Upload
lammien
View
216
Download
2
Embed Size (px)
Citation preview
BAB II
TINJAUAN PUSTAKA
II.1. Model
Model adalah penyederhanaan (abstraction) dari sebuah bentuk. Model mewakili
sejumlah objek atau aktivitas, yang disebut entitas (entity). Para manajemen
menggunakan model untuk mewakili permasalahan yang akan dipecahkan. Objek
atau aktivitas yang menyebabkan permasalahan adalah entitas.
II.1.1. Pengertian Model Secara Umum
Model diartikan sebagai kerangka konseptual yang digunakan sebagai pedoman
dalam melakukan suatu aktivitas tertentu. Dalam pengertian lain, model diartikan
sebagai barang tiruan, metafora, atau kiasan yang dirumuskan secara eksplisit yang
mengandung sejumlah unsur yang saling tergantung. Sebagai metafora, model tidak
pernah dipandang sebagai bagian dari data yang diwakili. Ia menjelaskan fenomena
dalam bentuk yang tidak seperti biasanya dirasakan. Setiap model diperlukan untuk
menjelaskan sesuatu yang lebih atau berbeda dari data. Pendapat Ackoff [11]
bahwa model dirancang sebagai pengggambaran operasi dari suatu sistem nyata
secara ideal guna menjelaskan atau menunjukkan hubungan-hubungan penting yang
terkait.
Didalam model ada istilah simulasi, validasi, error (kesalahan). Simulasi adalah
mencoba-coba berbagai alternative, untuk melihat perubahan dan hasil yang
terbentuk. Misalnya kita tidak menyukai letak pintu di depan, maka kita bisa
mencobanya disamping kiri, disamping kanan, dan seterusnya. Bisa dibayangkan
jika coba-coba tersebut dilakukan pada bangunan sesungguhnya (bukan model),
betapa repot dan mahalnya coba-coba itu. Kegiatan membandingkan model dengan
yang asli dikenal dengan validasi. Besarnya perbedaan perbandingan disebut
dengan error (kesalahan). Kegiatan validasi bertujuan agar error (kesalahan) dapat
seminimal mungkin.
Bagaimanapun seorang pemodel akan terkait dengan model kualitas, setidak-
tidaknya pada beberapa langkah perancangan model. Model kualitatif yaitu
deskripsi abstrak dari pengetahuan yang diekspresikan oleh ilmuan dengan semua
kompleksitasnya. Model kualitatif menggambarkan hubungan causal (sebab akibat)
antar variable-variabelnya. Hubungan antara variable ini menggunakan data
kualitatif yang berupa perubahan data, yaitu naik, turun atau konstan.
Model kualitatif didasarkan pada ikhtisar data, dalam persoalan ini didasarkan
dalam percobaan dan uraian. Umumnya model kualitatif didasarkan pada cerita,
sering dalam bentuk teks atau kalimat. Dalam dunia bisnis, model kualitatif
dibangun dari hasil yang difokuskan pada pengelompokan data. Sebagai contoh
suatu pendiskripsian persoalan manajemen dipaparkan dengan menggunakan data
kualitatif. Situasi persoalan ini akan dimaknai dengan uraian kata-kata oleh
pemodel. Hal itu disajikan dalam bentuk cerita, tekstual, dan diagramatik. Pemodel
harus memulai membangun dan menstrukturkan model dari situasi bisnis atau
persoalan. Setiap pemodel umumnya harus bekerja dengan model kualitatif.
Jadi model kualitatif menggambarkan uraian, pemodelan struktur bisnis dan
mendokumentasikan model user secara luas dan kompleks. Hal itu berdasarkan
pada pengalaman kualitatif yang menyoroti pemanfaatan objek dan hubungannya
dengan tujuan komunikasi dan cara mendokumentasikan model user.
Model kualitatif dibangun dari batasan data yang luas mencakup image dan film,
suara dan kalimat, dan cerita dan dialog, sedangkan yang banyak digunakan oleh
pemodel adalah teks yang bersifat elementer dengan menggunakan teknik-teknik
pemeragaan antara lain teori, persandian dan teknik jaringan kerja yang
menggunakan ilmu sosial.
II.1.2. Proses Perancangan Model
Tahap pengembangan suatu model [11] adalah :
1. Definisi masalah, dalam tahap ini masalah yang sulit didefinisikan dan diurai
menjadi unsur-unsur pembentuk masalah. Didefinisikan juga sistem dan faktor
eksternal (di luar sistem). Dicari komponen masalah yang paling penting dan
signifikan dalam pemecahan masalah. Dicari pula komponen masalah yang bisa
dijadikan titik acuan awal pemecahan masalah.
2. Strukturisasi model konseptual, pada tahap ini diuraikan hubungan antara
komponen penyusun masalah, sistem dan tujuan studi.
3. Formulasi model, yaitu proses merumuskan perilaku model, dan hubungan
antar variable. Interaksi antar variable yang kompleks sering disederhanakan
dengan menggunakan asumsi yang tepat.
4. Kalibrasi model yaitu menyesuaikan parameter-parameter dalam model sesuai
dengan kondisi nyata di lapangan.
5. Validasi model yaitu tahap pengujian perilaku model dengan mengubah-ubah
nilai variable model.
6. Uji sensitifitas yaitu tahap pengujian perilaku model dengan mengubah-ubah
nilai variable model.
7. Analisis dan solusi model. Model akan menghasilkan alternative solusi sesuai
dengan skenario yang kita buat. Hasil model yang dirasa kurang tepat, perlu
dijalankan ulang (biasanya menggunakan komputer), sampai tercapai solusi
yang memuaskan. Proses ini dikenal dengan simulasi model.
8. Implementasi model. Agar model dapat diterapkan dengan baik, maka pihak
perancang model dan pengguna model (misalnya para pengambil keputusan)
perlu bekerja sama sejak awal. Perancang model akan membuat model
sedinamis dan semudah mungkin operasionalnya (user friendly), dan pengguna
model akan meberi masukan-masukan sesuai dengan kebutuhan pengguna.
II.2. Sistem Informasi
II.2.1. Definisi Sistem Informasi
Sistem informasi dapat didefinisikan sebagai kumpulan elemen yang saling
berhubungan satu sama lain yang membentuk satu kesatuan untuk
mengintegrasikan data, memproses dan menyimpan serta mendistribusikan
informasi. Dengan kata lain, SI merupakan kesatuan elemen–elemen yang saling
berinteraksi secara sistematis dan teratur untuk menciptakan dan membentuk aliran
informasi yang akan mendukung pembuatan keputusan dan melakukan kontrol
terhadap jalannya organisasi / perusahaan.
Dalam era informasi saat ini, perkembangan sistem informasi dengan
memanfaatkan Teknologi Informasi (TI) telah berkembang sangat pesat. Peranan
sistem informasi saat ini menjadi urat nadi organisasi modern dalam mengelola
informasi sehingga dapat menjadi salah satu keunggulan bisnis.
Apabila ditinjau dari level pemakai dari sisi kepentingan organisasi, maka sistem
informasi dapat dikelompokkan ke dalam 3 tipe, yaitu [3]:
1) Sistem Informasi Personal
2) Sistem Informasi Kelompok (Workgroup IS)
3) Sistem Informasi Perusahaan (Enterprise IS)
Karakter dari masing-masing Sistem Informasi tersebut dapat dilihat pada tabel II.1
adalah sebagai berikut :
Tabel II.1.: Karakteristik dari Sistem Informasi [3]
Tipe Jumlah
Pemakai Perspektif Peran
Personal 1 Individual Pemakai akhir, Operator, Pembangun
Workgroup Beberapa, umumnya <25
Departemen, pemakai mempunyai perspektif sama
Pemakai akhir, Operator, Pembangun
Profesional
Enterprise Banyak,
seringkali ratusan
Organisasi, pemakai dengan berbagai perspektif
Pemakai akhir, Operator, Pembangun
Profesional
Data secara konseptual adalah deskripsi tentang benda, kejadian, aktivitas dan
transaksi yang tidak mempunyai makna. Informasi adalah sebagai data yang telah
diproses sehingga meniambah pengetahuan pemakai. Pengetahuan (knowledge)
adalah kombinasi dari naluri, gagasan, aturan dan prosedur yang mengarahkan pada
tindakan. Hubungan data, informasi dan pengetahuan dapat dipetakan pada gambar
II.1.[8] :
Gambar II.1 Hubungan data, informasi dan pengetahuan
Gambar II.1 menunjukkan bahwa data disusun, dipilih dan diringkas oleh sistem
menjadi suatu informasi. Proses tersebut dilakukan berdasarkan suatu pengetahuan
tentang cara melakukannya. Selanjutnya informasi diterjemahkan, diputuskan, dan
dilaksanakan menjadi suatu hasil yang diproses berdasarkan pengetahuan. Hasil
diakumulasikan sebagai pengetahuan yang kemudian digunakan untuk melakukan
pemrosesan data dan informasi.
Turban mendefinisikan bahwa sistem informasi adalah sebuah sistem informasi
mengumpulkan, memproses, menyimpan, menganalisa dan menyebarkan informasi
untuk tujuan yang spesifik [8]. Turban mencerminkan bahwa teknologi informasi
untuk menyebarkan sekumpulan sistem informasi, pemakai dan manajemen.
Dengan maksud bahwa sistem informasi adalah suatu sistem buatan manusia yang
secara umum terdiri atas sekumpulan komponen berbasis komputer dan atau
manual dengan tujuan untuk menghimpun, menyimpan, dan mengelola data serta
menyediakan informasi output yang dibituhkan oleh user.
II.2.2. Pengertian Teknologi Informasi
Menurut Alter [8], teknologi informasi mencakup perangkat keras dan perangkat
lunak untuk melaksanakan satu atau sejumlah tugas pemrosesan data seperti
menangkap, mentransmisikan, menyimpan, mengambil, memanipulasi atau
menampilkan data. Menurut Lucas [8], teknologi infromasi adalah segala bentuk
teknologi yang diterapkan untuk memproses dan mengirimkan informasi dalam
bentuk elektronis.
Teknologi ini menggunakan seperangkat komputer untuk mengolah data, sistem
jaringan untuk menghubungkan satu komputer dengan komputer lainnya sesuai
dengan kebutuhan, dan teknologi telekomunikasi digunakan agar data disebar dan
diakses secara global, dapat dilihat pada gambar II.2.
Aplikasi
Computer (Hardware)
System Software
Infrastructure (Telecomunication)
Technology Process People
Gambar II.2 Arsitektur Teknologi Informasi [8]
Perkembangan teknologi informasi memacu suatu cara baru kehidupan, dari
kehidupan dimulai sampai dengan berakhir, kehidupan seperti ini dikenal dengan
e-life, artinya kehidupan ini sudah dipengaruhi oleh berbagai kebutuhan secara
elektronik. Dan sekarang ini sedang semarak dengan berbagai huruf yang dimulai
dengan awalan e seperti e-commerce, e-government, e-education, e-library, e-
journal, e-medicine, e-laboratory, e-biodiversity, dan yang lainnya lagi yang
berbasis elektronika.
II.2.3. Pengaruh Teknologi Informasi pada Proses Audit
Perkembangan teknologi informasi semakin pesat, demikian pula peranannya
semakin menentukan dalam mendukung semua kegiatan bisnis. Macam dan jenis
teknologi informasi sangat beragam mulai untuk kepentingan pribadi, sampai untuk
mendukung kegiatan perusahaan yang sangat besar dan tersebar keseluruh dunia
guna meningkatkan keunggulan berkompetisi. Teknologi informasi dapat
meningkatkan kinerja perusahaan dan menembus berbagai faktor yang menghambat
perusahaan dalam menghasilkan kinerja secara optimum. Teknologi informasi
mempunyai kemampuan untuk memberdayakan personel perusahaan dapat
merespon tuntutan customer secara tepat waktu dan akurat.
Pemanfaatan teknologi informasi merupakan bagian pertimbangan dari
pengendalian internal selama proses audit. Peningkatan pengendalian internal yang
dihasilkan dari teknologi informasi yang terintegrasi dapat meliputi [2]:
1) Pengendalian komputer menggantikan pengendalian manual.
Penggantian prosedur manual dengan pengendalian terprogram yang
menggunakan pengecekan dan keseimbangan untuk setiap transaksi yang
diproses dapat mengurangi kesalahan manusia yang terjadi dalam lingkungan
manual.
2) Tersedia informasi yang berkualitas tinggi.
Keandalan informasi yang dihasilkan oleh teknologi informasi, membuat
manajemen menggunakan untuk meningkatkan keputusan manajemen.
II.2.4. Penilaian Resiko Teknologi Informasi
Meskipun Teknologi informasi dapat meningkatkan pengendalian internal dan
mempengaruhi resiko pengendalian perusahaan keseluruhan, namun banyak resiko
yang berhubungan dengan sistem manual dikurangi dan dihilangkan.
Beberapa resiko dalam lingkungan teknologi informasi [2] :
1) Mengendalikan kemampuan fungsi hardware dan software
2) Visibility of audit trail
3) Mengurangi keterlibatan manusia
4) Kesalahan sistematik versus acak
5) Akses yang tidak berhak
6) Kehilangan data
7) Mengurangi pemisahan tugas
8) Kurangnya otoritras tradisional
9) Kebutuhan pengalaman teknologi informasi
Untuk menentukan resiko yang berhubungan dengan ketergantungan pada
teknologi informasi, organisasi mengimplementasikan pengendalian pada sistem
teknologi informasi, yaitu pengendalian umum dan pengendalian aplikasi.
Pengendalian umum berhubungan dengan seluruh aspek fungsi teknologi informasi
yang mencakup administrasi; pengadaan dan pemeliharaan perangkat lunak;
keamanan fisik dan akses langsung pada perangkat keras, perangkat lunak data;
perencanaan back-up untuk menghadapi kejadian yang tidak diharapkan; dan
pengendalian perangkat keras.
Pengendalian aplikasi dilakukan pada pemrosesan transaksi individual, seperti
pengendalian pada pemrosesan penjualan atau penerimaan kas.
II.3. Audit dengan Teknologi Informasi
II.3.1. Definisi Audit Sistem Informasi
Ron Weber mengemukakan bahwa audit sistem informasi adalah [13] :
“Information system auditing is the process of collecting and evaluating evidence to
determine whether a computer system safeguards assets, maintains data integrity,
allow organizational goals to be achieved effectively, and uses resources
efficiently”.
(Audit sistem informasi adalah proses pengumpulan dan penilaian bukti-bukti
untuk menentukan apakah ‘sistem komputer’ dapat mengamankan aset, memelihara
integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan
menggunakan sumberdaya secara efisien)
Berdasarkan definisi audit sistem informasi tersebut maka dapat disimpulkan
bahwa sekurang-kurangnya terdapat 4 (empat) tujuan audit sistem informasi, yaitu :
(1) mengamankan asset, (2) menjaga integritas data, (3) menjaga efektivitas sistem,
dan (4) mencapai efisiensi sumberdaya.
Mengamankan aset, aset (aktiva) yang berhubungan dengan instalasi sistem
informasi mencakup : perangkat keras (hardware), perangkat lunak (software),
manusia (people), file data, dokumentasi sitem, dan peralatan pendukung lainnya.
Biasanya audit efektivitas sistem dilakukan setelah suatu sistem berjalan beberapa
waktu. Manajemen dapat meminta auditor untuk melakukan post audit guna
menentukan sejauh mana sistem telah mencapai tujuan yang telah ditetapkan.
Evaluasi ini akan memberikan masukan bagi pengambil keputusan apakah kinerja
sistem layak dipertahankan; harus ditingkatkan atau perlu dimodifikasi; atau sistem
sudah usang , sehingga harus ditinggalkan dan dicari penggantinya.
II.3.2. Pendekatan Audit Sistem Informasi
Pendekatan audit sistem informasi terdiri dari dua penekanan yang berbeda yaitu :
1. Pendekatan temuan (Exposures Approach), fokus utama ditekankan pada jenis
kesalahan (losses) yang terjadi dalam suatu sistem informasi. Setelah itu
ditentukan kendali (controls) yang dapat digunakan untuk mengurangi kesalahan
tersebut sampai pada batas yang dapat diterima (acceptable levels).
2. Pendekatan kendali (Control Approach), fokus utamanya adalah kendali-
kendali di dalam suatu sistem informasi yang dapat digunakan untuk
mengurangi kesalahan sampai pada level yang dapat diterima (acceptable
levels).
Pesatnya perkembangan dunia komputer, diikuti dengan peningkatan pengetahuan
auditor, ternyata mengundang dua perlakuan berbeda terhadap komputer, yaitu :
1) Komputer dipergunakan sebagai alat bantu auditor dalam melaksanakan
audit, misalnya untuk mengambil contoh transaksi memproses data akuntansi,
mencetak surat konfirmasi piutang dan sebagainya.
2) Komputer dijadikan sebagai target audit, karena data di-entry ke
komputer dan hasilnya dianalisa untuk menilai kehandalan pemrosesan dan
keakuratan program komputer.
Dengan berjalannya evolusi tersebut, maka munculah pendekatan audit sistem
informasi yang dapat dikatagorikan ke dalam tiga kelompok, yaitu (a) auditing
around the computer, (b) auditing with the computer, dan (c) auditing throught the
computer.
a) Auditing around the computer, adalah mentrasir balik (trace-back) hasil olahan
komputer antara lain output ke bukti dasarnya antara lain input tanpa melihat
prosesnya.
b) Auditing with the computer, pendekatan ini menitik beratkan pada penggunaan
komputer sebagai alat bantu audit. Alat bantu audit ini berupa komputer dilengkapi
dengan software audit umum (generale audit software, biasa disingkat GAS).
Contoh GAS antara lain ACL (Audit Command Language), IDEA (Interactive Data
Extraction and Analysis) dan lain-lain.
c) Auditing throught the computer, auditor harus memperlakukan komputer
sebagai target audit dan melakukan audit throught atau memasuki area program.
Oleh sebab itu pendekatan Auditing throught the computer termasuk juga dalam
CAATs (Computer Assisted Audit Technique) yaitu Teknik Audit Berbantuan
Komputer (TABK)
Kebanyakan auditor mengevaluasi efektivitas pengendalian umum sebelum
mengevaluasi pengendalian aplikasi. Jika pengendalian umum yang baik telah
ditempatkan, ada kemungkinan peningkatan untuk mengandalkan lebih besar pada
pengendalian aplikasi. Oleh karena itu, auditor dapat menguji pengendalian aplikasi
tertentu untuk efektivitas operasi dan mengandalkan pada hasil untuk mengurangi
pengujian substantive. Penggunaan pengendalian umum dan aplikasi yang efektif
dapat menghasilkan efisiensi audit yang signifikan.
Pada perusahaan yang menggunakan teknologi informasi, pengendalian internal
sering dilekatkan pada aplikasi yang dapat terlihat hanya dalam bentuk elektronik.
Pada sistem tradisional dokumen besar seperti faktur, order pembelian, catatan
tagihan hanya dalam bentuk elektronik dan bukan dalam kertas, maka auditor harus
mengubah pendekatan pemeriksaan. Pendekatan ini disebut dengan Auditing
Through the Computer.
Ada 3 kategori strategi ketika Auditing Through the Computer, yaitu [2] :
1) Test Data Approach
Pendekatan pengujian data ini mencakup pemrosesan data yang diuji auditor
menggunakan sistem komputer dan program aplikasi klien untuk menentukan
apakah pengendalian yang dilakukan komputer telah benar memproses data yang
diuji. Auditor membandingkan keluaran yang dihasilkan sistem dari data yang
diuji untuk keluaran yang diharapkan untuk menilai efektivitas pengendalian
internal program aplikasi.
2) Paralell Simulation
Auditor menggunakan perangkat lunak yang dikendalikan untuk melakukan
operasi bersama-sama pada perangkat lunak klien dengan menggunakan file data
yang sama. Auditor membandingkan keluaran auditor dengan keluaran dan
perangkat lunak klien untuk menguji efektivitas perangkat lunak klien. Tidak
adanya perbedaan dalam keluaran menunjukkan perangkat lunak klien efektif,
sebaliknya perbedaan menunjukkan potensi kelemahan.
3) Embedded Audit Module Approach
Auditor memasukkan suatu modul dalam sistem aplikasi klien untuk menangkap
transaksi dengan karakteristik tertentu yang diinginkan, auditor dapat secara
berkelanjutan melakukan audit transaksi dengan mengidentifikiasi transaksi aktual
yang diproses klien.
II.3.3. Metode dan Model Audit Sistem Informasi
Audit adalah sebuah proses sistematik yang ditujukan untuk mengumpulkan dan
mengevaluasi bukti secara objektif tentang pertanyaan-pertanyaan yang
berhubungan dengan tindakan ekonomi maupun suatu kejadian, kemudian
menentukan derajat kesesuaian antara pernyataan tersebut dengan kriteria yang telah
ditetapkan, serta mengkomunikasikan hasilnya pada pihak yang berkepentingan.
Audit sistem informasi merupakan proses pengumpulan dan evaluasi fakta / bukti
untuk menentukan apakah sistem informasi telah melindungi asset, menjaga
integritas data, dan memungkinkan sasaran organisasi tercapai secara efektif dengan
menggunakan sumber daya secara efisien [2].
Improvedsafeguarding
of assets
ORGANIZATION
INFORMATIONSYSTEM
AUDITING
Improveddata
integrity
Improvedsystem
effectiveness
Improvedsystem
efficiency
Gambar II.3 Dampak Audit Sistem Informasi berfungsi pada Organisasi [2]
Gambar II.3. menunjukkan bahwa konsep mengaudit sistem informasi merupakan
suatu kekuatan bagi organisasi yang memungkinkan organisasi tersebut untuk lebih
baik dalam mencapai empat sasaran utamanya, yaitu : melindungi asset, integritas
data, efektivitas dan efisiensi sistem [2].
II.3.4. Metode Audit Sistem Informasi
Dalam proses audit sistem informasi, dapat dilakukan dengan langkah-langkah
berikut ini [4] :
Langkah 1 : Mendapatkan Pemahaman
1. Mendokumentasikan aktivitas yang mendasari control objective demikian
juga untuk mengidentifikasikan stated control measure / procedure yang
berlaku.
2. Melakukan wawancara dengan manajemen dan staf untuk mendapatkan
pemahaman tentang : kebutuhan bisnis dan resikonya, struktur organisasi,
peran dan tanggung jawab, kebijakan dan prosedur, hukum dan peraturan,
control measure yang berlaku, laporan manajemen (status, kinerja,
tindakan).
3. Mendokumentasikan proses yang berhubungan dengan sumber daya TI
terutama yang dipengaruhi oleh proses direview. Konfirmasikan pemahaman
dari proses yang direview, Key Performance Indicator dari proses, implikasi
kendali, misalnya melalui proses walkthrough.
Langkah 2 : Evaluasi Kendali
1. Menilai keefektifan control measure yang berlaku atau tingkat pencapaian
control objective.
2. Mengevaluasi kesesuaian control measure dari proses yang direview dengan
mempertimbangkan kriteria yang diidentifikasikan dan praktik standar
industri, Critical Success Factor dan control measure dan mengaplikasikan
keputusan profesional audit.
3. Melakukan proses dokumentasi, deliverable yang sesuai dihasilkan,
tanggung jawab dan akuntabilitas yang jelas dan efektif, adanya
pengendalian kompensasi (compensating control) sebagaimana mestinya.
4. Simpulkan kesesuaian tingkat control objective.
Langkah 3 : Menilai Kepatuhan
1. Menjamin control measure yang ditetapkan, berjalan sebagaimana mestinya,
secara konsisten dan berkelanjutan, serta menyimpulkan kesesuaian control
environment.
2. Mendapatkan bukti langsung dan tidak langsung untuk item / periode yang
dipilih untuk menjamin bahwa prosedur telah dipatuhi untuk periode yang
direview menggunakan bukti langsung dan tidak langsung.
3. Melakukan review terbatas tentang kecukupan proses deliverable.
4. Menentukan tingkat pengujian substatif dan kerja tambahan yang dibutuhkan
untuk menyediakan jaminan bahwa proses IT adalah cukup.
Langkah 4 : Penilaian Resiko
1. Memperkirakan resiko dari control objective yang tidak dipenuhi, dengan
menggunakan teknik analitik dan / atau mengkonsultasikan sumber-sumber
alternative. Tujuannya adalah untuk mendukung opini dan membuat
manajemen untuk melakukan tindakan.
2. Mendokumentasikan kelemahan kendali, serta ancaman dan kerawanan yang
dihasilkannya.
3. Mengidentifikasikan dan mendokumentasikan dampak yang potensial
maupun aktual.
4. Menyediakan informasi komparatif, misalnya melalui benchmark.
Penjelasan langkah-langkah dalam audit sistem informasi pada Gambar II.4. adalah
sebagai berikut [4]:
L a n g k a h 2E v a l u a s i K e n d a l i
L a n g k a h 1M e n d a p a tk a n P e m a h a m a n
L a n g k a h 3M e n i l a i K e p a tu h a n
L a n g k a h 4P e n i l a i a n R e s ik o
Gambar II.4. Langkah-langkah Audit Sistem Informasi [4]
II.4. COBIT
II.4.1. Sejarah COBIT
COBIT merupakan singkatan dari Control Objectives for Information and Related
Technology, dipublikasikan oleh Information Systems Audit and Control Foundation
di tahun 1996 dan diupdate pada tahun 1998 dan 2000. COBIT berisi kerangka kerja
pengendalian internal yang secara spesifik berkaitan dengan teknologi informasi.
Misi dari COBIT adalah melakukan penelitian, mengembangkan, mempublikasikan,
dan mempromosikan sebuah kumpulan pengendalian terhadap teknologi informasi
yang otoritatif, terbaru, dan diterima secara internasional untuk kebutuhan manajer
bisnis dan auditor.
COBIT berisi perangkat evaluasi IT yang menyeluruh tentang hampir semua standar
utama yang pada umumnya diterima di seluruh dunia tentang kendali dan IT. Dalam
perkembangannya COBIT mengambil standar dari International Organization for
Standarization (ISO); Electronic Data Interchange for Administration, Commerce,
and Trade (EDIFACT); Council of Europe; Organization for Economic
Cooperation and Development (OECD); ISACA; Information Technology Security
Evaluation Criteria (ITSEC); Trusted Computer Security Evaluation Criteria
(TCSEC); COSO; United States General Accounting Office (GAO); International
Federation of Accountants (IFAC); IIA; American Institute of Certified Public
Accountants (AICPA); CICA; European Security Forum (ESF); Infosec Business
Advisory Group (IBAG); National Institute of Standars and Technology (NIST); dan
the Department of Trade and Industry (DTI) of the United Kingdom.
II.4.2. Pengertian COBIT
COBIT dapat diartikan sebagai tujuan pengendalian untuk informasi dan teknologi
terkait dan merupakan standar terbuka untuk pengendalian terhadap teknologi
informasi yang dikembangkan dan dipromosikan oleh IT Governance Institute.
COBIT pertama sekali diperkenalkan pada tahun 1996 adalah merupakan alat (tool)
yang disiapkan untuk mengatur teknologi informasi (IT Governance tool). COBIT
di terbitkan oleh IT Governance Institute. COBIT dengan komponen pedoman
manajemen yang berisi respon kerangka kerja untuk pengukuran dan pengendalian
teknologi informasi dengan menyediakan alat-alat untuk menilai dan mengukur
kemampuan teknologi informasi perusahaan dengan menggunakan 34 proses TI
COBIT. Alat-alat tersebut yaitu [6]:
1. Elemen pengukuran kinerja (pengukuran hasil dan kinerja yang
mengarahkan bagi seluruh proses TI)
2. Daftar faktor kritis kesuksesan (CSF) yang disediakan secara ringkas praktek
terbaik non teknis dari tiap proses TI
3. Model Maturity untuk membantu dalam benchmarking dan pengambilan
keputusan bagi peningkatan kemampuan.
COBIT terdiri atas enam volume: Executive Summary, Framework, Control
Objectives, Audit Guidelines, Management Guidelines, dan Implementation Tool
Set. Paket COBIT juga muncul dalam bentuk diskete dan CDROM yang berisi slide
powerpoint di dalam Implementation Tool Set .
II.4.3. Kerangka Kerja COBIT
Di dalam kerangka kerja COBIT (seperti pada gambar II.5.), terdapat tujuh
persyaratan informasi bisnis, atau kriteria: effectiveness, efficiency, confidentiality,
integrity, availability, compliance, dan reliability. COBIT kemudian
menspesifikasikan sumber daya IT yang harus disediakan untuk memberikan
kebutuhan bisnis oleh proses bisnis, yaitu: people, application systems,
technology,facilities, dan data.
COBIT mengelompokan aktivitas individual di dalam lingkungan IT kedalam 34
proses dan kemudian mengelompokan proses tersebut menjadi 4 domain. Keempat
domain tersebut adalah: Planning and Organization (11 proses), Acquisition and
Implementation (6 proses), Delivery and Support (13 proses), dan Monitoring (4
proses). Pada edisi ketiga, COBIT melakukan cross reference dari setiap 34 proses
ke dalam 318 kendali objektif (perhatikan gambar II.5 dan Tabel II.2).
Gambar II.5. COBIT Framework [6] COBIT kemudian mengidentifikasikan aplikasi dan beserta tingkatannya (primary
atau secondary) dari tujuh kriteria informasi untuk setiap 34 proses IT. COBIT
memetakan lima sumber daya IT yang dapat diaplikasikan untuk tiap proses IT.
COBIT memberikan sebuah template audit guideline untuk membantu proses
evaluasi dan pengujian dari kendali objektif. Pendekatan umum tersebut adalah:
mendapatkan (obtain) pemahaman tentang proses, evaluasi (evaluate) kendali,
menilai (assess) kepatuhan, dan memperkirakan (substantiate) risiko dari kendali
objektif yang tidak terpenuhi. Template diaplikasikan untuk tiap 34 proses, dengan
detail audit guideline yang spesifik untuk setiap proses.
Berikut ini dijelaskan 4 domain dari COBIT adalah sebagai berikut :
1) Planning & Organisasion (PO), mencakup masalah strategi, taktik, dan
identifikasi cara terbaik TI untuk memberikan kontribusi maksimal terhadap
pencapaian tujuan bisnis organisasi. Realisasi strategi perlu direncanakan,
dikomunikasikan dan dikelola dengan berbagai sudut pandang yang berbeda.
Implementasi strategi harus disertai infrastruktur yang memadai dan dapat
mendukung kegiatan bisnis organisasi.
2) Acquisition & Implementation (AI), realisasi strategi yang telah ditetapkan
harus disertai solusi-solusi TI yang sesuai, kemudian solusi TI tersebut
diadakan diimplementasikan dan diintegrasikan ke dalam proses bisnis
organisasi. Domain ini juga meliputi perubahan dan perawatan yang
dibutuhkan sistem yang sedang berjalan, untuk memastikan daur hidup sistem
tersebut tetap terjaga.
3) Delivery & Support (DS), mencakup proses pemenuhan layanan TI, keamanan
sistem, kontinuitas layanan, pelatihan dan pendidikan untuk pengguna, dan
pemrosesan data yang sedang berjalan.
4) Monitoring (M), untuk menjaga kualitas dan ketaatan terhadap kendali yang
diterapkan, seluruh proses IT harus diawasi dan dinilai kelayakannya secara
regular. Domain ini berfokus pada masalah kendali-kendali yang diterapkan
dalam organisasi, pemeriksaan intern dan ekstern (internal & external audit)
dan jaminan independent dari proses pemeriksaan yang dilakukan.
Tabel II.2. Tiga puluh empat proses COBIT [6]
PLANNING AND ORGANISATION (PO)
1. PO1-Menetapkan Rencana StrategisTeknologi Informasi (Define a Strategic IT Plan)
2. PO2-Menetapkan Arsitektur Informasi (define the Informastion Architecture) 3. PO3-Menetapkan Arah Teknologi (Determine Technological Direction) 4. PO4-Menetapkan Organisasi IT dan Hubungannya (Define the IT Organisation
and Relationships) 5. PO5-Mengatur InvestasiIT (Manage the IT Investment) 6. PO6-Mengkomunikasikan Tujuan dan Arahan Manajemen (Communicate
Management Aims and Direction) 7. PO7-Mengelola Sumberdaya Manusia (Manage Human Resources) 8. PO8-Memastikan Kesesuaian dengan kebutuhan-kebutuhan eksternal (Ensure
Compliance with External Requirements) 9. PO9-Menilai Resiko (Assess Risks) 10. PO10-Mengatur Peoyek (Manage Projects) 11. PO11-Mengatur Kualitas (Manage Quality) ACQUISITION AND IMPLEMENTATION (AI) 12. AI1-Identifikasi solusi-solusi otomatisasi (Identify Automated Solutions) 13. AI2-Memperoleh dan memlihara perangkat lunak aplikasi (Acquire and Maintain
Application Software) 14. AI3-Memperoleh dan memelihara infrastruktur Teknologi (Acquire and Maintain
Technology Infrastructure) 15. AI4-Mengembangkan dan memelihara prosedur (Develop and Maintain Procedures) 16. AI5-Instalasi dan pengakuan sistem (Install and Accredit Systems) 17. AI6-Mengatur Perubahan (Manage Changes) DELIVERY AND SUPPORT (DS) 18. DS1-Menetapkan dan mengatur tingkat pelayanan (Define & Manage Service Levels) 19. DS2-Mengelola layanan pihak ke tiga (Manage Third-Party Services) 20. DS3-Mengelola kapasistas dan kinerja (Manage performance & Capacity) 21. DS4-Menjamin layanan berkelanjutan (Ensure Continuous service) 22. DS5-Menjamin keamanan sistem (Ensure System Security) 23. DS6-Mengidentifikasikan dan mengalokasikan biaya (Identify & Allocate Cost) 24. DS7-Mendidik dan melatih user (Educate & Train Users) 25. DS8-Membantu dan memberikan masukan kepada pelanggan (Assist and Advise
Customers) 26. DS9-Mengelola konfigurasi (Manage the Configuration) 27. DS10-Mengelola kegiatan dan permasalahan (Manage problems and Incidents) 28. DS11-Mengelola Data (Manage Data) 29. DS12-Mengelola Fasilitas (Manage Facility) 30. DS13-Mengelola Operasi (Manage Operations) MONITORING 31. M1-Mengawasi proses (Monitor the Processes) 32. M2-Menilai kecukupan pengendalian internal (Assess Internal Control Adequacy) 33. M3-Memperoleh jaminan Independen (Obtain Independent Assurance) 34. M4-Menyediakan Audit Independen (Provide for Independent Audit)
Tesis ini akan secara lebih detail memperhatikan proses IT di dalam Sistem
Informasi pada bagian data & IT Support di PT. Telekomunikasi Indonesia, Tbk
R&D Center untuk domain yang ke tiga, yaitu: Delivery & Support
Domain ini berhubungan dengan pelayanan yang perlu diberikan, mulai dari operasi
tradisional terhadap keamanan dan aspek kesinambungan, sampai pelatihan. Proses
pendukung yang semestinya harus terlebih dahulu ditetapkan untuk dapat
memberikan pelayanan. Domain ini melibatkan pemrosesan data yang sebenarnya
menggunakan sistem aplikasi yang diklasifikan ke dalam kendali aplikasi.
COBIT menetapkan informasi yang baik dan dibutuhkan oleh bisnis dalam
perusahaan haruslah informasi yang mengandung kriteria-kriteria berikut dan ada
pada gambar II.6 [5] :
1. Efektivitas
Informasi yang relevan terhadap proses bisnis, misal : informasi dikirimkan
dengan cara tepat waktu, benar, dapat dipakai dan konsisten.
2. Efisiensi
Berhubungan dengan informasi yang optimal terhadap penggunaan sumber daya.
3. Kerahasiaan
Berhubungan dengan perlindungan terhadap informasi yang sensitip dari
penyalahgunaan.
4. Integritas
Berhubungan dengan kelengkapan dan ketelitian informasi seperti halnya
kebenaran terhadap satuan nilai-nilai bisnis.
5. Ketersediaan
Berhubungan dengan informasi yang tersedia ketika diperlukan oleh proses
bisnis, dan ada berhubungan dengan perlindungan sumber daya.
6. Pemenuhan
Berhubungan dengan pengaturan yang sesuai bagi proses bisnis adalah pokok.
7. Keandalan Informasi
Berhubungan dengan sistem yang menyediakan informasi untuk manajemen yang
sesuai dengan pengoperasiannya, misalnya : pelaporan keuangan kepada para
pemakai informasi keuangan.
Gambar II.6. Sumberdaya dan Kriteria Proses TI [5]
COBIT mengelompokan sumber daya- sumber daya TI yang akan digunakan oleh
proses TI seperti berikut, serta dapat dilihat pada gambar II.6 [5] :
1) Data, seluruh jenis data, baik yang terstruktur atau tidak terstruktur dan dalam
berbagai bentuk (gambar, suara, dsb)
2) Sistem Aplikasi, prosedur yang ditetapkan dalam organisasi baik prosedur
manual atau prosedur terkomputerisasi (aplikasi komputer)
3) Teknologi, mencakup perangkat keras, sistem operasi, jaringan komputer
multimedia, dll.
4) Fasilitas seluruh sumber daya yang dimanfaatkan untuk menyimpan dan
mendukung sistem informasi.
5) Sumber daya manusia (SDM), mencakup kemampuan staf, dan berbagai pihak
yang terlibat dalam pengaturan, pengadaan, pemenuhan layanan, pengawasan
dan mendukung layanan dan sistem informasi.
Cara lain memandang hubungan sumberdaya TI untuk penyampaian layanan
digambarkan pada gambar.II.7.
Gambar II.7 Hubungan sumber TI untuk penyampaian layanan [5]
Kerangka kerja COBIT, terdiri dari tujuan pengendalian tingkat tinggi dan struktur
klasifikasi keseluruhan. Terdapat tiga tingkat (level) usaha pengaturan TI yang
menyangkut manajemen sumberdaya TI. Mulai dari bawah, yaitu kegiatan dan tugas
(activities and task) yang diperlukan untuk mencapai hasil yang dapat diukur.
Dalam aktivitas terdapat konsep siklus hidup yang didalamnya terdapat kebutuhan
pengendalian khusus.
Kemudian satu lapis di atasnya terdapat proses yang merupakan gabungan dari
kegiatan dan tugas (activities and task) dengan keuntungan atau perubahan
(pengendalian) alami. Pada tingkat yang lebih tinggi, proses biasanya
dikelompokkan bersama kedalam domain. Lihat gambar.II.8.
Gambar II.8. Tiga tingkat usaha pengaturan TI [5]
Selanjutnya, konsep kerangka kerja dapat dilihat dari tiga sudut pandang, yaitu :
(1) kriteria informasi (information criteria),
(2) sumberdaya TI (IT resource),
(3) proses TI (IT processes).
Ketiga sudut pandang tersebut digambar dalam kubus COBIT, lihat gambar II.9. :
Gambar II.9. Kubus COBIT [5]
Setiap proses IT COBIT akan dilakukan identifikasi Critical Success Factor (CSF)
yang akan digunakan sebagai batasan untuk menentukan kriteria pengukuran
kinerjanya. Kriteria pengukuran kinerja tersebut dilambangkan dengan indikator-
indikatornya, yaitu indikator sasaran (Key Goal Indicator – KGI) dan indikator
kinerja (Key Performance Indicator – KPI). Critical Success Factor dan indikator-
indikator yang berelasi ditentukan dari COBIT. Penentuan indikator sasaran dan
indikator kinerja dari sistem informasi dilakukan agar aktivitas-aktivitas terkendali
sehingga memberikan jaminan bahwa sasaran proses TI tersebut tercapai.
Dalam kerangka kerja ini maka peneliti hanya memfokuskan pada domain DS
(Delivery & Support) untuk sasaran pengelolaan sumber daya teknologi informasi,
dapat dilihat pada tabel II.3.
Tabel II.3. Delivery & Support dengan
Sumber Daya TI dan Sasaran Pengelolaan [5]
Sumber Daya TI Sasaran Pengelolaan
No Delivery & Support
SDM
A
plik
asi
Tekn
olog
i Fa
silit
as
Dat
a
Efek
tif
Efis
ien
Ker
ahas
iaan
Inte
grita
s
Ket
erse
diaa
n
Pem
enuh
an
Kep
erca
yaan
1 Menetapkan dan mengatur tingkat pelayanan
√ √ √ √ √ P P S S S S S
2 Mengelola layanan pihak ke tiga
√ √ √ √ √ P P S S S S S
3 Mengelola kapasitas dan kinerja √ √ √ P P S 4 Menjamin layanan
berkelanjutan √ √ √ √ √ P P
5 Menjamin keamanan sistem √ √ √ √ √ P P S S S 6 Mengidentifikasikan dan
mengalokasikan biaya √ √ √ √ √ P P
7 Mendidik dan melatih user √ P S 8 Membantu memberikan
masukan kepada pelanggan √ √ P P
9 Mengelola Konfigurasi √ √ √ P S S 10 Mengelola kegiatan dan
permasalahan √ √ √ √ √ P P S
11 Mengelola Data √ P P12 Mengelola Fasilitas √ P P 13 Mengelola Operasi √ √ √ √ P P S S
Keterangan :
P = Primary
S = Secondary COBIT memiliki indikator pengukuran pengelolaan teknologi informasi dalam
proses bisnis, yaitu :
CSF menetapkan masalah terpenting atau tindakan untuk manajemen mencapai
pengendalian proses TI. CSF harus mengatur orientasi pedoman implementasi dan
mengidentifikasikan hal terpenting yang dilakukan secara strategis, teknis,
organisasional atau prosedur.
KGI menetapkan ukuran yang mengarahkan manajemen setelah fakta apakah proses
TI telah mencapai kebutuhan bsinisnya, biasanya digambarkan atas kriteria
informasi : ketersediaan informasi diperlukan untuk mendukung kebutuhan bisnis,
ketiadaan atau kekurangan integritas dan resiko kerahasiaan, efisiensi biaya proses
dan operasi, konfirmasi reliabilitas, efektivitas dan pemenuhan.
KPI menetapkan ukuran untuk menentukan bagaimana proses TI dilaksanakan
dengan baik yang memungkinkan tujuan tersebut dicapai. Lihat gambar II.10.
ProsesInput OutCome
CSF
KPI KGI
Gambar II.10. Model KGI’s, KPI’s, dan CSF [5]
II.4.2.4. Evolusi Produk COBIT
COBIT akan terus berkembang dan akan dijadikan dasar penelitian lebih lanjut.
Kelompok (keluarga) produk COBIT akan diciptakan dan tugas-tugasnya serta
kegiatan teknologi informasinya yang menjalankan struktur untuk melaksanakan
tujuan pengendalian lebih lanjut akan diperbaiki dan keseimbangan antara domain
dan proses ditinjau dari sudut susunan perubahan industri, dan dipetakan pada
gambar II. 11. [7]
RINGKASAN EKSEKUTIF
KUMPULAN ALAT IMPLEMENTASI
KERANGKA KERJA(dengan tujuan pengendalian tingkat tinggi)
PEDOMANMANAJEMEN
TUJUANPENGENDALIAN RINCI PEDOMAN AUDIT
Tinjauan Eksekutif
Studi Kasus
FAQs
Presentasi Powerpoint
Pedoman Implementasi
Diagnostik Kepedulian Manajemen
Diagnostik Pengendalian TI
Model Maturity CSF KGI KPI
Gambar II.11. Produk keluarga COBIT [7]
II.4.2.5. Lingkungan Bisnis
Di era kompetisi global seperti sekarang ini, organisasi harus melakukan
restrukturisasi terhadap kegiatan operasionalnya dan menggunakan keunggulan TI
untuk meningkatkan posisi daya saing organisasi.
Business, re-engineering, right-sizing, outsourcing, empowerment, flattened
organization, dan distributed processing merupakan semua perubahan yang
mempengaruhi cara bisnis dan operasional perusahaan. Perubahan ini akan terus
terjadi dan akan berimplikasi besar terhadap manajemen dan struktur pengendalian
operasional dalam organisasi.
Penekanan dalam mencapai keuntungan yang kompetitif dan efisiensi biaya,
termasuk kepercayaan yang meningkat pada teknologi meruapakan komponen besar
dalam strategi kebanyakan organsiasi. Fungsi organisasi yang otomatis, secara
alamiah merupakan penggabungan ketentuan mekanisme pengendalian yang lebih
kuat kedalam komputer dan jaringan, berbasis hardware dan software.
II.4.2.6. Perusahaan dan IT Governance
IT Governance menyediakan suatu struktur yang berhubungan dengan proses TI,
sumberdaya TI dan informasi untuk strategi dan tujuan perusahaan. Cara
mengintegrasikan IT Governance dan optimalisasi perusahaan yaitu melalui
perencanaan dan pengorganisasian (PO), pengadaan dan implementasi (AI),
penyampaian dan dukungan (DS), dan pengawasan (M) kinerja TI.
Pengaturan perusahaan (enterprise governance) dan sistem oleh entitas diarahkan
dan dikendalikan, melalui kumpulan dan arahan IT Governance. Pada saat yang
sama, TI dapat menyediakan masukan kritis, dan merupakan komponen penting bagi
perencanaan strategis. Pada kenyataannya TI dapat mempengaruhi peluang strategis
yang ditetapkan oleh perusahaan. Lihat gambar II.12.
Kumpulandan Arahan
PengaturanPerusahaan
IT Governance
Gambar II.12. Pengaruh IT Governance terhadap perusahaan [7]
Aktivitas perusahaan membutuhkan informasi dari aktivitas TI dengan maksud
untuk mempertemukan tujuan bisnis. Jaminan kesuksesan organisasi diakibatkan
oleh adanya saling ketergantungan antara perencanaan strategis dan aktivitas TI
lainnya. Kegiatan perusahaan perlu informasi dari kegiatan TI agar dapat
mengintegrasikan tujuan bisnis. Lihat gambar II.13.
MembutuhkanInformasi dari
AktivitasPerusahaan
Aktivitas TI
Gambar II.13. Aktivitas Perusahaan memerlukan Aktivitas TI [7]
Siklus pengaturan perusahaan dapat dijelaskan sebagai berikut : pengaturan
perusahaan ditentukan oleh praktek terbaik yang secara umum dapat diterima untuk
menjamin perusahaan mencapai tujuannya, melalui pengendalian tertentu. Dari
tujuan-tujuan ini mengalir arahan organisasi, yang mengatur kegiatan atau aktivitas
perusahaan dengan menggunakan sumberdaya perusahaan. Hasil kegiatan atau
aktivitas perusahaan diukur dan dilaporkan, memberikan masukan bagi
pengendalian, demikian seterusnya, kembali ke awal siklus. Lihat gambar II.14.
Gambar II.14. Siklus Pengaturan Perusahaan [7]
siklus pengaturan TI dapat dijelaskan sebagai berikut : pengaturan TI ditentukan
oleh praktek terbaik yang menjamin informasi perusahaan dan teknologi terkait
mendukung tujuan bisnisnya.
Sumberdaya digunakan dengan tanggung jawab dan resiko diatur secara memadai.
Praktek tersebut membentuk dasar arahan kegiatan TI yang dapat dikelompokkan
kedalam PO, AI, DS dan M, dengan tujuan untuk pengaturan (memperoleh
keamanan, keandalan dan pemenuhan) dan mendapat keuntungan (meningkatkan
efektivitas, dan efisiensi). Laporan dikeluarkan melalui hasil kegiatan atau aktivitas
TI, yang diukur dari praktek dan pengendalian yang bervariasi, demikian seterusnya,
kembali ke awal siklus. Lihat gambar II.15.
Pengaturan TI
Pengendalian
PLANDO
CHECKCORRECT
Laporan
Arahan
Aktivitas TIPerencanaan dan OrganisasiAkuisisi dan ImplementasiPenyampaian dan Dukungan
Pengawasan
PengaturanResiko
* Keamanan* Dapat
Dipercaya* Pemenuhan
MeningkatkanEfektivitas
Menurunkanbiaya atauEfisiensi
Memperoleh Keuntungan
TI disesuaikandengan bsinis,keuntunganmaksimal danpeluang-peluang bisnis
Sumber dayadigunakan denganbertanggung jawab
Resiko di atursecara memadai
Gambar II.15. Siklus pengaturan TI [7]
Agar menjamin manajemen mencapai tujuan bisnisnya, maka harus mengatur dan
mengarahkan kegiatan TI dalam mencapai keseimbangan yang efektif antara
mengatur resiko dan mendapatkan keuntungan. Untuk melaksanakannya,
manajemen perlu mengidentifikasi kegiatan terpenting, selain itu perlu juga
kemampuan mengevaluasi tingkat kesiapan organisasi terhadap praktek terbaik dan
standar internasional. Untuk mendukung kebutuhan manajemen tersebut, pedoman
manajemen COBIT (COBIT Management Guidelines) telah secara khusus
mengidentifikasi CSF, KGI, KPI dan model maturity untuk pengaturan TI.
II.4.2.7. Maturity Model
Maturity model digunakan sebagai metric untuk mengukur tingkat perkembangan
sistem informasi. Dengan Maturity model dapat digunakan juga untuk
mengendalikan proses IT dengan suatu metoda skoring sedemikian sehingga suatu
organisasi dapat menilai dirinya sendiri dari “tidak ada” sampai “optimized” (dari 0
sampai 5). Pendekatan ini diperoleh berdasarkan Maturity Model. Lihat gambar
II.16.
Gambar II.16. Maturity Model [7]
Dengan pendekatan ini manajemen dapat memetakan ke 34 proses kendali tingkat
atas dari COBIT [7], manajemen dapat menggambarkan dalam bentuk simbol :
Status organisasi saat ini – organisasi hari ini
Status standar internasional saat ini – perbandingan
Status terbaik industri saat ini – perbandingan tambahan
Strategi Organisasi untu perbaikan atau peningkatan – keinginan
organisasi
Untuk masing-masing 34 proses IT, ada suatu incremental skala pengukuran,
berdasar pada suatu penilaian antara “0” sampai “5”. Skala ini dihubungkan dengan
maturity model yang diuraikan berkisar antara “Tidak Ada” sampai “Optimized”
lihat tabel II.4. sebagai berikut :
Tabel II.4. Level Model Maturity
Model Umum Maturity
Level 0 Tidak ada (Non – Existent), kurang lengkapnya setiap proses yang dikenal. Organisasi sama sekali tidak mengetahui adanya masalah
Level 1 Inisialisasi (Initial), Terdapat bukti bahwa organisasi telah mengetahui adanya masalah yang membutuhkan penanganan. Penanganan masalah dilakukan dengan pendekatan adhoc, berdasarkan kasus dari perorangan. Tidak dilakukannya pengelolaan proses yang terorganisir. Setiap proses ditangani tanpa menggunakan standar.
Level 2 Pengulangan (Repeatable), Prosedur yang sama telah dikembangkan dalam proses – proses untuk menangani suatu tugas, dan diikuti oleh setiap orang yang terlibat di dalamnya. Tidak ada pelatihan dan komunikasi dari prosedur standard tersebut. Tanggung jawab pelaksanaan standar diserahkan pada setiap individu. Kepercayaan terhadap pengetahuan individu sangat tinggi, sehingga kesalahan sangat memungkinkan terjadi.
Level 3 Terdefinisi (Defined), Prosedur telah distandardisasikan, didokumentasikan, serta dikomunikasikan melalui pelatihan. Namun, implementasinya diserahkan pada setiap individu, sehingga kemungkinan besar penyimpangan tidak dapat dideteksi. Prosedur tersebut dikembangkan sebagai bentuk formulasi dari praktik yang ada.
Level 4 Dikelola (Managed), Pengukuran dan pemantauan terhadap kepatuhan dengan prosedur, serta pengambilan tindakan jika proses tidak berjalan secara efektif, dapat dilakukan. Perbaikan proses dilakukan secara konstan. Implementasi proses dilakukan secara baik. Otomasi dan perangkat yang digunakan terbatas
Level 5 Dioptimalkan (Optimised), Implementasi proses dilakukan secara memuaskan. Hal tersebut merupakan hasil dari perbaikan proses yang terus menerus dan pengukuran tingkat kedewasaan organisasi. Teknologi informasi diintegrasikan dengan aliran kerja, dan berfungsi sebagai perangkat yang memperbaiki kualitas dan efektifitas. Organisasi lebih responsive dalam menghadapi kompetisi bisnis.
Maturity Model akan membantu para profesional menjelaskan ke para manajer
tentang kekurangan manajemen TI dan menetapkan target yang mereka perlukan
dengan membandingkan kontrol organisasi praktek yang terbaik. Tingkatan maturity
akan dipengaruhi oleh sasaran bisnis organisasi dan operasi lingkungan. Yang
secara rinci tingkatan dari control maturity akan tergantung pada organisasi yang
bergantung pada TI, Teknologi dan terutama informasinya.
II.4.2.8. Skala Pengukuran Tingkat Maturity Model
Terdapat lima macam kemungkinan respon, dikaitkan dengan maturity model yang
direkomendasikan oleh COBIT (skala 0 – 5). Responden akan memilih tingkat
aktivitas yang sangat sesuai dengan kondisi saat ini. Skala sikap yang disediakan
dalam kuesioner seperti terdapat pada Gambar II.17. dibawah ini :
T id a kS e tu ju
S an g a tT id a kS e tu ju
S an g a tS e tu juN e tra l S e tu ju
0 % 2 0 %4 0 %
6 0 %1 0 0 %
8 0 %
Gambar II.17. Pilihan respon dalam model audit [7]
Interpretasi repon diatas dijelaskan pada Tabel II.5 dibawah ini.
Tabel II.5. : Skala sikap di dalam kuesioner dan interpretasinya
S a n g a tT i d a kS e t u j u
Kurang dari 20 persen aktivitas yang dijelaskan di dalam pertanyaan sesuai dengan kondisi di dalam sistem informasi PT. Telekomunikasi Indonesia, Tbk. R & D Center
T id a kS e tu ju
Lebih besar dari 21 persen, namun lebih kecil dari 40 persen aktivitas yang dijelaskan di dalam pertanyaan sesuai dengan kondisi di dalam sistem informasi PT. Telekomunikasi Indonesia, Tbk. R & D Center
N e t r a l
Lebih besar dari 41 persen, namun lebih kecil dari 60 persen aktivitas yang dijelaskan di dalam pertanyaan sesuai dengan kondisi di dalam sistem informasi PT. Telekomunikasi Indonesia, Tbk. R & D Center
S e tu ju
Lebih besar dari 61 persen, namun lebih kecil dari 80 persen aktivitas yang dijelaskan di dalam pertanyaan sesuai dengan kondisi di dalam sistem informasi PT. Telekomunikasi Indonesia, Tbk. R & D Center
S a n g a tS e tu ju
Lebih besar dari 81 persen aktivitas yang dijelaskan di dalam pertanyaan sesuai dengan kondisi di dalam sistem informasi PT. Telekomunikasi Indonesia, Tbk. R & D Center