance
test) dilakukan dengan menguji kepatutan proses teknologi informasi dengan
melihat kepatutan proses yang berlangsung terhadap standar dan regulasi yang
berlaku. Dari pelaksaan uji kepatutan ini akan menghasilkan temuan-temuan yang
nantinya digunakan sebagai bahan penyusunan rekomendasi dalam laporn audit.
4.
Penentuan
Tingkat Kedewasaan
Tingkat kedewasaan merupakan representasi kedewasaan
proses teknologi informasi yang berlangsung pada suatu organisasi. Nilai
tingkat kedewasaan akan menunjukkan level kedewasaan proses teknologi informasi
dengan pengidentifikasian secara menyeluruh terhadap setiap level. Setelah
didapatkan nilai tingkat kedewasaan untuk setiap level, dilakukan perhitungan
untuk nilai tingkat kedewasaan secara keseluruhan.
Sebelum hasil audit dikomunikasikan, diperlukan suatu diskusi untuk
mendapatkan kesepahaman terhadap hasil temuan dan mengembangkan rekomendasi
untuk memperbaiki hasil tersebut. Langkah-langkah yang dilakukan dalam
penyusunan rekomendasi (Sarno, 2009: 165-172):
1.
Penentuan
Hasil Audit Teknologi Informasi
Penentuan hasil audit dilakukan dengan mengevaluasi hasil
audit yang didapatkan untuk mengembangkan opini audit. Opini-opini berdasarkan
hasil temuan tersebut digunakan sebagai landasan penyusunan rekomendasi hasil
audit. Rekomendasi yang disusun oleh auditor
dikomunikasikan kepada pihak manajemen yang berkepentingan untuk mendapatkan
kesepakatan hasil audit. Setelah diperoleh kesepakatan, langkah selanjutnya
adalah penyusunan laporan hasil audit.
2.
Penyusunan
Laporan Hasil Audit Teknologi Infomasi
Laporan audit merupakan hasil akhir dari pelaksanaan
audit teknologi informasi yang berisikan temuan dan rekomendasi kepada
manajemen. Format laporan bervariasi di setiap organisasi sehingga tidak ada
format baku dalam penyusunannya. Laporan yang dibuat seharusnya seimbang dalam
mendeskripsikan isu negatif dari temuan dan pernyataan konstruktif positif yang berkaitan dengan peningkatan
proses yang sudah dijalankan dan kontrol yang telah berfungsi secara efektif.
F.7.
Maturity
Level
Agar mekanisme IT Governance
dapat berjalan secara efektif dan sejalan dengan strategi bisnis yang telah
ditetapkan, diperlukan suatu pengembangan teknologi informasi yang terukur
dengan baik dan memiliki tahapan kematangan tertentu. Dengan menggunakan nilai maturity level, sebuah
perusahaan/organisasi dapat mengukur posisi kematangannya dalam pengembangan
teknologi informasi serta menentukan prioritas perbaikan dan peningkatan sampai
pada tingkat tertinggi agar aspek IT
Governance dapat berjalan secara efektif dan sejalan dengan strategi bisnis
yang telah ditetapkan (Pederiva, 2003 dan Tanuwijaya dan Sarno, 2010).
Penggunaan nilai maturity
level yang dikembangkan untuk setiap 34 proses teknologi informasi, sehingga memungkinkan manajemen untuk mengidentifikasi:
1. Kinerja
sesungguhnya perusahaan dan posisi
kondisi perusahaan sekarang.
2.
Kondisi
sekarang dari industri sebagai perbandingan.
3.
Target
peningkatan perusahaan terhadap kondisi yang diinginkan.
Tujuan pengukuran nilai maturity
level adalah:
1. Menumbuhkan
kepedulian (awareness).
2. Melakukan
identifikasi kelemahan (weakness).
3.
Melakukan
identifikasi kebutuhan perbaikan (improvement).
Teknik pengukuran dalam maturity level menggunakan beberapa pernyataan dimana setiap pernyataan dapat dinilai tingkat kepatutannya dengan menggunakan standar penilaian seperti tabel F.9 berikut:
Tiap pernyataan dalam maturity level akan memiliki nilai kepatutan (compliance value) dengan tingkatan nilai yang dimulai dari 0 (tidak sama
sekali), 0.33 (sedikit), 0.66 (dalam tingkatan tertentu) dan 1 (seluruhnya). Penyajian nilai kepatutan dalam maturity level tampak seperti Gambar F.4.
Gambar F.4 Bentuk Penyajian Model
Kedewasaan (Maturity Level)
Tingkat kepatutan tiap-tiap level yang telah diperoleh masing-masing proses teknologi dikalkulasikan seperti Tabel F.10.
Tabel
F.10 Kalkulasi Maturity
Level Proses Teknologi Informasi
Sumber:
Tanuwijaya dan Sarno, 2010: 83
Keterangan:
Kolom Compliance
Socre berisi nilai-nilai kepatutan masing-masing level, sedangkan kolom Contribution berisi skala tingkat kepatutan dan kolom Level Score
diperoleh dari perkalian nilai Compliance
Score dengan Contribution.
Untuk mengetahui seberapa
besar nilai kepatutan dari
proses teknologi informasi,
perlu dilakukan penjumlahan
nilai Level Score dari level 0 sampai
dengan level 5.
Untuk mengidentifikasi sejauh mana perusahaan/organisasi telah memenuhi
standar pengelolaan proses teknologi informasi yang baik, COBIT menyediakan
kerangka identifikasi yang direpresentasikan dalam sebuah model kedewasaan (maturity level) yang memiliki level
pengelompokkan kapabilitas perusahaan dalam pengelolaan proses teknologi
informasi dari level 0 (nol) atau non-existent
(belum tersedia) hingga level 5 (lima) atau optimised
(teroptimasi) (Sarno, 2009: 60-62). Model tersebut direpresentasikan secara
grafis pada gambar F.5 (ITGI, COBIT 4.1, 2007:18) dengan tujuan untuk
memberikan kemudahan dalam pemahaman secara ringkas bagi pihak manajemen.
Deskripsi dari masing-masing level kedewasaan tersebut, secara umum digambarkan pada
tabel F.11 (Sarno, 2009: 61).
Tabel F.11 Skala Pengukuran Maturity Level.
|
Level
|
Kriteria Maturity
Level
|
|
0
Non Existent
|
Kekurangan yang menyeluruh terhadap
proses apapun yang dapat dikenali. Perusahaan bahkan tidak mengetahui bahwa
terdapat permasalahan-permasalahan yang harus diatasi.
|
|
1
Initial/
Ad Hoc
|
Terdapat bukti bahwa perusahaan
mengetahui adanya permasalahan yang harus diatasi. Bagaimanapun juga tidak
terdapat proses standar, namun menggunakan pendekatan ad-hoc yang cenderung diberlakukan secara individu atau berbasis
per kasus. Secara umum pendekatan kepada pengelolaan proses tidak
terorganisasi.
|
|
2
Repeatable but Intuitive
|
Proses dikembangkan ke dalam tahapan
yang prosedur serupa diikuti oleh pihak-pihak yang berbeda untuk pekerjaan
yang sama. Tidak terdapat pelatihan formal atau pengkomunikasian prosedur
standar dan tanggung jawab diserahkan kepada individu masing-masing. Terdapat
tingkat kepercayaan yang tinggi terhadap pengetahuan individu sehingga
kemungkinan error bisa terjadi.
|
|
3
Defined
|
Prosedur distandarisasi dan
didokumentasikan kemudian dikomunikasikan melalui pelatihan. Kemudian
diamanatkan bahwa proses-proses tersebut harus diikuti. Namun penyimpangan
tidak mungkin dapat terdeteksi. Prosedur sendiri tidak lengkap namun sudah
memformalkan praktek yang berjalan.
|
|
4
Managed and Measurable
|
Manajemen mengawasi dan mengukur
kepatutan terhadap prosedur dan mengambil tindakan jika proses tidak dapat
dikerjakan secara efektif. Proses berada di bawah peningkatan yang konstan
dan penyediaan praktek yang baik. Otomasi dan perangkat digunakan dalam
batasan tertentu.
|
|
5
Optimised
|
Proses telah dipilih ke dalam tingkat
praktek yang baik berdasarkan hasil dari perbaikan berkelanjutan dan
pemodelan kedewasaan dengan perusahaan lain. Teknologi informasi digunakan
sebagai cara terintegrasi untuk mengotomatisasi alur kerja, penyediaan alat
untuk peningkatan kualitas dan efektivitas serta membuat perusahaan cepat
beradaptasi.
|
Sumber: Sarno, 2009: 61
Secara spesifik hal-hal yang menentukan kedewasaan akan berbeda-beda pada
tiap proses teknologi informasi. Kedewasaan pada tiap-tiap proses teknologi
informasi akan menentukan tingkat kedewasaan perusahaan/organisasi yang
biasanya direpresentasikan dalam grafik laba-laba (spider chart) pada gambar F.6 (Sarno, 2009: 62).
Gambar F.6 Contoh Grafik Laba-laba yang Menggambarkan Nilai Maturity Level
(Sumber: Sarno, 2009)
F.8.
Audit Teknologi Informasi dari Perspektif Proses
Bisnis/Internal Balanced Scorecard
Audit teknologi informasi dilakukan dengan tujuan untuk mengukur apakah
informasi yang ada sudah dikelola dengan baik sehingga dapat diketahui seberapa
besar peranan teknologi informasi dalam mendukung pencapaian tujuan bisnis
organisasi (Champlain, 2003: 27 dan Hariadi dan Daryanto, 2003: 19-20). Dengan
demikian dapat disimpulkan bahwa audit teknologi informasi dilakukan dalam
rangka untuk mengukur sehingga dapat diketahui tingkat keselarasan antara
tujuan teknologi informasi dan tujuan bisnis organisasi (Krist dalam Surendro,
2004).
COBIT memberikan kemudahan untuk memahami keterkaitan antara tujuan bisnis
dan teknologi informasi. Pemetaan terhadap kedua tujuan tersebut sudah tersedia
dan dapat dijadikan acuan bagi perusahaan/organisasi salam menerjemahkan tujuan
bisnis ke dalam tujuan teknologi informasi. Pemetaan tujuan bisnis dan tujuan
teknologi informasi dari perspektif proses bisnis/internal dapat dilihat dalam
tabel F.12 (ITGI, COBIT 4.1, 2007).
Tabel F.12 Pemetaan Tujuan Bisnis dan Tujuan
Teknologi Informasi dari Perspektif Proses Bisnis/Internal Balanced Scorecard
|
Perspektif Kinerja
|
No.
|
Tujuan Bisnis
|
Tujuan Teknologi Informasi
|
|
Perspektif
Proses Bisnis/
Internal
|
10.
|
Peningkatan dan
pemeliharaan fungsionalitas proses bisnis.
|
|
|
|
|
|
|
|
|
11.
|
Penurunan biaya
proses.
|
|
|
|
|
|
|
|
|
12.
|
Penyediaan
kepatutan terhadap hukum eksternal, regulasi dan kontrak.
|
|
|
|
|
|
|
|
|
13.
|
Penyediaan
kepatutan terhadap kebijakan internal.
|
|
|
|
|
|
|
|
|
14.
|
Pengelolaan
perubahan bisnis.
|
|
|
|
|
|
|
|
|
15.
|
Peningkatan dan
pengelolaan produktivitas operasional dan staf.
|
|
|
|
|
|
|
|
Berdasarkan hasil survei ITGI (The IT Governance Institute, Understanding How Business Goals Drive IT
Goals, 2008) terhadap perusahaan-perusahaan dunia, terdapat sepuluh tujuan
bisnis dan sepuluh tujuan teknologi informasi terpenting (Sarno, 2009: 56).
Berdasarkan hasil survei tersebut, didapatkan pemetaan tujuan bisnis dan tujuan
teknologi informasi dari perspektif proses bisnis/internal.
Tabel F.13 Pemetaan Tujuan Bisnis dan Tujuan
Teknologi Informasi dari Perspektif Proses Bisnis/Internal Berdasarkan Survei
|
Perspektif Kinerja
|
No.
|
Tujuan Bisnis
|
Tujuan Teknologi Informasi
|
|
Perspektif
Proses Bisnis/
Internal
|
10.
|
Peningkatan dan
pemeliharaan fungsionalitas proses bisnis.
|
6
|
|
|
|
12.
|
Penyediaan
kepatutan terhadap hukum eksternal, regulasi dan kontrak.
|
2
|
26
|
27
|
Sumber: Tabel F.12, diolah
Kerangka kerja COBIT tidak hanya menyediakan pemetaan antara tujuan bisnis
dengan tujuan teknologi informasi, namun juga menjelaskan kerangka kerja
keterkaitan antara tujuan teknologi informasi dengan proses teknologi
informasi. Setiap tujuan teknologi informasi dapat terdiri dari beberapa proses
teknologi informasi yang terkait, demikian juga sebaliknya setiap proses
teknologi informasi dapat digunakan untuk memenuhi beberapa tujuan teknologi
informasi. Pemetaan antara tujuan teknologi informasi dan proses teknologi
informasi dari perspektif proses bisnis/internal dalam kerangka kerja COBIT
dapat dilihat dalam tabel F.14.
Tabel F.14 Pemetaan Tujuan dan Proses Teknologi
Informasi dari Perspektif Proses Bisnis/Internal Berdasarkan Survei
|
Tujuan Teknologi Informasi
|
Proses Teknologi Informasi
|
|
2.
|
Respon terhadap
kebutuhan tata kelola yang sesuai dengan arahan direksi.
|
PO1
|
PO4
|
PO10
|
ME1
|
ME3
|
|
6.
|
Pendefinisian
bagaimana kebutuhan fungsional bisnis dan kontrol diterjemahkan dalam solusi
otomatis yang efektif dan efisien.
|
AI1
|
AI2
|
AI6
|
|
|
|
26.
|
Pemeliharaan
terhadap integritas informasi dan pemrosesan infrastruktur.
|
AI6
|
DS5
|
|
|
|
|
27.
|
Kepastian bahwa
teknologi informasi selaras degan regulasi dan hukum yang berlaku.
|
DS11
|
ME2
|
ME3
|
ME4
|
|
Sumber: Tabel F.13, diolah
